论数据安全的客体

数据安全与网络安全以及个人信息保护等法律制度相互关联，数据与信息、安全与保护等法律概念相互杂糅，导致数据安全客体范围不清晰。从数据的价值实现、数据安全的独立性、数据安全保护机制及数据利用方式等四个维度，可以辨析出数据安全客体应当是：动态开发利用中的数据、电子记录方式的数据、“风险—控制”社会安全管理意义上的数据、适用算法处理的集合性数据。在有关数据安全的立法、执法和司法活动中，应清晰辨别数据安全的客体，才能将数据安全制度落到实处，促进数字经济健康发展。     

论数据出境评估、合同与认证规则的体系化

《数据出境安全评估办法》的施行与《个人信息出境标准合同规定(征求意见稿)》的公布意味着我国数据出境安全制度初步形成。不过，这种制度仍然存在体系程度不足的现实问题：一是内在体系层面的部分制度内容交叉；二是外在体系层面的制度关联性不足；三是现有体系架构有待上位法依据支撑。数据出境安全规则具有鲜明的实践特征，仅以信息自主权等理论难以解释制度实施层面的现实问题，因而有必要按照“识别、评估、缓解、预防”的数据安全风险管理逻辑，将数据出境风险划分为国家安全风险、违约责任风险、技术安全风险、其他未知风险四类，并按照风险水平采用“安全评估单列，其他制度互补”的体系架构解决对应的数据出境安全风险。     

《司法鉴定法》的立法价值与建构逻辑

健全统一司法鉴定管理体制是实现国家司法鉴定治理体系和治理能力现代化的重要举措。我国司法鉴定管理体制存在的理念片面化、体系复杂化、法律碎片化等问题，亟需一部综合性的国家层面法律予以消解和纾困。我国制定《司法鉴定法》已经具备了必要性、可行性与正当性。《司法鉴定法》通过整合和协调从而实现法律的秩序价值，通过衡量和补偿从而实现法律的正义价值。在立法模式的选择上，《司法鉴定法》应当采取“单一制+分层型”的立法模式。在具体制度构建上，《司法鉴定法》应当通过构建“管理+程序+审查+责任”的四组制度体系完成对我国司法制度的嵌入。     

从保密到安全:数据销毁义务的理论逻辑与制度建构

我国现行立法规定了自然人有请求信息处理者删除个人信息的权利,但这并不等于承认数据生命周期的最后环节是“删除”,因为“删除权”是“信息处理的合法性与必要性基础丧失”的必然结果,而“数据销毁”才是“数据归于消灭”的处理流程末端。数据销毁义务的理论基础在于信息保密方式的扩张,即从维持信息保密状态转向维持数据安全风险的可控性。在数据安全风险评估过程中,倘若义务主体无法保障暂时不使用的重要数据和个人信息处于安全状态,则应当采取适当的数据销毁范式降低数据泄露或非法复原的安全风险。在未来立法活动中,我国应当明确数据销毁义务的义务主体、销毁方式和销毁范围等具体制度内容,完成数据安全立法的“最后闭环”。     

我国能源数据安全法律规制研究

随着大数据技术的发展，能源数据规模及数据运用能力逐步成为我国能源运行体系的重要组成部分，对数据的占有、控制、共享与开发成为制定“碳中和”等能源政策的重要基础。建立能源数据安全法律制度有利于保护国家能源体系的安全，助力“碳中和”目标的实现，规范能源数据的合理使用。在分类分级原则指导下，根据能源数据特点，建立能源数据管理秩序，依据自决权限制理论扫清内部安全管控的私权障碍，在公共利益信托理论的支持下强化外部安全监管力度。在内外理论的指导下构建包括能源数据分类分级、内部数据安全管控和外部数据安全监管的法律制度。     

论数据犯罪的立法重塑

当前《刑法》所规定的数据犯罪主要源于前数字经济时代，所保护的数据类型及对侵害行为的规制皆无法适应数字经济时代的发展需要，对既有规范的刑法解释亦无法实现对数据法益的妥善保护，立法断层与司法瓶颈并存。数据分类分级保护制度为刑法介入数据保护划定了合理界限，值得刑法保护的数据应被限定为《数据安全法》等前置法所特别保护的重要数据，一般数据不宜过早地被纳入刑法保护范畴。承载私法益的个人数据和企业数据能够通过《刑法》所确立的关联犯罪得到妥善保护，没有必要通过增设新罪予以重复保护。基于对数据犯罪立法的体系性考察，建议增设非法处理重要数据罪，以衔接《数据安全法》等，弥补对关乎国家安全、公共利益的重要数据的保护空隙，同时对侵犯公民个人信息罪进行必要的立法扩容，以回应实现全流程规制非法处理个人信息数据行为的实践期待。     

法治快报

我国启动消费品安全法立法研究 在“中国消费品质量安全论坛”上，国家质检总局副局长张沁荣表示，目前国家质检总局已建立起产品质量安全风险监测体系和风险预警、风险提示制度，同时《消费品安全法》立法研究已经启动。     

企业合规"待办清单"

《数据安全法》被视为我国网络空间与信息安全治理的三部基础性法律之一.其着力于从保障数字经济发展角度,强调数据安全与经济发展的辩证关系,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展.企业应明确《数据安全法》下的合规应对措施,梳理出一张"待办清单",以尽快落实合规措施,加强数据安全管理.     

享受美好数字生活,数据“安全锁”必不可少

随着数字经济的加速发展,加强数据治理、保护数据安全,为数字经济持续健康发展筑牢安全屏障,成为时代发展的客观需要近年来,中国网络空间的法治化建设按下了“加速键”。《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》陆续施行,《网络数据安全管理条例(征求意见稿)》向社会公开征求意见,与数据治理、数据安全相关的法律法规体系得到进一步完善。     

数字经济时代我国数据犯罪刑法规制的挑战与应对

数字经济时代我国数据犯罪的新趋势体现为大型场景下对企业公开数据的批量抓取、使用，由于当前我国缺乏成熟有效的数据访问规则，加之大数据反垄断的公共政策需求，使得我国数据犯罪的刑法规制面临新挑战。对此，应从数据犯罪保护法益着手，摒弃传统“计算机信息系统安全”法益，重视“数据利用安全”法益（可控性）对传统“数据安全”法益（数据保密性、完整性、可用性，CIA）的补强意义，确立以“消极防御+积极利用”为核心的全新“数据安全”法益。未来我国数据犯罪的刑法规制应建构“以权限为中心”的数据访问规则，并适时增加反垄断的公共政策考量，将获取企业公开数据的行为出罪化，以适应数字经济的发展需求。     

中国对外贸易国家安全制度重构

《对外贸易法》在我国对外贸易中具有防范国家安全威胁和维护国家安全的重要作用。然而,反观美国《1962年贸易拓展法》以及《关税及贸易总协定》《服务贸易总协定》和近期生效实施的部分区域自由贸易协定有关国家安全制度的立法模式,我国《对外贸易法》相关条款的“两分法”模式存在明显不足。根据“总体国家安全观”,我国有必要制定具有“时代性”特点的对外贸易国家安全制度。     

网络数据安全犯罪规范体系的重构

我国“秩序本位”的数据安全犯罪体系过于偏向“计算机信息系统安全的管理秩序”,导致网络数据安全犯罪规范体系保护的法益不完整,需要对此进行逻辑反思。在大数据时代,网络数据安全由数据内容价值安全、数据工具价值安全和数据本身价值安全构成。网络数据安全犯罪规范体系保护的是由上述数据价值安全构成的法益群,即网络数据价值安全法益。故,在大数据时代建构起的网络数据安全犯罪规范体系要以网络数据“价值本位”为核心,除使犯罪对象与保护法益之间建立起天然契合之外,还可以完善网络数据安全犯罪规范体系立法的不足之处,从而解决司法实践中的争议问题。     

数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》

数据跨境流动需要在法理层面反思。从理论与实践出发，可以提炼数据无国界、数据主权、数据自由贸易、数据人权保护四种基础法理。这些法理存在部分合理性，但也存在重大困境。作为替代，应将数据安全主权作为数据跨境流动的法理基础。数据安全主权秉持安全不可分割与人类命运共同体原则，既平等回应各国对数据安全的合理关切，又反对单边主义与霸权主义，可以成为国际数据跨境流动的重叠共识。我国的《数据出境安全评估办法》等数据出境制度整体上与数据安全主权的法理高度吻合。但在风险认知上，需要采取合理、开放、动态的安全观。在具体法律工具上，需要针对个人信息、重要数据与关键信息基础设施采纳不同的风险评估方式。     

论数据安全保护义务

数据安全保护义务贯穿于数据产权、数据要素流通和交易等基本制度，对于保护民事主体的合法权益，维护国家安全，促进数字经济的发展，至关重要。我国数据安全义务的规范体系由数据安全、网络安全与个人信息保护三个方面的法律组成，存在相应的适用顺序。当事人也可以约定数据安全保护义务。任何实施数据处理活动的组织或个人都是数据处理者，负有数据安全保护义务。数据处理者应当根据数据安全风险确定所采取的相应的技术措施和其他必要措施，重要数据的处理者还负有两项特殊的义务。数据处理者违反数据安全保护义务，导致数据被第三人取得进而被非法利用，造成他人损害的，直接侵权人应当承担全部的赔偿责任，而数据处理者应承担与其过错、原因力相应的赔偿责任。     

数据生产论下的平台数据安全保障义务

《数据安全法(草案)》构建了平台数据安全保障义务框架,包含着数据安全制度、个人信息权利保护与监管配合义务三个维度。传统的民事侵权责任理论已经无力解释平台的数据安全保障义务的庞杂体系与多样化内容。应从数据社会生产的角度分析,平台已经成为了数据生产要素提取加工者、数字经济基础设施、数字经济多边市场。根据霍菲尔德的"特权-无权力"框架分析,平台的数据安全保障义务的扩张,实际上是数字经济社会生产中膨胀的平台权力的纠偏机制。合理的平台数据安全保障义务应以数字生产论为基础,合理设置平台对数字产品的质量责任与安全生产义务,划定平台数据安全保障义务的边界,促进数字经济发展。     

“三权分置”释放数据要素新价值

<正>数据作为新型生产要素,已成为数字经济深化发展的核心引擎。数据基础制度建设事关国家发展和安全大局,国家层面政策措施正在加快扎实落地。2022年12月19日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理四个方面,初步搭建我国数据基础制度体系,提出二十条政策举措（下称“数据二十条”）,旨在让高质量数据要素“活起来、动起来、用起来”。     

数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失.在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确.在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定"知道或应当知道"、"采取必要措施"以及"违反安全保障(数据安全保护)义务"的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任.     

网络安全法及其与相关立法的衔接——我国《网络安全法(草案)》介评

随着网络安全形势日益严峻,制定网络安全法已成为一种趋势。我国《网络安全法(草案)》的发布,为我国网络安全立法带来了契机。《网络安全法(草案)》的主要内容包括网络空间主权、网络安全战略、网络运行安全制度、网络信息安全制度、网络安全监测预警与应急处置制度等。为了实现未来《网络安全法》主要制度与相关立法文件的衔接,需要权衡以...     

个人数据跨境流动规制中的“长臂管辖”及我国的对策

数据是数字化时代关键的国家战略资源,数据安全是国家安全与发展的核心利益所在。在大数据背景下,欧盟出台了旨在保护个人数据的《通用数据保护条例》,美国出台了旨在数据自由的《澄清域外合法使用数据法》,上述规则中的“长臂管辖”条款在全球颇具特色且备受争议。欧美个人信息跨境流动规制中的“长臂管辖”对我国的国家安全、商业利益保护和个人隐私保护构成了重大挑战。中国必须秉持主权平等与自主发展原则和合作与共治原则,以坚定个人数据跨国流通的安全性为前提,健全相应法规保障制度,并出台个人数据跨国流通行业自律标准指南,积极参与个人数据跨国流通的全球规范制订。     

健全统一司法鉴定管理体制之协同化建设路径——兼与单一立法路径说商榷

通过对我国司法鉴定规范的相对供给不足与立法模式分歧的研究，基于对《司法鉴定法》立法必要性、合理性和可行性的分析和质疑，论证了从法律规范、司法解释、部门规章和司法鉴定标准四个层面推进健全统一司法鉴定管理体制的协同化建设路径，即通过四个层面之间的协同作用产生合力，共同推进这一目标的实现。司法鉴定规范四个层面的区别有相对性，不同层面的规范可能具有同样的功能。鉴于我国司法鉴定实践中的许多问题均源于司法鉴定管理体制“顶层设计”方面的薄弱，未来应该加强司法鉴定基本原则与司法鉴定评价标准建设，并将其贯彻于现行司法鉴定技术标准之中，这是完善我国司法鉴定制度的一条捷径。