第一章 網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)概述

第一節(jié) 數(shù)據(jù)的概念

一、什么是數(shù)據(jù)

（一）我國法律中對“數(shù)據(jù)”的規(guī)定

《民法典》總則編中，使用了“數(shù)據(jù)”一詞，但并未對數(shù)據(jù)的定義及法律屬性進行解釋。《民法典》第一百二十七條規(guī)定：“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定。”

《刑法》中也提到了“數(shù)據(jù)”一詞，如“破壞計算機系統(tǒng)罪”中保護對象為“計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)”，后續(xù)的《刑法修正案（七）》中也對上述罪行的適用對象進行了擴充，但是并未對“數(shù)據(jù)”一詞進行法律解釋。

《網(wǎng)絡(luò)安全法》中對“網(wǎng)絡(luò)數(shù)據(jù)”作出了定義。《網(wǎng)絡(luò)安全法》第七十六條規(guī)定：“……（四）網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。”

最終在《數(shù)據(jù)安全法》第三條中對數(shù)據(jù)作出了規(guī)定：“本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。”

《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例（征求意見稿）》^[1]第四條對數(shù)據(jù)也作出了不一樣的定義：“數(shù)據(jù)是關(guān)于客體（如事實、事件、事物、過程或思想）的描述和歸納，是可以通過自動化等手段處理或再解釋的素材。”但《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》最終通過日期為2021年7月6日，為了保持與上位法《數(shù)據(jù)安全法》（2021年6月10日通過）的一致，在正式條例中，關(guān)于數(shù)據(jù)的定義，已與《數(shù)據(jù)安全法》關(guān)于數(shù)據(jù)的定義一致。

（二）數(shù)據(jù)的分類

數(shù)據(jù)可以從不同的角度進行分類，從主體劃分大致可以分為個人數(shù)據(jù)、企業(yè)數(shù)據(jù)、公共數(shù)據(jù)。

1.個人數(shù)據(jù)：個人數(shù)據(jù)的判斷標(biāo)準(zhǔn)，包括可識別性和關(guān)聯(lián)性，即與個人相關(guān)的，能夠直接或間接識別個人的數(shù)據(jù)。“可識別性”是個人數(shù)據(jù)的重要屬性。

個人數(shù)據(jù)在法律實踐中有多個提法，如“個人信息”，多數(shù)國家將“個人信息”視為“個人數(shù)據(jù)”。但是，“個人信息”和“個人數(shù)據(jù)”這兩個概念在根本上還是存在區(qū)別的，一般認為個人數(shù)據(jù)是未經(jīng)過處理的個人原始記錄。

個人信息＝個人數(shù)據(jù)+分析處理，但是由于國內(nèi)并沒有對此進行特別的區(qū)分，且個人信息也囊括在個人數(shù)據(jù)的范圍內(nèi)，所以一般將個人信息視為個人數(shù)據(jù)。

但《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第二條對“個人數(shù)據(jù)”進行了定義，個人數(shù)據(jù)是指載有可識別特定自然人信息的數(shù)據(jù)，不包括匿名化處理后的數(shù)據(jù)。

2.企業(yè)數(shù)據(jù)：企業(yè)數(shù)據(jù)泛指所有與企業(yè)經(jīng)營相關(guān)的信息、資料，包括公司概況、產(chǎn)品信息、經(jīng)營數(shù)據(jù)、研究成果、大數(shù)據(jù)分析報告等。而企業(yè)數(shù)據(jù)中還可以分為企業(yè)公開數(shù)據(jù)、半公開數(shù)據(jù)與非公開數(shù)據(jù)。商業(yè)秘密是典型的企業(yè)非公開數(shù)據(jù)。

3.公共數(shù)據(jù)：公共數(shù)據(jù)主要是指政府在行政執(zhí)法過程中產(chǎn)生的信息。公共數(shù)據(jù)對于企業(yè)和個人的生產(chǎn)、經(jīng)營、履約有一定的影響，也涉及公眾和他人的利益。因此，對于公共數(shù)據(jù)應(yīng)該加大公開的力度，通過以社會公眾周知的方式讓其直接獲取相關(guān)公眾數(shù)據(jù)，減少社會搜尋信息的成本。

可參考的是《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第二條對“公共數(shù)據(jù)”進行了定義，公共數(shù)據(jù)是指公共管理和服務(wù)機構(gòu)在依法履行公共管理職責(zé)或者提供公共服務(wù)過程中產(chǎn)生、處理的數(shù)據(jù)。

（三）國外定義

歐盟《一般數(shù)據(jù)保護條例》（GDPR）中的數(shù)據(jù)定義：在GDPR第一章第四條的定義中，數(shù)據(jù)主要被限定為“個人數(shù)據(jù)”，是指一個被識別或可識別的自然人（數(shù)據(jù)主體）的任何信息。一個可識別的自然人，是指通過姓名、身份證件號碼、位置數(shù)據(jù)、在線身份識別碼這類標(biāo)識，或通過針對該自然人的一個或多個身體、生理、遺傳、心理、經(jīng)濟、文化或社會身份等要素，能夠直接或間接地被識別。

二、個人信息、個人數(shù)據(jù)、個人隱私的區(qū)別

目前尚未有法規(guī)單獨就“個人信息、個人數(shù)據(jù)、個人隱私”三者關(guān)系進行梳理，但可從立法的動態(tài)中看出認識也是動態(tài)的。

（一）關(guān)于“個人信息”

《刑法》第二百五十三條提到了“公民個人信息”，但未進一步進行解釋。

《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確規(guī)定了“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

2021年8月20日《個人信息保護法》正式通過，并于2021年11月1日正式實施。根據(jù)《個人信息保護法》第四條規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。

（二）關(guān)于“個人數(shù)據(jù)”

法律層面基本沒有直接解釋“個人數(shù)據(jù)”的法律。在實務(wù)理解中，基本上把“個人數(shù)據(jù)”等同于“個人信息”使用。

（三）關(guān)于“個人隱私”

我國《民法典》第四編人格權(quán)第六章“隱私權(quán)和個人信息保護”中，已明確規(guī)定自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。

三、網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)關(guān)系

（一）網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)是相互關(guān)聯(lián)又相對獨立的一個整體

《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》都屬于國家安全法律體系，就目前所了解到的內(nèi)容來看，《網(wǎng)絡(luò)安全法》第八條規(guī)定國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。而《數(shù)據(jù)安全法》第五條規(guī)定中央國家安全領(lǐng)導(dǎo)機構(gòu)負責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制。

網(wǎng)絡(luò)安全這一領(lǐng)域已經(jīng)有《網(wǎng)絡(luò)安全法》作為基本法，目前已出臺不少相應(yīng)配套司法解釋以及法規(guī)，其中不少還是征求意見稿。數(shù)據(jù)合規(guī)這一領(lǐng)域目前只有《數(shù)據(jù)安全法》，以及剛出臺的《個人信息保護法》，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會也密集出臺了網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域的相關(guān)文件，如《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息跨境處理活動安全認證規(guī)范》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個人信息自評估指南》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——人工智能倫理安全風(fēng)險防范指引》等。

（二）網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)相互依存不可或缺

沒有數(shù)據(jù)的網(wǎng)絡(luò)，只能叫信息基礎(chǔ)設(shè)施，沒有網(wǎng)絡(luò)的數(shù)據(jù)，也根本無法流轉(zhuǎn)。

正是由于上述認識，在《數(shù)據(jù)安全法》還沒有通過實施的情況下，在實務(wù)中都直接把兩者串聯(lián)起來：“網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)。”同時按上海交大壽步教授的觀點，數(shù)據(jù)亦可分為網(wǎng)絡(luò)數(shù)據(jù)和非網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)安全是網(wǎng)絡(luò)安全的子集。也一定程度上代表兩部法律的關(guān)系是有交集的。^[2]

（三）數(shù)據(jù)合規(guī)一定程度上是網(wǎng)絡(luò)安全的延伸

1.數(shù)據(jù)合規(guī)在實名制上是網(wǎng)絡(luò)安全范疇的延伸。

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)服務(wù)提供者應(yīng)對其客戶進行實名制管理。盡管目前我國網(wǎng)絡(luò)實名制工作已經(jīng)基本完善，但相關(guān)配套措施與落實細節(jié)內(nèi)容在《網(wǎng)絡(luò)安全法》實施后仍存在空白，而數(shù)據(jù)合規(guī)的相關(guān)立法與規(guī)定，在補充、延伸《網(wǎng)絡(luò)安全法》適用領(lǐng)域上起到橋梁作用。

2.數(shù)據(jù)合規(guī)在數(shù)據(jù)跨境上是網(wǎng)絡(luò)安全范疇的延伸。

《網(wǎng)絡(luò)安全法》第三十七條明確提出對境外數(shù)據(jù)儲存、向境外提供數(shù)據(jù)的要求，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。然而，在《網(wǎng)絡(luò)安全法》生效后，此類審查、評估規(guī)定長期處于缺位狀態(tài)，《網(wǎng)絡(luò)安全法》對于此類審查、評估的原則、方法、程序也存在較多不明確之處。該問題直至《個人信息保護法》通過后才有所轉(zhuǎn)變。