韩旭至

（华东政法大学法律学院 上海 200042）

2020 年第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法（草案）》（以下简称《数据安全法（草案）》）进行了审议，随后公开发布了《数据安全法（草案）》及《关于＜中华人民共和国数据安全法（草案）>的说明》（以下简称《草案说明》）全文，公开征求意见。目前来看，《数据安全法（草案）》在基本定位、体例结构、基本范畴、管理模式、制度设计等方面均存在一定争议。

一、以国家安全为基本定位

目前，《数据安全法（草案）》存在定位不清、目标过多的问题。《草案说明》指出，维护国家安全、维护公民和组织的合法权益、引领和支撑数字经济、发展电子政务均是《数据安全法（草案）》的目标。然而，如此多元的目标恐怕难以在数据安全立法中实现。《数据安全法》虽然是我国数据领域的第一部单行立法，但难以充当数据领域的基本法角色，而应回归到维护国家安全的基本定位。实际上《数据安全法（草案）》诸多条文均围绕国家安全进行展开，如第一条“维护国家主权、安全和发展利益”、第四条“总体国家安全观”、第六条“中央国家安全领导机构负责数据安全工作的决策和统筹协调”等。

虽然，有学者认为国家安全立法存在复合目标是由于安全的定位已“从‘单一安全’转向‘总体安全’”[1]。但习近平同志所提出的“总体安全观”，并不能简单等于以国家安全立法辐射社会生活的各个领域。《数据安全法（草案）》中的“总体国家安全观”所强调的应是在数据利用、数据处理、数据流通的各个环节都关注国家安全问题，国家数据安全、企业数据安全、个人数据安全等相关领域的数据安全均应回到国家安全之中。

二、妥善处理与相关法律的关系

《数据安全法（草案）》应与既有的相关数据制度及将来的数据立法相衔接。本质上，“数据安全”和“网络安全”应共属“国家安全”的下位概念，因此《数据安全法（草案）》应与《网络安全法》《网络安全审查办法》的相关规范形成有机联动。以重要数据保护为例，《数据安全法（草案）》关于重要数据的规范未能能够回应《网络安全法》第21 条、第37 条关于重要数据的安全等级保护与境内储存原则的规范。

此外，如前所述，《数据安全法》以国家安全为定位，《数据安全法（草案）》无法涵盖数据权利、数据流通、个人信息保护的基本规则，这些规则均必须通过已列入立法计划的《个人信息保护法》与相关数据立法予以明确。就个人信息保护而言，《数据安全法（草案）》第二十九条进行了相应规范。此处似乎延续了从《网络安全法》第41 条到《民法典》第1035 条“正当、合法、必要”的个人信息原则。然而，这一原则由于过于笼统，已广受批评。而《数据安全法（草案）》第二十九条还将之进行了拆分，无法有效对接相应个人信息保护规范。

就数据权利与数据流通而言，虽然《数据安全法（草案）》第十七条规定了“国家建立健全数据交易管理制度，规范数据交易行为,培育数据交易市场。”然而，必须清晰认识到，《数据安全法（草案）》并未承认数据权利，基于其定位也无法实现数据确权的任务。虽然《数据安全法（草案）》第三十条尝试首次在法律层面规定“数据交易”与“数据交易中介服务”，但是相关交易也可以表现为数据服务合同关系，并不能直接等于承认背后的数据权利。同时，《数据安全法（草案）》第三十条对数据交易中介服务的相关要求，是一项形式审查的要求，对应有第四十三条的罚则。这一规定只是数据交易合法的要件之一，不能直接等同于数据交易合法，更远未能解决数据交易问题。相关问题应留待另行立法解决[2]。

三、厘清《数据安全法（草案）》的基本范畴

《数据安全法（草案）》第三条对该法的基本范畴进行的规范。首先，第三条第一款认为，“数据是任何以电子或者非电子形式对信息的记录”。值得肯定的是，该款尝试在法律意义上对数据与信息进行区分。这一定义基本上与国际标准化组织的定义相符，即承认数据与信息是形式与内容的区别[3]。然而，需要辨析的是，该款对《网络安全法》第76 条第4 款“网络数据”的概念进行了扩张，增加了“非电子形式”的数据类型。这既不符合对数据的一般理解，也不符合国际立法潮流，将形成叠床架屋的效果。非电子形式的数据安全问题已由《档案法》《国家安全法》解决。事实上，《数据安全法（草案）》的绝大多数内容也只能对应电子数据。如“网信部门的管理”（第七条）、“数据开发利用”（第十四条）等规定均是建立在电子数据基础之上的。

其次，《数据安全法（草案）》第三条第二款对数据活动进行了规定。其列举了多种数据活动表现形式。其中，提供与交易可能存在一定的重复，“数据活动”能否等同与“数据处理”亦不清楚。域外立法中，“数据处理”的术语被大量使用，《民法典》也使用了“处理个人信息”的术语。对此，建议以数据处理为对象进行规定。

最后，《数据安全法（草案）》缺乏“重要数据”的定义。重要数据是数据安全的核心概念，《数据安全法（草案）》第十九条、第二十五条、第二十八条均涉及重要数据的规范。其中，第十九条规定了重要数据目录制度。虽然，在这一制度下可建立重要数据的动态识别机制，但缺乏相关规范定义仍会使得重要数据边界判断失去基准。当前，《个人信息和重要数据出境安全评估办法》（征求意见稿）和《数据出境安全评估指南（草案）》均将重要数据定义为，与国家安全、经济发展，以及社会公共利益密切相关的数据。《数据安全法（草案）》应吸收这一定义。

四、以数据主权构建域外效力

《数据安全法（草案）》第二条在属地管辖外确立了数据安全的保护管辖。《草案说明》指出，“草案赋予本法必要的域外适用效力”。与《网络安全法》相比，《数据安全法（草案）》第二条删除了《网络安全法》第75 条之中的“造成严重后果”的要件，扩大了域外效力的适用范围。但是，这一规定显然不能等同于欧盟《通用数据保护条例》的域外效力。其并不是以属人管辖为出发的域外效力，而是以数据主权为出发的保护性管辖规范。

《数据安全法（草案）》第三十二条与第三十三条均可展现以数据主权构建域外效力的内容。有学者建议，应对第三十二条进行修改，作为中国执法机构调取境外数据的法律依据；同时对第三十三条进行修改，在设置动态的“适格外国政府白名单”的同时实现“长臂管辖”[4]。笔者认为，在保护国家安全的层面上，以数据主权构建域外效力实有必要，应进一步研究、完善相关条款。

五、科学配置相关管理主体

《数据安全法（草案）》第七条规定，“各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。”首先，主体责任并非法律术语，相关政策性术语必须去除。其次，各地区、各部门分别管理，甚至分别“确定本地区、本部门、本行业重要数据保护目录”（第十九条）不甚合理。特定部门对于较为专业的数据有更深的了解，按部门确定重要数据目录或许具有一定的合理性，但按地区确定重要数据目录极为不合理。各地区各自确定重要数据、各自进行数据安全管理，必然会在境内产生数据流动、数据保护差异的障碍。

归根结底，数据安全的管理主体必须突破传统的属地原则或条块分割原则，否则将在纵向和横向的管辖维度上形成内在冲突。虽然第七条第四款规定，“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”；然而其实际必会与该条第二款、第三款中规定的公安机关、国家安全机关、各地区各部门形成多头监管，最终导致难以统筹协调。建议突出国家网信办的作为管理主体的地位，或新设专门的数据安全管理机构。

六、进一步细化各项具体制度

《数据安全法（草案）》中大量的原则性条款，被认为是“立法政策化的表现”[5]。例如，第二十一条“数据安全应急管理机制”的规定，并不具实质作用，却可能引发国际负面舆论；第二十二条未经充分论证和细化规定，规定了建立“数据安全审查制度”，且相关安全审查决定为最终决定，与现代法治原则存在冲突；第二十七条关于“数据风险检测”的补救措施、告知和报告义务的规定，实操性显然不足。

对此，《数据安全法（草案）》的进一步完善必须将这些原则性、政策性、宣示性的条款予以具体化。例如，部分学者建议第二十一条应对相关责任主体予以明确，分阶段建立数据安全应急管理机制，强调预防和准备阶段、简化响应阶段、着重于恢复阶段；第二十二条应对安全审查制度的具体模式、审查机关、启动条件、审查内容、法律责任进行规定，并明确安全审查制度与数据安全责任的关系；第二十七条应增加，补救措施的具体内容，触发数据泄露通知的条件，告知用户和主管部门的时限、内容、形式等规定[4]。笔者赞同此类具体化条款内容的建议。