数据安全法对产业发展的多重指引意义

　　对数据安全的重视以及对数据安全法治的关注、完善，构成了这个时代的特征。下面从四个方面讨论《数据安全法（草案）》的出台：（一）背景；（二）数据安全逻辑；（三）合规风控体系；（四）保障责任机制。

 

　　首先，从国际、国内的背景来看。在国际层面上，有着非常复杂的国际背景，尤其在数字化博弈的全球浪潮下，在各国的数据安全治理中，通过政策法规、标准规范等一系列工具的介入，当下的数据安全治理已经达到非常的高度。我们应当看到三个需要注意的态势：其一，数字经济的跨国发展竞争日趋激烈，从基础设施到各类生态应用，都体现了各国对数字经济发展中战略性元素的重视和关注。其二，围绕数据资源的国际争夺，有大幅度的延伸。根据我们团队的研究，目前全球范围内超过64个国家对于非个人数据的安全规范有了专门的制度设计。从特殊性规定、出口审查，到国家安全审查，以及诸如云计算、自动驾驶、人工智能等具体领域的制度规范。从这个过程中能够看到针对数据安全治理力度在持续地加强。从欧盟的《通用数据保护条例》《非个人数据自由流动条例》，到后续的《数字服务法》和2021年即将颁布的《数据法案》，有着非常多的制度跟进。从美国的《云法案》、“受控非密信息制度”，到2020年疫情期间日本、韩国、印度、新加坡、南非，甚至埃及、阿联酋等国家都不断推出了有关数据的规范。应当说，数据安全的规则博弈在不断升级中。在国内，随着我们数字化转型全面提速，可以看到数字化转型已经成为国家各项政策战略和大政方针的核心组成部分。从2015年《大数据发展纲要》、2017年《新一代人工智能发展规划》，到年初提出的“双循环”以及“新基建”等政策主张都反映了这个态势。在这个过程当中，尤其在我国，有两点是国家和政府非常关注的：“数字经济”和“数字政府”。就数字经济而言，我们看到2020年5月13日国家发改委提出的《数字化转型伙伴行动倡议》以及6月30日中央全面深化改革委员会印发的《关于深化新一代信息技术与制造业融合发展的指导意见》等。就数字政府领域而言，能够看到2019年4月16日《国务院关于在线政务服务的若干规定》的出台，以及2020年6月六部门联合印发的《国家电子政务标准体系建设指南》。所以说，在目前的技术经济环境下，我们对于数字化转型的重视，对数据安全的重视是有历史必然性的。这也是为什么我们能够看到在《数据安全法（草案）》中有对政务数据作出的专章规定。总之，数据活动爆炸式发展深度重塑了现实的经济发展、社会治理、人民生活。数据安全已经成为涉及国家安全和经济社会发展的重大问题，也正是在这个意义上，我们能更好地理解《数据安全法（草案）》在起草过程中考虑的几个因素：第一，数据作为国家基础性战略资源，事关国家主权安全和发展利益，事关国际话语权；第二，数据活动的全方位融合拓展和复杂的数据处理结构，在培育新机遇的同时也伴随着更高的安全风险；第三，以创新为主要引领和支撑的数字经济需要完善的数据安全治理体系予以保障；第四，数字政府即电子政务的升级也亟待政务数据安全管理制度和开放利用规则的支撑。

 

　　基于这样的总体背景，再看草案本身所蕴含的数据安全逻辑。在此指出其四个方面的精神追求：第一，《数据安全法》本身是着眼国家利益的数据安全管理要求。确实，虽然全球范围内尚未有专门以数据安全为名的直接立法，但非个人数据安全问题是十分受人关注的，已经有64个国家在5个层次上对此作出了规定。从这个角度上来说，我认为《数据安全法》应当是一个位于《国家安全法》之下、《网络安全法》之上的立法定位。而且在这个立法价值定位的过程中，需要注意的一个逻辑是，安全和发展两者是具有同等位阶的。安全是国家利益，发展也是国家利益。需要强调的是，草案中第一次看到了诸如“以发展保安全，以安全促发展”这样的表述。这也是发展与安全之间非常重要的价值判断。第二，草案要求全面的安全生态建设，在第4条、第5条、第12条当中，可以看到一个非常明显的权益平衡的要求。在这个过程中，特别强调数据要素的安全保障与流动利益之间的动态协调。也就是说，我们希望通过安全和流动来促进数据要素潜力得到更大的发挥。第三，有限度的数据安全全球管辖机制。在各国的立法纷纷出台之后，我们对于全球管辖、域外管辖、长臂管辖有了非常多的讨论，实际上，《数据安全法（草案）》对于此问题采取的是一个比较内敛的做法。有别于欧盟和美国，我们对境内主体适用属地原则，对境外主体采取有限度的保护原则，适用消极负面后果的法律责任追究。第四，数据安全不等于个人信息保护。《数据安全法（草案）》第49条第2款规定：“开展涉及个人信息的数据活动，应当遵守有关法律、行政法规的规定。”这其中也涉及《个人信息保护法》的草案文本。今后，在提及数据安全问题时，不能将数据保护与其混淆使用，两者是有区别的。《数据安全法（草案）》所提出的数据安全要求覆盖了个人数据和非个人数据，其中以非个人数据为重。条文的内容对标了目前世界各国个人数据法以外的与数据安全相关立法的五个层次内容：包括专门的立法（如欧盟《非个人数据自由流动条例》）、安全审查、出口管制、贸易制裁以及垂直领域的立法等。

 

　　基于这样一个总体的制度设计，我们能够看到《数据安全法（草案）》所预示的合规风控体系，主要有两个值得关注的方面：第一，外部工具的利用；第二，内部机制的建设。外部工具利用方面需要注意的是，目前，在全球范围内没有任何一个单独的单位或企业能够彻底保证数据安全。所以目前的一个基本思路就是在单位或者企业之外，需要国家和社会资源的支撑，共同建设数据安全保障体系。因此，草案的第三章明确规定了国家层面的相关制度，构成了主要的外部支撑。从数据分级分类到数据安全风险管理制度、数据安全应急处理制度和数据安全审查制度，以及出口管制制度和国际对等制度。从近期的热点事件可以看出，国家和社会资源的外部支撑，对于单个企业的重要程度，尤其是在应对国际重大风险的时候，Tik Tok事件就是一个很好的说明。从内部机制建设来说，有两个需要注意的地方：一是合规风控体系。在技术层面的安全、组织管理层面的安全、内容价值层面的安全上，《数据安全法（草案）》给了我们非常多的制度性提示，包括风险监测与处置预警；全生命周期的数据管理制度；国内外执法机关的协助、配合、报告与批准机制；以及数据安全的教育培训等。在数据运用的伦理审查方面，在我们国家的网络法制体系当中，《数据安全法（草案）》第一次提出了伦理的法制化问题，所以这也是新时代的标志。第二，从合规风控体系建设当中，应特别注意到，在思维方法上是安全思维的转变，从关注技术层面的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）（CIA三性）过渡到合法设计、伦理设计和安全设计理念并重的制度体系。合规策略的风控设定需要一个双维度的预案，包括保证自身合法免受处罚以及积极运用法律惩处不法来维护良好的法律生态。在核心权益的维护当中，要注重法律工具体系化综合运用，同时，充分利用法律所赋予的正当化机制。此外，在关键风险的管控方面，通过定岗定责和定岗定人的方式来实现个人行为和单位责任的隔绝。

 

　　最后，对于草案所涉及的保障责任机制，有必要关注草案对于包括企业在内的单位在面对国家机关时的权利保障，主要规定在第41条、第45条、第56条当中。而面对市场环境的权利保障，规定在第42-47条的制度当中，尤其是针对数据交易中介机构、无照经营者以及一般主体等。