摘 要:法治是國家長治久安的重要保障，數據治理的法治化程度和體系化建設也成為當下衡量一國法治水平和數字經濟發(fā)展的重要指針。分析并總結當前我國數據安全法治治理體系建構的發(fā)展進程、存在的問題以及未來一段時間著力發(fā)展的目標，將為保障國家安全，穩(wěn)步推進數據要素依法、安全、有序流動提供有益參考。

關鍵詞:數據治理 數字法治 治理現(xiàn)代化

【中圖分類號】D922.16 【文獻標識碼】A

我國數據安全法治治理體系建設的重要進展

法者，治之端也。法治興則國興，法治強則國強。進入全面智能化、數字化轉型時代，數據已經成為現(xiàn)代社會發(fā)展的新型生產要素和基礎性戰(zhàn)略資源，建立健全數據治理體系成為推進國家治理體系和治理能力現(xiàn)代化的重要支撐。[1]數據安全治理體系的法治化建構是我國全面依法治國的重要組成部分，關系黨執(zhí)政興國、人民幸福安康和國家長治久安。近些年，我國數據安全法治化治理進程取得了長足發(fā)展和巨大進步，數據安全法治治理體系建設取得重要進展。

數據安全立法從零散化向系統(tǒng)化整合

為適應我國網絡安全工作新形勢、新任務，落實中央關于總體國家安全觀對網絡安全工作的重要決策部署，同時也為回應“徐玉玉案”等一系列電信詐騙案件引發(fā)的廣泛輿論關注和廣大人民群眾維護個人信息權益的切身需要，我國于2016年月日正式通過《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）?！毒W絡安全法》是我國第一部全面規(guī)范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑，是依法治網、化解網絡風險的法律重器。為落實國家安全制度，保障公民信息數據權益，我國于2021年分別通過并施行了兩部重要的法律，即《中華人民共和國數據安全法》（以下簡稱《數據安全法》）和《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）?！秱€人信息保護法》是我國第一部專門針對個人信息保護的法律，在《網絡安全法》的基礎上對個人信息權益保障、處理規(guī)則、各方權利義務、安全保障機制等方面作了更為周全的立法設計?！稊祿踩ā肥俏覈鴶祿卫砘咀裱?，確立了數據分類分級、跨境數據流動、數據交易管理等多項制度，形成了我國數據安全治理的頂層設計。時值《數據安全法》實施兩周年，地區(qū)和部門性的數據安全政策、法規(guī)、文件陸續(xù)出臺，工業(yè)、金融、證券等部門紛紛出臺了本領域的數據安全管理辦法和重要數據具體目錄，上海、深圳、浙江等地相繼頒布了數據相關條例，電力、汽車、醫(yī)療等行業(yè)均出臺了專門的數據分類分級指南或數據安全分級指南，各地、各部門、各行業(yè)正在深入推進數據安全治理。

此外，為落實上位法對數據安全治理的規(guī)定，我國隨后又發(fā)布了兩部重要的法規(guī)（含征求意見稿），即《關鍵信息基礎設施安全保護條例》和《網絡數據安全管理條例（征求意見稿）》。其中，《網絡數據安全管理條例》由中央網信辦牽頭起草，專門對重要數據安全進行了詳細的解釋和界定，是我國系統(tǒng)性建立重要數據保護制度的標志。

縱觀我國數據安全立法，經歷了從無到有、從有到多的發(fā)展歷程，并呈現(xiàn)縱深化、專題化和領域化的發(fā)展趨勢。刑法中新增懲治侵害個人信息犯罪的內容，民法典人格權編中將個人信息作為一項受保護的重要民事權利，《網絡安全法》《數據安全法》《個人信息保護法》構成我國數據保護的“三駕馬車”，確立了我國數據治理的基本原則和制度架構，《網絡數據安全管理條例》《數據出境安全評估辦法》等則構成了數據治理的具體內容，此外，電子商務法、消費者權益保護法等也有信息數據保護的相關規(guī)定，形成法律、法規(guī)、部門規(guī)章和政策文件相互銜接的完整法規(guī)范體系，在立法目標和具體條款上實現(xiàn)了監(jiān)管標準的統(tǒng)一化和體系化。[2]

數據安全治理進入“標準化”法治時代

國家標準是國家法治體系建構的重要組成部分，數據具有數量龐大、結構復雜、來源多樣的特點，如果數據標準管理不達標，就會產生數據理解歧義、數據共享困難等阻礙數據要素流通的問題。數據的價值存在于收集、存儲、加工、分析、服務、傳輸、交易等各個環(huán)節(jié)中，涉及數據脫敏、價值評估、元數據管理、數據質量等多項活動，數據安全治理活動復雜且具體，但法律、法規(guī)和政策文件中的規(guī)定通常較為宏觀、模糊，無法指導具體的數據活動，因此就需要國家標準這支更為精確刻度的尺子來具體指導數據治理活動。從發(fā)展的角度看，數據標準化工作能夠保障數據內外部使用與交換的一致性和準確性的規(guī)范性約束，有利于提高數據的互操作性、準確性和規(guī)范性，促進數據要素全鏈條高效銜接，對規(guī)范數據安全、加強數據安全防護體系、指導行業(yè)和企業(yè)提升數據安全能力意義重大。

自“三法一條例”發(fā)布實施后，業(yè)界亟待明確數據安全合規(guī)的具體技術方法和管理措施標準來指導實踐?；诖?，近幾年我國每年均有相當大比例的標準編制指標用于數據安全標準。在2022年國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的標準公告中，有12項與數據安全和個人信息保護有關，涵蓋人臉識別、即時通信、智能汽車、基因識別、步態(tài)識別、聲紋識別、網絡音視頻、網絡購物、快遞物流、個人信息安全工程等多個領域。

由于重要數據保護構成其他數據治理制度的基礎，因此在數據安全治理的標準化工作中明確“重要數據”的識別規(guī)則和安全管理要求尤其關鍵。近年來，重要數據識別和運行管理安全的標準化工作取得了重要進展，2020年，全國信息安全標準化技術委員會委托編制國家標準《重要數據識別指南》，目前該指南歷經征求意見稿、送審稿后，已正式向國家申請報批。除此之外，全國信息安全標準化技術委員會在2022年立項《重要數據處理安全要求》，已于2023年8月經全國信息安全標準化技術委員會組織審定后正式向社會公開征求意見，該標準著重解決數據自身安全以及收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個環(huán)節(jié)的數據處理行為安全標準化問題，對數據具體管理工作具有極強的指導功能。

數據安全執(zhí)法穩(wěn)步推進

自“三法一條例”實施以來，網信、工信、公安等部門都在積極落實數據安全監(jiān)管執(zhí)法活動，加大數據安全違法違規(guī)的處罰力度和執(zhí)法頻度，在2023年2月工業(yè)和信息化部發(fā)布了《工業(yè)和信息化部行政執(zhí)法清單（2022年版）》中，涉及網絡安全、數據安全和個人信息保護領域的行政執(zhí)法項目達57項，執(zhí)法對象已經覆蓋線上線下各行業(yè)領域、不同規(guī)模的企業(yè)?！毒W絡安全法》《數據安全法》和《個人信息保護法》相關法律條文已成為數據安全執(zhí)法的直接依據，監(jiān)管實務中常見的違法情形是違反數據安全法第二十七條（數據安全保護業(yè)務）、第二十九條（數據安全風險監(jiān)測和補救）、第三十二條（合法正當采集數據），企業(yè)因未建立數據安全管理制度和操作規(guī)程、未開展數據安全教育培訓、未采取去標識化或加密措施，未采取防篡改、防泄漏、防侵入以及未采取泄露補救措施等情形，致使發(fā)生數據泄露或存在數據安全風險等。

數據安全規(guī)制與發(fā)展的辯證關系逐漸明晰

從《網絡安全法》始，安全與發(fā)展便貫穿于數據要素治理整體架構中，隨著數據法治化進程不斷推進，一個治理理念逐漸澄清，即安全規(guī)制與發(fā)展之間的辯證關系。由于對數據治理的認識不夠深入，學界和業(yè)界部分觀點認為不斷加大基于數據安全不斷立法規(guī)制會遏制數字經濟發(fā)展，簡單地將規(guī)制視為技術、經濟發(fā)展的對立面，這其實是一種認識的誤區(qū)。首先，安全并不是發(fā)展的對立面，安全是為了數據要素市場更好的發(fā)展；其次，規(guī)制并不一定是壞事，規(guī)制可以促進新技術的產生。在中共中央、國務院發(fā)布的《關于構建數據基礎制度更好發(fā)揮數據要素作用的意見》（又稱“數據二十條”）中，除了“發(fā)展”被頻繁提及之外，另一個高頻關鍵詞就是“安全”。安全與發(fā)展是相伴相隨的，安全是發(fā)展的前提，發(fā)展是安全的目標，在網絡攻擊和大國博弈愈發(fā)劇烈的當下，沒有安全保障，數字經濟的發(fā)展等于空中樓閣。因此，我國的數據立法統(tǒng)籌安全與發(fā)展，堅持以安全保發(fā)展，以發(fā)展促安全，建立安全可控、高效流通的數據要素市場。對數據跨境流動安全管理的目的也并不是限制數據出境，而是規(guī)范數據出境，鼓勵數據依法合理有效利用，保障數據依法、有序、自由流動。

當前我國數據安全法治治理體系建設中的相關問題梳理

雖然我國數據安全治理法治體系建設取得重大進展，形成“三法兩條例”的數據安全治理基本架構，數據標準化工作也在順勢推進數據法治體系建設向縱深化方向發(fā)展，數據治理工作的理念和方向逐漸清晰，但數據安全法治治理體系建構中仍然存在一些問題阻礙數據要素價值潛力的進一步釋放。

相關法律規(guī)則和標準在具體落實中存在適用模糊

現(xiàn)階段，我國的數據治理規(guī)范已形成框架體系，但在具體推進落實過程中，仍然存在法律概念不明確、標準不一致、不透明等問題，例如，我國《數據安全法》第二十一條要求各地區(qū)、各部門按照數據分類分級保護制度確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數據具體目錄，對列入目錄的數據進行重點保護，但現(xiàn)實工作中一些行業(yè)主管監(jiān)管部門在制定本行業(yè)、本領域的重要數據識別指南時，采用了過于原則性的描述，使重要數據范圍被擴大化，給企業(yè)合規(guī)和數字經濟發(fā)展造成負面影響。

另外，伴隨數據治理實踐的全面深入，法律、法規(guī)條款中一些未予以明確、處于模糊地帶的問題逐漸顯現(xiàn)，一些在法規(guī)制定之初未予以嚴謹論證清楚的內容在適用中的爭議和質疑也在逐漸增加，很多條款和具體規(guī)定在后續(xù)執(zhí)行過程中沒有達到預期效果。

數據權屬未明阻礙數據要素價值的充分釋放

如何確定數據資源權屬、明確科學的數據定價機制仍然是數據立法亟待解決的關鍵問題。這也是當前理論和實務界極具爭議的議題。由于數據權屬不清，大量數據無法進入數據交易市場進行合法交易，滋生“數據黑市”和數據壟斷，掌握海量數據的超大型互聯(lián)網公司憑借自身的壟斷優(yōu)勢形成“圍墻花園”，阻礙中小互聯(lián)網企業(yè)的技術創(chuàng)新與發(fā)展，數據確權對于保護數據勞動、激勵數據流動和開發(fā)利用、促進產業(yè)加速變革具有重要作用。

雖然我國《民法典》第127條率先對數據之上的民事權益保護作了宣示性規(guī)定，中央也在《關于構建更加完善的要素市場化配置體制機制的意見》《中共中央關于制定國民經濟和社會發(fā)展第十四個五年規(guī)劃和二O三五年遠景目標的建議》等多個政策文件層面都明確強調要建立數據要素產權制度體系，但如何確定數據權益以及數據的歸屬問題目前未有一部法律、法規(guī)或政策文件作明確的規(guī)定。傳統(tǒng)實踐是通過設立產權的方式來界定物體的權屬邊界，產權的實質是調整客體背后不同關聯(lián)主體之間的利益關系，一方面，與一般客體不同，數據具有非損耗性、非“物”上的排他性、智慧勞動不明顯等新特征，無法套用以往的物權、債權和知識產權保護制度。另一方面，由于數據權屬涉及不同類型的數據來源者、數據處理者以及國家等多方主體之間的利益協(xié)調，既要保護數據來源者的人格權和財產權，又要保護數據處理者的基本權益，激勵數據的開發(fā)利用，多種權屬和價值疊加使數據確權變得異常復雜。目前，國內理論界對數據權屬存在數據財產權說、數據許可合同說、有限產權說等多種學說，但仍停留在學術探討層面，距離立法還欠缺成熟度。

數據安全治理的部門分工和統(tǒng)籌協(xié)調有待強化

法律的生命力在于實施，從紙面上的法到具有實際可操作性最主要實施力量是靠各分管部門的具體執(zhí)法活動，就目前的數據監(jiān)管來看主要存在兩方面的矛盾，一方面，巨大的數據規(guī)管需求與監(jiān)管部門有限的行政資源之間存在張力，信息和數據違法違規(guī)的案件越來越多，實際監(jiān)管工作中對個人信息保護的執(zhí)法卻不夠徹底和全面，致使公民的個人權益和國家安全得不到保障。另一方面，數據治理存在部門化、利益化、治理目標不統(tǒng)一等現(xiàn)象，中央不同部門、中央與地方以及地方不同部門之間都存在權限不清、權界不明的問題，例如，在筆者對地方網信部門一線工作人員的調研訪談中發(fā)現(xiàn)，目前，中央和地方網信部門的數據監(jiān)管能力和監(jiān)管資源方面存在嚴重不對等，地方在履行網絡和數據安全監(jiān)管責任所需要的技術人才和執(zhí)法資源方面面臨巨大缺口，尤其是區(qū)、縣一級的網信監(jiān)管部門，導致很多執(zhí)法工作無法展開。與之相關的另一種現(xiàn)象是，雖然目前網信、工信、住建、公安、國安等各部門均有數據執(zhí)法的案例，在具體案件中，仍然存在各個部門職責不清、權力重疊等一系列妨礙執(zhí)法有效開展的問題，一些部門因為權責存在爭議、矛盾和推諉扯皮現(xiàn)象，這些都增加了企業(yè)的合規(guī)成本，不利于數字經濟的健康發(fā)展。

數據跨境傳輸渠道與跨境貿易需求不對等，管理機制與國際化接軌程度不夠

信息流引領技術流、資金流、人才流、物資流，沒有數據的流動就沒有經濟社會的發(fā)展，所有跨境貿易、物流本質上是靠數據的支撐推動，數據跨境已經成為當前國際貿易的基本需求，各國在數據跨境規(guī)則領域展開激烈博弈。在此背景下，我國于2022年7月出臺了《數據出境安全評估辦法》，公布了個人信息保護的認證文件和個人信息出境標準合同模版，同時，我國《數據安全法》、《個人信息保護法》還規(guī)定了我國締結或參加的國際條約、協(xié)定對向境外提供個人信息的條件有規(guī)定的，可以按照其規(guī)定將執(zhí)行，以及對境外司法、執(zhí)法機構在境內調取數據作出限制，必須經我國主管機關批準，由此，形成我國數據跨境的“3+1+1”通道。

但制度的順利實施依然面臨很多挑戰(zhàn)，尤其是伴隨數據跨境貿易實踐的不斷深入，跨國企業(yè)遇到了在政策制定之初尚未顯現(xiàn)的問題，“3+1+1”方式已經遠遠不能滿足巨大的數據跨境需求和多樣的跨境場景，國內外很多企業(yè)提出希望對數據跨境提供更加便利、更為多元化的通道。對此，國務院印發(fā)了《關于進一步優(yōu)化外商投資環(huán)境 加大吸引外商投資力度的意見》，提出“探索便利化的數據跨境流動安全管理機制”。

數據安全法治治理體系建設的國際輿論環(huán)境形勢依然嚴峻

雖然我國已經建立了較為完善的數據安全治理體系，龐大的網絡用戶和數據經濟體量使我國在很多領域擁有眾多的標準規(guī)范場景，這是其他國家所不具備的，并且在數據治理的國際規(guī)則領域還存在著很多空白和不足，客觀層面看，我國提出的數據安全治理規(guī)則應該獲得較高的認可度和接受度，能夠在國際標準和規(guī)則制定方面發(fā)揮更大的國際影響力。實際上，我國數據法治治理體系建構的國際輿論環(huán)境依然嚴峻，雖然《聯(lián)合國憲章》早將主權平等原則確立為當代國家關系的基本原則，在網絡空間治理中，尊重各國自主選擇網絡發(fā)展道路、網絡管理模式、互聯(lián)網公共政策和平等參與國際網絡空間治理的權利是應然選擇，但西方國家多次抹黑、歪曲和炒作我國網絡和數據安全立法來質疑中國的營商環(huán)境，污稱中國在實施網絡攻擊和竊取他國數據，對中國的國家形象和企業(yè)出海帶來了負面影響。

我國數據安全法治治理體系建設的未來展望

數據安全法治治理體系建設是一項系統(tǒng)性工程，需要結合快速發(fā)展的數據業(yè)務不斷深化對數據法治治理體系建設的認識，完善數據治理體制機制，自上而下全面推進數據治理實際工作，彌補社會對數據發(fā)展期望與法治體系建構之間的差距。

對相關法律概念、規(guī)則和標準予以細化，強化部門監(jiān)管和分工

我國網絡和數據安全立法不斷深化和推進中，未來立法仍需要從由無到有、由多到好向由好到優(yōu)轉變，對相關的法律、法規(guī)和標準予以規(guī)范化和科學化，解決立法之初未加以精確論證的歷史遺留問題，實現(xiàn)“良法善治”。在遵循現(xiàn)有法律制度方針的基礎上，需要結合數據業(yè)務建設情況以及一線監(jiān)管中面臨的現(xiàn)實問題和需求，從法律條款和規(guī)則的統(tǒng)一性和落地性出發(fā)，全面優(yōu)化數據管理體制，對相關的法律條文、概念、規(guī)則和標準進一步予以明晰，消除數據監(jiān)管和合規(guī)中存在的盲區(qū)，進而更好地指導一線監(jiān)管部門的數據安全保護執(zhí)法工作，讓數據要素市場能夠在良好的生態(tài)環(huán)境中加速建立起來。同時，明確各部門的分工與權責邊界，推動中央和地方以及不同部門間在數據實際監(jiān)管工作中的統(tǒng)籌協(xié)調。

探索多元化的數據跨境傳輸機制，抓緊建立符合國際慣例的數據出境安全管理制度

數據跨境流動規(guī)則機制是國家參與國際貿易的重要突破口，我國已相繼宣布申請加入《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）和《數字經濟伙伴關系協(xié)定》（DEPA），簽署的《區(qū)域全面經濟伙伴關系協(xié)定》（RCEP）也已經生效，這些協(xié)定均對數據跨境傳輸作了專門規(guī)定，客觀上要求我國抓緊建立符合國際管理的數據出境安全管理制度。[3]數據跨境自由傳輸是常態(tài)，限制是例外，下一步，要針對當前數據跨境面臨的主要問題、企業(yè)跨境需求，對于相關的綠色通道、國際協(xié)議進行專門性研究，積極推進出臺數據跨境的負面清單制度，研析如何高標準對接國際規(guī)則，同時，研究其他國家或地區(qū)已有的、較為成熟的數據跨境傳輸機制，如充分認定制度、約束公司規(guī)則（BCR）等，可以基于我國具體國情適時進行轉化性引進和適用。

構建新型數據權屬模式，推動我國數據治理規(guī)則的國際化躍升

從立法層面確定數據權屬是數據要素化、數據資產入表的前提，未來一段時間需要持續(xù)分析、探討把握數據要素的特性，明確收集數據的類型和定價機制，以及數據流通的范圍、標準、原則、程序，健全數據要素流通規(guī)則，滿足數據主體隱私等人格權保護需求、數據控制者和第三方從數據的采集和處理等活動中的使用和收益的權利需求，以及國家對數據主權和安全考慮的訴求，同時平衡數據的產權屬性和公益屬性、經濟發(fā)展與安全保護、企業(yè)和個人等利益關系，構建中國特色的數據權屬制度。如果中短期內在立法上無法確立數據權屬，可以從務實的角度出發(fā)，先構建數據登記制度、數據公證制度、數據信用體系和標準化體系等具體制度，推動數據向現(xiàn)實生產力轉化。

積極研判數據安全治理的國際輿論，提升國際話語權

習近平總書記在2016年網絡安全和信息化工作會議中就曾強調，目前“大國網絡安全博弈，不單是技術博弈，還是理念博弈、話語權博弈”。未來，除了在技術和規(guī)則積極展開國際博弈外，亟待提高我國網絡安全和數據安全的輿論斗爭和對抗能力，積極研判網絡安全、數據安全法治體系建構的國際輿論環(huán)境。在傳播科技推動下，傳播方式、輿論格局、傳媒生態(tài)都發(fā)生了深刻變化，因此需要深入研究網絡和數據安全事件的傳播路徑、輿論場域的形成機制以及國際受眾的認知和接受過程，在理清規(guī)律的基礎上設置議程、爭奪話語權，占據網絡輿論戰(zhàn)的優(yōu)勢地位。同時，提升我國數據安全治理相關法律、法規(guī)和政策文件的國際傳播度，增加對我國數據安全治理規(guī)范認識和認同度，加強與各國同行的相互交流與合作，積極參與國際規(guī)則、標準、倡議的制定，推動我國數據相關法律、管理規(guī)范、標準融入國際規(guī)則體系，正面回應國際社會的普遍關切。

【本文作者為中國科學技術大學公共事務學院、網絡空間安全學院教授；中國科學技術大學公共事務學院博士后研究員楊林對本文亦有重要貢獻】

注釋

[1]房毓菲：《推動協(xié)同治理 健全數據治理體系》，《中國信息界》，2023年第1期，第44—47頁。

[2]趙精武：《個人信息出境進入“標準化”法治時代》，中國網信網，http://www.cac.gov.cn/2023-03/07/c_1679832118593808.htm，2023年3月7日。

[3]左曉棟：《數據跨境流動的博弈與規(guī)制方向》，《北大金融評論》，2023年第2期，第97—100頁。

責編：馮一帆／美編：石 玉