国家行政学院｜如何理解《数据安全法》，有哪些需要完善之处

《中华人民共和国数据安全法》（草案）（下称《数据安全法》）6月28日在第十三届全国人大常委会第二十次会议审议，标志着中国数据安全立法正式亮相，相关法律制度完善进一步提速，也标志着中国最高立法机关再一次对第四次产业革命、信息社会的法律需求作出回应，意在对“迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响”的数据，以国家法律的形式予以规范，将数据安全和数据利用正式纳入国家治理体系。《数据安全法》（草案）是一部充分体现了中国数据全局状态和治理特点的法律，也是对2020年4月《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》首次将数据纳入新型生产要素的积极回应。

数据安全法的独特价值与深远影响

第一，《数据安全法》独特的立法定位，与其他法律迥然不同。此次《数据安全法》将数据和个人信息区分开来，不再沿用此前征求意见时的立法思路。《数据安全法》与《个人信息保护法》两者二分天下，《个人信息保护法》也在立法进程中，与《民法典》对“个人信息保护”立法思路一脉相承，与已有的《网路安全法》也有立场和体系的不同安排。这一立法思路更加科学清楚地划分了不同法律的规范对象，相比较而言，《数据安全法》更加强调总体国家安全观，对国家利益、公共利益和个人、组织合法权益给予全面保护，而《个人信息保护法》侧重于对个人信息、隐私等涉及公民自身安全的保护。

第二，《数据安全法》与《网络安全法》的保护内容及范围也各有差异。前者更加强调以数据为核心的对信息社会、数据时代的基础性支持作用，与后者偏重于互联网全网体系和设施安全形成鲜明对比；前者将“任何以电子或者非电子形式对信息的记录”定义为数据，并不局限于互联网和电子形式，比后者规范的范围似乎更为广泛。但是，上述三部法律又有共同之处，都是信息社会各社会主体行使权力或者权利、履行义务的最重要法律规范。

第三，《数据安全法》名为“安全法”，实质上是“促进法”。“安全法”是《数据安全法》之名称，但其本质上是以安全为基础和起点，根本目标或者终极目标是为数据作为生产要素能够顺畅加速流通，提供底线规范。无论是《数据安全法》第一条对立法目的的阐明，还是第二章以“数据安全与发展”说明不仅仅是为了保护数据安全，更重要的是为了保护数据安全与平衡发展。《数据安全法》通篇内容和具体条文上大量出现鼓励性表达，都没有将追求“绝对安全”、“完全无风险”、“封闭社会”和“保密文化”作为目标，而更多体现了以安全为基础，为社会发展、产业勃兴提供坚实保障的思想。从其立法目标和效果上来讲，实为“数据时代促进法”。正如第十二条所言，“国家坚持维护数据安全和促进数据开发利用并重，以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”

第四，《数据安全法》是承上启下、承前启后最重要的数据时代立法。在《数据安全法》之前，已经有不少行政法规、部门规章和地方性法规、地方政府规章等对涉及到数据安全问题有相应规定，数据企业、社会主体和各类机构也探索出很多维护数据安全的经验做法，有些做法作为探索性做法，还缺乏法律依据，此次《数据安全法》在《宪法》《民法典》《行政处罚法》等基本法律的基础上，对一系列重要制度作出规定，可谓“承上启下”，为后续各类立法提供了法律依据。而且，还创设出一些新的制度安排，有待进一步细化，可谓“承前启后”。

数据安全法有待细化和完善之处

《数据安全法》所规定的范围不仅仅涉及安全问题，还对诸多与数据的收集、存储、加工、使用、提供、交易、公开等行为，即“数据活动”作出规定，是规范数据活动的基本大法，细致梳理全文，还有如下问题需要进一步予以明确，或者在相关下位法中做出细化规定。

第一，重要数据和数据分级分类管理制度有待健全。《数据保护法》全文有三个条款对“重要数据”做出规定，延续中国对数据分级分类管理的思路，如何为“重要数据”确定边界。2017年5月27日全国信息安全标准化技术委员会曾公布的《信息安全技术数据出境安全评估指南》（征求意见稿）中认为，“重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）”。

《数据安全法》对“重要数据”的界定采用两个方法，一是在第十九条第一款，用概念表述来明晰确立数据分级分类管理，即“国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度”，仅从这一表述，还不足以认定哪一类或者哪些数据就是“重要数据”，重要到何种程度，必须结合具体分级分类认定。

二是在第十九条二款以法律明确授权给多主体来参与到认定中来，贯穿了所谓“从上至下”又“从下至上”的多元治理，多主体包括各地区、各部门要确定本地区、本部门、本行业重要数据保护目录。接下来的问题是，保护目录本身的制定程序和目录公布，也需要规范，必要情况下，可以考虑设置备案制度，对重要数据保护目录规定要向省级部门备案，以防止在各地或者各行业制定目录时，发生扩张权力或者放任权力的现象。

三是该法第二十八条还规定了风险评估报告制度。重要数据处理者要定期报送风险评估报告，如何将这一行为义务转化为真正对风险有所控制的制度，还需要其他制度支撑。倒推回来看，第二十五条规定，要求重要数据的处理者设立数据安全负责人和管理机构，来落实数据安全保护责任，应当是支撑制度之一，实践中还需要探索更为多元有效的措施和办法。

第二，政务数据开放制度措施有待细化。《数据安全法》将政务数据安全和数据开放在中央立法层面第一次做出清晰规定是本法的一大亮点，同样贯穿了“以安全保障发展、以安全促进流动”的思路。比如第三十八条规定，“国家机关应当遵循公正、公平、便民的原则, 按照规定及时、准确地公开政务数据。依法不予公开的除外”，就不是数据安全问题，而是数据开放问题。政务数据开放就全国范围而言，一直是雷声大、雨点小，与数据安全问题直接相关，受制于数据安全问责压力，诸多政府及其部门对数据开放缺乏动力。贵州、浙江、重庆、上海等多地已经立法并对政务数据开放做出规定，但是国家尚未制定法律统一部署。此政务数据共享开放中的安全问题通过具体的法律义务设定，来免除疑虑、凝聚共识，为后续制定法规、规章提供法律依据，此次在《数据安全法》中做出制度安排，既体现立法者的智慧，更凸显执政者的担当。本次草案还可以再多一些规定，比如第三十九条所规定的，“构建统一规范、互联互通、安全可控的政务数据开放平台”在其他相关文件中已有表述，本次上升为法律，还可以进一步规定，比如授权有条件省、自治区、直辖市，建立省内政务数据共享平台，进一步打破数据壁垒，解决条块分割矛盾在政务数据应用中的问题。

第三，数据交易管理制度有待进一步规范。数据活动中，数据交易是极为关键的环节，对建立数字社会、打造数字城市、全面进入数字时代至关重要，但是由于学理上和法律上无法清晰界定数据权利边界，数据交易也尚未能如愿展开，制度上的障碍已经严重影响到现实发展。《数据安全法》在这一问题上也没有囿于“安全”的狭窄范围，延续了进一步促进数据流动的思路，大胆对数字交易管理作出了一些简明扼要又切中要害的规定，比如第十七条明确提出国家要健全数据交易管理制度，规范数据交易行为，培育数据交易市场。第三十条规定了从事数据交易中介服务的机构的法定义务，第四十三条则规定了违反法定义务要承担的法律责任，从而为数据交易中介服务机构的健康有序成长提供了坚实的法律保障。下一步可以以行政法规的形式对数据交易制度作出更为全面规定，并在自由贸易区、自由贸易港等试验区授权更大范围、更具有前瞻性的数据交易做法。

第四，数据跨境执法规定有待落实。《数据保护法》第二条所规定的“中华人民共和国境外的组织、个人开展数据活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任”可以看作是近几年对美国和欧盟相关法律将其本国执法延伸向外的回应，中国数据安全执法也将数据主权的问题第一次明确予以规定，意在创设与美国和欧盟不同的执法管辖，并且在主张数据主权和兼顾执法效果之间求得平衡。本条规定将通过具体执法案例发挥效力，下一步最为重要和关键的是建立健全数据执法体制机制，规范执法程序和流程，贯彻行政法律制度中的基本原则和精神，在具体案件执法中做到“公正、公平、公开”，以若干数据执法典型案件树立法律权威，从而真正在主张数据主权时体现中国国家治理现代化的能力和水平。

[作者王静系中央党校（国家行政学院）政法部副教授、中国行政法学研究会副秘书长，吴小亮系澄明律师事务所主任、律师）]