鄭 鈜 汪 灝

（西華大學知識產權學院／法學院 四川成都 610039）

一、《數據安全法》在國家安全立法體系中的地位

盡管在《國家安全法》制定實施之前，我國的安全法制體系中就有《海上交通安全法》《安全生產法》《道路交通安全法》等法律規(guī)范，但是《國家安全法》以“更新”《反間諜法》的方式①，宣告了以“總體國家安全觀”為指引的具有新內涵的國家安全立法②，推動形成了新興的國家安全法治領域。由此，越來越多的“安全法”或安全相關法已經制定實施或者即將制定實施，如《網絡安全法》《核安全法》，以及正在制定的《數據安全法》《生物安全法》以及《出口管制法》等。

在總體國家安全觀的思想框架下，國家安全從宏觀視角進入一個具體的領域，立法也必然會出現一個“聚焦”的過程。特別是鑒于近年來國際政治經濟格局和形勢都發(fā)生了巨大變化，以《國家安全法》為頂層設計的國家安全法治體系已經初露端倪，以網絡安全、數據安全、個人信息安全、生物安全、核安全等為具體內容的國家安全立法有機結構有待快速擴張。盡管《國家安全法》與《網絡安全法》及其他具體領域安全法均由全國人大常委會制定，但《國家安全法》具有總體制度凝練的特質，而《網絡安全法》等具體領域安全法體現出具體內容指向的特征，這應當構成我們在分析研討數據安全立法時進行縱向和橫向比較的基礎，同時也應當作為我們對《數據安全法（草案）提出意見建議的前提。

由于《數據安全法》與《國家安全法》的特殊關系，《中華人民共和國數據安全法（草案）》（以下簡稱《數據安全法（草案）》）沿襲了《網絡安全法《出口管制法（草案）》《生物安全法（草案）》在內容中對國家安全或《國家安全法》援引的做法，同時很大程度上在立法思路、內容結構以及表述方式等方面與《國家安全法》保持一致，并在一定程度上與《網絡安全法》等形成比照關系。盡管《數據安全法（草案）》存在一些明顯缺陷和不足尤其是對于數據的原本性研究及其規(guī)范路徑討論尚不充分，但是隨著數據作為一種新的生產要素已經被廣泛投入到各種經濟活動之中，并得到了黨中央和國務院的政策明確③，加之數據安全領域的制度建設需求日益緊迫，因此《數據安全法》需要在效率與質量、概括與精細之間尋求平衡。與此類似，立法還需在數據安全與數據發(fā)展、數據安全與數據開放之間尋求平衡，盡管草案第二章和第五章對此有專章規(guī)定，但是仍需在矛盾統(tǒng)一和統(tǒng)籌兼顧的思路上進一步優(yōu)化內容。

二、《數據安全法（草案）》具體修改意見

1）統(tǒng)籌草案中的“公民”“組織”“個人”等用語，統(tǒng)一且分不同場合使用“自然人、法人和其他組織”“個人、組織”兩組用語。

理由：“自然人、法人和其他組織”“公民、組織”與“個人和組織”是幾組不同的法律規(guī)范表達方式，應當根據本法需要分不同的場合使用[1]?！秶野踩ā肥褂昧恕肮?、組織”和“個人、組織”兩組用語，而《網絡安全法》使用了“自然人、法人和其他組織”和“個人、組織”兩組用語，考慮到《國家安全法》規(guī)定的內容更為宏觀、國家特色更為鮮明，因此《數據安全法》應當與《網絡安全法》保持一致。建議在保留草案原部分條文中使用“組織、個人”的基礎上，將第一、二、五、八、十九、四十七條中的“公民、組織”修改為“自然人、法人和其他組織”。

2）規(guī)范草案表述，統(tǒng)一將第七條第二、三、四款的“監(jiān)管”等修改為“監(jiān)督管理”。

理由：規(guī)范用語。

3）第三條第二款“數據活動，是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。”修改為“數據活動，是指數據的收集、存儲、使用、加工、提供、公開、交易等行為。”

理由：在數據活動中，數據使用應當先于數據加工，即存有無需加工即可使用的數據?！睹穹ǖ洹返?035 條第二款規(guī)定，“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”個人信息處理活動的規(guī)定中，信息使用也是先于數據加工的。因此，《數據安全法》應當與《民法典》相關規(guī)定保持一致。此外，數據交易作為一種特殊的經營性數據活動，應當放置于活動類別的最后。

4）第三條第三款“數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用”修改為“數據活動，是指通過采取必要措施，有效應對數據活動危險和威脅，保障數據得到有效保護和合法利用”。

理由：依照《國家安全法》第二條對于國家安全的界定，完善數據安全的法律內涵。同時，刪除不必要的詞語“通過”，使條文更加簡潔、規(guī)范。

5）第七條第一款的“各地區(qū)、各部門”修改為“省級人民政府、中央國家機關各部門”，同時將“產生、匯總、加工的數據及數據安全”修改為“數據活動安全”，整合第七條第一款和第二款，修改為“省級人民政府、中央國家機關各部門對本地區(qū)、本部門的數據活動安全負主體責任，承擔數據安全監(jiān)督管理職責”。同時刪除第七條第二款。

理由：首先，各地區(qū)、各部門的界定較為模糊、寬泛，不利于具體的執(zhí)行[2]，從現有管理體制和職權配置來看，省級人民政府、中央國家機關各部門具有較強的行政管理能力和制度建設資格。其次，數據的“生產、匯總、加工”與第三條的“收集、存儲、加工、使用、提供、交易、公開”等行為存在矛盾、不周延之處，因此直接使用“數據活動”總體概括即可。此外，由于第一款已經明確了主體責任，同時第二款的規(guī)定對于行業(yè)和領域的主管部門覆蓋不全，未能全面涵蓋各種數據，因此宜與第一款合并規(guī)定。

6）第八條調整為第六條，第六、七條依次變更為第七、八條。

理由：第八條總體性的義務性規(guī)定，與第五條的邏輯關系更加密切，應當與第五條連續(xù)規(guī)定。而第六、七條是明確數據活動的具體管理分工，在邏輯上應當在在總體性規(guī)定之后。

7）第十七條在原文后增加規(guī)定“具體數據交易管理辦法由國務院制定。”

理由：黨的十九屆四中全會首次將數據作為一種新型生產要素，《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》提出，加快培育數據要素市場，探索建立統(tǒng)一規(guī)范的數據管理制度，《中共中央國務院關于新時代加快完善社會主義市場經濟體制的意見》進一步提出，加快培育發(fā)展數據要素市場。數據交易是實現數據資源市場化配置的重要機制，是進一步促進數據要素自主有序流動，實現數據效益最大化和效率最優(yōu)化的重要方式。但是，我國在數據確權、數據定價、數據產品、數據服務、交易規(guī)則、權利救濟等方面的制度探索尚處于起步階段[3]，部分地方和企業(yè)進行了嘗試，取得了一些進展，但遠不能滿足我國的發(fā)展需要。草案對數據交易的關注較少，基本上僅有本條一條，且表述過于空泛、籠統(tǒng)。為加快數據交易制度建設，建議提升制度建設層級，明確制度建設主體，由國務院統(tǒng)籌數據交易市場建設。

8）第十九條第一款的“分級分類”修改為“分類分級”。

理由：中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》規(guī)定，“推動完善適用于大數據環(huán)境下的數據分類分級安全保護制度”。同時，《納稅人分類分級管理辦法》《證券期貨業(yè)數據分類分級指引》《工業(yè)數據分類分級指南(試行)》等直接采用了“分類分級”的表述。此外，從制度邏輯上分析，按照本條第一二款的規(guī)定，數據至少可分為“重要數據”和“非重要數據”，“非重要數據”是否都需要分級保護存疑，因此，數據安全與保護的基礎邏輯是先分類、再分級。

9）第十九條第二款修改為“國家建立重要數據保護目錄，對列入目錄的數據進行重點保護。重要數據保護目錄的具體范圍和保護辦法由國務院制定?！?/p>

理由：目前社會各界都比較關注第十九條第二款的重要數據保護問題，在共識性地認同對重要數據進行特殊保護的基礎上，提出了需要對重要數據進行界定，明確重要數據的范圍，建立重要數據的安全保護規(guī)則等進一步完善和細化規(guī)定的建議?？紤]到重要數據保護制度建設是一個系統(tǒng)工程，草案第十九條第二款要求“各地區(qū)、各部門”按照國家有關規(guī)定自行確定的難度和風險較大，建議借鑒《網絡安全法》第三十一條的規(guī)定，授權由國務院制定具體辦法，落實實施主體，明確責任目標。

10）第二十二條第二款“依法作出的安全審查決定為最終決定”修改為“中央國家機關各部門和省、自治區(qū)、直轄市人民政府依照法律、行政法規(guī)行使數據國家安全審查職責，作出的安全審查決定為最終決定?！?/p>

理由：草案規(guī)定雖然缺少主體規(guī)范，但是來源于《外商投資法》，結合《國家安全法》第59、60 61 條的規(guī)定，建議作出上述修改。

11）第二十三條修改為“與履行國際義務和維護國家安全相關的屬于管制物項的數據，依照《出口管制法》實施出口管制。”

理由：草案規(guī)定較為籠統(tǒng)、模糊，建議進一步明晰。

12）刪除第二十六條。

理由：第二十六條規(guī)定與草案第八條規(guī)定重復，由于第八條作為總則內容已有規(guī)定，建議此處刪除。

13）第二十七條“······風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險時，應當立即采取補救措施發(fā)生數據安全事件時，應當按照規(guī)定及時告知用戶并向有關主管部門報告”修改為“······監(jiān)測預警，發(fā)現數據安全缺陷、漏洞等危害數據安全風險時，應當立即采取補救措施并通知相關個人、單位；發(fā)生數據被篡改、破壞、泄露或者非法獲取非法利用等數據安全事件時，應當按照規(guī)定及時告知相關個人、單位，采取必要措施并向有關主管部門報告”。

理由：草案規(guī)定關于安全風險通知義務的規(guī)定不夠完善，對數據安全事件的界定不夠清晰，此外，“用戶”的表述也不夠規(guī)范，“用戶”多用于數據“使用”場景，而數據活動除使用外還包括收集、存儲、加工、提供、公開、交易等[4]。

14）第三十條修改為“從事數據存儲、使用加工以及交易中介等服務的組織、個人在提供服務時，應當要求數據提供方說明數據來源,審核數據提供方身份，并留存記錄。”

理由：草案規(guī)定僅限于交易中介，大大限縮了數據服務的內容，建議根據實踐需要加以完善。同時，從事數據服務的不限于機構等組織，建議也將個人納入[5]，與第二十九條的規(guī)定保持一致。

15）第三十二條“批準手續(xù)”修改為“批準程序”。

理由：更加嚴格、規(guī)范，使全法保持統(tǒng)一。

16）第三十三條“境外執(zhí)法機構要求調取”修改為“境外組織、個人要求調取”，并增加規(guī)定“具體辦法由國務院制定?！弊鳛榈谝豢睢２莅敢?guī)定的“中華人民共和國締結或者參加的國際條約、協定對外國執(zhí)法機構調取境內數據有規(guī)定的，依照其規(guī)定?！弊鳛榈诙?。

理由：在數據的跨境流動方面，為提高監(jiān)管效率，避免給數據的正常流動制造障礙，應該對監(jiān)管等級進行區(qū)分，為不涉及安全問題的非重要數據建立具有排除意義的白名單，對危害社會公共安全的數據和調取行為建立懲罰性的負面清單。在此基礎上，建議第三十三條不僅限于境外的執(zhí)法機構，因為境外的執(zhí)法機構只是涉及一個執(zhí)法的協助問題，而實際上不只是執(zhí)法機構，境外的各種組織甚至個人都有這種需求來調取數據[6]，使數據產生跨境流動。草案規(guī)定較為狹窄，不利于數據的跨境保護，建議擴大保護對象，覆蓋全部境外主體，同時由國務院明確具體的管理辦法。

17）第三十四條增加一款作為該條第二款，“政務數據，是指國家機關履行國家管理職能形成的數據?！?/p>

理由：政務數據公開實際上是數據市場發(fā)展的重要基礎。應當增加對政務數據的內涵和范圍界定，并與第四十條相呼應。此外，對政務數據的公開、使用以及安全保障還需要進一步細化。

18）第三十五條和第三十六條順序相互對調。同時，將第三十六條中的“數據安全”修改為“政務數據安全”。

理由：第三十六條是關于政務數據安全的總體性制度規(guī)定，而第三十五條約束的是收集、使用等具體行為規(guī)范，且與第三十七、三十八條具有邏輯順序關系，因此第三十五條和三十六條應當顛倒順序。同時，考慮本章規(guī)范的是“政務數據”，而本條將范圍擴大到“數據”層面，則與草案第七條規(guī)定重復，因此本條應當突出“政務數據”的特殊性。

19）第三十五條“需要收集、使用數據”修改為“需要收集、存儲、使用、加工數據”。

理由：草案規(guī)定僅限于收集和使用兩種具體數據活動，實踐中政務數據活動還包括由本單位進行數據存儲和加工等，因此本條應當加以完善。

注釋：

① 2014 年11 月1 日，十二屆全國人大常委會第十一次會議審議通過的《中華人民共和國反間諜法》廢止了1993 年2 月22 日通過的以反間諜為主要立法目標的《國家安全法》。

② 國家安全的內涵包括人民安全、政治安全、經濟安全、軍事安全、文化安全、社會安全、國際安全以及其他各領域國家安全。詳見《國家安全法》第3 條。

③ 詳見《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》。