我國數據安全立法的定位與方向
——關于《數據安全法（草案）》的修改建議

韓旭至

（華東政法大學法律學院 上海 200042）

2020 年第十三屆全國人大常委會第二十次會議對《中華人民共和國數據安全法（草案）》（以下簡稱《數據安全法（草案）》）進行了審議，隨后公開發(fā)布了《數據安全法（草案）》及《關于＜中華人民共和國數據安全法（草案）>的說明》（以下簡稱《草案說明》）全文，公開征求意見。目前來看，《數據安全法（草案）》在基本定位、體例結構、基本范疇、管理模式、制度設計等方面均存在一定爭議。

一、以國家安全為基本定位

目前，《數據安全法（草案）》存在定位不清、目標過多的問題?！恫莅刚f明》指出，維護國家安全、維護公民和組織的合法權益、引領和支撐數字經濟、發(fā)展電子政務均是《數據安全法（草案）》的目標。然而，如此多元的目標恐怕難以在數據安全立法中實現。《數據安全法》雖然是我國數據領域的第一部單行立法，但難以充當數據領域的基本法角色，而應回歸到維護國家安全的基本定位。實際上《數據安全法（草案）》諸多條文均圍繞國家安全進行展開，如第一條“維護國家主權、安全和發(fā)展利益”、第四條“總體國家安全觀”、第六條“中央國家安全領導機構負責數據安全工作的決策和統(tǒng)籌協調”等。

雖然，有學者認為國家安全立法存在復合目標是由于安全的定位已“從‘單一安全’轉向‘總體安全’”[1]。但習近平同志所提出的“總體安全觀”，并不能簡單等于以國家安全立法輻射社會生活的各個領域?！稊祿踩ǎú莅福分械摹翱傮w國家安全觀”所強調的應是在數據利用、數據處理、數據流通的各個環(huán)節(jié)都關注國家安全問題，國家數據安全、企業(yè)數據安全、個人數據安全等相關領域的數據安全均應回到國家安全之中。

二、妥善處理與相關法律的關系

《數據安全法（草案）》應與既有的相關數據制度及將來的數據立法相銜接。本質上，“數據安全”和“網絡安全”應共屬“國家安全”的下位概念，因此《數據安全法（草案）》應與《網絡安全法》《網絡安全審查辦法》的相關規(guī)范形成有機聯動。以重要數據保護為例，《數據安全法（草案）》關于重要數據的規(guī)范未能能夠回應《網絡安全法》第21 條、第37 條關于重要數據的安全等級保護與境內儲存原則的規(guī)范。

此外，如前所述，《數據安全法》以國家安全為定位，《數據安全法（草案）》無法涵蓋數據權利、數據流通、個人信息保護的基本規(guī)則，這些規(guī)則均必須通過已列入立法計劃的《個人信息保護法》與相關數據立法予以明確。就個人信息保護而言，《數據安全法（草案）》第二十九條進行了相應規(guī)范。此處似乎延續(xù)了從《網絡安全法》第41 條到《民法典》第1035 條“正當、合法、必要”的個人信息原則。然而，這一原則由于過于籠統(tǒng)，已廣受批評。而《數據安全法（草案）》第二十九條還將之進行了拆分，無法有效對接相應個人信息保護規(guī)范。

就數據權利與數據流通而言，雖然《數據安全法（草案）》第十七條規(guī)定了“國家建立健全數據交易管理制度，規(guī)范數據交易行為,培育數據交易市場。”然而，必須清晰認識到，《數據安全法（草案）》并未承認數據權利，基于其定位也無法實現數據確權的任務。雖然《數據安全法（草案）》第三十條嘗試首次在法律層面規(guī)定“數據交易”與“數據交易中介服務”，但是相關交易也可以表現為數據服務合同關系，并不能直接等于承認背后的數據權利。同時，《數據安全法（草案）》第三十條對數據交易中介服務的相關要求，是一項形式審查的要求，對應有第四十三條的罰則。這一規(guī)定只是數據交易合法的要件之一，不能直接等同于數據交易合法，更遠未能解決數據交易問題。相關問題應留待另行立法解決[2]。

三、厘清《數據安全法（草案）》的基本范疇

《數據安全法（草案）》第三條對該法的基本范疇進行的規(guī)范。首先，第三條第一款認為，“數據是任何以電子或者非電子形式對信息的記錄”。值得肯定的是，該款嘗試在法律意義上對數據與信息進行區(qū)分。這一定義基本上與國際標準化組織的定義相符，即承認數據與信息是形式與內容的區(qū)別[3]。然而，需要辨析的是，該款對《網絡安全法》第76 條第4 款“網絡數據”的概念進行了擴張，增加了“非電子形式”的數據類型。這既不符合對數據的一般理解，也不符合國際立法潮流，將形成疊床架屋的效果。非電子形式的數據安全問題已由《檔案法》《國家安全法》解決。事實上，《數據安全法（草案）》的絕大多數內容也只能對應電子數據。如“網信部門的管理”（第七條）、“數據開發(fā)利用”（第十四條）等規(guī)定均是建立在電子數據基礎之上的。

其次，《數據安全法（草案）》第三條第二款對數據活動進行了規(guī)定。其列舉了多種數據活動表現形式。其中，提供與交易可能存在一定的重復，“數據活動”能否等同與“數據處理”亦不清楚。域外立法中，“數據處理”的術語被大量使用，《民法典》也使用了“處理個人信息”的術語。對此，建議以數據處理為對象進行規(guī)定。

最后，《數據安全法（草案）》缺乏“重要數據”的定義。重要數據是數據安全的核心概念，《數據安全法（草案）》第十九條、第二十五條、第二十八條均涉及重要數據的規(guī)范。其中，第十九條規(guī)定了重要數據目錄制度。雖然，在這一制度下可建立重要數據的動態(tài)識別機制，但缺乏相關規(guī)范定義仍會使得重要數據邊界判斷失去基準。當前，《個人信息和重要數據出境安全評估辦法》（征求意見稿）和《數據出境安全評估指南（草案）》均將重要數據定義為，與國家安全、經濟發(fā)展，以及社會公共利益密切相關的數據?！稊祿踩ǎú莅福窇者@一定義。

四、以數據主權構建域外效力

《數據安全法（草案）》第二條在屬地管轄外確立了數據安全的保護管轄?！恫莅刚f明》指出，“草案賦予本法必要的域外適用效力”。與《網絡安全法》相比，《數據安全法（草案）》第二條刪除了《網絡安全法》第75 條之中的“造成嚴重后果”的要件，擴大了域外效力的適用范圍。但是，這一規(guī)定顯然不能等同于歐盟《通用數據保護條例》的域外效力。其并不是以屬人管轄為出發(fā)的域外效力，而是以數據主權為出發(fā)的保護性管轄規(guī)范。

《數據安全法（草案）》第三十二條與第三十三條均可展現以數據主權構建域外效力的內容。有學者建議，應對第三十二條進行修改，作為中國執(zhí)法機構調取境外數據的法律依據；同時對第三十三條進行修改，在設置動態(tài)的“適格外國政府白名單”的同時實現“長臂管轄”[4]。筆者認為，在保護國家安全的層面上，以數據主權構建域外效力實有必要，應進一步研究、完善相關條款。

五、科學配置相關管理主體

《數據安全法（草案）》第七條規(guī)定，“各地區(qū)、各部門對本地區(qū)、本部門工作中產生、匯總、加工的數據及數據安全負主體責任?！笔紫?，主體責任并非法律術語，相關政策性術語必須去除。其次，各地區(qū)、各部門分別管理，甚至分別“確定本地區(qū)、本部門、本行業(yè)重要數據保護目錄”（第十九條）不甚合理。特定部門對于較為專業(yè)的數據有更深的了解，按部門確定重要數據目錄或許具有一定的合理性，但按地區(qū)確定重要數據目錄極為不合理。各地區(qū)各自確定重要數據、各自進行數據安全管理，必然會在境內產生數據流動、數據保護差異的障礙。

歸根結底，數據安全的管理主體必須突破傳統(tǒng)的屬地原則或條塊分割原則，否則將在縱向和橫向的管轄維度上形成內在沖突。雖然第七條第四款規(guī)定，“國家網信部門依照本法和有關法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協調網絡數據安全和相關監(jiān)管工作”；然而其實際必會與該條第二款、第三款中規(guī)定的公安機關、國家安全機關、各地區(qū)各部門形成多頭監(jiān)管，最終導致難以統(tǒng)籌協調。建議突出國家網信辦的作為管理主體的地位，或新設專門的數據安全管理機構。

六、進一步細化各項具體制度

《數據安全法（草案）》中大量的原則性條款，被認為是“立法政策化的表現”[5]。例如，第二十一條“數據安全應急管理機制”的規(guī)定，并不具實質作用，卻可能引發(fā)國際負面輿論；第二十二條未經充分論證和細化規(guī)定，規(guī)定了建立“數據安全審查制度”，且相關安全審查決定為最終決定，與現代法治原則存在沖突；第二十七條關于“數據風險檢測”的補救措施、告知和報告義務的規(guī)定，實操性顯然不足。

對此，《數據安全法（草案）》的進一步完善必須將這些原則性、政策性、宣示性的條款予以具體化。例如，部分學者建議第二十一條應對相關責任主體予以明確，分階段建立數據安全應急管理機制，強調預防和準備階段、簡化響應階段、著重于恢復階段；第二十二條應對安全審查制度的具體模式、審查機關、啟動條件、審查內容、法律責任進行規(guī)定，并明確安全審查制度與數據安全責任的關系；第二十七條應增加，補救措施的具體內容，觸發(fā)數據泄露通知的條件，告知用戶和主管部門的時限、內容、形式等規(guī)定[4]。筆者贊同此類具體化條款內容的建議。