会议综述 | 数据安全立法的争议与回应——《数据安全法(草案)》专题学术研讨
数据安全立法的争议与回应——《数据安全法(草案)》专题学术研讨
会议综述
2020年7月26日,由《华东政法大学学报》和华东政法大学数字法治研究院共同主办的“数据安全立法的争议与回应——《数据安全法(草案)》(以下简称《草案》)专题学术研讨”会议顺利召开。来自众多高校的专家学者们围绕数据安全立法的基本问题和制度设计两方面内容展开研讨与交流。
开幕致辞
《华东政法大学学报》主编、华东政法大学数字法治研究院院长马长山教授致辞指出,数字化时代的到来,使我们难以按照传统的法律思维逻辑和规范设计来认识数字生活方式、把握数字生活规律,因此需要对新问题进行认真的探索和研究。关于《草案》的讨论和建议,是法律人对立法科学化、民主化的担当和贡献。希望通过本次会议与优秀青年学者共同探索新问题、展望新事物,同时也为《华东政法大学学报》提供更多的选题方向,为数字法治研究院提供良好的合作环境。
第一阶段 数据安全立法的基本问题
本阶段由华东政法大学数字法治研究院副院长、科研处副处长陆宇峰教授主持,来自对外经济贸易大学、中国人民大学、浙江工业大学、北京航空航天大学、广州大学、宁波大学、华东政法大学的专家学者分别进行了发言。
对外经济贸易大学法学院院长助理张欣副教授立足国际视野,分析国际数据治理环境和全球数据立法的趋势,对我国数据安全立法的重要意义和现有问题展开探讨。她指出,《草案》总则部分体现了三个重要的核心价值——安全、发展、开放,完成了四件事:一是明确了支持数据安全发展和开放的核心目标;二是确立了基本数据安全管辖制度,赋予该法必要的域外效力;三是明晰了数据安全的相关核心概念,如数据、数据活动和数据安全的释义;四是确立了数据安全主体责任和监管职责。但同时,也存在相关概念未得到明晰界定、监管主体过于宽泛、纵向和横向维度管辖权之间存在潜在冲突等问题。基于此,她提出,我国应当着力构建体现中国数据主权观的数据治理机制和国际互信合作机制,在区域或双边经济合作建设中积极地推进互信机制,从而在国际数据发展过程中奠定积极稳定的位置。
中国人民大学未来法治研究院副院长丁晓东副教授就“《数据安全法》的定位”问题,从国际和国内两个层面提出未来可能面临的争议和挑战。他指出,《草案》中很多条文存在规定过于严厉的情况与其产生背景和立法定位有很大关系。围绕这部法律可能产生如下争议:从国际层面看,如果部分外企和一些国际化的国内企业将该法律视为严格执行的法律,可能会造成不利的国际舆论或者产生反弹。应对国家数据安全挑战,可以考虑更加符合数据原理与我国外交原则的数据战略。例如可以考虑提出似“数据安全主权”与“数据人类命运共同体”的概念,替代传统的“数据主权”概念。从国内层面看,第一,可能产生制度设计上如何落地、即谁来监管的问题;第二,传统国家安全观在数据这一特殊领域可能面临一些调整,难以按照传统方式运用属地原则或条块分割原则对风险进行监管;第三,如何协调进行合理的风险规制观也是法律未来需要考虑的。
浙江工业大学吴习彧副教授就《草案》总则部分版本变化的立法特点分享如下见解:第一,《草案》立法主导基调发生变化,具有多元化的立法目标,即增加了数据发展和数据利用的问题,但这一部分内容不应是《草案》的重点和主体内容,而应是指南性的要求。第二,《草案》立法技术和思路上发生的变化,主要是指与先前出台的《数据管理安全办法》对比存在较大的差异;第三,数据概念定义方式发生变化,对于数据概念定义方式的外延和内涵显得比较宽泛。第四,数据安全可能与已经正在实施的《国家安全法》《网络安全法》和正在制定的《个人信息保护法》的关系架构之间存在某些重叠,还需要认真处理这些关系架构。
工信部工业和信息化法治战略与管理重点实验室办公室主任、北京航空航天大学赵精武助理教授以“‘数据安全’的法律定位”为题进行报告,他指出,第一,在管辖权问题上,《草案》删除了《网络安全法》第75条之中的“造成严重后果”的要件,“沾边就管”可能是我国未来立法的趋势;第二,关于数据概念的更新问题稍显不足,“数据安全”和“网络安全”可能共属“国家安全”概念,前二者是并立关系;第三,《草案》忽略了对电信安全的关注,建议将第4条修改为“维护数据安全,应当统筹网络安全与电信安全工作,建立健全数据安全治理体系,提高数据安全保障能力”,从而将电信安全同样纳入数据安全的统筹范围之内。
浙江工业大学讲师高鲁嘉基于公法学视角,提出三点看法:第一,《草案》是一部宣示性意味较强的政策法,宽泛模糊的政策性话语表达过多,而法律的核心功能之一是稳定规范性预期,其具有稳定、刚性、明确的基本特征,因而《草案》的规范性色彩有待增强;第二,《草案》是一部结构性混乱模糊的授权法,例如在数据安全监管体制方面,呈现监管原则杂糅、条块关系混乱等特征,加之国家安全、公共利益等不确定法律概念的泛化,为公权机关的肆意扩权提供了规范空间,不符合现代法治理念所要求的明确授权与权责统一等原则;第三,《草案》是一部融贯性有待提升的特别法,《数据安全法》应聚焦于维护数据安全,不应对其赋予过多的制度期待,并且要加强对譬如“数据”等核心范畴的界定,进而实现《数据安全法》自身的内部融贯以及与其它法律之间的外部融贯。
广州大学讲师张玉洁以“《草案》的非规范主义分析”为题,介绍了《草案》的制定背景和具体内容,并针对数据归谁所有的问题,提出“以安全为基础,加快数据市场建设双重方向发展”。他认为,《草案》有两方面特点,一是“超前”,即超前当前需求、阶段超前、内容超前;二是“抽象”,即内容松散、期待地方发挥作用、“僵尸条款”较多。此外,《草案》的“安全”体现在数据内容和主体安全两方面。对于重要数据如何疏通问题,他提出建立以公共数据资源归国家所有的制度基石,将数据分为个人信息集合数据、公共商业数据、政务数据等三大类型,并采用数字税、行政许可交易、惩罚性赔偿和公益诉讼方式进行保护。
宁波大学讲师金耀从立法目的出发,就《草案》中涉及数据利用与交易问题展开思考。第一,国外的数据流通利用规范已经比非常完备,从立法定位上看,《数据安全法》作为我国数据法领域的基础性法律、也是第一部数据法,规定一些数据利用与交易的规范实有必要。第二,《草案》对数据交易的规定仍比较零散和粗糙,多为宣示意义上的规定,实质性能用的条款有三条,即第5条首次明确了通过数据自由流通实现数据要素化,第17条主张由国家建立健全数据交易管理制度,以及第30条首次将数据中介服务商纳入数据法律规范。但其宣示意义对于将来数据流通利用规则的形成能够提供很好的依据和指引。
华东政法大学博士生余圣琪对《草案》分享了见解,指出其中三个核心定义——“数据”“数据活动”和“数据安全”定义的边界不够清晰、不具操作性,以及构建国家数据安全治理体系的路径并没有充分体现的问题。还谈到数据安全主管体制不细化的问题,尽管规定了处罚金额,但设置的处罚力度不足、难以震慑数据违法行为。对此,建议可以加大处罚力度、丰富处罚种类,比如警告、训诫、撤销认证等多种形式。此外,她指出域外制度中我国的长臂管辖条款是一亮点规定,并对我国《数据安全法》后期更加细致的规定表示期待。
第二阶段 数据安全的制度设计
本阶段由《华东政法大学学报》肖崇俊编辑主持,来自上海财经大学、北京科技大学、西南政法大学、中国政法大学、上海交通大学、中国社会科学院大学、武汉大学、上海大学的专家学者分别进行了发言。
上海财经大学法学院副院长胡凌副教授就《草案》第五章关于政务数据开放与安全管理的问题重点展开讨论,他提出如下具体建议:一是统一术语,以明确外延。现有的“公共数据”“政务数据”“政府数据”应统一为“公共数据”,以与《网络安全法》《电子商务法》保持一致。二是细化制度,包括第35条关于收集的规定,应强调收集政府数据须遵循的原则;第36条关于管理的规定,涉及公共数据应有开放监测预警的备份和风险评估;第37条关于委托储存、加工和提供的规定,应明确关于第三方主体的资质和义务问题;第38条关于数据公开,也应规定公开产生问题后的救济方式;以及第45条关于责任问题仅规定了处分,应根据情节轻重先规定责令改正、情节严重时处分、最后构成犯罪的依法处理。
北京科技大学张凌寒副教授以“数据风险管控的前置制度如何对接行政监管”为题进行探讨。她谈到在其他世界各国和地区对于数据保护的认证数据安全评估的相关制度中,已有对认证机构和认证机构职责作出相关具体职责规定,其中对于认证的实践主要是由一些具有权威性的企业等第三方组织进行的非营利性组织组织的认证。对于我国将来的数据安全治理制度,她指出,数据安全认证和评估应结合现有的《草案》和相关法规。此外,区分重要数据和高敏感数据处理活动,可以适用强制性制度予以规范;而一些非重要的或非敏感领域的数据处理活动,可推行自愿认证和评估制度,从而建立一个轻重得当的综合数据安全治理体系。
西南政法大学自动驾驶法律研究中心主任郑志峰副教授采用规范分析的路径,以民法学的角度阐述《民法典》与《草案》之间的互动关系。一方面,《草案》可能会重新定义个人信息和数据的概念,对于《民法典》如何界定数据和个人信息有很大的冲击;同时,可能会为个人信息保护提供新思路,如《草案》第27、28条所引入了数据影响评估机制。另一方面,《民法典》可以为数据安全立法提供标准、参考或借鉴,包括:诚实信用、公平等民法基本原则的贯彻;数据利用的豁免规则;以及民事基本制度在数据安全立法中的应用,如数据的征收和征用。
中国政法大学大数据和人工智能法律研究中心主任沈伟伟副教授从公法角度对《草案》第三章第21条“数据安全应急管理机制”进行解读。他认为,由于《网络安全法》《国家安全法》类似规定的存在,第21条仅有宣示性作用而缺乏实质作用,还可能触发负面国际舆论。对此,建议通过条文的修改赋予其实质作用,具体而言,一是明确责任主体,二是强调应急管理机制的预防和准备阶段,并简化响应阶段,三是着重考量应急管理机制的恢复阶段。因此,《草案》中的应急处理机制条款仍有所欠缺、有待修改。
上海交通大学数据法律研究中心执行主任何渊副教授结合《草案》第32、33条之规定,以“数据主权条款是否必要”为题进行阐述和解读。他总结了国际背景并提出中国的立场,认为《草案》第32、33条应该表达数据主权。具体而言,中国应该确立安全风险防范为主同时兼顾数字经济发展的模式,保持中国政府对境内数据的绝对自主可控制权,同时实现中国的“数据长臂管辖”,设置动态的“适格外国政府白名单”,根据中国的标准纳入白名单的外国政府有可能直接调取中国境内数据,在国际交流当中应当实现国与国之间的对等。
中国社会科学院大学互联网法治研究中心执行主任刘晓春首先针对《草案》的功能定位进行阐述,提出该立法应该为我们的制度提供基础依据;其次,与《网络安全法》相比这部草案中的一些概念和制度设计还需要进一步体系化、具体化。对此,她建议:第一,在场景化的前提下提炼一般原则,对相应主体权限、分类原则以及其他制度基础的限定作出细化规定;第二,确立具有共识的具体制度而不是浮于转致条款或者宣示性条款之上;最后,在法律层面厘清公权力和私权利的边界。
武汉大学讲师敬力嘉从刑法学角度,谈及《草案》与刑法刑责的衔接问题,从对象、行为、主体和处罚衔接四个方面进行阐述。他指出,两法规制对象和主体不同,刑法并不直接评价数据活动本身、而是把数据活动行为交由网络信息数据领域的基础法律法规进行规范,在处罚机制的衔接问题上,《草案》第41-48条关于法律责任的规定可以进一步细化,有助于进一步充实拒不履行信息网络安全管理义务罪中规定的责令改正内容,使刑法对于数据处理主体的处罚边界更加清晰。总体而言,《草案》对于完善我国数据治理领域的基础法律规范框架,特别是对于限定刑法处罚边界具备非常重要的价值。
上海大学法学院讲师陈吉栋从《民法典》个人信息保护角度谈及《草案》的相关问题。在解读《欧洲人权公约》第8条和《欧洲基本权利宪章》第7、8条规定的基础之上,阐述了个人隐私、数据和大数据之间的关系。他指出,《民法典》的编纂和个人信息保护立法以及当前的数据安全立法具有内在关联。
学术总结
本阶段由《华东政法大学学报》宫雪编辑主持,华东政法大学数字法治研究院副院长韩旭至副研究员进行学术总结。总结发言指出,本次会议以青年学者为主,极具特色。会议立足中国视角,对《草案》的总则和各项细则的问题进行了充分展开。首先是立法定位问题,学者们均意识到立法目标不一样会导致内容以及形式上的差异。此外,《草案》如何与相关法律进行对接、如何明确基本范畴、如何落实宣示性条款等问题亦备受关注。归根结底,《草案》修改的根本方向应在于必须回归法治的目标和理念,以限制权力的理念进行赋权,在实现国家安全的同时捍卫个人权利。
(本综述由“数字法治”公众号特约编辑、华东政法大学硕士研究生冯丹协助整理)
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方