全球化的數據開放與流動對國(guó)家安(ān)全帶來了巨大沖擊，國(guó)家數據安(ān)全制度已經成為(wèi)一國(guó)安(ān)全法律制度的重要組成部分(fēn)。《數據安(ān)全法》的出台恰逢其時，貫徹《國(guó)家安(ān)全法》所提出的總體(tǐ)國(guó)家安(ān)全觀，以法律形式建構我國(guó)基本數據安(ān)全管理(lǐ)制度，确立了保障數據安(ān)全與促進數據發展的立法主旨，捍衛了本國(guó)數據主權及其對内對外的管轄效力。在數據分(fēn)類分(fēn)級基礎上，以“重要數據”的識别為(wèi)抓手，建構一體(tǐ)兩面的跨境數據流動機制，并與《網絡安(ān)全法》相互協調，為(wèi)建設有(yǒu)序、公(gōng)正、合理(lǐ)的數據安(ān)全治理(lǐ)新(xīn)制度夯實基礎。

國(guó)家安(ān)全；數據安(ān)全；數據分(fēn)級分(fēn)類制度；跨境數據流動

進入物(wù)聯網、大數據時代，數據與土地、技(jì )術、勞動力、資本等傳統生産(chǎn)要素相并列，成為(wèi)新(xīn)的核心資源，被稱為(wèi)“新(xīn)時代的石油”，迸發出巨大的價值潛力。作(zuò)為(wèi)首部以“數據安(ān)全”為(wèi)主題的法律，必然有(yǒu)着自己的價值取向與選擇，即以法律形式建構基本數據安(ān)全制度，在保障數據安(ān)全的同時促進數據的開發利用(yòng)。

“數據”一詞本身的内涵及外延界定是《數據安(ān)全法》的邏輯起點。其中(zhōng)第3條第1款對什麽是“數據”做了界定，這也是第一次以立法形式對數據作(zuò)出的概念闡釋。數據與信息、資料，三者概念經常出現混淆，特别是數據與信息，在我國(guó)現有(yǒu)法律規範及學(xué)理(lǐ)分(fēn)析中(zhōng)經常性出現不同的表述和混用(yòng)，也對實務(wù)層面的法律适用(yòng)帶來很(hěn)大的困擾。

從元認識論的角度，“數據”是通過數字、表格、圖形等對事實的客觀記錄。在數字化轉型的曆史背景下，數據實質(zhì)上就是以記錄、描述、重現客觀情況。國(guó)際标準化組織将數據看作(zuò)信息、事實的一種表達形式，可(kě)以通過人工(gōng)或自動化處理(lǐ)。事實上，數據不僅包括數據控制者利用(yòng)網絡、傳感器等采集或生産(chǎn)的原始數據（未經加工(gōng)的原始素材，基于事實和觀察），還包括經過分(fēn)析、加工(gōng)、計算、聚合形成的衍生數據等數據産(chǎn)品。大數據時代，數據大都以電(diàn)子形式出現。在網絡空間和計算機系統中(zhōng)，物(wù)理(lǐ)空間中(zhōng)的多(duō)種表現都為(wèi)“數據”所取代，即以二進制信息單位0和1表示。與傳統的有(yǒu)體(tǐ)物(wù)相比較，數據特别是電(diàn)子形式的數據本身具(jù)有(yǒu)無形性的特征，且可(kě)以借助互聯網從一個節點到另一節點，甚至跨地域、跨國(guó)界的快速傳輸。

從信息科(kē)學(xué)的角度看，“資料”和 “數據”表述基本一緻，都是以可(kě)識别的符号序列對事物(wù)本身加以表述，可(kě)以使口頭或書面，并且不以文(wén)字為(wèi)限。無論是詞源還是從實際應用(yòng)上來看，兩者并無根本性差異。至于“資料”這一說法，隻是學(xué)者對“data”的另一種譯法而已，英文(wén)中(zhōng)并無“資料”的專門譯法。

信息則是經過一定技(jì )術處理(lǐ)後有(yǒu)價值的内容，在一定程度上減少了不确定性。相較而言，數據側重于一種客觀表達，而信息的着眼點在于内容與人的互動關系。“無數客觀事物(wù)的信息，正是通過人的眼、耳、鼻、舌、身這五個官能(néng)‘傳遞’給人們，經過人們大腦去粗取精(jīng)、去僞存真的加工(gōng)，人們才認識了世界”。顯而易見，信息和數據呈現出一個事物(wù)的不同方面，信息是标識的内在含義，數據是表象化的标識本身。簡言之，信息是數據表達的内容，數據是信息的載體(tǐ)和外在表現形式。與信息相比，顯然數據涵蓋的範圍更為(wèi)廣闊。

在《數據安(ān)全法》出台之前，我國(guó)《網絡安(ān)全法》《民(mín)法典》《護照法》《居民(mín)身份證法》《刑法修正案（九）》《全國(guó)人民(mín)代表大會常務(wù)委員會關于加強網絡信息保護的決定》《電(diàn)信和互聯網用(yòng)戶個人信息保護規定》《個人信息安(ān)全規範》等法律規範都基本适用(yòng)了“個人信息”一詞來指稱與個人相關的信息資料内容。《數據安(ān)全法》首次從法律層面對“數據”進行了含義解釋，即電(diàn)子或其他(tā)方式對信息的記錄，第一次明确區(qū)分(fēn)了數據與信息。也就是說，“記錄”是數據的根本性特征。隻要是“對信息的記錄”，無論以電(diàn)子還是書面或其他(tā)形式，不論該數據上所承載的是個人信息、企業信息抑或政務(wù)信息，都是《數據安(ān)全法》所要規制的對象。

“安(ān)全”是《數據安(ān)全法》的第二個關鍵詞，也彰顯出該法最根本的價值出發點，即維護國(guó)家安(ān)全。其中(zhōng)，第4條明确要求“維護數據安(ān)全，應當堅持總體(tǐ)國(guó)家安(ān)全觀，建立健全數據安(ān)全治理(lǐ)體(tǐ)系，提高數據安(ān)全保障能(néng)力”。數據安(ān)全源于我國(guó)《國(guó)家安(ān)全法》，屬于國(guó)家安(ān)全體(tǐ)系建設中(zhōng)的重要組成部分(fēn)。在數據作(zuò)為(wèi)新(xīn)型生産(chǎn)資料和國(guó)家重要戰略資源的今天，數據安(ān)全的重要價值和意義愈加凸顯。早在2014年，習近平總書記在中(zhōng)央國(guó)家安(ān)全委員會第一次會議中(zhōng)就明确提出要建立國(guó)家安(ān)全體(tǐ)系。2015年修訂後的《國(guó)家安(ān)全法》便貫徹吸收了這一“總體(tǐ)安(ān)全觀”的理(lǐ)念和精(jīng)神，将“統籌内部安(ān)全和外部安(ān)全、國(guó)土安(ān)全和國(guó)民(mín)安(ān)全、傳統安(ān)全和非傳統安(ān)全、自身安(ān)全和共同安(ān)全”作(zuò)為(wèi)安(ān)全工(gōng)作(zuò)的重要内容，國(guó)家安(ān)全已經輻射政治、經濟、文(wén)化、軍事等各個領域。

作(zuò)為(wèi)《國(guó)家安(ān)全法》的下位法，《數據安(ān)全法》的制度價值統合于國(guó)家安(ān)全這一總體(tǐ)國(guó)家安(ān)全觀。一方面，國(guó)家應對重要數據擁有(yǒu)實際的控制支配權，避免被其他(tā)國(guó)家或組織非法操控、幹擾、竊取或洩露；另一方面，确保數據的宏觀安(ān)全，防控因數據處理(lǐ)而引發的國(guó)家主權、公(gōng)共利益以及企業和公(gōng)民(mín)的權益受損威脅。同時，貫徹國(guó)家安(ān)全制度中(zhōng)的全流程安(ān)全管理(lǐ)機制，《數據安(ān)全法》建立了事前“風險評估、報告、信息共享、監管預警機制”，事中(zhōng)“安(ān)全審查監管機制”以及事後“應急處置機制”。

然而，通信、網絡技(jì )術的快速發展，在帶來便捷性的同時亦引發了新(xīn)的國(guó)家安(ān)全風險。以雲計算為(wèi)例，其突破了對傳統電(diàn)腦物(wù)質(zhì)載體(tǐ)的存儲要求，直接将數據存儲于雲端，也無須信息技(jì )術的硬件支持。大量存儲于國(guó)界之外的雲端數據，直接影響了國(guó)家對其國(guó)内數據的控制。事實上，數據作(zuò)為(wèi)技(jì )術的産(chǎn)物(wù)，控制核心技(jì )術意味着控制了數據資源，這也導緻了國(guó)家與國(guó)家之間由于信息技(jì )術的不均等引發的數據主權層面的博弈。也就是說，一方面，信息技(jì )術強國(guó)利用(yòng)其技(jì )術優勢，不僅對其本國(guó)數據進行了有(yǒu)效控制，還對其他(tā)國(guó)家的數據進行肆無忌憚的收集、監測、分(fēn)析和挖掘，其中(zhōng)“棱鏡門事件”無疑是美國(guó)安(ān)全部門竊取國(guó)外數據的典型例證。而且，美國(guó)還壟斷着全球互聯網的戰略資源，擁有(yǒu)全球影響力最大的網絡運營商(shāng)和通信服務(wù)商(shāng)，在高科(kē)技(jì )領域和用(yòng)戶數量方面具(jù)有(yǒu)無法比拟的強大支配力。另一方面，大多(duō)數發展中(zhōng)國(guó)家及最不發達國(guó)家困囿于技(jì )術水平有(yǒu)限，無法與美國(guó)為(wèi)代表的技(jì )術強國(guó)相抗衡，不能(néng)有(yǒu)效保障自身的數據安(ān)全和國(guó)家利益。

針對無國(guó)界邊界的數據空間，一國(guó)對數據進行有(yǒu)效控制的路徑不能(néng)也無法仿效美國(guó)利用(yòng)技(jì )術優勢的單邊控制主義，而應通過與其他(tā)國(guó)家的公(gōng)平互利合作(zuò)加以實現。在國(guó)際社會語境下，開展國(guó)際合作(zuò)、堅持主權平等，維護共同安(ān)全和利益是所有(yǒu)國(guó)家的義務(wù)和使命。數據主權合作(zuò)理(lǐ)應體(tǐ)現國(guó)家間的平等性、雙赢性、互利性，不能(néng)以損害甚至犧牲其他(tā)國(guó)家利益為(wèi)代價來滿足本國(guó)的發展，所有(yǒu)國(guó)家不分(fēn)強弱大小(xiǎo)，都有(yǒu)平等參與制定數據領域國(guó)際規則的權利。《數據安(ān)全法》亦秉承這一原則，其中(zhōng)第11條提出“國(guó)家積極開展數據安(ān)全治理(lǐ)、數據開發利用(yòng)等領域的國(guó)際交流與合作(zuò)，參與數據安(ān)全相關國(guó)際規則和标準的制定，促進數據跨境安(ān)全、自由流動”。此外，基于公(gōng)平目标，國(guó)際社會應對廣大發展中(zhōng)國(guó)家特别是最不發達國(guó)家提供數據技(jì )術支持，以提升其控制和管理(lǐ)本國(guó)數據的能(néng)力，防範外來的數據霸權、恐怖主義等數據安(ān)全威脅。

按照傳統國(guó)家主權理(lǐ)論，主權是國(guó)家與生俱來的對内最高統治權力和對外獨立的權力。國(guó)家主權延展至數據空間，主要表現為(wèi)兩個方面：一是對數據的管轄權，即國(guó)家對本國(guó)數據的治理(lǐ)；二是當國(guó)家遭受外部數據竊取、監控或攻擊時進行防禦的權利。随着通信及網絡技(jì )術的發展，數據已經成為(wèi)一國(guó)的基礎性戰略資源，由于其所承載的信息還關涉文(wén)化、價值、意識形态等内容，各國(guó)都積極主張對本國(guó)數據的生産(chǎn)、開發和利用(yòng)等權利。加之，一個國(guó)家不可(kě)能(néng)獨占性地控制與其領土、企業以及公(gōng)民(mín)等的所有(yǒu)數據，數據的跨境存儲、利用(yòng)及傳輸往往會涉及多(duō)個國(guó)家及地區(qū)，數據控制者、使用(yòng)者、處理(lǐ)者在地理(lǐ)位置上也存在事實上的分(fēn)離甚至是跨國(guó)界，這也引發國(guó)家之間數據主權的深層次沖突。

數據管轄權作(zuò)為(wèi)國(guó)家主權的重要表現形式，是指一國(guó)對其數據生成、存儲和傳輸的物(wù)理(lǐ)設備以及相關服務(wù)等享有(yǒu)維護、管理(lǐ)和利用(yòng)的權利。國(guó)家對數據管轄權的行使也遵循傳統的國(guó)家管轄權原則，即屬地管轄、屬人管轄、保護性管轄和普遍性管轄等原則。我國(guó)《數據安(ān)全法》第2條則遵循了屬地管轄、屬人管轄和保護性管轄原則。即，隻要在中(zhōng)國(guó)境内開展數據處理(lǐ)活動及其安(ān)全監管，無論是中(zhōng)國(guó)境内的組織、個人還是中(zhōng)國(guó)境外的組織、個人，都适用(yòng)本法。如果境外的組織或個人雖然沒有(yǒu)在我國(guó)境内開展數據處理(lǐ)活動，但是其内容或性質(zhì)會損害我國(guó)的國(guó)家安(ān)全、公(gōng)共利益或其他(tā)公(gōng)民(mín)、組織的合法權益，執法機構仍有(yǒu)權依據數據安(ān)全法追究上述主體(tǐ)的法律責任。

從目前數據領域的立法規範看，我國(guó)基本采用(yòng)了較為(wèi)謹慎的“被動型防禦”策略，即強調對重要數據的出境管控，而并不積極主張數據的跨境調取。對于來自外國(guó)司法或者執法機構的調取數據請求，我國(guó)遵循的是“條約優先、平等互惠”原則，采取逐一報送主管機構批準的控制機制。為(wèi)了使報告義務(wù)真正落地實施，《數據安(ān)全法》還規定了法律責任條款（第48條第2款）。同時，為(wèi)規範重要數據出境活動，《數據安(ān)全法》第31條采用(yòng)“二分(fēn)法”的方式，對于關鍵信息基礎設施的運營者在境内運營中(zhōng)收集和産(chǎn)生的重要數據出境，适用(yòng)《網絡安(ān)全法》的規定；其他(tā)數據處理(lǐ)者的重要數據出境，則由國(guó)家網信部門會同國(guó)務(wù)院有(yǒu)關部門制定。為(wèi)了細化《網絡安(ān)全法》第37條規定，國(guó)家網信辦(bàn)分(fēn)别于2017年和2019年出台兩版有(yǒu)關信息數據出境安(ān)全評估辦(bàn)法〔《個人信息和重要數據出境安(ān)全評估辦(bàn)法（征求意見稿）》與《個人信息出境安(ān)全評估辦(bàn)法（征求意見稿）》〕，這也從側面反映出個人信息出境與重要數據出境在安(ān)全評估原則及規則内容等方面存在重大差異，宜采取單獨立法的模式。

與之形成鮮明對比的是，以美國(guó)和英國(guó)為(wèi)代表的西方國(guó)家積極謀求跨境數據管轄權，在跨境數據調取方面采取“主動獲取”策略，并明确賦予執法機構向其海外企業調取數據的法定權力，為(wèi)其跨境數據的訪問和獲取掃清障礙。

早在2001年恐怖襲擊之後，為(wèi)了切斷基地組織及其他(tā)恐怖組織的資金流，根據《國(guó)際緊急經濟權利法案》美國(guó)政府啓動了恐怖分(fēn)子資金追蹤計劃（Terrorist Finance Tracking Program,TFTP），秘密地從國(guó)際銀行間轉賬的環球銀行金融電(diàn)信協會（SWIFT）獲取金融數據。而最終促使美國(guó)擴大執法機構的境外數據獲取權的直接原因，就是始于2013年微軟與美國(guó)司法部之間的重大隐私權案。當時負責調查一起毒品走私案的檢察官們獲得了一份搜查令，要求微軟提供保存在都柏林的微軟服務(wù)器上的、該案嫌疑人的相關電(diàn)子郵件。微軟質(zhì)疑美國(guó)政府簽發的搜查令是否涵蓋了存儲于愛爾蘭服務(wù)器上的郵件數據。司法部則認為(wèi)，由于微軟總部設在美國(guó)，所以檢察官們有(yǒu)權獲得這些數據。在聯邦最高法院對該案做出裁決之前，美國(guó)國(guó)會在短時間内便通過了《澄清境外數據合法使用(yòng)法案》（CLOUD法案），并于2018年3月23日由特朗普總統正式簽署。

CLOUD法案賦予美國(guó)政府調取存儲于他(tā)國(guó)境内數據的合法權利，即在數據主權判斷标準這一問題上，法案适用(yòng)了“數據控制者标準”，不管數據是否在美國(guó)境内存儲，隻要該數據控制者屬于美國(guó)企業，即便是在海外的美國(guó)機構，其執法機構也可(kě)以單方面向其主張獲取該數據。但對于“适格外國(guó)政府”調取存儲在美國(guó)境内的數據，CLOUD 法案第五部分(fēn)做了規定，包括三方面：一是由美國(guó)國(guó)會來認定“适格外國(guó)政府”，評判的标準和要求具(jù)有(yǒu)較強的主觀色彩，如該外國(guó)政府是否有(yǒu)完善的個人隐私或數據保護法制，是否尊重人權等；如果被認定為(wèi)“适格外國(guó)政府”後，還需要與美國(guó)簽署雙邊協定；二是如果“适格外國(guó)政府”調取位于美國(guó)境内的數據時，該法案提出了比較苛刻的條件，如該外國(guó)政府的調取行為(wèi)，應與嚴重犯罪行為(wèi)密切相關，需提供确定的賬号、住址等；三是調取令須有(yǒu)國(guó)内法的合法依據，并受本國(guó)司法機關或其他(tā)監督機構的審查監督等。事實上，能(néng)夠成為(wèi)“适格外國(guó)政府”要求就不低，即便符合條件可(kě)以向美國(guó)政府申請調取數據，該行為(wèi)還受到重重約束和限制，其所遵循的差異性标準可(kě)見一斑。

顯而易見，在數據主權問題上，美國(guó)采取對内對外“雙重标準”：一方面嚴格限制其他(tā)國(guó)家對存儲于美國(guó)數據的獲取，另一方面美國(guó)執法機構卻可(kě)以合法地調取存儲于美國(guó)境外的數據。CLOUD法案最顯著的變化，就是以“數據控制者标準”取代地域邊界，實質(zhì)上抵銷了其他(tā)國(guó)家試圖通過數據本地化以保護自身數據安(ān)全的努力，而美國(guó)則可(kě)以通過其遍及全球的互聯網巨頭公(gōng)司牢牢地将數據主權控制在自己手中(zhōng)。

雖然英國(guó)在境外數據獲取方面也采取主動策略，但相比美國(guó)激進的“雙重标準”，英國(guó)則采取了更加溫和的合作(zuò)态度。2018年，英國(guó)審議了《犯罪（境外提交令）法案2018》。該法案授予了英國(guó)執法機構依據英國(guó)法庭命令，在與英國(guó)簽訂相關國(guó)際協議的國(guó)家或地區(qū)直接獲取境外數據的權力。該法案通過建立“境外提交令”機制，賦予英國(guó)執法機構向英國(guó)法官申請該命令，以直接要求企業提交境外數據的權力。需要注意的是，根據該法案的規定，“境外提交令”僅在與英國(guó)簽訂了相關國(guó)際協議的國(guó)家或地區(qū)才有(yǒu)效。應該說，該法案為(wèi)英國(guó)通過雙邊或多(duō)邊國(guó)際合作(zuò)協議模式開展執法機構境外數據獲取确立了基本框架。

與此同時，司法機關域外管轄權擴張的情形也不少見，如加拿(ná)大公(gōng)司Equustek Solutions Inc.（以下簡稱ESI）訴谷歌公(gōng)司案。該案件源于ESI要求谷歌删除侵權的網站鏈接，但谷歌隻删除了在加拿(ná)大領域内的鏈接，其他(tā)國(guó)家領域内的鏈接依然存在，ESI公(gōng)司認為(wèi)僅僅這樣是遠(yuǎn)遠(yuǎn)不夠的，因此向加拿(ná)大法院起訴要求谷歌公(gōng)司删除在全球領域内的所有(yǒu)鏈接。加拿(ná)大法院支持了ESI的訴請，在全球範圍内發布禁令，開創了法院域外管轄權的先例，但這也引發了數據主權沖突風險。

因此，合理(lǐ)界定數據管轄權行使的範圍是數據主權合作(zuò)的重要前提。我國(guó)《數據安(ān)全法》在其管轄效力問題上，不僅要管住重要數據出境這一關，明确相應的數據出境限制措施及制度安(ān)排。更重要的是，面對來自境外的數據調取要求，出于國(guó)家安(ān)全的考量，理(lǐ)應作(zuò)出相應的規範，以約束他(tā)國(guó)過分(fēn)膨脹的公(gōng)權機構的數據獲取要求，亦需在法律層面明确涉及跨境數據調取相關主體(tǐ)的義務(wù)與責任。同時，還應特别強調，即便是在境外的數據活動，隻要是危害到我國(guó)的國(guó)家安(ān)全、公(gōng)共利益、企業和公(gōng)民(mín)權益的，都應在我國(guó)法律的管轄範圍内。對于數據恐怖主義等影響國(guó)際社會穩定和秩序的國(guó)際犯罪行為(wèi)，則可(kě)遵循普遍性管轄原則。鑒于廣大發展中(zhōng)國(guó)家的數據技(jì )術水平有(yǒu)限，無法通過自身力量管轄域内外數據來應對上述行為(wèi)，就需要在國(guó)際社會上尋求集體(tǐ)合作(zuò)的安(ān)全機制，在集體(tǐ)自衛權基礎上實施跨國(guó)懲治。