2020年7月2日，全國人大常委會第二十次會議審議了《數據安全法(草案)》(“《數安法》”或“本法”)并公開征求意見。全文7章51條，包括：總則、數據安全與發(fā)展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任和附則。

　　《數安法》與去年5月28日國家互聯網信息辦公室公布的《數據安全管理辦法(征求意見稿)》(“《辦法》”)互為補充和支撐，搭建了一個更為全面的數據安全保護體系。同時，在《國家安全法》的基礎上，本法作為在數據安全領域的專項法律，體現了國家立法層面對數據安全的高度重視。

　　下文擬從《數安法》的保護客體、監(jiān)管體系、規(guī)范行為及對象、數據跨境等主要方面作簡要解讀。

一、 保護的客體

　　1.1《數安法》與《辦法》的保護客體比較

　　與去年公布的《辦法》比較，《數安法》保護的客體范圍更加廣泛。首先，《數安法》所保護的客體不僅局限在《辦法》所界定的網絡數據范圍，而且還包括線下物理場所存在的數據。其次，相對于《辦法》所專注于“個人信息”和“重要數據”，《數安法》則普遍適用于所有數據。

　　以上區(qū)別的背后原因，筆者認為是因為《辦法》作為《網絡安全法》下位法，遵循了《網絡安全法》主要規(guī)范數據自身安全(即網絡數據的完整性、保密性、可用性)的思路，而《數安法》更側重于數據宏觀安全，即從維護國家主權、安全和發(fā)展利益方面對數據進行有效保護和合法利用。

　　1.2“數據”與“信息”的關系

　　另外，《數安法》將“數據”與“信息”的區(qū)別予以明確。《數安法》將“數據”定義為任何以電子或者非電子形式對信息的記錄?？梢?，信息是數據所外在表現的內容，數據是底層載體或形式。以“個人信息”為例，《數安法》僅保護記錄這些信息載體的合法使用與客觀安全狀態(tài)，而涉及這些載體之上具體內容的部分，即“信息”部分，則由《個人信息保護法》(正處于全國人大常委會審議階段)等其他相關專門法律所規(guī)范。

　　1.3 數據安全保護的意義

　　平衡數據“發(fā)展/開放”與數據“安全”之間的關系是貫徹《數安法》全文的主要基調，因為數據的開發(fā)利用是數字經濟發(fā)展的引擎，而數據安全事件又會給國家安全帶來威脅和挑戰(zhàn)。

　　a.數據是數字時代的“石油”

　　根據中國信通院2019年10月11日發(fā)布的《全球數字經濟新圖景(2019年)》顯示，全球數字經濟蓬勃發(fā)展，在國民經濟中占據核心地位，47個國家數字經濟總規(guī)模超過30.2萬億美元，占GDP比重高達40.3%。

　　數字經濟發(fā)展的關鍵要素是數據。今年3月30日《中共中央、國務院關于構建更加完善的要素市場優(yōu)化配置體制機制的意見》中明確提出了數據成為土地、資本、勞動力及技術之外的第五大基本市場要素。今年5月28日全國人大通過的《民法典》就首次將數據和網絡虛擬財產納入保護范圍，賦予數據一定的財產屬性。因此，確保數據安全對我國的經濟發(fā)展至關重要。

　　b.數據安全是國家安全的新領域

　　大數據帶來了萬物互聯，但頻頻引發(fā)的各類數據安全事件也隨之而來。其導致的后果既有對個人隱私的侵害，更有對國家安全的威脅。例如，2018年臉書公司(Facebook)5000萬用戶信息泄露，被“劍橋分析”盜取用于大數據分析，影響了美國總統(tǒng)大選。所以，數據安全是國家安全治理的一個重要組成部分。

二、監(jiān)管體系

　　在數據安全的監(jiān)管方面，《數安法》構建了“一個頂點、多維度配合”的體系。

　　“一個頂點”即中央國家安全領導機構。該機構將針對全國的數據安全情況進行整體指導和戰(zhàn)略規(guī)劃，對具體涉及數據安全的主體進行間接管理。在具體的執(zhí)行層面，直接監(jiān)管機構將接受中央國家安全領導機構的領導或指導。

　　“多維度配合”則指各地區(qū)、各部門、各行業(yè)、線上與線下的全方位、交叉監(jiān)管：

　　1、工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國防科技工業(yè)、金融業(yè)等行業(yè)主管部門將在本專業(yè)領域內針對特定事項進行監(jiān)管;

　　2、公安機關、國家安全機關等在職責范圍內進行監(jiān)管;

　　3、國家網信部門將直接負責網絡數據安全方面的監(jiān)管，包括具體的日常監(jiān)督、專項整改、管理細則的制定等等。

　　此外，筆者注意到雖然《網絡安全法》與《數安法》同為《國家安全法》的下位法，但只有《數安法》強調其與《國家安全法》一樣，均由中央國家安全領導機構間接管理。這可能也印證了《數安法》與《網絡安全法》在規(guī)范客體和重心上的差異。

　　為了方便讀者理解，筆者整理了如下結構圖以說明監(jiān)管體系之間的關系：

三、規(guī)范的行為及對象

　　3.1 規(guī)范的行為

　　《數安法》規(guī)范的“數據活動”包括：數據的收集、存儲、加工、使用、提供、交易、公開等行為。與《辦法》作比較，本法增加了加工、提供、交易、公開等四個環(huán)節(jié)，同時刪除了《辦法》中“純粹家庭和個人事務除外”的規(guī)定。可見，《數安法》不僅將“數據活動”范圍擴大，亦將單純個人用途使用數據的行為納入監(jiān)管。

　　3.2 規(guī)范的對象

　　a.規(guī)范對象的范圍

　　針對企業(yè)而言，目前蓬勃發(fā)展的大數據、云計算、人工智能、數據處理軟件開發(fā)機構等將最直接地適用《數安法》。然而，從事數據活動的主體遠不止上述這類企業(yè)，還有例如：電商平臺、數據交易中介這類企業(yè)會從事數據的收集、儲存、提供等環(huán)節(jié);社交軟件類企業(yè)會從事數據的收集、儲存、加工等環(huán)節(jié);甚至企業(yè)APP或公眾號，在運營中也會收集、儲存用戶的數據等。

　　整體上，《數安法》規(guī)范對象所涵蓋范圍很廣，不僅企業(yè)，也包括涉及數據活動的機構、社會團體、政府部門，甚至個人。需要注意的是，《數安法》第2條采用了具有域外適用效力的條款，將違反或損害中國數據安全的境外機構也一并納入管轄對象的范圍。

　　b.規(guī)范對象的義務

　　為了方便讀者理解，筆者匯總整理了各規(guī)范對象所對應的合規(guī)義務如下：

四、數據跨境的“矛”與“盾”

　　由于經濟全球化和互聯網的天然屬性，數據在不同國家和地區(qū)之間大規(guī)模、高頻率的流動，數據全球化成為推動全球經濟發(fā)展的重要力量。在地緣政治方面，美國“棱鏡門”事件推動了各國政府將數據跨境流動與國家安全、國家主權等政策逐漸掛鉤，加劇了世界各國在網絡空間的戰(zhàn)略博弈和數據資源爭奪。在這方面，《數安法》構建了我國數據跨境流動的“矛”與“盾”。

　　4.1 域外追責及反制威懾——跨境數據安全之“矛”

　　如前文所述，《數安法》在總則第2條中依據保護管轄原則，規(guī)定數據活動無論在境內還是境外，只要損害我國國家安全、他人合法權益的，就要依法追究法律責任。該規(guī)定賦予了《數安法》域外適用效力，與歐盟的《通用數據保護條例》(“GDPR”)有異曲同工之處。

　　依據國際法的對等原則，《數安法》第24條就國外采取與數據投資、貿易相關的歧視性措施時，賦予我國采取反制措施的權利?？梢哉f是在數據安全“守”勢的基礎上保留了反擊的主動權。

　　4.2 規(guī)范數據跨境流動——跨境數據安全之“盾”

　　《數安法》第10條表明我國對數據跨境流動的基本態(tài)度，即在確保數據安全的前提下，促進跨境自由流動，同時積極開展該領域的國際交流與合作、參與國際規(guī)則和標準的制定。在數據出境方面，無論是《網絡安全法》還是去年6月13日國家網信辦《個人信息出境安全評估辦法(征求意見稿)》都采用安全評估制度作為“安全閥”。而在數據入境方面，很多國家為了爭奪數據資源也已經開展了積極的多邊或雙邊談判，謀求建立符合其利益的全球數據流動圈，例如歐盟GDPR項下的“充分性”認定名單、美國推動的《美墨加三國協(xié)議》(USMCA)、亞太經合作組織(APEC)的“跨境隱私規(guī)則”(CBPR)等。下一步如何打造好我國自己的數據跨境流動“朋友圈”是擺在我們面前的一個重要課題。

　　《數安法》第23條首次提出數據出口管制概念，即國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制。這實際上將去年12月28日《出口管制法(草案)》中的管制物項從“貨物、技術、服務”擴大到“數據”，其目的類似美國的《2018年出口管制法》和《出口管制條例》(EAR)項下對科技數據的出境限制。

　　《數安法》第33條提出了境外執(zhí)法機構調取數據的報告批準制度。該制度實際上是回應了近年來很多國家，包括美國《澄清境外數據合法使用法案》(the Cloud Act)在內，不斷擴大跨境數據調取權利的立法趨勢，為我國數據安全提供了一定保障。需要注意本條款雖然在字面上均可歸入數據出境范圍，但是與上文中《網絡安全法》和《個人信息出境安全評估辦法(征求意見稿)》中的數據出境活動不同。因為本法第33條涉及的境外數據接收者是境外執(zhí)法機構，而其活動涉及中國國家主權，理應適用更為嚴格的出境限制。

五、結語

　　當前國際形勢復雜多變，特別是新冠疫情給世界主要經濟體造成巨大沖擊，全球面臨經濟大衰退。然而，數字經濟以其高融合、高技術、高增長等特性，將成為我國經濟發(fā)展的新引擎。數字經濟的要素是數據，數據也是國家基礎性戰(zhàn)略資源，沒有數據安全就沒有國家安全。為了應對數據這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn)，《數安法》應運而生，旨在通過立法提升國家數據安全保障能力，維護國家主權、安全和發(fā)展利益。

　　綜上，《數安法》項下的數據安全不僅擔當了數字經濟壓艙石這一重任，還賦予了國家安全一個全新的監(jiān)管維度。

　　文章來源：關鍵基礎設施安全應急響應中心    作者：北京德恒律師事務所 王一楠、陳繼鑫   國家互聯網應急中心 張奕欣、呂欣潤