引　言

作為數字化轉型的核心要素和關鍵因素， 數據對經濟發展的重要性不言而喻。伴生而來的數據安全問題亦愈發凸顯，給個體權益保護、產業健康發展甚至國家安全帶來諸多風險。網絡攻擊、侵入等外部威脅與安全漏洞、缺陷、人的因素等內部脆弱性疊加共振，任何組織百分之百數據安全的目標都是不可實現的。2019年底以來，席卷全球的新冠疫情和經濟危機推動國際形勢乃至國家秩序重建變化趨勢加劇。

與公共衛生保持社交距離要求截然相反的是社會對高度互聯數字世界的強烈依賴，網絡世界和物理世界加速融合，無處不在的安全需求與泛濫的數據安全風險則形成鮮明對比。疫情后世界和全球化未來不穩定性與不確定性前所未有的凸顯。我國正加快供給側結構性改革，加快培育數據要素市場，穩定傳統產業的同時科技創新驅動“新基建”發展。新時代、新形勢、新發展和新業態背景下，數據安全問題納入法治化軌道極具必要性和迫切性。

01、立法背景：沒有數據安全就沒有國家安全

數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全。當前，我國數據安全頂層制度設計加速推進。2015年《國家安全法》第25條明確提出“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。作為網絡安全綜合性立法，2017年《網絡安全法》將數據安全納入網絡安全范疇，基于網絡安全保障目的為個人信息保護與數據安全的部分重要、核心制度奠定了基礎。2018 年《數據安全法》《個人信息保護法》納入人大常委會立法規劃。2019年國家互聯網信息辦公室相繼發布《數據安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》等多部《網絡安全法》體系的下位配套文件，大力推進國家層面的數據治理規則構建和具體制度設計。2020年《民法典》明確個人信息、數據、網絡虛擬財產等屬于合法權益。執法實踐層面，圍繞個人信息非法采集和濫用、數據三性破壞等活動的數據安全專項治理行動空前有力。地方層面圍繞數據跨境、數據安全保障、數據開放、數據權等問題積極先試先行，典型如《天津市數據安全管理辦法（暫行）》《貴州省大數據安全保障條例》《深圳經濟特區數據條例（征求意見稿）》《中國（上海）自由貿易試驗區臨港新片區總體方案的通知》《海南自由貿易港建設總體方案》等。2020年7月3日，歷時3年制定時間的《數據安全法（草案）》正式向社會公開征求意見，備受關注。

新時代、新形勢、新發展和新業態背景下，國家層面的數據安全立法推進面臨著諸多難題。

第一，數據安全問題本身復雜性凸顯。數據安全問題橫跨數據與安全兩大領域，囊括數據靜態安全與動態利用安全兩大面向，涉及個人、企業、國家多方法益，同時還須考量區塊鏈、人工智能、5G等新技術新應用對傳統法律規則的沖擊。

第二，我國先前經驗相對不足。相較于歐美等國家或地區，我國的數據相關立法起步較晚，基于法律傳統、文化差異、產業發展水平等因素的不同，國際經驗借鑒也需進行根植于國情的本土化改造。近年來，國際社會圍繞數據資源的角逐與博弈日趨激烈，以歐盟《通用數據保護條例》（GDPR）、美國《加利福尼亞州消費者隱私保護法》(CCPA)等國際數據安全立法在互相融合的同時，諸多方面亦有明顯分立。

第三，數據安全立法演變為全球范圍內的利益協調與主權斗爭工具。以美國《合法使用境外數據明確法》（Cloud 法）以及相關國家的效仿或配合、歐盟《通用數據保護條例》（GDPR）為代表，立法趨勢表現為爭奪數據話語權，積極推行符合本國利益訴求的國際社會數據規則體系，擴張本國法律的適用范圍、提升執法行為的域外效力。隨著近年來中國綜合國力的提升，數據安全成為個別國家針對中國專門立法的重要關切，部分數據相關的立法條款更是成為個別國家抑制我國新技術新應用發展的重要借口，以此營造不利于我國的輿論氛圍，擠壓我國產業的國際發展空間。

第四，數據安全治理“中國方案”亟待突破。作為當前全球第一數據資源大國和全球第二大數字經濟體，中國人工智能、5G等新技術新應用場景越來越豐富，在某些領域和問題的規范與引導上已無成熟的國際經驗可循。數據安全治理“中國方案”一直在探索，亟待突破和確立，為中國企業走出去、推進全球數字化進程、增進全球人民數字福祉貢獻大國力量。

第五，數據權利保護的基礎性問題尚未解決。現下正值我國國家通信信息技術發展應用從量變到質變的特定時期，國家層面的立法承擔了“以安全保發展、以發展促安全”的數字經濟支撐使命。在中央將數據定位為生產要素的背景下可以預見，未來數據的流通與共享將更加常態化，而現階段以數據法律權屬、數據法律性質為代表的諸多基礎性問題還沒有解決，部分已經確立的規則也未能在安全和產業發展之間找到一個很好的平衡點。

第六，立法銜接與協調問題亟待考量。如何與國家安全領域的《國家安全法》《網絡安全法》《密碼法》《出口管制法》以及制定中的《個人信息保護法》等進行銜接與協調是國家層面立法體系安排中需要考慮的重要問題。

從研究視角來看，數據領域基礎性法律問題的解決還需要不斷探索，加強數據權利的本質、內涵、外延、客體、分類的研究，為數據權利保護提供底層支撐，在此基礎上，完備的國家立法應覆蓋數據主權維護、數據權利確認、生命周期保護、供應鏈條監管、跨境傳輸審查、境外要素（資本、技術、產品、人員、服務）審查、數據主體監管、數據濫用禁制等數據權利法律制度。

02、立法定位：數據安全領域的基礎性法律

科學的立法定位是搭建立法框架與設計立法制度的前提條件。立法定位對于法的結構確定起著引導作用，為法的具體制度設計提供法理上的判斷依據。與社會各界對《數據安全法》明確解決問題措施的預期有所差異，草案立法說明將《數據安全法》定位為“數據安全領域的基礎性法律”，這一自身立法定位決定了其以下特點：

第一，該法是安全保障法。該法以公權介入數據安全保護，提供認識數據安全問題、處理數據安全威脅和風險的法律路線。具體來說，以其對數據、數據活動、數據安全的界定為出發點，厘清不同面向的數據安全風險，構建數據安全保護管理全面、系統的制度框架，以戰略、制度、措施等來構建國家預防、控制和消除數據安全威脅和風險的能力，確立國家行為的正當性，提升國家整體數據安全保障能力。

第二，該法是基礎性法律。基礎性立法的功能更多注重的不是解決問題，而是為問題的解決提供具體指導思路，問題的解決要依靠相配套的法律法規。這也決定了其法律表述上的原則性和大量宣示性條款。但與此同時，預設好相關接口、整體立法語言的表述粒度均衡等也應特別注意。

第三，該法是數據安全管理的法律。數據安全作為網絡安全的重要組成部分，諸多安全制度可被網絡安全制度所涵蓋。在數據安全管理上，與《網絡安全法》充分協調，避免制度設計交叉與重復帶來的立法資源浪費、監管重復與真空、產業負擔是《數據安全法》制定過程中需重點關注的問題。

就安全保障法來說，作為數據安全領域的基礎性法律和國家安全法律制度體系的重要組成部分，草案第1條明確立法宗旨之一為“維護國家主權、安全和發展利益”，這與《國家安全法》第25條國家網絡與信息安全保障“主權、安全和發展利益”的宗旨一致。草案雖將數據界定為“電子或者非電子形式對信息的記錄”，對數據這一概念做了最大化解釋。

事實上，隨著信息化、網絡化、數字化的發展，無論是電子數據體量、影響的增長還是“傳統”非電子數據向電子數據的轉化都呈不可逆趨勢， 能帶來“數據這一非傳統領域的國家安全風險與挑戰”的更多是電子數據。草案將數據安全定義為“通過采取必要措施，保障數據得到有效保護和合法利用，并持續處于安全狀態的能力”，這與《國家安全法》對國家安全、《網絡安全法》對網絡安全的概念界定相似，都落腳到保障持續安全狀態的能力，安全狀態既包括了數據的靜態安全保障（防止因數據泄露、篡改、滅失所導致的保密性、完整性和可用性破壞），也包括了數據的動態利用安全保障（包括不限于加工、使用、提供、交易等環節的依法有序自由流動）。

草案為數不多的創設性法律責任條款第42、43和44條中，第42條既是對違反靜態安全保護義務的行政處罰，第43條和44條是針對非法交易、非法處理這兩大動態利用不當的行政處罰。

03、制度設計：數據安全治理的四梁八柱

在我國數據產業正處于高速發展的當下，數據安全風險、安全保障能力均在不斷發展、演變。尚不穩定的國際政治、經濟等形勢也成為影響數據安全制度設計的重要變量。在缺乏成熟經驗與范例，又異常敏感的情況下，《數據安全法》應厘清自身定位，明確自身需要重點解決的問題，重在構建起數據安全治理的四梁八柱，明確預防、控制和消除數據安全風險的制度、措施，確立國家行為的正當性，這里僅對草案的一些制度規定簡單予以評析。

數據安全監督管理體制。首先，草案第6條和第7條出現中央國家安全領導機構與國家網信部門兩處“統籌協調”的職責分工。雖然第7條將國家網信部門的統籌職責劃定在“網絡數據”范疇，但隨著我國信息化、數字化進程的快速推進，如此制度設計，未來中央國家安全領導機構與國家網信部門在數據安全領域的統籌協調職責將出現更多的重合，既不科學也不嚴謹，會造成理解和實施上的困難。

其次，各地區各部門承擔數據安全監管工作。數據安全監管工作具有較高的專業技術要求，行業主管部門對本行業的數據安全工作的指導和監督，受限于其工作重點、關注領域、專業能力、信息來源，難以代替數據安全職能部門的專業性監管。這一難題在動用國家之力對數據實行分級保護和重要數據目錄確定的責任落實中會表現得更為明顯。持續了三年有余的《網絡安全法》關鍵信息基礎設施認定工作歷程可作為參考。再次，第7條第1款的主體責任規定明顯不適合合并于職責分工這一條中，建議另行放置。

分級分類和重要數據重點保護制度。草案第19條規定了數據分級分類和重點數據保護制度。首先，鑒于數據同樣是影響網絡安全等級保護制度中定級、關鍵信息基礎設施認定的重要因素，此處的數據分級與等保、關保是否采用同樣的分級標準、如何協調需要進一步明確。近年來，《工業數據分類分級指南（試行）》《證券期貨業數據分類分級指引》《個人金融信息保護技術規范》等各部委發布的指引性文件及行業標準，對特定行業的數據分類分級具體標準進行了非常有幫助的嘗試。

其次，“重要數據保護制度”是本法的重要制度之一。重要數據也是《網絡安全法》的重要概念，需注意保持不同法律文本同一概念內涵和外延的一致性。重要數據概念、認定機制、保護方式、法律責任應當在本法中予以確立。針對維護國家核心利益和國家安全需要，應明確對基因、生物、醫療、地理等類別數據實施重點保護。鑒于“重要數據”一般具有攸關國家安全的高度敏感性，立法中應限制重要數據認定權授予、設置嚴格認定程序、強化認定結果監督。若“重要數據”將其交由各地自行決定，不僅可能不當擴大或縮小重要數據范圍，還可能導致數據跨地區流動和處理引發法律規避。建議由中央國家機關劃定重要數據的類型，各地區在上述劃定范圍內有權確定本地區重要數據目錄，在不同地區出現沖突的情況下，可上報中央國家機關決定。

最后，鑒于重要數據處理者需要履行更多的義務，政府部門認定是否屬于重要數據之后應當給予相關主體提出異議的權利和渠道。

數據跨境安全流動規則。數據跨境作為影響數據安全的重要因素，應當屬于《數據安全法》的重要規范對象。草案總則第10條明確提出要“促進數據跨境安全、自由流動”，但正文目前并未明確具體的規則。雖然第23條的數據出口管制、第33條的境外執法機構的跨境數據調取涉及數據出境問題，但無法涵蓋一般商業場景下的數據跨境流動問題。數據跨境流動規則的設計需充分研判以下因素，實現跨境的破局和流動性價值：

（1）各國數據跨境的的基本政策框架，找尋不同框架下的政策、法律差異，以及形成這些差異的緣由；

（2）不同的跨境政策，其后也有不同的技術能力、算法認同的支撐，應從歷史沿革和技術演化的長期過程充分考究邏輯、統計、生物等不同學科對數據技術和算法的影響，以及當前和未來的發展趨勢；

（3）嘗試局部、先行的區域或雙邊的數據跨境流動框架，在數據分級分類的前提下，可以進行某些行業、領域數據的跨境流動，避免數據流動性停滯導致的單一性，以及創新不足問題。

數據安全審查制度。草案第22條確立了數據安全審查制度，但未明確該制度的實施主體、實施機制、審查內容等。當前我國已通過《國家安全法》《網絡安全法》《外商投資法》等法律法規，建立起了網絡安全審查、外商投資審查等在內的國家安全審查體系。關于網絡安全審查，從2020年頒布的《網絡安全審查辦法》第9條的規定可看出，產品和服務使用后帶來的重要數據被竊取、泄露、毀損的風險屬于網絡安全審查的內容之一。在此背景下，網絡安全審查、外商投資審查與數據審查存在一定的交叉。如何處理數據安全審查與前述審查制度的關系，包括審查機制、審查內容、審查標準等需要重點考量。

數據出口管制制度。草案第23條建立了數據出口管制制度與《出口管制法》及數據出境安全評估制度之間的配合及銜接問題。當前《出口管制法》尚在制定中，從7月3日全國人大網公布的二次審議稿來看，目前的版本在第 32 條對信息出口管制做出了僅原則性的規定。

此外，《網絡安全法》《數據安全管理辦法（征求意見稿）》及《個人信息出境安全評估辦法（征求意見稿）》規定了重要數據及個人信息的數據出境安全評估要求。本條建立的數據出口管制制度與《出口管制法》及數據出境安全評估制度之間的配合及銜接需要通盤考慮。

境外執法機構數據調取的阻斷機制。草案第33條規定了境外執法機構獲取我國境內數據的報告和批準機制。本條是對美國CLOUD法為代表的執法數據跨境獲取體系威脅國家主權的阻斷。2018年10月我國通過的《國際刑事司法協助法》中第4條第3款規定被視為對 CLOUD 法的直接回應。但鑒于該條款規定抽象，也未設立相應的罰則，可操作性不足。草案第 33 條應為阻斷提供充足而有力的規定。

首先，建議將“境外執法機構”擴展至“境外機構”。從現實情況來看，境外要求提取數據的除執法機關外還有其他組織，對其提供數據同樣會對我國的國家安全帶來隱患。

其次，建議增加法律責任。本條缺乏對應的法律責任，一方面難以切實落實阻斷，另一方面法律責任的落空會讓企業依據CLOUD法做“禮讓分析”中缺少“不一致的法律要求”實質性依據。

此外，草案第20 條、第21條所確立的國家數據安全風險評估、報告、信息共享與監測預警機制、數據安全應急處置機制也與《網絡安全法》監測預警與應急處置一章的規定高度重合，需做好配合與銜接。

04、總　結

在技術日新月異的今天，如何有效地利用法治資源，在產業技術政策中確立以技術創新為核心的法治目標，是企業獲得生命力和國家謀求長足發展的基礎性保障。中國特色社會主義法治體系加速構建，《數據安全法》將與《國家安全法》《網絡安全法》《密碼法》、制定中的《個人信息保護法》和二次審議稿階段的《出口管制法》等共同構建起一個橫向內部體系更加協調、外部輻射范疇更為廣泛，縱向制度、原則、規則更為立體化的國家安全保障體系。

鑒于數據安全問題的復雜面向，草案存在各種問題和爭議，如數據主權維護機制、與其他基礎性立法的有效銜接、數據要素資源利用與數據安全協同治理的平衡考量、引進來走出去的法治營商環境構建、制度設計的合理性與可操作性、條款完整性和結構平衡性的立法技術問題等，這一方面須得各界人士腳踏實地地研究、調研和論證，為草案多提建設性意見；一方面有待有關部門加速《數據安全法》及其下位配套制度的設計、規劃、協調工作，推動數據安全治理“中國方案”不斷完善；另一方面基于國家統一層面的立法實施執法檢查、立法影響評估等工作也是國家治理現代化與中國特色社會主義安全法治體系構建的必然要求。