数据安全与利用双翼驱动

本文作者彭诚信

随着信息技术的发展，全球数据量正迅猛增长，数据的价值被不断挖掘。党的十九届四中全会决定将数据作为新的生产要素。2020年4月和5月，中共中央、国务院先后发布《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等，提出加快数据要素市场培育，加强数据资源整合和安全保护。《数据安全法（草案）》在此背景下应运而生。

《数据安全法（草案）》立法背景

近年来，全球数据泄露问题层出不穷，如美国万豪酒店集团近两年连续发生数据泄露问题，超过5亿用户数据被泄露;美国剑桥分析事件中，由于Facebook疏于对第三方的管理，造成数据被用于该国政治选举，不得已以50亿美元的罚款与监管机构达成和解……数据安全问题已经不仅是企业合规的重要内容，还关系到国家、社会、公民合法权益的保护。

此外，当前世界各国就国家数据主权争夺进入白热化阶段，网络空间立法尤其是数据安全治理成为各国的优先目标。2020年3月，欧盟公布了《欧洲数据战略》，旨在构建统一的数据获取和利用规则，以进一步推动欧洲统一数字市场的实现。美國在2018年3月通过《澄清域外合法使用数据法》（Cloud Act），该法赋予了执法部门依据搜查令直接调取境外数据的权利。2019年11月，欧洲数据保护委员会（EDPB）对《统一数据保护条例》（GDPR）第3条进行统一解释，并发布了GDPR地域适用的指南，也明确了GDPR具有域外效力。由此，国外政府开始以数据保护与安全为由，打压其域外国家技术与App应用，如美国禁止抖音海外版下载使用，英国禁止华为参与5G建设，德国也正在重新评估支付宝与微信支付的安全性。

2020年7月，我国对外公布了《数据安全法（草案）》（以下简称“《草案》”）的征求意见稿，其在法律位阶上与《网络安全法》《国家安全法》相一致。那么，该法作为数据安全领域的基本法律有何特殊性？其能否实现提升国家数据安全保障能力，发挥数据要素基础作用，以促进我国数字经济发展的立法目的呢？

数据安全治理体系初步形成

纵观《草案》条文内容，数据安全构成了规范的核心内容，不论是数据安全制度的初步勾勒，还是对于数据活动中安全保护义务的明晰，均表明我国数据安全治理体系已初步形成。

为有效应对境内外数据安全风险，《草案》重点创设了以下制度：一是建立数据分类分级制度，确定重要数据保护目录;二是建立数据安全风险评估、报告、信息共享、检测预警制度;三是建立数据安全应急处理制度，有效应对和处置数据安全事件;四是确立数据安全审查和出口管制制度;五是确立外国歧视性行为的反制措施。

上述制度构建了我国数据安全治理的基本体系框架：即数据分级分类是数据安全保护的前提基础，通过安全风险评估与应急处理制度增强了我国应对数据风险的灵活性。对于数据跨境流通监管则可以通过数据出口管制，对影响或者可能影响国家安全的数据跨境流动进行一定的限制。最为重要的是，针对国外涉数据投资、贸易方面，外国若对我国采取歧视性行动，我国可以根据实际情况采取相应的反制措施。比如，近期就国外政府以数据安全为由限制我国企业投资，包括下架抖音海外版App，我国相应的反制措施就具有了法律依据。

此外，数据活动中的安全保护义务成为《草案》另一规范的重点。当前数据活动中，存在大量的过度收集个人数据的问题，如我国人脸识别第一案“郭某诉杭州野生动物园”案就引发了人们对人脸识别技术应用的法律边界思考。为保护数据活动中的主体利益，《草案》首次就数据活动进行了界定，包括了数据的收集、存储、加工、使用、提供、交易、公开等行为。这一界定意义深远，就将来数据法律规范调整对象数据活动进行了明确，其基本原则包括不得违法收集、使用数据，不得危害国家安全、公共利益，不得损害公民、组织的合法权益。

应特别注意的是，《草案》虽然并没有采用“数据主权”或“数据本地化”的表述，但并不意味着《草案》没有域外效力。《草案》对于境外的组织、个人开展数据活动，如果损害我国国家安全、公共利益或者公民、组织合法权益的，可以追究其法律责任。在应对美国长臂管辖与欧盟GDPR域外效力中，当境外执法机构要求调取境内数据时，我国相关方应向主管机关报告并获批。至此，对抗域外国家的长臂管辖也具有了法律依据。

《草案》为将来数据流通与利用规则的构建预留了充分的想象空间（图/视觉中国）

数据流通与利用规范成为亮点

《草案》作为数据法领域第一部专门立法，除了对于数据法律中核心的安全问题进行了规定，其最大的亮点还在于，为将来数据流通与利用规则的构建预留了充分的想象空间，奠定了将来数据流通与利用的基础。

国家在战略层面提出将数据作为第五种新型生产要素，要求培育和健全数据要素市场，提升数据治理能力现代化。遗憾的是，我国以往所涉及数据的法律规范，如《网络安全法》《民法典》等均未将数据作为基础要素资源，相关的数据流通与利用的规范存在明显供给不足的问题。而国外相关的数据流通共享规范或规则已逐步完善，如欧盟2017年制定《非个人数据自由流通条例》、2019年出台《开放数据指令》，英国2019年制定《数据共享行为守则》等。《草案》中关于数据流通利用的条款，一定程度上弥补了我国在这一领域规范不足的问题，也为将来数据流通具体规则的制定提供了依据。

第一，数据流通实现数据要素化。《草案》鼓励数据依法合理有效利用，保障数据有序自由流通，促进以数据为关键要素的数字经济发展。在法律层面首次将数据作为数据经济的关键要素，明确了促进数据自由流通的方向，为将来数据流通法律规范的制定描绘了前景。当前数据要素市场中，买卖双方之间几乎没有什么透明度、信息严重不对称，导致“劣币驱逐良币”，如何保障数据流通交易中的主体利益将成为未来立法考虑的重点。《草案》主张通过数据流通实现数据要素化，为后续一系列的地方数据立法如《深圳经济特区数据条例》等提供规范价值的指引。

第二，健全数据交易管理制度。《草案》另一大亮点在于，主张由国家建立健全数据交易管理制度、规范数据交易行为、培育数据交易市场。长期以来，我国数据交易市场缺乏具体的管理制度，存在着各地“各自为战”的局面，如成立了贵阳数据交易中心、上海大数据交易中心、华中数据交易所等。各地数据交易平台的重复搭建，一定程度上造成了相关资源浪费，各地之间的数据交易呈现出地域化的隔阂，难以在全国范围内形成数据自由流通的局面。因而，《草案》這一规定旨在建立统一的数据交易管理制度，为形成有序、合法的数据交易秩序确立了基本方向，对于抑制黑市信息交易、促进数据产业发展意义重大。

第三，将数据中介服务商纳入规范范畴。发展数字经济，促进企业数字化转型，离不开数据中介服务商的兴起。《草案》首次将数据中介服务机构纳入数据法律规范范畴，并规定其具有说明数据来源、审核交易双方的身份等义务。数据中介服务机构在收集、汇集、提供数据当中，存在很大的法律风险，是当前立法监管的重点对象。当前，我国已开始重视对于数据中介服务商的立法规范，如《贵阳市数据交易服务机构管理条例》即将出台……将数据中介服务商纳入《草案》符合完善数据要素市场的需求，是发展数字经济的必由之路。

数据安全法完善的几点展望

《草案》作为我国数据法律领域第一部立法，具有较强的前瞻性与指引性。宏观上，《草案》立足于数据安全，又不仅限于数据安全，而是勾勒了将来数据流通利用的基本规则，展示了数字经济时代，坚持数据安全与数据发展齐头并进的价值理念。但微观上看，《草案》具体内容与部分条款仍存在完善的空间。

1.加强重要数据保护。《数据安全法》规范重点在于安全问题，而安全问题的核心就是重要数据保护。但何为重要数据，《草案》并没有明确界定，笔者认为可以考虑在《草案》定义条款进一步明确。《草案》第19条将重要数据保护目录的确定权限下放至各地区、各部门，也未对地区、部门进行任何限缩。事实上，重要数据保护目录对数据安全的实现至关重要，该目录确定权限不宜下放到各地方，应当由国家统一确定。《草案》第39条对于政务数据开放目录规定由国家制定，从安全性角度来看，重要数据的分类分级与保护才是《数据安全法》规范立法的“初心”，笔者建议进一步完善重要数据分类分级保护的内容。

2.完善数据主权条款。《草案》第32条并未规定中国执法机关能否调取境外数据，创设我国数据长臂管辖。即“境外数据”只要为中国数据控制者持有，中国政府应当有权要求调取数据，实现中国的“数据长臂管辖”。针对境外执法机构调取我国境内数据的情形，《草案》第33条的境外执法机构应至少扩大为“境外执法机构、司法机关”，以应对实践中境外法院等司法机关要求境内企业提供境内数据作为证据的情形。

3.明晰主管部门机构。《草案》第22条规定的数据安全审查制度，应当进一步细化数据安全审查的主管机关、启动条件、审查程序、审查内容以及法律责任等内容。《草案》第23条规定的数据出口管制，这一规定实质上类似于数据出境限制和本地化的要求，但并未明确出口管制的主管机构和管制物项数据，建议对上述条文进行进一步细化。

4.加大违法处罚力度。《草案》第六章法律责任的罚则明显过轻，企业违法成本相较于欧美国家的企业非常低廉，无法对企业起到足够的惩戒和威慑作用。对于违反安全义务的企业，建议大幅度提高罚款金额，将数据安全风险设计融入企业数据全生命周期管理。

《数据安全法》作为数据领域的基础性法律，对于后续数据立法以及地方制定数据条例具有很大的指导与借鉴意义。数据作为新型生产要素已经上升为国家战略，《数据安全法》在规范中融合了“安全与利用”价值，体现了该法的前瞻性与时代性。