摘  要：不确定法律概念的存在导致《数据安全法》内生一定程度的语义模糊性，尽管这是弥补立法有限理性，提升数据安全主管部门行政能动性的必然结果，但国家数据安全保障能力、个人和组织的合法权益以及数据发展的推进都受到一定程度的负面影响。对《数据安全法》中不确定法律概念的治理，并不是要消除不确定法律概念，而是要在承认其正当性与合理性的基础上，对可能出现的任性、恣意进行规范。对此，需要构建一套综合性治理方案。通过制定裁量基准，对不确定法律概念所涉及的法律情节和法律效果进行细化。引入行政复议以及有限度的司法审查，确保数据安全主管部门的裁量判断在法定目的和范围内运行。

关键词：数据安全法；不确定法律概念；数据安全；数据发展

数据安全横跨经济发展与国家安全两个核心领域，根据“既强调安全，又强调发展”的总体国家安全观，旨在为我国数据安全提供基本法律支持和保障的《中华人民共和国数据安全法》(以下简称《数据安全法》)于2021年正式出台。《数据安全法》对数据安全和发展问题作出了系统性规定，初步形成了以数据安全保数据发展，以数据发展促数据安全的治理体系。党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》重申了数字经济的重要性，也提出提升安全水平的必要性，为进一步实施《数据安全法》提供新的指引。

然而，任何法律规范都避免不了法律概念的不确定性。不确定法律概念是法律概念的一种特殊表现形式，它指征着那些外延不明确，语义相对模糊或存在多种理解可能的文本表达。在《数据安全法》中，不确定法律概念多以“严格”“充分”“相应”“有关”“相关”“及时”“大量”“严重”“重要”等形式出现，使得相关条文的内涵无法获得清晰明确的指引。这不仅影响了《数据安全法》实施环节的法律事实认定，还对其法律规范的选择产生了不利的影响。架构我国数据安全管理的基本框架，为复杂繁多的数据主体提供行为依据，这是《数据安全法》实施的重要内容之一。正因为如此，《数据安全法》作为实施的起点和总依据，它的法文应当可能清晰、明确。不过，不确定法律概念也有其正当性所在。立法与执法机关不能穷尽数据安全的多种可能性，尤其是在数字经济高速发展的当代世界，完全固化的法律不能应对数据安全形势于万一，因此，立法机关也需要对一些法律规范含糊处之，为法律实施提供必要的呼吸空间与裁量余地。不确定法律概念的存在对于《数据安全法》的实施存在正反两方面的影响。有对于《数据安全法》的研究或着眼于数据安全权利保障，或关注数据保护与应用等实际问题，又对法律规范的模糊性缺少深入研究。本文拟从《数据安全法》语义模糊性的应对角度出发，探索不确定法律概念对《数据安全法》实施的影响。

一、《数据安全法》中不确定法律概念的成因

任何法律都存在不确定法律概念，这是由法律本身的局限性所致。法律是人类生活的描摹和规范，法律的规范性和确定性要求它与人的言行举止深度契合，然而匮乏的规范语言显然不能完全映射纷繁复杂的现实世界，法律规范也只能尽力接近现实，而不能重现现实。这是不确定法律概念出现的根本原因。不过，不确定法律概念一般只有在涉及公权力时才值得深度考量，这是因为不确定法律概念原本就是法律为公权力行使所预留的理解与裁量空间。《数据安全法》事关公民权利和国家权力的平衡，其中存在不确定法律概念也在所难免。较之于其他法律，《数据安全法》还有一些特殊原因导致不确定法律概念的出现。

(一)数据安全问题仍在快速迭代演绎

在数字时代，数据几乎已经渗透到社会生活的每一个领域，这也导致数据安全问题往往牵涉复杂的社会面向，展现出高度的耦合性、复杂性，旨在规范传统世界的规则不足以对数字世界形成有效规范、回应数字时代的发展需求，催生了新的数字法治形态。不过，数字时代的实践发展显然超出了人们的预期，与数字有关的规则往往被快速发展的数字实践所牵扯，其生命周期较短，更新换代则更为频繁。但法律终究有稳定性之需要，不能朝令夕改，故而在数字法律中，应当为科技进步和现实转换预留足够的转圜余地。也正因此，数字法律的不确定法律概念较之传统更加多元化，其变迁也更为快速。

(二)数据安全权益的不确定性

《数据安全法》第一条规定：“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”可以看出，《数据安全法》的立法目的包含对个人、组织合法权益的保护。不过，该法并未明确保障个人、组织的哪种权利，甚至规范措辞中用的是“权益”而非“权利”。较之于权利而言，权益所包含的范围更为宽泛，相应地，其法律效力则较低。这也说明，一方面，《数据安全法》出台之时，法律尚未明确将“数据安全”或其他一些研究所主张的数据权利视为某种独立的“权利”,而是一种值得法律保障的“权益”。另一方面，这也意味着受到法律保护的数据安全权益具有较高的不确定性。一些权益，例如近来理论上主张较多的个人数字信息自决权等，在我国的保护力度还需要慎重考虑，在与“公共利益”等其他不确定法律概念相比较时，其作为权利的价值颇值得怀疑。而与此同时，当下并未引起关注的权益，很有可能随着数字实践的变化而成为某种法定的权益。对此，《数据安全法》力图通过不确定法律概念，达成既防止数据安全权益滥用，也防止数据安全权益得不到应有保障的制度运行目标。

(三)数据安全执法的裁量空间

数据安全事关国家数据主权、整体安全，需要有权机关进行必要管控与治理。然而，数字时代的许多问题以传统权力治理观念难以有效应对。执法机关在面对数据安全违法现象时，有时需要审时度势，按照法律外的某些要素裁量是否需要处理，以及处理到何种程度。这也需要为执法者预留裁量空间。《数据安全法》中涉及大量描述程度的不确定性法律概念，其目的也正在于此。同时，随着时代的发展，一些新的数据安全的现象频繁出现，在法律必须维持适当稳定性的背景下，只能寄望于执法机关不违反法律精神与法律规则的裁量判断。《数据安全法》在执法主体、执法程序、执法法律后果等问题上的留白或留缺，也是为了应对数据安全形势的发展变化。

二、《数据安全法》中不确定法律概念的表现形态

由于不确定法律概念具有相当程度的模糊性，因此确定哪些内容属于不确定法律概念，本身就存在着一定的不确定性，需要我们采用更为科学的确定方法。为此，我们采用了分组独立标注的方式，对《数据安全法》中的不确定法律概念进行标注，同时补充了标注争议的解决方式。在此基础之上，具体分析不确定法律概念在《数据安全法》中的表现形态。

(一)《数据安全法》中不确定法律概念的界定方法

从法学的一般性原理出发，类似于“严格”“充分”“相应”“有关”“相关”“及时”“大量”“严重”“重要”等表述都可以归为不确定法律概念的范畴，但也并非绝对。比如前述《数据安全法》第三十五条中的“有关”属于不确定法律概念，因为“有关”的具体范围无法直接确定。但是并非所有的“有关”都无法确定范围。比如《数据安全法》第十二条规定：“任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。”这里虽然同样使用了“有关”的表述，但是却可以通过《数据安全法》第六条对其进行文本解释，从而确定第十二条的“有关”包含工业、电信、交通、金融、自然资源、卫生健康、教育、科技、公安机关、国家安全机关等部门。再结合“违反本法规定的行为”的事项，就可以具体确定属于哪一个部门管辖。再比如，《数据安全法》第三十一条对“关键信息基础设施的运营者和其他数据处理者”设定了不一样的数据安全管理责任要求。其中“关键信息基础设施的运营者”和“其他数据处理者”在表述形式上属于不确定法律概念，并且按照前述文本解释的方法，在《数据安全法》中无法通过上下条文进一步加以明确。但是，如果我们进一步按照体系解释的方法，就可以将其拓展到《中华人民共和国网络安全法》(以下简称《网络安全法》)第三章第二节“关键信息基础设施的运行安全”,进而根据其第三十一条的规定确定“关键信息基础设施的运营者”和“其他数据处理者”的主体范围。因此这里的“其他”就不属于不确定法律概念。

这意味着，在判断《数据安全法》中的相关表述是否属于不确定法律概念，需要综合运用体系解释、规范解释、目的解释等多种方法。只有在上述方法都无法对相关表述的外延、语义和内涵作出准确界定的情况下，才能将其归为不确定法律概念，而不能仅仅依据具体条文的表现形态来划定不确定法律概念。同时，更为重要的是，不确定法律概念的特征是指外延不明确，语义相对模糊或存在多种理解，这个学理的界定本身就是一个相对主观的判断，缺少量化标准。不同的研究者可能会根据自身的理解对相同的表述作出不同，乃至完全相反的判断。为了确保研究的科学性，我们设立了两个标注小组，互不干扰，分别独立对《数据安全法》中的不确定法律概念进行标注。两个小组共同标注的不确定法律概念直接予以认定，存在争议的，由两个小组商议解决。最终，录得不确定法律概念49个，涉及的法律条文20条。

(二)不确定法律概念的形态分析

1.不确定法律概念章节分布

在《数据安全法》全部49个不确定法律概念中，其中第一章“总则”包含9个，占不确定法律概念总量的18%；第二章“数据安全与发展”包含3个，占6%；第三章“数据安全制度”包含11个，占22%；第四章“数据安全保护义务”包含8个，占16%；第五章政务数据安全与开放包含1个，占2%；第六章法律责任包含17个，占35%；第七章附则没有不确定法律概念。从每章不确定法律概念占全部法律概念比例的情况来看，《数据安全法》中的不确定法律概念主要集中在第六章法律责任、第四章数据安全保护义务、第一章“总则”和第三章数据安全制度。进一步分析发现，《数据安全法》第一章法条数量为12条，不确定法律概念9个，不确定法律概念占本章法条数量的75%。循此计算，第二章为38%,第三章为183%,第四章为80%,第五章为14%,第六章为189%。其中，第六章比例最高，其次为第三章、第四章和第一章。

2.不确定法律概念的类型

按照一般的法学理论，一个完整且理想的法条应当包括“假设、行为模式和法律后果”三部分内容。法律要想获得执行的生命力，必须把这三部分内容完整体现。也正是立足于这三部分内容，法律得以对某个行为的内容、范围和程度等事项作出明确。而不确定法律概念，恰恰就是围绕内容、范围和程度而展开。我们对《数据安全法》中的49个不确定法律概念进一步分类发现，涉及内容的不确定法律概念3个，占全部不确定法律概念总数的6%；涉及范围的不确定法律概念17个，占35%；涉及程度的不确定法律概念29个，占59%。

不难发现，上文三种不确定法律概念反映了几个重要问题。第一，《数据安全法》中涉及需要对内容进行理解的不确定法律概念较少，主要体现为“公共利益”这一传统上非常典型的不确定法律概念。第二，涉及对范围进行理解的不确定法律概念相对较多，且集中在“有关”“相关”“相应”三个关键词上，而这三个关键词所对应的主要是“部门”“主管部门”“个人、组织”等法律主体。这意味着《数据安全法》在诸多问题上既没有明确数据安全的主管部门，或者说没有将数据安全主管部门唯一化，而是将数据安全治理权分散在多元化的部门之中，形成执法主体的不确定性；也没有将数据安全的权益主体、数据安全的维护与损害主体予以明确化，这意味着《数据安全法》的保护对象和执法对象都处于相对不确定状态。第三，比表征范围更多的不确定法律概念是程度性不确定法律概念。此类不确定法律概念授予执法机关以广阔的裁量空间，体现出执法行为深度与广度的灵活性。

3.不确定法律概念所在条文性质

从规范性的角度考察，一部法律之中的法条可能会存在比较明显的区别。有的法条完全满足“假设、行为模式和法律后果”的逻辑构造，可以直接作为执法或者司法裁判的依据。但是有的法条可能只涉及“假设、行为模式和法律后果”的部分内容，有的甚至完全不涉及，不具有规范的强制性功能。按照法条的规范性强度，我们可以将其划分为宣示性条款、指导性条款和强制性条款三种类型。其中，宣示性条款“是法律条文中仅仅展示彰显某种观点价值，并不包括行为模式和法律后果等要素，不直接调整社会关系的条款”；指导性条款则有具体的行为模式要素，但缺少违反行为模式要求之后的法律后果；强制性条款则包含全部要素。在《数据安全法》中，49个不确定法律概念分布在20个条文中。按照宣示性条款、指导性条款和强制性条款的标准对20个条文进行分类，可以进一步得出不确定法律概念的分布特征。其中，宣示性条款中不确定法律概念4个，占总量的8%,指导性条款中不确定法律概念20个，占41%；强制性条款中不确定法律概念25个，占51%。

上述三种条款中的不确定法律概念，以指导性条款最多，反映出《数据安全法》十分明显的立法倾向，即《数据安全法》不是一个旨在精细化规制数据安全执法的法律，毋宁说更像是一个指引性法律规范。一方面，指导性条款中的不确定法律概念比重较高，表明《数据安全法》的规范重点在于为“有关”部门的数据安全执法提供一种并不十分明确的执法标准，而仅仅指明了执法的基本方向，避免执法机关执法无据。但是，对于执法主体、执法程序、执法后果等执法需要明确的要素，《数据安全法》并未予以明确。因此，《数据安全法》的规范性弱于其指导性。另一方面，强制性条款中不确定法律概念的大量存在，为执法机关留下了较大的裁量空间，赋予执法机关较多的自主权。从这两个方面来看，《数据安全法》更像是数据安全领域的基本法，尚待相应法律、法规和规范性文件的进一步补充和完善。

三、不确定法律概念对《数据安全法》的影响

尽管对法律概念的认识有不同的理解，但从功能上来说，指引和预测社会行为始终是法律的核心。法律的一个重要任务就是尽快形成清晰且稳定的制度预期，在这个预期之下，受法律调整的各方法律主体能够准确判断自己的行为是否符合法律规定，从而进一步决定、调整自己的行为。由此，法律主导形成了一个基于规则的法律秩序，实现对复杂社会生活的有效治理。因此，能不能形成制度预期，成为评价立法活动和法律实施活动的核心标准之一。

《数据安全法》第一条规定：“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”基于该条规定，我们可以大致勾勒出《数据安全法》所要形塑的法律秩序，它包含三个方面的内容。一是有效提升国家数据安全保障能力；二是对个人、组织的合法权益进行有效保护；三是推动数据经济发展，推进政务数据资源开放和开发利用。为了达成上述目标，《数据安全法》的语言表达应当以确定性作为根本，排除任何可能的弹性空间。然而广泛出现的不确定法律概念，在一定程度上消解了《数据安全法》的确定性，并不利于形成它所主张的法律秩序。

(一)不利于提升国家数据安全保障能力

作为新的生产要素和国家基础性战略资源，数据安全和国家安全密切相关。如果数据安全遭受威胁，国家安全必然会出现风险。因此，《数据安全法》的首要任务就是按照总体国家安全观的要求，提升国家数据安全保障能力，运用法治手段切实维护国家安全和发展利益。

为了实现这一目标，《数据安全法》进行了较为系统的制度设计，初步搭建起了我国的数据安全制度。一是根据数据的重要性进行分级，建立了分类分级管理制度。根据数据的分类分级结果，分别采取不同的保护措施。二是建立数据安全风险评估、报告、共享、预警机制，将数据安全的风险管控向前端延伸。三是建立数据安全应急处置机制，从而尽可能降低数据安全风险所带来的损害。四是通过数据安全审查制度和出口管制制度，进一步提升数据安全的保障能力。可以说，《数据安全法》这四项制度能不能得到有效实施，在多大程度上得到实施，直接关系着国家数据安全保障能力的实现与否和实现程度。

具体而言，数据分类分级制度由《数据安全法》第二十一条规定，数据安全风险评估制度由第二十二条规定，数据安全应急处置机制由第二十三条规定，数据安全审查制度和出口管制制度由第二十四条、第二十五条和第二十六条规定。对照不确定法律概念清单，除了第二十二条、第二十五条、第二十六条之外，其余法条均存在不确定法律概念。这意味着，数据分类分级制度、数据安全风险评估制度、数据安全应急处置制度、数据安全审查制度和出口管制制度都有模糊边界。同时，这些法条在性质上都属于指导性条款，需要各地区、各部门主动落实，将会在一定程度上影响落实效果。比如第二十一条规定了数据分类分级制度，以数据的“重要程度”作为分类分级的标准。但“重要”属于不确定法律概念，没有一个恒定统一的指标进行衡量。因此，很可能会导致各地区各部门出现数据分类分级不统一的情况。比如，按照《中华人民共和国保守国家秘密法》被确定为绝密、机密、秘密的数据，当然属于“重要”的范畴。但是那些没有被确定为绝密、机密、秘密的数据，是否属于重要，不同的地区和部门可能就会有完全不同的理解。

(二)不利于个人、组织的合法权益保护

保护个人、组织的合法权益是《数据安全法》明确表达的立法目的。为了强化这一立法目的，《数据安全法(草案二次审议稿)》将第一条的“保护公民、组织的合法权益”,修改为“保护个人、组织的合法权益”。经由“公民”到“个人”的表述变化，扩展保护主体范围。就宽泛意义而言，《数据安全法》所有的法条都与保护个人、组织的合法权益存在直接或间接的关系。为了避免分析泛化，我们仅对与个人、组织的合法权益保护存在直接关系的法条进行阐释，共16条，具体包括第一条、第二条、第八条、第十二条、第二十一条、第二十七条、第二十八条、第二十九条、第三十五条、第三十八条、第四十四条、第四十五条、第四十六条、第四十七条、第四十八条、第五十一条。其中，涉及不确定法律概念的共12条，具体包括第二条、第八条、第十二条、第二十一条、第二十七条、第二十九条、第三十五条、第四十四条、第四十五条、第四十六条、第四十七条、第四十八条，占总数的75%。其中，第二条、第八条、第十二条属于宣示性条款；第二十一条属于指导性条款；其余部分属于强制性条款。

分析可见，《数据安全法》与个人、组织的合法权益保护直接有关的法条，较多地使用了不确定法律概念，并且以强制性条款居多。个人、组织的合法权益将因此处于一种不稳定状态，难以形成稳定预期，这与《数据安全法》所要追求的立法目的存在一定的冲突。特别是强制性条款，在结构上以假设、行为模式和法律后果作为结构要件，以法律责任规则作为外在表现形式，对个人、组织的合法权益影响尤为深刻。比如第四十五条规定，个人、组织没有保障数据安全，没有及时消除数据风险的，将给予行政处罚。其中，拒不改正或造成“大量数据泄露”等严重后果的，处以罚款，并且要暂停“相关业务”,吊销“相关业务许可证”。随之而来的问题是，“大量数据泄露”应该如何定性?多少数据泄露属于应当进行行政处罚的“大量”范畴?进一步的追问是，暂停的“相关业务”,吊销的“相关业务许可证”,相关的范围应当如何界定?如果定性不清、界定不明，那么在行政执法过程中就会出现较大的裁量空间，行政执法的标准必然会受到有关主管部门和执法人员的主观影响。要知道，“无论是法律要件之中对不确定法律概念的解释和对案件事实的评价，还是法律效果中决定的作出和措施的选择等，均存在着裁量”。

(三)不利于数据发展的推进

随着互联网、大数据技术的发展，数字经济浪潮席卷全球。以数据安全保障数据发展，以数据发展促进数据安全，这是《数据安全法》落实总体国家安全观最大的创新之一。整体而言，《数据安全法》所要追求的数据发展主要由推动数据经济发展和推进政务数据资源开放利用两个部分完成，具体集中在《数据安全法》第二章“数据安全与发展”和第五章“政务数据安全与开放”。其中，第二章的第十五条、第十七条，第五章的第四十条，都包含不确定法律概念，这对数据发展产生了一定的负面影响。

以推动数据经济发展为例。根据2022年12月中共中央、国务院联合印发的《关于构建数据基础制度更好发挥数据要素作用的意见》要求，推动数据经济发展一方面要突出数据处理者的权益，授权数据处理者能够对其持有的数据进行自主管控；另一方面则要保障数据来源者的权益，确保数据来源者能够依法依规获取或复制转移相应的数据权益。要实现这一目标，就必须在制度层面确定数据开发利用的技术标准和数据安全标准，为数据处理者和数据来源者提供具体的行为指引。在《数据安全法》中，这一任务主要由第二章第十七条予以完成。根据第十七条的规定，国家标准化行政主管部门和国务院有关部门负有制定数据开发利用技术标准和数据安全标准的职责。在规定这一职责的具体实现方式时，第十七条采用了“组织制定并适时修订”的表述，其中的“适时”属于不确定法律概念，它意味着国家标准化行政主管部门和国务院有关部门可以根据自身的工作需要启动制定工作和修订工作。积极的影响在于，它赋予了国家标准化行政主管部门和国务院有关部门足够的能动性，使其可以快速完成制度构建。事实上，也正是得益于“适时”的灵活宽泛授权，《数据安全法》颁布实施之后我们很快形成了包括《重要数据处理安全要求》《重要数据识别指南》《信息安全技术 网络数据分类分级要求》等在内的一系列数据标准，较好地支撑了数据处理者和数据来源者的权益实现。但消极的影响在于，国家标准化行政主管部门和国务院有关部门掌握着“适时”的判断标准，处于绝对的主动地位，而相关的企业、社会团体和教育、科研机构只能被动参与，对相关标准的制定和修订影响较弱，难以形成稳定的预期。

四、可能的治理方案

面对《数据安全法》中的不确定法律概念及其带来的不利影响，尽快明确不确定法律概念的精准内涵已经迫在眉睫。理想的方案应当是由立法机关，即全国人大及其常委会，对《数据安全法》中的不确定法律概念进行说明。比如《中华人民共和国网络安全法》,就是通过附则的方式对相关概念进行界定。然而，立法机关的地位和性质决定了它的立法活动往往是“缓慢而棘手的”,并且立法机关“对修正过时的法典或使充满传统因素的司法法律现代化等问题反应迟钝”,很难就《数据安全法》的现实需求做出即刻反应。

通过不确定法律概念，授予数据安全主管部门一定的裁量空间，准许其根据形势变迁作出更为灵活的行政决定，这是提升数据安全主管部门行政能动性的必然要求，也是不确定法律概念存在的正当性所在。正因为如此，对《数据安全法》中不确定法律概念的治理，并不是要消除不确定法律概念，而是要在承认不确定法律概念正当性的基础上，对它可能出现的任性、恣意进行规范。这样不仅有益于维护数据安全主管部门的行政能动性，而且可以确保其能动性在法定目的和空间范围内运行，不至于失控。

(一)规范执法行为，制定裁量基准

尽管不确定法律概念是数据安全主管部门的行政特权，法律准许其进行裁量判断，但这种判断不能是数据安全主管部门纯粹的主观活动，它仍然要遵循客观的规则。这就需要数据安全主管部门遵循行政伦理，“作茧自缚”,对其行政特权进行自我拘束。在传统行政法治中，这一任务主要由行政机关通过制定裁量基准予以实现。所谓裁量基准，是指“行政执法者在行政法律规范没有提供要件—效果规定，或者虽然提供了要件—效果规定，但据此不足以获得处理具体行政案件所需之完整的判断标准时，按照立法者意图、在行政法律规范所预定的范围内、以要件—效果规定的形式设定的判断标准”。概括而言，裁量基准就是对不确定法律概念所涉及的“法律情节”和“法律效果”进行细化。

目前，裁量基准已经在行政执法的各个领域获得较为广泛的应用。2021年8月，中共中央、国务院印发《法治政府建设实施纲要(2021—2025年)》,明确提出要“全面落实行政裁量权基准制度，细化量化本地区各行政执法行为的裁量范围、种类、幅度等并对外公布”。这些都为《数据安全法》裁量基准的制定提供了良好的支撑条件。可以说，制定有关《数据安全法》的裁量基准的技术和时机已经成熟。我们以《数据安全法》第四十六条为例，展示《数据安全法》裁量基准中“法律情节”细化的可行路径。

第四十六条违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第四十六条针对数据处理者违法向境外提供重要数据的行为设定了法律后果。就法律情节来说，四十六条含两方面内容：一是向境外提供重要数据，二是向境外提供重要数据且情节严重。这里的情节严重属于不确定法律概念，需要借助裁量基准予以细化说明。如何判断何为情节严重，可以综合参考以下标准。

1.数据处理者的主观过错大

从《数据安全法》的立法本意和第四十六条的具体表述观察，它的法律后果并不以行为人的主观过错为基准。换言之，行为人的主观过错及其大小，对违法行为是否成立没有影响。这是因为，“在行政处罚中，过错的意义没有民法、刑法那样明显，作为一项规则原则，过错责任不应成为行政处罚的规则原则。”但是主观过错及其大小对相应的法律责任具有显著影响，也因此与不确定法律概念形成密切关联。就第四十六条而言，如果数据处理者明知违法，而仍然向境外提供重要数据，就可以归为情节严重。如果数据处理者是在不知情的情况下，或者因疏忽大意向境外提供重要数据，其主观过错较小，则不属于情节严重，可以归为一般性违法。

2.数据处理者所使用的违法手段和方法

违法的手段和方法是行政机关制定裁量基准的一个重要参考因素。在已经公开的一些裁量基准中，往往会对违法手段和方法做出较为详细的描述，并以此作为判断情节是否严重的标准。比如《上海市公安局关于网络安全管理行政处罚的裁量基准》中规定，违法行为存在多次违法，连续违法，责令改正后继续违法，教唆、胁迫、诱骗他人违法，打击报复，妨碍执法等情节的，属于情节严重，应当从重处罚。基于这类经验，我们可以对数据处理者违法向境外提供重要数据的手段和方法进行类似划分，符合上述条件界定为情节严重。但为了保护数据处理者的权益，应当同时考虑在裁量基准中增加情节严重的限制性内容。比如对数据处理者受他人胁迫或诱骗，或者配合数据安全主管部门查处案件，或者存在其他类似情节的，可以认定为普通违法，不按照情节严重处理。

3.数据处理者的违法动机和目的

“人的任何故意实施的行为，都是在一定动机的支配下，去追求一定的目的的。”这里的违法动机和目的，就成了制定裁量基准的一个重要标准。比如《深圳市公安局关于〈中华人民共和国居民身份证法〉行政处罚裁量基准(试行)》中规定，对于违反《中华人民共和国居民身份证法》第十七条，冒领他人居民身份证或使用骗领的居民身份证的，要区分情节是否严重。如果上述冒领、使用骗领的行为是为了从事违法犯罪活动，则属于情节严重。参照深圳市公安局的相关经验，如果数据处理者向境外提供重要数据，其动机和目的就是要损害国家数据安全，或者损害其他个人、组织合法权益的，则应当界定为情节严重。

4.向境外提供重要数据所造成的危害结果

在裁量基准的制定经验中，“危害后果也是裁量基准情节细化技术的主要适用对象”。比如北京市公安局制定的《违反〈中华人民共和国网络安全法〉处罚裁量基准》,就如何认定违反《网络安全法》第六十八条所规定的情节严重作出了相应的规定。在这一裁量基准中，北京市公安局从传播违法音视频、电子刊物、图片的数量，违法信息点击量等多个角度对危害结果予以了界定。参照这一经验，我们可以根据数据处理者向境外提供重要数据的时间节点、持续时间、频次、数据数量、数据质量等要素，确定危害结果的具体内容。同样，对于那些虽然向境外提供了重要数据，但是没有造成严重后果，或者及时消除严重后果的，可以认定为普通违法。

(二)强化内部纠偏，引入行政复议

“无救济则无权利。”近代以来，法治进步的一个重要表现就是构建了一套逻辑自洽的权利保护机制。这套机制强调法律对权力的控制，要求行政机关必须严格服从立法机关的指令，也即遵从立法机关所制定的法律。为了确保这套机制得以实现，它往往会通过立法机关制定法律，事无巨细地描绘出行政机关的行为细节，同时要求司法机关对行政机关的行政行为进行司法审查，确保它在立法的控制范围之内。然而，不确定法律概念的出现打破了这套权利保护机制的逻辑自洽性。在立法有限理性和行政能动性的双重夹击之下，不确定法律概念由此获得了正当性基础。与此同时，面对纷繁复杂的社会事务，“行政机关的结构和运作越来越复杂，议会和法院根本无法切实完成控制任务”。这就要求我们进行理论推新，围绕不确定法律概念构建新的权利保护机制。

《数据安全法》中的不确定法律概念代表着数据安全主管部门的行政专断特权，为了表达对这种行政专断特权的尊重，有关不确定法律概念所引发的权利救济应当以内部救济作为首要渠道。在具体实现路径上，应当立足于发挥行政复议公正高效、便民为民的制度优势和化解行政争议的主渠道作用，在《数据安全法》中增加有关行政复议的内容。行政复议是着眼于“实质性解决行政争议”的一种权利救济机制，它允许公民、法人或者其他组织认为行政机关的行政行为侵犯其合法权益时，向行政复议机关提出复议申请，由行政复议机关对行政行为的合法性、合理性进行审查，并作出行政复议决定。行政复议机关在性质上仍然属于行政机关的范畴，它代表着一种行政机关的内部审查和自我更正，因此不会产生干扰数据安全主管部门行政专断特权的疑问。

(三)引入外部监督，接受有限度的司法审查

尽管我们承认《数据安全法》中的不确定法律概念是数据安全主管部门的行政特权，应当予以尊重。但权力滥用的风险依然存在，对《数据安全法》中的不确定法律概念，仍然应当构建外部权利救济机制，也即经由法院的行政诉讼，对不确定法律概念进行审查，从而形成权力对权力的制衡。不过，存在的难题是，按照我国《行政诉讼法》第五十二条、第五十三条规定，人民法院在审理行政案件时，只能以法律、行政法规、地方性法规作为依据。换言之，《行政诉讼法》排斥了人民法院对不确定法律概念进行审查的权力。这是因为，数据安全主管部门对不确定法律概念的应用，在性质上属于内部行政行为，“不设定公民权利义务，不直接影响公民，对法院裁判国家和公民关系也没有什么法律意义”。

从形式上来看，数据安全主管部门对不确定法律概念的解释和应用，确实属于内部行政行为，它对《数据安全法》上法律关系的形成并不产生直接影响。或者说，它影响的是法律关系的程度，而非法律关系的形成。但是我们必须看到的是，不确定法律概念具有越来越明显的效力外部化倾向。近年来，人民法院在案件审理过程中已经开始接受对不确定法律概念的审查，并且获得了最高人民法院的支持。比如，在“茂名市电白区建科混凝土有限公司诉广东省市场监督管理局反垄断行政处罚案”[最高人民法院(2022)最高法知行终29号]中，最高人民法院审查了广东省市场监督管理局关于《中华人民共和国反垄断法》“其他协同行为”的认定标准，并支持了其认定效力。最高人民法院的这一判决表明，如果数据安全主管部门对不确定法律概念的解释和应用影响了个人、组织的合法权益，人民法院有权对不确定法律概念进行审查。不过，人民法院对数据安全主管部门解释和应用不确定法律概念的审查应当是有限度的，以避免司法机关对数据安全主管部门过多的专业僭越。

五、结 语

《数据安全法》是一部授权性法律，它为国家数据安全工作的开展提供了法律依据，解决了无法可依的问题。同时，《数据安全法》也是一部限权性法律，它要求数据安全主管部门的各项活动必须在法律的规定范围内进行，并划定了法律禁区。然而，无论是对权力的授予，还是对权力的限制，都要求以法律的明确性作为前提。

但是，人类法治发展的历程已经证明，追求法律文本的圆满以及法律语言的确定，不过是难以触及的理想的图腾。基于对立法有限理性的承认，以及越来越多的行政能动性需求，不确定法律概念必然会发生。面对《数据安全法》中的不确定法律概念，如果我们从形式法治的立场出发，固然可以对其提出诸多批评。然而从实质法治的立场，这些不确定法律概念是弥补立法理性缺陷，提高数据安全主管部门行政能力的重要保障。我们的治理方案不应该否定不确定法律概念，相反，应当对其正当性予以理性认可。正是秉持着这样一种立场，我们建议采用综合治理方案，对不确定法律概念的解释和应用予以规制，尽可能剔除其中的任性和恣意，从而在一定程度上实现规范与能动的平衡。