《數據安全法》完善了我國數據安全治理體系中最重要的一塊拼圖�?���!稊祿踩ā窂臄祿踩c發(fā)展��、數據安全管理制度�、數據安全保護義務(wù)��、政務(wù)數據開(kāi)放多個(gè)角度對數據安全保護的義務(wù)和相應法律責任進(jìn)行規定����。
《數據安全法》構建起一道全新的數據安全法律保障體系屏障��,對提升我國國際競爭力大有裨益�����。如何把握好數據安全與鼓勵數據開(kāi)發(fā)提升公共服務(wù)之間的平衡點(diǎn)�����,實(shí)現數據價(jià)值釋放過(guò)程的數據安全均衡治理�����,需要我們在這個(gè)基礎上繼續探索�����。
2021年6月10日��,歷經(jīng)三審的《中華人民共和國數據安全法》正式通過(guò)�,并將于今年9月1日實(shí)施�。作為我國數據安全領(lǐng)域的基本法�,《數據安全法》完善了我國數據安全治理體系中最重要的一塊拼圖���。
《數據安全法》的出臺應時(shí)及時(shí)
當前世界范圍內�,各國數據主權意識不斷增強�����,數據日益成為各國爭奪的基礎性戰略資源�����,利益之所在����,亦爭端之所在�。數據安全治理能力成為國際競爭的關(guān)鍵要素�����,域外各國以國家安全���、商業(yè)利益�、公民隱私保護等目的推進(jìn)數據安全立法進(jìn)程已經(jīng)縱深化和精細化���。歐盟《通用數據保護條例》不僅對歐盟境內數據處理活動(dòng)作出具體規定�,同時(shí)也對其他國家數據安全立法產(chǎn)生直接影響���,數據安全官�����、關(guān)鍵數據本地化處理以及跨境數據流動(dòng)規則等內容成為全球數據立法工作的主要內容����。數據安全也構成現代風(fēng)險社會(huì )中全世界共同面對的問(wèn)題�。
此次正式通過(guò)的《中華人民共和國數據安全法》可謂正逢其時(shí)���,作為我國數據安全領(lǐng)域的基本法�,《數據安全法》完善了我國數據安全治理體系中最重要的一塊拼圖����?����!稊祿踩ā啡墓财哒挛迨鍡l��,從數據安全與發(fā)展�、數據安全管理制度���、數據安全保護義務(wù)�����、政務(wù)數據開(kāi)放多個(gè)角度對數據安全保護的義務(wù)和相應法律責任進(jìn)行規定���。
保障數據安全
與促進(jìn)數據開(kāi)發(fā)利用并重
從價(jià)值定位上來(lái)看�����,該法的出臺解決了我國數據安全領(lǐng)域長(cháng)期沒(méi)有一個(gè)獨立且融貫的法律體系問(wèn)題�?����!稊祿踩ā凡⒎且晃稄娬{安全��,而是秉持安全與發(fā)展并重的指導思想����,堅持保障數據安全與促進(jìn)數據開(kāi)發(fā)利用并重的原則���。
數據安全并不局限于以數據存儲安全為代表的靜態(tài)數據安全��,而是試圖構建全生命周期的數據安全理念���,即數據處理的所有環(huán)節都應當滿(mǎn)足正當�、合法����、有效之要求�。這種立法理念的背后彰顯我國數據治理模式的動(dòng)態(tài)化�����、多層次和整體性的基本特征���?!稊祿踩ā穭?chuàng )設了風(fēng)險共治的數據安全治理模式����,強調多元主體協(xié)作機制在數據安全保護體系中的重要作用�,明確了各類(lèi)法律主體的數據安全保護義務(wù)�����,包括內部與外部的雙控制機制�����、數據安全風(fēng)險動(dòng)態(tài)評估�、監測預警與應急響應以及數據安全交易注意義務(wù)����,打通數據安全保障義務(wù)與網(wǎng)絡(luò )安全保障義務(wù)的內容銜接與體系嵌套���。
側重實(shí)現數據自身的安全可控狀態(tài)
從體系定位上來(lái)看���,《數據安全法》與《網(wǎng)絡(luò )安全法》屬于同一效力層級的規范性法律文件�。數據安全與網(wǎng)絡(luò )安全這兩類(lèi)立法目標均屬于網(wǎng)絡(luò )空間治理效果不同維度的表述��,網(wǎng)絡(luò )安全側重網(wǎng)絡(luò )信息通信服務(wù)的持續穩定�,數據安全則側重數據自身的安全可控狀態(tài)����。
此外�����,《數據安全法》與即將頒布的“個(gè)人信息保護法”之間僅在部分內容存在重疊�����。我國將絕大部分有關(guān)個(gè)人信息保護的內容留待個(gè)人信息保護法解決��,不在《數據安全法》中單獨規定����。
強化國家總體安全觀(guān)
在體例安排上����,《數據安全法》立法目標統籌于國家總體安全觀(guān)的框架內�����,與《網(wǎng)絡(luò )安全法》同屬于國家安全和網(wǎng)絡(luò )空間主權的重要組成部分���。
信息技術(shù)的發(fā)展使得虛擬和現實(shí)的邊界�����、國家秘密與非秘密的邊界變得日趨模糊���,大型互聯(lián)網(wǎng)企業(yè)掌握大量關(guān)涉國家經(jīng)濟命脈���、社會(huì )穩定的核心數據�,強化國家總體安全觀(guān)指導的數據安全治理成為維護國家安全的必然要求��。作為確保國家數據安全領(lǐng)域的專(zhuān)門(mén)法�,《數據安全法》與《網(wǎng)絡(luò )安全法》共同構成國家數據安全治理體系��,更全面地保障國家安全在各行業(yè)��、各領(lǐng)域有法可依����。
以維護動(dòng)態(tài)安全目標為導向
從制度創(chuàng )新來(lái)看�����,《數據安全法》以維護動(dòng)態(tài)安全目標為導向�����。數據安全的監管具有很強的功能主義屬性����,講究令行禁止�����、精準施效�,化解問(wèn)題��。以往部門(mén)監管格局存在蕭規曹隨的問(wèn)題�,因此�,《數據安全法》提出建立以中央國家安全領(lǐng)導機構負責的國家數據安全工作協(xié)調機制����,完善了數據安全協(xié)同治理體系�����,明確了“中央統籌主導���,地方行業(yè)自治”的框架�。
中央層面將由國家安全領(lǐng)導機構領(lǐng)銜負責數據安全工作的重大決策與議事協(xié)調���,國家安全機構�、公安機關(guān)���、網(wǎng)信部門(mén)以及工業(yè)�����、電信�、交通�、金融等主管部門(mén)均有權在各自的職權范圍內對數據安全進(jìn)行監督和管理�。
這種制度安排是在充分考量數據安全的整體性與公共部門(mén)運作的獨立性之間做出的選擇���。不同的地區和行業(yè)部門(mén)在長(cháng)期的發(fā)展和專(zhuān)業(yè)化過(guò)程中��,在專(zhuān)業(yè)���、人員�、管理�����、控制上形成了符合各自部門(mén)特點(diǎn)的獨立性���。數據活動(dòng)不斷發(fā)展���、迭代與深化��,使得數據安全風(fēng)險更為多樣��、復雜和多變�����,《數據安全法》授權地區與行業(yè)部門(mén)對各自工作中收集和產(chǎn)生的數據及數據安全負責的放權思路���,可以有效填補模糊地帶�����、不明之處的數據安全風(fēng)險防控��。但當前的規定仍過(guò)于原則��,未來(lái)行業(yè)和地方之間的監管事項上仍然有重疊的可能�����,“九龍治水”的監管難題仍會(huì )持續存在�,有待在重要數據目錄的構建�、數據跨境傳輸���、數據交易制度�����、政務(wù)數據公開(kāi)與開(kāi)放等《數據安全法》配套制度中予以解決���。
此外�����,《數據安全法》還專(zhuān)門(mén)明確了國家網(wǎng)信部門(mén)對網(wǎng)絡(luò )數據安全和監管工作的統籌協(xié)調職能����,因而未來(lái)國家網(wǎng)信部門(mén)將會(huì )很快出臺專(zhuān)門(mén)規制網(wǎng)絡(luò )數據處理活動(dòng)的管理細則��。
側重維護數據處理活動(dòng)中的
公共秩序和國家安全
從規范對象上來(lái)看�����,《數據安全法》所規范的數據類(lèi)型不僅包括電子數據�����,亦包括以電子以外的其他形式存在的數據��;既包括個(gè)人數據�、商業(yè)數據�����,亦包括政務(wù)數據��。
原則上來(lái)說(shuō)�,我國的《數據安全法》在確定管轄范圍時(shí)采取了以屬地管轄為原則�����、以保護管轄為補充的方式����,以行為人的行為地即數據處理活動(dòng)發(fā)生地�,而非行為主體的身份作為確定管轄權的基準�。同時(shí)輔之以保護原則����,以全面維護國家利益����、公共利益��、公民和組織的合法權益�����。
與強調對民事主體的數據權益進(jìn)行確認和保護的《民法典》不同�����,《數據安全法》從整體上看側重從公法角度對數據活動(dòng)進(jìn)行規范�����,側重維護數據處理活動(dòng)中的公共秩序和國家安全�。同時(shí)��,更加強調對一般性數據活動(dòng)的規制��,強化了基于國家安全為目的的數據的分級分類(lèi)管理����,在區分重要數據和非重要數據的基礎之上����,強化對國家核心數據的重點(diǎn)規制����,以專(zhuān)章明確了政務(wù)數據的安全與開(kāi)放制度����?�!稊祿踩ā反钶d了以重要數據為核心的監管制度�����,充分體現了我國數據治理的分級分類(lèi)管理和保護原則����。
兼顧數據安全保護與創(chuàng )新
從條文構成上來(lái)看����,《數據安全法》留白了大量倡導性規范的內容�,較強的制度彈性能夠兼顧數據安全保護與創(chuàng )新��。
法律規定了數據技術(shù)研究和產(chǎn)品��、產(chǎn)業(yè)體系培育以及鼓勵數據開(kāi)發(fā)提升公共服務(wù)條款����,體現了國家的溫柔底色���。國家注重培育�、發(fā)展數據開(kāi)發(fā)利用和數據安全產(chǎn)品��、產(chǎn)業(yè)體系����。培育�、發(fā)展一個(gè)安全可控���、布局合理�、可持續發(fā)展的產(chǎn)業(yè)體系和產(chǎn)品體系���,對于數據開(kāi)發(fā)利用和數據安全保障�����,具有至關(guān)重要的關(guān)鍵意義�,也是我國數據開(kāi)發(fā)利用和數據安全保障產(chǎn)業(yè)做大做強的基本前提和重要標志�。
《數據安全法》進(jìn)一步強化了對弱勢群體的特殊保護����。技術(shù)與人們的日常生活廣泛連接��,但老年人�����、殘疾人等由于無(wú)法使用智能手機導致日常出行舉步維艱����,將高齡�����、視障等群體的特殊需求列入國家重點(diǎn)支持的范圍之內�,充分體現了國家對弱勢群體需求的關(guān)注����。
完善了促進(jìn)數據跨境流動(dòng)的制度
從制度特色來(lái)看�,《數據安全法》完善了促進(jìn)數據跨境流動(dòng)的制度規范����。在經(jīng)濟和科技全球化的時(shí)代背景下�,數據的跨境流動(dòng)將會(huì )越來(lái)越頻繁�,支持數據領(lǐng)域國際合作�����,促進(jìn)數據跨境流動(dòng)的國家立場(chǎng)在本法中得到了貫徹落實(shí)���。由于當前在數據的跨境流動(dòng)方面并未建立擁有廣泛共識的國際規則和標準���,我國應當把握機遇積極參與數據安全相關(guān)的國際規則和標準的制定�,只有基于統一的數據安全的國際規則和標準�,數據的跨境自由流動(dòng)才能實(shí)現�。
此外��,《數據安全法》不僅規制互聯(lián)網(wǎng)行業(yè)���,同樣對政府相關(guān)的數據處理行為提出了很高的要求�����,對政府的數據處理活動(dòng)�����,如檔案���、統計工作提出了更高要求����。政務(wù)數據是國家提高管理效能的重要資源�,政府履職過(guò)程中收集�����、使用數據的安全合規��、數據保密�����、數據共享以及運行電子政務(wù)系統帶來(lái)的安全問(wèn)題在本法中被多次重申���,這也要求國家機關(guān)制定完善的數據安全管理制度�����、嚴格的批準程序以應對實(shí)踐中存在的數據泄露等安全風(fēng)險��。
總的來(lái)說(shuō)�����,《數據安全法》構建起一道全新的數據安全法律保障體系屏障�。這部關(guān)乎國家安全的特殊立法對提升我國國際競爭力大有裨益��,但如何把握好數據安全與鼓勵數據開(kāi)發(fā)提升公共服務(wù)之間的平衡點(diǎn)����,實(shí)現數據價(jià)值釋放過(guò)程的數據安全均衡治理�,是下一步值得思考的問(wèn)題�����。
作者:趙精武 北京航空航天大學(xué)法學(xué)院 編輯:薛姣
