随着云计算、大数据与人工智能技术的迅猛发展,社会信息化和网络化程度加深,各类社会主体之间的竞争,开始从硬实力向软实力过渡,各方对于资源的争夺,开始从物理空间向虚拟空间过渡,而虚拟空间背后的资源,是海量的个人数据。这些个人数据由各类网络服务商在其经营活动中获取,也有公权力部门在长期社会统计中获取,这些主体因其掌控个人数据的能力而成为数据控制者。数据控制者在获取大量个人数据,以此形成竞争优势的同时,实际却没有承担相应的安全保护义务。因此,本文以个人数据保护为研究内容,从数据控制者承担义务的角度,提出全新的数据安全保护义务,以期构建体系化的个人数据保护制度。数据控制者作为数据安全保护义务的承担主体,最早见于欧洲的立法当中。目前我国并没有对数据控制者概念形成统一的认识,同时存在诸多如“网络服务提供者、网络运营者、信息控制者”等相近的概念。GDPR把数据控制者的定义为:单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构。应该说“数据控制者”这一术语包含了从源头获取个人数据的数据控制者,以及实际实施数据处理操作的数据控制者。将数据控制者这一概念引入我国,不单单在于概念的引入,更重要的是需要对其承担数据安全保护义务的正当性、必要性和可行性进行充分的论证。数据控制者的引入,可以认为符合获利报偿、满足信赖利益等基于物质利益基础的正当性,具备统一我国概念认识和节约社会成本的必要,以及作为数据服务提供者和网络空间管理者双重角色承担义务的可行条件。数据控制者在获取和使用个人数据过程中的行为失范乱象频现,体现在商业广告推送背后的个人数据被过度采集和不当利用、支持算法自动化决策的个人数据的过度分析,以及云存储深度应用下的数据泄露等。数据控制者失范行为的法律成因包括:我国当前法律规范原则居多而规则较少、义务规定较为笼统、整体规范欠缺体系、内容杂乱和局限等问题,数据控制者行为失范的管制成因有:数据安全保护措施缺乏、数据管理机构职权不清以及数据保护重视程度不够等问题。数据控制者承担数据安全保护义务,源于对个人数据保护需求的回应。数据安全保护义务的正当性,需要从数据主体权利需求层面进行考量。虽然目前个人数据权利化并未得到广泛认可,存在固有的权利化困境。但个人数据获得保护的权利,存在法益层面的价值基础,个人数据承载着人身、财产及公共利益,确有保护的现实必要。数据安全保护义务的构建和承担,是对个人数据法益价值的肯定。同时,数据安全保护义务的理论基础包含了公共物品理论和数据安全理论。一方面,个人数据以及承载个人数据的信息网络科看做是新时代的公共物品;另一方面,个人数据安全关乎国家数据安全乃至国家整体安全。这两个方面分别从公共物品的保护需求,以及国家安全的稳定维护需要,为数据安全保护义务奠定了理论基础。因此,无论从控制我国数据外泄、保障我国数据主权完整,还是从保障个人数据自由、维护个人私有权利的角度,通过立法设置数据安全保护义务,都十分必要。数据安全保护义务的具体内容构造,应当意识到基于数据自身的流动性和可分享性,数据主体掌控的可能性较小,因而数据控制者负有的安全保护周期应当涵盖个人数据的全生命周期,保护范围也应当相应延伸,但同时也应当对其中因法律、合同、单方承诺产生的个人数据服务义务进行区分。在此前提下,结合国际社会已经广泛确立的个人数据保护原则和规则,通过强化整体透明度、设计系统保护措施、评估数据处理影响、记录数据处理行为、通知数据收集和泄露以及应数据主体要求更正与清除个人数据,并由数据保护专员监督各项义务的落实,构造具体的数据安全保护义务内容规范并提出相应的法律条款。构建数据安全保护义务制度体系,需要针对个人数据面临的典型风险,结合权利义务平衡原则、合理期待原则以及比例原则,明确制度构建的原则和要求。从而在吸收和借鉴欧盟统一式立法和美国分散式立法模式的基础上,确立我国的统一式立法路径,在个人数据保护立法中设立单独的数据控制者义务章节。同时,为确保数据安全保护义务得以落实,可引入第三方认证、行业公约自治以及行政层面的数据监管机制,构建由内而外的履行配套机制。并且,在数据控制者未履行数据安全保护义务时,通过民事责任与行政责任相结合的方式,对其施以相应的法律责任。最终,通过以上各个层面的系统化制度构建,形成完整的数据控制者安全保护义务体系,在个人数据保护和数据产业化发展之间取得有效平衡。