科学的立法理念、严密的立法结构是保障数据安全立法发挥实质性作用的关键。根据我国当前数据安全立法情况以及现实中存在的问题，我们应从立法定位、制度设计、平衡立法、法效范围和立法技术五个方面寻找我国数据安全立法的具体实施方略。

　　（一）立法定位:数据安全领域基础性法律

　　“科学的立法定位是搭建立法框架与设计立法制度的前提条件”。数据安全法律体系建设必须坚持总体国家安全观，立足维护基础国家安全，发挥数据安全法律最基本的保障功能。

　　1. 立足总体国家安全观

　　《数据安全法（草案）》中提及的“总体国家安全观”所强调的应是将国家安全问题贯穿于数据全生命周期的每个环节。我国数据安全立法的立法定位和立法目标应该以数据全生命周期的数据保护为基础，切实维护国家安全至上。坚持在党的领导下，立足总体国家安全观，并将其作为数据安全立法的指导思想。

　　2. 立足安全保障基本功能

　　在制度定位方面，数据安全立法应当以数据安全基本法为定位，更加注重数据安全与数据发展之间的平衡关系。同时，还需注意规避一些特殊问题，例如数据歧视及其伦理等问题，防治数据安全利益泛化。站在体系定位角度进行分析，《数据安全法》必须立足于人，并且在与《个人信息保护法》同时存在的情况下，还需兼顾公共与国家安全的保障功能。

　　（二）制度设计:统筹内部安全和外部安全

　　从数据本身来看，数据安全的基本要求存在两个层次，一是“传统的数据安全”，即保障数据作为重要资产的安全，避免数据安全事件的发生对个人、组织、社会、国家造成危害。二是“新的数据安全”，在数据处理过程中，管控数据滥用行为对外部可能造成的危害。从数据面向范围看，数据安全也存在两个层次，一是国内范围使用和处理数据过程中的“内部安全”;二是国外使用和处理数据过程中可能对中国进行利益侵犯“外部安全”。

　　2018年是全球数据治理不平凡的一年。3月，美国出台《澄清域外合法使用数据法》（Cloud Act）;4月，Facebook侵犯用户个人信息用于总统大选;5月，欧盟发布号称史上最严个人信息保护法《通用数据保护条例》。这三次重大事件分别从不同角度揭示了数据安全的重要性，数据关乎国家主权、关乎国家政治、关乎全球博弈。面对外部冲击和内部需求，我国数据安全立法工作应以《国家安全法》为根，以“关键（重要）数据”为基，同时借鉴丰富的域外经验，强化国家关键数据资源保护能力。这不仅有利于与《网络安全法》的衔接，还有利于国际交流和相互理解。

　　（三）平衡立法:体现利益平衡原则和功能

　　数据安全立法的核心议题是兼顾“数据安全与有效利用”。为此，应该处理好三组关系。

　　1. 数据安全多元主体间的关系

　　数据安全中的安全，包括从国家、企业、个人三个不同的主体视角呈现的三个不同数据安全维度，这三个不同维度的数据安全需要有不同的数据安全制度予以保障。数据安全立法应当超越单一的国家视角，从国家、企业、个人三个不同的角度，探索制定最优的法律制度，真正实现数据安全与数据发展的平衡。

　　2. 数据安全监管内在关系

　　任何监管机制都存在不同部门间的横向关系和不同层级间的纵向关系，甚至包括国内监管和国外监管的主体关系。数据安全立法对数据安全监管体制的具体建构，必须处理好监管主体之间的内在关系。横向关系中，要明确数据安全主体责任;纵向关系中，要关注各层级机构的主体责任。在条块关系的处理上，注意权力和责任的划分，实现统一高效。

　　3. 数据安全监管外在关系

　　在数据安全立法关系中，要注意监管机构与其监督者的关系，也就是对数据监管机构监管权的法律控制。在数据安全立法中，权力应该受到制约。首先，法律条款要有明确的法律依据和判断标准，实现法律规则的事前制约;其次，在履行权力和职责的过程中，实现法律程序的事中约束;最后，要对数据安全监管的权利和职责进行再监督，实现司法审查的事后监督。

　　（四）法效范围:以数据主权构建域外效力

　　在数据控制权的博弈上，明确数据主权是确定一国对某一数据是否具有控制力的前提。众所周知，Tik Tok是字节跳动公司研发的一款短视频社交App，2016年9月正式在国内上线，2017年起进驻海外市场，短短两年时间，Tik Tok迅速占领国内外市场。Tik Tok在不断发展的同时，也开始面临有关数据泄露、隐私侵权等方面的调查与诉讼，遭到多国封禁，其中美国的制裁手段最为强硬。Tik Tok海外被禁一事体现了美国对全球数据博弈的态度，即“以我为主、为我所用”，构建符合自身实力和利益诉求的数据流动规则便是维护各自数据主权的核心方法。从我国的实践看，《数据安全法（草案）》第2条在属地管辖外确立了数据安全的保护管辖。与《网络安全法》相比，草案第2条为进一步扩宽域外效力的适用范围，删除了《网络安全法》第75条中“造成严重后果”的规定。这与欧盟《通用数据保护条例》中的相关规定存在明显的不同，主要是以数据主权为基础，从而确定具有保护性质的管辖规范。建议草案设置“适格外国政府白名单”，并且根据实际变动情况对该名单进行动态管理。

　　（五）立法技术:重视立法影响评估和优化

　　制定的规制实施后要想获取良好的结果，必须对其进行全面的评估。当下，数据安全形势快速变化，应当对现行立法进行评估，对未来立法（如《数据安全法》等）进行立法前评估。一方面，《网络安全法》从实施到现在，已经历了三年多的时间，有必要开展实施效果评估。评估过程中，还应结合实践经验，以及时代进步等方面的内容，进行适当的调整。另一方面，针对正在审议中的立法需要进行充分的评估，预测实施后可能实现的效果———包括可操作性、立法影响等。另外，随着中国在全球新一轮信息技术革命中展现出的巨大潜力，中国数据安全等立法已成为全球关注的重点，这有益于中国不断提升在国际舞台上的话语权和影响力。但应当注意，相关立法制度设计也可能成为他国心怀叵测侵犯中国利益的借口。鉴于此，中国在数据安全制度设计中，要重视国际影响评估。一是以现有的立法程序为核心，遵守《立法法》有关立法影响评估标准，将立法影响评估的程序和机制贯穿于数据安全立法始终;二是在当前立法程序外再增加专门的立法评估程序和机制，由独立第三方机构完成评估工作。此外，还应出台相关法律规范，确保评估制度的落实和开展，更好地服务于数据安全相关立法的出台、实施等相关程序立法影响评估。

　　全文参见《中国大数据发展报告NO.5》，社会科学文献出版社2021年4月出版。