某外國使館和小貝說安全交流提出了很多關(guān)于《數(shù)據(jù)安全法》法律實(shí)施的問題，本文進(jìn)行了整理。

■ 2021年9月1日是《數(shù)據(jù)安全法》正式實(shí)施之日。這是我國數(shù)據(jù)安全領(lǐng)域的第一部專門法律，創(chuàng)設(shè)了很多重要制度，對各類組織提出了一系列數(shù)據(jù)安全責(zé)任義務(wù)要求。在國家強(qiáng)化數(shù)據(jù)安全監(jiān)管的大形勢下，對《數(shù)據(jù)安全法》的合規(guī)成為所有企事業(yè)單位面臨的迫切任務(wù)。但直至今日，還未見《數(shù)據(jù)安全法》的官方解讀，社會很關(guān)注一些法律實(shí)施事項(xiàng)。近日，某外國使館聯(lián)系“小貝說安全”團(tuán)隊(duì)的專家，希望向中國學(xué)習(xí)數(shù)據(jù)安全立法經(jīng)驗(yàn)，同時提出了很多關(guān)于法律實(shí)施的問題。我們對這些問題作了整理，供社會理解和實(shí)施《數(shù)據(jù)安全法》時參考。

當(dāng)我們收到某外國使館請求拜會的來函時，略有驚訝。因?yàn)樵谝郧暗臋C(jī)關(guān)工作中，常?？吹酵鈬桂^發(fā)來的照會，內(nèi)容是請求就中國網(wǎng)絡(luò)安全法規(guī)政策進(jìn)行交流，但多數(shù)時候其實(shí)都是來表達(dá)抗議的，往往是要求中國政府修改政策法規(guī)。

最典型的是《網(wǎng)絡(luò)安全法》發(fā)布時，多個外國政府找上門來，甚至46家外國團(tuán)體聯(lián)合致函中國國務(wù)院總理，要求修改有關(guān)條款，減少對產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全義務(wù)要求。

所以當(dāng)看到外國使館要與我們交流《數(shù)據(jù)安全法》時，我們覺得他找錯對象了，他們應(yīng)該去同中國政府部門或立法機(jī)構(gòu)進(jìn)行交流，而我們只是一群志同道合的政策研究者，是數(shù)據(jù)安全智庫。

但見面后我們的疑慮立刻打消了。對方直言，他們是來學(xué)習(xí)的，因?yàn)槠鋰腋叨汝P(guān)注中國制定《數(shù)據(jù)安全法》的情況，希望借鑒中國經(jīng)驗(yàn)，推動本國數(shù)據(jù)安全立法工作。但他們對于《數(shù)據(jù)安全法》的條款有很多不理解之處，也不清楚一些重要制度如何實(shí)施，所以急迫需要同中國的專業(yè)研究機(jī)構(gòu)進(jìn)行聯(lián)系，希望為其答疑解惑。

于是“小貝說安全”團(tuán)隊(duì)創(chuàng)立以來有了第一次外事活動。

在同該國駐華使館官員交流過程中，我們感到他們的問題很具體、很實(shí)，與其作為外交官的立場無關(guān)，反而是反映了外界對《數(shù)據(jù)安全法》如何實(shí)施的普遍關(guān)注。為此，我們對本次外事對話做了記錄，供感興趣的同仁參考。

一、我們非常關(guān)心，《數(shù)據(jù)安全法》提出的數(shù)據(jù)分類分級制度的考慮是什么？這個制度如何實(shí)施？

分類是為了更好地區(qū)分管理對象，分級是為了實(shí)施不同程度的保護(hù)，這是一種普遍原理，不僅僅適用于數(shù)據(jù)安全領(lǐng)域。我們理解，外界關(guān)心的是中國到底要把數(shù)據(jù)分為幾類，以及分為幾個級別。我們認(rèn)為，數(shù)據(jù)分類分級有宏觀、中觀、微觀之別。

對國家而言，分類分級是宏觀的，更多的是一種思路和方法，不太可能劃定具體類別與級別，但會有粗粒度的劃分。例如，重要數(shù)據(jù)、個人信息，這本身就是一種類別的劃分，而且還可能有其他的類別；而個人信息又分為敏感個人信息和一般個人信息，這則是級別的劃分。宏觀分類分級要由最終的政策來確定，目前還沒答案，但大體應(yīng)當(dāng)如此。

當(dāng)然，國家對數(shù)據(jù)安全的監(jiān)管可能是分不同維度的。即，在不同的管理制度下，數(shù)據(jù)的分類角度不一樣，這必然導(dǎo)致有多種數(shù)據(jù)分類方法。例如分成公共數(shù)據(jù)和非公共數(shù)據(jù)行不行？這與重要數(shù)據(jù)就不是同一個維度了，但也是一種常見的分類方法。所以說，數(shù)據(jù)分類一定是面向某種管理目標(biāo)、監(jiān)管手段的，不能一言以蔽之。

至于中觀，則主要指行業(yè)的分類分級方法。這個可以比較具體，因?yàn)橛行袠I(yè)共性，例如可以對數(shù)據(jù)分出上百種類別來，但離開這個行業(yè)后原來的分類就沒有意義了。

而且，即使具體到一個行業(yè)，我們也不認(rèn)為要對數(shù)據(jù)劃分太多級別，級別越多會導(dǎo)致級差越小，最后反而沒有區(qū)別。而且，如果對不同級別數(shù)據(jù)的保護(hù)要求沒有明顯區(qū)分，那么這種分級還有什么意義呢？而事實(shí)上，很難找出明顯有級差的數(shù)據(jù)保護(hù)要求。所以我們建議，行業(yè)的數(shù)據(jù)分級不要搞太復(fù)雜，最多不要超過三級。自主權(quán)應(yīng)該主要在行業(yè)，國家不太可能統(tǒng)一進(jìn)行規(guī)范。

到微觀時，主要指一個組織的數(shù)據(jù)分類分級活動。這時候，組織必須遵從國家和行業(yè)的數(shù)據(jù)分類分級規(guī)定，但在此基礎(chǔ)上可以有自己進(jìn)一步的分類分級方法。即，組織必須建立自己的數(shù)據(jù)“臺賬”，但只能在國家和行業(yè)規(guī)定之下作細(xì)化。至于如何細(xì)化、細(xì)化到何種程度，這完全由組織自主決定。

二、《數(shù)據(jù)安全法》提出了“核心數(shù)據(jù)”，從其定義看，除了“國家安全”外，還涉及國民經(jīng)濟(jì)、民生、公共利益等，怎么理解這一范圍？為什么《數(shù)據(jù)安全法》沒有提出“核心數(shù)據(jù)”保護(hù)制度的具體內(nèi)容？

我們理解，外界是擔(dān)心“核心數(shù)據(jù)”的范圍擴(kuò)大?？梢詮娜齻€角度回應(yīng)這個問題。

第一，“核心數(shù)據(jù)”再“核心”，也是在國家秘密信息之后。即，中國的國家秘密分為絕密、機(jī)密、秘密三級，“秘密”信息之后才輪的上“核心數(shù)據(jù)”。

第二，核心數(shù)據(jù)涉及國家安全、國民經(jīng)濟(jì)、重要民生、重大公共利益等，這不等于說核心數(shù)據(jù)從“國家安全”的范疇外延了。應(yīng)當(dāng)意識到，中國政府強(qiáng)調(diào)“總體國家安全觀”，包括政治安全、國土安全、軍事安全、經(jīng)濟(jì)安全、文化安全等，目前是16類。這16類安全都屬于“國家安全”。因此，“核心數(shù)據(jù)”一定是和國家安全密切相關(guān)的，不存在脫離國家安全而單獨(dú)討論經(jīng)濟(jì)安全、社會安全的情況。

第三，“核心數(shù)據(jù)”的范圍一定是極窄的，不太可能出現(xiàn)全社會廣泛分布核心數(shù)據(jù)的情況。因此，核心數(shù)據(jù)的保護(hù)制度可能要隨著時間發(fā)展逐步制定。但無論如何，各類組織受到核心數(shù)據(jù)保護(hù)制度的影響可能不會很大，因?yàn)槠湮幢厥占莆蘸诵臄?shù)據(jù)。

三、《數(shù)據(jù)安全法》主要對重要數(shù)據(jù)提出了要求，那么如何判斷重要數(shù)據(jù)？這方面會有進(jìn)一步指南嗎？

與核心數(shù)據(jù)不同，“重要數(shù)據(jù)”涵蓋的范圍比較大，廣泛分布在商業(yè)領(lǐng)域。中國正在建立重要數(shù)據(jù)保護(hù)制度體系，相關(guān)的監(jiān)管要求必然會落到相當(dāng)多組織的頭上。這與個人信息保護(hù)一樣，是企業(yè)將來合規(guī)的重點(diǎn)。

作為重要數(shù)據(jù)保護(hù)制度的基礎(chǔ)，需要明確哪些數(shù)據(jù)屬于重要數(shù)據(jù)。為此，中國全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正在組織制定國家標(biāo)準(zhǔn)《重要數(shù)據(jù)識別指南》，旨在給出重要數(shù)據(jù)的特征和識別方法。

關(guān)于《重要數(shù)據(jù)識別指南》，有必要解釋兩點(diǎn)：

第一，這個指南最終是以國家標(biāo)準(zhǔn)形式還是政策文件形式發(fā)布，其實(shí)并不重要。據(jù)我們了解，這個問題并未最終確定。

第二，這個指南給出的是原則性要求，是粗粒度的，因?yàn)椴煌袠I(yè)之間差別太大。不排除將來各個行業(yè)根據(jù)指南的要求，制定本行業(yè)的重要數(shù)據(jù)識別細(xì)則。

四、一個組織是不是掌握著重要數(shù)據(jù)，這由誰判斷？如何確保判斷準(zhǔn)確？漏報(bào)怎么辦？將來會進(jìn)行專門檢查嗎？

這里面有一個機(jī)制作保障，即重要數(shù)據(jù)目錄制度?！稊?shù)據(jù)安全法》規(guī)定，各地區(qū)、各部門應(yīng)當(dāng)確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。為落實(shí)這一要求，各個組織將上報(bào)本組織掌握的重要數(shù)據(jù)，地區(qū)、部門將對各組織上報(bào)的信息進(jìn)行核對，發(fā)現(xiàn)錯誤會進(jìn)行糾正。

如果有意或無意漏報(bào)怎么辦？不排除有這種可能，但官方很可能不會組織專門檢查，畢竟量太大了。不檢查并不等于不監(jiān)管，事實(shí)上，在數(shù)據(jù)安全保護(hù)制度以及其他的互聯(lián)網(wǎng)管理制度中，官方一定會有很多機(jī)會了解各組織掌握數(shù)據(jù)的情況。例如，在網(wǎng)絡(luò)安全審查中，官方必然要首先對組織掌握的數(shù)據(jù)進(jìn)行判斷，沒有落實(shí)重要數(shù)據(jù)保護(hù)制度的，將承擔(dān)法律責(zé)任。換言之，組織雖然有可能漏報(bào)、瞞報(bào)，但“秋后算賬”的后果比較嚴(yán)重。

五、怎么理解企業(yè)需要遵循的數(shù)據(jù)安全保護(hù)義務(wù)？《數(shù)據(jù)安全法》并沒有給出標(biāo)準(zhǔn)，做到什么程度才算可以？

大家都在關(guān)心，9月1日到來后，我怎么才能算是落實(shí)法律責(zé)任了？這的確是個嚴(yán)肅的問題，因?yàn)椤稊?shù)據(jù)安全法》給出的要求比較原則，做沒做到還有個度的問題。為此，我們從三個方面回應(yīng)此事。

第一，《數(shù)據(jù)安全法》對組織提出的要求必須得到落實(shí)，雖然程度可以各異，但最低門檻要達(dá)到。例如，你的數(shù)據(jù)安全管理制度可能不那么詳細(xì)，但不能沒有。

第二，落實(shí)法律要求，不等于只落實(shí)《數(shù)據(jù)安全法》的條款。例如，《數(shù)據(jù)安全法》規(guī)定，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行數(shù)據(jù)安全保護(hù)義務(wù)。那么，等級保護(hù)制度中關(guān)于數(shù)據(jù)安全的所有要求，都因此成為法定義務(wù)。據(jù)了解，公安部正在補(bǔ)充完善數(shù)據(jù)安全等保要求，各類組織都要對此認(rèn)真對待。

第三，國務(wù)院已經(jīng)公布了今年的立法計(jì)劃，由國家網(wǎng)信辦牽頭制定《數(shù)據(jù)安全管理?xiàng)l例》，這個條例實(shí)際上是《數(shù)據(jù)安全法》及《個人信息保護(hù)法》的實(shí)施細(xì)則，更多的數(shù)據(jù)安全保護(hù)義務(wù)要見條例。歸根結(jié)底，所謂的落實(shí)《數(shù)據(jù)安全法》，并不是滿足《數(shù)據(jù)安全法》幾個條款的要求就完事了。

六、我們看到，中國各地都在建設(shè)數(shù)據(jù)交易所，這已經(jīng)成為一種熱潮，而且《數(shù)據(jù)安全法》也提出了建立數(shù)據(jù)交易管理制度，但縱觀全球，似乎只有中國政府在推動數(shù)據(jù)交易，怎么理解？

中國各地都在建設(shè)數(shù)據(jù)交易所，這是事實(shí)。我們認(rèn)為，這體現(xiàn)了各地政府對加速數(shù)據(jù)要素流通的迫切愿望，但絕不代表中國政府的態(tài)度，只是地方政府態(tài)度而已。支持?jǐn)?shù)據(jù)要素流通，和支持建數(shù)據(jù)交易所，不是一回事。

數(shù)據(jù)交易是實(shí)現(xiàn)數(shù)據(jù)要素流通的一種方式，方向是肯定正確的，只是現(xiàn)在還面臨大量基礎(chǔ)問題沒有解決，例如權(quán)屬問題、定價問題等?！稊?shù)據(jù)安全法》提出的是建立數(shù)據(jù)交易管理制度，而不是數(shù)據(jù)交易制度，其重點(diǎn)在確保安全。目前，《數(shù)據(jù)安全法》對這個問題的規(guī)定比較原則，很多問題回避了。例如，建立數(shù)據(jù)交易所是不是需要行政許可？如何監(jiān)管？這都有待于今后進(jìn)一步明確。我們認(rèn)為，在數(shù)據(jù)交易基礎(chǔ)理論問題沒有解決、數(shù)據(jù)交易安全管理制度不健全的情況下，地方政府建數(shù)據(jù)交易所的調(diào)門不宜太高。

國外的確對數(shù)據(jù)交易討論較少，但不等于只有中國獨(dú)有。首先，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）等數(shù)據(jù)安全法規(guī)的實(shí)施吸引了大家的注意力，全球都進(jìn)入強(qiáng)監(jiān)管、重合規(guī)的時代，其他方面的進(jìn)展容易被忽視。其次，大家對數(shù)據(jù)交易的用語不同、階段不同、形式不同。例如，彭博社是全球最大的金融信息服務(wù)供應(yīng)商，這難道不是一種數(shù)據(jù)交易嗎？

當(dāng)然，中國政府明確提出，數(shù)據(jù)是一種新型生產(chǎn)要素，這表明中國政府對數(shù)字經(jīng)濟(jì)的認(rèn)識更為深刻、決心更大，這確實(shí)是中國有別于其他國家之處，因?yàn)橹袊幼⒅亟?jīng)濟(jì)的高質(zhì)量發(fā)展以及民生福祉。

七、我們看到，對“滴滴”的審查引發(fā)了外界的一些擔(dān)憂，為什么不在其上市之前進(jìn)行監(jiān)管呢？中國的數(shù)據(jù)安全監(jiān)管制度是傾向于事前還是事后？

我們不認(rèn)為數(shù)據(jù)安全監(jiān)管存在事前和事后的問題。有些活動需要審批，那這自然屬于事前監(jiān)管。但如果還沒有建立審批制度，但在活動發(fā)生后出現(xiàn)安全風(fēng)險了，那當(dāng)然也應(yīng)該進(jìn)行事中或事后監(jiān)管。例如，企業(yè)在申報(bào)并經(jīng)過評估后才能夠?qū)?shù)據(jù)出境，這屬于事前監(jiān)管。但企業(yè)未申報(bào)而直接把數(shù)據(jù)交給境外了，那必須要在事后查清楚。

“滴滴”受審查是因?yàn)橹袊畬?shí)施了網(wǎng)絡(luò)安全審查制度。根據(jù)這個制度的設(shè)計(jì)理念，事前和事中、事后的風(fēng)險都需要監(jiān)管。當(dāng)然，網(wǎng)絡(luò)安全審查制度本身也要不斷完善。最近，國家互聯(lián)網(wǎng)信息辦正在修訂《網(wǎng)絡(luò)安全審查辦法》，針對企業(yè)赴國外上市等情況增加了專門條款，有些條款屬于事前監(jiān)管。

八、總體看來，我們認(rèn)為中國的數(shù)據(jù)安全政策存在不確定性，企業(yè)感到政府突然加大監(jiān)管力度了，而且似乎是沒有征兆的，那么今后如何盡可能地消除這種不確定性？

并不存在“不確定性”這種情況。中國數(shù)據(jù)安全政策法規(guī)的規(guī)定一直是明確的，不可能模糊執(zhí)法。

如果說有什么變化，那就是執(zhí)法力度加強(qiáng)了。這些年，中國雖然出臺了很多數(shù)據(jù)安全的政策規(guī)定，但執(zhí)法偏弱，這畢竟要經(jīng)歷一個逐漸完善監(jiān)管手段、提升監(jiān)管能力的過程，所以后來提出了“讓法律長出牙齒”這個口號。我們不能只解決“有法可依”的問題，更要解決“違法必究”的問題。而且，對違法行為進(jìn)行處罰，本來也不存在給不給“征兆”這回事。

還有一點(diǎn)需要強(qiáng)調(diào)。很多企業(yè)的逐利心態(tài)太重，導(dǎo)致對政策法規(guī)的理解限于淺層次，合規(guī)自然容易出問題。例如，很多企業(yè)的GA（政府關(guān)系）人員，只重視兩種情況下與政府的互動。一種是政府能給單子，能賺政府的錢；另一種是政府能處罰他。至于其他時候，例如去研讀國家戰(zhàn)略、發(fā)展規(guī)劃，那都是應(yīng)景式的，不甚了了。只低頭拉車不抬頭看路，對政策趨勢沒有足夠的敏感，卻反過來抱怨“不確定性”，這是不合適的。

九、我們了解到，很多在國外的年輕人學(xué)成后愿意回到中國，因?yàn)橹袊幕ヂ?lián)網(wǎng)市場太大了，而且十分鼓勵創(chuàng)新。但最近的一系列監(jiān)管制度，包括平臺反壟斷、清理校外培訓(xùn)機(jī)構(gòu)等，使人疑惑，中國是不是改變了對互聯(lián)網(wǎng)創(chuàng)新發(fā)展的包容和激勵政策？是不是互聯(lián)網(wǎng)繁榮要告一段落了？

沒有改變?！笆奈濉睍r期，中國會繼續(xù)發(fā)揮信息化驅(qū)動引領(lǐng)作用，加快新一代信息基礎(chǔ)設(shè)施建設(shè)，加快培育數(shù)據(jù)要素市場，積極培育新業(yè)態(tài)、新模式和新應(yīng)用，大力推進(jìn)數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化，實(shí)現(xiàn)以新動能推動高質(zhì)量發(fā)展。

在這個過程中，政府要把握好安全和發(fā)展、自由和秩序、開放和自主、管理和服務(wù)的辯證關(guān)系。不同階段的重點(diǎn)不一樣。面對很多新事物，政府不會簡單地通過限制發(fā)展、不發(fā)展來保證安全。但事物發(fā)展到一定階段，有可能就需要加強(qiáng)規(guī)范，這是為了更好地發(fā)展。

國外有些疑惑，怎么中國政府對自己的高科技企業(yè)進(jìn)行“打壓”了呢？高科技企業(yè)是不是“兩頭受氣”呢？我們覺得這要澄清兩點(diǎn)：一是“規(guī)范發(fā)展”而不是“打壓”；二是就國家戰(zhàn)略需求而言，“互聯(lián)網(wǎng)企業(yè)”不等于“高科技企業(yè)”。

總體而言，中國以前對數(shù)據(jù)安全的保護(hù)力度偏弱。很多外國人來中國后，驚異地發(fā)現(xiàn)很多企業(yè)可以毫無顧忌地大量收集用戶信息，這在國外是不可想象的。當(dāng)很多問題、矛盾積累下來后，就可能會在一段時間內(nèi)強(qiáng)調(diào)監(jiān)管、治理，但發(fā)展的主基調(diào)不變。

當(dāng)然，也需要強(qiáng)調(diào)，隨著《數(shù)據(jù)安全法》和《個人信息保護(hù)法》的出臺，企業(yè)依靠違法違規(guī)收集、濫用用戶數(shù)據(jù)來實(shí)現(xiàn)高速發(fā)展的時代結(jié)束了，甚至拿用戶個人信息換取免費(fèi)服務(wù)的互聯(lián)網(wǎng)基礎(chǔ)生態(tài)都可能徹底變革。我們認(rèn)為，各方都應(yīng)當(dāng)主動適應(yīng)這種變化，包括監(jiān)管方、企業(yè)和用戶。中國互聯(lián)網(wǎng)進(jìn)入了合規(guī)發(fā)展的下半場。

｜結(jié)語｜

■ 外國使館的求訪，表明中國《數(shù)據(jù)安全法》所體現(xiàn)的中國治網(wǎng)理念、中國智慧引起了世界的關(guān)注，對中國引領(lǐng)全球數(shù)據(jù)安全規(guī)則的制定有積極意義。針對外國使館關(guān)心的《數(shù)據(jù)安全法》問題，我們表達(dá)了團(tuán)隊(duì)的意見，當(dāng)然不代表政府，僅供參考之用。但隨著9月1日越來越近，應(yīng)該掀起一輪對實(shí)施《數(shù)據(jù)安全法》的討論熱潮。作為致力于數(shù)據(jù)安全的專業(yè)團(tuán)隊(duì)，我們愿意拋磚引玉，與各界共同推動數(shù)據(jù)安全合規(guī)事業(yè)發(fā)展。