《數據安全法》完善了我國數據安全治理體系中最重要的一塊拼圖。《數據安全法》從數據安全與發展、數據安全管理制度、數據安全保護義務、政務數據開放多個角度對數據安全保護的義務和相應法律責任進行規定。

《數據安全法》構建起一道全新的數據安全法律保障體系屏障，對提升我國國際競爭力大有裨益。如何把握好數據安全與鼓勵數據開發提升公共服務之間的平衡點，實現數據價值釋放過程的數據安全均衡治理，需要我們在這個基礎上繼續探索。

2021年6月10日，歷經三審的《中華人民共和國數據安全法》正式通過，并將于今年9月1日實施。作為我國數據安全領域的基本法，《數據安全法》完善了我國數據安全治理體系中最重要的一塊拼圖。

《數據安全法》的出臺應時及時

當前世界范圍內，各國數據主權意識不斷增強，數據日益成為各國爭奪的基礎性戰略資源，利益之所在，亦爭端之所在。數據安全治理能力成為國際競爭的關鍵要素，域外各國以國家安全、商業利益、公民隱私保護等目的推進數據安全立法進程已經縱深化和精細化。歐盟《通用數據保護條例》不僅對歐盟境內數據處理活動作出具體規定，同時也對其他國家數據安全立法產生直接影響，數據安全官、關鍵數據本地化處理以及跨境數據流動規則等內容成為全球數據立法工作的主要內容。數據安全也構成現代風險社會中全世界共同面對的問題。

此次正式通過的《中華人民共和國數據安全法》可謂正逢其時，作為我國數據安全領域的基本法，《數據安全法》完善了我國數據安全治理體系中最重要的一塊拼圖。《數據安全法》全文共七章五十五條，從數據安全與發展、數據安全管理制度、數據安全保護義務、政務數據開放多個角度對數據安全保護的義務和相應法律責任進行規定。

保障數據安全

與促進數據開發利用并重

從價值定位上來看，該法的出臺解決了我國數據安全領域長期沒有一個獨立且融貫的法律體系問題。《數據安全法》并非一味強調安全，而是秉持安全與發展并重的指導思想，堅持保障數據安全與促進數據開發利用并重的原則。

數據安全并不局限于以數據存儲安全為代表的靜態數據安全，而是試圖構建全生命周期的數據安全理念，即數據處理的所有環節都應當滿足正當、合法、有效之要求。這種立法理念的背后彰顯我國數據治理模式的動態化、多層次和整體性的基本特征。《數據安全法》創設了風險共治的數據安全治理模式，強調多元主體協作機制在數據安全保護體系中的重要作用，明確了各類法律主體的數據安全保護義務，包括內部與外部的雙控制機制、數據安全風險動態評估、監測預警與應急響應以及數據安全交易注意義務，打通數據安全保障義務與網絡安全保障義務的內容銜接與體系嵌套。

側重實現數據自身的安全可控狀態

從體系定位上來看，《數據安全法》與《網絡安全法》屬于同一效力層級的規范性法律文件。數據安全與網絡安全這兩類立法目標均屬于網絡空間治理效果不同維度的表述，網絡安全側重網絡信息通信服務的持續穩定，數據安全則側重數據自身的安全可控狀態。

此外，《數據安全法》與即將頒布的“個人信息保護法”之間僅在部分內容存在重疊。我國將絕大部分有關個人信息保護的內容留待個人信息保護法解決，不在《數據安全法》中單獨規定。

強化國家總體安全觀

在體例安排上，《數據安全法》立法目標統籌于國家總體安全觀的框架內，與《網絡安全法》同屬于國家安全和網絡空間主權的重要組成部分。

信息技術的發展使得虛擬和現實的邊界、國家秘密與非秘密的邊界變得日趨模糊，大型互聯網企業掌握大量關涉國家經濟命脈、社會穩定的核心數據，強化國家總體安全觀指導的數據安全治理成為維護國家安全的必然要求。作為確保國家數據安全領域的專門法，《數據安全法》與《網絡安全法》共同構成國家數據安全治理體系，更全面地保障國家安全在各行業、各領域有法可依。

以維護動態安全目標為導向

從制度創新來看，《數據安全法》以維護動態安全目標為導向。數據安全的監管具有很強的功能主義屬性，講究令行禁止、精準施效，化解問題。以往部門監管格局存在蕭規曹隨的問題，因此，《數據安全法》提出建立以中央國家安全領導機構負責的國家數據安全工作協調機制，完善了數據安全協同治理體系，明確了“中央統籌主導，地方行業自治”的框架。

中央層面將由國家安全領導機構領銜負責數據安全工作的重大決策與議事協調，國家安全機構、公安機關、網信部門以及工業、電信、交通、金融等主管部門均有權在各自的職權范圍內對數據安全進行監督和管理。

這種制度安排是在充分考量數據安全的整體性與公共部門運作的獨立性之間做出的選擇。不同的地區和行業部門在長期的發展和專業化過程中，在專業、人員、管理、控制上形成了符合各自部門特點的獨立性。數據活動不斷發展、迭代與深化，使得數據安全風險更為多樣、復雜和多變，《數據安全法》授權地區與行業部門對各自工作中收集和產生的數據及數據安全負責的放權思路，可以有效填補模糊地帶、不明之處的數據安全風險防控。但當前的規定仍過于原則，未來行業和地方之間的監管事項上仍然有重疊的可能，“九龍治水”的監管難題仍會持續存在，有待在重要數據目錄的構建、數據跨境傳輸、數據交易制度、政務數據公開與開放等《數據安全法》配套制度中予以解決。

此外，《數據安全法》還專門明確了國家網信部門對網絡數據安全和監管工作的統籌協調職能，因而未來國家網信部門將會很快出臺專門規制網絡數據處理活動的管理細則。

側重維護數據處理活動中的

公共秩序和國家安全

從規范對象上來看，《數據安全法》所規范的數據類型不僅包括電子數據，亦包括以電子以外的其他形式存在的數據；既包括個人數據、商業數據，亦包括政務數據。

原則上來說，我國的《數據安全法》在確定管轄范圍時采取了以屬地管轄為原則、以保護管轄為補充的方式，以行為人的行為地即數據處理活動發生地，而非行為主體的身份作為確定管轄權的基準。同時輔之以保護原則，以全面維護國家利益、公共利益、公民和組織的合法權益。

與強調對民事主體的數據權益進行確認和保護的《民法典》不同，《數據安全法》從整體上看側重從公法角度對數據活動進行規范，側重維護數據處理活動中的公共秩序和國家安全。同時，更加強調對一般性數據活動的規制，強化了基于國家安全為目的的數據的分級分類管理，在區分重要數據和非重要數據的基礎之上，強化對國家核心數據的重點規制，以專章明確了政務數據的安全與開放制度。《數據安全法》搭載了以重要數據為核心的監管制度，充分體現了我國數據治理的分級分類管理和保護原則。

兼顧數據安全保護與創新

從條文構成上來看，《數據安全法》留白了大量倡導性規范的內容，較強的制度彈性能夠兼顧數據安全保護與創新。

法律規定了數據技術研究和產品、產業體系培育以及鼓勵數據開發提升公共服務條款，體現了國家的溫柔底色。國家注重培育、發展數據開發利用和數據安全產品、產業體系。培育、發展一個安全可控、布局合理、可持續發展的產業體系和產品體系，對于數據開發利用和數據安全保障，具有至關重要的關鍵意義，也是我國數據開發利用和數據安全保障產業做大做強的基本前提和重要標志。

《數據安全法》進一步強化了對弱勢群體的特殊保護。技術與人們的日常生活廣泛連接，但老年人、殘疾人等由于無法使用智能手機導致日常出行舉步維艱，將高齡、視障等群體的特殊需求列入國家重點支持的范圍之內，充分體現了國家對弱勢群體需求的關注。

完善了促進數據跨境流動的制度

從制度特色來看，《數據安全法》完善了促進數據跨境流動的制度規范。在經濟和科技全球化的時代背景下，數據的跨境流動將會越來越頻繁，支持數據領域國際合作，促進數據跨境流動的國家立場在本法中得到了貫徹落實。由于當前在數據的跨境流動方面并未建立擁有廣泛共識的國際規則和標準，我國應當把握機遇積極參與數據安全相關的國際規則和標準的制定，只有基于統一的數據安全的國際規則和標準，數據的跨境自由流動才能實現。

此外，《數據安全法》不僅規制互聯網行業，同樣對政府相關的數據處理行為提出了很高的要求，對政府的數據處理活動，如檔案、統計工作提出了更高要求。政務數據是國家提高管理效能的重要資源，政府履職過程中收集、使用數據的安全合規、數據保密、數據共享以及運行電子政務系統帶來的安全問題在本法中被多次重申，這也要求國家機關制定完善的數據安全管理制度、嚴格的批準程序以應對實踐中存在的數據泄露等安全風險。

總的來說，《數據安全法》構建起一道全新的數據安全法律保障體系屏障。這部關乎國家安全的特殊立法對提升我國國際競爭力大有裨益，但如何把握好數據安全與鼓勵數據開發提升公共服務之間的平衡點，實現數據價值釋放過程的數據安全均衡治理，是下一步值得思考的問題。

（作者單位：北京航空航天大學法學院）