中国数据法律制度体系研究
2024-02-13谢祎何波
谢祎,何波
1. 国家计算机网络应急技术处理协调中心,北京 100029;2. 中国信息通信研究院,北京 100191
0 引言
数据问题已经成为影响经济发展、社会治理、用户权益和国家安全的重要因素,并逐步融入经济和社会结构内部。随着新一代信息通信技术持续快速发展,全球数字化转型加速推进,各类数据迅猛增长、海量聚集,数据作为生产要素的基础性和战略性地位日益突出[1]。与此同时,在数据要素资源开发利用的过程中,也对原有的制度规则、市场环境和监管秩序等带来冲击,对治理能力提出了新的更高要求。法治是现代国家治理的基本方式,全面依法治国是党领导人民治理国家的基本方略,在中国发挥数据要素价值、做强做优做大数字经济的过程中,离不开法治的有力保障。中国具有数据规模和数据应用优势,近年来,中国高度重视数字领域法治建设,持续健全数据相关法律制度,始终坚持“统筹数据安全和发展”的基本原则,不断推进数据领域立法工作,初步构建了与数字经济发展相适应的数据法律制度体系,在保障国家数据安全、维护公民法人数据权益、规范数字经济市场秩序等方面发挥了重要作用。
1 中国数据法律制度体系概况
本文讨论的数据法律制度是包含个人信息法律制度在内的广义范畴。在中国法律语境下,数据被界定为“任何以电子或者其他方式对信息的记录”1参见《数据安全法》第三条。,个人信息虽然与数据在概念界定上存在一些差异,但二者关系十分密切,在诸多立法及实践中,中国将个人信息作为特别重要的一种数据予以保护和监管。例如,在国家互联网信息办公室出台的《数据出境安全评估办法》中,将一定数量的个人信息出境情形纳入数据出境安全评估范围2参见《数据出境安全评估办法》第四条。。因此,在论述中国数据法律制度时,其涉及的法律法规不仅限于《数据安全法》等数据专门性立法所规定的内容,还包括《民法典》《电子商务法》等相关立法中涉及的制度规则。
在中国数字经济发展过程中,中国立法机构和监管部门准确把握数据发展规律,坚持科学立法、民主立法、依法立法,大力推进数据法律制度建设,先后制定发布一系列法律法规和政策文件,中国数据立法随着数字经济发展经历了从无到有、从少到多、由点到面、由面到体的发展过程[2]。整体来看,中国初步构建了中央和地方立法相结合,涵盖法律、行政法规、部门规章以及地方性立法多个法律层级,涉及数据安全与发展、个人信息保护、商业数据流通以及政务数据管理等多个方面的数据法律制度体系(如图1所示)。
图1 中国数据法律制度体系
具体而言,中国数据法律制度体系可以分为两个维度,即数据法律制度的纵向体系和横向体系。其中,数据法律制度的纵向体系主要是指中国数据法律制度的层级,具体来看,既包含了法律、行政法规、部门规章等中央立法以及相关管理规定,如《数据安全法》《数据出境安全评估办法》等,也包括地方法规和地方政府规章在内的地方性立法,如《上海市数据条例》《福建省政务数据管理办法》等,形成了“上下有序、央地结合”的纵向法律体系。而横向体系是指中国数据法律制度包含的主要内容或制度板块,结合各层级数据立法的具体内容来看,中国立法机关围绕社会各界广泛关注、经济社会发展迫切需要的“数据安全与发展制度”“个人信息保护制度”“商业数据流通制度”“政务数据管理制度”等重点领域作了相关制度设计,构建了与中国数字经济发展相适应的横向制度规则。值得注意的是,中国数据法律制度的横向体系和纵向体系之间是彼此联系互动的,每一个横向体系制度的内部,都是由多个不同层级法律法规构成的,形成了各自单独的子系统。例如,在数据安全与发展制度领域,既包括法律层面的《数据安全法》,也包括《关键信息基础设施安全保护条例》《数据出境安全评估办法》等行政法规和部门规章,还包括《上海市数据条例》等地方性法规。
2 中国数据法律制度纵向体系
中国数据法律制度的纵向体系包括多个层级,这些层级按照法律效力和制定主体不同,可以分为两类,即国家(中央)立法层面和地方立法层面。与此同时,除了严格意义上的法律文件外,实践中还有众多管理规定和指导意见等政策性文件,也在数据领域发挥着重要的指导作用,是中国数据法律制度体系的有益补充。
2.1 国家层面顶层法律设计初步形成
从国家层面来看,落实党中央决策部署,全国人大及其常委会、国务院以及有关部门持续推进数据立法工作,建立健全相关法律法规,数据法律制度“四梁八柱”基本形成,主要涵盖法律、行政法规和部门规章3个层级。
一是法律规则层面。目前主要以《数据安全法》等专门法律为核心,以《民法典》等相关法律为补充。2012年12月,全国人大常委会通过了《关于加强网络信息保护的决定》,规定国家保护公民个人电子信息,拉开了中国数据立法的序幕。2016年11月,《网络安全法》制定出台,规定了网络数据安全和个人信息安全保护的基本要求,加速了中国数据立法进程。此后,《数据安全法》《个人信息保护法》等专门立法相继出台,逐步建立了数据领域基本原则和主要制度规则。与此同时,在《民法典》《密码法》《电子商务法》《测绘法》等相关法律中,也都有涉及数据的条款规定,进一步丰富了数据法律规则。
二是行政法规层面。目前中国数据领域专门规定还尚未正式出台,现行有效的行政法规主要包括《关键信息基础设施安全保护条例》以及《征信业管理条例》《政府信息公开条例》等相关立法。其中,2021年7月出台的《关键信息基础设施安全保护条例》将维护数据的完整性、保密性和可用性作为关键信息基础设施安全保护的重要内容。与此同时,按照国务院年度立法工作计划,《数据安全管理条例》被列入拟制定的行政法规项目3《国务院2021年度立法工作计划》中确立的立法项目是《数据安全管理条例》,《国务院2022年度立法工作计划》将其修改为《网络数据安全管理条例》。,2021年11月,《网络数据安全管理条例(征求意见稿)》正式向社会公开征求意见,对数据管理的一般规定、个人信息保护、重要数据安全、数据跨境安全管理等作了全面规定。
三是部门规章层面。部门规章主要是具有数据管理职责的部门为落实法律和行政法规的规定,就某些特定领域数据管理或者某些特定数据法律制度作出的具体规定。例如,2021年8月,国家互联网信息办公室发布《汽车数据安全管理若干规定(试行)》,对智能网联汽车产生的数据进行了界定,并明确了责任主体、数据范围、收集方式、隐私保护、数据出境等问题。近年来,工业和信息化部、国家互联网信息办公室等部门先后制定了《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》《数据出境安全评估办法》等多部部门规章,对涉及特定行业、特定主体、特定环节的数据管理进行细化规定。
除此之外,在数据领域还有一些非法律性质的文件,虽然不具有法律的强制约束力,但其对数据发展、监管和治理等具有非常重要的指导作用,也是中国数据法律制度体系的有益补充。一方面,国家层面发布了若干数据相关战略规划和指导意见,例如,2015年,国务院印发的《促进大数据发展行动纲要》,全面推进中国大数据发展和应用;再如,2022年12月,中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》,对构建数据基础制度体系作出了全面部署[3]。另一方面,相关部门发布了特定领域数据管理的文件。例如工业和信息化部印发的《工业和信息化领域数据安全管理办法(试行)》,在行业领域对国家数据安全管理制度要求进行细化,明确开展数据分类分级保护、重要数据管理等工作的具体要求[4]。
2.2 地方层面积极探索推动数据立法
地方立法是中国立法体制的重要组成部分,主要包括地方性法规、自治条例和单行条例(本文统称地方性法规)以及地方政府规章。从地方数据领域立法情况来看,自2015年《促进大数据发展行动纲要》发布以来,地方立法机关和政府部门充分发挥主观能动性,因地制宜,通过制定本地数据法规和规章进行制度创新探索。有研究显示,截至2022年5月,我国地方数据相关立法已经达到九十余部[5]。这些地方立法涉及内容广泛,涵盖数字经济发展、数据安全、公共数据授权运营、数据交易等诸多制度内容,在确保安全的同时推动释放数据资源价值,进一步充实了中国数据法律法规体系。从具体情况来看,地方数据立法大概可以分为以下3类。
一是针对数据领域的基础性专门立法。这类立法以地方性法规为主,对本地数据产业发展、数据安全保护、数据资源开发利用等问题作了全面规定,例如《贵州省大数据发展应用促进条例》《浙江省公共数据条例》《山东省大数据发展促进条例》《山西省大数据发展应用促进条例》《黑龙江省促进大数据发展应用条例》《辽宁省大数据发展条例》《福建省大数据发展条例》《深圳市经济特区数据条例》《上海市数据条例》等[6]。
二是针对特定领域或特定事项的立法。这类地方立法与部门规章所规定的内容相似,多以地方政府规章形式为主。例如《河北省政务信息资源共享管理规定》《安徽省政务数据资源管理办法》《福建省政务数据管理办法》《广东省公共数据管理办法》等,针对政务数据(公共数据)管理、共享等进行专门立法;再如《天津市数据交易管理暂行办法》《贵州省数据流通交易管理办法(试行)》等,针对数据交易问题进行探索规定。
三是将数据制度作为重点内容纳入相关综合性立法。这类地方立法多为数据相关领域的立法,属于综合性较强的地方性法规,一般会将数据安全、数据发展、数据要素资源等制度作为立法中的重要内容或者重要章节进行规定。例如《北京市数字经济促进条例》《江苏省数字经济促进条例》《浙江省数字经济促进条例》等,将数据作为数字经济发展的重要资源进行专章规定;又如《湖南省网络安全和信息化条例》《河南省网络安全条例》等,对数据安全作了重点规定。
3 中国数据法律制度横向体系
从横向来看,中国数据法律制度体系指向的是数据领域各项法律法规所规定的具体制度内容。从立法实践视角来看,主要包括四大制度板块,即:数据安全与发展制度、个人信息保护制度、商业数据流通制度和政务数据管理制度。当然,数据领域本身就是一个复杂且不断发展变化的领域,本文目前划分的四大制度板块只是中国数据法律制度体系的主干部分,除此之外还有其他数据相关的法律制度,并且未来随着技术产业的发展也会产生新的制度。
3.1 横向体系的内在逻辑
数据法律制度是一项系统性、体系化的制度,横向体系的四大制度板块也是彼此关联、具有内在逻辑联系的(如图2所示)。其中,数据安全和发展制度是整个中国数据法律体系的总体要求,规定了数据治理的基本原则和主要制度,是整个数据法律制度体系的基石。而个人信息保护制度、商业数据流通制度、政务数据管理制度则是从主体维度进行的划分,个人、企业、政府这三大主体基本涵盖了数据领域的绝大多数主体,也体现了数据领域“分类管理”的思路。当然,这3类主体的划分也不是绝对的,企业数据之中也有大量个人信息数据,政务数据中也包含企业数据和个人信息,划分的考量更多还是基于法律制度本身的设计。除数据安全和发展制度外,其他三大数据制度板块主要是根据各自类型数据的特点展开的,同时,也都需要遵守数据安全与发展制度的总体性要求。
图2 数据法律制度横向体系的内在逻辑
3.2 数据安全与发展制度
立法的技术在于平衡不同主体之间的权利义务,通过发挥立法的引领和推动作用,实现法律制定的全部目的。长期以来,中国坚持发展与安全并重,将统筹发展与安全的原则贯彻落实到治国理政的各领域、各方面。在数据领域的立法过程中,立法机构逐步确立了“数据安全与发展并重”的基本原则,并围绕这一基本原则进行了全面的法律制度设计。例如,在《网络安全法》《数据安全法》《个人信息保护法》等多部立法中,都可以找到相关原则表述和具体制度规定。在《数据安全法》中,更是设立了第二章对数据安全与发展进行规定。如前所述,数据安全与发展制度是中国数据法律制度体系中的总则性规定,也是其他制度板块的前提和基础,立法机构力求通过立法确保在安全中谋发展、在发展中促安全,探索实现数据安全与发展的精妙平衡。
3.2.1 数据发展相关制度
发展是安全的目的和基础。促进数据资源开发利用、充分释放数据价值是维护数据安全的重要保障,是推进高质量发展的应有之义,也是数字时代赢得国际竞争博弈的内在要求。2015年《促进大数据发展行动纲要》就明确提出,全面推进中国大数据发展和应用,加快法规制度建设[7]。近年来,中国积极推进数据领域立法工作,建立健全数据发展相关制度,推动形成了以《数据安全法》为核心,以多部政策性文件和地方性法规为补充的数据发展总体制度设计。具体来看,数据发展相关制度主要包括以下四方面内容。
一是明确规定数据开发利用国家战略。党的十八届五中全会提出“实施网络强国战略和国家大数据战略”,首次将大数据战略上升为国家战略。此后,中国相继发布《促进大数据发展行动纲要》《大数据产业发展规划(2016—2020年)》《“十四五”大数据产业发展规划》等战略规划,明确大数据产业发展总体要求、目标任务和保障措施,为推进数据开发利用锚定战略方向。在此基础上,《数据安全法》将在实践中探索多年的大数据战略上升成为法律制度,规定“国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用”4参见《数据安全法》第十四条。。
二是建立健全数据开发利用基础制度。构建数据基础制度对于促进数据资源合理开发、高效利用具有基础性支撑作用。2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,提出要构建包括数据产权、数据要素收益分配在内的四大数据基础制度5即数据产权制度、数据要素流通和交易制度、数据要素收益分配制度以及数据要素治理制度。。四大制度以充分实现数据价值、赋能实体经济发展为主线,坚持效率和公平兼顾、开发利用和治理保护并举,覆盖数据生产、流通、使用全生命周期,为数据基础制度架设了顶层结构。特别是首创数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度,为避免数据权属争议阻碍数据开发利用开辟了全新路径。
三是鼓励建设数据开发利用标准体系。围绕数据要素研发新技术,并实现技术产品化和产品产业化的演进,是数据要素市场化的必由之路。《数据安全法》规定“国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系”6参见《数据安全法》第十六条。。2023年1月,中国发布《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,从产业创新能力、数据安全服务、标准体系建设、技术产品应用、构建产业生态等多方面进行设计,进一步落实《数据安全法》要求,全方位鼓励、支持、引导数据安全产业发展。同时,在2022年8月《数据安全法》实施一周年之际,全国信息安全标准化技术委员会已经制定20多项数据安全国家标准,相关标准体系的建设和完善将为数据质量评估、教育定价、技术研发、安全维护等提供规范化、统一性的操作参考。
3.2.2 数据安全相关制度
安全是发展的前提,中国坚持以数据安全保障数据开发利用和产业发展,高度重视数据安全立法及制度设计,通过《网络安全法》《数据安全法》等多部法律法规,构建了数据安全规则体系,明确了数据安全基本概念和原则,规定了数据安全基本制度,为政府、机构、企业和个人等各主体安全、合规开展数据处理活动架设了法律框架、奠定了制度基础。具体来看,数据安全相关制度主要包括四方面内容。
一是界定了数据安全基本概念内涵。《数据安全法》首先明确界定了“数据”的含义,即“任何以电子或者其他方式对信息的记录”,并在此基础上对“数据安全”的概念进行了界定[8],将其规定为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”7参见《数据安全法》第三条。。从定义可以看到,数据安全是持续的、动态的、相对的,其概念本身已体现数据安全与发展相统一的意涵,这些都为后续配套法律法规奠定了价值取向基调。
二是建立了数据分类分级保护制度。数据分类分级被认为是对数据进行安全保护的基础,早在多个政策文件中被广泛提出,但直到《数据安全法》才首次在法律中明确将其确立为一项法定制度,规定“国家建立数据分类分级保护制度”8参见《数据安全法》第二十一条。,提出按照一定的标准对数据实行分类分级保护9即根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。参见《数据安全法》第二十一条。。与此同时,《数据安全法》提出了“重要数据”和“国家核心数据”的概念,对于重要数据,采用目录管理的方式;对于国家核心数据,实行更加严格的管理制度。在此基础上,工业和信息化部等行业主管部门探索本行业本领域数据分类分级管理的具体制度,例如,在数据分级方面,《工业和信息化领域数据安全管理办法(试行)》将该领域的数据分为“一般数据、重要数据和核心数据”三级;在数据分类方面,将其分为“研发数据、生产运行数据、管理数据、运维数据、业务服务数据”等多个类别10参见《工业和信息化领域数据安全管理办法(试行)》第八条。。
三是确立了数据安全领域审查制度。数据安全审查是国家安全审查制度在数据安全领域的具体落地,《数据安全法》规定,国家建立数据安全审查制度[8]。目前,实践中数据安全审查制度的相关规定和实施内嵌于网络安全审查之中。例如,2021年12月修订的《网络安全审查办法》将“网络平台运营者开展数据处理活动影响或者可能影响国家安全”等情形纳入网络安全审查范围,同时在立法目的、适用范围、立法原则、重点评估内容、罚则等多处增设数据安全审查维度的考量和元素。特别是明确要求掌握超过100万名用户个人信息的平台赴国外上市必须申报网络安全审查,以避免网络平台作为海量数据的拥有者,其赴国外上市对国家数据主权和公民隐私权益可能造成的潜在消极影响11参见《网络安全审查办法》第七条。。自2021年以来,网络安全审查办公室适时启动了安全审查活动,对滴滴、“运满满”、“货车帮”、“BOSS直聘”、知网等开展网络安全审查,并将其存在的“严重影响国家安全的数据处理活动”作为重要违法违规事实予以处罚。
四是规定了数据处理者的安保义务。保障数据安全,关键是要明确数据处理者的数据安全保护义务,落实开展数据活动主体的责任。为此,《数据安全法》对数据安全保护义务设专章,规定了数据处理者开展数据处理活动的总体原则,并从数据获取、风险监测、应急处置、数据出境等环节,明确了数据安全保护的具体要求。与此同时,按照数据分类分级管理原则,在规定所有数据处理者责任义务的基础上,《数据安全法》对重要数据处理者增加了明确数据安全负责人和管理机构、定期开展风险评估等要求;此外,还规定了有关组织和个人配合公安机关、国家安全机关数据调取的义务。
3.2.3 数据跨境管理制度
数据跨境流动既涉及数据发展,又关乎数据安全,是数据安全与发展制度的有机结合。近年来,中国高度重视数据跨境流动监管,尤其是数据出境管理制度建设,目前已经形成《网络安全法》《数据安全法》《个人信息保护法》顶层设计法律相互配合和特定行业部门规章相互协调的制度规则体系,初步构建了以“重要数据”和“个人信息”两大类数据出境为监管核心、以“三主三辅”六大出境路径为监管举措的数据跨境管理制度。相关制度具体分析如下。
一是数据出境的“三项主要路径”相关制度,分别为数据出境安全评估制度、个人信息出境标准合同制度以及个人信息保护认证制度。首先,实践中应用场景最频繁的当属安全评估。安全评估是指数据处理者向境外提供数据时,向国家网信部门申报,由网信部门组织对数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险进行评估,并作出是否允许数据出境的评估结果的一类数据出境路径。《网络安全法》《数据安全法》《个人信息保护法》中均对数据出境安全评估的情形作了原则性规定。2022年7月通过的《数据出境安全评估办法》对通过安全评估方式向境外提供数据的活动进行了统一规范,明确了适用范围、评估流程、评估要求等具体要求,并发布了《数据出境安全评估申报指南(第一版)》。其次,安全评估适用范围外的个人信息处理者的数据出境情形,可以通过个人信息出境标准合同或者保护认证的方式来开展。这也体现了数据跨境管理制度中促进发展的灵活安排,其中,标准合同是指由国家网信部门制定,并由个人信息处理者与境外数据接收方订立的,约定双方权利和义务的合同。签署标准合同是《个人信息保护法》规定的个人信息出境路径之一,2023年2月,国家互联网信息办公室发布《个人信息出境标准合同办法》,对通过订立标准合同的方式开展个人信息出境的活动做出具体制度安排。保护认证是指,经批准的专业机构按照国家网信部门的规定对个人信息处理者开展个人信息处理活动进行综合评价,作出认证决定并向个人信息处理者颁发认证标志的个人信息保护管理措施。《个人信息保护法》将保护认证规定为个人信息出境路径之一,2022年11月,国家互联网信息办公室发布《个人信息保护认证实施规则》,明确了认证的依据、程序、证书和标志等内容。
二是数据出境的“三项辅助路径”相关制度,分别是涉及国际条约、协定,外国司法或执法调取,以及国家有关部门及网信部门规定的其他情形。从广适性程度来看,3项主要路径涉及的数据出境情形广泛适用并存在于各行业各领域,3项辅助路径则适用于特定情形或特定行业领域的数据出境活动。首先是适用国际条约、规定的情形。《个人信息保护法》明确“缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行”12参见《个人信息保护法》第三十八条。。其次是适用数据调取出境的情形。《数据安全法》《个人信息保护法》规定,外国司法或者执法机构关于提供数据或存储于境内个人信息的请求,由主管机关根据有关法律和中国缔结或者参加的国际条约、协定,或者按照平等互惠原则处理13参见《数据安全法》第三十六条、《个人信息保护法》第四十一条。。最后是法律、行政法规另有规定的情形。从行业来看,中国在金融、征信、医疗健康等领域对数据出境提出了专门要求,如《证券法》《征信业管理条例规定》《人类遗传资源管理条例》等对数据出境作出规定的,属于“法律、行政法律规定的其他条件”,数据处理者开展数据出境活动应当依照执行。
3.3 个人信息保护制度
一直以来,个人信息保护问题都是中国数据立法的核心工作之一。自2012年《全国人民代表大会常务委员会关于维护互联网安全的决定》发布以来,立法机构和有关部门先后制定出台了《电信和互联网用户个人信息保护规定》《网络安全法》《电子商务法》《民法典》等多部相关法律法规,并于2021年8月通过专门的《个人信息保护法》,这些法律法规相互配合衔接,共同构建了中国个人信息保护的规则体系,明确了个人信息保护基本原则,建立了个人信息保护管理体制机制,规定了个人信息处理规则,并划定了相关主体的权利义务。
3.3.1 个人信息保护基本原则
个人信息保护基本原则是贯穿于个人信息收集、存储、使用、加工、传输等处理活动全生命周期的基本要求,也是构建个人信息保护具体制度的重要基础,对于开展个人信息保护工作具有十分重要的功能意义[9]。《个人信息保护法》继承《网络安全法》中收集、使用个人信息,应当遵循合法、正当、必要原则的规定,同时吸收《民法典》中从事民事活动应当遵循诚信原则的要求,确立了个人信息处理应遵循的5项基本原则:一是合法、正当、必要和诚信原则,该原则也是个人信息保护的首要原则;二是目的限制原则,对个人信息处理的程度进行了限制,要求不得过度收集使用个人信息;三是公开透明原则,要求公开处理规则,并向个人明示处理的目的、方式和范围;四是质量原则,也即完整性和准确性原则;五是安全保障原则,要求确保个人信息处理中的安全[10]。
3.3.2 个人信息保护管理机制
从实施角度来看,由于个人信息保护工作综合性强,涉及领域和部门众多,各项制度的落实需要由相关监管部门具体负责,因此,明确管理体制机制对于做好个人信息保护至关重要[9]。《网络安全法》《数据安全法》和《个人信息保护法》先后对网络安全、数据安全和个人信息保护领域监管部门的职责作了划分,逐步理顺了管理体制机制。《网络安全法》将个人信息保护纳入网络安全监管的范围,构建了国家网信部门统筹协调、国务院有关部门各负其责的监管体制[8]。《数据安全法》则强调了中央国家安全领导机构对国家数据安全工作的领导地位,规定了相关行业主管部门承担各自行业、领域的数据安全监管职责,明确网络数据安全和相关监管工作仍然由国家网信部门负责统筹协调14参见《数据安全法》第五条、第六条。。《个人信息保护法》总体上沿袭了《网络安全法》的基本思路,并在此基础上明确了履行个人信息保护职责的部门的具体责任和履责手段。
3.3.3 个人信息处理主要规则
《网络安全法》要求网络运营者收集、使用个人信息,应当经被收集者同意,围绕“告知-同意”原则构建了个人信息处理规则。《个人信息保护法》在此基础上,进一步丰富了处理个人信息的合法性基础,规定了7种条件下可以合法处理个人信息的场景15即:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。此外,还明确规定了敏感个人信息保护的要求、依法规范国家机关个人信息处理活动、个人信息的自动化决策、赋予个人信息主体多项权利、强化个人信息处理者义务、健全个人信息保护工作机制、设置了严格的法律责任。参见《个人信息保护法》第十三条。。与此同时,《个人信息保护法》根据个人信息处理的不同环节、不同种类,对个人信息的共同处理、委托处理、向第三方提供、用于自动化决策等个人信息处理活动,设计了具有针对性的制度管理要求。例如,对于广受关注的个人信息用于自动化决策的情形,《个人信息保护法》针对大数据杀熟、算法滥用等问题予以了专门规制,明确了处理用户个人信息的具体规则。
3.3.4 相关主体权利义务规则
一方面,法律明确了个人主体在个人信息处理活动中的各项基本权利。保障个人在个人信息处理活动中的合法权利,是制定个人信息保护相关法律法规的根本旨归。《个人信息保护法》在《网络安全法》《民法典》的基础上,进一步明确个人对其个人信息的处理享有知情权、决定权、查询权、更正权、删除权等各项权利。同时,为保障个人权利的有效行使,《个人信息保护法》明确个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,同时规定了个人信息处理者的配合义务。另一方面,规定了个人信息处理者的合规管理和保障个人信息安全等义务。《个人信息保护法》第五章设专章对个人信息处理者的义务进行了全面系统规定,既为有效保护个人权利提供了坚强保障,也为政府、机构、企业等各主体开展个人信息处理活动划定了具体的边界要求和行为规范。总结起来看,主要包括采取必要措施确保个人信息安全的义务16参见《个人信息保护法》第五十一条。;特定个人信息处理者应当指定个人信息保护负责人、在境内设立专门代表或指定代表的义务17参见《个人信息保护法》第五十二条、 第五十三条。;定期进行合规审计的义务18参见《个人信息保护法》第五十四条。;特定情形下事前进行个人信息保护影响评估的义务19参见《个人信息保护法》第五十五条。;通知个人信息泄露、篡改、丢失等情况并采取补救措施的义务20参见《个人信息保护法》第五十七条。;以及大型互联网平台的特殊义务21参见《个人信息保护法》第五十八条。等。
3.4 商业数据流通制度
数据只有流通才能创造价值,推动数据流通与开发利用是数字经济发展的当务之急[11]。在中国积极推进数据要素市场建设过程中,其主要目标便是推动数据在各市场商业主体间高效有序流通。由于个人信息数据和政务数据具有较高的敏感性,在处理过程中有较为严格的要求,因此在商业数据流通中主要以企业数据为主。具体来看,企业数据流通的形式主要包括数据开放、数据共享以及数据交易3种。其中,前两种数据流通形式主要是企业主体之间根据意思自治进行的,公权力很少介入,在立法方面重点是通过反垄断和反不正当竞争制度来规范数据流通秩序。例如,2022年6月,全国人大常委会修订《反垄断法》,根据平台经济领域竞争方式和特点,明确“经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为”[12]。第三种数据流通形式涉及交易基础制度问题,需要通过法律来进行规范,因此是数据流通法律制度的重点内容。数据交易流通被认为是“数据要素市场化配置的关键环节”[13],近年来,中国数据立法活动中积极探索建立数据交易制度,为促进数据要素高效利用和数据产业健康发展提供法律保障。
一是在国家层面,逐步确立了数据交易制度的法律地位,规定了数据交易的基本原则和管理要求[14]。2015年,《促进大数据发展行动纲要》首次提出“数据交易”问题,明确了培育数据交易市场和建构数据交易规范两方面的内容。2021年,《数据安全法》正式将数据交易上升为法律制度,明确规定“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”22参见《数据安全法》第十九条。。与此同时,《数据安全法》还规定了从事数据交易中介服务的机构应当履行的义务,包括对数据来源说明的要求、审核交易双方的身份信息、对相关记录的流程义务等23参见《数据安全法》第三十三条。,并规定了违反前述义务应当承担的法律责任24参见《数据安全法》第四十七条。。应当说,《数据安全法》从国家法律层面解决了“数据可以不可以交易”的问题,但对于“数据如何进行交易”的难题,并没有给出方案。
二是在地方层面,数据交易立法尝试活动非常活跃,多地积极探索数据交易具体制度规则。一方面,部分地方在数据综合立法中规定了数据交易相关制度,例如《上海市数据条例》在第四章设置专门小节规定“数据交易”,支持上海数据交易服务机构发展,提出建立健全数据交易服务机构管理制度,明确数据可以依法进行交易以及不得进行数据交易的情形。另一方面,越来越多的地方政府通过制定数据交易专门规定,全面系统规定本地数据交易规则。例如,2023年2月,深圳市发布《深圳市数据交易管理暂行办法》,对本市数据交易场所内进行的数据交易及其相关管理活动进行了全面的规定,明确了数据交易主体、数据交易标的等关键要素。再如《天津市数据交易管理暂行办法》也对数据交易主体、对象、行为、交易平台、交易安全、监督管理作了系统性的规定。
3.5 政务数据管理制度
政务数据是按照数据主体、数据来源等要素进行划分形成的一类数据,其主体为政务部门,来源于政务部门履行职责的过程。政务数据数量巨大,是我国数字政府体系框架的核心组成部分,事关国家安全和发展利益,在调节经济运行、改进政务服务、优化营商环境等方面发挥着日益重要的作用。政务部门不仅面临个人信息保护、企业数据流通等数据治理面临的一般问题,还要应对政务数据收集难、集成和共享难、开发利用难等特殊的挑战[15]。近年来,中央和地方立法围绕公共数据开放、共享、开发利用等制度作了若干规定。
一是政务数据开放制度。政务数据开放有时也被称为政府数据开放或者公共数据开放。一般认为,政务数据开放是传统政府信息公开的进阶模式,其目的旨在开发政务数据的社会价值、经济价值与公共价值[16]。《数据安全法》首次从法律层级对政务数据开放的基本原则和相关要求作了明确规定,规定政务数据开放应当“以公开为原则、不公开为例外”25参见《数据安全法》第四十二条。,该项要求与2019年修订的《政府信息公开条例》在相关制度设计保持了一致。与此同时,立法还明确了政务数据开放的形式,《数据安全法》规定以目录的方式开放,并要求国家制定政务数据开放目录。2022年10月印发的《全国一体化政务大数据体系建设指南》也保持了相同的思路,提出“建立数据目录分类分级管理机制”。
二是政务数据共享制度。政务数据共享是提高行政效率、提升服务水平和政府治理效能的重要举措。2015年《促进大数据发展行动纲要》明确提出大力推动政府部门数据共享。2016年9月,国务院印发《政务信息资源共享管理暂行办法》(以下简称《办法》),初步建立了政务信息资源共享管理的制度框架。首先,规定了共享的类型,按照资源共享属性分为无条件共享、有条件共享、不予共享3种类型。其次,规定了政务信息资源共享的原则,即“以共享为原则、不共享为例外,需求导向、无偿使用,统一标准、统筹建设,建立机制、保障安全”26参见《政务信息资源共享管理暂行办法》第五条。,这也成为后来各地方政务信息资源和数据共享立法的基本原则。此外,还规定了政务信息资源共享要求、共享信息的提供与使用等内容。自《办法》公布实施以来,各地方、各部门积极开展政务数据共享工作,先后出台了本地区、本行业的政务数据共享管理制度规范,地方层面如《安徽省政务信息资源共享管理暂行办法》《河北省政务数据共享应用管理办法》等,部门层面如交通运输部印发的《交通运输政务数据共享管理办法》等。
三是政务数据开发利用制度。政务数据体量大、种类多,具有权威性、公共性、专业性、广覆盖、高价值等特点,在确保安全的前提下推进政务数据开发利用是推动数字经济发展、建设数字中国的内在需要和必然选择。《数据安全法》明确了政务数据应用的目标和要求,规定“提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力”27参见《数据安全法》第三十七条。。虽然中央层面立法对政务数据开发利用仅作了原则性规定,但近年来,越来越多的地方性法规开始了一些实质的探索。例如,《浙江省公共数据条例》设置“公共数据开放与利用”专章,规定“县级以上人民政府应当将公共数据作为促进经济社会发展的重要生产要素,促进公共数据有序流动,推进数据要素市场化配置改革,推动公共数据与社会数据深度融合利用”28参见《浙江省公共数据条例》第三十四条。。再如,成都市审议通过《成都市公共数据运营服务管理办法》,在全国范围内率先探索建立公共数据授权运营管理制度[17]。
4 中国数据立法成效与法律制度体系完善
4.1 中国数据立法的成效
从立法成效来看,中国数据法律制度体系在保障数据安全、维护用户权益、促进产业发展等方面效果显著,为数字经济健康发展提供了良好的制度基础,助力经济由高速增长转向高质量发展,基本实现了以良法促发展、保障善治的目的。例如,在个人权益保护方面,通过依法治理,侵害用户个人信息权益的违法违规行为得到有力遏制,个人信息保护意识显著增强,个人信息保护合规水平明显提升,全社会尊重和保护个人信息权益的良好局面初步形成[2]。再如,在推动数字经济发展方面,根据中国信息通信研究院发布的数据显示,从2017年到2021年,中国数字经济规模从27万亿元增长到超45万亿元,在整个GDP中的比重提升至39.8%[18]。
4.2 法律制度体系的检视
当前,国际经济、科技、文化、安全、政治等格局都在发生深刻复杂变化,国际数字博弈愈发激烈。随着中国进入新发展阶段,新发展形势对数据法律制度建设提出了新的要求。与此同时,现有的制度体系还存在一些短板和不足,需要进一步调整完善。
一是数据法律制度纵向体系的不足。一方面,中国数据领域的规则主要集中在《数据安全法》等法律层面和部门规章以及地方立法中,而在中间的行政法规层面,目前还缺乏数据领域的专门立法,无论是现有的《关键信息基础设施安全保护条例》还是《政府信息公开条例》,都不是针对数据领域的专门规定的,其对于顶层法律与部门规章等下位法之间的纵向衔接作用不足。另一方面,数据顶层基本法律框架建立,但对于具体的制度落地施行,配套规则有待进一步完善。例如,《数据安全法》规定国家建立数据分类分级保护制度,目前对于数据如何分类分级,尚未出台具体规定。再如,《个人信息保护法》赋予了个人信息可携权、删除权等诸多权利,但个人如何行使这些权利目前还不明确。
二是数据法律制度横向体系的不足。横向体系的不足主要体现在制度板块的衔接联动方面。一方面,不同法律法规对同一制度的规定存在不协调、不一致的现象。例如,《网络安全法》《数据安全法》《个人信息保护法》都规定了数据安全事件通知制度,但在具体内容上的规定并不完全一致,各部法律对于相关主体未依法履行通知义务所规定的法律责任也存在差别[19]。另一方面,不同制度之间也存在衔接配合不顺畅、不平衡的问题。例如,数据出境制度散见于多个不同的法律和部门规章之中,尤其是数据出境的3种主要路径分别由《数据出境安全评估管理办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》单独规定,但前两者均为部门规章,第三个属于规范性文件,法律位阶不匹配。与此同时,三者还存在畸轻畸重的倾向,造成在实践中企业为稳妥起见,绝大多数出境情形会采取安全评估的路径,个人信息保护认证和标准合同制度往往被束之高阁,不仅影响了数据跨境流动的效率,也增加了企业合规负担。
4.3 体系完善思路与建议
党的二十大报告指出,必须更好发挥法治固根本、稳预期、利长远的保障作用,加强重点领域、新兴领域、涉外领域立法。数据领域既是事关经济社会发展的重点领域,也是基于新一代信息通信技术不断创新发展的新兴领域,加之数据天然具有流动、跨境等特征,未来还会出现更多新的法律问题。下一步,建议立足问题导向加强数据领域立法工作,持续健全完善中国数据法律制度体系,助力推进国家治理体系和治理能力现代化。
一方面,建议加快数据领域配套立法,完善纵向法律制度体系。建议在《数据安全法》《个人信息保护法》等法律的基础上,加强行政法规层级和部门规章层级的法制建设,对上位法设置的具体制度进行细化和落实。建议重点做好两方面工作:一是国务院加快审议出台《网络数据安全管理条例》,进一步明确数据和个人信息处理规则、重要数据安全制度以及平台数据处理规则等社会各界广泛关注的问题。二是工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门适时制定或修订本行业领域数据管理的专门性规定,贯彻落实《数据安全法》等法律行政法规的要求,切实保障行业数据安全,促进数据资源开发利用。
另一方面,强化具体法律制度的统筹协调,完善横向法律制度体系。建议重点做好两方面工作:一是在数据安全与发展并重原则的指导下,进一步处理好数据安全制度与商业数据流通、政务数据管理等制度板块之间的关系,在设计流程规则、法律责任等具体制度时,确保不同法律间规定的一致性和协调性。与此同时,强化每个横向制度板块内部的协调联动,例如针对数据跨境流动等基础性、影响较大的法律制度,建议从宏观层面进行统筹考虑,尝试制定统一的监管规则,解决制度分散化的问题。二是建议通过立法的方式,推动将《关于构建数据基础制度更好发挥数据要素作用的意见》中提出的数据产权、数据要素流通和交易、数据要素收益分配、数据要素治理等数据基础制度转化为具体可行的实践规则。例如,可以将目前一些地方政府正在探索试行的数据交易制度、公共数据授权运营制度等通过制定行政法规或者法律的形式上升国家统一的制度,为推动数据要素价值释放提供切实有效的法律保障。
5 结束语
从国际社会来看,当前全球正处于数据领域立法的重要转折期,开始从“数据保护主义”迈向“数据利用主义”。例如,美国2022年6月提出首部联邦层面的数据立法草案《美国数据和隐私保护法案》,印度政府发布《2022年个人数据保护法案》草案,欧盟立法机构也先后提出《数据法案》和《数据治理法》,这些法律文件和草案的共同趋势和重点内容是,拟通过立法促进数据资源流转利用,解决数据价值释放问题。随着中国数据保护法律制度框架逐步确立,充分发挥数据价值的重要性更加凸显,中国也正处于从数据保护迈向数据赋能的过渡阶段。2022年12月印发的《关于构建数据基础制度更好发挥数据要素作用的意见》指出“要加快构建数据基础制度,激活数据要素潜能”,按照相关立法权限和程序规则,数据基础制度的落地最终需要通过立法的方式完成。因此,可以预见的是,未来中国数据法律制度体系将会持续调整和不断完善,并更多地通过立法推动数据赋能,实现良法善治,助力数字经济高质量发展。