我们真的需要一部《数据安全法》

​十三届全国人大常委会第二十次会议6月28日在北京举行，数据安全法草案（下称“草案”）首次提请审议。随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。因此，制定一部数据安全领域的基础性法律十分必要。

《数据安全法（草案）》主要围绕着数据安全管理各项基本制度、促进数据安全和发展的措施、解决数据安全领域突出总量、满足电子政务数据合理需求。这些重点规定，与国家数据安全和人民群众对数据需求关联紧密，也与人民权益息息相关。

草案主要内容包括：

一是，按照总体国家安全观的要求，确立数据安全保护管理各项基本制度，提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。

二是，坚持安全与发展并重，规定支持、促进数据安全与发展的措施，提升数据安全治理和数据开发利用水平，促进以数据为关键要素的数字经济发展。

三是，立足数据安全工作实际，着力解决数据安全领域突出问题，落实数据活动主体的安全保护义务与责任，切实维护公民、组织的合法权益。

四是，适应电子政务发展的需要，建立政务数据安全管理制度和开放利用规则，大力推进政务数据资源开放和开发利用。

 

或许不少人都感同身受，自己的数据信息怎么会被他人掌握。各种推销、广告轮翻轰炸，不少人因此不堪其扰，有的还因为个人数据信息泄漏而曾遭受诈骗的侵害。被媒体曝光的系列诈骗致死案件令人震惊之余，保护个人数据安全之呼声日益强烈。保护个人数据不被非法公开、侵害，事关每个人的切身利益。在凡是信息都在“数据化”的当下，保护好个人信息，不仅是基于公民个人保护权益之所需，更是国家保障公民权益的应有姿态和制度保障之责。

早在2018年9月公布的“十三届全国人大常委会立法规划”中，数据安全法被列为“条件比较成熟、任期内拟提请审议的法律草案”。

6月24日，全国人大常委会法工委发言人、研究室主任臧铁伟指出，随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。

 

数据安全法和《网络安全法》均是《中华人民共和国国家安全法》的下位法，平等地统合在“国家安全”麾下。按照《网络安全法》规定，网络安全包括“保障网络数据的完整性、保密性、可用性的能力。

《网络安全法》已规定了数据的自身安全，那么，数据安全法草案将“数据自主可控”和“数据宏观安全”作为规制重心。数据自主可控，即国家对重要数据实际支配权力，避免被其他组织或国家非法操纵、监控、窃取和干扰；数据宏观安全，即管理和防控因数据处理、使用引致的国家主权、公共利益和群体安全的威胁。

 

数据安全和数据利用协调一致

我国数据安全还面临另外一个层面的威胁。

对中国裁判文书网上公布的信息进行统计发现，我国近年来“非法获取计算机信息系统数据罪”的判决书有475份，判决“破坏计算机信息系统数据罪”的判决书有226份。

作为数据安全保护领域的一部专门法，数据安全法将设定相应的法律责任。以往数据安全的法律体系中缺少行政处罚，导致出现问题后，要么通过民事责任，比如不正当竞争诉讼解决，要么直接上升到刑事犯罪。有了行政处罚的手段，一些尚处于萌芽阶段或尚不构成犯罪的违法行为就可以通过整改等手段得到纠正。

2019年第三季度，国内多家大数据公司被查，暂停业务，而有些征信公司也牵扯其中，被警方带走配合调查。业内普遍认为，大数据行业这场突如其来的风波，或因“爬虫”技术滥用，深度涉足现金贷业务有关。

而在2017年，“精准营销”甚嚣尘上之时，也有多家大数据公司被查。有些大数据公司获取数据的来源比较复杂，在梳理数据的过程当中，没有特别注重区分敏感数据和非敏感数据，没有做好数据脱敏、去标签化的工作。这部法律通过之后，相关企业需要关注并增加这方面的投入。

被称为“史上最严数据保护法”的欧盟《通用数据保护条例》（简称GDPR）就以“可识别性”作为核心。信息法律专家介绍，GDPR对个人数据进行了不同层次的界定，从而为其设定了不同的保护程度，实现了数据保护义务与流通处理之间的平衡。

个人信息的鲜明特征，是直接通过这些信息或者结合其他信息，能够关联到某一个特定的自然人。如果把个人信息的‘可识别性’去掉了，就变成了可商用的数据。但是商用数据也可能通过技术手段，恢复成为个人信息，这就需要采取足够的安全防范措施。

《网络安全法》第42条第1款规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

这一被称为“大数据条款”的规定，赋予了利用匿名化数据的自由，为企业创新打开了大门。数据安全法亦应延续这一思路，充分认识到数据价值，将数据安全和数据利用看作一体之两翼、驱动之双轮，只要数据利用不会导致不合理危险，就应允许并积极推动其发展，通过激励相容的制度设计，最终令数据安全和数据利用协调一致。

保护数据安全是顺应信息数据化的法律回音。是建设服务型政府、法治型社会的现实需求。个人数据信息依法获得保护，国家数据安全无虞和依法使用，《数据安全法》确实为民所需。