引用本文:黄道丽,原浩,胡文华.《数据安全法(草案)》的立法背景、立法定位与制度设计[J].信息安全与通信保密,2020(8):9-15.

摘 要

《数据安全法(草案)》出台于我国国家通信信息技术发展应用从量变到质变的特定时期,承担了“以安全保发展、以发展促安全”的历史使命。作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成部分,《数据安全法》针对数据这一非传统领域的国家安全风险与挑战,完善国家数据安全协同治理体系,明确预防、控制和消除数据安全风险的制度、措施,确立国家行为的正当性,提升国家整体数据安全保障能力。鉴于数据安全问题的复杂面向,厘清立法定位,明确需要重点解决的问题,处理好与现行法及正在审议中的立法等衔接协调,是保障《数据安全法》科学立法的必由之路。

关键词:数据安全;基础性法律;立法定位;制度设计

内容目录:

0 引 言

1 立法背景:没有数据安全就没有国家安全

2 立法定位:数据安全领域的基础性法律

3 制度设计:数据安全治理的四梁八柱

4 总 结

00 引 言

作为数字化转型的核心要素和关键因素, 数据对经济发展的重要性不言而喻。伴生而来的数据安全问题亦愈发凸显,给个体权益保护、产业健康发展甚至国家安全带来诸多风险。网络攻击、侵入等外部威胁与安全漏洞、缺陷、人的因素等内部脆弱性叠加共振,任何组织百分之百数据安全的目标都是不可实现的。2019年底以来,席卷全球的新冠疫情和经济危机推动国际形势乃至国家秩序重建变化趋势加剧。

与公共卫生保持社交距离要求截然相反的是社会对高度互联数字世界的强烈依赖,网络世界和物理世界加速融合,无处不在的安全需求与泛滥的数据安全风险则形成鲜明对比。疫情后世界和全球化未来不稳定性与不确定性前所未有的凸显。我国正加快供给侧结构性改革,加快培育数据要素市场,稳定传统产业的同时科技创新驱动“新基建”发展。新时代、新形势、新发展和新业态背景下,数据安全问题纳入法治化轨道极具必要性和迫切性。

01 立法背景:没有数据安全就没有国家安全

数据是国家基础性战略资源,没有数据安全就没有国家安全。当前,我国数据安全顶层制度设计加速推进。2015年《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。作为网络安全综合性立法,2017年《网络安全法》将数据安全纳入网络安全范畴,基于网络安全保障目的为个人信息保护与数据安全的部分重要、核心制度奠定了基础。2018 年《数据安全法》《个人信息保护法》纳入人大常委会立法规划。2019年国家互联网信息办公室相继发布《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等多部《网络安全法》体系的下位配套文件,大力推进国家层面的数据治理规则构建和具体制度设计。2020年《民法典》明确个人信息、数据、网络虚拟财产等属于合法权益。执法实践层面,围绕个人信息非法采集和滥用、数据三性破坏等活动的数据安全专项治理行动空前有力。地方层面围绕数据跨境、数据安全保障、数据开放、数据权等问题积极先试先行,典型如《天津市数据安全管理办法(暂行)》《贵州省大数据安全保障条例》《深圳经济特区数据条例(征求意见稿)》《中国(上海)自由贸易试验区临港新片区总体方案的通知》《海南自由贸易港建设总体方案》等。2020年7月3日,历时3年制定时间的《数据安全法(草案)》正式向社会公开征求意见,备受关注。

新时代、新形势、新发展和新业态背景下,国家层面的数据安全立法推进面临着诸多难题。

第一,数据安全问题本身复杂性凸显。数据安全问题横跨数据与安全两大领域,囊括数据静态安全与动态利用安全两大面向,涉及个人、企业、国家多方法益,同时还须考量区块链、人工智能、5G等新技术新应用对传统法律规则的冲击。

第二,我国先前经验相对不足。相较于欧美等国家或地区,我国的数据相关立法起步较晚,基于法律传统、文化差异、产业发展水平等因素的不同,国际经验借鉴也需进行根植于国情的本土化改造。近年来,国际社会围绕数据资源的角逐与博弈日趋激烈,以欧盟《通用数据保护条例》(GDPR)、美国《加利福尼亚州消费者隐私保护法》(CCPA)等国际数据安全立法在互相融合的同时,诸多方面亦有明显分立。

第三,数据安全立法演变为全球范围内的利益协调与主权斗争工具。以美国《合法使用境外数据明确法》(Cloud 法)以及相关国家的效仿或配合、欧盟《通用数据保护条例》(GDPR)为代表,立法趋势表现为争夺数据话语权,积极推行符合本国利益诉求的国际社会数据规则体系,扩张本国法律的适用范围、提升执法行为的域外效力。随着近年来中国综合国力的提升,数据安全成为个别国家针对中国专门立法的重要关切,部分数据相关的立法条款更是成为个别国家抑制我国新技术新应用发展的重要借口,以此营造不利于我国的舆论氛围,挤压我国产业的国际发展空间。

第四,数据安全治理“中国方案”亟待突破。作为当前全球第一数据资源大国和全球第二大数字经济体,中国人工智能、5G等新技术新应用场景越来越丰富,在某些领域和问题的规范与引导上已无成熟的国际经验可循。数据安全治理“中国方案”一直在探索,亟待突破和确立,为中国企业走出去、推进全球数字化进程、增进全球人民数字福祉贡献大国力量。

第五,数据权利保护的基础性问题尚未解决。现下正值我国国家通信信息技术发展应用从量变到质变的特定时期,国家层面的立法承担了“以安全保发展、以发展促安全”的数字经济支撑使命。在中央将数据定位为生产要素的背景下可以预见,未来数据的流通与共享将更加常态化,而现阶段以数据法律权属、数据法律性质为代表的诸多基础性问题还没有解决,部分已经确立的规则也未能在安全和产业发展之间找到一个很好的平衡点。

第六,立法衔接与协调问题亟待考量。如何与国家安全领域的《国家安全法》《网络安全法》《密码法》《出口管制法》以及制定中的《个人信息保护法》等进行衔接与协调是国家层面立法体系安排中需要考虑的重要问题。

从研究视角来看,数据领域基础性法律问题的解决还需要不断探索,加强数据权利的本质、内涵、外延、客体、分类的研究,为数据权利保护提供底层支撑,在此基础上,完备的国家立法应覆盖数据主权维护、数据权利确认、生命周期保护、供应链条监管、跨境传输审查、境外要素(资本、技术、产品、人员、服务)审查、数据主体监管、数据滥用禁制等数据权利法律制度。

02 立法定位:数据安全领域的基础性法律

科学的立法定位是搭建立法框架与设计立法制度的前提条件。立法定位对于法的结构确定起着引导作用,为法的具体制度设计提供法理上的判断依据。与社会各界对《数据安全法》明确解决问题措施的预期有所差异,草案立法说明将《数据安全法》定位为“数据安全领域的基础性法律”,这一自身立法定位决定了其以下特点:

第一,该法是安全保障法。该法以公权介入数据安全保护,提供认识数据安全问题、处理数据安全威胁和风险的法律路线。具体来说,以其对数据、数据活动、数据安全的界定为出发点,厘清不同面向的数据安全风险,构建数据安全保护管理全面、系统的制度框架,以战略、制度、措施等来构建国家预防、控制和消除数据安全威胁和风险的能力,确立国家行为的正当性,提升国家整体数据安全保障能力。

第二,该法是基础性法律。基础性立法的功能更多注重的不是解决问题,而是为问题的解决提供具体指导思路,问题的解决要依靠相配套的法律法规。这也决定了其法律表述上的原则性和大量宣示性条款。但与此同时,预设好相关接口、整体立法语言的表述粒度均衡等也应特别注意。

第三,该法是数据安全管理的法律。数据安全作为网络安全的重要组成部分,诸多安全制度可被网络安全制度所涵盖。在数据安全管理上,与《网络安全法》充分协调,避免制度设计交叉与重复带来的立法资源浪费、监管重复与真空、产业负担是《数据安全法》制定过程中需重点关注的问题。

就安全保障法来说,作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成部分,草案第1条明确立法宗旨之一为“维护国家主权、安全和发展利益”,这与《国家安全法》第25条国家网络与信息安全保障“主权、安全和发展利益”的宗旨一致。草案虽将数据界定为“电子或者非电子形式对信息的记录”,对数据这一概念做了最大化解释。

事实上,随着信息化、网络化、数字化的发展,无论是电子数据体量、影响的增长还是“传统”非电子数据向电子数据的转化都呈不可逆趋势, 能带来“数据这一非传统领域的国家安全风险与挑战”的更多是电子数据。草案将数据安全定义为“通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”,这与《国家安全法》对国家安全、《网络安全法》对网络安全的概念界定相似,都落脚到保障持续安全状态的能力,安全状态既包括了数据的静态安全保障(防止因数据泄露、篡改、灭失所导致的保密性、完整性和可用性破坏),也包括了数据的动态利用安全保障(包括不限于加工、使用、提供、交易等环节的依法有序自由流动)。

草案为数不多的创设性法律责任条款第42、43和44条中,第42条既是对违反静态安全保护义务的行政处罚,第43条和44条是针对非法交易、非法处理这两大动态利用不当的行政处罚。

03 制度设计:数据安全治理的四梁八柱

在我国数据产业正处于高速发展的当下,数据安全风险、安全保障能力均在不断发展、演变。尚不稳定的国际政治、经济等形势也成为影响数据安全制度设计的重要变量。在缺乏成熟经验与范例,又异常敏感的情况下,《数据安全法》应厘清自身定位,明确自身需要重点解决的问题,重在构建起数据安全治理的四梁八柱,明确预防、控制和消除数据安全风险的制度、措施,确立国家行为的正当性,这里仅对草案的一些制度规定简单予以评析。

数据安全监督管理体制。首先,草案第6条和第7条出现中央国家安全领导机构与国家网信部门两处“统筹协调”的职责分工。虽然第7条将国家网信部门的统筹职责划定在“网络数据”范畴,但随着我国信息化、数字化进程的快速推进,如此制度设计,未来中央国家安全领导机构与国家网信部门在数据安全领域的统筹协调职责将出现更多的重合,既不科学也不严谨,会造成理解和实施上的困难。

其次,各地区各部门承担数据安全监管工作。数据安全监管工作具有较高的专业技术要求,行业主管部门对本行业的数据安全工作的指导和监督,受限于其工作重点、关注领域、专业能力、信息来源,难以代替数据安全职能部门的专业性监管。这一难题在动用国家之力对数据实行分级保护和重要数据目录确定的责任落实中会表现得更为明显。持续了三年有余的《网络安全法》关键信息基础设施认定工作历程可作为参考。再次,第7条第1款的主体责任规定明显不适合合并于职责分工这一条中,建议另行放置。

分级分类和重要数据重点保护制度。草案第19条规定了数据分级分类和重点数据保护制度。首先,鉴于数据同样是影响网络安全等级保护制度中定级、关键信息基础设施认定的重要因素,此处的数据分级与等保、关保是否采用同样的分级标准、如何协调需要进一步明确。近年来,《工业数据分类分级指南(试行)》《证券期货业数据分类分级指引》《个人金融信息保护技术规范》等各部委发布的指引性文件及行业标准,对特定行业的数据分类分级具体标准进行了非常有帮助的尝试。

其次,“重要数据保护制度”是本法的重要制度之一。重要数据也是《网络安全法》的重要概念,需注意保持不同法律文本同一概念内涵和外延的一致性。重要数据概念、认定机制、保护方式、法律责任应当在本法中予以确立。针对维护国家核心利益和国家安全需要,应明确对基因、生物、医疗、地理等类别数据实施重点保护。鉴于“重要数据”一般具有攸关国家安全的高度敏感性,立法中应限制重要数据认定权授予、设置严格认定程序、强化认定结果监督。若“重要数据”将其交由各地自行决定,不仅可能不当扩大或缩小重要数据范围,还可能导致数据跨地区流动和处理引发法律规避。建议由中央国家机关划定重要数据的类型,各地区在上述划定范围内有权确定本地区重要数据目录,在不同地区出现冲突的情况下,可上报中央国家机关决定。

最后,鉴于重要数据处理者需要履行更多的义务,政府部门认定是否属于重要数据之后应当给予相关主体提出异议的权利和渠道。

数据跨境安全流动规则。数据跨境作为影响数据安全的重要因素,应当属于《数据安全法》的重要规范对象。草案总则第10条明确提出要“促进数据跨境安全、自由流动”,但正文目前并未明确具体的规则。虽然第23条的数据出口管制、第33条的境外执法机构的跨境数据调取涉及数据出境问题,但无法涵盖一般商业场景下的数据跨境流动问题。数据跨境流动规则的设计需充分研判以下因素,实现跨境的破局和流动性价值:

(1)各国数据跨境的的基本政策框架,找寻不同框架下的政策、法律差异,以及形成这些差异的缘由;

(2)不同的跨境政策,其后也有不同的技术能力、算法认同的支撑,应从历史沿革和技术演化的长期过程充分考究逻辑、统计、生物等不同学科对数据技术和算法的影响,以及当前和未来的发展趋势;

(3)尝试局部、先行的区域或双边的数据跨境流动框架,在数据分级分类的前提下,可以进行某些行业、领域数据的跨境流动,避免数据流动性停滞导致的单一性,以及创新不足问题。

数据安全审查制度。草案第22条确立了数据安全审查制度,但未明确该制度的实施主体、实施机制、审查内容等。当前我国已通过《国家安全法》《网络安全法》《外商投资法》等法律法规,建立起了网络安全审查、外商投资审查等在内的国家安全审查体系。关于网络安全审查,从2020年颁布的《网络安全审查办法》第9条的规定可看出,产品和服务使用后带来的重要数据被窃取、泄露、毁损的风险属于网络安全审查的内容之一。在此背景下,网络安全审查、外商投资审查与数据审查存在一定的交叉。如何处理数据安全审查与前述审查制度的关系,包括审查机制、审查内容、审查标准等需要重点考量。

数据出口管制制度。草案第23条建立了数据出口管制制度与《出口管制法》及数据出境安全评估制度之间的配合及衔接问题。当前《出口管制法》尚在制定中,从7月3日全国人大网公布的二次审议稿来看,目前的版本在第 32 条对信息出口管制做出了仅原则性的规定。

此外,《网络安全法》《数据安全管理办法(征求意见稿)》及《个人信息出境安全评估办法(征求意见稿)》规定了重要数据及个人信息的数据出境安全评估要求。本条建立的数据出口管制制度与《出口管制法》及数据出境安全评估制度之间的配合及衔接需要通盘考虑。

境外执法机构数据调取的阻断机制。草案第33条规定了境外执法机构获取我国境内数据的报告和批准机制。本条是对美国CLOUD法为代表的执法数据跨境获取体系威胁国家主权的阻断。2018年10月我国通过的《国际刑事司法协助法》中第4条第3款规定被视为对 CLOUD 法的直接回应。但鉴于该条款规定抽象,也未设立相应的罚则,可操作性不足。草案第 33 条应为阻断提供充足而有力的规定。

首先,建议将“境外执法机构”扩展至“境外机构”。从现实情况来看,境外要求提取数据的除执法机关外还有其他组织,对其提供数据同样会对我国的国家安全带来隐患。

其次,建议增加法律责任。本条缺乏对应的法律责任,一方面难以切实落实阻断,另一方面法律责任的落空会让企业依据CLOUD法做“礼让分析”中缺少“不一致的法律要求”实质性依据。

此外,草案第20 条、第21条所确立的国家数据安全风险评估、报告、信息共享与监测预警机制、数据安全应急处置机制也与《网络安全法》监测预警与应急处置一章的规定高度重合,需做好配合与衔接。

04 总 结

在技术日新月异的今天,如何有效地利用法治资源,在产业技术政策中确立以技术创新为核心的法治目标,是企业获得生命力和国家谋求长足发展的基础性保障。中国特色社会主义法治体系加速构建,《数据安全法》将与《国家安全法》《网络安全法》《密码法》、制定中的《个人信息保护法》和二次审议稿阶段的《出口管制法》等共同构建起一个横向内部体系更加协调、外部辐射范畴更为广泛,纵向制度、原则、规则更为立体化的国家安全保障体系。

鉴于数据安全问题的复杂面向,草案存在各种问题和争议,如数据主权维护机制、与其他基础性立法的有效衔接、数据要素资源利用与数据安全协同治理的平衡考量、引进来走出去的法治营商环境构建、制度设计的合理性与可操作性、条款完整性和结构平衡性的立法技术问题等,这一方面须得各界人士脚踏实地地研究、调研和论证,为草案多提建设性意见;一方面有待有关部门加速《数据安全法》及其下位配套制度的设计、规划、协调工作,推动数据安全治理“中国方案”不断完善;另一方面基于国家统一层面的立法实施执法检查、立法影响评估等工作也是国家治理现代化与中国特色社会主义安全法治体系构建的必然要求。

作者简介:

黄道丽(1980—), 女,博士, 公安部第三研究所副研究员,主要研究方向为网络与信息安全法学;

原 浩(1979—),男,硕士,西交苏州信息安全法学所副所长,江苏竹辉律师事务所合伙人,主要研究方向为网络与信息安全法学;

胡文华(1992—), 女,硕士,公安部第三研究所研究实习员,主要研究方向为网络与信息安全法学。

选自《信息安全与通信保密》2020年第八期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。