□ 文 宗珊珊

0 引言

數(shù)據(jù)的屬性有多個面向，涉及人格利益與財產(chǎn)利益，國家利益、社會利益與個人利益，這決定了調(diào)整數(shù)據(jù)及其處理活動的法律規(guī)范是多層次的。作為數(shù)據(jù)領(lǐng)域的一般性法律，《數(shù)據(jù)安全法》以概括性、原則性規(guī)定為主，落地實施需要與《網(wǎng)絡安全法》《個人信息保護法》《民法典》等相銜接。近期公開征求意見的《網(wǎng)絡數(shù)據(jù)安全管理條例》《數(shù)據(jù)出境安全評估辦法》均以多部法律為上位法依據(jù)，數(shù)據(jù)領(lǐng)域相關(guān)法律規(guī)范存在明顯交叉重疊?；诖?，厘清各部法律之間的關(guān)系對明晰適用規(guī)則有著重要意義。

1 《數(shù)據(jù)安全法》與《國家安全法》

《國家安全法》以法律形式確立了總體國家安全觀的指導地位，界定了國家安全的內(nèi)涵和外延，明確維護國家安全的各項任務，建立健全國家安全制度和國家安全保障措施?！稊?shù)據(jù)安全法》第4條規(guī)定，維護數(shù)據(jù)安全，應當堅持總體國家安全觀?！秶野踩ā窞榻瑪?shù)據(jù)安全、網(wǎng)絡安全在內(nèi)的國家安全法律體系奠定了基礎(chǔ)，《數(shù)據(jù)安全法》具體落實了《國家安全法》對建設信息安全保障體系、提升信息安全保護能力、實現(xiàn)數(shù)據(jù)安全可控的要求。關(guān)于重要制度安排，《數(shù)據(jù)安全法》在《國家安全法》的基礎(chǔ)上進行細化，例如：數(shù)據(jù)安全作為國家安全的重要組成部分，由中央國家安全領(lǐng)導機構(gòu)負責決策和議事協(xié)調(diào)；建立數(shù)據(jù)安全審查制度，落實網(wǎng)絡信息技術(shù)產(chǎn)品和服務領(lǐng)域的國家安全審查要求；根據(jù)《國家安全法》確立數(shù)據(jù)安全風險預防、評估和預警機制。數(shù)據(jù)安全屬于國家安全，兩部法律均是數(shù)據(jù)安全領(lǐng)域相關(guān)監(jiān)管、執(zhí)法行為的依據(jù)。

2 《數(shù)據(jù)安全法》與《網(wǎng)絡安全法》

2.1 數(shù)據(jù)安全與網(wǎng)絡安全

網(wǎng)絡空間由三個相互重疊的層次組成：最底層是網(wǎng)絡基礎(chǔ)設施構(gòu)成的物理層；中間層是邏輯層，即代碼與算法層；最上層是內(nèi)容層或虛擬層。根據(jù)《網(wǎng)絡安全法》第76條的規(guī)定，網(wǎng)絡安全包含網(wǎng)絡數(shù)據(jù)安全?！毒W(wǎng)絡安全法》的規(guī)制范圍涵蓋關(guān)鍵信息基礎(chǔ)設施的運行安全、網(wǎng)絡運行安全、網(wǎng)絡信息安全等整個網(wǎng)絡空間。從該角度看，《網(wǎng)絡安全法》的調(diào)整范圍廣于《數(shù)據(jù)安全法》。

根據(jù)《數(shù)據(jù)安全法》第3條，該法所稱的數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄?！稊?shù)據(jù)安全法》調(diào)整的數(shù)據(jù)包含以電子方式記錄的網(wǎng)絡數(shù)據(jù)以及非網(wǎng)絡數(shù)據(jù)，涵蓋個人數(shù)據(jù)、企業(yè)數(shù)據(jù)和政務數(shù)據(jù)。作為數(shù)據(jù)安全領(lǐng)域的一般性法律，《數(shù)據(jù)安全法》調(diào)整的數(shù)據(jù)范圍大于《網(wǎng)絡安全法》。當然，大數(shù)據(jù)產(chǎn)業(yè)、數(shù)據(jù)交易與流動的主角是網(wǎng)絡數(shù)據(jù)。

2.2 適用規(guī)則

從上述《網(wǎng)絡安全法》與《數(shù)據(jù)安全法》的調(diào)整范圍來看，籠統(tǒng)地說二者是一般法與特殊法的關(guān)系并不準確。一般法與特殊法的區(qū)分通常是在同層級法律之間發(fā)生沖突時用來確定適用規(guī)則的，實際上，《數(shù)據(jù)安全法》注重與《網(wǎng)絡安全法》既有制度的銜接。例如，數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務應當以網(wǎng)絡安全等級保護制度為基礎(chǔ)；關(guān)鍵信息基礎(chǔ)設施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，《數(shù)據(jù)安全法》規(guī)定適用《網(wǎng)絡安全法》。對于兩部法律規(guī)定不完全一致的，應當適用新法優(yōu)于舊法的原則。例如，對關(guān)鍵信息基礎(chǔ)設施運營者違規(guī)向境外提供重要數(shù)據(jù)的行為，《數(shù)據(jù)安全法》規(guī)定的罰款金額遠高于《網(wǎng)絡安全法》，應當適用新法。

3 《數(shù)據(jù)安全法》與《個人信息保護法》

3.1 數(shù)據(jù)與個人信息

從《數(shù)據(jù)安全法》第3條對數(shù)據(jù)的定義來看，數(shù)據(jù)是信息的載體，信息是數(shù)據(jù)的內(nèi)容。信息和數(shù)據(jù)構(gòu)成同一事物的不同側(cè)面，前者是符號的社會、語言意義，后者是形式化的符號本身。根據(jù)《個人信息保護法》第4條，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。由此，《個人信息保護法》調(diào)整的數(shù)據(jù)范圍小于《數(shù)據(jù)安全法》，對個人信息、非個人信息（包括匿名化處理后的信息）的記錄，均屬于數(shù)據(jù)。另外，二者劃分數(shù)據(jù)、信息的標準也不同，《數(shù)據(jù)安全法》從安全角度將數(shù)據(jù)分為重要數(shù)據(jù)與非重要數(shù)據(jù)，而《個人信息保護法》從權(quán)益保護出發(fā)區(qū)分個人信息與非個人信息。

3.2 適用規(guī)則

《數(shù)據(jù)安全法》為公法，調(diào)整的法律關(guān)系主要包含兩個方面：一是我國與其他國家之間的關(guān)系，例如，向外國司法、執(zhí)法機構(gòu)提供數(shù)據(jù)的相關(guān)規(guī)則；二是國家與數(shù)據(jù)處理者之間的關(guān)系，例如，國家對數(shù)據(jù)處理者施加安全保護義務，并對不履行義務的行為作出行政處罰?！秱€人信息保護法》調(diào)整的法律關(guān)系除上述兩個層面外，還包含個人與信息處理者之間的關(guān)系，兼具公法與私法的性質(zhì)。由此可見，《數(shù)據(jù)安全法》與《個人信息保護法》的調(diào)整范圍既有差異又有交叉，涉及個人信息的數(shù)據(jù)處理活動應同時遵守兩部法律的規(guī)定，《數(shù)據(jù)安全法》第53條也確定了適用規(guī)則。

對于個人信息的數(shù)據(jù)處理活動，《個人信息保護法》沒有明確規(guī)定的，應當適用《數(shù)據(jù)安全法》。例如，《個人信息保護法》第3條規(guī)定在我國境外處理境內(nèi)個人信息的活動，如果是以向境內(nèi)自然人提供產(chǎn)品或者服務為目的，或者分析、評估境內(nèi)自然人的行為，適用該法?！稊?shù)據(jù)安全法》第2條規(guī)定的域外適用情形為損害我國國家安全、公共利益或者公民、組織合法權(quán)益。應當認為，符合《數(shù)據(jù)安全法》域外適用條件的，可以適用《數(shù)據(jù)安全法》《個人信息保護法》追究法律責任。另外，鑒于《個人信息保護法》為新法，當二者規(guī)定不完全一致時，更宜適用該法。例如，《數(shù)據(jù)安全法》第6條規(guī)定行業(yè)、領(lǐng)域的主管部門履行監(jiān)管職責，而《個人信息保護法》第60條規(guī)定以法律、行政法規(guī)的規(guī)定確定職責部門。兩種標準確立的監(jiān)管職責可能存在差異，行政機關(guān)適用《個人信息保護法》時，應當以該法的標準確定職責的有無。又如，《個人信息保護法》對個人信息處理者未履行保護義務設定的罰款金額遠超《數(shù)據(jù)安全法》，應當適用新法。

4 《數(shù)據(jù)安全法》與《民法典》等其他法律

隨著數(shù)字經(jīng)濟不斷發(fā)展，尤其是黨中央、國務院提出“加快培育數(shù)據(jù)要素市場”，有關(guān)數(shù)據(jù)權(quán)屬的討論逐漸增多，其中以賦權(quán)模式和行為規(guī)制模式為代表。前者認為應當確立數(shù)據(jù)財產(chǎn)權(quán)以回應數(shù)字經(jīng)濟時代的現(xiàn)實需求；后者認為基于數(shù)據(jù)的公共性、充裕性和分享性，不宜進行私法上的確權(quán)，而應當建立網(wǎng)絡空間中數(shù)據(jù)操作規(guī)則秩序?！稊?shù)據(jù)安全法》第7條承繼了《民法典》第127條對數(shù)據(jù)權(quán)益的保護內(nèi)容，同時明確鼓勵、保障數(shù)據(jù)依法合理有效利用、有序自由流動，豐富了數(shù)據(jù)權(quán)益的內(nèi)容，但并未對數(shù)據(jù)財產(chǎn)權(quán)作出回應，不過，這并不妨礙數(shù)據(jù)上的法律保護。

從數(shù)據(jù)權(quán)益的防御功能來看，根據(jù)物權(quán)法定原則，尚無法律確立數(shù)據(jù)所有權(quán)、用益物權(quán)，個人、組織的數(shù)據(jù)權(quán)益受到侵害時，無法行使物權(quán)請求權(quán)，但可以尋求其他救濟。根據(jù)2020年修訂的《著作權(quán)法》第10條，以數(shù)字化方式將作品制作一份或者多份的復制權(quán)屬于著作權(quán)，受到侵犯時，權(quán)利人得行使侵權(quán)請求權(quán)。企業(yè)之間的數(shù)據(jù)爭議，尤其是數(shù)據(jù)爬取引發(fā)的糾紛，通常適用《反不正當競爭法》，情節(jié)嚴重的，可能構(gòu)成《刑法》第285條規(guī)定的非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。

實現(xiàn)數(shù)據(jù)權(quán)益，除防御外部侵犯外，還包括積極促進數(shù)據(jù)流通。數(shù)據(jù)流通主要包含兩種機制：一是多方基于合同安排，通過“開放應用端口”（open API）進行的數(shù)據(jù)共享；二是數(shù)據(jù)交易。數(shù)據(jù)共享和數(shù)據(jù)交易都通過合同行為實現(xiàn)，合同的履行和糾紛解決適用合同規(guī)則。一般來說，交易標的物的所有權(quán)是明晰的?，F(xiàn)行法律雖然沒有明確數(shù)據(jù)的所有權(quán)，但通過為數(shù)據(jù)處理者設定義務，認可其在符合法律規(guī)定的前提下交易數(shù)據(jù)。數(shù)據(jù)處理者的法定義務，可以認為屬于賣方的權(quán)利瑕疵擔保義務，主要包括兩個方面：一是符合國家安全、網(wǎng)絡安全，尤其是數(shù)據(jù)安全相關(guān)要求。例如，關(guān)鍵信息基礎(chǔ)設施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)出境的，應當依法進行安全評估。二是符合隱私權(quán)、個人信息權(quán)益保護相關(guān)規(guī)定。例如，個人信息處理者一般應取得個人的同意方可處理個人信息，向其他個人信息處理者提供其處理的個人信息的，除告知相關(guān)內(nèi)容外，還應當取得個人的單獨同意。

5 結(jié)束語

當前，我國數(shù)據(jù)治理相關(guān)法律制度基本確立，但諸如數(shù)據(jù)權(quán)屬、數(shù)據(jù)交易等模糊地帶仍然存在。頂層設計固然重要，但實踐中的難題不會待制度完善后再出現(xiàn)。特定領(lǐng)域法律規(guī)范體系的建立不是單一法律能夠完成的，實踐中，通過綜合運用法律解釋方法，很大程度上能夠在現(xiàn)有規(guī)范基礎(chǔ)上解決新問題。在數(shù)據(jù)領(lǐng)域，法律技術(shù)應用的難題在于對數(shù)據(jù)、數(shù)據(jù)處理活動、數(shù)字經(jīng)濟的認識不夠深入。例如，諸多學者批判對數(shù)據(jù)不正當競爭案件的裁判規(guī)則會加劇數(shù)據(jù)壟斷，不利于數(shù)據(jù)利用。這很大程度上是因為對數(shù)據(jù)與其他傳統(tǒng)競爭利益間的區(qū)別認識不足。對數(shù)據(jù)這一新型生產(chǎn)要素的認知，不僅影響立法政策，更會直接影響具體爭議的處理結(jié)果。