《數(shù)據(jù)安全法（草案）》觀察：構(gòu)建我國基礎性數(shù)據(jù)安全制度的開端

草案第二條規(guī)定本法適用于在中國境內(nèi)開展的數(shù)據(jù)活動，而對于境外主體開展的損害我國國家安全、公共利益或境內(nèi)主體合法權益的數(shù)據(jù)活動，亦有管轄權，確立了有限的域外適用效力。考慮到數(shù)字時代跨境數(shù)據(jù)活動已非常普遍，且數(shù)據(jù)活動與國家安全、公共利益和公民權益具有強關聯(lián)性，在法律中設定一定的域外效力或長臂管轄有其必要性。同時，一國法律的域外效力（且常用公權力作為追訴手段），會引起法律及司法權沖突的問題，應當基于最為必要的原則進行設定和適用。鑒于此，我們建議對域外適用的情形限縮在國家安全、重大公共利益和嚴重損害公民權益的情形。

草案第三條明確本法監(jiān)管對象為“數(shù)據(jù)活動”，即數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。將于2021年1月1日正式生效的《中華人民共和國民法典》在人格權編下規(guī)定 “個人信息處理”為收集、存儲、使用、加工、傳輸、提供、公開等行為^[1]?？梢姡莅笇τ凇皵?shù)據(jù)活動”的定義與《民法典》下的“處理”所覆蓋的范圍一致，均針對數(shù)據(jù)全生命周期的處理活動。立法語言體系的統(tǒng)一，便于行政執(zhí)法、司法和企業(yè)的合規(guī)遵循，因此，我們建議在草案中保持和《民法典》術語的一致。

草案第三條同時明確 “數(shù)據(jù)安全”的具體要求，即“通過采取必要措施,保障數(shù)據(jù)得到有效保護和合法利用,并持續(xù)處于安全狀態(tài)的能力”。對比現(xiàn)行網(wǎng)絡安全等級保護2.0體系下對于數(shù)據(jù)完整性、保密性、可用性的安全保護要求^[2]，草案突出了數(shù)據(jù)安全的動態(tài)和持續(xù)要求。

草案第六條明確了我國數(shù)據(jù)安全工作由中央國家安全領導機構(gòu)決策和統(tǒng)籌協(xié)調(diào)，與網(wǎng)絡安全的中央領導機構(gòu)（中央網(wǎng)絡安全和信息化委員會）不同。草案第七條規(guī)定，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡數(shù)據(jù)安全相關監(jiān)管工作，電信、金融、教育等各行業(yè)主管部門承擔本行業(yè)的數(shù)據(jù)安全監(jiān)管職責，公安機關、國家安全機關負責各自職責范圍內(nèi)的數(shù)據(jù)安全監(jiān)管工作，這與《網(wǎng)絡安全法》所形成的網(wǎng)絡安全監(jiān)管框架基本保持一致。與此同時，草案明確各地區(qū)、各部門對各自工作中涉及的數(shù)據(jù)及數(shù)據(jù)安全承擔主體責任。

考慮到數(shù)據(jù)活動中的地域性和行業(yè)性愈發(fā)模糊，草案中設定的行業(yè)監(jiān)管和地域監(jiān)管框架的科學性有待論證，可能會形成“九龍治水”的局面。我們建議，國家設定統(tǒng)一的數(shù)據(jù)活動監(jiān)管機構(gòu)，統(tǒng)一監(jiān)管標準、執(zhí)法要求和執(zhí)法程序，這將有利于數(shù)據(jù)要素的合法流動和價值實現(xiàn)。

草案第十二條明確國家堅持“維護數(shù)據(jù)安全”與“促進數(shù)據(jù)開發(fā)利用”并重的立法與監(jiān)管理念，以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。同時，草案第十三條及第十四條明確國家鼓勵和支持數(shù)據(jù)在各行業(yè)的技術推廣和創(chuàng)新應用。

網(wǎng)絡安全和網(wǎng)絡發(fā)展是互聯(lián)網(wǎng)為人民造福的“一體兩翼”，數(shù)據(jù)監(jiān)管亦是如此。國家對于數(shù)據(jù)安全的立法價值取向是，通過數(shù)據(jù)安全制度建設保障數(shù)據(jù)安全，進一步迭代促進產(chǎn)業(yè)發(fā)展。

草案第十五條明確國家將推進建設數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全標準體系，涵蓋數(shù)據(jù)開發(fā)利用技術、產(chǎn)品和數(shù)據(jù)安全相關標準。國家標準委發(fā)布的《2020全國標準化工作要點》中亦提出構(gòu)建新一代信息技術標準體系的總體要求，推進大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等重點領域的標準體系建設。諸如人臉識別技術^[3]、智能網(wǎng)聯(lián)汽車^[4]等各領域的數(shù)據(jù)相關技術標準已陸續(xù)立項啟動。可以預見，未來將出臺并逐步完善相關技術標準，進一步規(guī)范并保障數(shù)據(jù)安全，促進產(chǎn)業(yè)發(fā)展。

草案第十六條提出國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，并支持評估、認證等專業(yè)機構(gòu)依法開展服務?？梢灶A見，在《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施規(guī)則》、《移動互聯(lián)網(wǎng)應用程序安全認證實施細則》等各領域現(xiàn)行認證規(guī)定的基礎上，數(shù)據(jù)安全檢測評估及認證也將作為網(wǎng)絡安全與數(shù)據(jù)保護評估體系的重要組成部分，促進數(shù)據(jù)開發(fā)利用與產(chǎn)業(yè)發(fā)展。

草案第三章重點關注數(shù)據(jù)安全保障制度方面的建設，包括數(shù)據(jù)分類分級保護、重要數(shù)據(jù)保護目錄、數(shù)據(jù)安全風險預警機制、數(shù)據(jù)安全應急處置機制、數(shù)據(jù)活動的國家安全審查機制等。

數(shù)據(jù)分類分級是開展數(shù)據(jù)安全管理工作的基礎。數(shù)據(jù)分類分級管理和保護，在兼顧數(shù)據(jù)安全和個人隱私保護的同時，可以最大限度釋放數(shù)據(jù)價值。現(xiàn)行法律及部門規(guī)章層面有關數(shù)據(jù)分類分級的規(guī)定多止步于提出要求，而未明確具體的分類分級標準。草案第十九條明確數(shù)據(jù)分類分級將以風險程度為導向，按照數(shù)據(jù)“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用”所產(chǎn)生的危害程度作為分類分級的原則性標準，以評估可能造成的危害程度。在此基礎上，草案提出各地區(qū)、各部門有權確定本地區(qū)和本部門“重要數(shù)據(jù)”保護目錄。

草案規(guī)定的數(shù)據(jù)分級分類制度以監(jiān)管機構(gòu)的視角出發(fā)，對不同類型及級別的數(shù)據(jù)采取不同的監(jiān)管措施和法律要求，我們理解其具有必要性。同時，企業(yè)在數(shù)據(jù)活動中，為了數(shù)據(jù)安全保護、數(shù)據(jù)流動及合規(guī)遵循，會形成基于行業(yè)實踐的分類分級體系。這兩者應該并行不悖，不能互相取代。近年來，諸如《工業(yè)數(shù)據(jù)分類分級指南（試行）》、《證券期貨業(yè)數(shù)據(jù)分類分級指引》、《個人金融信息保護技術規(guī)范》等各部委發(fā)布的指引性文件及行業(yè)標準，對特定行業(yè)的數(shù)據(jù)分類分級具體標準也進行了一些有益的嘗試。數(shù)據(jù)分級應在完成數(shù)據(jù)分類的基礎上，針對不同類別數(shù)據(jù)發(fā)生上述安全事件后可能發(fā)生的危害后果進行定級，并匹配不同級別數(shù)據(jù)的安全保障技術措施及管理措施。

《網(wǎng)絡安全法》及其配套法規(guī)、國家標準已提出網(wǎng)絡安全監(jiān)測預警機制、網(wǎng)絡安全事件應急響應機制及網(wǎng)絡安全事件報告機制等。而針對數(shù)據(jù)安全，草案第二十條、第二十一條明確將從國家層面建立評估、報告、信息共享、監(jiān)測預警的系統(tǒng)化機制，并輔以針對數(shù)據(jù)安全事件的應急處置機制，消除安全隱患，防止危害擴大。

草案第二十二條規(guī)定，國家會針對影響或者可能影響國家安全的數(shù)據(jù)活動進行國家安全審查。如前所述，數(shù)據(jù)是未來國際間競爭的核心，與國家安全息息相關，對特定的數(shù)據(jù)活動進行國家安全審查，有其必要性。但是，規(guī)定所覆蓋的審查范圍未作限定，覆蓋場景范圍模糊，其與網(wǎng)絡安全審查之間的關系未作進一步厘清。從降低制度行政運行成本和企業(yè)合規(guī)成本的角度考慮，我們建議，對于草案所設定的數(shù)據(jù)國家安全審查機制，可以考慮在后續(xù)修訂中轉(zhuǎn)換為針對跨境數(shù)據(jù)流動等具有較高敏感性的場景的安全審查制度，或與現(xiàn)有網(wǎng)絡安全審查機制相融合。

草案對數(shù)據(jù)活動的安全保護義務予以明確，具體包括：

• 1）建立健全全流程數(shù)據(jù)安全管理制度，開展數(shù)據(jù)安全教育培訓，采取相應的技術措施及其他必要措施，保障數(shù)據(jù)安全（第二十五條）；

• 2）加強風險檢測，及時采取補救措施，發(fā)生數(shù)據(jù)安全事件時應當及時告知用戶并向主管部門上報（第二十七條）；

• 3）采取合法、正當方式收集數(shù)據(jù)，并在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)，不得超過必要限度（第二十九條）。

可以看到，相關保護要求基本未超出《網(wǎng)絡安全法》對于網(wǎng)絡運營者應當承擔的網(wǎng)絡安全及個人信息保護安全義務的范圍，也與《民法典》針對個人信息處理的要求具有一致性。

除與現(xiàn)有制度體系的銜接外，草案也提出了部分關于數(shù)據(jù)監(jiān)管的新制度設計。

自《網(wǎng)絡安全法》生效后，重要數(shù)據(jù)的范圍、識別和流動監(jiān)管，一直是業(yè)界關注的焦點問題。一方面重要數(shù)據(jù)與國家安全及公共利益息息相關，有必要建立起有效的監(jiān)管體系，另一方面，重要數(shù)據(jù)范圍上須是“真正重要”的數(shù)據(jù)，不能泛化，否則會阻礙數(shù)據(jù)的正當流動，不利于數(shù)字經(jīng)濟的發(fā)展。業(yè)界對《數(shù)據(jù)安全法》能解決重要數(shù)據(jù)的遺留問題抱有很大的期待。

本次草案對“重要數(shù)據(jù)”的界定仍不夠清晰，無法彌補現(xiàn)有體系下對“重要數(shù)據(jù)”范圍認定的不足。同時，第十九條將”重要數(shù)據(jù)“保護目錄的制定權限下放至地方與部門，權力配置缺乏科學性，容易導致”重要數(shù)據(jù)“認定范圍過于寬泛，影響數(shù)據(jù)要素流動。因此，建議將重要數(shù)據(jù)的范圍和識別標準列入中央事權。

與此同時，草案圍繞重要數(shù)據(jù)保護提出了若干延伸管理要求，主要包括：

• 1） 重要數(shù)據(jù)的處理者應當設立數(shù)據(jù)安全負責人和管理機構(gòu)（第二十五條）；

• 2） 重要數(shù)據(jù)相關活動定期開展包括重要數(shù)據(jù)的種類、數(shù)量，收集、存儲、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風險及其應對措施等在內(nèi)的風險評估，并向有關主管部門發(fā)送風險評估報告（第二十八條）；

• 3） 如果重要數(shù)據(jù)的處理活動影響或者可能影響國家安全的，應當接受國家安全審查（第二十二條）；

• 4） 如果屬于 “與履行國際義務和維護國家安全相關的屬于管制物項的”重要數(shù)據(jù)的，也應當依法實施出口管制（第二十三條）。

針對負責重要數(shù)據(jù)風險評估、對重要數(shù)據(jù)處理活動進行國家安全審查、對落入出口管制范圍的重要數(shù)據(jù)采取管制措施的具體主管部門，以及處理流程，同樣需要后續(xù)立法予以明確。

數(shù)據(jù)是數(shù)字經(jīng)濟時代企業(yè)發(fā)展的核心資源，數(shù)據(jù)交易能幫助數(shù)據(jù)要素實現(xiàn)市場價值，而數(shù)據(jù)在線處理服務有助于數(shù)據(jù)價值的挖掘和利用。日前正式公布的《中共中央、國務院關于構(gòu)建更加完善的要素市場化配置體制機制的意見》強調(diào)數(shù)據(jù)作為一種新型生產(chǎn)要素，對于數(shù)字經(jīng)濟發(fā)展具有重要意義。

在《民法典》以開放立法方式將數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)納入法律保護^[5]后，草案第十七條同步關注數(shù)據(jù)交易的價值，并對從事數(shù)據(jù)交易中介服務機構(gòu)提出保證數(shù)據(jù)來源合法合規(guī)及審核交易雙方身份的法律要求。我們理解，在數(shù)據(jù)交易中介服務市場高速發(fā)展的今天，此項規(guī)定擬將現(xiàn)有針對數(shù)據(jù)交易服務的立法構(gòu)想^[6]，上升為強制性法律要求，強調(diào)中介服務機構(gòu)在其中應盡的數(shù)據(jù)及交易雙方身份的審核義務，表明國家對于數(shù)據(jù)交易中介服務市場的管理決心及方式。

在線數(shù)據(jù)處理活動會接觸大量的數(shù)據(jù)，數(shù)據(jù)安全非常重要，同時，這項活動涉及數(shù)據(jù)主體權益。草案第三十一條強調(diào)專門提供在線數(shù)據(jù)處理等服務的經(jīng)營者，應當按照國家電信主管部門規(guī)定，依法取得經(jīng)營業(yè)務許可或者備案。同時，草案也明確了未依法辦理許可或備案而從事相關業(yè)務的處罰要求^[7]。我們理解，這部分規(guī)定更多是與現(xiàn)有數(shù)據(jù)處理服務電信監(jiān)管要求進行銜接，避免行業(yè)發(fā)展亂象。

數(shù)據(jù)跨境流動關系到國家網(wǎng)絡空間主權及數(shù)據(jù)安全，一直以來是國家立法關注的重點。其相關立法要求，將直接影響境內(nèi)企業(yè)出海戰(zhàn)略、境內(nèi)外企數(shù)據(jù)對外傳輸?shù)暮弦?guī)方案。對此，草案將涉及數(shù)據(jù)跨境流動監(jiān)管的相關要求，分散規(guī)定于不同場景條款中，主要包括如下：

• 1） 國家積極開展數(shù)據(jù)領域國際交流合作及標準制定，促進數(shù)據(jù)跨境安全自由流動（第十條）；

• 2） 國家對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)，依法實施出口管制（第二十三條）；

• 3） 針對外國對中國采取的與數(shù)據(jù)活動有關的歧視性措施，可以采取相應反制措施（第二十四條）；

• 4） 針對境外執(zhí)法機構(gòu)要求調(diào)取境內(nèi)數(shù)據(jù)的，有關主體應向主管機關報告并獲其批準后方可進行（第三十三條）

整體而言，草案對維護數(shù)據(jù)的正當跨境流動秩序進行了宣示，重申了中國堅持對外開放的基本國策。我國正在制定《出口管制法》，以加強對兩用物項、軍品、核及其他與國家安全相關的貨物、技術和服務的管制，而本草案把屬于管制物項的數(shù)據(jù)納入了出口管制對象，明確了出口管制在數(shù)據(jù)活動中的適用。

2018年美國《澄清境外數(shù)據(jù)的合法使用法案》（“CLOUD ACT”）簽署生效，該法案擴張了美國執(zhí)法機構(gòu)獲取存儲于境外的數(shù)據(jù)的能力，引發(fā)國際社會對數(shù)據(jù)主權的擔憂。我們理解，草案的第二十二條、第二十三條及第三十三條，試圖建立起維護國家安全和數(shù)據(jù)主權的保衛(wèi)機制。

但是，目前草案主要針對屬于出口管制范圍的數(shù)據(jù)和執(zhí)法機構(gòu)跨境調(diào)取數(shù)據(jù)等特殊場景下的監(jiān)管，尚未涉及對于一般商業(yè)及貿(mào)易場景下的數(shù)據(jù)跨境流動提出具體監(jiān)管措施。事實上，對于企業(yè)跨境數(shù)據(jù)傳輸監(jiān)管機制的清晰化，一直為業(yè)界所期待。遺憾的是，草案仍未對這一問題作出清晰回應。

[2] 《GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求》3.1 網(wǎng)絡安全：通過采取必要的措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力。

[3] 2019年底，國家圍繞人臉識別技術的標準制定工作已全面啟動。

[4] 《智能網(wǎng)聯(lián)汽車數(shù)據(jù)通用要求》系列標準已于2020年6月申請立項。

[5] 《民法典》第一百二十七條：法律對數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定。

[6] 參考《信息安全技術 數(shù)據(jù)交易服務安全要求（征求意見稿》。

[7] 草案第四十三條：數(shù)據(jù)交易中介機構(gòu)未履行本法第三十條規(guī)定的義務,導致非法來源數(shù)據(jù)交易的,由有關主管部門責令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得的,處十萬元以上一百萬元以下罰款,并可以由有關主管部門吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。