言治有理|左晓栋:我国数据安全法治治理体系建设的回顾与展望
法治是国家长治久安的重要保障,数据治理的法治化程度和体系化建设也成为当下衡量一国法治水平和数字经济发展的重要指针。中国科学技术大学公共事务学院、网络空间安全学院左晓栋教授在《国家治理》撰文指出,分析并总结当前我国数据安全法治治理体系建构的发展进程、存在的问题以及未来一段时间着力发展的目标,将为保障国家安全,稳步推进数据要素依法、安全、有序流动提供有益参考。
△ 点击标题查看全文
我国数据安全法治治理体系建设的重要进展
法者,治之端也。法治兴则国兴,法治强则国强。进入全面智能化、数字化转型时代,数据已经成为现代社会发展的新型生产要素和基础性战略资源,建立健全数据治理体系成为推进国家治理体系和治理能力现代化的重要支撑。数据安全治理体系的法治化建构是我国全面依法治国的重要组成部分,关系党执政兴国、人民幸福安康和国家长治久安。近些年,我国数据安全法治化治理进程取得了长足发展和巨大进步,数据安全法治治理体系建设取得重要进展。
数据安全立法从零散化向系统化整合
为适应我国网络安全工作新形势、新任务,落实中央关于总体国家安全观对网络安全工作的重要决策部署,同时也为回应“徐玉玉案”等一系列电信诈骗案件引发的广泛舆论关注和广大人民群众维护个人信息权益的切身需要,我国于2016年月日正式通过《中华人民共和国网络安全法》(以下简称《网络安全法》)。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器。为落实国家安全制度,保障公民信息数据权益,我国于2021年分别通过并施行了两部重要的法律,即《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。《个人信息保护法》是我国第一部专门针对个人信息保护的法律,在《网络安全法》的基础上对个人信息权益保障、处理规则、各方权利义务、安全保障机制等方面作了更为周全的立法设计。《数据安全法》是我国数据治理基本遵循,确立了数据分类分级、跨境数据流动、数据交易管理等多项制度,形成了我国数据安全治理的顶层设计。时值《数据安全法》实施两周年,地区和部门性的数据安全政策、法规、文件陆续出台,工业、金融、证券等部门纷纷出台了本领域的数据安全管理办法和重要数据具体目录,上海、深圳、浙江等地相继颁布了数据相关条例,电力、汽车、医疗等行业均出台了专门的数据分类分级指南或数据安全分级指南,各地、各部门、各行业正在深入推进数据安全治理。
此外,为落实上位法对数据安全治理的规定,我国随后又发布了两部重要的法规(含征求意见稿),即《关键信息基础设施安全保护条例》和《网络数据安全管理条例(征求意见稿)》。其中,《网络数据安全管理条例》由中央网信办牵头起草,专门对重要数据安全进行了详细的解释和界定,是我国系统性建立重要数据保护制度的标志。
纵观我国数据安全立法,经历了从无到有、从有到多的发展历程,并呈现纵深化、专题化和领域化的发展趋势。刑法中新增惩治侵害个人信息犯罪的内容,民法典人格权编中将个人信息作为一项受保护的重要民事权利,《网络安全法》《数据安全法》《个人信息保护法》构成我国数据保护的“三驾马车”,确立了我国数据治理的基本原则和制度架构,《网络数据安全管理条例》《数据出境安全评估办法》等则构成了数据治理的具体内容,此外,电子商务法、消费者权益保护法等也有信息数据保护的相关规定,形成法律、法规、部门规章和政策文件相互衔接的完整法规范体系,在立法目标和具体条款上实现了监管标准的统一化和体系化。
数据安全治理进入“标准化”法治时代
国家标准是国家法治体系建构的重要组成部分,数据具有数量庞大、结构复杂、来源多样的特点,如果数据标准管理不达标,就会产生数据理解歧义、数据共享困难等阻碍数据要素流通的问题。数据的价值存在于收集、存储、加工、分析、服务、传输、交易等各个环节中,涉及数据脱敏、价值评估、元数据管理、数据质量等多项活动,数据安全治理活动复杂且具体,但法律、法规和政策文件中的规定通常较为宏观、模糊,无法指导具体的数据活动,因此就需要国家标准这支更为精确刻度的尺子来具体指导数据治理活动。从发展的角度看,数据标准化工作能够保障数据内外部使用与交换的一致性和准确性的规范性约束,有利于提高数据的互操作性、准确性和规范性,促进数据要素全链条高效衔接,对规范数据安全、加强数据安全防护体系、指导行业和企业提升数据安全能力意义重大。
自“三法一条例”发布实施后,业界亟待明确数据安全合规的具体技术方法和管理措施标准来指导实践。基于此,近几年我国每年均有相当大比例的标准编制指标用于数据安全标准。在2022年国家市场监督管理总局、国家标准化管理委员会发布的标准公告中,有12项与数据安全和个人信息保护有关,涵盖人脸识别、即时通信、智能汽车、基因识别、步态识别、声纹识别、网络音视频、网络购物、快递物流、个人信息安全工程等多个领域。
由于重要数据保护构成其他数据治理制度的基础,因此在数据安全治理的标准化工作中明确“重要数据”的识别规则和安全管理要求尤其关键。近年来,重要数据识别和运行管理安全的标准化工作取得了重要进展,2020年,全国信息安全标准化技术委员会委托编制国家标准《重要数据识别指南》,目前该指南历经征求意见稿、送审稿后,已正式向国家申请报批。除此之外,全国信息安全标准化技术委员会在2022年立项《重要数据处理安全要求》,已于2023年8月经全国信息安全标准化技术委员会组织审定后正式向社会公开征求意见,该标准着重解决数据自身安全以及收集、存储、使用、加工、传输、提供、公开、删除等各个环节的数据处理行为安全标准化问题,对数据具体管理工作具有极强的指导功能。
数据安全执法稳步推进
自“三法一条例”实施以来,网信、工信、公安等部门都在积极落实数据安全监管执法活动,加大数据安全违法违规的处罚力度和执法频度,在2023年2月工业和信息化部发布了《工业和信息化部行政执法清单(2022年版)》中,涉及网络安全、数据安全和个人信息保护领域的行政执法项目达57项,执法对象已经覆盖线上线下各行业领域、不同规模的企业。《网络安全法》《数据安全法》和《个人信息保护法》相关法律条文已成为数据安全执法的直接依据,监管实务中常见的违法情形是违反数据安全法第二十七条(数据安全保护业务)、第二十九条(数据安全风险监测和补救)、第三十二条(合法正当采集数据),企业因未建立数据安全管理制度和操作规程、未开展数据安全教育培训、未采取去标识化或加密措施,未采取防篡改、防泄漏、防侵入以及未采取泄露补救措施等情形,致使发生数据泄露或存在数据安全风险等。
数据安全规制与发展的辩证关系逐渐明晰
从《网络安全法》始,安全与发展便贯穿于数据要素治理整体架构中,随着数据法治化进程不断推进,一个治理理念逐渐澄清,即安全规制与发展之间的辩证关系。由于对数据治理的认识不够深入,学界和业界部分观点认为不断加大基于数据安全不断立法规制会遏制数字经济发展,简单地将规制视为技术、经济发展的对立面,这其实是一种认识的误区。首先,安全并不是发展的对立面,安全是为了数据要素市场更好的发展;其次,规制并不一定是坏事,规制可以促进新技术的产生。在中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(又称“数据二十条”)中,除了“发展”被频繁提及之外,另一个高频关键词就是“安全”。安全与发展是相伴相随的,安全是发展的前提,发展是安全的目标,在网络攻击和大国博弈愈发剧烈的当下,没有安全保障,数字经济的发展等于空中楼阁。因此,我国的数据立法统筹安全与发展,坚持以安全保发展,以发展促安全,建立安全可控、高效流通的数据要素市场。对数据跨境流动安全管理的目的也并不是限制数据出境,而是规范数据出境,鼓励数据依法合理有效利用,保障数据依法、有序、自由流动。
当前我国数据安全法治治理体系建设中的相关问题梳理
虽然我国数据安全治理法治体系建设取得重大进展,形成“三法两条例”的数据安全治理基本架构,数据标准化工作也在顺势推进数据法治体系建设向纵深化方向发展,数据治理工作的理念和方向逐渐清晰,但数据安全法治治理体系建构中仍然存在一些问题阻碍数据要素价值潜力的进一步释放。
相关法律规则和标准在具体落实中存在适用模糊
现阶段,我国的数据治理规范已形成框架体系,但在具体推进落实过程中,仍然存在法律概念不明确、标准不一致、不透明等问题,例如,我国《数据安全法》第二十一条要求各地区、各部门按照数据分类分级保护制度确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护,但现实工作中一些行业主管监管部门在制定本行业、本领域的重要数据识别指南时,采用了过于原则性的描述,使重要数据范围被扩大化,给企业合规和数字经济发展造成负面影响。
另外,伴随数据治理实践的全面深入,法律、法规条款中一些未予以明确、处于模糊地带的问题逐渐显现,一些在法规制定之初未予以严谨论证清楚的内容在适用中的争议和质疑也在逐渐增加,很多条款和具体规定在后续执行过程中没有达到预期效果。
数据权属未明阻碍数据要素价值的充分释放
如何确定数据资源权属、明确科学的数据定价机制仍然是数据立法亟待解决的关键问题。这也是当前理论和实务界极具争议的议题。由于数据权属不清,大量数据无法进入数据交易市场进行合法交易,滋生“数据黑市”和数据垄断,掌握海量数据的超大型互联网公司凭借自身的垄断优势形成“围墙花园”,阻碍中小互联网企业的技术创新与发展,数据确权对于保护数据劳动、激励数据流动和开发利用、促进产业加速变革具有重要作用。
虽然我国《民法典》第127条率先对数据之上的民事权益保护作了宣示性规定,中央也在《关于构建更加完善的要素市场化配置体制机制的意见》《中共中央关于制定国民经济和社会发展第十四个五年规划和二O三五年远景目标的建议》等多个政策文件层面都明确强调要建立数据要素产权制度体系,但如何确定数据权益以及数据的归属问题目前未有一部法律、法规或政策文件作明确的规定。传统实践是通过设立产权的方式来界定物体的权属边界,产权的实质是调整客体背后不同关联主体之间的利益关系,一方面,与一般客体不同,数据具有非损耗性、非“物”上的排他性、智慧劳动不明显等新特征,无法套用以往的物权、债权和知识产权保护制度。另一方面,由于数据权属涉及不同类型的数据来源者、数据处理者以及国家等多方主体之间的利益协调,既要保护数据来源者的人格权和财产权,又要保护数据处理者的基本权益,激励数据的开发利用,多种权属和价值叠加使数据确权变得异常复杂。目前,国内理论界对数据权属存在数据财产权说、数据许可合同说、有限产权说等多种学说,但仍停留在学术探讨层面,距离立法还欠缺成熟度。
数据安全治理的部门分工和统筹协调有待强化
法律的生命力在于实施,从纸面上的法到具有实际可操作性最主要实施力量是靠各分管部门的具体执法活动,就目前的数据监管来看主要存在两方面的矛盾,一方面,巨大的数据规管需求与监管部门有限的行政资源之间存在张力,信息和数据违法违规的案件越来越多,实际监管工作中对个人信息保护的执法却不够彻底和全面,致使公民的个人权益和国家安全得不到保障。另一方面,数据治理存在部门化、利益化、治理目标不统一等现象,中央不同部门、中央与地方以及地方不同部门之间都存在权限不清、权界不明的问题,例如,在笔者对地方网信部门一线工作人员的调研访谈中发现,目前,中央和地方网信部门的数据监管能力和监管资源方面存在严重不对等,地方在履行网络和数据安全监管责任所需要的技术人才和执法资源方面面临巨大缺口,尤其是区、县一级的网信监管部门,导致很多执法工作无法展开。与之相关的另一种现象是,虽然目前网信、工信、住建、公安、国安等各部门均有数据执法的案例,在具体案件中,仍然存在各个部门职责不清、权力重叠等一系列妨碍执法有效开展的问题,一些部门因为权责存在争议、矛盾和推诿扯皮现象,这些都增加了企业的合规成本,不利于数字经济的健康发展。
数据跨境传输渠道与跨境贸易需求不对等,管理机制与国际化接轨程度不够
信息流引领技术流、资金流、人才流、物资流,没有数据的流动就没有经济社会的发展,所有跨境贸易、物流本质上是靠数据的支撑推动,数据跨境已经成为当前国际贸易的基本需求,各国在数据跨境规则领域展开激烈博弈。在此背景下,我国于2022年7月出台了《数据出境安全评估办法》,公布了个人信息保护的认证文件和个人信息出境标准合同模版,同时,我国《数据安全法》、《个人信息保护法》还规定了我国缔结或参加的国际条约、协定对向境外提供个人信息的条件有规定的,可以按照其规定将执行,以及对境外司法、执法机构在境内调取数据作出限制,必须经我国主管机关批准,由此,形成我国数据跨境的“3+1+1”通道。
但制度的顺利实施依然面临很多挑战,尤其是伴随数据跨境贸易实践的不断深入,跨国企业遇到了在政策制定之初尚未显现的问题,“3+1+1”方式已经远远不能满足巨大的数据跨境需求和多样的跨境场景,国内外很多企业提出希望对数据跨境提供更加便利、更为多元化的通道。对此,国务院印发了《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,提出“探索便利化的数据跨境流动安全管理机制”。
数据安全法治治理体系建设的国际舆论环境形势依然严峻
虽然我国已经建立了较为完善的数据安全治理体系,庞大的网络用户和数据经济体量使我国在很多领域拥有众多的标准规范场景,这是其他国家所不具备的,并且在数据治理的国际规则领域还存在着很多空白和不足,客观层面看,我国提出的数据安全治理规则应该获得较高的认可度和接受度,能够在国际标准和规则制定方面发挥更大的国际影响力。实际上,我国数据法治治理体系建构的国际舆论环境依然严峻,虽然《联合国宪章》早将主权平等原则确立为当代国家关系的基本原则,在网络空间治理中,尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利是应然选择,但西方国家多次抹黑、歪曲和炒作我国网络和数据安全立法来质疑中国的营商环境,污称中国在实施网络攻击和窃取他国数据,对中国的国家形象和企业出海带来了负面影响。
我国数据安全法治治理体系建设的未来展望
数据安全法治治理体系建设是一项系统性工程,需要结合快速发展的数据业务不断深化对数据法治治理体系建设的认识,完善数据治理体制机制,自上而下全面推进数据治理实际工作,弥补社会对数据发展期望与法治体系建构之间的差距。
对相关法律概念、规则和标准予以细化,强化部门监管和分工
我国网络和数据安全立法不断深化和推进中,未来立法仍需要从由无到有、由多到好向由好到优转变,对相关的法律、法规和标准予以规范化和科学化,解决立法之初未加以精确论证的历史遗留问题,实现“良法善治”。在遵循现有法律制度方针的基础上,需要结合数据业务建设情况以及一线监管中面临的现实问题和需求,从法律条款和规则的统一性和落地性出发,全面优化数据管理体制,对相关的法律条文、概念、规则和标准进一步予以明晰,消除数据监管和合规中存在的盲区,进而更好地指导一线监管部门的数据安全保护执法工作,让数据要素市场能够在良好的生态环境中加速建立起来。同时,明确各部门的分工与权责边界,推动中央和地方以及不同部门间在数据实际监管工作中的统筹协调。
探索多元化的数据跨境传输机制,抓紧建立符合国际惯例的数据出境安全管理制度
数据跨境流动规则机制是国家参与国际贸易的重要突破口,我国已相继宣布申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA),签署的《区域全面经济伙伴关系协定》(RCEP)也已经生效,这些协定均对数据跨境传输作了专门规定,客观上要求我国抓紧建立符合国际管理的数据出境安全管理制度。数据跨境自由传输是常态,限制是例外,下一步,要针对当前数据跨境面临的主要问题、企业跨境需求,对于相关的绿色通道、国际协议进行专门性研究,积极推进出台数据跨境的负面清单制度,研析如何高标准对接国际规则,同时,研究其他国家或地区已有的、较为成熟的数据跨境传输机制,如充分认定制度、约束公司规则(BCR)等,可以基于我国具体国情适时进行转化性引进和适用。
构建新型数据权属模式,推动我国数据治理规则的国际化跃升
从立法层面确定数据权属是数据要素化、数据资产入表的前提,未来一段时间需要持续分析、探讨把握数据要素的特性,明确收集数据的类型和定价机制,以及数据流通的范围、标准、原则、程序,健全数据要素流通规则,满足数据主体隐私等人格权保护需求、数据控制者和第三方从数据的采集和处理等活动中的使用和收益的权利需求,以及国家对数据主权和安全考虑的诉求,同时平衡数据的产权属性和公益属性、经济发展与安全保护、企业和个人等利益关系,构建中国特色的数据权属制度。如果中短期内在立法上无法确立数据权属,可以从务实的角度出发,先构建数据登记制度、数据公证制度、数据信用体系和标准化体系等具体制度,推动数据向现实生产力转化。
积极研判数据安全治理的国际舆论,提升国际话语权
习近平总书记在2016年网络安全和信息化工作会议中就曾强调,目前“大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈”。未来,除了在技术和规则积极展开国际博弈外,亟待提高我国网络安全和数据安全的舆论斗争和对抗能力,积极研判网络安全、数据安全法治体系建构的国际舆论环境。在传播科技推动下,传播方式、舆论格局、传媒生态都发生了深刻变化,因此需要深入研究网络和数据安全事件的传播路径、舆论场域的形成机制以及国际受众的认知和接受过程,在理清规律的基础上设置议程、争夺话语权,占据网络舆论战的优势地位。同时,提升我国数据安全治理相关法律、法规和政策文件的国际传播度,增加对我国数据安全治理规范认识和认同度,加强与各国同行的相互交流与合作,积极参与国际规则、标准、倡议的制定,推动我国数据相关法律、管理规范、标准融入国际规则体系,正面回应国际社会的普遍关切。
【中国科学技术大学公共事务学院博士后研究员杨林对本文亦有重要贡献】
更多内容,请点击封面购买杂志
△国家治理高峰论坛精彩回顾(请滑动查看)
来源 | 《国家治理》2023年12月上
原文标题 | 我国数据安全法治治理体系建设的回顾与展望
作者 | 中国科学技术大学公共事务学院、网络空间安全学院教授 左晓栋
原文责编 | 冯一帆
新媒体编辑 | 王 洋
更多精彩文章,欢迎关注《国家治理》杂志、国家治理网及人民论坛网!
声明:《国家治理》原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者。
点击关注我们