□ 文 宗珊珊
0 引言
数据的属性有多个面向,涉及人格利益与财产利益,国家利益、社会利益与个人利益,这决定了调整数据及其处理活动的法律规范是多层次的。作为数据领域的一般性法律,《数据安全法》以概括性、原则性规定为主,落地实施需要与《网络安全法》《个人信息保护法》《民法典》等相衔接。近期公开征求意见的《网络数据安全管理条例》《数据出境安全评估办法》均以多部法律为上位法依据,数据领域相关法律规范存在明显交叉重叠。基于此,厘清各部法律之间的关系对明晰适用规则有着重要意义。
1 《数据安全法》与《国家安全法》
《国家安全法》以法律形式确立了总体国家安全观的指导地位,界定了国家安全的内涵和外延,明确维护国家安全的各项任务,建立健全国家安全制度和国家安全保障措施。《数据安全法》第4条规定,维护数据安全,应当坚持总体国家安全观。《国家安全法》为建立包含数据安全、网络安全在内的国家安全法律体系奠定了基础,《数据安全法》具体落实了《国家安全法》对建设信息安全保障体系、提升信息安全保护能力、实现数据安全可控的要求。关于重要制度安排,《数据安全法》在《国家安全法》的基础上进行细化,例如:数据安全作为国家安全的重要组成部分,由中央国家安全领导机构负责决策和议事协调;建立数据安全审查制度,落实网络信息技术产品和服务领域的国家安全审查要求;根据《国家安全法》确立数据安全风险预防、评估和预警机制。数据安全属于国家安全,两部法律均是数据安全领域相关监管、执法行为的依据。
2 《数据安全法》与《网络安全法》
2.1 数据安全与网络安全
网络空间由三个相互重叠的层次组成:最底层是网络基础设施构成的物理层;中间层是逻辑层,即代码与算法层;最上层是内容层或虚拟层。根据《网络安全法》第76条的规定,网络安全包含网络数据安全。《网络安全法》的规制范围涵盖关键信息基础设施的运行安全、网络运行安全、网络信息安全等整个网络空间。从该角度看,《网络安全法》的调整范围广于《数据安全法》。
根据《数据安全法》第3条,该法所称的数据,是指任何以电子或者其他方式对信息的记录。《数据安全法》调整的数据包含以电子方式记录的网络数据以及非网络数据,涵盖个人数据、企业数据和政务数据。作为数据安全领域的一般性法律,《数据安全法》调整的数据范围大于《网络安全法》。当然,大数据产业、数据交易与流动的主角是网络数据。
2.2 适用规则
从上述《网络安全法》与《数据安全法》的调整范围来看,笼统地说二者是一般法与特殊法的关系并不准确。一般法与特殊法的区分通常是在同层级法律之间发生冲突时用来确定适用规则的,实际上,《数据安全法》注重与《网络安全法》既有制度的衔接。例如,数据处理者履行数据安全保护义务应当以网络安全等级保护制度为基础;关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,《数据安全法》规定适用《网络安全法》。对于两部法律规定不完全一致的,应当适用新法优于旧法的原则。例如,对关键信息基础设施运营者违规向境外提供重要数据的行为,《数据安全法》规定的罚款金额远高于《网络安全法》,应当适用新法。
3 《数据安全法》与《个人信息保护法》
3.1 数据与个人信息
从《数据安全法》第3条对数据的定义来看,数据是信息的载体,信息是数据的内容。信息和数据构成同一事物的不同侧面,前者是符号的社会、语言意义,后者是形式化的符号本身。根据《个人信息保护法》第4条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。由此,《个人信息保护法》调整的数据范围小于《数据安全法》,对个人信息、非个人信息(包括匿名化处理后的信息)的记录,均属于数据。另外,二者划分数据、信息的标准也不同,《数据安全法》从安全角度将数据分为重要数据与非重要数据,而《个人信息保护法》从权益保护出发区分个人信息与非个人信息。
3.2 适用规则
《数据安全法》为公法,调整的法律关系主要包含两个方面:一是我国与其他国家之间的关系,例如,向外国司法、执法机构提供数据的相关规则;二是国家与数据处理者之间的关系,例如,国家对数据处理者施加安全保护义务,并对不履行义务的行为作出行政处罚。《个人信息保护法》调整的法律关系除上述两个层面外,还包含个人与信息处理者之间的关系,兼具公法与私法的性质。由此可见,《数据安全法》与《个人信息保护法》的调整范围既有差异又有交叉,涉及个人信息的数据处理活动应同时遵守两部法律的规定,《数据安全法》第53条也确定了适用规则。
对于个人信息的数据处理活动,《个人信息保护法》没有明确规定的,应当适用《数据安全法》。例如,《个人信息保护法》第3条规定在我国境外处理境内个人信息的活动,如果是以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为,适用该法。《数据安全法》第2条规定的域外适用情形为损害我国国家安全、公共利益或者公民、组织合法权益。应当认为,符合《数据安全法》域外适用条件的,可以适用《数据安全法》《个人信息保护法》追究法律责任。另外,鉴于《个人信息保护法》为新法,当二者规定不完全一致时,更宜适用该法。例如,《数据安全法》第6条规定行业、领域的主管部门履行监管职责,而《个人信息保护法》第60条规定以法律、行政法规的规定确定职责部门。两种标准确立的监管职责可能存在差异,行政机关适用《个人信息保护法》时,应当以该法的标准确定职责的有无。又如,《个人信息保护法》对个人信息处理者未履行保护义务设定的罚款金额远超《数据安全法》,应当适用新法。
4 《数据安全法》与《民法典》等其他法律
随着数字经济不断发展,尤其是党中央、国务院提出“加快培育数据要素市场”,有关数据权属的讨论逐渐增多,其中以赋权模式和行为规制模式为代表。前者认为应当确立数据财产权以回应数字经济时代的现实需求;后者认为基于数据的公共性、充裕性和分享性,不宜进行私法上的确权,而应当建立网络空间中数据操作规则秩序。《数据安全法》第7条承继了《民法典》第127条对数据权益的保护内容,同时明确鼓励、保障数据依法合理有效利用、有序自由流动,丰富了数据权益的内容,但并未对数据财产权作出回应,不过,这并不妨碍数据上的法律保护。
从数据权益的防御功能来看,根据物权法定原则,尚无法律确立数据所有权、用益物权,个人、组织的数据权益受到侵害时,无法行使物权请求权,但可以寻求其他救济。根据2020年修订的《着作权法》第10条,以数字化方式将作品制作一份或者多份的复制权属于着作权,受到侵犯时,权利人得行使侵权请求权。企业之间的数据争议,尤其是数据爬取引发的纠纷,通常适用《反不正当竞争法》,情节严重的,可能构成《刑法》第285条规定的非法获取计算机信息系统数据罪。
实现数据权益,除防御外部侵犯外,还包括积极促进数据流通。数据流通主要包含两种机制:一是多方基于合同安排,通过“开放应用端口”(open API)进行的数据共享;二是数据交易。数据共享和数据交易都通过合同行为实现,合同的履行和纠纷解决适用合同规则。一般来说,交易标的物的所有权是明晰的。现行法律虽然没有明确数据的所有权,但通过为数据处理者设定义务,认可其在符合法律规定的前提下交易数据。数据处理者的法定义务,可以认为属于卖方的权利瑕疵担保义务,主要包括两个方面:一是符合国家安全、网络安全,尤其是数据安全相关要求。例如,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据出境的,应当依法进行安全评估。二是符合隐私权、个人信息权益保护相关规定。例如,个人信息处理者一般应取得个人的同意方可处理个人信息,向其他个人信息处理者提供其处理的个人信息的,除告知相关内容外,还应当取得个人的单独同意。
5 结束语
当前,我国数据治理相关法律制度基本确立,但诸如数据权属、数据交易等模糊地带仍然存在。顶层设计固然重要,但实践中的难题不会待制度完善后再出现。特定领域法律规范体系的建立不是单一法律能够完成的,实践中,通过综合运用法律解释方法,很大程度上能够在现有规范基础上解决新问题。在数据领域,法律技术应用的难题在于对数据、数据处理活动、数字经济的认识不够深入。例如,诸多学者批判对数据不正当竞争案件的裁判规则会加剧数据垄断,不利于数据利用。这很大程度上是因为对数据与其他传统竞争利益间的区别认识不足。对数据这一新型生产要素的认知,不仅影响立法政策,更会直接影响具体争议的处理结果。
