中國數據法律制度體系研究

謝祎，何波

1. 國家計算機網絡應急技術處理協調中心，北京 100029；2. 中國信息通信研究院，北京 100191

0 引言

數據問題已經成為影響經濟發展、社會治理、用戶權益和國家安全的重要因素，并逐步融入經濟和社會結構內部。隨著新一代信息通信技術持續快速發展，全球數字化轉型加速推進，各類數據迅猛增長、海量聚集，數據作為生產要素的基礎性和戰略性地位日益突出[1]。與此同時，在數據要素資源開發利用的過程中，也對原有的制度規則、市場環境和監管秩序等帶來沖擊，對治理能力提出了新的更高要求。法治是現代國家治理的基本方式，全面依法治國是黨領導人民治理國家的基本方略，在中國發揮數據要素價值、做強做優做大數字經濟的過程中，離不開法治的有力保障。中國具有數據規模和數據應用優勢，近年來，中國高度重視數字領域法治建設，持續健全數據相關法律制度，始終堅持“統籌數據安全和發展”的基本原則，不斷推進數據領域立法工作，初步構建了與數字經濟發展相適應的數據法律制度體系，在保障國家數據安全、維護公民法人數據權益、規范數字經濟市場秩序等方面發揮了重要作用。

1 中國數據法律制度體系概況

本文討論的數據法律制度是包含個人信息法律制度在內的廣義范疇。在中國法律語境下，數據被界定為“任何以電子或者其他方式對信息的記錄”1參見《數據安全法》第三條。，個人信息雖然與數據在概念界定上存在一些差異，但二者關系十分密切，在諸多立法及實踐中，中國將個人信息作為特別重要的一種數據予以保護和監管。例如，在國家互聯網信息辦公室出臺的《數據出境安全評估辦法》中，將一定數量的個人信息出境情形納入數據出境安全評估范圍2參見《數據出境安全評估辦法》第四條。。因此，在論述中國數據法律制度時，其涉及的法律法規不僅限于《數據安全法》等數據專門性立法所規定的內容，還包括《民法典》《電子商務法》等相關立法中涉及的制度規則。

在中國數字經濟發展過程中，中國立法機構和監管部門準確把握數據發展規律，堅持科學立法、民主立法、依法立法，大力推進數據法律制度建設，先后制定發布一系列法律法規和政策文件，中國數據立法隨著數字經濟發展經歷了從無到有、從少到多、由點到面、由面到體的發展過程[2]。整體來看，中國初步構建了中央和地方立法相結合，涵蓋法律、行政法規、部門規章以及地方性立法多個法律層級，涉及數據安全與發展、個人信息保護、商業數據流通以及政務數據管理等多個方面的數據法律制度體系（如圖1所示）。

圖1 中國數據法律制度體系

具體而言，中國數據法律制度體系可以分為兩個維度，即數據法律制度的縱向體系和橫向體系。其中，數據法律制度的縱向體系主要是指中國數據法律制度的層級，具體來看，既包含了法律、行政法規、部門規章等中央立法以及相關管理規定，如《數據安全法》《數據出境安全評估辦法》等，也包括地方法規和地方政府規章在內的地方性立法，如《上海市數據條例》《福建省政務數據管理辦法》等，形成了“上下有序、央地結合”的縱向法律體系。而橫向體系是指中國數據法律制度包含的主要內容或制度板塊，結合各層級數據立法的具體內容來看，中國立法機關圍繞社會各界廣泛關注、經濟社會發展迫切需要的“數據安全與發展制度”“個人信息保護制度”“商業數據流通制度”“政務數據管理制度”等重點領域作了相關制度設計，構建了與中國數字經濟發展相適應的橫向制度規則。值得注意的是，中國數據法律制度的橫向體系和縱向體系之間是彼此聯系互動的，每一個橫向體系制度的內部，都是由多個不同層級法律法規構成的，形成了各自單獨的子系統。例如，在數據安全與發展制度領域，既包括法律層面的《數據安全法》，也包括《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》等行政法規和部門規章，還包括《上海市數據條例》等地方性法規。

2 中國數據法律制度縱向體系

中國數據法律制度的縱向體系包括多個層級，這些層級按照法律效力和制定主體不同，可以分為兩類，即國家（中央）立法層面和地方立法層面。與此同時，除了嚴格意義上的法律文件外，實踐中還有眾多管理規定和指導意見等政策性文件，也在數據領域發揮著重要的指導作用，是中國數據法律制度體系的有益補充。

2.1 國家層面頂層法律設計初步形成

從國家層面來看，落實黨中央決策部署，全國人大及其常委會、國務院以及有關部門持續推進數據立法工作，建立健全相關法律法規，數據法律制度“四梁八柱”基本形成，主要涵蓋法律、行政法規和部門規章3個層級。

一是法律規則層面。目前主要以《數據安全法》等專門法律為核心，以《民法典》等相關法律為補充。2012年12月，全國人大常委會通過了《關于加強網絡信息保護的決定》，規定國家保護公民個人電子信息，拉開了中國數據立法的序幕。2016年11月，《網絡安全法》制定出臺，規定了網絡數據安全和個人信息安全保護的基本要求，加速了中國數據立法進程。此后，《數據安全法》《個人信息保護法》等專門立法相繼出臺，逐步建立了數據領域基本原則和主要制度規則。與此同時，在《民法典》《密碼法》《電子商務法》《測繪法》等相關法律中，也都有涉及數據的條款規定，進一步豐富了數據法律規則。

二是行政法規層面。目前中國數據領域專門規定還尚未正式出臺，現行有效的行政法規主要包括《關鍵信息基礎設施安全保護條例》以及《征信業管理條例》《政府信息公開條例》等相關立法。其中，2021年7月出臺的《關鍵信息基礎設施安全保護條例》將維護數據的完整性、保密性和可用性作為關鍵信息基礎設施安全保護的重要內容。與此同時，按照國務院年度立法工作計劃，《數據安全管理條例》被列入擬制定的行政法規項目3《國務院2021年度立法工作計劃》中確立的立法項目是《數據安全管理條例》，《國務院2022年度立法工作計劃》將其修改為《網絡數據安全管理條例》。，2021年11月，《網絡數據安全管理條例（征求意見稿）》正式向社會公開征求意見，對數據管理的一般規定、個人信息保護、重要數據安全、數據跨境安全管理等作了全面規定。

三是部門規章層面。部門規章主要是具有數據管理職責的部門為落實法律和行政法規的規定，就某些特定領域數據管理或者某些特定數據法律制度作出的具體規定。例如，2021年8月，國家互聯網信息辦公室發布《汽車數據安全管理若干規定（試行）》，對智能網聯汽車產生的數據進行了界定，并明確了責任主體、數據范圍、收集方式、隱私保護、數據出境等問題。近年來，工業和信息化部、國家互聯網信息辦公室等部門先后制定了《電信和互聯網用戶個人信息保護規定》《兒童個人信息網絡保護規定》《數據出境安全評估辦法》等多部部門規章，對涉及特定行業、特定主體、特定環節的數據管理進行細化規定。

除此之外，在數據領域還有一些非法律性質的文件，雖然不具有法律的強制約束力，但其對數據發展、監管和治理等具有非常重要的指導作用，也是中國數據法律制度體系的有益補充。一方面，國家層面發布了若干數據相關戰略規劃和指導意見，例如，2015年，國務院印發的《促進大數據發展行動綱要》，全面推進中國大數據發展和應用；再如，2022年12月，中共中央、國務院印發的《關于構建數據基礎制度更好發揮數據要素作用的意見》，對構建數據基礎制度體系作出了全面部署[3]。另一方面，相關部門發布了特定領域數據管理的文件。例如工業和信息化部印發的《工業和信息化領域數據安全管理辦法（試行）》，在行業領域對國家數據安全管理制度要求進行細化，明確開展數據分類分級保護、重要數據管理等工作的具體要求[4]。

2.2 地方層面積極探索推動數據立法

地方立法是中國立法體制的重要組成部分，主要包括地方性法規、自治條例和單行條例（本文統稱地方性法規）以及地方政府規章。從地方數據領域立法情況來看，自2015年《促進大數據發展行動綱要》發布以來，地方立法機關和政府部門充分發揮主觀能動性，因地制宜，通過制定本地數據法規和規章進行制度創新探索。有研究顯示，截至2022年5月，我國地方數據相關立法已經達到九十余部[5]。這些地方立法涉及內容廣泛，涵蓋數字經濟發展、數據安全、公共數據授權運營、數據交易等諸多制度內容，在確保安全的同時推動釋放數據資源價值，進一步充實了中國數據法律法規體系。從具體情況來看，地方數據立法大概可以分為以下3類。

一是針對數據領域的基礎性專門立法。這類立法以地方性法規為主，對本地數據產業發展、數據安全保護、數據資源開發利用等問題作了全面規定，例如《貴州省大數據發展應用促進條例》《浙江省公共數據條例》《山東省大數據發展促進條例》《山西省大數據發展應用促進條例》《黑龍江省促進大數據發展應用條例》《遼寧省大數據發展條例》《福建省大數據發展條例》《深圳市經濟特區數據條例》《上海市數據條例》等[6]。

二是針對特定領域或特定事項的立法。這類地方立法與部門規章所規定的內容相似，多以地方政府規章形式為主。例如《河北省政務信息資源共享管理規定》《安徽省政務數據資源管理辦法》《福建省政務數據管理辦法》《廣東省公共數據管理辦法》等，針對政務數據（公共數據）管理、共享等進行專門立法；再如《天津市數據交易管理暫行辦法》《貴州省數據流通交易管理辦法（試行）》等，針對數據交易問題進行探索規定。

三是將數據制度作為重點內容納入相關綜合性立法。這類地方立法多為數據相關領域的立法，屬于綜合性較強的地方性法規，一般會將數據安全、數據發展、數據要素資源等制度作為立法中的重要內容或者重要章節進行規定。例如《北京市數字經濟促進條例》《江蘇省數字經濟促進條例》《浙江省數字經濟促進條例》等，將數據作為數字經濟發展的重要資源進行專章規定；又如《湖南省網絡安全和信息化條例》《河南省網絡安全條例》等，對數據安全作了重點規定。

3 中國數據法律制度橫向體系

從橫向來看，中國數據法律制度體系指向的是數據領域各項法律法規所規定的具體制度內容。從立法實踐視角來看，主要包括四大制度板塊，即：數據安全與發展制度、個人信息保護制度、商業數據流通制度和政務數據管理制度。當然，數據領域本身就是一個復雜且不斷發展變化的領域，本文目前劃分的四大制度板塊只是中國數據法律制度體系的主干部分，除此之外還有其他數據相關的法律制度，并且未來隨著技術產業的發展也會產生新的制度。

3.1 橫向體系的內在邏輯

數據法律制度是一項系統性、體系化的制度，橫向體系的四大制度板塊也是彼此關聯、具有內在邏輯聯系的（如圖2所示）。其中，數據安全和發展制度是整個中國數據法律體系的總體要求，規定了數據治理的基本原則和主要制度，是整個數據法律制度體系的基石。而個人信息保護制度、商業數據流通制度、政務數據管理制度則是從主體維度進行的劃分，個人、企業、政府這三大主體基本涵蓋了數據領域的絕大多數主體，也體現了數據領域“分類管理”的思路。當然，這3類主體的劃分也不是絕對的，企業數據之中也有大量個人信息數據，政務數據中也包含企業數據和個人信息，劃分的考量更多還是基于法律制度本身的設計。除數據安全和發展制度外，其他三大數據制度板塊主要是根據各自類型數據的特點展開的，同時，也都需要遵守數據安全與發展制度的總體性要求。

圖2 數據法律制度橫向體系的內在邏輯

3.2 數據安全與發展制度

立法的技術在于平衡不同主體之間的權利義務，通過發揮立法的引領和推動作用，實現法律制定的全部目的。長期以來，中國堅持發展與安全并重，將統籌發展與安全的原則貫徹落實到治國理政的各領域、各方面。在數據領域的立法過程中，立法機構逐步確立了“數據安全與發展并重”的基本原則，并圍繞這一基本原則進行了全面的法律制度設計。例如，在《網絡安全法》《數據安全法》《個人信息保護法》等多部立法中，都可以找到相關原則表述和具體制度規定。在《數據安全法》中，更是設立了第二章對數據安全與發展進行規定。如前所述，數據安全與發展制度是中國數據法律制度體系中的總則性規定，也是其他制度板塊的前提和基礎，立法機構力求通過立法確保在安全中謀發展、在發展中促安全，探索實現數據安全與發展的精妙平衡。

3.2.1 數據發展相關制度

發展是安全的目的和基礎。促進數據資源開發利用、充分釋放數據價值是維護數據安全的重要保障，是推進高質量發展的應有之義，也是數字時代贏得國際競爭博弈的內在要求。2015年《促進大數據發展行動綱要》就明確提出，全面推進中國大數據發展和應用，加快法規制度建設[7]。近年來，中國積極推進數據領域立法工作，建立健全數據發展相關制度，推動形成了以《數據安全法》為核心，以多部政策性文件和地方性法規為補充的數據發展總體制度設計。具體來看，數據發展相關制度主要包括以下四方面內容。

一是明確規定數據開發利用國家戰略。黨的十八屆五中全會提出“實施網絡強國戰略和國家大數據戰略”，首次將大數據戰略上升為國家戰略。此后，中國相繼發布《促進大數據發展行動綱要》《大數據產業發展規劃（2016—2020年）》《“十四五”大數據產業發展規劃》等戰略規劃，明確大數據產業發展總體要求、目標任務和保障措施，為推進數據開發利用錨定戰略方向。在此基礎上，《數據安全法》將在實踐中探索多年的大數據戰略上升成為法律制度，規定“國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用”4參見《數據安全法》第十四條。。

二是建立健全數據開發利用基礎制度。構建數據基礎制度對于促進數據資源合理開發、高效利用具有基礎性支撐作用。2022年12月，中共中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》，提出要構建包括數據產權、數據要素收益分配在內的四大數據基礎制度5即數據產權制度、數據要素流通和交易制度、數據要素收益分配制度以及數據要素治理制度。。四大制度以充分實現數據價值、賦能實體經濟發展為主線，堅持效率和公平兼顧、開發利用和治理保護并舉，覆蓋數據生產、流通、使用全生命周期，為數據基礎制度架設了頂層結構。特別是首創數據資源持有權、數據加工使用權和數據產品經營權“三權分置”的數據產權制度，為避免數據權屬爭議阻礙數據開發利用開辟了全新路徑。

三是鼓勵建設數據開發利用標準體系。圍繞數據要素研發新技術，并實現技術產品化和產品產業化的演進，是數據要素市場化的必由之路?！稊祿踩ā芬幎ā皣抑С謹祿_發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新，培育、發展數據開發利用和數據安全產品、產業體系”6參見《數據安全法》第十六條。。2023年1月，中國發布《工業和信息化部等十六部門關于促進數據安全產業發展的指導意見》，從產業創新能力、數據安全服務、標準體系建設、技術產品應用、構建產業生態等多方面進行設計，進一步落實《數據安全法》要求，全方位鼓勵、支持、引導數據安全產業發展。同時，在2022年8月《數據安全法》實施一周年之際，全國信息安全標準化技術委員會已經制定20多項數據安全國家標準，相關標準體系的建設和完善將為數據質量評估、教育定價、技術研發、安全維護等提供規范化、統一性的操作參考。

3.2.2 數據安全相關制度

安全是發展的前提，中國堅持以數據安全保障數據開發利用和產業發展，高度重視數據安全立法及制度設計，通過《網絡安全法》《數據安全法》等多部法律法規，構建了數據安全規則體系，明確了數據安全基本概念和原則，規定了數據安全基本制度，為政府、機構、企業和個人等各主體安全、合規開展數據處理活動架設了法律框架、奠定了制度基礎。具體來看，數據安全相關制度主要包括四方面內容。

一是界定了數據安全基本概念內涵?！稊祿踩ā肥紫让鞔_界定了“數據”的含義，即“任何以電子或者其他方式對信息的記錄”，并在此基礎上對“數據安全”的概念進行了界定[8]，將其規定為“通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力”7參見《數據安全法》第三條。。從定義可以看到，數據安全是持續的、動態的、相對的，其概念本身已體現數據安全與發展相統一的意涵，這些都為后續配套法律法規奠定了價值取向基調。

二是建立了數據分類分級保護制度。數據分類分級被認為是對數據進行安全保護的基礎，早在多個政策文件中被廣泛提出，但直到《數據安全法》才首次在法律中明確將其確立為一項法定制度，規定“國家建立數據分類分級保護制度”8參見《數據安全法》第二十一條。，提出按照一定的標準對數據實行分類分級保護9即根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。參見《數據安全法》第二十一條。。與此同時，《數據安全法》提出了“重要數據”和“國家核心數據”的概念，對于重要數據，采用目錄管理的方式；對于國家核心數據，實行更加嚴格的管理制度。在此基礎上，工業和信息化部等行業主管部門探索本行業本領域數據分類分級管理的具體制度，例如，在數據分級方面，《工業和信息化領域數據安全管理辦法（試行）》將該領域的數據分為“一般數據、重要數據和核心數據”三級；在數據分類方面，將其分為“研發數據、生產運行數據、管理數據、運維數據、業務服務數據”等多個類別10參見《工業和信息化領域數據安全管理辦法（試行）》第八條。。

三是確立了數據安全領域審查制度。數據安全審查是國家安全審查制度在數據安全領域的具體落地，《數據安全法》規定，國家建立數據安全審查制度[8]。目前，實踐中數據安全審查制度的相關規定和實施內嵌于網絡安全審查之中。例如，2021年12月修訂的《網絡安全審查辦法》將“網絡平臺運營者開展數據處理活動影響或者可能影響國家安全”等情形納入網絡安全審查范圍，同時在立法目的、適用范圍、立法原則、重點評估內容、罰則等多處增設數據安全審查維度的考量和元素。特別是明確要求掌握超過100萬名用戶個人信息的平臺赴國外上市必須申報網絡安全審查，以避免網絡平臺作為海量數據的擁有者，其赴國外上市對國家數據主權和公民隱私權益可能造成的潛在消極影響11參見《網絡安全審查辦法》第七條。。自2021年以來，網絡安全審查辦公室適時啟動了安全審查活動，對滴滴、“運滿滿”、“貨車幫”、“BOSS直聘”、知網等開展網絡安全審查，并將其存在的“嚴重影響國家安全的數據處理活動”作為重要違法違規事實予以處罰。

四是規定了數據處理者的安保義務。保障數據安全，關鍵是要明確數據處理者的數據安全保護義務，落實開展數據活動主體的責任。為此，《數據安全法》對數據安全保護義務設專章，規定了數據處理者開展數據處理活動的總體原則，并從數據獲取、風險監測、應急處置、數據出境等環節，明確了數據安全保護的具體要求。與此同時，按照數據分類分級管理原則，在規定所有數據處理者責任義務的基礎上，《數據安全法》對重要數據處理者增加了明確數據安全負責人和管理機構、定期開展風險評估等要求；此外，還規定了有關組織和個人配合公安機關、國家安全機關數據調取的義務。

3.2.3 數據跨境管理制度

數據跨境流動既涉及數據發展，又關乎數據安全，是數據安全與發展制度的有機結合。近年來，中國高度重視數據跨境流動監管，尤其是數據出境管理制度建設，目前已經形成《網絡安全法》《數據安全法》《個人信息保護法》頂層設計法律相互配合和特定行業部門規章相互協調的制度規則體系，初步構建了以“重要數據”和“個人信息”兩大類數據出境為監管核心、以“三主三輔”六大出境路徑為監管舉措的數據跨境管理制度。相關制度具體分析如下。

一是數據出境的“三項主要路徑”相關制度，分別為數據出境安全評估制度、個人信息出境標準合同制度以及個人信息保護認證制度。首先，實踐中應用場景最頻繁的當屬安全評估。安全評估是指數據處理者向境外提供數據時，向國家網信部門申報，由網信部門組織對數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險進行評估，并作出是否允許數據出境的評估結果的一類數據出境路徑?！毒W絡安全法》《數據安全法》《個人信息保護法》中均對數據出境安全評估的情形作了原則性規定。2022年7月通過的《數據出境安全評估辦法》對通過安全評估方式向境外提供數據的活動進行了統一規范，明確了適用范圍、評估流程、評估要求等具體要求，并發布了《數據出境安全評估申報指南（第一版）》。其次，安全評估適用范圍外的個人信息處理者的數據出境情形，可以通過個人信息出境標準合同或者保護認證的方式來開展。這也體現了數據跨境管理制度中促進發展的靈活安排，其中，標準合同是指由國家網信部門制定，并由個人信息處理者與境外數據接收方訂立的，約定雙方權利和義務的合同。簽署標準合同是《個人信息保護法》規定的個人信息出境路徑之一，2023年2月，國家互聯網信息辦公室發布《個人信息出境標準合同辦法》，對通過訂立標準合同的方式開展個人信息出境的活動做出具體制度安排。保護認證是指，經批準的專業機構按照國家網信部門的規定對個人信息處理者開展個人信息處理活動進行綜合評價，作出認證決定并向個人信息處理者頒發認證標志的個人信息保護管理措施?！秱€人信息保護法》將保護認證規定為個人信息出境路徑之一，2022年11月，國家互聯網信息辦公室發布《個人信息保護認證實施規則》，明確了認證的依據、程序、證書和標志等內容。

二是數據出境的“三項輔助路徑”相關制度，分別是涉及國際條約、協定，外國司法或執法調取，以及國家有關部門及網信部門規定的其他情形。從廣適性程度來看，3項主要路徑涉及的數據出境情形廣泛適用并存在于各行業各領域，3項輔助路徑則適用于特定情形或特定行業領域的數據出境活動。首先是適用國際條約、規定的情形?！秱€人信息保護法》明確“締結或者參加的國際條約、協定對向境外提供個人信息的條件等有規定的，可以按照其規定執行”12參見《個人信息保護法》第三十八條。。其次是適用數據調取出境的情形?！稊祿踩ā贰秱€人信息保護法》規定，外國司法或者執法機構關于提供數據或存儲于境內個人信息的請求，由主管機關根據有關法律和中國締結或者參加的國際條約、協定，或者按照平等互惠原則處理13參見《數據安全法》第三十六條、《個人信息保護法》第四十一條。。最后是法律、行政法規另有規定的情形。從行業來看，中國在金融、征信、醫療健康等領域對數據出境提出了專門要求，如《證券法》《征信業管理條例規定》《人類遺傳資源管理條例》等對數據出境作出規定的，屬于“法律、行政法律規定的其他條件”，數據處理者開展數據出境活動應當依照執行。

3.3 個人信息保護制度

一直以來，個人信息保護問題都是中國數據立法的核心工作之一。自2012年《全國人民代表大會常務委員會關于維護互聯網安全的決定》發布以來，立法機構和有關部門先后制定出臺了《電信和互聯網用戶個人信息保護規定》《網絡安全法》《電子商務法》《民法典》等多部相關法律法規，并于2021年8月通過專門的《個人信息保護法》，這些法律法規相互配合銜接，共同構建了中國個人信息保護的規則體系，明確了個人信息保護基本原則，建立了個人信息保護管理體制機制，規定了個人信息處理規則，并劃定了相關主體的權利義務。

3.3.1 個人信息保護基本原則

個人信息保護基本原則是貫穿于個人信息收集、存儲、使用、加工、傳輸等處理活動全生命周期的基本要求，也是構建個人信息保護具體制度的重要基礎，對于開展個人信息保護工作具有十分重要的功能意義[9]?！秱€人信息保護法》繼承《網絡安全法》中收集、使用個人信息，應當遵循合法、正當、必要原則的規定，同時吸收《民法典》中從事民事活動應當遵循誠信原則的要求，確立了個人信息處理應遵循的5項基本原則：一是合法、正當、必要和誠信原則，該原則也是個人信息保護的首要原則；二是目的限制原則，對個人信息處理的程度進行了限制，要求不得過度收集使用個人信息；三是公開透明原則，要求公開處理規則，并向個人明示處理的目的、方式和范圍；四是質量原則，也即完整性和準確性原則；五是安全保障原則，要求確保個人信息處理中的安全[10]。

3.3.2 個人信息保護管理機制

從實施角度來看，由于個人信息保護工作綜合性強，涉及領域和部門眾多，各項制度的落實需要由相關監管部門具體負責，因此，明確管理體制機制對于做好個人信息保護至關重要[9]?！毒W絡安全法》《數據安全法》和《個人信息保護法》先后對網絡安全、數據安全和個人信息保護領域監管部門的職責作了劃分，逐步理順了管理體制機制?！毒W絡安全法》將個人信息保護納入網絡安全監管的范圍，構建了國家網信部門統籌協調、國務院有關部門各負其責的監管體制[8]?！稊祿踩ā穭t強調了中央國家安全領導機構對國家數據安全工作的領導地位，規定了相關行業主管部門承擔各自行業、領域的數據安全監管職責，明確網絡數據安全和相關監管工作仍然由國家網信部門負責統籌協調14參見《數據安全法》第五條、第六條。?！秱€人信息保護法》總體上沿襲了《網絡安全法》的基本思路，并在此基礎上明確了履行個人信息保護職責的部門的具體責任和履責手段。

3.3.3 個人信息處理主要規則

《網絡安全法》要求網絡運營者收集、使用個人信息，應當經被收集者同意，圍繞“告知-同意”原則構建了個人信息處理規則?！秱€人信息保護法》在此基礎上，進一步豐富了處理個人信息的合法性基礎，規定了7種條件下可以合法處理個人信息的場景15即：（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形。此外，還明確規定了敏感個人信息保護的要求、依法規范國家機關個人信息處理活動、個人信息的自動化決策、賦予個人信息主體多項權利、強化個人信息處理者義務、健全個人信息保護工作機制、設置了嚴格的法律責任。參見《個人信息保護法》第十三條。。與此同時，《個人信息保護法》根據個人信息處理的不同環節、不同種類，對個人信息的共同處理、委托處理、向第三方提供、用于自動化決策等個人信息處理活動，設計了具有針對性的制度管理要求。例如，對于廣受關注的個人信息用于自動化決策的情形，《個人信息保護法》針對大數據殺熟、算法濫用等問題予以了專門規制，明確了處理用戶個人信息的具體規則。

3.3.4 相關主體權利義務規則

一方面，法律明確了個人主體在個人信息處理活動中的各項基本權利。保障個人在個人信息處理活動中的合法權利，是制定個人信息保護相關法律法規的根本旨歸?！秱€人信息保護法》在《網絡安全法》《民法典》的基礎上，進一步明確個人對其個人信息的處理享有知情權、決定權、查詢權、更正權、刪除權等各項權利。同時，為保障個人權利的有效行使，《個人信息保護法》明確個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制，同時規定了個人信息處理者的配合義務。另一方面，規定了個人信息處理者的合規管理和保障個人信息安全等義務?！秱€人信息保護法》第五章設專章對個人信息處理者的義務進行了全面系統規定，既為有效保護個人權利提供了堅強保障，也為政府、機構、企業等各主體開展個人信息處理活動劃定了具體的邊界要求和行為規范?？偨Y起來看，主要包括采取必要措施確保個人信息安全的義務16參見《個人信息保護法》第五十一條。；特定個人信息處理者應當指定個人信息保護負責人、在境內設立專門代表或指定代表的義務17參見《個人信息保護法》第五十二條、 第五十三條。；定期進行合規審計的義務18參見《個人信息保護法》第五十四條。；特定情形下事前進行個人信息保護影響評估的義務19參見《個人信息保護法》第五十五條。；通知個人信息泄露、篡改、丟失等情況并采取補救措施的義務20參見《個人信息保護法》第五十七條。；以及大型互聯網平臺的特殊義務21參見《個人信息保護法》第五十八條。等。

3.4 商業數據流通制度

數據只有流通才能創造價值，推動數據流通與開發利用是數字經濟發展的當務之急[11]。在中國積極推進數據要素市場建設過程中，其主要目標便是推動數據在各市場商業主體間高效有序流通。由于個人信息數據和政務數據具有較高的敏感性，在處理過程中有較為嚴格的要求，因此在商業數據流通中主要以企業數據為主。具體來看，企業數據流通的形式主要包括數據開放、數據共享以及數據交易3種。其中，前兩種數據流通形式主要是企業主體之間根據意思自治進行的，公權力很少介入，在立法方面重點是通過反壟斷和反不正當競爭制度來規范數據流通秩序。例如，2022年6月，全國人大常委會修訂《反壟斷法》，根據平臺經濟領域競爭方式和特點，明確“經營者不得利用數據和算法、技術、資本優勢以及平臺規則等從事本法禁止的壟斷行為”[12]。第三種數據流通形式涉及交易基礎制度問題，需要通過法律來進行規范，因此是數據流通法律制度的重點內容。數據交易流通被認為是“數據要素市場化配置的關鍵環節”[13]，近年來，中國數據立法活動中積極探索建立數據交易制度，為促進數據要素高效利用和數據產業健康發展提供法律保障。

一是在國家層面，逐步確立了數據交易制度的法律地位，規定了數據交易的基本原則和管理要求[14]。2015年，《促進大數據發展行動綱要》首次提出“數據交易”問題，明確了培育數據交易市場和建構數據交易規范兩方面的內容。2021年，《數據安全法》正式將數據交易上升為法律制度，明確規定“國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場”22參見《數據安全法》第十九條。。與此同時，《數據安全法》還規定了從事數據交易中介服務的機構應當履行的義務，包括對數據來源說明的要求、審核交易雙方的身份信息、對相關記錄的流程義務等23參見《數據安全法》第三十三條。，并規定了違反前述義務應當承擔的法律責任24參見《數據安全法》第四十七條。。應當說，《數據安全法》從國家法律層面解決了“數據可以不可以交易”的問題，但對于“數據如何進行交易”的難題，并沒有給出方案。

二是在地方層面，數據交易立法嘗試活動非?；钴S，多地積極探索數據交易具體制度規則。一方面，部分地方在數據綜合立法中規定了數據交易相關制度，例如《上海市數據條例》在第四章設置專門小節規定“數據交易”，支持上海數據交易服務機構發展，提出建立健全數據交易服務機構管理制度，明確數據可以依法進行交易以及不得進行數據交易的情形。另一方面，越來越多的地方政府通過制定數據交易專門規定，全面系統規定本地數據交易規則。例如，2023年2月，深圳市發布《深圳市數據交易管理暫行辦法》，對本市數據交易場所內進行的數據交易及其相關管理活動進行了全面的規定，明確了數據交易主體、數據交易標的等關鍵要素。再如《天津市數據交易管理暫行辦法》也對數據交易主體、對象、行為、交易平臺、交易安全、監督管理作了系統性的規定。

3.5 政務數據管理制度

政務數據是按照數據主體、數據來源等要素進行劃分形成的一類數據，其主體為政務部門，來源于政務部門履行職責的過程。政務數據數量巨大，是我國數字政府體系框架的核心組成部分，事關國家安全和發展利益，在調節經濟運行、改進政務服務、優化營商環境等方面發揮著日益重要的作用。政務部門不僅面臨個人信息保護、企業數據流通等數據治理面臨的一般問題，還要應對政務數據收集難、集成和共享難、開發利用難等特殊的挑戰[15]。近年來，中央和地方立法圍繞公共數據開放、共享、開發利用等制度作了若干規定。

一是政務數據開放制度。政務數據開放有時也被稱為政府數據開放或者公共數據開放。一般認為，政務數據開放是傳統政府信息公開的進階模式，其目的旨在開發政務數據的社會價值、經濟價值與公共價值[16]?！稊祿踩ā肥状螐姆蓪蛹墝φ諗祿_放的基本原則和相關要求作了明確規定，規定政務數據開放應當“以公開為原則、不公開為例外”25參見《數據安全法》第四十二條。，該項要求與2019年修訂的《政府信息公開條例》在相關制度設計保持了一致。與此同時，立法還明確了政務數據開放的形式，《數據安全法》規定以目錄的方式開放，并要求國家制定政務數據開放目錄。2022年10月印發的《全國一體化政務大數據體系建設指南》也保持了相同的思路，提出“建立數據目錄分類分級管理機制”。

二是政務數據共享制度。政務數據共享是提高行政效率、提升服務水平和政府治理效能的重要舉措。2015年《促進大數據發展行動綱要》明確提出大力推動政府部門數據共享。2016年9月，國務院印發《政務信息資源共享管理暫行辦法》(以下簡稱《辦法》)，初步建立了政務信息資源共享管理的制度框架。首先，規定了共享的類型，按照資源共享屬性分為無條件共享、有條件共享、不予共享3種類型。其次，規定了政務信息資源共享的原則，即“以共享為原則、不共享為例外，需求導向、無償使用，統一標準、統籌建設，建立機制、保障安全”26參見《政務信息資源共享管理暫行辦法》第五條。，這也成為后來各地方政務信息資源和數據共享立法的基本原則。此外，還規定了政務信息資源共享要求、共享信息的提供與使用等內容。自《辦法》公布實施以來，各地方、各部門積極開展政務數據共享工作，先后出臺了本地區、本行業的政務數據共享管理制度規范，地方層面如《安徽省政務信息資源共享管理暫行辦法》《河北省政務數據共享應用管理辦法》等，部門層面如交通運輸部印發的《交通運輸政務數據共享管理辦法》等。

三是政務數據開發利用制度。政務數據體量大、種類多，具有權威性、公共性、專業性、廣覆蓋、高價值等特點，在確保安全的前提下推進政務數據開發利用是推動數字經濟發展、建設數字中國的內在需要和必然選擇?！稊祿踩ā访鞔_了政務數據應用的目標和要求，規定“提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力”27參見《數據安全法》第三十七條。。雖然中央層面立法對政務數據開發利用僅作了原則性規定，但近年來，越來越多的地方性法規開始了一些實質的探索。例如，《浙江省公共數據條例》設置“公共數據開放與利用”專章，規定“縣級以上人民政府應當將公共數據作為促進經濟社會發展的重要生產要素，促進公共數據有序流動，推進數據要素市場化配置改革，推動公共數據與社會數據深度融合利用”28參見《浙江省公共數據條例》第三十四條。。再如，成都市審議通過《成都市公共數據運營服務管理辦法》，在全國范圍內率先探索建立公共數據授權運營管理制度[17]。

4 中國數據立法成效與法律制度體系完善

4.1 中國數據立法的成效

從立法成效來看，中國數據法律制度體系在保障數據安全、維護用戶權益、促進產業發展等方面效果顯著，為數字經濟健康發展提供了良好的制度基礎，助力經濟由高速增長轉向高質量發展，基本實現了以良法促發展、保障善治的目的。例如，在個人權益保護方面，通過依法治理，侵害用戶個人信息權益的違法違規行為得到有力遏制，個人信息保護意識顯著增強，個人信息保護合規水平明顯提升，全社會尊重和保護個人信息權益的良好局面初步形成[2]。再如，在推動數字經濟發展方面，根據中國信息通信研究院發布的數據顯示，從2017年到2021年，中國數字經濟規模從27萬億元增長到超45萬億元，在整個GDP中的比重提升至39.8%[18]。

4.2 法律制度體系的檢視

當前，國際經濟、科技、文化、安全、政治等格局都在發生深刻復雜變化，國際數字博弈愈發激烈。隨著中國進入新發展階段，新發展形勢對數據法律制度建設提出了新的要求。與此同時，現有的制度體系還存在一些短板和不足，需要進一步調整完善。

一是數據法律制度縱向體系的不足。一方面，中國數據領域的規則主要集中在《數據安全法》等法律層面和部門規章以及地方立法中，而在中間的行政法規層面，目前還缺乏數據領域的專門立法，無論是現有的《關鍵信息基礎設施安全保護條例》還是《政府信息公開條例》，都不是針對數據領域的專門規定的，其對于頂層法律與部門規章等下位法之間的縱向銜接作用不足。另一方面，數據頂層基本法律框架建立，但對于具體的制度落地施行，配套規則有待進一步完善。例如，《數據安全法》規定國家建立數據分類分級保護制度，目前對于數據如何分類分級，尚未出臺具體規定。再如，《個人信息保護法》賦予了個人信息可攜權、刪除權等諸多權利，但個人如何行使這些權利目前還不明確。

二是數據法律制度橫向體系的不足。橫向體系的不足主要體現在制度板塊的銜接聯動方面。一方面，不同法律法規對同一制度的規定存在不協調、不一致的現象。例如，《網絡安全法》《數據安全法》《個人信息保護法》都規定了數據安全事件通知制度，但在具體內容上的規定并不完全一致，各部法律對于相關主體未依法履行通知義務所規定的法律責任也存在差別[19]。另一方面，不同制度之間也存在銜接配合不順暢、不平衡的問題。例如，數據出境制度散見于多個不同的法律和部門規章之中，尤其是數據出境的3種主要路徑分別由《數據出境安全評估管理辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施規則》單獨規定，但前兩者均為部門規章，第三個屬于規范性文件，法律位階不匹配。與此同時，三者還存在畸輕畸重的傾向，造成在實踐中企業為穩妥起見，絕大多數出境情形會采取安全評估的路徑，個人信息保護認證和標準合同制度往往被束之高閣，不僅影響了數據跨境流動的效率，也增加了企業合規負擔。

4.3 體系完善思路與建議

黨的二十大報告指出，必須更好發揮法治固根本、穩預期、利長遠的保障作用，加強重點領域、新興領域、涉外領域立法。數據領域既是事關經濟社會發展的重點領域，也是基于新一代信息通信技術不斷創新發展的新興領域，加之數據天然具有流動、跨境等特征，未來還會出現更多新的法律問題。下一步，建議立足問題導向加強數據領域立法工作，持續健全完善中國數據法律制度體系，助力推進國家治理體系和治理能力現代化。

一方面，建議加快數據領域配套立法，完善縱向法律制度體系。建議在《數據安全法》《個人信息保護法》等法律的基礎上，加強行政法規層級和部門規章層級的法制建設，對上位法設置的具體制度進行細化和落實。建議重點做好兩方面工作：一是國務院加快審議出臺《網絡數據安全管理條例》，進一步明確數據和個人信息處理規則、重要數據安全制度以及平臺數據處理規則等社會各界廣泛關注的問題。二是工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門適時制定或修訂本行業領域數據管理的專門性規定，貫徹落實《數據安全法》等法律行政法規的要求，切實保障行業數據安全，促進數據資源開發利用。

另一方面，強化具體法律制度的統籌協調，完善橫向法律制度體系。建議重點做好兩方面工作：一是在數據安全與發展并重原則的指導下，進一步處理好數據安全制度與商業數據流通、政務數據管理等制度板塊之間的關系，在設計流程規則、法律責任等具體制度時，確保不同法律間規定的一致性和協調性。與此同時，強化每個橫向制度板塊內部的協調聯動，例如針對數據跨境流動等基礎性、影響較大的法律制度，建議從宏觀層面進行統籌考慮，嘗試制定統一的監管規則，解決制度分散化的問題。二是建議通過立法的方式，推動將《關于構建數據基礎制度更好發揮數據要素作用的意見》中提出的數據產權、數據要素流通和交易、數據要素收益分配、數據要素治理等數據基礎制度轉化為具體可行的實踐規則。例如，可以將目前一些地方政府正在探索試行的數據交易制度、公共數據授權運營制度等通過制定行政法規或者法律的形式上升國家統一的制度，為推動數據要素價值釋放提供切實有效的法律保障。

5 結束語

從國際社會來看，當前全球正處于數據領域立法的重要轉折期，開始從“數據保護主義”邁向“數據利用主義”。例如，美國2022年6月提出首部聯邦層面的數據立法草案《美國數據和隱私保護法案》，印度政府發布《2022年個人數據保護法案》草案，歐盟立法機構也先后提出《數據法案》和《數據治理法》，這些法律文件和草案的共同趨勢和重點內容是，擬通過立法促進數據資源流轉利用，解決數據價值釋放問題。隨著中國數據保護法律制度框架逐步確立，充分發揮數據價值的重要性更加凸顯，中國也正處于從數據保護邁向數據賦能的過渡階段。2022年12月印發的《關于構建數據基礎制度更好發揮數據要素作用的意見》指出“要加快構建數據基礎制度，激活數據要素潛能”，按照相關立法權限和程序規則，數據基礎制度的落地最終需要通過立法的方式完成。因此，可以預見的是，未來中國數據法律制度體系將會持續調整和不斷完善，并更多地通過立法推動數據賦能，實現良法善治，助力數字經濟高質量發展。