严蓉

摘  要：数字经济蓬勃发展，数据安全立法成为数字经济发展的重要保障;对数据的掌控、利用及保护成为国家间竞争的核心要素，“数字主权”成为大国博弈的新焦点。《中华人民共和国数据安全法》①确立了以维护国家核心利益、平衡国家安全与发展的“总体国家安全观”，明晰了数据保护的基本思路与法律路径。

关键词：数据安全;数字保护;重要条款;基本思路

中图分类号：D925.2;D922.16 文献标识码：A 文章编号：2095-9052（2021）12-00-03

《中华人民共和国数据安全法》（以下简称《数据安全法》）自2020年7月第一次公开征求意见，到2021年6月经第十三届全国人大常委会第二十九次会议审议通过，再到2021年9月1日正式实施，仅用一年多时间便完成了立法历程，成为2020年立法计划中进展最为快速的部门立法之一。作为一部在数据安全领域的“基础性法律”和“重要法律”，《数据安全法》是数字经济时代中国对全球数据竞争与保护浪潮的主动回应，在为国内数字经济的安全与发展保驾护航的同时，也为企业数据合规等提供了指南。

一、数据安全保护概述

数字经济时代，对数据的掌控、利用及保护能力，成为衡量国家间竞争力的核心要素，数据安全问题也成为数字经济时代国际竞争与合作的核心议题，网络安全、数据安全、“数字主权”逐步升级为各国数据掌控与管辖的新焦点。自2018年欧盟《通用数据保护法案》（GDPR）生效以来，在立法层面，各国掀起了数据保护的浪潮。根据联合国贸易与发展委员会的统计，截至2020年，世界上194个国家中已有128个国家出台了相关法律，即便在非洲和亚洲地区也有55%的国家制定了相关法律，其中包括23个最不发达国家。在国际层面，诸边贸易框架下集中升级或达成了多个数字贸易协定，以独立章节或独立协议（digital-only agreement）形式规制与贸易有关的个人隐私、网络安全与数据安全等议题，比较典型的有《全面和进步的跨太平洋伙伴关系协定》（CPTPP）、美加墨协定（USMCA），《区域全面经济伙伴协定》（RCEP），新加坡、智利和新西兰的《数字经济伙伴关系协定》（DEPA）以及新加坡和澳大利亚《数字经济协定》（SADEA）等。在实践层面，国家间数字安全保护案例频发。2020年6月印度电子与信息技术部门以有损印度主权和完整、国防安全、国家安全和公共秩序为由下架了59款有中国背景的移动应用程序。2020年美国以国家安全之名禁止了抖音和微信等多款母公司在中国的移动应用程序。2021年7月，国家网信办以“严重违法违规收集使用个人信息”宣布下架“滴滴出行”。数据安全已经成为国内外国家安全与权力博弈的重要内容。国内数据安全立法正逢其时，并被寄予了提升“数字主权”竞争优势、参与并重塑国际数字经济规则的厚望。

《数据安全法》共七章五十五条，主要围绕数据安全与发展（第二章）、数据安全制度（第三章）、数据安全保护义务（第四章）、政务数据安全与开放（第五章）等内容作出规定。第一、六、七章为“总则”“法律责任”与“附则”常规章节[1]。该法确立了以维护国家核心利益、平衡国家安全与发展的“总体国家安全观”，搭建了一个以“重要数据”为核心、以“自上而下，分级分类分业”管理为特征的数据安全管理体系，并对数据权益，与投资、贸易有关的数据及数据技术的非歧视性原则和对等反制措施等作出了明确规定。它与2017年7月1日业已实施的《中华人民共和国网络安全法》、2021年11月1日将要实施的“中华人民共和国个人信息保护法”并称为国内在网络安全与数据保护领域的“三大基石”，构建了我国网络与数据安全保护发展的基本法律框架。从性质上来看，《数据安全法》属于上位法和基础性法律，除涉及国家秘密和军事数据的特定类型数据处理活动外，其他数据处理活动均适用于《数据安全法》。

二、数据保护的基本思路

“坚持安全与发展并重”是《数据安全法》明确秉持的立法原则，是中国在数据保护与数字经济发展两大基本价值引领下的数据安全立法的进路。它明确了数据安全是国家安全的重要组成部分，需要通过国家立法提升数据安全的保护能力;又强调了数据是新的关键生产要素，凸显“以数据为关键要素的数字经济发展”的价值取向。国家实施大数据战略（第14条），制定数字经济发展规划（第15条），鼓励与数据有关的技术研发和商业创新（第16条），推进与数据有关的标准体系建设（第17条），发展数据安全检测、评估、认证等服务（第18条），培育数据交易市场（第19条），支持数据专业人才的培養（第20条）等规定均是《数据安全法》强调数字经济发展的具体体现。换言之，数据保护本身是手段而非目的，数据安全既包括数据本身的保密性、完整性和可用性，也包括数据要素增值过程，即数据处理活动过程的可控性与正当性。这一基本思路与价值取向和2020年发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》②是一致的，并从法律层面确立了数据的重要地位以及安全与发展并重的“总体国家安全观”。

三、重要条款解读

（一）适用范围

《数据安全法》从规制对象、地域范围和管辖权等层面划定了法律适用的边界。从规制对象来看，它不拘泥于以主体划分确定适用范围的方式，体现了从“主体约束”向“行为约束”的逻辑转变，也就是说把“数据处理”和“数据安全”作为规制对象，专注于数据处理活动本身的安全性和可靠性。从地域范围来看，除适用于中国境内开展的数据处理活动及其安全监管外（第2.1条），也适用于在境外开展的损害国内“国家安全、公共利益或公民、组织合法权益”的数据处理活动（第2.2条）[1]，为数据安全的控制与监管保留了必要的域外适用空间。这意味着，境外机构开展数据处理活动，与我国公民有关，或可能给我国带来实质影响的，均需满足《数据安全法》的规定。针对向中国境内提供服务但在中国境外开展数据处理活动的跨国公司，确立了管辖权依据。2020年11月，中国与东盟十国等签订RCEP，首次在自贸协定中以“合法公共政策目的”例外为限定条件，原则上同意和接受对数据传输和本地化的约束力规定。既是对“数据主权”竞争趋势的精准研判，也是对数字经济规则制定的积极参与，从国内国际两个维度体现了中国合理、适度寻求贸易、安全和发展的价值平衡立场。

此外，《数据安全法》第53.2条规定，涉及个人信息的数据处理活动，还应遵守有关法律、行政法规的规定。由此，在个人信息保护问题上，除需遵守《个人信息保护法》的具体规定外，仍适用于《数据安全法》。《数据安全法》关于个人信息保护的重点是在于如何规制个人信息的控制者和处理者对公民个人信息的收集、使用、加工、传输等行为。在具体实践中，不同的商业模式侧重点不尽相同。例如：对B2C模式来说，侧重于消费者个人信息保护;在B2B模式中，则是商业机密和其他商业数据等重要数据的保护问题。

（二）数据安全体系

第一，数据分级分類管理。《数据安全法》秉承了网络安全等级保护的思想，对数据实施分级分类管理（第21条），依据数据在经济社会发展中的重要性与可能的危害性不同实施差异保护。针对重要数据和国家核心数据（第21.2条）明确提出了重点保护与“更为严格管理”的要求。同时，构建了由中央国家安全领导机构决策与统筹（第5条）、行业主管部门具体实施（第6.2条）、公安和中华人民共和国国家安全部负责监管（第6.3条）、网信部门进行相关监管工作协调（第6.4条）的“自上而下，分级分类分业”管理机制。此外，《数据安全法》对数据、数据处理与数据安全作出了界定（第3条），没有定义“重要数据”（第21.1条）、“核心数据”（第22.2条），仅规定了“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”。因此，具体定义有待在《数据安全管理办法（征求意见稿）》③中进一步明确。在实践中，对企业而言，数据分级分类的意义在于企业应依据数据的重要程度、来源和敏感性等对数据实施分级分类管理，并审慎梳理企业所掌握的数据种类，存储的地点、收集和处理的方式以及数据获取人、获取方式等。

第二，数据安全标准。《数据安全法》第17条，首次通过统一立法的形式推进数据安全标准体系的建设。标准制定的主体一是作为牵头单位的国务院标准化行政主管部门和国务院有关部门，二是市场的参与者，如企业、社会团体和教育、科研机构等。由市场主体参与得以行业实践为基础的标准制定既有利于推动技术发展也有利于企业合规建设。在技术层面，涉及数据开发利用和数据安全技术研究，数据开发利用和数据安全产品、产业体系。整个标准体系的构建除标准制定外，还扩展至数据安全检测、评估、认证等服务，即由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准。

第三，国家安全审查。《数据安全法》第24条规定国家应建立数据安全审查制度，对影响或可能影响国家安全的数据处理活动进行安全审查。这一规定与2015年7月1日实施的《中华人民共和国国家安全法》第59条规定的基本原则一致，即国家应建立国家安全审查与监管的制度与机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。2021年7月10日，国家网信办发布《网络安全审查办法（修订草案征求意见稿）》④，其中最为重大的修订之一就是第6条，该条是针对掌握超过100万用户个人信息的运营者赴境外上市应向网络安全审查办公室提交网络安全审查的规定。这些规定释放了我国监管机关将采取更为严厉的手段实施《数据安全法》和其他相关法律法规的信号。

（三）数据交易

数据交易是市场经济条件下培育和促进数据要素市场流动的基本方式。《数据安全法》第19条对建立健全数字交易管理制度作出了规定;第33条对从事数据交易中介服务的机构提出了数据安全保护的义务，如说明数据来源、审核交易双方身份、留存审核、交易记录等;第34条确立了数据交易市场的准入资格。除了这些事前监管，针对未履行上述义务的数据交易中介机构，第47条还加强了事后处罚力度。这些规定一方面为国内培育数据要素市场提供了上位法的依据和顶层制度的统筹安排，另一方面也增加了数据交易制度的可操作性。但数据权属与权益规则仍不清晰，有待后续的配套规则明确并细化。这一问题在国内理论界也未达成共识，主要包括人权说、知识产权说、财产权说等不同观点。基于《数据安全法》对数据的分级分类管理规定，日后对数据权属的划分可以考虑不同层次适用不同标准予以保护，以平衡数据保护与利用之间的关系。

（四）跨境数据流动

《数据安全法》第31条区分了由关键信息基础设施运营者和其他数据处理者两类不同主体收集、产生的重要数据的跨境流动，前者管理办法适用《中华人民共和国网络安全法》[2]，后者管理办法授权国家网信部门会同国务院有关部门制定。早在2017年4月，国家互联网信息办公室已发布《个人信息和重要数据出境安全评估办法（征求意见稿）》⑤，但这些措施仍在审议中尚未通过。

对国外司法或执法机构关于提供数据的请求，第36条的规定，一是依据国家缔结或参加的国际条约与协定，或者互惠原则，二是任何组织、个人未经批准不得向外国司法或执法机构提供数据。第36条所指的向境外提供的数据，并不限于重要数据，也不限于是否属于出口管制的数据。而主管机关批准提供数据的请求时依据有三：一是有关法律，二是中华人民共和国缔结或者参加的国际条约、协定，三是按照平等互惠原则。这也就意味即便中国签订或参与的国际条约、协定中规定了，或基于平等互惠原则，需提供数据，“有关法律”仍为我国使用“合法公共政策目”例外留下了余地。换言之，当提供数据有可能损害我国国家安全、公共利益或者公民、组织合法权益的，可以不予批准。“中华人民共和国个人信息保护法”第42条也有类似条款。

（五）域外效力与反制措施

《数据安全法》第26条规定了以“损害国家安全、公共利益或者公民、组织合法权益”作为触发条件的域外适用，并明确规定任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制或者其他类似措施的，中国可以根据实际情况对该国家或者地区对等采取措施[1]。“中华人民共和国个人信息保护法”第43条也作出了类似规定。这些法律规定为中国依法反制外国歧视性措施提供了法律支持，充分体现并维持了国内主张“数字主权”的立法思想。从国际层面看，2019年9月，在中国提交给WTO的关于电子商务议题的提案中，亦明确表明了涉及信息通信技术产品的非歧视待遇立场;从实践层面看，这与华为产品和5G产品在美国受到的不公平待遇直接相关。

四、结语

《数据安全法》是中国适应国内外日益严峻、复杂的“数字主权”竞争与合作、顺应数字经济发展时代潮流的产物，从法律层面明确了实施大数据战略，鼓励、支持和促进数据的创新应用与合作开发，为数据依法有序自由流动和维护数据安全提供了保障等。同时，该法也为企业设定了多层次、全方位的数据安全义务。企业应“有所为”，即搭建全面的数据处理安全与管理体系，常态化、全流程地实施数据安全保护义务;同时应“有所不为”，即坚持底线思维，谨守法律划定的数据安全红线，依法从事数据处理活动，确保数据来源的合法合规，履行行政许可、审批等前置性义务，配合域外法律适用的冲突管辖和跨境调查取证等。从短期来看，这不可避免地会给数据产业、行业与企业带来一定的合规成本;从长远来看，在明确的法律框架下，合规成本势必会转化为竞争门槛和安全优势，为行业和企业发展带来红利。

参考文献：

[1]葛鑫.《数据安全法》亮点解读及实施展望[J].通信世界，2021（13）：13-14.

[2]张倩雯.数据跨境流动之国际投资协定例外条款的规制[J].法学，2021（5）：90-102.

（责任编辑：董维）