《數(shù)據(jù)安全法（草案）》觀察：構(gòu)建我國基礎(chǔ)性數(shù)據(jù)安全制度的開端

草案第二條規(guī)定本法適用于在中國境內(nèi)開展的數(shù)據(jù)活動，而對于境外主體開展的損害我國國家安全、公共利益或境內(nèi)主體合法權(quán)益的數(shù)據(jù)活動，亦有管轄權(quán)，確立了有限的域外適用效力?？紤]到數(shù)字時代跨境數(shù)據(jù)活動已非常普遍，且數(shù)據(jù)活動與國家安全、公共利益和公民權(quán)益具有強關(guān)聯(lián)性，在法律中設(shè)定一定的域外效力或長臂管轄有其必要性。同時，一國法律的域外效力（且常用公權(quán)力作為追訴手段），會引起法律及司法權(quán)沖突的問題，應(yīng)當(dāng)基于最為必要的原則進(jìn)行設(shè)定和適用。鑒于此，我們建議對域外適用的情形限縮在國家安全、重大公共利益和嚴(yán)重?fù)p害公民權(quán)益的情形。

草案第三條明確本法監(jiān)管對象為“數(shù)據(jù)活動”，即數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。將于2021年1月1日正式生效的《中華人民共和國民法典》在人格權(quán)編下規(guī)定 “個人信息處理”為收集、存儲、使用、加工、傳輸、提供、公開等行為^[1]?？梢?，草案對于“數(shù)據(jù)活動”的定義與《民法典》下的“處理”所覆蓋的范圍一致，均針對數(shù)據(jù)全生命周期的處理活動。立法語言體系的統(tǒng)一，便于行政執(zhí)法、司法和企業(yè)的合規(guī)遵循，因此，我們建議在草案中保持和《民法典》術(shù)語的一致。

草案第三條同時明確 “數(shù)據(jù)安全”的具體要求，即“通過采取必要措施,保障數(shù)據(jù)得到有效保護(hù)和合法利用,并持續(xù)處于安全狀態(tài)的能力”。對比現(xiàn)行網(wǎng)絡(luò)安全等級保護(hù)2.0體系下對于數(shù)據(jù)完整性、保密性、可用性的安全保護(hù)要求^[2]，草案突出了數(shù)據(jù)安全的動態(tài)和持續(xù)要求。

草案第六條明確了我國數(shù)據(jù)安全工作由中央國家安全領(lǐng)導(dǎo)機構(gòu)決策和統(tǒng)籌協(xié)調(diào)，與網(wǎng)絡(luò)安全的中央領(lǐng)導(dǎo)機構(gòu)（中央網(wǎng)絡(luò)安全和信息化委員會）不同。草案第七條規(guī)定，國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)監(jiān)管工作，電信、金融、教育等各行業(yè)主管部門承擔(dān)本行業(yè)的數(shù)據(jù)安全監(jiān)管職責(zé)，公安機關(guān)、國家安全機關(guān)負(fù)責(zé)各自職責(zé)范圍內(nèi)的數(shù)據(jù)安全監(jiān)管工作，這與《網(wǎng)絡(luò)安全法》所形成的網(wǎng)絡(luò)安全監(jiān)管框架基本保持一致。與此同時，草案明確各地區(qū)、各部門對各自工作中涉及的數(shù)據(jù)及數(shù)據(jù)安全承擔(dān)主體責(zé)任。

考慮到數(shù)據(jù)活動中的地域性和行業(yè)性愈發(fā)模糊，草案中設(shè)定的行業(yè)監(jiān)管和地域監(jiān)管框架的科學(xué)性有待論證，可能會形成“九龍治水”的局面。我們建議，國家設(shè)定統(tǒng)一的數(shù)據(jù)活動監(jiān)管機構(gòu)，統(tǒng)一監(jiān)管標(biāo)準(zhǔn)、執(zhí)法要求和執(zhí)法程序，這將有利于數(shù)據(jù)要素的合法流動和價值實現(xiàn)。

草案第十二條明確國家堅持“維護(hù)數(shù)據(jù)安全”與“促進(jìn)數(shù)據(jù)開發(fā)利用”并重的立法與監(jiān)管理念，以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。同時，草案第十三條及第十四條明確國家鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè)的技術(shù)推廣和創(chuàng)新應(yīng)用。

網(wǎng)絡(luò)安全和網(wǎng)絡(luò)發(fā)展是互聯(lián)網(wǎng)為人民造福的“一體兩翼”，數(shù)據(jù)監(jiān)管亦是如此。國家對于數(shù)據(jù)安全的立法價值取向是，通過數(shù)據(jù)安全制度建設(shè)保障數(shù)據(jù)安全，進(jìn)一步迭代促進(jìn)產(chǎn)業(yè)發(fā)展。

草案第十五條明確國家將推進(jìn)建設(shè)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標(biāo)準(zhǔn)體系，涵蓋數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)。國家標(biāo)準(zhǔn)委發(fā)布的《2020全國標(biāo)準(zhǔn)化工作要點》中亦提出構(gòu)建新一代信息技術(shù)標(biāo)準(zhǔn)體系的總體要求，推進(jìn)大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等重點領(lǐng)域的標(biāo)準(zhǔn)體系建設(shè)。諸如人臉識別技術(shù)^[3]、智能網(wǎng)聯(lián)汽車^[4]等各領(lǐng)域的數(shù)據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)已陸續(xù)立項啟動?？梢灶A(yù)見，未來將出臺并逐步完善相關(guān)技術(shù)標(biāo)準(zhǔn)，進(jìn)一步規(guī)范并保障數(shù)據(jù)安全，促進(jìn)產(chǎn)業(yè)發(fā)展。

草案第十六條提出國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，并支持評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)?？梢灶A(yù)見，在《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施規(guī)則》、《移動互聯(lián)網(wǎng)應(yīng)用程序安全認(rèn)證實施細(xì)則》等各領(lǐng)域現(xiàn)行認(rèn)證規(guī)定的基礎(chǔ)上，數(shù)據(jù)安全檢測評估及認(rèn)證也將作為網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)評估體系的重要組成部分，促進(jìn)數(shù)據(jù)開發(fā)利用與產(chǎn)業(yè)發(fā)展。

草案第三章重點關(guān)注數(shù)據(jù)安全保障制度方面的建設(shè)，包括數(shù)據(jù)分類分級保護(hù)、重要數(shù)據(jù)保護(hù)目錄、數(shù)據(jù)安全風(fēng)險預(yù)警機制、數(shù)據(jù)安全應(yīng)急處置機制、數(shù)據(jù)活動的國家安全審查機制等。

數(shù)據(jù)分類分級是開展數(shù)據(jù)安全管理工作的基礎(chǔ)。數(shù)據(jù)分類分級管理和保護(hù)，在兼顧數(shù)據(jù)安全和個人隱私保護(hù)的同時，可以最大限度釋放數(shù)據(jù)價值?，F(xiàn)行法律及部門規(guī)章層面有關(guān)數(shù)據(jù)分類分級的規(guī)定多止步于提出要求，而未明確具體的分類分級標(biāo)準(zhǔn)。草案第十九條明確數(shù)據(jù)分類分級將以風(fēng)險程度為導(dǎo)向，按照數(shù)據(jù)“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用”所產(chǎn)生的危害程度作為分類分級的原則性標(biāo)準(zhǔn)，以評估可能造成的危害程度。在此基礎(chǔ)上，草案提出各地區(qū)、各部門有權(quán)確定本地區(qū)和本部門“重要數(shù)據(jù)”保護(hù)目錄。

草案規(guī)定的數(shù)據(jù)分級分類制度以監(jiān)管機構(gòu)的視角出發(fā)，對不同類型及級別的數(shù)據(jù)采取不同的監(jiān)管措施和法律要求，我們理解其具有必要性。同時，企業(yè)在數(shù)據(jù)活動中，為了數(shù)據(jù)安全保護(hù)、數(shù)據(jù)流動及合規(guī)遵循，會形成基于行業(yè)實踐的分類分級體系。這兩者應(yīng)該并行不悖，不能互相取代。近年來，諸如《工業(yè)數(shù)據(jù)分類分級指南（試行）》、《證券期貨業(yè)數(shù)據(jù)分類分級指引》、《個人金融信息保護(hù)技術(shù)規(guī)范》等各部委發(fā)布的指引性文件及行業(yè)標(biāo)準(zhǔn)，對特定行業(yè)的數(shù)據(jù)分類分級具體標(biāo)準(zhǔn)也進(jìn)行了一些有益的嘗試。數(shù)據(jù)分級應(yīng)在完成數(shù)據(jù)分類的基礎(chǔ)上，針對不同類別數(shù)據(jù)發(fā)生上述安全事件后可能發(fā)生的危害后果進(jìn)行定級，并匹配不同級別數(shù)據(jù)的安全保障技術(shù)措施及管理措施。

《網(wǎng)絡(luò)安全法》及其配套法規(guī)、國家標(biāo)準(zhǔn)已提出網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制及網(wǎng)絡(luò)安全事件報告機制等。而針對數(shù)據(jù)安全，草案第二十條、第二十一條明確將從國家層面建立評估、報告、信息共享、監(jiān)測預(yù)警的系統(tǒng)化機制，并輔以針對數(shù)據(jù)安全事件的應(yīng)急處置機制，消除安全隱患，防止危害擴大。

草案第二十二條規(guī)定，國家會針對影響或者可能影響國家安全的數(shù)據(jù)活動進(jìn)行國家安全審查。如前所述，數(shù)據(jù)是未來國際間競爭的核心，與國家安全息息相關(guān)，對特定的數(shù)據(jù)活動進(jìn)行國家安全審查，有其必要性。但是，規(guī)定所覆蓋的審查范圍未作限定，覆蓋場景范圍模糊，其與網(wǎng)絡(luò)安全審查之間的關(guān)系未作進(jìn)一步厘清。從降低制度行政運行成本和企業(yè)合規(guī)成本的角度考慮，我們建議，對于草案所設(shè)定的數(shù)據(jù)國家安全審查機制，可以考慮在后續(xù)修訂中轉(zhuǎn)換為針對跨境數(shù)據(jù)流動等具有較高敏感性的場景的安全審查制度，或與現(xiàn)有網(wǎng)絡(luò)安全審查機制相融合。

草案對數(shù)據(jù)活動的安全保護(hù)義務(wù)予以明確，具體包括：

• 1）建立健全全流程數(shù)據(jù)安全管理制度，開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施及其他必要措施，保障數(shù)據(jù)安全（第二十五條）；

• 2）加強風(fēng)險檢測，及時采取補救措施，發(fā)生數(shù)據(jù)安全事件時應(yīng)當(dāng)及時告知用戶并向主管部門上報（第二十七條）；

• 3）采取合法、正當(dāng)方式收集數(shù)據(jù)，并在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)，不得超過必要限度（第二十九條）。

可以看到，相關(guān)保護(hù)要求基本未超出《網(wǎng)絡(luò)安全法》對于網(wǎng)絡(luò)運營者應(yīng)當(dāng)承擔(dān)的網(wǎng)絡(luò)安全及個人信息保護(hù)安全義務(wù)的范圍，也與《民法典》針對個人信息處理的要求具有一致性。

除與現(xiàn)有制度體系的銜接外，草案也提出了部分關(guān)于數(shù)據(jù)監(jiān)管的新制度設(shè)計。

自《網(wǎng)絡(luò)安全法》生效后，重要數(shù)據(jù)的范圍、識別和流動監(jiān)管，一直是業(yè)界關(guān)注的焦點問題。一方面重要數(shù)據(jù)與國家安全及公共利益息息相關(guān)，有必要建立起有效的監(jiān)管體系，另一方面，重要數(shù)據(jù)范圍上須是“真正重要”的數(shù)據(jù)，不能泛化，否則會阻礙數(shù)據(jù)的正當(dāng)流動，不利于數(shù)字經(jīng)濟的發(fā)展。業(yè)界對《數(shù)據(jù)安全法》能解決重要數(shù)據(jù)的遺留問題抱有很大的期待。

本次草案對“重要數(shù)據(jù)”的界定仍不夠清晰，無法彌補現(xiàn)有體系下對“重要數(shù)據(jù)”范圍認(rèn)定的不足。同時，第十九條將”重要數(shù)據(jù)“保護(hù)目錄的制定權(quán)限下放至地方與部門，權(quán)力配置缺乏科學(xué)性，容易導(dǎo)致”重要數(shù)據(jù)“認(rèn)定范圍過于寬泛，影響數(shù)據(jù)要素流動。因此，建議將重要數(shù)據(jù)的范圍和識別標(biāo)準(zhǔn)列入中央事權(quán)。

與此同時，草案圍繞重要數(shù)據(jù)保護(hù)提出了若干延伸管理要求，主要包括：

• 1） 重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)（第二十五條）；

• 2） 重要數(shù)據(jù)相關(guān)活動定期開展包括重要數(shù)據(jù)的種類、數(shù)量，收集、存儲、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等在內(nèi)的風(fēng)險評估，并向有關(guān)主管部門發(fā)送風(fēng)險評估報告（第二十八條）；

• 3） 如果重要數(shù)據(jù)的處理活動影響或者可能影響國家安全的，應(yīng)當(dāng)接受國家安全審查（第二十二條）；

• 4） 如果屬于 “與履行國際義務(wù)和維護(hù)國家安全相關(guān)的屬于管制物項的”重要數(shù)據(jù)的，也應(yīng)當(dāng)依法實施出口管制（第二十三條）。

針對負(fù)責(zé)重要數(shù)據(jù)風(fēng)險評估、對重要數(shù)據(jù)處理活動進(jìn)行國家安全審查、對落入出口管制范圍的重要數(shù)據(jù)采取管制措施的具體主管部門，以及處理流程，同樣需要后續(xù)立法予以明確。

數(shù)據(jù)是數(shù)字經(jīng)濟時代企業(yè)發(fā)展的核心資源，數(shù)據(jù)交易能幫助數(shù)據(jù)要素實現(xiàn)市場價值，而數(shù)據(jù)在線處理服務(wù)有助于數(shù)據(jù)價值的挖掘和利用。日前正式公布的《中共中央、國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》強調(diào)數(shù)據(jù)作為一種新型生產(chǎn)要素，對于數(shù)字經(jīng)濟發(fā)展具有重要意義。

在《民法典》以開放立法方式將數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)納入法律保護(hù)^[5]后，草案第十七條同步關(guān)注數(shù)據(jù)交易的價值，并對從事數(shù)據(jù)交易中介服務(wù)機構(gòu)提出保證數(shù)據(jù)來源合法合規(guī)及審核交易雙方身份的法律要求。我們理解，在數(shù)據(jù)交易中介服務(wù)市場高速發(fā)展的今天，此項規(guī)定擬將現(xiàn)有針對數(shù)據(jù)交易服務(wù)的立法構(gòu)想^[6]，上升為強制性法律要求，強調(diào)中介服務(wù)機構(gòu)在其中應(yīng)盡的數(shù)據(jù)及交易雙方身份的審核義務(wù)，表明國家對于數(shù)據(jù)交易中介服務(wù)市場的管理決心及方式。

在線數(shù)據(jù)處理活動會接觸大量的數(shù)據(jù)，數(shù)據(jù)安全非常重要，同時，這項活動涉及數(shù)據(jù)主體權(quán)益。草案第三十一條強調(diào)專門提供在線數(shù)據(jù)處理等服務(wù)的經(jīng)營者，應(yīng)當(dāng)按照國家電信主管部門規(guī)定，依法取得經(jīng)營業(yè)務(wù)許可或者備案。同時，草案也明確了未依法辦理許可或備案而從事相關(guān)業(yè)務(wù)的處罰要求^[7]。我們理解，這部分規(guī)定更多是與現(xiàn)有數(shù)據(jù)處理服務(wù)電信監(jiān)管要求進(jìn)行銜接，避免行業(yè)發(fā)展亂象。

數(shù)據(jù)跨境流動關(guān)系到國家網(wǎng)絡(luò)空間主權(quán)及數(shù)據(jù)安全，一直以來是國家立法關(guān)注的重點。其相關(guān)立法要求，將直接影響境內(nèi)企業(yè)出海戰(zhàn)略、境內(nèi)外企數(shù)據(jù)對外傳輸?shù)暮弦?guī)方案。對此，草案將涉及數(shù)據(jù)跨境流動監(jiān)管的相關(guān)要求，分散規(guī)定于不同場景條款中，主要包括如下：

• 1） 國家積極開展數(shù)據(jù)領(lǐng)域國際交流合作及標(biāo)準(zhǔn)制定，促進(jìn)數(shù)據(jù)跨境安全自由流動（第十條）；

• 2） 國家對與履行國際義務(wù)和維護(hù)國家安全相關(guān)的屬于管制物項的數(shù)據(jù)，依法實施出口管制（第二十三條）；

• 3） 針對外國對中國采取的與數(shù)據(jù)活動有關(guān)的歧視性措施，可以采取相應(yīng)反制措施（第二十四條）；

• 4） 針對境外執(zhí)法機構(gòu)要求調(diào)取境內(nèi)數(shù)據(jù)的，有關(guān)主體應(yīng)向主管機關(guān)報告并獲其批準(zhǔn)后方可進(jìn)行（第三十三條）

整體而言，草案對維護(hù)數(shù)據(jù)的正當(dāng)跨境流動秩序進(jìn)行了宣示，重申了中國堅持對外開放的基本國策。我國正在制定《出口管制法》，以加強對兩用物項、軍品、核及其他與國家安全相關(guān)的貨物、技術(shù)和服務(wù)的管制，而本草案把屬于管制物項的數(shù)據(jù)納入了出口管制對象，明確了出口管制在數(shù)據(jù)活動中的適用。

2018年美國《澄清境外數(shù)據(jù)的合法使用法案》（“CLOUD ACT”）簽署生效，該法案擴張了美國執(zhí)法機構(gòu)獲取存儲于境外的數(shù)據(jù)的能力，引發(fā)國際社會對數(shù)據(jù)主權(quán)的擔(dān)憂。我們理解，草案的第二十二條、第二十三條及第三十三條，試圖建立起維護(hù)國家安全和數(shù)據(jù)主權(quán)的保衛(wèi)機制。

但是，目前草案主要針對屬于出口管制范圍的數(shù)據(jù)和執(zhí)法機構(gòu)跨境調(diào)取數(shù)據(jù)等特殊場景下的監(jiān)管，尚未涉及對于一般商業(yè)及貿(mào)易場景下的數(shù)據(jù)跨境流動提出具體監(jiān)管措施。事實上，對于企業(yè)跨境數(shù)據(jù)傳輸監(jiān)管機制的清晰化，一直為業(yè)界所期待。遺憾的是，草案仍未對這一問題作出清晰回應(yīng)。

[2] 《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》3.1 網(wǎng)絡(luò)安全：通過采取必要的措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

[3] 2019年底，國家圍繞人臉識別技術(shù)的標(biāo)準(zhǔn)制定工作已全面啟動。

[4] 《智能網(wǎng)聯(lián)汽車數(shù)據(jù)通用要求》系列標(biāo)準(zhǔn)已于2020年6月申請立項。

[5] 《民法典》第一百二十七條：法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定。

[6] 參考《信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求（征求意見稿》。

[7] 草案第四十三條：數(shù)據(jù)交易中介機構(gòu)未履行本法第三十條規(guī)定的義務(wù),導(dǎo)致非法來源數(shù)據(jù)交易的,由有關(guān)主管部門責(zé)令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得的,處十萬元以上一百萬元以下罰款,并可以由有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。