数据安全法律体系建构是一个长期过程
《数据安全法》征求意见稿引发了广泛而深入的讨论。这毫不奇怪,因为数据安全立法涉及到国家、数据产业、企业以及个人等主体重大而广泛的利益。开放的讨论,真诚的倾听以及在此基础上的反思性改进,应是这部重要立法的过程中应有的程序作业。
从目前看,这部法律到底如何定性,是公法?私法?还是公私法?我觉得都不是。这部立法是最近几年来比较典型的立法政策化的表现,是一部政策法,立法是宣示性的、象征性的,反映出对各种重大、复杂的利益的仓促考量。目前的草案主要是把一些政治性的、政策性的、模糊性的、摇摆的政策选项呈现出来了而已。
透过草案的内容看立法的思维,我觉得草案表现出明显的管理路径依赖,是典型的管理法。从行政法治基本原则讲,现代行政法一方面强调要赋予管理权,但另一方面要考虑管理权运行的程序、规则以及对它的外部法律控制,保证权力运行的合法性、有效性、比例性和正当性等。在这些价值关注方面,目前草案都存在较大问题,很多讨论者已经从不同视角呈现了这些问题。
在这个背景下,我们今天讨论这部法律草案的意义到底在哪里呢?从立法过程来看,到了公开征求意见阶段,过程中的各种价值和利益博弈似乎大局已定,我们的讨论能否改变这种格局?很难。但这也并不等于征求意见过程中的讨论毫无意义,即便这些讨论不能被法律草案的改进过程所吸收,我们也可以期望讨论中呈现的问题和建议可为将来的数据安全立法“法律树”的建构提供方向。刚才已经说到,这部立法是个政策法,只是提供了一些抽象的政策组合;《数据安全法》出台后,国务院、各部门和各地方一定会出台配套立法,形成比较典型的“法律树”。我们讨论的意义主要不在当下,而在未来,在政策法的框架之下,让未来具体的制度能够真正匹配《数据安全法》立法所宣示的目标,也就是数据安全与发展的平衡。
兼顾安全与发展需要处理好三组关系
数据安全法的核心是兼顾“数据安全与有效利用”,安全与发展的关系是该法的核心命题,如何回答该命题?在数据立法中,数据安全当然是必要的;但如果没有产业和数据技术的发展,就谈不上国家安全和数据安全。从国家安全层面来说,总体安全观逻辑上也包含了发展观,安全与发展是一体的,这也就是强调“相对安全”的用意所在。所以,数据安全管理就是数据安全风险相对可控的状态。
从对这部法律草案的改进以及未来法律树的体系建构看,真正要解决好《数据安全法》中安全与发展并重的原则或理念,从行政法的视角来说,我认为至少需要处理好三组关系。第一是关于数据安全多元主体关系,这需要关注在安全义务下国家、企业、个人的数据权利义务关系;第二是数据安全管理体制中的横向和纵向关系。数据安全法的本质是监管法,监管体制的合理化就是核心,这需要处理好监管机构内部的纵向、横向关系,甚至国内与国外监管体制的关系;第三是监管者与监督者的关系。从法治原则看,有权力必有监督和救济。这就涉及到监管主体与其他机构的关系,外部机构如何对监管权进行监督,为权利主体提供救济途径等问题。这种法律关系视角对未来以《数据安全法》为基础的法律树的完善,以及对理顺在《数据安全法》中还不明确的问题是有帮助的。
数据安全的三个维度及其关系界定
第一组关系,数据安全视角下的国家、企业和个人的关系。数据安全中的安全,包含了国家数据安全、企业数据安全和个人信息安全三个不同的层面,我们可以将此称为数据安全的三个维度。相应地,三个维度的数据安全保障要求及其手段、管理体制也各不相同。现在这部草案将三个不同维度的数据安全混在一起,但其实国家视角中的安全、企业视角中的安全和个人视角中的安全,是很不一样的,应该将数据安全从不同主体视角进行区分。
(1)数据安全的国家视角。数据是信息的记录,其内容是信息,那些涉及到国家秘密的信息,一旦泄露可能影响到国家主权、安全、国家重大利益的数据,将受到《国家安全法》、《保密法》的调整,因此也就具有了国家安全的内涵。数据的国家安全维度是整体安全观视野中第一位的安全,也正是在此意义上,《数据安全法》第4条明确规定数据安全要坚持整体国家安全观,而从《国家安全法》所构筑的整体国家安全观来看,涉及国家安全的数据范围很广,在数据抓取和处理技术不断升级的时代,甚至可以说所有的数据分析都可能产出与国家安全有关的数据。或许正是基于这样的考虑,数据安全法第6条规定中央国家安全机构负责数据安全的决策和统筹协调,研究制定国家数据安全战略和有关重大方针政策。
(2)数据安全的企业视角。企业数据安全主要指数据的保密性(confidentiality)、完整性(integrity)、可用性(availability)。企业数据安全更多考虑数据的安全保障技术,围绕保密、完整、可用等功能而展开,并依照上述考量,在数据的全生命周期来界定数据的采集、分析、利用、存储、传输、交易、开放。企业的视角着眼于在安全基础上的数据利用。企业数据的管理已有《网络安全法》、《个人信息和重要数据出境安全评估办法》以及相关的数据安全标准等规范来调整,本次的《数据安全法》立法应当充分考虑企业数据安全的视角以及现有规范体系,避免出现视角混乱和规范冲突。
(3)数据安全的个体视角。从个人的角度看,数据安全就应当如何保护是有关个人的信息、隐私数据的安全。个体视角的数据安全,其实就是个人信息保护的问题,该问题在《网络安全法》已有涵盖,未来主要将通过《个人信息保护法》予以调整。
由此可见,三个不同的数据安全是从不同的主体视角呈现出的三个安全维度,《数据安全法》应当对三个维度的数据安全予以更为清晰的勾勒。之所以应当如此,是因为:(1)如果不能划分三个维度并作出界定,国家安全的宽泛性将过度统摄企业数据安全和个人数据安全,导致国家视角一家独大,数据国家安全过于宽泛;(2)国家数据安全的过度化,将很难落实该法所规定的安全与发展平衡的基本原则;(3)国家安全的过度化,也将导致《国家安全法》、《网络安全法》、《数据安全法》、以及将来的《个人信息保护法》之间关系的失衡;(4)国家数据安全的过度化,也会导致数据安全管理体制的结构性问题,国家安全机关的监管权无边无际,而其他的行业主管部门监管权将萎缩。但国家安全机关能否对所有的数据监管承担起责任,这在组织工具和监管技术上都将遭遇难题。
因此,在数据安全的主体中存在三个主体——国家、企业、个人,数据安全法应当超越单一的国家视角,才能真正落实安全与发展并重,才能理顺几部法律的合理关系,才能确定不同行业主管部门的权力和责任,才能更有效地保障数据安全和产业发展、个人信息保护的同步。国家、企业、个人的权利义务关系,是数据安全法公法视角的第一个重大问题。
数据安全监管体制中的主体间关系
第二组关系,监管机构的内在关系。在监管体制中,需要处理好不同部门间的横向关系,以及不同层级——中央到地方——的纵向关系,甚至还包括国内监管和国外监管主体的关系,这是构建高效、合理监管体制的基础。无论是数据安全法重点关注的数据分类分级管理,还是监管体制的具体建构,都需要以处理好监管机构的内在关系为前提,包括横向关系和纵向关系,以及条块之间的关系。
(1)横向关系,也就是各个不同的监管部门相互之间的权利义务配置。草案第7条第1款规定,“各地区各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。”但,“主体责任”是什么概念?是兜底责任吗?在食药监管、维稳、反腐中都提到了主体责任,主体责任至今在法律上无法界定,主要是政治性表述,用在立法中,将来实施过程中怎么界定?该条第2款,“工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。”第3款“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。”第4款“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”可以看到,这里存在两个统筹部门,然后各行业、各地区都有监管权,这很容易造成叠加和冲突。过去很多领域监管乱想丛生,都与这种多部门“齐抓共管”的管理体制有关,这已有共识;本次《数据安全法》在管理体制上还是落入这种路径依赖,令人担忧。比如,许多数据既在地方管辖范围内,又同时受到部门管辖,最上方还有统筹机构,到底谁管?相互权责利怎么界定?
(2)纵向关系。各地区对自己地区负主体责任,各地区是指什么,具体到哪一级政府呢?到省一级?设区的市?还是到县一级?
(3)条块关系如何处理?根据权责统一、有责必有权的法治政府原则,地方负主体责任,是否意味着地方必须有相应的职权?这种职权与横向职权职责分配的关系如何处理?例如,第19条规定的数据分级分类保护,规定“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录”,似乎表明地方、部门、行业都有确定重要数据保护目录、进行数据分级分类的职权,但其相互关系如何界定?部门和地方重叠甚至冲突怎么处理?同理,第20条规定“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”,“统一高效”是什么意思?这与各地区、各部门、各行业各自负主体责任如何协调?这些都说明,草案设计的监管体制存在结构性模糊的问题。
数据安全的监管权与外部监督的关系
第三组关系,监管机构与其监督者的关系,也就是对数据监管机构监管权的法律控制。数据安全监管应当纳入法治政府的框架,而法治政府框架的一个基本原则就是权力受制约。《数据安全法》在这个方面存在比较严重的理念问题。权力受制约包括法律规则的事前制约,法律程序的事中约束,以及司法审查的事后监督。这三个方面从目前的草案来说都存在不同程度的缺位和不到位。
比如第21条建立的数据安全应急处置机制,启动应急预案、采取应急处置措施就是行政强制,这是否受到《行政强制法》的约束?这还涉及到应急状态的判断、启动和强制措施的权力,但草案并没有规定相应的原则、程序、司法审查和救济途径。
再如,第22条规定,国家建立数据安全审查制度。本条几乎规定了不受限制的审查权力。法律依据何在?必要性何在?是否符合比例原则,能否得到正当化?其中至少存在三个问题:(1)审查主体不清楚。谁负责安全审查?是哪个机关?如果是国家安全机关,任何一级国家安全机关都有审查权吗?第二,标准不清。如何判断影响或者可能影响国家安全?第三,排除司法审查也违背法治政府的一般原则,如何正当化?在我国已有的涉及到国家安全审查的法律实践汇总,并不是只要涉及到国家安全的行政权行使就可以不受法院审查,;例如,《政府信息公开条例》中也涉及到国家保密审查,国家保密审查也是从国家安全角度来做,但是至少在法律上并没有明确排除法院可以进行司法审查。为什么在这里就不行?
另外,第23条,“国家对履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。”但规定过于模糊。例如,出口管制的主体是谁?作出出口管制决定的程序和基本原则是什么?如果对决定不服,是否可以申诉和寻求法院的司法审查?
还有,第33条,“境外执法机构要求调取存储于境内的数据,有关组织和个人应当向有关主管部门报告,获得批准后方可提供。”前面已经提到,由于数据安全管理体制中的“有关部门”无论在横向还是纵向层面都是“九龙治水”,此处规定“有关部门”虽然有原则性立法的考虑,但实践作业会带来各种管理权争夺或者推诿的问题。另外,报告的程序、审查决定的程序是什么?决定是否可以受到司法审查?
对上述三组关系是《数据安全法》需要考虑的重大问题,不幸的是,从草案目前状况看,这三组关系的界定和调合存在不少问题,有些是未来执行性立法可以充实的问题,但有些则是结构性问题。期望立法的过程中能够考虑这些问题并予以改进完善。如果这部框架性立法不能对上述问题进行安顿,我们只能寄希望于未来的数据安全“法律树”建构过程,尽管那是一种次优选择。
【作者简介】
王锡锌,北京大学法学院教授、法治与发展研究院执行院长,《中外法学》主编。
【注释】
本文根据作者在中国人民大学未来法治研究院7月24日主办的“《数据安全法(草案)》暨数据法治研讨会”上的主旨发言整理和修改而成。