2020年6月28日，第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法（草案）》（简称《数据安全法（草案）》）。7月3日，《数据安全法（草案）》在中国人大网公布，面向社会征求意见。引起社会广泛关注。

在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大背景下，全球进入大数据时代，数据呈现爆发增长，今年4月，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》中，数据作为一种新型生产要素被纳入其中，与土地、劳动力、资本、技术等一道，共同构成此次要素市场化改革的重要组成部分，对数据掌控能力日益成为衡量国家竞争力的关键因素。

数据的爆发增长，也带来了前所未有的风险与安全挑战，数据作为数字经济的“石油”，数据规则将成为数字经济时代的基本规则。而一部统筹数字经济时代“安全与发展”并重的《数据安全法》是个人数据野蛮掘金时代的结束，也是数字经济加速发展的必要保证。

个人数据野蛮掘金时代结束

2018年3月，爆发了轰动全球的“Facebook数据门”事件，8700万Facebook用户的个人数据被出卖给一家叫做“剑桥分析”的公司，这家公司操纵这些数据，最终成功地通过选举程序，使得英国脱欧、特朗普上台。

与此同时，数据泄露的事故在中国也层出不穷：

2018年4月，某外卖平台被曝用户信息泄露，每条信息卖价最低不到一毛钱，精确到具体点的什么餐、用餐地点等私密信息。2018年8月， 某快递公司被曝泄露了3亿条用户数据，暗网论坛售价2个比特币，数据包括寄件人、收件人的姓名、地址、电话等个人信息。2018年9月，某酒店集团被曝其住店客户数据在暗网售卖，泄露数据包括1.23亿条官网用户注册数据，1.3亿条旅客身份信息以及2.4亿条详细开房记录。

全部数据共计约五亿条，售价约为37万人民币。中国消费者协会的一项调查报告显示，中国85.2%的app用户曾遭遇数据泄露。

2018年，欧盟针对个人隐私数据保护的《通用数据保护条例》（GDPR）正式生效，全球的数据与隐私保护力度与范围得到了空前的增强。此后，欧盟和所属各国对于不合规情况分别开出GDPR的重量级罚单。

2018年8月至9月，英航(British Airways)泄漏了50万客户数据，其中包括用户登陆信息、信用卡数据、姓名、地址和订座记录等敏感信息。英航以收到21.83亿英镑的罚单拔得2019年的GDPR罚单头筹。

万豪酒店集团(Marriott International, Inc)则因收购的喜达屋酒店集团的中央预定系统数据库遭到黑客的攻击，导致超过500万未加密的密码和800万信用卡数据被黑客掌握，牵涉到3000万欧盟居民被处以9900万英镑罚单。值得注意的是，喜达屋酒店集团的数据泄漏是从2014年一直持续到2018年。

政府部门同样不能置身事外。保加利亚国家税务局(National Revenue Agency)收到了一张260万欧元的罚单 。因为国家税务局在黑客攻击下泄漏了400万公民和200万去世公民的个人数据，并且在核查下被发现税务局的业务流程和IT系统不能完全满足GDPR的数据安全合规性要求，所以保加利亚数据保护委员会最终向国家税务局开具了这一大额罚单。

尽管依旧有企业发生数据泄漏事故，但来自监管部门的强制性约束在可预见的时间范围已经越来越紧。2020年1月1日，加利福尼亚州率先颁布的《加州消费者隐私保护法》（CCPA）正式实施，使得国际范围内个人数据立法从通用数据立法向垂直领域个人数据立法转变。

所有加州的零售商、餐馆、航空公司和银行等服务机构都必须接受顾客的查询，如实告知自己收集了哪些顾客个人信息，包括联系信息、购买记录、客户忠诚度系统的消费记录等。顾客同样可以要求商家删除自己的相关信息，或者查询自己的信息是否被转卖给第三方。

2020年7月公布的《数据安全法（草案）》明确提出维护国家数据主权，保护个人、机构数据权益，将成为数据要素国家战略重要的法制基础，是数据要素国家战略的基本法。

事实上，《数据安全法(草案)》一个重要的意义正在于明确数据活动的红线，在法律法规允许的条件下，推动数据共享，发现数据价值，且在《数据安全法(草案)》的第六章明确了数据活动的法律责任，对于不合规行为予以处罚或处分，构成犯罪的，依法追究刑事责任。

《草案》提出建立健全国家数据安全协同治理体系，有关部门、行业组织、企业、个人应共同维护数据安全，促进数据经济发展。《草案》提出建立健全国家数据安全协同治理体系，有关部门、行业组织、企业、个人应共同维护数据安全，促进数据经济发展。

可以说，2020年《数据安全法（草案）》的公布向社会释放了这样的信号：尽管平衡“个人数据保护”与“数据价值挖掘”这两者之间的矛盾依旧有待商榷，但在全球范围内，针对个人数据野蛮掘金的时代已经结束了。

数据保护是本，数据开放为源

毋庸置疑，《数据安全法（草案）》是我国数据时代的重要一步，但如果只将其视为在信息科技迅速发展背景下，对于公民人格尊严和人格自由的重申，未免小觑了它的意义。任何立法都不尽然是由理念推动，其背后往往有着更大现实考量。

正如《数据安全法（草案）》的总则里“为了保障数据安全，促进数据开发利用，保护公民、组织的合法权益，维护国家主权、安全和发展利益”所表明的，《数据安全法（草案）》绝非仅仅高举数据基本权利大旗的道德至上主义者，相反，它彰显了个人数据对于数字经济的关键作用。

中国信息通信研究院7月3日发布的《中国数字经济发展白皮书（2020年）》显示，2019年，我国数字经济增加值规模为35.8万亿元，占GDP比重高达36.2%，已超过1/3。2019年，我国数字经济在GDP的占比同比提升1.4个百分点，按照可比口径计算，2019年我国数字经济名义增长15.6%，高于同期GDP名义增速约7.85个百分点，数字经济在国民经济中的地位进一步凸显。

显然，数字经济持续高速增长正成为经济高质量发展的新引擎。目前，数据产业已经形成一个完整产业链，涉及数据收集、存储、加工、使用、交付、流通等诸多环节，但却面临政策鼓励数据应用与流通交易，法律法规相对滞后的情况。

在《数据安全法（草案）》以前，中国个人数据保护以分散立法为主，未制定专门统一的个人信息保护法，此次草案的公布，加速推动了一个关于行政法规，部门规章，国家标准、行业标准及自律公约等个人数据保护的基本法律框架的形成，也是对中国未来数据保护制度建设的顶层设计和思考。

此外，《数据安全法（草案）》在第五章特别提到了政务数据的安全与开放。从数据的来源来看，目前大数据资源主要掌握在政府手中，因此要充分发挥大数据的价值，完善政府数据开放制度，推进政府数据开放是必不可少的重要一步。政府数据开放之逻辑在于“取之于民，用之于民”，也是当前各国抢占大数据时代战略制高点的国家战略。

欧美日韩等国在政府数据开放方面已经走在前面，如2009年美国白宫即开始实施“开放政府计划”，将众多数据公布在美国联邦政府的数据开放平台Data.gov上。经过近10年努力，美国2019年12月发布《联邦数据战略与2020年行动计划》，确定了在2020年需要采取的关键行动。核心关注点由数据技术转向数据资产、促进数据再利用及培育数据文化等，将数据作为战略资源开发。

欧盟于2020年2月19日颁布的《欧洲数据战略》旨在解决八大问题（包括需要解决数据可用性问题），并提出四大建设战略，包括建立数据访问和使用的跨部门治理框架、面向战略性部门及公共利益领域建立欧洲公共数据空间等举措。意图实现创建欧洲公共数据空间的设想，进一步发展数据单一市场，塑造全球标准。

近年来，中国政府数据开放也已取得初步进展，2017年2月中央全面深化改革领导小组第三十二次会议通过《关于推进公共信息资源开放的若干意见》；2018年1月5日，中央网信办、国家发改委、工信部联合印发《公共信息资源开放试点工作方案》，确定在北京、上海、浙江、福建、贵州开展公共信息资源开放试点工作。

在《数据安全法（草案）》中，明确“国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台”，这也是对我国数据开放制度的进一步细化，作为数字经济之源，其意义是重大的。

大数据时代下，数字化转型与数据资源博弈，成为当下全球化竞争的焦点，数据资源的价值已毋庸置疑。《数据安全法（草案）》是数字安全领域一部基础性的法律，尽管征求意见稿对“数据”“数据安全”“数据活动”等核心概念的定义还未尽善，或者草案中对我国的跨境数据流动战略还存在不足，但这也无法否认它是中国数字经济发展的标志性事件。

农业时代确立了产权规则；工业时代确立了知识产权规则；人工智能与大数据时代则呼唤数据规则，当前相关的规则正在形成过程中，或许在《中华人民共和国数据安全法（草案）》的契机下，我们能够构建并逐步完善以数据开放、数据保护、数据流动等为基础的数据规则，以促进数字经济发展。