(一)宏观政策
(二)主要立法
(三)其他规范体系
(一)民法和经济法保护:这主要集中于个人信息、数据不正当竞争、反垄断
(二)刑法保护:个人信息和数据犯罪
(三)公益诉讼
(一)立法从分散化转向体系化
(二)数据要素市场基础制度建构
(三) 公共数据开放和利用
XX教授在首届中国数字经济发展和治理学术年会上的主旨演讲
各位好,特别感谢主办方提供这次交流机会,很荣幸今天能跟大家分享对于“中国数据法律保护现状与问题”的理解,尤其是我发现今天发言的嘉宾中从事法律研究的比较少。在这样一个经济快速转型、治理方式快速转型的社会当中,我想经济和法律需要更多的对话、沟通和理解。法学家需要更多地了解经济发展的逻辑,反之,经济学家或者企业家们也要了解法律的思维、法治的逻辑。经济运行的具体模式众多,法学尤其刑法学不得不要进行穿透式的监管和治理,要更加一针见血地去了解经济运行的本质,从而来做出判断。当然这在数字经济这样一种崭新的模式中实际也变得越来越困难。因此,法学、经济学、公共管理等不同领域的对话变得极为重要。
今天,结合会议主题,我主要和大家分享三部分内容:一是我国数据法律保护体系现状;二是数据法律保护的司法实践,尤其结合我的研究谈一下我国数据的刑法保护现状:三是我国数据法律的保护趋势以及完善建议。
数据的价值具有长期性和多样性,其可能直到数据采集、存储甚至删除很久后才产生;同时也会因为场景、时间、行业而使得价值释放十分不同。整体上来说,数据作为数字经济时代最核心的生产要素,正在加速成为全球经济增长的新动力、新引擎。与此同时,诸如数据违规收集、非法滥用、丢失泄露等安全事件频繁发生,数据保护形势日益严峻,国家安全、社会秩序以及个人权益正在受到更大的冲击,如何平衡“数据开放流通”与“数据合规安全”之间的矛盾统一性成为世界性的课题。
从数据的全生命周期角度出发,参与方多元纷杂。数据保护的核心在于来源合规与流动合法,即数据全生命周期包括数据收集、存储、使用、加工、传输、提供、公开等各个环节在内的安全与合规。比如:数据采集环节,不应涉及数据的非法采购和非法爬取;数据使用环节,要防控内部人员窃密、滥用和疏忽而导致的数据泄露风险;数据共享环节,要管控高密级数据流向低密级业务口;数据销毁环节:确保剩余敏感信息没有继续存留在数据库、服务器和终端上;防护隐私性数据片段被挖掘泄露。数据出境环节:出境需要合法正当,且满足必要的监管审批手续。
诸如此类,都是数据保护的应有之义。一个合理的数据保护法律体系,应当阐明数据的拥有者、控制者、使用者和维护者等不同主体在不同场景下、数字流转的不同环节中,法律风险与保护义务如何分配承担,从而使我们能够确定妥当的数据价值挖掘方式和利益分享模式,并充分地实现数字资源向数字资产的转变,最大程度地发挥其作为基本生产要素的作用。
一、数据法律保护的制度现状
(一)宏观政策
数据在我国数字经济中的基本要素地位,目前已经通过国家战略性和纲领性文件逐步确认下来。2020年3月30日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,第一次对推进要素市场化配置改革进行总体部署,明确要素市场制度建设的方向和重点改革任务,提出加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。
2022年6月22日召开的中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,提出数据作为新型生产要素,已快速融入生产、分配、流通、消费和社会服务管理等各个环节。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。
2022年12月2日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,即通常所说的“数据二十条”,要求构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值、促进全体人民共享数字经济发展红利,为深化创新驱动、推动高质量发展、推进国家治理体系和治理能力现代化提供有力支撑。
围绕数据密集出台的重要政策文件,体现了数据要素对于数字经济发展的基础作用,也体现了数据法律保护作为数据基础制度基础的迫切性和重要性。
(二)主要立法
各主要经济体在数据法律制定和规则设计上都积极发力,欧盟的《通用数据保护条例》《数字市场法》《数字服务法》,英国的《数字经济法案》,美国《数据隐私和保护法案》《加强美国网络安全法》以及网络空间和数字政策局等应运而生,数据领域立法蓬勃发展。对于中国而言,围绕数据的基本立法主要包括民法典、刑法以及反不正当竞争法中与数据相关的规定。此外,我国政府对数据安全和个人信息保护进行了前瞻性、针对性的战略部署,开展了系统性的顶层设计,数据安全治理逐步从静态走向动态。具体针对数据问题,2021年《数据安全法》《网络安全法》《个人信息保护法》相继出台,共同构成的“三驾马车”架构落地。架构之下,《数据出境安全评估办法》等部门规章规范性文件陆续出台,《个人信息安全规范》等国家标准体系逐步落地,网络安全与数据保护法律规范体系日臻完善。
另外,《网络数据安全管理条例》目前也正在制定过程中,目前第一稿已经征求意见,正在讨论第二稿过程中。作为行政法规,该《条例》承担了承上启下的立法功能。《数据安全法》普遍被认为过于抽象原则,需要更加具体的落地机制,而《个人信息保护法》虽然很多制度压得比较实,但是实体法规则居多,程序和机制较少,《条例》因此承担了进一步细化实体规则并建立相应的程序机制的功能和任务。《条例》将个人信息和重要数据等一般性网络数据放在一起监管,搭建数据监管的整体化框架,也是一定程度上整合了《数据安全法》和《个人信息保护法》两种合规体系。除了个人信息、重要数据等已有制度和规则,该条例还特别突出强化了公共数据、政务数据、具有公共属性数据等与政府履行公职相关的数据安全体系,体现了对政治安全和国家安全的重点考虑。
不过,就该条例而言,仍然存在着诸多问题:从政府内部顶层设计来看,多头监管的局面依然可能存在,网信作为最重要的监管力量,在评估、认证、跨境、监督检查等方面依然会努力发挥机制建设的牵头作用,公安、工信及其他行业主管部门亦会有监管举措。此外,司法部门对于规则建构和治理的作用也不可小觑,以检察公益诉讼为代表的检察院参与数据治理的积极性也依然十分活跃。而就《条例》本身规则而言,某些创新规则具体措辞和规则应可斟酌,例如新概念及其分类的科学性不足,如何协调强化数据安全保护与数据要素流通之间的关系,构建更加理性、具有可操作性的数据安全合规规则体系,应该依然存在调整。
