封面策划|【原创】张吉豫：我国数据治理法律体系中的《数据安全法》

　　文 | 张吉豫 中国人民大学未来法治研究院执行院长

　　一、我国立体式数据治理法律体系的形成

　　近年来，大数据、云计算、物联网、人工智能、区块链等信息技术的融通应用，为社会发展带来了新的赋能，也为法治建设提出了新的要求。数据已经成为了新型的重要生产要素。2020年4月9日，中共中央、国务院公布了《关于构建更加完善的要素市场化配置体制机制的意见》，将数据与土地、劳动力、资本、技术一同列为五大生产要素之一，提出了要“加快培育数据要素市场”的建设要求。我国“十四五”规划[1]中第五篇为“加快数字化发展 建设数字中国”，提出了要迎接数字时代，激活数据要素潜能，推进网络强国建设，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革的重大目标和规划。数字经济时代的法治建设兼具促进数字经济发展以及防控数据领域风险的双重目标，既要促进数据流通，更好地满足多维大数据利用的需求，推动数据赋能经济社会发展，又需要对数据利用与个人信息保护、企业利益、社会安全等目标进行更好地平衡。

　　在保护数据财产性权益、促进数据开发利用方面，我国理论界对于是否要明确建立数据财产权、建立一种怎样的数据财产权还存有一定争议，因而《民法典》中笼统规定了“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，为未来数据保护相关立法提供了接口。尽管如此，我国知识产权法和竞争法已经为数据的财产性权益提供了多重保护。[2]具有独创性的数据集合可以作为汇编作品得到著作权保护，非公开的大数据集合往往可以作为商业秘密得到保护，而我国在反不正当竞争法的司法实践中，对于多种类型的涉及数据处理的不正当竞争行为进行了限制和调整。2021年2月7日,国务院反垄断委员会发布《关于平台经济领域的反垄断指南》，明确了平台经济领域涉及数据的一些垄断问题的考量要素，[3]对涉及数据的垄断问题进行规制，进一步推动了数据领域的公平竞争。尽管在数据权利设置上还存在理论争议，有待进一步凝聚共识，但我国实质上已经具备了比较全方位的数据相关财产权益的保护和调整制度。

　　与此同时，个人信息保护和国家数据安全问题也得到了高度重视。为积极回应时代发展需要，《民法典》人格权编中专门规定了对个人信息的保护；2021年，我国相继通过了《数据安全法》和《个人信息保护法》，标志着我国已经初步建立起涵盖个人信息保护、数据财产权益、政府数据利用、国家数据安全的多维度、立体式、综合性数据治理体系，奠定了数据领域的法律秩序基础，为数字中国建设提供了必要的制度保障。

　　在我国境内开展数据处理活动及其安全监管均属于《数据安全法》的调整范围。保障数据安全和促进数据开发利用是相辅相成的关系。如《数据安全法》第十三条所述，“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。在整部《数字安全法》中，不仅规定了数据安全保护义务，更是在制度设计上致力于关注数字经济发展的特点，为更好地促进数字经济发展进行了必要的安排。例如，在数据安全治理中确立了分级分类治理原则，以便更精细化地建立与具体场景数据安全风险相匹配的防控措施；在建构企业数据安全保护义务及法律责任时，侧重于推动数据安全能力建设，加强与企业的积极互动与合作，等等。下文着重从上述两方面展开进一步分析。

　　二、风险与防控措施相匹配的分级分类治理原则

　　《数据安全法》将数据界定为“任何以电子或者其他方式对信息的记录”。[4]目前普遍关注的电子数据是数据安全法调整的焦点，同时，该法也为规制其它既有的或未来可能新兴的各种方式的记录保留了空间。

　　数据的概念虽然简单，但其外延非常丰富、包罗万象。分类分级管理是网络与信息法治中比较普遍的原则。例如，《网络安全法》中规定了网络运营者应当按照网络安全等级保护制度的要求，采取数据分类等措施,[5]并规定了网络运营者特别是关键信息基础设施的运营者对于“重要数据”的采取备份和加密措施、境内存储和出境安全评估等义务[6]；《数据安全法》在落实《网络安全法》规定的同时，还确立了由国家建立数据分类分级制度、由主管部门制定重要数据目录并加强保护的制度，由此也形成了网络安全等级保护制度与数据安全保护制度的衔接。数据的分级分类管理原则既体现了对重要数据加强保护防范风险的要求，也避免了“一刀切”式的治理，是在整体上降低数据管理成本和交易成本的制度安排。数据处理者需要重视数据的分级分类管理，保护数据安全，并在合法范围内促进数据的流通利用。

　　除《网络安全法》《数据安全法》中的数据分级之外，数据处理者还需要注意其它相关法律规范。许多数据中都可能包含个人信息。《民法典》区分了一般的个人信息和私密信息，《个人信息保护法》里也有信息分级制度，将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息列为敏感个人信息，并设置了特别的规则。此外，根据数据中所处的具体领域或其所涉及的具体权益，还要遵守相应的规范。例如涉及著作权的要遵循著作权法的规范，属于商业秘密的数据需要承担起相应的保密义务。再如，2021年8月20日，网信办等五部门联合发布了《汽车数据安全管理若干规定（试行）》，针对汽车数据处理活动进行了具体规范。数据安全的相关规范还在不断建设之中。可以预见，未来将继续出台适用于不同具体的领域和场景具体的数据安全和个人信息保护等相关规范。数据处理者需要保持跟踪和加深理解。

　　三、以推进能力建设为核心的数据安全保护义务和责任构建

　　我国法律中将“数据安全”界定为“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。在《数据安全法》第三章中，重点规定了国家层面建立的数据安全制度，包括数据分级分类保护制度、国家数据安全风险防控机制、国家数据安全应急处置机制、国家数据安全审查制度、数据出口管制制度和反制外国歧视的对等措施等。具体制度还需要进一步的细化落实，其有效实施离不开数据处理者对数据安全保护义务的良好履行。《数据安全法》在数据处理者的义务构建上注重以必要措施和能力建设为核心，规定了企业的管理制度建立义务、教育培训义务、采取必要措施义务、风险评估义务、风险监测义务和风险处置义务，推动企业在数据安全保障中发挥更加积极的作用。

　　在法律责任方面，可以明显地看到柔性治理与刚性手段相结合、通过行政监管推动企业数据安全合规建设的总体制度安排。数字经济正开始蓬勃发展，新技术新应用层出不穷，随之而来也存在众多新的风险，可能在一定程度上超出立法者的预测，其中严重者可能威胁公民的重大权益乃至国家安全，因而需要在“包容审慎”的原则之下，建立与之相适应的监管制度，实现监管部门与数据处理者的有效互动，实现切实预防数据安全风险和支持产业创新发展的双重目标。

　　在《数据安全法》第四十四条中，确立了主管部门在发现较大安全风险时可“按照规定的权限和程序对有关组织、个人进行约谈”的监管措施。行政约谈在我国起源于税务领域，后来在网络和信息、食品、环境等领域得到了比较广泛的运用。在网络与信息法治领域中，网信办于2015年4月颁布了《互联网新闻信息服务单位约谈工作规定》，[7]首次在互联网新闻信息服务的监管中确立了行政约谈制度。在《网络安全法》《数据安全法》《个人信息保护法》中都规定了行政约谈制度，这是在新技术新业态领域“敏捷治理”理念的体现。敏捷治理强调治理节奏上的快速回应和尽早介入，治理关系上监管机构与企业之间的互动合作，治理方式上灵活应变、力度轻的引导性治理。[8]在发现重大风险时进行约谈并要求采取措施进行整改，可以推进政府与企业在风险防控中的积极合作，避免过度严苛的责任不适当地加重企业负担、打击数字经济创新发展的积极性。同时，对于拒不履行数据安全保护义务的数据处理者，除罚款外，可能面临暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等比较严厉的惩处，构成犯罪的则依法追究刑事责任。这种法律责任主要起到补充性、威慑性的作用。核心目标还是促进企业积极履行数据安全保护义务，为数字经济的安全发展奠定基础。

　　对于在新技术新业态发展中促进企业合规的价值取向也得到了检查系统的重视。近年来，检察系统也在探索和试点“企业合规不起诉制度”，对于涉嫌犯罪的企业，可以责令其针对违法犯罪事实，提出专项合规计划，督促其推进企业合规管理体系的建设，在此基础上作出相对不起诉决定。[9]这在数据安全保护领域也值得进行探索。

　　结语

　　当前正值我国大数据技术和应用飞速发展、数字中国建设的关键时期，构建安全与发展并重的数据治理体系是时代赋予的重要使命。在数据治理领域，我国已形成立体性的法律规范体系，其中《数据安全法》起到了重要的安全保障作用。在数据安全保障建设过程中，一方面我国需要平衡技术革新与风险防范，建立包容创新、审慎发展的政策和制度环境；另一方面，应充分调动社会力量，共同解决数据安全治理问题，推进数字产业符合伦理价值和法律规范、安全可信地创新发展，为数字中国建设提供科学有效的法治保障。

　　注释:

　　[1]2021年3月11日，十三届全国人大四次会议表决通过了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，简称“十四五”规划。

　　[2]参见崔国斌：《大数据有限排他权的基础理论》，《法学研究》2019年第4期。

　　[3]例如，在垄断协议部分，考虑了利用数据达成横向或纵向垄断协议的情况；在滥用市场支配地位部分，明确将经营者掌握和处理相关数据的能力、其它经营者数据获取的难易程度都作为认定市场支配地位的考量要素之列；在经营者集中部分，在救济措施中明确，对不予禁止的经营者集中，可以将剥离数据、开放数据等基础设施作为限制性条件，等等。

　　[4]《数字安全法》第二条第一款。

　　[5]《网络安全法》第二十一条。

　　[6]参见《网络安全法》第二十一条、三十四条、三十七条。

　　[7]《互联网新闻信息服务单位约谈工作规定》，2015年04月28日，http://www.cac.gov.cn/2015-04/28/c_1115112600.htm.

　　[8]参见薛澜、赵静：《走向敏捷治理：新兴产业发展与监管模式探究》，《中国行政管理》2019年第8期；赵静、薛澜、吴冠生：《敏捷思维引领城市治理转型：对多城市治理实践的分析》，《中国行政管理》2021年第8期。

　　[9]陈瑞华：《企业合规不起诉制度研究》，《中国刑事法杂志》2021年第1期。