引用参考文献格式:朱雪忠,代志在. 总体国家安全观视域下《数据安全法》的价值与体系定位[J]. 电子政务,2020(08): 82-92.
摘要:大数据战略给生产组织方式的变革带来了新机遇,也对国家安全尤其是情报安全提出了新挑战。文章以总体国家安全观为理论指导,在明确我国数据安全需求和制度供给的基础上,分析了《数据安全法》的价值定位和体系定位。具体而言,《数据安全法》的价值定位应当符合总体国家安全观对“发展与安全兼顾”的要求并有具体的制度支撑;体系定位要在服从总体国家安全观全局规划的基础上,整合现有数据安全政策,避免过度介入已经或本应由其他法律规制的领域。《数据安全法》的定位问题是系统规划国家数据安全风险防控和治理体系建设的基础理论问题,明确其价值与体系定位对进一步讨论其基本原则、具体条款和法律适用具有重要意义。
关键词: 数据安全法;国家安全;网络安全;数据安全;信息安全
DOI:10.16582/j.cnki.dzzw.2020.08.008
一、引言
20世纪90年代,传感器、数字存储、计算机、通信和互联网等技术的快速发展,已经推动了一场不可避免的“大数据革命”。[1]国际数据公司(IDC)发布的《数字化世界——从边缘到核心》白皮书以及《IDC:2025年中国将拥有全球最大的数据圈》白皮书指出,人类每一年新创造的数据都超过了过去千年的总和,而在2025年将达到惊人的175ZB。[2]随着技术的发展和人类处理数据能力的增加,这种增长没有显现出任何缓和的趋势。预计在2025年中国数据圈增至48.6ZB,占全球27.8%,成为全球最大数据圈。
(一)研究背景
一个大规模生产、分享和应用数据的时代正在开始,给国家治理、产业发展、个人生活带来了新的机遇。数据被誉为“新时代的石油”,彰显了其作为“基础性战略资源”的价值。2015年,我国政府在《促进大数据发展行动纲要》中明确指出:“数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。数据不仅能够促进企业组织方式的创新与资源的重新分配,还能提升政府的科学决策水平和风险防范能力。从长远来看,大数据将会对政府治理范式、政府职能和政府自身管理等多个方面产生影响。”[3]
伴随机遇而来的,是全场景、大规模数据应用对国家安全提出的严峻挑战。在情报学领域,数据作为“事实(fact)-数据(data)-信息(information)-知识(knowledge)-情报(intelligence)”5个要素组成的“信息链”的中间环节,是提炼信息,发现新知识、新情报的基础。[4]作为信息载体的数据不仅是重要的商业资源,其所蕴藏的重要情报价值及预测性功能更是昭示了对国家安全和战略能力的重要意义。[5]在数字化生存时代,数据展现出对国家安全和社会公共利益的巨大影响力。在“棱镜”计划中,美国情报部门通过进入微软、谷歌、苹果、雅虎等跨国科技巨头的服务器获取了大量情报,而这些跨国公司的产品曾经广泛应用于我国政府各部门,给我国的情报安全带来了巨大威胁。在剑桥分析公司利用Facebook的用户隐私数据影响美国大选结果的同时,我们不得不担忧阿里巴巴、腾讯等互联网公司所拥有的海量数据如果被不当使用,是否会严重冲击我国的政治安全和社会稳定。
发展数字经济的机遇已经到来,但应对数据安全的法律制度仍有待完善。在十三届全国人大常委会公布的立法规划中,《数据安全法》与《个人信息保护法》均榜上有名。然而,同样关注数据问题的两部法律,在学术研究中却有着完全不同的命运。在讨论个人信息保护的热潮中,传统民法学者、知识产权法学者、刑法学者、宪法学者乃至于社会学、情报学的专家都广泛地参与到《个人信息保护法》的讨论中,与此形成鲜明对比的是以《数据安全法》为研究对象的学术成果寥寥。
(二)问题的提出
在现有研究中,学者们主要从信息技术和公共管理的角度对数据安全进行了分析。在信息技术方面,数据云存储、传输等环节的安全保障技术是近年来研究的热点和重点。尽管在加密存储、数据隔离、数据迁移、安全审计、数据残留、高级持续性攻击防范等方面还面临诸多挑战[6],但我国拥有自主产权的数据安全软硬件发展势头良好, 已经能满足一定的安全需求, 为构建我国数据安全治理体系奠定了技术基础。[7]在公共管理方面,对数据治理的研究有两条进路:其一是将数据视为治理的资源,其二是将数据视为被治理的对象。国家安全观视域下的数据安全问题属于第二条研究进路。现有关于数据安全治理的研究主要集中在政策层面。王本刚等指出要对数据开放政策、个人信息保护政策和国家安全政策进行全局性的统筹规划,以应对大数据经济的发展和开放数据带来的国家安全问题。[8]但学者通过LDA 主题聚类方法进行的政策计量学研究表明,现有数据政策中开放数据和数据安全主题间协同度数值较低。[9]这表明,在政府大力推进数据共享开放的政策背景下,数据安全保障体系建设在一定程度上并未得到应有的重视。在具体的数据安全政策制定方面,学者就数据跨境流动[10]、数据本地化存储[11]、科研数据安全行为[12]等问题进行了探讨,并提出了一些政策建议。值得注意的是,这些针对不同问题的政策建议之间存在明显的价值冲突。例如,全面的数据本地化存储政策建议与允许数据自由跨境流动的政策建议就体现出不同价值取向之间的紧张关系。并且,现有针对科研数据、人类遗传资源数据、网络数据、个人数据、大数据等不同领域的数据安全问题研究错综复杂,相关政策又呈现出立法层级多、管理部门多、模糊法条多的特点,严重缺乏条理和体系性。因此,厘清《数据安全法》的核心价值及其在现有制度体系中的位置具有十分重要的意义。
信息技术领域的数据安全研究成果为《数据安全法》的落实提供了技术支持,而公共管理领域的研究成果从别国经验、政策分析、政策制定等角度为应对数据安全挑战提供了宝贵的智识资源。上述研究成果为《数据安全法》的具体规则制定提供了参考,但却未能充分讨论立法价值和体系层面的重要议题,难以对即将出台的《数据安全法》提供理论支撑。
总体国家安全观为《数据安全法》的立法工作提供了理论指引。总体国家安全观是习近平总书记于2014年4月15日在中央国家安全委员会第一次会议上提出,是指导新时代国家安全工作的强大思想武器,对于完善国家安全体制机制,加强国家安全能力建设,有效维护国家安全,具有十分重要的意义。[13]自总体国家安全观提出后,学界围绕总体国家安全观的提出背景、时代价值、主要内容、基本特征和落地实践进行了广泛的讨论。从思想渊源来说,总体国家安全观坚持了马克思主义国家安全思想的基本立场,同时吸收了我国传统文化中的民本思想和忧患意识。[14]从历史演变来说,总体国家安全观是建国初期以军事和政治等传统安全为核心的国家安全观的延续,也是20世纪70年代兴起的传统安全观向非传统安全观转变的最新思想成果。[15]
建立在“历史性巨变”判断之上的总体国家安全观具有整体性[16]、人民性[17]、法制性[18]等特点。整体性是总体国家安全观最重要的特点,只有在整体性的视野和应对之下,才能把握国家各类安全要素之间的联系和作用,解决不同安全问题耦合产生的整体涌现效应。[19]人民性体现了总体国家安全观的最高价值追求,即人民的安全。法制性则是依法治国背景下治理国家安全问题的必然选择。
《数据安全法》的立法工作是国家安全工作的重要组成部分,而国家安全工作应当坚持总体国家安全观是《国家安全法》第三条的明确要求。《数据安全法》的制定是国家数据安全法治建设的重中之重,理应接受总体国家安全观的理论指引。总体国家安全观决定了《数据安全法》的价值取向和体系定位。首先,总体国家安全观从顶层设计层面决定了当前我国的数据安全需求和理念,《数据安全法》应当以满足相应安全需求为目标,配置权力资源和法律责任,进而实现发展与安全之间的相互促进、相互配合和良性互动。其次,《数据安全法》作为国家安全法律体系的一部分,既要弥补、调和现有数据安全制度供给的不足和缺陷,又要符合总体国家安全观的“整体性”要求,避免过度介入已经或本应由其他法律规制的领域,以免造成国家安全法律体系叠床架屋、相互冲突和适用困难等情形。
在上述实践和理论研究背景之下,本文从总体国家安全观的基本理论出发,结合我国历史发展阶段和“后疫情时期”的国际格局,分析了当前我国的数据安全需求和制度供给;接着从适应国家数据安全需求和安全法治体系整体性的角度,分别讨论《数据安全法》价值与体系定位的具体问题。
二、国家数据安全需求与制度供给
当前,“国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂”[20]。2019年末发生的新冠肺炎疫情,更是加剧了“后疫情时期”国际格局复杂多变的形势。在新旧国际秩序更替的新平衡达到之前,外部世界不确定性会非常强,这就要求国家战略将安全上升到更高的位置,即由主要强调“发展”转向“发展与安全并重”。[21]数字经济和技术的发展,进一步延展了国家安全的内涵,重塑了当前国家的数据安全需求。
首先,多源信息融合技术的发展模糊了国家秘密与非秘密之间的界限,既有的《保守国家秘密法》无法涵盖非国家秘密数据的获取、加工、处理和流转,因而产生了国家数据治理范围扩张的安全需求。传统上被认为与国家秘密无关的数据在达到一定规模后,通过与其他数据进行汇聚、整合、分析,很可能造成危害国家安全和社会公共利益的严重后果。以住房空置率为例,单纯的人口普查信息或许难以得出准确的结论,但如果结合海量的快递订单和水电运行数据,在某一区域甚至全国范围内得出准确的房屋空置率并非难事。[22]相似的方法如果应用在国防安全、军事等领域,可能会暴露我方的重要军事目标、泄露敏感地理信息。
其次,部分影响国家安全的数据并不在传统国家安全部门的统领之下,而是由企业掌握。现有法律体系没有为政府管理这部分数据提供制度工具,因而产生了针对企业数据的安全治理需求。习近平总书记“在网络安全和信息化工作座谈会上的讲话”中明确指出:“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。企业要重视数据安全。”[23]对由私人部门掌握的国家安全相关数据的管控,需要法律为监管机构配置相应的监督、处罚等权力,并制定违反数据安全行为规范的法律责任体系。在制度设计时,既要鼓励相关企业努力发展数字经济,同时又要鼓励企业建立数据安全保护体系,并在必要时对相关数据活动进行安全评估和审查。
最后,在政府的数据共享开放战略实施过程中,数据安全风险缺少把控,衍生出相应的数据安全需求。在通常情况下,数据可以通过一定的技术手段确保其保密性、完整性和可用性。然而,现代经济的发展离不开数据的驱动,政府掌握的海量公共数据如果通过一定程序和规则开放给广大企业,就能够促进其生产组织方式的集约和创新,进而影响社会分工协作的组织模式并提高效率。此外,由于数据并不直接等价于信息,从数据中提炼出何种信息以及何种质量的信息,在很大程度上取决于主体的算力、算法和信息综合运用能力。目前,我国仅有少部分企业具有国际竞争力的数据分析能力,在改革开放逐步深化的背景下,这些数据可能会被外国公司乃至敌对势力利用,一方面可能冲击我国初见成果的数字经济,另一方面可能泄露我国政治、经济运行的重要情报。并且,当前政府数据公开项目推进过程中缺少安全评估手段和环节,可能导致蕴藏在数据中的国家安全信息发生泄露。
从数据安全的制度供给来看,现有与数据安全相关的规范分布在法律、行政法规、部门规章、地方性立法等多个层级(参见表1)。
表1 国家数据安全规范文件汇总
可以看出,当前国内数据安全法治建设尚处于一个初级阶段。从立法层级来看,现有与国家数据安全有关的规范立法层级过低。法律层面的《国家安全法》主要起到宏观和把控立法方向的作用,未能提供具体的数据安全行为指引;《保守国家秘密法》的调整范围有限,只能对经过定密程序的国家秘密事项提供保护;而《网络安全法》也仅对网络数据做了部分规定。行政法规、部门规章以及地方性立法难以对国家数据安全这一重要议题充分配置权力和责任。从规范性质来看,现有法律政策体系中保护公共利益与保护私人利益的规范杂糅。例如《数据安全管理办法》和《个人信息和重要数据出境安全评估办法(征求意见稿)》中存在大量与个人信息保护有关的内容,缺少条理和内部逻辑的一致性。从规范内容来看,大部分立法都强调了数据安全主体的安全保障义务,但对于违反相关规定应当承担的法律责任缺少明确表述。缺少法律责任条款的法律是“不长牙齿的老虎”,难以对国家数据安全问题形成有效治理。并且,由于立法层级太多、公私利益混杂等问题,低层次立法容易违背上位法的规定,造成法律规范间的冲突,有损法律的严肃性和权威性。例如《贵州省大数据安全保障条例》第62条规定了吊销营业执照的行政处罚,但这显然违背了《行政处罚法》第11条的规定,突破了地方性法规不能设定限制人身自由及吊销营业执照的行政处罚的基本原则。
综上所述,现有数据安全制度供给不能满足当前我国数据安全需要。如果希望未来的《数据安全法》能够缓和现行数据安全政策中的价值冲突,恰如其分地扮演国家安全法治体系中的角色,需要认真领会总体国家安全观的基本精神,深入研究《数据安全法》的价值与体系定位问题。
三、《数据安全法》的价值定位
总体国家安全观“既强调安全,又强调发展”[20]。当前的数据安全需求不是追求绝对的安全,而是要保证相对的安全。这就要求《数据安全法》在扩张数据安全治理范围时坚持科学、审慎的态度,在治理企业的数据安全问题时要兼顾企业的财产权益和产业发展,在推进政府数据开放共享的过程中实施精细化管理,避免过度激进或过度谨慎的数据安全政策。申言之,《数据安全法》的价值定位应当适应“安全与发展兼顾”的价值需求,并在具体的制度构建中贯彻总体国家安全观的基本精神。
(一)发展与安全的冲突与协同
《数据安全法》的价值定位应当回应我国当前的数据安全需求,并且符合总体国家安全观的基本要求。习近平总书记强调,在国家安全工作中要“既重视发展问题,又重视安全问题”,从宏观上确立了《数据安全法》的价值定位。由于现代数据技术的发展和国家的数据战略布局,数据安全风险有其特殊性。因此,具体到《数据安全法》层面需要对“发展与安全”的内涵从实践角度做更细致的阐释,即说清楚发展什么与保障谁的安全。《数据安全法》的“发展”价值有二层含义:一是指数据技术、数字经济产业的发展;二是指数据开放共享机制体制的发展。《数据安全法》的“安全”价值也有二层含义:一是保障作为国家核心利益的数据主权安全;二是保障社会公共利益的安全。
发展与安全兼顾的实现并非易事,两者既存在冲突效应,也存在协同效应。从冲突效应来看,发展价值的实现主要依赖于市场的自我资源配置能力,尤其强调行政的少干预乃至不干预。而安全价值的实现需要依靠政府公权力的全面介入,强调公权力对社会公共利益的守护以及对全局的调节性作用。因此,发展和安全的价值分别对政府干预市场提出了不同方向的要求。从协同效应来看,数据技术、经济发展的成果,可以推动数据安全工作的进步。而数据安全政策制度的完善,能够守护数字经济发展的成果,从根本上保障人民利益。总的来说,冲突效应是短期的,协同效应是长远的。从短期来看,安全价值的实现会影响发展价值的实现;从长远来看,没有安全保障的数字经济发展成果是“无根之木,无源之水”,经不起国际局势变幻的风浪,还可能冲击我国的政治安全和社会稳定。因此,没有数据安全制度保驾护航的数字经济发展、数据共享开放机制都不稳妥,盲目发展带来的短期利益可能会埋下长期的隐患。
总的来说,《数据安全法》发展与安全的价值既存在冲突效应又存在协同效应,实现“发展与安全兼顾”需要协调两种效应之间的矛盾。具体来说,就是协调发展价值所要求的数据自由和为了防范国家安全风险、保障社会公共利益的数据管制之间的结构性矛盾。在发展与安全的冲突与协同中如何取舍,如何通过激励相容的制度设计促进数据安全与发展并进,是对立法者和相关研究者的重大考验。
(二)发展与安全兼顾的制度支撑
没有制度支撑的价值定位无法发挥其对立法的指引作用,也难以实现预期的社会功能。“发展与安全兼顾”的《数据安全法》在为中外企业提供一个稳定的法律预期的同时,应当保持一定的立法弹性以应对形势的变化和技术的发展。
《数据安全法》应当确立一个多维度、可操作的数据安全等级评估框架,并制定不同安全等级数据的行为规范。《网络安全法》第三十七条确立了数据本地化存储的义务,要求关键基础设施运营者将采集到的个人信息和重要数据存储在境内并不得任意向境外提供;确需提供的,“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。结合国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》来看,现有数据安全评估是个案的评估,具体评估办法较为原则,具有较大的不确定性,引起了部分外国企业的担忧和抗议。美国国际商业委员会(USCIB)向中国政府递交的一封联名信中提出,“《网络安全法》将在国家边界上设置贸易障碍阻碍外资参与贵国市场,伤害各个行业的依靠提供信息技术产品和服务进行商业活动的公司”[24]。为避免评估办法过于含混和原则化,同时减轻企业的数据安全合规成本,《数据安全法》应当以数据涉密、涉敏分级为基础建立数据安全评估体系,依据具体情境制定明确的安全评估指标,并明确不同安全等级数据行为规范。具体来说,对政府数据公开而言,目前国内研究的重点在促进和评估地方政府数据公开水平,相对忽视了数据公开过程中的国家安全和社会公共利益问题。当前,各地方政府都建立了自己的数据开放平台,对于已有的存量数据,应当立刻进行涉密、涉敏梳理和分级;对于未来新录入平台的政府数据,如果与现有数据种类相同,则可以直接参照现有等级予以处理;如果属于第一次录入该平台的数据种类,则可以由地方网信办会同地方国家安全管理部门通过涉敏、涉密排查,给予适当的数据安全分级,再视情况予以录入。对企业通过市场行为采集并存储的存量数据而言,应当由行业主管部门牵头,梳理排查数据种类,依照数据安全评估体系对不同种类的数据给予适当的安全等级。为鼓励数字经济发展,《数据安全法》无法也不可能预想到所有数据种类。对于企业通过市场行为获取的新种类数据,企业应当及时申报行业主管部门定级;在未定级前,企业可以采集并存储,但需要按照最高安全等级对待新采集的数据种类。通过给予不同安全等级的数据以不同的公开程度、公开方式,给予新种类数据足够的市场空间,将比例原则的精神贯穿于数据监管的全过程,使市场能够最大限度地利用数据流通带来的发展,充分实现安全和发展之间的平衡。
《数据安全法》应当构造以高额罚款为基础、以合规为导向的法律责任体系。现有《网络安全法》针对数据安全规定的责任体系过于粗糙,不能适应发展与安全兼顾的要求。例如,《网络安全法》第六十六条对违反数据跨境传输规定了相应责任,可以对关键信息基础设施运营者处以五万以上五十万元以下的罚款,并可责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。但与欧盟《通用数据保护条例》(GDPR)规定的起点高达千万美元的罚款相比,五万以上五十万元以下的罚款显得过于轻微,责任与社会危害性显著失调。有观点认为暂停业务、停业整顿、关闭网站、吊销相关业务许可证的做法相当于直接判企业“死刑”,能够对企业形成足够的威慑,因此罚款多少的弊端未必那么严重。[25]但直接关停业务,不能适应数字经济发展的浪潮,没有给企业留出发展试错的政策空间。并且,许多数据企业的业务波及范围很广,政府很可能因此投鼠忌器,最后轻罚了之。不难看出,现有责任体系从过于轻微的罚款到过于严厉的“死刑”之间没有任何过渡性的惩罚措施,这种一刀切的做法难以同时兼顾安全与发展的双重价值取向。基于对传统企业犯罪预防模式的反思,国外出现了通过合规计划(compliance program)进行企业犯罪预防的立法实践。简单来说,合规计划就是通过量刑激励促进企业的自我管理,以弥补国家法律规制的不足,从而形成对企业犯罪双管齐下的局面。[26]在国外的司法实践中,美国联邦贸易委员会对Facebook公司处以50亿美元罚款,并提出了严厉的隐私合规计划:包括设立一个独立的合规委员会,定期提交合规报告,接受政府指派的合规官的彻底监督,以及工作流程的再造,等等。在美国,作为和解协议、延迟起诉协议的一部分,合规计划已经成为了企业犯罪治理的重要手段。政府通过和解协议让企业得以延续,通过巨额罚款让企业“长记性”,通过“量身打造”的合规计划帮助企业在未来的商业行为中符合法律要求,取得了良好的社会效果。通过赋予合规计划行政责任、刑事责任减免事由的地位,可以改变企业将安全作为一种潜在成本的看法,而将建立有效的合规体系作为一种避免行政责任和刑事责任风险的重要手段。因此,构造一个以高额罚款为基础、以合规为导向的法律责任体系,将丰富数据安全监管部门的执法手段。一方面可以改善《网络安全法》责任两极化的现象,另一方面可以在合规计划保障安全的情况下给企业更多的发展空间。
上述两种制度构造都兼具发展与安全双重价值取向。数据安全等级评估框架以及相应的分级数据行为规范给系统化的、规模化的数据安全评审提供了有效手段,在贯彻比例原则的基础下,使得数据推动经济发展的效用最大化成为可能。以高额罚款为基础、以合规为导向的法律责任构造是给予企业建立有效数据合规体系的正向激励措施,改变其将安全视为成本的传统观念,同时丰富监管机构的执法手段。
四、《数据安全法》的体系定位
《数据安全法》的体系定位是在总体国家安全观确定的价值定位基础上,结合现有数据制度供给,运用体系化的方法构建《数据安全法》的法律适用范围及其与现有法律体系和立法规划之间的关系。体系化方法作为法律体系科学化建构和立法完善的重要方法[27],要求立法者明确每部法律在法律体系中所扮演的角色,即承担的功能。因此,探讨《数据安全法》的体系定位,首先,应当明确哪些数据法律关系受该法调整;其次,应当明确《数据安全法》的具体功能和体系分类,即立法目的和公私性质;最后,应当讨论《数据安全法》与相关法律之间的关系。
(一)《数据安全法》的调整范围
确立《数据安全法》法律体系定位的首要任务是辨析《数据安全法》所称数据之含义,以明确本法所调整的法律关系。有学者认为,《数据安全法》中的“数据”不涉及财政数据、经济数据、统计数据等定量数据,其规制对象应当限于在电子介质中形成或存储的“电子数据”,而不是“非电子化数据”。[28]这种解读自身就存在矛盾,其忽略了财政数据、经济数据、统计数据等定量数据往往既存在“电子化”版本又存在“非电子化”版本,此时这类定量数据是否受保护就成为了疑问。
尽管电子数据和网络大数据构成了数据安全的重要组成部分,但不能简单地将电子数据安全、网络大数据安全等同于数据安全。如果认可在电子数据以外尚有其他数据同样与国家利益、社会公共利益密切相关,就应当将其纳入规制范围,为相关利益提供立法保障,同时避免立法的疏漏。例如,大型工程活动、海洋环境、人类遗传资源以及敏感地理信息等数据,无论是否“电子化”都与社会公共利益密切相关,均应当受到本法的调整。
“重要数据”这一概念为进一步明确《数据安全法》的调整范围提供了参照。包括《网络安全法》《数据安全管理办法》《个人信息和重要数据出境安全评估办法(征求意见稿)》等诸多数据安全法律、政策文本都使用了“重要数据”这一概念,但却并未指出其具体含义。《信息安全技术数据出境安全评估指南(草案)》中的“重要数据”是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成危害国家安全和社会公共利益等严重后果的数据。“重要数据”这一概念抓住了国家数据安全治理中的主要矛盾,极大地提升了规制的针对性和监管的有效性。然而,重要数据这一概念自身存在两方面的不足,需要在《数据安全法》立法过程中予以完善。其一是重要数据内部具有异质性,以完全相同的法律规制不同“敏感程度”的重要数据,是“一刀切”的错误做法,宜采用更加精细化的数据分级体系加以完善。其二是重要数据应当被视为一个动态的概念,随着数字经济的发展,新的行业、新的数据类型随时产生,部分数据的敏感性也可能相应地下降,应当有对应的数据分级调整机制。
综上所述,《数据安全法》的调整范围应当以实际承载了国家安全利益信息、社会公共利益信息的数据为限,而不问其存储的形式。其具体调整范围的确定宜以行业为纲,以数据类型为要,再根据具体行业发展情况和数据安全需求,动态调整相关数据的敏感程度和行为规范。
(二)《数据安全法》的立法目的及公法属性
在中国的立法惯例中,立法目的通常位于相关法律的第一条,申明立法活动设定的动机和目标。这对于明确相关法律在法律体系中的位置有重要意义。《数据安全法》的立法目的,学界尚有争论。有学者认为“《数据安全法》主要保护企业数据不被他人侵扰、窃取、破坏和非法利用等。它处理的主要是企业与其他企业、个人之间的关系,主要保护企业对于数据的正当商业利益”[29]。然而,将企业数据所承载的财产利益通过国家安全立法予以保护,不符合科学立法的基本精神。从国家安全法治体系来看,《数据安全法》是《国家安全法》的配套立法,其立法目的应当与《国家安全法》的立法目的统一,同时符合总体国家安全观的整体性要求。因此,《数据安全法》的立法目的应当是“维护国家安全、数据主权和社会公共利益,促进数据经济和数据开放共享机制体制的健康发展”,而非保护特定私主体所享有的与数据有关的财产利益。
《数据安全法》的立法目的决定了其公法属性。公法与私法在价值取向、法律调整方法、调整对象等方面存在显著的区别。具体来说,公法侧重于社会公共利益的维护,私法侧重于维护平等主体的自由意志。在调整方法上,公法一般通过给相应行政机关配置权力以强制相关主体履行其公法上的义务,而私法则以市民社会的意思自治为其主要实现手段。[30]在调整对象方面,公法调整的是不平等主体之间的关系,例如国家与公民之间的关系,而私法调整的是平等主体之间的关系。因此,《数据安全法》的立法目的只能通过公法的手段加以调整才能实现,将其与个人信息、企业数据等财产利益分别保护,有助于法律的条理化,减少规则之间的矛盾与冲突,降低法律运行的成本。[31]但有论者认为,《数据安全法》应当包括私法性质的规范,甚至主要是私法性质的规范。[29]尽管这种观点曾经主导了部分数据安全政策的制定,但我们仍能从最新的政策文件中看到决策者对公私混合规制路径的否弃。例如,国家互联网信息办公室最新发布的《个人信息出境安全评估办法(征求意见稿)》就抛弃了将重要数据出境与个人信息出境合并规制的思路,这说明有关部门已经意识到了公私规范杂糅所带来的危害。
(三)《数据安全法》与《个人信息保护法》的关系
《数据安全法》与《个人信息保护法》分别是数据在公共利益和私人权益的法律指涉,具有不同的立法目的、保护范围和制度构造。具体而言,在立法目的上,《数据安全法》主要是为了维护国家安全和社会公共利益,而《个人信息保护法》是为了维护个人的隐私、人格乃至财产利益。在保护对象上,《数据安全法》的数据概念更加宽泛。数据是信息的承载形式,其内涵和外延都大于个人信息。由于《数据安全法》维护国家安全和社会公共利益的公法定位,《数据安全法》仅在特定情景下为个人信息提供公法上的保护:一是当数据违法行为包括海量个人信息,从而损害社会公共利益时。二是当数据违法行为涉及到关乎国家安全的特殊人物及其近亲属的个人信息时。在制度构造上,《数据安全法》应当以安全义务为中心构造违反数据安全规定的行政责任和刑事责任,而《个人信息保护法》是以知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权、拒绝权等权利为核心的权利法体系。
(四)《数据安全法》与安全相关法律的关系
国家安全治理体系是一个动态发展的概念,既包括传统的国防安全、军事安全,也包括随着技术发展产生的网络安全、数据安全,还可能包括因重大风险事件引起而被纳入国家安全治理体系的其他方面安全,例如因疫情而备受重视的生物安全。目前,我国正处在国家安全治理体系建设的关键时期:《国家安全法》《网络安全法》相继出台,《生物安全法》已于2019年10月21日首次提请十三届全国人大常委会第十四次会议审议,《数据安全法》亦在酝酿之中。厘清《数据安全法》与《国家安全法》等与安全相关法律的关系对于整个国家安全治理体系的建设具有重要意义。
有学者认为,《数据安全法》和《网络安全法》均是《国家安全法》的下位法,平等地统合在“国家安全”麾下。[28]《国家安全法》固然是基于总体国家安全观的统筹性、原则性立法,但《网络安全法》与《国家安全法》均是由全国人大常委会审议并通过的法律,《生物安全法》《数据安全法》亦将如此。因此,在效力层级上这三部法律与《国家安全法》没有差别。《国家安全法》与《数据安全法》《网络安全法》《生物安全法(草案)》的关系更类似于《民法总则》与《合同法》《物权法》的关系,即一般法与特别法的关系。在司法适用中,应当优先考虑特别法的规定,在缺少相关具体规范时,再转向《国家安全法》的原则性规定。
《生物安全法》《数据安全法》《网络安全法》都是国家安全治理体系的重要组成部分。三者各有侧重,但也可能在网络数据、生物数据规制等方面存在重叠。例如,《生物安全法(草案)》第79条规定,向境外提供我国人类遗传资源的,处一百万元以上一千万元以下的罚款。该草案附则中明确指出此处所称遗传资源,不仅指组织、细胞等遗传材料,也包括利用人类遗传资源材料产生的数据。不仅人类遗传资源数据有特殊规定,《网络安全法》对网络数据所做的特殊规定也可能与《数据安全法》的规定不同。此时应当按照“新法优于旧法,特别法优于一般法”的基本原则进行处理,对于新的一般法与旧的特别法之间可能存在的冲突,则报请全国人民代表大会常委会裁决。具体而言,若《数据安全法》与《网络安全法》就网络数据规定不一致的,属于法律之间对同一事项的新的一般规定与旧的特别规定不一致的情形,依照《立法法》第九十四条之规定,应当由全国人民代表大会常务委员会裁决。由于《数据安全法》和《生物安全法》出台时间未定,假设《生物安全法》先出台,则情况与第一种情形相同,仍应报请全国人民代表大会常务委员会裁决。若《生物安全法》后出台,则《生物安全法》属于新的特别规定,《数据安全法》属于旧的一般规定,依据《立法法》第九十二条的规定,应当适用《生物安全法》的规定。
五、结语
《数据安全法》的定位问题是系统规划国家数据安全风险防控和治理体系建设的基础理论问题,是讨论其基本原则、制度构建、法律适用等问题的前提。在对《数据安全法》展开进一步研究之前,有必要充分讨论《数据安全法》的价值与体系定位。《数据安全法》的价值定位应当满足当前的数据安全需求,同时服从总体国家安全观的顶层设计。一方面,要在法律政策上对数据共享、开放、流通提供支持;另一方面,要加强法律保障防止数据违规行为损害国家安全和社会公共利益。发展与安全兼顾的价值定位应当有制度层面的支撑,包括建立一个清晰、可操作的数据安全评估框架;构造以高额罚款为基础、以合规为导向的法律责任体系。在现有的数据安全制度供给条件下,《数据安全法》的体系定位要符合“科学立法”和总体国家安全观的整体性要求。从调整范围来看,《数据安全法》所说的数据应当以数据实质承载的信息是否关乎国家安全、社会公共利益为判断标准。从立法目的和法律属性来看,《数据安全法》应当以维护国家安全和社会公共利益为宗旨,并保持其公法特征。从相关法律关系来看,《数据安全法》与《个人信息保护法》分别是数据在公共领域和私人领域的法律指涉,具有不同的立法目的、保护范围和制度构造;《数据安全法》是《国家安全法》的配套立法,是特殊法与一般法的关系,而不是下位法与上位法的关系;《数据安全法》是数据安全领域的一般法,若其规定与《网络安全法》《生物安全法》关于网络数据、人类遗传资源数据的规定相冲突,则应当按照“新法优于旧法,特别法优于一般法”等原则处理。总之,要贯彻总体国家安全观关于发展与安全兼顾的价值取向,构造合理的制度支撑。同时,也要坚持科学立法,运用体系化的方法确定《数据安全法》的适用范围及其与相关法律的关系。
本文对《数据安全法》的讨论仍然是相当初步的,《个人信息保护法》的讨论在私法领域乃至公法领域如火如荼时,期待更多的学者从情报学、法学、政治学、公共管理、网络空间安全等角度对《数据安全法》的定位、原则、具体制度等问题发表见解,为推进《数据安全法》的科学立法进程做出智识上的贡献。
参考文献:(略)
作者简介:
朱雪忠(1962—),男,江西鄱阳人,同济大学上海国际知识产权学院教授,博士生导师,主要研究方向为知识产权与大数据治理。
代志在(1992—),男,四川成都人,同济大学上海国际知识产权学院博士研究生,主要研究方向为知识产权与大数据治理。
基金项目:国家社会科学基金重大项目“国家重大科技产业项目知识产权安全风险监测预警与防控体系”(项目号:19ZDA102)。
本文刊载于《电子政务》2020年第8期
声明:本文来自电子政务杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
