論我國數據安全保護法律制度的完善

馬忠法 胡玲

摘? ? 要：《中華人民共和國數據安全法（草案）》第九條明確了國家、企業和個人等參與數據安全協同治理體系構建的重要性。對此，在界定數據安全概念之含義并對其進行分類后，應意識到重要數據和敏感數據之安全應比一般數據安全更需要受到重視。針對數據泄露事件頻發使得數據安全受到普遍關注之現象，分析現行數據保護法律制度內容及其不足十分關鍵。在前述分析論證基礎上，結合數據治理主體的多元性等方面，可以在數據安全保護法律制度完善方面做出如下努力：宏觀層面，政府應完善政府數據保護法律制度，完善數據安全標準，指導企業構建數據安全體系;微觀層面，企業應明確責任并制定系統的數據安全管理制度，而個人應樹立對個人信息保護的主動防范意識，提升保護隱私和個人數據維權意識，采取積極有效的數據保護防范措施。

關鍵詞：數據安全;法律保護制度;完善對策

中圖分類號：D 912? ? ? ? ? 文獻標識碼：? A? ? ? 文章編號：2096-9783（2021）02-0001-07

引? 言

隨著數字化世界的到來，數據成為各國博弈的新領域。隨著數據的急劇增長，數據安全風險也隨之提高，但是無論是國內法律還是國際規則尚缺乏應對經驗和智慧。《中華人民共和國數據安全法（草案）》（以下簡稱《數據安全法（草案）》）（2020年7月3日發布）既是踐行中國一直倡導的網絡空間命運共同體理念，也是中國為全球數據治理貢獻的中國方案和智慧。《數據安全法（草案）》是構建以《國家安全法》為核心的國家安全法律體系的重要組成部分，國家安全保護是其出臺的出發點之一，數據安全是國家安全的組成部分。可以說，二十一世紀是大規模放松管制和私有化的時代，許多國家的關鍵基礎設施（如能源、交通、金融和醫藥等領域）已交由私營部門掌握，入侵者正不斷瞄準這些關鍵基礎設施領域。同時，個人信息安全也時刻牽動著社會各界的神經，已經可用的大量信息使重新識別變得容易。數據安全主要側重于防止通過入侵或泄漏而對數據進行未經授權的訪問，而不管未經授權的一方是誰1。數據安全目前是大數據新時代的主題，在新時代進行科學有效的數據安全治理，確保數字經濟的持續健康發展是我國國民經濟和社會發展的重要任務。《數據安全法（草案）》第九條明確了國家在建立健全數據安全協同治理體系過程中，有關部門、行業組織、企業和個人等應共同參與數據安全保護工作。下文主要從政府、企業和個人三個層面進一步探析數據安全保護法律制度的完善問題，尤其側重個人數據和重要數據的安全保護。

一、數據安全的定義、分類及其保護法律制度完善的必要性

（一）數據安全定義及其分類

1.數據安全概念的界定

安全通常是指保護資產（如建筑物、設備、貨物、存貨、在某些情況下還包括人員等）不受威脅。數據安全（信息安全）通常是指“保護（數據）信息免受各種威脅以確保業務的連續性、風險最小化以及最大化投資回報和商業機會”2，以及“組織或機構維護對其運營至關重要的信息的系統、媒體和設施的過程。3”本文認為，數據安全通常指數據的機密性、可用性和完整性，即依靠各種流程和措施防止未經授權的個人或組織使用或訪問數據。數據安全需要確保數據準確可靠，并且在具有訪問權限的人員需要時確保數據可用。實踐中，“數據安全”關注如下兩個方面：一方面，信息系統，如計算機系統、網絡和軟件;另一方面，通過信息系統進行記錄、存儲、處理、共享、傳輸的數據、消息和信息4。

2.數據安全分類

（1）按數據安全級別劃分：特別數據安全和一般數據安全

特別數據安全的保護適用于重要數據和敏感數據。重要數據是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體包括“未公開的政府信息、大面積人口、基因健康、地理、礦產資源等”5。重要數據一旦泄露可能會直接影響國家安全、經濟安全、社會穩定、公共健康和安全。敏感數據是個人數據中需要特別關注的一種類型，一般是指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息6。就本文而言，敏感數據主要指：種族或民族血統、政治意見、宗教信仰或其他類似性質的信仰、身體或精神健康或狀況（或任何遺傳數據）、性取向和其他相關活動、有關司法程序的任何信息、任何個人財務數據。一般數據安全保護適用于除重要數據和敏感數據以外的普通數據。

（2）按數據安全主體劃分：政府的數據安全、企業的數據安全及個人的數據安全

實踐中，數據治理主體呈現多元性，政府、企業和個人是數據安全治理的直接參與者和主要利益相關方。政府數據安全保護涉及：管理自身政務數據、建立數據安全標準、為社會組織合法合理收集、使用數據提供規范指引及加強個人數據保護公共宣傳。企業數據保護范圍包含其經營過程中涉及的一切數據，其中個人數據和重要數據需要額外關注。個人是當今互聯網的主要用戶，盡管侵犯隱私報道連篇累牘，絕大多數用戶依然心存僥幸或選擇漠視，但是只要互聯網存在一天，個人就應加強自我防范意識，保護自身信息不被泄露和濫用。

（3）按數據生命周期的安全管理劃分：靜態的數據安全、傳輸中的數據安全、正在使用的數據安全

數據安全管理應貫穿整個數據生命周期，即處在靜態中的數據、傳輸中的數據和使用中的數據。靜態數據是指以任何數字形式存儲的非活動數據，靜態數據可能位于硬盤驅動器或數據庫、云存儲或其它位置，由于數據存儲的聚合性，靜態數據常常成為攻擊者的主要目標。傳輸中的數據是指數據從一存儲地向另一存儲地進行移動，此種數據也很容易受到攻擊，無論是通過專用網絡、本地設備、還是公共/不可信空間。使用中的數據保護最容易被忽略，在對使用中的數據進行保護時，除了訪問控制和用戶身份驗證，還應采用同態加密等安全技術。總之，數據保護方案必須貫穿數據生命周期中的各個環節。

（二）數據泄露事件頻發對數據安全保護法律制度的完善提出了迫切要求

現在的大型數據泄露事件，幾乎到了每天都會曝光一次的頻率。根據國際數據公司（IDC）預測，至2020年，全球四分之一的人口將受到數據泄露的影響，在這個高度連接的世界中，這些數據泄露行為對許多組織及其領導人來說都是迫在眉睫的威脅7。縱觀國際商業機器公司（IBM）發布的《2020數據泄露成本報告》8，我們可以看到，惡意攻擊、系統故障、人為錯誤這三類是導致數據泄露事件發生的根本原因，其中系統故障是導致政府等公共部門數據泄露的主要原因。我國也發生過不少大型數據泄露事件，對個人和企業造成了很大損害9。在數據的作用與地位日漸重要的今天，數據安全關乎國家安全，關乎市場組織數字化發展和未來的商業模式及競爭力，任何數據泄露事件將對市場組織的正常運營、收入和聲譽造成重大影響，同時，數據安全也關乎著個人信息隱私保護。

二、我國現行數據安全保護法律制度及其不足

數字經濟的發展離不開技術研發和法制保障，在某種意義上，法制建設和完善起著基礎性作用，因為良好的法律制度能激發市場主體的積極性、創造性。

（一）我國現行數據安全保護法律制度的現狀

1. 基礎性法律規范

事實上，我國正在不斷完善數據安全相關制度和規則，保障個人數據和重要數據安全的同時充分發揮數據的經濟價值，并不斷推動數據安全協同治理機制的形成。2016年《網絡安全法》首次提出了重要數據的概念，并在第三十七條規定了關鍵信息基礎設施運營者掌握的重要數據境內存儲及出境應進行安全評估10。《數據安全法（草案）》在第三章“數據安全制度”和第四章“數據安全保護義務”中，從國家需要建立的保護制度和重要數據的處理者應承擔的保護義務兩方面，對重要數據保護做出了規定。為降低人們在使用那些必需采集個人信息的平臺或軟件時發生信息泄露風險，《網絡安全法》第四十一條明確規定，網絡運營者收集、使用個人信息，應當遵循安全、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的方式和范圍，并經被收集者同意11。《民法典》第一千零三十四條明確了個人信息的保護范圍，其中“電子郵箱”和“行蹤信息”首次被明確納入了個人信息范疇，進一步加強了對個人信息的保護;第一千零三十五條從個人信息的處理原則和條件方面進行了規定12。《個人信息保護法》（草案）已正式全文對外發布，全文共八章七十條，在總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人處理者的義務、履行個人信息保護職責的部門、法律責任和附則等多個層面設計和建構個人信息保護的立法框架。草案整體上對個人信息提供了高標準的保護13。

隨著信息技術的高速發展，大數據正在成為一種全新的國家實力要素14。數據的安全直接關涉國家經濟和社會發展，上述數據安全法律制度為相關數字實踐提供了重要制度基礎。

2.中央和地方性法規及規章

（1）政府數據管理。政府數據包括廣義及狹義兩個層面，狹義的政府數據主要是政府所擁有和管理的數據，如氣象、教育、醫療、金融等不同領域的各種數據;廣義的政府數據則與政府部門的工作內容相聯系，涉及政府在履行職能而需要收集的外部大數據，具體包括政府及其相關機構在履職過程中形成和掌握的各類統計數據，如國內生產總值、財政及國際收支、物價指數及稅收、國土資源、人口就業、交通治安等各類數據，在此之中還涵蓋互聯網輿論數據。我國保障數據安全的工作隨著政務數據開放才逐漸重視起來，2015年，國務院發布《關于促進大數據發展行動綱要》，提出了對涉及國家利益、公共安全、商業秘密、個人隱私、軍工科研生產等數據保護，之后，各地也陸續出臺了大數據或政務數據安全方面的條例、辦法和細則等文件。2019年1月1日，天津市開始實施《天津市促進大數據發展應用條例》，此條例圍繞大數據發展應用的迫切需求和趨勢，充分發揮大數據在商用、民用、政用方面的價值和作用，構建大數據發展應用新格局，并在極大程度上保護用戶的信息和數據15。政府部門存儲的數據要比私營部門大得多，且往往重要得多，但是經常將其保存在陳舊且更易受攻擊的系統上，因此公共部門面臨的挑戰更加嚴峻，打算進行數字化轉型的政府將網絡安全視為一項重大挑戰。可以說，公共部門比任何其他部門都面臨更多的安全事件和數據泄露16。

（2）個人數據安全保護。《國家統計信息網絡管理暫行規定》《互聯網信息服務管理辦法》等法規規章從各個角度對各種個人信息進行了多維保護。同時，在一些特殊行業和領域，也制定了相關法規對個人信息加以保護，如衛生部關于印發《對艾滋病病毒病感染者和艾滋病病人管理意見的通知》、國家衛生和計劃生育委員會、國家中醫藥管理局關于印發《醫療機構病例管理規定（2013版）》等。隨著大數據和云計算技術的發展，個人信息被收集的途徑和方式越來越多，但是收集的目的、方式和類型缺乏統一和明確的法規和制度來進行管理。政府面臨著網絡數據監管的失控，個人信息泄露事件頻頻發生，非技術性因素引發的隱私泄露已嚴重影響互聯網的信任度。

3. 數據安全標準

數據安全是組織機構信息安全體系的重要環節，許多組織機構并不充分了解自身的數據安全能力，行業內急需一套評估組織機構數據安全能力的標準規范。為落實《網絡安全法》中“國家鼓勵開發網絡數據安全保護和利用技術，促進公共數據資源開放”及“國家建立和完善網絡安全標準體系”等要求，響應《大數據發展行動綱要》中“健全大數據安全保障體系，強化安全支撐;完善法規制度和標準體系，科學規范利用大數據，切實保障數據安全”的主要任務。2016年，全國信息安全標準化技術委員會（TC260，簡稱“信安標委”）成立了大數據安全標準化特別工作組（SWG-BDS），連續開展了數項數據安全標準研制項目。至2019年12月，已有四項數據安全國家標準正式發布：GB/T 35274-2017《信息安全技術 大數據服務安全能力要求》、GB/T 37932-2019《信息安全技術 數據交易服務安全要求》、GB/T 37973-2019 《信息安全技術 大數據安全管理指南》、GB/T 37988-2019《信息安全技術數據安全能力成熟度模型》。這樣的標準能夠幫助各行業、組織機構基于統一標準來評估其數據安全能力，發現數據安全能力短板，查漏補缺，最終提升互聯網行業的整體安全管理水平和產業競爭力，促進數字經濟發展。同時，2020年，國家信安標委正式立項國家標準《信息安全技術重要數據識別指南》，從公布的草案稿來看，該標準簡化了重要數據定義、明確提出了重要數據的主要分布;不再沿用行業分類的方式，而是從數據的作用、受破壞后可能帶來的影響等角度，對重要數據做分類。這對重要數據保護實施起到了指導作用。

（二）我國現行數據安全保護法律制度的不足

我國數據安全法律制度是對當今數字化世界中出現的不安定因素提出的中國方案和對策，對全球數據治理有著積極意義，也是未來指導數據安全實踐的重要法律基礎。但看具體制度本身，普遍偏原則性，缺乏實施指導性。就文章論述的主題而言，主要存在兩點不足。首先，《數據安全法（草案）》第九條規定的數據安全協同治理體系，只是對保護主體作了明確，而各主體的實施重點及如何協同都未規定。其次，《數據安全法（草案）》對重要數據比《網絡安全法》規定的更系統、明確，但是尚未明確保護的對象，具體存在如下問題：尚未細化管理制度和要求;重要數據保護權限過度“下放”;需要協同重要數據和個人數據保護;需要協同重要數據和數據分類分級。

此外，政府既是政府數據的直接管理者，也是落實國家數據安全實施的重要執行和監督主體。但是，由于缺乏法律的明確指引，現實中存在以下問題：政府數據安全管理主體分散，政府機構內部、企業，甚至第三方機構，都會因直接或間接接觸數據而影響數據安全;法律問責機制缺失，一旦發生數據泄露，對相關責任人的懲處不足以使當事人嚴肅對待;政府數據安全的投入不足，無論是資金、技術還是人才方面的投入都遠低于發達國家。此外，政府需出臺更詳細的規則或指令以指導企業數據安全保護實踐，同時還應加強個人數據隱私侵犯的執法活動等。

三、我國數據安全保護法律制度的完善建議

鑒于上文分析的數據安全保護法律制度存在著諸多不足，本文提出如下相關的完善建議。

（一）盡快制定通過我國的《數據安全法》

2020年7月3日，全國人大常委會第二十次會議審議了《數據安全法（草案）》并公開征求意見，本法作為數據安全領域的專門法律，體現了國家立法層面對數據安全的高度重視，也為實踐中各數據保護主體具體實施數據保護指明了努力方向。《數據安全法（草案）》公布后受到了學界、實務界等領域的學者與專家的廣泛關注和探討，并提出了許多建設性的完善建議，相關立法部門應盡快匯總、綜合并提煉社會各界的有益意見、建議，爭取早日通過并頒布《數據安全法》，為我國的數據經濟的安全發展保駕護航，為保護有關當事人合法權益提供立法依據。

（二）在全球數字治理背景下構建和完善數據安全制度

隨著信息技術發展日新月異，數字經濟蓬勃發展，極大影響著人類的生產生活，對各國經濟發展、全球治理體系、甚至人類文明都有著深遠影響。數據已代替了傳統的商品、貨幣成為了21世紀跨境流通最主要的要素。在全球分工合作日益密切背景下，保護數據安全與促進數字經濟發展同樣重要。數據安全法律制度的構建和完善應放眼全球，分析全球數字治理發展現狀和趨勢，將中國數據安全治理方案融入到全球數字治理體系中去。中國近期提出的《全球數據安全倡議》便是對全球數字治理的最新實踐，《數據安全法》的最終稿形成和出臺也應響應這一時代主題。

（三）避免過度原則性規定，注重法律的實施指導意義

縱觀數據安全法律制度，尚存在待改善之處，其中最重要的一點是增強法律的實施指導性，避免抽象化和原則化。《數據安全法（草案）》中規定的由政府、企業、個人等構成的數據安全協同治理體系應明確相關原則及各自的側重點，如政府層面應著力于頂層設計、加強數據安全執法等;企業應致力于完善內部數據安全合規管理機制;個人應加強對數據安全和數據隱私本身的識別和認識，并熟悉個人數據（隱私）保護相關法律法規。具體應從以下幾個層面進行完善。

1. 完善政府數據保障體系

第一，確保數據安全。首先，政府部門必須審查其數據以確定敏感程度;其次，加強內部人員管理并進行數據安全培訓。此外，應充分利用大數據和成熟的分析技術檢測行為異常的員工，以應對政府部門的內部威脅。總之，網絡威脅的不斷演化需要政府協同企業和安全服務提供商以共享有關漏洞、威脅和補救措施的信息。第二，保持警惕，充分認識威脅。這意味著需要了解哪些數據是入侵者最想要的，哪些網絡犯罪分子對這些數據最感興趣以及網絡入侵者最有可能用于滲透系統的黑客。第三、加強復原力構建。復原力指政府機構抵御網絡攻擊的能力，即能夠抵御破壞并動用各種資源以最大程度減少其影響的能力。有復原能力的機構通常會以最小化訪問權限，對數據進行加密和匿名化處理以限制其可用性，同時會持續掃描是否存在漏洞，以便在發生入侵事件時僅泄露少量信息。對政府公共機構而言，復原力關乎公眾信任重建。總之，政府數據管理應采用柔性技術和管理制度并行，使之成為推動政府職能轉變、提升國家治理效能的重要催化劑17。

2. 指導企業構建數據安全體系

首先，政府應以確立“監督、促進和協作”為指導準則;其次，政府應加強企業“合理”或“適當”等法律安全合規性要求的指導，無需告知公司必需采取哪些特定的安全措施，但是應指導企業建立相應流程，該流程旨在識別和評估風險，執行針對這些風險的適當安全措施并確保其實施有效且持續更新。總之，安全是一個過程，有關安全的法律義務應側重于在特定情況下可以達到預期安全目標的合理方法。

3. 加強數據安全執法

為保護公民個人信息，近期我國正開展全國網絡安全執法大檢查，展開對大數據安全的整治工作，加大對違法違規APP的清理整治力度。這在一定程度上嚴懲了許多不法網絡平臺/APP經營者，用行動證明了國家對個人信息保護的重視。但對數據安全的執法應有重點、有區分，重點稽查、懲治涉及人民生命健康、財產安全的網絡平臺/APP，對于其它一般行業實施企業自律和行業監督雙軌制。

（四）明確企業數據安全保護責任，提升個人數據安全保護意識

1. 企業應制定系統的數據安全管理制度以履行安全保護責任

企業應明確其數據安全保護責任并采取有效措施來切實履行，而系統的數據安全管理制度是重要的有效措施。該措施應該至少包含以下五個方面：第一，建立企業數據安全責任制;第二，制定網絡服務政策;第三，制定系統安全策略;第四，建立安全事件應對機制。一旦發生安全事件，應在第一時間采取適當的措施應對，包括對事件的評估和報告，以及如何解決導致該事件的源頭以及如何防止該問題再次發生，并及時將損失等降低到最小程度;第五，制定內部數據許可使用政策。公司應制定相應規則明確許可使用政策的定義和范圍，并讓相關員工在相應政策文件上進行簽署，以便后續發生不當使用可以采取紀律處分等。企業一旦實施了統一的數據安全政策，那么在該政策生效實施后，應至少每年對其進行兩次審查，進行風險合規評估，風險評估包括確定風險、評估風險的發生概率及潛在影響、采取措施糾正嚴重風險、然后評估這些步驟的有效性。

2. 自然人個人應提升數據安全保護意識

自然人個人信息泄露渠道越來越多，但就個人而言，首先要重視個人信息保護，避免在不經意間向他人或外界透露自己的信息。時刻提高警惕，不斷加強個人信息保護意識，增強辨識能力。一方面應深刻認識到信息泄露對自己可能帶來的嚴重威脅和損失，牢固樹立對自身信息保護的主動防范意識，切實做到防患于未然，不給不法分子留下侵權或犯罪的機會;如個人通話記錄、行走軌跡、網上瀏覽記錄、購物記錄、社交網站記錄等信息，不法分子可能會通過大數據分析推算出個人的性別、年齡、職業、愛好、社交等隱私信息。另一方面應建立保護隱私和個人數據維權意識并采取積極有效的數據保護防范措施。法律是對個人信息保護最直接的手段。遭遇信息泄露的個人有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止;個人還可向公安部門、互聯網管理部門、工商部門、消協、行業管理部門和相關機構進行投訴舉報;個人還可依據《民法典》《消費者權益保護法》等，通過法律手段進一步維護自己的合法權益，如要求侵權人賠禮道歉、消除影響、恢復名譽、賠償損失等。

結? 語

互聯網是一個旨在共享信息而非保護信息的平臺，這種連通性推動了公共和私營部門的創新和效能。互聯網有著自身運轉的機制和風險，在過去幾十年中，我們通過互聯網連接了經濟和社會，一定程度上改變了人們的生活方式和學習模式等，為人們帶來了諸多便利。同時，互聯網也為網絡犯罪分子提供了商機，早期的黑客行為主要是為了尋求刺激和娛樂，但是，慢慢地出現了牟利動機，甚至吸引了有組織、有預謀且成集團化的全球犯罪組織。現在很多國家將網絡空間歸類為新疆域，與海陸空同樣重要，有可能成為新的戰場。信息系統是該疆域最為重要的運轉基礎，而其最核心的資產是數據，因為數據構成了互聯網運行的基本要素，是信息系統發揮功能的命脈。因此，數據安全的保障是網絡安全的核心議題，特別是關乎組織數字化發展和未來的商業模式及競爭力，任何數據泄露事件將對組織的正常運營、收入和聲譽造成重大影響。安全是大數據發展的重大挑戰，數據需要流動、共享、運用以發揮其應有的價值，但也要保護好國家機密、商業秘密和個人隱私。在技術層面上，區塊鏈技術可以較好地解決數據安全問題，通過加密、溯源，可以追溯數據泄露者，讓人不敢輕易違法。上述諸目標的實現需要相應的法律制度的保障，為此，我國應盡快構建和完善以《數據安全法》為基礎的數據安全保護法律體系。

參考文獻：

[1] DILLON PHILLIPS，Data Privacy vs. Data Security： What is the Core Difference？[J]. DATA SECURITY，JULY 7， 2020.

[2] ISO/IEC 27002：2005， Information Technology-Security Techniques-Code of Practice for Information Security Management （June. 2005）.

[3] 何淵.數據法學[M].北京：北京大學出版社，2020：7.

[4] Maddie Davis， Damaging After-Effects of a Data Breach[J].July 25， 2019.

[5] Cost of a Data Breach Report，IBM Security，2020. https：//www.ibm.com/security/digital-assets/cost-data-breach-report/Cost%20of%20a%20Data%20Breach%20Report%202020.pdf.

[6] 胡健.基于大數據的國家實力：內涵及其評估[J].中國社會科學.2018（8）：185.

[7] “2015 Data breach investigations report” Verizon， 2015. http：//higherlogicdownload.s3.amazonaws.com/GOVERNANCEPROFESSIONALS/a8892c7c-6297-4149-b9fc-3785 77d0b150/UploadedImages/Landing%20Page%20Documents/ DBIR%20Executive%20Summary%20vv%204-10-15.pdf.

[8] 第45次《中國互聯網絡發展狀況統計報告》[R].中國互聯網絡信息中心，2020（4）.

[9] 中國網民個人隱私狀況調查報告[R].騰訊新聞、企業智庫研究出品，2018（8）.

[10] SANS Institute， “CIS critical security controls： Guidelines，” https：//www.sans.org/critical-security-controls/guidelines.

[11] Ed Powers and Mary Galligan， “The pursuit of cybersecurity，” Risk and Compliance Journal， July 27， 2015.

[12] 謝軍.為政務數據“上鎖――織密數據安全防護網[N].人民日報，2020-8-12（1）.

[13] Risks， Harms and Benefits Assessment Tool， Global Pulse. https：//unglobalpulse.org/wp-content/uploads/2019/02/risk-harms-and-benefits-assessment-tool.pdf.

[14] 魯傳穎.網絡空間安全困境及治理機制構建[J].現代國際關系，2018（11）：51.

[15] 董青嶺.大數據安全態勢感知與沖突預測[J].中國社會科學，2018（6）.

[16] Tal Z. Zarsky， Incompatible： The GDPR in the Age of Big Data[J]， SETON HALL LAW REVIEW， Vol. 47：995，2017.

The Improvement of China's Legal System of Data Security Protection

Ma Zhongfa， Hu Ling

（Law School， Fudan University， Shanghai 200433， China）

Abstract： Article 9 of the "Data Security Law of the People's Republic of China （Draft）" clarifies the importance of country， enterprises and individuals participating in the construction of a data security collaborative governance system. In this regard， after defining the meaning of the data security concept and classifying it， we should realize that the security of important and sensitive data should be more valued than general data security. Furthermore， in response to the phenomenon of frequent data breaches that has caused widespread concern about data security， the current data legal protection system and its shortcomings are analyzed. Finally， combined with the diversity of data governance subjects， and in view of the deficiencies of the existing legal system， the following suggestions are made in terms of implementing and improving data security protection： at the macro level， the government should improve the data protection system， improve data security standards， and guide companies to build data security systems; at the micro level， companies should clarify their responsibilities and formulate a systematic data security management system; individuals should establish an awareness of active prevention of personal information protection， establish awareness of infringement of privacy and personal data rights protection， and adopt data protection preventive measures.

Key words： data security; legal protection system; perfecting countermeasure