第二条 【适用范围】

在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。

在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

【释义】

本条是关于本法调整范围的规定。

第一，数据处理者实施的数据处理活动和监管机构对数据处理活动的安全监管行为，都应当受本法调整。数据安全法所规范的数据，不仅包括电子数据，亦包括以除电子外的其他形式存在的数据。所谓数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。所谓数据处理者，是指从事数据处理的个人和组织。只要数据处理者实施了上述数据处理活动中的一种，就要受数据安全法的约束。数据安全监管机构在对数据处理活动实施监管时，应当遵循依法监管的原则，严格按照数据安全法所规定的权限分工和执法程序履行监管职责。

第二，《数据安全法》是数据安全领域的基本法，其确立了数据安全的一般性法律制度。在数据安全法律领域，除了数据安全法以外，还存在其他相关法律。如果其他法律对特定类型的数据安全做出了特别规定，应遵循该特别法的具体规定，而对于特别法没有规定的事项，则应适用数据安全法。为了准确地理解数据安全法的适用范围，应当将该法的第2条与第53条、第54条结合起来进行分析。例如，对于涉及国家秘密的数据处理活动，因为该类数据具有特殊性，并且《保守国家秘密法》等法律、行政法规已对此作出了特别的具体规定，因此，应当适用该特别规定。

第三，从空间效力来看，在确定一部法律的管辖权范围时，不同国家、不同法律所采取的原则并不相同，主要有属地原则、属人原则、保护原则。所谓属地原则，是以地域作为界定管辖权的标准，凡是在本国领域内发生的行为，均应适用本国法律；所谓属人原则，是指以人的国籍为标准，凡是本国的公民、法人从事的行为，不论其行为发生在本国领域内还是本国领域外，均应适用本国法律；所谓保护原则，是指以保护本国利益为标准，凡是侵害本国国家、公民、法人或其他组织的利益的，无论行为人的国籍为本国人还是外国人，也无论行为发生在本国领域内还是本国领域外，均应适用本国法律。从总体上来看，我国的数据安全法在确定管辖范围时采取了以属地管辖为原则、以保护管辖为补充的方式，其以行为人的行为地，即数据处理活动发生地，而非行为主体的身份，作为确定管辖权的基准，同时辅之以保护原则，以全面维护国家利益、公共利益、公民和组织的合法权益。

第四，依照属地管辖原则，在中华人民共和国境内开展数据处理活动，应受到本法的调整。《数据安全法》所规范的数据，既包括电子形式的数据，亦包括以其他形式存在的数据。对数据的处理，有可能通过互联网进行，也有可能采取网络以外的方式。因此，在判断数据处理活动是否是发生在中华人民共和国境内，需要基于数据类型、数据处理方式和具体情形来进行判断。

第五，依照保护管辖原则，在中华人民共和国境外实施的数据处理活动，如果其损害了中华人民共和国国家安全、公共利益或者公民、组织合法权益的，中国有关主管机关有权依照数据安全法和相关法律追究行为人的违法责任。基于该规定，对于发生在中华人民共和国境外的数据处理活动，是否适用中国的数据安全法，是依照其行为效果来确定的，只有当其损害了中国的国家安全、公共利益或者公民、组织的合法权益时，才适用中国的数据安全法，中国的有关行政机关和司法机关可基于此行使执法管辖权和司法管辖权。赋予数据安全法以一定的域外效力是十分有必要的，因为，实践中大量的数据都是以电子形式存在的，而且对数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动都是通过互联网进行的，许多违法犯罪分子往往使用设置在中国境外的服务器对中国境内的公民、组织的网络设施进行攻击、侵入，并将非法获取的数据传输到境外进行处理，如果对此仅适用属地原则，将难以对违法者追究法律责任。通过立法所确认的保护管辖原则，中国的执法机关和司法机关可以对发生在中国境外的违法行为进行管辖并追究违法者的法律责任。

【关联规定】

《中华人民共和国网络安全法》第2条、第5条

（撰稿人：周学峰）