我国基础性数据安全制度开端 《数据安全法(草案)》简评

我国基础性数据安全制度开端《数据安全法（草案）》简评
■原新利张玉珍丨文
在全球进入信息化引领发展的时代大背景下，各类数据海量聚集。

传统的人类生产生活不断与信息技术相亘交汇，无时无刻不处于数据的影响之中。

国家对数据的掌控能力成为衡量国家竞争力的关键因素，数据安全成为社会经济发展与国家安全的重要保障。

我国对此高度重视，习总书记多〉欠作出关于数据安全方面的重要指示，明确提出要加快数据安全方面的制度建设，切实保障国家数据安全。

_2020年6月28日，《中华人民共和国数据安全法（草案）》由十三届全国人大常委会二十次会议进行了初次审议。

2020年7月3曰，在中国人大网上正式公布了《数据_安全法（草案_)》（以下简称《草案》），该法律草案在总体上展现了我国国家安全观的要求，具有“数据安全领域的基础性法律”地位。

《草案》凸显出国家对数据安全的高度重视，将数据作为生产要素的总体发展布局。

《数据安全法（草案）》创建基础性
勺晷M各择.
《草案》共分为七章，分别由总则、数据安全制度、数据安全与发展、数据安全保护义务、政务数据安全与开放、法律责任和附则，覆盖的内容十分广泛，且新设了若干监管制度，兼顾了对现有体系的完善与创新。

未来它将会与《网络安全法》和《个人信息保护法》等共同构建起中国的数据监管的法律体系。

通过此次《草案》，可感知到立法者的新思路以及数据安全在我国未来监管的大体趋势。

明确管辖范围、域外效力与监管体系
《草案》第二条规定本法适用于在中国
TRADE 3
9
F o c u s数fts•安全法
境内开展的数据活动，而对于境外主体开展 的损害我国国家安全、公共利益或境内主体 合法权益的数据活动，亦有管辖权。

首先《草案》继续沿用了我国传统的以 属地管辖为主，属人管辖为辅的管辖模式，确立了有限的域外适用效力。

基于在大数据 时代跨境数据活动已成为一种普遍的数据活 动趋势，且国家安全、公共利益和公民权益 与数据活动也具有很强的关联性这一特点，在《草案》中设定一定的域外效力有绝对的 必要性。

同时，之所以对域外适用的情形范 围仅受限于在国家安全、重大公共利益和严 重损害公民权益的情形之内，其根本原因是 基于一国法律的域外效力，会引起法律及司 法权冲突的问题。

故对此范围设定和适用也 是基于最为必要的原则而设立。

其次《草案》继续沿袭我国以往的网络 监管基本格局，确立了 “一轴两翼”的数据 监管体系，“一轴”是指数据安全工作的决 策和统筹协调全部都由中央安全领导机构统 一负责，再者，由公安机关、国家安全机关、国家网信部门统一在各自主管的职责范围内 承担数据安全监管职责。

“两翼”是指工业、电信、自然资源、卫生健康等行业主管部门 仅承担本行业、本领域范围内的数据安全监 管职责。

最终形成了由中央国家安全领导机 构统领，由中央行政、地方行政主管部门各 自依职权负责，行业监管单位予以辅助，以 此共同构建数据安全监管体系。

追求数据安全与发展利益的动态化、流 程化平衡
《草案》第十二条明确国家坚持“维护 数据安全”与“促进数据开发利用”并重的 立法与监管理念，确立了多元化的立法目标，将促进数据开发利用与保护数据安全置于同 等重要的地位，充分体现了 “安全与发展并重”的主导理念。

简言之，即以数据安全来保障数据开发利用和产业发展，以数据开发利用 和产业发展来促进数据安全。

此外，草案第 十三条及第十四条都明确表示国家将积极鼓 励和促进各行各业对于数据领域的技术推广 和应用创新。

网络发展与安全是信息技术为人民造福 的“一体两翼”，而数据监管亦是如此。

通 过数据安全制度建设保障数据安全，是国家 对于数据安全的立法价值取向。

草案第十六 条明确提出国家积极促进数据安全的检测评 估、认证等系列服务的发展，并支持认证、评估等专业性机构依法开展相关服务。

可以 料到，在《网络关键设备和网络安全专用产 品安全认证实施规则》《移动互联网应用程 序安全认证实施细则》等各个领域现行认证 规定的基础上，数据安全检测评估及认证也 将作为网络安全与数据保护评估体系的重要 组成部分，从而促进数据开发利用与产业发 展。

确立数据安全保障制度
《草案
》第三章明确了我国数据安全保
障方面的几个重要制度，包括数据分类分级 制度、重要数据保护目录、数据安全风险管 理机制、数据安全应急处置制度、数据活动 的国家安全审查机制等。

作为开展数据安全管理工作基础的数据 分类分级制度，旨在兼顾数据安全和个人隐 私保护的同时，又能够最大限度的释放数据 价值。

较之于现行法律及部门规章对有关数 据分类分级的规定大都止步于提出要求层面 而言，《草案》在此方面的进步十分显著。

《草 案》第十九条明确数据分类分级将以风险程 度为导向，分类分级的原则按照数据“一旦 遭到篡改、破坏、泄露或者非法获取、非法 利用”所产生的危害程度的标准而定。

在此 基础上，《草案》提出各地区、各部门有权 确定本地区和本部门的“電要数据”保护目录。

《草案》明确对不同类型及级别的数据采 取不同的监管措施和法律要求，这表明数据 分级分类制度以监管机构的视角出发。

同时，企业在数据活动中，为了使得数据得到安全 保护、数据流动及合规遵循，故将形成的分 类分级体系以行业实践为主导。

但这两者并 不相悖，也不能互相取代。

数据分级应在完 成数据分类的基础上，针对不同类别数据在 发生安全事件后对可能因此发生的危害后果 进行定级，从而由此匹配到不同级别数据的 安全性保障措施和管理措施。

《草案》第22 条规定，国家安全审查的范围针对影响或者 可能影响国家安全的数据活动进行安全审查。

国际间未来竞争的核心以数据为导向，且与 国家安全息息相关，对特定的数据活动进行 国家安全审查，有很强的必要性。

|熬糖索舍洼(..旱寒.洼迨星f
《数据安全法》作为数据领域的基础性法律，重点是确立数据安全保护管理各项基 本制度，并与《网络安全法》以及现阶段正 在制定的《个人信息保护法》等各项法律做 好衔接工作。

《草案》也规定了我国数据安 全领域有关的几项重要制度以及应由数据活 动主体承担的主要义务。

值得肯定的是，这 一系列规定对于促进数据安全和数据开发利 用良性循环以及规范数据大环境都有着极其 重要的意义。

从《草案》的初次审议，将数 据安全上升到国家安全层面，统筹协调与决 策数据安全工作，统一由中央国家安全领导 机构负责，这充分体现了国家对于数据安全 的高度重视。

但同时，《草案》当前也存在 一些不太完善的地方，需要在后续稿中进行 继续完善，为此，以下对《草案》给予一些 期望。

立法目的与结构安排可进一步优化
根据《草案》第一条，《数据安全法》的制定具有双重目的，其一是保障数据安全，其二为促进数据开发利用。

特别是“数据开 发利用”这一目的，直接体现了党的+九届 四中全会明确将数据作为新的生产要素这一 战略安排。

《草案》中第二章即为“数据安 全与发展”，也体现了数据开发利用的目的。

鉴于考虑到《草案》是以“数据安全法”作 为标题这一原因，应将数据安全的立法目的 置于数据开发利用的目的较之稍重的地位。

因此，建议将数据发展章节编排在数据安全 章节之后，这样在逻辑顺序方面可能会更为 合理一些。

还有《草案》在第一条中体现的 数据安全应进行位阶和范围界定、数据安全 应包含数据自身安全和数据主权安全这一明 确性规定，而《草案》后文中涉及数据主权 的内容相对比较稀少。

此外，《草案》第二章将数据安全与发 展并列，而在三、四章节涵盖了数据安全方 面的具体相关内容，鉴于对逻辑顺序的清晰
CHINA TELECOMMUNICATIONS TRADE 4
1
F o c u s I
数椐安全法
度考虑，建议《草案》在整体结构的编排上 应将数据安全与数据发展单独分幵编排可能 更为合理。

政务数据开放的主导地位可以进一步体 现
《政务信息资源共享管理办法》在 2016年由国务院印发，其将政务信息资源 在政务部门之间的共享问题作为主要规范 对象，而政务数据幵放问题未涉及其中。

《草 案》也可以在政务资源共享困难这一现象 中借鉴经验，比如政务资源没有由统一的 授权主体来统筹、资源在各部门之间难于 共享等等。

《草案》明确国家构建政务数 据幵放平台的标准必须为互联互通、统一 规范且能够做到安全可控，以此来推动数 据的幵放利用。

纵观社会实践，国家各阶层领导部门都 在积极推动政务数据平台的建设，而《草案》 的本意也在于以提升服务能力、幵放促进数 字经济发展为核心。

因此，数据幵放应建立 起由各级政府的统一部门统一幵放，统一利 用开放数据进行产业发展。

各级政府属于本 级的所有数据都由统一部门统一幵放，以此 来达到数据幵放的专业化管理目的，其次由 主管统一幵放部门统筹各级部门之间的幵放 内容，构建统一规范、安全可控的平台，从 而降低各部门之间数据的幵放成本，更加集 中管控开放的风险。

鹏1草■与主輕键勺麥:够H 丰
《草案》第33条明确规定境外执法机构 在获得有关主管部门批准后要求调取存储于 境内的数据的，必须向有关主管部门汇报， 在其批准后才可出境。

从宏观层面来看，该 条以正当合理的方式应对于数据跨境调取措
施之中是毫无瑕疵的。

然而，美中不足之处 出自于细节之中。

明确界定该条所称的具体范围
该条所指出的“执法机构”的范围界定 较为模糊，应明确将司法机关涵盖其中；“非
电子形式的数据”也应纳入该条所称的数据 范围之中；再者，他国的数据存储于中国的 云服务器上，则该类型的数据也应当属于“存 储于中国境内的数据”涵盖的范围之内。

以 上这些细节都是需要斟酌的。

而根据国家网 信办《个人信息出境安全评估办法（征求意 见稿）》、《信息安全技术数据出境安全评 估指南》（征求意见稿）中的具体规定表明， 其都将规制的对象限制于“中华人民共和国 境内运营中收集的个人信息”，对此，将“存 储于中国境内的数据”以“在中国境内收集 的电子数据”替换，则更为清晰明确，可降 低被误解的风险。

报告批准与安全评估制度合理衔接
《草案》第33条将《网络安全法》（以 下简称《网安法》）中的安全评估更改为报 告批准，这会在一定程度上限制数据的跨境 流通。

《网安法》的安全评估可根据安全评 估结果进行技术调整以降低风险而后在予以 出境。

而《草案》仅单方面规定了批准制度， 对于报批对象、批准时限，以及在具体情形 下的批准的规定较为模糊。

在此，《网安法》 的评估在跨境流通方面则更为适合，其规定 数据出境范畴仍然包含境外执法机构要求调 取境内数据。

兼彩众长，以达到重点与一般 相结合的目的的情形下，建议《草案》中加 入：要求数据出境发起人可以进行安全自评
估，风险低则不用提请行政评估这一明确性 规定。

3D
作者单位：兰州s x 大学法学院
42 中国电信
业。