數據安全保護體系的檢視與構建
——以《數據安全法》為切入點

朱斌斌

(華東政法大學刑事法學院，上海 200333)

一、提出問題

在大數據時代，數據保護與利用呈現出愈加重要的意義，伴隨著數字經濟戰略的全面開展，數據作為具有科技性、價值性、戰略性等特征的重要生產要素，已與當前社會的經濟、科技、政治、民生等版塊息息相關。在這一過程中，數據功能的開發與利用不斷在深入，然而在數據產業鏈不斷生成與革新的同時，大數據技術在信息安全、數據壟斷、數字鴻溝和隱私侵害等方面對數據安全構成了巨大挑戰。互聯網經營者大量收集、存儲、使用消費者用戶數據、由此引發惡意廣泛收集數據、隱私信息泄露等諸多問題，成為數字技術商業化發展懸而未決的問題。[1]

在網絡黑灰產業鏈的不斷興起中，各類數據的泄露風險激增，數據安全成為社會經濟發展與隱私安全的重要保障，為了加強數據保護力度，我國數據保護法律體系在不斷完善，一系列規范性文件不斷出臺。2020年5月28日《民法典》出臺，在人格權編的“隱私權和個人信息保護”這一章節，確立了對隱私權和個人信息保護的相關原則。2021年4月29日，《個人信息保護法(草案二次審議稿)》在中國人大網公布，向社會大眾征求意見，也在其中規定了個人敏感信息的處理原則。2021年6月10日，《數據安全法》經審議正式通過，本法在總體上展現了我國國家安全觀的要求，有“數據安全領域的基礎性法律”地位。《數據安全法》將數據作為生產要素的總體發展布局，凸顯出國家對數據安全的高度重視。雖然對于數據保護進行了諸多的立法，但從目前來看，具體如何貫徹落實仍然有待商榷。

二、《數據安全法》視域下的數據安全保護體系

(一)《數據安全法》總體布局與概念厘清

作為數據安全領域內的基礎性法律，《數據安全法》對于數據利用及保護發揮著極為重要的作用。本法所建立的數據保護體系已經較為全面，目前這一立法剛正式生效不久，為了確保本法在司法適用時，能夠與其他調整數據法律關系的法律進行較為妥善的銜接適用，有必要對這一數據保護體系進行闡釋，從而妥善安排數據安全保護計劃。

《數據安全法》共7章55條，分別為總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任及附則。在總則部分對于數據等基本概念做出了詳細的界定，在余下章節分別介紹了數據安全及發展的相關制度安排、數據的合理使用與流轉要求、國家政務數據制度安排、數據安全保護義務及法律責任等內容。

在《數據安全法》中，對于數據做出了概括性的規定，認為數據是任何以電子或者其他方式對信息的記錄，解決了數據定義模糊不清的問題，也就意味著數據屬于信息的外在表現形式之一，而信息屬于數據的實質內容。不過數據通常以虛擬性的電子記錄形式存在，具體來源廣泛而又復雜，不僅包括政府基于行政管理職能或公共服務而獲取的數據，而且包括互聯網運營者在商業貿易中獲得的數據，除此之外，還包括公民上傳或記錄的個人信息，數據具體內容的紛繁復雜，導致相應的保護措施缺乏針對性，從而較難制定出行之有效的政策制度。

(二)健全完善數據安全制度

在《數據安全法》第二章、第三章中，在宏觀層面指出，國家大力推動數據經濟發展戰略，確保數據的開發與利用能夠穩中向好、不斷向前發展，而后在中觀層面，由于數據合法正當的流轉與利用，離不開相應數據行使規范的約束，為了促進數據發展、維護數據安全，國家不斷推進完善國家安全制度的建設。從具體制度的構建而言，數據安全保護體系呈現出多層次、分階段的系統性特征。在數據交流前端，由于數據交流或者交易過程中，離不開目標客體或者相對方的作用，首先需要對于數據安全進行評估，才能夠確認數據是否能夠被獲取并加以利用，從而數據安全檢驗這一制度的設立，體現出較為重要的意義。其次，數據交換過程的合理合法且有效，離不開相應平臺的充分利用，通過健全完善數據交易管理制度，可以實現數據流轉的高效快捷，同時也利于監管部門進行數據安全監測及監管。在第三章中，也針對數據安全進行了一系列的制度安排。在數據交流中端，為了避免數據具體類型的多樣性帶來的管理不利等問題，針對性地制定了數據分級分類保護制度，從而防止出現防護力度不足的問題，同時也在《數據安全法》中設立了相應的監管、報告、信息共享機制，進行補充完善。而在數據交流末端，當發生數據安全事件時，通過建立數據安全應急處理機制、數據安全審查制度等制度，進行及時糾錯、事后補救、從而減輕不利影響。可以發現，在數據交流的全過程都能夠實現及時保護，相關制度政策的出臺，較為全面的完善了這一數據安全保護體系。

(三)確認數據安全保護義務

數據保護制度的貫徹落實，離不開多元主體間的通力合作。根據數據保護的具體制度安排，本法在第四章確立了不同行為主體的數據安全保護義務，因而在具體義務承擔上有所區分，根據主體可以劃分為一般主體、重要數據處理者、中介方、經營者等所要負責的具體義務類型。在第27條強調了一般主體在開展數據活動時，要遵守法律法規和國家標準的要求，其次，結合數據分級保護的需要，多次強調了重要數據處理者的數據安全責任，有效提高了重要數據的保護力度，在第30條和第33條，區分了在數據交易中存在指定風險的相關主體，對癥下藥，結合風險端口的特性，從而進行不同管理，在數據保護中呈現出分層次、分主體的特點，從而實現了社會資源的充分利用。最后，額外提及了一些其他類型的規范要求，比如在訴訟程序中，公安機關在調查取證時，具有調取數據的正當權利，以及為實現司法合作，具體落實我國所締結或參加的國際條約，依照約定我國需要承擔的義務，在本法應當有著銜接條款加以體現。

三、《數據安全法》缺乏配套的實施細則與標準規范

數據保護立法體系雖然在如火如荼地進行著，在中觀層面，《數據安全法》已經確立了數據分級分類制度、數據安全應急處置機制，建立數據安全審查等數據安全管理制度。但是，目前《數據安全法》已正式通過，這一數據保護體系雖然頗具前景，但缺乏與之相配套的實施細則與標準規范，無法通過精細化操作而貫徹落實，數據安全保護工作難以達到預期效果。

(一)數據分級分類規范尚不精細

在《數據安全法》中雖然存在數據分級分類的要求與劃分依據，但僅是數據分級分類制度的雛形。其中在劃分依據上，主要依靠數據重要性以及危害程度進行劃分，雖然重要數據可以通過列入保護目錄進行針對性保護，但其他數據如何進行分級分類仍處于不清晰的狀態，其次數據存在質與量的差別，即使是一般數據，但龐大的數據流泄漏問題，也會帶來足夠的社會危害性，因而嚴格來講，這一劃分標準缺乏可操作性。在數據交換的過程中，所涉及的數據因權益主體、所處專業領域、具體類型、敏感程度等不同，在被泄露后，所造成的損害結果呈現出較大的區別，因而并非將重要數據單列加以特殊保護，就能夠解決問題。嚴格來說，目前的數據分級分類標準仍然處于不明確的狀態，不同類型的數據無論是在具體內容上，還是在重要程度、保護需求、保護難度上，都存在較大的差異性，若不進行準確區分，將會導致數據泄露風險，并且，若對于公開數據強行施加嚴密保護，則會影響數據的共享與利用。

(二)數據風險防控制度尚不完善

由《數據安全法》可以發現，我國數據風險防控制度已經初具規模，從數據交流開啟端口的風險評估至結束端口的審查報告等制度，已經能夠實現數據交流全過程保護機制的覆蓋，但問題在于如此繁雜的數據風險防范機制，在《數據安全法》中寥寥數語進行介紹，僅僅發揮著宣示性的作用，仍然需要通過具體操作機制的建構，對這一防控體系進行完善。但目前看來，相關舉措的具體落實仍然不夠到位，這一問題的重要成因在于，有關主體對數據風險防范存在認知偏差。具體而言，在數據交流過程中，企業經營者往往以經濟利益為中心，在大數據運用過程中的操作不規范問題，也往往拋之腦后，對于數據安全風險缺乏考慮；其次，在數據交流監管層面，監管者的數據安全保障理念，往往還停留在傳統靜態信息保護階段，然而由于大數據時代下云計算、物聯網等先進科技手段，所帶來數據的動態流動、多層級流轉特征，缺乏與時俱進的數據保護理念，并不利于數據保護。此外，基于這一傳統數據保護理念，相關主體在數據保護手段的適用上、數據安全保護目標上進行簡單化認定，從而忽視了在數據流轉過程中產生的多路徑風險。

(三)數據共享機制尚不健全

在全面深化的數據商業模式中，數據共享作為數據交流機制的一環，也扮演著極為重要的角色。目前數據共享合作模式已經在實踐中充分展開，而問題在于相應的行業標準與規范指南等仍然不夠健全。首先，在數據處理技術層面，由于數據流的多元性與復雜性，在共享過程中，數據已經脫離所有者的控制，數據追蹤溯源技術并不成熟，無法跟蹤數據的最終去向和使用情況，使數據處于失控狀態；并且，由于數據脫敏技術不成熟，脫敏后的數據會改變數據間原有的關系，降低數據價值，同時部分企業為了降低成本，通過省略或簡化脫敏環節進行共享數據，導致數據泄露風險大增。這些問題導致及時制定開放共享策略的難度大大增加，從而在數據共享過程中不合規現象較為突出；其次，在數據共享管理制度層面，由于數據共享管理制度和操作流程不明確，會存在共享數據不及時、數據傳達效率滯后、發現問題后難以追溯等問題，也缺乏對數據流轉樣態、數據防護情況的細粒度監管手段；[2]最后，在數據主體的責任認定層面，由于數據流轉路徑的復雜性，導致諸多主體都有所涉及，因而在責任認定上具有模糊性，也因此往往由企業承擔相應法律責任，從而輕縱具體行為人，導致數據提供者的權益無法得到充分保護、涉及數據交易時的合法性難以保證，違規操作后的安全責任難以落實、監管職責難以履行。

四、數據安全保護計劃的建設

(一)完善數據分級分類保護制度

在數據分類制度的歷史經驗上，嚴格來說，我國并不缺乏。比如《證券期貨業數據分類分級指引》等規范性文件和行業標準，已然成功實現對特定領域和行業的數據分級分類。通過參考這些規范性文件，以求細化《數據安全法》數據分級分類保護制度，從而真正平衡數據安全與發展的關系。[3]

首先，需要確立數據分級分類的標準。由于數據來源、數據內容、數據類型呈現出較大的差異性，因而對于所有數據進行均等保護不具有現實性，數據保護制度的實現建立在數據合理劃分的基礎之上，考慮到數據因涉及各個專業領域，[4]而呈現出一定的專業性，筆者以為，可以通過按照數據所處專業領域進行劃分，比如可以將數據劃分為：司法、金融、醫療、商務、個人信息等類型，這一分類范式也有利于專業部門數據工作的迅速開展，在數據分級這一層面，可以根據數據的權益主體和所侵犯利益類型進行劃分，可以細分為國家安全、公共利益、商業利益、個人隱私等層次，實現數據類型的不同定位，對于不同數據的重要性程度加以明確，從而為保護措施的制定提供區分前提。

其次，對所劃分的不同級別的數據進行不同程度的保護。對于國家安全數據與公共利益數據應當劃歸為重要數據，列入重要數據保護名錄，在保護手段上加大投入力度，同時對于這部分數據，在制定設計上應當予以排除適用，比如在數據交易管理制度中，應當將重要數據進行排除，禁止非法交易國家安全數據、公共利益數據，而且在政務數據公開制度上，也應當將這部分重點加以考慮，從而劃分不同的開放程度，針對性的采取限制開放措施。對于商業利益數據，可以根據商業利益數據的不同表現形式加以保護，比如商業利益數據往往以知識產權的樣態呈現，直接適用相關規定進行治理即可，而在個人隱私數據這一層次，應當根據《個人信息保護法(草案)》的具體規定，從而結合個人信息保護的各項政策方針進行貫徹落實。

(二)細化數據風險防控機制

根據《數據安全法》，數據風險防控制度內的具體機制安排繁多，諸如風險識別及檢測預警機制、數據安全監管機制等內容，但這一數據風險防范體系，缺乏精細化的內容安排，為解決這一問題，通過技術創新、管理制度重構等方式加以調整，從而契合數據保護的需要。

在風險識別及檢測預警機制上，一般而言，在對于數據風險評估時，需要對于發現的風險點做到及時預警、及時上報，兩者在功能上具有密切聯系、相輔相成的特點，因此在這一層面，可以建立在已有的數據分級分類機制的基礎之上，通過數據溯源等技術進行數據治理，能夠實現數據流轉過程中的可追溯性，實現風險“看得見”這一效果，通過優化算法，從而能夠對于發生概率、可能造成的損失進行預估，再通過掌握數據的流動情況，從而能夠及時進行風險評估；其次，結合當前經濟社會發展狀況，根據現有行業標準，制定出具有適用價值的風險預警標準，從而在發生特定數據風險時，能夠加以截流、及時上報。

在數據安全監管機制上，目前我國數據保護體系由網信辦負責，并由相關行業部門負責行業監管的“1+X”體制，主要以國家數據安全保護為工作中心，[5]存在負責主體的單一性、保護內容的限定性等缺陷，為了解決這一困境，筆者以為，可以通過大數據平臺，建立信息共享機制，打破行政條塊分割產生的“信息孤島”問題。此外，為健全完善這一監管體系，可以通過與互聯網經營者等多元主體加強合作，形成協同監管機制，實現監管的全面化，并且在這一合作過程中，可以提供監管措施的有效性與針對性，從而綜合市場反應、手段有效性、反饋建議等因素，有機采用或組合多項政策手段實現監管質量的提高。

(三)構建數據共享安全機制

數據共享安全機制的建立，離不開大數據技術的支撐，通過前沿技術的綜合運用，可以有效提高相關政策的落實程度，同時，為了實現數字治理的高效便捷性，有必要對與數據共享管理機制進行優化，從而在整體上優化數據共享機制的操作步驟及配套措施。

首先，在技術革新層面，要運用大數據、云計算、區塊鏈、人工智能等前沿技術，推動數據共享風險防范手段的革新，必要時進行重點技術突破，比如加強數據追蹤溯源技術、數據脫敏技術的研發與運用，通過前沿技術手段的有效部署，推動數據共享安全機制及相關政策真正落實，除了落實常規安全保障要求之外，要注重保障數據全生命周期的安全，重點做好數據脫敏、數據標記、追蹤溯源、數據安全標識、數據加密存儲、風險控制和個人信息保護等，著力解決數據共享過程中敏感及隱私數據易泄露、共享數據二次流轉管控和越權使用等問題，實現數據共享全程可監測、可管控和可追溯。[6]

其次，在共享機制結構層面，在行政管理部門內部，健全完善工作交流機制，形成網絡對接平臺，進行統一規劃、實行統一標準，完成數據共享全過程的宏觀規劃與總體性布局。[7]而在對外合作層面，健全完善以政府為主導、多元主體共同參與的數據共享機制，利用大數據、人工智能等前沿技術，建立多層級、智能化的數據共享平臺，推動數據交流的便捷化與簡單化，促進多元主體不斷深化合作、不斷推進數據共享雙方朝著互利共贏的方向發展。

最后，在責任認定標準層面，可以在企業內部進行合規指導，從而培養單位內部人員的合規意識，同時通過準確劃分單位與個人的行為責任，從而防止責任混同現象的發生，落實違規操作后的安全責任。同時指導互聯網企業建立風險應對機制，實現數據風險來襲時的積極防御，同時在一定程度上，也能夠避免行為不規范所帶來的法律風險，督促企業在從事數據貿易時，履行一定的審慎義務。

五、結語

依托互聯網、物聯網、5G、人工智能等先進科技手段，傳統生產生活方式已經在數據革新中不斷蛻變。[8]在社會關系的交互過程中，數據呈現出去實體化的重要載體或媒介等工具特征，日益彰顯著重要的經濟價值。在數字商務的開展過程中，多有圍繞以數據為核心的不正當競爭行為發生，不法分子為了謀取海量經濟利益，常常會采用深度鏈接、流量劫持等技術手段盜取他人數據，數據的價值性與脆弱性形成了強烈的對比。為了健全完善數據安全保護體系，國家出臺了《數據安全法》，但本法存在缺乏配套的實施細則與標準規范的問題，從而無法得到有效貫徹落實，為解決這一困境，通過數據安全保護計劃的設立，具體方案呈現為數據分級分類保護制度、數據風險防控機制、數據共享安全機制三個維度，從而在每一維度下進行具體展開，推動數據流轉全過程保護機制的發展完善，全面貫徹落實數字經濟戰略。