第一章 网络安全与数据合规概述

第一节 数据的概念

一、什么是数据

（一）我国法律中对“数据”的规定

《民法典》总则编中，使用了“数据”一词，但并未对数据的定义及法律属性进行解释。《民法典》第一百二十七条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”

《刑法》中也提到了“数据”一词，如“破坏计算机系统罪”中保护对象为“计算机信息系统中存储、处理或者传输的数据”，后续的《刑法修正案（七）》中也对上述罪行的适用对象进行了扩充，但是并未对“数据”一词进行法律解释。

《网络安全法》中对“网络数据”作出了定义。《网络安全法》第七十六条规定：“……（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。”

最终在《数据安全法》第三条中对数据作出了规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”

《深圳经济特区数据条例（征求意见稿）》^[1]第四条对数据也作出了不一样的定义：“数据是关于客体（如事实、事件、事物、过程或思想）的描述和归纳，是可以通过自动化等手段处理或再解释的素材。”但《深圳经济特区数据条例》最终通过日期为2021年7月6日，为了保持与上位法《数据安全法》（2021年6月10日通过）的一致，在正式条例中，关于数据的定义，已与《数据安全法》关于数据的定义一致。

（二）数据的分类

数据可以从不同的角度进行分类，从主体划分大致可以分为个人数据、企业数据、公共数据。

1.个人数据：个人数据的判断标准，包括可识别性和关联性，即与个人相关的，能够直接或间接识别个人的数据。“可识别性”是个人数据的重要属性。

个人数据在法律实践中有多个提法，如“个人信息”，多数国家将“个人信息”视为“个人数据”。但是，“个人信息”和“个人数据”这两个概念在根本上还是存在区别的，一般认为个人数据是未经过处理的个人原始记录。

个人信息＝个人数据+分析处理，但是由于国内并没有对此进行特别的区分，且个人信息也囊括在个人数据的范围内，所以一般将个人信息视为个人数据。

但《深圳经济特区数据条例》第二条对“个人数据”进行了定义，个人数据是指载有可识别特定自然人信息的数据，不包括匿名化处理后的数据。

2.企业数据：企业数据泛指所有与企业经营相关的信息、资料，包括公司概况、产品信息、经营数据、研究成果、大数据分析报告等。而企业数据中还可以分为企业公开数据、半公开数据与非公开数据。商业秘密是典型的企业非公开数据。

3.公共数据：公共数据主要是指政府在行政执法过程中产生的信息。公共数据对于企业和个人的生产、经营、履约有一定的影响，也涉及公众和他人的利益。因此，对于公共数据应该加大公开的力度，通过以社会公众周知的方式让其直接获取相关公众数据，减少社会搜寻信息的成本。

可参考的是《深圳经济特区数据条例》第二条对“公共数据”进行了定义，公共数据是指公共管理和服务机构在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。

（三）国外定义

欧盟《一般数据保护条例》（GDPR）中的数据定义：在GDPR第一章第四条的定义中，数据主要被限定为“个人数据”，是指一个被识别或可识别的自然人（数据主体）的任何信息。一个可识别的自然人，是指通过姓名、身份证件号码、位置数据、在线身份识别码这类标识，或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素，能够直接或间接地被识别。

二、个人信息、个人数据、个人隐私的区别

目前尚未有法规单独就“个人信息、个人数据、个人隐私”三者关系进行梳理，但可从立法的动态中看出认识也是动态的。

（一）关于“个人信息”

《刑法》第二百五十三条提到了“公民个人信息”，但未进一步进行解释。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确规定了“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

2021年8月20日《个人信息保护法》正式通过，并于2021年11月1日正式实施。根据《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

（二）关于“个人数据”

法律层面基本没有直接解释“个人数据”的法律。在实务理解中，基本上把“个人数据”等同于“个人信息”使用。

（三）关于“个人隐私”

我国《民法典》第四编人格权第六章“隐私权和个人信息保护”中，已明确规定自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

三、网络安全与数据合规关系

（一）网络安全与数据合规是相互关联又相对独立的一个整体

《网络安全法》和《数据安全法》都属于国家安全法律体系，就目前所了解到的内容来看，《网络安全法》第八条规定国家网信部门负责统筹协调网络安全工作和相关监督管理工作。而《数据安全法》第五条规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

网络安全这一领域已经有《网络安全法》作为基本法，目前已出台不少相应配套司法解释以及法规，其中不少还是征求意见稿。数据合规这一领域目前只有《数据安全法》，以及刚出台的《个人信息保护法》，全国信息安全标准化技术委员会也密集出台了网络安全与数据合规领域的相关文件，如《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》《网络安全标准实践指南——移动互联网应用程序（App）收集使用个人信息自评估指南》《网络安全标准实践指南——网络数据分类分级指引》《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》《网络安全标准实践指南——人工智能伦理安全风险防范指引》等。

（二）网络安全与数据合规相互依存不可或缺

没有数据的网络，只能叫信息基础设施，没有网络的数据，也根本无法流转。

正是由于上述认识，在《数据安全法》还没有通过实施的情况下，在实务中都直接把两者串联起来：“网络安全与数据合规。”同时按上海交大寿步教授的观点，数据亦可分为网络数据和非网络数据，网络数据安全是网络安全的子集。也一定程度上代表两部法律的关系是有交集的。^[2]

（三）数据合规一定程度上是网络安全的延伸

1.数据合规在实名制上是网络安全范畴的延伸。

根据《网络安全法》的规定，网络服务提供者应对其客户进行实名制管理。尽管目前我国网络实名制工作已经基本完善，但相关配套措施与落实细节内容在《网络安全法》实施后仍存在空白，而数据合规的相关立法与规定，在补充、延伸《网络安全法》适用领域上起到桥梁作用。

2.数据合规在数据跨境上是网络安全范畴的延伸。

《网络安全法》第三十七条明确提出对境外数据储存、向境外提供数据的要求，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定”。然而，在《网络安全法》生效后，此类审查、评估规定长期处于缺位状态，《网络安全法》对于此类审查、评估的原则、方法、程序也存在较多不明确之处。该问题直至《个人信息保护法》通过后才有所转变。