王春暉

(南京郵電大學(xué) 信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院，江蘇 南京 210023)

《數(shù)據(jù)安全法（草案）》（以下簡稱《草案》）是一部數(shù)字安全領(lǐng)域的基礎(chǔ)性法律，共七章，五十一條，分別為總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放、法律責(zé)任及附則［1］。整體上看，《草案》體現(xiàn)了總體國家安全觀的立法目標(biāo)，但尚存在需要商榷和完善的地方，以下就《草案》的完善和修改提出十項(xiàng)建議，供立法機(jī)構(gòu)參考。

1 確立國家“數(shù)據(jù)主權(quán)原則”，并圍繞構(gòu)建國家數(shù)據(jù)安全生態(tài)治理體系進(jìn)行整體布局

《草案》第一條：為了保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)公民、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益，制定本法［1］。

建議《草案》第一條增加“維護(hù)國家數(shù)據(jù)主權(quán)”和“促進(jìn)數(shù)據(jù)健康有序開發(fā)利用”的內(nèi)容，修改為：“為了維護(hù)國家數(shù)據(jù)主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法數(shù)據(jù)權(quán)益，促進(jìn)數(shù)據(jù)健康有序開發(fā)利用，制定本法”。

理由：“維護(hù)網(wǎng)絡(luò)空間主權(quán)”是我國《國家安全法》首次確立的網(wǎng)絡(luò)空間主權(quán)原則，《國家安全法》第二十五條規(guī)定，加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益?！毒W(wǎng)絡(luò)安全法》繼《國家安全法》之后再次明確這一原則，并從法律制度層面進(jìn)一步細(xì)化了“網(wǎng)絡(luò)空間主權(quán)”在法律上的適用，具有重要意義?！毒W(wǎng)絡(luò)安全法》第一條指出，為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展，制定本法［2］。外交部和國家網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》（簡稱《合作戰(zhàn)略》）向全世界宣示了我國“網(wǎng)絡(luò)空間主權(quán)”原則的主張，《合作戰(zhàn)略》指出：《聯(lián)合國憲章》確立的主權(quán)平等原則是當(dāng)代國際關(guān)系的基本準(zhǔn)則，覆蓋國與國交往各個領(lǐng)域，也應(yīng)該適用于網(wǎng)絡(luò)空間。國務(wù)院發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要的通知》也明確要求：增強(qiáng)網(wǎng)絡(luò)空間數(shù)據(jù)主權(quán)保護(hù)能力，維護(hù)國家安全，有效提升國家競爭力［3］。

數(shù)據(jù)主權(quán)屬于網(wǎng)絡(luò)空間主權(quán)的核心要素，建議參照《國家安全法》、《網(wǎng)絡(luò)安全法》以及《國務(wù)院促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》中確立的“網(wǎng)絡(luò)空間主權(quán)原則”和“數(shù)據(jù)主權(quán)”的規(guī)定，在《草案》中設(shè)立“數(shù)據(jù)主權(quán)”原則，將《草案》第一條中的“維護(hù)國家主權(quán)、安全和發(fā)展利益”，調(diào)整為“維護(hù)國家數(shù)據(jù)主權(quán)和國家安全”，在“開發(fā)利用”前增加定語“健康有序”，參照《網(wǎng)絡(luò)安全法》第一條改為：“為了維護(hù)國家數(shù)據(jù)主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法數(shù)據(jù)權(quán)益，促進(jìn)數(shù)據(jù)健康有序開發(fā)利用，制定本法”。

同時(shí)，建議對國家數(shù)據(jù)安全生態(tài)治理體系的架構(gòu)作出安排。盡管《草案》第四條明確了“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力”，但是《草案》的整體架構(gòu)沒有充分體現(xiàn)構(gòu)建國家數(shù)據(jù)安全治理體系的整體布局和路徑［4］，建議圍繞以人民安全為宗旨，以國家安全為根本，以數(shù)字經(jīng)濟(jì)安全為基礎(chǔ)，以維護(hù)國家數(shù)據(jù)主權(quán)安全為使命，整體架構(gòu)我國數(shù)據(jù)安全的生態(tài)治理體系。

2 充實(shí)和完善《草案》的域外效力與數(shù)據(jù)活動的基本原則

《草案》第二條：在中華人民共和國境內(nèi)開展數(shù)據(jù)活動，適用本法。

中華人民共和國境外的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任［5］。

建議對《草案》第二條的域外效力進(jìn)行充實(shí)和完善，并增加一款數(shù)據(jù)活動應(yīng)遵循“合法、正當(dāng)、必要、安全”的原則，具體修改為：

“在中華人民共和國境內(nèi)的個人、組織開展數(shù)據(jù)活動，無論該數(shù)據(jù)活動是否發(fā)生在中華人民共和國領(lǐng)域內(nèi)，適用本法。

任何個人、組織開展數(shù)據(jù)活動應(yīng)當(dāng)遵循合法、正當(dāng)、必要、安全原則，明示數(shù)據(jù)活動的目的、方式和范圍。

中華人民共和國境外的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任?！?/p>

理由：當(dāng)前，全球經(jīng)貿(mào)交易、技術(shù)交流、資源分享等跨國合作日益頻繁，商品流、人員流、數(shù)據(jù)流不斷涌動，數(shù)據(jù)跨境流動已不僅限于個人數(shù)據(jù)［1］。各國的數(shù)據(jù)跨境流動已經(jīng)是無法避免的事實(shí)，如果我國的《草案》只適用于“在中華人民共和國境內(nèi)開展數(shù)據(jù)活動”的地域空間，顯然是不現(xiàn)實(shí)的。

目前，各國的數(shù)據(jù)立法均涉及法律的域外效力，比如歐盟的GDPR第三條“地域適用范圍”規(guī)定：本條例適用于與數(shù)據(jù)控制者或數(shù)據(jù)處理者在歐盟領(lǐng)域內(nèi)所設(shè)機(jī)構(gòu)活動相關(guān)的個人數(shù)據(jù)處理，無論該處理行為是否發(fā)生在歐盟領(lǐng)域內(nèi)。根據(jù)GDPR的規(guī)定，任何存儲或處理歐盟國家內(nèi)有關(guān)歐盟公民個人信息的公司，即使在歐盟境內(nèi)沒有業(yè)務(wù)存在，也必須遵守GDPR。相關(guān)公司必須遵守GDPR的具體標(biāo)準(zhǔn)有：歐盟境內(nèi)擁有業(yè)務(wù)；在歐盟境內(nèi)沒有業(yè)務(wù)，但是存儲或處理歐盟公民的個人信息；超過250名員工；少于250名員工，但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權(quán)利和隱私，或是包含某些類型的敏感個人數(shù)據(jù)。這意味著，GDPR幾乎適用于全球所有的公司［6］。

（1）將第一款改為“在中華人民共和國境內(nèi)的個人或組織開展數(shù)據(jù)活動，無論該數(shù)據(jù)活動是否發(fā)生在中華人民共和國領(lǐng)域內(nèi)，適用本法?！狈蠂H通用的數(shù)據(jù)管轄原則。

（2）數(shù)據(jù)活動應(yīng)當(dāng)確立基本原則和行為規(guī)則，建議增加一款數(shù)據(jù)活動的基本原則——“合法、正當(dāng)、必要、安全”，這項(xiàng)“八字原則”在目前我國網(wǎng)絡(luò)立法通用基本原則的基礎(chǔ)上增加了“安全”；同時(shí)，建議增加數(shù)據(jù)活動的規(guī)則，尤其強(qiáng)調(diào)“明示數(shù)據(jù)活動的目的、方式和范圍”。

（3）《草案》第二條第二款“中華人民共和國境外的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或公民、組織合法權(quán)的，依法追究法律責(zé)任”。該款沒有對應(yīng)的法律責(zé)任，建議在“法律責(zé)任”一章中，為第二條第二款設(shè)定對應(yīng)的法律責(zé)任，可以參考GDPR和國外其他數(shù)據(jù)立法的法律責(zé)任和處罰幅度。

3 平衡數(shù)據(jù)安全與發(fā)展的關(guān)系

習(xí)近平總書記多次強(qiáng)調(diào)，網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)?！恫莅浮返诙碌谑l規(guī)定：“國家堅(jiān)持維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用并重，以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。該條中的“國家堅(jiān)持維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用并重”是《草案》的總綱，應(yīng)當(dāng)貫穿于這部法律的始終，建議將第十二條調(diào)整到《草案》的“總則”部分。

關(guān)于數(shù)據(jù)發(fā)展與安全的相互關(guān)系，《草案》確定為：“以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。為此，建議將數(shù)據(jù)安全與發(fā)展分別設(shè)為兩章，第二章的內(nèi)容以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展為主，名稱可以修改為“數(shù)據(jù)開發(fā)與利用”，第三章的內(nèi)容以數(shù)據(jù)安全為主，名稱保留“數(shù)據(jù)安全制度”。

理由：《草案》第二章主要規(guī)定了“國家大數(shù)據(jù)戰(zhàn)略”、“數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)”、“數(shù)據(jù)安全檢測評估與認(rèn)證”、“數(shù)據(jù)交易管理”以及“相關(guān)教育和培訓(xùn)”。從整個《草案》的各章安排中看，數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展的內(nèi)容顯得薄弱，建議按照“數(shù)據(jù)安全與發(fā)展并重”原則，將“數(shù)據(jù)開發(fā)與利用”單列一章作為第二章，并對該章的內(nèi)容進(jìn)行充實(shí)和完善。

4 突出“支持關(guān)鍵行業(yè)和領(lǐng)域數(shù)據(jù)”的創(chuàng)新應(yīng)用

《草案》第十三條：國家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

建議《草案》第十三條修改為：“國家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵和支持?jǐn)?shù)據(jù)在工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國防科技工業(yè)、金融業(yè)等關(guān)鍵行業(yè)和領(lǐng)域的創(chuàng)新應(yīng)用，鼓勵數(shù)據(jù)在其他行業(yè)和領(lǐng)域的創(chuàng)新應(yīng)用，促進(jìn)數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展?！?/p>

理由：習(xí)近平總書記在4·19講話中強(qiáng)調(diào)，金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)［7］?！恫莅浮返谑龡l的規(guī)定采用了“均衡論”的“鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用”的觀點(diǎn)，建議運(yùn)用“兩點(diǎn)論”的辯證立法方法，理清數(shù)據(jù)開發(fā)利用的主次關(guān)系，突出“支持關(guān)鍵行業(yè)和領(lǐng)域數(shù)據(jù)”的創(chuàng)新應(yīng)用。

在《草案》第十三條例舉的“關(guān)鍵領(lǐng)域和行業(yè)”前，建議使用“鼓勵和支持”兩個動詞，重點(diǎn)突出“支持關(guān)鍵行業(yè)和領(lǐng)域數(shù)據(jù)”的創(chuàng)新應(yīng)用；數(shù)據(jù)在一般領(lǐng)域和行業(yè)的創(chuàng)新應(yīng)用之前使用“鼓勵”即可。同時(shí)，《草案》第十三條“促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展”中增加“高質(zhì)量”，即“促進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展”，這樣符合中央的精神，也顯示數(shù)字經(jīng)濟(jì)的活力、創(chuàng)新力和競爭力。

5 完善“數(shù)據(jù)”的定義

《草案》第三條：本法所稱數(shù)據(jù)，是指任何以電子或非電子性質(zhì)對信息的記錄［8］。

建議“草案”第三條修改為：“數(shù)據(jù)是指通過計(jì)算機(jī)或者其他信息通信終端及相關(guān)設(shè)備組成的系統(tǒng)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)?！?/p>

理由：“記錄”主要指通過一定的手段把信息保留下來，這個表述不符合網(wǎng)絡(luò)電子數(shù)據(jù)的生成特征和規(guī)律。從數(shù)據(jù)科學(xué)的角度而言，電子數(shù)據(jù)主要有三大類型：結(jié)構(gòu)化數(shù)據(jù)，即結(jié)構(gòu)固定的數(shù)據(jù)；半結(jié)構(gòu)化數(shù)據(jù)，即結(jié)構(gòu)不固定的數(shù)據(jù)；非結(jié)構(gòu)化數(shù)據(jù)，即沒有固定結(jié)構(gòu)的數(shù)據(jù)。據(jù)IDC統(tǒng)計(jì)，在企業(yè)產(chǎn)生的全部數(shù)據(jù)中，約有80%都是非結(jié)構(gòu)化數(shù)據(jù)，且每年按160%的指數(shù)增長［1］。筆者認(rèn)為，在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)的表現(xiàn)和傳播形式主要是電子（網(wǎng)絡(luò)）數(shù)據(jù)，且工業(yè)互聯(lián)網(wǎng)產(chǎn)生的數(shù)據(jù)主要是電子類的非結(jié)構(gòu)化數(shù)據(jù)。

大數(shù)據(jù)時(shí)代的“數(shù)據(jù)”主要指網(wǎng)絡(luò)（電子）數(shù)據(jù)，其主要特征是容量大、類型多、存取速度快、應(yīng)用價(jià)值高的網(wǎng)絡(luò)數(shù)據(jù)集合［9］。我國《網(wǎng)絡(luò)安全法》第七十六條對“網(wǎng)絡(luò)數(shù)據(jù)”的定義：“網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)”。全國人民代表大會常務(wù)委員會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第一條規(guī)定，國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息［5］。

隨著工業(yè)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能的興起和蓬勃發(fā)展，電子數(shù)據(jù)量呈爆發(fā)式增長，傳統(tǒng)數(shù)據(jù)必須進(jìn)行數(shù)字化改造，否則無法適應(yīng)飛速發(fā)展的網(wǎng)絡(luò)化、數(shù)字化、智能化時(shí)代。當(dāng)前，無論是消費(fèi)互聯(lián)網(wǎng)、產(chǎn)業(yè)互聯(lián)網(wǎng)或電子政務(wù)，個人或組織的入口界面主要是通過各類移動互聯(lián)網(wǎng)應(yīng)用程序（APP）進(jìn)入，諸如地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通訊、博客論壇、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購物等，APP產(chǎn)生的海量數(shù)據(jù)均為電子數(shù)據(jù)。

因此，數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)立法，其調(diào)整和規(guī)范的數(shù)據(jù)是網(wǎng)絡(luò)電子數(shù)據(jù)，基本不涉及傳統(tǒng)的數(shù)據(jù)。如果《草案》將數(shù)據(jù)的范圍擴(kuò)大到“非電子性質(zhì)對信息的記錄”，其邊界太寬泛，與《草案》的立法宗旨不吻合，也不符合數(shù)字經(jīng)濟(jì)時(shí)代的數(shù)據(jù)特征，而且《草案》文本中本身也未涉及“非電子性質(zhì)對信息的記錄”的內(nèi)容。

6 平衡數(shù)據(jù)義務(wù)與責(zé)任之間的關(guān)系，并加大數(shù)據(jù)違法的成本

數(shù)據(jù)安全法是以確認(rèn)數(shù)據(jù)處理活動中的權(quán)利和義務(wù)，規(guī)定數(shù)據(jù)安全與發(fā)展的行為規(guī)范。建議《草案》強(qiáng)化數(shù)據(jù)安全法各類主體的權(quán)利、義務(wù)和責(zé)任的設(shè)定，完善數(shù)據(jù)安全法律義務(wù)與責(zé)任的對應(yīng)和匹配，避免存在有義務(wù)無責(zé)任的情況。同時(shí)，建議在平衡數(shù)據(jù)安全義務(wù)與權(quán)利的基礎(chǔ)上，加大數(shù)據(jù)違法的成本［10］。

理由：法律責(zé)任中的“罰則”是一部法律中最為重要的組成部分，也是這部法律最具有生命力的象征或保障。《草案》一共五十一條，第六章“法律責(zé)任”條款只有八條，真正有針對性的罰則，除了第四十二、第四十三、第四十四條對應(yīng)第二十五條、第二十七條、第二十八條、第二十九條、第三十條、第三十一條設(shè)置了罰則外，《草案》中的其他義務(wù)性規(guī)定沒有設(shè)置相應(yīng)的法律責(zé)任。另外，“法律責(zé)任”一章中的其余五條（第四十一條、第四十五至第四十八條）也基本流于空泛，建議法律責(zé)任的設(shè)定應(yīng)當(dāng)明確、具體、肯定，否則很難支撐起維護(hù)數(shù)據(jù)安全法的綜合治理體系。

總體看，《草案》法律責(zé)任中的罰則較輕，難以震懾?cái)?shù)據(jù)違法行為，必須加大數(shù)據(jù)活動的違法成本。

建議為數(shù)據(jù)處理者設(shè)定四項(xiàng)強(qiáng)制性規(guī)范并加大懲罰力度，一是任何數(shù)據(jù)處理者不得泄露或者篡改其收集、存儲的數(shù)據(jù)；二是未經(jīng)數(shù)據(jù)主體同意，不得向他人非法提供或交易其數(shù)據(jù)，但是經(jīng)過加工無法識別特定個人或組織且不能復(fù)原的數(shù)據(jù)除外；三是數(shù)據(jù)處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲的各類數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改、丟失；四是發(fā)生或者可能發(fā)生數(shù)據(jù)泄露、篡改、丟失的，應(yīng)當(dāng)立即啟動數(shù)據(jù)安全應(yīng)急響應(yīng)機(jī)制，及時(shí)采取補(bǔ)救措施，按照規(guī)定告知數(shù)據(jù)主體并向有關(guān)主管部門報(bào)告［11］。

7 增加工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全保護(hù)，并強(qiáng)化“政務(wù)數(shù)據(jù)使用者的安全責(zé)任”

《草案》將“政務(wù)數(shù)據(jù)安全與開放”單列為一章（第五章），與立法宗旨不匹配?！恫莅浮返诙l第一款明確了在“中國境內(nèi)開展數(shù)據(jù)活動，適用本法。”鑒于《草案》調(diào)整的是“數(shù)據(jù)活動”，建議將“政務(wù)數(shù)據(jù)安全與開放”一章拆分［11］，分別設(shè)置在第二章（發(fā)展）和第三章（安全）之中。同時(shí)，由于政府?dāng)?shù)據(jù)本身屬于應(yīng)當(dāng)公開的數(shù)據(jù)，建議對政務(wù)數(shù)據(jù)安全作出定級，并強(qiáng)化政務(wù)數(shù)據(jù)使用者的安全責(zé)任。

理由：“政務(wù)數(shù)據(jù)的安全與開放”不應(yīng)單獨(dú)設(shè)定為《草案》的一章，其主要理由是：進(jìn)入5G時(shí)代以及后5G時(shí)代，80%的數(shù)據(jù)將是工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，而非政務(wù)數(shù)據(jù)。工業(yè)網(wǎng)絡(luò)數(shù)據(jù)是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞［11］，尤其在新冠肺炎疫情期間得到了充分的驗(yàn)證。因此，工業(yè)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)成為數(shù)據(jù)安全法的重中之重，《草案》應(yīng)當(dāng)給予重點(diǎn)關(guān)注，并增加相關(guān)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全與發(fā)展的內(nèi)容。

政務(wù)數(shù)據(jù)的開放與安全是一把雙刃劍，數(shù)據(jù)開放必須要解決好安全問題。建議增加政務(wù)數(shù)據(jù)在采集和聚合階段設(shè)定嚴(yán)格的數(shù)據(jù)定級制度。如果定級工作不規(guī)范，數(shù)據(jù)沒有進(jìn)行合理的分類分級，則有可能導(dǎo)致涉密、隱私或關(guān)鍵數(shù)據(jù)流轉(zhuǎn)至數(shù)據(jù)平臺的公共訪問區(qū)域，從而失去對這些數(shù)據(jù)的控制，進(jìn)而導(dǎo)致泄密事件發(fā)生。尤其應(yīng)當(dāng)重點(diǎn)強(qiáng)化政務(wù)數(shù)據(jù)使用者的責(zé)任，加強(qiáng)共享數(shù)據(jù)使用全過程的合規(guī)管理，尤其要制定平臺數(shù)據(jù)安全合規(guī)管理的規(guī)定，對以下四類數(shù)據(jù)給予重點(diǎn)保護(hù)，一是涉及國家利益的數(shù)據(jù)，二是涉及公共安全的數(shù)據(jù)，三是涉及企業(yè)商業(yè)秘密的數(shù)據(jù)，四是涉及個人隱私的數(shù)據(jù)。

8 增加“數(shù)據(jù)安全審計(jì)制度”

《草案》第十九條第一款：國家根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實(shí)行分級分類保護(hù)［11］。

建議在第十九條第一款增加“數(shù)據(jù)安全審計(jì)”，具體表述為：“國家根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，實(shí)行分級分類保護(hù)，定期對數(shù)據(jù)安全進(jìn)行審計(jì)。

理由：數(shù)據(jù)安全審計(jì)是由國家授權(quán)或接受委托的專職機(jī)構(gòu)和人員，依照國家安全法、數(shù)據(jù)安全法等法律法規(guī)，運(yùn)用專門的方法，對被審計(jì)單位數(shù)據(jù)行為的安全性、合法性、合規(guī)性、可控性、可靠性、效益性進(jìn)行審查和監(jiān)督的制度。數(shù)據(jù)安全審計(jì)，是針對重要領(lǐng)域的數(shù)據(jù)進(jìn)行安全性審查和監(jiān)督的法律制度，這項(xiàng)法律制度不但重要，而且非常必要。

數(shù)據(jù)安全的審計(jì)制度，主要涉及數(shù)據(jù)審計(jì)工作的流程，通過數(shù)據(jù)的安全審計(jì)，及時(shí)記錄并保存數(shù)據(jù)分類、采集、清洗、轉(zhuǎn)換、加載、傳輸、存儲、復(fù)制、備份、恢復(fù)、查詢和銷毀等操作全過程，能及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全的隱患和漏洞。

9 增加“國家統(tǒng)一公布數(shù)據(jù)分類分級目錄”的規(guī)定

《草案》第十九條第二款：各地區(qū)、各部門應(yīng)當(dāng)按照國家有關(guān)規(guī)定，確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護(hù)目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)［12］。

建議《草案》第十九條第二款改為：“國家統(tǒng)一公布《數(shù)據(jù)分類分級目錄》，并對目錄所列數(shù)據(jù)分類分級項(xiàng)目作局部調(diào)整，重新公布。各地區(qū)、各部門按照國家公布的《數(shù)據(jù)分類分級目錄》，確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護(hù)目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)?！?/p>

理由：關(guān)于數(shù)據(jù)的分類分級，這是對數(shù)據(jù)安全管理的基礎(chǔ)，直接決定著對數(shù)據(jù)的采集、傳輸、存儲、使用、開放共享、銷毀的全生命周期管理。首先，確定“國家統(tǒng)一公布《數(shù)據(jù)分類分級目錄》，并對目錄所列數(shù)據(jù)分類分級項(xiàng)目作局部調(diào)整，重新公布”；其次，“各地區(qū)、各部門按照國家公布的《數(shù)據(jù)分類分級目錄》，確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護(hù)目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)?！?/p>

增加“國家統(tǒng)一公布《數(shù)據(jù)分類分級目錄》”的重要意義在于，數(shù)據(jù)分類分級目錄由國家統(tǒng)一制定，各地區(qū)、各部門在國家統(tǒng)一數(shù)據(jù)目錄基礎(chǔ)上，再制定本地區(qū)和本部門的重要數(shù)據(jù)保護(hù)目錄，否則將會出現(xiàn)重要數(shù)據(jù)目錄不規(guī)范和不統(tǒng)一。

10 規(guī)定“數(shù)據(jù)處理”行為，并對“數(shù)據(jù)處理”進(jìn)行定義

《草案》第二十九條：任何組織、個人收集數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。

《草案》第三十五條：國家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行。

《草案》第三十七條：國家機(jī)關(guān)委托他人存儲、加工政務(wù)數(shù)據(jù)，或者向他人提供政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序，并應(yīng)當(dāng)監(jiān)督接收方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。

在上述3個條款中，“數(shù)據(jù)”之前使用的動詞均不一致，第二十九條使用了“任何組織、個人收集數(shù)據(jù)”；第三十五條使用了“國家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)”；第三十七條使用了“國家機(jī)關(guān)委托他人存儲、加工政務(wù)數(shù)據(jù)，或者向他人提供政務(wù)數(shù)據(jù)”。

事實(shí)上，上述3個條款中“數(shù)據(jù)”之前使用的動詞均不能完整表述該條款數(shù)據(jù)行為的內(nèi)涵，比如第三十五條使用了“需要收集、使用數(shù)據(jù)”，第三十七條使用了“委托他人存儲、加工政務(wù)數(shù)據(jù)，或者向他人提供政務(wù)數(shù)據(jù)”。以第三十七條為例，國家機(jī)關(guān)委托他人處理政務(wù)數(shù)據(jù)，不限于“存儲、加工、提供”，還應(yīng)當(dāng)包括“傳輸、檢索、公開”等數(shù)據(jù)活動。為此，建議以上3個條款的數(shù)據(jù)行為統(tǒng)一使用“處理數(shù)據(jù)”。

第二十九條修改為：“任何組織、個人處理數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)?！?/p>

第三十五條修改為：“國家機(jī)關(guān)為履行法定職責(zé)的需要處理數(shù)據(jù)，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行?！?/p>

第三十七條修改為：“國家機(jī)關(guān)委托他人處理政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序，并應(yīng)當(dāng)監(jiān)督接收方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)?！?/p>

同時(shí)，建議《草案》增加對“數(shù)據(jù)處理”的定義條款：“數(shù)據(jù)處理，是指對數(shù)據(jù)的收集、儲存、加工、傳輸、檢索、提供、公開。”

理由：用“數(shù)據(jù)處理”替代“收集、存儲、加工、提供”等數(shù)據(jù)行為符合數(shù)據(jù)管理流程的特征，因?yàn)椤疤幚頂?shù)據(jù)”是一個過程，無論是否采用自動化手段，其本身涵蓋了“儲存、加工、傳輸、檢索、提供、公開”等內(nèi)容。

在《民法典（草案）》第三次審議稿中，當(dāng)時(shí)也采用了“收集、處理自然人個人信息”的表述。對此，筆者建議刪除“收集”，只保留“處理”，即“處理自然人個人信息”，正式實(shí)施的《民法典》刪除了“收集”，只保留了“處理”。