ISC战略up主吴沈括：从合规到战略风控的数据安全治理——围绕《数据安全法（草案）》的展开

作者|吴沈括 北京师范大学网络法治国际中心执行主任，中国互联网协会研究中心秘书长

       数字化加速转型，国际格局多变，网络空间治理重要性进一步凸显。新冠疫情背景下，大国战略博弈出现显著区别。同时，数字技术的大规模应用引起了人们对于数据安全、个人隐私保护的新一轮关注。在ISC 2020互联网安全大会战略日网络空间战略与治理论坛中，六位专家对趋势战略、发展变革进行了主题分享

       ISC 战略up主系列栏目，直击专家演讲全文内容，精彩观点巨量放送

       今日解读，ISC战略日up主吴沈括：从合规到战略风控的数据安全治理——围绕《数据安全法（草案）》的展开

以下是专家分享全文内容：

《数据安全法（草案）》出台的国际国内背景

       《数据安全法（草案）》的出台有着非常复杂的国际背景，尤其是在数字化博弈的全球浪潮下，一系列的新态势、新动向开始显现。

       数字经济的跨国发展竞争与数据资源的国际争夺日趋激烈，针对数据安全的治理力度，在全球范围内也有一个持续走强的过程。尤其在今年的上半年，日本、韩国、印度、新加坡、南非等地区的新一代数据立法，体现了数据安全的规则博弈在全球范围内不断升级。

       除了日益复杂的国际环境，《数据安全法（草案）》的出台也有着深刻的国内背景。当下国内数字化转型有着全面提速的新的趋势，数字化转型已经成为国家各项政策战略和大政方针的核心组成部分。在数字经济领域，数字安全的问题、数据安全的问题正在不断地取得新的权重。在数字政府的建设当中，数据安全的权重和意义也在不断地更新和提升。

        数据活动的爆炸式发展，深度重塑了当下的经济发展、社会治理和人民生活。在这期间，数据安全也成为涉及国家安全与13pt社会发展的重大问题。基于这样的背景，《数据安全法》在起草过程中，凸显了立法者所考虑的思想因素。

        第一，数据作为国家基础性战略资源，事关国家主权、安全和发展利益，而且事关国家话语权；第二，数据活动的全方位融合，拓展以及复杂的数据处理结构，在培育新机遇的同时也伴生了更高的安全风险；第三，以创新为主要引领和支撑的数字经济需要完善的数据安全治理体系予以保障；第四，数字政府或电子政务的升级也亟待政务数据安全管理制度和开放利用规则的全面和支撑。

       这些考虑因素在很大程度上有助于我们来更好更全面地理解《数据安全法（草案）》本身的制度设计以及制度逻辑。

《数据安全法（草案）》蕴含的数据安全逻辑

        首先，从内容设计来看，《数据安全法（草案）》着眼于国家利益的数据管理要求。从立法定位上来说，可以认为《数据安全法》是一部国家安全法之下，网络安全法之上的法案。在其立法指向当中，强调安全是国家利益，发展也是国家利益，安全和发展是一种同举并重的关系。

       其次，立法者要求全面的安全生态建设。核心思想是数据要素的安全保障与流动利用的动态协调。要以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。一言而蔽之，就是以发展促安全，以安全保发展。

       另外，《数据安全法（草案）》强调的是有限度的数据安全全球管辖机制。对于境内主体，草案主要坚持属地原则；对于境外主体，草案秉持的是一种有限度的、相对的保护主义原则。

       最后，数据安全不等于个人信息保护。数据安全的理念事实上是超越了个人信息保护的理念。该草案所指向的数据安全要求覆盖了个人数据和非个人数据，其条文内容对标的是当下世界各国个人数据法以外与数据安全相关立法五层次内容，是非常丰富的立法设计。

 《数据安全法（草案）》设计的保障责任机制

       《数据安全法（草案）》设计了双重权利保障框架。第一是对国家机关的权利保障；相关条款涉及到国家与国家工作人员依法行政，依法执法的过程；第二是面对市场环境的权利保障，主要指向三类主体：数据交易中介机构、无照经营者和一般主体。这样的制度设计，为企业面对国家机关，为企业面对产业生态提供了双层的保护屏障。

 《数据安全法（草案）》喻示的合规风控体系

      《数据安全法（草案）》所喻示的合规风控体系为我们应对复杂的国内国际环境提供一系列方法论的指引，具体分为三方面：

       1、外部工具的利用，即国家社会的支持。

       2、内部机制的建设，包括法律合规体系的设计。

       3、面对国际市场的策略，尤其是战略风控思维的形成。

       从外部工具利用的角度来讲，《数据安全法（草案）》本身引入了国家、社会层面的支持。该草案第三章当中明确了国家层面与数据安全有关的五个重要制度，具体包括：数据分级分类制度、数据安全风险管理制度和数据安全应急救助制度、数据安全审查制度、管制物下数据出口管制制度和数据安全国际对等制度。这些制度构成了企业进行合规风控的主要外部支撑。

        从内部机制建设角度来看，在建立与数据安全相关的法律、合规体系过程中，企业应当注意两个问题。一是在体系设计上，要注重技术、组织管理、内容价值层面的三层次安全；二是应当建立面对国内外执法机构的数据协助、配合、报告与批准机制以及数据安全教育培训等。

       以上问题的出现决定了我们需要转变安全思维：

1、合法设计、伦理设计、安全设计应当是未来数据安全治理理念的核心之组成部分；

2、企业应当在风控策略设定当中有双维度的预案，一方面避免自身受到法律处罚，另一方面积极运用法律来惩治其他主体的不法行为；

3、在核心权益维护层面，要强调法律工具的体系化综合运用，充分利用法律所赋予的正当化机制；

4、在关键风险管控层面，各个产业应当建设有效的责任阻断机制，包括定岗定责、定岗定人等等，通过各种方式来实现责任的阻断。

        面对国际市场，需要有更为全面的战略风控思维。从目前一系列中国企业出海的过程来看，数据安全将会是中国进入海外市场的一个非常重要且显著的门槛。在这样的情况之下，有三方面的要求值得注意：

        第一，积极营造共生型的社群生态。一方面为了增进产业融合，海外运营团队本身应当具有充分的全球化科技公司背景，有能力及时感知和迅速应对海外市场生态的多样关切，遵循共存共赢的差异化商业决策逻辑，最大限度争取海外友商的利益共生；另一方面，为了增进社区融合，需要准确、分类识别用户以及毗邻受众的文化和价值观特性，最大限度地实现文化种群融合。

        第二，持续优化企业供应链安全。面对国际市场，一方面企业应当立足现代化的全球供应链理念，要明确界定企业自身的全球供应链定位，主动对接国际标准，通过国际主流的标准机制、认证机制，建立与国际市场和海外用户的长期信任；另一方面，在推动改善国内商业生态治理与监管司法环境的同时，有必要结合企业自身业务范围与阶段性需求，积极参与各类国际倡议，各类国际议程，通过具体的公司合作最佳实践案例，塑造企业在全球供应链当中的品牌形象。

       第三，扩大配置国家安全绝缘层。这一方面需要跟踪研判海外的政策战略，法律规范和其他规则的体系联动和演变态势，提前部署和定期更新风险等级评估，具备涵盖风险定级、合规要求以及管控预案的核心要素的风险处置指引。另一方面，要着重研判重点国家地区特殊的穿透式监管模式，结合既往执法案例，针对性建立和更新海外业务相对于母公司的防火层结构，尤其是最大限度地实现业务数据，设施架构，组织人事以及企业决策等关键环节的隔离安排。