隨著信息技術和傳統(tǒng)社會的不斷交融，數據呈現出爆發(fā)增長與大量集中的態(tài)勢，其重要性也越發(fā)顯著，2017年12月召開的國家大數據戰(zhàn)略學習會議上，習近平總書記強調，“數據是新的生產要素，是基礎性資源和戰(zhàn)略性資源，也是重要生產力?！? 2019年10月，黨的九屆四中全會正式將數據作為生產要素，以堅持和完善社會主義基本經濟制度，推動經濟高質量發(fā)展。數據對國家安全、經濟發(fā)展、社會治理和人民生活產生深刻影響的同時，其所帶來的數據安全治理、數據開發(fā)利用、數據權益保護等問題也日益嚴峻，針對數據的專門法律的出臺在當下顯得迫切與必要。2020年7月，《中華人民共和國數據安全法(草案)》(以下簡稱《數據安全法(草案)》或《草案》)經第十三屆全國人大常委會第二十次會議審議后向公眾公開征求意見，《數據安全法(草案)》的發(fā)布，將成為國家大數據戰(zhàn)略中至關重要的法制基礎，成為數據安全保障和數字經濟發(fā)展領域的重要基石。準確領會《數據安全法(草案)》的深刻內涵和功能作用，需要從理論維度、價值維度、制度維度三個層面加以解讀。

一、《數據安全法(草案)》的理論維度解讀

　　1.1 安全保障與開發(fā)利用并重

　　數據價值及其應用場景激增的背景下，圍繞數據安全的事件風波也在不斷增多，保障數據安全成為社會的強烈需求，這也是《數據安全法(草案)》的立法核心?！恫莅浮返谌龡l規(guī)定，數據安全是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力。據此可以將數據安全歸納為兩個方面：一是數據自身的安全，即數據保持機密、完整等應有特征;二是數據保障措施的安全，要求措施的有效和合法等。在強調數據安全的同時，作為一種全新的生產要素，數據承載著信息時代下促進經濟發(fā)展的使命，對數據的開發(fā)利用同樣不容忽視。

　　對數據安全和發(fā)展關系的正確認知，于二者自身而言都具有重要意義。過分強調數據安全將阻礙對數據價值的合理利用，降低數據的作用與功能發(fā)揮，一味追求數據的發(fā)展利益則會誘發(fā)對數據的不當甚至違法使用，損害數據主體權益?！稊祿踩?草案)》第十二條規(guī)定，堅持維護數據安全和促進數據開發(fā)利用并重，以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展。從中可以看出，《草案》所追求的是數據安全和開發(fā)利用并重的立法目的，在二者動態(tài)平衡與協同發(fā)展的辯證關系下，保障數據安全治理和數據開發(fā)利用。

　　1.2 境內管轄和域外效力齊備

　　在世界各國針對互聯網劃定網絡邊界的趨勢下，數據跨境流動帶來的風險問題成為各國關注焦點，數據管轄權是數據立法中必須討論的問題?！稊祿踩?草案)》第二條強調，在本國境內所開展的數據活動適用本法，這是基于領土的屬地管轄原則在數據管轄中的體現，有利于實現對境內數據的管理應用和安全保障，也符合國際社會中對本國數據管轄的慣常做法。此外，《草案》以國際視野看待數據流動，在第十條中規(guī)定積極開展數據國際交流合作和國際標準制定，促進數據跨境安全、自由流動。但在此過程中，對數據管轄的域外效力不可或缺。

　　《數據安全法(草案)》第二條中規(guī)定了對境外組織、個人在開展數據活動時損害我國國家安全、公共利益或公民、組織合法權益的行為追究法律責任?！恫莅浮访鞔_了以保護管轄原則構建數據管轄的域外效力，這既是對《網絡安全法》和《數據安全管理辦法》中只適用于境內網絡活動與數據活動的管轄突破，也是對二者“采取措施，監(jiān)測、防御、處置”境外網絡和安全風險與威脅的責任完善，同時也是對美國屬人管轄原則和歐盟效果原則的積極回應。我國以保護管轄原則制定數據管轄的域外效力，更在于追求對數據主權的保護。

　　1.3 外部監(jiān)管和自我管理配合

　　數據安全的保障，應該明確多監(jiān)管主體的共同參與，同時也需要數據主體自我管理的配合，構建多元協作的數據安全保障模式。外部監(jiān)管主體承擔強監(jiān)管責任，以動態(tài)化和全程化監(jiān)管克服數據監(jiān)管的方式難題，以設置牽頭機構總體協調和分行業(yè)、分職能具體監(jiān)管的機制化解數據監(jiān)管的主體矛盾。外部監(jiān)管之外，數據活動開展主體對數據的自我管理也不可或缺，數據活動開展主體對數據的特征、功能等內容有其內部理解，架構的內部風險防控機制能夠在數據安全保障中發(fā)揮基礎性作用。

　　《數據安全法(草案)》中設定了“一個領導機構、多個監(jiān)管主體”的外部監(jiān)管模式，一個領導機構是指《草案》第六條規(guī)定的中央國家安全領導機構，其在數據安全工作中發(fā)揮決策和統(tǒng)籌規(guī)劃的領導作用。多個監(jiān)管主體包括工業(yè)、電信等各行業(yè)主管部門承擔本行業(yè)數據監(jiān)管責任、公安機關、國家安全機關承擔職責范圍內數據監(jiān)管責任、網信部門負責網絡數據監(jiān)管責任。同時，《草案》規(guī)定了各地區(qū)、各部門對工作中產生、匯總、加工的數據及數據安全負主體責任。這是明確數據主體的自我管理責任，以外部監(jiān)管和自我管理的配合，以“有關部門、行業(yè)組織、企業(yè)、個人等共同參與數據安全保護工作”的數據安全協同治理體系，維護數據安全，促進數字經濟發(fā)展。

二、《數據安全法(草案)》的價值維度解讀

　　2.1 維護國家數據主權

　　國家數據主權作為國家主權中的網絡空間主權的進一步延伸，是指一國對其領域范圍內所有數據享有的最高權力，包括數據的使用管轄權、自由處置權、排除危害權、地位平等權等。國家數據主權具有兩大屬性，對內而言體現為領域內數據的最高管轄權力，對外而言則體現為各國數據主權的平等獨立。在數據時代，數據安全就是國家安全，對國家數據主權的強調，是因為數據主權是國家主權的組成部分，維護國家數據主權，是數據安全和發(fā)展之必須。無數據主權則意味著國家在國際社會上數據話語權的缺失，必將淪為數據霸權主義國家的傀儡，繼而影響該國政治、經濟等領域的主權安全，可以說危害巨大。

　　維護國家數據主權，首先需要的就是配置和完善數據相關立法?！稊祿踩?草案)》中開篇即明確維護國家主權、安全和發(fā)展利益為本法的立法目的，奠定《草案》維護國家數據主權的任務和使命。《草案》規(guī)定的對數據境內管轄和域外效力，體現了數據的管轄權和排除危害權，規(guī)定的各種關于數據的制度體系，體現了數據的自由處置權，規(guī)定的數據領域國際交流與合作、數據數據安全相關國際規(guī)則和標準的制定，體現了數據的地位平等權?！恫莅浮分须m然未就國家數據主權原則作明確鋪陳，但無不體現數據主權原則的屬性和內涵。

　　2.2 保護合法數據權益

　　大數據時代的到來，被冠以新“石油”之稱的數據蘊含著巨大商業(yè)價值，憑借其規(guī)模性、多樣性、價值性、高速性特征，帶給企業(yè)以思維變化與生產變革，成為企業(yè)發(fā)展的重要資產，保護企業(yè)的數據權益是數據立法之必須。我國高速發(fā)展的互聯網企業(yè)在近幾十年中積攢了大量的數據，一旦出現數據安全問題與挑戰(zhàn)，將意味著企業(yè)的客戶和市場的流失風險，既不利于企業(yè)的經營和競爭，也不利于市場的良性發(fā)展。數據權益不僅和企業(yè)相關，也和公民個人密切關聯，個人數據載體之上的個人信息蘊含公民的財產性和人身性權益，于個人而言，數據安全保障的缺失，可能將會造成財產與名譽的雙重損失。

　　對《數據安全法(草案)》中進行全文檢索，共有六項條款明文規(guī)定對“公民、組織的合法(數據)權益”的保護，從立法目的、管轄規(guī)定、活動要求、懲罰措施等多方面保護合法數據權益。尤需注意的是，不論是以“個人信息包含個人數據”觀點，還是以“個人數據包含個人信息”觀點，亦或是以“個人信息等同個人數據”觀點，《草案》對個人數據的權益保護將與即將出臺的《個人信息保護法》的保護都存在重疊，雖然二者對個人信息或數據保護并非零和關系，但在保護中通過取舍來把握平衡是兩部法律發(fā)揮功能最大化的關鍵，在個人信息(數據)保護上應該將《個人信息保護法》作為主要規(guī)范，《數據安全法》發(fā)揮補充作用。

　　2.3 促進數字經濟發(fā)展

　　數字經濟作為經濟運行模式的一次形態(tài)重構，是指人們通過對數據的一系列使用，優(yōu)化社會資源的配置和生產，從而實現經濟高質量發(fā)展。黨的十九大報告指出，我國經濟已由高速增長階段轉向高質量發(fā)展階段，正處在轉變發(fā)展方式、優(yōu)化經濟結構、轉換增長動力的攻關期。在此過渡階段，數字經濟將作為新的經濟增長點和新動能，發(fā)揮關鍵作用。據中國信息通信研究院發(fā)布的白皮書顯示，2019年，我國數字經濟占GDP總量比重達36.2%，增速為15.6%。數據表明，數字經濟的重要性進一步凸顯。作為數字經濟發(fā)展的關鍵生產要素，數據充當“引擎”角色，正是通過對海量數據的開發(fā)利用，才得以挖掘數據背后的價值，實現傳統(tǒng)行業(yè)的創(chuàng)新，推動數字經濟的發(fā)展。

　　數字經濟的發(fā)展需要數據規(guī)則的保障，“安全”是《數據安全法(草案)》的名稱，但發(fā)展是安全的目的，《草案》在為數據的開發(fā)利用提供底線規(guī)范?！恫莅浮分凶非髷祿踩桶l(fā)展，無論是《草案》第一條對立法目的的闡明，還是“數據安全與發(fā)展”的第二章內容，都說明加設在數據安全基礎之上的數據利用，價值在于促進數字經濟的發(fā)展。通過保障數據自由流動、推進數據基礎設施建設、鼓勵支持數據創(chuàng)新應用等具體內容，來達到促進數字經濟發(fā)展、增進人民福祉的目的。

三、《數據安全法(草案)》的制度維度解讀

　　3.1 數據分級分類保護制度

　　數據的龐大體量和快速生成等特征，為數據保護帶來盲目和繁瑣等難題，數據分級分類保護制度的構建和應用很好地應對這一現狀。數據分級分類保護是將數據按照類型與級別加以適當的保護，從而滿足不同數據的保護需求。數據的分類主要取決于數據自身的內容和保護的切入點，常見的分類有國家秘密、商業(yè)秘密、個人信息等，基于不同場景相應的數據可能會被納入不同分類。數據的分級是將數據按照價值或重要性的不同從而劃分等級，不同級別數據的保護方式和程度有所不同。通過業(yè)務細分、主體明確、數據歸類、級別判定等流程對數據分級分類保護加以實現。

　　《數據安全法(草案)》十九條中明確規(guī)定了數據的分級分類保護制度，要求國家根據數據的重要程度和危害程度確定數據的分級分類保護，并確定地區(qū)、部門和行業(yè)的重要數據保護目錄，對列入目錄的數據加以重點保護。這一制度的構建，既是對《網絡安全法》分級處置網絡安全事件和我國網絡安全等級保護制度2.0國家標準的承接，也是對證券期貨業(yè)數據、工業(yè)數據等已有分類分級相關制度的參考，有助于防控數據風險、保障數據交易、釋放數據價值。

　　3.2 數據安全監(jiān)管制度

　　數據價值的逐漸顯現，讓針對數據的安全問題數量激增，并不斷呈現復雜化趨勢。以往立法中，針對網絡安全的保護著重于技術防控，而忽視制度防控，由此導致大量網絡安全事件內控制度不完善而導致。在數據安全保護過程中，既要重視技術防控，又要著眼于內控制度建設，以全面的數據監(jiān)管制度體系和切實可行的數據保護操作規(guī)范，落實數據安全保護責任，推動數據安全和發(fā)展的前進步伐。

　　《數據安全法(草案)》從國家角度構建了一個相對完整的數據安全監(jiān)管制度，分布在《草案》各章節(jié)內容及主要規(guī)定在第三章“數據安全制度”中，組成內容上涵蓋事前保護、事后處理、安全審查、出口管制等多方面，具體包括數據安全風險評估預警機制，通過對數據安全風險信息的獲取、分析、研判、預警起到數據安全的事前保護作用。數據安全應急處置機制，發(fā)揮安全事件發(fā)生后的應急處理功能。數據安全審查制度，賦予國家對影響或者可能影響國家安全的數據活動進行審查的職責。出口管制機制，要求國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制。

　　3.3 數據交易管理制度

　　數據成為生產要素的地位提升和數字經濟的快速發(fā)展，要求數據交易市場和行為的規(guī)范化。近年來，數據交易平臺井噴式涌現，數據變現能力逐步加強，數據交易行為在數據流動中比比皆是，同樣數據市場的無序競爭也屢見不鮮，這些因素讓數據交易充滿變數，高質量的數據交易難以得到保障。數據交易管理制度的建構成為破題所在，成為提升數據交易服務質量、規(guī)范數據交易市場行為、劃分數據交易主體權責、推動數據流通安全自由的制度保障。

　　《數據安全法(草案)》中三個方面架構數據交易管理制度，首先，《草案》十七條規(guī)定：“國家建立健全數據交易管理制度，規(guī)范數據交易行為，培育數據交易市場?！边@是首次肯定數據交易活動的法律地位，與2017年習近平總書記在中共中央政治局第二次集體學習并講話中談到的“要制定數據資源確權、開放、流通、交易相關制度”遙相呼應。其次，《草案》三十條對數據交易中介服務機構的義務加以規(guī)定，要求其承擔審核數據來源和交易雙方身份的義務。最后，《草案》第四十三條規(guī)定了數據交易中介機構為履行義務的法律責任，通過懲戒手段助力數據交易合法合規(guī)。

　　原文來源：關鍵基礎設施安全應急響應中心   作者 | 苗運衛(wèi) 董宏偉 (華南理工大學 國家互聯網應急中心江蘇分中心)