摘要：《数据安全法》的出台，就数据竞争和保护关键问题制定适合我国国情和现状的规则路径，成为提升数据风险治理能力的一把利器，将积极促进良好产业发展环境和全球数据治理新秩序的形成。

　　近年来，我国大力推动数字技术和实体经济深度融合，以5G为代表的新一代通信基础设施从传输通道全面升级为数字化赋能的承载基石，数据成为流转的“黄金”。与此同时，“数据滥用”带来信息化社会新挑战、“数据投毒”造成智能化应用新问题、“数据跨境”形成全球化发展新隐忧。一段时间以来，智能网联汽车特斯拉、移动出行平台滴滴等均因相关问题遭受调查成为社会热点话题。数据安全问题也从传统狭义的数据本身可用性提升到了更广泛的国家安全的高度。在此背景下，旨在面向数据安全新要求，贯彻风险防治新理念，构建数据治理新秩序的《中华人民共和国数据安全法》（简称《数据安全法》）于6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过，并于9月1日正式施行，将成为新形势下我国数据风险治理的一把利器。

　　保障数据安全是新形势下立法迫切需求

　　1.数据作为信息型要素对于经济的重要性凸显。2020年4月，中共中央、国务院在《关于构建更加完善的要素市场化配置体制机制的意见》中，首次明确数据成为继土地、劳动力、资本、技术之后的第五大生产要素，并提出要全面加快培育数据要素市场，推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护。这份中央文件将数据的价值和产业应用推到一个新的战略高度。在我国经济高质量转型发展中，数据作为信息型要素对于经济的重要性愈发凸显，数字经济新风口不断诞生。特别是当下，新冠肺炎疫情对全球的影响仍在蔓延，世界政治经济格局深度调整，数字经济已经成为实现经济复苏、推动可持续发展的关键之举，成为有效推动经济高质量发展的新动能和新引擎。

　　2.数据治理从专项行动走向专门立法。我国大数据战略的实施促进了技术与创新应用活跃，产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据，成为数字经济发展的关键生产要素。与此同时，数据过度采集滥用、非法交易及用户数据泄露等数据安全问题日益凸显。网信、工信等部门针对互联网领域和电信领域等数据安全问题，多次开展专项行动。通过集中行动，进行数据安全合规性评估，及时消除数据企业重大数据泄露、滥用等安全隐患，逐步建立数据安全风险评估、数据安全事件通报处置等制度，为立法工作提供了基础性条件。2021年以来，工信部重点针对数据安全威胁和用户权益侵犯等问题，启动为期6个月的专项整治行动。最近，国家网信办连续发布对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络审查的公告，网络安全法规开始走向司法实践。同时，一系列新问题的产生倒逼数据安全专门性、行业性法规条例加速出台。

　　3.数据安全法规体系在实践中成熟。2015年颁布的《中华人民共和国国家安全法》明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，将数据安全纳入国家安全范畴。2016年颁布的《中华人民共和国网络安全法》（简称《网络安全法》）着眼于网络安全整体发展和网络空间主权维护，进一步提出“鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放”。近两年来，基础性和专项性法规“成熟一个就推出一个”，形成数据安全领域法律规定颁布的密集期。《网络安全法》《数据安全法》与2021年8月20日全国人大常委会审议通过，将于2021年11月1日施行的《中华人民共和国个人信息保护法》（简称《个人信息保护法》）一起，成为护航产业的“三驾马车”，三部法律既为我国数字产业发展提供基本遵循，又及时回应当下社会关注度较高的数据跨境流动、大数据杀熟、算法推送、数据信息归属等问题。其中，《数据安全法》在数据安全与发展、数据保护与义务、数据开放与共享等总体原则和框架上与《网络安全法》《个人信息保护法》形成有效衔接，更聚焦数据处理活动及安全监管，就数据竞争和保护等关键问题，制定适合我国国情和现状的数据保护路径，成为促进行业发展，提升数据风险治理能力的一把利器。与此同时，一批涉及数据安全领域专门性的条例办法也积极酝酿出台，《网络安全审查办法（修订草案征求意见稿）》于2021年7月向社会公开征集意见，《汽车数据安全管理若干规定（试行）》于2021年7月审议通过，《关键信息基础设施保护条例》于2021年8月颁布，数据安全国家整体法律框架日趋完备。

　　《数据安全法》构建新形势下数据治理新秩序

　　1.建立“安全开放”的数据产业环境。我国互联网产业发展长期处于相对宽松的环境中，这既有利于新技术的创新运用、产业模式的多元化探索，也容易造成行业发展的各种乱象。数据产业在高速增长过程中，针对数据的安全威胁与日俱增，“应用安全”与“数据安全”并行，“注重开放”与“注重保护”并重成为业界共识。《数据安全法》的施行，是我国提升数据治理能力迈出的重要一步，既充分体现了我国支持数字经济发展的决心，又进一步夯实了“安全中保发展、发展中促安全”的产业发展路径。《数据安全法》明确中央国家安全领导机构负责国家数据安全的决策和议事协调，统筹协调国家数据安全的重大事项和重要工作，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。这改变了数据治理部门分散交叉，政出多门的分散局面。在统一协调下，明确数据收集、存储、使用、加工、传输、提供、公开各环节的监管要求。制度的明晰有利于建立“安全开放”的产业发展环境。在保护个人、组织的数据权益下，鼓励数据合理利用、有序流动，促进以数据为关键要素的数字经济发展。在此基础上也为一些面向前沿的安全产业提供新风口。比如，随着数据领域监管趋严，为当下日渐走红的隐私计算（隐私计算是面向隐私信息全生命周期保护的计算理论和方法，是隐私信息的所有权、管理权和使用权分离时隐私度量、隐私泄露代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统）、联邦学习（一个机器学习框架，能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下，进行数据使用和机器学习建模）等前沿数据加密传输技术提供了发展机会，这些新技术将广泛用于新基建项目的建设，为数据流转交易提供重要保障。当然，在扎紧制度笼子的同时，一些涉境内外数字化公司必然在数据合规方面付出相应的成本，而法律的价值也在于建立公平公正的赛道，防止无序竞争环境下“劣币驱逐良币”现象的发生，使合法合规的公司能够不断释放发展潜力，促进全社会实现数据要素增值和财富价值正向积累。

　　2.形成“分级分类”的数据保护体系。《数据安全法》中，分类分级和自上而下是数据分类保护的一个基本思路，在重要数据基础上新增重要程度和保护等级更高的“国家核心数据”，明确对其实施更加严格的制度化管理，划定“核心数据”安全监管红线。此外，《数据安全法》规定，“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类保护”。在此规定中我们可以看到，以数据可能产生的社会危害性为尺度，对数据的重要等级进行分类，与之前出台的行业性数据分类标准保持了监管思路的一致性。但是，此次《数据安全法》与之前法律要求的被规范主体开展数据分级分类不同，首先明确从国家层面，自上而下建立数据分类保护制度，即“国家建立数据分类分级保护制度”。这有利于从国家层面对数据安全性进行整体分类统筹，形成科学制定数据分类保护方法的数据安全治理体系，深化全流程数据安全评估与监管。此外，对于常规性的恶意程序、安全漏洞、拒绝服务攻击等形成规范性的应急预案和制度，《数据安全法》规定，“在开展数据活动时应当加强风险监测，发现数据安全缺陷、漏洞风险时，应当采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告”。该规定与《国家网络安全事件应急预案》形成有效衔接，并在分级分类保护基础上，对数据安全相应处置进行了规范。

　　3.倡导“互惠公平”的数据治理秩序。随着跨境数据流转的增多和其价值的体现，美国及欧洲一些国家通过制定本国数据安全法，将执法边界延展到海外与其相关的企业，“长臂管辖”成为所谓保护自身利益，巩固国家数据主权的重要手段。近年来，美国通过《反海外腐败法》及一揽子出口管制法律规定对我国数据企业进行干预，加强对国际数据市场的管控；欧盟则通过《通用数据保护条例》实施域外管辖等。2020年8月，美国政府扩大所谓“干净网络”计划，指责总部位于中国的微信海外版WeChat和抖音海外版TikTok对“美国公民个人数据安全构成重大威胁”，试图禁止美国公民下载这两款软件，由于在法庭受阻，该禁令未能实施，但2021年6月，美国总统拜登再次签署政令，要求对来自中国等外国对手的应用程序构成的安全风险进行评估。为应对全球数据竞争的现实，合法保护我国数字企业的发展利益，促进公平互惠国际治理新秩序形成，《数据安全法》首次明确数据管辖的域外效力，应用范围延展到了境外企业在我国境内开展的数据处理活动。值得注意的是，《数据安全法》中对“长臂管辖”做出了防御性的规定，提出经主管机关批准，针对可能的域外法律适用所导致的管辖冲突及其所涉的跨境证据调取问题，提出数据安全层面的法律要求。在我国境内进行数据处理活动，且数据存储于境内的组织和个人都受该条款约束。这优化了数据出境规则，规定了数据领域下的反制裁措施，即任何国家或者地区在数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性禁止、限制或者其他类似措施的，可以根据实际情况对该国家或者地区对等采取措施，为我国依法反制外国歧视性限制措施提供了有力支撑。

　　相关问题与建议

　　1.数据确权等优先重要问题的解决。数据确权成为优先级高但完成难度较大的一环。隐私保护、数据确权、数据交易、数据垄断等议题将成为未来各地方数据立法和司法过程中的焦点。2020年，深圳市公布《深圳特区数据条例（征求意见稿）》，积极探索数据化时代地方政府治理的法律规章，其中在设立“数据权”方面进行了探索，明确公共数据作为新型国有资产，设立数据工作委员会建立相关决策协调机制等。但该条例也存在数据主体权利模糊冲突等问题，上述条例仍在审议过程中。随着司法讨论的深入，如何构建起一个“开发在企业、共享在社会、主体在公民、主权在国家”的数据权属与保障机制成为业界和社会共识，也是未来急需解决的问题之一。

　　2.实施细则的配套及关联法律的衔接。《数据安全法》的出台，遵循了基础性法律把握总体性、原则性问题的规律，但在一些实施细则方面未有深入细致的规定。比如，《数据安全法》第三章中提出建立重要数据分级分类和重要数据目录，建立特定场景下数据出口管制制度，建立数据安全风险预警和应急处理机制，第五章中提出政务数据的安全与开放等，对于这些具体制度来说，需要相关部门在《数据安全法》总体要求下，结合部门职能，相互协调配合，建立有操作性，可以实施落地的制度。另外，《数据安全法》中涉及的数字交易的种种规定，在与其相关的《民法》《反不正当竞争法》等民事和商事法律制度中，需要配套推进，厘清法律关系，明确适用场景。

　　3.国际标准推进和倡议的协同。为携手打造开放、公平、公正、非歧视的数字发展环境，我国提出《全球数据安全倡议》，希望以此为基础，探讨制定全球数字治理规则。《数据安全法》的出台实施体现了我国数据治理的立法主张。我国应以建立全球网络空间命运共同体为目标，推动数据领域国际组织建设，促进跨境数据传输规范统一。另外值得注意的是，面对国际数据竞争以及数据主权化的浪潮，各国大规模数据中心建设造成巨大能源消耗，对全球碳中和目标的实现带来巨大挑战，这些都需要我们在实践中进一步携手探索解决之道。

　　（作者为国家互联网应急中心副研究员、中国互联网协会青年专家）

　　【文章刊于《青年记者》2021年第17期;原标题为：《数据安全法》：新形势下数据风险治理的利器及实施展望】