總體國家安全觀視域下數(shù)據(jù)安全立法探討

胡爾貴

(西南政法大學(xué) 國家安全學(xué)院，重慶 401120)

伴隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)經(jīng)濟發(fā)展帶來的數(shù)據(jù)安全及其對國家安全的影響日益凸顯。加快數(shù)據(jù)安全立法，推進新時期國家安全法治建設(shè)是全面推動總體國家安全觀發(fā)展與實踐之重要內(nèi)容。[1]習(xí)近平總書記明確要求要切實保障國家數(shù)據(jù)安全，“建設(shè)數(shù)字中國、發(fā)展數(shù)字經(jīng)濟，既需要技術(shù)支撐，也需要法律保障。”[2]但是，反觀我國數(shù)據(jù)安全立法現(xiàn)狀，難以滿足維護國家安全的現(xiàn)實需要。為此，我國明確提出要制定《數(shù)據(jù)安全法》，并將其列入了十三屆全國人大常委會2020年立法規(guī)劃“第一類項目”。鑒于《數(shù)據(jù)安全法》是維護和塑造我國國家安全的一部重要法律，本文擬從總體國家安全觀這一視角，就我國的數(shù)據(jù)安全立法提出個人拙見，以期拋磚玉。

一、數(shù)據(jù)安全立法與維護國家安全的關(guān)系

習(xí)近平總書記強調(diào)：“安全與發(fā)展是一體之兩翼、驅(qū)動之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的。”[3]數(shù)據(jù)發(fā)展和數(shù)據(jù)安全密不可分。法治是數(shù)據(jù)安全的重要保障手段之一，已逐步成為共識。西方發(fā)達(dá)國家大多早已運用法律手段解決國家安全等重大政治問題。只有正確認(rèn)識和理解了數(shù)據(jù)安全立法與國家安全的關(guān)系，才能處理好數(shù)據(jù)發(fā)展、數(shù)據(jù)立法、國家安全三者的關(guān)系，樹立數(shù)據(jù)安全立法的科學(xué)觀念。

(一)數(shù)據(jù)安全立法是保護國家數(shù)據(jù)戰(zhàn)略資源的重要保障

隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能的發(fā)展，越來越多的“物”的存在方式都會以數(shù)據(jù)形式體現(xiàn)。人類的活動會不斷產(chǎn)生數(shù)據(jù)，形成海量數(shù)據(jù)。這些海量數(shù)據(jù)就是“物”的數(shù)據(jù)存在方式，具有無限的潛在價值。在數(shù)字經(jīng)濟發(fā)展的初期，人們關(guān)注的主要是數(shù)據(jù)與公民個人權(quán)利保護的關(guān)系、促進數(shù)字經(jīng)濟產(chǎn)業(yè)發(fā)展等問題，對于數(shù)據(jù)對國家安全的關(guān)系認(rèn)識不夠。殊不知，由海量數(shù)據(jù)構(gòu)成的大數(shù)據(jù)正日益成為國家基礎(chǔ)性戰(zhàn)略資源。[4]即使對于看似僅涉及個人隱私的簡單個人信息資料，如果將不同人的個人信息資料匯聚起來分析，其中必然蘊藏著最新的社會動態(tài)、科技發(fā)展、經(jīng)濟形勢、安全威脅、敵我態(tài)勢等各種政治、經(jīng)濟、文化、安全等信息。此時的數(shù)據(jù)不僅關(guān)乎隱私權(quán)，還涉及國家信息安全，二者互為表里。[5]

世界各國正在通過不斷完善數(shù)據(jù)安全立法爭奪他國數(shù)據(jù)資源，有的國家甚至正在依仗技術(shù)優(yōu)勢推行數(shù)據(jù)霸權(quán)。如歐盟于2018年5月25日通過的《通用數(shù)據(jù)保護條件》(簡稱“GDPR”)就以最嚴(yán)格的個人數(shù)據(jù)保護為名，通過立法確立了“長臂管轄”原則，不僅對歐盟國家境內(nèi)設(shè)立法人實體的企業(yè)有管轄權(quán)，還對雖未在歐盟國家境內(nèi)設(shè)立法人實體但只要為歐盟境內(nèi)個人提供商品或服務(wù)、為歐盟境內(nèi)法人實體提供數(shù)據(jù)服務(wù)的企業(yè)有管轄權(quán)。通過這種立法規(guī)定，就可以最大限度地獲取他國數(shù)據(jù)資源。

各種數(shù)據(jù)正在成為新時代的核心社會資源和重要社會財富，同時也成為支撐國家安全與發(fā)展的重要戰(zhàn)略資源。隨著我國數(shù)字經(jīng)濟發(fā)展步伐越來越快，我國已經(jīng)成為世界上數(shù)據(jù)儲量最大、信息最豐富的國家。據(jù)阿里巴巴董事局主席兼首席執(zhí)行官張勇于在2019年阿里巴巴投資者大會上的發(fā)言所說，阿里巴巴數(shù)字經(jīng)濟體的客戶就接近10億，數(shù)據(jù)規(guī)模可見一斑。隨著我國的掘起，以美國為首的西方發(fā)達(dá)國家正在憑借其在網(wǎng)絡(luò)空間和數(shù)據(jù)技術(shù)上的優(yōu)勢，不遺余力地攫取我國的數(shù)據(jù)資源，爭奪數(shù)據(jù)控制權(quán)。因此，加快數(shù)據(jù)安全立法進程，有效遏制數(shù)據(jù)資源流失或被他國掠奪，是維護國家安全與發(fā)展的迫切要求。

(二)數(shù)據(jù)安全立法是維護國家數(shù)據(jù)主權(quán)的重要武器

互聯(lián)網(wǎng)實現(xiàn)了數(shù)據(jù)傳播的無界性、廣泛性，使得任何國家在任何時候都有可能獲得任何其它國家的數(shù)據(jù)。因此，獲取、占有、控制數(shù)據(jù)以及從海量信息中獲取戰(zhàn)略情報成為了維護國家安全的重要預(yù)警手段。當(dāng)一國擁有他國數(shù)據(jù)的規(guī)模與分析能力達(dá)到一定程度與水平時，就有可能對他國的國家安全形成足夠的威脅。這充分體現(xiàn)出了數(shù)據(jù)所具有國家主權(quán)性。

據(jù)“棱鏡門”曝光的信息，美國政府為了監(jiān)控其它國家，就借助谷歌、微軟等9家跨國公司將在境外合理收集的數(shù)據(jù)轉(zhuǎn)移至國內(nèi)。[6]這一事件給世界各國敲響了維護數(shù)據(jù)主權(quán)的警鐘，各國紛紛立法限制或禁止本國數(shù)據(jù)向境外流動。2016年初，歐美在廢除“安全港”協(xié)議后又簽署了“隱私盾”協(xié)議，該協(xié)議在數(shù)據(jù)跨境傳輸上對美國進行了限制并要求美國政府作出相應(yīng)承諾。

數(shù)據(jù)具有主權(quán)性，數(shù)據(jù)主權(quán)已經(jīng)成為國家主權(quán)的重要內(nèi)涵，數(shù)據(jù)安全關(guān)乎國家安全。因此，如何維護我國的數(shù)據(jù)主權(quán)，保證我國的數(shù)據(jù)安全，是我國在維護國家安全方面的一個無法回避的現(xiàn)實難題。為此，我國應(yīng)當(dāng)借鑒國外的立法經(jīng)驗，加快數(shù)據(jù)安全立法進程，建立符合我國國情的數(shù)據(jù)跨境流動制度，運用法律武器捍衛(wèi)我國的數(shù)據(jù)主權(quán)。

(三)數(shù)據(jù)安全立法是防范化解國家安全風(fēng)險的重要手段

當(dāng)前，各種新技術(shù)的應(yīng)用使得數(shù)據(jù)收集無時無處不在，這必將導(dǎo)致個人敏感數(shù)據(jù)與非敏感數(shù)據(jù)難以區(qū)分，國家機密與非國家機密的難以界定。而通過數(shù)據(jù)分析和數(shù)據(jù)挖掘，可以從碎片化的、不具有敏感性的數(shù)據(jù)中分析出敏感的、可識別的信息。所以，對于任何一個國家來講，在數(shù)據(jù)收集和運用中的安全風(fēng)險也就接踵而來。有時在某個領(lǐng)域、小范圍內(nèi)的數(shù)據(jù)處理或運用不當(dāng)，就可能帶來不可預(yù)見的大范圍內(nèi)的巨大風(fēng)險，進而引發(fā)系統(tǒng)性風(fēng)險。隨著數(shù)據(jù)時代的到來，數(shù)據(jù)安全越來越超越個體安全范疇，收集和運用海量數(shù)據(jù)所帶來的國家安全風(fēng)險越來越大。

世界各國都在不斷完善數(shù)據(jù)安全法律制度，防范數(shù)字經(jīng)濟發(fā)展中可能出現(xiàn)的安全問題。2018年，美國 Facebook數(shù)據(jù)事件使得大眾意識到大數(shù)據(jù)風(fēng)險不僅是個人和企業(yè)層面的保護問題，更與政治權(quán)力相勾連，事關(guān)社會穩(wěn)定和國家政治安全。西方33國締結(jié)的《瓦森納協(xié)定》明確將與管制商品和技術(shù)清單內(nèi)容直接相關(guān)的各類技術(shù)數(shù)據(jù)納入受管控范圍，對兒童色情、恐怖主義信息等非法內(nèi)容進行管控。[7]韓國不僅重視對國家信息安全和信息基礎(chǔ)設(shè)施的保護，還對個人的隱私及通信權(quán)益做出明確規(guī)定，形成了較為完備的信息安全立法體系。[8]

數(shù)據(jù)安全風(fēng)險日益凸顯，并正在成為影響我國國家安全與穩(wěn)定的重大風(fēng)險因素。長期以來，我國的國家治理存在“重發(fā)展輕安全”的傾向，這也在一定程度上造成了我國在發(fā)展數(shù)字經(jīng)濟的過程中對數(shù)據(jù)安全重視不夠。法治是國家治理體系和治理能力的重要依托。[9]為防范和化解我國在數(shù)據(jù)領(lǐng)域面臨的重大風(fēng)險，必須推動數(shù)據(jù)安全立法工作，以法治手段防范和化解數(shù)字經(jīng)濟發(fā)展可能帶來的國家安全風(fēng)險，做到安全與發(fā)展并重。這也是貫徹落實總體國家安全觀的必然要求和具體體現(xiàn)。

二、我國數(shù)據(jù)安全立法現(xiàn)狀檢視

在大數(shù)據(jù)領(lǐng)域，當(dāng)大數(shù)據(jù)逐漸有可能成為資源和產(chǎn)業(yè)時，在“發(fā)展是第一要務(wù)”這一慣性思維的作用下，人們首先看到了繁榮數(shù)字經(jīng)濟對于發(fā)展的重要性，對安全問題的認(rèn)識明顯不足。在“重發(fā)展輕安全”觀念的影響下，我國過去在進行數(shù)據(jù)領(lǐng)域的法律制度設(shè)計時安全理念明顯缺失。這導(dǎo)致現(xiàn)有的所有數(shù)據(jù)法律制度無論在內(nèi)容上還是在形式上，都與維護我國的數(shù)據(jù)安全和國家安全的現(xiàn)實需要還存在明顯的差距與不足。

(一)從立法進程看，立法步伐嚴(yán)重滯后

認(rèn)真檢視我國數(shù)字經(jīng)濟發(fā)展及相關(guān)立法的實踐歷程，我們不難發(fā)現(xiàn)，我國有關(guān)數(shù)據(jù)安全的立法很不充分，立法進程嚴(yán)重滯后。一方面，我國在數(shù)據(jù)領(lǐng)域的安全立法起步相對較晚。我國于1994年2月18日頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》才在國家層面做出了有關(guān)“保護信息安全”的規(guī)定。前西德的黑森州在 1970 年通過世界上第一部《數(shù)據(jù)保護法》，該法其實是傾向于從政府安全的角度進行立法。[10]此后歐美各國相繼都出臺有關(guān)數(shù)據(jù)安全方面的立法。這反映出我國對數(shù)據(jù)安全問題的認(rèn)識和思考比西方國家落后了20多年。另一方面，我國在數(shù)據(jù)領(lǐng)域立法中涉及安全的法律制度很不成熟、很不完善。最明顯的體現(xiàn)就是，在很長一段時間里，盡管我國的數(shù)據(jù)立法本來就為數(shù)不多，但其中更是鮮有關(guān)于數(shù)據(jù)安全的規(guī)定，更不用說直接涉及國家安全的規(guī)定。總體來講，數(shù)據(jù)安全領(lǐng)域的立法進程十分緩慢，不能較好地滿足維護國家安全的現(xiàn)實需要。

從國家層面的規(guī)定看，曾一度不夠重視數(shù)據(jù)安全。國務(wù)院于2015年8月頒布了《促進大數(shù)據(jù)發(fā)展行動綱要》中僅提出了“切實加強對涉及國家利益、公共安全、商業(yè)秘密、個人隱私、軍工科研生產(chǎn)等信息的保護”，并未就安全立法提出要求。[11]該綱要作為我國近年來促進大數(shù)據(jù)發(fā)展的總綱，涉及大數(shù)據(jù)及其運用的長遠(yuǎn)發(fā)展，卻對安全問題一筆帶過。直到2019年5月，國家互聯(lián)網(wǎng)信息辦公室公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》才作為第一個比較系統(tǒng)強調(diào)“數(shù)據(jù)安全”“國家安全”的官方文件開始征求意見，這在一定程度上也反映了我國數(shù)據(jù)安全立法的現(xiàn)狀。

從地方層面的規(guī)定來看，情況也不樂觀。2016年3月1日《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進條例》作為全國第一部大數(shù)據(jù)地方性法規(guī)正式頒布，該條例主要是扶持大數(shù)據(jù)行業(yè)發(fā)展，對大數(shù)據(jù)安全規(guī)定較少。2017年5月頒布的《浙江省公共數(shù)據(jù)和電子政務(wù)管理辦法》雖是全國第一部有關(guān)公共數(shù)據(jù)的省級政府規(guī)章，但僅有一條提及信息安全。這充分反映出了無論是國家層面還是地方層面，我國對于數(shù)據(jù)安全立法普遍認(rèn)識不夠，嚴(yán)重影響了立法進程。

(二)從立法淵源看，法律制度不成體系

近幾年來，雖然隨著人們的數(shù)據(jù)安全意識不斷增強，一些政策法規(guī)的制定過程中不斷開始出現(xiàn)調(diào)整數(shù)據(jù)安全的具體規(guī)定，但是，從總體來看，涉及數(shù)據(jù)安全的相關(guān)規(guī)定具有較強的隨意性，立法表現(xiàn)形式比較散亂，沒有從安全管理角度對數(shù)據(jù)的全生命周期進行系統(tǒng)設(shè)計，沒有形成嚴(yán)謹(jǐn)?shù)姆芍贫润w系，呈現(xiàn)出明顯的碎片化特征。

首先，法律層面的規(guī)定僅點到為止。《網(wǎng)絡(luò)安全法》雖然于2017年6月正式實施，成為我國第一部網(wǎng)絡(luò)安全法律方面的基本法，但是，該法對數(shù)據(jù)安全的規(guī)定比較片面，對公共大數(shù)據(jù)安全有所提及，卻沒有對公共大數(shù)據(jù)信息安全作出專門系統(tǒng)規(guī)定。截止目前，另外兩部涉及數(shù)據(jù)安全的《數(shù)據(jù)安全法》和《個人信息保護法》尚處于立法規(guī)劃階段。

其次，行政法規(guī)層面的規(guī)定未涵蓋數(shù)據(jù)的全生命周期。從理論上講，按照依法治國的要求，要確保大數(shù)據(jù)時代的數(shù)據(jù)安全，立法應(yīng)當(dāng)對數(shù)據(jù)的采集、存儲、應(yīng)用、傳輸、銷毀等全生命周期進行全面系統(tǒng)的規(guī)制，既要規(guī)定一般意義上的數(shù)據(jù)安全問題，又要規(guī)定數(shù)據(jù)主權(quán)安全等問題。但是，從涉及我國數(shù)據(jù)安全的行政法規(guī)制定來看，卻主要集中在為《網(wǎng)絡(luò)安全法》制定配套規(guī)范，如國家互聯(lián)網(wǎng)信息辦公室、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會主要在推動實施《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》《個人信息和重要數(shù)據(jù)出境安全評估辦法》《信息安全技術(shù)數(shù)據(jù)出境安全評估指南》等。直到2019年5月，國家互聯(lián)網(wǎng)信息辦公室才公布《數(shù)據(jù)安全管理辦法(征求意見稿)》，試圖對數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理等進行全流程規(guī)制，但迄今也未頒布。

再次，地方法規(guī)層面的規(guī)定為數(shù)不多。2018年《貴陽市大數(shù)據(jù)安全管理條例》作為全國首部大數(shù)據(jù)安全管理地方性法規(guī)，是落實和細(xì)化《中華人民共和國網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定和要求，聚焦大數(shù)據(jù)安全，提出了數(shù)據(jù)對國家安全的意義，[12]是對數(shù)據(jù)安全立法的有益探索。2019年8月《天津市數(shù)據(jù)安全管理辦法(暫行)》作為全國第一部數(shù)據(jù)安全的省級專門性地方立法開始施行。這兩部地方法規(guī)分別作為省會城市和省級政府的首部調(diào)整數(shù)據(jù)安全的法規(guī)出現(xiàn)，而且從立法時間來看均屬近期立法。由于，數(shù)據(jù)安全立法在地方法規(guī)層面的狀況可見一斑。

(三)從立法理念看，國家安全理念缺位

數(shù)據(jù)安全既與個人隱私有關(guān)，又與國家安全相關(guān)。因此，世界各國有關(guān)數(shù)據(jù)安全立法目標(biāo)深化到國家主權(quán)與國家利益的維護，內(nèi)容越來越豐富。但是，從我國目前有關(guān)數(shù)據(jù)安全的規(guī)定來看，數(shù)據(jù)安全立法理念存在缺位現(xiàn)象，尤其是對總體國家安全觀認(rèn)識不到位。

一方面，從宏觀高度把握總體安全不夠。安全的內(nèi)涵十分豐富，既有宏觀安全，也有微觀安全。總體國家安全觀強調(diào)地就是宏觀安全、總體安全，就是要從國家安全的宏觀高度理解和認(rèn)識安全問題。但從現(xiàn)有的數(shù)據(jù)安全相關(guān)法律制度來看，著眼微觀安全較多，有關(guān)個人信息保護規(guī)定較多，對個人信息安全保護相對充分一些，對宏觀安全照顧不足。如《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《消費者權(quán)益保護法》《刑法》《民法總則》和《網(wǎng)絡(luò)安全法》均有關(guān)于個人信息保護的不少規(guī)定，但是，卻少有從維護國家安全高度對數(shù)據(jù)安全進行規(guī)定。比如《網(wǎng)絡(luò)安全法》的第四章雖名為“網(wǎng)絡(luò)信息安全”，但側(cè)重于對個人信息的保護，并未對數(shù)據(jù)合法利用和安全管理作出充分的規(guī)定。

另一方面，對公共數(shù)據(jù)和政府?dāng)?shù)據(jù)安全重視不夠。從國家互聯(lián)網(wǎng)信息辦公室推動《個人信息和重要數(shù)據(jù)出境安全評估辦法》的制定過程來看，也反映出了我國社會在數(shù)據(jù)信息安全方面缺乏公共集體意識和國家安全意識。該辦法早在2017年4月就向社會公開征求意見，明確了數(shù)據(jù)出境安全評估的重點在于數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對國家安全、社會公共利益、個人合法利益帶來的風(fēng)險等，但卻因爭議較大至今尚未通過。[13]

(四)從立法效果看，安全風(fēng)險難以化解

由于涉及數(shù)據(jù)安全的立法規(guī)定不全面、碎片化情形突出，難以相互協(xié)調(diào)配套，必須影響其可操作性，導(dǎo)致有關(guān)法律制度難以實施落地，進而在化解安全風(fēng)險方面的法律效果大打折扣。在實踐中普遍存在“數(shù)據(jù)不夠用、數(shù)據(jù)不可用、數(shù)據(jù)不會用、數(shù)據(jù)不敢用”的情形。[14]最突出的表現(xiàn)有兩個方面：

一是數(shù)據(jù)安全管理責(zé)任分散，權(quán)責(zé)不清，各自為戰(zhàn)。由于數(shù)據(jù)技術(shù)的高速發(fā)展，人們對數(shù)據(jù)及數(shù)據(jù)安全的內(nèi)涵外延難以準(zhǔn)確界定，相應(yīng)的管理體制也比較混亂，這導(dǎo)致現(xiàn)有立法要么缺乏法律責(zé)任條款，要么缺少配套制度，很難確保法律責(zé)任落到實處，勢必其法律效果。有的規(guī)定甚至機械照搬國外立法模式，不能結(jié)合我國具體國情做出具有操作性的規(guī)定。如《信息安全技術(shù)數(shù)據(jù)出境安全評估指南》將可能危害國家安全、國防利益、國際關(guān)系、國家經(jīng)濟秩序和金融安全、國家財產(chǎn)、個人合法權(quán)益、國家政治、國土、軍事、經(jīng)濟、文化、社會、科技、信息、生態(tài)、資源、核設(shè)施安全的數(shù)據(jù)均囊括為“關(guān)鍵(重要)數(shù)據(jù)”，這雖然全面，但卻沒有明確的解釋區(qū)分，缺乏失操作性，給政府執(zhí)法和企業(yè)守法造成困難。

二是相關(guān)規(guī)定沒有較好地與國際接軌，與國外數(shù)據(jù)法存在沖突。比如，歐盟2018年5月實施的《通用數(shù)據(jù)保護條例》(GDPR)是史上最嚴(yán)的個人數(shù)據(jù)保護法規(guī)，該條例要求獲取在華企業(yè)的數(shù)據(jù)或進入其設(shè)備系統(tǒng)的訪問權(quán)限。但我國網(wǎng)絡(luò)安全法第37條規(guī)定數(shù)據(jù)不予出境，企業(yè)對于歐盟調(diào)查權(quán)的行使要求不予執(zhí)行。二者的沖突既不利于中歐企業(yè)之間的合作，也會給我國數(shù)據(jù)主權(quán)帶來威脅。

三、國家安全視角下的數(shù)據(jù)安全立法思路

習(xí)近平總書記在中央國家安全委員會第一次全體會議上明確“既重視發(fā)展問題，又重視安全問題”，這是中國特色社會主義國家安全理論的最新發(fā)展，也是中國特色社會主義新時代“推進國家治理體系和治理能力現(xiàn)代化、實現(xiàn)國家長治久安的迫切要求”。在大力發(fā)展數(shù)字經(jīng)濟的同時，必須高度重視數(shù)據(jù)安全風(fēng)險的防范。數(shù)據(jù)安全法立法迫在眉睫。結(jié)合前文分析，本文在此以維護國家安全為視角，就數(shù)據(jù)安全立法提出幾點拙見：

(一)突出總體國家安全觀的立法指導(dǎo)思想地位

數(shù)據(jù)安全不僅涉及個體安全問題，而且越來越與國家安全密切相關(guān)。隨著數(shù)字經(jīng)濟發(fā)展和技術(shù)進步，數(shù)據(jù)越來越成為一個國家的重要社會財富和戰(zhàn)略資源，數(shù)據(jù)在國家安全中的價值將進一步凸顯，同時，其所帶來的國家安全風(fēng)險也將更加突出。習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時強調(diào)：“要切實保障國家數(shù)據(jù)安全。要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護，強化國家關(guān)鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預(yù)警和溯源能力。”加強數(shù)據(jù)安全立法是維護國家安全的迫切現(xiàn)實需要。當(dāng)前，在國家安全法這一上位法的統(tǒng)領(lǐng)下，《網(wǎng)絡(luò)安全法》已經(jīng)出臺，個人信息保護法和數(shù)據(jù)安全法已經(jīng)列入立法計劃。我們要正確好數(shù)據(jù)安全法與網(wǎng)絡(luò)安全法、個人信息保護法的立法關(guān)系，應(yīng)將數(shù)據(jù)安全法聚焦于“重要數(shù)據(jù)”的風(fēng)險預(yù)防和管控上。這三部立法要各有側(cè)重，各居其位，相互配合、相互協(xié)調(diào)、相互補足，形成三角構(gòu)造，分別對涉及數(shù)據(jù)、網(wǎng)絡(luò)空間、個人信息相關(guān)活動進行法律調(diào)整，共同維護大數(shù)據(jù)時代我國的網(wǎng)絡(luò)安全、個人信息安全和國家安全。既保證了法律之間的銜接，又有利于后續(xù)執(zhí)法工作的執(zhí)行。

為此，應(yīng)當(dāng)將總體國家安全觀作為數(shù)據(jù)安全法的立法指導(dǎo)思想，將其立法目標(biāo)和立法主要內(nèi)容定位在通過確保關(guān)鍵(重要)數(shù)據(jù)安全以維護國家安全上，使其成為數(shù)據(jù)安全領(lǐng)域里維護國家安全的根本法。要站在總體國家安全觀的高度，厘清數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個人信息安全這幾個范疇的關(guān)系，科學(xué)界定數(shù)據(jù)安全的內(nèi)涵和外延。要站在總體國家安全觀的高度，充分認(rèn)識網(wǎng)絡(luò)無界性對數(shù)據(jù)安全所涉時空領(lǐng)域的無限延展性，全面、系統(tǒng)地分析影響數(shù)據(jù)安全的各種重大風(fēng)險因素。要站在總體國家安全觀的高度，準(zhǔn)確把握國際數(shù)據(jù)安全立法趨勢，既符合保護我國數(shù)據(jù)資源的需要，又能與國際社會有效接軌。

(二)確立數(shù)據(jù)主權(quán)不可侵犯原則

數(shù)據(jù)時代，數(shù)據(jù)權(quán)決定話語權(quán)。如果失去數(shù)據(jù)主權(quán)，國家的政治、經(jīng)濟、文化等數(shù)據(jù)資源就會被其他數(shù)據(jù)強國所控制，國家主權(quán)也會受到威脅。鑒于美國等強國正在推行數(shù)據(jù)霸權(quán)，強行干涉他國數(shù)據(jù)主權(quán)，而我國現(xiàn)有法律體系尚未提及數(shù)據(jù)主權(quán)，因此確立國家數(shù)據(jù)主權(quán)不可侵犯原則對于維護我國的國家數(shù)據(jù)主權(quán)安全具有現(xiàn)實緊迫性，刻不容緩。數(shù)據(jù)安全立法應(yīng)當(dāng)將數(shù)據(jù)主權(quán)原則作為貫穿數(shù)據(jù)安全法的一條主線，聚集“重要敏感數(shù)據(jù)”的風(fēng)險防控。確立這一原則，必須完善以下幾項具體制度：

一是長臂管轄制度。當(dāng)前無論是 GDPR 還是美國的《合法使用境外數(shù)據(jù)明確法》(Clarify Lawful Overseas Use of Data Act，簡稱“CLOUD法”)法均將屬地管轄擴展至長臂管轄，擴大其法律的域外效力。為爭奪數(shù)據(jù)話語權(quán)，擴張本國法律的適用范圍，積極推行符合本國利益訴求的國際社會數(shù)據(jù)規(guī)則體系成為當(dāng)前國際的立法趨勢。[15]我國的數(shù)據(jù)安全立法工作要因勢而變，由“屬地”管轄向“屬地+長臂”管轄過渡，即只要侵犯到中國境內(nèi)的自然人、企業(yè)和國家的利益，不區(qū)分?jǐn)?shù)據(jù)處理行為的域界，均有權(quán)利獲取數(shù)據(jù)。確立此制度后，可以適當(dāng)調(diào)整我國對待外國數(shù)據(jù)的策略和態(tài)度，適度放開讓外國公司來華開展業(yè)務(wù)的政策規(guī)定，可以為我國合法獲取他國數(shù)據(jù)資源提供法律依據(jù)。

二是數(shù)據(jù)跨境流動保護制度。在堅持?jǐn)?shù)據(jù)本地化政策的前提下，對數(shù)據(jù)跨境轉(zhuǎn)移實施分級保護。對于涉及國家安全、社會重大利益的敏感數(shù)據(jù)，采取最嚴(yán)格管控措施，嚴(yán)禁跨境轉(zhuǎn)移；對于一般性行業(yè)數(shù)據(jù)和政府公開數(shù)據(jù)，根據(jù)雙邊、多邊協(xié)議可以有限制地跨境流動；對于公開的個人數(shù)據(jù)，原則上可以允許跨境轉(zhuǎn)移。當(dāng)然，鑒于國際法或國際慣例尚未對數(shù)據(jù)管轄和數(shù)據(jù)主權(quán)作出規(guī)定，應(yīng)注意與國際接軌，加強國際交流與合作，積極參與國際規(guī)則的制定，要讓世界聽到中國的聲音。

三是數(shù)據(jù)跨境安全風(fēng)險審查評估制度。數(shù)據(jù)是否重要敏感、是否具有安全風(fēng)險，需要由專業(yè)人員、按照法定的程序、采取專業(yè)的方法進行科學(xué)的評估。而且，特別要注意地是，某些數(shù)據(jù)是否重要敏感、是否具有安全風(fēng)險不是一成不變的，是會隨著數(shù)據(jù)挖掘技術(shù)的發(fā)展和人們的認(rèn)識能力的提高而變化的。因此，要根據(jù)數(shù)據(jù)性質(zhì)及技術(shù)發(fā)展?fàn)顩r，對數(shù)據(jù)出境可能帶來的安全風(fēng)險進行審查評估，非經(jīng)評估同意，禁止任何數(shù)據(jù)跨境轉(zhuǎn)移。

(三)認(rèn)清數(shù)據(jù)應(yīng)用發(fā)展與國家安全的辯證關(guān)系

有一種觀點認(rèn)為，由于數(shù)據(jù)具有無形化和無界傳播性，要有效防范數(shù)據(jù)可能帶來的安全風(fēng)險，就應(yīng)當(dāng)將數(shù)據(jù)“保護”起來，限制數(shù)據(jù)開放，禁止數(shù)據(jù)傳輸，通過限制數(shù)據(jù)的應(yīng)用發(fā)展，就能夠?qū)崿F(xiàn)絕對安全。比如，歐盟早期為了保護個人隱私，對數(shù)據(jù)技術(shù)的應(yīng)用采取了最為嚴(yán)格的限制措施。但是，從結(jié)果來看，歐盟這種做法在一定程度上影響了數(shù)據(jù)技術(shù)進步和經(jīng)濟發(fā)展，最后它不得不主動走向開放。這充分證明了這種觀點的片面性。我們試想一下，在數(shù)據(jù)技術(shù)飛速發(fā)展的今天，一個國家如果限制數(shù)據(jù)技術(shù)及數(shù)據(jù)應(yīng)用發(fā)展，就會阻礙數(shù)字經(jīng)濟橫向發(fā)展，國家經(jīng)濟發(fā)展水平和數(shù)據(jù)技術(shù)發(fā)展水平一定會相對落后，國家落后就會挨打，就會面臨更加嚴(yán)重的國家安全風(fēng)險，這是任何國家都不愿意承受的結(jié)果。

但是，如果人們由此認(rèn)為，那就應(yīng)該鼓勵數(shù)據(jù)完全開放，允許數(shù)據(jù)自由流動，以促進數(shù)據(jù)技術(shù)及數(shù)字經(jīng)濟飛速發(fā)展，這種觀點又走向了另一個極端，也是極其片面的。殊不知，這樣毫無限制地推進數(shù)據(jù)運用發(fā)展，就會造成數(shù)字經(jīng)濟過度發(fā)展，這在一定程度上又會導(dǎo)致短期內(nèi)大量數(shù)據(jù)的急劇產(chǎn)生、無序流動。由于數(shù)據(jù)制度缺乏或跟不上數(shù)據(jù)發(fā)展速度，數(shù)據(jù)發(fā)展將會累積風(fēng)險，國家安全隱患會越來越大。正如習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上所提，網(wǎng)絡(luò)安全是整體的、動態(tài)的、開放的，而不是割裂的、封閉的、絕對的。這充分說明了千萬不能片面、絕對地看待網(wǎng)絡(luò)數(shù)據(jù)和國家安全的關(guān)系問題，否則就會顧此失彼。

為此，在我國的數(shù)據(jù)安全立法中，要辯證看待數(shù)據(jù)應(yīng)用發(fā)展與國家安全的關(guān)系。要正確評估我國在世界上的數(shù)據(jù)技術(shù)發(fā)展水平，要結(jié)合我國的具體國情和所處的發(fā)展階段確定我國對于數(shù)據(jù)應(yīng)用發(fā)展“開放”與“限制”的程度，在數(shù)據(jù)應(yīng)用發(fā)展與維護國家安全之間找到一個恰當(dāng)?shù)钠胶恻c。

(四)構(gòu)建科學(xué)完整的數(shù)據(jù)安全法治體系

鑒于數(shù)據(jù)安全對于維護國家安全的重要性，必須高度重視數(shù)據(jù)安全立法的科學(xué)性，要認(rèn)真梳理研究數(shù)據(jù)技術(shù)應(yīng)用發(fā)展實踐現(xiàn)狀及發(fā)展趨勢，摒棄“宜粗不宜細(xì)”的立法風(fēng)格[16]，全面把握影響數(shù)據(jù)安全的可能要素，構(gòu)建一套完整的數(shù)據(jù)安全法治體系，不留法律真空，確保數(shù)據(jù)安全法的系統(tǒng)性、完整性和可操作性，提高法律實施的效力和效果。

一是要針對不同類型數(shù)據(jù)提出不同的安全要求。要在厘清個人數(shù)據(jù)、重要敏感數(shù)據(jù)、公共數(shù)據(jù)、政府?dāng)?shù)據(jù)、商業(yè)數(shù)據(jù)、跨境數(shù)據(jù)等不同類型數(shù)據(jù)的內(nèi)涵外延的基礎(chǔ)上，分析“關(guān)鍵數(shù)據(jù)”面臨的安全形勢與風(fēng)險，建立分級分類保護制度，有針對性地提出安全防控要求。

二是要對數(shù)據(jù)的全生命周期進行全程安全風(fēng)險評估和審查監(jiān)管。要以數(shù)據(jù)的全生命周期為線索，圍繞數(shù)據(jù)的產(chǎn)生、形成、采集、存儲、加密、隔離、訪問、驗證、使用、下載、處理、分析、傳輸、保護、備份、銷毀、恢復(fù)等環(huán)節(jié)的各種安全漏洞和安全風(fēng)險進行全面梳理，建立數(shù)據(jù)安全基礎(chǔ)標(biāo)準(zhǔn)、數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)、數(shù)據(jù)安全管理標(biāo)準(zhǔn)和數(shù)據(jù)安全應(yīng)用標(biāo)準(zhǔn)，編織嚴(yán)密的數(shù)據(jù)安全保護網(wǎng)。

三是要對政府、企業(yè)、個人和其他組織在維護數(shù)據(jù)安全中權(quán)利義務(wù)分別做出明確的規(guī)定。在賦予數(shù)據(jù)主體對數(shù)據(jù)的所有權(quán)、使用權(quán)、財產(chǎn)權(quán)、人格權(quán)、訪問權(quán)、更正權(quán)、反對權(quán)、限制處理權(quán)、被遺忘權(quán)、可攜權(quán)以及限制自動化決策等諸多權(quán)利的同時，明確維護數(shù)據(jù)安全的職責(zé)和義務(wù)，做到責(zé)權(quán)利相統(tǒng)一。