我國數(shù)據(jù)安全法的體系邏輯與實施優(yōu)化

黨的十八屆五中全會正式提出實施國家大數(shù)據(jù)戰(zhàn)略以來，立足我國國情和現(xiàn)實需要，國家全面推進大數(shù)據(jù)在社會治理、經(jīng)濟運行、民生服務(wù)、創(chuàng)新驅(qū)動、產(chǎn)業(yè)發(fā)展等方面的發(fā)展與應(yīng)用，我國進入加快建設(shè)數(shù)據(jù)強國的新階段，數(shù)據(jù)對經(jīng)濟發(fā)展、社會治理、人民生活產(chǎn)生了重大而深刻的影響。黨的十九屆四中全會明確將數(shù)據(jù)作為新的生產(chǎn)要素。與此同時，數(shù)據(jù)安全問題也成為全社會在數(shù)字化轉(zhuǎn)型過程中必須面對的基礎(chǔ)性問題。

2021年6月10日，《中華人民共和國數(shù)據(jù)安全法》正式通過，并于2021年9月1日正式生效。到目前為止，基于《數(shù)據(jù)安全法》做出的執(zhí)法相較于《個人信息保護法》《網(wǎng)絡(luò)安全法》而言較少。這與《數(shù)據(jù)安全法》實施的滯后以及立法伊始圍繞著《數(shù)據(jù)安全法》定位所存在的許多探討甚至是爭議存在密切關(guān)聯(lián)。

一方面，我國作為成文法國家，存在著法律體系定位的先在約束，立法者在制定新的法律時，首先解決新的法律與其他法律之間的關(guān)系問題，確?！啊乱粋€’立法如何更好地‘嵌入’既有體系”。在制定《數(shù)據(jù)安全法》之前我國已經(jīng)通過了《網(wǎng)絡(luò)安全法》，其中不乏對數(shù)據(jù)或者網(wǎng)絡(luò)數(shù)據(jù)安全的明確規(guī)定，加之《個人信息保護法》出臺，由此形成了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》三法并行的獨特架構(gòu)。如何協(xié)調(diào)三法之間的關(guān)系并明確各自分工和適用，關(guān)系《數(shù)據(jù)安全法》的科學(xué)性；另一方面，從全球的立法經(jīng)驗和文本現(xiàn)象來看，《網(wǎng)絡(luò)安全法》和《個人信息保護法》都能在域外找到直接對應(yīng)的規(guī)則，但《數(shù)據(jù)安全法》屬于我國首創(chuàng)的制度實踐，與美歐等代表性國家和地區(qū)通過內(nèi)嵌于網(wǎng)絡(luò)安全維護、個人信息保護、出口管制、跨境執(zhí)法調(diào)取等領(lǐng)域分散式立法不同，由此也造成域外對《數(shù)據(jù)安全法》理解的模糊和困難。在數(shù)字經(jīng)濟全球化、地緣政治斗爭深化的背景下，作為具有中國原創(chuàng)性的制度實踐，向國際社會闡釋、澄清數(shù)據(jù)安全法的功能和制度構(gòu)建，既可以避免國際社會對我國數(shù)據(jù)安全立法的誤解，也有助于我國在國際范圍內(nèi)尋求數(shù)據(jù)安全保障的治理共識。目前學(xué)界對于數(shù)據(jù)安全法的立法定位問題，多從外在體系定位的角度加以探討，包括《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》《個人信息保護法》乃至《國家安全法》的關(guān)系問題，或者從法律體系關(guān)系出發(fā)，探討《數(shù)據(jù)安全法》在整個安全法體系內(nèi)部的定位，或者對該法作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律的立法定位加以解讀。

一部法律不僅存在外部相對獨立性的體系定位問題，也存在如何按照規(guī)范對象或領(lǐng)域的客觀規(guī)律，在內(nèi)部進行邏輯排列以自成一體的體系化問題，此即通過統(tǒng)一的概念和規(guī)范間邏輯的排列組合體系化內(nèi)部規(guī)則?！稊?shù)據(jù)安全法》如何尋找自身獨特的治理結(jié)構(gòu)和內(nèi)容，其作用于數(shù)據(jù)治理的立法邏輯如何搭建，均構(gòu)成我國數(shù)據(jù)安全立法的基礎(chǔ)性又事關(guān)全局的問題，明晰這些問題無疑將有助于在共識的基礎(chǔ)上更深入地推進我國《數(shù)據(jù)安全法》的實施工作。本文嘗試在內(nèi)在體系視角下，通過“原旨化”的方式厘清《數(shù)據(jù)安全法》立法邏輯，提出《數(shù)據(jù)安全法》“安全—控制—利用”的內(nèi)在邏輯，并結(jié)合美歐數(shù)據(jù)安全保障的相關(guān)立法實踐經(jīng)驗，為我國《數(shù)據(jù)安全法》在實施方面的優(yōu)化提出建議。

（一）安全

（二）控制

（三）利用

“每個社會的法律在實質(zhì)上都面臨同樣的問題，但各種不同的法律制度以極不相同的方法解決這些問題，雖然最終的結(jié)果是相同的?！彪m然單行的《數(shù)據(jù)安全法》為我國首創(chuàng)，但大數(shù)據(jù)技術(shù)及其應(yīng)用帶來的挑戰(zhàn)為全球所關(guān)注，各國在回應(yīng)數(shù)據(jù)治理時，盡管制度形式上各有不同，但實質(zhì)內(nèi)容卻存在具有可比性的共通之處。正所謂“他山之石，可以攻玉”，本部分試圖基于比較法視野出發(fā)，對全球范圍內(nèi)相關(guān)立法、政策等進行研究分析，尋求數(shù)據(jù)安全立法的制度共識。在比較對象上，主要選取歐盟和美國相關(guān)立法，前者基于獨特的隱私文化成為全球當之無愧的數(shù)據(jù)治理制度大本營，后者則是全球數(shù)據(jù)科技前沿和產(chǎn)業(yè)大本營，對全球政治、經(jīng)濟環(huán)境也有重要影響，一定程度上二者也是在彼此博弈中型塑了各自的數(shù)據(jù)治理方案。在具體比較思路上，將具體結(jié)合前述數(shù)據(jù)安全法立法邏輯的三個層次分別進行，既可以驗證我國數(shù)據(jù)安全法立法邏輯的科學(xué)性，也可以從具體層次上更具針對性地比較、取舍和甄別，進而為完善我國數(shù)據(jù)安全法提供智識建議。

對于技術(shù)意義上數(shù)據(jù)自身安全的保護，歐美均將它作為底層安全問題，散見在有關(guān)個人信息保護、網(wǎng)絡(luò)安全相關(guān)立法中，但二者在立法模式上存在差異。不論是個人信息保護還是網(wǎng)絡(luò)安全立法，美國在聯(lián)邦層面上始終未能推進統(tǒng)一立法。對個人信息保護而言，美國主要采取行業(yè)分散立法模式，針對金融信息、醫(yī)療健康信息、兒童個人信息等行業(yè)分別進行立法，并由聯(lián)邦貿(mào)易委員會依據(jù)消費者權(quán)益保護職權(quán)負責(zé)其他領(lǐng)域中個人信息保護的監(jiān)管執(zhí)法。對網(wǎng)絡(luò)安全，美國一直保持清醒的認識，聯(lián)邦層面有50多部法律直接或間接與網(wǎng)絡(luò)安全相關(guān)。歐盟則整體上傾向于統(tǒng)一立法模式，有關(guān)個人信息保護立法集中體現(xiàn)在《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，英文簡稱“GDPR”），有關(guān)網(wǎng)絡(luò)安全立法集中體現(xiàn)在《促進歐盟共同高水平網(wǎng)絡(luò)與信息系統(tǒng)安全的措施之指令》（以下簡稱《網(wǎng)絡(luò)與信息安全指令》）。

從立法具體內(nèi)容來看，歐美對于技術(shù)意義上數(shù)據(jù)自身安全的保護，也集中在“保密性、完整性、可用性”的保障：如美國《聯(lián)邦信息安全管理法》明確“信息安全”在于“保護信息和信息系統(tǒng)不受未經(jīng)授權(quán)的獲取、使用、披露、破壞、修改或銷毀”；歐盟《網(wǎng)絡(luò)與信息安全指令》中對于“網(wǎng)絡(luò)與信息安全”的界定也基本相似，旨在防御“危害系統(tǒng)存儲或傳輸?shù)臄?shù)據(jù)的可用性、真實性、完整性和保密性，危害依靠該網(wǎng)絡(luò)或系統(tǒng)提供或獲得有關(guān)服務(wù)”的行為。

從規(guī)制要求上看，對于技術(shù)意義上數(shù)據(jù)自身安全，美國要求運營者等采取合理（reasonable）的措施或設(shè)計，避免可合理預(yù)見的安全風(fēng)險，歐盟也采取了與之相似的“合適性”（appropriate）的概念，作為評價監(jiān)管對象是否履行安全保護義務(wù)的主要評價標準；在具體實現(xiàn)路徑上，歐美均從風(fēng)險管理視角設(shè)計安全保護策略的基本框架，落腳于監(jiān)管對象內(nèi)部的管理流程、模式，審視其內(nèi)部安全風(fēng)險管理流程在應(yīng)對安全風(fēng)險時，是否滿足“合理性”“合適性”考量。美國學(xué)者認為美國立法中對于“合理性”的要求可以從監(jiān)管對象是否準確辨識數(shù)據(jù)類型并評估可預(yù)見的威脅或風(fēng)險、是否采取應(yīng)對威脅或風(fēng)險的合理策略與措施、是否在發(fā)生數(shù)據(jù)泄露事件后及時采取補救措施、是否經(jīng)常評估并更新信息安全保護策略和措施等6個核心方面加以判斷。與此類似，歐盟在《網(wǎng)絡(luò)與信息安全指令》中也要求監(jiān)管對象“參考最先進的技術(shù)發(fā)展，且與風(fēng)險相稱的安全水平”，采取合適技術(shù)和組織措施。

簡言之，雖然歐美對技術(shù)意義上數(shù)據(jù)自身安全的保護也強調(diào)傳統(tǒng)CIA三性的保障，在立法思路上倡導(dǎo)“以管理為基礎(chǔ)的規(guī)制”，相對動態(tài)地確定“合理性”“合適性”等模糊概念的具體內(nèi)涵，避免因技術(shù)進步、信息不對稱、行業(yè)間高度異質(zhì)等而頻繁修訂安全保護義務(wù)的規(guī)定。

在控制層面，以數(shù)據(jù)跨境流動為典型，大西洋兩岸一直持續(xù)巨大的分歧：歐盟基于獨特的隱私文化，一直以個人數(shù)據(jù)保護為由限制數(shù)據(jù)跨境流動，具有極大的制度輻射力和國際話語權(quán)；而美國作為互聯(lián)網(wǎng)技術(shù)和產(chǎn)業(yè)大國，一直在國際社會中積極倡導(dǎo)數(shù)據(jù)自由流動，詬病歐盟構(gòu)建貿(mào)易壁壘。同時，歐美也在某種程度上分享著共識：數(shù)據(jù)跨境流動制度本身在法律之外，更多的是經(jīng)濟、政治博弈的投射。

自上世紀七十年代開始，歐盟在成員國層面率先開啟限制數(shù)據(jù)跨境轉(zhuǎn)移的立法；八十年代，歐共體層面推進了《OECD指南》和《108號公約》，認可并協(xié)調(diào)成員國立法；九十年代，歐共體成功推進《服務(wù)貿(mào)易總協(xié)定》（GATS），認可隱私保護例外條款，將個人數(shù)據(jù)保護立法轉(zhuǎn)變?yōu)楹戏ㄏ拗茋H貿(mào)易的措施，歐洲議會和歐盟理事會也在1995年通過《個人數(shù)據(jù)保護指令》；2009年，為回應(yīng)大數(shù)據(jù)崛起的新環(huán)境，歐盟啟動個人數(shù)據(jù)保護框架改革工作，最終于2016年通過GDPR，以“條例”取代并升級“指令”，強化“充分性認定”和“充分性保障”機制，實現(xiàn)對數(shù)據(jù)跨境流動的限制，并借助于廣泛的域外適用和高昂違法處罰，強勢引領(lǐng)全球進入第三代高標準的個人數(shù)據(jù)保護立法。簡言之，歐盟的數(shù)據(jù)跨境流動制度，在于要求和評估境外數(shù)據(jù)接收方國家或地區(qū)必須達到與歐盟相同的“充分性”保護水平，從而實現(xiàn)對數(shù)據(jù)跨境流動的限制。

在GDPR框架下，符合充分性認定是進行跨境傳輸最具確定性和最為便利的方式，GDPR第45條以開放性列舉的方式明確進行充分性認定所需考慮的主要因素，包括第三國或國際組織的法治和基本人權(quán)保護程度、是否具有獨立有效的數(shù)據(jù)保護監(jiān)管機構(gòu)等。但實踐中歐盟官方對充分性的認定，更多是采取了戰(zhàn)略性態(tài)度，“充分性保護認定的標準往往與政治因素相結(jié)合”。歐盟委員會在《全球化世界中交換和保護個人數(shù)據(jù)的通信》中指出，歐盟應(yīng)當抓住時機推動世界范圍內(nèi)不同數(shù)據(jù)保護法律體系的相互兼容，從而達到推廣歐盟數(shù)據(jù)保護價值和促進數(shù)據(jù)流動的目的，而“充分性認定”被歐盟委員會視為是推動世界向歐盟看齊的最重要抓手。由此，事實上歐盟委員會對充分性認定的評估存在較大的自由裁量空間，“更多的是一種政治或政策考量，甚至可能成為歐盟與其他地區(qū)、國家談判或利益交換的一種合法工具”，在大數(shù)據(jù)環(huán)境下繼續(xù)強化歐盟對于全球數(shù)據(jù)治理的話語權(quán)。

美國一直試圖推進國際層面上認可數(shù)據(jù)跨境自由流動，近年來一直借助于在亞太地區(qū)的影響力，推動以亞太經(jīng)濟合作組織的隱私框架（APEC Privacy Framework，以下簡稱APEC隱私框架）為基礎(chǔ)構(gòu)建的跨境隱私規(guī)則體系（Cross Border Privacy Rules，以下簡稱CBPR），實現(xiàn)數(shù)據(jù)跨境自由流動的訴求。CBPR體系以AEPC隱私框架中的個人數(shù)據(jù)原則作為數(shù)據(jù)跨境流動為標準，之所以能夠?qū)崿F(xiàn)美國對于數(shù)據(jù)跨境自由流動的訴求，原因在于CBPR體系所要求的個人數(shù)據(jù)保護水平實質(zhì)上是“美國在國際協(xié)議中所能接受的最大限度的隱私保護水平”,而加入CBPR便意味著其他經(jīng)濟體需要放棄本國較高水平的個人數(shù)據(jù)保護要求，向CBPR體系靠攏，進而實現(xiàn)個人數(shù)據(jù)向美國的自由流動。

與此同時，美國也通過國內(nèi)法對其內(nèi)部數(shù)據(jù)流動作出限制，只不過與歐盟不同，美國對于跨境數(shù)據(jù)流動的限制并不主要借助于個人數(shù)據(jù)跨境流動實現(xiàn)，而是訴諸于“國家安全”，并通過出口管制、外資投資國家安全審查等制度實現(xiàn)。2018年8月13日，美國《出口管制改革法案》（Export Control Reform Act, ECRA）與《外國投資風(fēng)險管理現(xiàn)代化法案》（Foreign Investment Risk Review Modernization, FIRRMA）作為《國防授權(quán)法案》的一部分，由特朗普總統(tǒng)簽署生效。對于前者，早在1969年《出口管理法》（Export Administration Act, EAA）中對“數(shù)據(jù)和技術(shù)信息”施加出口限制，此次修訂的重要變化在于引入“新興和基礎(chǔ)技術(shù)”的概念，出口管制的范圍不再限于1979年EAA側(cè)重軍事方面影響的“關(guān)鍵技術(shù)”，而擴張及于任何可能威脅國家安全的技術(shù)，并且存在對“視同出口”的限制。對于后者，此次修訂的重要變化在于擴張美國外國投資委員會（CFIUS）的審查范圍，與“關(guān)鍵信息基礎(chǔ)設(shè)施”“關(guān)鍵技術(shù)”“美國公民個人敏感數(shù)據(jù)”相關(guān)企業(yè)的投資均納入到審查范圍，同時明確將“交易是否有可能直接或間接地暴露美國公民的個人身份信息、基因信息或其他敏感信息”納入CFIUS的審查考量因素。整體上來看，通過出口管制、外資投資國家安全審查等制度及其改革，美國大體實現(xiàn)了對特定數(shù)據(jù)接觸“主體”的控制，尤其特定數(shù)據(jù)被所謂“特別關(guān)注國家”獲取。此外，美國在2009年后還針對涉及國家安全的信息管理建立了“受控非密信息”（Controlled Unclassified Information, CUI）制度，在登記、分類的基礎(chǔ)上，要求CUI的持有者采取安全保護措施，并控制其傳輸和使用。

對于利用層面，美歐一直以來在著眼于釋放數(shù)據(jù)利用的價值，推進數(shù)據(jù)開放，既強調(diào)政府對數(shù)據(jù)的開放，也倡導(dǎo)政府利用企業(yè)數(shù)據(jù)滿足執(zhí)法和公共管理訴求等。

2009年起，隨著《開放政府指令》（US Open Government Directive）等一系列法案的實施，美國在全球范圍內(nèi)掀起了開放政府數(shù)據(jù)的浪潮。2019年1月，美國通過《開放政府數(shù)據(jù)法案》（Open, Public, Electronic and Necessary Government Data Act），總結(jié)和確認政府數(shù)據(jù)開放已有政策和實踐經(jīng)驗并上升為聯(lián)邦立法，明確政府數(shù)據(jù)開放相關(guān)的報告、評估、問責(zé)等制度，與《數(shù)字問責(zé)和透明法案》《地理空間數(shù)據(jù)法案》一并構(gòu)建美國數(shù)據(jù)開放的法律體系。實施層面，在《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020行動計劃》中明確將數(shù)據(jù)安全作為各政府機構(gòu)的關(guān)鍵性行動，納入美國聯(lián)邦政府未來十年的數(shù)據(jù)愿景之中，將數(shù)據(jù)安全保障視為政府信息安全的重要組成部分，強調(diào)采取合理的數(shù)據(jù)安全措施，如提供安全的數(shù)據(jù)訪問機制，實現(xiàn)有效的管理、維護和利用。此外，受控非密信息管理體系也為需要保護或控制傳播的政府數(shù)據(jù)提供了相應(yīng)的安全控制措施。

不同于美國默認開放的思路，歐盟采取相對保守的策略，圍繞著公共服務(wù)需求，從公共部門信息再利用出發(fā)，逐步推動私人部門的數(shù)據(jù)再利用。就公共部門信息再利用而言，2003年，歐盟出臺《公共部門信息再利用指令》（PSI），為公共部門信息再利用構(gòu)建整體框架和最低規(guī)則；2010年，歐盟委員會提出“開放數(shù)據(jù)戰(zhàn)略”（Open Data Strategy），提議對該指令進行修訂，以應(yīng)對大數(shù)據(jù)技術(shù)發(fā)展變化并解決中小企業(yè)和初創(chuàng)公司在公共數(shù)據(jù)利用方面的障礙。2019年1月，歐洲議會、歐盟理事會和歐委會的談判代表就修訂后的《開放數(shù)據(jù)和公共部門信息指令》達成一致意見，修訂后的新指令將有利于推動歐盟公共部門數(shù)據(jù)的可獲取和再利用。就私人部門數(shù)據(jù)利用而言，2013年歐盟發(fā)布了“數(shù)據(jù)供應(yīng)鏈倡議”，試圖建立“公私伙伴關(guān)系”（public-private partnership, PPP），希望將公共部門和私人部門動員起來，打造歐盟內(nèi)部密切結(jié)合的數(shù)據(jù)生態(tài)系統(tǒng)，并提出B2G（business to government）和B2B（business to business）兩種私人部門數(shù)據(jù)再利用模式；2018年，歐盟發(fā)布《非個人數(shù)據(jù)自由流動條例》，旨在統(tǒng)一歐盟境內(nèi)的非個人數(shù)據(jù)的流動規(guī)則，促進企業(yè)間數(shù)據(jù)流動，進而推進歐盟數(shù)字單一市場的良性競爭環(huán)境。2020年2月，歐盟發(fā)布《歐洲數(shù)據(jù)戰(zhàn)略》，描述了歐盟在未來五年推進數(shù)字經(jīng)濟的政策措施，開啟歐盟“單一數(shù)據(jù)市場”的進程，明確加大數(shù)據(jù)開放，建立改善公共服務(wù)、應(yīng)對環(huán)境惡化和氣候變化等公共利益數(shù)據(jù)的優(yōu)先訪問機制，力圖達到數(shù)據(jù)賦能社會和公民福祉的目的。

同時，在利用層面，美歐最為強勢的動作在于通過國內(nèi)法授權(quán)本國執(zhí)法機構(gòu)出于執(zhí)法目的跨境調(diào)取存儲在他國的數(shù)據(jù)（以下簡稱“執(zhí)法跨境調(diào)取數(shù)據(jù)”）。全球化、數(shù)字化使得執(zhí)法跨境調(diào)取數(shù)據(jù)成為必要，各國在執(zhí)法過程中均面臨電子證據(jù)存儲在境外的難題。整體上，全球范圍內(nèi)主要國家仍然遵循傳統(tǒng)的屬地管轄原則，主要通過國際法框架下的司法協(xié)助、警務(wù)合作等雙多邊方式解決，但存在著門檻高、依賴于國家間機構(gòu)協(xié)調(diào)合作、效率低下等弊端。

“Microsoft Corp.v. United States”一案在全球范圍內(nèi)引發(fā)討論，并最終促成美國快速通過《澄清合法使用境外數(shù)據(jù)法》（Clarifying Lawful Overseas Use of Data Act, CLOUD Act，以下簡稱“云法案”）。該案中，聯(lián)邦執(zhí)法官員為進行販毒品調(diào)查，試圖獲取存儲在微軟愛爾蘭數(shù)據(jù)中心的電子郵件賬戶信息。對于執(zhí)法調(diào)取數(shù)據(jù)的問題，此前1986年《存儲通信法案》（Stored Communication Act, SCA）僅明確了執(zhí)法機構(gòu)能夠強制個人或企業(yè)披露存儲在境內(nèi)的數(shù)據(jù)，因而就能否調(diào)取境外數(shù)據(jù)，微軟與美國政府各執(zhí)一詞：微軟認為FBI不能通過搜查令在外國領(lǐng)土上實施搜查和扣押行為；FBI認為不論數(shù)據(jù)是否存儲在美國，美國均可基于對微軟的管轄權(quán)而獲得由微軟控制的數(shù)據(jù)。事實上，就境外存儲數(shù)據(jù)的管轄權(quán)問題，不論是微軟主張的“數(shù)據(jù)存儲地標準”還是FBI主張的“數(shù)據(jù)控制者標準”，各有利弊。為了避免美國最高法院在“阻礙政府正當執(zhí)法”亦或“損害美國企業(yè)全球運營”的兩難困境中作出選擇，2018年2月，部分參議員提交云法案提案，針對性地改革SCA，不僅授權(quán)美國執(zhí)法部門可依據(jù)“數(shù)據(jù)控制者”標準調(diào)取美國服務(wù)提供者所擁有、掌管或控制的通信、記錄或其他信息，借助于龐大的全球互聯(lián)網(wǎng)產(chǎn)業(yè)背景，將美國政府的數(shù)據(jù)調(diào)取之手方便地延伸到他國之境；同時也明確了外國執(zhí)法部門調(diào)取存儲在美國境內(nèi)數(shù)據(jù)的具體機制，通過“適格外國政府”的認定，明確僅在符合美國式人權(quán)和隱私保護基線等特定條件并給予美國政府對等待遇時，才允許適格外國政府直接向美國服務(wù)提供者調(diào)取數(shù)據(jù)。

美國通過云法案最大化美國利益的同時，也催生了歐盟的對等策略。2018年4月，云法案生效不足一個月，歐盟也對外推出“歐盟版云法案立法計劃”——《歐洲議會和歐盟理事會關(guān)于刑事犯罪電子證據(jù)的調(diào)取令和保全令規(guī)定的提案》（以下簡稱“電子證據(jù)立法建議”），希望借此增加歐盟籌碼，并“與美國當局達成互惠”。從具體內(nèi)容來看，歐盟也認可“數(shù)據(jù)控制者標準”，但礙于沒有龐大的跨國企業(yè)，歐盟將政策的落腳點置于整個歐盟市場，所有面向歐盟市場的服務(wù)提供者均屬于應(yīng)當配合執(zhí)法機構(gòu)數(shù)據(jù)調(diào)取命令的義務(wù)主體；同時，對于全球運營的數(shù)據(jù)控制者，只要其在歐盟境內(nèi)的分支機構(gòu)相關(guān)活動場景與境外的數(shù)據(jù)處理活動之間存在“緊密聯(lián)系”，即便真正進行數(shù)據(jù)處理的控制者并非在歐盟境內(nèi)，也應(yīng)接受歐盟管轄。由此，歐盟執(zhí)法機構(gòu)數(shù)據(jù)調(diào)取的范圍，也遠遠超出了地理意義上的歐盟轄區(qū)。

美歐雖然沒有采取我國這樣的一部綜合性數(shù)據(jù)立法的形式，主要通過分散式單行法的方式，但也同樣抓準了數(shù)據(jù)安全立法“安全”“控制”“利用”三個層次需求，并沿著這三個層次形成了各自的數(shù)據(jù)戰(zhàn)略。

美國占據(jù)技術(shù)先發(fā)優(yōu)勢，有著強大的產(chǎn)業(yè)基礎(chǔ)和服務(wù)貿(mào)易量，全球運營的美國企業(yè)成為美國數(shù)據(jù)立法的重要關(guān)切和杠桿因素，并據(jù)此實現(xiàn)管轄范圍的擴張。在安全層面，美國立法強調(diào)給予企業(yè)決定安全控制措施的空間，并大力倡導(dǎo)國際標準，反對中國自主制定網(wǎng)絡(luò)安全國家標準，由此減少美國企業(yè)全球運營的合規(guī)成本。在控制層面，美國表面上一貫主張跨境自由流動，反對在國際貿(mào)易中的隱私保護例外條款，但對于本國境內(nèi)數(shù)據(jù)，美國并非全無控制，而是借助于國家安全例外實現(xiàn)對特定類型數(shù)據(jù)出境的控制，并在近期通過國內(nèi)法案現(xiàn)代化改革，進一步強化擴張及于“新興和基礎(chǔ)技術(shù)”“公民個人敏感數(shù)據(jù)”，限制其被特定外國企業(yè)、個人獲取，以便在大數(shù)據(jù)背景下能夠切實保障國家安全并遏制包括我國在內(nèi)的等重點關(guān)注國家崛起。在利用層面，美國在推進政府信息公開、數(shù)據(jù)開放的過程中積累了豐富的制度經(jīng)驗，在推進政府數(shù)據(jù)開放的同時，也通過受控非密信息制度實現(xiàn)了政府數(shù)據(jù)傳輸和使用的控制；在企業(yè)數(shù)據(jù)利用維度，美國通過云法案明確執(zhí)法機構(gòu)可以調(diào)取企業(yè)數(shù)據(jù)，并且以“數(shù)據(jù)控制者”為標準明確執(zhí)法跨境數(shù)據(jù)調(diào)取權(quán)限，實際上將全球運營的美國企業(yè)打造成自己在網(wǎng)絡(luò)空間中的領(lǐng)土延伸，美國企業(yè)無論在境內(nèi)外獲取的數(shù)據(jù)，美國執(zhí)法機構(gòu)均可以通過國內(nèi)法的法律程序?qū)崿F(xiàn)調(diào)取，極大地便利了美國執(zhí)法行動，而外國政府調(diào)取美國企業(yè)數(shù)據(jù)則需要符合美國國內(nèi)法要求的“適格外國政府”等限定條件。

從歐盟來看，不論是“單一數(shù)字市場”還是“歐洲數(shù)據(jù)空間”，一直以來歐盟試圖通過全面清晰的規(guī)則治理和監(jiān)管塑造歐洲數(shù)字未來，型塑“開放且主權(quán)”的歐洲數(shù)據(jù)大陸。當前，歐盟的互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展相對落后于美國和我國，產(chǎn)業(yè)能力、基礎(chǔ)設(shè)施、代表性企業(yè)相對有限，歐盟企業(yè)事實上處于數(shù)據(jù)弱勢地位，歐盟在數(shù)字經(jīng)濟中的份額也與其自身的經(jīng)濟體量存在較大差距。但互聯(lián)網(wǎng)產(chǎn)業(yè)中數(shù)據(jù)多由消費者使用產(chǎn)生，由此歐盟便轉(zhuǎn)換視角，以整個歐盟市場作為政策施力點，要求所有面向歐盟提供產(chǎn)品或服務(wù)的實體，均應(yīng)當接受歐盟的管轄，既實現(xiàn)對掌握歐盟數(shù)據(jù)跨國公司的規(guī)制，也通過面向歐盟提供產(chǎn)品或服務(wù)的實體，實現(xiàn)歐盟管轄范圍的擴張，事實上擴張了歐盟對全球網(wǎng)絡(luò)空間中數(shù)據(jù)的掌控能力。從安全層面來看，歐盟與美國相似，從風(fēng)險管理視角設(shè)計安全保護策略的基本框架，并通過網(wǎng)絡(luò)和信息安全局（ENISA）發(fā)布有關(guān)網(wǎng)絡(luò)和信息安全最低措施的技術(shù)指南，以協(xié)調(diào)成員國和運營者采取相應(yīng)可靠的信息安全措施。在控制層面，歐盟建立統(tǒng)一的個人數(shù)據(jù)和非個人數(shù)據(jù)保護框架，在歐盟內(nèi)部協(xié)調(diào)多個成員國之間存在數(shù)據(jù)監(jiān)管不一致的問題，從制度層面掃清數(shù)據(jù)在歐盟境內(nèi)自由流動的障礙，同時也通過設(shè)定高標準的個人數(shù)據(jù)保護要求，重建數(shù)字經(jīng)濟發(fā)展的信任前提，回應(yīng)歐洲獨特的隱私文化保護訴求；在歐盟外部，歐盟也借助于“充分性機制”，實現(xiàn)“內(nèi)外有別”，以彼此信任為基礎(chǔ)允許數(shù)據(jù)跨境流動，從而使得任何接收歐盟數(shù)據(jù)的組織均應(yīng)當提供與歐盟具有實質(zhì)相當性的數(shù)據(jù)保護水平，事實上將其高標準的數(shù)據(jù)保護要求投射至歐盟之外，同時歐盟也通過將面向歐盟市場提供產(chǎn)品或服務(wù)的服務(wù)提供者作為規(guī)制對象，擴張了歐盟數(shù)據(jù)相關(guān)立法的管轄范圍，極大增強了歐盟對于傳輸至境外的數(shù)據(jù)的控制力。在利用層面，歐盟從公共部門數(shù)據(jù)再利用逐漸推進私人部門數(shù)據(jù)再利用，并提出B2G模式，強調(diào)私人部門為公共部門提供數(shù)據(jù)收集、分析和處理等服務(wù)，幫助公共部門提高城市規(guī)劃、疫情防控、道路和交通管理、環(huán)境保護、市場監(jiān)控和消費者保護方面的能力。同時歐盟也試圖與美國“達成互惠”，積極推進執(zhí)法調(diào)取數(shù)據(jù)立法，同樣以“面向歐盟市場提供產(chǎn)品或服務(wù)的提供者”為義務(wù)主體，并將數(shù)據(jù)控制者及其分支機構(gòu)做緊密聯(lián)系，明確其應(yīng)當配合歐盟執(zhí)法機構(gòu)的數(shù)據(jù)調(diào)取命令，無論數(shù)據(jù)是否存儲在歐盟境內(nèi)，使得前述服務(wù)提供者在歐盟市場運營的數(shù)據(jù)能夠最終服務(wù)于歐盟監(jiān)管。

我國《數(shù)據(jù)安全法》主要是一部授權(quán)性法律，意在對標域外主要國家和地區(qū)對數(shù)據(jù)的立法和規(guī)制措施，賦予我國相關(guān)主管監(jiān)管部門權(quán)限，開展后續(xù)的數(shù)據(jù)安全管理和監(jiān)督工作。但目前為止，除了國家互聯(lián)網(wǎng)信息辦公室制定的《數(shù)據(jù)出境安全評估辦法》之外，鮮見其他部委利用《數(shù)據(jù)安全法》賦予的授權(quán)。

從美歐的比較觀察來看，美歐雖然沒有綜合性的數(shù)據(jù)立法，但看似分散式的立法背后，實際蘊藏著各自的數(shù)據(jù)戰(zhàn)略意圖，立足自身的經(jīng)濟、政治、法律傳統(tǒng)等因素出發(fā)，力求取得利益最佳平衡點。相較之下，我國《數(shù)據(jù)安全法》雖然也關(guān)照當前數(shù)據(jù)治理的多元立法需求，但整體上偏重于對于歐美立法的形式性借鑒和制度性應(yīng)對，在前瞻性和實質(zhì)性的數(shù)據(jù)戰(zhàn)略謀劃方面略顯不足，尚未能形成較為明確的數(shù)據(jù)戰(zhàn)略和系統(tǒng)的制度安排。這些恰恰是基于《數(shù)據(jù)安全法》的后續(xù)法規(guī)或規(guī)章立法時應(yīng)著力解決的問題。

以數(shù)據(jù)跨境流動為例，其方案選擇事關(guān)國家安全和數(shù)字經(jīng)濟發(fā)展的平衡尺度，也關(guān)涉國內(nèi)國外兩個大局的統(tǒng)籌，無疑是數(shù)據(jù)治理的焦點所在，也最能洞察數(shù)據(jù)戰(zhàn)略意圖?；貧w到我國《數(shù)據(jù)安全法》在具體制度層面通過重要數(shù)據(jù)出境安全評估、數(shù)據(jù)安全國家審查、數(shù)據(jù)出口管制、外商投資限制、跨境執(zhí)法調(diào)取數(shù)據(jù)的阻斷立法等方面，實現(xiàn)對數(shù)據(jù)跨境流動的全面控制。因此，從制度廣度而言，《數(shù)據(jù)安全法》對數(shù)據(jù)跨境監(jiān)管完成了一般商業(yè)場景、特殊商業(yè)場景以及執(zhí)法場景的全場景覆蓋：一般商業(yè)場景中遵循數(shù)據(jù)出境安全評估制度，特殊商業(yè)場景中的數(shù)據(jù)跨境執(zhí)行出口管制、國家安全審查；應(yīng)境外執(zhí)法機構(gòu)要求提供數(shù)據(jù)須履行境內(nèi)主管機關(guān)批準程序。如此的制度設(shè)計更多的是設(shè)立了框架、流程、工具，但缺乏對數(shù)據(jù)跨境流動的方向性的態(tài)度或立場。反觀美國和歐盟，此方面的戰(zhàn)略意圖在立法中直接凸顯——或者借助于全球運營的企業(yè)、或者借助于不容忽視的內(nèi)部市場，極大地增強了國家對（境內(nèi)外）數(shù)據(jù)的掌控和利用能力。

由是觀之，新一輪全球范圍內(nèi)的數(shù)據(jù)戰(zhàn)略競爭中，國家不僅僅作為制度供給者，也作為獨立的利益主體登場，全球數(shù)據(jù)治理立法均充分考量國家的利益訴求，各國的數(shù)據(jù)戰(zhàn)略都服務(wù)于大數(shù)據(jù)時代的綜合國力競爭，既包括維護國家安全利益的防御性訴求，也包括促進本國數(shù)字經(jīng)濟全球競爭，并通過規(guī)則治理搶占全球數(shù)據(jù)規(guī)則話語權(quán)。在歐美各自結(jié)合自身特點形成數(shù)據(jù)戰(zhàn)略的前提下，我國如何形成符合我國自身安全、發(fā)展利益的數(shù)據(jù)戰(zhàn)略，是決定數(shù)據(jù)安全法內(nèi)在品質(zhì)的關(guān)鍵性標準所在。由此，在戰(zhàn)略層面，《數(shù)據(jù)安全法》的實施應(yīng)當將以數(shù)據(jù)主權(quán)為核心的國家數(shù)據(jù)能力，作為我國數(shù)據(jù)戰(zhàn)略競爭的基本考量要素之一。數(shù)據(jù)主權(quán)是國家對其政權(quán)管轄區(qū)域范圍內(nèi)個人、企業(yè)和相關(guān)組織所產(chǎn)生的數(shù)據(jù)擁有的最高權(quán)力，除保障國家對其管轄區(qū)域內(nèi)數(shù)據(jù)的控制性權(quán)力外，還應(yīng)包括增強國家（包括其管轄的組織和個人）對（境內(nèi)外）數(shù)據(jù)的掌握程度和處理利用能力。

對于《數(shù)據(jù)安全法》的實施而言，維護我國的數(shù)據(jù)主權(quán)，還同時考慮如何讓我國企業(yè)能夠在全球范圍內(nèi)掌握、利用更多的數(shù)據(jù)。當前我國數(shù)字經(jīng)濟雖然取得了舉世矚目的成就，規(guī)模和實力僅次于美國，但與美國全球化運營的互聯(lián)網(wǎng)企業(yè)而言，我國眾多的網(wǎng)信企業(yè)更多的是依賴于日漸飽和的國內(nèi)市場，國際化進展卻不盡人意。我國數(shù)字經(jīng)濟產(chǎn)業(yè)仍處于上升期，未來網(wǎng)信企業(yè)出海存在廣闊空間，而過于強調(diào)公權(quán)力控制及面向美歐的應(yīng)對式數(shù)據(jù)跨境流動監(jiān)管，事實上將會對我國網(wǎng)信企業(yè)出海造成阻礙。背后的原因是正常商業(yè)合作中數(shù)據(jù)流不出去，自然會聯(lián)動地影響數(shù)據(jù)流進來，進而導(dǎo)致我國網(wǎng)信企業(yè)無法做到全球運營一盤棋。

所以，《數(shù)據(jù)安全法》在后續(xù)實施時，各相關(guān)主管監(jiān)管部門應(yīng)當充分利用《數(shù)據(jù)安全法》的授權(quán)，在國家統(tǒng)一建立的數(shù)據(jù)分類分級的基礎(chǔ)上，明確每類數(shù)據(jù)出境所面臨的主要安全風(fēng)險，配以相應(yīng)的出境管控措施，做到精細化的治理，并定期更新數(shù)據(jù)的分類分級目錄，動態(tài)性地應(yīng)對內(nèi)外部數(shù)據(jù)安全風(fēng)險變化。

我國《數(shù)據(jù)安全法》并非局限于數(shù)據(jù)安全問題，而是在更加寬泛的意義上理解安全，意圖通過《數(shù)據(jù)安全法》一部法律完成歐美等國家或地區(qū)多部法律協(xié)力完成的綜合治理目標，本身的立法難度較高；同時，在數(shù)字經(jīng)濟全球化背景下，數(shù)據(jù)安全立法也為國際社會所關(guān)注，因此既要避免相關(guān)制度設(shè)計被別有用心者借口攻擊我國法治形象，也應(yīng)盡可能提升我國數(shù)據(jù)立法制度的競爭力，本身的立法要求也更高，在上述標尺衡量下看，該法存在構(gòu)建性不足的問題。

從安全的層次看，《數(shù)據(jù)安全法》對于數(shù)據(jù)流轉(zhuǎn)中的安全風(fēng)險制度設(shè)計提出了原則性的要求，但對數(shù)據(jù)流動過程中的安全風(fēng)險并沒有提出針對性的措施。其中第4章“數(shù)據(jù)安全保護義務(wù)”第22條、第23條、第27條至第29條對“數(shù)據(jù)”提出的安全要求，基本上也對網(wǎng)絡(luò)適用，與此前《網(wǎng)絡(luò)安全法》中相關(guān)義務(wù)的規(guī)定高度相似。換句話說，將上述條文中的“數(shù)據(jù)”替換成“網(wǎng)絡(luò)”，并不會造成理解或解釋方面的困難。但數(shù)據(jù)安全不同于網(wǎng)絡(luò)安全，網(wǎng)絡(luò)相對靜止，其所有者、管理者、運營者的責(zé)任區(qū)分較為明確；數(shù)據(jù)具有高流動性和可復(fù)制性，通過傳輸或復(fù)制廣泛流轉(zhuǎn)之后，數(shù)據(jù)的控制者、使用者同時增多。因此，數(shù)據(jù)流轉(zhuǎn)中的安全如何保障，是數(shù)據(jù)安全立法需要專門設(shè)計的內(nèi)容，《數(shù)據(jù)安全法》的實施應(yīng)進一步考慮保障數(shù)據(jù)流動鏈條中所有參與主體較為一致的安全保障水平，并明確數(shù)據(jù)流動鏈條中上下游參與各方的安全責(zé)任劃分問題。

從控制層面來看，《數(shù)據(jù)安全法》考慮到數(shù)據(jù)泄露的初始風(fēng)險乃至數(shù)據(jù)被不當分析利用可能造成的風(fēng)險，而在傳統(tǒng)國家秘密之外，提出了重要數(shù)據(jù)保護的基本框架，具體內(nèi)容包括：認定主體及目錄制度、安全負責(zé)人、定期風(fēng)險評估、出境管理。但從平衡重要數(shù)據(jù)安全保障和流轉(zhuǎn)利用的角度來看，《數(shù)據(jù)安全法》在實施方面，還存在著優(yōu)化空間：其一，授權(quán)部門、各地進行重要數(shù)據(jù)的認定時，缺乏一定門檻的限定，實踐中很可能出現(xiàn)認定標準不一，導(dǎo)致過度保護或疏于保護等問題，應(yīng)將認定權(quán)限限于各行業(yè)主管部門。其二，應(yīng)當明確重要數(shù)據(jù)在境內(nèi)和境外流轉(zhuǎn)應(yīng)遵循的基本原則，確定重要數(shù)據(jù)流轉(zhuǎn)時應(yīng)采取的安全控制措施，從而實現(xiàn)重要數(shù)據(jù)安全和開發(fā)利用之間的平衡。其三，《數(shù)據(jù)安全法》后續(xù)的實施還需要明確重要數(shù)據(jù)認定程序、期限、異議、監(jiān)督等基本事項，或者參考《網(wǎng)絡(luò)安全法》明確授權(quán)主管部門制定專門性的安全保護條例，避免《數(shù)據(jù)安全法》中重要數(shù)據(jù)保護基本框架（如安全負責(zé)人、專項風(fēng)險評估等）得不到細化甚至于落地?zé)o力的局面。

從利用層面來看，目前《數(shù)據(jù)安全法》中關(guān)于利用的內(nèi)容主要是關(guān)于政務(wù)數(shù)據(jù)安全與開放、公安機關(guān)和國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要而調(diào)取數(shù)據(jù)的規(guī)定，以及封阻來自于域外的調(diào)取數(shù)據(jù)要求，但相應(yīng)內(nèi)容大量使用了“依照法律、行政法規(guī)規(guī)定”“按照國家有關(guān)規(guī)定”等措辭，將相應(yīng)的制度規(guī)范要求指向數(shù)據(jù)安全法之外的其他法律、行政法規(guī)，但又沒有交代清楚具體依照哪部法律、行政法規(guī)的規(guī)定，有違法律規(guī)范應(yīng)當明確、具體的特性要求。對于政務(wù)數(shù)據(jù)安全與開放的問題，我國各地政府推進的政務(wù)數(shù)據(jù)安全和開放的立法行動可為參照，數(shù)據(jù)安全法可以求同存異，以提取公因式的方式將其中的一些制度上升為一般性制度和普遍性要求。對于執(zhí)法調(diào)取數(shù)據(jù)的規(guī)定，一定程度上存在對我國“數(shù)據(jù)后門”的誤解。因此，即便我國數(shù)據(jù)安全法拒絕歐美“擴張式”的執(zhí)法跨境調(diào)取數(shù)據(jù)立法，而堅守我國的“防守”模式，也應(yīng)當明確具體的調(diào)取主體、調(diào)取程序、異議機制等具體內(nèi)容。

《數(shù)據(jù)安全法》構(gòu)建了關(guān)于數(shù)據(jù)的基本制度框架，各相關(guān)主管監(jiān)管部門應(yīng)當在“國家數(shù)據(jù)安全工作協(xié)調(diào)機制”的統(tǒng)籌指導(dǎo)下，將《數(shù)據(jù)安全法》的原則和精神與各行業(yè)和領(lǐng)域情況充分結(jié)合，細化、充實“安全”“控制”“利用”這三個層面的制度設(shè)計，最終形成“統(tǒng)分協(xié)調(diào)”的數(shù)據(jù)制度。

人類才剛剛進入數(shù)據(jù)爆炸時代，伴隨著對數(shù)據(jù)開發(fā)和利用的拓展，對數(shù)據(jù)安全風(fēng)險的認識也逐漸深化。為了在新的發(fā)展階段切實保障國家安全，《數(shù)據(jù)安全法》應(yīng)運而生，不僅系統(tǒng)性應(yīng)對數(shù)據(jù)安全領(lǐng)域的內(nèi)生性風(fēng)險，同時應(yīng)對愈演愈烈的國家間數(shù)據(jù)競爭，有著強烈的現(xiàn)實針對性和必要性。總體來看，我國《數(shù)據(jù)安全法》試圖高屋建瓴地構(gòu)建基本的數(shù)據(jù)安全治理框架，在給數(shù)據(jù)安全治理的未來新發(fā)展留出空間的同時，卻需要通過扎實、細致、系統(tǒng)的實施和落地，才能完全發(fā)揮戰(zhàn)略意圖。在《數(shù)據(jù)安全法》進入實施環(huán)節(jié)的當下，我國應(yīng)盡快地凝練并提出符合自身主權(quán)、安全、發(fā)展利益的數(shù)據(jù)戰(zhàn)略，以此為基點，圍繞數(shù)據(jù)“安全——控制——利用”的三層脈絡(luò)，進一步完善重點制度設(shè)計。

文章來源：《法學(xué)雜志》2023年第2期