前不久,《中华人民共和国个人信息保护法》在期待中获得通过,这部法律必将有利于维护个人信息权益,规范个人信息活动,促进个人信息的合理应用。在《中华人民共和国个人信息保护法》出台之前,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国国家安全法》从2015年开始陆续出台并实施。这几部法律既不是孤立的,也不是独立的,而是以总体国家安全观为指引,以《中华人民共和国国家安全法》为龙头的一个有机的法律体系。通过《中华人民共和国国家安全法》在内的这四部法律的主要内容和结构,可以看到“安全”、“网络”、“数据”和“个人信息”是这四部法律共同的关键词,它们是一个有机整体。 这四部法律,它们的立法宗旨,都是为了维护国家安全、网络安全、数据安全和保护个人信息权益。它们适用的范围,特别在《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》中引入了域外效力制度,所以立法宗旨非常明确,适用范围也有其自己的一些特点。 在2015年制定的《中华人民共和国国家安全法》中,对网络安全、数据安全和个人信息给予了高度的关注。“网络”一词在国家安全法中出现了11次,最主要出现在第二十五条和第五十九条,甚至我们可以说第25条是国家安全法当中关于网络安全的一个专门条款。换言之,国家安全法为网络安全法的制定奠定法律基础。 在《中华人民共和国网络安全法》中,“网络”这个关键词在这部法律当中一共出现231次。因为数据产生在网络环境当中的,所以“数据”一词在网络安全法当中出现了16次。“信息”作为数据的内容或者数据作为信息的载体,“信息”一词一共出现了105次,其中个人信息出现了20次,均是集中在一个专门的条文中,我们可以把网络安全法当中关于个人信息条文理解为网络安全法对个人信息保护保护的一个专条。在网络安全法中,“安全”这个词出现频率也是非常高,一共出现了177次。 在《中华人民共和国数据安全法》当中,因为网络是数据产生的前提,数据一定离不开网络,所以尽管“网络”一词仅出现了4次,但这并不具有代表性。而“数据”一词出现了160次,这里的数据不再简单是“数据”两个字,因为其涉及到大量数据的分类,并且具有针对性的构建了相应的制度。数据安全法也对信息和个人信息做了一些强化和规定,其中“安全”在数据安全法中出现了91次。 新出台的《中华人民共和国个人信息保护法》强调了个人信息包括电子以及其他载体形式的个人信息,但是在数字化的背景下,毫无疑问电子信息是种类最多的一种个人信息。尽管“网络”这个词在个人信息保护法中仅仅出现了1次,但因为电子信息一定是出现在网络环境中,“网络”是作为一个前置条件和前置的环境出现,所以它出现次数不多。值得注意的是,“数据”一词没有出现在个人信息保护法中,但这并不意味着个人信息保护法和数据安全法没有关系。回到个人信息的定义,个人信息是以电子或其他形式记录的,而电子形式的信息,或者说以电子形式作为载体的个人信息,毫无疑问是要受到数据安全法的调整和规范的。“信息”一词在个人信息保护法一共出现了297次,其中“个人信息”出现了288次。个人信息保护法不仅仅是一部保护个人信息权益,规范个人信息处理活动,促进个人信息利用的一部法律,同时也是一部关于个人信息安全的法律,而“安全”一词在这部法律当中出现了22次。从以上统计和分析可以看出,这四部法律是以总体国家安全观为指引、以《中华人民共和国国家安全法》为龙头的相互协调的、有机的、统一的法律体系整体。 这四部法律当中分别出现了安全、网络、数据和信息,并且对于国家安全、网络安全以及数据安全进行了定义。解析这个定义,特别是《中华人民共和国国家安全法》对国家安全的定义,以及第三条对于国家安全的分类,这些分类对随后出台的这三部法律关系非常大。比如在国家安全法的第三条,国家安全工作应当坚持总体国家安全观,这是一个基本的原则。同时,该条也提到了以人民安全为宗旨,此处的人民安全当然包括个人信息的安全。以政治安全为根本,以经济安全为基础。可以看到,无论是网络安全法、数据安全法,还是个人信息保护法,他们都考虑到政治安全,同时要促进数字经济的发展,保护经济安全,并且以军事安全、文化安全、社会安全为保障,以促进国际安全为依托,同时要维护各个领域的国家安全,来构建国家安全体系,走中国特色国家安全的道路。 根据《中华人民共和国国家安全法》第三条的规定,国家安全分成了七种具体的类型,即人民安全、政治安全、经济安全、军事安全、文化安全、社会安全和国际安全。通过列举的方式,最终落到了维护各个领域的国家安全。也就是说,国家安全的体系包括但不限于这七种具体的类型。在其他领域的安全,有专门的法律做出了相应的规定。就今天论坛讨论的主题——网络安全和数据安全而言,它们都被纳入到了国家安全的体系当中。具体说到《中华人民共和国网络安全法》和《中华人民共和国数据安全法》这两部法,我们必须要对以下两个概念做区分:第一个是网络安全,第二个是数据安全。 网络安全法第七十六条对网络安全进行了定义,数据安全法的第三条也对数据安全做了定义。通过这些定义可以看到,网络安全和数据安全有重叠的地方,但同时也有比较大的差异。这个差异对于网络安全来讲,它不仅仅要考虑到数据的内容,还要考虑到网络设施的一些问题。所以这里的网络安全,包括数据安全,包括但不限于数据安全,除了数据安全之外还包括网络空间的安全和网络设施的安全。 在网络安全法中提到了网络数据的概念,数据安全法里边专门对数据进行定义,这两个定义是有一定差异的。比如网络安全法第七十六条第四项,“网络数据是指通过网络收集、存储、传输、处理产生的各种电子数据”。数据安全法第三条提到“数据是指任何以电子或者其他形式对信息的记录”。所以,这两个条款对于“数据”的定义维度不同,尽管都有“数据”这个词,但同时应该注意到它们的差异。 就“个人信息”方面,网络安全法第七十六条第五项对“个人信息”进行了定义。在个人信息保护法中“个人信息”是这部法律最关键、最核心的一个术语。我们可以看到,它们之间还是有一些差异的。这四部法律对安全、网络、数据、个人信息的定义存在差异性,同时这些定义之间具有相互关系的一致性。只有既关注了到了差异,又看到了一致性,才能够完整的去理解这四部法律之间的关系。无论对于《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》或者《中华人民共和国个人信息保护法》,我们都不能孤立地看单部法律,一定要放在这四部法律的整体环境当中去理解、深化,才能准确的适用它们。 第一,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和新出台的《中华人民共和国个人信息保护法》,这三部法律是陆续出台并实施的,这几部法律均是以总体国家安全观为指引,以《中华人民共和国国家安全法》为龙头,形成的有机法律体系,它们构成了国家安全法体系重要组成部分,并不是孤立的,更不是独立的。 第二,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,目前的立法主要是行为立法,对维护国家安全、网络安全、数据安全和个人信息保护,毫无疑问具有重要的意义。但是从有效的利用数据资源角度,未来需要加大与数据和信息相关的权利立法。权利是行为的起点,行为是权利的边界。因此,如果权利的立法长期滞后、缺位,那么对于行为的管理,行为的监管,甚至包括对于数据和信息有效的利用都会产生一些不利的影响。所以在此我也呼吁,在关于数据、网络和个人信息方面的行为立法以及相对的基本框架搭建完成后,我们应当把立法的重点转到一个权利的立法上来。 第三,在数字化的时代,无论是安全还是发展,我们都需要加快电信法的制定工作,因为电信法是数字时代的一个非常基本的法律。只有加快了电信法的制定工作,才能推动基础电信业务的发展和维护基础电信业务的安全。只有基础电信业务得到进一步的发展,它的安全得到进一步维护,才能够推动支撑整个数字社会、数字经济和数字政府的发展,才能够进一步去保护网络安全、数据安全,进一步保护个人信息。因此,电信法的长期缺位对于网络安全,对于数据安全以及个人信息保护是不利的,所以应当加快电信法的立法进程。 第四,在数字化的时代,无论是企业、事业单位、其他法人组织、社会团体,乃至于自然人,我们的身份、行为及相互之间的社会关系都已经数字化,因此数据治理是一个必须要正视的问题。无论是为了维护网络安全或数据安全、还是保护个人信息,促进网络、数据和个人信息的有效利用,数据行为的监管都显得格外重要。因为数据的监管涉及到了社会治理的方方面面,不仅仅涉及到社会治理,经济发展和政府管理也都会涉及到数据的监管。因此,数据监管是一个跨部门、跨领域的问题,需要尽快的建立数据协同监管的协调机制。我们不希望九龙治水,但是这九条龙必须要团结起来,只有这样才能够建立一个有效的数据协同监管协调机制。只有把数据协同监管的协调机制建立起来,我们才能够更好的实现这几部法所追求的立法目的。当然,数据协同监管的体制建立是前提。在这个体制的前提下,再去完善数据协同监管的协调机制。 第五,需要处理好《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》中网络与数据、数据与信息的关系,数据处理与信息处理的概念和它们之间的关系。这几组概念和关系,不仅仅具有重要的理论意义,而且具有更重要的实践价值。毫无疑问,如果没有重要的实践价值,它的理论意义也会暗淡无光。正因为这几组概念的内涵、外延以及它们相互之间的关系具有非常重要的实践价值和理论意义,所以我们有必要进一步的辨析和厘清。