韩旭至：我国数据安全立法的定位与方向

点击蓝字 ·  关注我们

作者简介

韩旭至，华东政法大学数字法治研究院副院长、特聘副研究员，法学博士、博士后，主要研究方向：数字法治。

本文原载《西华大学学报（社会科学版）》2020年第5期，第27-29页，转载时对注释与参考文献进行了省略。

2020年第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法（草案）》（以下简称《草案》）进行了审议，随后公开发布了《草案》及《关于<中华人民共和国数据安全法（草案）>的说明》（以下简称《草案说明》）全文，公开征求意见。目前来看，《草案》在基本定位、体例结构、基本范畴、管理模式、制度设计等方面均存在一定争议。

一、以国家安全为基本定位

目前，《草案》存在定位不清、目标过多的问题。《草案说明》指出，维护国家安全、维护公民和组织的合法权益、引领和支撑数字经济、发展电子政务均是《草案》的目标。然而，如此多元的目标恐怕难以在数据安全立法中实现。《数据安全法》虽然是我国数据领域的第一部单行立法，但难以充当数据领域的基本法角色。应回归到维护国家安全的基本定位。实际上《草案》诸多条文均围绕国家安全进行展开，如第1条“维护国家主权、安全和发展利益”、第4条“总体国家安全观”、第6条“中央国家安全领导机构负责数据安全工作的决策和统筹协调”等。

虽然，有学者认为国家安全立法存在复合目标是由于，安全的定位已“从‘单一安全’转向‘总体安全’”。但是，习近平同志所提出的“总体安全观”，并不能简单等于以国家安全立法辐射社会生活的各个领域。《草案》中的“总体国家安全观”所强调的应是在数据利用、数据处理、数据流通的各个环节，都关注国家安全问题。国家数据安全、企业数据安全、个人数据安全等相关领域的数据安全均应回到国家安全之中。

二、妥善处理与相关法律的关系

《草案》应与既有的相关数据制度及将来的数据立法相衔接。本质上，“数据安全”和“网络安全”应共属“国家安全”的下位概念。《草案》应与《网络安全法》《网络安全审查办法》的相关规范形成有机联动。以重要数据保护为例，《草案》关于重要数据的规范未能能够回应《网络安全法》第21条、第37条关于重要数据的安全等级保护与境内储存原则的规范。

此外，如前所述，《数据安全法》以国家安全为定位，《草案》无法涵盖数据权利、数据流通、个人信息保护的基本规则，这些规则均必须通过已列入立法计划的《个人信息保护法》与相关数据立法予以明确。就个人信息保护而言，《草案》第29条进行了相应规范。此处似乎延续了从《网络安全法》第41条到《民法典》第1035条“正当、合法、必要”的个人信息原则。然而，这一原则由于过于笼统，已广受批评。《草案》第29条还将之进行了拆分，无法有效对接相应个人信息保护规范。 

就数据权利与数据流通而言，虽然《草案》第17条规定了“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”然而，必须清晰认识到，《草案》并未承认数据权利，基于《草案》的定位，也无法实现数据确权的任务。虽然《草案》第30条尝试首次在法律层面规定“数据交易”与“数据交易中介服务”，但是相关交易也可以表现为数据服务合同关系，并不能直接等于承认背后的数据权利。同时，《草案》第30条对数据交易中介服务的相关要求，是一项形式审查的要求，对应有第43条的罚则。这一规定只是数据交易合法的要件之一，不能直接等同于数据交易合法，更远未能解决数据交易问题。相关问题应留待另行立法解决。

三、厘清《草案》的基本范畴

《草案》第3条对该法的基本范畴进行的规范。首先，第3条第1款认为，“数据是任何以电子或者非电子形式对信息的记录”。值得肯定的是，该款尝试在法律意义上对数据与信息进行区分。这一定义基本上与国际标准化组织的定义相符，即承认数据与信息是形式与内容的区别。然而，需要辨析的是，该款对《网络安全法》第76条第4款“网络数据”的概念进行了扩张，增加了“非电子形式”的数据类型。这既不符合对数据的一般理解，也不符合国际立法潮流，将形成叠床架屋的效果。非电子形式的数据安全问题已由《档案法》《国家安全法》解决。事实上，《草案》的绝大多数内容也只能对应电子数据。如“网信部门的管理”（第7条）、“数据开发利用”（第14条）等规定均是建立在电子数据基础之上的。

其次，《草案》第3条第2款对数据活动进行了规定。其列举了多种数据活动表现形式。其中，提供与交易可能存在一定的重复，“数据活动”能否等同与“数据处理”亦不清楚。域外立法中，“数据处理”的术语被大量使用，《民法典》也使用了“处理个人信息”的术语。对此，建议以数据处理为对象进行规定。

最后，《草案》缺乏“重要数据”的定义。重要数据是数据安全的核心概念，《草案》第19条、第25条、第28条均涉及重要数据的规范。其中，《草案》第19条规定了重要数据目录制度。虽然，在这一制度下可建立重要数据的动态识别机制，但缺乏相关规范定义仍会使得重要数据边界判断失去基准。当前，《个人信息和重要数据出境安全评估办法》（征求意见稿）和《数据出境安全评估指南（草案）》均将重要数据定义为，与国家安全、经济发展，以及社会公共利益密切相关的数据。《草案》应吸收这一定义。

四、以数据主权构建域外效力

《草案》第2条在属地管辖外确立了数据安全的保护管辖。《草案说明》指出，“草案赋予本法必要的域外适用效力”。与《网络安全法》相比，《草案》第2条删除了《网络安全法》第75条之中的“造成严重后果”的要件，扩大了域外效力的适用范围。但是，这一规定显然不能等同于欧盟《通用数据保护条例》的域外效力。其并不是以属人管辖为出发的域外效力，而是以数据主权为出发的保护性管辖规范。

《草案》第32条与第33条均可展现以数据主权构建域外效力的内容。有学者建议，应对第32条进行修改，作为中国执法机构调取境外数据的法律依据；同时对第33条进行修改，在设置动态的“适格外国政府白名单”的同时实现“长臂管辖”。笔者认为，在保护国家安全的层面上，以数据主权构建域外效力实有必要，应进一步研究、完善相关条款。

五、科学配置相关管理主体

《草案》第7条规定，“各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。”首先，主体责任并非法律术语，相关政策性术语必须去除。其次，各地区、各部门分别管理，甚至分别“确定本地区、本部门、本行业重要数据保护目录”（第19条）不甚合理。特定部门对于较为专业的数据有更深的了解，按部门确定重要数据目录或许具有一定的合理性，但按地区确定重要数据目录极为不合理。各地区各自确定重要数据、各自进行数据安全管理，必然会在境内产生数据流动、数据保护差异的障碍。

归根结底，数据安全的管理主体必须突破传统的属地原则或条块分割原则，否则将在纵向和横向的管辖维度上形成内在冲突。虽然《草案》第7条第4款规定，“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”；然而其实际必会与该条第2款、第3款中规定的公安机关、国家安全机关、各地区各部门形成多头监管，最终导致难以统筹协调。建议突出国家网信办的作为管理主体的地位，或新设专门的数据安全管理机构。

六、进一步细化各项具体制度

《草案》大量充斥着原则性的条款，被认为是“立法政策化的表现”。例如，《草案》第21条“数据安全应急管理机制”的规定，并不具实质作用，却可能引发国际负面舆论；《草案》第22条未经充分论证和细化规定，规定了建立“数据安全审查制度”，且相关安全审查决定为最终决定，与现代法治原则存在冲突；《草案》第27条关于“数据风险检测”的补救措施、告知和报告义务的规定，实操性显然不足。

对此，《草案》的进一步完善必须将这些原则性、政策性、宣示性的条款予以具体化。例如，部分学者建议《草案》第21条应对相关责任主体予以明确，分阶段建立数据安全应急管理机制，强调预防和准备阶段、简化响应阶段、着重于恢复阶段；《草案》第22条应对安全审查制度的具体模式、审查机关、启动条件、审查内容、法律责任进行规定，并明确安全审查制度与数据安全责任的关系；《草案》第27条应增加，补救措施的具体内容，触发数据泄露通知的条件，告知用户和主管部门的时限、内容、形式等规定。笔者赞同此类具体化条款内容的建议。

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

数字法治战略合作伙伴：理财魔方