来源:《中国社会科学文摘》2023年第7期P117—P118
作者单位:北京理工大学法学院,摘自《法学杂志》2023年2期,李树民摘
本文试图将数据安全法所谓的“安全”拆分为三个层次加以理解,其内在立法逻辑在于围绕数据的安全、控制、利用三个层次展开。
所谓“安全”是指国家构建数据安全制度,明确数据安全保护义务,实现技术意义上的数据安全,也是《数据安全法》最基本的层次。在信息科学领域,数据作为信息存储、传输和处理的方式,往往与信息等同使用,数据安全也就等同于信息安全。国际标准化组织(ISO)将信息安全定义为“通常是指保护信息的保密性、完整性和可用性,以实现用户对可用信息的需求”,也即所谓“CIA”三性:保密性(confidentiality)是指“维护信息获取和披露的授权限制,包括保护个人隐私和专有信息的方法”;完整性(integrity)是指“防止不当的信息修改或破坏,包括确保信息的不可否认性和真实性”;可用性(availability)是指“确保信息的及时以及可靠的获取与使用”。
所谓“控制”是基于数据作为国家基础性战略资源的视角,从维护国家主权、安全和发展利益的高度,明确国家能够对一定范围内数据的收集、使用、流动、删除、销毁等环节提出自主控制和支配的强制性要求。虽然《数据安全法》没有像《网络安全法》一样,明确提出“维护数据主权”的主张,但无疑也关注到这一问题,从维护国家主权的高度明确数据安全保障要求,如重要数据保护、数据国家安全审查制度、数据出口管制要求、境外执法机构数据调取的“封阻法令”均是从国家对本国数据进行控制和支配的角度提出的制度性构想。
所谓“利用”是指公共部门基于公共行政或执法必要性等调取私营部门所持有的数据,以及鉴于数据对于经济生产、公共管理、商务智能等决策支持作用,通过立法推进公共部门已有数据的再次利用,实现对数据驱动的制度支持,既包括推进政务数据共享,也包括政务数据开放以便利全社会实现数据的增值性利用。
我国《数据安全法》主要是一部授权性法律,意在对标域外主要国家和地区对数据的立法和规制措施,赋予我国相关主管监管部门权限,开展后续的数据安全管理和监督工作。但目前为止,除了国家互联网信息办公室制定的《数据出境安全评估办法》之外,鲜见其他部委利用《数据安全法》赋予的授权。
在欧美各自结合自身特点形成数据战略的前提下,我国如何形成符合我国自身安全、发展利益的数据战略,是决定数据安全法内在品质的关键性标准所在。由此,在战略层面,《数据安全法》的实施应当将以数据主权为核心的国家数据能力,作为我国数据战略竞争的基本考量要素之一。数据主权是国家对其政权管辖区域范围内个人、企业和相关组织所产生的数据拥有的最高权力,除保障国家对其管辖区域内数据的控制性权力外,还应包括增强国家(包括其管辖的组织和个人)对(境内外)数据的掌握程度和处理利用能力。
对于《数据安全法》的实施而言,维护我国的数据主权,还同时考虑如何让我国企业能够在全球范围内掌握、利用更多的数据。当前我国数字经济虽然取得了举世瞩目的成就,规模和实力仅次于美国,但与美国全球化运营的互联网企业相较而言,我国众多的网信企业更多的是依赖于日渐饱和的国内市场,国际化进展却不尽如人意。我国数字经济产业仍处于上升期,未来网信企业出海存在广阔空间,而过于强调公权力控制及面向美欧的应对式数据跨境流动监管,事实上将会对我国网信企业出海造成阻碍。背后的原因是正常商业合作中数据流不出去,自然会联动地影响数据流进来,进而导致我国网信企业无法做到全球运营一盘棋。
所以,《数据安全法》在后续实施时,各相关主管监管部门应当充分利用《数据安全法》的授权,在国家统一建立的数据分类分级的基础上,明确每类数据出境所面临的主要安全风险,配以相应的出境管控措施,做到精细化的治理,并定期更新数据的分类分级目录,动态性地应对内外部数据安全风险变化。
我国《数据安全法》并非局限于数据安全问题,而是在更加宽泛的意义上理解安全,意图通过《数据安全法》一部法律完成欧美等国家或地区多部法律协力完成的综合治理目标,本身的立法难度较高;同时,在数字经济全球化背景下,数据安全立法也为国际社会所关注,因此既要避免相关制度设计被别有用心者借口攻击我国法治形象,也应尽可能提升我国数据立法制度的竞争力,本身的立法要求也更高,在上述标尺衡量下看,该法存在构建性不足的问题。
从安全的层次看,《数据安全法》对于数据流转中的安全风险制度设计提出了原则性的要求,但对数据流动过程中的安全风险并没有提出针对性的措施。其中第4章“数据安全保护义务”第22条、第23条、第27条至第29条对“数据”提出的安全要求,基本上也对网络适用,与此前《网络安全法》中相关义务的规定高度相似。换句话说,将上述条文中的“数据”替换成“网络”,并不会造成理解或解释方面的困难。但数据安全不同于网络安全,网络相对静止,其所有者、管理者、运营者的责任区分较为明确;数据具有高流动性和可复制性,通过传输或复制广泛流转之后,数据的控制者、使用者同时增多。因此,数据流转中的安全如何保障,是数据安全立法需要专门设计的内容,《数据安全法》的实施应进一步考虑保障数据流动链条中所有参与主体较为一致的安全保障水平,并明确数据流动链条中上下游参与各方的安全责任划分问题。
从控制层面来看,《数据安全法》考虑到数据泄露的初始风险乃至数据被不当分析利用可能造成的风险,而在传统国家秘密之外,提出了重要数据保护的基本框架,具体内容包括:认定主体及目录制度、安全负责人、定期风险评估、出境管理。但从平衡重要数据安全保障和流转利用的角度来看,《数据安全法》在实施方面,还存在着优化空间:其一,授权部门、各地进行重要数据的认定时,缺乏一定门槛的限定,实践中很可能出现认定标准不一,导致过度保护或疏于保护等问题,应将认定权限限于各行业主管部门。其二,应当明确重要数据在境内和境外流转应遵循的基本原则,确定重要数据流转时应采取的安全控制措施,从而实现重要数据安全和开发利用之间的平衡。其三,《数据安全法》后续的实施还需要明确重要数据认定程序、期限、异议、监督等基本事项,或者参考《网络安全法》明确授权主管部门制定专门性的安全保护条例,避免《数据安全法》中重要数据保护基本框架(如安全负责人、专项风险评估等)得不到细化甚至于落地无力的局面。
从利用层面来看,目前《数据安全法》中关于利用的内容主要是关于政务数据安全与开放、公安机关和国家安全机关因依法维护国家安全或者侦查犯罪的需要而调取数据的规定,以及封阻来自域外的调取数据要求,但相应内容大量使用了“依照法律、行政法规规定”“按照国家有关规定”等措辞,将相应的制度规范要求指向数据安全法之外的其他法律、行政法规,但又没有交代清楚具体依照哪部法律、行政法规的规定,有违法律规范应当明确、具体的特性要求。对于政务数据安全与开放的问题,我国各地政府推进的政务数据安全和开放的立法行动可为参照,数据安全法可以求同存异,以提取公因式的方式将其中的一些制度上升为一般性制度和普遍性要求。对于执法调取数据的规定,一定程度上存在对我国“数据后门”的误解。因此,即便我国数据安全法拒绝欧美“扩张式”的跨境调取数据立法,而坚守我国的“防守”模式,也应当明确具体的调取主体、调取程序、异议机制等具体内容。
《数据安全法》构建了关于数据的基本制度框架,各相关主管监管部门应当在“国家数据安全工作协调机制”的统筹指导下,将《数据安全法》的原则和精神与各行业和领域情况充分结合,细化、充实“安全”“控制”“利用”这三个层面的制度设计,最终形成“统分协调”的数据制度。
总体来看,我国《数据安全法》试图高屋建瓴地构建基本的数据安全治理框架,在给数据安全治理的未来新发展留出空间的同时,却需要通过扎实、细致、系统的实施和落地,才能完全发挥战略意图。在《数据安全法》进入实施环节的当下,我国应尽快地凝练并提出符合自身主权、安全、发展利益的数据战略,以此为基点,围绕数据“安全—控制—利用”的三层脉络,进一步完善重点制度设计。
转自:“中国学派”微信公众号
如有侵权,请联系本站删除!
