数据安全保护体系的检视与构建
——以《数据安全法》为切入点

朱斌斌

(华东政法大学刑事法学院，上海 200333)

一、提出问题

在大数据时代，数据保护与利用呈现出愈加重要的意义，伴随着数字经济战略的全面开展，数据作为具有科技性、价值性、战略性等特征的重要生产要素，已与当前社会的经济、科技、政治、民生等版块息息相关。在这一过程中，数据功能的开发与利用不断在深入，然而在数据产业链不断生成与革新的同时，大数据技术在信息安全、数据垄断、数字鸿沟和隐私侵害等方面对数据安全构成了巨大挑战。互联网经营者大量收集、存储、使用消费者用户数据、由此引发恶意广泛收集数据、隐私信息泄露等诸多问题，成为数字技术商业化发展悬而未决的问题。[1]

在网络黑灰产业链的不断兴起中，各类数据的泄露风险激增，数据安全成为社会经济发展与隐私安全的重要保障，为了加强数据保护力度，我国数据保护法律体系在不断完善，一系列规范性文件不断出台。2020年5月28日《民法典》出台，在人格权编的“隐私权和个人信息保护”这一章节，确立了对隐私权和个人信息保护的相关原则。2021年4月29日，《个人信息保护法(草案二次审议稿)》在中国人大网公布，向社会大众征求意见，也在其中规定了个人敏感信息的处理原则。2021年6月10日，《数据安全法》经审议正式通过，本法在总体上展现了我国国家安全观的要求，有“数据安全领域的基础性法律”地位。《数据安全法》将数据作为生产要素的总体发展布局，凸显出国家对数据安全的高度重视。虽然对于数据保护进行了诸多的立法，但从目前来看，具体如何贯彻落实仍然有待商榷。

二、《数据安全法》视域下的数据安全保护体系

(一)《数据安全法》总体布局与概念厘清

作为数据安全领域内的基础性法律，《数据安全法》对于数据利用及保护发挥着极为重要的作用。本法所建立的数据保护体系已经较为全面，目前这一立法刚正式生效不久，为了确保本法在司法适用时，能够与其他调整数据法律关系的法律进行较为妥善的衔接适用，有必要对这一数据保护体系进行阐释，从而妥善安排数据安全保护计划。

《数据安全法》共7章55条，分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。在总则部分对于数据等基本概念做出了详细的界定，在余下章节分别介绍了数据安全及发展的相关制度安排、数据的合理使用与流转要求、国家政务数据制度安排、数据安全保护义务及法律责任等内容。

在《数据安全法》中，对于数据做出了概括性的规定，认为数据是任何以电子或者其他方式对信息的记录，解决了数据定义模糊不清的问题，也就意味着数据属于信息的外在表现形式之一，而信息属于数据的实质内容。不过数据通常以虚拟性的电子记录形式存在，具体来源广泛而又复杂，不仅包括政府基于行政管理职能或公共服务而获取的数据，而且包括互联网运营者在商业贸易中获得的数据，除此之外，还包括公民上传或记录的个人信息，数据具体内容的纷繁复杂，导致相应的保护措施缺乏针对性，从而较难制定出行之有效的政策制度。

(二)健全完善数据安全制度

在《数据安全法》第二章、第三章中，在宏观层面指出，国家大力推动数据经济发展战略，确保数据的开发与利用能够稳中向好、不断向前发展，而后在中观层面，由于数据合法正当的流转与利用，离不开相应数据行使规范的约束，为了促进数据发展、维护数据安全，国家不断推进完善国家安全制度的建设。从具体制度的构建而言，数据安全保护体系呈现出多层次、分阶段的系统性特征。在数据交流前端，由于数据交流或者交易过程中，离不开目标客体或者相对方的作用，首先需要对于数据安全进行评估，才能够确认数据是否能够被获取并加以利用，从而数据安全检验这一制度的设立，体现出较为重要的意义。其次，数据交换过程的合理合法且有效，离不开相应平台的充分利用，通过健全完善数据交易管理制度，可以实现数据流转的高效快捷，同时也利于监管部门进行数据安全监测及监管。在第三章中，也针对数据安全进行了一系列的制度安排。在数据交流中端，为了避免数据具体类型的多样性带来的管理不利等问题，针对性地制定了数据分级分类保护制度，从而防止出现防护力度不足的问题，同时也在《数据安全法》中设立了相应的监管、报告、信息共享机制，进行补充完善。而在数据交流末端，当发生数据安全事件时，通过建立数据安全应急处理机制、数据安全审查制度等制度，进行及时纠错、事后补救、从而减轻不利影响。可以发现，在数据交流的全过程都能够实现及时保护，相关制度政策的出台，较为全面的完善了这一数据安全保护体系。

(三)确认数据安全保护义务

数据保护制度的贯彻落实，离不开多元主体间的通力合作。根据数据保护的具体制度安排，本法在第四章确立了不同行为主体的数据安全保护义务，因而在具体义务承担上有所区分，根据主体可以划分为一般主体、重要数据处理者、中介方、经营者等所要负责的具体义务类型。在第27条强调了一般主体在开展数据活动时，要遵守法律法规和国家标准的要求，其次，结合数据分级保护的需要，多次强调了重要数据处理者的数据安全责任，有效提高了重要数据的保护力度，在第30条和第33条，区分了在数据交易中存在指定风险的相关主体，对症下药，结合风险端口的特性，从而进行不同管理，在数据保护中呈现出分层次、分主体的特点，从而实现了社会资源的充分利用。最后，额外提及了一些其他类型的规范要求，比如在诉讼程序中，公安机关在调查取证时，具有调取数据的正当权利，以及为实现司法合作，具体落实我国所缔结或参加的国际条约，依照约定我国需要承担的义务，在本法应当有着衔接条款加以体现。

三、《数据安全法》缺乏配套的实施细则与标准规范

数据保护立法体系虽然在如火如荼地进行着，在中观层面，《数据安全法》已经确立了数据分级分类制度、数据安全应急处置机制，建立数据安全审查等数据安全管理制度。但是，目前《数据安全法》已正式通过，这一数据保护体系虽然颇具前景，但缺乏与之相配套的实施细则与标准规范，无法通过精细化操作而贯彻落实，数据安全保护工作难以达到预期效果。

(一)数据分级分类规范尚不精细

在《数据安全法》中虽然存在数据分级分类的要求与划分依据，但仅是数据分级分类制度的雏形。其中在划分依据上，主要依靠数据重要性以及危害程度进行划分，虽然重要数据可以通过列入保护目录进行针对性保护，但其他数据如何进行分级分类仍处于不清晰的状态，其次数据存在质与量的差别，即使是一般数据，但庞大的数据流泄漏问题，也会带来足够的社会危害性，因而严格来讲，这一划分标准缺乏可操作性。在数据交换的过程中，所涉及的数据因权益主体、所处专业领域、具体类型、敏感程度等不同，在被泄露后，所造成的损害结果呈现出较大的区别，因而并非将重要数据单列加以特殊保护，就能够解决问题。严格来说，目前的数据分级分类标准仍然处于不明确的状态，不同类型的数据无论是在具体内容上，还是在重要程度、保护需求、保护难度上，都存在较大的差异性，若不进行准确区分，将会导致数据泄露风险，并且，若对于公开数据强行施加严密保护，则会影响数据的共享与利用。

(二)数据风险防控制度尚不完善

由《数据安全法》可以发现，我国数据风险防控制度已经初具规模，从数据交流开启端口的风险评估至结束端口的审查报告等制度，已经能够实现数据交流全过程保护机制的覆盖，但问题在于如此繁杂的数据风险防范机制，在《数据安全法》中寥寥数语进行介绍，仅仅发挥着宣示性的作用，仍然需要通过具体操作机制的建构，对这一防控体系进行完善。但目前看来，相关举措的具体落实仍然不够到位，这一问题的重要成因在于，有关主体对数据风险防范存在认知偏差。具体而言，在数据交流过程中，企业经营者往往以经济利益为中心，在大数据运用过程中的操作不规范问题，也往往抛之脑后，对于数据安全风险缺乏考虑；其次，在数据交流监管层面，监管者的数据安全保障理念，往往还停留在传统静态信息保护阶段，然而由于大数据时代下云计算、物联网等先进科技手段，所带来数据的动态流动、多层级流转特征，缺乏与时俱进的数据保护理念，并不利于数据保护。此外，基于这一传统数据保护理念，相关主体在数据保护手段的适用上、数据安全保护目标上进行简单化认定，从而忽视了在数据流转过程中产生的多路径风险。

(三)数据共享机制尚不健全

在全面深化的数据商业模式中，数据共享作为数据交流机制的一环，也扮演着极为重要的角色。目前数据共享合作模式已经在实践中充分展开，而问题在于相应的行业标准与规范指南等仍然不够健全。首先，在数据处理技术层面，由于数据流的多元性与复杂性，在共享过程中，数据已经脱离所有者的控制，数据追踪溯源技术并不成熟，无法跟踪数据的最终去向和使用情况，使数据处于失控状态；并且，由于数据脱敏技术不成熟，脱敏后的数据会改变数据间原有的关系，降低数据价值，同时部分企业为了降低成本，通过省略或简化脱敏环节进行共享数据，导致数据泄露风险大增。这些问题导致及时制定开放共享策略的难度大大增加，从而在数据共享过程中不合规现象较为突出；其次，在数据共享管理制度层面，由于数据共享管理制度和操作流程不明确，会存在共享数据不及时、数据传达效率滞后、发现问题后难以追溯等问题，也缺乏对数据流转样态、数据防护情况的细粒度监管手段；[2]最后，在数据主体的责任认定层面，由于数据流转路径的复杂性，导致诸多主体都有所涉及，因而在责任认定上具有模糊性，也因此往往由企业承担相应法律责任，从而轻纵具体行为人，导致数据提供者的权益无法得到充分保护、涉及数据交易时的合法性难以保证，违规操作后的安全责任难以落实、监管职责难以履行。

四、数据安全保护计划的建设

(一)完善数据分级分类保护制度

在数据分类制度的历史经验上，严格来说，我国并不缺乏。比如《证券期货业数据分类分级指引》等规范性文件和行业标准，已然成功实现对特定领域和行业的数据分级分类。通过参考这些规范性文件，以求细化《数据安全法》数据分级分类保护制度，从而真正平衡数据安全与发展的关系。[3]

首先，需要确立数据分级分类的标准。由于数据来源、数据内容、数据类型呈现出较大的差异性，因而对于所有数据进行均等保护不具有现实性，数据保护制度的实现建立在数据合理划分的基础之上，考虑到数据因涉及各个专业领域，[4]而呈现出一定的专业性，笔者以为，可以通过按照数据所处专业领域进行划分，比如可以将数据划分为：司法、金融、医疗、商务、个人信息等类型，这一分类范式也有利于专业部门数据工作的迅速开展，在数据分级这一层面，可以根据数据的权益主体和所侵犯利益类型进行划分，可以细分为国家安全、公共利益、商业利益、个人隐私等层次，实现数据类型的不同定位，对于不同数据的重要性程度加以明确，从而为保护措施的制定提供区分前提。

其次，对所划分的不同级别的数据进行不同程度的保护。对于国家安全数据与公共利益数据应当划归为重要数据，列入重要数据保护名录，在保护手段上加大投入力度，同时对于这部分数据，在制定设计上应当予以排除适用，比如在数据交易管理制度中，应当将重要数据进行排除，禁止非法交易国家安全数据、公共利益数据，而且在政务数据公开制度上，也应当将这部分重点加以考虑，从而划分不同的开放程度，针对性的采取限制开放措施。对于商业利益数据，可以根据商业利益数据的不同表现形式加以保护，比如商业利益数据往往以知识产权的样态呈现，直接适用相关规定进行治理即可，而在个人隐私数据这一层次，应当根据《个人信息保护法(草案)》的具体规定，从而结合个人信息保护的各项政策方针进行贯彻落实。

(二)细化数据风险防控机制

根据《数据安全法》，数据风险防控制度内的具体机制安排繁多，诸如风险识别及检测预警机制、数据安全监管机制等内容，但这一数据风险防范体系，缺乏精细化的内容安排，为解决这一问题，通过技术创新、管理制度重构等方式加以调整，从而契合数据保护的需要。

在风险识别及检测预警机制上，一般而言，在对于数据风险评估时，需要对于发现的风险点做到及时预警、及时上报，两者在功能上具有密切联系、相辅相成的特点，因此在这一层面，可以建立在已有的数据分级分类机制的基础之上，通过数据溯源等技术进行数据治理，能够实现数据流转过程中的可追溯性，实现风险“看得见”这一效果，通过优化算法，从而能够对于发生概率、可能造成的损失进行预估，再通过掌握数据的流动情况，从而能够及时进行风险评估；其次，结合当前经济社会发展状况，根据现有行业标准，制定出具有适用价值的风险预警标准，从而在发生特定数据风险时，能够加以截流、及时上报。

在数据安全监管机制上，目前我国数据保护体系由网信办负责，并由相关行业部门负责行业监管的“1+X”体制，主要以国家数据安全保护为工作中心，[5]存在负责主体的单一性、保护内容的限定性等缺陷，为了解决这一困境，笔者以为，可以通过大数据平台，建立信息共享机制，打破行政条块分割产生的“信息孤岛”问题。此外，为健全完善这一监管体系，可以通过与互联网经营者等多元主体加强合作，形成协同监管机制，实现监管的全面化，并且在这一合作过程中，可以提供监管措施的有效性与针对性，从而综合市场反应、手段有效性、反馈建议等因素，有机采用或组合多项政策手段实现监管质量的提高。

(三)构建数据共享安全机制

数据共享安全机制的建立，离不开大数据技术的支撑，通过前沿技术的综合运用，可以有效提高相关政策的落实程度，同时，为了实现数字治理的高效便捷性，有必要对与数据共享管理机制进行优化，从而在整体上优化数据共享机制的操作步骤及配套措施。

首先，在技术革新层面，要运用大数据、云计算、区块链、人工智能等前沿技术，推动数据共享风险防范手段的革新，必要时进行重点技术突破，比如加强数据追踪溯源技术、数据脱敏技术的研发与运用，通过前沿技术手段的有效部署，推动数据共享安全机制及相关政策真正落实，除了落实常规安全保障要求之外，要注重保障数据全生命周期的安全，重点做好数据脱敏、数据标记、追踪溯源、数据安全标识、数据加密存储、风险控制和个人信息保护等，着力解决数据共享过程中敏感及隐私数据易泄露、共享数据二次流转管控和越权使用等问题，实现数据共享全程可监测、可管控和可追溯。[6]

其次，在共享机制结构层面，在行政管理部门内部，健全完善工作交流机制，形成网络对接平台，进行统一规划、实行统一标准，完成数据共享全过程的宏观规划与总体性布局。[7]而在对外合作层面，健全完善以政府为主导、多元主体共同参与的数据共享机制，利用大数据、人工智能等前沿技术，建立多层级、智能化的数据共享平台，推动数据交流的便捷化与简单化，促进多元主体不断深化合作、不断推进数据共享双方朝着互利共赢的方向发展。

最后，在责任认定标准层面，可以在企业内部进行合规指导，从而培养单位内部人员的合规意识，同时通过准确划分单位与个人的行为责任，从而防止责任混同现象的发生，落实违规操作后的安全责任。同时指导互联网企业建立风险应对机制，实现数据风险来袭时的积极防御，同时在一定程度上，也能够避免行为不规范所带来的法律风险，督促企业在从事数据贸易时，履行一定的审慎义务。

五、结语

依托互联网、物联网、5G、人工智能等先进科技手段，传统生产生活方式已经在数据革新中不断蜕变。[8]在社会关系的交互过程中，数据呈现出去实体化的重要载体或媒介等工具特征，日益彰显着重要的经济价值。在数字商务的开展过程中，多有围绕以数据为核心的不正当竞争行为发生，不法分子为了谋取海量经济利益，常常会采用深度链接、流量劫持等技术手段盗取他人数据，数据的价值性与脆弱性形成了强烈的对比。为了健全完善数据安全保护体系，国家出台了《数据安全法》，但本法存在缺乏配套的实施细则与标准规范的问题，从而无法得到有效贯彻落实，为解决这一困境，通过数据安全保护计划的设立，具体方案呈现为数据分级分类保护制度、数据风险防控机制、数据共享安全机制三个维度，从而在每一维度下进行具体展开，推动数据流转全过程保护机制的发展完善，全面贯彻落实数字经济战略。