数据安全法草案的三大“不安”

袁治杰
2020-07-27 20:17
来源:澎湃新闻

在农业时代,人们关注粮食与土地安全;在工业时代,人们关注产品安全;而在数据时代,我们最关心的无疑就是数据安全了。近些年,数据的大规模泄露时有发生,甚至通过大数据操纵政局的事件也不鲜见,典型者如脸书数据门事件。数据变得愈来愈敏感与重要。全国人大常委会法工委与时俱进,起草了《数据安全法》草案,已经提请十三届全国人大常委会第二十次会议审议。该草案引起了广泛的关注与忧虑,在对《数据安全法》草案林林总总的忧虑中,最不能忽视的是三大“不安”。

首先是关于“安全”之宗旨。我国目前一共有11部包含“安全法”字样的法律,分别是《国家安全法》《矿山安全法》《核安全法》《特种设备安全法》《安全生产法》《食品安全法》《农产品质量安全法》《道路交通安全法》《海上交通安全法》《网络安全法》《中华人民共和国香港特别行政区维护国家安全法》。其中,《国家安全法》确立了总体国家安全观,具有更加一般和宏观的地位,统摄着其他涉及国家安全的法律。而《中华人民共和国香港特别行政区维护国家安全法》,则服务于国家主权安全问题。其他的安全法,均是典型的以保护他人为目的的法律,其核心是为了维护公民的人身安全。

但是《网络安全法》有所不同,其立法宗旨在于保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。而依据《数据安全法》草案第一条,该法立法目的在于保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。显然,这两部法律不同于前面的那些安全法,前述的传统意义上的安全法更关注公众以及公民个人的人身安全,只有《海上交通安全法》还致力于维护国家权益,但其核心宗旨依然是保障人身与财产安全。而网络安全法与数据安全法大为不同,显然无论是网络安全问题还是数据安全问题,本身并不能像食品安全或者交通安全那样直接具体地影响到公众的人身安全,至多会直接影响公民的财产安全,比如金融信息泄露。虽然网络与数据也可能影响公民的人身安全,但是毕竟要间接很多。

也正因此,网络安全法强调网络系统的安全,而数据安全法强调数据本身的安全。然而数据安全法又不像个人信息保护法那样,它既关注数据的宏观安全,也关注微观层面的安全,不过显然主要关注的是数据的宏观层面的安全,大概也正因为数据安全法强调宏观安全,所以才规定数据安全工作的决策机构是中央国家安全领导机构,不同于网安法。

而这恰恰是数据安全法所面临的一个巨大的问题。宏观层面的数据安全实际上强调的是大数据安全,然而一切的大数据都建立在小数据基础之上,小数据安全了,大数据才能安全。小数据不安全,大数据就很难安全。正在起草中的个人信息保护法,和网络安全法与数据安全法共同构成信息保护的法律,只是侧重点有所不同而已。个人信息保护法实际上是典型的以保护他人为目的的法律,在宽泛的意义上也可以称为信息安全法,因为信息安全了,也就自然起到了保护的作用。其本质在于间接保护个人的人身安全和人格权。

数据安全法与网络安全法、个人信息保护法这三驾马车,在国家安全法的框架下共同构筑起了虚拟世界的安全屏障,可是,如何处理它们之间的关系,包括其与《民法典》之间的关系,是数据安全法所面临的第一个大问题。数据安全、网络安全、个人信息安全,这三者本质上很难分割,这些法律在立法宗旨上既在维护抽象的安全,又试图维护具体的安全,最终导致的结果恐怕是两者皆失之不全。是为一不安。

二不安在于草案所确立的数据地方主义与部门主义。草案规定,各地区、各部门应当按照规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。如果说我们的自然环境、人文社会环境不同省份确实有所差异,那么在数据保护领域,我们很难想象哪些数据具有独特的地理空间属性。需要保护的数据,不会因为其地理位置而有所差异,也不会因为数据所处的行业而有所差异。反之,不需要保护的数据,即使在敏感行业,也同样不值得保护。涉及国防军工的非敏感数据,也并不需要给与特殊保护。至多可以设想的是欠发达地区因为软硬件条件的限制无法达到过高的保护标准。

《网络安全法》也确立了网络安全等级保护制度,但并没有将网络安全等级的确立按照地域和部门加以区别。当然,网络安全法对关键信息基础设施的运行安全实行重点保护,不过这本质上是建立在“关键信息”基础之上,是因为这些关键信息本身值得获得重点保护。但是这些信息不管身处哪个省份,都应该获得一样的保护。

草案对数据实行分级分类保护,总体出发点并没有错,但是分类的根本目的还是分级,给予不同级别的保护,所以分类本身只具有次要的意义,核心的意义在于分级。数据本身是否属于高保护级别,只取决于数据本身的特点,而非取决于数据所处的地域与行业。将确定数据保护目录的权力交给各个地方和部门,将会造成严重的数据地方主义和数据部门主义,这样的行为将会产生非常严重的后果。

现在国家一盘棋,致力于将不同地域不同部门的各种系统打通,实现数据沟通与共享。而将数据保护目录的确定权交给各个地方和部门,无疑是南辕北辙,将会为各种数据系统的打通人为设置更大的障碍。而且,这对于跨地域、跨部门经营的大型公司而言,更会让他们无所适从。不同地域的数据保护标准不一样,不同部门的数据保护标准也不一样,两者交叉起来可想而知会有多么复杂。这对于大企业的合规工作而言,几乎就是一个无法完成的任务。我们可以想象,企业需要为不同省份、不同行业制定完全不同的合规标准。复杂之处还在于,不同标准往往并非简单的高与低。如果只是简单的高低问题,那么企业大可采取高标准。问题在于,不同的标准可能对有些数据要求标准高,有些数据要求低,对数据的处理方式要求也不同,从而导致各种标准混杂交合在一起,使得企业茫然无措。深圳市司法局近日发布《深圳经济特区数据条例(征求意见稿)》,由地方对民事基本制度进行立法,违背《立法法》的基本规定,制造数据特区,已经引起很多学者的不安。是为数据安全法的二不安。

另一个不能忽视的问题是制度层面。《数据安全法》草案确立了数据安全审查制度,依照草案第22条,国家对影响或者可能影响国家安全的数据活动进行国家安全审查,依法作出的安全审查决定为最终决定。当然草案没有明确规定由哪个或哪些个机构来实施国家安全审查。对数据活动进行安全审查,无疑是有必要的。然而,对于现代法治国家而言,除国防、外交等少数领域的一些行为不受司法审查之外,绝大多数政府行为都应当接受司法审查。在很多国家,立法还要接受最高法院或者宪法法院的司法审查,何况其他行为。

实际上,《网络安全法》第35条也规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,也应当通过国家网信部门会同国务院有关部门组织的国家安全审查,但该法并没有规定该审查决定为最终决定。数据安全审查决定可能对企业的运营产生重大影响,按照法治国家理念应当接受司法审查。更何况现在国家致力于提升企业营商环境,其中一个很重要的方面就是限制政府的权力。现在的大企业没有几个不涉及大规模的数据活动,将企业的数据活动完全置于政府的行政终局决定之下,显然不利于改善营商环境。因此,草案规定数据安全审查决定不受司法审查是不妥当的。是为数据安全法草案的三不安。

当然,数据安全法涉及方方面面,草案中也还有很多问题值得商讨,但我以为,这“三不安”是数据安全法最应当认真对待的问题。

那么,如何才能解决好这三不安呢?

一不安的核心实际上是数据安全法的基本定位问题,关键是要处理好与网络安全法和个人信息保护法以及民法典之间的关系问题,根本的出发点应该是维护小数据的安全,确保公民个人的信息安全,在这个基础上才有可能真正维护数据活动的国家安全。

二不安的核心实际上是数据政策在大一统国家的统一性问题,一方面数据立法应该全国统一,另一方面统一的全国性立法也不宜赋予各地因地制宜的自由裁量权。

三不安的解决方式相对简单,只要删去“安全审查决定为最终决定”的规定,即可以满足法治国家的基本要求。

总体上,草案还有若干需要改进的地方,期待着草案的进一步完善,真正发挥数据安全保护的作用!

(作者袁治杰为北京师范大学法学院副院长,O2O法治研究中心主任,以“律豆博士”为笔名合著有《正义岛儿童法治教育绘本》《从小学宪法》等儿童法治教育读物。)

    责任编辑:蔡军剑
    校对:栾梦