坚持安全与发展并重 确立数据分级分类管理制度

数据安全法草案公布

7月3日，《中华人民共和国数据安全法（草案）》（下称《草案》）正式公布并公开征求意见。意见反馈截止时间为2020年8月16日。

自2018年9月被列入十三届全国人大常委会立法规划以来，数据安全法备受世人瞩目与期待。近日，民主与法制社记者就《草案》的亮点以及修订建议等问题采访了有关专家。专家表示，《草案》坚持安全与发展并重，确立了数据安全管理的各项基本制度，但有的地方还可以进一步细化。

构建适合我国国情的数据规则

《草案》第1条明确，数据安全法的制定是“为了保障数据安全，促进数据开发利用，保护公民、组织的合法权益，维护国家主权、安全和发展利益”。第12条明确，“国家坚持维护数据安全和促进数据开发利用并重。”

对外经济贸易大学数字经济与法律创新研究中心执行主任许可说，近年来，全球数据博弈不断深化，构建适合我国国情的数据规则迫在眉睫，因此，我国制定数据安全法恰逢其时。

《草案》第2条明确，在我国境外的组织、个人开展数据活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，要依法追究法律责任。

许可认为，该规定表明了我国在域外数据管辖上的立场：以保护管辖方式明确，境外的组织、个人实施的数据行为在损害我国国家安全、公共利益或公民、组织的合法权益时，我国对境外数据享有管辖权。

《草案》第33条明确，“境外执法机构要求调取存储于中华人民共和国境内的数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。”

许可表示，这对构建我国的数据跨境调取规则十分重要，但这里的“执法机构”是否包括司法机关应当进一步明确。这里的“数据”是否包含《草案》第3条规定的“非电子形式对信息的记录”以及存储于我国境内数据的范围，也需要进一步厘清。

许可说，国家互联网信息办公室于2019年6月发布的《个人信息出境安全评估办法（征求意见稿）》第2条明确，其规制的对象为“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境）”，全国信息安全标准化技术委员会于2017年8月30日发布的关于国家标准《信息安全技术数据出境安全评估指南（征求意见稿）》明确：“非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境。”因此，他建议将《草案》第33条中“存储于中国境内的数据”改为“在中国境内收集的电子数据”。

中国法学会网络与信息法学研究会副秘书长、中国法学会法治研究所副研究员刘金瑞认为，《草案》第33条对跨境执法调取数据的规定借鉴了《中华人民共和国国际刑事司法协助法》中的传统跨境司法协助模式。这种模式要求通过双方政府指定的国家机关来处理两国之间的司法协助工作。“这种模式，虽然能最大程度保障司法主权，但程序复杂冗长，已不适应数字经济全球化发展的需求和快速解决争议的需求。”

许可认为，《草案》的一大亮点是，在确立维护国家安全立法目的的同时，向全球提供了数据保护与发展的国际规则，即《草案》第10条规定，“国家积极开展数据领域国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。”

“数据具有替代性、非稀缺性，因此活的、流动的数据才具有价值，相比‘数据本地化’，《草案》确立的数据安全、自由流通规则，更能促进数字经济的发展。”许可说。

建立数据分级分类管理制度

《草案》坚持安全与发展并重，设专章第二章“数据安全与发展”对促进数据安全与发展作了规定，包括实施大数据战略，制定数字经济发展规划，推进数据开发利用和数据安全标准体系建设，促进数据安全检测评估、认定等服务的发展等。

刘金瑞表示，这些规定较为原则，比如《草案》第17条规定“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”，但未明确何种数据可以交易，还需要有一系列配套法律制度作为支撑。

刘金瑞认为，建立数据交易市场需要以数据的分级分类为前提，对数据安全法而言，数据分级分类管理制度是平衡安全与发展关系的关键所在。“因为一旦明确重点管制和保护的数据范围，也就明确了数据开发利用的底线和红线，实际上也就划出了产业发展和市场竞争的合法空间。”

《草案》第19条明确提出，要对数据实行分级分类保护，规定“国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分级分类保护”。

刘金瑞认为，《草案》第19条还需进一步细化。他建议，健全数据分级分类制度，可考虑按照数据领域（金融、交通、能源、医疗健康等）对数据进行分类划分，按照对国家安全和重大社会公共利益的重要程度进行数据分级划分。

刘金瑞表示，可以将不同领域的数据按照重要性大小划分为三个层次：重要数据、受控数据和一般数据。应将直接关系国家安全的和可能影响国家安全的数据作为数据安全法规范和保护的重点。

在数据分级分类制度构建上，刘金瑞建议，对不同级别数据设置不同的监管要求，比如不宜将重要数据和受控数据纳入其《草案》第17条规定的“数据交易管理制度”。

应进一步细化对

“重要数据”的管理和保护

为有效应对境内外数据安全风险，《草案》中确立了诸多国家数据安全管理和治理制度，比如第19条第2款规定，“各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。”

许可说，该规定从程序上确立了“重要数据”的认定主体，但未明确“重要数据”的内涵和外延，这可能导致各地在进行“重要数据”认定时不当扩大或缩小重要数据的范围。

刘金瑞表示，在未规定“重要数据”认定标准情况下，可能造成各地区、各部门各自为政。他建议，规定“重要数据”认定的所涉领域、依据标准、职责部门和具体程序，从而建立国家数据安全管理统一制度架构。

刘金瑞表示，为了维护法治统一，应该删去《草案》第19条授权不同地区确定“重要数据保护目录”的规定，将“重要数据”认定的负责部门设定为各领域各行业的主管部门。

许可建议，应当限制“重要数据”认定权、授予权，设置严格的认定程序，强化认定结果监督等。

《草案》第22条规定，“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。”

许可表示，数据活动囊括了数据的收集、存储、加工、使用、提供、交易、公开等，是普遍化和常态化的商业行为，且数据安全审查往往是事后而非事前启动，因此，应对纳入国家审查的数据范围有所区分。

刘金瑞表示，《草案》中涉及数据安全风险评估、报告、信息共享、监测预警机制等国家数据安全管理制度和治理体系的相关内容，还需要进一步明确细化，使其拥有较强的可操作性。