摘 要:數據安全已成為事關國家安全與經濟社會發展的重大問題。當前數據安全形勢十分嚴峻，維護數據安全的責任重大。將數據安全納入總體國家安全觀，這是由國家安全斗爭形勢和國家發展戰略所決定的。當前，我國已初步完成數據安全頂層設計，基本建立政策法規體系。要通過探索黨管數據體制機制，引領平臺監管正確方向，創新數據安全執法手段，將數據要素開發利用工作與數據安全基本制度緊密結合等方式，進一步加強數據安全相關工作。

關鍵詞:數據安全 國家安全 總體國家安全觀 黨管數據

【中圖分類號】D92 【文獻標識碼】A

隨著信息技術和人類生產生活交匯融合，各類數據迅猛增長、海量聚集，對經濟發展、社會治理、人民生活都產生了重大而深刻的影響。數據安全已成為事關國家安全與經濟社會發展的重大問題。在黨中央的高度重視和周密部署下，當前我國數據安全工作進入戰略規劃和頂層設計的關鍵階段，不但直接關系國家發展利益，更在相當大程度上決定了今后國家實力和國際競爭力。

將數據安全納入國家安全體系是歷史必然

2014年4月15日，習近平總書記在中央國家安全委員會第一次會議上，高瞻遠矚地提出總體國家安全觀。近幾年來，我國國家安全體系主體框架加快形成，國家安全理論體系和戰略體系不斷豐富，作為習近平新時代中國特色社會主義思想“國家安全篇”重要構成的總體國家安全觀不斷充實提升，“數據安全”成為國家安全的最新疆域。

在中央國安委第一次會議上，習近平總書記指出：“既重視傳統安全，又重視非傳統安全，構建集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等于一體的國家安全體系”。這是我們黨首次明確“總體國家安全觀”指引下的國家安全體系涵蓋十一個領域的安全。將總體國家安全分解成若干不同領域安全，有助于精準鎖定安全風險與挑戰的源頭，有利于有的放矢和專業化地開展工作。

2021年11月，黨的十九屆六中全會通過了《中共中央關于黨的百年奮斗重大成就和歷史經驗的決議》。《決議》指出：“習近平同志強調保證國家安全是頭等大事，提出總體國家安全觀，涵蓋政治、軍事、國土、經濟、文化、社會、科技、網絡、生態、資源、核、海外利益、太空、深海、極地、生物等諸多領域，要求全黨增強斗爭精神、提高斗爭本領，落實防范化解各種風險的領導責任和工作責任。”以上共計十六個領域的安全，表明太空、深海、極地等是新的國家安全利益之所在。

2017年12月，十九屆中央政治局專門就實施國家大數據戰略進行第二次集體學習。習近平總書記就做好數據安全工作作出重要指示，強調“要切實保障國家數據安全”“要加強關鍵信息基礎設施安全保護，強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力。要加強政策、監管、法律的統籌協調，加快法規制度建設”。

2022年4月，中央宣傳部、中央國安辦組織編寫了《總體國家安全觀學習綱要》。該書在“新時代國家安全的主陣地主戰場”一章中，增列了人工智能和數據安全。這表明，數據安全已經成為國家安全的重要組成部分。

當前數據安全形勢十分嚴峻，維護數據安全的責任重大

將數據安全納入總體國家安全觀，這是由國家安全斗爭形勢和國家發展戰略所決定的。

第一，數據安全已處于國與國對抗斗爭的前沿陣地。數據是國家的戰略資源，圍繞數據控制與反控制的斗爭十分激烈。美西方國家實施“棱鏡”等大規模監聽、監控計劃；大力發展網絡戰部隊，以癱瘓關鍵信息基礎設施、竊取重要數據為攻擊目標；在企業的產品中安裝“后門”，非法獲取用戶數據、控制或操縱用戶系統和設備。特別是，數據安全已上升為西方國家遏制中國的核心議題，是“中國威脅論”的最新翻版。例如，為了限制中國的5G技術，部分西方國家聯合提出了“布拉格提案”，專門對源自中國的5G技術“抹黑”，其炮制的四項安全準則中，有三項與數據安全直接相關。西方國家還圍繞中國《國家情報法》第七條大做文章，誣稱這是中國立法要求企業無條件配合中國情報機關提交數據。近年來，我國高科技技術、產品在全球受到封殺，直接原因便在于此。美國國土安全部甚至向全美商業企業發布《數據安全商業咨詢》，要求防范來自中國的產品。

由于西方國家多年持續圍繞數據安全向中國“潑臟水”，我們的國際環境不容樂觀，中國企業在海外面臨極大挑戰。數據安全問題也上升到了外交最高對話層面。目前各國領導人在會面時，數據安全幾乎成為必談議題。2020年9月8日，為應對國際形勢變化，我國發起《全球數據安全倡議》，旨在通過明確政府行為規范、推動企業共擔責任、合作應對安全風險等務實舉措，為加強全球數字安全治理、促進數字經濟可持續發展提出中國方案，貢獻中國智慧。

第二，數據流動重塑國家政治經濟格局。眾所周知，美國形成今天的“一超獨霸”地位，“美元霸權”是關鍵原因。但美國認為，新時代需要新霸權，美元霸權將會被數據霸權取代。2021年，美國外交學會刊文《數據即權力》，將數據的競爭與當年美國獲得“美元霸權”相提并論：“1944年7月，在諾曼底登陸僅幾周后，第二次世界大戰的結果仍然懸而未決，美國在新罕布什爾州的布雷頓森林接待了來自43個與美國意見一致的國家的代表。代表們舉行會議，商定戰后國際貨幣體系的新規則。這次會議產生了國際貨幣基金組織和世界銀行，這兩個機構旨在幫助各國在災難性的世界大戰后重建世界。在另一場危機之后，美國再次有機會建立支持和平、繁榮和安全的新國際規則，問題在于它現在是否會接受挑戰。”這個“新國際規則”便是數據規則。美國智庫提出，美國已經在數據治理立法上有所落后，現在應當直面中國帶來的挑戰，針對數字經濟時代國際貿易的特點重新組織制定國際貿易規則新框架。通過信息流引領技術流、資金流、人才流、物資流，美國智庫對數據規則的重視毫不奇怪，反倒是我們國內相當多的人還停留在技術層面看待數據。

第三，國家安全體系中，任何一個安全都離不開數據安全。影響國家安全的因素眾多，但唯有數據安全和網絡安全具有“牽一發而動全身”的影響。網絡安全是整體的而不是割裂的，數據安全也具有這樣的特點，而且更加突出。例如，當前正在興起“網絡生物安全”交叉學科，背景就是一些國家通過入侵別國的生物實驗室，竊取或篡改數據，以制造生物武器，或者在他國引發生物災難。實驗中，攻擊者通過惡意軟件感染生物學家的計算機，用致病微生物基因序列替換原基因合成訂單中的部分或全部基因序列，并利用DNA混淆技術成功繞開有害基因合成篩查軟件的安全檢測，從而可使生物學家在不知情的情況下制備出致病微生物，造成疾病傳播風險，甚至成為生物恐怖襲擊的參與者。這只是一個案例，經研究，總體國家安全觀中的任何一個領域的安全均會受到數據安全的影響。

第四，數據已經成為新生產要素，數據安全決定其要素作用能否發揮。在當前全球經濟增長乏力背景下，數字經濟成為撬動經濟增長的新杠桿，成為各國提振經濟的重要方向，各國都在構建以數據為關鍵要素的數字經濟。明晰的權屬和有序的流動，是生產要素的本質要求和前提條件。但恰恰在這一問題上，實踐中還有很多問題需要突破。例如，數據權屬有待進一步明確，限制和制約數據安全有序流動的體制機制障礙依然存在。近幾年，全國各地都在紛紛對大數據立法，設立數據交易所的積極性也很高。但事實上，關于數據開發利用、數據要素流動的一系列問題都沒有解決，其中最核心的是數據安全和權益保障問題。

我國已初步完成數據安全頂層設計，基本建立數據安全法律法規政策體系

2015年7月1日起施行的《國家安全法》規定：“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。

2017年6月1日起施行的《網絡安全法》規定：“國家鼓勵開發網絡數據安全保護和利用技術”，“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動”。

2020年3月30日印發的《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》指出：“制定數據隱私保護制度和安全審查制度。推動完善適用于大數據環境下的數據分類分級安全保護制度，加強對政務數據、企業商業秘密和個人數據的保護。”

2021年9月1日起施行的《數據安全法》規定：“維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。”該法的起草過程中，明確提出了“沒有數據安全就沒有國家安全”，這在歷史上是首次。《數據安全法》還以法律的形式規定：“中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。”目前，國家數據安全工作協調機制已經到位，國家數據安全頂層設計基本完成。

鑒于個人信息保護與人民群眾切身利益關系很大，我國還制定了《個人信息保護法》，于2021年11月1日起施行。這部法律的意義絕不是僅僅停留在個人信息保護層面。烏克蘭危機中，俄黑海艦隊副指揮官由于AI人臉識別技術而遭到精準狙殺；在烏作戰的12萬俄羅斯軍人的個人信息被公布到網絡，多達6616頁。這些數據，都是外國企業在為俄羅斯民眾提供商業服務的過程中獲得的，但其顯然已經涉及國家安全。這類案例為今后的個人信息保護工作揭示了新方向，賦予了這項工作更神圣的使命。

為了建立上述數據安全法律的實施細則，我國已于2021、2022年兩次將《網絡數據安全管理條例》列入國務院立法計劃，由國家互聯網信息辦公室組織起草。2021年11月，國家互聯網信息辦公室公布了該條例的征求意見稿。目前有關立法工作正在緊鑼密鼓進行中。

我國維護數據安全的主要工作部署

目前，通過法律法規和政策文件，我國確立了以下主要的數據安全制度：

一是數據交易管理制度。用以規范數據交易行為，培育數據交易市場。從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。下一步將出臺專門管理辦法，對數據交易機構的設立條件、運行規則、監管要求等予以明確。

二是數據分類分級制度。除涉密信息外，非涉密信息是否會影響國家安全？答案是一定的，但我國此前并沒有對這類數據予以專門保護，國家安全存在短板。為此《數據安全法》規定，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家已明確數據分為三級：一般數據、重要數據、核心數據，后兩者直接關系國家安全。各地區和各部門可根據實際情況，明確本地區、本部門的數據分類分級方法，對重要數據和核心數據進行重點保護。

三是數據安全審查制度。對影響或者可能影響國家安全的數據處理活動進行國家安全審查。為了落實這一制度，國家網信辦等十三個部委聯合公布了修訂后的《網絡安全審查辦法》，于2022年2月15日起施行。該辦法將網絡平臺運營者開展數據處理活動納入審查范圍，防范核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險。審查制度還明確要求對國內企業赴國外上市活動進行審查，以防范上市企業存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險。

四是數據出境安全管理制度。鑒于數據安全的重要性，主權國家應當對數據出境實施安全管理。為此，我國對兩類數據建立了出境安全評估制度，一類是重要數據，另一類是批量個人信息以及關鍵信息基礎設施運營者掌握的個人信息。2022年9月1日起，《數據出境安全評估辦法》正式實施。對其他個人信息出境，我國則設立了認證途徑和標準合同途徑，目前正在研究認證程序和標準合同模板。當今世界，所有跨境貿易的實質都是數據跨境流動，故該議題已成為國際貿易規則重構的焦點，各國高度關注卻遠未達成共識，今后的國際博弈將更加激烈。

五是出口管制制度。國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。這一規定具有重大意義，是我國《出口管制法》在數據領域的落實。而且，不僅某些數據本身是出口管制物項，描述我國禁止出口限制出口物項的設計原理、工藝流程、制作方法等的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告等數據也應納入出口管制。

六是對等反制制度。我國法律規定，任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。目前美西方國家以數據安全為由，全方位對我國圍追堵截，遏制我國高新技術發展，故這一制度有著重要的現實意義。

七是跨境數據司法調取審批制度。美國《澄清境外合法使用數據法案》規定，在美國政府執法、司法機構提出要求時，任何美國企業在他國收集存儲的數據都要交給美國政府。這種“長臂管轄”是對他國司法主權的嚴重侵犯。為維護我國家安全利益，我國《數據安全法》規定，非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。

進一步加強數據安全工作的有關思考

第一，探索黨管數據體制機制，保障黨長期執政和國家長治久安。數據不但是國家戰略資源，同時也是執政資源。資源被誰掌握至關重要。習近平總書記指出：“必須旗幟鮮明、毫不動搖堅持黨管互聯網，加強黨中央對網信工作的集中統一領導，確保網信事業始終沿著正確方向前進。”這一指示為數據安全工作提供了根本遵循，使黨管數據成為數據開發利用和數據安全工作中一條根本的政治原則。但管什么、怎么管，一系列涉及黨管數據內涵和外延的理論問題尚需深入研究。

第二，筑牢國家安全意識，引領平臺監管正確方向。近年來，我國加大了互聯網平臺監管力度，特別是針對數據濫采濫用等問題。但也存在這樣一種觀點：政府的嚴監管導致國內互聯網產業發展放緩，與美國、歐洲的差距加大，拖累了數字經濟。甚至一些人認為，在國家謹慎出臺限制性政策的背景下，數據安全政策應當暫緩實施。這顯然忽視了數據安全與國家安全的關系，將數據安全簡單等同于商業問題、經濟問題，并將互聯網無序發展的惡果甩給“數據安全”來背鍋。任何時候，國家安全都應當是底線，不存在國家安全讓位的問題。

第三，創新數據安全執法手段，敢于亮劍。《個人信息保護法》已經施行一年多，預料中的執法潮并沒有出現。顯然，目前的數據安全狀況距離人民群眾的期盼還有很大差距，公眾并不滿意。導致這種局面的一個重要原因，是當時立法線條比較粗，一些問題缺少細則，大家都在觀望。此外，立法部門的精力在于打磨規則，但規則是不可能窮盡和盡善盡美的，目前存在大量繞過法律規定的情況。解決這個問題的關鍵，是要意識到數據安全法治建設的特殊性，重視執法機制的建設。要堅持擔當與作為，在法律規則天然具有模糊性的條件下探索出一條數據安全執法新路子。

第四，將數據要素開發利用工作與數據安全基本制度緊密結合，全面關注數據安全問題。目前我國已經宣布成立國家數據局，正在統籌數據資源整合共享和開發利用。在這個過程中，各方面都認識到要兼顧安全與發展，但多是從公共數據、企業數據、個人信息等分類角度討論數據安全保護。這種分類主要是基于數據的權屬，固然是考慮問題的基本切入點，但還遠遠不夠。事實上，我國正在建立數據分類分級制度，數據分為一般、重要和核心三級，不同級別數據的保護要求不一樣，其分級邏輯主要面向數據與國家安全的關系。而目前在數據要素開發利用中討論得火熱的“隱私計算”等算法卻主要面向個人信息保護，這顯然存在明顯缺失。后續工作中，建議全面關注數據安全問題的各個方面，將數據要素開發利用與各項數據安全基本制度緊密結合，整體推進數據安全和數據治理工作，賦能數字中國、網絡強國建設。

【本文作者為中國科學技術大學公共事務學院、網絡空間安全學院教授】

責編：周素麗／美編：王嘉騏