许可 | 数据安全法：来路与前途

原刊发于FT中文网

在数据化生存的今天，《数据安全法（草案）》自然为观瞻所系。但只要是认真阅读草案的读者，都会被一个又一个问题困扰：草案的立法目的究竟是什么？一部以安全为名的法律为何大段加入数据发展和交易？为何最攸关国家安全的“重要数据”反而惜墨如金？第四章“政府数据开放”是否属于乱入？要破解这些难解之谜，我们不妨学习一下侦探家技法，回头细看其间的马迹蛛丝、草蛇灰线，以窥数据安全法的未来走向。

2018年9月，《数据安全法》和《个人信息保护法》同时列入全国人大常委会委“条件比较成熟、任期内拟提请审议”的69部法律草案之中。如果说对于后者，人们的反应是它进入正式立法流程为何如此之缓？那么对于前者，人们的反应却是它为何如此之快？《个人信息保护法》由2003年国务院信息化工作办公室启动研究以来，已经过去了15年。与之相比，《数据安全法》完全称得上“横空出世”。然则，《数据安全法》从何而来呢？要想回答这一问题，就必须从中国以外找答案。

事实上，在全球数据治理的视野里，2018年绝不平凡。3月，美国出台《澄清域外合法使用数据法》（Cloud Act）；4月，扎克伯格因Facebook8700万人的数据被不当用于美国总统大选，出席美国参众两院听证会；5月，号称史上最严个人信息保护法的欧盟《一般数据保护条例》（GDPR）正式实施。这三次重大事件从不同维度向中国揭示了数据的重大意义。

Facebook数据丑闻告诉我们：数据关乎国家政治。2013年，美国对冲基金公司文艺复兴科技（Renaissance Technologies）的联席CEO、特朗普竞选总统的主要金主之一罗伯特·默瑟（Robert Mercer）创建了政策咨询公司——“剑桥分析”（Cambridge Analytica），特朗普的高级顾问、白宫首席战略师斯蒂芬·班农（Steve Bannon）担任了剑桥分析公司美国总部的副总裁。该公司旨在从海量数据出发，洞察目标对象的心理特征，针对性地向听众投放宣传材料，从而改变他们的行为。经过中间人的牵线搭桥，亚历山大·科根（Aleksandr Kogan）与剑桥分析正式开展合作，在Facebook上开发了一款性格测试应用“this is your digital life”，并通过随机发放2到5美元红包的方式大力推广。在收集数千万Facebook用户数据后，剑桥分析将其运用到2016年美国总统大选中，为特朗普打造针对性广告，试图潜移默化地影响选民。由此，个人数据和美国头等大事这两个风马牛不相及的事物联系了起来。

Cloud Act告诉我们：数据关乎国家主权。该法源于美国政府诉微软（United States v. Microsoft Corp）一案。美国司法部为调查某毒品走私犯罪，向纽约南区联邦地方法院请求核发搜查令（warrant），要求微软提供某电子邮件帐户使用者的通讯信息，但因该通讯信息的服务器存放地为爱尔兰都柏林，微软拒绝提供，主张美国法官无权对境外存储的数据核发搜查令。2014年5月，联邦地方法院判定，因微软对境外数据拥有控制权。随后，微软公司上诉至美国联邦法院第二巡回法院。该法院推翻了下级法院的判决。其理由是：核发搜查令的依据——美国《存储通讯法》（Stored Communication Act）第2703条，并未允许法院以搜查令的方式，要求境内网络服务提供商提交存于境外服务器上的数据，这一行为将带来侵害他国主权之危险。2018年2月6日，美国4位参议员提交Cloud Act草案，塞入等待批准的《2018年综合拨款提案》，短短一个月后，经特朗普签字生效。该法改变了《存储通信法》的模糊规定，旗帜鲜明地采取了“数据控制者标准”，将数据主权从物理层边界延伸到技术上的“控制边界”。

GDPR告诉我们：数据关乎全球博弈。在数字经济的世界版图上，欧洲无疑是落后者。但伴随着GDPR的生效，它以一种新的方式改变这一格局。首先，欧盟通过GDPR扩张其境外管辖权，不论数据控制者、处理者及其处理行为在欧盟之内还是之外，但凡处理的是欧盟境内居民的数据，均适用欧盟法律。其次，欧盟以基本权利保障为由，禁止个人数据流入未获得“充分性认定”的国家。最后，欧盟藉此向全球扩张其制度理念，并为世界个人信息保护法竖立新的标准。就如欧盟数据保护委员会所宣称的那样：“从智利到日本，从巴西到韩国，从阿根廷到肯尼亚，我们看到新的隐私法正在浮现。”

不难理解，在上述背景下诞生的中国《数据安全法》自始便有了对外维护数据主权，对内保障国家安全的重大使命。

正如费正清的“冲击—回应”模式被柯文的“中国中心观”所修正一样，数据安全法的宗旨在起草过程中，也在随着中国自身需求的变化而变化，其最大的改变就是——数据经济价值的再发现。

人们对于数据价值的认识是一个不断演进的过程。从中国信通院《中国数字产业发展白皮书》历年表述中，便可见一斑：自2017年数字产业化和产业数字化的“两化”框架，到2020年数据价值化、数字产业化、产业数字化、数字化治理的“四化”框架，数据业已成为重塑生产力的核心。当前，传统经济模式失速、国际环境复杂严峻、国内任务艰巨繁重，以数据为关键生产要素的数字经济成为增长的新动能、就业的新空间，“数据”价值由此倍增。

不仅于此，欧盟和美国竞相出台的数据战略，凸显出各国政府正在数据利用中发挥着越来越重要的作用。2019 年12 月，美国白宫行政管理和预算办公室（OMB）发布《联邦数据战略与2020 年行动计划》，“数据作为战略资源开发（Leveraging Data as a Strategic Asset）”成为其核心目标。2020年2月，欧盟推出《欧盟数据战略》，通过构建统一的数据获取和利用规则、加大数据领域投资、打造核心行业和公共利益领域的统一数据空间、加强数据专业人才建设等一揽子措施，推动欧盟单一数据市场的建立。

自2019年以来，中央的一系列文件充分反映了上述变化。党的十九届四中全会首次将数据纳入可参与分配的生产要素之中，提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。2020年4月和5月，中共中央、国务院先后发布《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等，提出“加快培育数据要素市场，推进政府数据开放共享，提升社会数据资源价值，加强数据资源整合和安全保护，发挥数据资源价值”等新要求。

以上两种迥然不同的背景塑造了现在的《数据安全法（草案）》。在立法目的上，草案第一条便开宗明义，将“保障数据安全，促进数据开放利用”作为二元目标；在立法定位上，草案从纳入立法计划之初《国家安全法》的特别法转向《<数据安全法（草案）>起草说明》中的“数据领域的基础性法律”。然而，由于立法思路转折过于剧烈，草案未能在规则和制度层面将“安全与利用”“保障与促进”有效融合，反而呈现出彼此割裂的“两张皮”格局。草案一系列难解之谜，因此衍生。

这种结构性的冲突，首先体现在“法律概念”上。例如，草案第3条第1款将数据界定为“任何以电子或者非电子形式对信息的记录”，若从国家安全的角度，这种尽可能扩大规制对象的表述可以理解（可同样有失严谨），而从促进利用的角度，“非电子化数据”毫无意义。再如，草案第3条第2款明确“数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为”，其中将“交易”纳入，以回应数据要素市场制度。可“交易”并非法律术语，其究竟是转让、共享还是许可使用？徒增歧义。

这种冲突又体现在“监管体制”上。草案第六条、第七条确立了“中央国家安全领导机构”作为数据安全工作最高决策机构，工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门、公安机关、国家安全机关，国家网信部门以及各地区、各部门各负其责的监管体制。暂且不谈其中的“九龙治水”问题，仅就“中央国家安全领导机构”而言，其角色和职责已不合时宜。根据《国家安全法》第5条，中央国家安全领导机构负责国家安全工作的决策和议事协调，而当草案立足点从狭义国家安全转向一般数据安全后，两者便存在抵牾。

此外，这种冲突还体现于“权利设定”。在国家、企业、个人的三元主体架构下，涉及个人信息的数据活动交由未来的《个人信息保护法》处理，国家政务数据单章规定，而企业数据却不见踪影，这与欧盟将“非个人数据”作为数字战略关键抓手的思路形成鲜明对比。放宽视野看，正如草案第9条所言，数据安全需要企业和政府的协同治理，而治理绝不只是对企业单纯苛加义务和责任，更是权利的赋予。只有企业就其数据享有可预期的正当权利，才有充分的激励投资数据安全、提升数据价值，进而与他方开展数据交易。

最后，这种冲突体现在“权力制约”上。维护国家安全的行政行为和市场、文化、社会治安领域的监管措施在权力行使程序、权力介入阶段、自由裁量限制等方面有着重大差异。就前者而言，草案第22条项下免于行政复议和司法审查的“数据安全审查决定”是典型代表，就后者而言，基于草案第25条、27条、28条、29条等作出行政处罚均属之。遗憾的是，草案并未明确区分这两种性质不同的权利，在实践中可能导致国家安全行为不当扩张，使依法行政原则空洞化。

面对种种矛盾，草案究竟该如何破解？究其实质，试图在一部法律中容纳如此多元的法律价值，几乎是不可能完成的任务。正所谓“有舍方有得”，未来的数据安全法不妨回归初心，以《国家安全法》为根，以“重要数据”为基，强化国家关键数据资源保护能力。如此，不但降低了立法难度，有利于与《网络安全法》衔接，而且有丰富的域外经验可资借鉴，有利于国际交流和相互理解，而上述窒碍亦由此冰释消解。