中国数据安全立法形势、困境与对策
——兼评《数据安全法(草案)》

黄道丽，胡文华

(公安部第三研究所，上海 201204)

一、问题的提出

大数据时代，数据在推动经济发展、促进国家治理能力现代化、增进人类福祉等方面发挥着日益重要的作用，“数据驱动”开始成为现代社会运行的基本模式。但正如任何技术的“增量发展”均具有潜在的伴生风险一样，数据在价值与贡献率提升的同时也极容易产生所谓的“蜜罐效应”，导致数据更为普遍地遭受未经授权的访问、更改、使用和披露。此外，数据存储和处理的集中化、规模化和跨境的常态化也正在加深数据安全风险。世界经济论坛发布的《全球风险报告》已连续数年将“数据欺诈与盗窃”列为全球十大风险之一[1]。近年来，在数据泄露和侵权案件呈指数级增长的同时，数据滥用开始凸显新的安全隐患，典型如2018年剑桥分析丑闻暴露出的“数据利用政治化”趋势，欧洲议会在其发布的《欧洲数字主权》报告中将其形象地称为一种新的“监视资本主义”(Surveillance Capitalism)[2]。这表明，大数据时代的数据安全指涉对象逐渐层次化，开始从传统的个人、组织权益保护扩展至政治安全、军事安全等国家安全领域。

放眼全球，数据安全问题已成为各国网络治理的热点和难点。个人数据保护、数据跨境流动安全、数据共享安全、执法数据跨境调取等已成为各国数据治理的高频词汇。近期美国采取的针对中国的“清洁网络”计划、禁止TikTok和微信行政令等系列举措更是凸显了在全球围绕数据资源及新兴数字市场激烈博弈的背景下，数据安全不仅是安全的防御问题，更是各国角逐全球市场份额的重要筹码和武器。随着中国大数据、5G、人工智能等新技术新应用的高速发展，数据安全问题已成为他国抑制中国新技术新应用发展的重要工具。数据安全问题如何应对、国家数据安全制度应如何布局不仅关涉到大数据时代个人安全、公共安全、国家安全，也关系到中国在全球新一轮的信息技术变革中如何实现从跟跑、并跑到领跑的转变。在此背景下，中国现行数据安全规范能否有效作用、存在哪些短板和困境、未来中国数据安全立法应如何着力亟待研究。

二、数据安全利益谱系化分析

数据安全利益直接关系到数据安全立法应当保护的客体这一基础问题。数据本身无所谓安全问题，安全与否是相对于主体而言的。传统的信息安全理论重点关注数据的保密性、完整性和可用性，在此语境下的“数据安全利益”主要是指数据与主体关系的稳定性，包括主体对数据控制状态、占有状态、利用状态的稳定以及数据不被其他主体窃取、篡改、使用、破坏状态的稳定。随着信息化和信息技术的进一步发展，数据流动、利用逐渐多元化，但数据的侵权和滥用渐成常态。数据从静态安全到动态流动、利用的转变，使得数据安全利益从“保障数据与主体关系的稳定性”扩张至“防范数据行为对现实安全秩序的破坏”，数据安全利益谱系呈个人安全利益、公共安全利益、国家安全利益三个面向。

(一)个人安全利益

随着现代社会的网络化、数字化和智能化，物理世界的“人”逐渐走向网络空间。人们就在天然的生物属性之外，获得了数字属性，从“生物人类”迈向“数字人类”，塑造了数字时代中“生物—信息”的双重人性[3]。在此背景下，数据安全问题直接关系到“数字人类”的安全问题，首当其冲的便是隐私和个人信息安全，如海量的个人信息因保管不善被泄露甚至被非法出售或利用，进而出现犯罪分子利用非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为[4]。从现状来看，数据类犯罪已经成为诸多犯罪的重要上游犯罪。以侵犯公民个人信息罪为例，敲诈勒索、电信诈骗等各类犯罪，多数是以非法获取个人信息为前提。2016年徐玉玉被骗案中，网络诈骗犯之所以轻易得手，一个重要原因就是犯罪分子轻松攻破“山东省2016高考网上报名信息系统”并植入木马病毒，获取了包括徐玉玉在内的大量考生的报名信息，从而实施精准诈骗[5]。

(二)公共安全利益

当前，智能家电、机器人、无人驾驶汽车等已从屏幕走向生活，云计算、大数据、物联网等正在以无法想象的速度改变着世界，驱动着消费升级和产业变革。以物联网、云计算等大数据技术体系为支撑的智慧城市建设也在不断深化推进，万物互联的时代已展露雏形。

与变革同时而来的是风险，万物互联将重构工业化时代人与人、人与物、物与物的关系，支撑万物互联的底层数据安全对社会公共安全的影响将在深度和广度上进一步扩展。以车联网为例，在端到端的直连通信场景下，车联网终端间将通过广播的方式在专用频段上进行直通链路短距离信息交换，攻击者将可能利用直连通信无线接口的开放性，进行假冒终端身份、虚假信息发布、合法信息篡改重放、数据窃听等攻击行为。汽车运行相关的刹车、速度、胎压、油耗等汽车控制信息，一旦被不法分子伪造篡改将会影响汽车行驶安全，给用户带来经济损失甚至人身伤害[6]。当下及可预期的未来，通过对数据非法控制或篡改，黑客随意控制水位传感器，触发错误的洪水报警；入侵供电系统造成全城停电，引发火灾；操纵核电厂的核辐射传感器，制造恐慌或混乱等这些似乎只在电影中出现的场景，逐渐成为现实威胁。

(三)国家安全利益

众所周知，国家与社会、公权力与私权利的二元结构是现代性的基本构架和制度基础[3]。然而，随着信息时代的到来，平台“准公权力”特征凸显。算法基于海量数据运算配置社会资源，直接作为行为规范影响人的行为，辅助甚至取代公权力决策，从而发展为一支新兴的技术权力[7]。数据集中产生准公权机构使得在国家之外，海量数据控制者拥有了影响国家安全的现实能力。2018年剑桥分析事件充分印证了Facebook、剑桥分析公司等掌握着海量信息和智能算法的数据控制者在影响国家政治安全、民主进程方面的巨大力量。此外，多源信息融合技术的发展模糊了国家秘密与非秘密信息之间的界限，也为国家安全带来新风险。传统被认为与国家秘密无关的数据在达到一定规模后，通过与其他数据进行汇聚、整合、分析，很可能造成危害国家安全和社会公共利益的严重后果[8]。2018年美国健身追踪软件开发商Strava发布的数据可视化热点图意外泄露美国军事基地、间谍前哨位置及人员配置信息即是典型例证。

在各国角逐5G、人工智能等新兴市场背景下，数据安全问题已经从安全保障走向战略博弈，他国的数据安全政策措施也成为深度影响国家安全的重要变量。近年来，以美国、欧盟为代表的国家或地区不断适用长臂管辖原则，扩张本国或本地区立法的域外效力，导致中国国家安全面临更为现实、紧迫的威胁。以美国为例，在立法上，2018年美国颁布了《合法使用境外数据明确法》，通过长臂管辖原则建立了一个可以绕过数据所在国监管机构，而直接向企业获取数据的跨境数据调取机制；在实践中，出于“美国优先”和遏制中国的战略需求，美国频繁对涉中国事项行使“长臂管辖权”。中国的银行深受美国“长臂管辖权”的困扰。中国银行、中国农业银行、中国工商银行、中国建设银行、交通银行和招商银行都在美国设有分支机构，美国法院以这些分支机构作为“联系”，在中国的银行只是证人的民事案件中，将总行甚至中国境内分行纳入美国法院的管辖范围，要求中国的银行提供资料[9]。2019年，美国法院在一刑事诉讼中要求中国三家银行直接向美国提供犯罪嫌疑人的银行记录[10]。上述行为对中国的国家主权带来了直接冲击，在诸多场景下削弱了中国的数据监管能力。绕过政府直接向企业发出执法命令而缺乏相应的透明度、审批或通报机制也为美国从中国获取数据(不限于执法数据)打开了通道。

近年来，诸多国家更是以保障数据安全为由，打压他国新兴产业的发展。美国多次指责中国《国家安全法》《国家情报法》《网络安全法》等相关立法中规定的“协助执法义务”为政府通过设置后门或者直接要求技术公司提供他国数据提供了便利，对他国国家安全带来威胁①。国际上，以前述立法为借口，美国积极营造不利于中国的舆论氛围挤压中国产业的国际发展空间。2019年以美国为首的多国代表签署“布拉格提案”，要求“5G发展中应考虑第三国对供应商影响的总体风险，特别是其治理模式”。尽管提案没有列明哪些5G供应商，也没有列出具体威胁源自哪些公司、哪些国家，但明显是剑指华为，意在中国[11]。2020年针对英国允许华为参与5G网络建设事宜，美国众议院发布《关于中国私有和国有企业均在中国共产党有效控制之下的申明》直指中国公司部署的5G产品和技术存在重大风险，建议英国将华为排除在5G关键基础设施建设项目之外[12]。在美国国内，以中国诸多立法带来的国家安全风险为借口，美国以强化供应链安全为由通过外商投资审查、出口管制等系列措施对中国进行市场准入限制和技术封锁②。近期美国扩大“清洁网络计划”，发布禁止TikTok和微信行政令等系列举措更凸显出这一思路的延续。

三、中国数据安全立法的现状及困境

面对复杂的数据安全形势对个人、公共乃至国家安全造成的冲击，中国高度重视数据安全治理的立法推动工作。但总体来看，中国尚未解决数据立法的性质、权益等基础理论问题，数据安全制度建设仍处于探索阶段。《网络安全法》实施三年多以来暴露的网络数据安全治理短板以及当下不断发展的国内外数据安全形势，也对中国未来数据安全立法提出了更高的要求。

(一)中国数据安全立法现状

长期以来，中国对数据安全的保障主要依附于对计算机信息系统安全，或商业秘密、著作权等权益的保护。“数据安全”作为一种独立的权益并没有得到立法的充分重视。随着信息技术及数据经济的快速发展，数据作为一种新型的、独立的保护对象逐渐获得立法上的认可。2015年《国家安全法》第25条 明确提出，“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，直接将数据安全上升到国家安全的高度。2017年《网络安全法》将数据安全纳入网络安全的重要组成部分。网络安全等级保护制度、关键信息基础设施保护制度、个人信息保护制度等为数据安全的落实提供重要的制度支撑。2018年《数据安全法》《个人信息保护法》纳入全国人民代表大会常务委员会立法规划，数据安全类专项立法提上日程。在《数据安全法》《个人信息保护法》尚未出台的背景下，中国国家层面开始自下而上的制度探索。2019年国家互联网信息办公室相继发布《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等多个《网络安全法》配套文件。2020年《民法典》也从民事权益角度明确对“个人信息”“数据”“虚拟财产”的保护，为数据的民事保护提供基础法律依据。

作为新兴法律议题，数据安全制度设计在国家层面存在诸多争议和难题。对此，地方层面围绕数据跨境、数据安全保障、数据开放、数据权等问题积极先试先行，为将来国家层面的数据安全立法积累前期经验。典型如《天津市数据安全管理办法(暂行)》《贵州省大数据安全保障条例》《深圳经济特区数据条例(征求意见稿)》《中国(上海)自由贸易试验区临港新片区总体方案的通知》《海南自由贸易港建设总体方案》等。

整体来看，中国数据安全立法快速推进，但相对分散，各立法之间缺乏有效的衔接与协调。《网络安全法》构建的网络安全等级保护制度、关键信息基础设施保护制度、数据本地化与跨境流动制度、个人信息保护制度等是当前数据安全治理的重要依据，但《网络安全法》的部分重要制度，如数据本地化与跨境流动配套制度迟迟未能出台。随着中国数据安全形势的变化，《网络安全法》已经不能满足数据安全保障的现实需求。

《数据安全法(草案)》的出台意味着一部统一的《数据安全法》即将到来。在中国数据安全形势严峻、数据安全法治尚不健全的背景下，《数据安全法》承载着解决中国数据安全内外部风险、构建数据安全核心制度框架，进而保障个人、公共、国家在大数据时代安全利益的重要使命和期待。在全国人民代表大会发布的草案起草说明中将《数据安全法》定位为数据安全领域的基础性法律。从当前发布的版本来看，草案尚处于初级阶段，对于包括数据跨境、重要数据保护、数据聚合等核心制度缺乏更进一步思考和统筹。

(二)中国数据安全立法困境

1.基础问题尚未厘清，治理共识仍待推进

当前，立法界、学界、产业界对于中国数据安全立法，尤其是《数据安全法》应当解决什么问题、通过什么方式解决等尚未达成统一的认识。长期以来，“数据”治理问题引发了人权法、民法、竞争法、行政法、刑法等各领域学者的关注。人权法学者主要从伦理、自由角度出发，研究数字时代新的人权需求和人权危机。民法学者从数据权属、人格保护角度出发研究数据权益分配及个人信息保护问题。竞争法学者主要从反不正当竞争、反垄断法等角度出发研究数据流通的市场秩序问题。行政法、刑法学者则主要从公法角度研究对于数据的各类监管问题。由此可见，数据治理涉及多层次多维度。但当前普遍存在着将数据安全与数据治理等问题混为一谈的现象，导致数据安全问题泛化或重点偏失。例如，2019年发布的《数据安全管理办法(征求意见稿)》将人工智能合成信息、数据歧视等问题纳入规范范畴；2020年《数据安全法(草案)》将推动政务数据开放利用纳入规范范畴。

数据安全治理路径选择直接关系到数据安全治理的实际效能。当前，数据法律性质、数据权属等基础理论问题尚未解决，使得个体、国家在数据安全问题上的介入机制、权责机制难以划定。长久以来，对于数据的保护模式争议不断。私权保护模式主张者倾向于在私法上通过赋予个人或企业某种“数据权利”来建立数据归属和利用秩序[13]。而公权保护模式主张者则认为，从数据与私人的关系入手展开数据法理论体系研究，必然以考量私益为先，这种思路某种程度上忽视了基于数据公共性本质而衍生的公共目的的普遍性[14]。乃至有学者认为，以隐私权利及财产权等私权作为对个人数据信息进行保护和利用的依据，将无法对个人数据信息的使用方式、目的和效果产生有效的规制，私权制度在大数据技术下正逐步失去作用[15]。在此背景下，《民法典》虽然将个人信息和数据纳入规范范畴，但对于非个人数据的法律性质、民事权益等并未定性。《数据安全法(草案)》则回避了数据权属问题，从公权监管的角度加以规制。这种处理方式看似绕开了长期以来的数据性质、权属之争直接开拓了公权监管路径，但从长远来看，在数据权益等民事基础问题尚未解决的背景下，公权监管模式更多的像是权宜之计，实则难以实现科学的权责配置机制，并可能为未来数据安全领域的民事与行政立法衔接遗留诸多问题。

2.核心制度供给不足，关键环节监管不力

重要数据保护制度尚不健全。重要数据一般具有攸关国家安全的高度敏感性。当前中国重要数据保护制度基本处于缺位状态，重要数据概念界定、认定机制、保护机制等均未建立。《网络安全法》所建立的关键信息基础保护制度可在一定程度上解决上述问题，但相关配套制度未能出台，使得通过关键信息基础设施保护重要数据的保护思路尚未践行。《数据安全法(草案)》初步建立了重要数据保护框架，但依然存在着概念缺失、认定机制设置不科学等问题。

数据分级分类统一的制度架构尚未建立。当前，行业和地方已经开展数据分级分类的探索和实践。例如，行业层面的《工业数据分类分级》《证券期货业数据分类分级》《金融数据安全数据安全分级指南》等，地方层面的《贵州省地方标准 政府数据 数据分类分级指南》《上海市公共数据开放分级分类指南(试行》等都对公共数据的分级分类做了规定。但整体来看，数据如何分级分类、应当归为哪几类，分级标准如何确定等基础架构在国家层面还未明确。

数据利用规则及跨境流动机制尚不完善。一直以来，中国数据安全监管思路呈现出“重收集，轻处理”的特点。数据利用、数据跨境、数据汇聚融合等核心环节监管制度缺失。一方面，现行的网络安全等级保护制度、关键信息基础设施保护制度更加侧重于网络运行安全，而缺乏对数据安全的重要考量，使得两大制度尚停留在通过网络运行安全保障数据安全的间接保护模式；另一方面，网络安全等级保护制度仍然以保护数据的静态安全性为主，难以规范数据动态利用和流动问题。对于数据集中和融合，中国相关规范机制基本处于空白状态。2020年发布的《〈反垄断法〉修订草案(公开征求意见稿)》在经营者市场支配地位认定因素中新增了“掌握和处理相关数据的能力”，但该条主要是从市场秩序角度考量，难以应对数据融合对公共安全、国家安全的冲击。

3.国际博弈应对乏力，立法技术有待提升

正如前文所言，数据安全问题已经从安全保障走向战略博弈。在此背景下，中国在立法主动性和成熟度两方面临现实考验。

一方面，立法呈现出明显的滞后性和被动性。以境外公权力机构跨境调取数据为例，以美国《合法使用境外数据明确法》为典型代表，境外公权力机构的数据攫取对中国数据主权的侵蚀及国家安全造成的冲击日益凸显。中国《国际刑事司法协助法》《网络安全法》《证券法》《商业银行法》等法律法规对此类行为做出了一定的规定，为监管机构介入提供了一定的路径。但整体来看，上述法律法规尚存在规范不全面、可操作性不足等诸多问题，难以为政府监管机构介入提供有效、全面的制度支撑。例如，作为直接、全面规制执法协助行为的规定，《国际刑事司法协助法》第4条第3款仅适用于刑事领域，且因缺乏相应的罚则难以切实落地。《证券法》第177条又仅适用于证券领域。此外，《网络安全法》《征信业管理条例》《地图管理条例》《人类遗传资源管理条例》等法律法规则存在规定零散、覆盖面不全的问题。《网络安全法》第37条的适用对象仅限于关键信息基础设施，《人类遗传资源管理条例》的适用对象只有人类遗传资源信息，《征信业管理条例》第24条仅适用于征信信息。

另一方面，立法成熟度有待提升。以数据跨境流动为例，当前数据跨境流动不仅是经济全球化的必然趋势，同时也是影响国家安全的重要因素。如何平衡数据经济发展与国家安全保障之间的关系是数据跨境流动规则设计必须考虑的问题。自中国《网络安全法》第37条规定数据本地化与跨境条款以来，该条款便引发了国际社会的诸多质疑。从国内来看，第37条配套的数据安全评估制度设计困难重重。从2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》到2019年发布的《个人信息出境安全评估办法(征求意见稿)可以观察到监管思路的不断调整。从美国来看，其一方面支持数据跨境自由流动，另一方面也将数据出境作为影响其国家安全的重要方面而有所限制。这一点在《国家安全与个人数据保护法案2019》中体现得尤为明显[16]。值得关注的是，美国立法者在解决数据出境可能带来的风险方面表现出了监管技巧，使得美国同样在实施数据本地化但较少受到国际社会质疑。因为立法上美国并未一刀切地要求数据本地化。通过《国家安全与个人数据保护法案2019》可以大体看出美国立法者更倾向于建立黑名单制度，以保障国家安全和个人隐私为由仅对部分国家进行数据传输限制。在具体执行方面，主要通过个案审查机制，从而实现灵活管控。此外，美国还充分利用外商投资审查、出口管制、加强供应链安全管理等措施达到限制数据出境的效果。

(三)《数据安全法(草案)》的现存问题

2020年7月，《数据安全法(草案)》在中国人大网公开并征求公众意见。此次草案的出台有着深刻的时代背景和现实背景，是中国对当前数据安全内外部形势的回应，但草案存在诸多问题，具体来而言：

1.安全法与发展法定位不清

草案提出了诸多促进数字经济发展的措施，包括制定数字经济发展规划、支持数据相关技术研发和商业创新、培育数据交易市场等。但应当考虑到，作为安全保障类立法，《数据安全法》对于发展的促进作用体现于合理、科学的安全制度设计在产业发展中产生的间接推动，包括职责明晰的监管机制，尽量减少“有关部门”的模糊指向；精简准确的义务设置，包括避免重复检测、认定等要求带来的企业负担，根据数据分级分类实施有区分的义务要求；全面的安全生态建设，如推进数据安全服务的发展；能动的国际化部署，包括适度扩张法的域外效力，实施数据安全审查制度、数据出口管制、反制措施等，而不宜在立法中直接规定过多促进发展的条款。

2.与相关立法协调有待强化

《数据安全法》作为数据安全领域的基础性立法，同时也是国家安全法律制度体系的重要组成部分，如何与国家安全领域的《网络安全法》《出口管制法》以及未来数据安全领域的《个人信息保护法》等进行衔接与协调是立法体系安排中需要考虑的重要问题。

与《网络安全法》的衔接与协调。数据安全作为网络安全的重要组成部分，诸多安全制度可被网络安全制度所涵盖。草案将数据界定为“电子或者非电子形式对信息的记录”，对数据这一概念做了最大化解释。事实上，随着信息化、网络化、数字化的发展，无论是电子数据体量、影响的增长还是“传统”非电子数据向电子数据的转化都呈不可逆趋势，能带来“数据这一非传统领域的国家安全风险与挑战”的更多是电子数据[17]。如何与《网络安全法》协调，避免制度设计交叉与重复带来的立法资源浪费及产业发展负担是《数据安全法》制定过程中需重点关注的问题。因此，需妥善处理草案第16条确立的数据安全检测评估、认证与《网络安全法》框架下的网络安全检测评估、认证之间；草案第19条确立的数据分级分类制度与网络安全等级保护制度之间的关系；草案第20条、第21条确立的国家数据安全监测预警机制、应急处置机制与现行的网络安全监测预警、应急处置机制之间的关系；草案第22条确立的数据安全审查与现行的外商投资审查、网络安全审查等国家安全审查制度之间以及重要数据保护与关键信息基础设施保护制度之间的关系等。

与《出口管制法》的衔接与协调。将部分特殊数据纳入出口管制范畴是大数据时代出口管制制度发展的应然趋势，也是提升国家数据安全保障能力的必然要求。国际社会上，尤其是美国近年来充分利用出口管制手段控制高新技术数据出境。草案第23条将数据作为管制物项实施出口管制值得肯定。当前《出口管制法》也在制定中，从2020年7月3日中国人大网公布的二次审议稿来看，目前的版本仅在第32条对信息出口管制做出了原则性的规定，尚不能为《数据安全法》草案第23条的落地实施提供充分的规则支撑，有待后续配套的支撑与有效衔接。

3.制度设计有待进一步聚焦

草案重点制度设计有待进一步聚焦，对于包括数据跨境、重要数据保护、数据聚合等核心制度缺乏更进一步思考和建设。例如，数据跨境，应当作为《数据安全法》需要解决的重要问题。但该法除了在第10条提出一个原则性规定外，并未对数据跨境问题做出具体的制度安排。虽然第23条的数据出口管制、第33条境外执法机构的跨境数据调取涉及数据出境问题，但无法涵盖一般商业场景下的数据跨境流动问题。此外，作为大数据时代以及中央大力推进数据要素市场构建背景下诞生的立法，《数据安全法》应当具有与小数据时代以及数据流通频率不高产业环境下产生的立法不一样的着力点，应当尤其关注海量数据汇集后的“大数据”安全问题以及数据融合加工后引发的安全问题，但草案中对此问题的规范基本处于空白。

四、中国数据安全立法的完善路径

以科学技术创新为先导的社会范式转变使得对人们行为进行规范与控制的法律呈现明显的回应性特征，冲击了法律所应当具有的稳定性，稳定性冲击实质上也包括了对法律的完整性、确定性和程式性的影响[18]。重大事件驱动重大立法规律在全球网络安全领域一直存在，这也是信息社会立法回应性特征的一个体现。尽管如此，对法律的回应性进行深入研究，仍有助于在困境中寻找一条可能获得法律和社会协调发展的路径。综观中国面临的数据安全形势及立法现状，未来中国数据安全立法除了要继续加强数据基础理论研究，还建议在立法思路方面根据中国当前数据安全的现实问题有所调整。

(一)立法定位：立足安全保障基本功能

数据安全立法需要注意的立法定位问题包括制度定位与体系定位两个面向。

制度定位方面，数据安全立法应当立足于安全保障法的基本定位。一方面，应当处理好安全与发展的关系，聚焦于数据安全制度的构建；另一方面，需要注意与数据歧视、数据伦理等问题的区隔，避免数据安全利益的泛化。

体系定位方面，在未来《数据安全法》《个人信息保护法》并存的背景下，《数据安全法》应当立足于公共安全与国家安全的保障功能。个人安全保障功能则交由《个人信息保护法》解决。在此背景下，数据安全立法，一方面，应当处理好内部法律体系的协调问题，如《数据安全法》与《网络安全法》的协调，《数据安全法》应当解决《网络安全法》未能解决的问题，如数据的动态利用、数据分级分类、重要数据保护等问题；另一方面，应当注意与安全类立法体系之外相关立法的协调，包括《出口管制法》《外商投资法》等，通盘考虑数据安全走向国际战略博弈工具背景下的制度设计。

此外，在《民法典》已将“个人信息”“数据”与“虚拟财产”纳入民事保护范围的背景下，数据安全立法应注意统筹考虑民事、行政、刑事各部门法的发展。在数据安全规范方式选择、制度设计方面，相关行政、刑事规范应当以数据民事权益的划分为重要依据或参考。

(二)制度建设：统筹内向安全与外向安全

面对严峻的数据安全形势，中国数据安全立法，一方面，需要关注内向安全问题，强化重要数据保护、数据分级分类、数据开发利用、数据共享与交易等核心制度构建；另一方面，需关注国际社会带来的安全风险，并做好前瞻的、国际化应对部署。例如，如何应对美国、欧盟长臂管辖类似问题，如何应对美国、印度以数据安全、国家安全为由对中国信息技术产业的围追堵截等。在此基础上做好法的域外效力及反制措施、数据本地化与跨境流动、执法数据跨境调取等制度设计。

值得一提的是，《数据安全法(草案)》引入了保护性管辖原则，赋予了该法域外效力，被视为一大亮点。在数据全球化以及美欧长臂管辖原则不断扩张的背景下，中国适度扩张本国法律的域外效力具有合理性。但域外效力如何扩张及扩张的程度仍是立法上需审慎考量的问题。

(三)规范重心：从数据收集转向数据处理

一直以来，中国对数据安全治理主要遵循数据生命周期保护，尤其重视对数据收集环节的监管。在中央大力培育数据要素市场，推进数据要素流动的背景下，依然将监管重点只放在收集环节已不合时宜。从现实情况来看，数据真正的安全风险往往并不来源于收集环节，而是更多地体现为后续的动态利用风险。从源头对数据进行控制固然是最为安全和稳妥的方式，但也严重阻碍了数据流动，影响数据红利的释放。随着产业对数据释放需求以及国家数据安全治理经验的提升，数据安全规范重点应当有所转变。立法关注的重心应当逐渐从数据收集环节转向后续的处理环节，并加强核心处理行为的规范。例如，作为大数据时代以及中央大力推进数据要素市场构建背景下诞生的立法，数据安全保障应当有与小数据时代以及数据流通频率不高产业环境下产生的立法不一样的着力点，应当尤其关注海量数据汇聚后的“大数据”安全问题，以及数据融合加工后引发的安全问题。

(四)规范方式：兼采主体规制与行为规制

从当前的数据安全形势不难看出，一方面，诸如数据跨境、数据融合分析等部分特殊的数据处理行为安全风险较高，应当成为规范关注的重点；另一方面，特殊主体的数据行为也会存在较高的安全风险。在数据即权力的时代，应当重新认识掌握海量数据的科技公司作为“准权力”机构对国家安全的重要影响。大型互联网企业应当成为数据安全立法重点关注对象。此外，在国际局势不稳定性、不确定性突出的背景下，数据控制主体的性质也是影响公共安全、国家安全的重要考量标准。在此背景下，部分境外跨国互联网企业也应当成为数据安全规范的重点关注对象。

(五)立法技术：重视立法影响评估

“要获得良好的规制结果需要对规制体制进行高质量设计、实施和评估[19]。近年来中国立法影响评估学理研究逐渐增多并逐渐走向制度化，2015年中国新修订的《立法法》新增加立法评估机制，包括立法前评估和立法后评估③。在数据安全形势快速演变的当下，对包括《网络安全法》在内的现行立法以及《数据安全法》等未来立法的立法前评估、立法后评估应当成为常规操作。一方面，作为现行有效的、可以规范数据安全的重要立法，《网络安全法》已实施三年有余，应当结合三年多的实施经验对《网络安全法》及配套制度的实效进行评估，以对数据安全立法是否科学合理及时总结、反思、调整；另一方面，《数据安全法》等拟议中的立法应当充分评估预期效果，包括可操作性、立法影响等。

此外，应当注意到当前中国网络安全、数据安全等立法已成为全球，尤其是欧美国家的关注重点。这一方面缘于中国在全球新一轮信息技术革命中的斐然成就，有益于中国从一直以来的制度效仿国逐渐走向全球制度输出国，扩大在国际互联网治理中的话语权和影响力；但另一方面也意味着，一旦制度设计不当极有可能为他国所用，成为别有用心者攻击中国的借口。鉴于此，中国在数据安全立法制度设计中不能忽视国际影响评估，包括是否会引来国际社会的质疑，影响中国国家形象、产业发展；是否确有必要；未来能否落实；是否有更好的替代机制；是否对当下及未来可能面临的数据安全威胁留有弹性应对机制等等。美国、印度包括欧盟等国家或地区对中国企业的数据安全问题质疑，一方面是其出于战略需求的恶意抹黑，但另一方面也在一定程度上反映了中国立法技巧本身存在的问题。

五、余论

当前，数据安全问题是各国共同面临的难题。从全球范围来看，尚未有国家或地区颁布统一的《数据安全法》，这意味着中国数据安全立法乃至数据治理方面无法直接从其他国家获得既定的、成熟的经验借鉴，更多的需要依靠本土智慧进行理论创新和制度探索。数据安全问题关涉个人、企业、社会、国家诸多利益主体，关联经济、政治、军事等诸多领域，牵连线上与线下两大环境，相应的应对策略也应是通盘考虑的系统策略。此外，在数据属性、权益划分等基础性法律问题尚未厘清，数据技术、产业日新月异的背景下，要构建起数据安全立法制度全貌难度和复杂性不言而喻，客观上也不符合当前技术、产业乃至理论发展对数据安全制度设计的弹性需求。也正是基于此，文章只是从中国存在的数据安全现实问题出发，总结当前经验和短板，对中国下一步数据安全立法总体方向和部分具体制度提出了对策建议，并未试图构建起中国数据安全立法全貌，诸多未能解决的问题仍待未来继续深入研究、探讨。

注释：

① 2019年3月，美国参议院做出的《认定华为和中兴通讯等中国电信公司对美国及其盟国的国家安全构成严重威胁的决议》，直指“鉴于《中国网络安全法》第28条要求网络运营商包括华为等公司，向参与国家安全工作的中国当局提供技术支持和协助；鉴于《中国国家情报法》第7条要求所有组织和公民，包括华为、中兴等公司，支持、协助和配合国家情报工作”，决议认定华为、中兴等中国电信公司对美国和美国盟国的国家安全构成严重威胁。在《中国私有和国有企业均在中国共产党有效控制之下的申明》中，美国众议院指责中国《公安机关互联网安全监督检查规定》赋予了公安机关对企业服务器上存储的数据的检查和复制权。《网络安全法》第22条、第23条，《密码法》第31条赋予了中国监管机构获取企业加密密钥、源代码等信息的权力。

② 典型事件如美国对华为、中兴等的技术封锁、中国移动进入美国市场受阻、中国电信在美面临许可证撤销、北京中长石基信息技术股份有限公司收购StayNTouch失败等，不一而足。

③ 《立法法》第39条：拟提请常务委员会会议审议通过的法律案，在法律委员会提出审议结果报告前，常务委员会工作机构可以对法律草案中主要制度规范的可行性、法律出台时机、法律实施的社会效果和可能出现的问题等进行评估。评估情况由法律委员会在审议结果报告中予以说明。《立法法》第63条：全国人民代表大会有关的专门委员会、常务委员会工作机构可以组织对有关法律或者法律中有关规定进行立法后评估。评估情况应当向常务委员会报告。