6月10日，經歷三次正式審議的《中華人民共和國數據安全法》（以下簡稱“數據安全法”）最終由全國人大常務委員會會議通過，并將于2021年9月1日起施行。這部法律是數據領域的基礎性法律，正式確立了我國數據安全領域的基本法律框架。

在數字經濟時代，數據的重要性毋庸諱言。隨著社會經濟的發展，信息化、數字化已經成為趨勢。中共中央、國務院發布的《關于構建更加完善的要素市場化配置體制機制的意見》也將數據作為新的生產要素上升到基礎戰略資源地位。據工業和信息化部副部長劉烈宏介紹，“十三五”時期，我國大數據產業年均復合增長率超過了30%，2020年產業規模超過了1萬億元。當前，數據對經濟發展、社會治理、人民生活都產生了重大影響，已成為國家基礎性戰略資源。

不過，隨著數據利用在各個領域的不斷深入，數據安全領域也暴露出一些問題。無處不在的攝像頭、手機上的應用程序（APP）、越來越普及的物聯網設備，在給我們的生活帶來諸多便利的同時，也暴露著我們的隱私，而網絡黑產的攻擊，更是造成了安全隱患。

“當前，全社會的數據安全意識還沒有達到應有的高度，對數據治理還沒有科學的認知?！敝袊ù髮W互聯網金融法律研究院院長李愛君在接受《金融時報》記者采訪時表示，當前，個人信息保護和隱私保護的有效個人維權能力不足，數據安全的生態環境還沒有形成，數據安全的相關標準缺乏，數據安全監管的技術手段不足，亟待進一步構筑起更好的用戶數據隱私保護和數據安全保護屏障。

“而此時推出數據安全法，正是為了更好推動相關規則的完善?！北本┦芯煟ㄉ钲冢┞蓭熓聞账摵蟿撌既?、京師深圳法律研究院院長王巖飛對《金融時報》記者說。他強調，現行的網絡安全法、民法典以及部分法規、條例、標準等文件中雖然對于數據處理活動有所規制，但依然有所欠缺。數據安全法的出臺，將對數據處理活動、數據權益、數據保護和利用、政務數據開放共享、數據交易等方面從法律層面進行規制，指導實踐活動。

數據安全保護升級

在王巖飛看來，當前數據開發利用的過程中凸顯了很多前沿的法律問題，比如數據產權制度、數據產權保護和利用機制、數據隱私保護制度、政府數據開放共享以及數據交易等方面。

這也是一個全球性難題。為此，世界各國和地區相繼出臺了相關的保護數據安全與數據隱私的法律法規。歐盟出臺了通用數據保護條例（The General Data Protection Regulation，簡稱GDPR），對企業收集、控制和處理個人數據的方式做出了嚴格規范，如果違反GDPR，企業將面臨高達2000萬歐元或全球年營業額4%（兩者取其高）的巨額罰款；比如美國出臺了相關數據保護法——加利福尼亞消費者隱私法案（CCPA），根據規定，罰款金額范圍定在按受影響用戶人數計，一個擁有百萬級用戶賬戶的網絡服務很可能因違規被罰款至倒閉。

而我國的數據安全法旨在通過數據分類分級管理、數據安全審查、數據安全風險評估、監測預警和應急處置等基本制度，以總體國家安全為出發點和落腳點保障國家數據安全，促進數據開發利用，為有效應對數據這一非傳統領域的國家安全風險與挑戰提供了法律依據。

記者了解到，數據安全法可能與網絡安全法、個人信息保護法（草案）一起，共同構成我國網絡安全體系建設中的關鍵立法，為后續的網絡和數據安全以及數據流動奠定基礎?！皵祿踩ㄊ俏覈畔祿⒎ǖ年P鍵立法，我國正在建設完備的數據信息安全體系，未來將以三部法律（前述三部）為核心來推進網絡安全體系建設。三者相輔相成，互為補充，數據安全法主要規范數據處理活動和數據開發利用，保障數據安全?！敝心县斀浾ù髮W數字經濟研究院執行院長、教授盤和林告訴《金融時報》記者。

“可以說，數據安全法對于所有領域的數據處理活動都有規范，但主要還是對于涉及數據敏感、數據量大的行業具有重要影響?！蓖鯉r飛表示，互聯網企業、金融領域是敏感數據集中、數據量巨大的行業，數據安全法要求這類領域的企業和機構要做好全方位合規工作，包括商業模式合規、分類分級數據管理、嚴格數據出境審查、加強技術和計算機系統方面的有效措施、建立健全全流程數據安全管理制度、組織開展數據安全教育培訓、設置完善應急措施、進行定期風險評估，等等，否則將面臨行政處罰或者刑事責任。

而在盤和林看來，由于傳統金融業一直重視風控體系，所以，數據安全法的發布只是通過外部規范加強了數據管理，影響不大。相應的，這部法律對于數據基礎行業，比如數據清洗、數據處理、數據存儲和管理、數據預標注、數據第三方將產生較大影響。

安全與利用求平衡

因其收集數據的規模和內容的敏感性，公共領域的數據收集和利用也頗值得關注。如何平衡開發利用和安全保護頗具挑戰性。

“隨著政府信息化建設，政務數據統一管理和數據開放成為監管趨勢?！蓖鯉r飛表示，但電子政務系統的建設維護、政務數據的存儲加工，很多都是委托專業機構實施的。

正是基于此，數據安全法從政務數據安全的層面對數據的收集、安全管理、委托他人存儲和加工以及向他人提供政務數據的行為進行了規范?！皩φ諗祿踩c開放進行了規定，推動了政務數據的開放?！崩類劬龔娬{。

在具體實踐層面，政務數據系統建設和利用時還涉及政企合作。目前，智慧城市和政務數據建設中，有很多政企數據融合互通的模式。王巖飛表示，在這方面，政府部門在政務數據向企業開放時，要明確數據權屬、制定和落實管控制度，對于企業利用政務數據商業化運作的模式要設置合法合規性審查，還要嚴格對企業再次轉讓共享政務數據進行監管，避免政務數據開放中的違法違規行為。

“可以考慮推進數據管理綜合第三方。第三方可以是企業，也可以是政府主導。此舉既可以解決公共數據的外部性管理難題，也能將數據所有權和管理權分離，便于外部監管?！北P和林建議。

相比跨機構的監管，盤和林更擔心數據在機構內部的“濫用”風險以及相關監管的缺位?！皵祿踩ǜ訌娬{數據的公共性，對數據進行分級，對數據使用進行監管，但數據使用在企業內部是比較封閉的狀態，外部監管如何滲透到企業內部數據使用是一個難點?！彼麖娬{說。

讓數據為人服務

數據安全法絕非一部“冷冰冰的條文”，多可見人性化的規定。比如數據安全法第十五條規定，國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

“從政府層面講，此條規定主要在于保障老年人、殘疾人平等地享受公共服務，一方面可見立法者重視平等、公平，另一方面也體現了人性立法?！蓖鯉r飛表示，其實不僅是公共服務領域，當前，國家在推行信息化建設，各地均在建設智慧城市，商業環節中互聯網化程度越來越高，在商業環節中杜絕一刀切的信息化，考慮老年人、殘疾人以及落后地區群眾的基本條件和特點也有必要。

“例如，一是不能強制使用信息化產品，比如餐飲消費環節中不能強制掃碼點餐，不能強制網絡支付等等；二是在產品設計時應考慮老年人、殘疾人等的特點，針對特點設計產品或者產品中的服務技術?！彼忉屨f。

與顯性的“適老設計”同樣重要的是一些隱形的規則。數據安全法第八條規定，開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理。第二十八條規定，開展數據處理活動以及研究開發數據新技術，應當有利于促進經濟社會發展，增進人民福祉，符合社會公德和倫理?！斑@種合規不僅包括合法，還包括涉及社會公德和倫理的問題，部分情形混合著違法違規行為，而部分情形僅是社會公德和倫理問題。比如AI倫理問題、大數據‘殺熟’、消費歧視、個人信息財產權益定價問題等。對于數據處理活動，應對數據分析和產品設計添加社會公德和倫理審查環節，避免投入市場后才發現違反社會公德和倫理，數據安全法對于社會公德和倫理的合規要求，也有利于新興問題中的法律適用?！蓖鯉r飛強調說。

當然，上述法律在具體執行層面還亟待細則的不斷完善。李愛君提醒，《數據安全法》彌補了我國有關“數據”為規范客體的法律空白，但要讓其中的規范真正發揮其立法目標，還要制定具體的標準，如重要數據的標準、數據交易具體規制、數據治理的內容等。

責任編輯：王煊