和邻居寡妇做爰免费观看_日本特黄特色大片免费视频电影_国产视频h,百合宿舍肉h文,av不卡免费看,一级片一区二区三区

我國數據安全法的體系邏輯與實施優(yōu)化

黨的十八屆五中全會正式提出實施國家大數據戰(zhàn)略以來，立足我國國情和現實需要，國家全面推進大數據在社會治理、經濟運行、民生服務、創(chuàng)新驅動、產業(yè)發(fā)展等方面的發(fā)展與應用，我國進入加快建設數據強國的新階段，數據對經濟發(fā)展、社會治理、人民生活產生了重大而深刻的影響。黨的十九屆四中全會明確將數據作為新的生產要素。與此同時，數據安全問題也成為全社會在數字化轉型過程中必須面對的基礎性問題。

2021年6月10日，《中華人民共和國數據安全法》正式通過，并于2021年9月1日正式生效。到目前為止，基于《數據安全法》做出的執(zhí)法相較于《個人信息保護法》《網絡安全法》而言較少。這與《數據安全法》實施的滯后以及立法伊始圍繞著《數據安全法》定位所存在的許多探討甚至是爭議存在密切關聯。

一方面，我國作為成文法國家，存在著法律體系定位的先在約束，立法者在制定新的法律時，首先解決新的法律與其他法律之間的關系問題，確?！啊乱粋€’立法如何更好地‘嵌入’既有體系”。在制定《數據安全法》之前我國已經通過了《網絡安全法》，其中不乏對數據或者網絡數據安全的明確規(guī)定，加之《個人信息保護法》出臺，由此形成了《網絡安全法》《數據安全法》《個人信息保護法》三法并行的獨特架構。如何協調三法之間的關系并明確各自分工和適用，關系《數據安全法》的科學性；另一方面，從全球的立法經驗和文本現象來看，《網絡安全法》和《個人信息保護法》都能在域外找到直接對應的規(guī)則，但《數據安全法》屬于我國首創(chuàng)的制度實踐，與美歐等代表性國家和地區(qū)通過內嵌于網絡安全維護、個人信息保護、出口管制、跨境執(zhí)法調取等領域分散式立法不同，由此也造成域外對《數據安全法》理解的模糊和困難。在數字經濟全球化、地緣政治斗爭深化的背景下，作為具有中國原創(chuàng)性的制度實踐，向國際社會闡釋、澄清數據安全法的功能和制度構建，既可以避免國際社會對我國數據安全立法的誤解，也有助于我國在國際范圍內尋求數據安全保障的治理共識。目前學界對于數據安全法的立法定位問題，多從外在體系定位的角度加以探討，包括《數據安全法》與《網絡安全法》《個人信息保護法》乃至《國家安全法》的關系問題，或者從法律體系關系出發(fā)，探討《數據安全法》在整個安全法體系內部的定位，或者對該法作為數據安全領域的基礎性法律的立法定位加以解讀。

一部法律不僅存在外部相對獨立性的體系定位問題，也存在如何按照規(guī)范對象或領域的客觀規(guī)律，在內部進行邏輯排列以自成一體的體系化問題，此即通過統一的概念和規(guī)范間邏輯的排列組合體系化內部規(guī)則?！稊祿踩ā啡绾螌ふ易陨愍毺氐闹卫斫Y構和內容，其作用于數據治理的立法邏輯如何搭建，均構成我國數據安全立法的基礎性又事關全局的問題，明晰這些問題無疑將有助于在共識的基礎上更深入地推進我國《數據安全法》的實施工作。本文嘗試在內在體系視角下，通過“原旨化”的方式厘清《數據安全法》立法邏輯，提出《數據安全法》“安全—控制—利用”的內在邏輯，并結合美歐數據安全保障的相關立法實踐經驗，為我國《數據安全法》在實施方面的優(yōu)化提出建議。

（一）安全

（二）控制

（三）利用

“每個社會的法律在實質上都面臨同樣的問題，但各種不同的法律制度以極不相同的方法解決這些問題，雖然最終的結果是相同的。”雖然單行的《數據安全法》為我國首創(chuàng)，但大數據技術及其應用帶來的挑戰(zhàn)為全球所關注，各國在回應數據治理時，盡管制度形式上各有不同，但實質內容卻存在具有可比性的共通之處。正所謂“他山之石，可以攻玉”，本部分試圖基于比較法視野出發(fā)，對全球范圍內相關立法、政策等進行研究分析，尋求數據安全立法的制度共識。在比較對象上，主要選取歐盟和美國相關立法，前者基于獨特的隱私文化成為全球當之無愧的數據治理制度大本營，后者則是全球數據科技前沿和產業(yè)大本營，對全球政治、經濟環(huán)境也有重要影響，一定程度上二者也是在彼此博弈中型塑了各自的數據治理方案。在具體比較思路上，將具體結合前述數據安全法立法邏輯的三個層次分別進行，既可以驗證我國數據安全法立法邏輯的科學性，也可以從具體層次上更具針對性地比較、取舍和甄別，進而為完善我國數據安全法提供智識建議。

對于技術意義上數據自身安全的保護，歐美均將它作為底層安全問題，散見在有關個人信息保護、網絡安全相關立法中，但二者在立法模式上存在差異。不論是個人信息保護還是網絡安全立法，美國在聯邦層面上始終未能推進統一立法。對個人信息保護而言，美國主要采取行業(yè)分散立法模式，針對金融信息、醫(yī)療健康信息、兒童個人信息等行業(yè)分別進行立法，并由聯邦貿易委員會依據消費者權益保護職權負責其他領域中個人信息保護的監(jiān)管執(zhí)法。對網絡安全，美國一直保持清醒的認識，聯邦層面有50多部法律直接或間接與網絡安全相關。歐盟則整體上傾向于統一立法模式，有關個人信息保護立法集中體現在《通用數據保護條例》（General Data Protection Regulation，英文簡稱“GDPR”），有關網絡安全立法集中體現在《促進歐盟共同高水平網絡與信息系統安全的措施之指令》（以下簡稱《網絡與信息安全指令》）。

從立法具體內容來看，歐美對于技術意義上數據自身安全的保護，也集中在“保密性、完整性、可用性”的保障：如美國《聯邦信息安全管理法》明確“信息安全”在于“保護信息和信息系統不受未經授權的獲取、使用、披露、破壞、修改或銷毀”；歐盟《網絡與信息安全指令》中對于“網絡與信息安全”的界定也基本相似，旨在防御“危害系統存儲或傳輸的數據的可用性、真實性、完整性和保密性，危害依靠該網絡或系統提供或獲得有關服務”的行為。

從規(guī)制要求上看，對于技術意義上數據自身安全，美國要求運營者等采取合理（reasonable）的措施或設計，避免可合理預見的安全風險，歐盟也采取了與之相似的“合適性”（appropriate）的概念，作為評價監(jiān)管對象是否履行安全保護義務的主要評價標準；在具體實現路徑上，歐美均從風險管理視角設計安全保護策略的基本框架，落腳于監(jiān)管對象內部的管理流程、模式，審視其內部安全風險管理流程在應對安全風險時，是否滿足“合理性”“合適性”考量。美國學者認為美國立法中對于“合理性”的要求可以從監(jiān)管對象是否準確辨識數據類型并評估可預見的威脅或風險、是否采取應對威脅或風險的合理策略與措施、是否在發(fā)生數據泄露事件后及時采取補救措施、是否經常評估并更新信息安全保護策略和措施等6個核心方面加以判斷。與此類似，歐盟在《網絡與信息安全指令》中也要求監(jiān)管對象“參考最先進的技術發(fā)展，且與風險相稱的安全水平”，采取合適技術和組織措施。

簡言之，雖然歐美對技術意義上數據自身安全的保護也強調傳統CIA三性的保障，在立法思路上倡導“以管理為基礎的規(guī)制”，相對動態(tài)地確定“合理性”“合適性”等模糊概念的具體內涵，避免因技術進步、信息不對稱、行業(yè)間高度異質等而頻繁修訂安全保護義務的規(guī)定。

在控制層面，以數據跨境流動為典型，大西洋兩岸一直持續(xù)巨大的分歧：歐盟基于獨特的隱私文化，一直以個人數據保護為由限制數據跨境流動，具有極大的制度輻射力和國際話語權；而美國作為互聯網技術和產業(yè)大國，一直在國際社會中積極倡導數據自由流動，詬病歐盟構建貿易壁壘。同時，歐美也在某種程度上分享著共識：數據跨境流動制度本身在法律之外，更多的是經濟、政治博弈的投射。

自上世紀七十年代開始，歐盟在成員國層面率先開啟限制數據跨境轉移的立法；八十年代，歐共體層面推進了《OECD指南》和《108號公約》，認可并協調成員國立法；九十年代，歐共體成功推進《服務貿易總協定》（GATS），認可隱私保護例外條款，將個人數據保護立法轉變?yōu)楹戏ㄏ拗茋H貿易的措施，歐洲議會和歐盟理事會也在1995年通過《個人數據保護指令》；2009年，為回應大數據崛起的新環(huán)境，歐盟啟動個人數據保護框架改革工作，最終于2016年通過GDPR，以“條例”取代并升級“指令”，強化“充分性認定”和“充分性保障”機制，實現對數據跨境流動的限制，并借助于廣泛的域外適用和高昂違法處罰，強勢引領全球進入第三代高標準的個人數據保護立法。簡言之，歐盟的數據跨境流動制度，在于要求和評估境外數據接收方國家或地區(qū)必須達到與歐盟相同的“充分性”保護水平，從而實現對數據跨境流動的限制。

在GDPR框架下，符合充分性認定是進行跨境傳輸最具確定性和最為便利的方式，GDPR第45條以開放性列舉的方式明確進行充分性認定所需考慮的主要因素，包括第三國或國際組織的法治和基本人權保護程度、是否具有獨立有效的數據保護監(jiān)管機構等。但實踐中歐盟官方對充分性的認定，更多是采取了戰(zhàn)略性態(tài)度，“充分性保護認定的標準往往與政治因素相結合”。歐盟委員會在《全球化世界中交換和保護個人數據的通信》中指出，歐盟應當抓住時機推動世界范圍內不同數據保護法律體系的相互兼容，從而達到推廣歐盟數據保護價值和促進數據流動的目的，而“充分性認定”被歐盟委員會視為是推動世界向歐盟看齊的最重要抓手。由此，事實上歐盟委員會對充分性認定的評估存在較大的自由裁量空間，“更多的是一種政治或政策考量，甚至可能成為歐盟與其他地區(qū)、國家談判或利益交換的一種合法工具”，在大數據環(huán)境下繼續(xù)強化歐盟對于全球數據治理的話語權。

美國一直試圖推進國際層面上認可數據跨境自由流動，近年來一直借助于在亞太地區(qū)的影響力，推動以亞太經濟合作組織的隱私框架（APEC Privacy Framework，以下簡稱APEC隱私框架）為基礎構建的跨境隱私規(guī)則體系（Cross Border Privacy Rules，以下簡稱CBPR），實現數據跨境自由流動的訴求。CBPR體系以AEPC隱私框架中的個人數據原則作為數據跨境流動為標準，之所以能夠實現美國對于數據跨境自由流動的訴求，原因在于CBPR體系所要求的個人數據保護水平實質上是“美國在國際協議中所能接受的最大限度的隱私保護水平”,而加入CBPR便意味著其他經濟體需要放棄本國較高水平的個人數據保護要求，向CBPR體系靠攏，進而實現個人數據向美國的自由流動。

與此同時，美國也通過國內法對其內部數據流動作出限制，只不過與歐盟不同，美國對于跨境數據流動的限制并不主要借助于個人數據跨境流動實現，而是訴諸于“國家安全”，并通過出口管制、外資投資國家安全審查等制度實現。2018年8月13日，美國《出口管制改革法案》（Export Control Reform Act, ECRA）與《外國投資風險管理現代化法案》（Foreign Investment Risk Review Modernization, FIRRMA）作為《國防授權法案》的一部分，由特朗普總統簽署生效。對于前者，早在1969年《出口管理法》（Export Administration Act, EAA）中對“數據和技術信息”施加出口限制，此次修訂的重要變化在于引入“新興和基礎技術”的概念，出口管制的范圍不再限于1979年EAA側重軍事方面影響的“關鍵技術”，而擴張及于任何可能威脅國家安全的技術，并且存在對“視同出口”的限制。對于后者，此次修訂的重要變化在于擴張美國外國投資委員會（CFIUS）的審查范圍，與“關鍵信息基礎設施”“關鍵技術”“美國公民個人敏感數據”相關企業(yè)的投資均納入到審查范圍，同時明確將“交易是否有可能直接或間接地暴露美國公民的個人身份信息、基因信息或其他敏感信息”納入CFIUS的審查考量因素。整體上來看，通過出口管制、外資投資國家安全審查等制度及其改革，美國大體實現了對特定數據接觸“主體”的控制，尤其特定數據被所謂“特別關注國家”獲取。此外，美國在2009年后還針對涉及國家安全的信息管理建立了“受控非密信息”（Controlled Unclassified Information, CUI）制度，在登記、分類的基礎上，要求CUI的持有者采取安全保護措施，并控制其傳輸和使用。

對于利用層面，美歐一直以來在著眼于釋放數據利用的價值，推進數據開放，既強調政府對數據的開放，也倡導政府利用企業(yè)數據滿足執(zhí)法和公共管理訴求等。

2009年起，隨著《開放政府指令》（US Open Government Directive）等一系列法案的實施，美國在全球范圍內掀起了開放政府數據的浪潮。2019年1月，美國通過《開放政府數據法案》（Open, Public, Electronic and Necessary Government Data Act），總結和確認政府數據開放已有政策和實踐經驗并上升為聯邦立法，明確政府數據開放相關的報告、評估、問責等制度，與《數字問責和透明法案》《地理空間數據法案》一并構建美國數據開放的法律體系。實施層面，在《聯邦數據戰(zhàn)略與2020行動計劃》中明確將數據安全作為各政府機構的關鍵性行動，納入美國聯邦政府未來十年的數據愿景之中，將數據安全保障視為政府信息安全的重要組成部分，強調采取合理的數據安全措施，如提供安全的數據訪問機制，實現有效的管理、維護和利用。此外，受控非密信息管理體系也為需要保護或控制傳播的政府數據提供了相應的安全控制措施。

不同于美國默認開放的思路，歐盟采取相對保守的策略，圍繞著公共服務需求，從公共部門信息再利用出發(fā)，逐步推動私人部門的數據再利用。就公共部門信息再利用而言，2003年，歐盟出臺《公共部門信息再利用指令》（PSI），為公共部門信息再利用構建整體框架和最低規(guī)則；2010年，歐盟委員會提出“開放數據戰(zhàn)略”（Open Data Strategy），提議對該指令進行修訂，以應對大數據技術發(fā)展變化并解決中小企業(yè)和初創(chuàng)公司在公共數據利用方面的障礙。2019年1月，歐洲議會、歐盟理事會和歐委會的談判代表就修訂后的《開放數據和公共部門信息指令》達成一致意見，修訂后的新指令將有利于推動歐盟公共部門數據的可獲取和再利用。就私人部門數據利用而言，2013年歐盟發(fā)布了“數據供應鏈倡議”，試圖建立“公私伙伴關系”（public-private partnership, PPP），希望將公共部門和私人部門動員起來，打造歐盟內部密切結合的數據生態(tài)系統，并提出B2G（business to government）和B2B（business to business）兩種私人部門數據再利用模式；2018年，歐盟發(fā)布《非個人數據自由流動條例》，旨在統一歐盟境內的非個人數據的流動規(guī)則，促進企業(yè)間數據流動，進而推進歐盟數字單一市場的良性競爭環(huán)境。2020年2月，歐盟發(fā)布《歐洲數據戰(zhàn)略》，描述了歐盟在未來五年推進數字經濟的政策措施，開啟歐盟“單一數據市場”的進程，明確加大數據開放，建立改善公共服務、應對環(huán)境惡化和氣候變化等公共利益數據的優(yōu)先訪問機制，力圖達到數據賦能社會和公民福祉的目的。

同時，在利用層面，美歐最為強勢的動作在于通過國內法授權本國執(zhí)法機構出于執(zhí)法目的跨境調取存儲在他國的數據（以下簡稱“執(zhí)法跨境調取數據”）。全球化、數字化使得執(zhí)法跨境調取數據成為必要，各國在執(zhí)法過程中均面臨電子證據存儲在境外的難題。整體上，全球范圍內主要國家仍然遵循傳統的屬地管轄原則，主要通過國際法框架下的司法協助、警務合作等雙多邊方式解決，但存在著門檻高、依賴于國家間機構協調合作、效率低下等弊端。

“Microsoft Corp.v. United States”一案在全球范圍內引發(fā)討論，并最終促成美國快速通過《澄清合法使用境外數據法》（Clarifying Lawful Overseas Use of Data Act, CLOUD Act，以下簡稱“云法案”）。該案中，聯邦執(zhí)法官員為進行販毒品調查，試圖獲取存儲在微軟愛爾蘭數據中心的電子郵件賬戶信息。對于執(zhí)法調取數據的問題，此前1986年《存儲通信法案》（Stored Communication Act, SCA）僅明確了執(zhí)法機構能夠強制個人或企業(yè)披露存儲在境內的數據，因而就能否調取境外數據，微軟與美國政府各執(zhí)一詞：微軟認為FBI不能通過搜查令在外國領土上實施搜查和扣押行為；FBI認為不論數據是否存儲在美國，美國均可基于對微軟的管轄權而獲得由微軟控制的數據。事實上，就境外存儲數據的管轄權問題，不論是微軟主張的“數據存儲地標準”還是FBI主張的“數據控制者標準”，各有利弊。為了避免美國最高法院在“阻礙政府正當執(zhí)法”亦或“損害美國企業(yè)全球運營”的兩難困境中作出選擇，2018年2月，部分參議員提交云法案提案，針對性地改革SCA，不僅授權美國執(zhí)法部門可依據“數據控制者”標準調取美國服務提供者所擁有、掌管或控制的通信、記錄或其他信息，借助于龐大的全球互聯網產業(yè)背景，將美國政府的數據調取之手方便地延伸到他國之境；同時也明確了外國執(zhí)法部門調取存儲在美國境內數據的具體機制，通過“適格外國政府”的認定，明確僅在符合美國式人權和隱私保護基線等特定條件并給予美國政府對等待遇時，才允許適格外國政府直接向美國服務提供者調取數據。

美國通過云法案最大化美國利益的同時，也催生了歐盟的對等策略。2018年4月，云法案生效不足一個月，歐盟也對外推出“歐盟版云法案立法計劃”——《歐洲議會和歐盟理事會關于刑事犯罪電子證據的調取令和保全令規(guī)定的提案》（以下簡稱“電子證據立法建議”），希望借此增加歐盟籌碼，并“與美國當局達成互惠”。從具體內容來看，歐盟也認可“數據控制者標準”，但礙于沒有龐大的跨國企業(yè)，歐盟將政策的落腳點置于整個歐盟市場，所有面向歐盟市場的服務提供者均屬于應當配合執(zhí)法機構數據調取命令的義務主體；同時，對于全球運營的數據控制者，只要其在歐盟境內的分支機構相關活動場景與境外的數據處理活動之間存在“緊密聯系”，即便真正進行數據處理的控制者并非在歐盟境內，也應接受歐盟管轄。由此，歐盟執(zhí)法機構數據調取的范圍，也遠遠超出了地理意義上的歐盟轄區(qū)。

美歐雖然沒有采取我國這樣的一部綜合性數據立法的形式，主要通過分散式單行法的方式，但也同樣抓準了數據安全立法“安全”“控制”“利用”三個層次需求，并沿著這三個層次形成了各自的數據戰(zhàn)略。

美國占據技術先發(fā)優(yōu)勢，有著強大的產業(yè)基礎和服務貿易量，全球運營的美國企業(yè)成為美國數據立法的重要關切和杠桿因素，并據此實現管轄范圍的擴張。在安全層面，美國立法強調給予企業(yè)決定安全控制措施的空間，并大力倡導國際標準，反對中國自主制定網絡安全國家標準，由此減少美國企業(yè)全球運營的合規(guī)成本。在控制層面，美國表面上一貫主張跨境自由流動，反對在國際貿易中的隱私保護例外條款，但對于本國境內數據，美國并非全無控制，而是借助于國家安全例外實現對特定類型數據出境的控制，并在近期通過國內法案現代化改革，進一步強化擴張及于“新興和基礎技術”“公民個人敏感數據”，限制其被特定外國企業(yè)、個人獲取，以便在大數據背景下能夠切實保障國家安全并遏制包括我國在內的等重點關注國家崛起。在利用層面，美國在推進政府信息公開、數據開放的過程中積累了豐富的制度經驗，在推進政府數據開放的同時，也通過受控非密信息制度實現了政府數據傳輸和使用的控制；在企業(yè)數據利用維度，美國通過云法案明確執(zhí)法機構可以調取企業(yè)數據，并且以“數據控制者”為標準明確執(zhí)法跨境數據調取權限，實際上將全球運營的美國企業(yè)打造成自己在網絡空間中的領土延伸，美國企業(yè)無論在境內外獲取的數據，美國執(zhí)法機構均可以通過國內法的法律程序實現調取，極大地便利了美國執(zhí)法行動，而外國政府調取美國企業(yè)數據則需要符合美國國內法要求的“適格外國政府”等限定條件。

從歐盟來看，不論是“單一數字市場”還是“歐洲數據空間”，一直以來歐盟試圖通過全面清晰的規(guī)則治理和監(jiān)管塑造歐洲數字未來，型塑“開放且主權”的歐洲數據大陸。當前，歐盟的互聯網產業(yè)發(fā)展相對落后于美國和我國，產業(yè)能力、基礎設施、代表性企業(yè)相對有限，歐盟企業(yè)事實上處于數據弱勢地位，歐盟在數字經濟中的份額也與其自身的經濟體量存在較大差距。但互聯網產業(yè)中數據多由消費者使用產生，由此歐盟便轉換視角，以整個歐盟市場作為政策施力點，要求所有面向歐盟提供產品或服務的實體，均應當接受歐盟的管轄，既實現對掌握歐盟數據跨國公司的規(guī)制，也通過面向歐盟提供產品或服務的實體，實現歐盟管轄范圍的擴張，事實上擴張了歐盟對全球網絡空間中數據的掌控能力。從安全層面來看，歐盟與美國相似，從風險管理視角設計安全保護策略的基本框架，并通過網絡和信息安全局（ENISA）發(fā)布有關網絡和信息安全最低措施的技術指南，以協調成員國和運營者采取相應可靠的信息安全措施。在控制層面，歐盟建立統一的個人數據和非個人數據保護框架，在歐盟內部協調多個成員國之間存在數據監(jiān)管不一致的問題，從制度層面掃清數據在歐盟境內自由流動的障礙，同時也通過設定高標準的個人數據保護要求，重建數字經濟發(fā)展的信任前提，回應歐洲獨特的隱私文化保護訴求；在歐盟外部，歐盟也借助于“充分性機制”，實現“內外有別”，以彼此信任為基礎允許數據跨境流動，從而使得任何接收歐盟數據的組織均應當提供與歐盟具有實質相當性的數據保護水平，事實上將其高標準的數據保護要求投射至歐盟之外，同時歐盟也通過將面向歐盟市場提供產品或服務的服務提供者作為規(guī)制對象，擴張了歐盟數據相關立法的管轄范圍，極大增強了歐盟對于傳輸至境外的數據的控制力。在利用層面，歐盟從公共部門數據再利用逐漸推進私人部門數據再利用，并提出B2G模式，強調私人部門為公共部門提供數據收集、分析和處理等服務，幫助公共部門提高城市規(guī)劃、疫情防控、道路和交通管理、環(huán)境保護、市場監(jiān)控和消費者保護方面的能力。同時歐盟也試圖與美國“達成互惠”，積極推進執(zhí)法調取數據立法，同樣以“面向歐盟市場提供產品或服務的提供者”為義務主體，并將數據控制者及其分支機構做緊密聯系，明確其應當配合歐盟執(zhí)法機構的數據調取命令，無論數據是否存儲在歐盟境內，使得前述服務提供者在歐盟市場運營的數據能夠最終服務于歐盟監(jiān)管。

我國《數據安全法》主要是一部授權性法律，意在對標域外主要國家和地區(qū)對數據的立法和規(guī)制措施，賦予我國相關主管監(jiān)管部門權限，開展后續(xù)的數據安全管理和監(jiān)督工作。但目前為止，除了國家互聯網信息辦公室制定的《數據出境安全評估辦法》之外，鮮見其他部委利用《數據安全法》賦予的授權。

從美歐的比較觀察來看，美歐雖然沒有綜合性的數據立法，但看似分散式的立法背后，實際蘊藏著各自的數據戰(zhàn)略意圖，立足自身的經濟、政治、法律傳統等因素出發(fā)，力求取得利益最佳平衡點。相較之下，我國《數據安全法》雖然也關照當前數據治理的多元立法需求，但整體上偏重于對于歐美立法的形式性借鑒和制度性應對，在前瞻性和實質性的數據戰(zhàn)略謀劃方面略顯不足，尚未能形成較為明確的數據戰(zhàn)略和系統的制度安排。這些恰恰是基于《數據安全法》的后續(xù)法規(guī)或規(guī)章立法時應著力解決的問題。

以數據跨境流動為例，其方案選擇事關國家安全和數字經濟發(fā)展的平衡尺度，也關涉國內國外兩個大局的統籌，無疑是數據治理的焦點所在，也最能洞察數據戰(zhàn)略意圖?；貧w到我國《數據安全法》在具體制度層面通過重要數據出境安全評估、數據安全國家審查、數據出口管制、外商投資限制、跨境執(zhí)法調取數據的阻斷立法等方面，實現對數據跨境流動的全面控制。因此，從制度廣度而言，《數據安全法》對數據跨境監(jiān)管完成了一般商業(yè)場景、特殊商業(yè)場景以及執(zhí)法場景的全場景覆蓋：一般商業(yè)場景中遵循數據出境安全評估制度，特殊商業(yè)場景中的數據跨境執(zhí)行出口管制、國家安全審查；應境外執(zhí)法機構要求提供數據須履行境內主管機關批準程序。如此的制度設計更多的是設立了框架、流程、工具，但缺乏對數據跨境流動的方向性的態(tài)度或立場。反觀美國和歐盟，此方面的戰(zhàn)略意圖在立法中直接凸顯——或者借助于全球運營的企業(yè)、或者借助于不容忽視的內部市場，極大地增強了國家對（境內外）數據的掌控和利用能力。

由是觀之，新一輪全球范圍內的數據戰(zhàn)略競爭中，國家不僅僅作為制度供給者，也作為獨立的利益主體登場，全球數據治理立法均充分考量國家的利益訴求，各國的數據戰(zhàn)略都服務于大數據時代的綜合國力競爭，既包括維護國家安全利益的防御性訴求，也包括促進本國數字經濟全球競爭，并通過規(guī)則治理搶占全球數據規(guī)則話語權。在歐美各自結合自身特點形成數據戰(zhàn)略的前提下，我國如何形成符合我國自身安全、發(fā)展利益的數據戰(zhàn)略，是決定數據安全法內在品質的關鍵性標準所在。由此，在戰(zhàn)略層面，《數據安全法》的實施應當將以數據主權為核心的國家數據能力，作為我國數據戰(zhàn)略競爭的基本考量要素之一。數據主權是國家對其政權管轄區(qū)域范圍內個人、企業(yè)和相關組織所產生的數據擁有的最高權力，除保障國家對其管轄區(qū)域內數據的控制性權力外，還應包括增強國家（包括其管轄的組織和個人）對（境內外）數據的掌握程度和處理利用能力。

對于《數據安全法》的實施而言，維護我國的數據主權，還同時考慮如何讓我國企業(yè)能夠在全球范圍內掌握、利用更多的數據。當前我國數字經濟雖然取得了舉世矚目的成就，規(guī)模和實力僅次于美國，但與美國全球化運營的互聯網企業(yè)而言，我國眾多的網信企業(yè)更多的是依賴于日漸飽和的國內市場，國際化進展卻不盡人意。我國數字經濟產業(yè)仍處于上升期，未來網信企業(yè)出海存在廣闊空間，而過于強調公權力控制及面向美歐的應對式數據跨境流動監(jiān)管，事實上將會對我國網信企業(yè)出海造成阻礙。背后的原因是正常商業(yè)合作中數據流不出去，自然會聯動地影響數據流進來，進而導致我國網信企業(yè)無法做到全球運營一盤棋。

所以，《數據安全法》在后續(xù)實施時，各相關主管監(jiān)管部門應當充分利用《數據安全法》的授權，在國家統一建立的數據分類分級的基礎上，明確每類數據出境所面臨的主要安全風險，配以相應的出境管控措施，做到精細化的治理，并定期更新數據的分類分級目錄，動態(tài)性地應對內外部數據安全風險變化。

我國《數據安全法》并非局限于數據安全問題，而是在更加寬泛的意義上理解安全，意圖通過《數據安全法》一部法律完成歐美等國家或地區(qū)多部法律協力完成的綜合治理目標，本身的立法難度較高；同時，在數字經濟全球化背景下，數據安全立法也為國際社會所關注，因此既要避免相關制度設計被別有用心者借口攻擊我國法治形象，也應盡可能提升我國數據立法制度的競爭力，本身的立法要求也更高，在上述標尺衡量下看，該法存在構建性不足的問題。

從安全的層次看，《數據安全法》對于數據流轉中的安全風險制度設計提出了原則性的要求，但對數據流動過程中的安全風險并沒有提出針對性的措施。其中第4章“數據安全保護義務”第22條、第23條、第27條至第29條對“數據”提出的安全要求，基本上也對網絡適用，與此前《網絡安全法》中相關義務的規(guī)定高度相似。換句話說，將上述條文中的“數據”替換成“網絡”，并不會造成理解或解釋方面的困難。但數據安全不同于網絡安全，網絡相對靜止，其所有者、管理者、運營者的責任區(qū)分較為明確；數據具有高流動性和可復制性，通過傳輸或復制廣泛流轉之后，數據的控制者、使用者同時增多。因此，數據流轉中的安全如何保障，是數據安全立法需要專門設計的內容，《數據安全法》的實施應進一步考慮保障數據流動鏈條中所有參與主體較為一致的安全保障水平，并明確數據流動鏈條中上下游參與各方的安全責任劃分問題。

從控制層面來看，《數據安全法》考慮到數據泄露的初始風險乃至數據被不當分析利用可能造成的風險，而在傳統國家秘密之外，提出了重要數據保護的基本框架，具體內容包括：認定主體及目錄制度、安全負責人、定期風險評估、出境管理。但從平衡重要數據安全保障和流轉利用的角度來看，《數據安全法》在實施方面，還存在著優(yōu)化空間：其一，授權部門、各地進行重要數據的認定時，缺乏一定門檻的限定，實踐中很可能出現認定標準不一，導致過度保護或疏于保護等問題，應將認定權限限于各行業(yè)主管部門。其二，應當明確重要數據在境內和境外流轉應遵循的基本原則，確定重要數據流轉時應采取的安全控制措施，從而實現重要數據安全和開發(fā)利用之間的平衡。其三，《數據安全法》后續(xù)的實施還需要明確重要數據認定程序、期限、異議、監(jiān)督等基本事項，或者參考《網絡安全法》明確授權主管部門制定專門性的安全保護條例，避免《數據安全法》中重要數據保護基本框架（如安全負責人、專項風險評估等）得不到細化甚至于落地無力的局面。

從利用層面來看，目前《數據安全法》中關于利用的內容主要是關于政務數據安全與開放、公安機關和國家安全機關因依法維護國家安全或者偵查犯罪的需要而調取數據的規(guī)定，以及封阻來自于域外的調取數據要求，但相應內容大量使用了“依照法律、行政法規(guī)規(guī)定”“按照國家有關規(guī)定”等措辭，將相應的制度規(guī)范要求指向數據安全法之外的其他法律、行政法規(guī)，但又沒有交代清楚具體依照哪部法律、行政法規(guī)的規(guī)定，有違法律規(guī)范應當明確、具體的特性要求。對于政務數據安全與開放的問題，我國各地政府推進的政務數據安全和開放的立法行動可為參照，數據安全法可以求同存異，以提取公因式的方式將其中的一些制度上升為一般性制度和普遍性要求。對于執(zhí)法調取數據的規(guī)定，一定程度上存在對我國“數據后門”的誤解。因此，即便我國數據安全法拒絕歐美“擴張式”的執(zhí)法跨境調取數據立法，而堅守我國的“防守”模式，也應當明確具體的調取主體、調取程序、異議機制等具體內容。

《數據安全法》構建了關于數據的基本制度框架，各相關主管監(jiān)管部門應當在“國家數據安全工作協調機制”的統籌指導下，將《數據安全法》的原則和精神與各行業(yè)和領域情況充分結合，細化、充實“安全”“控制”“利用”這三個層面的制度設計，最終形成“統分協調”的數據制度。

人類才剛剛進入數據爆炸時代，伴隨著對數據開發(fā)和利用的拓展，對數據安全風險的認識也逐漸深化。為了在新的發(fā)展階段切實保障國家安全，《數據安全法》應運而生，不僅系統性應對數據安全領域的內生性風險，同時應對愈演愈烈的國家間數據競爭，有著強烈的現實針對性和必要性?？傮w來看，我國《數據安全法》試圖高屋建瓴地構建基本的數據安全治理框架，在給數據安全治理的未來新發(fā)展留出空間的同時，卻需要通過扎實、細致、系統的實施和落地，才能完全發(fā)揮戰(zhàn)略意圖。在《數據安全法》進入實施環(huán)節(jié)的當下，我國應盡快地凝練并提出符合自身主權、安全、發(fā)展利益的數據戰(zhàn)略，以此為基點，圍繞數據“安全——控制——利用”的三層脈絡，進一步完善重點制度設計。

文章來源：《法學雜志》2023年第2期