胡爾貴

(西南政法大學(xué) 國家安全學(xué)院，重慶 401120)

伴隨著大數(shù)據(jù)時(shí)代的到來，數(shù)據(jù)經(jīng)濟(jì)發(fā)展帶來的數(shù)據(jù)安全及其對(duì)國家安全的影響日益凸顯。加快數(shù)據(jù)安全立法，推進(jìn)新時(shí)期國家安全法治建設(shè)是全面推動(dòng)總體國家安全觀發(fā)展與實(shí)踐之重要內(nèi)容。[1]習(xí)近平總書記明確要求要切實(shí)保障國家數(shù)據(jù)安全，“建設(shè)數(shù)字中國、發(fā)展數(shù)字經(jīng)濟(jì)，既需要技術(shù)支撐，也需要法律保障。”[2]但是，反觀我國數(shù)據(jù)安全立法現(xiàn)狀，難以滿足維護(hù)國家安全的現(xiàn)實(shí)需要。為此，我國明確提出要制定《數(shù)據(jù)安全法》，并將其列入了十三屆全國人大常委會(huì)2020年立法規(guī)劃“第一類項(xiàng)目”。鑒于《數(shù)據(jù)安全法》是維護(hù)和塑造我國國家安全的一部重要法律，本文擬從總體國家安全觀這一視角，就我國的數(shù)據(jù)安全立法提出個(gè)人拙見，以期拋磚玉。

一、數(shù)據(jù)安全立法與維護(hù)國家安全的關(guān)系

習(xí)近平總書記強(qiáng)調(diào)：“安全與發(fā)展是一體之兩翼、驅(qū)動(dòng)之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的?！盵3]數(shù)據(jù)發(fā)展和數(shù)據(jù)安全密不可分。法治是數(shù)據(jù)安全的重要保障手段之一，已逐步成為共識(shí)。西方發(fā)達(dá)國家大多早已運(yùn)用法律手段解決國家安全等重大政治問題。只有正確認(rèn)識(shí)和理解了數(shù)據(jù)安全立法與國家安全的關(guān)系，才能處理好數(shù)據(jù)發(fā)展、數(shù)據(jù)立法、國家安全三者的關(guān)系，樹立數(shù)據(jù)安全立法的科學(xué)觀念。

(一)數(shù)據(jù)安全立法是保護(hù)國家數(shù)據(jù)戰(zhàn)略資源的重要保障

隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能的發(fā)展，越來越多的“物”的存在方式都會(huì)以數(shù)據(jù)形式體現(xiàn)。人類的活動(dòng)會(huì)不斷產(chǎn)生數(shù)據(jù)，形成海量數(shù)據(jù)。這些海量數(shù)據(jù)就是“物”的數(shù)據(jù)存在方式，具有無限的潛在價(jià)值。在數(shù)字經(jīng)濟(jì)發(fā)展的初期，人們關(guān)注的主要是數(shù)據(jù)與公民個(gè)人權(quán)利保護(hù)的關(guān)系、促進(jìn)數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)發(fā)展等問題，對(duì)于數(shù)據(jù)對(duì)國家安全的關(guān)系認(rèn)識(shí)不夠。殊不知，由海量數(shù)據(jù)構(gòu)成的大數(shù)據(jù)正日益成為國家基礎(chǔ)性戰(zhàn)略資源。[4]即使對(duì)于看似僅涉及個(gè)人隱私的簡(jiǎn)單個(gè)人信息資料，如果將不同人的個(gè)人信息資料匯聚起來分析，其中必然蘊(yùn)藏著最新的社會(huì)動(dòng)態(tài)、科技發(fā)展、經(jīng)濟(jì)形勢(shì)、安全威脅、敵我態(tài)勢(shì)等各種政治、經(jīng)濟(jì)、文化、安全等信息。此時(shí)的數(shù)據(jù)不僅關(guān)乎隱私權(quán)，還涉及國家信息安全，二者互為表里。[5]

世界各國正在通過不斷完善數(shù)據(jù)安全立法爭(zhēng)奪他國數(shù)據(jù)資源，有的國家甚至正在依仗技術(shù)優(yōu)勢(shì)推行數(shù)據(jù)霸權(quán)。如歐盟于2018年5月25日通過的《通用數(shù)據(jù)保護(hù)條件》(簡(jiǎn)稱“GDPR”)就以最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)為名，通過立法確立了“長臂管轄”原則，不僅對(duì)歐盟國家境內(nèi)設(shè)立法人實(shí)體的企業(yè)有管轄權(quán)，還對(duì)雖未在歐盟國家境內(nèi)設(shè)立法人實(shí)體但只要為歐盟境內(nèi)個(gè)人提供商品或服務(wù)、為歐盟境內(nèi)法人實(shí)體提供數(shù)據(jù)服務(wù)的企業(yè)有管轄權(quán)。通過這種立法規(guī)定，就可以最大限度地獲取他國數(shù)據(jù)資源。

各種數(shù)據(jù)正在成為新時(shí)代的核心社會(huì)資源和重要社會(huì)財(cái)富，同時(shí)也成為支撐國家安全與發(fā)展的重要戰(zhàn)略資源。隨著我國數(shù)字經(jīng)濟(jì)發(fā)展步伐越來越快，我國已經(jīng)成為世界上數(shù)據(jù)儲(chǔ)量最大、信息最豐富的國家。據(jù)阿里巴巴董事局主席兼首席執(zhí)行官張勇于在2019年阿里巴巴投資者大會(huì)上的發(fā)言所說，阿里巴巴數(shù)字經(jīng)濟(jì)體的客戶就接近10億，數(shù)據(jù)規(guī)?？梢娨话?。隨著我國的掘起，以美國為首的西方發(fā)達(dá)國家正在憑借其在網(wǎng)絡(luò)空間和數(shù)據(jù)技術(shù)上的優(yōu)勢(shì)，不遺余力地攫取我國的數(shù)據(jù)資源，爭(zhēng)奪數(shù)據(jù)控制權(quán)。因此，加快數(shù)據(jù)安全立法進(jìn)程，有效遏制數(shù)據(jù)資源流失或被他國掠奪，是維護(hù)國家安全與發(fā)展的迫切要求。

(二)數(shù)據(jù)安全立法是維護(hù)國家數(shù)據(jù)主權(quán)的重要武器

互聯(lián)網(wǎng)實(shí)現(xiàn)了數(shù)據(jù)傳播的無界性、廣泛性，使得任何國家在任何時(shí)候都有可能獲得任何其它國家的數(shù)據(jù)。因此，獲取、占有、控制數(shù)據(jù)以及從海量信息中獲取戰(zhàn)略情報(bào)成為了維護(hù)國家安全的重要預(yù)警手段。當(dāng)一國擁有他國數(shù)據(jù)的規(guī)模與分析能力達(dá)到一定程度與水平時(shí)，就有可能對(duì)他國的國家安全形成足夠的威脅。這充分體現(xiàn)出了數(shù)據(jù)所具有國家主權(quán)性。

據(jù)“棱鏡門”曝光的信息，美國政府為了監(jiān)控其它國家，就借助谷歌、微軟等9家跨國公司將在境外合理收集的數(shù)據(jù)轉(zhuǎn)移至國內(nèi)。[6]這一事件給世界各國敲響了維護(hù)數(shù)據(jù)主權(quán)的警鐘，各國紛紛立法限制或禁止本國數(shù)據(jù)向境外流動(dòng)。2016年初，歐美在廢除“安全港”協(xié)議后又簽署了“隱私盾”協(xié)議，該協(xié)議在數(shù)據(jù)跨境傳輸上對(duì)美國進(jìn)行了限制并要求美國政府作出相應(yīng)承諾。

數(shù)據(jù)具有主權(quán)性，數(shù)據(jù)主權(quán)已經(jīng)成為國家主權(quán)的重要內(nèi)涵，數(shù)據(jù)安全關(guān)乎國家安全。因此，如何維護(hù)我國的數(shù)據(jù)主權(quán)，保證我國的數(shù)據(jù)安全，是我國在維護(hù)國家安全方面的一個(gè)無法回避的現(xiàn)實(shí)難題。為此，我國應(yīng)當(dāng)借鑒國外的立法經(jīng)驗(yàn)，加快數(shù)據(jù)安全立法進(jìn)程，建立符合我國國情的數(shù)據(jù)跨境流動(dòng)制度，運(yùn)用法律武器捍衛(wèi)我國的數(shù)據(jù)主權(quán)。

(三)數(shù)據(jù)安全立法是防范化解國家安全風(fēng)險(xiǎn)的重要手段

當(dāng)前，各種新技術(shù)的應(yīng)用使得數(shù)據(jù)收集無時(shí)無處不在，這必將導(dǎo)致個(gè)人敏感數(shù)據(jù)與非敏感數(shù)據(jù)難以區(qū)分，國家機(jī)密與非國家機(jī)密的難以界定。而通過數(shù)據(jù)分析和數(shù)據(jù)挖掘，可以從碎片化的、不具有敏感性的數(shù)據(jù)中分析出敏感的、可識(shí)別的信息。所以，對(duì)于任何一個(gè)國家來講，在數(shù)據(jù)收集和運(yùn)用中的安全風(fēng)險(xiǎn)也就接踵而來。有時(shí)在某個(gè)領(lǐng)域、小范圍內(nèi)的數(shù)據(jù)處理或運(yùn)用不當(dāng)，就可能帶來不可預(yù)見的大范圍內(nèi)的巨大風(fēng)險(xiǎn)，進(jìn)而引發(fā)系統(tǒng)性風(fēng)險(xiǎn)。隨著數(shù)據(jù)時(shí)代的到來，數(shù)據(jù)安全越來越超越個(gè)體安全范疇，收集和運(yùn)用海量數(shù)據(jù)所帶來的國家安全風(fēng)險(xiǎn)越來越大。

世界各國都在不斷完善數(shù)據(jù)安全法律制度，防范數(shù)字經(jīng)濟(jì)發(fā)展中可能出現(xiàn)的安全問題。2018年，美國 Facebook數(shù)據(jù)事件使得大眾意識(shí)到大數(shù)據(jù)風(fēng)險(xiǎn)不僅是個(gè)人和企業(yè)層面的保護(hù)問題，更與政治權(quán)力相勾連，事關(guān)社會(huì)穩(wěn)定和國家政治安全。西方33國締結(jié)的《瓦森納協(xié)定》明確將與管制商品和技術(shù)清單內(nèi)容直接相關(guān)的各類技術(shù)數(shù)據(jù)納入受管控范圍，對(duì)兒童色情、恐怖主義信息等非法內(nèi)容進(jìn)行管控。[7]韓國不僅重視對(duì)國家信息安全和信息基礎(chǔ)設(shè)施的保護(hù)，還對(duì)個(gè)人的隱私及通信權(quán)益做出明確規(guī)定，形成了較為完備的信息安全立法體系。[8]

數(shù)據(jù)安全風(fēng)險(xiǎn)日益凸顯，并正在成為影響我國國家安全與穩(wěn)定的重大風(fēng)險(xiǎn)因素。長期以來，我國的國家治理存在“重發(fā)展輕安全”的傾向，這也在一定程度上造成了我國在發(fā)展數(shù)字經(jīng)濟(jì)的過程中對(duì)數(shù)據(jù)安全重視不夠。法治是國家治理體系和治理能力的重要依托。[9]為防范和化解我國在數(shù)據(jù)領(lǐng)域面臨的重大風(fēng)險(xiǎn)，必須推動(dòng)數(shù)據(jù)安全立法工作，以法治手段防范和化解數(shù)字經(jīng)濟(jì)發(fā)展可能帶來的國家安全風(fēng)險(xiǎn)，做到安全與發(fā)展并重。這也是貫徹落實(shí)總體國家安全觀的必然要求和具體體現(xiàn)。

二、我國數(shù)據(jù)安全立法現(xiàn)狀檢視

在大數(shù)據(jù)領(lǐng)域，當(dāng)大數(shù)據(jù)逐漸有可能成為資源和產(chǎn)業(yè)時(shí)，在“發(fā)展是第一要?jiǎng)?wù)”這一慣性思維的作用下，人們首先看到了繁榮數(shù)字經(jīng)濟(jì)對(duì)于發(fā)展的重要性，對(duì)安全問題的認(rèn)識(shí)明顯不足。在“重發(fā)展輕安全”觀念的影響下，我國過去在進(jìn)行數(shù)據(jù)領(lǐng)域的法律制度設(shè)計(jì)時(shí)安全理念明顯缺失。這導(dǎo)致現(xiàn)有的所有數(shù)據(jù)法律制度無論在內(nèi)容上還是在形式上，都與維護(hù)我國的數(shù)據(jù)安全和國家安全的現(xiàn)實(shí)需要還存在明顯的差距與不足。

(一)從立法進(jìn)程看，立法步伐嚴(yán)重滯后

認(rèn)真檢視我國數(shù)字經(jīng)濟(jì)發(fā)展及相關(guān)立法的實(shí)踐歷程，我們不難發(fā)現(xiàn)，我國有關(guān)數(shù)據(jù)安全的立法很不充分，立法進(jìn)程嚴(yán)重滯后。一方面，我國在數(shù)據(jù)領(lǐng)域的安全立法起步相對(duì)較晚。我國于1994年2月18日頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》才在國家層面做出了有關(guān)“保護(hù)信息安全”的規(guī)定。前西德的黑森州在 1970 年通過世界上第一部《數(shù)據(jù)保護(hù)法》，該法其實(shí)是傾向于從政府安全的角度進(jìn)行立法。[10]此后歐美各國相繼都出臺(tái)有關(guān)數(shù)據(jù)安全方面的立法。這反映出我國對(duì)數(shù)據(jù)安全問題的認(rèn)識(shí)和思考比西方國家落后了20多年。另一方面，我國在數(shù)據(jù)領(lǐng)域立法中涉及安全的法律制度很不成熟、很不完善。最明顯的體現(xiàn)就是，在很長一段時(shí)間里，盡管我國的數(shù)據(jù)立法本來就為數(shù)不多，但其中更是鮮有關(guān)于數(shù)據(jù)安全的規(guī)定，更不用說直接涉及國家安全的規(guī)定。總體來講，數(shù)據(jù)安全領(lǐng)域的立法進(jìn)程十分緩慢，不能較好地滿足維護(hù)國家安全的現(xiàn)實(shí)需要。

從國家層面的規(guī)定看，曾一度不夠重視數(shù)據(jù)安全。國務(wù)院于2015年8月頒布了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中僅提出了“切實(shí)加強(qiáng)對(duì)涉及國家利益、公共安全、商業(yè)秘密、個(gè)人隱私、軍工科研生產(chǎn)等信息的保護(hù)”，并未就安全立法提出要求。[11]該綱要作為我國近年來促進(jìn)大數(shù)據(jù)發(fā)展的總綱，涉及大數(shù)據(jù)及其運(yùn)用的長遠(yuǎn)發(fā)展，卻對(duì)安全問題一筆帶過。直到2019年5月，國家互聯(lián)網(wǎng)信息辦公室公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》才作為第一個(gè)比較系統(tǒng)強(qiáng)調(diào)“數(shù)據(jù)安全”“國家安全”的官方文件開始征求意見，這在一定程度上也反映了我國數(shù)據(jù)安全立法的現(xiàn)狀。

從地方層面的規(guī)定來看，情況也不樂觀。2016年3月1日《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》作為全國第一部大數(shù)據(jù)地方性法規(guī)正式頒布，該條例主要是扶持大數(shù)據(jù)行業(yè)發(fā)展，對(duì)大數(shù)據(jù)安全規(guī)定較少。2017年5月頒布的《浙江省公共數(shù)據(jù)和電子政務(wù)管理辦法》雖是全國第一部有關(guān)公共數(shù)據(jù)的省級(jí)政府規(guī)章，但僅有一條提及信息安全。這充分反映出了無論是國家層面還是地方層面，我國對(duì)于數(shù)據(jù)安全立法普遍認(rèn)識(shí)不夠，嚴(yán)重影響了立法進(jìn)程。

(二)從立法淵源看，法律制度不成體系

近幾年來，雖然隨著人們的數(shù)據(jù)安全意識(shí)不斷增強(qiáng)，一些政策法規(guī)的制定過程中不斷開始出現(xiàn)調(diào)整數(shù)據(jù)安全的具體規(guī)定，但是，從總體來看，涉及數(shù)據(jù)安全的相關(guān)規(guī)定具有較強(qiáng)的隨意性，立法表現(xiàn)形式比較散亂，沒有從安全管理角度對(duì)數(shù)據(jù)的全生命周期進(jìn)行系統(tǒng)設(shè)計(jì)，沒有形成嚴(yán)謹(jǐn)?shù)姆芍贫润w系，呈現(xiàn)出明顯的碎片化特征。

首先，法律層面的規(guī)定僅點(diǎn)到為止?！毒W(wǎng)絡(luò)安全法》雖然于2017年6月正式實(shí)施，成為我國第一部網(wǎng)絡(luò)安全法律方面的基本法，但是，該法對(duì)數(shù)據(jù)安全的規(guī)定比較片面，對(duì)公共大數(shù)據(jù)安全有所提及，卻沒有對(duì)公共大數(shù)據(jù)信息安全作出專門系統(tǒng)規(guī)定。截止目前，另外兩部涉及數(shù)據(jù)安全的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》尚處于立法規(guī)劃階段。

其次，行政法規(guī)層面的規(guī)定未涵蓋數(shù)據(jù)的全生命周期。從理論上講，按照依法治國的要求，要確保大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全，立法應(yīng)當(dāng)對(duì)數(shù)據(jù)的采集、存儲(chǔ)、應(yīng)用、傳輸、銷毀等全生命周期進(jìn)行全面系統(tǒng)的規(guī)制，既要規(guī)定一般意義上的數(shù)據(jù)安全問題，又要規(guī)定數(shù)據(jù)主權(quán)安全等問題。但是，從涉及我國數(shù)據(jù)安全的行政法規(guī)制定來看，卻主要集中在為《網(wǎng)絡(luò)安全法》制定配套規(guī)范，如國家互聯(lián)網(wǎng)信息辦公室、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)主要在推動(dòng)實(shí)施《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南》等。直到2019年5月，國家互聯(lián)網(wǎng)信息辦公室才公布《數(shù)據(jù)安全管理辦法(征求意見稿)》，試圖對(duì)數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理等進(jìn)行全流程規(guī)制，但迄今也未頒布。

再次，地方法規(guī)層面的規(guī)定為數(shù)不多。2018年《貴陽市大數(shù)據(jù)安全管理?xiàng)l例》作為全國首部大數(shù)據(jù)安全管理地方性法規(guī)，是落實(shí)和細(xì)化《中華人民共和國網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定和要求，聚焦大數(shù)據(jù)安全，提出了數(shù)據(jù)對(duì)國家安全的意義，[12]是對(duì)數(shù)據(jù)安全立法的有益探索。2019年8月《天津市數(shù)據(jù)安全管理辦法(暫行)》作為全國第一部數(shù)據(jù)安全的省級(jí)專門性地方立法開始施行。這兩部地方法規(guī)分別作為省會(huì)城市和省級(jí)政府的首部調(diào)整數(shù)據(jù)安全的法規(guī)出現(xiàn)，而且從立法時(shí)間來看均屬近期立法。由于，數(shù)據(jù)安全立法在地方法規(guī)層面的狀況可見一斑。

(三)從立法理念看，國家安全理念缺位

數(shù)據(jù)安全既與個(gè)人隱私有關(guān)，又與國家安全相關(guān)。因此，世界各國有關(guān)數(shù)據(jù)安全立法目標(biāo)深化到國家主權(quán)與國家利益的維護(hù)，內(nèi)容越來越豐富。但是，從我國目前有關(guān)數(shù)據(jù)安全的規(guī)定來看，數(shù)據(jù)安全立法理念存在缺位現(xiàn)象，尤其是對(duì)總體國家安全觀認(rèn)識(shí)不到位。

一方面，從宏觀高度把握總體安全不夠。安全的內(nèi)涵十分豐富，既有宏觀安全，也有微觀安全。總體國家安全觀強(qiáng)調(diào)地就是宏觀安全、總體安全，就是要從國家安全的宏觀高度理解和認(rèn)識(shí)安全問題。但從現(xiàn)有的數(shù)據(jù)安全相關(guān)法律制度來看，著眼微觀安全較多，有關(guān)個(gè)人信息保護(hù)規(guī)定較多，對(duì)個(gè)人信息安全保護(hù)相對(duì)充分一些，對(duì)宏觀安全照顧不足。如《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者權(quán)益保護(hù)法》《刑法》《民法總則》和《網(wǎng)絡(luò)安全法》均有關(guān)于個(gè)人信息保護(hù)的不少規(guī)定，但是，卻少有從維護(hù)國家安全高度對(duì)數(shù)據(jù)安全進(jìn)行規(guī)定。比如《網(wǎng)絡(luò)安全法》的第四章雖名為“網(wǎng)絡(luò)信息安全”，但側(cè)重于對(duì)個(gè)人信息的保護(hù)，并未對(duì)數(shù)據(jù)合法利用和安全管理作出充分的規(guī)定。

另一方面，對(duì)公共數(shù)據(jù)和政府?dāng)?shù)據(jù)安全重視不夠。從國家互聯(lián)網(wǎng)信息辦公室推動(dòng)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》的制定過程來看，也反映出了我國社會(huì)在數(shù)據(jù)信息安全方面缺乏公共集體意識(shí)和國家安全意識(shí)。該辦法早在2017年4月就向社會(huì)公開征求意見，明確了數(shù)據(jù)出境安全評(píng)估的重點(diǎn)在于數(shù)據(jù)出境及出境數(shù)據(jù)匯聚可能對(duì)國家安全、社會(huì)公共利益、個(gè)人合法利益帶來的風(fēng)險(xiǎn)等，但卻因爭(zhēng)議較大至今尚未通過。[13]

(四)從立法效果看，安全風(fēng)險(xiǎn)難以化解

由于涉及數(shù)據(jù)安全的立法規(guī)定不全面、碎片化情形突出，難以相互協(xié)調(diào)配套，必須影響其可操作性，導(dǎo)致有關(guān)法律制度難以實(shí)施落地，進(jìn)而在化解安全風(fēng)險(xiǎn)方面的法律效果大打折扣。在實(shí)踐中普遍存在“數(shù)據(jù)不夠用、數(shù)據(jù)不可用、數(shù)據(jù)不會(huì)用、數(shù)據(jù)不敢用”的情形。[14]最突出的表現(xiàn)有兩個(gè)方面：

一是數(shù)據(jù)安全管理責(zé)任分散，權(quán)責(zé)不清，各自為戰(zhàn)。由于數(shù)據(jù)技術(shù)的高速發(fā)展，人們對(duì)數(shù)據(jù)及數(shù)據(jù)安全的內(nèi)涵外延難以準(zhǔn)確界定，相應(yīng)的管理體制也比較混亂，這導(dǎo)致現(xiàn)有立法要么缺乏法律責(zé)任條款，要么缺少配套制度，很難確保法律責(zé)任落到實(shí)處，勢(shì)必其法律效果。有的規(guī)定甚至機(jī)械照搬國外立法模式，不能結(jié)合我國具體國情做出具有操作性的規(guī)定。如《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南》將可能危害國家安全、國防利益、國際關(guān)系、國家經(jīng)濟(jì)秩序和金融安全、國家財(cái)產(chǎn)、個(gè)人合法權(quán)益、國家政治、國土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、信息、生態(tài)、資源、核設(shè)施安全的數(shù)據(jù)均囊括為“關(guān)鍵(重要)數(shù)據(jù)”，這雖然全面，但卻沒有明確的解釋區(qū)分，缺乏失操作性，給政府執(zhí)法和企業(yè)守法造成困難。

二是相關(guān)規(guī)定沒有較好地與國際接軌，與國外數(shù)據(jù)法存在沖突。比如，歐盟2018年5月實(shí)施的《通用數(shù)據(jù)保護(hù)條例》(GDPR)是史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)法規(guī)，該條例要求獲取在華企業(yè)的數(shù)據(jù)或進(jìn)入其設(shè)備系統(tǒng)的訪問權(quán)限。但我國網(wǎng)絡(luò)安全法第37條規(guī)定數(shù)據(jù)不予出境，企業(yè)對(duì)于歐盟調(diào)查權(quán)的行使要求不予執(zhí)行。二者的沖突既不利于中歐企業(yè)之間的合作，也會(huì)給我國數(shù)據(jù)主權(quán)帶來威脅。

三、國家安全視角下的數(shù)據(jù)安全立法思路

習(xí)近平總書記在中央國家安全委員會(huì)第一次全體會(huì)議上明確“既重視發(fā)展問題，又重視安全問題”，這是中國特色社會(huì)主義國家安全理論的最新發(fā)展，也是中國特色社會(huì)主義新時(shí)代“推進(jìn)國家治理體系和治理能力現(xiàn)代化、實(shí)現(xiàn)國家長治久安的迫切要求”。在大力發(fā)展數(shù)字經(jīng)濟(jì)的同時(shí)，必須高度重視數(shù)據(jù)安全風(fēng)險(xiǎn)的防范。數(shù)據(jù)安全法立法迫在眉睫。結(jié)合前文分析，本文在此以維護(hù)國家安全為視角，就數(shù)據(jù)安全立法提出幾點(diǎn)拙見：

(一)突出總體國家安全觀的立法指導(dǎo)思想地位

數(shù)據(jù)安全不僅涉及個(gè)體安全問題，而且越來越與國家安全密切相關(guān)。隨著數(shù)字經(jīng)濟(jì)發(fā)展和技術(shù)進(jìn)步，數(shù)據(jù)越來越成為一個(gè)國家的重要社會(huì)財(cái)富和戰(zhàn)略資源，數(shù)據(jù)在國家安全中的價(jià)值將進(jìn)一步凸顯，同時(shí)，其所帶來的國家安全風(fēng)險(xiǎn)也將更加突出。習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時(shí)強(qiáng)調(diào)：“要切實(shí)保障國家數(shù)據(jù)安全。要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力?！奔訌?qiáng)數(shù)據(jù)安全立法是維護(hù)國家安全的迫切現(xiàn)實(shí)需要。當(dāng)前，在國家安全法這一上位法的統(tǒng)領(lǐng)下，《網(wǎng)絡(luò)安全法》已經(jīng)出臺(tái)，個(gè)人信息保護(hù)法和數(shù)據(jù)安全法已經(jīng)列入立法計(jì)劃。我們要正確好數(shù)據(jù)安全法與網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法的立法關(guān)系，應(yīng)將數(shù)據(jù)安全法聚焦于“重要數(shù)據(jù)”的風(fēng)險(xiǎn)預(yù)防和管控上。這三部立法要各有側(cè)重，各居其位，相互配合、相互協(xié)調(diào)、相互補(bǔ)足，形成三角構(gòu)造，分別對(duì)涉及數(shù)據(jù)、網(wǎng)絡(luò)空間、個(gè)人信息相關(guān)活動(dòng)進(jìn)行法律調(diào)整，共同維護(hù)大數(shù)據(jù)時(shí)代我國的網(wǎng)絡(luò)安全、個(gè)人信息安全和國家安全。既保證了法律之間的銜接，又有利于后續(xù)執(zhí)法工作的執(zhí)行。

為此，應(yīng)當(dāng)將總體國家安全觀作為數(shù)據(jù)安全法的立法指導(dǎo)思想，將其立法目標(biāo)和立法主要內(nèi)容定位在通過確保關(guān)鍵(重要)數(shù)據(jù)安全以維護(hù)國家安全上，使其成為數(shù)據(jù)安全領(lǐng)域里維護(hù)國家安全的根本法。要站在總體國家安全觀的高度，厘清數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息安全這幾個(gè)范疇的關(guān)系，科學(xué)界定數(shù)據(jù)安全的內(nèi)涵和外延。要站在總體國家安全觀的高度，充分認(rèn)識(shí)網(wǎng)絡(luò)無界性對(duì)數(shù)據(jù)安全所涉時(shí)空領(lǐng)域的無限延展性，全面、系統(tǒng)地分析影響數(shù)據(jù)安全的各種重大風(fēng)險(xiǎn)因素。要站在總體國家安全觀的高度，準(zhǔn)確把握國際數(shù)據(jù)安全立法趨勢(shì)，既符合保護(hù)我國數(shù)據(jù)資源的需要，又能與國際社會(huì)有效接軌。

(二)確立數(shù)據(jù)主權(quán)不可侵犯原則

數(shù)據(jù)時(shí)代，數(shù)據(jù)權(quán)決定話語權(quán)。如果失去數(shù)據(jù)主權(quán)，國家的政治、經(jīng)濟(jì)、文化等數(shù)據(jù)資源就會(huì)被其他數(shù)據(jù)強(qiáng)國所控制，國家主權(quán)也會(huì)受到威脅。鑒于美國等強(qiáng)國正在推行數(shù)據(jù)霸權(quán)，強(qiáng)行干涉他國數(shù)據(jù)主權(quán)，而我國現(xiàn)有法律體系尚未提及數(shù)據(jù)主權(quán)，因此確立國家數(shù)據(jù)主權(quán)不可侵犯原則對(duì)于維護(hù)我國的國家數(shù)據(jù)主權(quán)安全具有現(xiàn)實(shí)緊迫性，刻不容緩。數(shù)據(jù)安全立法應(yīng)當(dāng)將數(shù)據(jù)主權(quán)原則作為貫穿數(shù)據(jù)安全法的一條主線，聚集“重要敏感數(shù)據(jù)”的風(fēng)險(xiǎn)防控。確立這一原則，必須完善以下幾項(xiàng)具體制度：

一是長臂管轄制度。當(dāng)前無論是 GDPR 還是美國的《合法使用境外數(shù)據(jù)明確法》(Clarify Lawful Overseas Use of Data Act，簡(jiǎn)稱“CLOUD法”)法均將屬地管轄擴(kuò)展至長臂管轄，擴(kuò)大其法律的域外效力。為爭(zhēng)奪數(shù)據(jù)話語權(quán)，擴(kuò)張本國法律的適用范圍，積極推行符合本國利益訴求的國際社會(huì)數(shù)據(jù)規(guī)則體系成為當(dāng)前國際的立法趨勢(shì)。[15]我國的數(shù)據(jù)安全立法工作要因勢(shì)而變，由“屬地”管轄向“屬地+長臂”管轄過渡，即只要侵犯到中國境內(nèi)的自然人、企業(yè)和國家的利益，不區(qū)分?jǐn)?shù)據(jù)處理行為的域界，均有權(quán)利獲取數(shù)據(jù)。確立此制度后，可以適當(dāng)調(diào)整我國對(duì)待外國數(shù)據(jù)的策略和態(tài)度，適度放開讓外國公司來華開展業(yè)務(wù)的政策規(guī)定，可以為我國合法獲取他國數(shù)據(jù)資源提供法律依據(jù)。

二是數(shù)據(jù)跨境流動(dòng)保護(hù)制度。在堅(jiān)持?jǐn)?shù)據(jù)本地化政策的前提下，對(duì)數(shù)據(jù)跨境轉(zhuǎn)移實(shí)施分級(jí)保護(hù)。對(duì)于涉及國家安全、社會(huì)重大利益的敏感數(shù)據(jù)，采取最嚴(yán)格管控措施，嚴(yán)禁跨境轉(zhuǎn)移；對(duì)于一般性行業(yè)數(shù)據(jù)和政府公開數(shù)據(jù)，根據(jù)雙邊、多邊協(xié)議可以有限制地跨境流動(dòng)；對(duì)于公開的個(gè)人數(shù)據(jù)，原則上可以允許跨境轉(zhuǎn)移。當(dāng)然，鑒于國際法或國際慣例尚未對(duì)數(shù)據(jù)管轄和數(shù)據(jù)主權(quán)作出規(guī)定，應(yīng)注意與國際接軌，加強(qiáng)國際交流與合作，積極參與國際規(guī)則的制定，要讓世界聽到中國的聲音。

三是數(shù)據(jù)跨境安全風(fēng)險(xiǎn)審查評(píng)估制度。數(shù)據(jù)是否重要敏感、是否具有安全風(fēng)險(xiǎn)，需要由專業(yè)人員、按照法定的程序、采取專業(yè)的方法進(jìn)行科學(xué)的評(píng)估。而且，特別要注意地是，某些數(shù)據(jù)是否重要敏感、是否具有安全風(fēng)險(xiǎn)不是一成不變的，是會(huì)隨著數(shù)據(jù)挖掘技術(shù)的發(fā)展和人們的認(rèn)識(shí)能力的提高而變化的。因此，要根據(jù)數(shù)據(jù)性質(zhì)及技術(shù)發(fā)展?fàn)顩r，對(duì)數(shù)據(jù)出境可能帶來的安全風(fēng)險(xiǎn)進(jìn)行審查評(píng)估，非經(jīng)評(píng)估同意，禁止任何數(shù)據(jù)跨境轉(zhuǎn)移。

(三)認(rèn)清數(shù)據(jù)應(yīng)用發(fā)展與國家安全的辯證關(guān)系

有一種觀點(diǎn)認(rèn)為，由于數(shù)據(jù)具有無形化和無界傳播性，要有效防范數(shù)據(jù)可能帶來的安全風(fēng)險(xiǎn)，就應(yīng)當(dāng)將數(shù)據(jù)“保護(hù)”起來，限制數(shù)據(jù)開放，禁止數(shù)據(jù)傳輸，通過限制數(shù)據(jù)的應(yīng)用發(fā)展，就能夠?qū)崿F(xiàn)絕對(duì)安全。比如，歐盟早期為了保護(hù)個(gè)人隱私，對(duì)數(shù)據(jù)技術(shù)的應(yīng)用采取了最為嚴(yán)格的限制措施。但是，從結(jié)果來看，歐盟這種做法在一定程度上影響了數(shù)據(jù)技術(shù)進(jìn)步和經(jīng)濟(jì)發(fā)展，最后它不得不主動(dòng)走向開放。這充分證明了這種觀點(diǎn)的片面性。我們?cè)囅胍幌?，在?shù)據(jù)技術(shù)飛速發(fā)展的今天，一個(gè)國家如果限制數(shù)據(jù)技術(shù)及數(shù)據(jù)應(yīng)用發(fā)展，就會(huì)阻礙數(shù)字經(jīng)濟(jì)橫向發(fā)展，國家經(jīng)濟(jì)發(fā)展水平和數(shù)據(jù)技術(shù)發(fā)展水平一定會(huì)相對(duì)落后，國家落后就會(huì)挨打，就會(huì)面臨更加嚴(yán)重的國家安全風(fēng)險(xiǎn)，這是任何國家都不愿意承受的結(jié)果。

但是，如果人們由此認(rèn)為，那就應(yīng)該鼓勵(lì)數(shù)據(jù)完全開放，允許數(shù)據(jù)自由流動(dòng)，以促進(jìn)數(shù)據(jù)技術(shù)及數(shù)字經(jīng)濟(jì)飛速發(fā)展，這種觀點(diǎn)又走向了另一個(gè)極端，也是極其片面的。殊不知，這樣毫無限制地推進(jìn)數(shù)據(jù)運(yùn)用發(fā)展，就會(huì)造成數(shù)字經(jīng)濟(jì)過度發(fā)展，這在一定程度上又會(huì)導(dǎo)致短期內(nèi)大量數(shù)據(jù)的急劇產(chǎn)生、無序流動(dòng)。由于數(shù)據(jù)制度缺乏或跟不上數(shù)據(jù)發(fā)展速度，數(shù)據(jù)發(fā)展將會(huì)累積風(fēng)險(xiǎn)，國家安全隱患會(huì)越來越大。正如習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上所提，網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的、開放的，而不是割裂的、封閉的、絕對(duì)的。這充分說明了千萬不能片面、絕對(duì)地看待網(wǎng)絡(luò)數(shù)據(jù)和國家安全的關(guān)系問題，否則就會(huì)顧此失彼。

為此，在我國的數(shù)據(jù)安全立法中，要辯證看待數(shù)據(jù)應(yīng)用發(fā)展與國家安全的關(guān)系。要正確評(píng)估我國在世界上的數(shù)據(jù)技術(shù)發(fā)展水平，要結(jié)合我國的具體國情和所處的發(fā)展階段確定我國對(duì)于數(shù)據(jù)應(yīng)用發(fā)展“開放”與“限制”的程度，在數(shù)據(jù)應(yīng)用發(fā)展與維護(hù)國家安全之間找到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn)。

(四)構(gòu)建科學(xué)完整的數(shù)據(jù)安全法治體系

鑒于數(shù)據(jù)安全對(duì)于維護(hù)國家安全的重要性，必須高度重視數(shù)據(jù)安全立法的科學(xué)性，要認(rèn)真梳理研究數(shù)據(jù)技術(shù)應(yīng)用發(fā)展實(shí)踐現(xiàn)狀及發(fā)展趨勢(shì)，摒棄“宜粗不宜細(xì)”的立法風(fēng)格[16]，全面把握影響數(shù)據(jù)安全的可能要素，構(gòu)建一套完整的數(shù)據(jù)安全法治體系，不留法律真空，確保數(shù)據(jù)安全法的系統(tǒng)性、完整性和可操作性，提高法律實(shí)施的效力和效果。

一是要針對(duì)不同類型數(shù)據(jù)提出不同的安全要求。要在厘清個(gè)人數(shù)據(jù)、重要敏感數(shù)據(jù)、公共數(shù)據(jù)、政府?dāng)?shù)據(jù)、商業(yè)數(shù)據(jù)、跨境數(shù)據(jù)等不同類型數(shù)據(jù)的內(nèi)涵外延的基礎(chǔ)上，分析“關(guān)鍵數(shù)據(jù)”面臨的安全形勢(shì)與風(fēng)險(xiǎn)，建立分級(jí)分類保護(hù)制度，有針對(duì)性地提出安全防控要求。

二是要對(duì)數(shù)據(jù)的全生命周期進(jìn)行全程安全風(fēng)險(xiǎn)評(píng)估和審查監(jiān)管。要以數(shù)據(jù)的全生命周期為線索，圍繞數(shù)據(jù)的產(chǎn)生、形成、采集、存儲(chǔ)、加密、隔離、訪問、驗(yàn)證、使用、下載、處理、分析、傳輸、保護(hù)、備份、銷毀、恢復(fù)等環(huán)節(jié)的各種安全漏洞和安全風(fēng)險(xiǎn)進(jìn)行全面梳理，建立數(shù)據(jù)安全基礎(chǔ)標(biāo)準(zhǔn)、數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)、數(shù)據(jù)安全管理標(biāo)準(zhǔn)和數(shù)據(jù)安全應(yīng)用標(biāo)準(zhǔn)，編織嚴(yán)密的數(shù)據(jù)安全保護(hù)網(wǎng)。

三是要對(duì)政府、企業(yè)、個(gè)人和其他組織在維護(hù)數(shù)據(jù)安全中權(quán)利義務(wù)分別做出明確的規(guī)定。在賦予數(shù)據(jù)主體對(duì)數(shù)據(jù)的所有權(quán)、使用權(quán)、財(cái)產(chǎn)權(quán)、人格權(quán)、訪問權(quán)、更正權(quán)、反對(duì)權(quán)、限制處理權(quán)、被遺忘權(quán)、可攜權(quán)以及限制自動(dòng)化決策等諸多權(quán)利的同時(shí)，明確維護(hù)數(shù)據(jù)安全的職責(zé)和義務(wù)，做到責(zé)權(quán)利相統(tǒng)一。