面对波云诡谲的国际局势、日趋复杂的数据安全态势，制定数据安全领域的基础性法律规范是非常必要的。在此背景下，《中华人民共和国数据安全法（草案）》（以下简称《数据安全法（草案）》）的出台可谓恰逢其时，该法是贯彻落实国家总体安全观，积极培育数据要素市场的重要体现，也是向全球传递中国数据安全理念，增进中国数据产业稳定发展信心的关键举措，但在某些具体制度设计方面，草案仍有进一步完善和提升的空间。

一.   全国一盘棋：统筹规划重要数据目录

自2016年《网络安全法》提出“重要数据”的概念以来，已有诸多数据相关立法围绕重要数据设置了特殊保护规则，但重要数据的范围如何划定，由谁来划定，却始终付之阙如。《数据安全法（草案）》第19条第2款试图解决这一问题，规定由各地区、各部门按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录。然而，由于此种规定权力过于下放且分散，可能在实践中造成重要数据范围规定的碎片化，不同地区、不同部门划定的重要数据范围可能存在相互交叉、重复甚至冲突的情况，而规则的不统一将对数据要素的顺畅流转造成极大阻碍，并给市场主体的正常经营带来困扰^[1]。为避免上述弊端，对于重要数据范围的划定应当坚持全国一盘棋的理念，由中央层面进行统筹规划，从而避免同一类数据在不同部门、不同地区被重复、交叉认定。

二.   风险精准管控：合理设置数据跨境调取的审查规则

为应对境外执法机构的“长臂管辖”，防范因数据出境造成安全隐患，《数据安全法（草案）》第三十三条规定：凡境外执法机构调取存储于我国境内数据的，均应经过有关部门的批准方可提供。然而，仅以数据是否存储在我国境内为标准，划定数据出境审批规则的适用范围恐有矫枉过正之嫌，可能对我国数据服务产业开拓海外市场带来负面影响^[2]，与分级分类保护的监管理念亦有偏差。

具体来说，在外国用户使用我国企业提供的云服务时，必然会有大量数据存储在我国境内。这些数据中，既包含与我国国家安全和公民合法权益相关的数据，也包含与其完全无关的数据；既包括在我国境内产生的数据，也可能包括完全产生于境外的数据。若不加区分的对所有数据适用出境审批规则，将可能使外国执法机构对该国企业的正常执法造成较大阻碍。这不仅会给海外用户造成极大不便，影响其对我国云服务企业的选择意愿，同时，执法活动总是受制于中国政府，也可能会促使外国政府采取反制措施，要求该国企业使用在本地，或者在未对数据出境设置过多限制的地区设置数据中心的云服务厂商。

限制数据出境本身并不是目的，只是维护数据安全的手段，因此对于数据跨境审批规则的适用，应采取“精准打击”策略，根据分级分类的监管理念，聚焦于那些可能对国家数据安全造成影响的调取行为，尽量减少对正常的数据跨境流动的影响。

三.   贯彻依法行政：推进国家机关数据收集行为的法治化

当前国家机关随意获取企业数据的问题较为突出。《数据安全法（草案）》第三十五条要求国家机关需要具备法律、行政法规依据收集、使用数据，但实践中很多国家机关依据本部门的规范性文件，强令企业报送数据，多头索要、过度索要、重复索要的情况较为普遍，在一定程度上增加了企业的经济成本和法律风险^[3]。此外，我国的国家机关获取企业数据的规范性问题，是国际舆情关注重点，也是境外敌对势力抹黑中国科技企业的着力点。鉴于本法具有域外效力，为有力回应这些质疑，需要更加清晰地规范有关国家机关收集数据的行为，以彰显中国尊重和保护企业数据财产权益和公民个人信息的态度和决心。

为更好地解决这一问题，为企业合理抗辩提供更为有力的依据，有必要限定在没有法律、行政法规明确规定的情况下，国家机关不得要求公民、法人和其他组织提供数据。同时，在索要数据时还应依循合理、必要原则，避免过度索要数据。在索要数据的程序上遵循法定规则，以书面形式向企业提出数据报送要求，并在其中对数据报送的对象、范围、数量、用途、周期、格式等事项做出明确说明，方便企业据此启动数据报送程序。

请点击以下文章标题，查看专题文章

数据安全立法的机理、表达与规范——“数据安全法治暨《数据安全法》立法研讨会”发言摘录

《数据安全法》的体系坐标与精细表达

对《数据安全法（草案）》的完善建议

互联网产品视角观察数据安全与境外调取数据制度完善

《数据安全法》：数据行业的基础性合规框架

欧盟《通用数据保护条例》对我国数据安全立法的启示

我国数据安全立法的定位与方向——关于《数据安全法（草案）》的修改建议