《数据安全法》的体系坐标与精细表达

郑 鈜 汪 灏

（西华大学知识产权学院／法学院 四川成都 610039）

一、《数据安全法》在国家安全立法体系中的地位

尽管在《国家安全法》制定实施之前，我国的安全法制体系中就有《海上交通安全法》《安全生产法》《道路交通安全法》等法律规范，但是《国家安全法》以“更新”《反间谍法》的方式①，宣告了以“总体国家安全观”为指引的具有新内涵的国家安全立法②，推动形成了新兴的国家安全法治领域。由此，越来越多的“安全法”或安全相关法已经制定实施或者即将制定实施，如《网络安全法》《核安全法》，以及正在制定的《数据安全法》《生物安全法》以及《出口管制法》等。

在总体国家安全观的思想框架下，国家安全从宏观视角进入一个具体的领域，立法也必然会出现一个“聚焦”的过程。特别是鉴于近年来国际政治经济格局和形势都发生了巨大变化，以《国家安全法》为顶层设计的国家安全法治体系已经初露端倪，以网络安全、数据安全、个人信息安全、生物安全、核安全等为具体内容的国家安全立法有机结构有待快速扩张。尽管《国家安全法》与《网络安全法》及其他具体领域安全法均由全国人大常委会制定，但《国家安全法》具有总体制度凝练的特质，而《网络安全法》等具体领域安全法体现出具体内容指向的特征，这应当构成我们在分析研讨数据安全立法时进行纵向和横向比较的基础，同时也应当作为我们对《数据安全法（草案）提出意见建议的前提。

由于《数据安全法》与《国家安全法》的特殊关系，《中华人民共和国数据安全法（草案）》（以下简称《数据安全法（草案）》）沿袭了《网络安全法《出口管制法（草案）》《生物安全法（草案）》在内容中对国家安全或《国家安全法》援引的做法，同时很大程度上在立法思路、内容结构以及表述方式等方面与《国家安全法》保持一致，并在一定程度上与《网络安全法》等形成比照关系。尽管《数据安全法（草案）》存在一些明显缺陷和不足尤其是对于数据的原本性研究及其规范路径讨论尚不充分，但是随着数据作为一种新的生产要素已经被广泛投入到各种经济活动之中，并得到了党中央和国务院的政策明确③，加之数据安全领域的制度建设需求日益紧迫，因此《数据安全法》需要在效率与质量、概括与精细之间寻求平衡。与此类似，立法还需在数据安全与数据发展、数据安全与数据开放之间寻求平衡，尽管草案第二章和第五章对此有专章规定，但是仍需在矛盾统一和统筹兼顾的思路上进一步优化内容。

二、《数据安全法（草案）》具体修改意见

1）统筹草案中的“公民”“组织”“个人”等用语，统一且分不同场合使用“自然人、法人和其他组织”“个人、组织”两组用语。

理由：“自然人、法人和其他组织”“公民、组织”与“个人和组织”是几组不同的法律规范表达方式，应当根据本法需要分不同的场合使用[1]。《国家安全法》使用了“公民、组织”和“个人、组织”两组用语，而《网络安全法》使用了“自然人、法人和其他组织”和“个人、组织”两组用语，考虑到《国家安全法》规定的内容更为宏观、国家特色更为鲜明，因此《数据安全法》应当与《网络安全法》保持一致。建议在保留草案原部分条文中使用“组织、个人”的基础上，将第一、二、五、八、十九、四十七条中的“公民、组织”修改为“自然人、法人和其他组织”。

2）规范草案表述，统一将第七条第二、三、四款的“监管”等修改为“监督管理”。

理由：规范用语。

3）第三条第二款“数据活动，是指数据的收集、存储、加工、使用、提供、交易、公开等行为。”修改为“数据活动，是指数据的收集、存储、使用、加工、提供、公开、交易等行为。”

理由：在数据活动中，数据使用应当先于数据加工，即存有无需加工即可使用的数据。《民法典》第1035 条第二款规定，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”个人信息处理活动的规定中，信息使用也是先于数据加工的。因此，《数据安全法》应当与《民法典》相关规定保持一致。此外，数据交易作为一种特殊的经营性数据活动，应当放置于活动类别的最后。

4）第三条第三款“数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用”修改为“数据活动，是指通过采取必要措施，有效应对数据活动危险和威胁，保障数据得到有效保护和合法利用”。

理由：依照《国家安全法》第二条对于国家安全的界定，完善数据安全的法律内涵。同时，删除不必要的词语“通过”，使条文更加简洁、规范。

5）第七条第一款的“各地区、各部门”修改为“省级人民政府、中央国家机关各部门”，同时将“产生、汇总、加工的数据及数据安全”修改为“数据活动安全”，整合第七条第一款和第二款，修改为“省级人民政府、中央国家机关各部门对本地区、本部门的数据活动安全负主体责任，承担数据安全监督管理职责”。同时删除第七条第二款。

理由：首先，各地区、各部门的界定较为模糊、宽泛，不利于具体的执行[2]，从现有管理体制和职权配置来看，省级人民政府、中央国家机关各部门具有较强的行政管理能力和制度建设资格。其次，数据的“生产、汇总、加工”与第三条的“收集、存储、加工、使用、提供、交易、公开”等行为存在矛盾、不周延之处，因此直接使用“数据活动”总体概括即可。此外，由于第一款已经明确了主体责任，同时第二款的规定对于行业和领域的主管部门覆盖不全，未能全面涵盖各种数据，因此宜与第一款合并规定。

6）第八条调整为第六条，第六、七条依次变更为第七、八条。

理由：第八条总体性的义务性规定，与第五条的逻辑关系更加密切，应当与第五条连续规定。而第六、七条是明确数据活动的具体管理分工，在逻辑上应当在在总体性规定之后。

7）第十七条在原文后增加规定“具体数据交易管理办法由国务院制定。”

理由：党的十九届四中全会首次将数据作为一种新型生产要素，《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》提出，加快培育数据要素市场，探索建立统一规范的数据管理制度，《中共中央国务院关于新时代加快完善社会主义市场经济体制的意见》进一步提出，加快培育发展数据要素市场。数据交易是实现数据资源市场化配置的重要机制，是进一步促进数据要素自主有序流动，实现数据效益最大化和效率最优化的重要方式。但是，我国在数据确权、数据定价、数据产品、数据服务、交易规则、权利救济等方面的制度探索尚处于起步阶段[3]，部分地方和企业进行了尝试，取得了一些进展，但远不能满足我国的发展需要。草案对数据交易的关注较少，基本上仅有本条一条，且表述过于空泛、笼统。为加快数据交易制度建设，建议提升制度建设层级，明确制度建设主体，由国务院统筹数据交易市场建设。

8）第十九条第一款的“分级分类”修改为“分类分级”。

理由：中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》规定，“推动完善适用于大数据环境下的数据分类分级安全保护制度”。同时，《纳税人分类分级管理办法》《证券期货业数据分类分级指引》《工业数据分类分级指南(试行)》等直接采用了“分类分级”的表述。此外，从制度逻辑上分析，按照本条第一二款的规定，数据至少可分为“重要数据”和“非重要数据”，“非重要数据”是否都需要分级保护存疑，因此，数据安全与保护的基础逻辑是先分类、再分级。

9）第十九条第二款修改为“国家建立重要数据保护目录，对列入目录的数据进行重点保护。重要数据保护目录的具体范围和保护办法由国务院制定。”

理由：目前社会各界都比较关注第十九条第二款的重要数据保护问题，在共识性地认同对重要数据进行特殊保护的基础上，提出了需要对重要数据进行界定，明确重要数据的范围，建立重要数据的安全保护规则等进一步完善和细化规定的建议。考虑到重要数据保护制度建设是一个系统工程，草案第十九条第二款要求“各地区、各部门”按照国家有关规定自行确定的难度和风险较大，建议借鉴《网络安全法》第三十一条的规定，授权由国务院制定具体办法，落实实施主体，明确责任目标。

10）第二十二条第二款“依法作出的安全审查决定为最终决定”修改为“中央国家机关各部门和省、自治区、直辖市人民政府依照法律、行政法规行使数据国家安全审查职责，作出的安全审查决定为最终决定。”

理由：草案规定虽然缺少主体规范，但是来源于《外商投资法》，结合《国家安全法》第59、60 61 条的规定，建议作出上述修改。

11）第二十三条修改为“与履行国际义务和维护国家安全相关的属于管制物项的数据，依照《出口管制法》实施出口管制。”

理由：草案规定较为笼统、模糊，建议进一步明晰。

12）删除第二十六条。

理由：第二十六条规定与草案第八条规定重复，由于第八条作为总则内容已有规定，建议此处删除。

13）第二十七条“······风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施发生数据安全事件时，应当按照规定及时告知用户并向有关主管部门报告”修改为“······监测预警，发现数据安全缺陷、漏洞等危害数据安全风险时，应当立即采取补救措施并通知相关个人、单位；发生数据被篡改、破坏、泄露或者非法获取非法利用等数据安全事件时，应当按照规定及时告知相关个人、单位，采取必要措施并向有关主管部门报告”。

理由：草案规定关于安全风险通知义务的规定不够完善，对数据安全事件的界定不够清晰，此外，“用户”的表述也不够规范，“用户”多用于数据“使用”场景，而数据活动除使用外还包括收集、存储、加工、提供、公开、交易等[4]。

14）第三十条修改为“从事数据存储、使用加工以及交易中介等服务的组织、个人在提供服务时，应当要求数据提供方说明数据来源,审核数据提供方身份，并留存记录。”

理由：草案规定仅限于交易中介，大大限缩了数据服务的内容，建议根据实践需要加以完善。同时，从事数据服务的不限于机构等组织，建议也将个人纳入[5]，与第二十九条的规定保持一致。

15）第三十二条“批准手续”修改为“批准程序”。

理由：更加严格、规范，使全法保持统一。

16）第三十三条“境外执法机构要求调取”修改为“境外组织、个人要求调取”，并增加规定“具体办法由国务院制定。”作为第一款。草案规定的“中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的，依照其规定。”作为第二款。

理由：在数据的跨境流动方面，为提高监管效率，避免给数据的正常流动制造障碍，应该对监管等级进行区分，为不涉及安全问题的非重要数据建立具有排除意义的白名单，对危害社会公共安全的数据和调取行为建立惩罚性的负面清单。在此基础上，建议第三十三条不仅限于境外的执法机构，因为境外的执法机构只是涉及一个执法的协助问题，而实际上不只是执法机构，境外的各种组织甚至个人都有这种需求来调取数据[6]，使数据产生跨境流动。草案规定较为狭窄，不利于数据的跨境保护，建议扩大保护对象，覆盖全部境外主体，同时由国务院明确具体的管理办法。

17）第三十四条增加一款作为该条第二款，“政务数据，是指国家机关履行国家管理职能形成的数据。”

理由：政务数据公开实际上是数据市场发展的重要基础。应当增加对政务数据的内涵和范围界定，并与第四十条相呼应。此外，对政务数据的公开、使用以及安全保障还需要进一步细化。

18）第三十五条和第三十六条顺序相互对调。同时，将第三十六条中的“数据安全”修改为“政务数据安全”。

理由：第三十六条是关于政务数据安全的总体性制度规定，而第三十五条约束的是收集、使用等具体行为规范，且与第三十七、三十八条具有逻辑顺序关系，因此第三十五条和三十六条应当颠倒顺序。同时，考虑本章规范的是“政务数据”，而本条将范围扩大到“数据”层面，则与草案第七条规定重复，因此本条应当突出“政务数据”的特殊性。

19）第三十五条“需要收集、使用数据”修改为“需要收集、存储、使用、加工数据”。

理由：草案规定仅限于收集和使用两种具体数据活动，实践中政务数据活动还包括由本单位进行数据存储和加工等，因此本条应当加以完善。

注释：

① 2014 年11 月1 日，十二届全国人大常委会第十一次会议审议通过的《中华人民共和国反间谍法》废止了1993 年2 月22 日通过的以反间谍为主要立法目标的《国家安全法》。

② 国家安全的内涵包括人民安全、政治安全、经济安全、军事安全、文化安全、社会安全、国际安全以及其他各领域国家安全。详见《国家安全法》第3 条。

③ 详见《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》。