翟志勇

(北京航空航天大學 法學院，北京 100191)

一、引言

2018年9月7日第十三屆全國人大常委會公布立法規(guī)劃，包括三類共計116件立法，其中《數(shù)據(jù)安全法》位于第一類項目，屬于“條件比較成熟、任期內擬提請審議的法律草案”[1]。2020年6月28日第十三屆全國人大常委會第二十次會議審議并向社會公布了《數(shù)據(jù)安全法(草案)》，引發(fā)學界和實務界的廣泛關注。而之前呼聲甚高的《個人信息保護法》直到2020年10月21日才公布草案并公開征求社會公眾意見，由此可見數(shù)據(jù)安全立法的急迫性?！稊?shù)據(jù)安全法》雖然提上了立法日程，但在《數(shù)據(jù)安全法(草案)》公布之前，學術界的相關研究卻寥寥無幾①(1)①在《數(shù)據(jù)安全法(草案)》公布以前，直接研究數(shù)據(jù)安全立法的學術文章只有許可：《數(shù)據(jù)安全法：定位、立場與制度構造》，載《經(jīng)貿法律評論》2019年第3期，第52-65頁；韓偉：《安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析》，載《科技與法律》2019年第6期，第41-48頁。此外還有少量關于《網(wǎng)絡安全法》對于數(shù)據(jù)安全保護的研究。，與《個人信息保護法》研究的火熱程度形成強烈對比。在很少的研究中，涉及《數(shù)據(jù)安全法》體系定位的研究更是屈指可數(shù)，而《數(shù)據(jù)安全法》制定的首要問題正是法律體系定位問題，因為體系定位問題決定著《數(shù)據(jù)安全法》的內容及其與其他法律的關系，目前公布的《數(shù)據(jù)安全法(草案)》在內容上的模糊與龐雜，究其原因，就在于體系定位不明確。

對于數(shù)據(jù)安全和個人信息保護，2016年全國人大常委會制定的《網(wǎng)絡安全法》已經(jīng)作了原則性規(guī)定。在《網(wǎng)絡安全法》中，數(shù)據(jù)安全和個人信息保護依附于網(wǎng)絡安全，屬于網(wǎng)絡安全的一部分。從比較法上看，歐美各國的立法中，數(shù)據(jù)安全通常也與網(wǎng)絡安全和個人信息保護交織在一起，分散在各種不同的法律中，并沒有統(tǒng)一的數(shù)據(jù)安全立法。因此，當全國人大常委會決定在已經(jīng)制定《網(wǎng)絡安全法》的情況下，同時制定《數(shù)據(jù)安全法》和《個人信息保護法》時，制定過程中最大的困難之一就是《數(shù)據(jù)安全法》與《國家安全法》《網(wǎng)絡安全法》《個人信息保護法》之間的體系協(xié)調問題。由于在個人信息保護方面，已經(jīng)有諸多可供參考的立法例①(2)①如歐盟《一般數(shù)據(jù)保護條例》、美國《加州消費者隱私法》、印度《2018個人數(shù)據(jù)保護法》、巴西《一般數(shù)據(jù)保護法》、日本《個人信息保護法》、韓國《個人信息保護法》、新加坡《個人信息保護法》等。，因此《個人信息保護法》的體系問題相對容易解決，而《數(shù)據(jù)安全法》則完全無章可循，沒有可供參考的立法例，這也使得《數(shù)據(jù)安全法》的體系定位研究尤為必要和迫切。

要討論《數(shù)據(jù)安全法》在我國法律體系中的定位，首先需要從法理的層面上明確有關法律體系的幾個基本認知：第一，對于一個主權獨立的法治國家，通常存在著一個外在獨立、內在融貫的法律體系；第二，這個法律體系以憲法作為根本法和最高法，由不同位階的法律構成，無論是從價值上還是從效力上，這個法律體系是一個自上而下的金字塔結構；第三，在這個法律體系內部，所有的法律均不得違反憲法，下位法不得違反上位法，同位階的法律不能重復或相互矛盾，否則就不是一個內在融貫的法律體系；第四，在這個法律體系內部，每一部法律都應該是外部相對獨立、內部相對系統(tǒng)化的，如果一部法律不能相對自成一體，那么就不應該單獨制定成一部法律。②(3)②有關法律體系的研究，參見[英]約瑟夫·拉茲：《法律體系的概念》，吳玉章譯，商務印書館2017年版；[德]卡爾·拉倫茨：《法學方法論》，陳愛娥譯，商務印書館2003年版，第316-368頁；馮威：《法律體系如何可能？——從公理學、價值秩序到原則模式》，載《蘇州大學學報(法學版)》2014年第1期，第34-48頁。文中的四點認知，是基于這三項研究所做的概括。總之，立法機關在制定新法律時，首先要做的就是在現(xiàn)行法律體系內部為新法律進行體系定位，確定新法律的上位法以及新法律與同位階法律之間的體系協(xié)調關系。

本文從法律體系的角度出發(fā)，初步探討數(shù)據(jù)安全法的體系定位：首先，《國家安全法》中的“安全”概念是狹義上的傳統(tǒng)安全概念，無法成為《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》的上位法，數(shù)據(jù)安全自然會涉及國家安全，但國家安全僅僅是數(shù)據(jù)安全的一個側面而已；其次，《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領域的基礎性法律，應該建立獨立的數(shù)據(jù)安全法律體系，不應該與《網(wǎng)絡安全法》分割數(shù)據(jù)安全法律體系，雖然數(shù)據(jù)安全在一定程度上依賴于網(wǎng)絡安全，但從法律體系構造上看，《數(shù)據(jù)安全法》可以也應該獨立于《網(wǎng)絡安全法》；最后，《數(shù)據(jù)安全法》和《個人信息保護法》并非底層立法和上層立法的關系，兩者具有不同的法理基礎和制度邏輯?？傊瑖野踩?、網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護雖然是相互關聯(lián)的，但從法律體系構造的角度來看，正因為其相互關聯(lián)，更需要在立法時進行清晰的體系定位，每部法律都應該在整個法律體系內部建立各自相對獨立且自足的體系。

二、安全法體系及其規(guī)范基礎

在我國法律體系中，以“安全法”命名的法律共有11部，包括《食品安全法》《農產品質量安全法》《核安全法》《道路交通安全法》《海上交通安全法》《特種設備安全法》《礦山安全法》《國家安全法》《網(wǎng)絡安全法》《香港特別行政區(qū)維護國家安全法》《生物安全法》③(4)③在2018年9月7日第十三屆全國人大常委會公布的立法規(guī)劃中，《生物安全法》屬于“立法條件尚不完全具備、需要繼續(xù)研究論證的立法項目”，但由于新冠肺炎疫情的影響，《生物安全法》加速制定，2020年4月26日至29日召開的十三屆全國人大常委會第十七次會議已經(jīng)開始審議《生物安全法(草案)》，2020年10月17日十三屆全國人民代表大會常務委員會第二十二次會議審議通過，自2021年4月15日起施行。。此外還有一些雖不以“安全法”命名，但同樣涉及安全問題的法律，如《突發(fā)事件應對法》《傳染病防治法》等。這些法律以及配套的行政法規(guī)、地方性法規(guī)和部門規(guī)章，構成我國法律體系中的安全法體系。④(5)④法學界對于安全法體系還沒有深入的研究，現(xiàn)有安全法教材基本上是安全生產法教材，將安全法學視為“一門研究與職業(yè)安全健康相關的法律法規(guī)標準的起源、現(xiàn)狀與發(fā)展規(guī)律的科學，屬于勞動法體系的分支學科”，這個界定顯然無法涵蓋我國法律體系中的安全法體系。參見趙耀江、栗繼祖主編：《安全法學》(第2版)，機械工業(yè)出版社2011年版，第35頁。不過法學界已經(jīng)注意到風險社會中的安全法制問題，《憲政與行政法治評論》2011年專門組織“風險社會與安全法制”專題，但目前還沒有學者對安全法體系進行系統(tǒng)性的理論研究。那么如何理解安全法體系在整個法律體系中的位置？如何理解安全法體系內部各部安全法之間的關系？是我們討論《數(shù)據(jù)安全法》體系定位的基本出發(fā)點。

這些安全法均由全國人大常委會制定，因此按照《憲法》和《立法法》的規(guī)定，這些安全法不屬于應該由全國人民代表大會制定的“刑事、民事、國家機構的和其他的基本法律”，那么接下來的問題就是，這些安全法屬于全國人民代表大會制定的“基本法律”的特別法嗎？如果屬于，那么屬于哪部或哪些部“基本法律”的特別法？如果不屬于，那么該如何理解這些安全法的上位法呢？在這些安全法中，只有《國家安全法》在第1條中明確規(guī)定“根據(jù)憲法，制定本法”，憲法中多次提到“國家的安全”(序言)、“國家安全”(第28條、40條)、“祖國的安全”(第54條)，這正是《國家安全法》制定的憲法基礎，所以明確規(guī)定“根據(jù)憲法，制定本法”順理成章，因此《國家安全法》不屬于任何“基本法律”的特別法，而是屬于“基本法律”之外的一般法律。

除了《國家安全法》，其他安全法均未在條文中規(guī)定據(jù)以制定的上位法，既未明確規(guī)定“根據(jù)憲法，制定本法”，也未明確規(guī)定根據(jù)某部基本法律制定本法，那么該如何理解其他安全法的上位法呢？其他安全法是《國家安全法》或某部“基本法律”的特別法嗎？答案是否定的。首先，從內容上看，其他安全法所規(guī)定的內容與《國家安全法》所規(guī)定的內容相去甚遠，《國家安全法》主要涉及主權和政治安全①(6)①《國家安全法》第4條中規(guī)定的危害國家安全的行為包括：“(一)陰謀顛覆政府，分裂國家，推翻社會主義制度的；(二)參加間諜組織或者接受間諜組織及其代理人的任務的；(三)竊取、刺探、收買、非法提供國家秘密的；(四)策動、勾引、收買國家工作人員叛變的；(五)進行危害國家安全的其他破壞活動的?！边@些行為主要涉及主權和政治安全，不涉及其他的安全事項。，《國家安全法》并未為其他安全法提供規(guī)范基礎，因此其他安全法不是《國家安全法》的特別法②(7)②“總體安全觀”的提出，并不意味著《國家安全法》中的“安全”體現(xiàn)了總體安全觀，事實上《國家安全法》中的安全仍是傳統(tǒng)的安全，非傳統(tǒng)安全需要在《國家安全法》之外的其他法律中得以落實。關于非傳統(tǒng)安全的系統(tǒng)性論述，參見余瀟楓：《非傳統(tǒng)安全概論》(第三版)，北京大學出版社2019年版。；其次，仍然從內容上看，在全國人民代表大會制定的“基本法律”中，也找不到某部法律可以成為某部安全法的上位法，這些安全法均是針對特殊領域內的特殊安全問題所作的規(guī)定，并沒有一個明確的上位法作為依據(jù)，這或許也是全國人大常委會在制定這些安全法時，未在第1條中明確規(guī)定該部安全法的上位法的原因所在。③(8)③根據(jù)《立法法》第7條規(guī)定：“全國人民代表大會和全國人民代表大會常務委員會行使國家立法權。全國人民代表大會制定和修改刑事、民事、國家機構的和其他的基本法律。全國人民代表大會常務委員會制定和修改除應當由全國人民代表大會制定的法律以外的其他法律”。因此，全國人大常委會制定的法律未必要有“基本法律”作為基礎，只要不違反“基本法律”即可。如果這些安全法并非任何“基本法律”的特別法，那么從法律體系上看，只能認為這些安全法的上位法也是憲法，雖然這些安全法中沒有明確寫著“根據(jù)憲法，制定本法”。

一部法律是否應該在條文中明確規(guī)定據(jù)以制定的上位法，《憲法》和《立法法》都沒有明確規(guī)定，法律理論中也沒有一致的意見。民法學者和憲法學者曾就《民法典》第1條是否應該規(guī)定“根據(jù)憲法，制定本法”發(fā)生學術爭論。龍衛(wèi)球教授認為，如果從立法權及其機制來講，今天中國的任何民事立法，都是依據(jù)憲法制定的，但從這個意義上講，在條文中規(guī)定“根據(jù)憲法，制定本法”是沒有意義的，因為憲法和《立法法》中對此已經(jīng)作了規(guī)定。但是，如果《民法典》中規(guī)定“根據(jù)憲法，制定本法”，意味著《民法典》既要接受符合憲法積極授權又不觸犯憲法消極限制的雙重檢驗，這從民法和憲法發(fā)展的歷史來看是不成立的，因為民法在先，憲法在后，民法自身就是高級法，無須以憲法作為高級法。[2]175-179,[3]而憲法學者自然反對這種說法，不過憲法學者在捍衛(wèi)憲法的高級法地位時，并不主張《民法典》的任何規(guī)范都要得到《憲法》的積極授權，主要從消極層面上，認為《民法典》的規(guī)范應該能夠通過合憲性審查，并且認為《民法典》本身就具有一定的憲法功能。④(9)④參見林來梵、龍衛(wèi)球、王涌、張翔：《民法典編纂的憲法問題》，載《交大法學》2016年第4期，第5-32頁；韓大元：《憲法與民法關系在中國的演變——一種學說史的梳理》，載《清華法學》2016年第6期，第151-167頁；王鍇：《憲法與民法的關系論綱》，載《中國法律評論》2019年第1期，第42-50頁。從過往的立法情況看，全國人民代表大會制定的法律中絕大部分規(guī)定“根據(jù)憲法，制定本法”，而全國人民代表大會常務委員會制定的法律中，絕大部分都不規(guī)定“根據(jù)憲法，制定本法”。雖然從歷史演化和價值秩序方面可以爭論憲法與民法的關系問題，但從法律體系的角度來看，毫無疑問的是，憲法居于法律體系規(guī)范等級的最高處，其他法律都是憲法的下位法，《民法典》自然也不例外，是否規(guī)定“根據(jù)憲法，制定本法”其實無關宏旨。

因此，從法律體系的角度來看，無論一部法律中是否規(guī)定“根據(jù)憲法，制定本法”，如果某部法律不是某部“基本法律”的特別法，那么在實質上就是以憲法作為上位法的。除了憲法之外，不存在沒有上位法的法律，否則法律體系就是不融貫的。就整個安全法體系而言，從積極的方面看，這些安全法是對憲法中的某些規(guī)范和價值的落實，從消極的方面看，這些安全法不能違反憲法中的限制性規(guī)定，也就是說必須能夠通過合憲性審查，對這些法律的解釋，也應遵循合憲性解釋。也就是說，整個安全法體系都是以憲法作為上位法的，《國家安全法》是對憲法中有關國家安全規(guī)范的落實，那其他安全法呢？憲法中并沒有明確的有關其他安全的規(guī)范，那么該如何理解其他安全法以憲法作為上位法呢？簡單來說，數(shù)據(jù)安全涉及公民的人格尊嚴、人身安全和財產安全，正是對人權和公民基本權利保護的要求，需要對數(shù)據(jù)安全加以保護。

根據(jù)森英樹教授的研究，早在1776年，《弗吉尼亞權利法案》和《獨立宣言》都將safety和security設定為“權利法案”和國家所要保護的重要權利和價值。1789年法國《人與市民的權利宣言》以及隨后的幾部憲法，也將safety作為憲法應該保護的一項基本權利。二戰(zhàn)后《世界人權宣言》第3條規(guī)定“任何人都享有生命、自由和人身安全的權利”。英文單詞safety和security都可以翻譯為中文“安全”，但兩者之間存在細微的差別，森英樹教授認為，“可以將safety推認為‘與客觀的現(xiàn)實危險相對的具體安全’，將security推認為有組織地提供安全‘以備將來不安的安心體系’。引用權利論的話來說，暫且將兩者作這樣的類型化，即將safety視為作為人的具體權利的‘安全’，將security視為作為政府的制度化任務的‘安全’。”[4]72-76換句話說，security是為保護作為個人的具體權利的safety而建構的安全體系。

雖然我國《憲法》中除了國家安全之外，沒有其他關于安全的具體規(guī)范，但從具體權利的角度，可以嘗試將安全(safety)解釋為一種從人權中推導出來的未列舉基本權利。①(10)①安全能否成為憲法上的未列舉憲法權利，憲法學界還沒有探討過，但從概括性人權保障條款進行證立，理論上講是可行的。這方面的探討，參見余軍：《未列舉憲法權利：論據(jù)、規(guī)范與方法》，中國政法大學出版社2017年版，第101-182頁。但更為重要的是，可以從人權和基本權利保護層面，推導出國家有責任提供安全體系(security)，以確保公民的人身和財產安全(safety)，這是整個安全法體系的規(guī)范基礎。②(11)②從社會契約論的角度看，人放棄自然權利，通過締結社會契約建立國家，目的之一就是國家可以提供安全保障，這在霍布斯的《利維坦》和洛克的《政府論》中均有論述，參見[英]霍布斯：《利維坦》，黎思復、黎延弼譯，商務印書館1985年版，第128-132頁；[英]洛克：《政府論》(下卷)，葉啟芳、瞿菊農譯，商務印書館1964年版，第59-76頁。無論是食品安全還是道路交通安全，抑或網(wǎng)絡和數(shù)據(jù)安全，都可以視為國家提供的安全體系的一部分。因此從整個法律體系尤其是安全法體系來看，《數(shù)據(jù)安全法》是以憲法為上位法的“基本法律”之外的一般法律，《數(shù)據(jù)安全法》的立法目的是通過對數(shù)據(jù)安全的保護，來保護國家安全、人權和公民的基本權利。③(12)③馬長山教授認為：“隨著數(shù)字經(jīng)濟和智慧社會的深入發(fā)展，人權形態(tài)正在經(jīng)歷著深刻的數(shù)字化重塑，從而打破了既有的‘三代‘人權發(fā)展格局，開啟了以‘數(shù)字人權’為代表的‘第四代人權’?！痹谶@個意義上，數(shù)據(jù)安全保護構成了第四代人權保護的一部分。參見馬長山：《智慧社會背景下的“第四代人權”及其保障》，載《中國法學》，2019年第5期，第5-24頁。

《數(shù)據(jù)安全法(草案)》第1條規(guī)定：“為了保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護公民、組織的合法權益，維護國家主權、安全和發(fā)展利益，制定本法”。從這條規(guī)定也可以看出，立法者并未將《數(shù)據(jù)安全法》視為《國家安全法》的下位法，保護數(shù)據(jù)安全，當然涉及維護國家主權和安全，但同樣涉及保護公民和組織的合法權益，以及促進數(shù)據(jù)產業(yè)的發(fā)展。僅僅從國家安全的角度來看待《數(shù)據(jù)安全法》，就會把《數(shù)據(jù)安全法》所要實現(xiàn)的目標嚴重窄化，不利于系統(tǒng)地理解、制定和適用數(shù)據(jù)安全法律規(guī)范。當然，這并不意味著絕對不能將《數(shù)據(jù)安全法》制定成《國家安全法》的下位法或特別法，但如果這樣，不僅要求《數(shù)據(jù)安全法》的內容必須只能涉及國家安全，而且意味著還需要在其他法律中解決國家安全之外的數(shù)據(jù)安全問題，因此從法律體系構造的角度來看，無論如何《數(shù)據(jù)安全法》都不應該成為《國家安全法》的下位法或特別法。此外，對于這種情況，完全可以通過修改《國家安全法》將涉及國家安全的數(shù)據(jù)安全問題納入其中，更沒有必要單獨制定作為《國家安全法》的下位法或特別法的《數(shù)據(jù)安全法》。

三、網(wǎng)絡安全與數(shù)據(jù)安全

如果《數(shù)據(jù)安全法》不是《國家安全法》的下位法，而是以《憲法》為上位法的“基本法律”之外的一般法律，那么接下來的體系定位問題就是在安全法體系內部，《數(shù)據(jù)安全法》與《網(wǎng)絡安全法》之間的體系關系問題。首先要明確的是，《網(wǎng)絡安全法》也不是《國家安全法》的下位法，也是以《憲法》為上位法的“基本法律”之外的一般法律，理由與《數(shù)據(jù)安全法》相同?！毒W(wǎng)絡安全法》的重點內容是“對網(wǎng)絡自身的安全作出制度性安排，同時在信息內容方面也作出相應的規(guī)范性規(guī)定，從網(wǎng)絡設備設施安全、網(wǎng)絡運行安全、網(wǎng)絡數(shù)據(jù)安全、網(wǎng)絡信息安全等方面建立和完善相關制度”①(13)①全國人大常委會法制工作委員會：《關于〈中華人民共和國網(wǎng)絡安全法(草案)〉的說明》，2015年6月24日在第十二屆全國人民代表大會常務委員會第十五次會議上。。也就是說，《網(wǎng)絡安全法》除了規(guī)定網(wǎng)絡自身安全即設施設備和網(wǎng)絡運行安全之外，還規(guī)定了網(wǎng)絡中的數(shù)據(jù)安全和信息安全，但數(shù)據(jù)安全和信息安全不屬于“網(wǎng)絡自身的安全”，因此也就意味著，數(shù)據(jù)安全和信息安全是可以與“網(wǎng)絡自身的安全”分開處理的?！毒W(wǎng)絡安全法》中共有17個條文涉及數(shù)據(jù)和個人信息，處理了三大類的問題：“一是，要求網(wǎng)絡運營者采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，防止網(wǎng)絡數(shù)據(jù)被竊取或者篡改。二是，加強對公民個人信息的保護，防止公民個人信息數(shù)據(jù)被非法獲取、泄露或者非法使用。三是，要求關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數(shù)據(jù)；確需在境外存儲或者向境外提供的，應當按照規(guī)定進行安全評估?！雹?14)②全國人大常委會法制工作委員會：《關于〈中華人民共和國網(wǎng)絡安全法(草案)〉的說明》，2015年6月24日在第十二屆全國人民代表大會常務委員會第十五次會議上。

《網(wǎng)絡安全法》將網(wǎng)絡安全定義為：“網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力?！?第76條)這個定義實際上分為兩部分，其一是網(wǎng)絡設施設備和運行安全，其二是網(wǎng)絡數(shù)據(jù)安全?！耙约啊边@個連接詞的使用，不僅表明兩種安全的不同，也表明數(shù)據(jù)安全在網(wǎng)絡安全中的從屬地位?！毒W(wǎng)絡安全法》制定時，由于還沒有關于數(shù)據(jù)安全的法律，因此有必要將數(shù)據(jù)安全納入到網(wǎng)絡安全之中，現(xiàn)在全國人大常委會決定單獨制定《數(shù)據(jù)安全法》，那么《網(wǎng)絡安全法》中有關數(shù)據(jù)安全的規(guī)范如何處理？以及如何協(xié)調網(wǎng)絡安全與數(shù)據(jù)安全的關系呢？③(15)③保護網(wǎng)絡安全必然在事實上保護數(shù)據(jù)安全，但這是個事實問題，而非規(guī)范問題，基于這個事實，如何分別構建網(wǎng)絡安全與數(shù)據(jù)安全的規(guī)范體系，是一個重要的立法技術問題，從法律體系構造的角度看，當同時制定《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》時，必然意味著網(wǎng)絡安全規(guī)范與數(shù)據(jù)安全規(guī)范在技術上的分離。

《網(wǎng)絡安全法》中將數(shù)據(jù)安全定義為“數(shù)據(jù)的完整性、保密性、可用性”，這個定義與國際標準化組織關于信息安全的定義一致④(16)④ISO/IEC 27000:2018：Information technology—Security techniques—Information security management systems—Overview and vocabulary.，也與國外有關信息安全的定義一致，比如美國《2014聯(lián)邦信息安全現(xiàn)代化法》將“信息安全”界定為：“指保護信息和信息系統(tǒng)不受未經(jīng)授權的訪問、使用、披露、破壞、修改或銷毀，以便提供(A)完整性，即防止不當?shù)男畔⑿薷幕蜾N毀，包括確保信息的不可否認性和真實性;(B)保密性，即保留對訪問和披露的授權限制，包括保護個人隱私和專有信息的手段;(C)可用性，即確保及時和可靠地訪問和使用信息。”⑤(17)⑤PUBLIC LAW 113-283-DEC.18,2014.128 STAT.3074.在美國法中，“信息安全”的含義大體上可以等同于我國法律中使用的“數(shù)據(jù)安全”的含義。本文在相同的意義上使用信息安全和數(shù)據(jù)安全兩個概念，對于它們之間可能存在的差異，在不影響本文論述的情況下，不做區(qū)分。數(shù)據(jù)的完整性、保密性和可用性是數(shù)據(jù)安全的目標，而確保數(shù)據(jù)安全的機制是禁止未經(jīng)授權的訪問、使用、披露、破壞、修改或銷毀。由于網(wǎng)絡數(shù)據(jù)依附于網(wǎng)絡系統(tǒng)，因此網(wǎng)絡安全和數(shù)據(jù)安全必然是緊密聯(lián)系在一起的，但網(wǎng)絡安全和數(shù)據(jù)安全的內涵、目標、實施機制等各方面仍存在巨大差異。存在網(wǎng)絡安全受到侵害但并不危及數(shù)據(jù)安全的情況，反過來也存在數(shù)據(jù)安全受侵害但并不危及網(wǎng)絡安全的情況，比如劍橋分析公司對Facebook上的數(shù)據(jù)的使用，危及了Facebook的數(shù)據(jù)安全，但并不危及網(wǎng)絡設施設備和運營安全。因此，將數(shù)據(jù)安全和網(wǎng)絡安全分開處理并單獨立法，無論理論上還是實踐上至少是可行的，但是不是最優(yōu)的，可以繼續(xù)探討。

從比較法的角度來看，歐美的網(wǎng)絡安全和數(shù)據(jù)安全立法也在一定程度上是分開處理的，特別是涉及個人數(shù)據(jù)安全的立法，往往跟個人數(shù)據(jù)或信息保護立法交織在一起。歐洲議會和歐盟委員會2019年4月17日頒布《網(wǎng)絡安全法》(REGULATION(EU)2019/881)⑥(18)⑥該法的全稱是On ENISA(the Europen Union Agency for Cybersecurity) and On Information and Communications Technology Cybersecurity and Repealing Regulation(EU)No526/2013.,內容主要涉及兩個方面：其一是“歐盟網(wǎng)絡安全機構局(ENISA)的目標、任務和組織機構事項”；其二是“為了確保歐盟內部ICT產品、ICT服務和ICT程序的充分水準的網(wǎng)絡安全，以及為了避免歐盟內部與網(wǎng)絡安全認證計劃相關的內部市場的碎片化，為歐盟網(wǎng)絡安全認證計劃的建立設定框架”①(19)①REGULATION(EU)2019/881,Article 1.。因此，歐盟網(wǎng)絡安全法只涉及ICT產品、服務和程序，并未對數(shù)據(jù)安全作出規(guī)定。歐盟目前也沒有統(tǒng)一的數(shù)據(jù)安全立法，《一般數(shù)據(jù)保護條例》中對“個人數(shù)據(jù)的安全性”作出了規(guī)定，要求數(shù)據(jù)控制者和處理者應當采取適當?shù)募夹g和組織措施保證數(shù)據(jù)處理過程的安全性，一旦發(fā)生數(shù)據(jù)泄漏，應及時通知監(jiān)管機構和個人。②(20)②General Data Protection Regulation,Article 32、33、34.中譯本參見《一般數(shù)據(jù)保護條例》，瑞栢律師事務所譯，法律出版社2018年版，第63-64頁。但對于重要數(shù)據(jù)的安全，歐盟沒有單獨的法律規(guī)定，而是將重要數(shù)據(jù)的安全依托于網(wǎng)絡安全，特別是關鍵信息基礎設施的安全。③(21)③The Directive on Security of Network and Information Systems(DIRECTIVE(EU)2016/1148)，On a Framework for the Free Flow of Non-Personal Data in the European Union(REGULATION(EU)2018/1807).

美國同樣沒有統(tǒng)一的網(wǎng)絡安全和數(shù)據(jù)安全立法。2015年美國國會通過一部有關網(wǎng)絡安全的綜合性法律，法律的正式名稱是《通過加強網(wǎng)絡安全威脅信息共享提高美國的網(wǎng)絡安全以及其他目的》，簡稱為《網(wǎng)絡安全法》。④(22)④To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats,and for other purposes，https://www.congress.gov/bill/114th-congress/senate-bill/754.2020年7月14日訪問。中譯本參見《美國網(wǎng)絡安全法》，陳斌等譯，中國民主法制出版社2017年版。該法律由四部分組成，分別為《2015網(wǎng)絡安全信息共享法》(CybersecurityInformationSharingActof2015)、《2015聯(lián)邦網(wǎng)絡安全提升法》(FederalCybersecurityEnhancementActof2015)、《2015年聯(lián)邦網(wǎng)絡安全勞動力評估法》(FederalCybersecurityWorkforceAssessmentActof2015)、《其他網(wǎng)絡問題》(OtherCyberMatters)。除此之外，美國涉及網(wǎng)絡安全的法律還包括《電子通信隱私法》(1986)、《計算機安全法》(1987)、《國土安全法》(2002)、《聯(lián)邦信息安全管理法》(2002)等。但這些法律主要處理的是網(wǎng)絡設施設備安全和運營安全，間接保護網(wǎng)絡系統(tǒng)中的數(shù)據(jù)安全。

關于數(shù)據(jù)安全立法，根據(jù)美國“國會研究服務中心”(Congressional Research Service)的報告，美國聯(lián)邦層面沒有關于數(shù)據(jù)安全的統(tǒng)一立法，但至少有13部法律涉及數(shù)據(jù)保護，包括數(shù)據(jù)隱私和數(shù)據(jù)安全兩個問題。⑤(23)⑤美國聯(lián)邦涉及數(shù)據(jù)保護方面的法律主要有《兒童在線隱私保護法》(Children’s Online Privacy Protection Act,Communications Act of 1934),《計算機欺詐和濫用法》(Computer Fraud and Abuse Act),《消費者金融保護法》(Consumer Financial Protection Act),《電子通信隱私法》(Electronic Communications Privacy Act),《公平信用報告法》(Fair Credit Reporting Act),《聯(lián)邦安全法》(Federal Securities Laws),《聯(lián)邦貿易委員會法》(Federal Trade Commission Act), 《金融服務現(xiàn)代化法》(Gramm-Leach-Bliley Act),《健康保險可攜帶與可問責法》(Health Insurance Portability and Accountability Act), 《視頻隱私保護法》(Video Privacy Protection Act)。此外，美國商務部國家標準與技術研究所為回應《2014聯(lián)邦信息安全現(xiàn)代化法》的要求，先后發(fā)布《受控非秘信息評估安全要求》和《保護非聯(lián)邦系統(tǒng)和組織中的受控非密信息(草案)》，對類似于重要數(shù)據(jù)的“受控非密信息”的識別和分級分類做出了指南。⑥(24)⑥Assessing Security Requirements for Controlled Unclassified Information，https://csrc.nist.gov/publications/detail/sp/800-171a/final；Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations，https://csrc.nist.gov/publications/detail/sp/800-171b/draft.2020年7月14日訪問。除了聯(lián)邦之外，各州也制定大量涉及數(shù)據(jù)安全的法律，根據(jù)美國“州立法機關全國大會”(National Conference of State Legislatures)的統(tǒng)計，在過去的兩三年中，至少23個州立法機關制定法律要求州政府機構采取安全措施確保政府收集的數(shù)據(jù)的安全。至少25個州立法機關制定法律，要求私營機構采取“合理的安全程序和實踐”確保個人信息不被未經(jīng)授權地訪問、使用、破壞、修改或泄露。至少有35個州頒布法律要求私人或政府部門銷毀、處置或以其他方式使個人信息不可讀或無法破譯。全美所有的州都頒布了法律，要求私人或政府部門在涉及個人身份信息的數(shù)據(jù)安全被侵犯時及時通知個人。⑦(25)⑦所有這些法律的列表參見，https://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx.2020年7月14日訪問。

從歐美的立法情況來看，歐美國家并未單獨針對數(shù)據(jù)安全進行立法，而是將數(shù)據(jù)安全問題一分為二，重要數(shù)據(jù)的安全依托于網(wǎng)絡安全特別是關鍵信息基礎設施安全，個人數(shù)據(jù)安全融入個人信息保護中。因此，當我國獨立制定《數(shù)據(jù)安全法》時，就同時面臨著跟《網(wǎng)絡安全法》和《個人信息保護法》的體系協(xié)調問題。

就內容而言，《數(shù)據(jù)安全法》將是數(shù)據(jù)安全領域的最高法律，其內容遠遠超過《網(wǎng)絡安全法》中有關數(shù)據(jù)安全的規(guī)定，因此《數(shù)據(jù)安全法》以《網(wǎng)絡安全法》作為上位法，既沒必要也不可能，《數(shù)據(jù)安全法》與《網(wǎng)絡安全法》將是同一位階上平行的法律，都是以《憲法》為上位法的“基本法律”之外的一般法律，一個規(guī)范數(shù)據(jù)安全，一個規(guī)范網(wǎng)絡安全。就與《網(wǎng)絡安全法》體系協(xié)調而言：首先，《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領域的基礎性法律，必須基于保護數(shù)據(jù)安全的要求，建構完整的數(shù)據(jù)安全法律體系，必須實現(xiàn)內在體系的相對獨立與自足；其次，對于那些能夠通過網(wǎng)絡安全實現(xiàn)的數(shù)據(jù)安全，或那些數(shù)據(jù)安全必須依賴于網(wǎng)絡安全才能實現(xiàn)的，如果《網(wǎng)絡安全法》中已經(jīng)建立了完善的安全規(guī)范，那么就意味著數(shù)據(jù)安全可以得到保護，《數(shù)據(jù)安全法》就沒有必要再疊床架屋進行規(guī)范了，如果為了維持《數(shù)據(jù)安全法》內在體系的完整，可以單獨規(guī)定一個條款，明確哪些數(shù)據(jù)安全問題適用《網(wǎng)絡安全法》的規(guī)定；再次，《數(shù)據(jù)安全法》頒布之后，《網(wǎng)絡安全法》中有關數(shù)據(jù)安全的規(guī)范，除了是為維護網(wǎng)絡安全所必須，或是為了體系協(xié)調做必要的保留，均應該刪除，從而使網(wǎng)絡安全規(guī)范和數(shù)據(jù)安全規(guī)范相互獨立并自成體系。

順便說一下，網(wǎng)信辦起草《數(shù)據(jù)安全管理辦法》(征求意見稿)是以《網(wǎng)絡安全法》作為上位法的，但這并不意味著將來的《數(shù)據(jù)安全法》要以《網(wǎng)絡安全法》為上位法。這是因為《網(wǎng)絡安全法》對數(shù)據(jù)安全僅做了原則性規(guī)定，網(wǎng)信辦作為網(wǎng)絡安全的管理部門，制定《數(shù)據(jù)安全管理辦法》是對《網(wǎng)絡安全法》的具體落實，因此必然要以《網(wǎng)絡安全法》作為上位法，將來制定《數(shù)據(jù)安全法》后，網(wǎng)信辦再制定《數(shù)據(jù)安全管理辦法》就只能以《數(shù)據(jù)安全法》作為上位法了。

四、個人信息保護與數(shù)據(jù)安全

就目前的立法情況來看，無論是我國的立法還是歐美的立法，個人信息保護和個人數(shù)據(jù)安全通常都是交織在一起的。如歐盟《一般數(shù)據(jù)保護條例》中包含個人數(shù)據(jù)安全的規(guī)定，作為數(shù)據(jù)控制者和處理者的特殊義務。①(26)①General Data Protection Regulation,Article 32、33、34.中譯本參見《一般數(shù)據(jù)保護條例》，瑞栢律師事務所譯，法律出版社2018年版，第63-64頁。美國法中個人數(shù)據(jù)保護涉及數(shù)據(jù)隱私和數(shù)據(jù)安全兩個領域，數(shù)據(jù)隱私涉及“如何控制個人信息的收集、使用和流通”，數(shù)據(jù)安全涉及“(1)保護個人信息免遭未經(jīng)授權的訪問或使用，(2)對未經(jīng)授權的訪問或使用做出回應”②(27)②CRS Report R45631,Data Protection and Privacy Law:An Overview,https://crsreports.congress.gov/product/pdf/R/R45631,2020年7月14日訪問。。我國《網(wǎng)絡安全法》同時對個人信息保護和數(shù)據(jù)安全作了原則性規(guī)定。③(28)③《網(wǎng)絡安全法》第22、37、41、42、43、44、45、64、76條涉及個人信息及其保護，第10、18、21、27、31、34、37、66、76條涉及數(shù)據(jù)及其保護。網(wǎng)信辦起草的《數(shù)據(jù)安全管理辦法》(征求意見稿)和《個人信息出境安全評估辦法》(征求意見稿)同樣將個人信息保護和個人數(shù)據(jù)安全融為一體。不過按照目前的立法規(guī)劃，未來個人信息保護和數(shù)據(jù)安全將分別規(guī)定在《個人信息保護法》和《數(shù)據(jù)安全法》中，立法中分開處理已經(jīng)不可避免。

不僅在立法中個人信息保護和個人數(shù)據(jù)安全交織在一起，在學術研究中，學者也往往不太區(qū)分個人信息保護和個人數(shù)據(jù)安全，或者說主要在個人信息保護的層面上思考個人數(shù)據(jù)安全，將個人數(shù)據(jù)安全視為個人信息保護的附屬問題。[5]但也有學者開始注意到了兩者之間的差別甚至某種程度上的對立，并主張將兩者分開研究和處理。如德里克認為隱私和安全可以也應該分開處理，因為隱私涉及在不同的權利和利益之間進行權衡和選擇，比如隱私與言論自由之間的沖突；而安全負責執(zhí)行選擇的結果，因此安全不涉及道德之間的競爭，只對競爭的結果進行保護，因此數(shù)據(jù)安全應該被更嚴格地執(zhí)行，安全事故應該被更嚴格地懲罰。④(29)④在美國法的語境下，個人信息保護經(jīng)常用“隱私”或“信息隱私”來表述。參見Derek E.Bambauer,Privacy Versus Security,The Journal of Criminal Law and Criminology,Vol.103,No.3(2013),p.683.勞倫·亨利則更進一步認為：“數(shù)據(jù)安全與信息隱私有著不同的目標，數(shù)據(jù)安全可以懷疑信息隱私甚至與之對立。法律應承認信息隱私和數(shù)據(jù)安全是獨立的制度目標，以防止在數(shù)據(jù)安全目標與信息隱私目標背道而馳的極端情況下，出現(xiàn)不良或至少不可預測的結果?！盵5]比如為了數(shù)據(jù)安全目的共享安全信息，可能會危及個人信息保護。因此，《數(shù)據(jù)安全法》與《個人信息保護法》的體系協(xié)調問題，首先需要在理論上澄清個人信息保護與數(shù)據(jù)安全的聯(lián)系與區(qū)別。

個人信息保護和個人數(shù)據(jù)安全之所以可以也應該分開規(guī)范，原因在于兩者的法理基礎不同。簡而言之，個人信息保護是以“同意”為基礎的個人控制模式，模式的核心是對數(shù)據(jù)主體進行賦權；而個人數(shù)據(jù)安全是以“風險”為基礎的社會控制模式，模式的核心是對數(shù)據(jù)進行分類并在此基礎上建立數(shù)據(jù)安全認證、風險評估和危機應對等安全制度。法理基礎不同決定了體系框架和制度邏輯的不同，在既往的立法中，個人信息保護和個人數(shù)據(jù)安全之所以混雜在一起，是因為沒有獨立的數(shù)據(jù)安全立法，現(xiàn)在既然要制定獨立的《數(shù)據(jù)安全法》，就要對個人信息保護和個人數(shù)據(jù)安全之間的區(qū)別做理論上的澄清。

個人信息保護首先涉及對個人信息的界定，其次是保護規(guī)范的建立。對于個人信息，歐盟《一般數(shù)據(jù)保護條例》(GDPR)的界定比較有代表性：“‘個人數(shù)據(jù)’是指已識別到的或可被識別的自然人(‘數(shù)據(jù)主體’)的所有信息?？杀蛔R別的自然人是指其能夠被直接或間接通過識別要素得以識別的自然人，尤其是通過姓名、身份證號碼、定位數(shù)據(jù)、在線身份等識別數(shù)據(jù)，或者通過該自然人的物理、生理、遺傳、心理、經(jīng)濟、文化或社會身份的一項或多項要素予以識別?；蛘咦匀蝗怂赜械囊豁椈蚨囗椀纳眢w性、生理性、遺傳性、精神性、經(jīng)濟性、文化性或社會身份的一項或多項要素予以識別”①(30)①General Data Protection Regulation,Article 4.中譯本參見《一般數(shù)據(jù)保護條例》，瑞栢律師事務所譯，法律出版社2018年版，第42頁。。我國《網(wǎng)絡安全法》和《民法典》中對個人信息的界定，只是表述上略有不同，基本內涵與GDPR的界定是相同的，核心就是能夠直接或間接識別的自然人的各種信息。②(31)②參見《網(wǎng)絡安全法》第76條、《民法典》第1034條。

基于這個界定，法律針對個人信息建立了兩類保護規(guī)范：一類規(guī)范是基于“通知-同意”原則，賦予個人對個人信息的控制權，如賦予個人針對個人信息的同意權、訪問權、糾正權、刪除權(被遺忘權)、限制處理權、可攜帶權、拒絕權等，與之相應的是數(shù)據(jù)控制者和處理者的各種義務。③(32)③《一般數(shù)據(jù)保護條例》(GDPR)和《加州消費者隱私法》(CCPA)均明確地賦予數(shù)據(jù)(信息)主體針對個人數(shù)據(jù)(信息)的具體權利。我國《民法典》雖然未創(chuàng)設個人信息權，但最近公布的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例(征求意見稿)》卻明確賦予數(shù)據(jù)主體以“數(shù)據(jù)權”，不過對于地方性法規(guī)能否創(chuàng)設民事權利，學者普遍持反對意見。我國《民法典》中并未直接賦予個人信息權，而是在人格權編中，將個人信息作為受法律保護的對象，采取“法益保護模式”，薛軍教授認為走出一條不同于歐盟的道路。[6]《民法典》不承認個人信息權，將個人信息作為一種法益進行保護，一個重要原因是避免承認個人信息權帶來的絕對保護要求，但很多民法學者仍建議賦予個人信息權。④(33)④參見王利明：《論個人信息權在人格權法中的地位》，載《蘇州大學學報(哲學社會科學版)》2012年第6期，第68-75頁；葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018年第5期，第143-158頁；呂炳斌：《個人信息權作為民事權利之證成：以知識產權為參考》，載《中國法學》2019年第4期，第44-65頁。民法上關于個人信息權的爭論和困境，使得公法學者認為個人信息保護是一項獨立的法律制度，個人信息權不是一項民法上的權利，而是一項公法上的權利。[7]因此，將來《個人信息保護法》是否創(chuàng)設個人信息權，仍會是個巨大的爭議問題。不過即便不創(chuàng)設個人信息權，從法律構造來講，《民法典》仍把信息主體和信息控制者、處理者視為平等的主體，這就與數(shù)據(jù)安全的法律構造有重大差別；另一類規(guī)范是關于個人信息收集和處理的強制性規(guī)范，不依賴數(shù)據(jù)主體的同意，由法律直接作出強制性規(guī)定，包括無須個人同意就可收集的信息，主要涉及行政管理和公共利益，以及即便個人同意，也不得或限制收集處理的信息，如涉及種族、基因、健康的信息。⑤(34)⑤General Data Protection Regulation,Article 9.中譯本參見《一般數(shù)據(jù)保護條例》，瑞栢律師事務所譯，法律出版社2018年版，第47-48頁。這類強制性規(guī)范其實已經(jīng)超出數(shù)據(jù)主體對數(shù)據(jù)的控制權，進入社會控制領域，但是就個人信息保護的總體框架而言，仍是以個人信息控制權作為基礎的，社會控制只是作為例外和補充。⑥(35)⑥不過已經(jīng)有學者指出個人信息保護中個人控制論的不足，鑒于個人信息的社會性和公共性，應該采取社會控制的模式，但就目前的立法和理論研究情況來看，個人控制論仍是占主導。參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期，第84-101頁。

數(shù)據(jù)安全法的法理基礎不是基于“通知-同意”的個人數(shù)據(jù)控制，而是基于“風險-安全”的社會控制，核心是對未經(jīng)授權的訪問、使用、披露、破壞、修改或銷毀等行為進行控制，這里就涉及我們該如何理解“風險”和“安全”。自從烏爾里?！へ惪颂岢鲲L險社會理論后，風險概念已經(jīng)被普遍接受，貝克認為“風險可被定義為以系統(tǒng)的方式應對由現(xiàn)代化自身引發(fā)的危險和不安。風險有別于傳統(tǒng)的危險，它是現(xiàn)代化的威脅力量和令人懷疑的全球化所引發(fā)的后果”，“在風險社會中，未知的、意圖之外的后果成了歷史和社會的主宰力量”。[8]7因此，風險意味著不確定性，并且這種不確定性通常是與人的決定相關。也就是說，風險在某種意義上是人為建構的。

理解風險的最好方式要借助風險與危險的區(qū)別，按照盧曼的講法，“區(qū)別的前提是假設(并以此區(qū)分于其他區(qū)別)存在與未來損失有關的不確定性。這有兩種可能：其一，可能的損失被視為決定的后果，也就是歸因于決定，那么當我們談及風險時，所談的便是決定的風險；其二，可能的損失被視為外部的推動，也就是歸因于環(huán)境，那么接下來我們來談危險”[9]42。也就是說，風險是決定的產物，而危險是外部環(huán)節(jié)的產物，比如大海里航行肯定是有危險的，但如果你不去大海里航行，危險對你就不會發(fā)生；而如果你決定進行大海航行，那么你就會有遭遇危險的風險，這個風險實際上是你的個人決定帶來的?！安徽撌裁磿r候做決定，甚至就算人們決定，不去做決定，風險仍是不可避免的。以一個簡短的形式來說就是：能確定的是，不存在著絕對的安全。由此說來，我們不能期待，透過像技術設備的改善就可以達到‘免除風險’這種意義下的安全。”[10]223-224

危險與風險的區(qū)分，也決定了我們對《數(shù)據(jù)安全法》中“安全”概念的理解。這里的安全不是與危險相對的，而是與風險相對的。與危險相對的安全可以是絕對的，比如你不去大海里航行，那么相對于大海航行帶來的危險，你是絕對安全的。但與風險相對的安全是相對的，這里的安全是由風險等級決定的，風險等級低就意味著相對安全高。數(shù)據(jù)天生具有流動性，數(shù)據(jù)作為新的生產要素也要求數(shù)據(jù)具有流動性①(36)①中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》明確要求：“推進政府數(shù)據(jù)開放共享。優(yōu)化經(jīng)濟治理基礎數(shù)據(jù)庫，加快推動各地區(qū)各部門間數(shù)據(jù)共享交換，制定出臺新一批數(shù)據(jù)共享責任清單。研究建立促進企業(yè)登記、交通運輸、氣象等公共數(shù)據(jù)開放和數(shù)據(jù)資源有效流動的制度規(guī)范?！保虼恕稊?shù)據(jù)安全法》必須在安全與發(fā)展之間尋求平衡，這也意味著所謂的數(shù)據(jù)安全只是風險可控的安全，由此決定《數(shù)據(jù)安全法》的制度邏輯是對數(shù)據(jù)安全風險進行控制，在制度上體現(xiàn)為數(shù)據(jù)分類、數(shù)據(jù)安全認證、數(shù)據(jù)風險評估、數(shù)據(jù)跨境流動管制等，因此《數(shù)據(jù)安全法》的法理基礎和制度框架與個人信息保護法完全不同。

當然，《數(shù)據(jù)安全法》可以也應該獨立于《個人信息保護法》的另外一個重要原因在于，數(shù)據(jù)安全不僅涉及個人數(shù)據(jù)安全，還涉及重要數(shù)據(jù)安全，雖然很多時候個人數(shù)據(jù)和重要數(shù)據(jù)是混合在一起的，沒法截然分開，但仍有大量不涉及個人數(shù)據(jù)的重要數(shù)據(jù)，如涉及自然資源類的重要數(shù)據(jù)。重要數(shù)據(jù)的安全同樣是針對風險而言的，比如重要數(shù)據(jù)的本地化存儲要求，不是說重要數(shù)據(jù)境外存儲就必然會有危險，而是說重要數(shù)據(jù)境外存儲存在著風險。②(37)②對于幾個主要國家數(shù)據(jù)本地化立法的詳盡分析，參見Anupam Chander，Uyên P.Lê：Data Nationalism,Emory Law Journal,vol.64,pp677-737,2015.這里的風險同樣包括未經(jīng)授權的訪問、使用、篡改、銷毀等，因此重要數(shù)據(jù)安全同樣是建立在風險社會理論基礎上的，所要求的同樣是一套針對風險控制的安全機制。

從法律體系的角度看，在同時制定《數(shù)據(jù)安全法》和《個人信息保護法》時，鑒于《數(shù)據(jù)安全法》是數(shù)據(jù)安全領域的基礎性法律，因此有關個人信息的數(shù)據(jù)安全問題應該納入《數(shù)據(jù)安全法》中，《個人信息保護法》中不應該再規(guī)范個人信息數(shù)據(jù)的安全問題。當然，這里還涉及另外一個問題，就是數(shù)據(jù)與信息的關系問題，目前法學界還沒有統(tǒng)一的認知，但大體上可以說，數(shù)據(jù)是電子信息的載體，電子信息是數(shù)據(jù)的內容，但數(shù)據(jù)中究竟包含著哪些電子信息，并非全部一目了然的，可以通過數(shù)據(jù)挖掘的方式，挖掘出新的信息。在這個意義上，數(shù)據(jù)安全可以涵蓋信息安全。

五、體系定位的法理基礎

在討論完《數(shù)據(jù)安全法》與《國家安全法》《網(wǎng)絡安全法》《個人信息保護法》的外部體系關系后，《數(shù)據(jù)安全法》的體系定位基本清晰了：首先，在整個法律體系內，《數(shù)據(jù)安全法》是以憲法為上位法的全國人大常委會制定的“基本法律”之外的一般法律；其次，在安全法體系內，《數(shù)據(jù)安全法》與《國家安全法》《網(wǎng)絡安全法》是同一層級并行的法律，分別規(guī)范數(shù)據(jù)、主權與政治安全、網(wǎng)絡安全，雖然內容上有關聯(lián)甚至交叉，但是可以分開規(guī)范并各自構成獨立體系。《數(shù)據(jù)安全法》是數(shù)據(jù)安全領域的最高法，就像其他的安全法是其他安全領域的最高法一樣，《數(shù)據(jù)安全法》并不依附于或從屬于《國家安全法》或《網(wǎng)絡安全法》；最后，在《數(shù)據(jù)安全法》與規(guī)范數(shù)據(jù)或信息的其他法律的關系上，特別是與《個人信息保護法》的關系上，鑒于《數(shù)據(jù)安全法》是規(guī)范數(shù)據(jù)安全的專門法律，因此凡是與數(shù)據(jù)或信息安全有關的規(guī)范，均應納入《數(shù)據(jù)安全法》中，個人信息保護中的信息安全問題，應該直接適用《數(shù)據(jù)安全法》的相關規(guī)范。

《數(shù)據(jù)安全法》的上述體系定位不僅是法律體系中立法技術上的要求，也是法律體系中法理層面上的要求，這個問題可以從數(shù)據(jù)和安全兩個角度來討論。首先從數(shù)據(jù)角度看①，隨著互聯(lián)網(wǎng)和信息技術的發(fā)展，人類社會已經(jīng)產生海量數(shù)據(jù)，并且正在以驚人的速度增加，在可預見的未來，人類社會的方方面面都將數(shù)據(jù)化，數(shù)據(jù)不僅是重要的生產要素，而且將成為人類存在的一種方式。因此，無論是對于個人權利還是對于國家安全，乃至全社會的公共利益，數(shù)據(jù)都將成為至關重要的影響因素，數(shù)據(jù)安全問題將會成為一個全新的社會性問題，早已不再是個人權利保護或國家安全的依附性問題。從法律的角度看，數(shù)據(jù)將成為法律上非常重要的獨立的客體②，圍繞數(shù)據(jù)將生成一個規(guī)模龐大的數(shù)據(jù)法體系，并且是現(xiàn)在公法和私法體系都無法容納的。③在這個數(shù)據(jù)法體系內，數(shù)據(jù)安全是至關重要的基礎性問題之一，《數(shù)據(jù)安全法》是至關重要的基礎性法律之一。因此，思考《數(shù)據(jù)安全法》的體系定位，應該跳出《國家安全法》和《網(wǎng)絡安全法》的框架，面向未來數(shù)據(jù)法體系的建構，基于數(shù)據(jù)自身屬性及其社會效應，來構建數(shù)據(jù)安全的法律體系。雖然現(xiàn)在還沒有形成一套成熟的數(shù)據(jù)法理論體系，但數(shù)據(jù)法體系的建構可以成為我們思考數(shù)據(jù)安全立法的重要視角，《數(shù)據(jù)安全法》構成數(shù)據(jù)法體系建構的重要組成部分。

其次從安全角度看，本文在開篇粗略地討論了我國法律體系中的安全法體系，《數(shù)據(jù)安全法》無疑屬于這個體系的組成部分。雖然在我國法律體系中，安全法體系尚未完成理論體系上的建構，對于法律上安全概念還需要進一步深入的研究，但既有的安全法理論和立法技術④，在數(shù)據(jù)安全領域仍有適用的價值。遺憾的是，目前有關《數(shù)據(jù)安全法》的討論中，幾乎從不關注既往的安全法體系。如果將《數(shù)據(jù)安全法(草案)》與已經(jīng)出臺的各部安全法對照，就會發(fā)現(xiàn)《數(shù)據(jù)安全法(草案)》并未從過往的安全立法中吸取成功的經(jīng)驗，這點在《數(shù)據(jù)安全法(草案)》的體例安排和制度設計上體現(xiàn)得尤為明顯。

數(shù)據(jù)安全如同糧食安全、氣候安全、生物安全等傳統(tǒng)安全一樣，構成現(xiàn)代風險社會中全世界共同面對的問題。因此，對于數(shù)據(jù)的本質屬性，對于與數(shù)據(jù)安全相關的風險理論和安全理論，法學界仍急需深入研究，至少先將其他學科的研究成果消化吸收到法學之中。正是這些基礎理論研究的薄弱，使得目前《數(shù)據(jù)安全法(草案)》仍停留在政策性立法階段，政策性的宣示和規(guī)劃遠遠大于規(guī)范性的建構，數(shù)據(jù)安全的法律構造尚未完成。因此，在從法律體系的角度為《數(shù)據(jù)安全法》做了基本體系定位后，還需要進一步從風險、安全等理論層面，完成數(shù)據(jù)安全的法律構造，因為體系定位的最終實現(xiàn)，有賴于《數(shù)據(jù)安全法》的內容足夠支撐這樣的體系定位，有賴于在理論層面和制度層面完成數(shù)據(jù)安全的法律構造。

①此處所說的數(shù)據(jù)僅限于電子數(shù)據(jù)，《數(shù)據(jù)安全法(草案)》中對于數(shù)據(jù)的定義是，“本法所稱數(shù)據(jù)，是指任何以電子或者非電子形式對信息的記錄”，這個定義是值得商榷的，“非電子形式對信息的記錄”是不明確的，如果指的是紙質記錄的信息，那不僅《數(shù)據(jù)安全法(草案)》中的各項制度對紙質信息并不能完全適用，而且已經(jīng)有《檔案法》《保密法》等法律規(guī)范紙質信息了。

②《民法典》第127條規(guī)定：“法律對數(shù)據(jù)、網(wǎng)絡虛擬財產的保護有規(guī)定的，依照其規(guī)定”，《民法典》將數(shù)據(jù)作為一種受法律保護的客體，但將保護規(guī)范交給了其他法律來規(guī)范，這也意味著未來在《民法典》之外會形成一個數(shù)據(jù)法體系，雖然很大的可能是分散在不同的法律之中。

③已經(jīng)有學者開始嘗試構建數(shù)據(jù)法體系，參見連玉明：《數(shù)權法2.0：數(shù)權的制度建構》，社會科學文獻出版社2020年版；何淵主編：《數(shù)據(jù)法學》，北京大學出版社2020年版。

④目前相對系統(tǒng)的研究，可參見趙耀江、栗繼祖主編：《安全法學》(第2版)，機械工業(yè)出版社2011年版；苗金明：《安全法學導論：風險、理性與安全》，清華大學出版社2014年版。