數(shù)據(jù)安全已成為事關國家安全與經濟社會發(fā)展的重大問題。黨中央對此高度重視，習近平總書記多次作出重要指示批示，提出加快法規(guī)制度建設、切實保障國家數(shù)據(jù)安全等明確要求。黨的十九大報告提出，推動互聯(lián)網、大數(shù)據(jù)、人工智能和實體經濟深度融合。黨的十九屆四中全會決定明確將數(shù)據(jù)作為新的生產要素。

[[334301]]

今年6月28日，《數(shù)據(jù)安全法(草案)》(下文簡稱“數(shù)安法”)提請十三屆全國人大常委會第二十次會議初次審議。7月3日，數(shù)安法向社會公眾公開征求意見，各位專家和網友紛紛在互聯(lián)網上展開熱議。

今天，我們不做解讀，因為目前還是草案，距離正式頒布還有一些時間，只把我近期所了解到的內容，結合一些自己的想法說出來，一起聊聊《數(shù)安法》。

1 《數(shù)據(jù)安全法》立法宗旨

官方起草說明

首先，我們先看下國家為什么要起草《數(shù)安法》，以下引用官方的起草說明：

按照黨中央部署和貫徹落實總體國家安全觀的要求，制定一部數(shù)據(jù)安全領域的基礎性法律十分必要：

• 一是，數(shù)據(jù)是國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。因此，應當按照總體國家安全觀的要求，通過立法加強數(shù)據(jù)安全保護，提升國家數(shù)據(jù)安全保障能力，有效應對數(shù)據(jù)這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn)，切實維護國家主權、安全和發(fā)展利益。
• 二是，當前，各類數(shù)據(jù)的擁有主體多樣，處理活動復雜，安全風險加大，必須通過立法建立健全各項制度措施，切實加強數(shù)據(jù)安全保護，維護公民、組織的合法權益。
• 三是，發(fā)揮數(shù)據(jù)的基礎資源作用和創(chuàng)新引擎作用，加快形成以創(chuàng)新為主要引領和支撐的數(shù)字經濟，更好服務我國經濟社會發(fā)展，必須通過立法規(guī)范數(shù)據(jù)活動，完善數(shù)據(jù)安全治理體系，以安全保發(fā)展、以發(fā)展促安全。
• 四是，為適應電子政務發(fā)展的需要，提升政府決策、管理、服務的科學性和效率，應當通過立法明確政務數(shù)據(jù)安全管理制度和開放利用規(guī)則，大力推進政務數(shù)據(jù)資源開放和開發(fā)利用。

起草工作的重點：

• 一是，把握正確政治方向，貫徹落實總體國家安全觀，堅持黨對數(shù)據(jù)安全工作的領導。
• 二是，立足數(shù)據(jù)安全工作實際，著力解決數(shù)據(jù)安全領域突出問題，同時堅持包容審慎原則，鼓勵和促進數(shù)據(jù)依法合理有效利用。
• 三是，數(shù)據(jù)安全法作為數(shù)據(jù)領域的基礎性法律，重點是確立數(shù)據(jù)安全保護管理各項基本制度，并與網絡安全法、正在制定的個人信息保護法等做好銜接。

據(jù)了解，一些與《數(shù)安法》相關的法規(guī)、制度、標準都已在路上了，比如：《個人信息保護法》(起草中)、《App違法違規(guī)收集使用個人信息行為認定方法》、 《信息安全技術 個人信息安全規(guī)范》、 《數(shù)據(jù)安全管理辦法》(征求意見稿)、《個人信息出境安全評估辦法》(征求意見稿)等等。

1.1 法律地位

不難看出，《數(shù)安法》最核心的目的其實是堅持總體國家安全觀，保證國家安全(草案第4條，維護數(shù)據(jù)安全，應當堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力)，這點也是貼合《國家安全法》第三條的要求，即國家安全工作應當堅持總體國家安全觀，以人民安全為宗旨，以政治安全為根本，以經濟安全為基礎，以軍事、文化、社會安全為保障，以促進國際安全為依托，維護各領域國家安全，構建國家安全體系，走中國特色國家安全道路。目前歐盟的《GDPR》、美國的《Cloud》法案和CCPA都已明確國家對數(shù)據(jù)的控制權限，而在這方面我國仍處于被動局面。所以，我們明確如何保障數(shù)據(jù)安全很有必要。

那么，《數(shù)安法》在法律體系中的地位是怎樣的呢?據(jù)了解，一些法學界人事的看法是，其次于《國家安全法》，高于《網絡安全法》和《個人信息保護法》，不過官方并未表態(tài)，只是目前一些人的觀點。

1.2 聚焦重點

《數(shù)安法》主要解決的就是數(shù)據(jù)安全的問題，這其中就包括了數(shù)據(jù)、安全兩個概念。

數(shù)據(jù)

無論國內還是國外，對于數(shù)據(jù)的管理，首先就必須明確數(shù)據(jù)的定義和對其擁有的權利，通常數(shù)據(jù)一般包括重要數(shù)據(jù)、敏感數(shù)據(jù)、個人數(shù)據(jù)、其他數(shù)據(jù)等分類?！稊?shù)安法》第三條指出：本法所稱數(shù)據(jù)，是指任何以電子或者非電子形式對信息的記錄。如果套用《網絡安全法》第七十六條對網絡數(shù)據(jù)的定義，可以看出《數(shù)安法》中的數(shù)據(jù)包括網絡數(shù)據(jù)和非網絡數(shù)據(jù)。

關于重要數(shù)據(jù)，有消息稱：國家正在制定有關重要數(shù)據(jù)定義的指南標準。關于重要數(shù)據(jù)的概念，數(shù)安法并沒有提到?！稊?shù)據(jù)安全管理辦法》(征求意見稿)第38條對于重要數(shù)據(jù)有定義可以參考。其指出重要數(shù)據(jù)，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數(shù)據(jù)一般不包括企業(yè)生產經營和內部管理信息、個人信息等。

國際上(尤其是歐盟)提倡促進數(shù)據(jù)開放和全球流動，各國不應阻礙其流動性，我國也采取同樣的態(tài)度，旨在促進數(shù)據(jù)跨境安全、自由流動(草案第10條)。

安全

明確了數(shù)據(jù)的定義和類別，那么接下來就是確保數(shù)據(jù)安全。數(shù)據(jù)安全法對于數(shù)據(jù)安全進行了下定義，《數(shù)安法》第三條規(guī)定“數(shù)據(jù)安全，是指通過采取必要措施，保障數(shù)據(jù)得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力”。這一概念有較大的不確定之處，比如如何從技術上判定：采取必要措施;有效保護和合法利用;持續(xù)處于安全狀態(tài)?而且這一概念與《網絡安全法》中對于網絡安全的定義中涉及的“以及保障網絡數(shù)據(jù)的完整性、保密性、可用性的能力”也不相同。未來如何從技術上定義數(shù)據(jù)安全將是一個值得繼續(xù)深入探討的問題。

2 《數(shù)安法》的主要內容及可能產生的影響

首先，先看一下《數(shù)安法》的內容結構。

關于本法的適用范圍

草案明確在我國境內開展的數(shù)據(jù)活動適用本法，其中數(shù)據(jù)是任何以電子或者非電子形式對信息的記錄，數(shù)據(jù)活動是指數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。同時，草案賦予本法必要的域外適用效力，規(guī)定：中華人民共和國境外的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。(草案第2、3條)

關于支持、促進數(shù)據(jù)安全與發(fā)展的措施

草案堅持安全與發(fā)展并重，設專章對支持促進數(shù)據(jù)安全與發(fā)展的措施作了規(guī)定，保護個人、組織與數(shù)據(jù)有關的權益，提升數(shù)據(jù)安全治理和數(shù)據(jù)開發(fā)利用水平，促進以數(shù)據(jù)為關鍵要素的數(shù)字經濟發(fā)展。包括：實施大數(shù)據(jù)戰(zhàn)略，制定數(shù)字經濟發(fā)展規(guī)劃;支持數(shù)據(jù)相關技術研發(fā)和商業(yè)創(chuàng)新;推進數(shù)據(jù)相關標準體系建設，促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展;培育數(shù)據(jù)交易市場;支持采取多種方式培養(yǎng)專業(yè)人才等。(草案第12條至第18條)

關于數(shù)據(jù)安全制度

為有效應對境內外數(shù)據(jù)安全風險，有必要建立健全國家數(shù)據(jù)安全管理制度，完善國家數(shù)據(jù)安全治理體系。對此，草案主要作了以下規(guī)定：一是，建立數(shù)據(jù)分級分類管理制度，確定重要數(shù)據(jù)保護目錄，對列入目錄的數(shù)據(jù)進行重點保護(草案第19條)。二是，建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制，加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作(草案第20條)。三是，建立數(shù)據(jù)安全應急處置機制，有效應對和處置數(shù)據(jù)安全事件(草案第21條)。四是，與相關法律相銜接，確立數(shù)據(jù)安全審查制度和出口管制制度(草案第22、23條)。五是，針對一些國家對我國的相關投資和貿易采取歧視性等不合理措施的做法，明確我國可以根據(jù)實際情況采取相應的措施(草案第24條)。

關于數(shù)據(jù)安全保護義務

保障數(shù)據(jù)安全，關鍵是要落實開展數(shù)據(jù)活動的組織、個人的主體責任。對此，草案主要作了以下規(guī)定：一是，開展數(shù)據(jù)活動必須遵守法律法規(guī)，尊重社會公德和倫理，有利于促進經濟社會發(fā)展，增進人民福祉，不得違法收集、使用數(shù)據(jù)，不得危害國家安全、公共利益，不得損害公民、組織的合法權益(草案第8、26、29條)。二是，開展數(shù)據(jù)活動應當按照規(guī)定建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全(草案第25條)。三是，開展數(shù)據(jù)活動應當加強數(shù)據(jù)安全風險監(jiān)測、定期開展風險評估，及時處置數(shù)據(jù)安全事件，并履行相應的報告義務(草案第27、28條)。四是，對數(shù)據(jù)交易中介服務和在線數(shù)據(jù)處理服務等作出規(guī)范(草案第30、31條)。五是，對公安機關和國家安全機關因依法履行職責需要調取數(shù)據(jù)以及境外執(zhí)法機構調取境內數(shù)據(jù)時，有關組織和個人的相關義務作了規(guī)定(草案第32、33條)。

關于政務數(shù)據(jù)安全與開放

為保障政務數(shù)據(jù)安全，并推動政務數(shù)據(jù)開放利用，草案主要作了以下規(guī)定：一是，對推進電子政務建設，提升運用數(shù)據(jù)服務經濟社會發(fā)展的能力提出要求(草案第34條)。二是，規(guī)定國家機關收集、使用數(shù)據(jù)應當在其履行法定職責的范圍內依照法律、行政法規(guī)規(guī)定的條件和程序進行，并落實數(shù)據(jù)安全保護責任，保障政務數(shù)據(jù)安全(草案第35、36條)。三是，對國家機關委托他人存儲、加工或者向他人提供政務數(shù)據(jù)的審批要求和監(jiān)督義務作出規(guī)定(草案第37條)。四是，要求國家機關按照規(guī)定及時準確公開政務數(shù)據(jù)，制定政務數(shù)據(jù)開放目錄，構建政務數(shù)據(jù)開放平臺，推動政務數(shù)據(jù)開放利用(草案第38、39條)。

關于數(shù)據(jù)安全工作職責

數(shù)據(jù)安全涉及各行業(yè)各領域，涉及多個部門的職責，草案明確中央國家安全領導機構對數(shù)據(jù)安全工作的決策和統(tǒng)籌協(xié)調等職責，加強對數(shù)據(jù)安全工作的組織領導;同時對有關行業(yè)部門和有關主管部門的數(shù)據(jù)安全監(jiān)管職責作了規(guī)定。(草案第6、7條)

這樣的一部立法如果出臺，必然對內對外都會產生較大的影響，我們分別從國際和國內兩個方面來看。

目前(截止2020年6月)全有已有142個國家制定了數(shù)據(jù)隱私相關的立法，全球已有超60個國家提出數(shù)據(jù)本土化存儲要求，遍布各大洲。歐盟提倡以基本權利為基礎模式，美國提倡自由市場和強監(jiān)管模式，而我國則提倡安全風險防范為主兼顧數(shù)字經濟發(fā)展模式。

一個典型的案例就是美國撤銷四家中資電信公司運營許可證。美國聯(lián)邦通信委員會向中國電信美洲公司、中國聯(lián)通美洲公司、太平洋網絡和信通電話提出，要求對為何美國不應啟動撤銷授權的程序進行解釋。

此外，美國以危害國家安全為由抵制華為、中興、大疆等具有自主研發(fā)能力的中國大型企業(yè)，并將華為、中興列入危害美國國家安全企業(yè)名單，同樣地，印度也效仿美國對我國商品進行抵制。歐盟方面，新冠疫情下，歐盟、澳大利亞、印度、西班牙等九國紛紛出臺限制規(guī)定，限制外國投資，防止趁機收購國家關鍵資產和技術，很明顯，這就是醉翁之意不在酒。面對這種形勢，《數(shù)安法》的出臺可以說是勢在必行。

針對這種局面，《數(shù)安法》規(guī)定了一些應對方法。比如：

• 加快制定和完善我國數(shù)據(jù)安全戰(zhàn)略規(guī)劃和實施方案。強調國家利益，同時體現(xiàn)全球化趨勢且符合國際標準;
• 加強我國數(shù)據(jù)防護能力。《數(shù)安法》第33條，明確規(guī)定外國司法和執(zhí)法機構調取我國境內存儲數(shù)據(jù)，應經過主管部門批準，不可隨意調用。
• 擴大管轄范圍。與《GDPR》、《CCPA》和《Cloud》類似，《數(shù)安法》第2條規(guī)定，在中華人民共和國境內開展數(shù)據(jù)活動，適用本法。中華人民共和國境外的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。
• 出口管制?！稊?shù)安法》第23條規(guī)定，國家對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。
• 對等原則。要反制，但要恰到好處，不能魚死網破?！稊?shù)安法》第24條規(guī)定，任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術等有關的投資、貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)采取相應的措施。
• 開放政策。持續(xù)開放，持續(xù)發(fā)展，促進區(qū)域經濟一體化。促進中日韓自貿區(qū)建立、一帶一路、中非合作等規(guī)劃?！稊?shù)安法》第10條規(guī)定，國家積極開展數(shù)據(jù)領域國際交流與合作，參與數(shù)據(jù)安全相關國際規(guī)則和標準的制定，促進數(shù)據(jù)跨境安全、自由流動。

近年來，數(shù)據(jù)安全、數(shù)據(jù)泄露等問題日益突出，面對國內的這些問題，《數(shù)安法》提出了相應對策，這些對策將對國內產生一些影響，具體的影響還要在后續(xù)進行進一步評估。具體如下：

• 堅持安全與發(fā)展并重，回應中央國務院的政策變化。《數(shù)安法》第12-18條就此進行了規(guī)定。
• 建立和完善國家數(shù)據(jù)安全制度。見《數(shù)安法》第19-24條。
• 明確數(shù)據(jù)安全義務，需滿足合規(guī)性(《數(shù)安法》第8、26、29條)、完善管理制度和相關培訓(第25條)、加強安全風險監(jiān)控與風險評估(第27條)
• 對數(shù)據(jù)交易中介服務和在線數(shù)據(jù)處理機構提出規(guī)范和要求(第30、31條)
• 明確公安機關和國家安全機關數(shù)據(jù)調取的權利(第32、33條)

3. 對《數(shù)安法》草案的一些期望

從《數(shù)安法》草案的初次審議，可以看到國家對數(shù)據(jù)安全的關注程度，特別是將其上升到國家安全層面，由中央國家安全領導機構負責數(shù)據(jù)安全工作的決策和統(tǒng)籌協(xié)調，研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策。但同時也看到了草案當前可能有些不太完善的地方，希望在后續(xù)的N審稿中能夠不斷完善。下面提一些對草案的期望。

(1) 數(shù)據(jù)安全、重要數(shù)據(jù)等重要概念應該嚴謹、明確

數(shù)據(jù)安全的概念是《數(shù)安法》貫穿整部法律的概念，對于每一項制度的實施都有重要影響，建議對數(shù)安法的概念進行完善。無論《GDPR》、《CCPA》還是《CLOUD》都對重要數(shù)據(jù)進行了明確且嚴謹?shù)亩x，《數(shù)據(jù)安全法》作為一部國家數(shù)據(jù)安全的立法，不應省略對重要數(shù)據(jù)的定義。

(2) 重要數(shù)據(jù)認定制度應當進一步完善

《數(shù)安法》第19條規(guī)定：各地區(qū)、各部門應當按照國家有關規(guī)定，確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護目錄，對列入目錄的數(shù)據(jù)進行重點保護。

如果這樣執(zhí)行，那必然會產生問題，增加各部門以及企業(yè)的成本。舉個簡單的例子：

數(shù)據(jù)A在杭州被當?shù)夭块T定為重要數(shù)據(jù)，當數(shù)據(jù)A流動到北京時，北京當?shù)夭块T認為數(shù)據(jù)A不屬于重要數(shù)據(jù)，只能定為敏感數(shù)據(jù)，那么同樣的數(shù)據(jù)，在不同的地域將會出現(xiàn)不同的屬性，這勢必會造成重大影響。因此，不能由各地規(guī)定，建議由各行業(yè)確定判定規(guī)則或者制定國家統(tǒng)一標準。

(3) 減少制度的交叉

《數(shù)安法》第22條規(guī)定：國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)活動進行國家安全審查。

因為目前已經有了《網絡安全審查辦法》，《辦法》由工業(yè)和信息化部等12個部門聯(lián)合制定發(fā)布。當前，數(shù)據(jù)安全審查與網絡安全審查存在一定程度交叉，建議考慮是否可以在一定程度上做好整合。

(4) 部分制度不夠明確，操作性不強

例如《數(shù)安法》中第30、31條中的數(shù)據(jù)交易中介服務、在線數(shù)據(jù)處理機構，只是提及，并未定義什么樣的機構屬于該范疇，在實際執(zhí)法中可能會存在問題。

另外，對于程序的描述過于簡潔，例如，28條規(guī)定：重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)活動定期開展風險評估，并向有關主管部門報送風險評估報告。本條對于什么樣程度的風險需要進行評估，以及評估的頻次等都沒有規(guī)定。

這就好比網絡安全事件應急預案，如何定義風險，何種程度的風險應該報送，報送給誰，怎么報送，如果不報送有什么懲罰措施?這些都沒有給出明確說明。

《數(shù)安法》體現(xiàn)了安全和發(fā)展并重的價值取向，盼望后續(xù)數(shù)安法在立法過程中可以將數(shù)據(jù)安全和數(shù)據(jù)利用協(xié)調一致、齊頭并進，建久安之勢、成長治之業(yè)。對于企業(yè)而言，數(shù)據(jù)安全不再是義務，而是制度，是強管理要求。國家應盡快完善數(shù)據(jù)安全治理體系和配套法規(guī)、標準，同時探討和完善《數(shù)安法》條文細則，這是我們當前最需要關心的事情。