□文/張 巖

（中共吉林省委黨校（吉林省行政學院）吉林·長春）

［提要］數字經濟時代，數據安全問題納入地方法治化軌道極具必要性和迫切性。本文結合地方數據安全管理的形勢需要和工作實際，從立法價值和體系化定位、安全監(jiān)管體系、責任落實和義務履行等方面進行具體分析，并提出建議。

一、數據安全相關核心概念界定

對“數據、數據活動、數據安全”等核心概念的科學界定是有效開展數據安全保障工作的基礎和前提，將決定整部法律的可操作性和可執(zhí)行性。

第一，對數據的界定。在當前數據安全法律法規(guī)體系中對數據的界定各有側重、互相補充、不盡相同。廣義的界定方法，認為數據的范疇應既包含網絡數據也包含線下物理場所存在的數據，即普遍適用于所有數據。據此，建議地方數據安全立法對于數據的界定應在保持與上位法一致的前提下，對其進行進一步完善和細化。同時，也應對“數據”和“信息”進行區(qū)分，為本地區(qū)進一步的信息保護立法工作打下基礎。

第二，對數據安全的界定。對數據安全的理解和認識是數據安全的立法之基，對其不同的理解將決定立法工作不同的定位和方向。建議地方數據安全立法對數據安全的界定應蘊含三個層次的含義：第一個層次是保護數據所承載的信息的安全，即實現數據或信息的物理安全和邏輯安全；第二個層次是如人格權、財產權、知識產權和新型民事權利等；第三個層次即數據的自主可控和數據的宏觀安全。此外，數據安全還受到技術創(chuàng)新、應用場景、價值選擇等因素的影響。

第三，對數據產權的界定。產權歸屬與權益分配是實現數據保護與利用再平衡的關鍵，科學、清晰、合理的數據權分配可有利于數據安全保護工作的開展，不當的數據權分配則無法實現多樣化的數據利益衡量，甚至產生數據法益沖突和混亂。因此，明確數據權屬并以此為基礎對數據權及其權利體系進行解構與規(guī)范就成為地方數據安全立法和實踐的核心內容。但數據本身屬性具有相當的復雜性，既具有公共利益屬性，關系到國家安全和社會公共利益，又具有人格利益屬性，關系到私人權益。因此，數據產權歸屬確定與權益分配是十分困難的，目前在立法層面尚未有明確。

通過對上述觀點的分析和借鑒，建議地方數據安全立法可從宏觀、中觀和微觀三個層面對數據權屬進行劃分并構建數據權利體系。在宏觀層面，數據權主要指國家獨立管理和利用本國數據的權利，即數據主權，公共數據應被視為國有資產，歸國家所有，但由相關政府部門持有，用于創(chuàng)新公共管理服務模式；在中觀層面，在數據要素市場中流通的數據由其合法收集和產生者所有，用于促進數據流通，創(chuàng)造數據價值；微觀層面，包括隱私權、知情權、刪除權、可攜權等。

二、我國數據安全法治建設現狀

總體上，我國數據安全法治建設尚處于初級階段，在經歷從間接保護到直接保護、從分散立法到集中立法、從公法治理到綜合治理的演變歷程后，逐步形成了多層級多領域的數據安全保護規(guī)范體系。截至2021年3月，全國共有40余個省市地區(qū)出臺了數據資源管理相關政策90余部，均對數據安全保護保障工作提出要求，其中專門以數據安全為核心內容的地方法規(guī)有10余部，為推進本地區(qū)的數據安全工作提供了有力支撐。但大多數地方的數據安全管理政策仍處于空白狀態(tài)，嚴重影響了數據安全治理效果和數字化建設進程。因此，從地方數據安全管理的形勢需要和工作實際出發(fā)，廣泛吸收相關政策法規(guī)的成熟規(guī)定，總結提煉數據安全管理的實踐經驗，并上升為地方法規(guī)，予以固化，打造數據安全管理的地方立法方案，已極具必要性和緊迫性。

三、數據安全法治建設優(yōu)化路徑

（一）明確立法價值和體系化定位，樹立多元化的立法目標。任何法律都不是中立的，申明立法活動設定的動機和目標、明確立法價值判斷與體系定位是有效推動本地區(qū)數據安全風險防控和體系化建設的基礎性問題?！凹戎匾暟l(fā)展又重視安全”是總體國家安全觀的基本要求，《網絡安全法》第一條和第三條分別體現網絡安全和網絡發(fā)展并重的立法價值取向，《數據安全法（草案）》第一條和第十二條亦明確了兼顧“維護數據安全”與“促進數據開發(fā)利用”的雙重立法目標。據此，作為對《國家安全法》《網絡安全法》等上位法的細化、完善和補充，建議地方數據安全立法亦秉持“安全與發(fā)展并重”的多元化立法理念，采取開放而非封閉、發(fā)展而非停滯、包容而非排他的原則，同步推進數據開發(fā)利用和數據安全維護工作。第一，安全與發(fā)展須平衡考慮。一方面要處理好發(fā)展與安全間的沖突關系。黨的十九屆四中全會首次肯定數據作為“生產要素”的必要性和重要意義，數據的共享、開放、流通是培育數據要素市場、促進數字經濟發(fā)展的必要條件，但政府公權力出于維護安全目的的，調節(jié)作用勢必會產生負面影響。因此，地方數據安全立法應符合本地區(qū)當前數字化建設水平，避免因規(guī)則過于嚴苛導致在執(zhí)行中出現異化的現象；另一方面要重視數字技術發(fā)展與數據安全工作間的協同效應關系。數據安全問題最終還是要靠數字技術解決，因此要重視數字技術的發(fā)展對數據安全工作的推動作用，解決好實質合法性問題，以發(fā)展促安全。總之，要協調好沖突關系和協同關系之間的矛盾，最終實現安全與發(fā)展并重的“平衡原則”。第二，安全與自由須平衡考慮。數據除了國家、公共屬性外，還具有人格權、財產權屬性，并且相比于安全，自由和權力更是法律的本質屬性。第三，外溢性和競爭性須平衡考慮。隨著全球數字化轉型的深化，跨境數據流動帶來的數據安全風險也與日俱增，因此數據安全管理工作不能僅考慮其域內效力，還要考慮數據安全規(guī)則的外溢性和競爭性。一方面地方數據安全立法應考慮越過“屬地管轄”樊籬，考慮引入“長臂管轄原則”或“保護管轄原則”，增強在數據治理博弈中的影響力和對重要數據的實際支配權力，避免數據安全風險對國家主權和公共利益造成的安全威脅，保障數據自主可控和數據宏觀安全；另一方面要避免陷入“以子之矛、攻子之盾”的自我抵觸窘境，防止規(guī)則制定過于嚴苛導致遏制本地區(qū)數字產業(yè)創(chuàng)新發(fā)展。

（二）構建數據安全監(jiān)管體系，落實數據安全工作管理職責。構建完善的數據安全監(jiān)管體系是保證數據安全監(jiān)管效果的關鍵。對于數據安全監(jiān)管體系的建設，《數據安全法（草案）》《網絡安全法》采取了相同的思路，《數據安全法（草案）》第七條、《網絡安全法》第八條均規(guī)定由中央國家安全領導機構或中央網絡安全和信息化委員會決策和統籌，各地區(qū)、各部門對各自工作中涉及的數據及數據安全承擔主體責任，網信部門負責統籌協調和監(jiān)管，行業(yè)主管部門負責本行業(yè)的數據安全監(jiān)管職責，公安機關、國家安全機關負責各自職責范圍內的數據安全監(jiān)管工作。據此，建議地方數據安全監(jiān)管體系框架與上述兩部法律保持一致，即采取“一個頂點、多維度配合、分級管理，分工負責”的架構模式?！耙粋€頂點”指由地方人民政府總體負責數據安全工作，根據數據安全情況進行整體決策和戰(zhàn)略規(guī)劃；“多維度配合”是指網信部門、公安部門、國安部門及工業(yè)、電信、金融等行業(yè)主管部門共同構成全覆蓋、全方位的監(jiān)管體系；“分級管理”是指除地方人民政府總體負責數據安全保障工作外，市、州和縣級人民政府也要分別負責本行政區(qū)域內數據安全監(jiān)管工作；“分工負責”是指各地區(qū)、各部門、各行業(yè)要分工明確、各司其職地負責本領域和本行業(yè)的數據安全監(jiān)管工作。最終形成由地方人民政府統領，各行政部門各自依職權負責，行業(yè)監(jiān)管單位輔助的數據安全監(jiān)管體系。此外，由于數據活動中的地域性、行業(yè)性愈發(fā)模糊，跨行業(yè)、跨領域的數據安全事件頻發(fā)，須建立健全數據安全監(jiān)管不同主體間的協同治理機制，或設置統一的數據活動監(jiān)管機構、建立統一的數據安全監(jiān)管平臺統籌協調數據安全事件處置，杜絕數據安全監(jiān)管過程出現職能交叉、模糊與空白地帶等問題。

（三）強化責任落實和義務履行，提升數據活動主體自我規(guī)制的內生動力。通過對責任和義務的創(chuàng)設來規(guī)范相應主體的數據活動，使之符合維護數據安全的目的，正是地方數據安全管理立法的首要價值。因此，對可能導致數據安全事件發(fā)生的數據活動進行梳理、予以規(guī)范并設定相應的追責條款，強化相應的法律責任，增加數據活動的違法成本，以提升相關主體履行數據安全保護責任的內生動力，更好地實現數據安全立法的規(guī)范和引導作用，亦是地方數據安全管理立法重要內容之一。

在明確細化法律責任方面，可秉持“誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責、誰采集誰負責”原則，實行數據安全管理主體責任制。原則上，任何在數據生命周期中對數據安全產生影響的社會團體、政府部門、個人均應屬于數據安全責任人范疇，都是地方數據安全立法的監(jiān)管對象。并且，若在法規(guī)中添加了具有域外適用效力的條款，那么所有可能會危害數據安全的境外機構和個人也應納入數據安全責任人范疇，接受監(jiān)管。所有數據安全責任人在收集、存儲、傳輸、處理、交換、開放、使用、銷毀數據的過程中，都應嚴格落實數據分類分級保護制度、安全監(jiān)測預警制度、安全應急處置制度、數據交易管理制度等，履行安全管理責任，保證數據全生命周期安全。并且，針對衍生數據可能會出現的危害性，亦應增設免責條款。

在強化法律執(zhí)行問責追責方面，建議罰則加大處罰力度、豐富處罰種類，提升數據活動的違法成本，實現震懾違法行為的目的。還可增設行政處罰手段，使一些尚不構成犯罪的輕微違法行為及時得到糾正，避免以往通過民事責任追究無法起到震懾的作用，或直接上升到刑法犯罪造成嚴重后果。并且可采取包容審慎的監(jiān)管原則，與《網絡安全法（草案）》《網絡安全法》保持一致，設置專門條款，鼓勵對違法數據活動進行監(jiān)督、投訴。但需注意的是，根據相關調查顯示，當前出現輕微犯罪行為的主體多以中小企業(yè)和創(chuàng)新型企業(yè)為主，多為對合規(guī)條件認識不清導致的無心之失，因此有必要增設一定的投訴門檻，避免職業(yè)舉報、虛假舉報的現象出現。

此外，除了完善數據安全管理責任體系，還要明確各數據安全責任主體的數據安全保護義務，以此對責權管理可能遺漏的內容進行兜底補充?？煽紤]根據數據活動主體的不同，對應履行的合規(guī)義務進行劃分。對職能部門/機關/單位、企業(yè)、社會團體而言，應履行建立內部數據管理機制的義務、員工培訓的義務、合法義務、配合義務、報告義務、政務公開義務（針對國家機關）等；對個人而言，應履行合規(guī)義務、配合義務、報告義務等；對境外機構而言，應履行合法義務。亦可按照功能模塊，對應履行的合規(guī)義務進行劃分。在內控體系方面，各主體有制定數據安全管理制度的義務、數據安全教育培訓的義務等；在風險監(jiān)測方面，各主體有及時報告的義務、采取補救措施的義務等；在風險評估方面，各主體有定期評估與報送評估報告的義務、面臨風險采取應對措施的義務等。