鲁传颖：数据安全立法，需平衡好各方诉求

今年的全国人大常委会工作报告日前提交审议，工作报告中提到，备受关注的《个人信息保护法》和《数据安全法》正在制定中。这是继《网络安全法》之后，我国在网络安全领域另外两部重要法律。

这两部法律的核心命题围绕着数据安全问题，试图为信息社会奠定基本规则体系。随着信息化水平和互联网用户数量的不断提高，我国已经成为全球范围内首屈一指的数据大国。一方面，数据驱动了经济发展，一批在全球具有重要影响力的中国互联网企业因此而诞生;另一方面，个人隐私泄露、数据安全问题频发不仅给用户造成了很大伤害，也在威胁着社会稳定和国家安全。

目前，全球各国纷纷加快了数据安全的立法工作。如欧盟制定和实施了极为严格的《通用数据保护条例》，保护欧盟境内的个人信息安全。我国在保护个人信息安全和数据安全方面也开展了一系列工作，如国家互联网信息办公室指导制定了《个人信息保护规范》，发布了《数据安全管理办法(征求意见稿)》，对保护我国的数据安全发挥了重要作用。

开展《个人信息保护法》和《数据安全法》立法工作，将原有的技术标准、部门规章提升到法律层面，表明了我国政府对于数据保护的重视程度在不断增加。同时，也是因为数据所带来的价值、引起的争议、造成的破坏在不断提升，需要从全局的层面予以应对。

从个人角度来看，数据是个人信息，事关个人隐私，需要得到严格保护。从企业角度来看，数据是重要资产，具有重大商业价值。从政府角度来看，既要回应公众对个人信息保护的需求，也要保障企业合理使用数据的空间。同时，政府开展社会治理、维护公共安全也离不开数据的使用。当涉及到国家之间的竞争时，数据还被认为是信息社会的“石油”，具有重要的战略价值。

因此，这两部法律需要解决的问题非常重要，牵涉到了国家、社会和个人不同的诉求，是极为复杂的问题。笔者认为：一是要尽可能多地让公众参与到立法进程中，聆听公众对这两部法律的声音。个人是最重要的数据生产者，同时，也面临着个人信息滥用、隐私泄露的巨大风险。引导公众充分参与立法进程的讨论，不仅有助于培养公众个人信息保护意识，也能够让立法者更好地倾听公众的诉求，从而更加科学合理地制定法律。

二是两部法律的制定需要平衡各方的利益诉求。虽然不同行为体之间不是零和关系，但法律也需做出一定的取舍。因此，如何去平衡个人隐私、企业发展和国家安全是两部法律面临的重要任务。

三是处理好两部法律之间的关系。《个人信息保护法》更多的是从保护公民隐私的角度来看待数据安全问题，而《数据安全法》更多是从国家安全、公共安全角度出发，因此导向也会存在差异。这需要在立法的进程中统筹考虑，让两者相互配合、有效衔接，共同维护我国的数据安全和数据主权。

四是立法需要充分考虑信息社会的大背景和技术的发展，避免用工业化时代的思维来制定信息社会的法律。立法者需要对人工智能、大数据、云计算等新兴技术发展和应用有一定的前瞻性理解。同时，也要注重通过新兴技术来解决保护个人信息和数据安全中所面临的问题。(作者是上海国际问题研究院网络空间国际治理研究中心秘书长)