翟志勇

(北京航空航天大學(xué) 法學(xué)院，北京 100191)

一、引言

2018年9月7日第十三屆全國(guó)人大常委會(huì)公布立法規(guī)劃，包括三類共計(jì)116件立法，其中《數(shù)據(jù)安全法》位于第一類項(xiàng)目，屬于“條件比較成熟、任期內(nèi)擬提請(qǐng)審議的法律草案”[1]。2020年6月28日第十三屆全國(guó)人大常委會(huì)第二十次會(huì)議審議并向社會(huì)公布了《數(shù)據(jù)安全法(草案)》，引發(fā)學(xué)界和實(shí)務(wù)界的廣泛關(guān)注。而之前呼聲甚高的《個(gè)人信息保護(hù)法》直到2020年10月21日才公布草案并公開(kāi)征求社會(huì)公眾意見(jiàn)，由此可見(jiàn)數(shù)據(jù)安全立法的急迫性?！稊?shù)據(jù)安全法》雖然提上了立法日程，但在《數(shù)據(jù)安全法(草案)》公布之前，學(xué)術(shù)界的相關(guān)研究卻寥寥無(wú)幾①(1)①在《數(shù)據(jù)安全法(草案)》公布以前，直接研究數(shù)據(jù)安全立法的學(xué)術(shù)文章只有許可：《數(shù)據(jù)安全法：定位、立場(chǎng)與制度構(gòu)造》，載《經(jīng)貿(mào)法律評(píng)論》2019年第3期，第52-65頁(yè)；韓偉：《安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析》，載《科技與法律》2019年第6期，第41-48頁(yè)。此外還有少量關(guān)于《網(wǎng)絡(luò)安全法》對(duì)于數(shù)據(jù)安全保護(hù)的研究。，與《個(gè)人信息保護(hù)法》研究的火熱程度形成強(qiáng)烈對(duì)比。在很少的研究中，涉及《數(shù)據(jù)安全法》體系定位的研究更是屈指可數(shù)，而《數(shù)據(jù)安全法》制定的首要問(wèn)題正是法律體系定位問(wèn)題，因?yàn)轶w系定位問(wèn)題決定著《數(shù)據(jù)安全法》的內(nèi)容及其與其他法律的關(guān)系，目前公布的《數(shù)據(jù)安全法(草案)》在內(nèi)容上的模糊與龐雜，究其原因，就在于體系定位不明確。

對(duì)于數(shù)據(jù)安全和個(gè)人信息保護(hù)，2016年全國(guó)人大常委會(huì)制定的《網(wǎng)絡(luò)安全法》已經(jīng)作了原則性規(guī)定。在《網(wǎng)絡(luò)安全法》中，數(shù)據(jù)安全和個(gè)人信息保護(hù)依附于網(wǎng)絡(luò)安全，屬于網(wǎng)絡(luò)安全的一部分。從比較法上看，歐美各國(guó)的立法中，數(shù)據(jù)安全通常也與網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)交織在一起，分散在各種不同的法律中，并沒(méi)有統(tǒng)一的數(shù)據(jù)安全立法。因此，當(dāng)全國(guó)人大常委會(huì)決定在已經(jīng)制定《網(wǎng)絡(luò)安全法》的情況下，同時(shí)制定《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》時(shí)，制定過(guò)程中最大的困難之一就是《數(shù)據(jù)安全法》與《國(guó)家安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》之間的體系協(xié)調(diào)問(wèn)題。由于在個(gè)人信息保護(hù)方面，已經(jīng)有諸多可供參考的立法例①(2)①如歐盟《一般數(shù)據(jù)保護(hù)條例》、美國(guó)《加州消費(fèi)者隱私法》、印度《2018個(gè)人數(shù)據(jù)保護(hù)法》、巴西《一般數(shù)據(jù)保護(hù)法》、日本《個(gè)人信息保護(hù)法》、韓國(guó)《個(gè)人信息保護(hù)法》、新加坡《個(gè)人信息保護(hù)法》等。，因此《個(gè)人信息保護(hù)法》的體系問(wèn)題相對(duì)容易解決，而《數(shù)據(jù)安全法》則完全無(wú)章可循，沒(méi)有可供參考的立法例，這也使得《數(shù)據(jù)安全法》的體系定位研究尤為必要和迫切。

要討論《數(shù)據(jù)安全法》在我國(guó)法律體系中的定位，首先需要從法理的層面上明確有關(guān)法律體系的幾個(gè)基本認(rèn)知：第一，對(duì)于一個(gè)主權(quán)獨(dú)立的法治國(guó)家，通常存在著一個(gè)外在獨(dú)立、內(nèi)在融貫的法律體系；第二，這個(gè)法律體系以憲法作為根本法和最高法，由不同位階的法律構(gòu)成，無(wú)論是從價(jià)值上還是從效力上，這個(gè)法律體系是一個(gè)自上而下的金字塔結(jié)構(gòu)；第三，在這個(gè)法律體系內(nèi)部，所有的法律均不得違反憲法，下位法不得違反上位法，同位階的法律不能重復(fù)或相互矛盾，否則就不是一個(gè)內(nèi)在融貫的法律體系；第四，在這個(gè)法律體系內(nèi)部，每一部法律都應(yīng)該是外部相對(duì)獨(dú)立、內(nèi)部相對(duì)系統(tǒng)化的，如果一部法律不能相對(duì)自成一體，那么就不應(yīng)該單獨(dú)制定成一部法律。②(3)②有關(guān)法律體系的研究，參見(jiàn)[英]約瑟夫·拉茲：《法律體系的概念》，吳玉章譯，商務(wù)印書館2017年版；[德]卡爾·拉倫茨：《法學(xué)方法論》，陳愛(ài)娥譯，商務(wù)印書館2003年版，第316-368頁(yè)；馮威：《法律體系如何可能？——從公理學(xué)、價(jià)值秩序到原則模式》，載《蘇州大學(xué)學(xué)報(bào)(法學(xué)版)》2014年第1期，第34-48頁(yè)。文中的四點(diǎn)認(rèn)知，是基于這三項(xiàng)研究所做的概括。總之，立法機(jī)關(guān)在制定新法律時(shí)，首先要做的就是在現(xiàn)行法律體系內(nèi)部為新法律進(jìn)行體系定位，確定新法律的上位法以及新法律與同位階法律之間的體系協(xié)調(diào)關(guān)系。

本文從法律體系的角度出發(fā)，初步探討數(shù)據(jù)安全法的體系定位：首先，《國(guó)家安全法》中的“安全”概念是狹義上的傳統(tǒng)安全概念，無(wú)法成為《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的上位法，數(shù)據(jù)安全自然會(huì)涉及國(guó)家安全，但國(guó)家安全僅僅是數(shù)據(jù)安全的一個(gè)側(cè)面而已；其次，《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，應(yīng)該建立獨(dú)立的數(shù)據(jù)安全法律體系，不應(yīng)該與《網(wǎng)絡(luò)安全法》分割數(shù)據(jù)安全法律體系，雖然數(shù)據(jù)安全在一定程度上依賴于網(wǎng)絡(luò)安全，但從法律體系構(gòu)造上看，《數(shù)據(jù)安全法》可以也應(yīng)該獨(dú)立于《網(wǎng)絡(luò)安全法》；最后，《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》并非底層立法和上層立法的關(guān)系，兩者具有不同的法理基礎(chǔ)和制度邏輯?？傊瑖?guó)家安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)雖然是相互關(guān)聯(lián)的，但從法律體系構(gòu)造的角度來(lái)看，正因?yàn)槠湎嗷リP(guān)聯(lián)，更需要在立法時(shí)進(jìn)行清晰的體系定位，每部法律都應(yīng)該在整個(gè)法律體系內(nèi)部建立各自相對(duì)獨(dú)立且自足的體系。

二、安全法體系及其規(guī)范基礎(chǔ)

在我國(guó)法律體系中，以“安全法”命名的法律共有11部，包括《食品安全法》《農(nóng)產(chǎn)品質(zhì)量安全法》《核安全法》《道路交通安全法》《海上交通安全法》《特種設(shè)備安全法》《礦山安全法》《國(guó)家安全法》《網(wǎng)絡(luò)安全法》《香港特別行政區(qū)維護(hù)國(guó)家安全法》《生物安全法》③(4)③在2018年9月7日第十三屆全國(guó)人大常委會(huì)公布的立法規(guī)劃中，《生物安全法》屬于“立法條件尚不完全具備、需要繼續(xù)研究論證的立法項(xiàng)目”，但由于新冠肺炎疫情的影響，《生物安全法》加速制定，2020年4月26日至29日召開(kāi)的十三屆全國(guó)人大常委會(huì)第十七次會(huì)議已經(jīng)開(kāi)始審議《生物安全法(草案)》，2020年10月17日十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十二次會(huì)議審議通過(guò)，自2021年4月15日起施行。。此外還有一些雖不以“安全法”命名，但同樣涉及安全問(wèn)題的法律，如《突發(fā)事件應(yīng)對(duì)法》《傳染病防治法》等。這些法律以及配套的行政法規(guī)、地方性法規(guī)和部門規(guī)章，構(gòu)成我國(guó)法律體系中的安全法體系。④(5)④法學(xué)界對(duì)于安全法體系還沒(méi)有深入的研究，現(xiàn)有安全法教材基本上是安全生產(chǎn)法教材，將安全法學(xué)視為“一門研究與職業(yè)安全健康相關(guān)的法律法規(guī)標(biāo)準(zhǔn)的起源、現(xiàn)狀與發(fā)展規(guī)律的科學(xué)，屬于勞動(dòng)法體系的分支學(xué)科”，這個(gè)界定顯然無(wú)法涵蓋我國(guó)法律體系中的安全法體系。參見(jiàn)趙耀江、栗繼祖主編：《安全法學(xué)》(第2版)，機(jī)械工業(yè)出版社2011年版，第35頁(yè)。不過(guò)法學(xué)界已經(jīng)注意到風(fēng)險(xiǎn)社會(huì)中的安全法制問(wèn)題，《憲政與行政法治評(píng)論》2011年專門組織“風(fēng)險(xiǎn)社會(huì)與安全法制”專題，但目前還沒(méi)有學(xué)者對(duì)安全法體系進(jìn)行系統(tǒng)性的理論研究。那么如何理解安全法體系在整個(gè)法律體系中的位置？如何理解安全法體系內(nèi)部各部安全法之間的關(guān)系？是我們討論《數(shù)據(jù)安全法》體系定位的基本出發(fā)點(diǎn)。

這些安全法均由全國(guó)人大常委會(huì)制定，因此按照《憲法》和《立法法》的規(guī)定，這些安全法不屬于應(yīng)該由全國(guó)人民代表大會(huì)制定的“刑事、民事、國(guó)家機(jī)構(gòu)的和其他的基本法律”，那么接下來(lái)的問(wèn)題就是，這些安全法屬于全國(guó)人民代表大會(huì)制定的“基本法律”的特別法嗎？如果屬于，那么屬于哪部或哪些部“基本法律”的特別法？如果不屬于，那么該如何理解這些安全法的上位法呢？在這些安全法中，只有《國(guó)家安全法》在第1條中明確規(guī)定“根據(jù)憲法，制定本法”，憲法中多次提到“國(guó)家的安全”(序言)、“國(guó)家安全”(第28條、40條)、“祖國(guó)的安全”(第54條)，這正是《國(guó)家安全法》制定的憲法基礎(chǔ)，所以明確規(guī)定“根據(jù)憲法，制定本法”順理成章，因此《國(guó)家安全法》不屬于任何“基本法律”的特別法，而是屬于“基本法律”之外的一般法律。

除了《國(guó)家安全法》，其他安全法均未在條文中規(guī)定據(jù)以制定的上位法，既未明確規(guī)定“根據(jù)憲法，制定本法”，也未明確規(guī)定根據(jù)某部基本法律制定本法，那么該如何理解其他安全法的上位法呢？其他安全法是《國(guó)家安全法》或某部“基本法律”的特別法嗎？答案是否定的。首先，從內(nèi)容上看，其他安全法所規(guī)定的內(nèi)容與《國(guó)家安全法》所規(guī)定的內(nèi)容相去甚遠(yuǎn)，《國(guó)家安全法》主要涉及主權(quán)和政治安全①(6)①《國(guó)家安全法》第4條中規(guī)定的危害國(guó)家安全的行為包括：“(一)陰謀顛覆政府，分裂國(guó)家，推翻社會(huì)主義制度的；(二)參加間諜組織或者接受間諜組織及其代理人的任務(wù)的；(三)竊取、刺探、收買、非法提供國(guó)家秘密的；(四)策動(dòng)、勾引、收買國(guó)家工作人員叛變的；(五)進(jìn)行危害國(guó)家安全的其他破壞活動(dòng)的?！边@些行為主要涉及主權(quán)和政治安全，不涉及其他的安全事項(xiàng)。，《國(guó)家安全法》并未為其他安全法提供規(guī)范基礎(chǔ)，因此其他安全法不是《國(guó)家安全法》的特別法②(7)②“總體安全觀”的提出，并不意味著《國(guó)家安全法》中的“安全”體現(xiàn)了總體安全觀，事實(shí)上《國(guó)家安全法》中的安全仍是傳統(tǒng)的安全，非傳統(tǒng)安全需要在《國(guó)家安全法》之外的其他法律中得以落實(shí)。關(guān)于非傳統(tǒng)安全的系統(tǒng)性論述，參見(jiàn)余瀟楓：《非傳統(tǒng)安全概論》(第三版)，北京大學(xué)出版社2019年版。；其次，仍然從內(nèi)容上看，在全國(guó)人民代表大會(huì)制定的“基本法律”中，也找不到某部法律可以成為某部安全法的上位法，這些安全法均是針對(duì)特殊領(lǐng)域內(nèi)的特殊安全問(wèn)題所作的規(guī)定，并沒(méi)有一個(gè)明確的上位法作為依據(jù)，這或許也是全國(guó)人大常委會(huì)在制定這些安全法時(shí)，未在第1條中明確規(guī)定該部安全法的上位法的原因所在。③(8)③根據(jù)《立法法》第7條規(guī)定：“全國(guó)人民代表大會(huì)和全國(guó)人民代表大會(huì)常務(wù)委員會(huì)行使國(guó)家立法權(quán)。全國(guó)人民代表大會(huì)制定和修改刑事、民事、國(guó)家機(jī)構(gòu)的和其他的基本法律。全國(guó)人民代表大會(huì)常務(wù)委員會(huì)制定和修改除應(yīng)當(dāng)由全國(guó)人民代表大會(huì)制定的法律以外的其他法律”。因此，全國(guó)人大常委會(huì)制定的法律未必要有“基本法律”作為基礎(chǔ)，只要不違反“基本法律”即可。如果這些安全法并非任何“基本法律”的特別法，那么從法律體系上看，只能認(rèn)為這些安全法的上位法也是憲法，雖然這些安全法中沒(méi)有明確寫著“根據(jù)憲法，制定本法”。

一部法律是否應(yīng)該在條文中明確規(guī)定據(jù)以制定的上位法，《憲法》和《立法法》都沒(méi)有明確規(guī)定，法律理論中也沒(méi)有一致的意見(jiàn)。民法學(xué)者和憲法學(xué)者曾就《民法典》第1條是否應(yīng)該規(guī)定“根據(jù)憲法，制定本法”發(fā)生學(xué)術(shù)爭(zhēng)論。龍衛(wèi)球教授認(rèn)為，如果從立法權(quán)及其機(jī)制來(lái)講，今天中國(guó)的任何民事立法，都是依據(jù)憲法制定的，但從這個(gè)意義上講，在條文中規(guī)定“根據(jù)憲法，制定本法”是沒(méi)有意義的，因?yàn)閼椃ê汀读⒎ǚā分袑?duì)此已經(jīng)作了規(guī)定。但是，如果《民法典》中規(guī)定“根據(jù)憲法，制定本法”，意味著《民法典》既要接受符合憲法積極授權(quán)又不觸犯憲法消極限制的雙重檢驗(yàn)，這從民法和憲法發(fā)展的歷史來(lái)看是不成立的，因?yàn)槊穹ㄔ谙龋瑧椃ㄔ诤?，民法自身就是高?jí)法，無(wú)須以憲法作為高級(jí)法。[2]175-179,[3]而憲法學(xué)者自然反對(duì)這種說(shuō)法，不過(guò)憲法學(xué)者在捍衛(wèi)憲法的高級(jí)法地位時(shí)，并不主張《民法典》的任何規(guī)范都要得到《憲法》的積極授權(quán)，主要從消極層面上，認(rèn)為《民法典》的規(guī)范應(yīng)該能夠通過(guò)合憲性審查，并且認(rèn)為《民法典》本身就具有一定的憲法功能。④(9)④參見(jiàn)林來(lái)梵、龍衛(wèi)球、王涌、張翔：《民法典編纂的憲法問(wèn)題》，載《交大法學(xué)》2016年第4期，第5-32頁(yè)；韓大元：《憲法與民法關(guān)系在中國(guó)的演變——一種學(xué)說(shuō)史的梳理》，載《清華法學(xué)》2016年第6期，第151-167頁(yè)；王鍇：《憲法與民法的關(guān)系論綱》，載《中國(guó)法律評(píng)論》2019年第1期，第42-50頁(yè)。從過(guò)往的立法情況看，全國(guó)人民代表大會(huì)制定的法律中絕大部分規(guī)定“根據(jù)憲法，制定本法”，而全國(guó)人民代表大會(huì)常務(wù)委員會(huì)制定的法律中，絕大部分都不規(guī)定“根據(jù)憲法，制定本法”。雖然從歷史演化和價(jià)值秩序方面可以爭(zhēng)論憲法與民法的關(guān)系問(wèn)題，但從法律體系的角度來(lái)看，毫無(wú)疑問(wèn)的是，憲法居于法律體系規(guī)范等級(jí)的最高處，其他法律都是憲法的下位法，《民法典》自然也不例外，是否規(guī)定“根據(jù)憲法，制定本法”其實(shí)無(wú)關(guān)宏旨。

因此，從法律體系的角度來(lái)看，無(wú)論一部法律中是否規(guī)定“根據(jù)憲法，制定本法”，如果某部法律不是某部“基本法律”的特別法，那么在實(shí)質(zhì)上就是以憲法作為上位法的。除了憲法之外，不存在沒(méi)有上位法的法律，否則法律體系就是不融貫的。就整個(gè)安全法體系而言，從積極的方面看，這些安全法是對(duì)憲法中的某些規(guī)范和價(jià)值的落實(shí)，從消極的方面看，這些安全法不能違反憲法中的限制性規(guī)定，也就是說(shuō)必須能夠通過(guò)合憲性審查，對(duì)這些法律的解釋，也應(yīng)遵循合憲性解釋。也就是說(shuō)，整個(gè)安全法體系都是以憲法作為上位法的，《國(guó)家安全法》是對(duì)憲法中有關(guān)國(guó)家安全規(guī)范的落實(shí)，那其他安全法呢？憲法中并沒(méi)有明確的有關(guān)其他安全的規(guī)范，那么該如何理解其他安全法以憲法作為上位法呢？簡(jiǎn)單來(lái)說(shuō)，數(shù)據(jù)安全涉及公民的人格尊嚴(yán)、人身安全和財(cái)產(chǎn)安全，正是對(duì)人權(quán)和公民基本權(quán)利保護(hù)的要求，需要對(duì)數(shù)據(jù)安全加以保護(hù)。

根據(jù)森英樹(shù)教授的研究，早在1776年，《弗吉尼亞權(quán)利法案》和《獨(dú)立宣言》都將safety和security設(shè)定為“權(quán)利法案”和國(guó)家所要保護(hù)的重要權(quán)利和價(jià)值。1789年法國(guó)《人與市民的權(quán)利宣言》以及隨后的幾部憲法，也將safety作為憲法應(yīng)該保護(hù)的一項(xiàng)基本權(quán)利。二戰(zhàn)后《世界人權(quán)宣言》第3條規(guī)定“任何人都享有生命、自由和人身安全的權(quán)利”。英文單詞safety和security都可以翻譯為中文“安全”，但兩者之間存在細(xì)微的差別，森英樹(shù)教授認(rèn)為，“可以將safety推認(rèn)為‘與客觀的現(xiàn)實(shí)危險(xiǎn)相對(duì)的具體安全’，將security推認(rèn)為有組織地提供安全‘以備將來(lái)不安的安心體系’。引用權(quán)利論的話來(lái)說(shuō)，暫且將兩者作這樣的類型化，即將safety視為作為人的具體權(quán)利的‘安全’，將security視為作為政府的制度化任務(wù)的‘安全’?！盵4]72-76換句話說(shuō)，security是為保護(hù)作為個(gè)人的具體權(quán)利的safety而建構(gòu)的安全體系。

雖然我國(guó)《憲法》中除了國(guó)家安全之外，沒(méi)有其他關(guān)于安全的具體規(guī)范，但從具體權(quán)利的角度，可以嘗試將安全(safety)解釋為一種從人權(quán)中推導(dǎo)出來(lái)的未列舉基本權(quán)利。①(10)①安全能否成為憲法上的未列舉憲法權(quán)利，憲法學(xué)界還沒(méi)有探討過(guò)，但從概括性人權(quán)保障條款進(jìn)行證立，理論上講是可行的。這方面的探討，參見(jiàn)余軍：《未列舉憲法權(quán)利：論據(jù)、規(guī)范與方法》，中國(guó)政法大學(xué)出版社2017年版，第101-182頁(yè)。但更為重要的是，可以從人權(quán)和基本權(quán)利保護(hù)層面，推導(dǎo)出國(guó)家有責(zé)任提供安全體系(security)，以確保公民的人身和財(cái)產(chǎn)安全(safety)，這是整個(gè)安全法體系的規(guī)范基礎(chǔ)。②(11)②從社會(huì)契約論的角度看，人放棄自然權(quán)利，通過(guò)締結(jié)社會(huì)契約建立國(guó)家，目的之一就是國(guó)家可以提供安全保障，這在霍布斯的《利維坦》和洛克的《政府論》中均有論述，參見(jiàn)[英]霍布斯：《利維坦》，黎思復(fù)、黎延弼譯，商務(wù)印書館1985年版，第128-132頁(yè)；[英]洛克：《政府論》(下卷)，葉啟芳、瞿菊農(nóng)譯，商務(wù)印書館1964年版，第59-76頁(yè)。無(wú)論是食品安全還是道路交通安全，抑或網(wǎng)絡(luò)和數(shù)據(jù)安全，都可以視為國(guó)家提供的安全體系的一部分。因此從整個(gè)法律體系尤其是安全法體系來(lái)看，《數(shù)據(jù)安全法》是以憲法為上位法的“基本法律”之外的一般法律，《數(shù)據(jù)安全法》的立法目的是通過(guò)對(duì)數(shù)據(jù)安全的保護(hù)，來(lái)保護(hù)國(guó)家安全、人權(quán)和公民的基本權(quán)利。③(12)③馬長(zhǎng)山教授認(rèn)為：“隨著數(shù)字經(jīng)濟(jì)和智慧社會(huì)的深入發(fā)展，人權(quán)形態(tài)正在經(jīng)歷著深刻的數(shù)字化重塑，從而打破了既有的‘三代‘人權(quán)發(fā)展格局，開(kāi)啟了以‘?dāng)?shù)字人權(quán)’為代表的‘第四代人權(quán)’?！痹谶@個(gè)意義上，數(shù)據(jù)安全保護(hù)構(gòu)成了第四代人權(quán)保護(hù)的一部分。參見(jiàn)馬長(zhǎng)山：《智慧社會(huì)背景下的“第四代人權(quán)”及其保障》，載《中國(guó)法學(xué)》，2019年第5期，第5-24頁(yè)。

《數(shù)據(jù)安全法(草案)》第1條規(guī)定：“為了保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)公民、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，制定本法”。從這條規(guī)定也可以看出，立法者并未將《數(shù)據(jù)安全法》視為《國(guó)家安全法》的下位法，保護(hù)數(shù)據(jù)安全，當(dāng)然涉及維護(hù)國(guó)家主權(quán)和安全，但同樣涉及保護(hù)公民和組織的合法權(quán)益，以及促進(jìn)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。僅僅從國(guó)家安全的角度來(lái)看待《數(shù)據(jù)安全法》，就會(huì)把《數(shù)據(jù)安全法》所要實(shí)現(xiàn)的目標(biāo)嚴(yán)重窄化，不利于系統(tǒng)地理解、制定和適用數(shù)據(jù)安全法律規(guī)范。當(dāng)然，這并不意味著絕對(duì)不能將《數(shù)據(jù)安全法》制定成《國(guó)家安全法》的下位法或特別法，但如果這樣，不僅要求《數(shù)據(jù)安全法》的內(nèi)容必須只能涉及國(guó)家安全，而且意味著還需要在其他法律中解決國(guó)家安全之外的數(shù)據(jù)安全問(wèn)題，因此從法律體系構(gòu)造的角度來(lái)看，無(wú)論如何《數(shù)據(jù)安全法》都不應(yīng)該成為《國(guó)家安全法》的下位法或特別法。此外，對(duì)于這種情況，完全可以通過(guò)修改《國(guó)家安全法》將涉及國(guó)家安全的數(shù)據(jù)安全問(wèn)題納入其中，更沒(méi)有必要單獨(dú)制定作為《國(guó)家安全法》的下位法或特別法的《數(shù)據(jù)安全法》。

三、網(wǎng)絡(luò)安全與數(shù)據(jù)安全

如果《數(shù)據(jù)安全法》不是《國(guó)家安全法》的下位法，而是以《憲法》為上位法的“基本法律”之外的一般法律，那么接下來(lái)的體系定位問(wèn)題就是在安全法體系內(nèi)部，《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》之間的體系關(guān)系問(wèn)題。首先要明確的是，《網(wǎng)絡(luò)安全法》也不是《國(guó)家安全法》的下位法，也是以《憲法》為上位法的“基本法律”之外的一般法律，理由與《數(shù)據(jù)安全法》相同?！毒W(wǎng)絡(luò)安全法》的重點(diǎn)內(nèi)容是“對(duì)網(wǎng)絡(luò)自身的安全作出制度性安排，同時(shí)在信息內(nèi)容方面也作出相應(yīng)的規(guī)范性規(guī)定，從網(wǎng)絡(luò)設(shè)備設(shè)施安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等方面建立和完善相關(guān)制度”①(13)①全國(guó)人大常委會(huì)法制工作委員會(huì)：《關(guān)于〈中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)〉的說(shuō)明》，2015年6月24日在第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)議上。。也就是說(shuō)，《網(wǎng)絡(luò)安全法》除了規(guī)定網(wǎng)絡(luò)自身安全即設(shè)施設(shè)備和網(wǎng)絡(luò)運(yùn)行安全之外，還規(guī)定了網(wǎng)絡(luò)中的數(shù)據(jù)安全和信息安全，但數(shù)據(jù)安全和信息安全不屬于“網(wǎng)絡(luò)自身的安全”，因此也就意味著，數(shù)據(jù)安全和信息安全是可以與“網(wǎng)絡(luò)自身的安全”分開(kāi)處理的。《網(wǎng)絡(luò)安全法》中共有17個(gè)條文涉及數(shù)據(jù)和個(gè)人信息，處理了三大類的問(wèn)題：“一是，要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，防止網(wǎng)絡(luò)數(shù)據(jù)被竊取或者篡改。二是，加強(qiáng)對(duì)公民個(gè)人信息的保護(hù)，防止公民個(gè)人信息數(shù)據(jù)被非法獲取、泄露或者非法使用。三是，要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在境內(nèi)存儲(chǔ)公民個(gè)人信息等重要數(shù)據(jù)；確需在境外存儲(chǔ)或者向境外提供的，應(yīng)當(dāng)按照規(guī)定進(jìn)行安全評(píng)估?！雹?14)②全國(guó)人大常委會(huì)法制工作委員會(huì)：《關(guān)于〈中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)〉的說(shuō)明》，2015年6月24日在第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)議上。

《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全定義為：“網(wǎng)絡(luò)安全，是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力?！?第76條)這個(gè)定義實(shí)際上分為兩部分，其一是網(wǎng)絡(luò)設(shè)施設(shè)備和運(yùn)行安全，其二是網(wǎng)絡(luò)數(shù)據(jù)安全?！耙约啊边@個(gè)連接詞的使用，不僅表明兩種安全的不同，也表明數(shù)據(jù)安全在網(wǎng)絡(luò)安全中的從屬地位?！毒W(wǎng)絡(luò)安全法》制定時(shí)，由于還沒(méi)有關(guān)于數(shù)據(jù)安全的法律，因此有必要將數(shù)據(jù)安全納入到網(wǎng)絡(luò)安全之中，現(xiàn)在全國(guó)人大常委會(huì)決定單獨(dú)制定《數(shù)據(jù)安全法》，那么《網(wǎng)絡(luò)安全法》中有關(guān)數(shù)據(jù)安全的規(guī)范如何處理？以及如何協(xié)調(diào)網(wǎng)絡(luò)安全與數(shù)據(jù)安全的關(guān)系呢？③(15)③保護(hù)網(wǎng)絡(luò)安全必然在事實(shí)上保護(hù)數(shù)據(jù)安全，但這是個(gè)事實(shí)問(wèn)題，而非規(guī)范問(wèn)題，基于這個(gè)事實(shí)，如何分別構(gòu)建網(wǎng)絡(luò)安全與數(shù)據(jù)安全的規(guī)范體系，是一個(gè)重要的立法技術(shù)問(wèn)題，從法律體系構(gòu)造的角度看，當(dāng)同時(shí)制定《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》時(shí)，必然意味著網(wǎng)絡(luò)安全規(guī)范與數(shù)據(jù)安全規(guī)范在技術(shù)上的分離。

《網(wǎng)絡(luò)安全法》中將數(shù)據(jù)安全定義為“數(shù)據(jù)的完整性、保密性、可用性”，這個(gè)定義與國(guó)際標(biāo)準(zhǔn)化組織關(guān)于信息安全的定義一致④(16)④ISO/IEC 27000:2018：Information technology—Security techniques—Information security management systems—Overview and vocabulary.，也與國(guó)外有關(guān)信息安全的定義一致，比如美國(guó)《2014聯(lián)邦信息安全現(xiàn)代化法》將“信息安全”界定為：“指保護(hù)信息和信息系統(tǒng)不受未經(jīng)授權(quán)的訪問(wèn)、使用、披露、破壞、修改或銷毀，以便提供(A)完整性，即防止不當(dāng)?shù)男畔⑿薷幕蜾N毀，包括確保信息的不可否認(rèn)性和真實(shí)性;(B)保密性，即保留對(duì)訪問(wèn)和披露的授權(quán)限制，包括保護(hù)個(gè)人隱私和專有信息的手段;(C)可用性，即確保及時(shí)和可靠地訪問(wèn)和使用信息。”⑤(17)⑤PUBLIC LAW 113-283-DEC.18,2014.128 STAT.3074.在美國(guó)法中，“信息安全”的含義大體上可以等同于我國(guó)法律中使用的“數(shù)據(jù)安全”的含義。本文在相同的意義上使用信息安全和數(shù)據(jù)安全兩個(gè)概念，對(duì)于它們之間可能存在的差異，在不影響本文論述的情況下，不做區(qū)分。數(shù)據(jù)的完整性、保密性和可用性是數(shù)據(jù)安全的目標(biāo)，而確保數(shù)據(jù)安全的機(jī)制是禁止未經(jīng)授權(quán)的訪問(wèn)、使用、披露、破壞、修改或銷毀。由于網(wǎng)絡(luò)數(shù)據(jù)依附于網(wǎng)絡(luò)系統(tǒng)，因此網(wǎng)絡(luò)安全和數(shù)據(jù)安全必然是緊密聯(lián)系在一起的，但網(wǎng)絡(luò)安全和數(shù)據(jù)安全的內(nèi)涵、目標(biāo)、實(shí)施機(jī)制等各方面仍存在巨大差異。存在網(wǎng)絡(luò)安全受到侵害但并不危及數(shù)據(jù)安全的情況，反過(guò)來(lái)也存在數(shù)據(jù)安全受侵害但并不危及網(wǎng)絡(luò)安全的情況，比如劍橋分析公司對(duì)Facebook上的數(shù)據(jù)的使用，危及了Facebook的數(shù)據(jù)安全，但并不危及網(wǎng)絡(luò)設(shè)施設(shè)備和運(yùn)營(yíng)安全。因此，將數(shù)據(jù)安全和網(wǎng)絡(luò)安全分開(kāi)處理并單獨(dú)立法，無(wú)論理論上還是實(shí)踐上至少是可行的，但是不是最優(yōu)的，可以繼續(xù)探討。

從比較法的角度來(lái)看，歐美的網(wǎng)絡(luò)安全和數(shù)據(jù)安全立法也在一定程度上是分開(kāi)處理的，特別是涉及個(gè)人數(shù)據(jù)安全的立法，往往跟個(gè)人數(shù)據(jù)或信息保護(hù)立法交織在一起。歐洲議會(huì)和歐盟委員會(huì)2019年4月17日頒布《網(wǎng)絡(luò)安全法》(REGULATION(EU)2019/881)⑥(18)⑥該法的全稱是On ENISA(the Europen Union Agency for Cybersecurity) and On Information and Communications Technology Cybersecurity and Repealing Regulation(EU)No526/2013.,內(nèi)容主要涉及兩個(gè)方面：其一是“歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)局(ENISA)的目標(biāo)、任務(wù)和組織機(jī)構(gòu)事項(xiàng)”；其二是“為了確保歐盟內(nèi)部ICT產(chǎn)品、ICT服務(wù)和ICT程序的充分水準(zhǔn)的網(wǎng)絡(luò)安全，以及為了避免歐盟內(nèi)部與網(wǎng)絡(luò)安全認(rèn)證計(jì)劃相關(guān)的內(nèi)部市場(chǎng)的碎片化，為歐盟網(wǎng)絡(luò)安全認(rèn)證計(jì)劃的建立設(shè)定框架”①(19)①REGULATION(EU)2019/881,Article 1.。因此，歐盟網(wǎng)絡(luò)安全法只涉及ICT產(chǎn)品、服務(wù)和程序，并未對(duì)數(shù)據(jù)安全作出規(guī)定。歐盟目前也沒(méi)有統(tǒng)一的數(shù)據(jù)安全立法，《一般數(shù)據(jù)保護(hù)條例》中對(duì)“個(gè)人數(shù)據(jù)的安全性”作出了規(guī)定，要求數(shù)據(jù)控制者和處理者應(yīng)當(dāng)采取適當(dāng)?shù)募夹g(shù)和組織措施保證數(shù)據(jù)處理過(guò)程的安全性，一旦發(fā)生數(shù)據(jù)泄漏，應(yīng)及時(shí)通知監(jiān)管機(jī)構(gòu)和個(gè)人。②(20)②General Data Protection Regulation,Article 32、33、34.中譯本參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》，瑞栢律師事務(wù)所譯，法律出版社2018年版，第63-64頁(yè)。但對(duì)于重要數(shù)據(jù)的安全，歐盟沒(méi)有單獨(dú)的法律規(guī)定，而是將重要數(shù)據(jù)的安全依托于網(wǎng)絡(luò)安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的安全。③(21)③The Directive on Security of Network and Information Systems(DIRECTIVE(EU)2016/1148)，On a Framework for the Free Flow of Non-Personal Data in the European Union(REGULATION(EU)2018/1807).

美國(guó)同樣沒(méi)有統(tǒng)一的網(wǎng)絡(luò)安全和數(shù)據(jù)安全立法。2015年美國(guó)國(guó)會(huì)通過(guò)一部有關(guān)網(wǎng)絡(luò)安全的綜合性法律，法律的正式名稱是《通過(guò)加強(qiáng)網(wǎng)絡(luò)安全威脅信息共享提高美國(guó)的網(wǎng)絡(luò)安全以及其他目的》，簡(jiǎn)稱為《網(wǎng)絡(luò)安全法》。④(22)④To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats,and for other purposes，https://www.congress.gov/bill/114th-congress/senate-bill/754.2020年7月14日訪問(wèn)。中譯本參見(jiàn)《美國(guó)網(wǎng)絡(luò)安全法》，陳斌等譯，中國(guó)民主法制出版社2017年版。該法律由四部分組成，分別為《2015網(wǎng)絡(luò)安全信息共享法》(CybersecurityInformationSharingActof2015)、《2015聯(lián)邦網(wǎng)絡(luò)安全提升法》(FederalCybersecurityEnhancementActof2015)、《2015年聯(lián)邦網(wǎng)絡(luò)安全勞動(dòng)力評(píng)估法》(FederalCybersecurityWorkforceAssessmentActof2015)、《其他網(wǎng)絡(luò)問(wèn)題》(OtherCyberMatters)。除此之外，美國(guó)涉及網(wǎng)絡(luò)安全的法律還包括《電子通信隱私法》(1986)、《計(jì)算機(jī)安全法》(1987)、《國(guó)土安全法》(2002)、《聯(lián)邦信息安全管理法》(2002)等。但這些法律主要處理的是網(wǎng)絡(luò)設(shè)施設(shè)備安全和運(yùn)營(yíng)安全，間接保護(hù)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全。

關(guān)于數(shù)據(jù)安全立法，根據(jù)美國(guó)“國(guó)會(huì)研究服務(wù)中心”(Congressional Research Service)的報(bào)告，美國(guó)聯(lián)邦層面沒(méi)有關(guān)于數(shù)據(jù)安全的統(tǒng)一立法，但至少有13部法律涉及數(shù)據(jù)保護(hù)，包括數(shù)據(jù)隱私和數(shù)據(jù)安全兩個(gè)問(wèn)題。⑤(23)⑤美國(guó)聯(lián)邦涉及數(shù)據(jù)保護(hù)方面的法律主要有《兒童在線隱私保護(hù)法》(Children’s Online Privacy Protection Act,Communications Act of 1934),《計(jì)算機(jī)欺詐和濫用法》(Computer Fraud and Abuse Act),《消費(fèi)者金融保護(hù)法》(Consumer Financial Protection Act),《電子通信隱私法》(Electronic Communications Privacy Act),《公平信用報(bào)告法》(Fair Credit Reporting Act),《聯(lián)邦安全法》(Federal Securities Laws),《聯(lián)邦貿(mào)易委員會(huì)法》(Federal Trade Commission Act), 《金融服務(wù)現(xiàn)代化法》(Gramm-Leach-Bliley Act),《健康保險(xiǎn)可攜帶與可問(wèn)責(zé)法》(Health Insurance Portability and Accountability Act), 《視頻隱私保護(hù)法》(Video Privacy Protection Act)。此外，美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所為回應(yīng)《2014聯(lián)邦信息安全現(xiàn)代化法》的要求，先后發(fā)布《受控非秘信息評(píng)估安全要求》和《保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息(草案)》，對(duì)類似于重要數(shù)據(jù)的“受控非密信息”的識(shí)別和分級(jí)分類做出了指南。⑥(24)⑥Assessing Security Requirements for Controlled Unclassified Information，https://csrc.nist.gov/publications/detail/sp/800-171a/final；Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations，https://csrc.nist.gov/publications/detail/sp/800-171b/draft.2020年7月14日訪問(wèn)。除了聯(lián)邦之外，各州也制定大量涉及數(shù)據(jù)安全的法律，根據(jù)美國(guó)“州立法機(jī)關(guān)全國(guó)大會(huì)”(National Conference of State Legislatures)的統(tǒng)計(jì)，在過(guò)去的兩三年中，至少23個(gè)州立法機(jī)關(guān)制定法律要求州政府機(jī)構(gòu)采取安全措施確保政府收集的數(shù)據(jù)的安全。至少25個(gè)州立法機(jī)關(guān)制定法律，要求私營(yíng)機(jī)構(gòu)采取“合理的安全程序和實(shí)踐”確保個(gè)人信息不被未經(jīng)授權(quán)地訪問(wèn)、使用、破壞、修改或泄露。至少有35個(gè)州頒布法律要求私人或政府部門銷毀、處置或以其他方式使個(gè)人信息不可讀或無(wú)法破譯。全美所有的州都頒布了法律，要求私人或政府部門在涉及個(gè)人身份信息的數(shù)據(jù)安全被侵犯時(shí)及時(shí)通知個(gè)人。⑦(25)⑦所有這些法律的列表參見(jiàn)，https://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx.2020年7月14日訪問(wèn)。

從歐美的立法情況來(lái)看，歐美國(guó)家并未單獨(dú)針對(duì)數(shù)據(jù)安全進(jìn)行立法，而是將數(shù)據(jù)安全問(wèn)題一分為二，重要數(shù)據(jù)的安全依托于網(wǎng)絡(luò)安全特別是關(guān)鍵信息基礎(chǔ)設(shè)施安全，個(gè)人數(shù)據(jù)安全融入個(gè)人信息保護(hù)中。因此，當(dāng)我國(guó)獨(dú)立制定《數(shù)據(jù)安全法》時(shí)，就同時(shí)面臨著跟《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》的體系協(xié)調(diào)問(wèn)題。

就內(nèi)容而言，《數(shù)據(jù)安全法》將是數(shù)據(jù)安全領(lǐng)域的最高法律，其內(nèi)容遠(yuǎn)遠(yuǎn)超過(guò)《網(wǎng)絡(luò)安全法》中有關(guān)數(shù)據(jù)安全的規(guī)定，因此《數(shù)據(jù)安全法》以《網(wǎng)絡(luò)安全法》作為上位法，既沒(méi)必要也不可能，《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》將是同一位階上平行的法律，都是以《憲法》為上位法的“基本法律”之外的一般法律，一個(gè)規(guī)范數(shù)據(jù)安全，一個(gè)規(guī)范網(wǎng)絡(luò)安全。就與《網(wǎng)絡(luò)安全法》體系協(xié)調(diào)而言：首先，《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，必須基于保護(hù)數(shù)據(jù)安全的要求，建構(gòu)完整的數(shù)據(jù)安全法律體系，必須實(shí)現(xiàn)內(nèi)在體系的相對(duì)獨(dú)立與自足；其次，對(duì)于那些能夠通過(guò)網(wǎng)絡(luò)安全實(shí)現(xiàn)的數(shù)據(jù)安全，或那些數(shù)據(jù)安全必須依賴于網(wǎng)絡(luò)安全才能實(shí)現(xiàn)的，如果《網(wǎng)絡(luò)安全法》中已經(jīng)建立了完善的安全規(guī)范，那么就意味著數(shù)據(jù)安全可以得到保護(hù)，《數(shù)據(jù)安全法》就沒(méi)有必要再疊床架屋進(jìn)行規(guī)范了，如果為了維持《數(shù)據(jù)安全法》內(nèi)在體系的完整，可以單獨(dú)規(guī)定一個(gè)條款，明確哪些數(shù)據(jù)安全問(wèn)題適用《網(wǎng)絡(luò)安全法》的規(guī)定；再次，《數(shù)據(jù)安全法》頒布之后，《網(wǎng)絡(luò)安全法》中有關(guān)數(shù)據(jù)安全的規(guī)范，除了是為維護(hù)網(wǎng)絡(luò)安全所必須，或是為了體系協(xié)調(diào)做必要的保留，均應(yīng)該刪除，從而使網(wǎng)絡(luò)安全規(guī)范和數(shù)據(jù)安全規(guī)范相互獨(dú)立并自成體系。

順便說(shuō)一下，網(wǎng)信辦起草《數(shù)據(jù)安全管理辦法》(征求意見(jiàn)稿)是以《網(wǎng)絡(luò)安全法》作為上位法的，但這并不意味著將來(lái)的《數(shù)據(jù)安全法》要以《網(wǎng)絡(luò)安全法》為上位法。這是因?yàn)椤毒W(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全僅做了原則性規(guī)定，網(wǎng)信辦作為網(wǎng)絡(luò)安全的管理部門，制定《數(shù)據(jù)安全管理辦法》是對(duì)《網(wǎng)絡(luò)安全法》的具體落實(shí)，因此必然要以《網(wǎng)絡(luò)安全法》作為上位法，將來(lái)制定《數(shù)據(jù)安全法》后，網(wǎng)信辦再制定《數(shù)據(jù)安全管理辦法》就只能以《數(shù)據(jù)安全法》作為上位法了。

四、個(gè)人信息保護(hù)與數(shù)據(jù)安全

就目前的立法情況來(lái)看，無(wú)論是我國(guó)的立法還是歐美的立法，個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全通常都是交織在一起的。如歐盟《一般數(shù)據(jù)保護(hù)條例》中包含個(gè)人數(shù)據(jù)安全的規(guī)定，作為數(shù)據(jù)控制者和處理者的特殊義務(wù)。①(26)①General Data Protection Regulation,Article 32、33、34.中譯本參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》，瑞栢律師事務(wù)所譯，法律出版社2018年版，第63-64頁(yè)。美國(guó)法中個(gè)人數(shù)據(jù)保護(hù)涉及數(shù)據(jù)隱私和數(shù)據(jù)安全兩個(gè)領(lǐng)域，數(shù)據(jù)隱私涉及“如何控制個(gè)人信息的收集、使用和流通”，數(shù)據(jù)安全涉及“(1)保護(hù)個(gè)人信息免遭未經(jīng)授權(quán)的訪問(wèn)或使用，(2)對(duì)未經(jīng)授權(quán)的訪問(wèn)或使用做出回應(yīng)”②(27)②CRS Report R45631,Data Protection and Privacy Law:An Overview,https://crsreports.congress.gov/product/pdf/R/R45631,2020年7月14日訪問(wèn)。。我國(guó)《網(wǎng)絡(luò)安全法》同時(shí)對(duì)個(gè)人信息保護(hù)和數(shù)據(jù)安全作了原則性規(guī)定。③(28)③《網(wǎng)絡(luò)安全法》第22、37、41、42、43、44、45、64、76條涉及個(gè)人信息及其保護(hù)，第10、18、21、27、31、34、37、66、76條涉及數(shù)據(jù)及其保護(hù)。網(wǎng)信辦起草的《數(shù)據(jù)安全管理辦法》(征求意見(jiàn)稿)和《個(gè)人信息出境安全評(píng)估辦法》(征求意見(jiàn)稿)同樣將個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全融為一體。不過(guò)按照目前的立法規(guī)劃，未來(lái)個(gè)人信息保護(hù)和數(shù)據(jù)安全將分別規(guī)定在《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》中，立法中分開(kāi)處理已經(jīng)不可避免。

不僅在立法中個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全交織在一起，在學(xué)術(shù)研究中，學(xué)者也往往不太區(qū)分個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全，或者說(shuō)主要在個(gè)人信息保護(hù)的層面上思考個(gè)人數(shù)據(jù)安全，將個(gè)人數(shù)據(jù)安全視為個(gè)人信息保護(hù)的附屬問(wèn)題。[5]但也有學(xué)者開(kāi)始注意到了兩者之間的差別甚至某種程度上的對(duì)立，并主張將兩者分開(kāi)研究和處理。如德里克認(rèn)為隱私和安全可以也應(yīng)該分開(kāi)處理，因?yàn)殡[私涉及在不同的權(quán)利和利益之間進(jìn)行權(quán)衡和選擇，比如隱私與言論自由之間的沖突；而安全負(fù)責(zé)執(zhí)行選擇的結(jié)果，因此安全不涉及道德之間的競(jìng)爭(zhēng)，只對(duì)競(jìng)爭(zhēng)的結(jié)果進(jìn)行保護(hù)，因此數(shù)據(jù)安全應(yīng)該被更嚴(yán)格地執(zhí)行，安全事故應(yīng)該被更嚴(yán)格地懲罰。④(29)④在美國(guó)法的語(yǔ)境下，個(gè)人信息保護(hù)經(jīng)常用“隱私”或“信息隱私”來(lái)表述。參見(jiàn)Derek E.Bambauer,Privacy Versus Security,The Journal of Criminal Law and Criminology,Vol.103,No.3(2013),p.683.勞倫·亨利則更進(jìn)一步認(rèn)為：“數(shù)據(jù)安全與信息隱私有著不同的目標(biāo)，數(shù)據(jù)安全可以懷疑信息隱私甚至與之對(duì)立。法律應(yīng)承認(rèn)信息隱私和數(shù)據(jù)安全是獨(dú)立的制度目標(biāo)，以防止在數(shù)據(jù)安全目標(biāo)與信息隱私目標(biāo)背道而馳的極端情況下，出現(xiàn)不良或至少不可預(yù)測(cè)的結(jié)果。”[5]比如為了數(shù)據(jù)安全目的共享安全信息，可能會(huì)危及個(gè)人信息保護(hù)。因此，《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》的體系協(xié)調(diào)問(wèn)題，首先需要在理論上澄清個(gè)人信息保護(hù)與數(shù)據(jù)安全的聯(lián)系與區(qū)別。

個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全之所以可以也應(yīng)該分開(kāi)規(guī)范，原因在于兩者的法理基礎(chǔ)不同。簡(jiǎn)而言之，個(gè)人信息保護(hù)是以“同意”為基礎(chǔ)的個(gè)人控制模式，模式的核心是對(duì)數(shù)據(jù)主體進(jìn)行賦權(quán)；而個(gè)人數(shù)據(jù)安全是以“風(fēng)險(xiǎn)”為基礎(chǔ)的社會(huì)控制模式，模式的核心是對(duì)數(shù)據(jù)進(jìn)行分類并在此基礎(chǔ)上建立數(shù)據(jù)安全認(rèn)證、風(fēng)險(xiǎn)評(píng)估和危機(jī)應(yīng)對(duì)等安全制度。法理基礎(chǔ)不同決定了體系框架和制度邏輯的不同，在既往的立法中，個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全之所以混雜在一起，是因?yàn)闆](méi)有獨(dú)立的數(shù)據(jù)安全立法，現(xiàn)在既然要制定獨(dú)立的《數(shù)據(jù)安全法》，就要對(duì)個(gè)人信息保護(hù)和個(gè)人數(shù)據(jù)安全之間的區(qū)別做理論上的澄清。

個(gè)人信息保護(hù)首先涉及對(duì)個(gè)人信息的界定，其次是保護(hù)規(guī)范的建立。對(duì)于個(gè)人信息，歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)的界定比較有代表性：“‘個(gè)人數(shù)據(jù)’是指已識(shí)別到的或可被識(shí)別的自然人(‘?dāng)?shù)據(jù)主體’)的所有信息。可被識(shí)別的自然人是指其能夠被直接或間接通過(guò)識(shí)別要素得以識(shí)別的自然人，尤其是通過(guò)姓名、身份證號(hào)碼、定位數(shù)據(jù)、在線身份等識(shí)別數(shù)據(jù)，或者通過(guò)該自然人的物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的一項(xiàng)或多項(xiàng)要素予以識(shí)別?；蛘咦匀蝗怂赜械囊豁?xiàng)或多項(xiàng)的身體性、生理性、遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)身份的一項(xiàng)或多項(xiàng)要素予以識(shí)別”①(30)①General Data Protection Regulation,Article 4.中譯本參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》，瑞栢律師事務(wù)所譯，法律出版社2018年版，第42頁(yè)。。我國(guó)《網(wǎng)絡(luò)安全法》和《民法典》中對(duì)個(gè)人信息的界定，只是表述上略有不同，基本內(nèi)涵與GDPR的界定是相同的，核心就是能夠直接或間接識(shí)別的自然人的各種信息。②(31)②參見(jiàn)《網(wǎng)絡(luò)安全法》第76條、《民法典》第1034條。

基于這個(gè)界定，法律針對(duì)個(gè)人信息建立了兩類保護(hù)規(guī)范：一類規(guī)范是基于“通知-同意”原則，賦予個(gè)人對(duì)個(gè)人信息的控制權(quán)，如賦予個(gè)人針對(duì)個(gè)人信息的同意權(quán)、訪問(wèn)權(quán)、糾正權(quán)、刪除權(quán)(被遺忘權(quán))、限制處理權(quán)、可攜帶權(quán)、拒絕權(quán)等，與之相應(yīng)的是數(shù)據(jù)控制者和處理者的各種義務(wù)。③(32)③《一般數(shù)據(jù)保護(hù)條例》(GDPR)和《加州消費(fèi)者隱私法》(CCPA)均明確地賦予數(shù)據(jù)(信息)主體針對(duì)個(gè)人數(shù)據(jù)(信息)的具體權(quán)利。我國(guó)《民法典》雖然未創(chuàng)設(shè)個(gè)人信息權(quán)，但最近公布的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例(征求意見(jiàn)稿)》卻明確賦予數(shù)據(jù)主體以“數(shù)據(jù)權(quán)”，不過(guò)對(duì)于地方性法規(guī)能否創(chuàng)設(shè)民事權(quán)利，學(xué)者普遍持反對(duì)意見(jiàn)。我國(guó)《民法典》中并未直接賦予個(gè)人信息權(quán)，而是在人格權(quán)編中，將個(gè)人信息作為受法律保護(hù)的對(duì)象，采取“法益保護(hù)模式”，薛軍教授認(rèn)為走出一條不同于歐盟的道路。[6]《民法典》不承認(rèn)個(gè)人信息權(quán)，將個(gè)人信息作為一種法益進(jìn)行保護(hù)，一個(gè)重要原因是避免承認(rèn)個(gè)人信息權(quán)帶來(lái)的絕對(duì)保護(hù)要求，但很多民法學(xué)者仍建議賦予個(gè)人信息權(quán)。④(33)④參見(jiàn)王利明：《論個(gè)人信息權(quán)在人格權(quán)法中的地位》，載《蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2012年第6期，第68-75頁(yè)；葉名怡：《論個(gè)人信息權(quán)的基本范疇》，載《清華法學(xué)》2018年第5期，第143-158頁(yè)；呂炳斌：《個(gè)人信息權(quán)作為民事權(quán)利之證成：以知識(shí)產(chǎn)權(quán)為參考》，載《中國(guó)法學(xué)》2019年第4期，第44-65頁(yè)。民法上關(guān)于個(gè)人信息權(quán)的爭(zhēng)論和困境，使得公法學(xué)者認(rèn)為個(gè)人信息保護(hù)是一項(xiàng)獨(dú)立的法律制度，個(gè)人信息權(quán)不是一項(xiàng)民法上的權(quán)利，而是一項(xiàng)公法上的權(quán)利。[7]因此，將來(lái)《個(gè)人信息保護(hù)法》是否創(chuàng)設(shè)個(gè)人信息權(quán)，仍會(huì)是個(gè)巨大的爭(zhēng)議問(wèn)題。不過(guò)即便不創(chuàng)設(shè)個(gè)人信息權(quán)，從法律構(gòu)造來(lái)講，《民法典》仍把信息主體和信息控制者、處理者視為平等的主體，這就與數(shù)據(jù)安全的法律構(gòu)造有重大差別；另一類規(guī)范是關(guān)于個(gè)人信息收集和處理的強(qiáng)制性規(guī)范，不依賴數(shù)據(jù)主體的同意，由法律直接作出強(qiáng)制性規(guī)定，包括無(wú)須個(gè)人同意就可收集的信息，主要涉及行政管理和公共利益，以及即便個(gè)人同意，也不得或限制收集處理的信息，如涉及種族、基因、健康的信息。⑤(34)⑤General Data Protection Regulation,Article 9.中譯本參見(jiàn)《一般數(shù)據(jù)保護(hù)條例》，瑞栢律師事務(wù)所譯，法律出版社2018年版，第47-48頁(yè)。這類強(qiáng)制性規(guī)范其實(shí)已經(jīng)超出數(shù)據(jù)主體對(duì)數(shù)據(jù)的控制權(quán)，進(jìn)入社會(huì)控制領(lǐng)域，但是就個(gè)人信息保護(hù)的總體框架而言，仍是以個(gè)人信息控制權(quán)作為基礎(chǔ)的，社會(huì)控制只是作為例外和補(bǔ)充。⑥(35)⑥不過(guò)已經(jīng)有學(xué)者指出個(gè)人信息保護(hù)中個(gè)人控制論的不足，鑒于個(gè)人信息的社會(huì)性和公共性，應(yīng)該采取社會(huì)控制的模式，但就目前的立法和理論研究情況來(lái)看，個(gè)人控制論仍是占主導(dǎo)。參見(jiàn)高富平：《個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制》，載《法學(xué)研究》2018年第3期，第84-101頁(yè)。

數(shù)據(jù)安全法的法理基礎(chǔ)不是基于“通知-同意”的個(gè)人數(shù)據(jù)控制，而是基于“風(fēng)險(xiǎn)-安全”的社會(huì)控制，核心是對(duì)未經(jīng)授權(quán)的訪問(wèn)、使用、披露、破壞、修改或銷毀等行為進(jìn)行控制，這里就涉及我們?cè)撊绾卫斫狻帮L(fēng)險(xiǎn)”和“安全”。自從烏爾里?！へ惪颂岢鲲L(fēng)險(xiǎn)社會(huì)理論后，風(fēng)險(xiǎn)概念已經(jīng)被普遍接受，貝克認(rèn)為“風(fēng)險(xiǎn)可被定義為以系統(tǒng)的方式應(yīng)對(duì)由現(xiàn)代化自身引發(fā)的危險(xiǎn)和不安。風(fēng)險(xiǎn)有別于傳統(tǒng)的危險(xiǎn)，它是現(xiàn)代化的威脅力量和令人懷疑的全球化所引發(fā)的后果”，“在風(fēng)險(xiǎn)社會(huì)中，未知的、意圖之外的后果成了歷史和社會(huì)的主宰力量”。[8]7因此，風(fēng)險(xiǎn)意味著不確定性，并且這種不確定性通常是與人的決定相關(guān)。也就是說(shuō)，風(fēng)險(xiǎn)在某種意義上是人為建構(gòu)的。

理解風(fēng)險(xiǎn)的最好方式要借助風(fēng)險(xiǎn)與危險(xiǎn)的區(qū)別，按照盧曼的講法，“區(qū)別的前提是假設(shè)(并以此區(qū)分于其他區(qū)別)存在與未來(lái)?yè)p失有關(guān)的不確定性。這有兩種可能：其一，可能的損失被視為決定的后果，也就是歸因于決定，那么當(dāng)我們談及風(fēng)險(xiǎn)時(shí)，所談的便是決定的風(fēng)險(xiǎn)；其二，可能的損失被視為外部的推動(dòng)，也就是歸因于環(huán)境，那么接下來(lái)我們來(lái)談危險(xiǎn)”[9]42。也就是說(shuō)，風(fēng)險(xiǎn)是決定的產(chǎn)物，而危險(xiǎn)是外部環(huán)節(jié)的產(chǎn)物，比如大海里航行肯定是有危險(xiǎn)的，但如果你不去大海里航行，危險(xiǎn)對(duì)你就不會(huì)發(fā)生；而如果你決定進(jìn)行大海航行，那么你就會(huì)有遭遇危險(xiǎn)的風(fēng)險(xiǎn)，這個(gè)風(fēng)險(xiǎn)實(shí)際上是你的個(gè)人決定帶來(lái)的?！安徽撌裁磿r(shí)候做決定，甚至就算人們決定，不去做決定，風(fēng)險(xiǎn)仍是不可避免的。以一個(gè)簡(jiǎn)短的形式來(lái)說(shuō)就是：能確定的是，不存在著絕對(duì)的安全。由此說(shuō)來(lái)，我們不能期待，透過(guò)像技術(shù)設(shè)備的改善就可以達(dá)到‘免除風(fēng)險(xiǎn)’這種意義下的安全?！盵10]223-224

危險(xiǎn)與風(fēng)險(xiǎn)的區(qū)分，也決定了我們對(duì)《數(shù)據(jù)安全法》中“安全”概念的理解。這里的安全不是與危險(xiǎn)相對(duì)的，而是與風(fēng)險(xiǎn)相對(duì)的。與危險(xiǎn)相對(duì)的安全可以是絕對(duì)的，比如你不去大海里航行，那么相對(duì)于大海航行帶來(lái)的危險(xiǎn)，你是絕對(duì)安全的。但與風(fēng)險(xiǎn)相對(duì)的安全是相對(duì)的，這里的安全是由風(fēng)險(xiǎn)等級(jí)決定的，風(fēng)險(xiǎn)等級(jí)低就意味著相對(duì)安全高。數(shù)據(jù)天生具有流動(dòng)性，數(shù)據(jù)作為新的生產(chǎn)要素也要求數(shù)據(jù)具有流動(dòng)性①(36)①中共中央、國(guó)務(wù)院《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》明確要求：“推進(jìn)政府?dāng)?shù)據(jù)開(kāi)放共享。優(yōu)化經(jīng)濟(jì)治理基礎(chǔ)數(shù)據(jù)庫(kù)，加快推動(dòng)各地區(qū)各部門間數(shù)據(jù)共享交換，制定出臺(tái)新一批數(shù)據(jù)共享責(zé)任清單。研究建立促進(jìn)企業(yè)登記、交通運(yùn)輸、氣象等公共數(shù)據(jù)開(kāi)放和數(shù)據(jù)資源有效流動(dòng)的制度規(guī)范。”，因此《數(shù)據(jù)安全法》必須在安全與發(fā)展之間尋求平衡，這也意味著所謂的數(shù)據(jù)安全只是風(fēng)險(xiǎn)可控的安全，由此決定《數(shù)據(jù)安全法》的制度邏輯是對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行控制，在制度上體現(xiàn)為數(shù)據(jù)分類、數(shù)據(jù)安全認(rèn)證、數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)跨境流動(dòng)管制等，因此《數(shù)據(jù)安全法》的法理基礎(chǔ)和制度框架與個(gè)人信息保護(hù)法完全不同。

當(dāng)然，《數(shù)據(jù)安全法》可以也應(yīng)該獨(dú)立于《個(gè)人信息保護(hù)法》的另外一個(gè)重要原因在于，數(shù)據(jù)安全不僅涉及個(gè)人數(shù)據(jù)安全，還涉及重要數(shù)據(jù)安全，雖然很多時(shí)候個(gè)人數(shù)據(jù)和重要數(shù)據(jù)是混合在一起的，沒(méi)法截然分開(kāi)，但仍有大量不涉及個(gè)人數(shù)據(jù)的重要數(shù)據(jù)，如涉及自然資源類的重要數(shù)據(jù)。重要數(shù)據(jù)的安全同樣是針對(duì)風(fēng)險(xiǎn)而言的，比如重要數(shù)據(jù)的本地化存儲(chǔ)要求，不是說(shuō)重要數(shù)據(jù)境外存儲(chǔ)就必然會(huì)有危險(xiǎn)，而是說(shuō)重要數(shù)據(jù)境外存儲(chǔ)存在著風(fēng)險(xiǎn)。②(37)②對(duì)于幾個(gè)主要國(guó)家數(shù)據(jù)本地化立法的詳盡分析，參見(jiàn)Anupam Chander，Uyên P.Lê：Data Nationalism,Emory Law Journal,vol.64,pp677-737,2015.這里的風(fēng)險(xiǎn)同樣包括未經(jīng)授權(quán)的訪問(wèn)、使用、篡改、銷毀等，因此重要數(shù)據(jù)安全同樣是建立在風(fēng)險(xiǎn)社會(huì)理論基礎(chǔ)上的，所要求的同樣是一套針對(duì)風(fēng)險(xiǎn)控制的安全機(jī)制。

從法律體系的角度看，在同時(shí)制定《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》時(shí)，鑒于《數(shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律，因此有關(guān)個(gè)人信息的數(shù)據(jù)安全問(wèn)題應(yīng)該納入《數(shù)據(jù)安全法》中，《個(gè)人信息保護(hù)法》中不應(yīng)該再規(guī)范個(gè)人信息數(shù)據(jù)的安全問(wèn)題。當(dāng)然，這里還涉及另外一個(gè)問(wèn)題，就是數(shù)據(jù)與信息的關(guān)系問(wèn)題，目前法學(xué)界還沒(méi)有統(tǒng)一的認(rèn)知，但大體上可以說(shuō)，數(shù)據(jù)是電子信息的載體，電子信息是數(shù)據(jù)的內(nèi)容，但數(shù)據(jù)中究竟包含著哪些電子信息，并非全部一目了然的，可以通過(guò)數(shù)據(jù)挖掘的方式，挖掘出新的信息。在這個(gè)意義上，數(shù)據(jù)安全可以涵蓋信息安全。

五、體系定位的法理基礎(chǔ)

在討論完《數(shù)據(jù)安全法》與《國(guó)家安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》的外部體系關(guān)系后，《數(shù)據(jù)安全法》的體系定位基本清晰了：首先，在整個(gè)法律體系內(nèi)，《數(shù)據(jù)安全法》是以憲法為上位法的全國(guó)人大常委會(huì)制定的“基本法律”之外的一般法律；其次，在安全法體系內(nèi)，《數(shù)據(jù)安全法》與《國(guó)家安全法》《網(wǎng)絡(luò)安全法》是同一層級(jí)并行的法律，分別規(guī)范數(shù)據(jù)、主權(quán)與政治安全、網(wǎng)絡(luò)安全，雖然內(nèi)容上有關(guān)聯(lián)甚至交叉，但是可以分開(kāi)規(guī)范并各自構(gòu)成獨(dú)立體系?！稊?shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的最高法，就像其他的安全法是其他安全領(lǐng)域的最高法一樣，《數(shù)據(jù)安全法》并不依附于或從屬于《國(guó)家安全法》或《網(wǎng)絡(luò)安全法》；最后，在《數(shù)據(jù)安全法》與規(guī)范數(shù)據(jù)或信息的其他法律的關(guān)系上，特別是與《個(gè)人信息保護(hù)法》的關(guān)系上，鑒于《數(shù)據(jù)安全法》是規(guī)范數(shù)據(jù)安全的專門法律，因此凡是與數(shù)據(jù)或信息安全有關(guān)的規(guī)范，均應(yīng)納入《數(shù)據(jù)安全法》中，個(gè)人信息保護(hù)中的信息安全問(wèn)題，應(yīng)該直接適用《數(shù)據(jù)安全法》的相關(guān)規(guī)范。

《數(shù)據(jù)安全法》的上述體系定位不僅是法律體系中立法技術(shù)上的要求，也是法律體系中法理層面上的要求，這個(gè)問(wèn)題可以從數(shù)據(jù)和安全兩個(gè)角度來(lái)討論。首先從數(shù)據(jù)角度看①，隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展，人類社會(huì)已經(jīng)產(chǎn)生海量數(shù)據(jù)，并且正在以驚人的速度增加，在可預(yù)見(jiàn)的未來(lái)，人類社會(huì)的方方面面都將數(shù)據(jù)化，數(shù)據(jù)不僅是重要的生產(chǎn)要素，而且將成為人類存在的一種方式。因此，無(wú)論是對(duì)于個(gè)人權(quán)利還是對(duì)于國(guó)家安全，乃至全社會(huì)的公共利益，數(shù)據(jù)都將成為至關(guān)重要的影響因素，數(shù)據(jù)安全問(wèn)題將會(huì)成為一個(gè)全新的社會(huì)性問(wèn)題，早已不再是個(gè)人權(quán)利保護(hù)或國(guó)家安全的依附性問(wèn)題。從法律的角度看，數(shù)據(jù)將成為法律上非常重要的獨(dú)立的客體②，圍繞數(shù)據(jù)將生成一個(gè)規(guī)模龐大的數(shù)據(jù)法體系，并且是現(xiàn)在公法和私法體系都無(wú)法容納的。③在這個(gè)數(shù)據(jù)法體系內(nèi)，數(shù)據(jù)安全是至關(guān)重要的基礎(chǔ)性問(wèn)題之一，《數(shù)據(jù)安全法》是至關(guān)重要的基礎(chǔ)性法律之一。因此，思考《數(shù)據(jù)安全法》的體系定位，應(yīng)該跳出《國(guó)家安全法》和《網(wǎng)絡(luò)安全法》的框架，面向未來(lái)數(shù)據(jù)法體系的建構(gòu)，基于數(shù)據(jù)自身屬性及其社會(huì)效應(yīng)，來(lái)構(gòu)建數(shù)據(jù)安全的法律體系。雖然現(xiàn)在還沒(méi)有形成一套成熟的數(shù)據(jù)法理論體系，但數(shù)據(jù)法體系的建構(gòu)可以成為我們思考數(shù)據(jù)安全立法的重要視角，《數(shù)據(jù)安全法》構(gòu)成數(shù)據(jù)法體系建構(gòu)的重要組成部分。

其次從安全角度看，本文在開(kāi)篇粗略地討論了我國(guó)法律體系中的安全法體系，《數(shù)據(jù)安全法》無(wú)疑屬于這個(gè)體系的組成部分。雖然在我國(guó)法律體系中，安全法體系尚未完成理論體系上的建構(gòu)，對(duì)于法律上安全概念還需要進(jìn)一步深入的研究，但既有的安全法理論和立法技術(shù)④，在數(shù)據(jù)安全領(lǐng)域仍有適用的價(jià)值。遺憾的是，目前有關(guān)《數(shù)據(jù)安全法》的討論中，幾乎從不關(guān)注既往的安全法體系。如果將《數(shù)據(jù)安全法(草案)》與已經(jīng)出臺(tái)的各部安全法對(duì)照，就會(huì)發(fā)現(xiàn)《數(shù)據(jù)安全法(草案)》并未從過(guò)往的安全立法中吸取成功的經(jīng)驗(yàn)，這點(diǎn)在《數(shù)據(jù)安全法(草案)》的體例安排和制度設(shè)計(jì)上體現(xiàn)得尤為明顯。

數(shù)據(jù)安全如同糧食安全、氣候安全、生物安全等傳統(tǒng)安全一樣，構(gòu)成現(xiàn)代風(fēng)險(xiǎn)社會(huì)中全世界共同面對(duì)的問(wèn)題。因此，對(duì)于數(shù)據(jù)的本質(zhì)屬性，對(duì)于與數(shù)據(jù)安全相關(guān)的風(fēng)險(xiǎn)理論和安全理論，法學(xué)界仍急需深入研究，至少先將其他學(xué)科的研究成果消化吸收到法學(xué)之中。正是這些基礎(chǔ)理論研究的薄弱，使得目前《數(shù)據(jù)安全法(草案)》仍停留在政策性立法階段，政策性的宣示和規(guī)劃遠(yuǎn)遠(yuǎn)大于規(guī)范性的建構(gòu)，數(shù)據(jù)安全的法律構(gòu)造尚未完成。因此，在從法律體系的角度為《數(shù)據(jù)安全法》做了基本體系定位后，還需要進(jìn)一步從風(fēng)險(xiǎn)、安全等理論層面，完成數(shù)據(jù)安全的法律構(gòu)造，因?yàn)轶w系定位的最終實(shí)現(xiàn)，有賴于《數(shù)據(jù)安全法》的內(nèi)容足夠支撐這樣的體系定位，有賴于在理論層面和制度層面完成數(shù)據(jù)安全的法律構(gòu)造。

①此處所說(shuō)的數(shù)據(jù)僅限于電子數(shù)據(jù)，《數(shù)據(jù)安全法(草案)》中對(duì)于數(shù)據(jù)的定義是，“本法所稱數(shù)據(jù)，是指任何以電子或者非電子形式對(duì)信息的記錄”，這個(gè)定義是值得商榷的，“非電子形式對(duì)信息的記錄”是不明確的，如果指的是紙質(zhì)記錄的信息，那不僅《數(shù)據(jù)安全法(草案)》中的各項(xiàng)制度對(duì)紙質(zhì)信息并不能完全適用，而且已經(jīng)有《檔案法》《保密法》等法律規(guī)范紙質(zhì)信息了。

②《民法典》第127條規(guī)定：“法律對(duì)數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定”，《民法典》將數(shù)據(jù)作為一種受法律保護(hù)的客體，但將保護(hù)規(guī)范交給了其他法律來(lái)規(guī)范，這也意味著未來(lái)在《民法典》之外會(huì)形成一個(gè)數(shù)據(jù)法體系，雖然很大的可能是分散在不同的法律之中。

③已經(jīng)有學(xué)者開(kāi)始嘗試構(gòu)建數(shù)據(jù)法體系，參見(jiàn)連玉明：《數(shù)權(quán)法2.0：數(shù)權(quán)的制度建構(gòu)》，社會(huì)科學(xué)文獻(xiàn)出版社2020年版；何淵主編：《數(shù)據(jù)法學(xué)》，北京大學(xué)出版社2020年版。

④目前相對(duì)系統(tǒng)的研究，可參見(jiàn)趙耀江、栗繼祖主編：《安全法學(xué)》(第2版)，機(jī)械工業(yè)出版社2011年版；苗金明：《安全法學(xué)導(dǎo)論：風(fēng)險(xiǎn)、理性與安全》，清華大學(xué)出版社2014年版。