對于互聯網企業而言，數據是至關重要的生產要素。過去的幾年中，由于相關法律的建設遠遠趕不上互聯網技術的發展，所以在很多時候，數據對于企業來講，就像是無主土地上的礦藏，大家愛怎么取就怎么取、愛怎么用就怎么用。然而，這個野蠻生長的時代似乎馬上就要走到終點。隨著人們對數字經濟理解的逐步深化，一大批關于數據的法律都將陸續出臺。《數據安全法》將于今年9月1日起施行，《個人信息保護法》也有望在近期通過并在不久后實施。

　　很顯然，對于熟悉了過去那種“無法無天”的數據使用環境的企業，這些法律法規的出臺多少會讓他們感到有些不方便、不習慣，甚至會認為這些法律會對他們的商業機會產生一定的限制。不過，所謂“沒有規矩，不成方圓”，如果從規范一個行業的角度看，隨著行業的發展，相關法律法規的陸續出臺就是不可避免的，它們對于行業長期發展的作用也不容小視。事實上，這些法律法規在給行業套上緊箍咒的同時，也會給市場帶去很多新的機會、新的玩法。

　　《數據安全法》為何匆匆“出生”

　　如果我們簡要回顧一下《數據安全法》的“出生”，就會發現整個過程的用時相當之短：2018年9月，全國人大常委會將《數據安全法》列入立法規劃；到2020年6月，其初稿已經交人大常委會進行初審；2021年的6月10日，其最終稿被表決通過；2021年9月，就開始正式實施。也就是說，這部法案從開始起草，到表決通過，再到最終實施，加起來也才三年的時間。這在以立法態度嚴謹、立法論證詳盡著稱的我國，實在不算多見。

　　那么，究竟是什么原因促使了《數據安全法》如此快馬加鞭地出臺？我想，這應該是國內、國際兩方面因素共同作用的結果。

　　從國內層面看，《數據安全法》的出臺是對國內數字經濟迅速發展，以及各種數據相關的問題亟待解決的一種回應。隨著數字經濟的發展，數據迅速地從信息處理過程中的副產品蛻變成了一種關鍵的生產要素。但與此同時，很多與數據相關的問題也隨之產生。數據產權、數據定價、數據濫用、數據壟斷、數據跨境……每一個問題都很重要、都需要解決，但這些問題中的任何一個又都是不那么容易解決的。不僅如此，其中的很多問題還相互關聯、相互交織，可謂牽一發而動全身。

　　以數據的產權為例。熟悉經濟學理論的讀者應該都知道，從理論上講，只有一件物品具有價值，且價值比較明確時，人們才有激勵對其界定產權。

　　具體到數據，只有數據真的有了比較明確的市場價值，相關產權的界定才能真正完成。但要確定數據的價值是很困難的，因為要有價值就要有交易，而交易是需要產權作為前提的。這樣一來，產權和定價，就成了一個“雞生蛋、蛋生雞”的問題，似乎很難下手。

　　當然，如果從純粹的經濟理論角度看，這或許不是什么問題。只要讓市場自發運作起來，并且時間足夠長，那么產權和定價這兩個問題都會得到解決。如果我們考察的是一種普通的產品，那么這種觀點沒有什么問題。因為對于一般的產品，與市場相關的各種制度早已經成熟，所有市場探索都可以在既有的制度框架中運作，最終一定會達成一個結果。

　　但對于數據市場來說，問題卻是不同的。原因很簡單：數據這種要素實在是太新了，它的市場本身就是在各種配套制度都沒有建立的條件下出現的。在這種情況下，所謂的市場摸索就可能帶來難以想象的外部性。比如，如果法律沒有對個人數據的采集、使用和流通進行規定，那么一些企業就會鉆這個空子，置人們的權益于不顧非法進行搜集、使用和交易。在這個交易的過程中，大量用戶的權益可能會受到損害。從這個意義上看，我們固然要數據產業成長、數據市場發展，但是這種成長和發展絕對不能是無序的。對于它們的邊界，我們一定要理清楚。所謂“隨心所欲而不逾矩”，只有我們把外面的規則畫好了，市場的探索才能更高效。

　　那么，數據市場發展的邊界規則是什么呢？從現在看，最關鍵的有兩個：一個是安全，一個是個人隱私保護。現在，《數據安全法》馬上就要實施了，《個人信息保護法》應該也會在不久后出臺，這兩部法的用意就在于構建兩個最關鍵的邊界規則。

　　我聽到不少朋友講，這些法律的出臺可能會限制數據市場發展。誠然，在表面上看，如果沒有任何法律的約束，企業可以為所欲為，就能從數據中獲得更多的利益。但其實這種利益本身是有風險的。以企業違規搜集使用用戶信息為例，即使在法律層面上，這些行為不會受到懲罰，但久而久之，這些行為會在社會中積累起很多負面的情緒。等到這些情緒總爆發，就可能會對企業的業務造成非常大的影響。與其這樣，倒不如有一些法律提前對企業的行為進行限制。

　　而從國際層面上看，《數據安全法》的出臺則帶有更為深刻的大國博弈性質。

　　在數字經濟時代，對數據資源進行控制，已經成了大國博弈的一個重要手段。為了爭奪數據主權，各國都在立法層面下足了功夫。比如，在2018年3月，時任美國總統特朗普簽署了《澄清境外數據合法使用法案》，也就是所謂的《云法案》。根據這項法案，如果美國政府索取，任何受美國管轄的公司(包括在美國經營或者在美國為客戶提供服務的公司)都需應要求將數據轉交給美國政府。即使這些數據存儲在海外，也同樣受到該法案的約束。由于美國的公司遍布全球各地，因此這一法案事實上就把美國的數據霸權延伸到了全世界。而不久之后，歐盟也出臺了《通用數據保護條例》，也就是我們熟悉的GDPR。這一《條例》規定，所有從歐盟公民收集數據的企業必須遵守歐盟的規則，受歐盟的管轄。如果將GDPR和《云法案》對應起來，就不難看出這兩者之間是存在著一定的對抗關系的，從某個角度看，GDPR是在和美國爭奪對于數據的主權。當然，在防守美國數據霸權的同時，歐盟也一樣把“長臂”伸向了全世界。一旦數據涉及了歐盟的用戶，就自動落入了GDPR的管轄范圍。

　　應該說，在歐美都通過立法積極爭奪數據主權的時候，立法上的滯后會讓我國在國際競爭中顯得十分被動。目前，我國已經有了一大批大型的數字經濟企業，它們的業務已經遍布世界各地，很多業務和歐、美有往來。按照《云法案》和GDPR，歐美的執法機構就可以很容易找到理由自由調取這些企業的數據。顯然，這對于這些企業的經營，以及我國的經濟安全都有可能帶來很大的負面影響。

　　事實上，無論是去年的TikTok風波，還是今年的滴滴事件，類似的矛盾都已經顯露了出來。不僅如此，現在很多國外的企業在中國有業務分支，例如蘋果就在中國有龐大的用戶群，而微軟則是重要的云服務供應商。雖然按照《網絡安全法》的要求，這些企業都將“個人信息和重要數據在境內存儲”，但如果沒有更為專門的法律對數據跨境作出進一步規定，就很難避免這些企業出于美歐政府的壓力，向美歐提供數據的情況發生。而一旦這種情況發生，則很可能對我國的國家安全造成巨大的影響。從這個意義上講，我國加速出臺《數據安全法》，也是為了補足法律短板，以免自己在和美歐的大國數據博弈中吃虧。

　　《數據安全法》解決了什么，沒解決什么

　　從總體上看，《數據安全法》的內容是十分豐富的。它的實施，將會解決很多數據應用和交易當中的問題。限于篇幅，這里只介紹其中的八個方面。

　　第一，《數據安全法》明確了數據安全和發展之間的關系，對數據的應用工作提出了一個總的指導。

　　我們知道，在世界各國，關于如何處理數據安全和發展，態度是有很大差異的。總體上，歐洲對于安全問題的考量更多，并且這種考量更多側重于個人數據安全層面，而對于發展問題，則放在了一個較輕的位置上。而美國，雖然也重視安全，但一方面，其側重更多地放在了國家安全層面；另一方面，其對于經濟發展的重視是要遠高于歐洲的。現在的實踐已經證明，這種差別直接決定了兩個地區在互聯網等數據密集型產業上的發展狀況。類似的，我國究竟怎樣平衡安全和發展，也會對相關產業的發展起到至關重要的作用。

　　從法律文本上看，應該說整部《數據安全法》都體現出了“數據安全與發展”這兩個目標平衡的思路。在第一條，就明確提出了立法的宗旨是“規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益”；在第十三條，又進一步強調了“國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。”在一部以“安全”為核心的法律中，如此明確、頻繁地提到了發展的內容，立法者重視發展、支持發展的用心可以說是十分明顯了——只不過，這種發展絕對不能是無序的，它應該是以安全作為一個總的邊界。

　　第二，《數據安全法》對與數據安全相關的各角色的相關職責進行了劃分，明確了各自應當扮演的角色、承擔的責任。

　　維護數據的安全，是一個系統性的過程。在這個過程中，政府、企業、社會相關管理者、運營者和經營者需要相互配合、相互協調。只有這種配合和協調是足夠順暢的，相關的工作才可能很好的完成。然而，在過去，上述的每一個角色究竟應該在這個過程中扮演怎樣的角色、承擔怎樣的義務，相關規定都是不明確的。在這樣的情況下，角色缺位、越位、沖突的現象比比皆是。尤其是在政府的不同部門之間，經常出現類似“九龍治水”的管理沖突，造成了很多問題。針對以上這些問題，《數據安全法》專門對各個角色的相關職責進行了劃分。尤其是在第五和第六條中，對于政府各部門之間的權責劃分進行了很詳細的闡述。這一劃分，可以很好地解決過去由于職能不清所造成的問題，從而減少很多不必要的麻煩。

　　第三，《數據安全法》提出了十分明確的對數據進行分類管理和保護的思路。

　　在該法的第二十一條中，明確指出“國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。”很顯然，這種分類監管的思路，將有效地用于保護的資源與數據重要性之間的匹配，從而指引整個數據安全工作更加有的放矢，更加具有效率。

　　需要指出的是，對數據分類進行管理并不是《數據安全法》首創。事實上，在《網絡安全法》當中，已經提出了類似的管理思路。不過，這兩部法律中的分類管理還是存在著很大的差別的。在《網絡安全法》中，數據分類的決策，主要是由網絡運營者作出的，其目的主要還是為了保證網絡運營環境的安全。而在《數據安全法》中，對數據分類的責任則落到了各地區和各部門主管單位身上，而企業則沒有類似的責任和權力，只有根據分類進行合規的義務。顯然，這種安排不僅充分體現了國家對于數據安全本身的重視，還可以很好地在法律適用的普遍性和具體情況的特殊性之間實現有效的權衡。

　　第四，《數據安全法》對數據交易管理、安全評估、安全審查等具體的制度，都給出了比較完整的規定。

　　具體來說，關于數據交易管理，第十九條提出了“國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場”，而第三十三條中，則對從事數據交易中介服務的機構的行為作出了具體的規定。值得一提的是，這應該是“數據交易中介機構”第一次出現在我國的法律中，其對于數據市場的規范和發展是具有標志性的意義的。

　　關于安全評估機制的規定，則主要體現在了第二十二和第二十三條中。其中，第二十二條構思了一套“集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制”，而第二十三條則在此基礎上提出了對數據安全風險的應對機制。

　　關于安全審查的規定主要體現在第二十四條“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查”。這里比較值得一提的是，法條中專門強調了“依法作出的安全審查決定為最終決定”。也就是說，它無法被行政復議或行政訴訟推翻。這個規定，應該引起比較多的重視。

　　第五，《數據安全法》對數據安全保護義務作出了比較具體的要求。

　　在法案的第四章中，對數據處理及研究過程中的各種主要風險，以及相關主體應該在這個過程中承擔的義務都進行了比較多的探討。具體的內容，限于篇幅在此不再贅述。比較值得注意的是，在這一部分，提出了“重要數據的處理者”和“關鍵信息基礎設施”等概念。這些主體，由于其特殊的重要性，在承擔一般義務之外，還被要求承擔了一些額外的義務。很顯然，這也體現了一種分類監管的思路。需要指出的是，對于這些主體來講，《數據安全法》賦予的責任只是它們需要承擔責任的一部分。在很多后續的相關法律、法規中，還對它們的其他義務作出了很多的規定。例如，在9月1日，《關鍵信息基礎設施安全保護條例》也將開始實施，在這個條例中，就對“關鍵信息基礎設施”的責任和義務作出了更為詳細的規定。這些規定，正好和《數據安全法》構成了互補。

　　第六，《數據安全法》對數據跨境問題，作出了不少重要的規定。

　　如前所述，《數據安全法》的一大立法初衷，就是要回應大國之間對于數據主權的博弈，要對數據的跨境流動規則提出中國自己的規則。這一初衷已經在現有的條文中得到了很好的反應。

　　具體來說，在第二十五條中，指出“國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制”；而在第三十六條中，則進一步補充道，“非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”。這兩段表述，應該可以視為是我國在數據主權問題上的主要主張。

　　第七，《數據安全法》對政務數據的安全與開放過程中的責任作出了專門的規定。

　　在這部法律中，政府部門的責任足足寫了一章，篇幅非常大。這種安排，本質上是由政府本身的角色形象所決定的。我們知道，政府手中是掌握著海量數據的，并且其中的一部分數據是很難通過市場機構找到有效替代品的，因此其價值可謂非常之高。從這個角度講，我們要搞大數據，就必須設法讓政府的數據也匯入到市場中來、能為大家所用。但是，政府手中的很多數據又往往是十分敏感的。例如，居民的戶籍信息、犯罪記錄等，這些數據如果隨意流動，很可能會造成非常不好的影響。因此，如何開放政府的數據，如何在安全與開放之間尋找一個平衡，就是亟待回答的問題。這里值得一提的是，在關于政務數據安全與開放的一章中，雖然討論了很多關于安全的措施，但從篇幅上看，關于開放和發展的論證其實并不比關于安全的少。這一點，其實已經釋放出了很大的信息量。

　　第八，《數據安全法》對違法所導致的處罰作出了規定。

　　例如，根據第四十五條，違反國家核心數據管理制度的，可由有關主管部門處二百萬元以上一千萬元以下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。而第四十六條則規定，向境外提供重要數據的，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處罰還可以更為嚴重。

　　而類似GDPR等域外法律在規定處罰時，是可以以企業營業額的百分比來計算處罰金額的，這使得可以對一些比較嚴重的數據違法行為處以天價的罰單。反觀《數據安全法》，盡管看起來處罰力度并不算低，但如果對一些比較大型企業的嚴重違法行為，類似的處罰是否可以達到足夠的懲戒，其實還是需要觀察的。

　　綜上所述，不難看到，雖然《數據安全法》從起草到實施，時間并不算長，但卻已經對涉及數據安全的重要問題都給出了比較詳細的回應，已經可以在很大程度上為現在的數據開發和應用活動提供比較好的參考。

　　當然，或許是由于時間倉促，目前的《數據安全法》還有一些有待進一步完善之處。

　　舉例來說，現在關于《數據安全法》的討論中，數據分類保護無疑是一個熱點。如前所述，這種分類保護的思路有很強的靈活性，因而很好地適應不同的具體環境。然而，對于具體的企業來講，這種靈活性就未必是好事。事實上，一個企業經常會有跨地區、多領域的經營，那么按照這種靈活的設定，它的數據可能需要按照多套不同的標準進行合規。這樣一來，企業可能會無所適從。

　　不僅如此，由于數據是具有互補性的，因此單個數據的安全性等級和多個數據的安全性等級并不能一一對應。比如，在一些諜戰劇當中，我們會看到這樣的橋段：一些經驗老道的間諜可以通過閱讀公開的報紙來推斷出敵國的機密軍事動向。一般來說，在報紙上公開發表的內容都不會有什么涉密或者影響國家安全的內容，但是如果將很多類似的內容結合起來，就可以拼湊出很多重要的信息。在大數據條件下，類似的效應會被更加地放大，很多看似人畜無害的數據，如果放在一起，就可能產生“1+1>2”的效應，因此也就會有了安全的風險。對于這一情況，我們一定要引起高度的重視。它意味著，除了對單個數據進行分類管理和保護外，可能還需要出臺一些關于數據集的安全等級規則。

　　除此之外，《數據安全法》中提到的不少規則也還沒有詳細的細則。比如，政務數據的開放應該如何落地、數據交易規則應該如何完善、數據的跨境執法應該如何執行……這些問題，恐怕都要通過后續的相關法律法規來進一步完善了。

　　《數據安全法》會催生哪些商機

　　一般來說，每一部法律的出臺，每一個規則的變動，都會催生一批新的商業機會，由此引發一輪行業的大變革。

　　最為直接的，在《數據安全法》實施后，企業在數據安全上的責任就一下子加大了。這會倒逼它們加大在安全領域的投入，以期規避因安全風險造成的損失。顯然，這會催生出很多新的機會。在對人工合規需求上升的同時，對相關軟件應用的需求也會增加。自動化的數據合規軟件，可能會像過去的企業財務軟件一樣，迅速發展出很大的需求，從而成為一個風口。

　　當然，相對于以上這些，一個更大的風口可能還是會來自于通過技術規避風險的努力。比如，聯邦學習、多方安全計算、區塊鏈等技術，很可能在這一輪對于數據安全的重視中產生很大的商業價值。

　　以聯邦學習為例，在兩年前的一篇專欄中，我曾經提到過，包括安全在內的很多與數據相關的問題，其實是由中心化的機器學習方法導致的。正因為現在主流的機器學習技術需要將數據集中之后才能進行分析，所以企業才有激勵去采集人們的個人信息，才需要將采集到的數據進行傳輸，然后將數據進行集中的存儲和處理。只要是這種集中的機器學習模式被顛覆了，那么這些問題也就自然得到了解決。而聯邦學習技術就提出了對以上問題的一套解決方案。它變過去的“搜集數據給程序”為“讓程序自己去找數據”，從而很有效地打破了集中學習的模式。這在理論上可以讓數據不出本地，數據的可用而不可得成為了可能。正是由于有了這種性質，所以現在很多做和聯邦學習相關業務的公司業務都很繁榮，估值也都很不錯。

　　不過，在目前的技術條件下，聯邦學習還不能完全解決數據安全的問題。比如在縱向聯邦學習和遷移學習的過程中，中間還是需要有一個階段，要讓數據在一個第三方的云上面實現交換和整合。而在這個過程中，數據泄露或者被篡改的可能還是存在的。此外，利用聯邦學習的特征，進行相應的黑客攻擊也是完全有可能的。從這個意義上看，雖然類似的技術會為我們解決安全問題找到一條路，但這條路本身可能還有很多有待完善之處。當然，從商業角度看，這些瑕疵本身其實并不是什么問題。事實上，它們本身也是另一個商業機會。如果可以有更好的方案解決聯邦學習過程中存在的以上問題，那么這些技術解決方案也將會是非常有價值的。

　　除了以上這些直接與數據安全相關的商機，《數據安全法》可能間接帶來的另一個重要商業機會是與數據交易相關的產業的發展。現在數據市場發展的不完善，一定程度上是由于交易本身就處于灰色地帶，很多安全風險無法回避。而在《數據安全法》落地后，相關的風險就可以有效減少，數據交易的成本也會隨之降低。

　　除此之外，由于數據本身的固有特征，要對原始數據進行交易其實是非常困難的。相比之下，交易數據的使用權或許是一種更為可取的選擇。過去，這種使用權的交易是比較難以實現的。但隨著《數據安全法》的推進，聯邦學習和安全計算技術被作為落實這一法律的技術基礎而被廣泛應用，這些技術“可用不可見”的特點，客觀上也就為使用權的交易提供了很好的基礎。在這種情況下，數據的交易就可能真正發展起來，而與之相關的產業也就可能興起。

　　總而言之，《數據安全法》的實施本身只是一個事件，但這個事件之后，又會激發出更多技術、商業和法律的變革。這就像一顆石子扔進了池塘，激起的漣漪會不斷擴大。或許，整個數據產業和數據市場都會因此而不再一樣。