嚴蓉

摘? 要：數(shù)字經(jīng)濟蓬勃發(fā)展，數(shù)據(jù)安全立法成為數(shù)字經(jīng)濟發(fā)展的重要保障;對數(shù)據(jù)的掌控、利用及保護成為國家間競爭的核心要素，“數(shù)字主權(quán)”成為大國博弈的新焦點。《中華人民共和國數(shù)據(jù)安全法》①確立了以維護國家核心利益、平衡國家安全與發(fā)展的“總體國家安全觀”，明晰了數(shù)據(jù)保護的基本思路與法律路徑。

關(guān)鍵詞：數(shù)據(jù)安全;數(shù)字保護;重要條款;基本思路

中圖分類號：D925.2;D922.16 文獻標識碼：A 文章編號：2095-9052（2021）12-00-03

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）自2020年7月第一次公開征求意見，到2021年6月經(jīng)第十三屆全國人大常委會第二十九次會議審議通過，再到2021年9月1日正式實施，僅用一年多時間便完成了立法歷程，成為2020年立法計劃中進展最為快速的部門立法之一。作為一部在數(shù)據(jù)安全領(lǐng)域的“基礎(chǔ)性法律”和“重要法律”，《數(shù)據(jù)安全法》是數(shù)字經(jīng)濟時代中國對全球數(shù)據(jù)競爭與保護浪潮的主動回應(yīng)，在為國內(nèi)數(shù)字經(jīng)濟的安全與發(fā)展保駕護航的同時，也為企業(yè)數(shù)據(jù)合規(guī)等提供了指南。

一、數(shù)據(jù)安全保護概述

數(shù)字經(jīng)濟時代，對數(shù)據(jù)的掌控、利用及保護能力，成為衡量國家間競爭力的核心要素，數(shù)據(jù)安全問題也成為數(shù)字經(jīng)濟時代國際競爭與合作的核心議題，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、“數(shù)字主權(quán)”逐步升級為各國數(shù)據(jù)掌控與管轄的新焦點。自2018年歐盟《通用數(shù)據(jù)保護法案》（GDPR）生效以來，在立法層面，各國掀起了數(shù)據(jù)保護的浪潮。根據(jù)聯(lián)合國貿(mào)易與發(fā)展委員會的統(tǒng)計，截至2020年，世界上194個國家中已有128個國家出臺了相關(guān)法律，即便在非洲和亞洲地區(qū)也有55%的國家制定了相關(guān)法律，其中包括23個最不發(fā)達國家。在國際層面，諸邊貿(mào)易框架下集中升級或達成了多個數(shù)字貿(mào)易協(xié)定，以獨立章節(jié)或獨立協(xié)議（digital-only agreement）形式規(guī)制與貿(mào)易有關(guān)的個人隱私、網(wǎng)絡(luò)安全與數(shù)據(jù)安全等議題，比較典型的有《全面和進步的跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、美加墨協(xié)定（USMCA），《區(qū)域全面經(jīng)濟伙伴協(xié)定》（RCEP），新加坡、智利和新西蘭的《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》（DEPA）以及新加坡和澳大利亞《數(shù)字經(jīng)濟協(xié)定》（SADEA）等。在實踐層面，國家間數(shù)字安全保護案例頻發(fā)。2020年6月印度電子與信息技術(shù)部門以有損印度主權(quán)和完整、國防安全、國家安全和公共秩序為由下架了59款有中國背景的移動應(yīng)用程序。2020年美國以國家安全之名禁止了抖音和微信等多款母公司在中國的移動應(yīng)用程序。2021年7月，國家網(wǎng)信辦以“嚴重違法違規(guī)收集使用個人信息”宣布下架“滴滴出行”。數(shù)據(jù)安全已經(jīng)成為國內(nèi)外國家安全與權(quán)力博弈的重要內(nèi)容。國內(nèi)數(shù)據(jù)安全立法正逢其時，并被寄予了提升“數(shù)字主權(quán)”競爭優(yōu)勢、參與并重塑國際數(shù)字經(jīng)濟規(guī)則的厚望。

《數(shù)據(jù)安全法》共七章五十五條，主要圍繞數(shù)據(jù)安全與發(fā)展（第二章）、數(shù)據(jù)安全制度（第三章）、數(shù)據(jù)安全保護義務(wù)（第四章）、政務(wù)數(shù)據(jù)安全與開放（第五章）等內(nèi)容作出規(guī)定。第一、六、七章為“總則”“法律責任”與“附則”常規(guī)章節(jié)[1]。該法確立了以維護國家核心利益、平衡國家安全與發(fā)展的“總體國家安全觀”，搭建了一個以“重要數(shù)據(jù)”為核心、以“自上而下，分級分類分業(yè)”管理為特征的數(shù)據(jù)安全管理體系，并對數(shù)據(jù)權(quán)益，與投資、貿(mào)易有關(guān)的數(shù)據(jù)及數(shù)據(jù)技術(shù)的非歧視性原則和對等反制措施等作出了明確規(guī)定。它與2017年7月1日業(yè)已實施的《中華人民共和國網(wǎng)絡(luò)安全法》、2021年11月1日將要實施的“中華人民共和國個人信息保護法”并稱為國內(nèi)在網(wǎng)絡(luò)安全與數(shù)據(jù)保護領(lǐng)域的“三大基石”，構(gòu)建了我國網(wǎng)絡(luò)與數(shù)據(jù)安全保護發(fā)展的基本法律框架。從性質(zhì)上來看，《數(shù)據(jù)安全法》屬于上位法和基礎(chǔ)性法律，除涉及國家秘密和軍事數(shù)據(jù)的特定類型數(shù)據(jù)處理活動外，其他數(shù)據(jù)處理活動均適用于《數(shù)據(jù)安全法》。

二、數(shù)據(jù)保護的基本思路

“堅持安全與發(fā)展并重”是《數(shù)據(jù)安全法》明確秉持的立法原則，是中國在數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展兩大基本價值引領(lǐng)下的數(shù)據(jù)安全立法的進路。它明確了數(shù)據(jù)安全是國家安全的重要組成部分，需要通過國家立法提升數(shù)據(jù)安全的保護能力;又強調(diào)了數(shù)據(jù)是新的關(guān)鍵生產(chǎn)要素，凸顯“以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展”的價值取向。國家實施大數(shù)據(jù)戰(zhàn)略（第14條），制定數(shù)字經(jīng)濟發(fā)展規(guī)劃（第15條），鼓勵與數(shù)據(jù)有關(guān)的技術(shù)研發(fā)和商業(yè)創(chuàng)新（第16條），推進與數(shù)據(jù)有關(guān)的標準體系建設(shè)（第17條），發(fā)展數(shù)據(jù)安全檢測、評估、認證等服務(wù)（第18條），培育數(shù)據(jù)交易市場（第19條），支持數(shù)據(jù)專業(yè)人才的培養(yǎng)（第20條）等規(guī)定均是《數(shù)據(jù)安全法》強調(diào)數(shù)字經(jīng)濟發(fā)展的具體體現(xiàn)。換言之，數(shù)據(jù)保護本身是手段而非目的，數(shù)據(jù)安全既包括數(shù)據(jù)本身的保密性、完整性和可用性，也包括數(shù)據(jù)要素增值過程，即數(shù)據(jù)處理活動過程的可控性與正當性。這一基本思路與價值取向和2020年發(fā)布的《中共中央 國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》②是一致的，并從法律層面確立了數(shù)據(jù)的重要地位以及安全與發(fā)展并重的“總體國家安全觀”。

三、重要條款解讀

（一）適用范圍

《數(shù)據(jù)安全法》從規(guī)制對象、地域范圍和管轄權(quán)等層面劃定了法律適用的邊界。從規(guī)制對象來看，它不拘泥于以主體劃分確定適用范圍的方式，體現(xiàn)了從“主體約束”向“行為約束”的邏輯轉(zhuǎn)變，也就是說把“數(shù)據(jù)處理”和“數(shù)據(jù)安全”作為規(guī)制對象，專注于數(shù)據(jù)處理活動本身的安全性和可靠性。從地域范圍來看，除適用于中國境內(nèi)開展的數(shù)據(jù)處理活動及其安全監(jiān)管外（第2.1條），也適用于在境外開展的損害國內(nèi)“國家安全、公共利益或公民、組織合法權(quán)益”的數(shù)據(jù)處理活動（第2.2條）[1]，為數(shù)據(jù)安全的控制與監(jiān)管保留了必要的域外適用空間。這意味著，境外機構(gòu)開展數(shù)據(jù)處理活動，與我國公民有關(guān)，或可能給我國帶來實質(zhì)影響的，均需滿足《數(shù)據(jù)安全法》的規(guī)定。針對向中國境內(nèi)提供服務(wù)但在中國境外開展數(shù)據(jù)處理活動的跨國公司，確立了管轄權(quán)依據(jù)。2020年11月，中國與東盟十國等簽訂RCEP，首次在自貿(mào)協(xié)定中以“合法公共政策目的”例外為限定條件，原則上同意和接受對數(shù)據(jù)傳輸和本地化的約束力規(guī)定。既是對“數(shù)據(jù)主權(quán)”競爭趨勢的精準研判，也是對數(shù)字經(jīng)濟規(guī)則制定的積極參與，從國內(nèi)國際兩個維度體現(xiàn)了中國合理、適度尋求貿(mào)易、安全和發(fā)展的價值平衡立場。

此外，《數(shù)據(jù)安全法》第53.2條規(guī)定，涉及個人信息的數(shù)據(jù)處理活動，還應(yīng)遵守有關(guān)法律、行政法規(guī)的規(guī)定。由此，在個人信息保護問題上，除需遵守《個人信息保護法》的具體規(guī)定外，仍適用于《數(shù)據(jù)安全法》?！稊?shù)據(jù)安全法》關(guān)于個人信息保護的重點是在于如何規(guī)制個人信息的控制者和處理者對公民個人信息的收集、使用、加工、傳輸?shù)刃袨椤Ｔ诰唧w實踐中，不同的商業(yè)模式側(cè)重點不盡相同。例如：對B2C模式來說，側(cè)重于消費者個人信息保護;在B2B模式中，則是商業(yè)機密和其他商業(yè)數(shù)據(jù)等重要數(shù)據(jù)的保護問題。

（二）數(shù)據(jù)安全體系

第一，數(shù)據(jù)分級分類管理。《數(shù)據(jù)安全法》秉承了網(wǎng)絡(luò)安全等級保護的思想，對數(shù)據(jù)實施分級分類管理（第21條），依據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要性與可能的危害性不同實施差異保護。針對重要數(shù)據(jù)和國家核心數(shù)據(jù)（第21.2條）明確提出了重點保護與“更為嚴格管理”的要求。同時，構(gòu)建了由中央國家安全領(lǐng)導機構(gòu)決策與統(tǒng)籌（第5條）、行業(yè)主管部門具體實施（第6.2條）、公安和中華人民共和國國家安全部負責監(jiān)管（第6.3條）、網(wǎng)信部門進行相關(guān)監(jiān)管工作協(xié)調(diào)（第6.4條）的“自上而下，分級分類分業(yè)”管理機制。此外，《數(shù)據(jù)安全法》對數(shù)據(jù)、數(shù)據(jù)處理與數(shù)據(jù)安全作出了界定（第3條），沒有定義“重要數(shù)據(jù)”（第21.1條）、“核心數(shù)據(jù)”（第22.2條），僅規(guī)定了“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)”。因此，具體定義有待在《數(shù)據(jù)安全管理辦法（征求意見稿）》③中進一步明確。在實踐中，對企業(yè)而言，數(shù)據(jù)分級分類的意義在于企業(yè)應(yīng)依據(jù)數(shù)據(jù)的重要程度、來源和敏感性等對數(shù)據(jù)實施分級分類管理，并審慎梳理企業(yè)所掌握的數(shù)據(jù)種類，存儲的地點、收集和處理的方式以及數(shù)據(jù)獲取人、獲取方式等。

第二，數(shù)據(jù)安全標準?！稊?shù)據(jù)安全法》第17條，首次通過統(tǒng)一立法的形式推進數(shù)據(jù)安全標準體系的建設(shè)。標準制定的主體一是作為牽頭單位的國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)部門，二是市場的參與者，如企業(yè)、社會團體和教育、科研機構(gòu)等。由市場主體參與得以行業(yè)實踐為基礎(chǔ)的標準制定既有利于推動技術(shù)發(fā)展也有利于企業(yè)合規(guī)建設(shè)。在技術(shù)層面，涉及數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系。整個標準體系的構(gòu)建除標準制定外，還擴展至數(shù)據(jù)安全檢測、評估、認證等服務(wù)，即由國家認可的認證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標準。

第三，國家安全審查?！稊?shù)據(jù)安全法》第24條規(guī)定國家應(yīng)建立數(shù)據(jù)安全審查制度，對影響或可能影響國家安全的數(shù)據(jù)處理活動進行安全審查。這一規(guī)定與2015年7月1日實施的《中華人民共和國國家安全法》第59條規(guī)定的基本原則一致，即國家應(yīng)建立國家安全審查與監(jiān)管的制度與機制，對影響或者可能影響國家安全的外商投資、特定物項和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項的建設(shè)項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險。2021年7月10日，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》④，其中最為重大的修訂之一就是第6條，該條是針對掌握超過100萬用戶個人信息的運營者赴境外上市應(yīng)向網(wǎng)絡(luò)安全審查辦公室提交網(wǎng)絡(luò)安全審查的規(guī)定。這些規(guī)定釋放了我國監(jiān)管機關(guān)將采取更為嚴厲的手段實施《數(shù)據(jù)安全法》和其他相關(guān)法律法規(guī)的信號。

（三）數(shù)據(jù)交易

數(shù)據(jù)交易是市場經(jīng)濟條件下培育和促進數(shù)據(jù)要素市場流動的基本方式?！稊?shù)據(jù)安全法》第19條對建立健全數(shù)字交易管理制度作出了規(guī)定;第33條對從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提出了數(shù)據(jù)安全保護的義務(wù)，如說明數(shù)據(jù)來源、審核交易雙方身份、留存審核、交易記錄等;第34條確立了數(shù)據(jù)交易市場的準入資格。除了這些事前監(jiān)管，針對未履行上述義務(wù)的數(shù)據(jù)交易中介機構(gòu)，第47條還加強了事后處罰力度。這些規(guī)定一方面為國內(nèi)培育數(shù)據(jù)要素市場提供了上位法的依據(jù)和頂層制度的統(tǒng)籌安排，另一方面也增加了數(shù)據(jù)交易制度的可操作性。但數(shù)據(jù)權(quán)屬與權(quán)益規(guī)則仍不清晰，有待后續(xù)的配套規(guī)則明確并細化。這一問題在國內(nèi)理論界也未達成共識，主要包括人權(quán)說、知識產(chǎn)權(quán)說、財產(chǎn)權(quán)說等不同觀點?；凇稊?shù)據(jù)安全法》對數(shù)據(jù)的分級分類管理規(guī)定，日后對數(shù)據(jù)權(quán)屬的劃分可以考慮不同層次適用不同標準予以保護，以平衡數(shù)據(jù)保護與利用之間的關(guān)系。

（四）跨境數(shù)據(jù)流動

《數(shù)據(jù)安全法》第31條區(qū)分了由關(guān)鍵信息基礎(chǔ)設(shè)施運營者和其他數(shù)據(jù)處理者兩類不同主體收集、產(chǎn)生的重要數(shù)據(jù)的跨境流動，前者管理辦法適用《中華人民共和國網(wǎng)絡(luò)安全法》[2]，后者管理辦法授權(quán)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。早在2017年4月，國家互聯(lián)網(wǎng)信息辦公室已發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》⑤，但這些措施仍在審議中尚未通過。

對國外司法或執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求，第36條的規(guī)定，一是依據(jù)國家締結(jié)或參加的國際條約與協(xié)定，或者互惠原則，二是任何組織、個人未經(jīng)批準不得向外國司法或執(zhí)法機構(gòu)提供數(shù)據(jù)。第36條所指的向境外提供的數(shù)據(jù)，并不限于重要數(shù)據(jù)，也不限于是否屬于出口管制的數(shù)據(jù)。而主管機關(guān)批準提供數(shù)據(jù)的請求時依據(jù)有三：一是有關(guān)法律，二是中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，三是按照平等互惠原則。這也就意味即便中國簽訂或參與的國際條約、協(xié)定中規(guī)定了，或基于平等互惠原則，需提供數(shù)據(jù)，“有關(guān)法律”仍為我國使用“合法公共政策目”例外留下了余地。換言之，當提供數(shù)據(jù)有可能損害我國國家安全、公共利益或者公民、組織合法權(quán)益的，可以不予批準?！爸腥A人民共和國個人信息保護法”第42條也有類似條款。

（五）域外效力與反制措施

《數(shù)據(jù)安全法》第26條規(guī)定了以“損害國家安全、公共利益或者公民、組織合法權(quán)益”作為觸發(fā)條件的域外適用，并明確規(guī)定任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中國采取歧視性的禁止、限制或者其他類似措施的，中國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施[1]?！爸腥A人民共和國個人信息保護法”第43條也作出了類似規(guī)定。這些法律規(guī)定為中國依法反制外國歧視性措施提供了法律支持，充分體現(xiàn)并維持了國內(nèi)主張“數(shù)字主權(quán)”的立法思想。從國際層面看，2019年9月，在中國提交給WTO的關(guān)于電子商務(wù)議題的提案中，亦明確表明了涉及信息通信技術(shù)產(chǎn)品的非歧視待遇立場;從實踐層面看，這與華為產(chǎn)品和5G產(chǎn)品在美國受到的不公平待遇直接相關(guān)。

四、結(jié)語

《數(shù)據(jù)安全法》是中國適應(yīng)國內(nèi)外日益嚴峻、復雜的“數(shù)字主權(quán)”競爭與合作、順應(yīng)數(shù)字經(jīng)濟發(fā)展時代潮流的產(chǎn)物，從法律層面明確了實施大數(shù)據(jù)戰(zhàn)略，鼓勵、支持和促進數(shù)據(jù)的創(chuàng)新應(yīng)用與合作開發(fā)，為數(shù)據(jù)依法有序自由流動和維護數(shù)據(jù)安全提供了保障等。同時，該法也為企業(yè)設(shè)定了多層次、全方位的數(shù)據(jù)安全義務(wù)。企業(yè)應(yīng)“有所為”，即搭建全面的數(shù)據(jù)處理安全與管理體系，常態(tài)化、全流程地實施數(shù)據(jù)安全保護義務(wù);同時應(yīng)“有所不為”，即堅持底線思維，謹守法律劃定的數(shù)據(jù)安全紅線，依法從事數(shù)據(jù)處理活動，確保數(shù)據(jù)來源的合法合規(guī)，履行行政許可、審批等前置性義務(wù)，配合域外法律適用的沖突管轄和跨境調(diào)查取證等。從短期來看，這不可避免地會給數(shù)據(jù)產(chǎn)業(yè)、行業(yè)與企業(yè)帶來一定的合規(guī)成本;從長遠來看，在明確的法律框架下，合規(guī)成本勢必會轉(zhuǎn)化為競爭門檻和安全優(yōu)勢，為行業(yè)和企業(yè)發(fā)展帶來紅利。

參考文獻：

[1]葛鑫.《數(shù)據(jù)安全法》亮點解讀及實施展望[J].通信世界，2021（13）：13-14.

[2]張倩雯.數(shù)據(jù)跨境流動之國際投資協(xié)定例外條款的規(guī)制[J].法學，2021（5）：90-102.

（責任編輯：董維）