2020年7月2日，全國人大常委會第二十次會議審議了《數(shù)據(jù)安全法(草案)》(“《數(shù)安法》”或“本法”)并公開征求意見。全文7章51條，包括：總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放、法律責任和附則。

　　《數(shù)安法》與去年5月28日國家互聯(lián)網(wǎng)信息辦公室公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》(“《辦法》”)互為補充和支撐，搭建了一個更為全面的數(shù)據(jù)安全保護體系。同時，在《國家安全法》的基礎上，本法作為在數(shù)據(jù)安全領域的專項法律，體現(xiàn)了國家立法層面對數(shù)據(jù)安全的高度重視。

　　下文擬從《數(shù)安法》的保護客體、監(jiān)管體系、規(guī)范行為及對象、數(shù)據(jù)跨境等主要方面作簡要解讀。

一、 保護的客體

　　1.1《數(shù)安法》與《辦法》的保護客體比較

　　與去年公布的《辦法》比較，《數(shù)安法》保護的客體范圍更加廣泛。首先，《數(shù)安法》所保護的客體不僅局限在《辦法》所界定的網(wǎng)絡數(shù)據(jù)范圍，而且還包括線下物理場所存在的數(shù)據(jù)。其次，相對于《辦法》所專注于“個人信息”和“重要數(shù)據(jù)”，《數(shù)安法》則普遍適用于所有數(shù)據(jù)。

　　以上區(qū)別的背后原因，筆者認為是因為《辦法》作為《網(wǎng)絡安全法》下位法，遵循了《網(wǎng)絡安全法》主要規(guī)范數(shù)據(jù)自身安全(即網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性)的思路，而《數(shù)安法》更側(cè)重于數(shù)據(jù)宏觀安全，即從維護國家主權(quán)、安全和發(fā)展利益方面對數(shù)據(jù)進行有效保護和合法利用。

　　1.2“數(shù)據(jù)”與“信息”的關(guān)系

　　另外，《數(shù)安法》將“數(shù)據(jù)”與“信息”的區(qū)別予以明確。《數(shù)安法》將“數(shù)據(jù)”定義為任何以電子或者非電子形式對信息的記錄。可見，信息是數(shù)據(jù)所外在表現(xiàn)的內(nèi)容，數(shù)據(jù)是底層載體或形式。以“個人信息”為例，《數(shù)安法》僅保護記錄這些信息載體的合法使用與客觀安全狀態(tài)，而涉及這些載體之上具體內(nèi)容的部分，即“信息”部分，則由《個人信息保護法》(正處于全國人大常委會審議階段)等其他相關(guān)專門法律所規(guī)范。

　　1.3 數(shù)據(jù)安全保護的意義

　　平衡數(shù)據(jù)“發(fā)展/開放”與數(shù)據(jù)“安全”之間的關(guān)系是貫徹《數(shù)安法》全文的主要基調(diào)，因為數(shù)據(jù)的開發(fā)利用是數(shù)字經(jīng)濟發(fā)展的引擎，而數(shù)據(jù)安全事件又會給國家安全帶來威脅和挑戰(zhàn)。

　　a.數(shù)據(jù)是數(shù)字時代的“石油”

　　根據(jù)中國信通院2019年10月11日發(fā)布的《全球數(shù)字經(jīng)濟新圖景(2019年)》顯示，全球數(shù)字經(jīng)濟蓬勃發(fā)展，在國民經(jīng)濟中占據(jù)核心地位，47個國家數(shù)字經(jīng)濟總規(guī)模超過30.2萬億美元，占GDP比重高達40.3%。

　　數(shù)字經(jīng)濟發(fā)展的關(guān)鍵要素是數(shù)據(jù)。今年3月30日《中共中央、國務院關(guān)于構(gòu)建更加完善的要素市場優(yōu)化配置體制機制的意見》中明確提出了數(shù)據(jù)成為土地、資本、勞動力及技術(shù)之外的第五大基本市場要素。今年5月28日全國人大通過的《民法典》就首次將數(shù)據(jù)和網(wǎng)絡虛擬財產(chǎn)納入保護范圍，賦予數(shù)據(jù)一定的財產(chǎn)屬性。因此，確保數(shù)據(jù)安全對我國的經(jīng)濟發(fā)展至關(guān)重要。

　　b.數(shù)據(jù)安全是國家安全的新領域

　　大數(shù)據(jù)帶來了萬物互聯(lián)，但頻頻引發(fā)的各類數(shù)據(jù)安全事件也隨之而來。其導致的后果既有對個人隱私的侵害，更有對國家安全的威脅。例如，2018年臉書公司(Facebook)5000萬用戶信息泄露，被“劍橋分析”盜取用于大數(shù)據(jù)分析，影響了美國總統(tǒng)大選。所以，數(shù)據(jù)安全是國家安全治理的一個重要組成部分。

二、監(jiān)管體系

　　在數(shù)據(jù)安全的監(jiān)管方面，《數(shù)安法》構(gòu)建了“一個頂點、多維度配合”的體系。

　　“一個頂點”即中央國家安全領導機構(gòu)。該機構(gòu)將針對全國的數(shù)據(jù)安全情況進行整體指導和戰(zhàn)略規(guī)劃，對具體涉及數(shù)據(jù)安全的主體進行間接管理。在具體的執(zhí)行層面，直接監(jiān)管機構(gòu)將接受中央國家安全領導機構(gòu)的領導或指導。

　　“多維度配合”則指各地區(qū)、各部門、各行業(yè)、線上與線下的全方位、交叉監(jiān)管：

　　1、工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國防科技工業(yè)、金融業(yè)等行業(yè)主管部門將在本專業(yè)領域內(nèi)針對特定事項進行監(jiān)管;

　　2、公安機關(guān)、國家安全機關(guān)等在職責范圍內(nèi)進行監(jiān)管;

　　3、國家網(wǎng)信部門將直接負責網(wǎng)絡數(shù)據(jù)安全方面的監(jiān)管，包括具體的日常監(jiān)督、專項整改、管理細則的制定等等。

　　此外，筆者注意到雖然《網(wǎng)絡安全法》與《數(shù)安法》同為《國家安全法》的下位法，但只有《數(shù)安法》強調(diào)其與《國家安全法》一樣，均由中央國家安全領導機構(gòu)間接管理。這可能也印證了《數(shù)安法》與《網(wǎng)絡安全法》在規(guī)范客體和重心上的差異。

　　為了方便讀者理解，筆者整理了如下結(jié)構(gòu)圖以說明監(jiān)管體系之間的關(guān)系：

三、規(guī)范的行為及對象

　　3.1 規(guī)范的行為

　　《數(shù)安法》規(guī)范的“數(shù)據(jù)活動”包括：數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。與《辦法》作比較，本法增加了加工、提供、交易、公開等四個環(huán)節(jié)，同時刪除了《辦法》中“純粹家庭和個人事務除外”的規(guī)定。可見，《數(shù)安法》不僅將“數(shù)據(jù)活動”范圍擴大，亦將單純個人用途使用數(shù)據(jù)的行為納入監(jiān)管。

　　3.2 規(guī)范的對象

　　a.規(guī)范對象的范圍

　　針對企業(yè)而言，目前蓬勃發(fā)展的大數(shù)據(jù)、云計算、人工智能、數(shù)據(jù)處理軟件開發(fā)機構(gòu)等將最直接地適用《數(shù)安法》。然而，從事數(shù)據(jù)活動的主體遠不止上述這類企業(yè)，還有例如：電商平臺、數(shù)據(jù)交易中介這類企業(yè)會從事數(shù)據(jù)的收集、儲存、提供等環(huán)節(jié);社交軟件類企業(yè)會從事數(shù)據(jù)的收集、儲存、加工等環(huán)節(jié);甚至企業(yè)APP或公眾號，在運營中也會收集、儲存用戶的數(shù)據(jù)等。

　　整體上，《數(shù)安法》規(guī)范對象所涵蓋范圍很廣，不僅企業(yè)，也包括涉及數(shù)據(jù)活動的機構(gòu)、社會團體、政府部門，甚至個人。需要注意的是，《數(shù)安法》第2條采用了具有域外適用效力的條款，將違反或損害中國數(shù)據(jù)安全的境外機構(gòu)也一并納入管轄對象的范圍。

　　b.規(guī)范對象的義務

　　為了方便讀者理解，筆者匯總整理了各規(guī)范對象所對應的合規(guī)義務如下：

四、數(shù)據(jù)跨境的“矛”與“盾”

　　由于經(jīng)濟全球化和互聯(lián)網(wǎng)的天然屬性，數(shù)據(jù)在不同國家和地區(qū)之間大規(guī)模、高頻率的流動，數(shù)據(jù)全球化成為推動全球經(jīng)濟發(fā)展的重要力量。在地緣政治方面，美國“棱鏡門”事件推動了各國政府將數(shù)據(jù)跨境流動與國家安全、國家主權(quán)等政策逐漸掛鉤，加劇了世界各國在網(wǎng)絡空間的戰(zhàn)略博弈和數(shù)據(jù)資源爭奪。在這方面，《數(shù)安法》構(gòu)建了我國數(shù)據(jù)跨境流動的“矛”與“盾”。

　　4.1 域外追責及反制威懾——跨境數(shù)據(jù)安全之“矛”

　　如前文所述，《數(shù)安法》在總則第2條中依據(jù)保護管轄原則，規(guī)定數(shù)據(jù)活動無論在境內(nèi)還是境外，只要損害我國國家安全、他人合法權(quán)益的，就要依法追究法律責任。該規(guī)定賦予了《數(shù)安法》域外適用效力，與歐盟的《通用數(shù)據(jù)保護條例》(“GDPR”)有異曲同工之處。

　　依據(jù)國際法的對等原則，《數(shù)安法》第24條就國外采取與數(shù)據(jù)投資、貿(mào)易相關(guān)的歧視性措施時，賦予我國采取反制措施的權(quán)利?？梢哉f是在數(shù)據(jù)安全“守”勢的基礎上保留了反擊的主動權(quán)。

　　4.2 規(guī)范數(shù)據(jù)跨境流動——跨境數(shù)據(jù)安全之“盾”

　　《數(shù)安法》第10條表明我國對數(shù)據(jù)跨境流動的基本態(tài)度，即在確保數(shù)據(jù)安全的前提下，促進跨境自由流動，同時積極開展該領域的國際交流與合作、參與國際規(guī)則和標準的制定。在數(shù)據(jù)出境方面，無論是《網(wǎng)絡安全法》還是去年6月13日國家網(wǎng)信辦《個人信息出境安全評估辦法(征求意見稿)》都采用安全評估制度作為“安全閥”。而在數(shù)據(jù)入境方面，很多國家為了爭奪數(shù)據(jù)資源也已經(jīng)開展了積極的多邊或雙邊談判，謀求建立符合其利益的全球數(shù)據(jù)流動圈，例如歐盟GDPR項下的“充分性”認定名單、美國推動的《美墨加三國協(xié)議》(USMCA)、亞太經(jīng)合作組織(APEC)的“跨境隱私規(guī)則”(CBPR)等。下一步如何打造好我國自己的數(shù)據(jù)跨境流動“朋友圈”是擺在我們面前的一個重要課題。

　　《數(shù)安法》第23條首次提出數(shù)據(jù)出口管制概念，即國家對與履行國際義務和維護國家安全相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。這實際上將去年12月28日《出口管制法(草案)》中的管制物項從“貨物、技術(shù)、服務”擴大到“數(shù)據(jù)”，其目的類似美國的《2018年出口管制法》和《出口管制條例》(EAR)項下對科技數(shù)據(jù)的出境限制。

　　《數(shù)安法》第33條提出了境外執(zhí)法機構(gòu)調(diào)取數(shù)據(jù)的報告批準制度。該制度實際上是回應了近年來很多國家，包括美國《澄清境外數(shù)據(jù)合法使用法案》(the Cloud Act)在內(nèi)，不斷擴大跨境數(shù)據(jù)調(diào)取權(quán)利的立法趨勢，為我國數(shù)據(jù)安全提供了一定保障。需要注意本條款雖然在字面上均可歸入數(shù)據(jù)出境范圍，但是與上文中《網(wǎng)絡安全法》和《個人信息出境安全評估辦法(征求意見稿)》中的數(shù)據(jù)出境活動不同。因為本法第33條涉及的境外數(shù)據(jù)接收者是境外執(zhí)法機構(gòu)，而其活動涉及中國國家主權(quán)，理應適用更為嚴格的出境限制。

五、結(jié)語

　　當前國際形勢復雜多變，特別是新冠疫情給世界主要經(jīng)濟體造成巨大沖擊，全球面臨經(jīng)濟大衰退。然而，數(shù)字經(jīng)濟以其高融合、高技術(shù)、高增長等特性，將成為我國經(jīng)濟發(fā)展的新引擎。數(shù)字經(jīng)濟的要素是數(shù)據(jù)，數(shù)據(jù)也是國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。為了應對數(shù)據(jù)這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn)，《數(shù)安法》應運而生，旨在通過立法提升國家數(shù)據(jù)安全保障能力，維護國家主權(quán)、安全和發(fā)展利益。

　　綜上，《數(shù)安法》項下的數(shù)據(jù)安全不僅擔當了數(shù)字經(jīng)濟壓艙石這一重任，還賦予了國家安全一個全新的監(jiān)管維度。

　　文章來源：關(guān)鍵基礎設施安全應急響應中心    作者：北京德恒律師事務所 王一楠、陳繼鑫   國家互聯(lián)網(wǎng)應急中心 張奕欣、呂欣潤