保障数据安全促进数据开发利用
■陈兵
提要:《中华人民共和国数据安全法(草案)》从贯彻总体国家安全观的目的出发,以数据治理中最为重要的安全问题作为切入点,抓住主要矛盾,力求制定一部数据安全领域的基础性法律。从立法目的看,第一条明确该法为“保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益”而制定。
自2015年国务院发布《促进大数据发展行动纲要》,到党的十八届五中全会提出实施国家大数据战略,与数据相关的系列政策措施不断颁行,直至2020年《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》出台,明确将数据列为五大生产要素之一。在五年左右的时间里,数据作为新型要素在推动我国数字经济发展,乃至全国经济的整体布局中起到至关重要的作用,同时,国外局势愈加复杂,数据资源已成为全球各国家及地区创新发展战略的“必争之地”,数据主权和数据安全问题凸显。
2020年,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称草案)进行了审议。同时在网上公布了草案全文,面向社会公众征求意见。草案从贯彻总体国家安全观的目的出发,以数据治理中最为重要的安全问题作为切入点,抓住主要矛盾,力求制定一部数据安全领域的基础性法律。从立法目的看,第一条明确该法为“保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益”而制定。
首先,保护双重法益,一方面以保障数据安全作为立法基点,无安全则不足以谈发展,另一方面则落脚在开发利用上,建构科学完善的数据安全保护体系,最终服务于长远的数据发展需求,这与我国建设网络强国战略目标高度契合。
其次,调整对象是三元主体,不仅包括国家数据安全,更强调公民、组织的合法权益,彰显出多元共治的法治理念,体现对数据领域治理体系和治理能力现代化建设的积极响应。
再次,立法重点主要围绕三个方面展开,除安全与发展外,特别强调数据治理中的国家主权内容,这可谓是该法立法的一大亮点,为科学有效应对国际交往中数据主权之争指明方向。
当然,草案的制定在积极回应国家对数据治理中各类重点与难点问题的同时,仍然存在有待明晰与克服的弱点。
一重点促进数据安全与数据发展的平衡共进
草案秉持安全与发展并重的立法目的,但同时也引发了“安全”与“发展”要义如何在文本设计上予以平衡互助的问题。总体上看,除第一章总则、第六章法律责任与第七章附则外,其余四章均在命名时紧扣数据安全保护之立法要义,但是在针对“发展”层面具体规范的设定上,无论是条文数量还是可操作性均较“安全”的要求存在差距。
一方面,草案虽然以“安全”作为侧重点,但是从内容来看,其在“发展”层面上也作了相当数量的规定,并以第二章专章规定“发展”问题。与“发展”相关的立法意图事实上贯穿立法始终,数据收集、利用及处理等行为和过程均是“发展”主题的体现。另一方面,对于“发展”问题,草案在具体规范的设定上仍不够令人满意。与“发展”相关条款普遍存在宣示性较强的特征。譬如,第十二条体现推动数据安全保护与谋求开发利用并重的立法理念,第十三条进一步强调推动数据产业发展的政策导向,建议对两项条文进行精简合并,突出核心意旨即可。
具体而言,由于数据相关问题技术性较强,该领域的立法颇具挑战性。虽然之前已出台网络安全法,具体到对非实体化的数据,其规制规则的设定,草案中某些基础概念的厘定还需更加精准,以提高可操作性。以该草案第三条为例,规定了数据、数据活动及数据安全等基本概念,第一款:“本法所称数据,是指任何以电子或者非电子形式对信息的记录”,对数据的概念采取了广义表述,将线下数据纳入其中,然而结合草案其他条文可知,该法主要调整的是线上活动所产生的各类数据,该款的规定显然与立法本意有所出入,建议进一步明确或进行相应限缩。第二款中“加工”“使用”及“交易”等行为存在一定的交叉,各行为间边界不清晰,应予以厘清。第三款对“数据安全”的规定概括性较强,在实际应用时缺乏明确标准,建议以设置保护的最低标准等方式明晰界限。
诸如此类的问题在草案中还有,尽管针对数据问题的立法是全新领域,但是就这些基础性问题仍应反复斟酌,以确保整部法律的施行效果,促进数据安全与数据发展的平衡共进。为此,在接下来的立法中可以考虑两种思路。一是将第二章同总则合并,譬如将当前第十二条中“国家坚持维护数据安全保护和促进开发利用并重”同第十三条“国家实施大数据战略,推进数据基础设施建设……促进数字经济发展”进行精简并置于总则第七条之前、第八条之后,以承接数据发展条文中“国家”的具体语义及部门权责并强调数据发展的安全底线;二是将现有第二章“数据安全与发展”进行扩充细化,譬如对第十七条调整为“国家建立健全总体数据交易管理制度,规范数据交易行为,培育数据交易市场。省级以上人民政府与国务院网信主管部门协调区域内行业标准制定、科研成果转化、专业人才培养等服务性活动。地方人民政府与同级网信部门制定具体行业实施细则并负责监督管理。”
二建构数据主权维护与跨境流动的基本实施路径
近年来全球数字经济的迅猛发展,被誉为新世纪“石油”的数据成为各国发展战略中的重点。由于数据跨境流动不断加强,各国之间涉及数据的冲突时有发生,数据主权问题日益凸显。数据主权的概念可溯源至国际法上的国家主权。互联网的出现打破了物理边界的限制,网络主权的概念由此诞生。随着数字数据技术的创新发展与广泛应用,数据跨境流动的不断加强,由此而致的冲突也不断显现,网络主权论又衍生出数据主权这一概念。
保持数据主权维护与数据跨境流动的平衡并非易事,这在欧盟与美国的数据流动中体现的尤为明显。欧盟长期以来致力于积极推进本地区内部的数据流通,同时囿于互联网巨头企业缺乏的问题,欧盟更加渴望数据流通到本地区以充盈其数据资源。然而,欧盟格外重视个人数据及隐私保护,被誉为最严格数据保护规则的《通用数据保护条例》的出台也侧面印证了这一点。严格的数据保护加剧了美欧之间的数据主权和跨境流动的矛盾,美欧于2000年签订安全港协议,尝试建立数据流动的管道,2013年的“棱镜门”事件成为加剧数据主权冲突的导火索,欧盟法院在2015年判决安全港协议无效。转年,美欧再次签订“隐私盾”协议,重设数据流动通道,而就在2020年7月,欧盟法院再次判定“隐私盾”协议无效。欧盟与美国均存在数据跨境流动的需求,但在数据主权利益上却有着不可调和的矛盾,如何实现流动与安全的兼顾和平衡成为亟待解决的问题。
在数据跨境流动的制度构建上,我国起步较晚,但是数字数据技术已成为我国社会经济发展的重要组成部分,可以说我国是全球范围内的数据大国,也正因为我国技术的不断进步,加之国际局势复杂多变,不断出现其他国家封禁我国应用软件的事件,对此应予以足够重视,尽快在国际上形成我国数据跨境流动的话语体系,以维护我国数据主权。
落脚到草案上,总则第二条明确强调我国数据安全执法将遵从属地原则;在第三章“数据安全制度”中,第二十三条将“数据”定义为出口管制项;第二十四条则针对“数据”创设了“贸易反制措施”;在第四章“数据安全保护义务”中,第三十三条则规定了“境外数据调取协助”程序。这些条款体现出我国在数据跨境流动成为全球经济焦点背景下对于数据主权安全和数据跨境流动平衡问题的重视与回应,但是条款的可适用性仍然有待增强。譬如,草案将“数据”作为等同于实物标的的规制对象做出贸易管制、执法协助等规定,但数据自身具有不同于实物的虚拟属性,故既有国际经济法和国际刑法的传统法律规制体系难以完全适用于“数据”。针对数据主权需要进一步明确,是以储存地为标准抑或是持有人国籍为标准,这涉及到后续对数据安全的监管正当性问题;又如,数据跨境流动过程中安全问题的具体监管标准和具体操作流程需要加紧明确和建立,同时还要注重与国际标准接轨。
针对这类问题,应在现有涉外数据安保和执法中新增部分条款,旨在解决建立健全数据执法体系、规范执法和司法程序、兼顾主要数据发达国家和地区的法律惯例和经验等问题,在具体案件中做到“公正、公平、公开”,发布若干数据执法典型案件,尽快建立我国在数据安全领域的制度优势和法治公信。
三建立数据多元共治系统需要注意的问题
当前,建立和完善多元共治的治理体系是社会经济发展的应有之义,尤其是在数据安全领域,更加需要突显多元共治的理念,鼓励国家、社会、个人等层面的主体共同参与到数据治理的活动中来。然而,数据自身流动性较强的特性给数据安全立法带来了巨大挑战。在草案中主要体现为数据主体规范不全、数据权属分类不明、数据监管职权不清三个主要方面。
第一,草案中有关数据主体的规范不甚全面。根据立法目的,数据主体主要分为个人、组织和国家,其中,个人数据的安全问题应当主要由正在制订当中的个人信息保护法来以规范,但是,个人信息保护是否能涵盖个人数据安全保障的要求?个人信息与个人数据的边界该如何厘定?这些需要待个人信息保护法公布之后再进行具体比对,如若达不到个人数据保护的客观要求,则仍需在未来制订的数据安全法中予以补充。
就国家数据层面,草案第五章专章规定了政务数据安全与开放,但是,草案缺乏对组织数据,即社会数据安全的详细规定,从本次疫情防控的经验来审视,社会数据尤其是企业数据在各项治理活动中起到至关重要的作用。然而就当前立法内容来看,尚缺乏针对社会数据的专项规定,在数据安全监管体系方面存在立法疏漏,建议在数据安全法制订中相应增加对社会数据的规范,并与政务数据的有关规定做好衔接。
第二,数据权属问题仍无具体规定,数据分级分类保护有待细化。首先,草案未对数据权属做明确规定。当然,数据权属问题本就是学界和实务界存在较大争议、尚无明确结论的问题。对数据流通和安全保障制度的确立而言,明确数据权属是一个无法回避的前提,在一部基础性法律中应对数据权属问题进行积极正面的回应。在《深圳经济特区数据条例(征求意见稿)》中,第四条直接使用了“数据权”这一概念,虽然这一概念引发巨大争议却显示出直面问题的姿态,为后续数据权属问题的解决预留空间。其次,草案对数据的分类分级保护较为笼统。草案第十九条第一款明确“对数据实行分级分类保护”,第二款进一步指出“确定本地区、本部门、本行业重要数据保护目录”,实际上只强调了对“重要数据”的保护,并没有规定详细的数据分级分类保护制度。当前针对数据有多种分类标准,先应根据数据安全保护的需要设定明确的标准,既要达到保障安全的目的,又不能过分限制数据流通。之后,才是对一般数据、敏感数据等不同类型的数据,具体设定不同级别的保护措施。
第三,数据安全监管体系存在职权不明的隐忧。草案第六条规定“中央国家安全领导机构负责数据安全工作的决策和统筹协调”,第七条指明各行业、领域主管部门分别承担监管职责,同时指出公安机关、国家安全机关及国家网信部门等也要履行相应监管工作。然而,数据安全的监管工作当中必然存在着部门之间的交叉,多个部门的分工和协作还需在制订数据安全法时加以明晰。另外,草案第二十五条第二款还要求对重要数据设立“数据安全负责人和管理机构”,如此更是增加了监管体系的复杂程度,还可能提升监管成本。因此,建议进一步厘清各监管部门及负责机构之间的职责,建立高效的数据安全监管体系。
除以上提及的诸点,还需注重数据安全法与其他法律法规,譬如国家安全法、网络安全法等同一位阶的法律间的衔接,对其具体内容进行梳理,避免内容重叠,减少不必要的条款,形成一个相对完整的有机的数据安全规范体系,使三者效力范围更加明确。另外,对于已有相关国家标准中的专业性标准,譬如《信息安全技术个人信息安全规范》(2020年版)等,也需要适当吸纳,以增强立法的科学性、兼容性及实操性。
(作者系南开大学法学院教授、博导,竞争法律与政策研究中心执行主任)
【本文是教育部人文社会科学重点基地重大项目“全球数据竞争中人权基准的考量与促进研究”(19JJD820009)的阶段性成果】