完善數據安全立法的思考

賈寶國

當前，數據已成為國家基礎性戰略資源。為有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全與發展利益，維護公民、組織的合法權益，迫切需要加強數據安全立法，構建更加完備、成體系的數據安全法律制度。

一、當前我國的數據安全法律體系

2020年7月初，《數據安全法（草案）》（簡稱草案）向社會公開征求意見，該法自2018年列入全國人大常委會立法規劃以來，引起了業界、學界的高度關注。從目前公布的草案來看，共七章五十一條，包括總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任以及附則。在數據安全法律體系中，該法是“承上啟下”的一部立法。

（一）現有立法規定

整體來看，我國現有關于數據安全管理的立法內容還比較分散，沒有形成體系化的制度設計，這體現了國家制定數據安全法的必要性。草案之前，現有法律法規中也有關于數據安全管理的相關規定。

1.法律層面：《網絡安全法》第76條關于網絡安全的定義中包含“保障網絡數據的完整性、保密性、可用性的能力”的表述，該法規定的風險監測和預警機制、網絡安全事件應急處置機制等也相應地適用于網絡數據的管理；第37條規定了關鍵信息基礎設施的運營者在中華人民共和國境內收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。此外，《國際刑事司法協助法》從維護國家主權、安全和社會公共利益的角度出發，規定“非經中華人民共和國主管機關同意，外國機構、組織和個人不得在中華人民共和國境內進行本法規定的刑事訴訟活動，中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助”。

2.行政法規層面：涉及國家安全、公共利益的重要行業領域的立法，如《征信業管理條例》《地圖管理條例》等規定了在我國境內采集的數據的整理、保存和加工應當在境內進行、存放數據的服務器應當設在境內。

3.地方法規層面：如《天津市數據安全管理辦法（暫行）》《貴州省大數據安全保障條例》《深圳經濟特區數據條例（征求意見稿）》等地方性法規規章圍繞數據安全保障、跨境數據流動、數據開放和數據交易等問題進行了相關的制度設計。

（二）未來立法補充

在數據安全法的起草說明中，其定位是“數據安全領域的基礎性法律”。由此決定了該法的條文表述必然包含很多原則性、宣示性的規定，因此，需進一步出臺與之相配套的實施細則使相關制度能夠落實，包括出臺規章、規范性文件，制定規劃、標準等。

二、對草案的總體認識

（一）亮點解讀

1.體現了安全與發展并重。對于監管部門來說，在對新技術新應用缺乏足夠認知的情況下，為避免影響數字技術創新、數據價值釋放，應堅持安全與發展并重。草案專門設置“數據安全與發展”章節，明確了“以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展”。

2.內容全面且回應熱點。草案嘗試對數據安全進行全方位的規定，包括標準、規劃、認證、檢測評估、教育培訓、監測預警、應急處置、安全審查和出口管制等制度設計。同時，對當前熱點問題給予了一定回應，如針對美國《澄清域外合法使用數據法》（Cloud法）、歐盟《通用數據保護條例》（GDPR）等國外立法中規定的長臂管轄，草案規定了境外執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供；再如針對任何國家和地區在與數據和數據開發利用技術等有關的投資、貿易方面對我國采取歧視性的禁止、限制措施的，草案明確提出中華人民共和國可以根據實際情況對該國家或者地區采取相應的措施。

3.區分與《個人信息保護法》的關系?！稊祿踩ā放c《個人信息保護法》同時列入全國人大常委會立法規劃，可見兩部立法具有不同的價值著眼點。前者是國家總體安全觀的重要組成部分，圍繞應對數據這一非傳統領域的國家安全風險與挑戰進行相關的制度設計，以切實維護國家主權、安全和發展利益；而后者則側重于保障公民的個人權益。兩部立法的定位不同，要將兩者進行清晰劃分需要一定的立法技術。目前草案中已沒有規定個人信息保護的具體條款，僅在附則部分原則性規定了開展涉及個人信息的數據活動，應當遵守有關法律、行政法規的規定。

（二）意見建議

公開征求意見后，筆者圍繞草案思考如下：

1.結構體例編排方面。一是條文比例分布的問題。草案稿共51條，除法律責任、附則以及關于發展的條款、相對特殊的政務數據內容，聚焦安全的核心條款僅十幾條。為此，建議適度增加安全條款，細化某些具體制度。二是條文精簡歸并的問題。如促進數據發展的內容不僅包含在總則以及數據安全與發展專門章節中，在數據安全保護義務一章中也有規定②。因此，建議將類似的條文進行整合。三是政務數據單獨成章的問題。草案目前的規定表明立法者已認識到通過立法保障政府數據開放的重要性，但是否在本法中進行單獨規定值得商榷。首先，數據開放本質上是釋放數據價值，屬于發展的問題。但在總則以及數據安全與發展章節中均沒有提及開放的問題，分級分類制度也未區分政務數據、企業數據或個人數據，單獨將某一類數據獨立成章略顯突兀。其次，與開放同等重要的數據交易，在數據安全與發展章節中進行了規定③，但之后并沒有設置專門章節規定數據交易安全。再次，借鑒國外經驗，未來我國可能制定單獨的政務數據開放法規。為此，建議政務數據不單獨成章。

2.具體制度設計方面。一是相關概念的界定問題?！皵祿薄皵祿踩薄皵祿顒印比齻€核心概念的范圍和邊界過于寬泛，可能影響整部法律的實操性。二是重要數據的認定和保護問題。聚焦重要數據的保護，以重要數據為抓手來構建國家數據安全保護制度可能是較為現實的選擇。為此，應進一步細化重要數據的認定，并健全完善相應的保護要求和措施。三是制度的銜接、可操作性問題。數據安全法雖是基礎性立法，但對于重要的安全制度，如國家數據安全審查制度、跨境數據流動的管理等應進行更為體系化的規定。四是法律責任補充完善的問題。當前關于法律責任的規定，存在規定了義務但未規定處罰措施，以及違法成本偏低、難以起到有效震懾作用等問題。

三、數據安全相關制度的思考

（一）重要數據的界定

重要數據界定的范圍直接影響數據安全法所設定的義務，如重要數據的處理者應當設立數據安全負責人和管理機構，重要數據處理者應當按照規定對其數據活動定期開展風險評估。對于重要數據的界定程序，草案規定各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要數據保護目錄。對于該制度設計，筆者認為，重要數據的界定屬于中央事權，是否下放給各地區應慎重考慮，或可將重要數據的認定主體限定為國家層面的各行業主管部門。重要數據由各地自行界定，可能引發一系列問題。如不當擴大或縮小重要數據的范圍、各地要求不同導致企業合規負擔加重以及數據跨地區流動和處理引發法律規避等。

借鑒國外經驗，筆者建議：一是明確統籌負責機構。二是各行業主管部門提交受控非密信息的類別和子類別建議。三是統籌負責機構與行業主管部門溝通后，批準并發布重要數據類別和子類別，以實現各部門間的統一適用。四是統籌負責機構持續負責信息的標記、保護和控制等工作。

（二）跨境數據流動

隨著數據價值的凸顯、數字經濟的發展，數據跨境流動日益成為當前主要國家（地區）地緣政治經濟博弈的焦點。草案總則部分提出國家保障數據依法有序自由流動，國家積極開展數據領域國際交流與合作，促進數據跨境安全、自由流動。但對于跨境數據流動的安全管理，除規定屬于管制物項的數據依法實施出口管制外，沒有更為系統的制度設計。

按照目前草案相關條款的規定，跨境數據流動可能的管理路徑是：屬于管制物項的數據，禁止出境；非管制物項的數據出境，如果出境影響或者可能影響國家安全的，要進行國家安全審查。該制度設計，并沒有按照數據安全法提出的數據分級分類保護原則進行更詳細的區分，且與《網絡安全法》規定的安全評估制度存在交叉。

跨境數據流動是數據安全管理的重要環節，建議在立法中設置專門條款進行更為明確具體的規定，同時妥善處理與《網絡安全法》之間的關系，避免立法資源浪費、監管重復等問題出現。

（三）數據安全事件通知制度

草案規定了開展數據活動，發生數據安全事件時，應當按照規定及時告知用戶并向有關主管部門報告。該制度并非數據安全法首創，《網絡安全法》第42條也有類似的規定。但自2017年實施以來，《網絡安全法》規定的有關主管部門的具體指向、需報告的具體內容以及報告的時限要求等均未明確，這直接導致《網絡安全法》規定的通知制度在實踐中未能有效執行。與《網絡安全法》第42條相比，草案擴大了義務主體范圍及觸發通知程序的范圍，前者由網絡運營者變為所有數據處理者，后者由個人信息泄露、毀損、丟失的情況變為數據安全事件。若不對目前的條文進行細化規定，恐將也難以落地執行。

基于上述考慮，筆者建議進一步限定數據安全法所指數據安全事件的范圍，在數據分級分類的基礎上縮小通知義務的履行主體。同時，明確相關的要素，包括通知對象（明確應通知行業主管部門或者統一確定的機構）、通知內容（如泄露數據的類型和數量、可能造成的后果、采取的補救措施等）、通知時限（如歐盟GDPR規定企業在72小時內進行通報）等。若本法的定位導致無法作出詳細的規定，那么在未來的配套規章、規范性文件中也應進行明確。

注釋：

①《數據安全法（草案）》第33條、第24條。

②《數據安全法（草案）》第8條規定：開展數據活動，必須遵守法律、行政法規，尊重社會公德和倫理……；第26條規定：開展數據活動以及研究開發數據新技術，應當有利于促進經濟社會發展，增進人民福祉，符合社會公德和倫理。

③《數據安全法（草案）》第17條規定：國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。

④《數據安全法（草案）》第25條、第28條。

⑤《數據安全法（草案）》第5條、第10條。

⑥根據《網絡安全法》第37條，當關鍵信息基礎設施運營者的重要數據出境時，國家安全審查與安全評估是同時適用還是選擇適用不明確。

⑦《網絡安全法》第42條規定：網絡運營者在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。