翟志勇
(北京航空航天大学 法学院,北京 100191)
2018年9月7日第十三届全国人大常委会公布立法规划,包括三类共计116件立法,其中《数据安全法》位于第一类项目,属于“条件比较成熟、任期内拟提请审议的法律草案”[1]。2020年6月28日第十三届全国人大常委会第二十次会议审议并向社会公布了《数据安全法(草案)》,引发学界和实务界的广泛关注。而之前呼声甚高的《个人信息保护法》直到2020年10月21日才公布草案并公开征求社会公众意见,由此可见数据安全立法的急迫性。《数据安全法》虽然提上了立法日程,但在《数据安全法(草案)》公布之前,学术界的相关研究却寥寥无几①(1)①在《数据安全法(草案)》公布以前,直接研究数据安全立法的学术文章只有许可:《数据安全法:定位、立场与制度构造》,载《经贸法律评论》2019年第3期,第52-65页;韩伟:《安全与自由的平衡——数据安全立法宗旨探析》,载《科技与法律》2019年第6期,第41-48页。此外还有少量关于《网络安全法》对于数据安全保护的研究。,与《个人信息保护法》研究的火热程度形成强烈对比。在很少的研究中,涉及《数据安全法》体系定位的研究更是屈指可数,而《数据安全法》制定的首要问题正是法律体系定位问题,因为体系定位问题决定着《数据安全法》的内容及其与其他法律的关系,目前公布的《数据安全法(草案)》在内容上的模糊与庞杂,究其原因,就在于体系定位不明确。
对于数据安全和个人信息保护,2016年全国人大常委会制定的《网络安全法》已经作了原则性规定。在《网络安全法》中,数据安全和个人信息保护依附于网络安全,属于网络安全的一部分。从比较法上看,欧美各国的立法中,数据安全通常也与网络安全和个人信息保护交织在一起,分散在各种不同的法律中,并没有统一的数据安全立法。因此,当全国人大常委会决定在已经制定《网络安全法》的情况下,同时制定《数据安全法》和《个人信息保护法》时,制定过程中最大的困难之一就是《数据安全法》与《国家安全法》《网络安全法》《个人信息保护法》之间的体系协调问题。由于在个人信息保护方面,已经有诸多可供参考的立法例①(2)①如欧盟《一般数据保护条例》、美国《加州消费者隐私法》、印度《2018个人数据保护法》、巴西《一般数据保护法》、日本《个人信息保护法》、韩国《个人信息保护法》、新加坡《个人信息保护法》等。,因此《个人信息保护法》的体系问题相对容易解决,而《数据安全法》则完全无章可循,没有可供参考的立法例,这也使得《数据安全法》的体系定位研究尤为必要和迫切。
要讨论《数据安全法》在我国法律体系中的定位,首先需要从法理的层面上明确有关法律体系的几个基本认知:第一,对于一个主权独立的法治国家,通常存在着一个外在独立、内在融贯的法律体系;第二,这个法律体系以宪法作为根本法和最高法,由不同位阶的法律构成,无论是从价值上还是从效力上,这个法律体系是一个自上而下的金字塔结构;第三,在这个法律体系内部,所有的法律均不得违反宪法,下位法不得违反上位法,同位阶的法律不能重复或相互矛盾,否则就不是一个内在融贯的法律体系;第四,在这个法律体系内部,每一部法律都应该是外部相对独立、内部相对系统化的,如果一部法律不能相对自成一体,那么就不应该单独制定成一部法律。②(3)②有关法律体系的研究,参见[英]约瑟夫·拉兹:《法律体系的概念》,吴玉章译,商务印书馆2017年版;[德]卡尔·拉伦茨:《法学方法论》,陈爱娥译,商务印书馆2003年版,第316-368页;冯威:《法律体系如何可能?——从公理学、价值秩序到原则模式》,载《苏州大学学报(法学版)》2014年第1期,第34-48页。文中的四点认知,是基于这三项研究所做的概括。总之,立法机关在制定新法律时,首先要做的就是在现行法律体系内部为新法律进行体系定位,确定新法律的上位法以及新法律与同位阶法律之间的体系协调关系。
本文从法律体系的角度出发,初步探讨数据安全法的体系定位:首先,《国家安全法》中的“安全”概念是狭义上的传统安全概念,无法成为《网络安全法》和《数据安全法》的上位法,数据安全自然会涉及国家安全,但国家安全仅仅是数据安全的一个侧面而已;其次,《数据安全法》作为数据安全领域的基础性法律,应该建立独立的数据安全法律体系,不应该与《网络安全法》分割数据安全法律体系,虽然数据安全在一定程度上依赖于网络安全,但从法律体系构造上看,《数据安全法》可以也应该独立于《网络安全法》;最后,《数据安全法》和《个人信息保护法》并非底层立法和上层立法的关系,两者具有不同的法理基础和制度逻辑。总之,国家安全、网络安全、数据安全和个人信息保护虽然是相互关联的,但从法律体系构造的角度来看,正因为其相互关联,更需要在立法时进行清晰的体系定位,每部法律都应该在整个法律体系内部建立各自相对独立且自足的体系。
在我国法律体系中,以“安全法”命名的法律共有11部,包括《食品安全法》《农产品质量安全法》《核安全法》《道路交通安全法》《海上交通安全法》《特种设备安全法》《矿山安全法》《国家安全法》《网络安全法》《香港特别行政区维护国家安全法》《生物安全法》③(4)③在2018年9月7日第十三届全国人大常委会公布的立法规划中,《生物安全法》属于“立法条件尚不完全具备、需要继续研究论证的立法项目”,但由于新冠肺炎疫情的影响,《生物安全法》加速制定,2020年4月26日至29日召开的十三届全国人大常委会第十七次会议已经开始审议《生物安全法(草案)》,2020年10月17日十三届全国人民代表大会常务委员会第二十二次会议审议通过,自2021年4月15日起施行。。此外还有一些虽不以“安全法”命名,但同样涉及安全问题的法律,如《突发事件应对法》《传染病防治法》等。这些法律以及配套的行政法规、地方性法规和部门规章,构成我国法律体系中的安全法体系。④(5)④法学界对于安全法体系还没有深入的研究,现有安全法教材基本上是安全生产法教材,将安全法学视为“一门研究与职业安全健康相关的法律法规标准的起源、现状与发展规律的科学,属于劳动法体系的分支学科”,这个界定显然无法涵盖我国法律体系中的安全法体系。参见赵耀江、栗继祖主编:《安全法学》(第2版),机械工业出版社2011年版,第35页。不过法学界已经注意到风险社会中的安全法制问题,《宪政与行政法治评论》2011年专门组织“风险社会与安全法制”专题,但目前还没有学者对安全法体系进行系统性的理论研究。那么如何理解安全法体系在整个法律体系中的位置?如何理解安全法体系内部各部安全法之间的关系?是我们讨论《数据安全法》体系定位的基本出发点。
这些安全法均由全国人大常委会制定,因此按照《宪法》和《立法法》的规定,这些安全法不属于应该由全国人民代表大会制定的“刑事、民事、国家机构的和其他的基本法律”,那么接下来的问题就是,这些安全法属于全国人民代表大会制定的“基本法律”的特别法吗?如果属于,那么属于哪部或哪些部“基本法律”的特别法?如果不属于,那么该如何理解这些安全法的上位法呢?在这些安全法中,只有《国家安全法》在第1条中明确规定“根据宪法,制定本法”,宪法中多次提到“国家的安全”(序言)、“国家安全”(第28条、40条)、“祖国的安全”(第54条),这正是《国家安全法》制定的宪法基础,所以明确规定“根据宪法,制定本法”顺理成章,因此《国家安全法》不属于任何“基本法律”的特别法,而是属于“基本法律”之外的一般法律。
除了《国家安全法》,其他安全法均未在条文中规定据以制定的上位法,既未明确规定“根据宪法,制定本法”,也未明确规定根据某部基本法律制定本法,那么该如何理解其他安全法的上位法呢?其他安全法是《国家安全法》或某部“基本法律”的特别法吗?答案是否定的。首先,从内容上看,其他安全法所规定的内容与《国家安全法》所规定的内容相去甚远,《国家安全法》主要涉及主权和政治安全①(6)①《国家安全法》第4条中规定的危害国家安全的行为包括:“(一)阴谋颠覆政府,分裂国家,推翻社会主义制度的;(二)参加间谍组织或者接受间谍组织及其代理人的任务的;(三)窃取、刺探、收买、非法提供国家秘密的;(四)策动、勾引、收买国家工作人员叛变的;(五)进行危害国家安全的其他破坏活动的。”这些行为主要涉及主权和政治安全,不涉及其他的安全事项。,《国家安全法》并未为其他安全法提供规范基础,因此其他安全法不是《国家安全法》的特别法②(7)②“总体安全观”的提出,并不意味着《国家安全法》中的“安全”体现了总体安全观,事实上《国家安全法》中的安全仍是传统的安全,非传统安全需要在《国家安全法》之外的其他法律中得以落实。关于非传统安全的系统性论述,参见余潇枫:《非传统安全概论》(第三版),北京大学出版社2019年版。;其次,仍然从内容上看,在全国人民代表大会制定的“基本法律”中,也找不到某部法律可以成为某部安全法的上位法,这些安全法均是针对特殊领域内的特殊安全问题所作的规定,并没有一个明确的上位法作为依据,这或许也是全国人大常委会在制定这些安全法时,未在第1条中明确规定该部安全法的上位法的原因所在。③(8)③根据《立法法》第7条规定:“全国人民代表大会和全国人民代表大会常务委员会行使国家立法权。全国人民代表大会制定和修改刑事、民事、国家机构的和其他的基本法律。全国人民代表大会常务委员会制定和修改除应当由全国人民代表大会制定的法律以外的其他法律”。因此,全国人大常委会制定的法律未必要有“基本法律”作为基础,只要不违反“基本法律”即可。如果这些安全法并非任何“基本法律”的特别法,那么从法律体系上看,只能认为这些安全法的上位法也是宪法,虽然这些安全法中没有明确写着“根据宪法,制定本法”。
一部法律是否应该在条文中明确规定据以制定的上位法,《宪法》和《立法法》都没有明确规定,法律理论中也没有一致的意见。民法学者和宪法学者曾就《民法典》第1条是否应该规定“根据宪法,制定本法”发生学术争论。龙卫球教授认为,如果从立法权及其机制来讲,今天中国的任何民事立法,都是依据宪法制定的,但从这个意义上讲,在条文中规定“根据宪法,制定本法”是没有意义的,因为宪法和《立法法》中对此已经作了规定。但是,如果《民法典》中规定“根据宪法,制定本法”,意味着《民法典》既要接受符合宪法积极授权又不触犯宪法消极限制的双重检验,这从民法和宪法发展的历史来看是不成立的,因为民法在先,宪法在后,民法自身就是高级法,无须以宪法作为高级法。[2]175-179,[3]而宪法学者自然反对这种说法,不过宪法学者在捍卫宪法的高级法地位时,并不主张《民法典》的任何规范都要得到《宪法》的积极授权,主要从消极层面上,认为《民法典》的规范应该能够通过合宪性审查,并且认为《民法典》本身就具有一定的宪法功能。④(9)④参见林来梵、龙卫球、王涌、张翔:《民法典编纂的宪法问题》,载《交大法学》2016年第4期,第5-32页;韩大元:《宪法与民法关系在中国的演变——一种学说史的梳理》,载《清华法学》2016年第6期,第151-167页;王锴:《宪法与民法的关系论纲》,载《中国法律评论》2019年第1期,第42-50页。从过往的立法情况看,全国人民代表大会制定的法律中绝大部分规定“根据宪法,制定本法”,而全国人民代表大会常务委员会制定的法律中,绝大部分都不规定“根据宪法,制定本法”。虽然从历史演化和价值秩序方面可以争论宪法与民法的关系问题,但从法律体系的角度来看,毫无疑问的是,宪法居于法律体系规范等级的最高处,其他法律都是宪法的下位法,《民法典》自然也不例外,是否规定“根据宪法,制定本法”其实无关宏旨。
因此,从法律体系的角度来看,无论一部法律中是否规定“根据宪法,制定本法”,如果某部法律不是某部“基本法律”的特别法,那么在实质上就是以宪法作为上位法的。除了宪法之外,不存在没有上位法的法律,否则法律体系就是不融贯的。就整个安全法体系而言,从积极的方面看,这些安全法是对宪法中的某些规范和价值的落实,从消极的方面看,这些安全法不能违反宪法中的限制性规定,也就是说必须能够通过合宪性审查,对这些法律的解释,也应遵循合宪性解释。也就是说,整个安全法体系都是以宪法作为上位法的,《国家安全法》是对宪法中有关国家安全规范的落实,那其他安全法呢?宪法中并没有明确的有关其他安全的规范,那么该如何理解其他安全法以宪法作为上位法呢?简单来说,数据安全涉及公民的人格尊严、人身安全和财产安全,正是对人权和公民基本权利保护的要求,需要对数据安全加以保护。
根据森英树教授的研究,早在1776年,《弗吉尼亚权利法案》和《独立宣言》都将safety和security设定为“权利法案”和国家所要保护的重要权利和价值。1789年法国《人与市民的权利宣言》以及随后的几部宪法,也将safety作为宪法应该保护的一项基本权利。二战后《世界人权宣言》第3条规定“任何人都享有生命、自由和人身安全的权利”。英文单词safety和security都可以翻译为中文“安全”,但两者之间存在细微的差别,森英树教授认为,“可以将safety推认为‘与客观的现实危险相对的具体安全’,将security推认为有组织地提供安全‘以备将来不安的安心体系’。引用权利论的话来说,暂且将两者作这样的类型化,即将safety视为作为人的具体权利的‘安全’,将security视为作为政府的制度化任务的‘安全’。”[4]72-76换句话说,security是为保护作为个人的具体权利的safety而建构的安全体系。
虽然我国《宪法》中除了国家安全之外,没有其他关于安全的具体规范,但从具体权利的角度,可以尝试将安全(safety)解释为一种从人权中推导出来的未列举基本权利。①(10)①安全能否成为宪法上的未列举宪法权利,宪法学界还没有探讨过,但从概括性人权保障条款进行证立,理论上讲是可行的。这方面的探讨,参见余军:《未列举宪法权利:论据、规范与方法》,中国政法大学出版社2017年版,第101-182页。但更为重要的是,可以从人权和基本权利保护层面,推导出国家有责任提供安全体系(security),以确保公民的人身和财产安全(safety),这是整个安全法体系的规范基础。②(11)②从社会契约论的角度看,人放弃自然权利,通过缔结社会契约建立国家,目的之一就是国家可以提供安全保障,这在霍布斯的《利维坦》和洛克的《政府论》中均有论述,参见[英]霍布斯:《利维坦》,黎思复、黎延弼译,商务印书馆1985年版,第128-132页;[英]洛克:《政府论》(下卷),叶启芳、瞿菊农译,商务印书馆1964年版,第59-76页。无论是食品安全还是道路交通安全,抑或网络和数据安全,都可以视为国家提供的安全体系的一部分。因此从整个法律体系尤其是安全法体系来看,《数据安全法》是以宪法为上位法的“基本法律”之外的一般法律,《数据安全法》的立法目的是通过对数据安全的保护,来保护国家安全、人权和公民的基本权利。③(12)③马长山教授认为:“随着数字经济和智慧社会的深入发展,人权形态正在经历着深刻的数字化重塑,从而打破了既有的‘三代‘人权发展格局,开启了以‘数字人权’为代表的‘第四代人权’。”在这个意义上,数据安全保护构成了第四代人权保护的一部分。参见马长山:《智慧社会背景下的“第四代人权”及其保障》,载《中国法学》,2019年第5期,第5-24页。
《数据安全法(草案)》第1条规定:“为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法”。从这条规定也可以看出,立法者并未将《数据安全法》视为《国家安全法》的下位法,保护数据安全,当然涉及维护国家主权和安全,但同样涉及保护公民和组织的合法权益,以及促进数据产业的发展。仅仅从国家安全的角度来看待《数据安全法》,就会把《数据安全法》所要实现的目标严重窄化,不利于系统地理解、制定和适用数据安全法律规范。当然,这并不意味着绝对不能将《数据安全法》制定成《国家安全法》的下位法或特别法,但如果这样,不仅要求《数据安全法》的内容必须只能涉及国家安全,而且意味着还需要在其他法律中解决国家安全之外的数据安全问题,因此从法律体系构造的角度来看,无论如何《数据安全法》都不应该成为《国家安全法》的下位法或特别法。此外,对于这种情况,完全可以通过修改《国家安全法》将涉及国家安全的数据安全问题纳入其中,更没有必要单独制定作为《国家安全法》的下位法或特别法的《数据安全法》。
如果《数据安全法》不是《国家安全法》的下位法,而是以《宪法》为上位法的“基本法律”之外的一般法律,那么接下来的体系定位问题就是在安全法体系内部,《数据安全法》与《网络安全法》之间的体系关系问题。首先要明确的是,《网络安全法》也不是《国家安全法》的下位法,也是以《宪法》为上位法的“基本法律”之外的一般法律,理由与《数据安全法》相同。《网络安全法》的重点内容是“对网络自身的安全作出制度性安排,同时在信息内容方面也作出相应的规范性规定,从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度”①(13)①全国人大常委会法制工作委员会:《关于〈中华人民共和国网络安全法(草案)〉的说明》,2015年6月24日在第十二届全国人民代表大会常务委员会第十五次会议上。。也就是说,《网络安全法》除了规定网络自身安全即设施设备和网络运行安全之外,还规定了网络中的数据安全和信息安全,但数据安全和信息安全不属于“网络自身的安全”,因此也就意味着,数据安全和信息安全是可以与“网络自身的安全”分开处理的。《网络安全法》中共有17个条文涉及数据和个人信息,处理了三大类的问题:“一是,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改。二是,加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用。三是,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估。”②(14)②全国人大常委会法制工作委员会:《关于〈中华人民共和国网络安全法(草案)〉的说明》,2015年6月24日在第十二届全国人民代表大会常务委员会第十五次会议上。
《网络安全法》将网络安全定义为:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”(第76条)这个定义实际上分为两部分,其一是网络设施设备和运行安全,其二是网络数据安全。“以及”这个连接词的使用,不仅表明两种安全的不同,也表明数据安全在网络安全中的从属地位。《网络安全法》制定时,由于还没有关于数据安全的法律,因此有必要将数据安全纳入到网络安全之中,现在全国人大常委会决定单独制定《数据安全法》,那么《网络安全法》中有关数据安全的规范如何处理?以及如何协调网络安全与数据安全的关系呢?③(15)③保护网络安全必然在事实上保护数据安全,但这是个事实问题,而非规范问题,基于这个事实,如何分别构建网络安全与数据安全的规范体系,是一个重要的立法技术问题,从法律体系构造的角度看,当同时制定《网络安全法》和《数据安全法》时,必然意味着网络安全规范与数据安全规范在技术上的分离。
《网络安全法》中将数据安全定义为“数据的完整性、保密性、可用性”,这个定义与国际标准化组织关于信息安全的定义一致④(16)④ISO/IEC 27000:2018:Information technology—Security techniques—Information security management systems—Overview and vocabulary.,也与国外有关信息安全的定义一致,比如美国《2014联邦信息安全现代化法》将“信息安全”界定为:“指保护信息和信息系统不受未经授权的访问、使用、披露、破坏、修改或销毁,以便提供(A)完整性,即防止不当的信息修改或销毁,包括确保信息的不可否认性和真实性;(B)保密性,即保留对访问和披露的授权限制,包括保护个人隐私和专有信息的手段;(C)可用性,即确保及时和可靠地访问和使用信息。”⑤(17)⑤PUBLIC LAW 113-283-DEC.18,2014.128 STAT.3074.在美国法中,“信息安全”的含义大体上可以等同于我国法律中使用的“数据安全”的含义。本文在相同的意义上使用信息安全和数据安全两个概念,对于它们之间可能存在的差异,在不影响本文论述的情况下,不做区分。数据的完整性、保密性和可用性是数据安全的目标,而确保数据安全的机制是禁止未经授权的访问、使用、披露、破坏、修改或销毁。由于网络数据依附于网络系统,因此网络安全和数据安全必然是紧密联系在一起的,但网络安全和数据安全的内涵、目标、实施机制等各方面仍存在巨大差异。存在网络安全受到侵害但并不危及数据安全的情况,反过来也存在数据安全受侵害但并不危及网络安全的情况,比如剑桥分析公司对Facebook上的数据的使用,危及了Facebook的数据安全,但并不危及网络设施设备和运营安全。因此,将数据安全和网络安全分开处理并单独立法,无论理论上还是实践上至少是可行的,但是不是最优的,可以继续探讨。
从比较法的角度来看,欧美的网络安全和数据安全立法也在一定程度上是分开处理的,特别是涉及个人数据安全的立法,往往跟个人数据或信息保护立法交织在一起。欧洲议会和欧盟委员会2019年4月17日颁布《网络安全法》(REGULATION(EU)2019/881)⑥(18)⑥该法的全称是On ENISA(the Europen Union Agency for Cybersecurity) and On Information and Communications Technology Cybersecurity and Repealing Regulation(EU)No526/2013.,内容主要涉及两个方面:其一是“欧盟网络安全机构局(ENISA)的目标、任务和组织机构事项”;其二是“为了确保欧盟内部ICT产品、ICT服务和ICT程序的充分水准的网络安全,以及为了避免欧盟内部与网络安全认证计划相关的内部市场的碎片化,为欧盟网络安全认证计划的建立设定框架”①(19)①REGULATION(EU)2019/881,Article 1.。因此,欧盟网络安全法只涉及ICT产品、服务和程序,并未对数据安全作出规定。欧盟目前也没有统一的数据安全立法,《一般数据保护条例》中对“个人数据的安全性”作出了规定,要求数据控制者和处理者应当采取适当的技术和组织措施保证数据处理过程的安全性,一旦发生数据泄漏,应及时通知监管机构和个人。②(20)②General Data Protection Regulation,Article 32、33、34.中译本参见《一般数据保护条例》,瑞栢律师事务所译,法律出版社2018年版,第63-64页。但对于重要数据的安全,欧盟没有单独的法律规定,而是将重要数据的安全依托于网络安全,特别是关键信息基础设施的安全。③(21)③The Directive on Security of Network and Information Systems(DIRECTIVE(EU)2016/1148),On a Framework for the Free Flow of Non-Personal Data in the European Union(REGULATION(EU)2018/1807).
美国同样没有统一的网络安全和数据安全立法。2015年美国国会通过一部有关网络安全的综合性法律,法律的正式名称是《通过加强网络安全威胁信息共享提高美国的网络安全以及其他目的》,简称为《网络安全法》。④(22)④To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats,and for other purposes,https://www.congress.gov/bill/114th-congress/senate-bill/754.2020年7月14日访问。中译本参见《美国网络安全法》,陈斌等译,中国民主法制出版社2017年版。该法律由四部分组成,分别为《2015网络安全信息共享法》(CybersecurityInformationSharingActof2015)、《2015联邦网络安全提升法》(FederalCybersecurityEnhancementActof2015)、《2015年联邦网络安全劳动力评估法》(FederalCybersecurityWorkforceAssessmentActof2015)、《其他网络问题》(OtherCyberMatters)。除此之外,美国涉及网络安全的法律还包括《电子通信隐私法》(1986)、《计算机安全法》(1987)、《国土安全法》(2002)、《联邦信息安全管理法》(2002)等。但这些法律主要处理的是网络设施设备安全和运营安全,间接保护网络系统中的数据安全。
关于数据安全立法,根据美国“国会研究服务中心”(Congressional Research Service)的报告,美国联邦层面没有关于数据安全的统一立法,但至少有13部法律涉及数据保护,包括数据隐私和数据安全两个问题。⑤(23)⑤美国联邦涉及数据保护方面的法律主要有《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,Communications Act of 1934),《计算机欺诈和滥用法》(Computer Fraud and Abuse Act),《消费者金融保护法》(Consumer Financial Protection Act),《电子通信隐私法》(Electronic Communications Privacy Act),《公平信用报告法》(Fair Credit Reporting Act),《联邦安全法》(Federal Securities Laws),《联邦贸易委员会法》(Federal Trade Commission Act), 《金融服务现代化法》(Gramm-Leach-Bliley Act),《健康保险可携带与可问责法》(Health Insurance Portability and Accountability Act), 《视频隐私保护法》(Video Privacy Protection Act)。此外,美国商务部国家标准与技术研究所为回应《2014联邦信息安全现代化法》的要求,先后发布《受控非秘信息评估安全要求》和《保护非联邦系统和组织中的受控非密信息(草案)》,对类似于重要数据的“受控非密信息”的识别和分级分类做出了指南。⑥(24)⑥Assessing Security Requirements for Controlled Unclassified Information,https://csrc.nist.gov/publications/detail/sp/800-171a/final;Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations,https://csrc.nist.gov/publications/detail/sp/800-171b/draft.2020年7月14日访问。除了联邦之外,各州也制定大量涉及数据安全的法律,根据美国“州立法机关全国大会”(National Conference of State Legislatures)的统计,在过去的两三年中,至少23个州立法机关制定法律要求州政府机构采取安全措施确保政府收集的数据的安全。至少25个州立法机关制定法律,要求私营机构采取“合理的安全程序和实践”确保个人信息不被未经授权地访问、使用、破坏、修改或泄露。至少有35个州颁布法律要求私人或政府部门销毁、处置或以其他方式使个人信息不可读或无法破译。全美所有的州都颁布了法律,要求私人或政府部门在涉及个人身份信息的数据安全被侵犯时及时通知个人。⑦(25)⑦所有这些法律的列表参见,https://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx.2020年7月14日访问。
从欧美的立法情况来看,欧美国家并未单独针对数据安全进行立法,而是将数据安全问题一分为二,重要数据的安全依托于网络安全特别是关键信息基础设施安全,个人数据安全融入个人信息保护中。因此,当我国独立制定《数据安全法》时,就同时面临着跟《网络安全法》和《个人信息保护法》的体系协调问题。
就内容而言,《数据安全法》将是数据安全领域的最高法律,其内容远远超过《网络安全法》中有关数据安全的规定,因此《数据安全法》以《网络安全法》作为上位法,既没必要也不可能,《数据安全法》与《网络安全法》将是同一位阶上平行的法律,都是以《宪法》为上位法的“基本法律”之外的一般法律,一个规范数据安全,一个规范网络安全。就与《网络安全法》体系协调而言:首先,《数据安全法》作为数据安全领域的基础性法律,必须基于保护数据安全的要求,建构完整的数据安全法律体系,必须实现内在体系的相对独立与自足;其次,对于那些能够通过网络安全实现的数据安全,或那些数据安全必须依赖于网络安全才能实现的,如果《网络安全法》中已经建立了完善的安全规范,那么就意味着数据安全可以得到保护,《数据安全法》就没有必要再叠床架屋进行规范了,如果为了维持《数据安全法》内在体系的完整,可以单独规定一个条款,明确哪些数据安全问题适用《网络安全法》的规定;再次,《数据安全法》颁布之后,《网络安全法》中有关数据安全的规范,除了是为维护网络安全所必须,或是为了体系协调做必要的保留,均应该删除,从而使网络安全规范和数据安全规范相互独立并自成体系。
顺便说一下,网信办起草《数据安全管理办法》(征求意见稿)是以《网络安全法》作为上位法的,但这并不意味着将来的《数据安全法》要以《网络安全法》为上位法。这是因为《网络安全法》对数据安全仅做了原则性规定,网信办作为网络安全的管理部门,制定《数据安全管理办法》是对《网络安全法》的具体落实,因此必然要以《网络安全法》作为上位法,将来制定《数据安全法》后,网信办再制定《数据安全管理办法》就只能以《数据安全法》作为上位法了。
就目前的立法情况来看,无论是我国的立法还是欧美的立法,个人信息保护和个人数据安全通常都是交织在一起的。如欧盟《一般数据保护条例》中包含个人数据安全的规定,作为数据控制者和处理者的特殊义务。①(26)①General Data Protection Regulation,Article 32、33、34.中译本参见《一般数据保护条例》,瑞栢律师事务所译,法律出版社2018年版,第63-64页。美国法中个人数据保护涉及数据隐私和数据安全两个领域,数据隐私涉及“如何控制个人信息的收集、使用和流通”,数据安全涉及“(1)保护个人信息免遭未经授权的访问或使用,(2)对未经授权的访问或使用做出回应”②(27)②CRS Report R45631,Data Protection and Privacy Law:An Overview,https://crsreports.congress.gov/product/pdf/R/R45631,2020年7月14日访问。。我国《网络安全法》同时对个人信息保护和数据安全作了原则性规定。③(28)③《网络安全法》第22、37、41、42、43、44、45、64、76条涉及个人信息及其保护,第10、18、21、27、31、34、37、66、76条涉及数据及其保护。网信办起草的《数据安全管理办法》(征求意见稿)和《个人信息出境安全评估办法》(征求意见稿)同样将个人信息保护和个人数据安全融为一体。不过按照目前的立法规划,未来个人信息保护和数据安全将分别规定在《个人信息保护法》和《数据安全法》中,立法中分开处理已经不可避免。
不仅在立法中个人信息保护和个人数据安全交织在一起,在学术研究中,学者也往往不太区分个人信息保护和个人数据安全,或者说主要在个人信息保护的层面上思考个人数据安全,将个人数据安全视为个人信息保护的附属问题。[5]但也有学者开始注意到了两者之间的差别甚至某种程度上的对立,并主张将两者分开研究和处理。如德里克认为隐私和安全可以也应该分开处理,因为隐私涉及在不同的权利和利益之间进行权衡和选择,比如隐私与言论自由之间的冲突;而安全负责执行选择的结果,因此安全不涉及道德之间的竞争,只对竞争的结果进行保护,因此数据安全应该被更严格地执行,安全事故应该被更严格地惩罚。④(29)④在美国法的语境下,个人信息保护经常用“隐私”或“信息隐私”来表述。参见Derek E.Bambauer,Privacy Versus Security,The Journal of Criminal Law and Criminology,Vol.103,No.3(2013),p.683.劳伦·亨利则更进一步认为:“数据安全与信息隐私有着不同的目标,数据安全可以怀疑信息隐私甚至与之对立。法律应承认信息隐私和数据安全是独立的制度目标,以防止在数据安全目标与信息隐私目标背道而驰的极端情况下,出现不良或至少不可预测的结果。”[5]比如为了数据安全目的共享安全信息,可能会危及个人信息保护。因此,《数据安全法》与《个人信息保护法》的体系协调问题,首先需要在理论上澄清个人信息保护与数据安全的联系与区别。
个人信息保护和个人数据安全之所以可以也应该分开规范,原因在于两者的法理基础不同。简而言之,个人信息保护是以“同意”为基础的个人控制模式,模式的核心是对数据主体进行赋权;而个人数据安全是以“风险”为基础的社会控制模式,模式的核心是对数据进行分类并在此基础上建立数据安全认证、风险评估和危机应对等安全制度。法理基础不同决定了体系框架和制度逻辑的不同,在既往的立法中,个人信息保护和个人数据安全之所以混杂在一起,是因为没有独立的数据安全立法,现在既然要制定独立的《数据安全法》,就要对个人信息保护和个人数据安全之间的区别做理论上的澄清。
个人信息保护首先涉及对个人信息的界定,其次是保护规范的建立。对于个人信息,欧盟《一般数据保护条例》(GDPR)的界定比较有代表性:“‘个人数据’是指已识别到的或可被识别的自然人(‘数据主体’)的所有信息。可被识别的自然人是指其能够被直接或间接通过识别要素得以识别的自然人,尤其是通过姓名、身份证号码、定位数据、在线身份等识别数据,或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别。或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会身份的一项或多项要素予以识别”①(30)①General Data Protection Regulation,Article 4.中译本参见《一般数据保护条例》,瑞栢律师事务所译,法律出版社2018年版,第42页。。我国《网络安全法》和《民法典》中对个人信息的界定,只是表述上略有不同,基本内涵与GDPR的界定是相同的,核心就是能够直接或间接识别的自然人的各种信息。②(31)②参见《网络安全法》第76条、《民法典》第1034条。
基于这个界定,法律针对个人信息建立了两类保护规范:一类规范是基于“通知-同意”原则,赋予个人对个人信息的控制权,如赋予个人针对个人信息的同意权、访问权、纠正权、删除权(被遗忘权)、限制处理权、可携带权、拒绝权等,与之相应的是数据控制者和处理者的各种义务。③(32)③《一般数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA)均明确地赋予数据(信息)主体针对个人数据(信息)的具体权利。我国《民法典》虽然未创设个人信息权,但最近公布的《深圳经济特区数据条例(征求意见稿)》却明确赋予数据主体以“数据权”,不过对于地方性法规能否创设民事权利,学者普遍持反对意见。我国《民法典》中并未直接赋予个人信息权,而是在人格权编中,将个人信息作为受法律保护的对象,采取“法益保护模式”,薛军教授认为走出一条不同于欧盟的道路。[6]《民法典》不承认个人信息权,将个人信息作为一种法益进行保护,一个重要原因是避免承认个人信息权带来的绝对保护要求,但很多民法学者仍建议赋予个人信息权。④(33)④参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报(哲学社会科学版)》2012年第6期,第68-75页;叶名怡:《论个人信息权的基本范畴》,载《清华法学》2018年第5期,第143-158页;吕炳斌:《个人信息权作为民事权利之证成:以知识产权为参考》,载《中国法学》2019年第4期,第44-65页。民法上关于个人信息权的争论和困境,使得公法学者认为个人信息保护是一项独立的法律制度,个人信息权不是一项民法上的权利,而是一项公法上的权利。[7]因此,将来《个人信息保护法》是否创设个人信息权,仍会是个巨大的争议问题。不过即便不创设个人信息权,从法律构造来讲,《民法典》仍把信息主体和信息控制者、处理者视为平等的主体,这就与数据安全的法律构造有重大差别;另一类规范是关于个人信息收集和处理的强制性规范,不依赖数据主体的同意,由法律直接作出强制性规定,包括无须个人同意就可收集的信息,主要涉及行政管理和公共利益,以及即便个人同意,也不得或限制收集处理的信息,如涉及种族、基因、健康的信息。⑤(34)⑤General Data Protection Regulation,Article 9.中译本参见《一般数据保护条例》,瑞栢律师事务所译,法律出版社2018年版,第47-48页。这类强制性规范其实已经超出数据主体对数据的控制权,进入社会控制领域,但是就个人信息保护的总体框架而言,仍是以个人信息控制权作为基础的,社会控制只是作为例外和补充。⑥(35)⑥不过已经有学者指出个人信息保护中个人控制论的不足,鉴于个人信息的社会性和公共性,应该采取社会控制的模式,但就目前的立法和理论研究情况来看,个人控制论仍是占主导。参见高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第84-101页。
数据安全法的法理基础不是基于“通知-同意”的个人数据控制,而是基于“风险-安全”的社会控制,核心是对未经授权的访问、使用、披露、破坏、修改或销毁等行为进行控制,这里就涉及我们该如何理解“风险”和“安全”。自从乌尔里希·贝克提出风险社会理论后,风险概念已经被普遍接受,贝克认为“风险可被定义为以系统的方式应对由现代化自身引发的危险和不安。风险有别于传统的危险,它是现代化的威胁力量和令人怀疑的全球化所引发的后果”,“在风险社会中,未知的、意图之外的后果成了历史和社会的主宰力量”。[8]7因此,风险意味着不确定性,并且这种不确定性通常是与人的决定相关。也就是说,风险在某种意义上是人为建构的。
理解风险的最好方式要借助风险与危险的区别,按照卢曼的讲法,“区别的前提是假设(并以此区分于其他区别)存在与未来损失有关的不确定性。这有两种可能:其一,可能的损失被视为决定的后果,也就是归因于决定,那么当我们谈及风险时,所谈的便是决定的风险;其二,可能的损失被视为外部的推动,也就是归因于环境,那么接下来我们来谈危险”[9]42。也就是说,风险是决定的产物,而危险是外部环节的产物,比如大海里航行肯定是有危险的,但如果你不去大海里航行,危险对你就不会发生;而如果你决定进行大海航行,那么你就会有遭遇危险的风险,这个风险实际上是你的个人决定带来的。“不论什么时候做决定,甚至就算人们决定,不去做决定,风险仍是不可避免的。以一个简短的形式来说就是:能确定的是,不存在着绝对的安全。由此说来,我们不能期待,透过像技术设备的改善就可以达到‘免除风险’这种意义下的安全。”[10]223-224
危险与风险的区分,也决定了我们对《数据安全法》中“安全”概念的理解。这里的安全不是与危险相对的,而是与风险相对的。与危险相对的安全可以是绝对的,比如你不去大海里航行,那么相对于大海航行带来的危险,你是绝对安全的。但与风险相对的安全是相对的,这里的安全是由风险等级决定的,风险等级低就意味着相对安全高。数据天生具有流动性,数据作为新的生产要素也要求数据具有流动性①(36)①中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》明确要求:“推进政府数据开放共享。优化经济治理基础数据库,加快推动各地区各部门间数据共享交换,制定出台新一批数据共享责任清单。研究建立促进企业登记、交通运输、气象等公共数据开放和数据资源有效流动的制度规范。”,因此《数据安全法》必须在安全与发展之间寻求平衡,这也意味着所谓的数据安全只是风险可控的安全,由此决定《数据安全法》的制度逻辑是对数据安全风险进行控制,在制度上体现为数据分类、数据安全认证、数据风险评估、数据跨境流动管制等,因此《数据安全法》的法理基础和制度框架与个人信息保护法完全不同。
当然,《数据安全法》可以也应该独立于《个人信息保护法》的另外一个重要原因在于,数据安全不仅涉及个人数据安全,还涉及重要数据安全,虽然很多时候个人数据和重要数据是混合在一起的,没法截然分开,但仍有大量不涉及个人数据的重要数据,如涉及自然资源类的重要数据。重要数据的安全同样是针对风险而言的,比如重要数据的本地化存储要求,不是说重要数据境外存储就必然会有危险,而是说重要数据境外存储存在着风险。②(37)②对于几个主要国家数据本地化立法的详尽分析,参见Anupam Chander,Uyên P.Lê:Data Nationalism,Emory Law Journal,vol.64,pp677-737,2015.这里的风险同样包括未经授权的访问、使用、篡改、销毁等,因此重要数据安全同样是建立在风险社会理论基础上的,所要求的同样是一套针对风险控制的安全机制。
从法律体系的角度看,在同时制定《数据安全法》和《个人信息保护法》时,鉴于《数据安全法》是数据安全领域的基础性法律,因此有关个人信息的数据安全问题应该纳入《数据安全法》中,《个人信息保护法》中不应该再规范个人信息数据的安全问题。当然,这里还涉及另外一个问题,就是数据与信息的关系问题,目前法学界还没有统一的认知,但大体上可以说,数据是电子信息的载体,电子信息是数据的内容,但数据中究竟包含着哪些电子信息,并非全部一目了然的,可以通过数据挖掘的方式,挖掘出新的信息。在这个意义上,数据安全可以涵盖信息安全。
在讨论完《数据安全法》与《国家安全法》《网络安全法》《个人信息保护法》的外部体系关系后,《数据安全法》的体系定位基本清晰了:首先,在整个法律体系内,《数据安全法》是以宪法为上位法的全国人大常委会制定的“基本法律”之外的一般法律;其次,在安全法体系内,《数据安全法》与《国家安全法》《网络安全法》是同一层级并行的法律,分别规范数据、主权与政治安全、网络安全,虽然内容上有关联甚至交叉,但是可以分开规范并各自构成独立体系。《数据安全法》是数据安全领域的最高法,就像其他的安全法是其他安全领域的最高法一样,《数据安全法》并不依附于或从属于《国家安全法》或《网络安全法》;最后,在《数据安全法》与规范数据或信息的其他法律的关系上,特别是与《个人信息保护法》的关系上,鉴于《数据安全法》是规范数据安全的专门法律,因此凡是与数据或信息安全有关的规范,均应纳入《数据安全法》中,个人信息保护中的信息安全问题,应该直接适用《数据安全法》的相关规范。
《数据安全法》的上述体系定位不仅是法律体系中立法技术上的要求,也是法律体系中法理层面上的要求,这个问题可以从数据和安全两个角度来讨论。首先从数据角度看①,随着互联网和信息技术的发展,人类社会已经产生海量数据,并且正在以惊人的速度增加,在可预见的未来,人类社会的方方面面都将数据化,数据不仅是重要的生产要素,而且将成为人类存在的一种方式。因此,无论是对于个人权利还是对于国家安全,乃至全社会的公共利益,数据都将成为至关重要的影响因素,数据安全问题将会成为一个全新的社会性问题,早已不再是个人权利保护或国家安全的依附性问题。从法律的角度看,数据将成为法律上非常重要的独立的客体②,围绕数据将生成一个规模庞大的数据法体系,并且是现在公法和私法体系都无法容纳的。③在这个数据法体系内,数据安全是至关重要的基础性问题之一,《数据安全法》是至关重要的基础性法律之一。因此,思考《数据安全法》的体系定位,应该跳出《国家安全法》和《网络安全法》的框架,面向未来数据法体系的建构,基于数据自身属性及其社会效应,来构建数据安全的法律体系。虽然现在还没有形成一套成熟的数据法理论体系,但数据法体系的建构可以成为我们思考数据安全立法的重要视角,《数据安全法》构成数据法体系建构的重要组成部分。
其次从安全角度看,本文在开篇粗略地讨论了我国法律体系中的安全法体系,《数据安全法》无疑属于这个体系的组成部分。虽然在我国法律体系中,安全法体系尚未完成理论体系上的建构,对于法律上安全概念还需要进一步深入的研究,但既有的安全法理论和立法技术④,在数据安全领域仍有适用的价值。遗憾的是,目前有关《数据安全法》的讨论中,几乎从不关注既往的安全法体系。如果将《数据安全法(草案)》与已经出台的各部安全法对照,就会发现《数据安全法(草案)》并未从过往的安全立法中吸取成功的经验,这点在《数据安全法(草案)》的体例安排和制度设计上体现得尤为明显。
数据安全如同粮食安全、气候安全、生物安全等传统安全一样,构成现代风险社会中全世界共同面对的问题。因此,对于数据的本质属性,对于与数据安全相关的风险理论和安全理论,法学界仍急需深入研究,至少先将其他学科的研究成果消化吸收到法学之中。正是这些基础理论研究的薄弱,使得目前《数据安全法(草案)》仍停留在政策性立法阶段,政策性的宣示和规划远远大于规范性的建构,数据安全的法律构造尚未完成。因此,在从法律体系的角度为《数据安全法》做了基本体系定位后,还需要进一步从风险、安全等理论层面,完成数据安全的法律构造,因为体系定位的最终实现,有赖于《数据安全法》的内容足够支撑这样的体系定位,有赖于在理论层面和制度层面完成数据安全的法律构造。
①此处所说的数据仅限于电子数据,《数据安全法(草案)》中对于数据的定义是,“本法所称数据,是指任何以电子或者非电子形式对信息的记录”,这个定义是值得商榷的,“非电子形式对信息的记录”是不明确的,如果指的是纸质记录的信息,那不仅《数据安全法(草案)》中的各项制度对纸质信息并不能完全适用,而且已经有《档案法》《保密法》等法律规范纸质信息了。
②《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,《民法典》将数据作为一种受法律保护的客体,但将保护规范交给了其他法律来规范,这也意味着未来在《民法典》之外会形成一个数据法体系,虽然很大的可能是分散在不同的法律之中。
③已经有学者开始尝试构建数据法体系,参见连玉明:《数权法2.0:数权的制度建构》,社会科学文献出版社2020年版;何渊主编:《数据法学》,北京大学出版社2020年版。
④目前相对系统的研究,可参见赵耀江、栗继祖主编:《安全法学》(第2版),机械工业出版社2011年版;苗金明:《安全法学导论:风险、理性与安全》,清华大学出版社2014年版。