完善數(shù)據(jù)安全立法的思考

賈寶國(guó)

當(dāng)前，數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源。為有效應(yīng)對(duì)數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國(guó)家安全風(fēng)險(xiǎn)與挑戰(zhàn)，切實(shí)維護(hù)國(guó)家主權(quán)、安全與發(fā)展利益，維護(hù)公民、組織的合法權(quán)益，迫切需要加強(qiáng)數(shù)據(jù)安全立法，構(gòu)建更加完備、成體系的數(shù)據(jù)安全法律制度。

一、當(dāng)前我國(guó)的數(shù)據(jù)安全法律體系

2020年7月初，《數(shù)據(jù)安全法（草案）》（簡(jiǎn)稱草案）向社會(huì)公開(kāi)征求意見(jiàn)，該法自2018年列入全國(guó)人大常委會(huì)立法規(guī)劃以來(lái)，引起了業(yè)界、學(xué)界的高度關(guān)注。從目前公布的草案來(lái)看，共七章五十一條，包括總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放、法律責(zé)任以及附則。在數(shù)據(jù)安全法律體系中，該法是“承上啟下”的一部立法。

（一）現(xiàn)有立法規(guī)定

整體來(lái)看，我國(guó)現(xiàn)有關(guān)于數(shù)據(jù)安全管理的立法內(nèi)容還比較分散，沒(méi)有形成體系化的制度設(shè)計(jì)，這體現(xiàn)了國(guó)家制定數(shù)據(jù)安全法的必要性。草案之前，現(xiàn)有法律法規(guī)中也有關(guān)于數(shù)據(jù)安全管理的相關(guān)規(guī)定。

1.法律層面：《網(wǎng)絡(luò)安全法》第76條關(guān)于網(wǎng)絡(luò)安全的定義中包含“保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力”的表述，該法規(guī)定的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警機(jī)制、網(wǎng)絡(luò)安全事件應(yīng)急處置機(jī)制等也相應(yīng)地適用于網(wǎng)絡(luò)數(shù)據(jù)的管理；第37條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。此外，《國(guó)際刑事司法協(xié)助法》從維護(hù)國(guó)家主權(quán)、安全和社會(huì)公共利益的角度出發(fā)，規(guī)定“非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)同意，外國(guó)機(jī)構(gòu)、組織和個(gè)人不得在中華人民共和國(guó)境內(nèi)進(jìn)行本法規(guī)定的刑事訴訟活動(dòng)，中華人民共和國(guó)境內(nèi)的機(jī)構(gòu)、組織和個(gè)人不得向外國(guó)提供證據(jù)材料和本法規(guī)定的協(xié)助”。

2.行政法規(guī)層面：涉及國(guó)家安全、公共利益的重要行業(yè)領(lǐng)域的立法，如《征信業(yè)管理?xiàng)l例》《地圖管理?xiàng)l例》等規(guī)定了在我國(guó)境內(nèi)采集的數(shù)據(jù)的整理、保存和加工應(yīng)當(dāng)在境內(nèi)進(jìn)行、存放數(shù)據(jù)的服務(wù)器應(yīng)當(dāng)設(shè)在境內(nèi)。

3.地方法規(guī)層面：如《天津市數(shù)據(jù)安全管理辦法（暫行）》《貴州省大數(shù)據(jù)安全保障條例》《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例（征求意見(jiàn)稿）》等地方性法規(guī)規(guī)章圍繞數(shù)據(jù)安全保障、跨境數(shù)據(jù)流動(dòng)、數(shù)據(jù)開(kāi)放和數(shù)據(jù)交易等問(wèn)題進(jìn)行了相關(guān)的制度設(shè)計(jì)。

（二）未來(lái)立法補(bǔ)充

在數(shù)據(jù)安全法的起草說(shuō)明中，其定位是“數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律”。由此決定了該法的條文表述必然包含很多原則性、宣示性的規(guī)定，因此，需進(jìn)一步出臺(tái)與之相配套的實(shí)施細(xì)則使相關(guān)制度能夠落實(shí)，包括出臺(tái)規(guī)章、規(guī)范性文件，制定規(guī)劃、標(biāo)準(zhǔn)等。

二、對(duì)草案的總體認(rèn)識(shí)

（一）亮點(diǎn)解讀

1.體現(xiàn)了安全與發(fā)展并重。對(duì)于監(jiān)管部門(mén)來(lái)說(shuō)，在對(duì)新技術(shù)新應(yīng)用缺乏足夠認(rèn)知的情況下，為避免影響數(shù)字技術(shù)創(chuàng)新、數(shù)據(jù)價(jià)值釋放，應(yīng)堅(jiān)持安全與發(fā)展并重。草案專門(mén)設(shè)置“數(shù)據(jù)安全與發(fā)展”章節(jié)，明確了“以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”。

2.內(nèi)容全面且回應(yīng)熱點(diǎn)。草案嘗試對(duì)數(shù)據(jù)安全進(jìn)行全方位的規(guī)定，包括標(biāo)準(zhǔn)、規(guī)劃、認(rèn)證、檢測(cè)評(píng)估、教育培訓(xùn)、監(jiān)測(cè)預(yù)警、應(yīng)急處置、安全審查和出口管制等制度設(shè)計(jì)。同時(shí)，對(duì)當(dāng)前熱點(diǎn)問(wèn)題給予了一定回應(yīng)，如針對(duì)美國(guó)《澄清域外合法使用數(shù)據(jù)法》（Cloud法）、歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）等國(guó)外立法中規(guī)定的長(zhǎng)臂管轄，草案規(guī)定了境外執(zhí)法機(jī)構(gòu)要求調(diào)取存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)的，有關(guān)組織、個(gè)人應(yīng)當(dāng)向有關(guān)主管機(jī)關(guān)報(bào)告，獲得批準(zhǔn)后方可提供；再如針對(duì)任何國(guó)家和地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開(kāi)發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易方面對(duì)我國(guó)采取歧視性的禁止、限制措施的，草案明確提出中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者地區(qū)采取相應(yīng)的措施。

3.區(qū)分與《個(gè)人信息保護(hù)法》的關(guān)系?！稊?shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》同時(shí)列入全國(guó)人大常委會(huì)立法規(guī)劃，可見(jiàn)兩部立法具有不同的價(jià)值著眼點(diǎn)。前者是國(guó)家總體安全觀的重要組成部分，圍繞應(yīng)對(duì)數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國(guó)家安全風(fēng)險(xiǎn)與挑戰(zhàn)進(jìn)行相關(guān)的制度設(shè)計(jì)，以切實(shí)維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益；而后者則側(cè)重于保障公民的個(gè)人權(quán)益。兩部立法的定位不同，要將兩者進(jìn)行清晰劃分需要一定的立法技術(shù)。目前草案中已沒(méi)有規(guī)定個(gè)人信息保護(hù)的具體條款，僅在附則部分原則性規(guī)定了開(kāi)展涉及個(gè)人信息的數(shù)據(jù)活動(dòng)，應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。

（二）意見(jiàn)建議

公開(kāi)征求意見(jiàn)后，筆者圍繞草案思考如下：

1.結(jié)構(gòu)體例編排方面。一是條文比例分布的問(wèn)題。草案稿共51條，除法律責(zé)任、附則以及關(guān)于發(fā)展的條款、相對(duì)特殊的政務(wù)數(shù)據(jù)內(nèi)容，聚焦安全的核心條款僅十幾條。為此，建議適度增加安全條款，細(xì)化某些具體制度。二是條文精簡(jiǎn)歸并的問(wèn)題。如促進(jìn)數(shù)據(jù)發(fā)展的內(nèi)容不僅包含在總則以及數(shù)據(jù)安全與發(fā)展專門(mén)章節(jié)中，在數(shù)據(jù)安全保護(hù)義務(wù)一章中也有規(guī)定②。因此，建議將類似的條文進(jìn)行整合。三是政務(wù)數(shù)據(jù)單獨(dú)成章的問(wèn)題。草案目前的規(guī)定表明立法者已認(rèn)識(shí)到通過(guò)立法保障政府?dāng)?shù)據(jù)開(kāi)放的重要性，但是否在本法中進(jìn)行單獨(dú)規(guī)定值得商榷。首先，數(shù)據(jù)開(kāi)放本質(zhì)上是釋放數(shù)據(jù)價(jià)值，屬于發(fā)展的問(wèn)題。但在總則以及數(shù)據(jù)安全與發(fā)展章節(jié)中均沒(méi)有提及開(kāi)放的問(wèn)題，分級(jí)分類制度也未區(qū)分政務(wù)數(shù)據(jù)、企業(yè)數(shù)據(jù)或個(gè)人數(shù)據(jù)，單獨(dú)將某一類數(shù)據(jù)獨(dú)立成章略顯突兀。其次，與開(kāi)放同等重要的數(shù)據(jù)交易，在數(shù)據(jù)安全與發(fā)展章節(jié)中進(jìn)行了規(guī)定③，但之后并沒(méi)有設(shè)置專門(mén)章節(jié)規(guī)定數(shù)據(jù)交易安全。再次，借鑒國(guó)外經(jīng)驗(yàn)，未來(lái)我國(guó)可能制定單獨(dú)的政務(wù)數(shù)據(jù)開(kāi)放法規(guī)。為此，建議政務(wù)數(shù)據(jù)不單獨(dú)成章。

2.具體制度設(shè)計(jì)方面。一是相關(guān)概念的界定問(wèn)題?！皵?shù)據(jù)”“數(shù)據(jù)安全”“數(shù)據(jù)活動(dòng)”三個(gè)核心概念的范圍和邊界過(guò)于寬泛，可能影響整部法律的實(shí)操性。二是重要數(shù)據(jù)的認(rèn)定和保護(hù)問(wèn)題。聚焦重要數(shù)據(jù)的保護(hù)，以重要數(shù)據(jù)為抓手來(lái)構(gòu)建國(guó)家數(shù)據(jù)安全保護(hù)制度可能是較為現(xiàn)實(shí)的選擇。為此，應(yīng)進(jìn)一步細(xì)化重要數(shù)據(jù)的認(rèn)定，并健全完善相應(yīng)的保護(hù)要求和措施。三是制度的銜接、可操作性問(wèn)題。數(shù)據(jù)安全法雖是基礎(chǔ)性立法，但對(duì)于重要的安全制度，如國(guó)家數(shù)據(jù)安全審查制度、跨境數(shù)據(jù)流動(dòng)的管理等應(yīng)進(jìn)行更為體系化的規(guī)定。四是法律責(zé)任補(bǔ)充完善的問(wèn)題。當(dāng)前關(guān)于法律責(zé)任的規(guī)定，存在規(guī)定了義務(wù)但未規(guī)定處罰措施，以及違法成本偏低、難以起到有效震懾作用等問(wèn)題。

三、數(shù)據(jù)安全相關(guān)制度的思考

（一）重要數(shù)據(jù)的界定

重要數(shù)據(jù)界定的范圍直接影響數(shù)據(jù)安全法所設(shè)定的義務(wù)，如重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，重要數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估。對(duì)于重要數(shù)據(jù)的界定程序，草案規(guī)定各地區(qū)、各部門(mén)應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，確定本地區(qū)、本部門(mén)、本行業(yè)重要數(shù)據(jù)保護(hù)目錄。對(duì)于該制度設(shè)計(jì)，筆者認(rèn)為，重要數(shù)據(jù)的界定屬于中央事權(quán)，是否下放給各地區(qū)應(yīng)慎重考慮，或可將重要數(shù)據(jù)的認(rèn)定主體限定為國(guó)家層面的各行業(yè)主管部門(mén)。重要數(shù)據(jù)由各地自行界定，可能引發(fā)一系列問(wèn)題。如不當(dāng)擴(kuò)大或縮小重要數(shù)據(jù)的范圍、各地要求不同導(dǎo)致企業(yè)合規(guī)負(fù)擔(dān)加重以及數(shù)據(jù)跨地區(qū)流動(dòng)和處理引發(fā)法律規(guī)避等。

借鑒國(guó)外經(jīng)驗(yàn)，筆者建議：一是明確統(tǒng)籌負(fù)責(zé)機(jī)構(gòu)。二是各行業(yè)主管部門(mén)提交受控非密信息的類別和子類別建議。三是統(tǒng)籌負(fù)責(zé)機(jī)構(gòu)與行業(yè)主管部門(mén)溝通后，批準(zhǔn)并發(fā)布重要數(shù)據(jù)類別和子類別，以實(shí)現(xiàn)各部門(mén)間的統(tǒng)一適用。四是統(tǒng)籌負(fù)責(zé)機(jī)構(gòu)持續(xù)負(fù)責(zé)信息的標(biāo)記、保護(hù)和控制等工作。

（二）跨境數(shù)據(jù)流動(dòng)

隨著數(shù)據(jù)價(jià)值的凸顯、數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)跨境流動(dòng)日益成為當(dāng)前主要國(guó)家（地區(qū)）地緣政治經(jīng)濟(jì)博弈的焦點(diǎn)。草案總則部分提出國(guó)家保障數(shù)據(jù)依法有序自由流動(dòng)，國(guó)家積極開(kāi)展數(shù)據(jù)領(lǐng)域國(guó)際交流與合作，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。但對(duì)于跨境數(shù)據(jù)流動(dòng)的安全管理，除規(guī)定屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制外，沒(méi)有更為系統(tǒng)的制度設(shè)計(jì)。

按照目前草案相關(guān)條款的規(guī)定，跨境數(shù)據(jù)流動(dòng)可能的管理路徑是：屬于管制物項(xiàng)的數(shù)據(jù)，禁止出境；非管制物項(xiàng)的數(shù)據(jù)出境，如果出境影響或者可能影響國(guó)家安全的，要進(jìn)行國(guó)家安全審查。該制度設(shè)計(jì)，并沒(méi)有按照數(shù)據(jù)安全法提出的數(shù)據(jù)分級(jí)分類保護(hù)原則進(jìn)行更詳細(xì)的區(qū)分，且與《網(wǎng)絡(luò)安全法》規(guī)定的安全評(píng)估制度存在交叉。

跨境數(shù)據(jù)流動(dòng)是數(shù)據(jù)安全管理的重要環(huán)節(jié)，建議在立法中設(shè)置專門(mén)條款進(jìn)行更為明確具體的規(guī)定，同時(shí)妥善處理與《網(wǎng)絡(luò)安全法》之間的關(guān)系，避免立法資源浪費(fèi)、監(jiān)管重復(fù)等問(wèn)題出現(xiàn)。

（三）數(shù)據(jù)安全事件通知制度

草案規(guī)定了開(kāi)展數(shù)據(jù)活動(dòng)，發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。該制度并非數(shù)據(jù)安全法首創(chuàng)，《網(wǎng)絡(luò)安全法》第42條也有類似的規(guī)定。但自2017年實(shí)施以來(lái)，《網(wǎng)絡(luò)安全法》規(guī)定的有關(guān)主管部門(mén)的具體指向、需報(bào)告的具體內(nèi)容以及報(bào)告的時(shí)限要求等均未明確，這直接導(dǎo)致《網(wǎng)絡(luò)安全法》規(guī)定的通知制度在實(shí)踐中未能有效執(zhí)行。與《網(wǎng)絡(luò)安全法》第42條相比，草案擴(kuò)大了義務(wù)主體范圍及觸發(fā)通知程序的范圍，前者由網(wǎng)絡(luò)運(yùn)營(yíng)者變?yōu)樗袛?shù)據(jù)處理者，后者由個(gè)人信息泄露、毀損、丟失的情況變?yōu)閿?shù)據(jù)安全事件。若不對(duì)目前的條文進(jìn)行細(xì)化規(guī)定，恐將也難以落地執(zhí)行。

基于上述考慮，筆者建議進(jìn)一步限定數(shù)據(jù)安全法所指數(shù)據(jù)安全事件的范圍，在數(shù)據(jù)分級(jí)分類的基礎(chǔ)上縮小通知義務(wù)的履行主體。同時(shí)，明確相關(guān)的要素，包括通知對(duì)象（明確應(yīng)通知行業(yè)主管部門(mén)或者統(tǒng)一確定的機(jī)構(gòu)）、通知內(nèi)容（如泄露數(shù)據(jù)的類型和數(shù)量、可能造成的后果、采取的補(bǔ)救措施等）、通知時(shí)限（如歐盟GDPR規(guī)定企業(yè)在72小時(shí)內(nèi)進(jìn)行通報(bào)）等。若本法的定位導(dǎo)致無(wú)法作出詳細(xì)的規(guī)定，那么在未來(lái)的配套規(guī)章、規(guī)范性文件中也應(yīng)進(jìn)行明確。

注釋：

①《數(shù)據(jù)安全法（草案）》第33條、第24條。

②《數(shù)據(jù)安全法（草案）》第8條規(guī)定：開(kāi)展數(shù)據(jù)活動(dòng)，必須遵守法律、行政法規(guī)，尊重社會(huì)公德和倫理……；第26條規(guī)定：開(kāi)展數(shù)據(jù)活動(dòng)以及研究開(kāi)發(fā)數(shù)據(jù)新技術(shù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展，增進(jìn)人民福祉，符合社會(huì)公德和倫理。

③《數(shù)據(jù)安全法（草案）》第17條規(guī)定：國(guó)家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場(chǎng)。

④《數(shù)據(jù)安全法（草案）》第25條、第28條。

⑤《數(shù)據(jù)安全法（草案）》第5條、第10條。

⑥根據(jù)《網(wǎng)絡(luò)安全法》第37條，當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的重要數(shù)據(jù)出境時(shí)，國(guó)家安全審查與安全評(píng)估是同時(shí)適用還是選擇適用不明確。

⑦《網(wǎng)絡(luò)安全法》第42條規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。