论文部分内容阅读
不久前,由中国人民大学未来法治研究院主办、中央网信办《数据安全立法研究》重大项目课题组协办的《数据安全法(草案)》暨数据法治研讨会在线上举行,来自中央网信办政策法规局、多所高校、企业智库、知名科研机构的近20名代表及资深专家学者与会。会议以《数据安全法(草案)》修改为主题,就数据安全法私法视野、数据法视野、公法视野等角度进行了讨论。
草案确立了数据安全概念,在坚持总体国家安全观下,建立了以安全管理和安全保护义务两大机制为重点的数据安全管理体制。接下来,草案可以在数据安全治理与私法基础的关系上进行完善。
一是明确数据安全问题的前提是数据发展,可以通过确立数据财产权体制,激发数据活动主体尤其是市场主体的创造性和积极性,促进数据开放共享。二是要明确数据安全所追求的应为建立适应数据资源化、产业化的安全制度,尊重市场,树立数据资源市场决定性配置基础上的数据安全观。三是要着眼于数据战略资源高度,通过公私协力转化和推广战略性知识成果。
要明确数据安全治理定位、细化数据安全概念、完善数据安全治理原则、完善数据和数据安全定义、建立统一管理联合机制。建议明确网信部门统一负责管理数据安全,国安机关负责国安特殊领域的数据安全问题,提升管理主体和权力设计科学性,避免特殊重大管理资源的泛化和浪费。
注重数据安全法的私法视角考察,主要源于一系列国际重大数据事件和国内对数据资源重视。在国内外因素影响下,数据安全法发生了以下根本性的转变:一是定位从国家安全法的特别法向数据领域的基本法转变,二是立法目标从强调单一的国家安全向复合立法目的转变,三是立法状态从公法向公法私法混合转变。
不过,从私法维度来看,草案中对企业数据权利的规定尚有不足,具体是指企业数据权属不清晰、权利内容缺失和执法协助表述不明确等问题。总之,数据安全法应充分考虑企业和个人的权利和权益,成为一部权力和权利平衡共生的法。
由于定位广泛,草案仅有宣示性而缺乏可操作性和落地性。对此,建议围绕数据安全风险评估和应急处置,重点细化第22—24条以及第32、33条确立的制度规范,从而实现两个目标:一方面调整国内数据活动不危害国家安全,另一方面建构数据经济防火墙。
为了实现对内对外双重目标,一是应协调和衔接数据安全法和《网络安全法》《档案法》等法律在数据安全方面的制度措施;二是明确重要数据是国家安全概念而非数据经济概念,把重要数据限缩为“泄露会造成国家安全和公共安全”,不包含权益侵害情形;三是数据交易许可制度与《电信法》“在线业务处理”等许可制度重复,应予以删除;四是调整保障数据经济安全有序的定位,数据安全法只为数据经济发展设定红线和底线,而不制定发展规则。
草案的立法定位有些纠结,这与我们如何看待数据和数据经济有关。目前,我国仍处于数据认识和数据经济发展的起步阶段,完全偏向数据安全或数据经济发展都会造成信息传递偏差。要考虑如何从形式上衔接网络安全法的安全审查制度和草案的安全审查制度,避免重复审查和行政资源浪费。从内容上看,第22条安全审查制度与安全评估内容大致相当,企业很可能以安全审查替代安全评估。对此,建议在第25条第2款上延伸出重要数据处理登记注册制度以替代第22条安全审查制度,向监管部门提供基础性资料,以加强监管机构对风险的学习和认识。
可以借鉴地方政府的丰富经验,增加第五章篇幅,补充公共数据的特殊规定,具体包括:一是统一术语,将“政务数据”统一为“公共数据”;二是细化制度,完善第35条政府收集数据的特殊规定,在第36条加入审计和追溯、应急预案制度,在第37条增加与第三方签订安全协议和建立数据安全管理制度的义务,在第38条加入救济制度,在第45条采用“阶梯式”处分方式并增加不履行数据安全保护义务的法律责任。
在数据要素流通方面,高度数据化正在成为我们生产、生活的重要环节,多地政府也相继出台促进数据要素流通和数据安全责任的相关政策法规,但各地政策差异可能会造成政策性障碍。为此,建议在数据安全法总则中明确规定,如果没有法律法规规定,各部门、各地区不得设定增加公民、法人和其他组织的数据安全法律义务的规范,防止产生限制数据要素流通的法律后果。
在重要数据保护方面,虽然重要数据保护目录可以帮助我国在数据安全治理上实现弯道超车,但要注意,应将重要数据限定在国家安全的范畴,避免公民、法人和其他组织合法权益和重要数据的概念挂钩。
数据安全法的目标可以分为外向目标和内向目标,前者是在数据流通过程中维护我国在数据领域的主权,后者是建立数据流通规则来监管重要数据和促进数据开发利用。在内向和外向目标的导向下,可以从以下方面完善草案:一是讨论如何建立数据处理的特殊安全规则;二是明确监管部门地方层级,只由省级机构进行监管,消除多重监管问题;三是部分条文的法律依据层级过低,应明确“有关规定”是指法律和行政法规,在全国范围内统一梳理重要数据保护目录;四是建议增加数据垄断、不正当竞争规制条款。
草案是一部比较典型的政策法,背后存在复杂的利益博弈,在管理权的正当合理方面有所欠缺。为了在未来继续完善法律,建议落实数据安全与发展并重的基本原则,处理好三组关系。 一是国家、企业和个人的关系,从主体视角划分数据安全,有助于解决部门管理的协调和统筹问题。二是监管机构内部横向、纵向和条块关系。从横向关系来看,现有的体制架构存在低效混乱的问题,需要在草案中明确不同监管部门之间相互配合的权力责任配置。从纵向关系来看,第7条中的“各地区主体责任”和“各级政府”需要进一步细化到行政区划级别。从条块关系来看,遵循权责统一、有权必有责的行政法原则,因此需要考虑监管体制的结构性问题。三是监管机构与其监管者的关系。根据法治政府框架的基本原则,监管机构的权力必须受到法律规则的事先制约、法律程序的事中约束以及司法审查的事后监督,因此需要在草案中进一步完善相关规定。
草案是一部授权色彩比较重的法律。人类进入风险社会后,会期待国家承担更多的义务尤其是安全保障义务,必然需要赋予国家更多的权力,而现代立宪主义强调抑制国家权力、防范国家侵犯个人权利。由此,形成了监管部门自我授权和制定规则的悖论。草案第22条安全审查制度即体现了该悖论,并且可能脱离法治原则。安全审查最终决定不可复议、不可诉讼且不受司法审查意味着该制度可能排除事后规制,这不仅与全面推进依法治国的目标存在冲突,而且也不符合公法的基本原理。事实上,即便是风险规制这种具有非常独特性的国家行政活动,也并非不可以进行司法审查。
草案存在目标杂糅、立法重心失衡问题,应从国家和企业两个层面完善数据安全保障机制。从国家层面看,要回应欧盟GDPR和美国云法案提出的长臂管辖问题,主张数据主权。从企业层面看,要解决多重监管问题,加强由国家部门集中统一领导的联合管理机制。
具体建议:一是调整数据安全监管体制,确保与现有网络信息监管体制实现兼容对接;二是完善企业受到行政处罚的救济措施;三是豁免已及时采取必要措施企业的数据安全事故责任,避免造成过重的企业义务;四是增加政府平台互操作性规定。此外,政务数据的开发利用是这部草案的重要亮点,将有助于推动数字化转型,但草案没有对算法自动化决策进行规制是立法遗憾。
草案是一部以数据安全为主线、以信息科技发展和立法技术为支线的法律。在内容上,草案以数据安全为基本出发点,兼顾了数据开放和数据发展等价值;在结构上,草案以数据安全为主线,辐射相关数据利用和数据交易等支线制度。草案中数据利用具体规则等尚未达成完全共识,需要遵循信息科技发展的客观状况和法律自身发展脉络,为未来制度建设留下空间。具体而言,专门数据交易中介机构在数据交易的定位、数据交易标的、数据交易定价、数据交易相关制度和规则等问题都可以在草案的支线制度中进一步讨论。
从总体来看,应当打造一部与发展水平和风险相称的动态数据安全法,基于多类型、数据全生命周期,构造数据安全权利义务,采取事中监管和合作治理方式。为实现这个立法任务,需要考虑两点:一是要考虑国家规制的正当性基础,市场机制无法完全解决数据安全问题,因此才需要国家推动和规制;二是在政府数据规制方面,要注意消费者权益保护和公民基本权利保护,设定义务应合法、适当、审慎。因此,数据安全法需要权衡安全治理成本,在合理成本范围内实行政府干预,在保障市场主体权利基础上实现安全保障。尤其是,面临国际竞争压力,数据安全立法要注意避免因追求过高的安全水平而导致我国企业在国际竞争中陷入不利局面。
?(摘自9月15日《經济参考报》)
北京航空航天大学法学院院长龙卫球:完善数据安全治理与私法的关系
草案确立了数据安全概念,在坚持总体国家安全观下,建立了以安全管理和安全保护义务两大机制为重点的数据安全管理体制。接下来,草案可以在数据安全治理与私法基础的关系上进行完善。
一是明确数据安全问题的前提是数据发展,可以通过确立数据财产权体制,激发数据活动主体尤其是市场主体的创造性和积极性,促进数据开放共享。二是要明确数据安全所追求的应为建立适应数据资源化、产业化的安全制度,尊重市场,树立数据资源市场决定性配置基础上的数据安全观。三是要着眼于数据战略资源高度,通过公私协力转化和推广战略性知识成果。
要明确数据安全治理定位、细化数据安全概念、完善数据安全治理原则、完善数据和数据安全定义、建立统一管理联合机制。建议明确网信部门统一负责管理数据安全,国安机关负责国安特殊领域的数据安全问题,提升管理主体和权力设计科学性,避免特殊重大管理资源的泛化和浪费。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可:应充分考虑企业和个人的权益
注重数据安全法的私法视角考察,主要源于一系列国际重大数据事件和国内对数据资源重视。在国内外因素影响下,数据安全法发生了以下根本性的转变:一是定位从国家安全法的特别法向数据领域的基本法转变,二是立法目标从强调单一的国家安全向复合立法目的转变,三是立法状态从公法向公法私法混合转变。
不过,从私法维度来看,草案中对企业数据权利的规定尚有不足,具体是指企业数据权属不清晰、权利内容缺失和执法协助表述不明确等问题。总之,数据安全法应充分考虑企业和个人的权利和权益,成为一部权力和权利平衡共生的法。
华东政法大学教授高富平:细化风险评估和应急处置规范
由于定位广泛,草案仅有宣示性而缺乏可操作性和落地性。对此,建议围绕数据安全风险评估和应急处置,重点细化第22—24条以及第32、33条确立的制度规范,从而实现两个目标:一方面调整国内数据活动不危害国家安全,另一方面建构数据经济防火墙。
为了实现对内对外双重目标,一是应协调和衔接数据安全法和《网络安全法》《档案法》等法律在数据安全方面的制度措施;二是明确重要数据是国家安全概念而非数据经济概念,把重要数据限缩为“泄露会造成国家安全和公共安全”,不包含权益侵害情形;三是数据交易许可制度与《电信法》“在线业务处理”等许可制度重复,应予以删除;四是调整保障数据经济安全有序的定位,数据安全法只为数据经济发展设定红线和底线,而不制定发展规则。
中国信息通信研究院互联网法律研究中心主任方禹:兼顾数据安全与数据经济发展
草案的立法定位有些纠结,这与我们如何看待数据和数据经济有关。目前,我国仍处于数据认识和数据经济发展的起步阶段,完全偏向数据安全或数据经济发展都会造成信息传递偏差。要考虑如何从形式上衔接网络安全法的安全审查制度和草案的安全审查制度,避免重复审查和行政资源浪费。从内容上看,第22条安全审查制度与安全评估内容大致相当,企业很可能以安全审查替代安全评估。对此,建议在第25条第2款上延伸出重要数据处理登记注册制度以替代第22条安全审查制度,向监管部门提供基础性资料,以加强监管机构对风险的学习和认识。
上海財经大学法学院副院长胡凌:“政务数据”可统一为“公共数据”
可以借鉴地方政府的丰富经验,增加第五章篇幅,补充公共数据的特殊规定,具体包括:一是统一术语,将“政务数据”统一为“公共数据”;二是细化制度,完善第35条政府收集数据的特殊规定,在第36条加入审计和追溯、应急预案制度,在第37条增加与第三方签订安全协议和建立数据安全管理制度的义务,在第38条加入救济制度,在第45条采用“阶梯式”处分方式并增加不履行数据安全保护义务的法律责任。
阿里巴巴集团法律研究中心副主任顾伟:法规政策不应增加数据安全法律义务
在数据要素流通方面,高度数据化正在成为我们生产、生活的重要环节,多地政府也相继出台促进数据要素流通和数据安全责任的相关政策法规,但各地政策差异可能会造成政策性障碍。为此,建议在数据安全法总则中明确规定,如果没有法律法规规定,各部门、各地区不得设定增加公民、法人和其他组织的数据安全法律义务的规范,防止产生限制数据要素流通的法律后果。
在重要数据保护方面,虽然重要数据保护目录可以帮助我国在数据安全治理上实现弯道超车,但要注意,应将重要数据限定在国家安全的范畴,避免公民、法人和其他组织合法权益和重要数据的概念挂钩。
字节跳动法律研究中心主任丁道勤:增加数据垄断和不正当竞争条款
数据安全法的目标可以分为外向目标和内向目标,前者是在数据流通过程中维护我国在数据领域的主权,后者是建立数据流通规则来监管重要数据和促进数据开发利用。在内向和外向目标的导向下,可以从以下方面完善草案:一是讨论如何建立数据处理的特殊安全规则;二是明确监管部门地方层级,只由省级机构进行监管,消除多重监管问题;三是部分条文的法律依据层级过低,应明确“有关规定”是指法律和行政法规,在全国范围内统一梳理重要数据保护目录;四是建议增加数据垄断、不正当竞争规制条款。
北京大学法学院教授王锡锌:落实安全与发展要处理好三组关系
草案是一部比较典型的政策法,背后存在复杂的利益博弈,在管理权的正当合理方面有所欠缺。为了在未来继续完善法律,建议落实数据安全与发展并重的基本原则,处理好三组关系。 一是国家、企业和个人的关系,从主体视角划分数据安全,有助于解决部门管理的协调和统筹问题。二是监管机构内部横向、纵向和条块关系。从横向关系来看,现有的体制架构存在低效混乱的问题,需要在草案中明确不同监管部门之间相互配合的权力责任配置。从纵向关系来看,第7条中的“各地区主体责任”和“各级政府”需要进一步细化到行政区划级别。从条块关系来看,遵循权责统一、有权必有责的行政法原则,因此需要考虑监管体制的结构性问题。三是监管机构与其监管者的关系。根据法治政府框架的基本原则,监管机构的权力必须受到法律规则的事先制约、法律程序的事中约束以及司法审查的事后监督,因此需要在草案中进一步完善相关规定。
中国人民大学法学院副院长张翔:安全审查最终决定也应接受司法审查
草案是一部授权色彩比较重的法律。人类进入风险社会后,会期待国家承担更多的义务尤其是安全保障义务,必然需要赋予国家更多的权力,而现代立宪主义强调抑制国家权力、防范国家侵犯个人权利。由此,形成了监管部门自我授权和制定规则的悖论。草案第22条安全审查制度即体现了该悖论,并且可能脱离法治原则。安全审查最终决定不可复议、不可诉讼且不受司法审查意味着该制度可能排除事后规制,这不仅与全面推进依法治国的目标存在冲突,而且也不符合公法的基本原理。事实上,即便是风险规制这种具有非常独特性的国家行政活动,也并非不可以进行司法审查。
北京师范大学法学院教授汪庆华:从国家和企业两个层面完善安全保障机制
草案存在目标杂糅、立法重心失衡问题,应从国家和企业两个层面完善数据安全保障机制。从国家层面看,要回应欧盟GDPR和美国云法案提出的长臂管辖问题,主张数据主权。从企业层面看,要解决多重监管问题,加强由国家部门集中统一领导的联合管理机制。
具体建议:一是调整数据安全监管体制,确保与现有网络信息监管体制实现兼容对接;二是完善企业受到行政处罚的救济措施;三是豁免已及时采取必要措施企业的数据安全事故责任,避免造成过重的企业义务;四是增加政府平台互操作性规定。此外,政务数据的开发利用是这部草案的重要亮点,将有助于推动数字化转型,但草案没有对算法自动化决策进行规制是立法遗憾。
中国社科院法学研究所研究员姚佳:为未来制度建设留下空间
草案是一部以数据安全为主线、以信息科技发展和立法技术为支线的法律。在内容上,草案以数据安全为基本出发点,兼顾了数据开放和数据发展等价值;在结构上,草案以数据安全为主线,辐射相关数据利用和数据交易等支线制度。草案中数据利用具体规则等尚未达成完全共识,需要遵循信息科技发展的客观状况和法律自身发展脉络,为未来制度建设留下空间。具体而言,专门数据交易中介机构在数据交易的定位、数据交易标的、数据交易定价、数据交易相关制度和规则等问题都可以在草案的支线制度中进一步讨论。
华东政法大学法学院副院长陈越峰:要考虑国家规制的正当性
从总体来看,应当打造一部与发展水平和风险相称的动态数据安全法,基于多类型、数据全生命周期,构造数据安全权利义务,采取事中监管和合作治理方式。为实现这个立法任务,需要考虑两点:一是要考虑国家规制的正当性基础,市场机制无法完全解决数据安全问题,因此才需要国家推动和规制;二是在政府数据规制方面,要注意消费者权益保护和公民基本权利保护,设定义务应合法、适当、审慎。因此,数据安全法需要权衡安全治理成本,在合理成本范围内实行政府干预,在保障市场主体权利基础上实现安全保障。尤其是,面临国际竞争压力,数据安全立法要注意避免因追求过高的安全水平而导致我国企业在国际竞争中陷入不利局面。
?(摘自9月15日《經济参考报》)