浅谈法律法规中数据与信息的区别

       伴随着互联网技术的发展，各种信息数据在网络空间快速流动，实现着现实社会与虚拟世界的紧密联结。海量的网络数据蕴藏着丰富的经济价值，也成为违法犯罪分子觊觎的对象。近些年来，非法获取和泄露信息数据现象层出不穷，传统的犯罪类型借助互联网不断发生着“变异”，新型信息网络犯罪滋生，不仅危及个人信息安全和计算机信息系统安全，更直接给信息的载体——数据安全带来与日俱增的风险，也产生了针对数据自身安全独立保护的法律需求。

       我国先后制定出台了《国家安全法》和《网络安全法》，将信息网络安全上升到国家安全高度予以法律保障；随后，《数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，自2021年9月1日起施行。作为数据安全领域的基本法，其承载着解决我国数据安全内外部风险、构建数据安全核心制度框架的重要任务。从整体来看，目前我国数据安全的法律保护缺乏系统设计和制度安排，各法律法规之间相对分散，缺乏有效的衔接与协调。数据安全具有自身的法益特征，与信息安全、网络安全的性质不同，法律保护的重心也有不同。

数据、信息与计算机信息系统

       在国外，许多国家的法律法规对数据和信息未加以区分，如欧盟的《通用数据保护条例》(GDPR)对“个人数据”的保护就是对可识别或已识别“个人信息”的保护。我国采取分散式立法模式，信息、数据、个人信息、个人数据、个人资料、个人隐私、个人电子信息等称谓屡见不鲜，信息与数据的范畴关系难以厘清。有的观点将数据与信息等同，有的认为数据大于信息，有的则认为数据小于信息；在我国《刑法》规定的相关罪名中，“数据”与“信息”的概念关系也难以区分，有必要予以厘清。

       首先，从数据的本质属性来看，“数据”和“信息”两个概念既有紧密联系又存在区别。从国外立法来看，欧盟于1991年制定的《信息技术安全评估准则》(ITSEC)首次提出了包含数据的保密性、完整性、可用性“三要素”，对数据占有主体赋予了较为严格的规范保护义务，建立了以数据用户权益保障为核心的数据安全保护体系。国际标准化组织ISO认为，数据是以一种适合沟通、解释或处理的形式化方式，对信息的可解释性呈现。值得注意的是，我国出台的《信息安全技术信息安全事件分类分级指南》3.5规定，数据是指“关于可感知或可想象到的任何事物的事实”；同时3.6规定，信息即“有意义的数据”。由此看出，数据和信息可谓是“一体两面”，数据是信息的形式和载体，信息则是数据可以表达的内容。就某个特定场景而言，数据和信息是很难分离的。但在计算机信息系统中，有些数值虽然对于计算机信息系统或某些程序本身的运行必不可少，但却不一定体现为对外的信息内容，也不能被人所识别。信息时代的数据范畴比信息要大。相对来说，对于个人信息的保护，法律更加关注信息的“保密性”，即信息权利主体对个人信息的“能够知悉的状态”；侵犯公民个人信息罪中“非法获取、披露、使用或允许他人使用”的行为所侵犯的法益是个人信息的保密性。而对于数据来说，其对应的数据主体权利属性却并非仅为“保密性”，法律所保护的是数据主体的使用权益，避免数据被他人非法获取、删改、压缩或者使用，这一点与个人信息权利属性不同。