引　言

作為數(shù)字化轉型的核心要素和關鍵因素， 數(shù)據(jù)對經濟發(fā)展的重要性不言而喻。伴生而來的數(shù)據(jù)安全問題亦愈發(fā)凸顯，給個體權益保護、產業(yè)健康發(fā)展甚至國家安全帶來諸多風險。網(wǎng)絡攻擊、侵入等外部威脅與安全漏洞、缺陷、人的因素等內部脆弱性疊加共振，任何組織百分之百數(shù)據(jù)安全的目標都是不可實現(xiàn)的。2019年底以來，席卷全球的新冠疫情和經濟危機推動國際形勢乃至國家秩序重建變化趨勢加劇。

與公共衛(wèi)生保持社交距離要求截然相反的是社會對高度互聯(lián)數(shù)字世界的強烈依賴，網(wǎng)絡世界和物理世界加速融合，無處不在的安全需求與泛濫的數(shù)據(jù)安全風險則形成鮮明對比。疫情后世界和全球化未來不穩(wěn)定性與不確定性前所未有的凸顯。我國正加快供給側結構性改革，加快培育數(shù)據(jù)要素市場，穩(wěn)定傳統(tǒng)產業(yè)的同時科技創(chuàng)新驅動“新基建”發(fā)展。新時代、新形勢、新發(fā)展和新業(yè)態(tài)背景下，數(shù)據(jù)安全問題納入法治化軌道極具必要性和迫切性。

01、立法背景：沒有數(shù)據(jù)安全就沒有國家安全

數(shù)據(jù)是國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。當前，我國數(shù)據(jù)安全頂層制度設計加速推進。2015年《國家安全法》第25條明確提出“實現(xiàn)網(wǎng)絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數(shù)據(jù)的安全可控”。作為網(wǎng)絡安全綜合性立法，2017年《網(wǎng)絡安全法》將數(shù)據(jù)安全納入網(wǎng)絡安全范疇，基于網(wǎng)絡安全保障目的為個人信息保護與數(shù)據(jù)安全的部分重要、核心制度奠定了基礎。2018 年《數(shù)據(jù)安全法》《個人信息保護法》納入人大常委會立法規(guī)劃。2019年國家互聯(lián)網(wǎng)信息辦公室相繼發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》等多部《網(wǎng)絡安全法》體系的下位配套文件，大力推進國家層面的數(shù)據(jù)治理規(guī)則構建和具體制度設計。2020年《民法典》明確個人信息、數(shù)據(jù)、網(wǎng)絡虛擬財產等屬于合法權益。執(zhí)法實踐層面，圍繞個人信息非法采集和濫用、數(shù)據(jù)三性破壞等活動的數(shù)據(jù)安全專項治理行動空前有力。地方層面圍繞數(shù)據(jù)跨境、數(shù)據(jù)安全保障、數(shù)據(jù)開放、數(shù)據(jù)權等問題積極先試先行，典型如《天津市數(shù)據(jù)安全管理辦法（暫行）》《貴州省大數(shù)據(jù)安全保障條例》《深圳經濟特區(qū)數(shù)據(jù)條例（征求意見稿）》《中國（上海）自由貿易試驗區(qū)臨港新片區(qū)總體方案的通知》《海南自由貿易港建設總體方案》等。2020年7月3日，歷時3年制定時間的《數(shù)據(jù)安全法（草案）》正式向社會公開征求意見，備受關注。

新時代、新形勢、新發(fā)展和新業(yè)態(tài)背景下，國家層面的數(shù)據(jù)安全立法推進面臨著諸多難題。

第一，數(shù)據(jù)安全問題本身復雜性凸顯。數(shù)據(jù)安全問題橫跨數(shù)據(jù)與安全兩大領域，囊括數(shù)據(jù)靜態(tài)安全與動態(tài)利用安全兩大面向，涉及個人、企業(yè)、國家多方法益，同時還須考量區(qū)塊鏈、人工智能、5G等新技術新應用對傳統(tǒng)法律規(guī)則的沖擊。

第二，我國先前經驗相對不足。相較于歐美等國家或地區(qū)，我國的數(shù)據(jù)相關立法起步較晚，基于法律傳統(tǒng)、文化差異、產業(yè)發(fā)展水平等因素的不同，國際經驗借鑒也需進行根植于國情的本土化改造。近年來，國際社會圍繞數(shù)據(jù)資源的角逐與博弈日趨激烈，以歐盟《通用數(shù)據(jù)保護條例》（GDPR）、美國《加利福尼亞州消費者隱私保護法》(CCPA)等國際數(shù)據(jù)安全立法在互相融合的同時，諸多方面亦有明顯分立。

第三，數(shù)據(jù)安全立法演變?yōu)槿蚍秶鷥鹊睦鎱f(xié)調與主權斗爭工具。以美國《合法使用境外數(shù)據(jù)明確法》（Cloud 法）以及相關國家的效仿或配合、歐盟《通用數(shù)據(jù)保護條例》（GDPR）為代表，立法趨勢表現(xiàn)為爭奪數(shù)據(jù)話語權，積極推行符合本國利益訴求的國際社會數(shù)據(jù)規(guī)則體系，擴張本國法律的適用范圍、提升執(zhí)法行為的域外效力。隨著近年來中國綜合國力的提升，數(shù)據(jù)安全成為個別國家針對中國專門立法的重要關切，部分數(shù)據(jù)相關的立法條款更是成為個別國家抑制我國新技術新應用發(fā)展的重要借口，以此營造不利于我國的輿論氛圍，擠壓我國產業(yè)的國際發(fā)展空間。

第四，數(shù)據(jù)安全治理“中國方案”亟待突破。作為當前全球第一數(shù)據(jù)資源大國和全球第二大數(shù)字經濟體，中國人工智能、5G等新技術新應用場景越來越豐富，在某些領域和問題的規(guī)范與引導上已無成熟的國際經驗可循。數(shù)據(jù)安全治理“中國方案”一直在探索，亟待突破和確立，為中國企業(yè)走出去、推進全球數(shù)字化進程、增進全球人民數(shù)字福祉貢獻大國力量。

第五，數(shù)據(jù)權利保護的基礎性問題尚未解決。現(xiàn)下正值我國國家通信信息技術發(fā)展應用從量變到質變的特定時期，國家層面的立法承擔了“以安全保發(fā)展、以發(fā)展促安全”的數(shù)字經濟支撐使命。在中央將數(shù)據(jù)定位為生產要素的背景下可以預見，未來數(shù)據(jù)的流通與共享將更加常態(tài)化，而現(xiàn)階段以數(shù)據(jù)法律權屬、數(shù)據(jù)法律性質為代表的諸多基礎性問題還沒有解決，部分已經確立的規(guī)則也未能在安全和產業(yè)發(fā)展之間找到一個很好的平衡點。

第六，立法銜接與協(xié)調問題亟待考量。如何與國家安全領域的《國家安全法》《網(wǎng)絡安全法》《密碼法》《出口管制法》以及制定中的《個人信息保護法》等進行銜接與協(xié)調是國家層面立法體系安排中需要考慮的重要問題。

從研究視角來看，數(shù)據(jù)領域基礎性法律問題的解決還需要不斷探索，加強數(shù)據(jù)權利的本質、內涵、外延、客體、分類的研究，為數(shù)據(jù)權利保護提供底層支撐，在此基礎上，完備的國家立法應覆蓋數(shù)據(jù)主權維護、數(shù)據(jù)權利確認、生命周期保護、供應鏈條監(jiān)管、跨境傳輸審查、境外要素（資本、技術、產品、人員、服務）審查、數(shù)據(jù)主體監(jiān)管、數(shù)據(jù)濫用禁制等數(shù)據(jù)權利法律制度。

02、立法定位：數(shù)據(jù)安全領域的基礎性法律

科學的立法定位是搭建立法框架與設計立法制度的前提條件。立法定位對于法的結構確定起著引導作用，為法的具體制度設計提供法理上的判斷依據(jù)。與社會各界對《數(shù)據(jù)安全法》明確解決問題措施的預期有所差異，草案立法說明將《數(shù)據(jù)安全法》定位為“數(shù)據(jù)安全領域的基礎性法律”，這一自身立法定位決定了其以下特點：

第一，該法是安全保障法。該法以公權介入數(shù)據(jù)安全保護，提供認識數(shù)據(jù)安全問題、處理數(shù)據(jù)安全威脅和風險的法律路線。具體來說，以其對數(shù)據(jù)、數(shù)據(jù)活動、數(shù)據(jù)安全的界定為出發(fā)點，厘清不同面向的數(shù)據(jù)安全風險，構建數(shù)據(jù)安全保護管理全面、系統(tǒng)的制度框架，以戰(zhàn)略、制度、措施等來構建國家預防、控制和消除數(shù)據(jù)安全威脅和風險的能力，確立國家行為的正當性，提升國家整體數(shù)據(jù)安全保障能力。

第二，該法是基礎性法律?；A性立法的功能更多注重的不是解決問題，而是為問題的解決提供具體指導思路，問題的解決要依靠相配套的法律法規(guī)。這也決定了其法律表述上的原則性和大量宣示性條款。但與此同時，預設好相關接口、整體立法語言的表述粒度均衡等也應特別注意。

第三，該法是數(shù)據(jù)安全管理的法律。數(shù)據(jù)安全作為網(wǎng)絡安全的重要組成部分，諸多安全制度可被網(wǎng)絡安全制度所涵蓋。在數(shù)據(jù)安全管理上，與《網(wǎng)絡安全法》充分協(xié)調，避免制度設計交叉與重復帶來的立法資源浪費、監(jiān)管重復與真空、產業(yè)負擔是《數(shù)據(jù)安全法》制定過程中需重點關注的問題。

就安全保障法來說，作為數(shù)據(jù)安全領域的基礎性法律和國家安全法律制度體系的重要組成部分，草案第1條明確立法宗旨之一為“維護國家主權、安全和發(fā)展利益”，這與《國家安全法》第25條國家網(wǎng)絡與信息安全保障“主權、安全和發(fā)展利益”的宗旨一致。草案雖將數(shù)據(jù)界定為“電子或者非電子形式對信息的記錄”，對數(shù)據(jù)這一概念做了最大化解釋。

事實上，隨著信息化、網(wǎng)絡化、數(shù)字化的發(fā)展，無論是電子數(shù)據(jù)體量、影響的增長還是“傳統(tǒng)”非電子數(shù)據(jù)向電子數(shù)據(jù)的轉化都呈不可逆趨勢， 能帶來“數(shù)據(jù)這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn)”的更多是電子數(shù)據(jù)。草案將數(shù)據(jù)安全定義為“通過采取必要措施，保障數(shù)據(jù)得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力”，這與《國家安全法》對國家安全、《網(wǎng)絡安全法》對網(wǎng)絡安全的概念界定相似，都落腳到保障持續(xù)安全狀態(tài)的能力，安全狀態(tài)既包括了數(shù)據(jù)的靜態(tài)安全保障（防止因數(shù)據(jù)泄露、篡改、滅失所導致的保密性、完整性和可用性破壞），也包括了數(shù)據(jù)的動態(tài)利用安全保障（包括不限于加工、使用、提供、交易等環(huán)節(jié)的依法有序自由流動）。

草案為數(shù)不多的創(chuàng)設性法律責任條款第42、43和44條中，第42條既是對違反靜態(tài)安全保護義務的行政處罰，第43條和44條是針對非法交易、非法處理這兩大動態(tài)利用不當?shù)男姓幜P。

03、制度設計：數(shù)據(jù)安全治理的四梁八柱

在我國數(shù)據(jù)產業(yè)正處于高速發(fā)展的當下，數(shù)據(jù)安全風險、安全保障能力均在不斷發(fā)展、演變。尚不穩(wěn)定的國際政治、經濟等形勢也成為影響數(shù)據(jù)安全制度設計的重要變量。在缺乏成熟經驗與范例，又異常敏感的情況下，《數(shù)據(jù)安全法》應厘清自身定位，明確自身需要重點解決的問題，重在構建起數(shù)據(jù)安全治理的四梁八柱，明確預防、控制和消除數(shù)據(jù)安全風險的制度、措施，確立國家行為的正當性，這里僅對草案的一些制度規(guī)定簡單予以評析。

數(shù)據(jù)安全監(jiān)督管理體制。首先，草案第6條和第7條出現(xiàn)中央國家安全領導機構與國家網(wǎng)信部門兩處“統(tǒng)籌協(xié)調”的職責分工。雖然第7條將國家網(wǎng)信部門的統(tǒng)籌職責劃定在“網(wǎng)絡數(shù)據(jù)”范疇，但隨著我國信息化、數(shù)字化進程的快速推進，如此制度設計，未來中央國家安全領導機構與國家網(wǎng)信部門在數(shù)據(jù)安全領域的統(tǒng)籌協(xié)調職責將出現(xiàn)更多的重合，既不科學也不嚴謹，會造成理解和實施上的困難。

其次，各地區(qū)各部門承擔數(shù)據(jù)安全監(jiān)管工作。數(shù)據(jù)安全監(jiān)管工作具有較高的專業(yè)技術要求，行業(yè)主管部門對本行業(yè)的數(shù)據(jù)安全工作的指導和監(jiān)督，受限于其工作重點、關注領域、專業(yè)能力、信息來源，難以代替數(shù)據(jù)安全職能部門的專業(yè)性監(jiān)管。這一難題在動用國家之力對數(shù)據(jù)實行分級保護和重要數(shù)據(jù)目錄確定的責任落實中會表現(xiàn)得更為明顯。持續(xù)了三年有余的《網(wǎng)絡安全法》關鍵信息基礎設施認定工作歷程可作為參考。再次，第7條第1款的主體責任規(guī)定明顯不適合合并于職責分工這一條中，建議另行放置。

分級分類和重要數(shù)據(jù)重點保護制度。草案第19條規(guī)定了數(shù)據(jù)分級分類和重點數(shù)據(jù)保護制度。首先，鑒于數(shù)據(jù)同樣是影響網(wǎng)絡安全等級保護制度中定級、關鍵信息基礎設施認定的重要因素，此處的數(shù)據(jù)分級與等保、關保是否采用同樣的分級標準、如何協(xié)調需要進一步明確。近年來，《工業(yè)數(shù)據(jù)分類分級指南（試行）》《證券期貨業(yè)數(shù)據(jù)分類分級指引》《個人金融信息保護技術規(guī)范》等各部委發(fā)布的指引性文件及行業(yè)標準，對特定行業(yè)的數(shù)據(jù)分類分級具體標準進行了非常有幫助的嘗試。

其次，“重要數(shù)據(jù)保護制度”是本法的重要制度之一。重要數(shù)據(jù)也是《網(wǎng)絡安全法》的重要概念，需注意保持不同法律文本同一概念內涵和外延的一致性。重要數(shù)據(jù)概念、認定機制、保護方式、法律責任應當在本法中予以確立。針對維護國家核心利益和國家安全需要，應明確對基因、生物、醫(yī)療、地理等類別數(shù)據(jù)實施重點保護。鑒于“重要數(shù)據(jù)”一般具有攸關國家安全的高度敏感性，立法中應限制重要數(shù)據(jù)認定權授予、設置嚴格認定程序、強化認定結果監(jiān)督。若“重要數(shù)據(jù)”將其交由各地自行決定，不僅可能不當擴大或縮小重要數(shù)據(jù)范圍，還可能導致數(shù)據(jù)跨地區(qū)流動和處理引發(fā)法律規(guī)避。建議由中央國家機關劃定重要數(shù)據(jù)的類型，各地區(qū)在上述劃定范圍內有權確定本地區(qū)重要數(shù)據(jù)目錄，在不同地區(qū)出現(xiàn)沖突的情況下，可上報中央國家機關決定。

最后，鑒于重要數(shù)據(jù)處理者需要履行更多的義務，政府部門認定是否屬于重要數(shù)據(jù)之后應當給予相關主體提出異議的權利和渠道。

數(shù)據(jù)跨境安全流動規(guī)則。數(shù)據(jù)跨境作為影響數(shù)據(jù)安全的重要因素，應當屬于《數(shù)據(jù)安全法》的重要規(guī)范對象。草案總則第10條明確提出要“促進數(shù)據(jù)跨境安全、自由流動”，但正文目前并未明確具體的規(guī)則。雖然第23條的數(shù)據(jù)出口管制、第33條的境外執(zhí)法機構的跨境數(shù)據(jù)調取涉及數(shù)據(jù)出境問題，但無法涵蓋一般商業(yè)場景下的數(shù)據(jù)跨境流動問題。數(shù)據(jù)跨境流動規(guī)則的設計需充分研判以下因素，實現(xiàn)跨境的破局和流動性價值：

（1）各國數(shù)據(jù)跨境的的基本政策框架，找尋不同框架下的政策、法律差異，以及形成這些差異的緣由；

（2）不同的跨境政策，其后也有不同的技術能力、算法認同的支撐，應從歷史沿革和技術演化的長期過程充分考究邏輯、統(tǒng)計、生物等不同學科對數(shù)據(jù)技術和算法的影響，以及當前和未來的發(fā)展趨勢；

（3）嘗試局部、先行的區(qū)域或雙邊的數(shù)據(jù)跨境流動框架，在數(shù)據(jù)分級分類的前提下，可以進行某些行業(yè)、領域數(shù)據(jù)的跨境流動，避免數(shù)據(jù)流動性停滯導致的單一性，以及創(chuàng)新不足問題。

數(shù)據(jù)安全審查制度。草案第22條確立了數(shù)據(jù)安全審查制度，但未明確該制度的實施主體、實施機制、審查內容等。當前我國已通過《國家安全法》《網(wǎng)絡安全法》《外商投資法》等法律法規(guī)，建立起了網(wǎng)絡安全審查、外商投資審查等在內的國家安全審查體系。關于網(wǎng)絡安全審查，從2020年頒布的《網(wǎng)絡安全審查辦法》第9條的規(guī)定可看出，產品和服務使用后帶來的重要數(shù)據(jù)被竊取、泄露、毀損的風險屬于網(wǎng)絡安全審查的內容之一。在此背景下，網(wǎng)絡安全審查、外商投資審查與數(shù)據(jù)審查存在一定的交叉。如何處理數(shù)據(jù)安全審查與前述審查制度的關系，包括審查機制、審查內容、審查標準等需要重點考量。

數(shù)據(jù)出口管制制度。草案第23條建立了數(shù)據(jù)出口管制制度與《出口管制法》及數(shù)據(jù)出境安全評估制度之間的配合及銜接問題。當前《出口管制法》尚在制定中，從7月3日全國人大網(wǎng)公布的二次審議稿來看，目前的版本在第 32 條對信息出口管制做出了僅原則性的規(guī)定。

此外，《網(wǎng)絡安全法》《數(shù)據(jù)安全管理辦法（征求意見稿）》及《個人信息出境安全評估辦法（征求意見稿）》規(guī)定了重要數(shù)據(jù)及個人信息的數(shù)據(jù)出境安全評估要求。本條建立的數(shù)據(jù)出口管制制度與《出口管制法》及數(shù)據(jù)出境安全評估制度之間的配合及銜接需要通盤考慮。

境外執(zhí)法機構數(shù)據(jù)調取的阻斷機制。草案第33條規(guī)定了境外執(zhí)法機構獲取我國境內數(shù)據(jù)的報告和批準機制。本條是對美國CLOUD法為代表的執(zhí)法數(shù)據(jù)跨境獲取體系威脅國家主權的阻斷。2018年10月我國通過的《國際刑事司法協(xié)助法》中第4條第3款規(guī)定被視為對 CLOUD 法的直接回應。但鑒于該條款規(guī)定抽象，也未設立相應的罰則，可操作性不足。草案第 33 條應為阻斷提供充足而有力的規(guī)定。

首先，建議將“境外執(zhí)法機構”擴展至“境外機構”。從現(xiàn)實情況來看，境外要求提取數(shù)據(jù)的除執(zhí)法機關外還有其他組織，對其提供數(shù)據(jù)同樣會對我國的國家安全帶來隱患。

其次，建議增加法律責任。本條缺乏對應的法律責任，一方面難以切實落實阻斷，另一方面法律責任的落空會讓企業(yè)依據(jù)CLOUD法做“禮讓分析”中缺少“不一致的法律要求”實質性依據(jù)。

此外，草案第20 條、第21條所確立的國家數(shù)據(jù)安全風險評估、報告、信息共享與監(jiān)測預警機制、數(shù)據(jù)安全應急處置機制也與《網(wǎng)絡安全法》監(jiān)測預警與應急處置一章的規(guī)定高度重合，需做好配合與銜接。

04、總　結

在技術日新月異的今天，如何有效地利用法治資源，在產業(yè)技術政策中確立以技術創(chuàng)新為核心的法治目標，是企業(yè)獲得生命力和國家謀求長足發(fā)展的基礎性保障。中國特色社會主義法治體系加速構建，《數(shù)據(jù)安全法》將與《國家安全法》《網(wǎng)絡安全法》《密碼法》、制定中的《個人信息保護法》和二次審議稿階段的《出口管制法》等共同構建起一個橫向內部體系更加協(xié)調、外部輻射范疇更為廣泛，縱向制度、原則、規(guī)則更為立體化的國家安全保障體系。

鑒于數(shù)據(jù)安全問題的復雜面向，草案存在各種問題和爭議，如數(shù)據(jù)主權維護機制、與其他基礎性立法的有效銜接、數(shù)據(jù)要素資源利用與數(shù)據(jù)安全協(xié)同治理的平衡考量、引進來走出去的法治營商環(huán)境構建、制度設計的合理性與可操作性、條款完整性和結構平衡性的立法技術問題等，這一方面須得各界人士腳踏實地地研究、調研和論證，為草案多提建設性意見；一方面有待有關部門加速《數(shù)據(jù)安全法》及其下位配套制度的設計、規(guī)劃、協(xié)調工作，推動數(shù)據(jù)安全治理“中國方案”不斷完善；另一方面基于國家統(tǒng)一層面的立法實施執(zhí)法檢查、立法影響評估等工作也是國家治理現(xiàn)代化與中國特色社會主義安全法治體系構建的必然要求。