当前我国数据安全工作面临的形势与任务

随着信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。在党中央的高度重视和周密部署下，当前我国数据安全工作进入战略规划和顶层设计的关键阶段，不但直接关系国家发展利益，更在相当大程度上决定了今后国家实力和国际竞争力。

（图片来自《上观新闻》）

当前数据安全形势十分严峻，维护数据安全的责任重大。将数据安全纳入总体国家安全观，这是由国家安全斗争形势和国家发展战略所决定的。

我国维护数据安全的主要工作部署

目前，通过法律法规和政策文件，我国确立了以下主要的数据安全制度：

一是数据交易管理制度。用以规范数据交易行为，培育数据交易市场。从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。下一步将出台专门管理办法，对数据交易机构的设立条件、运行规则、监管要求等予以明确。

二是数据分类分级制度。除涉密信息外，非涉密信息是否会影响国家安全？答案是一定的，但我国此前并没有对这类数据予以专门保护，国家安全存在短板。为此《数据安全法》规定，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家已明确数据分为三级：一般数据、重要数据、核心数据，后两者直接关系国家安全。各地区和各部门可根据实际情况，明确本地区、本部门的数据分类分级方法，对重要数据和核心数据进行重点保护。

三是数据安全审查制度。对影响或者可能影响国家安全的数据处理活动进行国家安全审查。为了落实这一制度，国家网信办等十三个部委联合公布了修订后的《网络安全审查办法》，于2022年2月15日起施行。该办法将网络平台运营者开展数据处理活动纳入审查范围，防范核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。审查制度还明确要求对国内企业赴国外上市活动进行审查，以防范上市企业存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。

四是数据出境安全管理制度。鉴于数据安全的重要性，主权国家应当对数据出境实施安全管理。为此，我国对两类数据建立了出境安全评估制度，一类是重要数据，另一类是批量个人信息以及关键信息基础设施运营者掌握的个人信息。2022年9月1日起，《数据出境安全评估办法》正式实施。对其他个人信息出境，我国则设立了认证途径和标准合同途径，目前正在研究认证程序和标准合同模板。当今世界，所有跨境贸易的实质都是数据跨境流动，故该议题已成为国际贸易规则重构的焦点，各国高度关注却远未达成共识，今后的国际博弈将更加激烈。

五是出口管制制度。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。这一规定具有重大意义，是我国《出口管制法》在数据领域的落实。而且，不仅某些数据本身是出口管制物项，描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等数据也应纳入出口管制。

六是对等反制制度。我国法律规定，任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。目前美西方国家以数据安全为由，全方位对我国围追堵截，遏制我国高新技术发展，故这一制度有着重要的现实意义。

七是跨境数据司法调取审批制度。美国《澄清境外合法使用数据法案》规定，在美国政府执法、司法机构提出要求时，任何美国企业在他国收集存储的数据都要交给美国政府。这种“长臂管辖”是对他国司法主权的严重侵犯。为维护我国家安全利益，我国《数据安全法》规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

进一步加强数据安全工作的有关思考

第一，探索党管数据体制机制，保障党长期执政和国家长治久安。数据不但是国家战略资源，同时也是执政资源。资源被谁掌握至关重要。习近平总书记指出：“必须旗帜鲜明、毫不动摇坚持党管互联网，加强党中央对网信工作的集中统一领导，确保网信事业始终沿着正确方向前进。”这一指示为数据安全工作提供了根本遵循，使党管数据成为数据开发利用和数据安全工作中一条根本的政治原则。但管什么、怎么管，一系列涉及党管数据内涵和外延的理论问题尚需深入研究。

第二，筑牢国家安全意识，引领平台监管正确方向。近年来，我国加大了互联网平台监管力度，特别是针对数据滥采滥用等问题。但也存在这样一种观点：政府的严监管导致国内互联网产业发展放缓，与美国、欧洲的差距加大，拖累了数字经济。甚至一些人认为，在国家谨慎出台限制性政策的背景下，数据安全政策应当暂缓实施。这显然忽视了数据安全与国家安全的关系，将数据安全简单等同于商业问题、经济问题，并将互联网无序发展的恶果甩给“数据安全”来背锅。任何时候，国家安全都应当是底线，不存在国家安全让位的问题。

第三，创新数据安全执法手段，敢于亮剑。《个人信息保护法》已经施行一年多，预料中的执法潮并没有出现。显然，目前的数据安全状况距离人民群众的期盼还有很大差距，公众并不满意。导致这种局面的一个重要原因，是当时立法线条比较粗，一些问题缺少细则，大家都在观望。此外，立法部门的精力在于打磨规则，但规则是不可能穷尽和尽善尽美的，目前存在大量绕过法律规定的情况。解决这个问题的关键，是要意识到数据安全法治建设的特殊性，重视执法机制的建设。要坚持担当与作为，在法律规则天然具有模糊性的条件下探索出一条数据安全执法新路子。

第四，将数据要素开发利用工作与数据安全基本制度紧密结合，全面关注数据安全问题。目前我国已经宣布成立国家数据局，正在统筹数据资源整合共享和开发利用。在这个过程中，各方面都认识到要兼顾安全与发展，但多是从公共数据、企业数据、个人信息等分类角度讨论数据安全保护。这种分类主要是基于数据的权属，固然是考虑问题的基本切入点，但还远远不够。事实上，我国正在建立数据分类分级制度，数据分为一般、重要和核心三级，不同级别数据的保护要求不一样，其分级逻辑主要面向数据与国家安全的关系。而目前在数据要素开发利用中讨论得火热的“隐私计算”等算法却主要面向个人信息保护，这显然存在明显缺失。后续工作中，建议全面关注数据安全问题的各个方面，将数据要素开发利用与各项数据安全基本制度紧密结合，整体推进数据安全和数据治理工作，赋能数字中国、网络强国建设。