党务学工
杨鸿 | 完善数据法律制度,维护安全与开放间平衡——学习贯彻党的二十大精神系列⑭教授笔谈

党的二十大高举中国特色社会主义伟大旗帜,全面贯彻习近平新时代中国特色社会主义思想,系统阐述了新时代坚持和发展中国特色社会主义的重大理论和实践问题,科学谋划了未来一个时期党和国家事业发展的目标任务和大政方针,擘画了以中国式现代化全面推进中华民族伟大复兴的宏伟蓝图。学院党委组织开设“教授笔谈”栏目,引领全院教师以高度政治自觉、思想自觉、行动自觉深入学习贯彻党的二十大精神。


“数据”作为“关键词”

党的二十大报告涵盖面极广,涉及国计民生的方方面面。在数字化技术飞速发展、国家正全面迈入数字经济的当下,数据的重要性已不言而喻,相关问题在报告中自然也有所体现。尽管“数据”一词在报告中仅出现一次,但与之直接关联的问题与相关安排仍在多处有重要体现,具有体系性意义。与之密切关联的概念——“数字”一词出现了七次,其中“数字经济”两次、“数字贸易”与“数字产业集群”则各出现一次。此外,另一个相关概念“信息”一词出现九次,其中包含“个人信息”这一重要的数据类型。

那么,为何我们以“数据”而非“数字”或“信息”作为关键词考察相关法律制度?因“数字”“信息”两概念灵活关联贸易、技术乃至政治经济等多个领域,且含义极为广泛甚至模糊,在不同语境下指向差异都极大,且往往更多聚焦于技术层面。而要落地到相对具体、可操作性强的法律制度,则“数据”可成为更好的概念性抓手与对象,具有相对更明确的含义与指向。

进一步看,法律背景下数据的含义与范围是一个前提问题。从《网络安全法》到《个人信息保护法》《数据安全法》,我国在法律制度上已基本确立了个人信息与重要数据这一对数据的基本分类模式。2022年12月,中共中央与国务院共同发布《关于构建数据基础制度更好发挥数据要素作用的意见》(《数据基础制度意见》),其中进一步明确提到“公共数据、企业数据、个人数据”的分类标准。事实上,其中的个人数据正对应“个人信息”,而公共数据与企业数据中涉及国家安全与公共利益的部分也正可对应“重要数据”。

“数字经济”“数字贸易”“数字产业集群”三大概念实际具有高度关联性,都包含对数据的开发利用,且都出现于报告第四大点:“加快构建新发展格局,着力推动高质量发展”。而 “数据”与“个人信息”(实际也是数据的一种)两词则共同出现于报告第十一大点:“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”,从中可看出报告对于数据安全问题的高度重视。

数据法律制度中的主要问题

数据法律制度牵涉多个性质不同但又彼此关联的领域,但其核心大致是以下两大方面:其一是数据权益保护制度,它是数据要素利用、数据交易以及更广意义上数字贸易的法律基础。其二是数据安全,尤其是数据跨境流动的监管,它是国家安全在数字时代新发展的重要环节。这两方面在党的二十大报告和《数据基础制度意见》中都有体现。

首先,数据权益保护下的数字经济、数字产业与数字贸易。二十大报告第四大点“加快构建新发展格局,着力推动高质量发展”中在不同层面规划了该领域的发展。其中第(二)点“建设现代化产业体系”中提出:“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。”《数据基础制度意见》则进一步在开篇就提出要“激活数据要素潜能,做强做优做大数字经济”,并在第四部分规划数据要素收益分配制度,指出这是为顺应“数字产业化”的发展趋势。意见提出将数据作为“新型生产要素”并激发其潜能,这就需要建立数据产权制度、数据要素流通和交易制度以及相应的数据要素收益分配制度,而这三点正是《数据基础制度意见》第二、第三与第四部分的主题。

其次,数据安全。数据安全是数字经济时代国家安全必不可少的重要环节。二十大报告中仅有一次直接使用“数据”一词,即是针对其安全问题。报告第十一大点针对“国家安全体系和能力现代化”,其下第(一)点“健全国家安全体系”中,明确提及数据等多领域的安全保障体系建设。《数据基础制度意见》更是在“总体要求”中多处提及安全,要求“保障国家数据安全”,“把安全贯穿数据供给、流通、使用全过程”。并且,在该意见关于数据要素流通的第三部分中,特地强调构建数据安全合规有序跨境流通机制,防范数据出境安全风险。

与此趋势相关,2021年,我国颁布新的《网络安全审查办法》,其中特地新增条款, 将核心数据、重要数据与大量个人信息非法出境风险纳入网络安全审查重点评估的国家安全风险因素中。2022年,国家网信办出台《数据出境安全评估办法》,针对更广泛意义上的国家安全、公共利益、个人或者组织合法权益风险建立出境安全评估制度,并将其主要适用于重要数据与特定情形下的个人信息。

进一步完善数据制度,维护安全与开放间平衡

在数据法律制度的主要内容中,前述两大方面都只具雏形,而仍需完善。一方面,数据权益保护的具体模式目前仍处于广泛讨论乃至争议中。我国目前已有以反不正当竞争法保护数据的丰富司法实践,但是否应提供进一步保护,尤其是能否建立数据知识产权保护制度,仍存在较多争议,相关理论与实践也都处于初级阶段,仍需更多讨论以辨明其中机理与经济效果,寻求最合适的法律保护模式。

另一方面,数据安全下的数据跨境监管制度仍仅具框架,尤其是如何在确保安全的前提下促进数据跨境流通,避免形成不必要的阻碍,需要平衡各方利益而设计更详尽的制度。“国家安全”是二十大报告的一大关注点,在报告中出现了29次。但同时,“开放”也是二十大报告的重大关注点,在报告中也出现了29次。落实到数据制度中,维护安全与开放间的平衡至关重要。对此,《数据基础制度意见》中也特别强调,要“坚持开放发展,推动数据跨境双向有序流动”。

考察目前涉及数据安全的相关制度,个人信息的出境制度已相对成型,但重要数据等其他数据出境监管制度仍十分粗略。尤其是重要数据,尽管《数据出境安全评估办法》对其进行了初步界定,但其形成与认定机制仍付之阙如。由于只要属于重要数据,则涉及出境评估、网络安全审查等一系列特别监管,这一法律概念对应高度的限制性措施,也应限定在明确、特定的范围。与此同时,《网络安全审查办法》还规定了“核心数据”,却未对其界定,而工信部于2022年颁布《工业和信息化领域数据安全管理办法(试行)》,则在其中界定了该类数据。然而,无论是重要数据还是核心数据,其认定主体应统一并限定于具有足够高层级的权威机关。目前这些受管制数据的认定流程、具体范围都仍不明朗,管理框架也缺乏协调。与此同时,一些标准制定机构还正积极制定关于重要数据的各类标准,如全国信息安全标准化技术委员会2022年制定的《信息安全技术 重要数据识别规则(征求意见稿)》设定了重要数据的识别原则与识别流程,此前还有《信息安全技术 数据出境安全评估指南(草案)》。然而,在立法仍未形成统一、权威的规则时,相关标准的发展值得留意。标准制定过程相对快捷,审核程序也不同于立法,涉数据的标准如雨后春笋般涌现,其中是否涉及应由法律规定的事项,与立法计划及其适用范围如何协调、错开,都值得进一步关注。

总之,数据法律制度在蓬勃发展的同时,仍有很大的细化、完善空间。在二十大报告明确关注数据、数字经济并同步重视安全与开放的总体精神下,相关具体制度也应对其充分考虑,维护好安全与开放的平衡。


作者简介:

杨鸿 同济大学上海国际知识产权学院 副教授