数据安全的三个向度

摘  要：数据安全是新兴学科融合而产生的法律概念，是对数据法律制度目标效果的总括性期待，更是一种带有框架性质的数据治理理念。在法益保护、价值保护、安全本位三个维度有不同的法律表达。法益保护视角下，数据安全是数据主体行权过程中安全利益的凝练、确认与总结，发挥安全法益的规范解释及立法批判功能。价值保护视角下，安全价值在数据法律价值体系中处于优位，发挥安全价值的指引保障功能。安全本位视角下，数据安全是总体国家安全观下协调不同数据规制理念和路径的策略选择，发挥安全本位的制度建构功能。

关键词：数据安全；数据治理；数据法益；安全价值；安全本位

一、问题的提出

数据安全是数据法学的基础性概念，在相关研究中使用频率很高，但目前对数据安全概念的研究浅尝辄止、语焉不详，只有极少数学者对此展开过分析和研究［1］，关于数据安全的内涵、定位、功能至今也没有形成清晰的界定和统一的认识。实践中，在数据安全概念的使用上，截取数据安全的字面含义泛化使用，将数据安全与数据保护等同使用，将数据安全与信息安全混用的现象很普遍；在数据安全的定位和功能界定上，研究者多是从技术、管理学视角切入，很少在法学视角下展，且与法学体系契合度不高、兼容性不强；在数据安全的理论建构上，大多研究者只是简单地将“数据”与“安全”拆分合并解释，没有从总体国家安全观的高度予以把握，没有在理论层面更深度地扩展和延伸。随着数字经济的进一步发展，数据安全概念的使用愈加频繁，数据安全基础性功能地位日益凸显，重新梳理和审视数据安全概念及相关理论变得十分重要且必要。本文试图从法益、价值、本位层面观察和解读数据安全，认识数据安全与数据法益、数据价值、数据本位的内在关联，挖掘其在法益保护、价值指引和制度建构的特殊功能，希望对认识和把握数据安全有所裨益。

二、法益保护视角下的数据安全

（一）数据安全法益内涵阐释

数据安全起初是在计算机领域约定俗成的概念，其内涵大致可以理解为对数据安全可控的整体目标效果的总括性期待。随着法学与计算机科学深度融合，数据安全逐渐被确认为新的法律概念，但是其概念和内涵却一直没有得到明确，由此带来的问题是数据安全与信息安全、数据保护概念之间不加区分泛化使用。由于对数据安全内涵认识模糊不清，数据安全法益在相关立法中始终处于附属和次要的地位［2］，直到2021年6月通过的《数据安全法》赋予“数据安全”系统完整的表述，数据安全的内涵才开始逐步清晰起来。法益是研究观察数据安全的微观视角，是解读数据安全构成要素的关键。在互联网时代，数据成为重要的沟通媒介，承担信息交互的特殊功能，在此过程中产生的维护数据交互过程中安全性，保护数据交互各方对数据秩序信赖的法益就是数据安全法益。数据安全法益是数据主体行权过程中不受信息处理者侵害的安全利益的凝练、确认和总结，具有个人安全、公共安全和国家安全三个面向［3］，是对“有效保护”“合理利用”“具备安全保障能力”状态的整体概括。

（二）数据安全法益的定位：独立性

数据犯罪侵犯的法益是数据安全法益。由于我国采取“重计算机轻数据”的立法模式，将数据犯罪纳入非法获取计算机信息系统数据罪、破坏计算机系统罪等计算机犯罪予以间接保护，用计算机信息系统安全这一泛化的概念遮盖数据安全法益的保护价值。［4］司法者往往运用传统法益来解释相关罪名的构成要件，导致出现诸如行为定性模糊、入罪标准混乱、处罚范围失当、个别罪名口袋化、法益保护不周延等问题。［5］但是从本质上看，计算机犯罪保护的法益是计算机系统安全，而数据犯罪保护的法益是数据安全，两者是载体与内容的关系不能相互混同。数据安全法益的范围设定也承担着与其他法益相区分的功能。它与传统犯罪法益相区别的要点在于保护的载体上数据本身安全，与计算机犯罪相区分的要点在于保护的过程性安全，而不是结果性安全。

数据安全法益应作为独立法益进行评价。一方面，在“法益风险社会化”［6］背景下，数据安全利益已经上升为法律保护的利益类型。数据风险演变为“一种系统性、综合性的、超越个人控制范围、多种价值的破坏的公共风险” ［7］，特别是“一些跨国网络犯罪已经突破了对技术追求，涵盖了‘利益性侵害’‘秩序性侵害'和‘安全性侵害’的三位一体的要素，尤其是网络犯罪对国家/公民‘安全感’的侵害” ［8］。另一方面，实践中出现难以被计算机犯罪涵盖的数据犯罪新类型，出现数据保护的“真空地带”。数据的储存地点开始脱离计算机系统而存储于“云端”；数据收集的工具不限于计算机而存在一些运行的机器设备中；数据的来源也不再局限于计算机内部生成，比如生成于外部、脱离计算机系统的网页浏览和搜索数据；侵害数据的行为也不限于获取、删除、修改、增加和破坏计算机系统的行为。信息中心主义所附随的对数据之保密性、完整性的间接保护效果将不足以应对社会数字化转型过程中日益多样化的数据安全风险。［9］“数据安全”应作为独立保护价值来合理评价，从“技术性”回归“本体性”。［10］

（三）数据安全法益的法益保护功能

第一，发挥数据安全法益的规范解释机能。一方面，可以准确界定数据安全犯罪的法益内容。数据犯罪是以数据为侵害对象，而传统犯罪是以数据为工具或媒介。在认定犯罪类型的时候，不能只依据是否存在于计算机系统简单的技术属性判断，而需要仔细分析“数据”所表征的传统法益与新生法益进行分类判断。［11］另一方面，可以合理解释数据安全犯罪的构成要件。在具体认定上，不能仅仅依靠技术属性进行认定，而是要依据规范认定，要划清数据犯罪与反不正当竞争规制行为的界限。对数据犯罪的危害结果认定，采取“广义的危害性原则” ［12］，从具体危险过渡到抽象危险，采取个体损害兼顾集体损害综合评定。损害的后果要结合数据的类型、数据侵害的程度、被害人损失金额、犯罪人的收益等要素综合认定。

第二，发挥数据安全法益的立法批判机能。一方面，可以指导对数据安全、信息安全与算法安全区分保护。三者所针对的对象具有差异性，数据安全的对象是数据，信息安全的对象是信息，算法安全的对象是代码，分门别类保护能够实现保护的针对性和有效性。另一方面，可以指导构建以“数据安全”为中心的数据犯罪体系。对数据犯罪中行为规制重心从过程规制向前端和后端延伸，行为类型要覆盖“非法访问型”“非法获取型”“数据篡改型”“数据攻击型”“数据造假型”“数据滥用型罪”“不当管理型”等数据犯罪类型，同时以数据生命全周期为导向设置非法访问、获取、使用、提供、加工、存储、公开、破坏、滥用、毁损数据罪，将数据犯罪与计算机犯罪相区别，形成科学完备的数据犯罪体系。

三、价值保护视角下的数据安全

（一）数据安全价值的内涵阐释

数据安全价值是指保障数据使用和流动安全可控的状态，有效防止数据风险发生，并符合数据主体合理预期的价值。《数据安全法》以“安全”进行命名，彰显以安全为中心的立法理念和价值取向。数据安全是“数据”与“安全”的组合，但不是简单的相加，也不意味着安全在数据法律制度中具有绝对权威，数据安全价值是在不同方面以不同形式调整数据法律关系。实际上数据安全与数据自由流通的矛盾是可调和的，它们实则是一种应然意义上的关系，或者说是一种目标意义上的关系。［13］数据安全价值的功能往往是在与其他价值的比较中凸显并服务于其他价值的达成。数据安全追求的安全价值不是将数据与外界阻隔起来，达到绝对安全的效果，而是采用风险规制、价值衡量、利益平衡等制度工具，将数据风险控制在人们可接受的范围，为数据自由流动的实现进行过程和结果的保障。

（二）数据安全价值的定位：优位性

安全价值具有独立性，但是在涉及建构价值位阶问题时，遇到多种样态混合的安全价值就都难以作出合适的排位。安全与其他法律价值之间的关系样态和安全在法律价值体系中的地位是安全价值生成之体系逻辑。［14］基于生成逻辑的不同，我们把安全划分为基础需求的安全、目标需求的安全、比较需求的安全。第一类是基础需求的安全。基础需求的安全是其他价值的基础与前提。这类安全往往是其他价值的前置条件。比如，个人数据、企业数据、国家秘密数据受法律保护的权利就是属于基础安全的范畴。第二类是目标需求的安全。这类安全常常出现于立法宗旨中，标明法律最重要的立法目的，置于最高法律地位，这个层面的安全往往是“超越价值的价值”。如霍布斯就认为：人的安全相当于人间至高无上的“法律”。如果将法律价值直接或者间接表达为安全利益，目标需求的安全就是其他价值所表现的安全利益的总和，是其他价值的抽象总括。于改之教授将数据安全的保护模式划分为数据控制安全保护模式和数据利用安全保护模式，将控制模式与利用模式都置于安全保护之下，实际上就是将安全价值目标作为其他价值目标统领。［15］第三类是比较需求的安全。这类安全是与自由、平等、秩序等价值并列的价值。属于比较需求的数据安全价值是首要价值，在数据价值体系中具有相对优位性。从理论逻辑上，经济学的木桶理论、社会学的风险社会理论、法理学的法律家长主义理论都能为其提供理论支撑。从价值逻辑看，安全价值是平衡各方利益后的最大公因数，是各种价值利益平衡的结果选择。从实践逻辑看，数据安全保护迫在眉睫，数据安全立法设置大量义务性规范来规制，明显与权利性规范不对等，也从侧面反映安全优先的立法理念与选择。数据安全价值是由目标需求安全、基础需求安全、比较需求安全共同组成，由于比较需求安全价值与其他价值之间存在张力，能够通过法律制度设计进行有效价值衡量，处于优位的数据安全是比较需求的数据安全。

（三）数据安全价值的指引保障功能

价值指引是数据安全价值的突出功能。安全价值的指引功能，深刻体现在整个法律框架、制度、条文和内容的设计之中。在我国数据立法中，在立法名称、立法宗旨、立法目的均以“安全”字眼出现，表明我国数据立法的基本立场是安全价值优先，反映到立法内容上就是设置了大量的程序规则、义务规则、责任规则。安全保障是数据安全价值的核心功能。数据安全保障意味着国家、企业、个人需要通过采取必要管理和技术措施，防止数据非法访问、篡改、泄露、毁损、灭失。国家是数据安全最大的义务主体，承担着数据安全的国家保护义务，数据安全立法中数据安全审查、数据安全风险评估预警以及应急处置机制等有赖于国家相关制度的制定与完善。数据处理者是数据安全最直接的义务主体，数据安全立法明确数据处理者设置必要技术和管理措施的义务，产生数据安全问题后采取补救措施的义务、向用户和有关主管部门报告的义务。

四、安全本位视角下的数据安全

（一）数据安全本位的内涵阐释

本位是建构数据制度、调整数据关系的内在法则。数据安全本位是以安全为中心的数据治理制度本位观念，是本位观在数据领域特有的表达，有的学者表述为社会本位［16］，有的学者表述为合作本位。［17］从数据本质看，数据是受限制的社会资源，具有准公共物品的属性，数据的价值在于数据公开和流动。但是在数据公开与流动过程中，公民个人要防范数据过度采集与非法使用，保护个人数据权益和隐私；企业要防范大型互联网公司利用数据垄断地位形成数据“霸权”，影响正常市场竞争秩序；国家要防范在数据跨境流动过程中的潜在风险，维护数据主权安全。同时，数据在网络化、规模化后会由仅关系个人信息安全向关乎集体安全、国家安全转化。因此，我国的数据安全本位立场是要从国家整体安全角度出发，采取必要措施对数据公开、流动的内容和范围加以限定，协调多元主体利益诉求，在数据保护和利用中找到平衡点。

（二）数据安全本位的定位：统合性

实践中，军事数据安全关乎国家军事安全，情报数据安全关乎国家政治安全，企业数据安全关乎国家经济运行安全，个人信息数据安全关乎人民安全，数据安全与其他安全深度融合，形成“牵一发而动全身”的局面。在总体国家安全观视角下，数据安全已经上升到国家治理的高度，形成一个能够容纳不同数据规制方案并且不断更新和发展的框架式理念。数据安全本位是对数据安全核心立场的标明和对数据安全规制理念、手段的统合。

一方面，数据安全本位是对数据安全规制理念的统合，其核心是在维护国家整体安全的前提下统筹好数据安全与利用之间的关系。在系统论的观点下，数据安全是整体安全，数据安全与利用之间是一体两翼，依赖于在数据治理过程中多主体参与、多学科协同治理。同时，数据安全治理是一种兼顾安全性和可用性的相对安全问题。数据安全需要在实践中不断调试，在不同风险场景下做出利益取舍，寻找到安全与流动的平衡点。最后，应当从动态的流通使用意义上来认识数据安全问题，通过构建符合市场经济运行基本规律的数据要素流通和交易制度来促进数据动态安全的实现。［18］

另一方面，数据安全本位是对数据安全规制手段的统合。目前，在国际舞台上形成三种有代表性的数据安全规制模式：一是主张数据自由流通的美国模式，美国凭借自身强大数据竞争力，垄断国际数据市场，不断扩张数据政策和主张，推行数据霸权主义，但对于本国投资关键性基础设施、处理敏感个人信息等却作了严格限制；二是采取数据本地化的印度模式，严格限制数据跨国流动，隔绝与其他国家数据交流，陷入新的“数据孤立主义”；三是采取严格充分标准，主张“人权至上”的欧盟模式，在欧盟区域内推行数据自由流动，但是严格限制区域外流通。无论是哪种规制模式，都是从本国数据保护能力和水平出发，本质上保护各自国家安全。我国的数据安全规制模式不同于以上三种模式，是在吸收借鉴其他模式并结合我国国情的基础上创造出的“安全兼顾发展”的数据安全规制模式，以维护数据主权为核心，在数据本地化前提下有条件允许数据跨境流动，有策略进行跨境数据流通，采取相对积极的数据防御主义。

（三）数据安全本位的制度建构功能

在数据安全本位指导下，我国数据安全法律体系主要围绕以下三个方面内容进行建构。

一是以保障国家安全为前提。以国家安全为重心，主张公益理念优先的立场选择符合我国现实需求。建立以数据主权为核心的数据安全体系，通过统筹国内数据安全相关立法，增进各种法律法规相互协调与衔接；加强企业合规建设，加大对企业侵害数据主权行为的打击与问责力度；对外通过签订国际条约、区域协定、双边协定，开展数据安全的国际合作与协商，同时积极参与数据安全的国际规制、标准的制定活动，以主动权换取制定权，形成数据主权规则的中国话语。

二是以场景风险管理为策略。数据安全范式的核心要素是风险的可控性，管控数据安全风险立法的总体思考可以根据风险管控的策略展开。［19］我国可以采取宽严相济的跨境数据策略，允许非重要的数据跨境流动，允许本人同意的基础上个人数据跨境。数据分级分类要摒弃传统以掌握数据的主体为划分依据，而是要从数据可能的各种价值和利益出发整体全面判断。［20］“重要数据”分级分类要以场景化为导向，区分医疗信息、金融信息、司法信息等，建立对等互利的数据分享机制。

三是以采取限制性措施为保障。根据不同行业不同性质的数据，设置不同数据安全标准，加强数据出口管制和出境管理。在数据跨境传输过程，要求相关企业采用与数据风险程度匹配的数据设备和数据加密技术。针对数据安全审查评估，设置数据安全审查的专职机构，成立数据安全审查评估的专家组，细化数据安全审查评估的标准、内容、程序，特别是复核、申诉渠道。确立数据域外管辖权，但在具体实施过程中本着平等、互助的原则，进行国家间对等的数据管辖协作。

五、结语

数据安全已经成为研究其他数据现象的理论框架，而现有的研究对数据安全本身的研究却未受到重视，对基本理论问题的回答略有不足。本文通过研究数据安全在利益、原则、本位三个层面表现形式，明确数据安全利益独立地位、安全原则优先地位、数据本位核心地位以及他们在各自层面的功能，意欲搭建从微观到宏观的理论联系，但是数据安全作为数据制度的底层逻辑，作为数据治理高度抽象凝练的理念，有广泛丰富的内涵、深刻的理论基础，仍有待我们不断摸索。

注释：

［1］目前对数据安全进行系统研究的学者有谢宗晓、程瑜琦：《重新梳理“数据安全”的概念》，载《中国质量与标准导报》2019年第5期；文禹衡、于琳：《数据安全概念的多维度认知与体系化解读》，载《情报资料工作》2022年第6期；范明志：《论数据安全的客体》，载《法学杂志》2023年第2期。

［2］张勇：《数据安全法益的参照系与刑法保护模式》，载《河南社会科学》2021年第5期。

［3］黄道丽、胡文华：《中国数据安全立法形势、困境与对策——兼评〈数据安全法（草案）〉》，载《北京航空航天大学学报》2022年第6期。

［4］张勇：《数据安全法益的参照系与刑法保护模式》，载《河南社会科学》2021年第5期。

［5］刘双阳：《数据法益的类型化及其刑法保护体系建构》，载《中国刑事法杂志》2022年第6期。

［6］敬力嘉：《信息网络犯罪中集体法益保护范围的扩张与限度》，载《政治与法律》2019年第11期。

［7］参见王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021年第5期。

［8］安柯颖：《信息社会预防性刑法观的犯罪化运用及控制——以网络信息法益扩容为视角》，载《云南民族大学学报》2021年第4期。

［9］张婷：《数字经济时代数据犯罪的风险挑战与理念更新——以数据威胁型网络黑灰产为观察对象》，载《法学评论》2022年第5期。

［10］杨志琼：《我国数据犯罪的司法困境与出路：以数据安全法益为中心》，载《环球法律评论》2019年第6期。

［11］同前注［10］。

［12］田刚：《数据安全刑法保护扩张的合理边界》，载《法学论坛》2021年第2期。

［13］参见范明志：《论数据安全的客体》，载《法学杂志》2023年第2期。

［14］参见任瑞兴：《论法律的安全价值生成逻辑》，载《河南大学学报》2023年第3期。

［15］参见于改之：《从控制到利用：刑法数据治理的模式转换》，载《中国社会科学》2022年第7期。

［16］张钦昱：《数据立法范式的转型：从确权赋权到社会本位》，载《经贸法律评论》2023年第1期。

［17］茶秋思、丛杭青：《合作本位理念下的个人数据安全治理机制研究》，载《中国科技论坛》2022年第6期。

［18］郑智航：《数据安全与数据利用平衡的法治保障》，载《人民论坛·学术前沿》2023年第6期。

［19］刘金瑞：《数据安全范式革新及其立法展开》，载《环球法律评论》2021年第1期。

［20］洪延青：《国家安全视野中的数据分类分级保护》，载《中国法律评论》2021年第5期。