法律资讯 | 虚拟资产区块链业务（二）

一、专项法律法规研究

【数据保护的立法研究】

随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国际、国家安全与经济社会发展的重大问题。以下是对近期以及国际几部重要的数据保护立法的初步研究：

1、《数据安全法（草案）》

2020年6月，中华人民共和国第十三届全国人大常委会第二十次会议对《数据安全法（草案）》进行了审议。在这之前，国内数据安全建设的指导性文件，是国家互联网信息办公室去年5月28日发布的《数据安全管理办法（征求意见稿）》（以下简称《办法》）。《数安法》和《办法》之间的关系十分紧密，互为补充和支撑，共同搭建更加强大的数据安全保护体系，也体现了国家对于数据安全保护的高度重视。《数安法》对企业而言，也已经成为了数据安全建设的全新挑战。

1）整体框架

《数安法》的一大特点，就是“覆盖更广”，具体分为行为、对象和空间上的规范：

大多数学者对于《数安法》草案认为，草案有些面面俱到，重点不突出，所需解决的问题有待于进一步聚焦；草案应更加突出重要数据，尤其强调其国家安全审查；体系逻辑尚需厘清，政务数据一章比较突兀，金融数据、健康医疗数据等是否需要涉及有待进一步论证；建议通过增加程序性规定，增强制度的可操作性，比如第22条“数据安全审查”条款，可以进一步细化数据安全审查的主管机关、启动条件、审查程序、审查内容以及法律责任等内容；第27条“数据泄露通知”条款可以进一步明确在发生或可能发生数据泄露时网络于运营者应采取补救措施的具体内容，触发数据泄露通知的条件，告知用户和主管部门的时间、内容、形式，以及未履行数据泄露通知义务应当承担的法律责任等等。

2）“数据主权”条款：

第32条：“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。”

第33条：“境外执法机构要求调取存储于中华人民共和国境内的数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的，依照其规定。”

解读：笔者认为草案应当表达的是“数据主权”观念，主要表现为跨境调取数据和防控数据两个方面。第32条立法的目的应该不仅仅只是涉及境内数据，因为《情报法》、《刑法》等现行法律已经提供了充足的执法依据，重复规定反而会成为外国政府反制的理由。因此，本条的立法目的主要可能为中国执法机构调取境外数据提供法律依据，实现中国对于数据的“长臂管辖权”。第33条立法的目的主要是为了防止境外执法机构任意调取中国境内的数据，设置报告制度和批准制度，这是非常必要和及时的！中国正在积极推动“一带一路”、“海上丝绸之路”，还有未来“亚洲自由贸易区”和“中日韩自由贸易区”等区域性经济组织，这亟待建构一个中国主导的“数据跨境自由流动法律框架”和“数据跨境保护规则”以便进一步推动区域性数字经济的自由化和市场化。另外，在国际司法实践中，中国客观存在大量的跨境直接调取证据的需求，传统的国家司法协助已难以满足数字经济时代的快速、便捷的要求。

3) 定义条款：

第3条：“本法所称数据，是指任何以电子或者非电子形式对信息的记录。数据活动，是指数据的收集、存储、加工、使用、提供、交易、公开等行为。数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。”

目前有学者提议关于数据的定义可采取概括性定义加上列举式定义加上例外式定义以区分重要数据等。

4）“法律责任”条款：

多数学者认为，从法律责任来看，现有罚过轻，尤其罚款金额远远落后于欧美国家，弱监管必然导致企业自我规制动力的缺失。实践当中么轻易动用刑法，造成“要么坐牢、要么没事”的奇怪的现象，从而导致很多企业、个人铤而走险。

预计本部《数安法》草案将会在将来进一步细化。

2、《深圳经济特区数据条例（征求意见稿）》

深圳市司法局7月15日发布《深圳经济特区数据条例（征求意见稿）》，这也是全国首个提出个人享有数据权的政府文件。

全文103条，亮点颇多，不少法学专家肯定深圳地方立法的勇于创新。与此同时，征求意见稿中的“数据概念”、“个人、企业等数据权分配”等也引发热议。如果对意见稿有意见的社会各界人士，也可通过以下渠道进行建议：

争议一：宽泛地提出数据权概念是否可行？

本条例特别列出主要内容与创新点，主要包括数据概念、数据权、数据管理架构、个人数据保护、公共数据管理和应用、数据要素市场培育、数据安全管理八个方面。“开放数据中国”联合创始人及执行主任高丰博士表示，《条例》尝试性地从立法视角，特别是大湾区或特区角度先行先试，有特色，有积极意义。

那么，深圳在数据条例中提出“数据权”概念，是否时机合适？在清华大学法学院院长申卫星看来，数字经济发展最核心问题还是数据性质和权属问题，这个问题如不解决，数字经济便无法向前发展。遗憾的是，民法典和正在征求意见的数据安全法都未作回应。北京大学法学院副院长薛军教授表示，由于权属关系不是特别清晰，导致企业之间频繁发生数据争夺，很有必要对此做出回应。但是，不能仅仅是宽泛地提出“数据权”概念，也不能突破立法法要求，要科学、合理地去规定。

争议二：个人、企业数据权利究竟如何分解？

“数据确权是一个全球性难题，主要难点在于数据与传统的物或者知识产权不一样，关键不在于数据权利归谁所有，而在于谁能使用”，上海交通大学何渊教授告诉南都记者，数据一方面是使用权，另一方面是利益分享机制，也就是在动态过程当中形成的利益，“数据权必须要有权利客体，要清楚包括什么权利，《条例》提到社会数据、企业数据、公共数据，客体范围是什么？如果说不清，先叫权益，是比较稳妥的做法。”

如《条例》第52条“数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权，任何组织或者个人不得侵犯”等内容，何渊教授直言，或许会对企业创新、中小企业发展不利，现在大量数据被头部企业占有，如果说任何其他组织不得侵犯，数据无法流动，与现实司法实践也是不相符的。

争议三：个人拥有的数据权到底包括什么？

高丰博士也表示，简单而言，数据权属就有数据所有权、数据处置权、数据使用权等，比如字迹的微博数据，可能没有所有权，但是不是有处置权？仅用单一数据权概念无法轻易解决。“个体数据权属与集体数据权之间的博弈，这是值得去讨论的内容。GDPR讨论很多的“individual data rights””Collective data rights”, 在不同个体利益与群体利益冲突下，会有不一样的价值取向与权利让渡。

争议四：地方对数据权进行立法是否合适？

立法法第8条特别谈到民事基本制度属于法律保留的项目，个人、企业及国家的数据权利显然属于立法法意义上的民事基本制度，个人、企业及国家的数据权利显然属于立法法意义上的民事基本制度。即使根据立法法第90条规定“经济特区法规根据授权对法律、行政法规、地方性法规作变通规定的，在本经济特区适用经济特区法规的规定”，所谓变通只是在上位法已有规定的情形下做的有限制的突破，但前提是得到授权。

申卫星则提到，明确新型权利类型是“地方不能承受之重”，“数字经济是没有边界的，数字经济的发展也应是全国一盘棋，仅深证规定数据权将导致法律适用范围非常有限。”他同时认为，深圳作为经济特区，也面临立法权限的问题，但草案的公布体现这地方立法勇于创新的精神，反映出数字经济发展的迫切需求。