我国数据主权的立法保护对策分析

杨晓娇，陈明劼，吴文博，刘大勇

（国家无线电监测中心，北京 100037）

0 引言

在大数据、5G和全球“数字经济”时代，数据流动模式发生重大变革，突破了原有的领土边界，各类涉及政治、经济、文化领域的公私数据快速跨境流动。由于受技术有限和管辖范围等因素影响，使我国很难监管数据跨境流动的全过程，数据的跨境流动导致的数据泄露问题势必会严重威胁我国数据主权安全，由此带来了数据主权纠纷问题。

根据国内学者张晓君定义：“数据主权具体表现为国家对本国数据与本国国民数据的所有权、控制权、管辖权与使用权，数据主权对内体现了国家对数据的最高管辖权，对外体现了国家在网络数据上的独立自主权与合作权。”[1]因此，数据主权的概念与网络主权和国家主权密不可分，是国家主权在网络主权中类型化和具体体现。

1 我国数据主权立法的不足

目前，我国相继出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（简称《网络安全法》《数据安全全法》《个人信息保护法》，形成了数据保护的基本法律制度框架。《网络安全法》初步建立了用户信息保护制度，要求网络运营者不得泄露、篡改、毁损个人信息，确保信息安全。《数据安全法》是继《国家安全法》《网络安全法》对网络与数据安全做了原则性规定后，主要侧重于保护从国家层面对数据安全进行保护，提升国家数据主权能力。《个人信息保护法》则主要保护个人信息安全。我国虽已出台多部数据保护法律法规，但仍存在一些不足和值得探讨的地方，如对重要数据未做出明确定义和分类管理，在数据跨境流通中监管缺位，以及跨境数据流动评估细则尚未明确等问题，具体分析如下。

一是宏观层面上缺乏整体性的法律制度设计，对数据主权的管理措施分散。在《网络安全法》《数据安全法》《信息安全技术数据出境安全评估指南》《个人数据和重要数据出境安全评估办法》等法律政策文本中，尚未形成像欧盟的DPD和GDPR等具有强约束力和规制力的数据主权立法体系。现有法律政策多是原则性的规定，强调数据的本地保护和跨境流通的原则性规定，对数据跨境流通产生的交易价值、应用以及发展等问题未做出有效规定。因为数据所有权、使用权、流通都是数据主权内容的重要组成部分，只有进行数据流通、交换、挖掘、分析才能产生经济价值，并发挥最大效用。

二是现有法律政策对术语的解释和实施措施等问题缺乏明确规定。如《数据安全法》主要强调“数据安全原则”而未明确“数据主权原则”，分级分类制度缺乏管理标准和细化规则等。《网络安全法》第37条规定：“信息运营者所收集的关键信息与重要数据应储存在我国境内，信息运营者向外传输信息时要经过国家有关部门的评估”，而如何实施安全评估，则没有明确规定。《个人信息保护法》并未对“关键信息基础设施”和“规定数量”做出明确规定。

三是对跨境流通后的数据缺乏有效管辖。随着全球数字经济化的快速发展，大量各类关键数据不可避免地自由流通到境外，而数据主权受国内法管辖权的地域限制，如果仅依靠数据的出境安全评估，未建立起区域间类似《安全港协议》和《隐私盾协议》等数据治理合作协议，一旦出境，我国很难对境外数据的安全进行有效保护和监管，如果数据经整合后非法利用，那么势必对我国国家安全或经济安全造成不可挽回的影响。

2 我国数据主权立法保护之对策分析

构建完善的数据主权立法制度能有效地保护我国国家安全和国家主权，可以重点从以下三个方面进行完善。

第一，对涉及数据主权治理的规章制度统一纳入单行法律规范中，补充完善核心专门内容。整合《网络安全法》《数据安全法》《个人信息保护法》等顶层数据主权治理法律制度，基于国家数据主权和个人数据权利，优化数据跨境流通规定，构建具有系统性、适应性的数据主权的专门法律规范，形成更完善的域外规制体系。

第二，制定相关配套细则，形成数据主权法律制度体系。制定出台数据跨境流动管辖和调用的具体规则，对涉及国家安全的敏感数据和各类关键数据建立分级管理制度、跨境数据流动合同监管制度、安全风险评估制度等，提升我国对境外数据主权管辖的规制效力和主动防御能力。如推进分级分类分区域跨境数据流动的监管制度建设，建议按照数据重要性制定统一、灵活的分级分类制度条款，区别对待，分类管理，有序推动跨境数据安全流动和国际合作，在有效保障我国数据主权的同时，还可以最大化地运用数据的经济价值。

第三，扩展我国数据主权保护的范围，完善数据跨境流动的规则。我国应进行广泛的国际对话与协商，积极寻求国际合作，如可依托联合国大会、亚太经济合作组织、二十国集团、上海合作组织、金砖国家峰会等，通过多边和双边机制，与相关国家签订数据流通战略合作的对等协议，并将其融入到国际数据主权治理体系中，不断提升我国在国际数据主权治理中的话语权与影响力。

3 结束语

我国数据主权是国家主权在大数据时代所衍生出的一种新型权利类型，在国家数据治理能力中数据主权是总体国家安全观的基本要求。数据关键技术决定了数据主权安全是否能得到有效保护，数据收集、存储、加工、流通任何一环节中技术的落后，都会使国家无法获取完整的数据利益来维护本国的数据主权安全。因此，数据主权需国家、机构、个人履行各自的责任和义务，共同保护我国数据主权，保障数据合法、有序、自由流动，促进数字经济的快速发展。