摘 要: 数字经济时代,数据安全问题纳入地方法治化轨道极具必要性和迫切性。本文结合地方数据安全管理的形势需要和工作实际,从立法价值和体系化定位、安全监管体系、责任落实和义务履行等方面进行具体分析,并提出建议。
关键词 : 数据;数据安全;法治建设;
一、数据安全相关核心概念界定
对“数据、数据活动、数据安全”等核心概念的科学界定是有效开展数据安全保障工作的基础和前提,将决定整部法律的可操作性和可执行性。
第一,对数据的界定。在当前数据安全法律法规体系中对数据的界定各有侧重、互相补充、不尽相同。广义的界定方法,认为数据的范畴应既包含网络数据也包含线下物理场所存在的数据,即普遍适用于所有数据。据此,建议地方数据安全立法对于数据的界定应在保持与上位法一致的前提下,对其进行进一步完善和细化。同时,也应对“数据”和“信息”进行区分,为本地区进一步的信息保护立法工作打下基础。
第二,对数据安全的界定。对数据安全的理解和认识是数据安全的立法之基,对其不同的理解将决定立法工作不同的定位和方向。建议地方数据安全立法对数据安全的界定应蕴含三个层次的含义:第一个层次是保护数据所承载的信息的安全,即实现数据或信息的物理安全和逻辑安全;第二个层次是如人格权、财产权、知识产权和新型民事权利等;第三个层次即数据的自主可控和数据的宏观安全。此外,数据安全还受到技术创新、应用场景、价值选择等因素的影响。
第三,对数据产权的界定。产权归属与权益分配是实现数据保护与利用再平衡的关键,科学、清晰、合理的数据权分配可有利于数据安全保护工作的开展,不当的数据权分配则无法实现多样化的数据利益衡量,甚至产生数据法益冲突和混乱。因此,明确数据权属并以此为基础对数据权及其权利体系进行解构与规范就成为地方数据安全立法和实践的核心内容。但数据本身属性具有相当的复杂性,既具有公共利益属性,关系到国家安全和社会公共利益,又具有人格利益属性,关系到私人权益。因此,数据产权归属确定与权益分配是十分困难的,目前在立法层面尚未有明确。
通过对上述观点的分析和借鉴,建议地方数据安全立法可从宏观、中观和微观三个层面对数据权属进行划分并构建数据权利体系。在宏观层面,数据权主要指国家独立管理和利用本国数据的权利,即数据主权,公共数据应被视为国有资产,归国家所有,但由相关政府部门持有,用于创新公共管理服务模式;在中观层面,在数据要素市场中流通的数据由其合法收集和产生者所有,用于促进数据流通,创造数据价值;微观层面,包括隐私权、知情权、删除权、可携权等。
二、我国数据安全法治建设现状
总体上,我国数据安全法治建设尚处于初级阶段,在经历从间接保护到直接保护、从分散立法到集中立法、从公法治理到综合治理的演变历程后,逐步形成了多层级多领域的数据安全保护规范体系。截至2021年3月,全国共有40余个省市地区出台了数据资源管理相关政策90余部,均对数据安全保护保障工作提出要求,其中专门以数据安全为核心内容的地方法规有10余部,为推进本地区的数据安全工作提供了有力支撑。但大多数地方的数据安全管理政策仍处于空白状态,严重影响了数据安全治理效果和数字化建设进程。因此,从地方数据安全管理的形势需要和工作实际出发,广泛吸收相关政策法规的成熟规定,总结提炼数据安全管理的实践经验,并上升为地方法规,予以固化,打造数据安全管理的地方立法方案,已极具必要性和紧迫性。
三、数据安全法治建设优化路径
(一)明确立法价值和体系化定位,树立多元化的立法目标。
任何法律都不是中立的,申明立法活动设定的动机和目标、明确立法价值判断与体系定位是有效推动本地区数据安全风险防控和体系化建设的基础性问题。“既重视发展又重视安全”是总体国家安全观的基本要求,《网络安全法》第一条和第三条分别体现网络安全和网络发展并重的立法价值取向,《数据安全法(草案)》第一条和第十二条亦明确了兼顾“维护数据安全”与“促进数据开发利用”的双重立法目标。据此,作为对《国家安全法》《网络安全法》等上位法的细化、完善和补充,建议地方数据安全立法亦秉持“安全与发展并重”的多元化立法理念,采取开放而非封闭、发展而非停滞、包容而非排他的原则,同步推进数据开发利用和数据安全维护工作。第一,安全与发展须平衡考虑。一方面要处理好发展与安全间的冲突关系。党的十九届四中全会首次肯定数据作为“生产要素”的必要性和重要意义,数据的共享、开放、流通是培育数据要素市场、促进数字经济发展的必要条件,但政府公权力出于维护安全目的的,调节作用势必会产生负面影响。因此,地方数据安全立法应符合本地区当前数字化建设水平,避免因规则过于严苛导致在执行中出现异化的现象;另一方面要重视数字技术发展与数据安全工作间的协同效应关系。数据安全问题最终还是要靠数字技术解决,因此要重视数字技术的发展对数据安全工作的推动作用,解决好实质合法性问题,以发展促安全。总之,要协调好冲突关系和协同关系之间的矛盾,最终实现安全与发展并重的“平衡原则”。第二,安全与自由须平衡考虑。数据除了国家、公共属性外,还具有人格权、财产权属性,并且相比于安全,自由和权力更是法律的本质属性。第三,外溢性和竞争性须平衡考虑。随着全球数字化转型的深化,跨境数据流动带来的数据安全风险也与日俱增,因此数据安全管理工作不能仅考虑其域内效力,还要考虑数据安全规则的外溢性和竞争性。一方面地方数据安全立法应考虑越过“属地管辖”樊篱,考虑引入“长臂管辖原则”或“保护管辖原则”,增强在数据治理博弈中的影响力和对重要数据的实际支配权力,避免数据安全风险对国家主权和公共利益造成的安全威胁,保障数据自主可控和数据宏观安全;另一方面要避免陷入“以子之矛、攻子之盾”的自我抵触窘境,防止规则制定过于严苛导致遏制本地区数字产业创新发展。
(二)构建数据安全监管体系,落实数据安全工作管理职责。
构建完善的数据安全监管体系是保证数据安全监管效果的关键。对于数据安全监管体系的建设,《数据安全法(草案)》《网络安全法》采取了相同的思路,《数据安全法(草案)》第七条、《网络安全法》第八条均规定由中央国家安全领导机构或中央网络安全和信息化委员会决策和统筹,各地区、各部门对各自工作中涉及的数据及数据安全承担主体责任,网信部门负责统筹协调和监管,行业主管部门负责本行业的数据安全监管职责,公安机关、国家安全机关负责各自职责范围内的数据安全监管工作。据此,建议地方数据安全监管体系框架与上述两部法律保持一致,即采取“一个顶点、多维度配合、分级管理,分工负责”的架构模式。“一个顶点”指由地方人民政府总体负责数据安全工作,根据数据安全情况进行整体决策和战略规划;“多维度配合”是指网信部门、公安部门、国安部门及工业、电信、金融等行业主管部门共同构成全覆盖、全方位的监管体系;“分级管理”是指除地方人民政府总体负责数据安全保障工作外,市、州和县级人民政府也要分别负责本行政区域内数据安全监管工作;“分工负责”是指各地区、各部门、各行业要分工明确、各司其职地负责本领域和本行业的数据安全监管工作。最终形成由地方人民政府统领,各行政部门各自依职权负责,行业监管单位辅助的数据安全监管体系。此外,由于数据活动中的地域性、行业性愈发模糊,跨行业、跨领域的数据安全事件频发,须建立健全数据安全监管不同主体间的协同治理机制,或设置统一的数据活动监管机构、建立统一的数据安全监管平台统筹协调数据安全事件处置,杜绝数据安全监管过程出现职能交叉、模糊与空白地带等问题。
(三)强化责任落实和义务履行,提升数据活动主体自我规制的内生动力。
通过对责任和义务的创设来规范相应主体的数据活动,使之符合维护数据安全的目的,正是地方数据安全管理立法的首要价值。因此,对可能导致数据安全事件发生的数据活动进行梳理、予以规范并设定相应的追责条款,强化相应的法律责任,增加数据活动的违法成本,以提升相关主体履行数据安全保护责任的内生动力,更好地实现数据安全立法的规范和引导作用,亦是地方数据安全管理立法重要内容之一。
在明确细化法律责任方面,可秉持“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责”原则,实行数据安全管理主体责任制。原则上,任何在数据生命周期中对数据安全产生影响的社会团体、政府部门、个人均应属于数据安全责任人范畴,都是地方数据安全立法的监管对象。并且,若在法规中添加了具有域外适用效力的条款,那么所有可能会危害数据安全的境外机构和个人也应纳入数据安全责任人范畴,接受监管。所有数据安全责任人在收集、存储、传输、处理、交换、开放、使用、销毁数据的过程中,都应严格落实数据分类分级保护制度、安全监测预警制度、安全应急处置制度、数据交易管理制度等,履行安全管理责任,保证数据全生命周期安全。并且,针对衍生数据可能会出现的危害性,亦应增设免责条款。
在强化法律执行问责追责方面,建议罚则加大处罚力度、丰富处罚种类,提升数据活动的违法成本,实现震慑违法行为的目的。还可增设行政处罚手段,使一些尚不构成犯罪的轻微违法行为及时得到纠正,避免以往通过民事责任追究无法起到震慑的作用,或直接上升到刑法犯罪造成严重后果。并且可采取包容审慎的监管原则,与《网络安全法(草案)》《网络安全法》保持一致,设置专门条款,鼓励对违法数据活动进行监督、投诉。但需注意的是,根据相关调查显示,当前出现轻微犯罪行为的主体多以中小企业和创新型企业为主,多为对合规条件认识不清导致的无心之失,因此有必要增设一定的投诉门槛,避免职业举报、虚假举报的现象出现。
此外,除了完善数据安全管理责任体系,还要明确各数据安全责任主体的数据安全保护义务,以此对责权管理可能遗漏的内容进行兜底补充。可考虑根据数据活动主体的不同,对应履行的合规义务进行划分。对职能部门/机关/单位、企业、社会团体而言,应履行建立内部数据管理机制的义务、员工培训的义务、合法义务、配合义务、报告义务、政务公开义务(针对国家机关)等;对个人而言,应履行合规义务、配合义务、报告义务等;对境外机构而言,应履行合法义务。亦可按照功能模块,对应履行的合规义务进行划分。在内控体系方面,各主体有制定数据安全管理制度的义务、数据安全教育培训的义务等;在风险监测方面,各主体有及时报告的义务、采取补救措施的义务等;在风险评估方面,各主体有定期评估与报送评估报告的义务、面临风险采取应对措施的义务等。
参考文献
[1]原新利,张玉珍我国基础性数据安全制度开端《数据安全法(草案)》简评[J]中国电信业, 2020(08).
[2]吴卫明,吴俐.全面信息安全与数据合理利用------简评《数据安全法(草案)》[J].信息安全与通信保密, 2020(08).
[3]贾宝国完善数据安全立法的思考[J].信息安全与通信保密, 2021(01).
[4]刘金瑞.中聚焦维护国家安全定位健全数据安全管理制度一完善 《数据安全法(草案)》的若干建议[J].中国信息安全, 2020(07).