李俊慧谈我国首部数据法律《数据安全法》出台：三大亮点需关注

　　文/新浪财经意见领袖专栏作家 李俊慧

　　数据法学研究或数据开发利用的春天都来了？

　　2021年6月10日，在第十三届全国人民代表大会常务委员会第二十九次会议上，《数据安全法》获审议通过，将于2021年9月1日起施行。

　　作为我国首部以“数据”或“数据安全”命名的法律，《数据安全法》获审议通过、即将施行，预示着我国数据开发与应用将全面进入法治化轨道。

　　对于从事数据法学研究和数据开发利用的人员来说，不论是理论研究工作，抑或是开发应用工作，都将迎来全新的发展阶段。

　　对数据法学研究者来说，《数据安全法》审议通过掀开了我国数据立法的序幕，预计后续围绕数据管理与应用、数据处理和治理等各种议题或焦点，还会逐步形成相应的配套法律法规，构建起顺应国际趋势、符合我国需要的数据法律体系架构。

　　对于从事数据处理活动的各类主体来说，比如企查查、天眼查等，又或者类似特斯拉、滴滴等，《数据安全法》的出台，意味着过往可能处于“灰色”地带的一些做法，需要对标对表立法要求，主动进行修正和完善，确保平台或企业对数据的处理活动处于法治化轨道之内。

　　那么，即将于9月1起施行的《数据安全法》，还有哪些亮点或要点值得关注？

　　亮点一：首次从法律上明确“数据”的定义

　　在《数据安全法》出台之前，有关“数据”、“数据库”以及“数据安全”等提法，已经在一些法律、法规及规章中有所体现。

　　比如，《民法典》第一百二十七条规定，法律对数据、网络虚拟财产的保护有规定的，依照其规定。

　　值得一提的是，《民法典》有关“数据”条款放在第五章“民事权利”之内，表明法律上已经承认数据属于民事权利的一种类型。

　　再比如，《网络安全法》第十八条规定，国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

　　当然，在《网络安全法》范畴内，更多强调的是“网络数据”概念。其中，已经将数据视为一种资源形态。

　　但是，法律意义上的数据到底是什么？在《数据安全法》出台前，没有权威统一的定义。

　　有人认为，数据就是数值，也有人认为，数据就是信息，还有人认为，数据就是资料，可谓众说纷纭。

　　如今，按照《网络安全法》第三条的规定，本法所称数据，是指任何以电子或者其他方式对信息的记录。

　　简单说，法律意义上的数据是指“对信息的记录”，形式上可以是电子形式或方式的，也可以是其形式或方式的。

　　按照这个定义，我们使用各类互联网应用APP，所形成的类似聊天记录、通话记录、邮件记录以及发言记录等等，都属于个人数据范畴。

　　当然，也包括我们驾驶特拉斯等智能电动车，所形成各类操控记录，也都属于个人数据范畴。

　　亮点二：首度明确了数据处理活动的义务边界

　　《数据安全法》除去对静态的数据安全提出了管理要求，同时也对动态的数据安全划出了界限。

　　如果说《民法典》明确个人信息处理的行为边界，那么，《数据安全法》则划定了数据处理的行为类型。

　　《民法典》第一千零三十五条规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

　　《数据安全法》第三条规定，数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

　　可以看到，不论是对个人信息的处理，还是对数据的处理，我国法律规定的处理行为都包含“收集、存储、使用、加工、传输、提供、公开”等几种类型。

　　而对于数据处理行为，《数据安全法》第八条规定，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

　　其中，诚实信用原则的引入以及不得危害“公共利益”的提法，对类似企查查、天眼查等平台，通过爬虫程序大量抓取各类信息或数据的行为，预计将会起到规范和引导作用。

　　事实上，在《数据安全法》出台之前，对于利用爬虫程序批量抓取数据的行为，各方认识并不统一，对于数据抓取对象为类似微博、大众点评等商业平台上的各类信息，未经用户和平台的一致同意，一般会被认定构成侵权或不正当竞争。

　　而对于类似公开的政务数据或公共数据，这种批量抓取的行为尚未明确定性，但客观上越多的公司、机构采用批量抓取行为，就会在相应时段挤占网络资源，影响普通用户尤其是个人用户的正常浏览、下载。

　　简单说，挤占网络资源的数据爬虫程序抓取行为，其主观涉嫌违反诚实信用原则，客观上具有损害不特定用户或公共利益的特征，理应予以规制。

　　亮点三：区分重要性明确数据分级分类保护制度

　　诚如前述，按照《数据安全法》的规定，各种“对信息的记录”都属于法律意义上的数据。

　　按照这个定义，储存在个人电脑、手机等设备中的各类信息或资料属于数据，储存在服务器或云端的各类信息或资料也属于数据。

　　从归属角度来看，数据有可能属于个人，也有可能属于组织，从数据是否具有公共性角度来看，又可以划分为公共数据和非公共数据等等。

　　在各类具有存储功能的设备中存储的数据，如何区分重点加以保护，《数据安全法》建立了分类分级保护制度，并提出了重要数据、核心数据等概念。

　　其中，重要、核心的判断标准主要是：1）在经济社会发展中的重要程度；2）一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度。

　　当然，从执行层面来看的话，重要程度或危害程度的评判规则或标准，尚不明确，还有待于其他配套或专项法律、法规予以进一步明确。

　　关于政务数据的处理，尤其是对政务进行“存储、加工”等处理，按照《数据安全法》的要求，受托方，尤其是电子政务系统的建设、维护方，在按照委托方要求实施前述处理行为后，“不得擅自留存、使用、泄露或者向他人提供政务数据。”

　　简单说，与政务数据或电子政务系统所有者有委托合作的主体，都不能擅自“留存、使用、泄露或对外提供”，那么，未经委托方许可或授权，通过网络爬虫程序批量抓取数据后，进行再加工，甚至对外提供有偿服务，则可能面临更大的风险。

　　而这对于包括企查查、天眼查等在内的各类数据服务平台或厂商来说，都是巨大的风险和挑战。

　　整体上来看，《数据安全法》算是一部“高度凝练”的法律。

　　《数据安全法》全文共计5470字，分为七个章节合计五十五条，条款体量或数量并不算大。

　　对于数据安全监管和保护所涉的各方面、各环节，《数据安全法》更多是提纲挈领式做出了制度安排，一些具体的细则或细节，还有待实践中摸索总结，也有待后续其他配套法律法规进一步明确。

　　比如，数据权益的边界以及数据交易管理的具体措施等等。

　　因此，《数据安全法》的正式出台，掀开了我国数据立法的全新序幕，后续还有更多实践和立法值得期待。

　　参考资料：

　　1．《数据安全法》全文

　　（链接：http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml）

　　(本文作者介绍：中国政法大学知识产权研究中心特约研究员，长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。)