更深入的数据合规与保护要求—中国数据合规法律规范综述（一）

更深入的数据合规与保护要求—中国数据合规法律规范综述（一）

耀时跨境数据合规研究院(IXCDC)

中国数据合规法律规范的特点

1、总体国家安全观下的数据合规立法

与欧盟强调个人数据权、美国强调州系统经济自由主义不同，中国的数据立法走的是总体国家安全观下兼顾个人信息保护与数据要素市场的立法之路。2014年4月15日，习近平总书记在中央国家安全委员会第一次会议时，首次提出总体国家安全观概念，并首次系统提出“11种安全”。[1] 2015年7月1日，《国家安全法》正式颁布实施，法律对政治安全、国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确，也为日后的网络安全和数据安全埋下了伏笔。2017年6月1日，《网络安全法》正式实施，这是我国第一部关于网络安全领域的立法，也正式在法律层面对个人信息与数据安全做出了回应，《网络安全法》的落地标志着我国“数据合规元年”的到来。2017年10月18日，党的十九大报告提出“坚持总体国家安全观。统筹发展和安全，增强忧患意识，做到居安思危,是我们党治国理政的一个重大原则。”[2] 2020年7月3日，《数据安全法（草案）》正式公开征求意见，从其总则第一条维护国家主权、安全的目的性规定来看，其遵循了总体国家安全观的立法思路，并且间接地从“数据主权安全”立法层面提出了中国的“数据主权”主张。2020年10月21日，《个人信息保护法（草案）》正式公开征求意见，这是我国首部关于个人信息保护方面的立法，该法确定了个人信息本地化原则和个人信息的跨境流转规则。以上两部法律的正式实施，将正式宣布一个独立于欧洲、美国加州等州系统的，有中国特色的独立数据合规体系形成。

总体国家安全观下数据隐私立法路径

从上图可以看出，我国在网络、数据和个人信息保护方面的立法尚不完备，现行有效的法律仅有《国家安全法》与《网络安全法》，但大安全观下的总体立法路径已经十分明晰。目前，由于《个人信息保护法》与《数据安全法》尚处于征求意见阶段，其具体实施的行政法规、规章、地方性法规等下位法均未发布，并且可以预见的是，在《个人信息保护法》和《数据安全法》正式发布前，并对现行《网络安全法》作出调整前，相关下位法均难以成文，成体系。

从现行《网络安全法》、《个人信息保护法》（征求意见稿）、《数据安全法》（征求意见稿）的内容来看，待《个人信息保护法》和《数据安全法》正式发布后，《网络安全法》中关于个人信息保护和数据安全的规定将按照“特别法优先于一般法”的原则被《个人信息保护法》与《数据安全法》所取代，形成“总体国家安全观”下的网络安全、数据安全、个人信息安全三条主线，三个体系，三个互联兼容系统。上图仅为了直观展现我国数据合规立法的三条路径，以分管领域不同而做的学理划分，并不意味着各条块之间的法律规范互不兼容，实际上各条块间的法律规范是大量借鉴、相互联系、相互兼容的，因此实践中任一条块的法律规范适用也不仅仅具有于其条块之中，例如上图分类在个人信息领域的《个人信息安全规范》这一国家标准也适用于数据安全领域。

2、兼顾个人私权保护、

数字经济发展与公共事业需要

从现有立法来看，我国并没有一味地扩张“数据本地化义务”的范围，而是给出了明确的定义。首先《网络安全法（草案）》第37条规定了关键信息基础设施的运营者的数据本地存储和安全评估要求。其次，《个人信息保护法（草案）》及其下位具体实施办法《个人信息和重要数据出境安全评估办法》（征求意见稿）第二条对数据本地化做了明确规定，要求网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。

我们注意到该条用词为“应当”而不是“可以”，这明确了“个人信息”和“重要数据”的存储本地化义务，但对于一般信息和一般数据，相关法律并没有进行禁止性规定，按照我国“法不禁止即自由”的一般原则，一般信息和一般数据并不需要遵守本地化的义务，也不具备这样的义务。不将一般商用等其他数据纳入进来，或“等外等”进来就是为了不让“本地化义务”扩大化，从而在安全的前提下让一般数据要素自由流通保障数字经济的发展需要。

另外，为了明晰“个人信息”和“重要数据”的含义边界，《个人信息和重要数据出境安全评估办法》（征求意见稿）第17条对该办法所要求的本地化存储的“个人信息”和“重要数据”进行了定义。个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。这一规定将“重要数据”的定义指向了国家标准《数据出境安全评估指南》（征求意见稿）附录A项《重要数据识别指南》。可以看出，我国关于“个人信息”和“重要数据”的规定是具体的，尤其是针对含义相对模糊的“重要数据”进行了专门的国家标准订立活动。由此也可以看出，我国十分重视厘清“个人信息”、“重要数据”与一般信息、数据之间的边界，在重视个人信息保护和数据安全的基础上也同时重视数字要素的流通和数字经济的发展。

除个人信息保护、网络数据安全外，我国数据合规规范还重视公共事业的需要，尤其是公共卫生安全领域的需要。经历了2020年以来的疫情，我国政府除了更加重视涉疫个人信息保护之外，也更加重视大数据的公共治理能力。2020年2月4日，中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，其规定了大数据技术在公共卫生事件中的运用规范，并明确了政府在公共卫生事件中的数据收集与处理权利。个人信息在我国不是单纯的私法权益，也不能用简单的私法权益思维来加以思考。正如有学者指出，个人信息,应超越个体权利思维的局限,建立公共利益导向。[3]亦有学者认为，数据共享话语下,个人信息具有一定的公共属性,个人信息保护同样关涉公益保障和公权控制问题。[4]

3、大跨度、多维度、领域化

我国的数据合规规范并不只集中于行政法一部部门法中，而是广泛分布于民法、刑法、经济法等部门法之中，呈现出跨部门的特点。譬如2017年开始实施的《民法总则》第111条，就对个人信息保护做了原则性规定，这一规定还被现行的《民法典》第111条所吸收。此外，《民法典》第4编、第6章、第1034条对个人信息的改变进行了界定，并顺应疫情防控实践，加入了健康信息与行踪信息，且结合第1032条来看，我国对个人信息与隐私采区分态度。除此之外，个人信息保护还散落在1035、1036、1037、1038、1039条中。此外，《刑法》也从刑事层面对侵犯个人信息的行为做出了规定，刑法修正案（九）将《刑法》第253条修改为侵犯公民个人信息罪。再者，个人信息保护和数据合规的相关规定还体现于经济法领域。2020年12月16日，中央工作经济会议第六点指出要强化反垄断和防止资本无序扩张……要依法规范发展，健全数字规则。要完善平台企业垄断认定、数据收集使用管理、消费者权益保护等方面的法律规范。2021年2月7日，国务院反垄断委员会印发了《关于平台经济领域的反垄断指南》，作为《反垄断法》的下位实施办法，其第2章第5条、第6条、第7条都对客户敏感信息和数据做出了规定。由此可见，我国的数据合规规范散布于各部门法领域之中，呈现出大跨度、多部门的立法特点。

我国的数据合规规范立法广泛分布于法律、行政法规、地方性法规、部门规章、规范性文件和国家标准之中，具有多维度和体系化的色彩。关于这一点，在前文图1中已经充分体现，在此不做赘述。

数据法又从各部门法中相对独立，自成领域。所谓数据法是指，调整数据主体、数据控制者及数据处理者之间法律关系的法律规范的总称。有学者认为，数据法本身来说是规范数据活动的领域法。[5]现行的数据法相关法律规范虽然散布于各部门法及其领域之中，但数据法有其独立特定的研究对象、研究内容、独立的《宪法》权利渊源，和独立的权利义务规范，因此数据法本身具有领域性的色彩，是一门部门法与部门法之间、法学内部与外部之间的跨专业领域法学。也正因为数据法的大跨度、多维度与领域化的色彩，使得数据法与其相应的合规管理具有极强的专业性，在大数据时代，如何准确把握纷繁复杂又前沿的数据法规则，从而避免法律风险，已成为现代企业绕不过的必考题。因此建立专业的数据合规团队对于企业而言不仅确有必要，而且迫在眉睫。

中国数据合规法律规范的基本原则

1、兼顾原则

我国数据合规相关法律规范的兼顾原则主要体现在两个方面，第一个兼顾主要体现在对多方利益的兼顾方面。总体国家安全观设计下的我国数据法治体系，既兼顾了国家层面的安全利益，又兼顾了大数据社会的便捷需要，同时兼顾了个人信息与重要数据的个人权利保护还为数字经济的发展提供了法治保障。但我国的兼顾话语并非是“均等平衡”的意思，我国数据法治体系中的“兼顾”是有先后顺序的，概括来说，可以总结为“国家安全与公共安全绝对优先，个人数据权益相对优先，在充分保障个人基本权益的条件下保障数字经济的健康发展。”；第二个兼顾主要体现在数据权益的公私权益之辩上。我国并没在数据权益的定性上“一边倒”，尤其是经过新冠疫情后，数据权公益属性的必要性显得尤为突出，数据权不应是绝对的个人对世私权，因此，我国在数据的公私权益分配上也做到了一定程度的兼顾。

此外，我国数据法治中的兼顾原则亦与欧洲有所不同，由于中国特色社会主义法学理论的核心话语与欧洲所有区别，这导致双方在数据的利益兼顾上亦有所不同。欧洲更加重视个人人格权利的保障，所以欧洲的数据法治体系更多体现出了重视个人数据权益保护的色彩，赋能个人较多权利保障，如删除权、被遗忘权等，尽管，欧洲的数据法治虽然也做了多方利益兼顾的考量，但是总体来说，更像是一套柔性的利益冲突平衡机制，因此，后文关于欧洲兼顾原则的提炼本书更倾向于使用“利益平衡原则”这一说法，具体将在欧洲篇展开。

2、开放原则

党的十八大以来，党中央创造性的提出了创新、协调、绿色、开放、共享的新发展理念。2020年7月30日，中共中央政治局会议指出“要加快形成以国内大循环为主体、国内国际双循环相互促进的新发展格局。”深化改革开放的新发展理念和内外双循环的新发展格局从政治层面决定了我国的数据法治必然包含开放原则。

我国总体国家安全观下的数据法治体系虽然对数据控制者和数据处理者提出了数据本地化的义务和要求，但我国对于需要本地化的数据进行了明确的定义，限定了范围，例如，《个人信息和重要数据出境安全评估办法》（征求意见稿）第2条对数据本地化做了明确规定，要求网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，但仅限于个人信息和重要数据，并且本地化主要是出于安全考虑，并非是禁止数据的跨境流动。《个人信息和重要数据出境安全评估办法》（征求意见稿）第2条同时规定了因业务需要，确需向境外提供的，应当按照本办法进行安全评估。也就是说，只要数据出境符合相关规范，并且不会对国家和公共安全造成影响，个人信息和重要数据也是可以有序跨境流动的。除了个人信息和数据出境的法律规范外，我国还建立了相配套的技术标准，如有关数据出境的《数据出境安全评估指南》（征求意见稿），可见，我国正在尝试建立完整成熟的数据跨境流动体系，这也说明了我国对数据流动总体持开放态度。

另外，当前世界各国都在加紧个人信息保护和数据安全的立法进程，区域性的数据合规体系正在逐步形成，例如欧盟的GDPR、东盟的CDBF、DMF等，可以预见的是，随着CAI和RECP的落地，和双方数字经济往来的日趋活跃，中欧、中国东盟间的数据跨境规范体系也会逐步建立，以区域为代表的数据有序流动市场规范将成为未来一段时间内的趋势。

3、合法与合理性原则

我国数据法治体系不仅对数据控制者、数据处理者提出了合法性要求，还提出了合理性要求。对于某一行为的违法性判断要兼顾合法性与合理性两个方面，虽然当前鲜有案例支撑，但从法律条文来看，可以窥见一斑。

我国数据法治体系的合法性主要体现在两个层面，第一个层面是权利实体的合法性要求，即数据控制者和数据处理者对于数据权利的来源基础必须合法，且每个处理环节中的数据实体权利必须合法，合法的权利来源才能赋予其合法的权利实体与基础，但实体权利的合法性不局限于权利的来源基础。简言之，数据获取必须符合“知情同意”规则，且获取后，其他处理环节中的实体数据权利也应得到保障。第二个层面是权利程序的合法性要求，权利程序的合法性要求是指数据控制者和数据处理者履行数据处理的手续时，必须做到程序合法。

合理性要求主要体现在数据处理全过程的限度问题上，而所谓的合理性就是要遵循最小限度要求。例如《个人信息和重要数据出境安全评估办法》（征求意见稿）第二条关于数据出境的规定中使用了“确需”一词，此处“确需”一词可能含有业务上确有必要的限度要求。在国家标准《数据出境安全评估指南》（征求意见稿）第5.1条(b)款中，也对数据向境外传输的正当性做出了规定，就是要求“在合法的经营范围内为从事正常业务活动所必须的。”不仅如此，在数据储存时限方面，也有限度规定，这些都是合理性原则的体现。

[1] 曹鹏程：《总体国家安全观护航现代中国》，载《人民日报》2014年4月17日。

[2] 中共中央党史文献研究院编：《习近平关于总体国家安全观论述摘编》，载人民网理论频道2018年8月14日，最后访问时间：2021年2月8日。

http://theory.people.com.cn/n1/2018/0814/c419481-30227228.html。

[3] 张珺：《个人信息保护：超越个体权利思维的局限》，载《大连理工大学学报（社会科学版）》。

[4] 闫静、吴太轩：《数字经济时代个人信息的公法保护——兼论公私法保护之耦合》，载《理论导刊》2020年03期。

[5] 何渊主编：《数据法学》，北京大学出版社2020年版。