我們國家數據安全法治建設現在狀況和優化路徑,安全法論文摘要：數字經濟時代，數據安全問題納入地方式方法治化軌道極具必要性和迫切性。本文結合地方數據安全管理的形勢需要和工作實際，從立法價值和體系化定位、安全監管體系、責任落實和義務履行等方面進行詳細分析，并提出建議。本文關鍵詞語:數據;數據安全;法治建設;一、數據安全相關核心概念界定對“數據、數據活動、數據安全〞等核心概念的科學界定是有效開展數據安全保障工作的基礎和前提，將決定整部法律的可操作性和可執行性。第一，對數據的界定。在當下數據安全法律法規體系中對數據的界定各有側重、相互補充、不盡一樣。廣義的界定方式方法，以為數據的范疇應既包含網絡數據也包含線下物理場所存在的數據，即普遍適用于所有數據。據此，建議地方數據安全立法對于數據的界定應在保持與上位法一致的前提下，對其進行進一步完善和細化。同時，也應對“數據〞和“信息〞進行區分，為本地區進一步的信息保衛立法工作打下基礎。第二，對數據安全的界定。對數據安全的理解和認識是數據安全的立法之基，對其不同的理解將決定立法工作不同的定位和方向。建議地方數據安全立法對數據安全的界定應蘊含三個層次的含義：第一個層次是保衛數據所承載的信息的安全，即實現數據或信息的物理安全和邏輯安全；第二個層次是如人格權、財產權、知識產權和新型民事權利等；第三個層次即數據的自主可控和數據的宏觀安全。除此之外，數據安全還遭到技術創新、應用場景、價值選擇等因素的影響。第三，對數據產權的界定。產權歸屬與權益分配是實現數據保衛與利用再平衡的關鍵，科學、清楚明晰、合理的數據權分配可有利于數據安全保衛工作的開展，不當的數據權分配則無法實現多樣化的數據利益衡量，甚至產生數據法益沖突和混亂。因而，明確數據權屬并以此為基礎對數據權及其權利體系進行解構與規范就成為地方數據安全立法和實踐的核心內容。但數據本身屬性具有相當的復雜性，既具有公共利益屬性，關系到國家安全和社會公共利益，又具有人格利益屬性，關系到私人權益。因而，數據產權歸屬確定與權益分配是特別困難的，當前在立法層面尚未有明確。通過對上述觀點的分析和借鑒，建議地方數據安全立法可從宏觀、中觀和微觀三個層面對數據權屬進行劃分并構建數據權利體系。在宏觀層面，數據權主要指國家獨立管理和利用本國數據的權利，即數據主權，公共數據應被視為國有資產，歸國家所有，但由相關部門持有，用于創新公共管理服務形式；在中觀層面，在數據要素市場中流通的數據由其合法收集和產生者所有，用于促進數據流通，創造數據價值；微觀層面，包括隱私權、知情權、刪除權、可攜權等。二、我們國家數據安全法治建設現在狀況總體上，我們國家數據安全法治建設尚處于初級階段，在經歷從間接保衛到直接保衛、從分散立法到集中立法、從公法治理到綜合治理的演變歷程后，逐步構成了多層級多領域的數據安全保衛規范體系。截至2021年3月，全國共有40余個省市地區出臺了數據資源管理相關政策90余部，均對數據安全保衛保障工作提出要求，華而不實專門以數據安全為核心內容的地方式方法規有10余部，為推進本地區的數據安全工作提供了有力支撐。但大多數地方的數據安全管理政策仍處于空白狀態，嚴重影響了數據安全治理效果和數字化建設進程。因而，從地方數據安全管理的形勢需要和工作實際出發，廣泛吸收相關政策法規的成熟規定，總結提煉數據安全管理的實踐經歷體驗，并上升為地方式方法規，予以固化，打造數據安全管理的地方立法方案，已極具必要性和緊迫性。三、數據安全法治建設優化途徑〔一〕明確立法價值和體系化定位，樹立多元化的立法目的。任何法律都不是中立的，申明立法活動設定的動機和目的、明確立法價值判定與體系定位是有效推動本地區數據安全風險防控和體系化建設的基礎性問題。“既重視發展又重視安全〞是總體國家安全觀的基本要求，(網絡安全法〕第一條和第三條分別具體表現出網絡安全和網絡發展并重的立法價值取向，(數據安全法〔草案〕〕第一條和第十二條亦明確了兼顧“維護數據安全〞與“促進數據開發利用〞的雙重立法目的。據此，作為對(國家安全法〕(網絡安全法〕等上位法的細化、完善和補充，建議地方數據安全立法亦秉持“安全與發展并重〞的多元化立法理念，采取開放而非封閉、發展而非停滯、包涵而非排他的原則，同步推進數據開發利用和數據安全維護工作。第一，安全與發展須平衡考慮。一方面要處理好發展與安全間的沖突關系。的十九屆四中全會初次肯定數據作為“生產要素〞的必要性和重要意義，數據的分享、開放、流通是培育數據要素市場、促進數字經濟發展的必要條件，但公權利出于維護安全目的的，調節作用勢必會產生負面影響。因而，地方數據安全立法應符合本地區當下數字化建設水平，避免因規則過于嚴苛導致在執行中出現異化的現象；另一方面要重視數字技術發展與數據安全工作間的協同效應關系。數據安全問題最終還是要靠數字技術解決，因而要重視數字技術的發展對數據安全工作的推動作用，解決好本質合法性問題，以發展促安全。總之，要協調好沖突關系和協同關系之間的矛盾，最終實現安全與發展并重的“平衡原則〞。第二，安全與自由須平衡考慮。數據除了國家、公共屬性外，還具有人格權、財產權屬性，并且相比于安全，自由和權利更是法律的本質屬性。第三，外溢性和競爭性須平衡考慮。隨著全球數字化轉型的深化，跨境數據流動帶來的數據安全風險也與日俱增，因而數據安全管理工作不能僅考慮其域內效力，還要考慮數據安全規則的外溢性和競爭性。一方面地方數據安全立法應考慮越過“屬地管轄〞樊籬，考慮引入“長臂管轄原則〞或“保衛管轄原則〞，加強在數據治理博弈中的影響力和對重要數據的實際支配權利，避免數據安全風險對國家主權和公共利益造成的安全威脅，保障數據自主可控和數據宏觀安全；另一方面要避免陷入“以子之矛、攻子之盾〞的自我抵觸窘境，防止規則制定過于嚴苛導致遏制本地區數字產業創新發展。〔二〕構建數據安全監管體系，落實數據安全工作管理職責。構建完善的數據安全監管體系是保證數據安全監管效果的關鍵。對于數據安全監管體系的建設，(數據安全法〔草案〕〕(網絡安全法〕采取了一樣的思路，(數據安全法〔草案〕〕第七條、(網絡安全法〕第八條均規定由國家安全領導機構或網絡安全和信息化委員會決策和統籌，各地區、各部門對各自工作中牽涉的數據及數據安全承當主體責任，網信部門負責統籌協調和監管，行業主管部門負責本行業的數據安全監管職責，公安機關、國家安全機關負責各自職責范圍內的數據安全監管工作。據此，建議地方數據安全監管體系框架與上述兩部法律保持一致，即采取“一個頂點、多維度配合、分級管理，分工負責〞的架構形式。“一個頂點〞指由地方人民總體負責數據安全工作，根據數據安全情況進行整體決策和戰略規劃；“多維度配合〞是指網信部門、公安部門、國安部門及工業、電信、金融等行業主管部門共同構成全覆蓋、全方位的監管體系；“分級管理〞是指除地方人民總體負責數據安全保障工作外，市、州和縣級人民也要分別負責本行政區域內數據安全監管工作；“分工負責〞是指各地區、各部門、各行業要分工明確、各司其職地負責本領域和本行業的數據安全監管工作。最終構成由地方人民統領，各行政部門各自依職權負責，行業監管單位輔助的數據安全監管體系。除此之外，由于數據活動中的地域性、行業性愈發模糊，跨行業、跨領域的數據安全事件頻發，須建立健全數據安全監管不同主體間的協同治理機制，或設置統一的數據活動監管機構、建立統一的數據安全監管平臺統籌協調數據安全事件處置，杜絕數據安全監管經過出現職能穿插、模糊與空白地帶等問題。〔三〕強化責任落實和義務履行，提升數據活動主體自我規制的內生動力。通過對責任和義務的創設來規范相應主體的數據活動，使之符合維護數據安全的目的，正是地方數據安全管理立法的首要價值。因而，對可能導致數據安全事件發生的數據活動進行梳理、予以規范并設定相應的追責條款，強化相應的法律責任，增加數據活動的違法成本，以提升相關主體履行數據安全保衛責任的內生動力，更好地實現數據安全立法的規范和引導作用，亦是地方數據安全管理立法重要內容之一。在明確細化法律責任方面，可秉持“誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責、誰采集誰負責〞原則，實行數據安全管理主體責任制。原則上，任何在數據生命周期中對數據安全產生影響的社會團體、部門、個人均應屬于數據安全責任人范疇，都是地方數據安全立法的監管對象。并且，若在法規中添加了具有域外適用效力的條款，那么所有可能會危害數據安全的境外機構和個人也應納入數據安全責任人范疇，接受監管。所有數據安全責任人在收集、存儲、傳輸、處理、交換、開放、使用、銷毀數據的經過中，都應嚴格落實數據分類分級保衛制度、安全監測預警制度、安全應急處置制度、數據交易管理制度等，履行安全管理責任，保證數據全生命周期安全。并且，針對衍生數據可能會出現的危害性，亦應增設免責條款。在強化法律執行問責追責方面，建議罰則加大處理懲罰力度、豐富處理懲罰種類，提升數據活動的違法成本，實現震懾違法行為的目的。還可增設行政處理懲罰手段，使一些尚不構成犯罪的稍微違法行為及時得到糾正，避免以往通過民事責任追查無法起到震懾的作用，或直接上升到刑法犯罪造成嚴重后果。并且可采取包涵審慎的監管原則，與(網絡安全法〔草案〕〕(網絡安全法〕保持一致，設置專門條款，鼓勵對違法數據活動進行監督、投訴。但需注意的是，根據相關調查顯示，當下出現稍微犯罪行為的主體多以中小企業和創新型企業為主，多為對合規條件認識不清導致的無心之失，因而有必要增設一定的投訴門檻，避免職業舉報、虛假舉報的現象出現。除此之外，除了完善數據安全管理責任體系，還要明確各數據安全責任主體的數據安全保衛義務，以此對責權管理可能遺漏的內容進行兜底補充。可考慮根據數據活動主體的不同，對應履行的合規義務進行劃分。對職能部門/機關/單位、企業、社會團體而言，應履行建立內部數據管理機制的義務、員工培訓的義務、合法義務、配合義務、報告義務、政務公開義務〔針對國家機關〕等；對個人而言，應履行合規義務、配合義務、報告義務等；對境外機構而言，應履行合法義務。亦可根據功能模塊，對應履行的合規義務進行劃分。在內控體系方面，各主體有制定數據安全管理制度的義務、數據安全教育培訓的義務等；在風險監測方面，各主體有及時報告的義務、采取彌補措施的義務等；在風險評估方面，各主體有定期評估與報送評估報告的義務、面臨風險采取應對措施的義務等。以下為參考文獻[1]原新利,張玉珍我們