對于互聯(lián)網(wǎng)企業(yè)而言，數(shù)據(jù)是至關(guān)重要的生產(chǎn)要素。過去的幾年中，由于相關(guān)法律的建設(shè)遠(yuǎn)遠(yuǎn)趕不上互聯(lián)網(wǎng)技術(shù)的發(fā)展，所以在很多時候，數(shù)據(jù)對于企業(yè)來講，就像是無主土地上的礦藏，大家愛怎么取就怎么取、愛怎么用就怎么用。然而，這個野蠻生長的時代似乎馬上就要走到終點(diǎn)。隨著人們對數(shù)字經(jīng)濟(jì)理解的逐步深化，一大批關(guān)于數(shù)據(jù)的法律都將陸續(xù)出臺。《數(shù)據(jù)安全法》將于今年9月1日起施行，《個人信息保護(hù)法》也有望在近期通過并在不久后實(shí)施。

　　很顯然，對于熟悉了過去那種“無法無天”的數(shù)據(jù)使用環(huán)境的企業(yè)，這些法律法規(guī)的出臺多少會讓他們感到有些不方便、不習(xí)慣，甚至?xí)J(rèn)為這些法律會對他們的商業(yè)機(jī)會產(chǎn)生一定的限制。不過，所謂“沒有規(guī)矩，不成方圓”，如果從規(guī)范一個行業(yè)的角度看，隨著行業(yè)的發(fā)展，相關(guān)法律法規(guī)的陸續(xù)出臺就是不可避免的，它們對于行業(yè)長期發(fā)展的作用也不容小視。事實(shí)上，這些法律法規(guī)在給行業(yè)套上緊箍咒的同時，也會給市場帶去很多新的機(jī)會、新的玩法。

　　《數(shù)據(jù)安全法》為何匆匆“出生”

　　如果我們簡要回顧一下《數(shù)據(jù)安全法》的“出生”，就會發(fā)現(xiàn)整個過程的用時相當(dāng)之短：2018年9月，全國人大常委會將《數(shù)據(jù)安全法》列入立法規(guī)劃；到2020年6月，其初稿已經(jīng)交人大常委會進(jìn)行初審；2021年的6月10日，其最終稿被表決通過；2021年9月，就開始正式實(shí)施。也就是說，這部法案從開始起草，到表決通過，再到最終實(shí)施，加起來也才三年的時間。這在以立法態(tài)度嚴(yán)謹(jǐn)、立法論證詳盡著稱的我國，實(shí)在不算多見。

　　那么，究竟是什么原因促使了《數(shù)據(jù)安全法》如此快馬加鞭地出臺？我想，這應(yīng)該是國內(nèi)、國際兩方面因素共同作用的結(jié)果。

　　從國內(nèi)層面看，《數(shù)據(jù)安全法》的出臺是對國內(nèi)數(shù)字經(jīng)濟(jì)迅速發(fā)展，以及各種數(shù)據(jù)相關(guān)的問題亟待解決的一種回應(yīng)。隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)迅速地從信息處理過程中的副產(chǎn)品蛻變成了一種關(guān)鍵的生產(chǎn)要素。但與此同時，很多與數(shù)據(jù)相關(guān)的問題也隨之產(chǎn)生。數(shù)據(jù)產(chǎn)權(quán)、數(shù)據(jù)定價(jià)、數(shù)據(jù)濫用、數(shù)據(jù)壟斷、數(shù)據(jù)跨境……每一個問題都很重要、都需要解決，但這些問題中的任何一個又都是不那么容易解決的。不僅如此，其中的很多問題還相互關(guān)聯(lián)、相互交織，可謂牽一發(fā)而動全身。

　　以數(shù)據(jù)的產(chǎn)權(quán)為例。熟悉經(jīng)濟(jì)學(xué)理論的讀者應(yīng)該都知道，從理論上講，只有一件物品具有價(jià)值，且價(jià)值比較明確時，人們才有激勵對其界定產(chǎn)權(quán)。

　　具體到數(shù)據(jù)，只有數(shù)據(jù)真的有了比較明確的市場價(jià)值，相關(guān)產(chǎn)權(quán)的界定才能真正完成。但要確定數(shù)據(jù)的價(jià)值是很困難的，因?yàn)橐袃r(jià)值就要有交易，而交易是需要產(chǎn)權(quán)作為前提的。這樣一來，產(chǎn)權(quán)和定價(jià)，就成了一個“雞生蛋、蛋生雞”的問題，似乎很難下手。

　　當(dāng)然，如果從純粹的經(jīng)濟(jì)理論角度看，這或許不是什么問題。只要讓市場自發(fā)運(yùn)作起來，并且時間足夠長，那么產(chǎn)權(quán)和定價(jià)這兩個問題都會得到解決。如果我們考察的是一種普通的產(chǎn)品，那么這種觀點(diǎn)沒有什么問題。因?yàn)閷τ谝话愕漠a(chǎn)品，與市場相關(guān)的各種制度早已經(jīng)成熟，所有市場探索都可以在既有的制度框架中運(yùn)作，最終一定會達(dá)成一個結(jié)果。

　　但對于數(shù)據(jù)市場來說，問題卻是不同的。原因很簡單：數(shù)據(jù)這種要素實(shí)在是太新了，它的市場本身就是在各種配套制度都沒有建立的條件下出現(xiàn)的。在這種情況下，所謂的市場摸索就可能帶來難以想象的外部性。比如，如果法律沒有對個人數(shù)據(jù)的采集、使用和流通進(jìn)行規(guī)定，那么一些企業(yè)就會鉆這個空子，置人們的權(quán)益于不顧非法進(jìn)行搜集、使用和交易。在這個交易的過程中，大量用戶的權(quán)益可能會受到損害。從這個意義上看，我們固然要數(shù)據(jù)產(chǎn)業(yè)成長、數(shù)據(jù)市場發(fā)展，但是這種成長和發(fā)展絕對不能是無序的。對于它們的邊界，我們一定要理清楚。所謂“隨心所欲而不逾矩”，只有我們把外面的規(guī)則畫好了，市場的探索才能更高效。

　　那么，數(shù)據(jù)市場發(fā)展的邊界規(guī)則是什么呢？從現(xiàn)在看，最關(guān)鍵的有兩個：一個是安全，一個是個人隱私保護(hù)。現(xiàn)在，《數(shù)據(jù)安全法》馬上就要實(shí)施了，《個人信息保護(hù)法》應(yīng)該也會在不久后出臺，這兩部法的用意就在于構(gòu)建兩個最關(guān)鍵的邊界規(guī)則。

　　我聽到不少朋友講，這些法律的出臺可能會限制數(shù)據(jù)市場發(fā)展。誠然，在表面上看，如果沒有任何法律的約束，企業(yè)可以為所欲為，就能從數(shù)據(jù)中獲得更多的利益。但其實(shí)這種利益本身是有風(fēng)險(xiǎn)的。以企業(yè)違規(guī)搜集使用用戶信息為例，即使在法律層面上，這些行為不會受到懲罰，但久而久之，這些行為會在社會中積累起很多負(fù)面的情緒。等到這些情緒總爆發(fā)，就可能會對企業(yè)的業(yè)務(wù)造成非常大的影響。與其這樣，倒不如有一些法律提前對企業(yè)的行為進(jìn)行限制。

　　而從國際層面上看，《數(shù)據(jù)安全法》的出臺則帶有更為深刻的大國博弈性質(zhì)。

　　在數(shù)字經(jīng)濟(jì)時代，對數(shù)據(jù)資源進(jìn)行控制，已經(jīng)成了大國博弈的一個重要手段。為了爭奪數(shù)據(jù)主權(quán)，各國都在立法層面下足了功夫。比如，在2018年3月，時任美國總統(tǒng)特朗普簽署了《澄清境外數(shù)據(jù)合法使用法案》，也就是所謂的《云法案》。根據(jù)這項(xiàng)法案，如果美國政府索取，任何受美國管轄的公司(包括在美國經(jīng)營或者在美國為客戶提供服務(wù)的公司)都需應(yīng)要求將數(shù)據(jù)轉(zhuǎn)交給美國政府。即使這些數(shù)據(jù)存儲在海外，也同樣受到該法案的約束。由于美國的公司遍布全球各地，因此這一法案事實(shí)上就把美國的數(shù)據(jù)霸權(quán)延伸到了全世界。而不久之后，歐盟也出臺了《通用數(shù)據(jù)保護(hù)條例》，也就是我們熟悉的GDPR。這一《條例》規(guī)定，所有從歐盟公民收集數(shù)據(jù)的企業(yè)必須遵守歐盟的規(guī)則，受歐盟的管轄。如果將GDPR和《云法案》對應(yīng)起來，就不難看出這兩者之間是存在著一定的對抗關(guān)系的，從某個角度看，GDPR是在和美國爭奪對于數(shù)據(jù)的主權(quán)。當(dāng)然，在防守美國數(shù)據(jù)霸權(quán)的同時，歐盟也一樣把“長臂”伸向了全世界。一旦數(shù)據(jù)涉及了歐盟的用戶，就自動落入了GDPR的管轄范圍。

　　應(yīng)該說，在歐美都通過立法積極爭奪數(shù)據(jù)主權(quán)的時候，立法上的滯后會讓我國在國際競爭中顯得十分被動。目前，我國已經(jīng)有了一大批大型的數(shù)字經(jīng)濟(jì)企業(yè)，它們的業(yè)務(wù)已經(jīng)遍布世界各地，很多業(yè)務(wù)和歐、美有往來。按照《云法案》和GDPR，歐美的執(zhí)法機(jī)構(gòu)就可以很容易找到理由自由調(diào)取這些企業(yè)的數(shù)據(jù)。顯然，這對于這些企業(yè)的經(jīng)營，以及我國的經(jīng)濟(jì)安全都有可能帶來很大的負(fù)面影響。

　　事實(shí)上，無論是去年的TikTok風(fēng)波，還是今年的滴滴事件，類似的矛盾都已經(jīng)顯露了出來。不僅如此，現(xiàn)在很多國外的企業(yè)在中國有業(yè)務(wù)分支，例如蘋果就在中國有龐大的用戶群，而微軟則是重要的云服務(wù)供應(yīng)商。雖然按照《網(wǎng)絡(luò)安全法》的要求，這些企業(yè)都將“個人信息和重要數(shù)據(jù)在境內(nèi)存儲”，但如果沒有更為專門的法律對數(shù)據(jù)跨境作出進(jìn)一步規(guī)定，就很難避免這些企業(yè)出于美歐政府的壓力，向美歐提供數(shù)據(jù)的情況發(fā)生。而一旦這種情況發(fā)生，則很可能對我國的國家安全造成巨大的影響。從這個意義上講，我國加速出臺《數(shù)據(jù)安全法》，也是為了補(bǔ)足法律短板，以免自己在和美歐的大國數(shù)據(jù)博弈中吃虧。

　　《數(shù)據(jù)安全法》解決了什么，沒解決什么

　　從總體上看，《數(shù)據(jù)安全法》的內(nèi)容是十分豐富的。它的實(shí)施，將會解決很多數(shù)據(jù)應(yīng)用和交易當(dāng)中的問題。限于篇幅，這里只介紹其中的八個方面。

　　第一，《數(shù)據(jù)安全法》明確了數(shù)據(jù)安全和發(fā)展之間的關(guān)系，對數(shù)據(jù)的應(yīng)用工作提出了一個總的指導(dǎo)。

　　我們知道，在世界各國，關(guān)于如何處理數(shù)據(jù)安全和發(fā)展，態(tài)度是有很大差異的。總體上，歐洲對于安全問題的考量更多，并且這種考量更多側(cè)重于個人數(shù)據(jù)安全層面，而對于發(fā)展問題，則放在了一個較輕的位置上。而美國，雖然也重視安全，但一方面，其側(cè)重更多地放在了國家安全層面；另一方面，其對于經(jīng)濟(jì)發(fā)展的重視是要遠(yuǎn)高于歐洲的。現(xiàn)在的實(shí)踐已經(jīng)證明，這種差別直接決定了兩個地區(qū)在互聯(lián)網(wǎng)等數(shù)據(jù)密集型產(chǎn)業(yè)上的發(fā)展?fàn)顩r。類似的，我國究竟怎樣平衡安全和發(fā)展，也會對相關(guān)產(chǎn)業(yè)的發(fā)展起到至關(guān)重要的作用。

　　從法律文本上看，應(yīng)該說整部《數(shù)據(jù)安全法》都體現(xiàn)出了“數(shù)據(jù)安全與發(fā)展”這兩個目標(biāo)平衡的思路。在第一條，就明確提出了立法的宗旨是“規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益”；在第十三條，又進(jìn)一步強(qiáng)調(diào)了“國家統(tǒng)籌發(fā)展和安全，堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。”在一部以“安全”為核心的法律中，如此明確、頻繁地提到了發(fā)展的內(nèi)容，立法者重視發(fā)展、支持發(fā)展的用心可以說是十分明顯了——只不過，這種發(fā)展絕對不能是無序的，它應(yīng)該是以安全作為一個總的邊界。

　　第二，《數(shù)據(jù)安全法》對與數(shù)據(jù)安全相關(guān)的各角色的相關(guān)職責(zé)進(jìn)行了劃分，明確了各自應(yīng)當(dāng)扮演的角色、承擔(dān)的責(zé)任。

　　維護(hù)數(shù)據(jù)的安全，是一個系統(tǒng)性的過程。在這個過程中，政府、企業(yè)、社會相關(guān)管理者、運(yùn)營者和經(jīng)營者需要相互配合、相互協(xié)調(diào)。只有這種配合和協(xié)調(diào)是足夠順暢的，相關(guān)的工作才可能很好的完成。然而，在過去，上述的每一個角色究竟應(yīng)該在這個過程中扮演怎樣的角色、承擔(dān)怎樣的義務(wù)，相關(guān)規(guī)定都是不明確的。在這樣的情況下，角色缺位、越位、沖突的現(xiàn)象比比皆是。尤其是在政府的不同部門之間，經(jīng)常出現(xiàn)類似“九龍治水”的管理沖突，造成了很多問題。針對以上這些問題，《數(shù)據(jù)安全法》專門對各個角色的相關(guān)職責(zé)進(jìn)行了劃分。尤其是在第五和第六條中，對于政府各部門之間的權(quán)責(zé)劃分進(jìn)行了很詳細(xì)的闡述。這一劃分，可以很好地解決過去由于職能不清所造成的問題，從而減少很多不必要的麻煩。

　　第三，《數(shù)據(jù)安全法》提出了十分明確的對數(shù)據(jù)進(jìn)行分類管理和保護(hù)的思路。

　　在該法的第二十一條中，明確指出“國家建立數(shù)據(jù)分類分級保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實(shí)行分類分級保護(hù)。”很顯然，這種分類監(jiān)管的思路，將有效地用于保護(hù)的資源與數(shù)據(jù)重要性之間的匹配，從而指引整個數(shù)據(jù)安全工作更加有的放矢，更加具有效率。

　　需要指出的是，對數(shù)據(jù)分類進(jìn)行管理并不是《數(shù)據(jù)安全法》首創(chuàng)。事實(shí)上，在《網(wǎng)絡(luò)安全法》當(dāng)中，已經(jīng)提出了類似的管理思路。不過，這兩部法律中的分類管理還是存在著很大的差別的。在《網(wǎng)絡(luò)安全法》中，數(shù)據(jù)分類的決策，主要是由網(wǎng)絡(luò)運(yùn)營者作出的，其目的主要還是為了保證網(wǎng)絡(luò)運(yùn)營環(huán)境的安全。而在《數(shù)據(jù)安全法》中，對數(shù)據(jù)分類的責(zé)任則落到了各地區(qū)和各部門主管單位身上，而企業(yè)則沒有類似的責(zé)任和權(quán)力，只有根據(jù)分類進(jìn)行合規(guī)的義務(wù)。顯然，這種安排不僅充分體現(xiàn)了國家對于數(shù)據(jù)安全本身的重視，還可以很好地在法律適用的普遍性和具體情況的特殊性之間實(shí)現(xiàn)有效的權(quán)衡。

　　第四，《數(shù)據(jù)安全法》對數(shù)據(jù)交易管理、安全評估、安全審查等具體的制度，都給出了比較完整的規(guī)定。

　　具體來說，關(guān)于數(shù)據(jù)交易管理，第十九條提出了“國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場”，而第三十三條中，則對從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)的行為作出了具體的規(guī)定。值得一提的是，這應(yīng)該是“數(shù)據(jù)交易中介機(jī)構(gòu)”第一次出現(xiàn)在我國的法律中，其對于數(shù)據(jù)市場的規(guī)范和發(fā)展是具有標(biāo)志性的意義的。

　　關(guān)于安全評估機(jī)制的規(guī)定，則主要體現(xiàn)在了第二十二和第二十三條中。其中，第二十二條構(gòu)思了一套“集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制”，而第二十三條則在此基礎(chǔ)上提出了對數(shù)據(jù)安全風(fēng)險(xiǎn)的應(yīng)對機(jī)制。

　　關(guān)于安全審查的規(guī)定主要體現(xiàn)在第二十四條“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進(jìn)行國家安全審查”。這里比較值得一提的是，法條中專門強(qiáng)調(diào)了“依法作出的安全審查決定為最終決定”。也就是說，它無法被行政復(fù)議或行政訴訟推翻。這個規(guī)定，應(yīng)該引起比較多的重視。

　　第五，《數(shù)據(jù)安全法》對數(shù)據(jù)安全保護(hù)義務(wù)作出了比較具體的要求。

　　在法案的第四章中，對數(shù)據(jù)處理及研究過程中的各種主要風(fēng)險(xiǎn)，以及相關(guān)主體應(yīng)該在這個過程中承擔(dān)的義務(wù)都進(jìn)行了比較多的探討。具體的內(nèi)容，限于篇幅在此不再贅述。比較值得注意的是，在這一部分，提出了“重要數(shù)據(jù)的處理者”和“關(guān)鍵信息基礎(chǔ)設(shè)施”等概念。這些主體，由于其特殊的重要性，在承擔(dān)一般義務(wù)之外，還被要求承擔(dān)了一些額外的義務(wù)。很顯然，這也體現(xiàn)了一種分類監(jiān)管的思路。需要指出的是，對于這些主體來講，《數(shù)據(jù)安全法》賦予的責(zé)任只是它們需要承擔(dān)責(zé)任的一部分。在很多后續(xù)的相關(guān)法律、法規(guī)中，還對它們的其他義務(wù)作出了很多的規(guī)定。例如，在9月1日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》也將開始實(shí)施，在這個條例中，就對“關(guān)鍵信息基礎(chǔ)設(shè)施”的責(zé)任和義務(wù)作出了更為詳細(xì)的規(guī)定。這些規(guī)定，正好和《數(shù)據(jù)安全法》構(gòu)成了互補(bǔ)。

　　第六，《數(shù)據(jù)安全法》對數(shù)據(jù)跨境問題，作出了不少重要的規(guī)定。

　　如前所述，《數(shù)據(jù)安全法》的一大立法初衷，就是要回應(yīng)大國之間對于數(shù)據(jù)主權(quán)的博弈，要對數(shù)據(jù)的跨境流動規(guī)則提出中國自己的規(guī)則。這一初衷已經(jīng)在現(xiàn)有的條文中得到了很好的反應(yīng)。

　　具體來說，在第二十五條中，指出“國家對與維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制”；而在第三十六條中，則進(jìn)一步補(bǔ)充道，“非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)”。這兩段表述，應(yīng)該可以視為是我國在數(shù)據(jù)主權(quán)問題上的主要主張。

　　第七，《數(shù)據(jù)安全法》對政務(wù)數(shù)據(jù)的安全與開放過程中的責(zé)任作出了專門的規(guī)定。

　　在這部法律中，政府部門的責(zé)任足足寫了一章，篇幅非常大。這種安排，本質(zhì)上是由政府本身的角色形象所決定的。我們知道，政府手中是掌握著海量數(shù)據(jù)的，并且其中的一部分?jǐn)?shù)據(jù)是很難通過市場機(jī)構(gòu)找到有效替代品的，因此其價(jià)值可謂非常之高。從這個角度講，我們要搞大數(shù)據(jù)，就必須設(shè)法讓政府的數(shù)據(jù)也匯入到市場中來、能為大家所用。但是，政府手中的很多數(shù)據(jù)又往往是十分敏感的。例如，居民的戶籍信息、犯罪記錄等，這些數(shù)據(jù)如果隨意流動，很可能會造成非常不好的影響。因此，如何開放政府的數(shù)據(jù)，如何在安全與開放之間尋找一個平衡，就是亟待回答的問題。這里值得一提的是，在關(guān)于政務(wù)數(shù)據(jù)安全與開放的一章中，雖然討論了很多關(guān)于安全的措施，但從篇幅上看，關(guān)于開放和發(fā)展的論證其實(shí)并不比關(guān)于安全的少。這一點(diǎn)，其實(shí)已經(jīng)釋放出了很大的信息量。

　　第八，《數(shù)據(jù)安全法》對違法所導(dǎo)致的處罰作出了規(guī)定。

　　例如，根據(jù)第四十五條，違反國家核心數(shù)據(jù)管理制度的，可由有關(guān)主管部門處二百萬元以上一千萬元以下罰款，并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。而第四十六條則規(guī)定，向境外提供重要數(shù)據(jù)的，可以并處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，處罰還可以更為嚴(yán)重。

　　而類似GDPR等域外法律在規(guī)定處罰時，是可以以企業(yè)營業(yè)額的百分比來計(jì)算處罰金額的，這使得可以對一些比較嚴(yán)重的數(shù)據(jù)違法行為處以天價(jià)的罰單。反觀《數(shù)據(jù)安全法》，盡管看起來處罰力度并不算低，但如果對一些比較大型企業(yè)的嚴(yán)重違法行為，類似的處罰是否可以達(dá)到足夠的懲戒，其實(shí)還是需要觀察的。

　　綜上所述，不難看到，雖然《數(shù)據(jù)安全法》從起草到實(shí)施，時間并不算長，但卻已經(jīng)對涉及數(shù)據(jù)安全的重要問題都給出了比較詳細(xì)的回應(yīng)，已經(jīng)可以在很大程度上為現(xiàn)在的數(shù)據(jù)開發(fā)和應(yīng)用活動提供比較好的參考。

　　當(dāng)然，或許是由于時間倉促，目前的《數(shù)據(jù)安全法》還有一些有待進(jìn)一步完善之處。

　　舉例來說，現(xiàn)在關(guān)于《數(shù)據(jù)安全法》的討論中，數(shù)據(jù)分類保護(hù)無疑是一個熱點(diǎn)。如前所述，這種分類保護(hù)的思路有很強(qiáng)的靈活性，因而很好地適應(yīng)不同的具體環(huán)境。然而，對于具體的企業(yè)來講，這種靈活性就未必是好事。事實(shí)上，一個企業(yè)經(jīng)常會有跨地區(qū)、多領(lǐng)域的經(jīng)營，那么按照這種靈活的設(shè)定，它的數(shù)據(jù)可能需要按照多套不同的標(biāo)準(zhǔn)進(jìn)行合規(guī)。這樣一來，企業(yè)可能會無所適從。

　　不僅如此，由于數(shù)據(jù)是具有互補(bǔ)性的，因此單個數(shù)據(jù)的安全性等級和多個數(shù)據(jù)的安全性等級并不能一一對應(yīng)。比如，在一些諜戰(zhàn)劇當(dāng)中，我們會看到這樣的橋段：一些經(jīng)驗(yàn)老道的間諜可以通過閱讀公開的報(bào)紙來推斷出敵國的機(jī)密軍事動向。一般來說，在報(bào)紙上公開發(fā)表的內(nèi)容都不會有什么涉密或者影響國家安全的內(nèi)容，但是如果將很多類似的內(nèi)容結(jié)合起來，就可以拼湊出很多重要的信息。在大數(shù)據(jù)條件下，類似的效應(yīng)會被更加地放大，很多看似人畜無害的數(shù)據(jù)，如果放在一起，就可能產(chǎn)生“1+1>2”的效應(yīng)，因此也就會有了安全的風(fēng)險(xiǎn)。對于這一情況，我們一定要引起高度的重視。它意味著，除了對單個數(shù)據(jù)進(jìn)行分類管理和保護(hù)外，可能還需要出臺一些關(guān)于數(shù)據(jù)集的安全等級規(guī)則。

　　除此之外，《數(shù)據(jù)安全法》中提到的不少規(guī)則也還沒有詳細(xì)的細(xì)則。比如，政務(wù)數(shù)據(jù)的開放應(yīng)該如何落地、數(shù)據(jù)交易規(guī)則應(yīng)該如何完善、數(shù)據(jù)的跨境執(zhí)法應(yīng)該如何執(zhí)行……這些問題，恐怕都要通過后續(xù)的相關(guān)法律法規(guī)來進(jìn)一步完善了。

　　《數(shù)據(jù)安全法》會催生哪些商機(jī)

　　一般來說，每一部法律的出臺，每一個規(guī)則的變動，都會催生一批新的商業(yè)機(jī)會，由此引發(fā)一輪行業(yè)的大變革。

　　最為直接的，在《數(shù)據(jù)安全法》實(shí)施后，企業(yè)在數(shù)據(jù)安全上的責(zé)任就一下子加大了。這會倒逼它們加大在安全領(lǐng)域的投入，以期規(guī)避因安全風(fēng)險(xiǎn)造成的損失。顯然，這會催生出很多新的機(jī)會。在對人工合規(guī)需求上升的同時，對相關(guān)軟件應(yīng)用的需求也會增加。自動化的數(shù)據(jù)合規(guī)軟件，可能會像過去的企業(yè)財(cái)務(wù)軟件一樣，迅速發(fā)展出很大的需求，從而成為一個風(fēng)口。

　　當(dāng)然，相對于以上這些，一個更大的風(fēng)口可能還是會來自于通過技術(shù)規(guī)避風(fēng)險(xiǎn)的努力。比如，聯(lián)邦學(xué)習(xí)、多方安全計(jì)算、區(qū)塊鏈等技術(shù)，很可能在這一輪對于數(shù)據(jù)安全的重視中產(chǎn)生很大的商業(yè)價(jià)值。

　　以聯(lián)邦學(xué)習(xí)為例，在兩年前的一篇專欄中，我曾經(jīng)提到過，包括安全在內(nèi)的很多與數(shù)據(jù)相關(guān)的問題，其實(shí)是由中心化的機(jī)器學(xué)習(xí)方法導(dǎo)致的。正因?yàn)楝F(xiàn)在主流的機(jī)器學(xué)習(xí)技術(shù)需要將數(shù)據(jù)集中之后才能進(jìn)行分析，所以企業(yè)才有激勵去采集人們的個人信息，才需要將采集到的數(shù)據(jù)進(jìn)行傳輸，然后將數(shù)據(jù)進(jìn)行集中的存儲和處理。只要是這種集中的機(jī)器學(xué)習(xí)模式被顛覆了，那么這些問題也就自然得到了解決。而聯(lián)邦學(xué)習(xí)技術(shù)就提出了對以上問題的一套解決方案。它變過去的“搜集數(shù)據(jù)給程序”為“讓程序自己去找數(shù)據(jù)”，從而很有效地打破了集中學(xué)習(xí)的模式。這在理論上可以讓數(shù)據(jù)不出本地，數(shù)據(jù)的可用而不可得成為了可能。正是由于有了這種性質(zhì)，所以現(xiàn)在很多做和聯(lián)邦學(xué)習(xí)相關(guān)業(yè)務(wù)的公司業(yè)務(wù)都很繁榮，估值也都很不錯。

　　不過，在目前的技術(shù)條件下，聯(lián)邦學(xué)習(xí)還不能完全解決數(shù)據(jù)安全的問題。比如在縱向聯(lián)邦學(xué)習(xí)和遷移學(xué)習(xí)的過程中，中間還是需要有一個階段，要讓數(shù)據(jù)在一個第三方的云上面實(shí)現(xiàn)交換和整合。而在這個過程中，數(shù)據(jù)泄露或者被篡改的可能還是存在的。此外，利用聯(lián)邦學(xué)習(xí)的特征，進(jìn)行相應(yīng)的黑客攻擊也是完全有可能的。從這個意義上看，雖然類似的技術(shù)會為我們解決安全問題找到一條路，但這條路本身可能還有很多有待完善之處。當(dāng)然，從商業(yè)角度看，這些瑕疵本身其實(shí)并不是什么問題。事實(shí)上，它們本身也是另一個商業(yè)機(jī)會。如果可以有更好的方案解決聯(lián)邦學(xué)習(xí)過程中存在的以上問題，那么這些技術(shù)解決方案也將會是非常有價(jià)值的。

　　除了以上這些直接與數(shù)據(jù)安全相關(guān)的商機(jī)，《數(shù)據(jù)安全法》可能間接帶來的另一個重要商業(yè)機(jī)會是與數(shù)據(jù)交易相關(guān)的產(chǎn)業(yè)的發(fā)展。現(xiàn)在數(shù)據(jù)市場發(fā)展的不完善，一定程度上是由于交易本身就處于灰色地帶，很多安全風(fēng)險(xiǎn)無法回避。而在《數(shù)據(jù)安全法》落地后，相關(guān)的風(fēng)險(xiǎn)就可以有效減少，數(shù)據(jù)交易的成本也會隨之降低。

　　除此之外，由于數(shù)據(jù)本身的固有特征，要對原始數(shù)據(jù)進(jìn)行交易其實(shí)是非常困難的。相比之下，交易數(shù)據(jù)的使用權(quán)或許是一種更為可取的選擇。過去，這種使用權(quán)的交易是比較難以實(shí)現(xiàn)的。但隨著《數(shù)據(jù)安全法》的推進(jìn)，聯(lián)邦學(xué)習(xí)和安全計(jì)算技術(shù)被作為落實(shí)這一法律的技術(shù)基礎(chǔ)而被廣泛應(yīng)用，這些技術(shù)“可用不可見”的特點(diǎn)，客觀上也就為使用權(quán)的交易提供了很好的基礎(chǔ)。在這種情況下，數(shù)據(jù)的交易就可能真正發(fā)展起來，而與之相關(guān)的產(chǎn)業(yè)也就可能興起。

　　總而言之，《數(shù)據(jù)安全法》的實(shí)施本身只是一個事件，但這個事件之后，又會激發(fā)出更多技術(shù)、商業(yè)和法律的變革。這就像一顆石子扔進(jìn)了池塘，激起的漣漪會不斷擴(kuò)大。或許，整個數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)市場都會因此而不再一樣。