第一章 網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)概述

第一節(jié) 數(shù)據(jù)的概念

一、什么是數(shù)據(jù)

（一）我國(guó)法律中對(duì)“數(shù)據(jù)”的規(guī)定

《民法典》總則編中，使用了“數(shù)據(jù)”一詞，但并未對(duì)數(shù)據(jù)的定義及法律屬性進(jìn)行解釋。《民法典》第一百二十七條規(guī)定：“法律對(duì)數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定?！?/p>

《刑法》中也提到了“數(shù)據(jù)”一詞，如“破壞計(jì)算機(jī)系統(tǒng)罪”中保護(hù)對(duì)象為“計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)”，后續(xù)的《刑法修正案（七）》中也對(duì)上述罪行的適用對(duì)象進(jìn)行了擴(kuò)充，但是并未對(duì)“數(shù)據(jù)”一詞進(jìn)行法律解釋。

《網(wǎng)絡(luò)安全法》中對(duì)“網(wǎng)絡(luò)數(shù)據(jù)”作出了定義?！毒W(wǎng)絡(luò)安全法》第七十六條規(guī)定：“……（四）網(wǎng)絡(luò)數(shù)據(jù)，是指通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。”

最終在《數(shù)據(jù)安全法》第三條中對(duì)數(shù)據(jù)作出了規(guī)定：“本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。”

《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例（征求意見稿）》^[1]第四條對(duì)數(shù)據(jù)也作出了不一樣的定義：“數(shù)據(jù)是關(guān)于客體（如事實(shí)、事件、事物、過程或思想）的描述和歸納，是可以通過自動(dòng)化等手段處理或再解釋的素材?！钡渡钲诮?jīng)濟(jì)特區(qū)數(shù)據(jù)條例》最終通過日期為2021年7月6日，為了保持與上位法《數(shù)據(jù)安全法》（2021年6月10日通過）的一致，在正式條例中，關(guān)于數(shù)據(jù)的定義，已與《數(shù)據(jù)安全法》關(guān)于數(shù)據(jù)的定義一致。

（二）數(shù)據(jù)的分類

數(shù)據(jù)可以從不同的角度進(jìn)行分類，從主體劃分大致可以分為個(gè)人數(shù)據(jù)、企業(yè)數(shù)據(jù)、公共數(shù)據(jù)。

1.個(gè)人數(shù)據(jù)：個(gè)人數(shù)據(jù)的判斷標(biāo)準(zhǔn)，包括可識(shí)別性和關(guān)聯(lián)性，即與個(gè)人相關(guān)的，能夠直接或間接識(shí)別個(gè)人的數(shù)據(jù)?！翱勺R(shí)別性”是個(gè)人數(shù)據(jù)的重要屬性。

個(gè)人數(shù)據(jù)在法律實(shí)踐中有多個(gè)提法，如“個(gè)人信息”，多數(shù)國(guó)家將“個(gè)人信息”視為“個(gè)人數(shù)據(jù)”。但是，“個(gè)人信息”和“個(gè)人數(shù)據(jù)”這兩個(gè)概念在根本上還是存在區(qū)別的，一般認(rèn)為個(gè)人數(shù)據(jù)是未經(jīng)過處理的個(gè)人原始記錄。

個(gè)人信息＝個(gè)人數(shù)據(jù)+分析處理，但是由于國(guó)內(nèi)并沒有對(duì)此進(jìn)行特別的區(qū)分，且個(gè)人信息也囊括在個(gè)人數(shù)據(jù)的范圍內(nèi)，所以一般將個(gè)人信息視為個(gè)人數(shù)據(jù)。

但《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第二條對(duì)“個(gè)人數(shù)據(jù)”進(jìn)行了定義，個(gè)人數(shù)據(jù)是指載有可識(shí)別特定自然人信息的數(shù)據(jù)，不包括匿名化處理后的數(shù)據(jù)。

2.企業(yè)數(shù)據(jù)：企業(yè)數(shù)據(jù)泛指所有與企業(yè)經(jīng)營(yíng)相關(guān)的信息、資料，包括公司概況、產(chǎn)品信息、經(jīng)營(yíng)數(shù)據(jù)、研究成果、大數(shù)據(jù)分析報(bào)告等。而企業(yè)數(shù)據(jù)中還可以分為企業(yè)公開數(shù)據(jù)、半公開數(shù)據(jù)與非公開數(shù)據(jù)。商業(yè)秘密是典型的企業(yè)非公開數(shù)據(jù)。

3.公共數(shù)據(jù)：公共數(shù)據(jù)主要是指政府在行政執(zhí)法過程中產(chǎn)生的信息。公共數(shù)據(jù)對(duì)于企業(yè)和個(gè)人的生產(chǎn)、經(jīng)營(yíng)、履約有一定的影響，也涉及公眾和他人的利益。因此，對(duì)于公共數(shù)據(jù)應(yīng)該加大公開的力度，通過以社會(huì)公眾周知的方式讓其直接獲取相關(guān)公眾數(shù)據(jù)，減少社會(huì)搜尋信息的成本。

可參考的是《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第二條對(duì)“公共數(shù)據(jù)”進(jìn)行了定義，公共數(shù)據(jù)是指公共管理和服務(wù)機(jī)構(gòu)在依法履行公共管理職責(zé)或者提供公共服務(wù)過程中產(chǎn)生、處理的數(shù)據(jù)。

（三）國(guó)外定義

歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）中的數(shù)據(jù)定義：在GDPR第一章第四條的定義中，數(shù)據(jù)主要被限定為“個(gè)人數(shù)據(jù)”，是指一個(gè)被識(shí)別或可識(shí)別的自然人（數(shù)據(jù)主體）的任何信息。一個(gè)可識(shí)別的自然人，是指通過姓名、身份證件號(hào)碼、位置數(shù)據(jù)、在線身份識(shí)別碼這類標(biāo)識(shí)，或通過針對(duì)該自然人的一個(gè)或多個(gè)身體、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份等要素，能夠直接或間接地被識(shí)別。

二、個(gè)人信息、個(gè)人數(shù)據(jù)、個(gè)人隱私的區(qū)別

目前尚未有法規(guī)單獨(dú)就“個(gè)人信息、個(gè)人數(shù)據(jù)、個(gè)人隱私”三者關(guān)系進(jìn)行梳理，但可從立法的動(dòng)態(tài)中看出認(rèn)識(shí)也是動(dòng)態(tài)的。

（一）關(guān)于“個(gè)人信息”

《刑法》第二百五十三條提到了“公民個(gè)人信息”，但未進(jìn)一步進(jìn)行解釋。

《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》明確規(guī)定了“公民個(gè)人信息”，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

2021年8月20日《個(gè)人信息保護(hù)法》正式通過，并于2021年11月1日正式實(shí)施。根據(jù)《個(gè)人信息保護(hù)法》第四條規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息。

（二）關(guān)于“個(gè)人數(shù)據(jù)”

法律層面基本沒有直接解釋“個(gè)人數(shù)據(jù)”的法律。在實(shí)務(wù)理解中，基本上把“個(gè)人數(shù)據(jù)”等同于“個(gè)人信息”使用。

（三）關(guān)于“個(gè)人隱私”

我國(guó)《民法典》第四編人格權(quán)第六章“隱私權(quán)和個(gè)人信息保護(hù)”中，已明確規(guī)定自然人享有隱私權(quán)。任何組織或者個(gè)人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。

三、網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)關(guān)系

（一）網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)是相互關(guān)聯(lián)又相對(duì)獨(dú)立的一個(gè)整體

《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》都屬于國(guó)家安全法律體系，就目前所了解到的內(nèi)容來(lái)看，《網(wǎng)絡(luò)安全法》第八條規(guī)定國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。而《數(shù)據(jù)安全法》第五條規(guī)定中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)國(guó)家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國(guó)家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國(guó)家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制。

網(wǎng)絡(luò)安全這一領(lǐng)域已經(jīng)有《網(wǎng)絡(luò)安全法》作為基本法，目前已出臺(tái)不少相應(yīng)配套司法解釋以及法規(guī)，其中不少還是征求意見稿。數(shù)據(jù)合規(guī)這一領(lǐng)域目前只有《數(shù)據(jù)安全法》，以及剛出臺(tái)的《個(gè)人信息保護(hù)法》，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)也密集出臺(tái)了網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域的相關(guān)文件，如《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個(gè)人信息自評(píng)估指南》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》《網(wǎng)絡(luò)安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——人工智能倫理安全風(fēng)險(xiǎn)防范指引》等。

（二）網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)相互依存不可或缺

沒有數(shù)據(jù)的網(wǎng)絡(luò)，只能叫信息基礎(chǔ)設(shè)施，沒有網(wǎng)絡(luò)的數(shù)據(jù)，也根本無(wú)法流轉(zhuǎn)。

正是由于上述認(rèn)識(shí)，在《數(shù)據(jù)安全法》還沒有通過實(shí)施的情況下，在實(shí)務(wù)中都直接把兩者串聯(lián)起來(lái)：“網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)?！蓖瑫r(shí)按上海交大壽步教授的觀點(diǎn)，數(shù)據(jù)亦可分為網(wǎng)絡(luò)數(shù)據(jù)和非網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)安全是網(wǎng)絡(luò)安全的子集。也一定程度上代表兩部法律的關(guān)系是有交集的。^[2]

（三）數(shù)據(jù)合規(guī)一定程度上是網(wǎng)絡(luò)安全的延伸

1.數(shù)據(jù)合規(guī)在實(shí)名制上是網(wǎng)絡(luò)安全范疇的延伸。

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)服務(wù)提供者應(yīng)對(duì)其客戶進(jìn)行實(shí)名制管理。盡管目前我國(guó)網(wǎng)絡(luò)實(shí)名制工作已經(jīng)基本完善，但相關(guān)配套措施與落實(shí)細(xì)節(jié)內(nèi)容在《網(wǎng)絡(luò)安全法》實(shí)施后仍存在空白，而數(shù)據(jù)合規(guī)的相關(guān)立法與規(guī)定，在補(bǔ)充、延伸《網(wǎng)絡(luò)安全法》適用領(lǐng)域上起到橋梁作用。

2.數(shù)據(jù)合規(guī)在數(shù)據(jù)跨境上是網(wǎng)絡(luò)安全范疇的延伸。

《網(wǎng)絡(luò)安全法》第三十七條明確提出對(duì)境外數(shù)據(jù)儲(chǔ)存、向境外提供數(shù)據(jù)的要求，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。然而，在《網(wǎng)絡(luò)安全法》生效后，此類審查、評(píng)估規(guī)定長(zhǎng)期處于缺位狀態(tài)，《網(wǎng)絡(luò)安全法》對(duì)于此類審查、評(píng)估的原則、方法、程序也存在較多不明確之處。該問題直至《個(gè)人信息保護(hù)法》通過后才有所轉(zhuǎn)變。