法治日报全媒体记者 余东明 见习记者 张海燕

在《中华人民共和国反间谍法》颁布实施七周年之际，一场“数据安全法与国家安全治理前沿问题”学术研讨会在上海顺利进行。该会议由上海市国家安全法研究中心主办，华东政法大学承办，来自政府、高校、律所、企业等各界专家学者共聚一堂，聚焦如何完善我国数据治理体系，有效维护各领域国家安全。

上海市国家安全法研究中心主任、华东政法大学马克思主义学院院长、教授赵庆寺主持会议，研讨会共分四个单元，分别围绕全球数据安全治理和数字贸易现状、数据保护的国内外法治实践、跨境数据流动的监管规则、非法买卖数据的刑事责任及企业数据合规管理的路径探索等。

全球治理呼吁数据安全

在第一单元，上海国际问题研究院网络空间国际治理研究中心秘书长、研究员鲁传颖指出，当前全球数字化贸易主要面临网络安全问题和引资问题，其中数据和数据安全保护对数字化贸易带来极为重要的影响。为此，他建议出台更多配套的监管措施，包括一些技术标准、第三方组织等，促进数字贸易发展。

大连理工大学东北亚国际发展和合作研究中心主任倪建平教授认为，首先，我国可以围绕数据安全的共同政策，来进一步加强数据安全的治理合作；其次，数据治理目标要兼顾其他国家具体实践；最后，可以通过利用大数据抗击疫情进一步加强区域合作。

华东政法大学中国法治战略研究中心阙天舒教授指明当前全球数据安全治理主要面临“多元数据主体利益诉求差异化”“数据安全治理碎片化”“数据霸权主义”等困境。近年来我国高度重视数据安全治理工作，但依然存在立法体系不够完善、科技创新制度不够、国际合作不足等问题，需要坚持数据安全活动与发展并重，加强数据安全研究以及数据标准制定方式，进一步夯实参与全球数据治理。

数据流通亟待必要监管

今年9月1日，《中华人民共和国数据安全法》正式实施，就在研讨会召开当日，《中华人民共和国个人信息保护法》也正式实施，我国数据安全领域立法逐渐趋于完善。与会专家就数据安全法的定位及其核心、数据分类分级保护、数据权利与监管审查等方面展开探讨。

华东政法大学数据法治研究院副院长、副研究员韩旭至指出，我国已经形成了电子商务法、网络安全法、数据安全法、个人信息保护法为网络的四法结构，加上各类部门规章、行业标准国家标准，共同组成了具有中国特色的网络法律结构。他认为，数据安全法对数据这个词进行了界定，明显区分数据信息，并强调个人信息自由流动，但同时也需要对数据进行严格的分类分级，尤其是政务信息在共享开放中应该注意建立负面清单。

就数据的分类分级保护，复星医药数据安全总监吴元也结合企业实际进行分析。在他看来，数据安全法明确了数据管理者和运营者的数据保护责任，指明了数据保护的工作方向，对整个信息安全产业带来了很积极的影响。有鉴于此，复星医药一直加强数据安全监管与管理，包括评估防护建设和审查制度，审查对象涉及数据搜集、使用、加工、传输、公开等各个环节。同时，为应对数据安全突发事件，企业提前设立应急预案，定期对数据备份存储，做好安全防范。

北京安杰（上海）律师事务所合伙人律师张海晓则从国际比较视野分析各国如何进行数据确权和监管审查。她提出，数据正是在流通中产生价值，同时也要做到合法交易，即合理规制数据的收集、处理、传输、使用，并根据不同主体、使用对象、使用范围，设置不同的审查机制。

上海社科院法学所博士张亮就如何实现数据监管与应用价值的最大化提出了现实路径。他认为，当前我国一些经济特区制定的法规，明确规定了数据使用的职责和权限，并初步设置个人数据保护权益配制和体系建设，公共数据管理和开发等核心问题，可与国际上很多地区和国家的数据权规接轨。

跨境数据做好“风险消磁”

由于疫情以及全球经贸关系的变化，数字贸易越来越成为推动全球经济复苏的重要引擎，而数据跨境流动也成为国内各自贸区竞相争夺的重要功能，与此同时，数据安全保障问题越发突显。

对此，上海交通大学中国城市治理研究院、国际与公共事务学院副研究员熊竞认为，做好数据跨境流动安全监管问题的核心是要能找到一条既可为企业提供便利高效数据跨境流动服务，又能避免危害国家安全和侵害合法利益事件发生的路径，最终实现数据的跨境安全、自由流动。具体而言，在推进路径上，一方面需要应用好区块链、5G、人工智能等技术的力量以及建好数据专用通道等新基建，另一方面则需要在数据分类分级标准细化、诚信监管机制创新、“放管服”改革等制度层面进行探索。

对于跨境数据流通的法律规制，《中国（上海）自由贸易试验区临港新片区管理办法》（以下简称《办法》）亦有相关条例说明。华东政法大学“互联网+法律”大数据平台副主任王勇教授分析认为，这是首次在地方政府规章中对数据跨境流通进行专门规定，体现了上海市政府对于数据跨境流动法律规制的重视。同时，《办法》还应当逐步增加“硬法”规范、逐步实施数据跨境流通分类评估制度、完善数据分类分级管理制度、逐步建立跨境数据流动的法律规则责任制度。

值得注意的是，随着数据的存储、使用日益突破属地性，如何应对境外国家滥用国家安全执法权力、行政执法权力危害我国数据安全、经济安全和国家安全，成为我国数据保护领域的重要议题。

对此，华东政法大学国际法学院副教授郭华春认为，如何理解个人信息保护法关于跨境执法获取数据的“批准”要求？如何提升跨境执法获取数据领域的程序法治保障，推动、引领跨境执法获取数据领域的国际法治？这些问题对于完善跨境执法获取数据制度、提升跨境执法能力，保障中国公法域外适用，维护数据安全、经济安全和国家安全具有重要意义。 

上海国际问题研究院苏刘强博士结合美国外交中的数据安全政策提出，我国在执法层面可以将国家立法和行业立法相结合，既有统一的数据安全立法来规定一般性的原则，也有行业立法或者法规去监管。同时明确执法主体责任，加强执法机构能力建设，让行政民事案件归行业执法机构管辖，刑事案件归司法机关管辖。

企业数据合规不容忽视

随着互联网的高速发展，众多互联网企业掌握大量公民个人信息及相关数据，在使用过程中，如何坚持维护数据安全与企业发展并重，同样是当下需要关注的焦点。

上海靖予霖律师事务所副主任孙宇认为，互联网企业数据合规方案，应遵循我国现有网络数据安全监管规范体系，针对评估范围内的业务开展全面评估，优化企业数据安全内部监管制度和业务流程，对产品及上下游客户进行分类分级，引导企业开展合法合规的数据服务，提升企业数据安全保护能力。

思源电气法务陈慧博从一名合规法务人员的角度出发，提出企业法务部门应当与IT部门紧密联合起来，既要去理解法律及监管要求，也要去了解IT部门是如何运作，去保证企业的数据在流动过程中更加高效合规。同时建议企业也要进一步加强内部的数据合规体系建设，包括技术层面进行数据安全评估与储备机制，并将数据分类分级，完善面对国内外执法司法机关的协助配合报告以及批准的机制。

中伦文德律师事务所律师赵嘉炜结合多年来业务实践，提出以前服务外企时，常常面临企业数据监管部门职责不清，监管衔接不畅通等问题，对此他建议刑法上应进一步完善与跟进对非法买卖数据的规制，特别是当数据的买卖涉及国家安全以及交易主体时，刑法需要进一步完善相关规范并保证其落到实地。当前应该首先明确监管范围和职责，划清负面清单和审查范围。 

华东政法大学发展规划处处长、中国法治战略研究中心主任李翔教授认为，对于非法买卖数据这样的行为，我们在刑法上需要进一步完善与跟进，从而实现对国家安全的保护。