（圖片來(lái)源：圖蟲(chóng)網(wǎng)）

陳永偉/文

對(duì)于互聯(lián)網(wǎng)企業(yè)而言，數(shù)據(jù)是至關(guān)重要的生產(chǎn)要素。過(guò)去的幾年中，由于相關(guān)法律的建設(shè)遠(yuǎn)遠(yuǎn)趕不上互聯(lián)網(wǎng)技術(shù)的發(fā)展，所以在很多時(shí)候，數(shù)據(jù)對(duì)于企業(yè)來(lái)講，就像是無(wú)主土地上的礦藏，大家愛(ài)怎么取就怎么取、愛(ài)怎么用就怎么用。然而，這個(gè)野蠻生長(zhǎng)的時(shí)代似乎馬上就要走到終點(diǎn)。隨著人們對(duì)數(shù)字經(jīng)濟(jì)理解的逐步深化，一大批關(guān)于數(shù)據(jù)的法律都將陸續(xù)出臺(tái)。《數(shù)據(jù)安全法》將于今年9月1日起施行，《個(gè)人信息保護(hù)法》也有望在近期通過(guò)并在不久后實(shí)施。

很顯然，對(duì)于熟悉了過(guò)去那種“無(wú)法無(wú)天”的數(shù)據(jù)使用環(huán)境的企業(yè)，這些法律法規(guī)的出臺(tái)多少會(huì)讓他們感到有些不方便、不習(xí)慣，甚至?xí)J(rèn)為這些法律會(huì)對(duì)他們的商業(yè)機(jī)會(huì)產(chǎn)生一定的限制。不過(guò)，所謂“沒(méi)有規(guī)矩，不成方圓”，如果從規(guī)范一個(gè)行業(yè)的角度看，隨著行業(yè)的發(fā)展，相關(guān)法律法規(guī)的陸續(xù)出臺(tái)就是不可避免的，它們對(duì)于行業(yè)長(zhǎng)期發(fā)展的作用也不容小視。事實(shí)上，這些法律法規(guī)在給行業(yè)套上緊箍咒的同時(shí)，也會(huì)給市場(chǎng)帶去很多新的機(jī)會(huì)、新的玩法。

《數(shù)據(jù)安全法》為何匆匆“出生”

如果我們簡(jiǎn)要回顧一下《數(shù)據(jù)安全法》的“出生”，就會(huì)發(fā)現(xiàn)整個(gè)過(guò)程的用時(shí)相當(dāng)之短：2018年9月，全國(guó)人大常委會(huì)將《數(shù)據(jù)安全法》列入立法規(guī)劃；到2020年6月，其初稿已經(jīng)交人大常委會(huì)進(jìn)行初審；2021年的6月10日，其最終稿被表決通過(guò)；2021年9月，就開(kāi)始正式實(shí)施。也就是說(shuō)，這部法案從開(kāi)始起草，到表決通過(guò)，再到最終實(shí)施，加起來(lái)也才三年的時(shí)間。這在以立法態(tài)度嚴(yán)謹(jǐn)、立法論證詳盡著稱(chēng)的我國(guó)，實(shí)在不算多見(jiàn)。

那么，究竟是什么原因促使了《數(shù)據(jù)安全法》如此快馬加鞭地出臺(tái)？我想，這應(yīng)該是國(guó)內(nèi)、國(guó)際兩方面因素共同作用的結(jié)果。

從國(guó)內(nèi)層面看，《數(shù)據(jù)安全法》的出臺(tái)是對(duì)國(guó)內(nèi)數(shù)字經(jīng)濟(jì)迅速發(fā)展，以及各種數(shù)據(jù)相關(guān)的問(wèn)題亟待解決的一種回應(yīng)。隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)迅速地從信息處理過(guò)程中的副產(chǎn)品蛻變成了一種關(guān)鍵的生產(chǎn)要素。但與此同時(shí)，很多與數(shù)據(jù)相關(guān)的問(wèn)題也隨之產(chǎn)生。數(shù)據(jù)產(chǎn)權(quán)、數(shù)據(jù)定價(jià)、數(shù)據(jù)濫用、數(shù)據(jù)壟斷、數(shù)據(jù)跨境……每一個(gè)問(wèn)題都很重要、都需要解決，但這些問(wèn)題中的任何一個(gè)又都是不那么容易解決的。不僅如此，其中的很多問(wèn)題還相互關(guān)聯(lián)、相互交織，可謂牽一發(fā)而動(dòng)全身。

以數(shù)據(jù)的產(chǎn)權(quán)為例。熟悉經(jīng)濟(jì)學(xué)理論的讀者應(yīng)該都知道，從理論上講，只有一件物品具有價(jià)值，且價(jià)值比較明確時(shí)，人們才有激勵(lì)對(duì)其界定產(chǎn)權(quán)。

　　　　具體到數(shù)據(jù)，只有數(shù)據(jù)真的有了比較明確的市場(chǎng)價(jià)值，相關(guān)產(chǎn)權(quán)的界定才能真正完成。但要確定數(shù)據(jù)的價(jià)值是很困難的，因?yàn)橐袃r(jià)值就要有交易，而交易是需要產(chǎn)權(quán)作為前提的。這樣一來(lái)，產(chǎn)權(quán)和定價(jià)，就成了一個(gè)“雞生蛋、蛋生雞”的問(wèn)題，似乎很難下手。

當(dāng)然，如果從純粹的經(jīng)濟(jì)理論角度看，這或許不是什么問(wèn)題。只要讓市場(chǎng)自發(fā)運(yùn)作起來(lái)，并且時(shí)間足夠長(zhǎng)，那么產(chǎn)權(quán)和定價(jià)這兩個(gè)問(wèn)題都會(huì)得到解決。如果我們考察的是一種普通的產(chǎn)品，那么這種觀點(diǎn)沒(méi)有什么問(wèn)題。因?yàn)閷?duì)于一般的產(chǎn)品，與市場(chǎng)相關(guān)的各種制度早已經(jīng)成熟，所有市場(chǎng)探索都可以在既有的制度框架中運(yùn)作，最終一定會(huì)達(dá)成一個(gè)結(jié)果。

但對(duì)于數(shù)據(jù)市場(chǎng)來(lái)說(shuō)，問(wèn)題卻是不同的。原因很簡(jiǎn)單：數(shù)據(jù)這種要素實(shí)在是太新了，它的市場(chǎng)本身就是在各種配套制度都沒(méi)有建立的條件下出現(xiàn)的。在這種情況下，所謂的市場(chǎng)摸索就可能帶來(lái)難以想象的外部性。比如，如果法律沒(méi)有對(duì)個(gè)人數(shù)據(jù)的采集、使用和流通進(jìn)行規(guī)定，那么一些企業(yè)就會(huì)鉆這個(gè)空子，置人們的權(quán)益于不顧非法進(jìn)行搜集、使用和交易。在這個(gè)交易的過(guò)程中，大量用戶(hù)的權(quán)益可能會(huì)受到損害。從這個(gè)意義上看，我們固然要數(shù)據(jù)產(chǎn)業(yè)成長(zhǎng)、數(shù)據(jù)市場(chǎng)發(fā)展，但是這種成長(zhǎng)和發(fā)展絕對(duì)不能是無(wú)序的。對(duì)于它們的邊界，我們一定要理清楚。所謂“隨心所欲而不逾矩”，只有我們把外面的規(guī)則畫(huà)好了，市場(chǎng)的探索才能更高效。

那么，數(shù)據(jù)市場(chǎng)發(fā)展的邊界規(guī)則是什么呢？從現(xiàn)在看，最關(guān)鍵的有兩個(gè)：一個(gè)是安全，一個(gè)是個(gè)人隱私保護(hù)。現(xiàn)在，《數(shù)據(jù)安全法》馬上就要實(shí)施了，《個(gè)人信息保護(hù)法》應(yīng)該也會(huì)在不久后出臺(tái)，這兩部法的用意就在于構(gòu)建兩個(gè)最關(guān)鍵的邊界規(guī)則。

我聽(tīng)到不少朋友講，這些法律的出臺(tái)可能會(huì)限制數(shù)據(jù)市場(chǎng)發(fā)展。誠(chéng)然，在表面上看，如果沒(méi)有任何法律的約束，企業(yè)可以為所欲為，就能從數(shù)據(jù)中獲得更多的利益。但其實(shí)這種利益本身是有風(fēng)險(xiǎn)的。以企業(yè)違規(guī)搜集使用用戶(hù)信息為例，即使在法律層面上，這些行為不會(huì)受到懲罰，但久而久之，這些行為會(huì)在社會(huì)中積累起很多負(fù)面的情緒。等到這些情緒總爆發(fā)，就可能會(huì)對(duì)企業(yè)的業(yè)務(wù)造成非常大的影響。與其這樣，倒不如有一些法律提前對(duì)企業(yè)的行為進(jìn)行限制。

而從國(guó)際層面上看，《數(shù)據(jù)安全法》的出臺(tái)則帶有更為深刻的大國(guó)博弈性質(zhì)。

在數(shù)字經(jīng)濟(jì)時(shí)代，對(duì)數(shù)據(jù)資源進(jìn)行控制，已經(jīng)成了大國(guó)博弈的一個(gè)重要手段。為了爭(zhēng)奪數(shù)據(jù)主權(quán)，各國(guó)都在立法層面下足了功夫。比如，在2018年3月，時(shí)任美國(guó)總統(tǒng)特朗普簽署了《澄清境外數(shù)據(jù)合法使用法案》，也就是所謂的《云法案》。根據(jù)這項(xiàng)法案，如果美國(guó)政府索取，任何受美國(guó)管轄的公司（包括在美國(guó)經(jīng)營(yíng)或者在美國(guó)為客戶(hù)提供服務(wù)的公司）都需應(yīng)要求將數(shù)據(jù)轉(zhuǎn)交給美國(guó)政府。即使這些數(shù)據(jù)存儲(chǔ)在海外，也同樣受到該法案的約束。由于美國(guó)的公司遍布全球各地，因此這一法案事實(shí)上就把美國(guó)的數(shù)據(jù)霸權(quán)延伸到了全世界。而不久之后，歐盟也出臺(tái)了《通用數(shù)據(jù)保護(hù)條例》，也就是我們熟悉的GDPR。這一《條例》規(guī)定，所有從歐盟公民收集數(shù)據(jù)的企業(yè)必須遵守歐盟的規(guī)則，受歐盟的管轄。如果將GDPR和《云法案》對(duì)應(yīng)起來(lái)，就不難看出這兩者之間是存在著一定的對(duì)抗關(guān)系的，從某個(gè)角度看，GDPR是在和美國(guó)爭(zhēng)奪對(duì)于數(shù)據(jù)的主權(quán)。當(dāng)然，在防守美國(guó)數(shù)據(jù)霸權(quán)的同時(shí)，歐盟也一樣把“長(zhǎng)臂”伸向了全世界。一旦數(shù)據(jù)涉及了歐盟的用戶(hù)，就自動(dòng)落入了GDPR的管轄范圍。

應(yīng)該說(shuō)，在歐美都通過(guò)立法積極爭(zhēng)奪數(shù)據(jù)主權(quán)的時(shí)候，立法上的滯后會(huì)讓我國(guó)在國(guó)際競(jìng)爭(zhēng)中顯得十分被動(dòng)。目前，我國(guó)已經(jīng)有了一大批大型的數(shù)字經(jīng)濟(jì)企業(yè)，它們的業(yè)務(wù)已經(jīng)遍布世界各地，很多業(yè)務(wù)和歐、美有往來(lái)。按照《云法案》和GDPR，歐美的執(zhí)法機(jī)構(gòu)就可以很容易找到理由自由調(diào)取這些企業(yè)的數(shù)據(jù)。顯然，這對(duì)于這些企業(yè)的經(jīng)營(yíng)，以及我國(guó)的經(jīng)濟(jì)安全都有可能帶來(lái)很大的負(fù)面影響。

事實(shí)上，無(wú)論是去年的TikTok風(fēng)波，還是今年的滴滴事件，類(lèi)似的矛盾都已經(jīng)顯露了出來(lái)。不僅如此，現(xiàn)在很多國(guó)外的企業(yè)在中國(guó)有業(yè)務(wù)分支，例如蘋(píng)果就在中國(guó)有龐大的用戶(hù)群，而微軟則是重要的云服務(wù)供應(yīng)商。雖然按照《網(wǎng)絡(luò)安全法》的要求，這些企業(yè)都將“個(gè)人信息和重要數(shù)據(jù)在境內(nèi)存儲(chǔ)”，但如果沒(méi)有更為專(zhuān)門(mén)的法律對(duì)數(shù)據(jù)跨境作出進(jìn)一步規(guī)定，就很難避免這些企業(yè)出于美歐政府的壓力，向美歐提供數(shù)據(jù)的情況發(fā)生。而一旦這種情況發(fā)生，則很可能對(duì)我國(guó)的國(guó)家安全造成巨大的影響。從這個(gè)意義上講，我國(guó)加速出臺(tái)《數(shù)據(jù)安全法》，也是為了補(bǔ)足法律短板，以免自己在和美歐的大國(guó)數(shù)據(jù)博弈中吃虧。

《數(shù)據(jù)安全法》解決了什么，沒(méi)解決什么

從總體上看，《數(shù)據(jù)安全法》的內(nèi)容是十分豐富的。它的實(shí)施，將會(huì)解決很多數(shù)據(jù)應(yīng)用和交易當(dāng)中的問(wèn)題。限于篇幅，這里只介紹其中的八個(gè)方面。

第一，《數(shù)據(jù)安全法》明確了數(shù)據(jù)安全和發(fā)展之間的關(guān)系，對(duì)數(shù)據(jù)的應(yīng)用工作提出了一個(gè)總的指導(dǎo)。

我們知道，在世界各國(guó)，關(guān)于如何處理數(shù)據(jù)安全和發(fā)展，態(tài)度是有很大差異的。總體上，歐洲對(duì)于安全問(wèn)題的考量更多，并且這種考量更多側(cè)重于個(gè)人數(shù)據(jù)安全層面，而對(duì)于發(fā)展問(wèn)題，則放在了一個(gè)較輕的位置上。而美國(guó)，雖然也重視安全，但一方面，其側(cè)重更多地放在了國(guó)家安全層面；另一方面，其對(duì)于經(jīng)濟(jì)發(fā)展的重視是要遠(yuǎn)高于歐洲的。現(xiàn)在的實(shí)踐已經(jīng)證明，這種差別直接決定了兩個(gè)地區(qū)在互聯(lián)網(wǎng)等數(shù)據(jù)密集型產(chǎn)業(yè)上的發(fā)展?fàn)顩r。類(lèi)似的，我國(guó)究竟怎樣平衡安全和發(fā)展，也會(huì)對(duì)相關(guān)產(chǎn)業(yè)的發(fā)展起到至關(guān)重要的作用。

從法律文本上看，應(yīng)該說(shuō)整部《數(shù)據(jù)安全法》都體現(xiàn)出了“數(shù)據(jù)安全與發(fā)展”這兩個(gè)目標(biāo)平衡的思路。在第一條，就明確提出了立法的宗旨是“規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益”；在第十三條，又進(jìn)一步強(qiáng)調(diào)了“國(guó)家統(tǒng)籌發(fā)展和安全，堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展。”在一部以“安全”為核心的法律中，如此明確、頻繁地提到了發(fā)展的內(nèi)容，立法者重視發(fā)展、支持發(fā)展的用心可以說(shuō)是十分明顯了——只不過(guò)，這種發(fā)展絕對(duì)不能是無(wú)序的，它應(yīng)該是以安全作為一個(gè)總的邊界。

第二，《數(shù)據(jù)安全法》對(duì)與數(shù)據(jù)安全相關(guān)的各角色的相關(guān)職責(zé)進(jìn)行了劃分，明確了各自應(yīng)當(dāng)扮演的角色、承擔(dān)的責(zé)任。

維護(hù)數(shù)據(jù)的安全，是一個(gè)系統(tǒng)性的過(guò)程。在這個(gè)過(guò)程中，政府、企業(yè)、社會(huì)相關(guān)管理者、運(yùn)營(yíng)者和經(jīng)營(yíng)者需要相互配合、相互協(xié)調(diào)。只有這種配合和協(xié)調(diào)是足夠順暢的，相關(guān)的工作才可能很好的完成。然而，在過(guò)去，上述的每一個(gè)角色究竟應(yīng)該在這個(gè)過(guò)程中扮演怎樣的角色、承擔(dān)怎樣的義務(wù)，相關(guān)規(guī)定都是不明確的。在這樣的情況下，角色缺位、越位、沖突的現(xiàn)象比比皆是。尤其是在政府的不同部門(mén)之間，經(jīng)常出現(xiàn)類(lèi)似“九龍治水”的管理沖突，造成了很多問(wèn)題。針對(duì)以上這些問(wèn)題，《數(shù)據(jù)安全法》專(zhuān)門(mén)對(duì)各個(gè)角色的相關(guān)職責(zé)進(jìn)行了劃分。尤其是在第五和第六條中，對(duì)于政府各部門(mén)之間的權(quán)責(zé)劃分進(jìn)行了很詳細(xì)的闡述。這一劃分，可以很好地解決過(guò)去由于職能不清所造成的問(wèn)題，從而減少很多不必要的麻煩。

第三，《數(shù)據(jù)安全法》提出了十分明確的對(duì)數(shù)據(jù)進(jìn)行分類(lèi)管理和保護(hù)的思路。

在該法的第二十一條中，明確指出“國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類(lèi)分級(jí)保護(hù)。”很顯然，這種分類(lèi)監(jiān)管的思路，將有效地用于保護(hù)的資源與數(shù)據(jù)重要性之間的匹配，從而指引整個(gè)數(shù)據(jù)安全工作更加有的放矢，更加具有效率。

需要指出的是，對(duì)數(shù)據(jù)分類(lèi)進(jìn)行管理并不是《數(shù)據(jù)安全法》首創(chuàng)。事實(shí)上，在《網(wǎng)絡(luò)安全法》當(dāng)中，已經(jīng)提出了類(lèi)似的管理思路。不過(guò)，這兩部法律中的分類(lèi)管理還是存在著很大的差別的。在《網(wǎng)絡(luò)安全法》中，數(shù)據(jù)分類(lèi)的決策，主要是由網(wǎng)絡(luò)運(yùn)營(yíng)者作出的，其目的主要還是為了保證網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境的安全。而在《數(shù)據(jù)安全法》中，對(duì)數(shù)據(jù)分類(lèi)的責(zé)任則落到了各地區(qū)和各部門(mén)主管單位身上，而企業(yè)則沒(méi)有類(lèi)似的責(zé)任和權(quán)力，只有根據(jù)分類(lèi)進(jìn)行合規(guī)的義務(wù)。顯然，這種安排不僅充分體現(xiàn)了國(guó)家對(duì)于數(shù)據(jù)安全本身的重視，還可以很好地在法律適用的普遍性和具體情況的特殊性之間實(shí)現(xiàn)有效的權(quán)衡。

第四，《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)交易管理、安全評(píng)估、安全審查等具體的制度，都給出了比較完整的規(guī)定。

具體來(lái)說(shuō)，關(guān)于數(shù)據(jù)交易管理，第十九條提出了“國(guó)家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場(chǎng)”，而第三十三條中，則對(duì)從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)的行為作出了具體的規(guī)定。值得一提的是，這應(yīng)該是“數(shù)據(jù)交易中介機(jī)構(gòu)”第一次出現(xiàn)在我國(guó)的法律中，其對(duì)于數(shù)據(jù)市場(chǎng)的規(guī)范和發(fā)展是具有標(biāo)志性的意義的。

關(guān)于安全評(píng)估機(jī)制的規(guī)定，則主要體現(xiàn)在了第二十二和第二十三條中。其中，第二十二條構(gòu)思了一套“集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制”，而第二十三條則在此基礎(chǔ)上提出了對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的應(yīng)對(duì)機(jī)制。

關(guān)于安全審查的規(guī)定主要體現(xiàn)在第二十四條“國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查”。這里比較值得一提的是，法條中專(zhuān)門(mén)強(qiáng)調(diào)了“依法作出的安全審查決定為最終決定”。也就是說(shuō)，它無(wú)法被行政復(fù)議或行政訴訟推翻。這個(gè)規(guī)定，應(yīng)該引起比較多的重視。

第五，《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全保護(hù)義務(wù)作出了比較具體的要求。

在法案的第四章中，對(duì)數(shù)據(jù)處理及研究過(guò)程中的各種主要風(fēng)險(xiǎn)，以及相關(guān)主體應(yīng)該在這個(gè)過(guò)程中承擔(dān)的義務(wù)都進(jìn)行了比較多的探討。具體的內(nèi)容，限于篇幅在此不再贅述。比較值得注意的是，在這一部分，提出了“重要數(shù)據(jù)的處理者”和“關(guān)鍵信息基礎(chǔ)設(shè)施”等概念。這些主體，由于其特殊的重要性，在承擔(dān)一般義務(wù)之外，還被要求承擔(dān)了一些額外的義務(wù)。很顯然，這也體現(xiàn)了一種分類(lèi)監(jiān)管的思路。需要指出的是，對(duì)于這些主體來(lái)講，《數(shù)據(jù)安全法》賦予的責(zé)任只是它們需要承擔(dān)責(zé)任的一部分。在很多后續(xù)的相關(guān)法律、法規(guī)中，還對(duì)它們的其他義務(wù)作出了很多的規(guī)定。例如，在9月1日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》也將開(kāi)始實(shí)施，在這個(gè)條例中，就對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的責(zé)任和義務(wù)作出了更為詳細(xì)的規(guī)定。這些規(guī)定，正好和《數(shù)據(jù)安全法》構(gòu)成了互補(bǔ)。

第六，《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)跨境問(wèn)題，作出了不少重要的規(guī)定。

如前所述，《數(shù)據(jù)安全法》的一大立法初衷，就是要回應(yīng)大國(guó)之間對(duì)于數(shù)據(jù)主權(quán)的博弈，要對(duì)數(shù)據(jù)的跨境流動(dòng)規(guī)則提出中國(guó)自己的規(guī)則。這一初衷已經(jīng)在現(xiàn)有的條文中得到了很好的反應(yīng)。

具體來(lái)說(shuō)，在第二十五條中，指出“國(guó)家對(duì)與維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制”；而在第三十六條中，則進(jìn)一步補(bǔ)充道，“非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)”。這兩段表述，應(yīng)該可以視為是我國(guó)在數(shù)據(jù)主權(quán)問(wèn)題上的主要主張。

第七，《數(shù)據(jù)安全法》對(duì)政務(wù)數(shù)據(jù)的安全與開(kāi)放過(guò)程中的責(zé)任作出了專(zhuān)門(mén)的規(guī)定。

在這部法律中，政府部門(mén)的責(zé)任足足寫(xiě)了一章，篇幅非常大。這種安排，本質(zhì)上是由政府本身的角色形象所決定的。我們知道，政府手中是掌握著海量數(shù)據(jù)的，并且其中的一部分?jǐn)?shù)據(jù)是很難通過(guò)市場(chǎng)機(jī)構(gòu)找到有效替代品的，因此其價(jià)值可謂非常之高。從這個(gè)角度講，我們要搞大數(shù)據(jù)，就必須設(shè)法讓政府的數(shù)據(jù)也匯入到市場(chǎng)中來(lái)、能為大家所用。但是，政府手中的很多數(shù)據(jù)又往往是十分敏感的。例如，居民的戶(hù)籍信息、犯罪記錄等，這些數(shù)據(jù)如果隨意流動(dòng)，很可能會(huì)造成非常不好的影響。因此，如何開(kāi)放政府的數(shù)據(jù)，如何在安全與開(kāi)放之間尋找一個(gè)平衡，就是亟待回答的問(wèn)題。這里值得一提的是，在關(guān)于政務(wù)數(shù)據(jù)安全與開(kāi)放的一章中，雖然討論了很多關(guān)于安全的措施，但從篇幅上看，關(guān)于開(kāi)放和發(fā)展的論證其實(shí)并不比關(guān)于安全的少。這一點(diǎn)，其實(shí)已經(jīng)釋放出了很大的信息量。

第八，《數(shù)據(jù)安全法》對(duì)違法所導(dǎo)致的處罰作出了規(guī)定。

例如，根據(jù)第四十五條，違反國(guó)家核心數(shù)據(jù)管理制度的，可由有關(guān)主管部門(mén)處二百萬(wàn)元以上一千萬(wàn)元以下罰款，并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。而第四十六條則規(guī)定，向境外提供重要數(shù)據(jù)的，可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款；情節(jié)嚴(yán)重的，處罰還可以更為嚴(yán)重。

而類(lèi)似GDPR等域外法律在規(guī)定處罰時(shí)，是可以以企業(yè)營(yíng)業(yè)額的百分比來(lái)計(jì)算處罰金額的，這使得可以對(duì)一些比較嚴(yán)重的數(shù)據(jù)違法行為處以天價(jià)的罰單。反觀《數(shù)據(jù)安全法》，盡管看起來(lái)處罰力度并不算低，但如果對(duì)一些比較大型企業(yè)的嚴(yán)重違法行為，類(lèi)似的處罰是否可以達(dá)到足夠的懲戒，其實(shí)還是需要觀察的。

綜上所述，不難看到，雖然《數(shù)據(jù)安全法》從起草到實(shí)施，時(shí)間并不算長(zhǎng)，但卻已經(jīng)對(duì)涉及數(shù)據(jù)安全的重要問(wèn)題都給出了比較詳細(xì)的回應(yīng)，已經(jīng)可以在很大程度上為現(xiàn)在的數(shù)據(jù)開(kāi)發(fā)和應(yīng)用活動(dòng)提供比較好的參考。

當(dāng)然，或許是由于時(shí)間倉(cāng)促，目前的《數(shù)據(jù)安全法》還有一些有待進(jìn)一步完善之處。

舉例來(lái)說(shuō)，現(xiàn)在關(guān)于《數(shù)據(jù)安全法》的討論中，數(shù)據(jù)分類(lèi)保護(hù)無(wú)疑是一個(gè)熱點(diǎn)。如前所述，這種分類(lèi)保護(hù)的思路有很強(qiáng)的靈活性，因而很好地適應(yīng)不同的具體環(huán)境。然而，對(duì)于具體的企業(yè)來(lái)講，這種靈活性就未必是好事。事實(shí)上，一個(gè)企業(yè)經(jīng)常會(huì)有跨地區(qū)、多領(lǐng)域的經(jīng)營(yíng)，那么按照這種靈活的設(shè)定，它的數(shù)據(jù)可能需要按照多套不同的標(biāo)準(zhǔn)進(jìn)行合規(guī)。這樣一來(lái)，企業(yè)可能會(huì)無(wú)所適從。

不僅如此，由于數(shù)據(jù)是具有互補(bǔ)性的，因此單個(gè)數(shù)據(jù)的安全性等級(jí)和多個(gè)數(shù)據(jù)的安全性等級(jí)并不能一一對(duì)應(yīng)。比如，在一些諜戰(zhàn)劇當(dāng)中，我們會(huì)看到這樣的橋段：一些經(jīng)驗(yàn)老道的間諜可以通過(guò)閱讀公開(kāi)的報(bào)紙來(lái)推斷出敵國(guó)的機(jī)密軍事動(dòng)向。一般來(lái)說(shuō)，在報(bào)紙上公開(kāi)發(fā)表的內(nèi)容都不會(huì)有什么涉密或者影響國(guó)家安全的內(nèi)容，但是如果將很多類(lèi)似的內(nèi)容結(jié)合起來(lái)，就可以拼湊出很多重要的信息。在大數(shù)據(jù)條件下，類(lèi)似的效應(yīng)會(huì)被更加地放大，很多看似人畜無(wú)害的數(shù)據(jù)，如果放在一起，就可能產(chǎn)生“1+1>2”的效應(yīng)，因此也就會(huì)有了安全的風(fēng)險(xiǎn)。對(duì)于這一情況，我們一定要引起高度的重視。它意味著，除了對(duì)單個(gè)數(shù)據(jù)進(jìn)行分類(lèi)管理和保護(hù)外，可能還需要出臺(tái)一些關(guān)于數(shù)據(jù)集的安全等級(jí)規(guī)則。

除此之外，《數(shù)據(jù)安全法》中提到的不少規(guī)則也還沒(méi)有詳細(xì)的細(xì)則。比如，政務(wù)數(shù)據(jù)的開(kāi)放應(yīng)該如何落地、數(shù)據(jù)交易規(guī)則應(yīng)該如何完善、數(shù)據(jù)的跨境執(zhí)法應(yīng)該如何執(zhí)行……這些問(wèn)題，恐怕都要通過(guò)后續(xù)的相關(guān)法律法規(guī)來(lái)進(jìn)一步完善了。

《數(shù)據(jù)安全法》會(huì)催生哪些商機(jī)

一般來(lái)說(shuō)，每一部法律的出臺(tái)，每一個(gè)規(guī)則的變動(dòng)，都會(huì)催生一批新的商業(yè)機(jī)會(huì)，由此引發(fā)一輪行業(yè)的大變革。

最為直接的，在《數(shù)據(jù)安全法》實(shí)施后，企業(yè)在數(shù)據(jù)安全上的責(zé)任就一下子加大了。這會(huì)倒逼它們加大在安全領(lǐng)域的投入，以期規(guī)避因安全風(fēng)險(xiǎn)造成的損失。顯然，這會(huì)催生出很多新的機(jī)會(huì)。在對(duì)人工合規(guī)需求上升的同時(shí)，對(duì)相關(guān)軟件應(yīng)用的需求也會(huì)增加。自動(dòng)化的數(shù)據(jù)合規(guī)軟件，可能會(huì)像過(guò)去的企業(yè)財(cái)務(wù)軟件一樣，迅速發(fā)展出很大的需求，從而成為一個(gè)風(fēng)口。

當(dāng)然，相對(duì)于以上這些，一個(gè)更大的風(fēng)口可能還是會(huì)來(lái)自于通過(guò)技術(shù)規(guī)避風(fēng)險(xiǎn)的努力。比如，聯(lián)邦學(xué)習(xí)、多方安全計(jì)算、區(qū)塊鏈等技術(shù)，很可能在這一輪對(duì)于數(shù)據(jù)安全的重視中產(chǎn)生很大的商業(yè)價(jià)值。

以聯(lián)邦學(xué)習(xí)為例，在兩年前的一篇專(zhuān)欄中，我曾經(jīng)提到過(guò)，包括安全在內(nèi)的很多與數(shù)據(jù)相關(guān)的問(wèn)題，其實(shí)是由中心化的機(jī)器學(xué)習(xí)方法導(dǎo)致的。正因?yàn)楝F(xiàn)在主流的機(jī)器學(xué)習(xí)技術(shù)需要將數(shù)據(jù)集中之后才能進(jìn)行分析，所以企業(yè)才有激勵(lì)去采集人們的個(gè)人信息，才需要將采集到的數(shù)據(jù)進(jìn)行傳輸，然后將數(shù)據(jù)進(jìn)行集中的存儲(chǔ)和處理。只要是這種集中的機(jī)器學(xué)習(xí)模式被顛覆了，那么這些問(wèn)題也就自然得到了解決。而聯(lián)邦學(xué)習(xí)技術(shù)就提出了對(duì)以上問(wèn)題的一套解決方案。它變過(guò)去的“搜集數(shù)據(jù)給程序”為“讓程序自己去找數(shù)據(jù)”，從而很有效地打破了集中學(xué)習(xí)的模式。這在理論上可以讓數(shù)據(jù)不出本地，數(shù)據(jù)的可用而不可得成為了可能。正是由于有了這種性質(zhì)，所以現(xiàn)在很多做和聯(lián)邦學(xué)習(xí)相關(guān)業(yè)務(wù)的公司業(yè)務(wù)都很繁榮，估值也都很不錯(cuò)。

不過(guò)，在目前的技術(shù)條件下，聯(lián)邦學(xué)習(xí)還不能完全解決數(shù)據(jù)安全的問(wèn)題。比如在縱向聯(lián)邦學(xué)習(xí)和遷移學(xué)習(xí)的過(guò)程中，中間還是需要有一個(gè)階段，要讓數(shù)據(jù)在一個(gè)第三方的云上面實(shí)現(xiàn)交換和整合。而在這個(gè)過(guò)程中，數(shù)據(jù)泄露或者被篡改的可能還是存在的。此外，利用聯(lián)邦學(xué)習(xí)的特征，進(jìn)行相應(yīng)的黑客攻擊也是完全有可能的。從這個(gè)意義上看，雖然類(lèi)似的技術(shù)會(huì)為我們解決安全問(wèn)題找到一條路，但這條路本身可能還有很多有待完善之處。當(dāng)然，從商業(yè)角度看，這些瑕疵本身其實(shí)并不是什么問(wèn)題。事實(shí)上，它們本身也是另一個(gè)商業(yè)機(jī)會(huì)。如果可以有更好的方案解決聯(lián)邦學(xué)習(xí)過(guò)程中存在的以上問(wèn)題，那么這些技術(shù)解決方案也將會(huì)是非常有價(jià)值的。

除了以上這些直接與數(shù)據(jù)安全相關(guān)的商機(jī)，《數(shù)據(jù)安全法》可能間接帶來(lái)的另一個(gè)重要商業(yè)機(jī)會(huì)是與數(shù)據(jù)交易相關(guān)的產(chǎn)業(yè)的發(fā)展。現(xiàn)在數(shù)據(jù)市場(chǎng)發(fā)展的不完善，一定程度上是由于交易本身就處于灰色地帶，很多安全風(fēng)險(xiǎn)無(wú)法回避。而在《數(shù)據(jù)安全法》落地后，相關(guān)的風(fēng)險(xiǎn)就可以有效減少，數(shù)據(jù)交易的成本也會(huì)隨之降低。

除此之外，由于數(shù)據(jù)本身的固有特征，要對(duì)原始數(shù)據(jù)進(jìn)行交易其實(shí)是非常困難的。相比之下，交易數(shù)據(jù)的使用權(quán)或許是一種更為可取的選擇。過(guò)去，這種使用權(quán)的交易是比較難以實(shí)現(xiàn)的。但隨著《數(shù)據(jù)安全法》的推進(jìn)，聯(lián)邦學(xué)習(xí)和安全計(jì)算技術(shù)被作為落實(shí)這一法律的技術(shù)基礎(chǔ)而被廣泛應(yīng)用，這些技術(shù)“可用不可見(jiàn)”的特點(diǎn)，客觀上也就為使用權(quán)的交易提供了很好的基礎(chǔ)。在這種情況下，數(shù)據(jù)的交易就可能真正發(fā)展起來(lái)，而與之相關(guān)的產(chǎn)業(yè)也就可能興起。

總而言之，《數(shù)據(jù)安全法》的實(shí)施本身只是一個(gè)事件，但這個(gè)事件之后，又會(huì)激發(fā)出更多技術(shù)、商業(yè)和法律的變革。這就像一顆石子扔進(jìn)了池塘，激起的漣漪會(huì)不斷擴(kuò)大。或許，整個(gè)數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)市場(chǎng)都會(huì)因此而不再一樣。