2020年7月4日，《网络法治蓝皮书》编辑部与三六零安全科技股份有限公司法务中心联合举行《网络法治蓝皮书——中国网络法治发展报告（2019）》发布会系列暨数据安全立法在线视频研讨会。

《网络法治蓝皮书》联合主编、中国社会科学院法学研究所研究员支振锋主持研讨会开幕。支振锋先真诚地欢迎和感谢各位专家的莅临，并简单介绍了《网络法治蓝皮书》的出版情况。他表示，《网络法治蓝皮书》聚焦于当前中国网络法治领域的重大进展和重大问题，倡导以问题为中心的专题研究，鼓励贴近现实的对策建言，以参与实践发展、推动制度完善、促进理论提升。

360集团法务中心总监孙艳玲女士在研讨会上致辞。在致辞中，孙艳玲博士言简意赅地介绍了360集团及其法务中心的情况，并以自己十余年互联网行业从业经验和专注于网络产品与服务具体落地之法律法规遵从的深厚实践经历，对《数据安全法（草案）》初次提起审议并征求意见的重要意义进行了阐发。她认为，随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。360集团在网络安全领域深耕多年，建树颇深，乐于跟立法部门和学术界就数据安全问题进行深入交流与合作。

南京邮电大学信息产业发展战略研究院院长王春晖以“构建我国数据安全生态治理体系是数据安全法立法的核心”为主题进行了发言。他认为，数据安全法属于国家安全法的下位法，建议《数据安全法（草案）》立法在《国家安全法》整体框架下系统研究如何平衡《网络安全法》与数据安全法和个人信息保护法之间的关系和分工。事实上，网络安全的实质很大程度上表现为数据安全。

鉴于《国家安全法》是我国安全领域的基本法，其依据《宪法》制定，建议《数据安全法（草案）》的立法依据体现《国家安全法》，即“根据国家安全法，制定本法”。数据安全法应当整体突出“总体国家全观”，在“安全与发展”并重原则的指导下，围绕构建国家数据安全生态治理体系进行整体布局。尽管《数据安全法（草案）》第四条提到了维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力，但是草案文本并没有充分体现构建国家数据安全治理体系的整体布局和路径。

王春晖教授建议，围绕一个宗旨：以人民数据安全为宗旨；一个根本：以国家数据安全为根本；一个基础：以数字经济安全为基础；三大保障：以军事、文化、社会数据安全为保障；一大依托：以促进国际数据安全为依托，整体构建我国数据安全生态治理体系。

对外经济贸易大学数字经济与法律创新研究中心执行主任许可助理教授认为，《数据安全法》有四大亮点。一是确立了对数据活动的“保护性管辖”，即对于中国境外的数据活动，既不像欧盟GDPR和美国CLOUD ACT那样行使一般性的长臂管辖，也不将效力局限于中国境内，而是从保护中国国家安全、公共利益或者公民、组织合法权益的角度出发，适当行使管辖权。这一规定延续并拓展了《网络安全法》第75条的规定，反映了我国网络主权的攻守转换。二是明确了“数据”和“信息”的区分，从而破除了“个人数据”“政务数据”与“个人信息”“政府信息”的混用，并为《数据安全法》和《个人信息保护法》的衔接奠定了基础。三是彰显了我国对数据流动的基本立场，即安全、有序的数据自由流动。四是确立了数据安全协同治理的架构。数据安全治理是一项公共治理，需要政府部门、行业组织、企业、个人等共同参与，才能实现数据安全。

上海交通大学法学院数据法律研究中心执行主任何渊教授在发言中认为，从立法体系来看，第一，草案有些面面俱到，重点不突出，所要解决的问题不聚焦。第二，存在逻辑混乱，政务数据一章比较突兀，金融数据、健康医疗数据等其他重要数据类型如何安排？《数据安全法》应突出重要数据，限缩国家安全审查和执法数据调取，增强制度可操作性，如启动程序、救济路径等等。

从法律执行来看，草案较多条款是宣示性的，宣示性的条款在国际对接上可能存在较大问题，建议详细规定数据泄露通知制度，明确数据泄露通知的主体、条件、标准、程序、内容等等。

从法律责任来看，现有罚则过轻，企业缺乏自我规制动力。实践中轻易动用刑法，存在“要么坐牢、要么没事”的现象，导致很多企业、个人铤而走险。建议对照前期制度安排，提高违法罚则，促进企业建立良好的内部合规体系。应借鉴行政执法的和解协议制度，把企业建立数据合规机制作为适用和解程序的条件，在协议当中引入完整的企业合规条款，及时向全社会公布，规定一定的考验期，允许企业自我完善。

他认为，立法要考虑到全球趋势。不能落实、显得封闭的条款，要慎重。就数据安全审查机制而言，如果短时期内无法出台，可以先放一放，暂时用《网络安全审查办法》。

网信办等四部委App违法违规收集使用个人信息专项治理工作组副组长、北京理工大学法学院洪延青副教授结合草案第19条，专门谈了数据分级分类的问题。

对外经济贸易大学法学院院长梅夏英教授在发言中梅夏英认为，在草案中，数据安全法立法要解决的问题是不清楚的。个人信息保护法、网络安全法和数据安全法的理解与关系需要澄清。既然三者都是管制法，为什么数据安全要单独立法呢？这是由于它们要解决的问题不一样。所以，要更清晰地探索数据安全法的定位，认识数据安全的风险是什么，要保护的是什么，安全是什么？

中国信息通信研究院互联网法律研究中心主任方禹博士认为，数据安全法的立法是一件比较困难的事情。我们缺数据安全法，需要数据安全法。这个数据安全法责任比较重。从国际层面来看，中国的网络立法走在前列；国家安全法之下、网络安全法之上，不能比网络安全法更细。但对数据的认识争议很大，比如跨境数据流动的问题，假如数据出境了，到底风险是什么，并没有详细材料支撑。

中央财经大学数字经济与法治研究中心执行主任刘权认为，《数据安全法（草案）》有两大亮点，一是注重平衡理念，多个条款强调保障数据安全和促进数据开发利用，二是注重保护公民、组织、政务部门等多方主体的数据安全，强调设计数据安全审查、数据出口管制、境外执法机构调取数据报批等制度维护国家数据主权。对于第19条中的由本地区、本部门、本行业确立重要数据保护目录，优点在于符合“放管服”的改革背景，有利于防止一刀切，对重要数据的认定更符合当地实际，但缺点在于可能导致不平等保护，可能使得一些地方政府为吸引互联网产业而对重要数据认定过窄，最终不利于数据安全。对于重要数据，国家层面可以制定一个基本目录，其他的数据是否重要可由不同地区、部门、行业，结合实际进行具体认定。对于第五章“政务数据安全与开放”的规定很有必要，有利于推动政务数据在安全的前提下最大程度开放，释放“政务数据红利”，但该章规定过于笼统需要细化。有些表述需要更新，如“电子政务”宜改为“数字政务”或“数字政府”，更能突出数据对于政务的价值。

华为集团首席隐私官罗明博士在发言中建议，关于《数据安全法（草案）》第七条第三款中提到的公安、国安机关的“安全监管”希望改为“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全保护和监督管理职责。”第三十二条提到的组织和个人的执法协助义务，希望整条删除。修改原因是为了避免被美欧政客、媒体断章取义解读为中国企业协助政府收集外国用户数据和情报信息，继中国《情报法》第7条、14条后引发新一轮质疑。目前中国出海企业因《情报法》下的执法协助义务被美国和部分欧洲国家认定为“高风险威胁”，面临海外市场准入障碍，受影响的有，华为、中兴、小米、中国三大运营商、海康、大华、海能达等。如果立法者的本意是强调组织和个人的“配合”义务，那么在刑诉法、反恐法、国家安全法、人民警察法已经规定了组织和公民的协助义务，不建议此处重述。

罗明女士提出，整体立场上支持《数安法（草案）》第三十三条以反制美国的《云法案》。但请立法者考虑实务操作的弹性，比如企业对外自发的民事诉讼活动。建议增加“企业自发的诉讼活动除外。”

中国信息通信研究院互联网法律研究中心贾宝国研究员认为，数据安全法草案亮点还是比较多的。一是区分了与个人信息保护法的关系。《数据安全法》与《个人信息保护法》同时列入了立法规划，可见两部立法有着不同的价值着眼点，但要将两者很好地进行切割，需要一定的智慧和立法技术。我们注意到此次的草案稿已没有规定个人信息保护的具体条款，仅在附则部分原则性规定了。二是安全与发展并重。为避免过度监管，对技术创新、数据价值释放以及我国在全球的商业竞争力造成影响，应坚持安全与发展并重。草案很好地认识到了这一点，设置数据安全与发展专章。三是内容全面且回应热点问题。草案的制度设计包括标准、规划、检测评估、认证、教育培训、监测预警、应急处置、安全审查等多个方面。同时，对当前出现的热点问题给予了回应，如针对美国CLOUD法等国外立法中规定的长臂管辖以及针对技术相关的投资、贸易实施的禁止、限制措施。

他建议，在草案的结构体例设置上，一是条文内容的比例分布要优化。聚焦安全的核心条款仅剩15条，解决数据安全相关的一系列问题，难免显得有些捉襟见肘。因此，从结构体例来说建议适度增加安全条款，细化某些具体制度。二是相关条文的整合归并。促进发展的内容不仅在总则部分有、发展的专章有。因此，从条文的精简性来说，建议将类似的条文进行整合。三是政务数据开放是否单独成章。在总则以及发展专章中都没有提及开放的问题，分级分类制度也体现的是重要数据，并未区分政务数据、企业数据、个人数据，单独将某一类数据独立成章略显突兀。因此，建议政务数据不单独成章，或者在总则、发展章节中规定政务数据开放相关内容，然后将数据开放与数据交易的问题都进行专门规定。

在具体制度设计上，贾宝国研究员认为，目前草案对于数据分级分类、数据泄露通知、数据跨境流动、数据安全审查以及重要数据处理风险评估等制度都有所提及，回应了社会关切。但是，具体制度的规定都非常原则，落地执行仍面临一定的困难。

京东法律研究院秘书长严少敏在发言中提出，实现《数据安全法》多元化的立法目标，须区分国家秘密、重要数据、个人信息、商业秘密及一般数据。国家秘密、商业秘密和个人信息保护领域有独立立法，一般数据则应鼓励流通和交易。建议《数安法》对重要数据重点规制并单独成章，将重要数据的定义限定在“一旦遭到篡改、破坏、泄露或者非法获取、非法利用会对国家安全造成影响的数据”范围，并仅针对重要数据的出境进行安全审查，提高数据安全审查制度的可执行性。

其次是市场主体的数据分级管理应根据业务模式、管理方式及数据规模等多方面因素由市场自主决定的，只要不与国家秘密、重要数据、个人信息等影响国家安全与社会公共秩序的强制性规范冲突，法律规范不宜做强制性要求。《数安法》对数据实行分级分类保护的条款设计须避免后续相关法律规范对市场主体数据分级分类的过度干预。

阿里巴巴集团法律研究中心主任顾伟博士也参与了会议。在研讨会上，各位参会专家都进行了深入的交流和讨论。

《网络法治蓝皮书》联合主编、中国社会科学院法学研究所研究员支振锋最后做会议总结，他先对360集团的支持以及各位专家的智慧贡献表示衷心的感谢。支振锋教授认为，数据安全立法必须统筹规制与实践、国内与国外、安全与发展两个大局。突如其来的新冠疫情，成为对全球各国制度优势和国家治理的极限考验。信息技术和网络数据的广泛运用，既成为疫情防控的重要助力，也引发了关于个人信息和数据安全的诸多担忧。以ABCDE（人工智能、区块链、云计算、数据科技和边缘计算）为代表的信息技术与经济社会高度交汇融合，人类生产生活日益加深的网络化、数字化和智能化趋势，促进了数据的迅猛增长。数据已经成为国家基础性战略资源和新的生产要素，被称为21世纪的“钻石矿”。围绕数据开发利用和国家社会安全及公民、法人合法权益保护之间，问题也愈加凸显。

近年来，全球各国纷纷通过数据安全相关立法。2020年6月28日，我国《数据安全法（草案）》在十三届全国人大常委会第二十次会议上初次提请审议。在“百年未有之大变局”与信息革命的叠加影响下，高质量的数据安全立法将不仅支撑我国经济高质量发展和国家社会安全，也在很大程度上牵涉国际格局变化，影响人类福祉。

支振锋研究员认为，数据是互联网时代信息传播的重要形式，也是数字经济时代的重要生产要素。数据涉及个人生活，涉及生产生活，并因此关乎国家安全和社会治理。作为国家基础性战略资源，围绕数据的开发利用以及个人信息保护、数据跨境流动、数据跨境执法司法协助等，各国竞相出台数据战略等顶层公共政策、规制措施和法律规范。紧锣密鼓的中国数据安全立法进程，是对国际层面各国数据战略和立法的回应，也是促进自身数据开发利用与安全保障的时代急务。在高度不确定外部环境背景下，我国数据安全立法应避免“闭门造车”，要为全球数据安全立法树立标杆和典范，贡献中国智慧和方案。