(江苏大学科技信息研究所,镇江 212013)
数据已经成为中国第五类生产要素,将影响国家经济发展,因此维护中国数据安全至关重要。确保数据被采取一定的保障措施后,数据被合法利用,并且处于安全状态,这种情境被称为数据安全[1]。2015 年全国人大常委会发布《关于加强网络信息保护的决定》[2]网络服务提供者相关企事单位应当公开其收集、使用公民个人信息的规则,2016 年全国人大常委发布的《中华人民共和国网络安全法》[3]规定重要数据若是在中国境内产生的,则需要存储在中国境内,2017 年全国人大发布的《密码法(征求意见稿)》[4]将窃取他人加密信息的行为认定为违法行为,2017 年国家网信办发布《个人信息和重要数据出境安全评估办法(征求意见修改稿)》用于规范网络运营者在中国境内收集和产生个人信息和重要数据的行为[3],2017 年6 月27 日中央网信办发布《国家网络安全事件应急预案》规定,由国家秘密信息、关键数据引发的,威胁国家安全和社会稳定的情形,认定为特别重大网络安全事件[5],2019 年5 月28 日国家网信办发布《数据安全管理办法(征求意见稿)》[6]要求网络运营者与合作的第三方共同承担数据安全义务,2019 年商务部发布并实施《关于规范快递与电子商务数据互联共享的指导意见》要求电子商务经营者和经营快递业务的企业完善数据管理与安全保障体系[7],2020 年3 月6 日国家质检总局和标准化委员会印发的《信息安全技术个人信息安全规范》[8]有利于保护个人信息。
虽然中国在多个法律、法规、规范等文件中体现了对数据安全的保护,但是由于缺乏一部完整、系统的数据安全法律,使得中国在面对国际数据纠纷时容易陷入被动局面,出现数据行业交易市场不规范,组织、公民的合法权益受到侵犯却无法可依的现象,导致数据无法充分发挥价值。2020 年中国人大网发布的《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)[1]意味着数据发展即将迎来春天。本文着重分析了《数据安全法(草案)》的精神与原则、内容与特点,为数据安全相关人员理解、执行该《数据安全法(草案)》提供参考。
《数据安全法(草案)》的总则明确指出,在保证数据安全的前提下进行数据开发利用,保护个体、集体的合法权益,保障国家主权不受侵犯。《数据安全法(草案)》展现了数据开放化、问责化、资源化、资产化的精神,并且在一定程度上可作为国家间数据主权、数据主体间数据产权纠纷的评判依据。立法精神从以下6 点体现出来:①数据与个体、组织的合法权益相关,表明个体、组织拥有数据所有权、收益权、使用权,《数据安全法(草案)》第3 条、第17 条、第30 条、第43 条有着数据交易合法化的意味,数据开放的趋势随之明了;②该法适用于解决数据开发利用中的问题,说明《数据安全法(草案)》在数据活动中发挥着约束作用;③数据安全不仅仅保护数据本身安全,还保护数据利益相关者的权益;④《数据安全法(草案)》规定了数据安全相关责任主体相对应的职责,尤其体现在第2 章、第4 章、第5 章、第6 章;⑤《数据安全法(草案)》第14 条指出“国家支持数据发展相关技术与产业发展”,表明了数据正向着资源化迈进;⑥《数据安全法(草案)》第17 条支持建立数据交易管理制度,培育数据交易市场,此条内容进一步推动了数据成为资产的步伐。
2.2.1 维护数据安全与推动数据发展并重原则
《数据安全法(草案)》为数据开发利用制定出“第2 章数据安全与发展”,共7 条,展现了国家支持推进数据基础设施建设,比如支持数据相关的技术与产业发展,将数字经济发展列入发展规划。为了规范数据开发利用行为,在国家制度层面,推进数据开发利用技术和数据安全标准体系建设,孵化并完善数据交易行为;在社会层面,扶持数据安全相关机构依法开展服务活动,支持企业院校开展数据安全与开发利用的培训,培养相关专业人才,《科学数据管理办法》[9]也鼓励法人单位开展科学数据增值服务,以上表明了数据即将成为数字经济的一部分。坚持数据安全与数据开发利用并重原则,才能让数据在保证安全的情况下,进行开发利用,充分发挥数据价值,而不是为了保护数据安全而将数据“关起来”,最后陷入“数据孤岛”的窘境。
2.2.2 协同治理原则
《数据安全法(草案)》提出建立健全数据安全协同治理体系,其中共有16 个主体,包括中央国家安全领导机构、行业主管部门、公安机关、国家安全机关、国家网信部门、省级以上人民政府、国务院标准化行政主管部门、国务院有关部门、重要数据处理者、组织、个人、数据交易中介机构、在线数据处理机构、境外执法机构、国家机关、公共事务管理机构。以上每个主体均被该法律赋予了相应职责,其中10 个主体明确属于政府部门,两个机构属于法人单位,由此可知政府部门是参与数据安全协同治理的主要主体,协同治理机制具有规范性、监督性的特点。
2.2.3 权责一致原则
权责一致原则体现在法人单位上,比如数据交易中介机构在营利的同时要求数据提供方说明数据来源,审核交易双方的基本信息,同时,留存审核、交易记录;经营数据处理机构需要获得经营许可或备案。该原则同样出现在《中华人民共和国网络安全法》(以下简称《网络安全法》),其中第28 条规定网络运营者被要求配合国家相关机关维护国家安全。又如《数据安全管理办法(征求意见稿)》认可网络运营者存在的同时,规定网络运营者需要向当地网信部门备案,重要数据开放、共享前,应该对数据安全进行风险评估,并经过行业主管监管部门审批。再者,《科学数据管理办法》规定法人单位需要基于整个科学数据生命周期制定安全保护措施和防护管理,在贯彻落实国家安全管理规定基础上需要建立网络安全保障体系,以上被规制的法人单位具有营利性特征,体现了谁受益、谁负责的运作方式。
2.2.4 维护数据主权原则
数据主权原则是一个国家对产生于本国境内的数据拥有独立的占有权、管理权、利用权,意味着国家对境内数据的整个数据生命周期拥有最高权力,有权决定参加国际数据活动的程序与方式,并且有权采取反制措施[10]。《数据安全法(草案)》的多条内容均蕴含着保障数据安全就是维护国家主权的意义。
制定《数据安全法(草案)》的总目标包括维护国家主权,发展数字经济,完善数据安全治理体系,开放、共享数据。《数据安全法(草案)》共7 章,“总则”制定了本法的目的与管辖范围,定义数据安全相关概念,给予任何组织、个人投诉与举报权利。“数据安全与发展”意味着中国鼓励数据安全与数据开发利用齐头并进,其中,国务院有关部门、省级以上人民政府、科研院所和专业机构、企业将在保证数据安全的基础上进一步开发利用数据中扮演重要角色。“数据安全制度”表明未来中国将建立数据安全治理体系,并阐明当中国在数据领域受别国不合理对待时会根据实际情况对其采取应对措施。“数据安全保护义务”强调数据利益相关者应当履行相应的义务,同时指出数据活动的开展应该符合社会公德与伦理,并且在开展数据活动期间应当加强风险管控。“政务数据安全与开放”是为了推进电子政务建设。“法律责任”规定本法中提及的数据利益相关者应依法履行义务,否则将承担法律责任。“附则”强调本法不适用于涉及国家秘密与军事的数据活动。
图1 《数据安全法(草案)》内容框架图Fig.1 Content framework of data security law(Draft)
归纳《数据安全法(草案)》内容后整理出图1,《数据安全法(草案)》意味着中国政府对数据重要性的认识程度不断提高,2015 年起中国开始认识到大数据发展的必要性,同年发布了国家安全法,2018 年欧盟发布的《通用数据保护条例》其具有“长臂管辖”作用[11],意味着该条例适用于全球,引起了全球数据领域的重视,数据博弈日益激烈,2019 年《数据安全管理办法(征求意见稿)》着重规范网络运营者的行为,受保护的数据包括境内外的数据、重要数据、个人敏感信息,可以看出适用的数据类型较少,但对中国数据安全保护来说已是迈进很大一步。《数据安全法(草案)》作为《国家安全法》的下位法通过明确法律精神与原则,确定数据安全责任主体及其职责,来保障数据安全与发展,进一步落实了《国家安全法》,《数据安全法(草案)》规定中央国家安全领导机构作为数据安全顶层设计者,它指导着数据安全相关责任主体保障数据全生命周期安全、维护数据利益相关者合法权益、促进数据发展,主要是通过制度建设与各类详细的保护举措来实现。
3.2.1 传承性
《数据安全法(草案)》在已经出台的法律办法基础上细化了数据安全内容,构建了数据安全治理体系的框架。表1 罗列了近年来中国出台的数据安全相关法律办法,信息安全意识比数据安全意识形成的时间较早,其中《中华人民共和国国家安全法》[12]是基于总体国家安全观制定的,总体国家安全观既包含了传统国家安全观,又涵盖了科技、信息、生态、资源等方面的安全[13],2015 年开始,信息安全[14,15]引起了学界的广泛关注,2016 年的《中华人民共和国网络安全法》依然是保护信息安全为主,可喜的是该法同时采取数据分类、加密、容灾备份保护网络数据安全。2017 年陆续发布了《密码法(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见修改稿)》《国家网络安全事件应急预案》,其中涉及加密信息、出境数据、网络安全事件中的数据,随后两年数据保护的对象又延伸至科学数据、境内外流动数据、用户数据,《数据安全法(草案)》以保护行业数据、政务数据、重要数据、数据事件、数据活动为主,它对以往保护的数据对象进行总结与概括,比如行业数据包括第三方应用中的数据、用户数据、快递数据,重要数据涵盖了出入境数据、敏感数据、机密数据,数据事件意味着对数据安全相关事件的密切关注。
就数据安全保护措施来看,《数据安全法(草案)》借鉴了以往发布的相关法律办法中可供使用的措施,比如2017 年起,开始重视应急措施的实施,此后发布的文件均将应急防护纳入到了数据保护之中,《网络安全法》从国家层面建立健全网络安全监测预警、数据分级分类制度与机制[16],《数据安全法(草案)》也规定了相似的制度,这次基于《网络安全法》更加直观清楚地表达了国家正在建立健全数据安全体系,并将数据安全上升为国家战略[17],2019 年之前,数据安全只是这些法律内容的一部分,从2019 年的《数据安全管理办法(征求意见稿)》才真正开始了为数据制定单独的法律法规的实践,该办法与《数据安全法(草案)》的主要区别在于保护的数据对象不同,但是采取的保护措施存在些许相同,不同的是《数据安全法(草案)》提出了各项保护制度,从更宏大的层面来诠释数据安全治理体系,是一部专门为数据安全而制定的法律,它也将是保护数据安全的起点。
3.2.2 创新性
《数据安全法(草案)》与以往法律不同之处在于首次绘制出数据安全整体布局,提出建立健全数据安全治理体系,意味着日后国家将陆续实施相关措施,提升数据安全保障能力。其次,《数据安全法(草案)》构建了数据安全责任体系,由中央国家安全领导机构统筹决策,每个数据安全相关主体都有保护数据安全的义务,并且对违法行为将追究法律责任,为数据安全与发展奠定坚实的基础。《数据安全法(草案)》的创新性包括4 个方面。
(1)数据类型广泛。《数据安全法(草案)》定义了本法所称的数据是指以电子或非电子形式对信息的所有记录,说明本法适用的数据类型广泛,而且具有域外效力。此前的《数据安全管理办法(征求建议稿)》辨析了网络数据、个人信息、重要数据3 个概念,《科学数据管理办法》解释了科学数据的内涵,后两者的定位是办法,其级别低于法律。
(2)赋予数据价值。第2 章“数据安全与发展”特别提到了“基于数据安全促进数据开发利用与产业发展”,政府大力支持数据基础设施建设、数据开发利用技术研发、数据安全相关专业机构发展、相关人才培养等,同时国家将完善数据交易管理制度,起到规范数据交易市场秩序的作用,进一步鼓励数字经济发展。目前,上海与浙江两地先后施行了《上海市公共数据开放暂行办法》[18]《浙江省公共数据开放与安全管理暂行办法》[19],均是为了推动数字经济发展,保障公共数据安全,助力相关法律落地。
表1 中国数据安全相关法律办法的信息Table 1 Summary of relevant laws and regulations on data security in China
(3)建立健全数据安全治理体系。本法第9 条说明中国计划构建数据安全协同治理体系,并在第4 章明确了数据安全相关责任主体及其义务,第3 章说明了《数据安全法(草案)》重视内部控制制度建设,从而纠正目前过分重视技术利用来保护数据安全的观念。
(4)重视政务数据开放与利用。第5 章专门规定了政务数据保护内容,第34 条表明电子政务建设有利于社会经济发展。本章主要明确国家机关在数据生命周期各个阶段履行的职责。
《数据安全法(草案)》如今还处于征求意见阶段,完善保护数据安全的理论与实践,比如数据利益相关者权益问题、《数据安全法(草案)》内容的细节问题、数据安全制度的制定问题等,是提高该法案可行性的前提。
完善关键术语的定义。该法需要明确本法保护的数据类型与范围,“数据”的概念有必要继续完善,目前的定义过于笼统。对本法中的“政务数据”进行定义同样重要,帮助国家机关正确理解政务数据是什么,便于国家机关落实法定职责,因此有必要增加政务数据的定义,指明政务数据的产生过程与特征。同时,有必要增加“重要数据”的定义,各地区执行本法的人员由于对重要数据的含义理解不一,可能出现各地区、各部门各自为政的现象,增加了重要数据处理不当的可能性,对此,可以定义重要数据的概念,中央国家机关制定统一的重要数据目录[20,21],来避免上述的消极影响。
赋予弱势群体更多的权利,给予其更多维权途径。本法规定任何组织、个人有权向主管部门投诉、举报违反本法的行为,表明组织、个人具有监督权,除此之外,本法没有明确赋予组织、个人特定权利,组织、个人的正当利益缺乏法律保护。中国的《个人信息安全规范》是一个推荐性的标准,缺乏有效的约束力,因此可以在《数据安全法(草案)》中,给予组织、个人更多的权利,得以保障数据利益相关者权益。
优化数据跨境流动条款。国家层面的数据保护包括国家拥有数据管理权,国家对数据安全本身的保护,避免数据的使用威胁国家安全[22]。《数据安全法(草案)》对数据跨境流动作出规定,数据需要经过中国相关部门审查方可流出至境外,但是《数据安全法(草案)》主要监管出口管制范围内的数据以及官方机构调取跨境数据的场景,尚未涉及商业领域出现数据跨境流动的场景需要采取何种监管措施,其实,明晰企业数据跨境流动的监管机制,一直以来备受数据领域的瞩目,但是《数据安全法(草案)》未能清楚地回应该问题,特别对于跨国企业而言,避免数据出口前的安全性审查,只需要在境内完成数据处理,就能脱离本法的约束,来损害中国数据领域的利益,因此需要完善《数据安全法(草案)》中关于数据跨境流动的条款内容。同时,有必要出台配套的数据安全审查办法,类似于《网络安全法》的下位法——《网络安全审查办法》[23],为开展数据安全审查工作提供制度保障。
出台配套的同位法与下位法。陆续出台落实本法的配套细则、标准、规章、办法。《中华人民共和国专利法》[24](以下简称《专利法》)与《中华人民共和国专利法实施细则》[25](以下简称《细则》)存在衔接关系,《中华人民共和国专利法实施细则》是根据《中华人民共和国专利法》制定出来的,进一步细化了《专利法》的内容,比如,《细则》解释了《专利法》中“在中国完成的发明或者实用新型”的含义,并且对“保密审查”方式作出详述;《细则》第12 条对应于《专利法》第6 条,《细则》细化了“执行本单位的任务所完成的职务发明创造”这一内容,同时确定了“本单位”范围,对“本单位的物质技术条件”进行定义;国家级标准《个人信息安全规范》是《中华人民共和国网络安全法》的配套规范[26],主要为《网络安全法》第4 章“网络信息安全”制定的,该标准明确了适用的个人信息处理活动以及相关组织。当《数据安全法(草案)》实施后,各地、各部门也需要继续制定出台相关配套法规文件,结合当地实际情况,细化数据安全责任划分、数据审批授权管理、数据运行监管、各项制度。
建立健全数据安全制度。《数据安全法(草案)》重视发展数字经济,为了促进制度落实,有待完善数据交易管理制度,用于规范市场秩序。《数据安全法(草案)》第3 章重点关注数据安全保障制度方面的建设,包括数据分类分级保护、重要数据保护目录、数据安全风险预警机制、数据安全应急处置机制、数据活动的国家安全审查机制等,该章的每一条内容几乎表述一项制度,使得制度表述不到位,提高了执行者的误解率,制定相关细则与规范相对困难,因此有必要完善这些制度的表达。第22 条规定了影响国家安全的数据活动需要接受国家安全审查,但是文中没有限定审查范围和场景范围[27],因此需要构建出一个合适的模型用于识别国家与社会密切相关的数据,并将这些数据列入数据安全审查范围;同时厘清数据安全审查与网络安全审查的关系,从而确定数据安全审查的应用场景。
适当增加鼓励措施,加大惩罚力度。企业内部有必要设立数据监管部门,《数据安全法(草案)》没有涉及鼓励企业基于自身建立数据监管制度的内容,其实,企业的自治不仅能减轻监管部门的工作负担,同时能够高效地排除企业内部数据安全隐患。“Facebook数据泄露事件”是企业进行数据交易导致用户对其信任瓦解的典型案例[28],同时也证明了数据安全影响着国家安全。就《数据安全法(草案)》规定的法律责任来看,《数据安全法(草案)》约束力不足,当前处罚过轻,罚款数额小,加之数据非法交易的利润高,违法现象因此减少的可能性较低,可以恰当地加大对企业违法行为的惩罚,比如违反《通用数据保护条例》(GDPR)的有关条例,企业将受到全球一年营业收入的4%或者2 000 万欧元的罚款,在违法成本低,牟利高的情况下,处罚力度加大对违法行为具有一定的威慑力。
《中华人民共和国数据安全法》是彰显国家数据主权的依据,是建立健全数据安全治理体系的起点,是数据安全的基础法。健全的数据安全法律是保障数据安全的坚强后盾,它对数据安全相关责任主体及其责任做出了规定,提出数据安全治理的总体框架与重点,就目前的《数据安全法(草案)》内容来看,一些细节问题有待优化,比如概念问题、数据跨境流动问题、主体权利问题。