第三条 【数据、数据处理和数据安全的定义】

本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

【释义】

本条的规范对象是《数据安全法》的具体适用范围和调整对象，明确界定“数据”“数据处理”和“数据安全”三个关键概念，这也是区分《民法典》个人信息保护条款、《个人信息保护法》和《数据安全法》三部重要法律体系定位的重要依据。

首先，该条明确将“数据”界定为“信息”的表现形式，即是以电子或其他方式记录的信息，在第2条的基础上进一步细化本法的适用范围。在该法制定过程中，“数据”和“信息”之间的概念区分存有争议，主要包括三种观点：一是“信息”属于“数据”的子概念，“信息”是从采集的“数据”中提取的有用内容；二是“信息”与“数据”相互混用，概念区分没有实质意义；三是“数据”属于“信息”的子概念，仅表示“信息”在电子通信环境下的表现形式。但从第3条内容来看，“数据”和“信息”的关系是载体与内容的关系，所有的“数据”都是信息，但不是所有的“信息”都是“数据”，因为现实生活中“信息”的表现形态除了电子数据之外，还包括日常对话、横幅标语等。此外，据第2条第1款之规定，“数据”的实际表现形态除了常见的二进制、电信号、计算机代码等电子方式之外，还包括其他信息记录方式。这里的兜底性规定实际上为未来信息技术迭代产生的新生客体预留了足够的解释空间，及时填补了相对稳定的法律规定与技术创新实践之间可能产生的立法空白。

其次，本法第2条第2款明确界定了常见的“数据处理”行为类型，包括收集、存储、使用、加工、传输、提供和公开等形式，这一界定方式与《民法典》第1035条第3款规定的“个人信息的处理”相一致。因为常见的数据处理场景中，“数据处理”概念范畴囊括了“个人信息的处理”，既包括针对数据形式存在的个人信息采取技术处理措施之外，还包括对公开信息、公共信息、国家机密等非个人信息采取数据处理措施。在数据安全立法体系层面，个人信息保护的具体规则与《数据安全法》的具体条文显然存在应然的交叉重叠关系。

最后，本法第2条第3款进一步明确了“数据安全”的具体内涵，是本法创新的核心内容之一。具体表现为：其一，回应本法第1条所确立的立法宗旨，“数据安全”不是单纯强调数据不被外部因素干扰的静态安全，而是包括“有效保护”“合法利用”和“保障持续安全状态的能力”三个评价指标的动态安全。“有效保护”可以视为数据安全状态的具体评价标准，义务主体在履行数据安全保障义务的过程中，除了应当采取本法规定的技术保护措施之外，还应当保障这些措施效果能够实现有效保护。采取必要措施并不等于义务履行的完成，还应当保障数据处于有效保护状态，《数据安全法》更侧重义务履行方式的主动性与积极性。“合法利用”则是强调立法宗旨将数据安全与数据利用置于同等价值层面，不过从该款文字表述方式来看，显然在两种立法目标存在冲突时，“有效保护”应当优先于“合法利用”予以实现。并且，这里的“合法”标准除了包括《数据安全法》的具体条款之外，还包括其他与数据安全保护、个人信息保护相关的法律法规。“保障持续安全状态的能力”这一要件则是说明数据安全的法律评价是以持续性的数据状态为对象，传统理论中数据的完整性、保密性和可用性的评价体系仅仅是具体时间节点的数据安全状态，本法的界定方式实质上是将整个数据处理全生命周期都纳入调整范围，每一个数据处理环节都应当保障数据的安全状态。其二，本款对关键概念的界定也在一定程度上强化了该法实施的可操作性，避免空洞的“安全”概念不当扩大该法的调整范围，有助于法律主体对自身行为的法律后果进行合理预期与评估。“数据安全”的基本逻辑是“行为+效果”的综合判断模式，即法律主体首先应当按照本法的具体条文采取必要的技术措施和管理措施，其次采取的措施应当能够确保数据得到有效保护和合法利用。倘若法律主体采取的必要措施不具备保障数据安全的功能，显然应当视为未履行义务或义务履行瑕疵。其三，该款对“数据安全”的界定方式明确了《数据安全法》与个人信息保护相关立法的定位差异。不难发现，有关“数据安全”的表述始终围绕“数据”这一客体予以展开，并没有直接提及保障信息主体权利。这是因为《数据安全法》在立法定位上属于公法范畴，首要目的是确保数据处理活动的规范性与安全性，本法除了保障以数据形式存在的个人信息安全和个人信息权益保护之外，还需要保障涉及国家主权、安全和利益的“数据安全”。当然，这并不意味着《数据安全法》将是所有个人信息保护立法的上位法，本法是以“数据安全”这一法益作为核心立法目标，而个人信息保护立法则是以“个人信息权益保护”作为核心立法目标，所谓的“个人信息安全”在权益话语体系下也是表现为在个人信息处理活动中是否保障了合法的个人信息权益。

该条的适用难点在于如何通过“数据”“数据处理”和“数据安全”这三个关键概念理解《数据安全法》《网络安全法》和个人信息保护相关条文之间的关系。首先，依据《民法典》第1034条规定的“个人信息”概念，“个人信息”是有关自然人的“信息”，而该条规定的“数据”则是对“信息”电子化或其他方式的记录，“数据安全”的概念显然涵盖了“个人信息安全”。其次，《网络安全法》第76条将“网络数据”概念界定为“通过网络收集、存储、传输、处理和产生的各种电子数据”，这与本条规定的“数据”概念差别在于，前者的立法目标是以网络安全为基础，故而“网络数据”更强调依托网络环境处理的电子数据；后者则是涵盖电子方式或其他方式的所有“数据”。最后，《国家安全法》第25条提及了“国家建设网络和信息安全保障体系”，这里的“网络”和“信息”概念强调的是广义层面的网络空间和各种类型信息，再结合《国家安全法》第3条提及的“总体安全观”，可以推导出“数据安全”是“总体安全观”的子内容之一，《数据安全法》是“国家安全”在数据治理层面的具体体现。

该条内容与《数据安全法（草案一次审议稿）》（以下简称《数据安全法（一审稿）》）、《数据安全法（草案二次审议稿）》（以下简称《数据安全法（二审稿）》）相比，没有太大变化，细节变动主要包括两点：第一，《数据安全法（一审稿）》和《数据安全法（二审稿）》均是以“电子形式”和“非电子形式”的划分标准来界定“数据”概念，但最终还是以“其他方式”取代了“非电子形式”的表述。这种变化的原因可以解读为立法技术的选择，因为实践活动中的数据形式复杂多变，倘若采用“电子”和“非电子”的二元化概念，有可能无法及时回应未来可能出现的新型数据类型。相比较而言，“其他方式”之表述能够更有效地延伸“数据”概念，并且该种表述方式既强调了电子数据的重要地位，也指明了本法适用范围包括所有信息记录形式的数据，只要具备经济价值、国家安全价值等要素的数据均属于本法的保护范畴。第二，《数据安全法（一审稿）》《数据安全法（二审稿）》均有规定“数据安全”是一种保障持续安全状态的能力，而最终通过的《数据安全法》则是增加“具备”一词。虽然条款意思并没有发生太大变化，但“具备”之表述实际上暗含了法律主体从事数据处理活动的先决条件，即应当能够保障数据处于持续安全状态的技术能力和经济能力。当然，这并不是要求所有义务主体都要遵守同一水平的保障能力，因为立法者不可能要求诸如装修公司、手工艺企业具备与知名网络平台运营者同等的数据安全保障能力，该款实质强调的是义务主体根据数据处理活动的规模、范围以及从事业务领域应当满足相应的“数据安全”能力和条件。

【关联规定】

《中华人民共和国民法典》第1034条、第1035条，《中华人民共和国网络安全法》第76条，《中华人民共和国国家安全法》第25条

（撰稿人：龙卫球 赵精武）