□ 文 于曉洋 何 波

0 引言

進入數(shù)字化時代，數(shù)據(jù)正在成為基礎性戰(zhàn)略資源和新的生產要素，并且在諸多生產要素中的重要性不斷提升。與此同時，因為數(shù)據(jù)所具有的巨大潛力價值，隨著數(shù)據(jù)海量增長和廣泛應用，也帶來了嚴峻的數(shù)據(jù)安全問題。

近年來，我國高度重視數(shù)據(jù)安全治理問題，黨中央國務院多次作出重要指示，提出要切實保障國家數(shù)據(jù)安全，以數(shù)據(jù)安全保護為核心，正在加速推進數(shù)據(jù)治理相關工作。2021年6月10日，我國數(shù)據(jù)安全治理領域的基礎性法律和首部專門立法《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）經第十三屆全國人民代表大會常務委員會審議通過，自2021年9月1日起施行?！稊?shù)據(jù)安全法》立足我國數(shù)據(jù)治理實踐，圍繞數(shù)據(jù)安全保護制度，界定了數(shù)據(jù)及數(shù)據(jù)安全的內涵，明確了數(shù)據(jù)安全治理重點制度規(guī)則，進一步補充和完善了我國數(shù)據(jù)安全治理基本制度框架，為我國數(shù)據(jù)安全治理工作明確了方向。

1 數(shù)據(jù)安全治理頂層設計基本形成

數(shù)據(jù)安全是國家安全特別是國家網絡安全不可分割的一部分，習近平總書記多次強調“沒有網絡安全就沒有國家安全”。我國是數(shù)字經濟發(fā)展大國，也是全球最大的數(shù)據(jù)生產國。近年來，尤其是黨的十八大以來，我國有關部門意識到，在將數(shù)據(jù)作為推進經濟發(fā)展新引擎的同時，也應當把數(shù)據(jù)安全監(jiān)管作為國家網絡安全管理和國家綜合治理體系的重要內容。按照黨中央和國務院有關決策部署，貫徹落實總體國家安全觀要求，我國立法機關和有關部門在整個網絡安全保護的體系下不斷強化數(shù)據(jù)安全監(jiān)管工作，持續(xù)開展數(shù)據(jù)安全治理，取得積極進展。

隨著《數(shù)據(jù)安全法》的出臺，我國初步形成了以《數(shù)據(jù)安全法》為核心，以《網絡安全法》為基礎，以《國際刑事司法協(xié)助法》、《密碼法》、《關鍵信息基礎設施安全保護條例》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》等為補充，涵蓋法律、行政法規(guī)、部門規(guī)章以及規(guī)范性文件的數(shù)據(jù)安全治理法律體系。2016年，我國《網絡安全法》出臺，首次明確界定了“網絡數(shù)據(jù)”的概念，強化了網絡數(shù)據(jù)安全管理要求。2018年，《國際刑事司法協(xié)助法》通過，明確了我國對境內相關數(shù)據(jù)的主權控制，要求非經主管機關同意，不得向外國提供證據(jù)材料。2019年審議通過的《密碼法》根據(jù)不同信息等級和使用對象采用分類管理的方式對密碼實行科學管理，有效保障了數(shù)據(jù)的安全性。2021年《數(shù)據(jù)安全法》的出臺填補了我國數(shù)據(jù)安全治理領域一塊至關重要的空白，不僅是我國數(shù)據(jù)安全的基礎性法律，也是首部聚焦數(shù)據(jù)監(jiān)管的專門立法，統(tǒng)籌發(fā)展、安全和治理，為我國數(shù)據(jù)安全治理工作提供了重要的法律依據(jù)，進一步從法律層面完善了我國數(shù)據(jù)安全治理的頂層設計。

2 數(shù)據(jù)安全治理監(jiān)管體制初步明確

數(shù)據(jù)安全治理以及相關制度規(guī)定需要具體監(jiān)管部門來貫徹落實，因此，如何設置監(jiān)管體制是數(shù)據(jù)安全治理中一項至關重要的工作。從國際社會來看，隨著各國數(shù)據(jù)保護監(jiān)管法律體系基本框架和制度要求逐漸明確，越來越多的國家和地區(qū)建立了數(shù)據(jù)保護專門機構，以加強對數(shù)據(jù)治理工作的統(tǒng)籌協(xié)調和監(jiān)督管理。例如，歐盟層面設立了數(shù)據(jù)專門的監(jiān)管機構歐盟數(shù)據(jù)保護委員會（EDPB），各成員國也根據(jù)歐盟《通用數(shù)據(jù)保護條例》的要求分別設立了國內個人數(shù)據(jù)保護專門機構，像德國的聯(lián)邦數(shù)據(jù)保護委員會、法國國家信息與自由委員會，英國在脫歐前也設立了專門負責數(shù)據(jù)保護的信息專員辦公室。

從我國來看，在互聯(lián)網發(fā)展初期，數(shù)據(jù)安全治理工作主要是按照數(shù)據(jù)所涉及的行業(yè)領域來劃分，互聯(lián)網治理中的“九龍治水”管理體制也延伸到數(shù)據(jù)治理領域，由各行業(yè)主管部門負責本領域數(shù)據(jù)安全保護和監(jiān)管工作，呈現(xiàn)出明顯的分散化和部門區(qū)隔特征。隨著經濟社會數(shù)字化轉型加速，數(shù)據(jù)安全治理不再是電信、互聯(lián)網等某幾個行業(yè)領域的問題，正在變成各行各業(yè)都亟需解決的命題，亟需更加協(xié)調統(tǒng)一的管理機制，加強統(tǒng)籌協(xié)調，在橫向上打通行業(yè)主管壁壘，進一步提升治理效能和效果。2014年中央網絡和信息安全領導小組成立，統(tǒng)籌協(xié)調包括數(shù)據(jù)安全在內的各領域網絡安全和信息化重大問題。2016年通過的《網絡安全法》規(guī)定“國家網信部門負責統(tǒng)籌協(xié)調網絡安全工作和相關監(jiān)督管理工作”，同時授權“國務院電信主管部門、公安部門和其他有關機關在各自職責范圍內承擔安全保護和監(jiān)督管理職責”，基本構建了以國家網信部門統(tǒng)籌協(xié)調，行業(yè)主管部門各司其職的網絡安全監(jiān)管體制。2021年通過的《數(shù)據(jù)安全法》則進一步明確規(guī)定了中央國家安全領導機構對國家數(shù)據(jù)安全工作的領導地位，提出建立國家數(shù)據(jù)安全工作協(xié)調機制。與此同時，《數(shù)據(jù)安全法》也規(guī)定了相關行業(yè)主管部門承擔各自行業(yè)、領域的數(shù)據(jù)安全監(jiān)管職責，延續(xù)《網絡安全法》的相關規(guī)定，明確網絡數(shù)據(jù)安全和相關監(jiān)管工作仍然由國家網信部門負責統(tǒng)籌協(xié)調。

3 數(shù)據(jù)安全治理主要制度基本明確

從具體內容來看，《數(shù)據(jù)安全法》共計五十五條，立足當前我國數(shù)據(jù)安全治理面臨的問題挑戰(zhàn)，堅持繼承與創(chuàng)新并重，在《國家安全法》、《密碼法》、《網絡安全法》等現(xiàn)有立法的基礎上，針對社會各界廣泛關注的數(shù)據(jù)安全領域重點問題建章立制，進一步建立健全了我國數(shù)據(jù)安全治理領域的重要制度和基本原則。

3.1 界定了數(shù)據(jù)及相關概念內涵

無論是在日常工作實踐還是在理論研究中，明確概念都是人們認識研究對象和進行問題思考的重要前提，但長期以來，各方對于數(shù)據(jù)的概念沒有形成統(tǒng)一的界定。雖然《網絡安全法》中對“個人信息”和“網絡數(shù)據(jù)”作了相關定義，但實踐中如何理解數(shù)據(jù)的概念以及數(shù)據(jù)與信息之間的關系，都是亟待解決的重要命題。《數(shù)據(jù)安全法》首次從法律角度對“數(shù)據(jù)”的概念作出了明確界定，將其定義為“任何以電子或者其他方式對信息的記錄”。在此基礎上，《數(shù)據(jù)安全法》進一步明確了“數(shù)據(jù)處理”和“數(shù)據(jù)安全”的含義，前者包括“數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等”；后者是指“通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力”。通過明確數(shù)據(jù)及其相關概念，為后續(xù)開展數(shù)據(jù)安全治理工作提供了清晰的內涵和邊界。

3.2 強化了數(shù)據(jù)安全治理基本原則

相比于《國家安全法》、《網絡安全法》的相關規(guī)定，《數(shù)據(jù)安全法》進一步強化了數(shù)據(jù)安全治理中“堅持安全與發(fā)展并重”原則。近年來，我國數(shù)字經濟持續(xù)快速發(fā)展，成為推動高質量發(fā)展的新動能新引擎，數(shù)字安全產業(yè)和技術能力也得到了顯著提升，國家更加注重發(fā)展和安全的平衡兼顧。從《數(shù)據(jù)安全法》的立法目的來看，包含了規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用等多個維度。尤其是《數(shù)據(jù)安全法》第二章，圍繞“數(shù)據(jù)安全與發(fā)展”作了專章規(guī)定，提出“國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產業(yè)發(fā)展”，并從數(shù)據(jù)基礎設施建設、數(shù)據(jù)創(chuàng)新應用、利用數(shù)據(jù)提升公共服務、培育數(shù)據(jù)交易市場、培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產品、產業(yè)體系等多方面作出了具體規(guī)定。此外，《數(shù)據(jù)安全法》第十四條更是以法律形式明確“數(shù)字經濟發(fā)展”的重要地位，確保在維護數(shù)據(jù)安全的前提下，數(shù)字經濟能夠得到應有的重視和發(fā)展，突出反映了《數(shù)據(jù)安全法》在維護數(shù)據(jù)安全與促進數(shù)字經濟發(fā)展之間尋求平衡的努力。

3.3 建立數(shù)據(jù)分類分級保護制度

分級分類是數(shù)據(jù)安全監(jiān)管的一個重要手段，實踐中，鑒于政府、企業(yè)等不同主體收集使用的數(shù)據(jù)在類型、數(shù)量、敏感程度、應用場景等方面差異較大，保護要求和保護手段存在較大的不同。我國高度關注數(shù)據(jù)分級分類問題，《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》就曾提出“推動完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保護制度”。《數(shù)據(jù)安全法》首次在立法中明確了“國家建立數(shù)據(jù)分類分級保護制度……對數(shù)據(jù)實行分類分級保護”。與此同時，《數(shù)據(jù)安全法》提出了“重要數(shù)據(jù)”和“國家核心數(shù)據(jù)”的概念，對于“重要數(shù)據(jù)”，由國家有關部門統(tǒng)籌協(xié)調，通過制定重要數(shù)據(jù)目錄的方式，對重要數(shù)據(jù)進行強化保護；對于“關系國家安全、國民經濟命脈、重要民生、重大公共利益等的國家核心數(shù)據(jù)”，國家在相關重點保護的基礎上進一步嚴格管理。

3.4 確立數(shù)據(jù)安全審查制度

數(shù)據(jù)安全審查是我國國家安全審查和網絡安全審查制度的重要內容?！秶野踩ā返谖迨艞l規(guī)定“國家建立國家安全審查和監(jiān)管的制度和機制，對影響或者可能影響國家安全的……網絡信息技術產品和服務，以及其他重大事項和活動，進行國家安全審查……”《網絡安全法》也規(guī)定了關鍵信息基礎設施運營者采購網絡產品和服務應當通過網絡安全審查的要求。貫徹國家總體安全觀的要求，落實國家安全審查和網絡安全審查相關規(guī)定，《數(shù)據(jù)安全法》規(guī)定了數(shù)據(jù)安全領域的安全審查制度，要求對“影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查”。值得注意的是，為強化數(shù)據(jù)安全管理在內的網絡審查活動，在中央網絡安全和信息化委員會的領導下，國家網信部門會同國家發(fā)改委、工信部等有關部門建立“國家網絡安全審查工作機制”，并設立了網絡安全審查辦公室，組織網絡安全審查。其中，數(shù)據(jù)安全問題是網絡安全審查的重要內容。例如，2021年7月2日，網絡安全審查辦公室發(fā)布公告，為防范國家數(shù)據(jù)安全風險，維護國家安全，保障公共利益，對“滴滴出行”實施網絡安全審查；7月5日，網絡安全審查辦公室再次發(fā)布關于對“運滿滿”、“貨車幫”、“BOSS直聘”啟動網絡安全審查的公告。

3.5 明確數(shù)據(jù)安全保護義務

強化數(shù)據(jù)治理，保障數(shù)據(jù)安全，關鍵是要落實開展數(shù)據(jù)處理及相關活動的主體責任。為此，《數(shù)據(jù)安全法》第四章對數(shù)據(jù)安全保護義務作了專章規(guī)定，主要包括五個方面的內容：其一，明確了數(shù)據(jù)安全保護總體要求，即“任何組織、個人收集數(shù)據(jù)，應當采取合法、正當?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)”；同時規(guī)定開展數(shù)據(jù)處理活動“應當建立健全全流程數(shù)據(jù)安全管理制度，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全”。其二，規(guī)定了數(shù)據(jù)處理活動以及數(shù)據(jù)領域新技術新應用研發(fā)的要求，明確“應當有利于促進經濟社會發(fā)展，增進人民福祉，符合社會公德和倫理”。其三，要求建立安全預警和應急處置機制，落實《國家安全法》相關要求，《數(shù)據(jù)安全法》也規(guī)定開展數(shù)據(jù)活動應當加強數(shù)據(jù)安全風險監(jiān)測，重要數(shù)據(jù)的處理者應當定期開展風險評估，并履行相應的報告義務。其四，首次在法律層面對數(shù)據(jù)交易中介服務和在線數(shù)據(jù)處理服務等作出規(guī)范，規(guī)定“應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄”。其五，配合數(shù)據(jù)執(zhí)法義務，為進一步明確公安機關和國家安全機關在履行相關職責進行執(zhí)法過程中調取數(shù)據(jù)的權限，《數(shù)據(jù)安全法》規(guī)定了有關組織和個人的配合義務。

3.6 完善跨境數(shù)據(jù)流動管理制度

數(shù)據(jù)跨境流動是數(shù)據(jù)安全治理尤其是數(shù)據(jù)安全保護面臨的最主要難題之一。我國高度重視數(shù)據(jù)跨境流動問題，黨的十八大尤其是十九大以來，從維護國家數(shù)據(jù)安全角度出發(fā)，圍繞數(shù)據(jù)安全監(jiān)管不斷構建相關制度。2016年通過的《網絡安全法》從關鍵信息基礎設施運營者（CIIO）的角度明確了我國數(shù)據(jù)跨境流動的一般原則，即CIIO在我國境內運營中收集和產生的個人信息和重要數(shù)據(jù)，原則上應當在境內存儲；與此同時，考慮到出于商業(yè)運營需要等目的，《網絡安全法》也對確需向境外提供數(shù)據(jù)的情形做了安全評估的例外規(guī)定?！稊?shù)據(jù)安全法》在《網絡安全法》關于關鍵信息基礎設施領域數(shù)據(jù)出境管理的基礎上，針對重要數(shù)據(jù)的跨境流動管理進行了補充和完善，進一步規(guī)定其他重要數(shù)據(jù)的出境安全管理辦法由國家網信部門會同有關部門制定。此外，《數(shù)據(jù)安全法》也在《出口管制法》的基礎上對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施出口管制，并規(guī)定針對我國采取歧視性的禁止、限制或者其他類似措施的國家和地區(qū)，我國可對等采取措施。

4 結束語

《“十四五”規(guī)劃綱要》明確提出“保障國家數(shù)字安全，建立數(shù)據(jù)資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規(guī)范”。數(shù)據(jù)安全治理工作是數(shù)字經濟時代各方主體共同面臨的全新課題，《數(shù)據(jù)安全法》的出臺，既是對各方關切的積極回應，也為未來的數(shù)據(jù)安全治理工作構建了總體框架，與《網絡安全法》、《個人信息保護法》等法律法規(guī)中數(shù)據(jù)治理相關制度保持銜接，有效豐富和完善了我國數(shù)據(jù)安全治理體系。《數(shù)據(jù)安全法》的制定出臺推動我國數(shù)據(jù)安全治理工作進入一個新的發(fā)展階段。雖然目前我國數(shù)據(jù)安全治理頂層設計基本形成，但數(shù)據(jù)分類分級、重要數(shù)據(jù)目錄管理、數(shù)據(jù)交易共享等具體制度的配套規(guī)定仍有待制定完善。

隨著我國數(shù)字經濟的持續(xù)發(fā)展和相關法律的生效施行，未來也將面臨更多需要解決的新問題。下一步，數(shù)據(jù)安全治理工作需要堅持系統(tǒng)謀劃，立足長遠，按照國家有關安排部署和《數(shù)據(jù)安全法》等相關法律法規(guī)要求，有序推進數(shù)據(jù)安全治理工作，在確保安全的前提下，推動數(shù)據(jù)為經濟高質量發(fā)展和高品質生活服務。