行业聚焦丨《数据安全法（草案）》征求意见稿之浅见

Original 黄紫临王亦伟 TA娱乐法

2024-08-26

2018年3月23日，美国正式出台《澄清域外合法使用数据法》（云法案）。该法案明确在涉及危害美国国家安全及恐怖主义的严重犯罪中，美国政府有权依据调查令强制获取存储于境外的数据。

2018年5月25日，欧盟正式出台《一般数据保护条例》（GDPR）。该法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外，只要处理的是欧盟境内居民的数据，均适用此法案，对数据实施长臂管辖。

在各国就数据主权进行博弈的大背景之下，《数据安全法》被列为在十三届全国人大常委会立法规划条件比较成熟、任期内拟提请审议的69件法律草案之一，在侧重于数据安全保障措施的同时，本草案也同样彰显了我国在数据主权上的态度。

今年7月《数据安全法（草案）》正式向公众征求意见，纵观全文，本草案存在不少具有前瞻性和建设性的内容。

首先，从第三条的定义上看，“本法所称数据，是指任何以电子或者非电子形式对信息的记录。”由此可知，草案关于“数据”的定义并没有局限于电子形式，而是涵盖了所有对信息进行记录的形式，这一点不仅弥补了非电子形式数据相关立法的缺位，也防止随着将来科技发展出现新形态的数据后法律无法将其纳入适用范围的窘境，体现了鲜明的前瞻性。

此外该条也明确了数据与信息之间辩证统一的关系，数据是信息的载体，数据之所以有价值是因为其上承载的信息无论是对个人还是对产业发展都有着至关重要的影响。但信息并非仅通过电子形式记载，因此在本草案中，明确将非电子形式记载的信息纳入本草案的保护范围，其一是肯定了非电子形式数据的价值，其二也是出于对法律概念的周延性的一个考量。

其次，从内容上看，本草案确立了关于数据产业的一系列重要制度和标准：数据安全标准体系（第十五条），数据安全检测评估认证服务（第十六条），数据交易管理制度（第十七条），数据分级分类保护（第十九条），数据安全风险评估及应急处置机制（第二十、二十一条），数据安全审查制度等。同时，本草案还就相关数据主体的责任进行了明确，主要涉及重要数据的处理者的安全保障义务，从事数据中介服务机构的审核义务以及为专门提供在线数据处理的经营者设置了前置许可。

可以发现，上述制度的确立，已不仅仅是局限于数据安全层面的制度设计，本法的立法目的，是以数据安全为抓手，实现对数据全周期、各环节的整体调整和管理，为建立我国的数据管理体系奠定制度基础。

除此之外，本草案另一值得关注的角度是我国数据主权的彰显。纵观草案可以发现其中有不少对美国、欧盟确立的数据长臂管辖进行回应的条款，例如第二条依据保护性原则明确规定了域外适用的效力，以及第二十四条中规定了对于外国歧视性行动的反制裁措施，在确立我国数据主权的同时也为我国企业出海提供了制度保障。同时，草案第三十三条特别明确了境外执法机构调取存储于我国境内的数据需要经过前置审批，确立了我国对于存储于境内的数据享有的数据主权基本态度。

但与美国云法案及欧盟GDPR篇幅较长、对制度作出细致规定的立法方法不同的是，本草案从整体上来看篇幅较短并包含了不少宣誓性条文，虽然确立了数据管理的相关制度，但由于在关键定义上未进行明确，且多为原则、框架性的规定，导致本草案在直接实施上将会存在一定的困难，即便不考虑在本草案就实施细则作出相关规定，但仍然有必要就部分内容进行完善，为后期实施细则的完善确立方向。具体分析如下：

第三条（第二款）

数据活动，是指数据的收集、存储、加工、使用、提供、交易、公开等行为。

分析：该条第二款中有关“数据活动”的定义是通过列举以及兜底方式规定的。然而，其列举的数据活动相比《民法典》第一千零三十五条以及《网络安全法》第七十六条所规定的条文均缺少了对“传输”的列举，而“传输”在现实中同样是十分常见及典型的数据活动。

此外，《民法典》第一千零三十七条规定了数据主体的删除权，同样域外各国如欧盟GDPR、美国《加州消费者隐私法案》（CCPA）、韩国《促进信息通信网络利用和信息保护法》、日本《个人信息保护法》等也均规定了相应权利。

虽然上述法律均主要是针对个人信息保护领域的，但对于数据活动而言，从开始的数据收集至最后对数据的删除或者销毁，这是一个完整的周期，所以在该条文中加入“删除、销毁”显然会使得该定义更具有条理性和完整性。

此外，该条并未对“重要数据”作出定义，但在草案后续条文如第十九条、第二十五条、第二十八条中均有涉及重要数据的相关规定，并且从草案本身的立法目的而言，对重要数据的定义是数据分级分类保护制度的基础，对于数据安全体系的构建也是极为关键的一部分。重要数据定义的缺失，显然将不利于相关部门及公众把握重要数据的范围，更无法为此设置配套的安全评估和应急处置制度。

事实上，我国之前关于“重要数据”曾在《数据安全管理办法（征求意见稿）》和《个人信息和重要数据安全评估办法（征求意见稿）》中有所定义，因此笔者建议，考虑到数据安全法体系中的法律术语相互协调统一，在本草案中可以参照上述文件对重要数据进行界定。

第十九条

国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。

分析：该条将“重要数据目录”的决定权赋予了各地区、各部门。这种做法极易造成重要数据的设定标准不统一，尤其是各地区数据产业的发展水平之间存在显著差距，很可能出现某项数据在北京被认定为重要数据，而到了其他省市则不被认定为重要数据的现象，那么此时两地对该项数据采取的安全保障措施等其他方面的处理也可能完全不相同，必然也会增加企业在这方面数据合规上的难度。

此外，赋予地方政府“重要数据目录”决定权也有可能造成地方数据垄断，可能会出现地方政府为满足地方数据产业发展的需求利用重要数据目录，限制其他省市对本地的数据进行使用，如此一来将会直接影响数据的自由流通及充分利用，无法充分发挥该部分数据的价值。

本草案除对各地区赋予了重要数据目录的决定权外，对于各个部门也同样赋予了重要数据目录的决定权，与上述各地区相同，各个部门均享有重要数据目录的决定权也会造成重复认定、认定标准不一、造成部门数据垄断等类似问题，同时决定权行使太过分散也不利于政府各部门间的统筹管理，例如金融数据部门可能更强调数据的自由流通及其经济价值的实现，而政务部门侧重点在于与国家安全相关的信息保护，前者促进流通，后者强调安全，二部门出于不同的目的，同时赋予此二部门重要数据的决定权将会造成重要数据的划定范围存在显著差异，甚至产生范围上的矛盾和冲突的结果，对于企业数据合规和个人信息保护都将造成负面影响。

因此，笔者认为应当借鉴美国对受控非密数据（Controlled Unclassified Information）的分类方式，由国家指定的国务院直属部门统筹负责，以便保证法律适用的统一性和权威性。当然，在国家正式确认之前，各地区、各部门可以提出本地区、本部门、本行业重要数据保护目录的建议，但国家对重要数据保护目录享有最终决定权，负责统筹具体的实施以及实施后的管理与更新。

第二十五条

开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。重要数据的处理者应当设立数据安全负责人和管理机构，落实数据安全保护责任。

分析：该条规定了重要数据处理者的安全保障义务，但在草案中并未对“数据处理者”作出明确定义。于2020年5月通过的《民法典》中同样明确了个人信息保护的安全保障义务的责任承担主体，为“信息控制者”。因此，在缺失“数据处理者”定义的情形下，使用《民法典》中已经确立的责任主体更有利于维护法律体系内部的协调与统一。

同时，基于实际情况考量，数据处理者及控制者二者存在角色上的区别，处理者强调的是对数据进行处理的行为，而控制者则强调的是数据受其控制的状态。由于对数据进行处理的方式的并非唯一，为实现不同的目的，针对同一数据，可能同时存在多个数据处理者，因此，如果将“数据处理者”确定为责任承担主体不利于归责。

此外，鉴于本条/本草案的核心是“数据安全”，强调的是存储数据应当采用适当的安全技术手段并非处理数据的过程，因此，在本条/本草案中将“数据控制者”作为安全保障义务的承担主体会显得更为恰当。

第二十七条

开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施；发生数据安全事件时，应当按照规定及时告知用户并向有关主管部门报告。

分析：该条规定了发生数据安全事件的告知义务，但告知的时限、内容以及主管部门却并未在本条中进行明确，使得本条在实操上会存在一定障碍。因此，考虑到告知义务是应急处理机制的重要组成部分，笔者建议，可以参照域外法，如欧盟GDPR第33、34条以及韩国《促进信息通信网络利用和信息保护法》第27-3条的规定，对通知时限及通知内容进行简要明确，同时除采取告知这种预警措施外，应当对数据安全事件依照数据的重要程度、事件影响范围等统一标准划分不同的等级，基于不同的等级辅以相适应的预警措施。

第三十一条

专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。

分析：该条确立了从事“专门提供在线数据处理服务的经营者”的前置审批要求，由于此条仅为框架性的制度规定，因此并未对上述主体进行明确定义。笔者建议，在制定具体审批办法时，可以参照美国CCPA在收入、数据收集数量等方面对“专门提供在线数据处理服务的经营者”设置准入门槛，确保经营者具备相应的数据处理能力。

第三十二条

公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

分析：该条是对我国执法机关进行数据调取的制度规定，在本条中仅仅赋予了公安机关、国家安全机关调取数据的权利，但是根据《刑法》《刑事诉讼法》等相关法律及规定，检察机关、司法机关、国家监察部门在针对犯罪活动时同样需要承担侦查职能以及主动查明事实的职责。因此，考虑到实际需求，应一并明确检察机关、司法机关及国家监察部门调取数据的权利。

第三十三条

境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。

分析：该条是对境外执法机关调取存储于我国境内数据的制度规定。本条可以体现出两层含义，首先从数据权利归属上来说，我国对于存储于我国境内的数据享有数据主权，因此，境外执法机关即便通过当地的合法途径获得了调取数据的权限（例如依据美国云法案申请到了调取境外数据的传票），仍应当按照我国的前置审批规定，履行相关审批手续。

此外，此条也明确境外机构调取数据的前置审批制度，但未就相关步骤及审批权限的分配进行细致规定。因此，从可操作性及法律位阶上进行考量，笔者建议，在本草案内明确承担审核责任的主管机关更为恰当。

结语

《数据安全法（草案）》的出台无疑在贯彻国家数据治理方面做了重大更新，填补了《网络安全法》《个人信息保护法》之间关于脱离互联网存在而又不属于个人信息范畴的工业数据管理规范的空缺，不仅确立了我国的数据主权、强调我国对数据安全的保护力度，同时也以数据安全为抓手为其后的数据产业管理奠定了一系列的制度基础，彰显了我国对数据产业发展的支持。

尽管当前草案中的部分内容还有值得商榷的地方，学界对于部分条款及内容的设置仍存在较大争议，但相信未来随着草案内容的不断完善以及配套实施细则的制定和落实，我国必定能更好地面对这一新兴领域的安全风险与挑战，实现对于数据产业的规范化管理，在保障数据安全的基础上充分实现数据的自由流通及使用，以数据产业带动经济发展。

往期精彩回顾

海外是如何保护游戏青少年的

韬安王军律师荣获首届“杰出娱乐法律师”荣誉

韬安顾问李燕蓉、孙磊荣任北京阳光知识产权调解中心首批调解员

出海日本江湖传说之一：关于Comp gacha的认知误区与详解（上）

北京韬安律师事务所招聘实习生

编辑：李小旭

转了吗赞了吗在看吗