论数据安全保护义务

数据安全保护义务贯穿于数据产权、数据要素流通和交易等基本制度，对于保护民事主体的合法权益，维护国家安全，促进数字经济的发展，至关重要。我国数据安全义务的规范体系由数据安全、网络安全与个人信息保护三个方面的法律组成，存在相应的适用顺序。当事人也可以约定数据安全保护义务。任何实施数据处理活动的组织或个人都是数据处理者，负有数据安全保护义务。数据处理者应当根据数据安全风险确定所采取的相应的技术措施和其他必要措施，重要数据的处理者还负有两项特殊的义务。数据处理者违反数据安全保护义务，导致数据被第三人取得进而被非法利用，造成他人损害的，直接侵权人应当承担全部的赔偿责任，而数据处理者应承担与其过错、原因力相应的赔偿责任。     

数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》

数据跨境流动需要在法理层面反思。从理论与实践出发，可以提炼数据无国界、数据主权、数据自由贸易、数据人权保护四种基础法理。这些法理存在部分合理性，但也存在重大困境。作为替代，应将数据安全主权作为数据跨境流动的法理基础。数据安全主权秉持安全不可分割与人类命运共同体原则，既平等回应各国对数据安全的合理关切，又反对单边主义与霸权主义，可以成为国际数据跨境流动的重叠共识。我国的《数据出境安全评估办法》等数据出境制度整体上与数据安全主权的法理高度吻合。但在风险认知上，需要采取合理、开放、动态的安全观。在具体法律工具上，需要针对个人信息、重要数据与关键信息基础设施采纳不同的风险评估方式。     

论我国数据安全保护法律制度的完善

《中华人民共和国数据安全法(草案)》第九条明确了国家、企业和个人等参与数据安全协同治理体系构建的重要性.对此,在界定数据安全概念之含义并对其进行分类后,应意识到重要数据和敏感数据之安全应比一般数据安全更需要受到重视.针对数据泄露事件频发使得数据安全受到普遍关注之现象,分析现行数据保护法律制度内容及其不足十分关键.在前述分析论证基础上,结合数据治理主体的多元性等方面,可以在数据安全保护法律制度完善方面做出如下努力:宏观层面,政府应完善政府数据保护法律制度,完善数据安全标准,指导企业构建数据安全体系;微观层面,企业应明确责任并制定系统的数据安全管理制度,而个人应树立对个人信息保护的主动防范意识,提升保护隐私和个人数据维权意识,采取积极有效的数据保护防范措施.     

我国能源数据安全法律规制研究

随着大数据技术的发展，能源数据规模及数据运用能力逐步成为我国能源运行体系的重要组成部分，对数据的占有、控制、共享与开发成为制定“碳中和”等能源政策的重要基础。建立能源数据安全法律制度有利于保护国家能源体系的安全，助力“碳中和”目标的实现，规范能源数据的合理使用。在分类分级原则指导下，根据能源数据特点，建立能源数据管理秩序，依据自决权限制理论扫清内部安全管控的私权障碍，在公共利益信托理论的支持下强化外部安全监管力度。在内外理论的指导下构建包括能源数据分类分级、内部数据安全管控和外部数据安全监管的法律制度。     

刑事司法中的数据安全保护问题研究

刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注.刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管.具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度.     

各国汽车数据安全与法规

<正>目前，汽车的数据安全问题已经受到国内外的广泛关注。在汽车数据化和网络化的前提下，对汽车进行全方位的数据安全检测，提前发现隐患，避免相关风险，已成为汽车信息安全领域的迫切需求。世界各国都非常重视汽车数据安全管理，德国、英国、法国等国家先后发布了相关安全指南。德国：最早探索汽车数据法律保护在世界范围内，德国一直是数据保护方面的“模范生”。德国最早通过明确立法对数据进行严格保护，最先探索了数据法律保护的规则框架。     

通过网络平台专有权实现对企业数据权益的保护

在网络与大数据技术中，将数据直接作为权利客体的数据所有权主张、数据知识产权主张、数据用益权主张和网络用户对数据享有初始所有权的主张，都因为数据的不可感知、不可控制和不可公示等特点而无法实现，应当将数据的载体即应用程序所运行和控制的网络平台作为数据财产权的直接客体。通过网络平台专有权来保护其内部数据，网络平台专有权的权利主体是构建、运营和控制网络平台的网络企业，权利内容包括对网络平台中的数据的控制、使用、收益和处分的权利，权利性质是财产性的支配权。网络平台专有权受到数据中其他法益（主要是公共利益以及数据所含信息中的民事权益）的限制。将网络平台作为数据赋权的直接客体，使得网络安全法、数据安全法和个人信息保护法等相关法律联系在一起，成为具有逻辑性和内在统一性的保护和利用数据的完整法律体系。     

数据携带权的适用困局、纾解之道及本土建构

数据携带权既具有便利个人数据移转、推动数据自由流通与共享、促进数据产业公平竞争与创新的功能，也可能因其适用的复杂性和不确定性而面临着加剧反竞争效应、隐私侵犯与知识产权侵权、互操作性困难等挑战。应当构建集体携带权制度、强化数据携带权的身份验证与数据分层安全保护、加强知识产权保护以及建立DTP解决互操作性等来平衡个人数据安全、平台数据权益与数据市场的竞争秩序。我国构建本土化的数据携带权制度应明确其适用范围与携带场景，多措并举实现数据安全与流通的利益平衡。     

论数据处理者的数据安全保护义务

数据处理者的数字基础设施法律地位、履行财产权社会义务的要求以及数据的公共安全属性决定了数据处理者应承担数据安全保护义务。数据安全保护义务制度构建围绕数据分级保护、数据全生命周期保护、数据处理环境保护三方面展开。数据分级是数据全生命周期保护和数据处理环境风险防控的基础;数据全生命周期保护包括内部环节和外部环节的保护措施;数据处理环境保护包括数据风险监测和评估义务、数据处理人员教育培训义务、设置数据安全负责人和管理机构义务、数据泄露通知义务。数据安全保护义务法律责任的重心是行政处罚而非民事赔偿,应注重发挥行政处罚的惩戒和教育功能,限缩私法赔偿中的结果责任。合理配置数据处理者的行政处罚责任,有助于促进数据处理者发挥数据要素资源流转配置作用,防止市场垄断加剧。     

代位权法律制度比较研究

与传统理论相比,我国合同法代位权制度因变“入库规则”为债权人直接受偿,故成立要件、客体、行使方式、效力和债务人诉讼地位等也随之变动。如此变动可能获得便利债权人等价值,但却与代位权制度的逻辑体系和设立目的、法律的公平正义以及立法欲达到的可操作性和法律间相互协调统一的意图背道而驰。因此,我国的变异规定只能是权宜之计。在恢复其本来面目前,应在认定代位权的成立要件和客体范围等方面从严把关。     

论数据犯罪的立法重塑

当前《刑法》所规定的数据犯罪主要源于前数字经济时代，所保护的数据类型及对侵害行为的规制皆无法适应数字经济时代的发展需要，对既有规范的刑法解释亦无法实现对数据法益的妥善保护，立法断层与司法瓶颈并存。数据分类分级保护制度为刑法介入数据保护划定了合理界限，值得刑法保护的数据应被限定为《数据安全法》等前置法所特别保护的重要数据，一般数据不宜过早地被纳入刑法保护范畴。承载私法益的个人数据和企业数据能够通过《刑法》所确立的关联犯罪得到妥善保护，没有必要通过增设新罪予以重复保护。基于对数据犯罪立法的体系性考察，建议增设非法处理重要数据罪，以衔接《数据安全法》等，弥补对关乎国家安全、公共利益的重要数据的保护空隙，同时对侵犯公民个人信息罪进行必要的立法扩容，以回应实现全流程规制非法处理个人信息数据行为的实践期待。     

商业数据权:数字时代的新型工业产权--工业产权的归入与权属界定三原则

商业数据界权包括确定其权利的性质和权利的归属。个人信息保护和数据安全法律体系的建成,为数据界权提供了新的逻辑起点和法律前提。数据界权首先应基于个人信息与数据、商业数据与公共数据等基本范畴的厘清。基于商业数据的固有性质以及工业产权的历史逻辑和制度内涵,商业数据与信息保护类工业产权具有深度的契合性,有必要将商业数据纳入工业产权序列,作为数字时代具有标志意义的一种新型工业产权,并可以成为与商业秘密相对称的商业数据权。商业数据界权需要确定商业数据的适格性--可保护条件。商业数据的适格性包括受保护数据的合法性、集合性、管理性、可公开性和商业价值性,即以合法形成的规模性数据集合为客体,并采取管理措施的可公开性技术数据和经营数据等信息。商业数据具有单一性、复合性和动态性,商业数据权暗含着所涉权利的分层性,其权属界定应当透过现象看本质,将复杂或者貌似复杂的问题简单化,遵循投入原则、分层原则和责任原则等三原则。     

ChatGPT的数据安全风险及其合规管理

ChatGPT在积极赋能社会各领域发展过程中也隐含着数据安全风险,可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则,将合规管理方式引入到ChatGPT的数据安全风险治理体系,创新ChatGPT数据安全风险的治理方式。以合规管理方式治理ChatGPT的数据安全风险,需要ChatGPT的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理,并从数据合规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。     

我国数据安全法的体系逻辑与实施优化

我国《数据安全法》采取综合立法模式，形成我国对数据安全的原创性制度实践。《数据安全法》拓展了传统数据安全的含义，其立法逻辑隐含了“安全—控制—利用”三个层次，以适应数据开发和利用所伴随的安全风险加剧的现实。从域外经验来看，美欧等数字经济发达国家或地区近年来通过多个单行立法的形式，同样沿着“安全—控制—利用”的三层结构，构建了各自独特的数据战略。相比之下，目前的《数据安全法》的实施和落地，无论在战略层面和具体制度构建层面都存在不足，应当对此予以针对性优化。     

享受美好数字生活,数据“安全锁”必不可少

随着数字经济的加速发展,加强数据治理、保护数据安全,为数字经济持续健康发展筑牢安全屏障,成为时代发展的客观需要近年来,中国网络空间的法治化建设按下了“加速键”。《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》陆续施行,《网络数据安全管理条例(征求意见稿)》向社会公开征求意见,与数据治理、数据安全相关的法律法规体系得到进一步完善。     

个人数据安全的法律保护模式——从数据确权的视角切入

个人数据权益的多元性,决定了个人数据在不同场景中的权属不同,这意味着对不同权属性质的个人数据,提供的法律保护模式也不同。我国对个人数据的法律保护模式有三种:财产权保护模式、人格权保护模式和平台保护模式。鉴于当前我国数据确权的制度安排尚未完成、数据的人格权保护没有得到公益救济、数据利益的损害赔偿无法实现,有必要对不同权属性质的个人数据作出有针对性的调整方案:在方法论上应突破私法或公法的思维局限,在立法论与数据应用实践层面,对现有的个人数据保护模式作出相应的调整,通过商业秘密保护模式拓宽数据财产权的保护路径,利用个人数据场景化保护模式弥补人格权保护模式的虚置,利用平台保护模式优化数据安全法律保护的制度设计。     

数据运行安全法律保障问题研究

随着信息化技术不断深化,信息安全中数据运行安全问题逐渐成为重灾区.然而,对于传统的信息安全防治体系,数据运行安全法律评价存在社会危害性难以预测,法律前瞻性存在疏漏;独立性法规有待明确;相关罪名设立混乱,保护客体区分缺略等问题.科学的数据运行安全立法保护应当在分析数据运行的技术属性基础上,从改良信息安全立法模式出发,细化涉及数据运行安全的各方面规定,完善数据运行安全配套法律,健全数据运行安全技术标准,形成统一完备的数据运行安全防治体系,如此才能更好地保障我国数据运行安全,进而实现大数据时代下信息网络的安全发展.     

政府履行数据安全保障义务研究——以企业报送数据为视角

在数字政府战略背景下，政府基于公共目的要求企业报送的数据有不断增多的趋势。目前，因法律规定不明确和行政权力缺乏监督等原因，政府对企业报送数据的安全保障存在诸多不足，尤其在数据收集及其后的处理环节存在安全隐患。为促进政府履行数据安全保障义务，根据权利义务相对平衡理论，政府应完善数据安全保障措施，以防企业报送数据过程成为数据泄露的风险点。     

环境法与自然资源法的融合

环境法与自然资源法具备趋同的法律保护客体———环境和自然资源、共同的法律调整对象———生态经济社会关系、相互融合的法律调整方法———立法模式 ,因此 ,环境法与自然资源法应当融合而成为一个法律部门。     

检察一体化履职数字模式的建构与运行

建构检察一体化履职数字模式，应以法律监督案件线索数据池为切入点，建设“大统一”法律监督大数据体系，一体化建构与运用法律监督模型，立足数字检察赋能规律，推进制度体系重塑变革。具体而言，建构的重点内容应包括建立健全区块链存证和证据合法性审查规则体系，完善在线诉讼监督制度，健全执法司法数据安全分类分级管理制度，探索制定区块链、人工智能等现代科技应用规范等。同时，在检察一体化履职数字模式建构中应把握好算法解释与算法决策赋能的风险规制、推进数字法治场景中的执法司法责任体系建设、加强数据权益一体化保障等问题，以进一步增强法律监督实效，推动检察权运行机制现代化。