【原】《数据安全法》今起施行！法案出台的背景和启示有哪些？

6月10日，十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》以下简称《数据安全法》），并于今日起正式施行。

其实，早在出台之前，《数据安全法》就已引起广泛关注，甚至在国际上也产生了重要影响。事实上，自《数据安全法（草案）》公布之后，一些域外的企业、机构就逐渐收回伸向中国数据的手。最近，一些热点事件引发的思考与讨论，把对《数据安全法》的关注度提升至新的高度。

吴沈括 北京师范大学网络法治国际中心执行主任

法案出台的国内外背景

《数据安全法》共包含七章55条内容，是全球第一部以数据安全为名的统一立法，其出台本身有着非常深刻的国际和国内背景。

从国际环境来看，当前全球数字化博弈掀起新一轮浪潮：

· 一是数字经济的跨国发展、竞争日趋激烈。且相关竞争已扩散到经济活动的方方面面，覆盖范围从基础设施到生态应用。

· 二是围绕数据资源的国际争夺大幅延伸。从投资审查、出口管制到市场竞争等都有非常多的举措和立法动议。

· 三是针对数据安全的治理力度持续走强。新一代数据立法从2019年开始呈现出加速推出的趋势，从欧盟到美国，再到其他新兴市场国家围绕数据安全的规则博弈不断升级。

从国内的角度来看，自从进入高质量发展的新阶段之后，我国数字化转型全面提速，尤其今年作为“十四五”规划的开局之年，确实面临着新的产业生态和数字生态。以国家出台的各项举措为参照：

· 在政策层面，从2015年国务院《促进大数据发展行动纲要》到2021年国家“十四五”规划和2035年远景目标纲要来看，数字化转型已成为国家各项政策战略和大政方针的核心组成部分。

· 在数字经济层面，2020年5月13日，国家发展改革委员会发布“数字化转型伙伴行动”倡议，以及2020年6月300在中央全面深化改革委员会第十四次会议上，审议通过了《关于深化新一代信息技术与制造业融合发展的指导意见》。

· 在数字政府领域，从2019年4月26日《国务院关于在线政务服务的若干规定》，到2020年6月110，六部门关于印发《国家电子政务标准体系建设指南》的通知都表明，数字政府电子政务的建设进入了一个快车道。

可以说，数据活动的爆炸式发展深度重塑了当代的经济发展、社会治理和人民生活。数据安全也成为涉及国家安全和经济社会发展的一个重大问题。

基于以上国内外背景，《数据安全法》的起草制定考虑了四项因素：

· 一是数据作为国家基础性战略资源，事关国家主权、安全和发展利益，而且事关国际话语权；

· 二是数据活动的全方位融合拓展和复杂的数据处理活动，在培育新机遇的同时也伴生更高的安全风险；

· 三是以创新为主要引领和支撑的数字经济需要完善的数据安全治理体系予以保障；

· 四是数字政府或电子政务的升级也亟需政务数据安全管理制度和开放利用规则的全面支撑。

这些基本思路和考虑在法案不同章节的条文中都得到了细致的展开。

蕴含的数据安全逻辑

相对于国家安全和网络安全，数据安全是一个比较新的概念，它所体现的数据安全逻辑到底是什么？可能从技术圈、法务圈等不同的角度，会有不同的观点。但从《数据安全法》的立法文本来看，有以下几点较为突出：

着眼国家利益的数据管理要求

《数据安全法》作为网络安全法姊妹法的立法定位，其第一条和第五条均体现了非常清晰的新阶段总体安全要求和思路变化，即强调发展是国家利益，安全也是国家利益。这种观念在新的国际国内环境中具有重要意义。

强调全面的安全生态建设

法案第四条、第七条和第十三条均要求权益的平衡，在不同场景中实现数据要素的安全保障与流动利用的动态协调。这是贯穿《数据安全法》各个条文的一个非常重要的逻辑。

有限度的数据安全全球管辖机制

这与现阶段我国立法的基本态度强相关，即比较注重中国法律的域外适用问题。

例如，2020年全国人大常委会法制工作委员会在一份公开的文件中讲到要加强研究中国法律的域外适用问题。这一新的态度变化实际上导致了我国制度设计以及合规风控整体思路的升级和变化。

根据条文设计，数据安全法对境内主体侧重于属地原则的要求，而对于境外主体则侧重于保护原则的要求。这一个特殊思路和目前的个人信息保护法二审稿有所不同。

数据安全不止于个人信息保护

从第五十三条的条文可以看出，《数据安全法》覆盖了个人数据和非个人数据，并且以非个人数据为重。世界各国虽然没有数据安全相关单独立法，但超过66个国家或地区已有涉及数据安全的特殊条文。

数据安全法的条文内容从安全审查、出口管制到贸易制裁等的五个层次，对标了世界各国个人信息相关法案以外，与数据安全相关的所有立法。

喻示的合规风控体系

基于以上制度设计和安全逻辑解读，可以更好地理解《数据安全法》所喻示的合规风控体系和思路，把握其所提供的一整套新的有助于数据安全的合规风控机制建设的方法论。

外部工具的利用

《数据安全法》不仅是一部监管性立法，也是一部支撑型立法。其在国家层面通过制度设计，在外部为国家和社会提供诸多有益的制度支撑。

突出反映在法案第三章有关数据安全制度的条文设计，明确了国家层面与数据安全有关的各项制度指引，构成了核心外部资源。这也是各界都特别关注的后续制度细化部分：

1.数据分类分级保护制度（第二十一条）。关于分级分类，数据安全法的二审稿有了一个变化，采用的是分类分级，这其实是方法论的改变。

2.数据安全风险管理制度和数据安全应急处置机制（第二十二、二十三条）。

3.数据安全审查制度（第二十四条）。我曾预言数据安全的审查制度大概率会沿续网络安全，即2020年6月1日正式施行的《网络安全审查办法》的制度框架来推进。

从7月10号《网络安全审查办法（修订草案征求意见稿）》来看，也确实如此，网络安全审查的一个内涵覆盖数据安全的基本要求。这既是对于数据安全法落地的支撑，也丰富了数据安全观。

4.管制物项数据出口管制制度（第二十五条）。根据我们的研究，目前全球范围内至少有超过30个国家有涉及数据出口管制的间接条文。所谓间接条文，是指虽然没有明确表示要管制数据出口，但其实质效果和我国的出口管制法相似，例如美国的受控非密信息管理制度等。

5.数据安全国际对等机制（第二十六条）。在《网络安全审查办法（修订草案征求意见稿）》中和7月6日发布的《关于依法严厉打击证券违法活动的意见》中均有“国际对等”的体现。这表明了我国“十四五”阶段和“十三五”阶段在立法层面的特色切换。

内部机制的建设

《数据安全法》为法律合规体系的内部机制建设提供了两个有益的思考路径：

理念更新

1.安全思维的转变，从以往关于数据的CRA三性要求（机密性、完整性、可用性），到现在结合国际与国内的立法实践，在数据安全法中突出了合法设计、伦理设计和安全设计融合。

2.风控策略的设定，强调了双维度预案，一方面是全面遵循法律免受处罚；另一方面也需要基于生态建设的角度，积极运用法律来惩治不法。

3.核心权益的维护，包括法律工具的体系化综合运用和充分利用法律所赋予的正当化机制。如何在各单位的运行过程中，运用好相关法律工具，其实是一个新的课题。

4.关键风险的管控，尤其是通过有效的定岗定责和定岗定人来实现“责任阻断机制”的建设。

机制设计

1.技术层面的安全，例如建立有效的数据风险监测与处置机制。

2.组织管理的安全。包括建立强调合法、正当和必要性论证的全生命周期数据安全管理制度，以及面对国内外执法机关的数据协助、配合、报告与批准机制和数据安全教育培训等。

3.内容价值的安全。《数据安全法》与《网络安全法》的一个不同之处是其涵盖了数据、数据技术和数据应用的内部伦理审查机制问题，这又是一项新的立法变化。

《数据安全法》的出台是符合全球数据治理大趋势的，同时其也是从中国的实际出发，具有中国特色的。中国数据安全治理工作在《数据安全法》的统领下将进入一个新阶段。接下来应持续调研国内数据使用情况，针对目前如金融、汽车、医疗等行业数据收集使用，高校刷脸、监控的使用，疫情防控健康码的使用等各行业各领域的实践不断细化相关规则，不断丰富《数据安全法》相关配套的司法解释、法规、规章。也应时刻保持对海外政策前沿的追踪，把握数据治理大趋势，使中国的数据治理与世界接轨。

*本文根据北京师范大学网络法治国际中心执行主任吴沈括在中国互联网大会“数据安全论坛”上报告整理

整理、责编：郑艺龙

投稿、转载或合作，请联系：eduinfo@cernet.com