近日,由奇安信主办的2021北京网络安全大会以云峰会的形式在线上举行。在分论坛——“中国网络与数据安全法治50人论坛”上,中国政法大学副校长、中国通信学会网络空间安全战略与法律委员会主任委员时建中表示,从有效利用数据资源角度来讲,在数据安全法、个人信息保护法等行为立法框架构建起来后,未来需要加强与数据和信息相关权利的立法。否则因权利方面的立法长期滞后、缺位,将对行为管理和监督,甚至对于数据和信息的有效利用产生不利的影响。

已形成以国家安全法为龙头的法律体系

8月20日,个人信息保护法经十三届全国人大常委会第三十次会议审议通过,于11月1日实施。在此之前,国家已相继出台国家安全法、网络安全法和数据安全法。这意味着,我国数字经济时代的法律支柱体系基本确立。

尽管是“陆续出台,但它们之间不是孤立的。”在时建中看来,上述四部法律是以国家总体安全为指引、以国家安全法为龙头的一个有机的法律体系,构成了一个有机的整体。

从网络、数据、(个人)信息和安全四个关键词在法律中出现的次数角度出发,时建中分析了这四部法律的立法宗旨及其之间的关系。

在国家安全法中,“网络”一共出现11次,集中在第25条和59条。其中,第25条是专门针对网络安全的条款,为网络安全法的制定奠定了法律基础。“虽然国家安全法实施于2015年,但已高度关注网络安全和数据安全”。

在网络安全法中,“网络”出现的次数非常频繁,高达231次;“安全”也相较频繁,出现177次;“数据”出现16次,“信息”出现105次,其中20次为“个人信息”。

在数据安全法中,“网络”出现4次,“安全”出现91次,“数据”出现160次。时建中表示,虽然“网络”只出现了4次、不具备代表性,但网络是数据的前提,数据产生于网络。此外,数据安全法对个人信息的强化保护作出规定。

在个人信息保护法中,“数据”没有出现,“网络”仅出现一次,“安全”出现22次,“信息”一共出现297次,其中“个人信息”为288次。“虽然‘数据’没有出现,但并不意味着个人信息保护法和数据安全法之间没有关系。”时建中分析,从个人信息的定义(以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息)可以看出,保护个人信息无疑受到数据安全法的调整和规范。

谈及四部法律之间的关系,时建中还强调,不能只看它们相似的内容,也需要着重关注它们之间的差异。

比如,网络安全法中对网络安全的定义(指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力)不仅包括数据安全,还包括网络空间的安全和网络设施的安全。

“我们不希望九龙治水”

随着人工智能、物联网、5G技术的发展,未来社会将变得更加信息化、数字化。其中,“网络为载体,数据为要素,人民为中心。”浙江大学教授、网络空间治理与数字经济法治(长三角)研究基地主任兼首席专家王春晖强调,网络安全法、数据安全法和个人信息保护法是营造数字生态的三大基石。

比如数据安全法第一条规定,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。

王春晖认为,“规范、保障、促进”三个呈递进关系的词语体现了数据安全法的立法宗旨——规范数据处理活动的目的是为了保障数据安全,在保障数据安全的基础上才能促进数据的有序开发和利用。

如今“基石”有了,未来如何构建数据社会的“大厦”,比如如何促进基于数据要素的市场经济,如何落地保护数据主体的权益等?
时建中表示,网络安全法、数据安全法、个人信息保护法都是行为立法,对维护国家安全、网络安全、数据安全、个人信息保护具有重要意义,但从有效利用数据资源角度来讲,在基本框架搭建起来后,“未来需要加强与数据和信息相关权利的立法。”他强调,如果权利方面的立法长期滞后、缺位,将对行为管理和监督,甚至对于数据和信息的有效利用产生不利的影响。

时建中还强调,在数字化时代,社会治理、经济发展、政府管理等都涉及数据治理和数据监管,这已成为一个必须正视的问题,所以必须尽快建立数据协同的监管机制,但“我们不希望是九龙治水。”

他进一步指出,因为数据监管一定是跨部门、跨领域的,所以这“九条龙”必须团结起来才能建立有效的数据协同监管机制。

文/南都个人信息保护研究中心研究员 尤一炜