數(shù)據(jù)安全與利用雙翼驅(qū)動

本文作者彭誠信

隨著信息技術(shù)的發(fā)展，全球數(shù)據(jù)量正迅猛增長，數(shù)據(jù)的價值被不斷挖掘。黨的十九屆四中全會決定將數(shù)據(jù)作為新的生產(chǎn)要素。2020年4月和5月，中共中央、國務(wù)院先后發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》《關(guān)于新時代加快完善社會主義市場經(jīng)濟體制的意見》等，提出加快數(shù)據(jù)要素市場培育，加強數(shù)據(jù)資源整合和安全保護?！稊?shù)據(jù)安全法（草案）》在此背景下應(yīng)運而生。

《數(shù)據(jù)安全法（草案）》立法背景

近年來，全球數(shù)據(jù)泄露問題層出不窮，如美國萬豪酒店集團近兩年連續(xù)發(fā)生數(shù)據(jù)泄露問題，超過5億用戶數(shù)據(jù)被泄露;美國劍橋分析事件中，由于Facebook疏于對第三方的管理，造成數(shù)據(jù)被用于該國政治選舉，不得已以50億美元的罰款與監(jiān)管機構(gòu)達成和解……數(shù)據(jù)安全問題已經(jīng)不僅是企業(yè)合規(guī)的重要內(nèi)容，還關(guān)系到國家、社會、公民合法權(quán)益的保護。

此外，當前世界各國就國家數(shù)據(jù)主權(quán)爭奪進入白熱化階段，網(wǎng)絡(luò)空間立法尤其是數(shù)據(jù)安全治理成為各國的優(yōu)先目標。2020年3月，歐盟公布了《歐洲數(shù)據(jù)戰(zhàn)略》，旨在構(gòu)建統(tǒng)一的數(shù)據(jù)獲取和利用規(guī)則，以進一步推動歐洲統(tǒng)一數(shù)字市場的實現(xiàn)。美國在2018年3月通過《澄清域外合法使用數(shù)據(jù)法》（Cloud Act），該法賦予了執(zhí)法部門依據(jù)搜查令直接調(diào)取境外數(shù)據(jù)的權(quán)利。2019年11月，歐洲數(shù)據(jù)保護委員會（EDPB）對《統(tǒng)一數(shù)據(jù)保護條例》（GDPR）第3條進行統(tǒng)一解釋，并發(fā)布了GDPR地域適用的指南，也明確了GDPR具有域外效力。由此，國外政府開始以數(shù)據(jù)保護與安全為由，打壓其域外國家技術(shù)與App應(yīng)用，如美國禁止抖音海外版下載使用，英國禁止華為參與5G建設(shè)，德國也正在重新評估支付寶與微信支付的安全性。

2020年7月，我國對外公布了《數(shù)據(jù)安全法（草案）》（以下簡稱“《草案》”）的征求意見稿，其在法律位階上與《網(wǎng)絡(luò)安全法》《國家安全法》相一致。那么，該法作為數(shù)據(jù)安全領(lǐng)域的基本法律有何特殊性？其能否實現(xiàn)提升國家數(shù)據(jù)安全保障能力，發(fā)揮數(shù)據(jù)要素基礎(chǔ)作用，以促進我國數(shù)字經(jīng)濟發(fā)展的立法目的呢？

數(shù)據(jù)安全治理體系初步形成

縱觀《草案》條文內(nèi)容，數(shù)據(jù)安全構(gòu)成了規(guī)范的核心內(nèi)容，不論是數(shù)據(jù)安全制度的初步勾勒，還是對于數(shù)據(jù)活動中安全保護義務(wù)的明晰，均表明我國數(shù)據(jù)安全治理體系已初步形成。

為有效應(yīng)對境內(nèi)外數(shù)據(jù)安全風險，《草案》重點創(chuàng)設(shè)了以下制度：一是建立數(shù)據(jù)分類分級制度，確定重要數(shù)據(jù)保護目錄;二是建立數(shù)據(jù)安全風險評估、報告、信息共享、檢測預(yù)警制度;三是建立數(shù)據(jù)安全應(yīng)急處理制度，有效應(yīng)對和處置數(shù)據(jù)安全事件;四是確立數(shù)據(jù)安全審查和出口管制制度;五是確立外國歧視性行為的反制措施。

上述制度構(gòu)建了我國數(shù)據(jù)安全治理的基本體系框架：即數(shù)據(jù)分級分類是數(shù)據(jù)安全保護的前提基礎(chǔ)，通過安全風險評估與應(yīng)急處理制度增強了我國應(yīng)對數(shù)據(jù)風險的靈活性。對于數(shù)據(jù)跨境流通監(jiān)管則可以通過數(shù)據(jù)出口管制，對影響或者可能影響國家安全的數(shù)據(jù)跨境流動進行一定的限制。最為重要的是，針對國外涉數(shù)據(jù)投資、貿(mào)易方面，外國若對我國采取歧視性行動，我國可以根據(jù)實際情況采取相應(yīng)的反制措施。比如，近期就國外政府以數(shù)據(jù)安全為由限制我國企業(yè)投資，包括下架抖音海外版App，我國相應(yīng)的反制措施就具有了法律依據(jù)。

此外，數(shù)據(jù)活動中的安全保護義務(wù)成為《草案》另一規(guī)范的重點。當前數(shù)據(jù)活動中，存在大量的過度收集個人數(shù)據(jù)的問題，如我國人臉識別第一案“郭某訴杭州野生動物園”案就引發(fā)了人們對人臉識別技術(shù)應(yīng)用的法律邊界思考。為保護數(shù)據(jù)活動中的主體利益，《草案》首次就數(shù)據(jù)活動進行了界定，包括了數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。這一界定意義深遠，就將來數(shù)據(jù)法律規(guī)范調(diào)整對象數(shù)據(jù)活動進行了明確，其基本原則包括不得違法收集、使用數(shù)據(jù)，不得危害國家安全、公共利益，不得損害公民、組織的合法權(quán)益。

應(yīng)特別注意的是，《草案》雖然并沒有采用“數(shù)據(jù)主權(quán)”或“數(shù)據(jù)本地化”的表述，但并不意味著《草案》沒有域外效力?！恫莅浮穼τ诰惩獾慕M織、個人開展數(shù)據(jù)活動，如果損害我國國家安全、公共利益或者公民、組織合法權(quán)益的，可以追究其法律責任。在應(yīng)對美國長臂管轄與歐盟GDPR域外效力中，當境外執(zhí)法機構(gòu)要求調(diào)取境內(nèi)數(shù)據(jù)時，我國相關(guān)方應(yīng)向主管機關(guān)報告并獲批。至此，對抗域外國家的長臂管轄也具有了法律依據(jù)。

《草案》為將來數(shù)據(jù)流通與利用規(guī)則的構(gòu)建預(yù)留了充分的想象空間（圖/視覺中國）

數(shù)據(jù)流通與利用規(guī)范成為亮點

《草案》作為數(shù)據(jù)法領(lǐng)域第一部專門立法，除了對于數(shù)據(jù)法律中核心的安全問題進行了規(guī)定，其最大的亮點還在于，為將來數(shù)據(jù)流通與利用規(guī)則的構(gòu)建預(yù)留了充分的想象空間，奠定了將來數(shù)據(jù)流通與利用的基礎(chǔ)。

國家在戰(zhàn)略層面提出將數(shù)據(jù)作為第五種新型生產(chǎn)要素，要求培育和健全數(shù)據(jù)要素市場，提升數(shù)據(jù)治理能力現(xiàn)代化。遺憾的是，我國以往所涉及數(shù)據(jù)的法律規(guī)范，如《網(wǎng)絡(luò)安全法》《民法典》等均未將數(shù)據(jù)作為基礎(chǔ)要素資源，相關(guān)的數(shù)據(jù)流通與利用的規(guī)范存在明顯供給不足的問題。而國外相關(guān)的數(shù)據(jù)流通共享規(guī)范或規(guī)則已逐步完善，如歐盟2017年制定《非個人數(shù)據(jù)自由流通條例》、2019年出臺《開放數(shù)據(jù)指令》，英國2019年制定《數(shù)據(jù)共享行為守則》等?！恫莅浮分嘘P(guān)于數(shù)據(jù)流通利用的條款，一定程度上彌補了我國在這一領(lǐng)域規(guī)范不足的問題，也為將來數(shù)據(jù)流通具體規(guī)則的制定提供了依據(jù)。

第一，數(shù)據(jù)流通實現(xiàn)數(shù)據(jù)要素化?！恫莅浮饭膭顢?shù)據(jù)依法合理有效利用，保障數(shù)據(jù)有序自由流通，促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展。在法律層面首次將數(shù)據(jù)作為數(shù)據(jù)經(jīng)濟的關(guān)鍵要素，明確了促進數(shù)據(jù)自由流通的方向，為將來數(shù)據(jù)流通法律規(guī)范的制定描繪了前景。當前數(shù)據(jù)要素市場中，買賣雙方之間幾乎沒有什么透明度、信息嚴重不對稱，導致“劣幣驅(qū)逐良幣”，如何保障數(shù)據(jù)流通交易中的主體利益將成為未來立法考慮的重點?！恫莅浮分鲝埻ㄟ^數(shù)據(jù)流通實現(xiàn)數(shù)據(jù)要素化，為后續(xù)一系列的地方數(shù)據(jù)立法如《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》等提供規(guī)范價值的指引。

第二，健全數(shù)據(jù)交易管理制度。《草案》另一大亮點在于，主張由國家建立健全數(shù)據(jù)交易管理制度、規(guī)范數(shù)據(jù)交易行為、培育數(shù)據(jù)交易市場。長期以來，我國數(shù)據(jù)交易市場缺乏具體的管理制度，存在著各地“各自為戰(zhàn)”的局面，如成立了貴陽數(shù)據(jù)交易中心、上海大數(shù)據(jù)交易中心、華中數(shù)據(jù)交易所等。各地數(shù)據(jù)交易平臺的重復搭建，一定程度上造成了相關(guān)資源浪費，各地之間的數(shù)據(jù)交易呈現(xiàn)出地域化的隔閡，難以在全國范圍內(nèi)形成數(shù)據(jù)自由流通的局面。因而，《草案》這一規(guī)定旨在建立統(tǒng)一的數(shù)據(jù)交易管理制度，為形成有序、合法的數(shù)據(jù)交易秩序確立了基本方向，對于抑制黑市信息交易、促進數(shù)據(jù)產(chǎn)業(yè)發(fā)展意義重大。

第三，將數(shù)據(jù)中介服務(wù)商納入規(guī)范范疇。發(fā)展數(shù)字經(jīng)濟，促進企業(yè)數(shù)字化轉(zhuǎn)型，離不開數(shù)據(jù)中介服務(wù)商的興起?！恫莅浮肥状螌?shù)據(jù)中介服務(wù)機構(gòu)納入數(shù)據(jù)法律規(guī)范范疇，并規(guī)定其具有說明數(shù)據(jù)來源、審核交易雙方的身份等義務(wù)。數(shù)據(jù)中介服務(wù)機構(gòu)在收集、匯集、提供數(shù)據(jù)當中，存在很大的法律風險，是當前立法監(jiān)管的重點對象。當前，我國已開始重視對于數(shù)據(jù)中介服務(wù)商的立法規(guī)范，如《貴陽市數(shù)據(jù)交易服務(wù)機構(gòu)管理條例》即將出臺……將數(shù)據(jù)中介服務(wù)商納入《草案》符合完善數(shù)據(jù)要素市場的需求，是發(fā)展數(shù)字經(jīng)濟的必由之路。

數(shù)據(jù)安全法完善的幾點展望

《草案》作為我國數(shù)據(jù)法律領(lǐng)域第一部立法，具有較強的前瞻性與指引性。宏觀上，《草案》立足于數(shù)據(jù)安全，又不僅限于數(shù)據(jù)安全，而是勾勒了將來數(shù)據(jù)流通利用的基本規(guī)則，展示了數(shù)字經(jīng)濟時代，堅持數(shù)據(jù)安全與數(shù)據(jù)發(fā)展齊頭并進的價值理念。但微觀上看，《草案》具體內(nèi)容與部分條款仍存在完善的空間。

1.加強重要數(shù)據(jù)保護?！稊?shù)據(jù)安全法》規(guī)范重點在于安全問題，而安全問題的核心就是重要數(shù)據(jù)保護。但何為重要數(shù)據(jù)，《草案》并沒有明確界定，筆者認為可以考慮在《草案》定義條款進一步明確?！恫莅浮返?9條將重要數(shù)據(jù)保護目錄的確定權(quán)限下放至各地區(qū)、各部門，也未對地區(qū)、部門進行任何限縮。事實上，重要數(shù)據(jù)保護目錄對數(shù)據(jù)安全的實現(xiàn)至關(guān)重要，該目錄確定權(quán)限不宜下放到各地方，應(yīng)當由國家統(tǒng)一確定?！恫莅浮返?9條對于政務(wù)數(shù)據(jù)開放目錄規(guī)定由國家制定，從安全性角度來看，重要數(shù)據(jù)的分類分級與保護才是《數(shù)據(jù)安全法》規(guī)范立法的“初心”，筆者建議進一步完善重要數(shù)據(jù)分類分級保護的內(nèi)容。

2.完善數(shù)據(jù)主權(quán)條款?！恫莅浮返?2條并未規(guī)定中國執(zhí)法機關(guān)能否調(diào)取境外數(shù)據(jù)，創(chuàng)設(shè)我國數(shù)據(jù)長臂管轄。即“境外數(shù)據(jù)”只要為中國數(shù)據(jù)控制者持有，中國政府應(yīng)當有權(quán)要求調(diào)取數(shù)據(jù)，實現(xiàn)中國的“數(shù)據(jù)長臂管轄”。針對境外執(zhí)法機構(gòu)調(diào)取我國境內(nèi)數(shù)據(jù)的情形，《草案》第33條的境外執(zhí)法機構(gòu)應(yīng)至少擴大為“境外執(zhí)法機構(gòu)、司法機關(guān)”，以應(yīng)對實踐中境外法院等司法機關(guān)要求境內(nèi)企業(yè)提供境內(nèi)數(shù)據(jù)作為證據(jù)的情形。

3.明晰主管部門機構(gòu)?！恫莅浮返?2條規(guī)定的數(shù)據(jù)安全審查制度，應(yīng)當進一步細化數(shù)據(jù)安全審查的主管機關(guān)、啟動條件、審查程序、審查內(nèi)容以及法律責任等內(nèi)容?！恫莅浮返?3條規(guī)定的數(shù)據(jù)出口管制，這一規(guī)定實質(zhì)上類似于數(shù)據(jù)出境限制和本地化的要求，但并未明確出口管制的主管機構(gòu)和管制物項數(shù)據(jù)，建議對上述條文進行進一步細化。

4.加大違法處罰力度。《草案》第六章法律責任的罰則明顯過輕，企業(yè)違法成本相較于歐美國家的企業(yè)非常低廉，無法對企業(yè)起到足夠的懲戒和威懾作用。對于違反安全義務(wù)的企業(yè)，建議大幅度提高罰款金額，將數(shù)據(jù)安全風險設(shè)計融入企業(yè)數(shù)據(jù)全生命周期管理。

《數(shù)據(jù)安全法》作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，對于后續(xù)數(shù)據(jù)立法以及地方制定數(shù)據(jù)條例具有很大的指導與借鑒意義。數(shù)據(jù)作為新型生產(chǎn)要素已經(jīng)上升為國家戰(zhàn)略，《數(shù)據(jù)安全法》在規(guī)范中融合了“安全與利用”價值，體現(xiàn)了該法的前瞻性與時代性。