《數據安全法》正式敲定，能否保護數據安全？

文/陳根

在全球信息化進入全面滲透、跨界融合、加速創新、引領發展的大背景下，全球進入大數據時代，數據呈現爆發增長。隨著數據在數字經濟時代的社會治理和數字化商業轉型中扮演著日益重要的角色，數據安全，也日漸成為數字風險治理中最重要、最復雜、最具挑戰性的工作。數據規則亟待建立。

在這樣的背景下，2020年6月28日，《中華人民共和國數據安全法》（草案）在第十三屆全國人大常委會第二十次會議審議。2021年6月10日，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）經十三屆全國人大常委會第二十九次會議表決通過，并將于2021年9月1日起正式施行。

《數據安全法》經歷三次審議與修改，終于成為數據領域的基礎性法律，也成為國家安全領域的一部重要法律。作為一部統籌數字經濟時代“安全與發展”并重的法律，《數據安全法》標志了個人數據野蠻掘金時代的結束，也將為下一階段數字經濟的發展提供更多保證。

《數字安全法》保障數字價值實現

從內因來看，《數字安全法》的出臺根源于人們日益增長的對數據的巨大需求以及不可忽視的愈演愈烈的數據安全風險。

當前，全球經濟特別是傳統經濟增長緩慢，迫切需要通過新的經濟增長點拉動內需，增加就業，而數字經濟正是切入點和發動機。數據已成為名副其實的資產，與資本、勞動力、土地、技術等并列為重要的生存要素，而人們對于海量數據的運用也將引發全球新一輪的生產力增長與創新。

事實上，近年來數字經濟的增速證明了數字經濟發展空間巨大，數字經濟已成為我國國民經濟增長要素的重要一員。中國信息通信研究院發布的《中國數字經濟發展白皮書》數據顯示，我國數字經濟的總體規模已從2005年的2.62萬億元增長至2019年的35.84萬億元，數字經濟總體規模占GDP的比重從2005年的14.2%提升至2019年36.2%。

在這一過程中，人們對于數據價值的認識得以不斷演進。這從中國信通院《中國數字產業發展白皮書》歷年表述中便可見一斑：自2017年數字產業化和產業數字化的“兩化”框架，到2020年數據價值化、數字產業化、產業數字化、數字化治理的“四化”框架，數據業已成為重塑生產力的核心。

然而，在面對傳統經濟模式失速、國際環境復雜嚴峻、國內任務艱巨繁重的現在，以數據為關鍵生產要素的數字經濟成為增長的新動能、就業的新空間。但是，在“數據”價值由此倍增的背景下，數據安全風險卻愈演愈烈。

在過去的傳統數據時期，數據在運營過程中處于被動地位，數據收集成本較高，所以多以商業盈利為主導。這時候數據結構秩序規范，數據量相對較為有限，對數據的掌握滯留在管理方法層面，并逐漸發展出數據庫、數據倉庫、數據一體化等技術。彼時，數據遭受的重要難點還是安全風險防控，即維護數據不被黑客攻擊和不當得利，確保導出結果的精確性和一致性。

隨著大數據時代的到來，數據收集更為便捷，數據在個人移動智能終端、佩戴式設備、傳感技術設備上源源不斷地產生，數據量也隨之暴增，并開始呈現以個人數據為主導，具備大采集特點，并逐步發展數據驅動、數據挖掘、云數據庫等技術。與此前借助數據進行判斷推理不一樣，該階段完全利用大數據進行驅動，數據安全與隱私泄露問題日趨嚴重。

Risk Based Security數據顯示，在2019年1-9月中，全球就發生了超過五千次的數據泄露事件，近八十億條數據被暴露，2019年的數據泄露量同比增長超過百分之三十。

其中不乏大廠，比如，Facebook數據泄露事件導致市值瞬間蒸發，還面臨50億萬美元的巨額罰款，數據泄露成本巨大。阿里巴巴旗下東南亞電商平臺Lazada也曾遭遇黑客攻擊，大量客戶數據被泄露。

除了個人和企業，數據安全保障能力也是國家競爭力的直接體現。數據安全是國家安全的重要方面，也是促進數字經濟健康發展、提升國家治理能力的重要議題。盡管現階段我國政府并未面臨大規模的數據泄露，但政務數據的共享開放不可避免面臨與日增長的挑戰和風險。

從某種意義上講，要保證數據的絕對安全，就要將數據全部物理隔絕，變成“死”數據，這樣顯然是最“安全”的，既拿不走，也不能破壞。但這樣做卻也損失了數據的價值——

數據只有在流動、分享、加工處理過程中才能創造價值。可以說，《數字安全法》的核心正是保障數據在安全可控的情況下使用并發揮價值。

《數據安全法》保障國家安全

當然，《數字安全法》也離不開外力的造就。

2018年9月，《數據安全法》和《個人信息保護法》同時列入全國人大常委會委“條件比較成熟、任期內擬提請審議”的69部法律草案之中。究其原因，則與全球數據治理的進程密切相關。在全球數據治理的視野里，2018年絕不平凡。

2018年3月，時任美國總統特朗普正式簽署了《澄清域外合法使用數據法》，法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件。無論服務提供者的通信、記錄或其他信息是否存儲在美國境內，都要求服務商根據該法案進行調取并提供相關證據。

4月，爆發了轟動全球的“Facebook數據門”事件，8700萬Facebook用戶的個人數據被出賣給一家叫做“劍橋分析”的公司。這家公司操縱這些數據，最終成功地通過選舉程序，使得英國脫歐、特朗普上臺，扎克伯格因此出席美國參眾兩院聽證會。

5月，號稱史上最嚴個人信息保護法的歐盟《一般數據保護條例》（GDPR）正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外，只要處理的是歐盟境內居民的數據，均適用此法案，對數據實施長臂管理。

這三次重大事件分別從不同維度向中國揭示了數據的重大意義。

首先，《澄清域外合法使用數據法》顯示，數據關乎國家主權。該法源于美國政府訴微軟一案。美國司法部為調查某毒品走私犯罪，向紐約南區聯邦地方法院請求核發搜查令，要求微軟提供某電子郵件帳戶使用者的通訊信息，但因該通訊信息的服務器存放地為愛爾蘭都柏林，微軟拒絕提供，主張美國法官無權對境外存儲的數據核發搜查令。

2018年2月6日，美國4位參議員提交《澄清域外合法使用數據法》草案，塞入等待批準的《2018年綜合撥款提案》。短短一個月后，經特朗普簽字生效。該法改變了《存儲通信法》的模糊規定，旗幟鮮明地采取了“數據控制者標準”，將數據主權從物理層邊界延伸到技術上的“控制邊界”。

其次，Facebook數據丑聞表示，數據關乎國家政治。劍橋分析的“種子用戶”來自一款發布在Facebook上的心理測試app，這個心理測試通過分析點贊等社交行為，給一個人進行心理畫像。并且，即便是用戶沒有使用某款app，只要其朋友使用了，那么該用戶的數據也就一并被抓取，進入模型，被算法分析。

就是這樣，從27萬用戶畫像，擴展到了5000萬，并且該公司宣稱，以這5000萬個樣本為基礎，他們可以精準預測全體美國人的行為。在收集數千萬Facebook用戶數據后，劍橋分析將其運用到2016年美國總統大選中，為特朗普打造針對性廣告，終于潛移默化地影響了選民。

最后，GDPR表示，數據關乎全球博弈。在數字經濟的世界版圖上，歐洲無疑是落后者。但伴隨著GDPR的生效，它以一種新的方式改變這一格局。

首先，歐盟通過GDPR擴張其境外管轄權，不論數據控制者、處理者及其處理行為在歐盟之內還是之外，但凡處理的是歐盟境內居民的數據，均適用歐盟法律。其次，歐盟以基本權利保障為由，禁止個人數據流入未獲得“充分性認定”的國家。最后，歐盟借此向全球擴張其制度理念，并為世界個人信息保護法樹立新的標準。

目前，全球已有近100個國家和地區制定了數據安全保護的法律，數據安全保護專項立法已成為國際慣例。在這樣的背景下，《數字安全法》的出臺更被賦予保障國家安全的重大使命。?

開啟數字安全新階段

事實上，《數據安全法》正式出臺之前，國務院已發布多個相關政策規定：

2015年發布《促進大數據發展行動綱要》，2018年發布《科學數據管理辦法》，2020年發布《關于構建更加完善的要素市場化配置體制機制的意見》。2021年3月12日，《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》發布。這也充分體現了數據安全政策導向明確，國家數據戰略清晰。

在這樣的背景下，我國正式出臺《數據安全法》，這既標志了個人數據野蠻掘金時代的結束，也將成為數據要素國家戰略重要的法制基礎，是數據要素國家戰略的基本法。

一方面，《數據安全法》明確了數據活動的紅線，在法律法規允許的條件下，推動數據共享，發現數據價值。比如，在《數據安全法》的第六章明確了數據活動的法律責任，對于不合規行為予以處罰或處分，構成犯罪的，依法追究刑事責任。再比如，《數字安全法》提出建立健全國家數據安全協同治理體系，有關部門、行業組織、企業、個人應共同維護數據安全，促進數據經濟發展。

此外，類似于網絡安全等級保護制度采用的分級管理，《數據安全法》第二十一條規定，國家建立數據分類分級保護制度。數據分類分級的標準是“根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度”。

確立分級分類保護制度，對不同等級不同類別的數據采用富有彈性的管理方法，是在數據安全性和數據的流通和利用對于數字經濟的重要性之間尋求平衡的結果。相應地，則由國家數據安全工作協調機制來統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。

可以說，《數據安全法》的頒布向社會釋放了這樣的信號：盡管平衡“個人數據保護”與“數據價值挖掘”這兩者之間的矛盾依舊有待商榷，但在全球范圍內，針對個人數據野蠻掘金的時代已經結束了。

另一方面，《數據安全法》除了高舉數據基本權利大旗的道德至上主義者，更彰顯了其對于數字經濟的關鍵作用。數字經濟持續高速增長正成為經濟高質量發展的新引擎。目前，數據產業已經形成一個完整產業鏈，涉及數據收集、存儲、加工、使用、交付、流通等諸多環節，但卻面臨政策鼓勵數據應用與流通交易，法律法規相對滯后的情況。

在《數據安全法》以前，中國個人數據保護以分散立法為主，未制定專門統一的個人信息保護法，而《數據安全法》的公布，加速推動了一個關于行政法規，部門規章，國家標準、行業標準及自律公約等個人數據保護的基本法律框架的形成，也是對中國未來數據保護制度建設的頂層設計和思考。

此外，《數據安全法》在第五章特別提到了政務數據的安全與開放。從數據的來源來看，目前大數據資源主要掌握在政府手中，因此要充分發揮大數據的價值，完善政府數據開放制度，推進政府數據開放是必不可少的重要一步。

可以說，《數據安全法》是繼《網絡安全法》提出數據的概念后，我國在數據安全立法層面的又一個重大里程碑。毋庸置疑，作為數據安全管理的基本大法，《數據安全法》實施后，單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源，都應當依法建立健全數據安全管理制度，采取相應技術措施保障數據安全。數據安全，人人有責。

來源：澎湃新聞