邵晶晶 韩晓峰

(国防大学国际防务学院 北京 102200)

数据是新的生产要素，是基础性战略资源.数字经济的蓬勃发展正在深刻改变国际经济格局.据统计，2019年全球数字贸易(出口)规模达31 925.9亿美元，在服务贸易中的占比上升至52%，在全部贸易中的占比上升至12.9%[1].同期，我国数字经济增加值规模达到35.8万亿元，在GDP中占比达到36.2%[2].据国际数据公司(IDC)预测，2025年全球数据量将高达175 ZB.其中，中国数据量将增至48.6 ZB，占全球数据量的27.8%，将成为全球最大的数据圈[3].数字经济越发展，安全问题就越突出，日益成为国家治理和全球治理的重要议题.在此背景下，世界各国纷纷采取行动，从战略规划、政策制定、立法执法等多个维度入手，形成了各具特色的治理理念和治理方案，对于完善我国数据安全治理体系、打造网络空间命运共同体具有重要借鉴意义.

1 数据安全国家战略规划

国家数据战略是国家数据安全治理的顶层设计.近年来，世界主要大国和国际组织相继出台具有战略规划性质的文件，用于指导本国(地区组织)数字经济发展和数据安全治理.重点国家(地区组织)数据安全国家战略规划情况如图1所示：

图1 重点国家(地区组织)数据安全国家战略规划情况

1.1 欧洲致力于塑造“更加安全的数字未来”

欧盟委员会于 2020 年发布《欧洲数据保护监管局战略计划(2020—2024)——塑造更加安全的数字未来》，围绕后疫情时代数字经济转型带来的各种挑战，如市场集中、虚假信息、平台垄断等，提出欧洲的数据战略.计划提升欧洲在网络标准制定方面的话语权，强调“未来10年，工业数据竞争将十分激烈，欧洲要在其中发挥领导作用，对当前正在实行的互联网重要协议和标准进行重新修订”；强调推动实现基于欧洲共同价值观的“数字主权”“把欧洲产生的数据转换为欧洲公司和个人的价值，并根据欧洲价值观进行处理”；高度重视新兴技术快速发展背景下的隐私和数据信息保护，强调“在部署数字技术时，对于不尊重个人信息保护、隐私权以及《欧盟基本权利宪章》所规定的其他权利和公民自由的行为，将向欧盟机构和公众发出警示”；高度重视信息基础设施供应链安全，强调“最大程度地减少对通信和软件服务垄断供应商的依赖，并与欧盟其他机构和公共管理部门达成一致.”[4]

1.2 美国致力于维护其世界领导地位

美国发布《联邦数据战略与2020年行动计划》，以2020年为起点，描述了美国联邦政府未来10年的数据发展愿景，其核心目标是将数据作为战略资产加以利用.从企业数据治理，访问、使用和扩充，决策和问责制，商业化、创新和公共使用4个方面明确了使命愿景和实现途径，明确了10项框架原则和40项数据管理实践.该战略与《数据科学战略计划》(2018)、《美国国家网络战略》(2018)、《美国先进制造业领导力战略》(2018)等联邦战略互为补充，致力于“维护全球数字化转型背景下的数字领导地位.”[5]

1.3 中国致力于推进网络强国建设

2018年4月，习近平总书记在全国网络安全和信息化工作会议上深入阐述了网络强国战略思想.“十三五”规划中明确提出了“互联网+”行动计划.“十四五”规划强调提高发展数字经济、加快培育发展数据要素市场，应把保障数据安全放到突出位置[6].2021年7月12日，工业和信息化部(以下简称“工信部”)在其官网发布了《网络安全产业高质量发展3年行动计划(2021—2023年)(征求意见稿)》，强调网络安全产业作为新兴数字产业，是维护国家网络空间安全和发展的网络安全技术、产品生产和服务活动，是建设制造强国和网络强国的基础保障.

此外，澳大利亚、日本、韩国等也相继出台战略规划，用于指导本国数字经济发展和数据安全保护.

2 个人信息保护

个人信息保护向来是数据治理的重要方面，目前全球共有127个国家制定了个人信息保护相关法律.重点国家(地区组织)个人信息保护立法情况如图2所示：

图2 重点国家(地区组织)个人信息保护立法

2.1 欧盟《一般数据保护条例》(以下简称GDPR)为全球个人信息保护树立典范

欧盟GDPR于2018年5月在欧盟全体成员国正式生效，强调自然人的个人数据保护权，是当前全球个人信息和数据保护方面最具代表性的立法成果，对其他国家的个人信息和数据保护制度建设具有明显示范作用.中国、日本、新加坡等众多国家均参照欧盟GDPR制定或修订本国的数据保护法规.该条例自生效以来，便以执行严格著称.截至2021年7月，罚款总额累计达到2.9亿多美元，其中，仅针对Google的1项罚款，就达到5 000万美元.2021年7月16日，卢森堡数据保护局决定，因Amazon违反欧盟GDPR规定，拟对其处以8.88亿美元罚款.如果Amazon上诉失败，这有可能是欧盟数据保护机构依据欧盟GDPR开出的最大罚单.总体上看，欧盟GDPR处罚事由按数量排名前3的分别是：1)未采取有效措施导致严重数据泄露；2)超过必要程度收集、处理、存储用户信息；3)未依法报告数据泄露事件[7].

2.2 美国个人信息保护相对灵活宽松

美国迄今没有联邦层次的个人信息保护法律，但美国各州个人信息保护立法稳步推进.其中，最出名的是2018年6月颁布的《加州消费者隐私保护法》(以下简称CCPA).虽然只是一部州法案，但由于加州是Amazon,Google,Apple等世界互联网巨头的总部所在地，因此自然赋予该法案以世界影响力.CCPA规定，消费者在个人信息收集过程中享有知情权，拥有选择其个人信息不被出售的决定权；禁止企业在未经本人授权情况下出售16岁以下未成年人的信息，而对于未满13岁的未成年人，则需要获得其父母的同意.2020年11月3日，加州全民公投通过了CCPA的修正案——《加州隐私权与执法法案》(以下简称CPRA)，增加了更正不准确信息的权利，即更正权，以及限制使用和披露敏感个人信息的权利.2021年8月，美国统一法律委员会(ULC)通过了《统一个人数据保护法》(UPDPA)，旨在为各州隐私立法提供范本.该示范法对个人信息的保护很有限，并对假名数据提供了广泛的豁免.

美国CCPA及其修正案CPRA与欧盟GDPR在个人信息收集方面的显著区别是，CCPA和CPRA采用“默示同意”(opt-out)模式，即默认用户同意数据收集方利用个人信息或与第三方分享的行为，只有以明示的方式表示“不允许”，才能阻止其个人信息被利用.而欧盟GDPR采用“明示同意”(opt-in)模式，也就是默认用户不同意，只有在明确表示同意的情况下，才能使用用户信息[8].这样看来，美国CCPA和CPRA要比欧盟GDPR宽松灵活得多.

2.3 我国个人信息保护立法坚持走“宽严相济”的中间道路

近年来，我国个人信息保护立法进展明显.2013年工信部出台《电信和互联网用户个人信息保护规定》，明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则.2016年《中华人民共和国网络安全法》(以下简称《网络安全法》)把个人信息保护纳入网络安全保护范畴，明确规定了违反个人信息保护应负的法律责任.2021年8月21日，全国人大常委会表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，这是我国首部针对个人信息保护的专门性立法.其主要亮点包括：一是明确立法依据是宪法中关于“尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护”；二是进一步完善个人信息处理原则，即合法、正当、必要和诚信等，特别针对应用程序过度收集个人信息、“大数据杀熟”等作出有针对性的规范；三是完善个人信息跨境提供的规则；四是明确了敏感个人信息处理规则.

我国的《个人信息保护法》与欧盟以及美国模式有显著不同.从严格程度上讲，介于二者之间，采取“宽严相济”的立法模式，探索出第3条个人信息保护路径.在保护路径上，从单一赋权模式转变为多元保护模式，即在明确个人在个人信息处理中的权利的基础上，采取行政干预方式，对涉及国家机关的个人信息处理者进行行为规制[9].

在个人信息保护立法浪潮推动下，世界其他国家也加快了相关立法步伐.巴西和印度分别于2018年和2019年通过了《个人数据保护法》.新西兰出台了《2020年隐私法》.日本和新加坡分别完成了本国《个人信息(数据)保护法》的修订.加拿大推出《数字宪章实施法案2020》，强调保护私营部门个人信息.

3 数据跨境流动监管

数据跨境流动向来是数据安全治理领域较为敏感、复杂的问题.各国从维护国家安全、产业安全、个人安全考虑，制定了很多监管法规.重点国家(地区组织)数据跨境流动监管情况如图3所示：

图3 重点国家(地区组织)数据跨境流动监管情况

1) 欧盟《一般数据保护条例》(GDPR)明确数据跨境流动4条途径.

该条例于2018年5月生效，是当前数据安全领域规定最完备、对个人隐私保护标准最高的一部法规.对于跨境数据流动，欧盟GDPR设置了严苛的标准，主要包括4个方面：

一是基于“充分保护决议”进行数据跨境传输.如果第三国或国际组织能够证明自己在个人数据保护方面达到了“充分”程度，即与欧盟相当，就可以向其传输数据，无需特别授权.相当于把这些国家放进了“白名单”，目前进入该名单的只有英国、阿根廷、以色列等14个非欧盟国家和地区.

二是基于“标准数据保护条款”进行数据跨境传输.如果相关国家达不到“充分保护”标准，那么进行数据跨境传输的公司也可以采用欧盟制定的标准合同，将数据保护的相关条款纳入其中并严格遵守.

三是基于“约束性企业原则”进行数据跨境传输.如果所在国家达不到“充分”标准，企业如果能够满足这些原则，也可以参与跨境数据传输.

四是特定情形下的数据跨境传输.包括数据主体同意，出于订立和履行合同需要、司法需要以及保护重大利益需要等.

2) 美国“云法案”(The Clarifying Lawful Overseas Use of Data Act，CLOUD Act)确保美国在数据跨境流动方面占据优势.

该法案有2条重要规定：

一是“数据控制者标准”.无论通信内容、记录或其他信息是否存储在美国境内，服务提供者均应保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制.根据该规定，如果美国政府想调查某人，只要他(她)的个人信息掌握在美国通信公司手中，哪怕服务器在欧洲，这家美国公司就是“数据控制者”，必须配合美国政府提供该人的数据.该规定也被称为数据领域的“长臂管辖”.

二是“符合资格的外国政府”认定.如果外国政府想从美国获取个人信息，必须符合相应条件：①特定外国政府也给予美国对等待遇，即允许美国直接向其服务提供者发出内容数据的调取命令；②数据调取的主要直接对象不应是美国人，也不应是位于美国境内的人；③调取命令的范围必须被严格限定；④该国必须符合一定的人权保护与隐私保护要求[10].

欧盟为抗衡美国的“云法案”，也公布了《电子证据提案》.该提案允许欧盟执法机构直接调取在欧洲运营的企业存储在欧盟境外的数据.2019年澳大利亚政府通过《电信和其他法律关于协助和准入的修正案》，明确其管辖对象包括位于澳大利亚境外的主体.

3) 我国明确“境内存储”和“安全评估”2大原则.

我国向来重视数据安全.2017年12月，习近平总书记在中央政治局就实施国家大数据战略进行第2次集体学习时强调：“要切实保障国家数据安全”[11].《中华人民共和国国家安全法》《中华人民共和国保守国家秘密法》《网络安全法》《中华人民共和国数据安全法》(以下简称《数据安全法》)以及《个人信息保护法》等法律，从维护国家安全高度明确了数据跨境流动的指导原则，即“境内存储”和“安全评估”.《个人信息保护法》在2大原则基础上，增加了“个人信息保护认证”和“标准合同”2项规定.2021年7月2日，网络安全审查办公室发布公告，对“滴滴出行”APP启动网络安全审查，其核心关切是赴美上市公司可能带来的数据跨境流动风险.

4) 部分国家通过双多边协议推动数据跨境流动.

欧盟GDPR框架下的“充分保护决议”就是典型代表.此外，2018年12月，美国、墨西哥、加拿大签订《美墨加协议》，在数据存储非本地化部分提出了“监管例外”和“公共安全例外”条款，大力推动数据跨境流动.这2项条款也成为美国向全球推行数据自由流动的样板.此外，美国还通过亚太经合组织框架下的“跨境隐私规则体系”(CBPRs)，不断推动多边数据跨境流动.2020年11月，中国与东盟国家、澳大利亚、新西兰等国签署的《区域全面经济伙伴关系协定》(RCEP)规定，不得阻止为商业目的而进行电子方式的跨境信息传输(政府在符合“非歧视”和“必需”条件下，也可基于公共政策和基本安全利益而采取限制措施.)，标志着我国向区域数据自由流动方面迈出了重要一步.

4 数字市场治理

随着数字经济的发展，互联网平台日益成为重要的市场主体.一方面，这些平台是用户个人数据的持有者、管理者、处理者，需要对其行为进行有效规制，确保用户数据信息受到应有保护；另一方面，互联网公司之间也存在同业竞争问题，维护市场秩序、遏制垄断等不正当行为，是数字市场治理的重要内容.重点国家(地区组织)数据市场治理情况如图4所示:

4.1 治理数据滥用、贩卖行为

随着商业推广、精准营销等手段的兴起，利用数据支撑经营模式创新已成为互联网平台成功的关键，但同时也带来数据过度抓取、过度索权、信息滥用、非法贩卖(转移)等严重问题.

4.1.1 规制数据滥用行为

欧盟GDPR规定，收集和处理个人数据，必须坚持数据最小化、目的限制、存储限制以及合法性、公平性和透明性等原则.我国《个人信息保护法》也规定，处理个人信息应遵循合法、正当、必要原则，应当限于实现目的的最小范围，任何组织、个人不得非法收集、使用、加工、传输他人个人信息.在完善立法的同时，我国还不断加大执法力度.2019年1月，中央网信办联合工信部、公安部、国家市场监督总局启动“APP违法违规收集使用个人信息专项治理”工作，工信部也先后启动“电信和互联网行业提升网络数据安全保护能力专项行动方案”“APP侵害用户权益专项整治行动”，重点整治APP违规收集、使用个人信息，超范围收集个人信息，强制用户使用定向推送功能，强制、频繁、过度索取权限，频繁自启动和关联启动等行为.2020年，4部门再次出手，开展APP违法违规收集使用个人信息专项治理工作.2020年8月，工信部发布公告，对腾讯、携程等43款APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题进行通报，并限期整改.

4.1.2 规制数据非法贩卖(转移)行为

近年来，随着数字经济发展，数据作为关键生产要素的价值不断提高，个人数据倒卖现象十分猖獗，已成为大数据产业的灰色地带.我国严禁数据非法贩卖，《个人信息保护法》明确规定，不得非法买卖、提供或者公开他人个人信息.与此同时，司法机构的惩治力度也在不断加强.2020年5月，江苏警方破获一起公安部督办的特大“暗网”侵犯公民个人信息案，抓获犯罪嫌疑人27名，查获被售卖的公民个人信息数据5 000万余条，有效震慑了数据非法贩卖行为[12].2021年1月，江苏省仪征市人民法院发布一则刑事判决书，判处北京智借网络科技有限公司罚金320万元，案由是该公司在未取得受害人同意的情况下，向下游多家公司出售姓名、身份证号、手机号在内的个人信息，严重侵犯公民个人信息，买方涉及多家公司，如平安普惠、拍拍贷等[13].

美国对非法转移数据问题曾开出天价罚单.从2015年起，Facebook将5 000万用户的个人信息分享给英国政治分析公司“剑桥分析”，用于帮助后者了解用户偏好，并通过定向推送影响用户在政治领域的投票.2018年12月，Facebook遭到起诉.2020年4月，该公司接受和解协议，认罚50亿美元，成为美国联邦贸易委员会有史以来最大的一笔罚款[14].

4.2 治理算法侵权问题

随着智能化技术的广泛应用，算法在互联网平台中的渗透力和影响力日趋强大，同时也带来了算法滥用、算法黑箱、大数据杀熟等问题.

4.2.1 提高算法透明度

美国计算机协会于2017年1月发布了《算法透明性和可问责性声明》，提出使用算法的机构应采取严格的方法验证算法模型并将测试结果公开，同时鼓励机构对算法所遵循的程序以及作出的特定决策进行解释.2019年4月，欧洲议会未来与科学和技术小组(STOA)发布了《算法责任与透明治理框架》，提出将责任治理和算法透明当作解决算法公平问题的工具，同时指出算法透明并非对算法的每个步骤、算法的技术原理和实现细节的解释，简单公开算法系统的源代码难以提供有效的透明度，反而可能威胁数据隐私或影响技术的安全应用[7].我国的算法治理强调用户对算法推荐结果的知情和自主选择权.2019年5月28日，中央网信办发布了《数据安全管理办法(征求意见稿)》，明确规定网络运营者在利用用户数据和算法推送商业广告等时，应以明显方式表明“定推”字样，并为用户提供停止接受定向推送信息的功能.《个人信息保护法》规定：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，……个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定.”2021年8月27日，中央网信办发布《互联网信息服务算法推荐管理规定(征求意见稿)》，要求算法推荐服务提供者向用户提供不针对其个人特征的选项，或者向用户提供便捷的关闭算法推荐服务的选项.

4.2.2 强化算法问责

2019年4月，美国国会引入《2019年算法问责法案》，指导联邦贸易委员会对相关实体使用的自动决策系统进行评估，并对侵犯消费者隐私和安全的算法进行问责.近年来，我国在处理APP侵权尤其是“大数据杀熟”方面取得显著成效.2021年7月7日，我国首个“大数据杀熟”案在浙江宣判，被告携程公司须依据判决“退一赔三”，同时纠正其“二选一”行为[15].2021年8月，有关禁止“大数据杀熟”的规范被写入《个人信息保护法》，规定“不得对个人在交易价格等交易条件上实行不合理的差别待遇.”

4.2.3 提倡算法伦理

欧美国家十分重视算法伦理建设.2019年，美国修订了《国家人工智能研究与发展战略计划》,提出研究人工智能的伦理、法律和社会影响，以及开发设计符合伦理、法律和社会目标的人工智能系统的方法.2018年4月，欧盟委员会发布的政策文件《欧盟人工智能》提出：人工智能应坚持以人为本的价值观，人工智能技术需要朝着有益于个人和社会的方向发展.2018年4月,英国议会发布《英国人工智能发展计划、能力与志向》,明确“人工智能不应用于削弱个人、家庭乃至社区的数据权利或隐私”等5项人工智能基本道德准则.我国高度重视人工智能伦理道德问题.2019年6月，国家新一代人工智能治理专业委员会发布《新一代人工智能治理原则——发展负责任的人工智能》，明确提出和谐友好、公平公正、包容共享等8项原则，特别强调“人工智能发展应以增进人类共同福祉为目标；应符合人类的价值观和伦理道德.”[16]2021年发布的《互联网信息服务算法推荐管理规定(征求意见稿)》，要求不得设置诱导用户沉迷或者高额消费等违背公序良俗的算法模型，不得将违法和不良信息关键词计入用户兴趣点，不得设置歧视性或者偏见性用户标签.

4.3 治理垄断行为

互联网平台公司的庞大体量和运作模式，使其经常游走于垄断的边缘，因此也成为互联网治理和数据安全治理的重点对象.

4.3.1 欧盟坚持对互联网平台垄断行为实行强监管

2020年12月15日，欧盟发布了旨在遏制大型网络平台不正当竞争行为的《数字服务法案》和《数字市场法案》.其中，《数字服务法案》要求互联网平台，尤其是超大型平台负担繁重的安全管理、透明度义务；《数字市场法案》明确了针对大型互联网平台的“守门人”义务，如“允许平台的商业用户在平台之外推广产品、签订合约”“禁止利用商家数据与商家开展竞争”等，对于企业违规行为，2部法案也都设置了严苛的处罚，最高处罚金额分别高达全球年营业额6%和10%.近4年来，Google，Amazon，Facebook，Apple等科技巨头在全球范围内遭到反垄断调查，其中欧盟自2017—2019年连续3年对Google进行反垄断处罚，累计金额超过90亿美元[17].

4.3.2 美国对互联网平台反垄断监管逐步趋紧

美国没有专门针对互联网平台制定反垄断相关法律，主要结合数字经济特点对原有工业时代的《反托拉斯》《克莱顿法》《联邦贸易委员会法》进行修正，并将反垄断法的适用范围向数字经济延伸；在惩罚力度和执法手段上，以和解为主，与欧盟高额罚款措施形成鲜明对比[18].多年来，美国对互联网公司采取较为宽松的监管政策，但自2019年以来，形势发生大幅转变，标志性事件是对4大数字平台(Google,Amazon,Facebook,Apple)展开的反垄断调查.2020年12月9日，美国联邦贸易委员会和48个州及地区总检察长对Facebook发起反垄断诉讼，指控该公司通过长达数年的不当竞争行为，非法维持其在个人社交网络领域的垄断地位，该案至今仍在审理之中[19].

4.3.3 中国针对互联网平台的反垄断监管取得长足进步

2019年，《禁止垄断协议暂行规定》《禁止滥用市场支配地位行为暂行规定》《制止滥用行政权力排除、限制竞争行为暂行规定》3部反垄断法配套章程正式落地，明确了市场份额认定的指标范围，以及认定具有市场支配地位的特殊考虑因素，并对互联网经济中的“免费模式”进行了规范.2020年1月，国家市场监督管理总局发布《〈反垄断法〉修订草案(公开征求意见稿)》.该草案首次将互联网等新业态纳入规制范围，并新增了互联网经营者市场支配地位认定标准.2020年11月10日，国家市场监督管理总局发布了《关于平台经济领域的反垄断指南(征求意见稿)》，认为互联网平台巨头形成的垄断抑制公平竞争，并明确提出加大对平台经济领域所有市场主体的反垄断调查，如VIE架构、“二选一”等问题.2021年4月10日，国家市场监督管理总局依法对阿里巴巴集团作出行政处罚决定，责令其停止违法行为，并处以其2019年中国境内销售额4%的罚款，共计182.28亿元[20].

5 数据内容管理

随着网络信息发布主体和传播渠道日益多元化，暴恐、虚假以及不规范的内容不断出现，严重威胁经济社会安全稳定.如何维护清朗的网络环境，培育良好的网络生态，已成为全球数据安全治理的重要议题.重点国家(地区组织)数据内容管理情况如图5所示:

图5 重点国家(地区组织)数据内容管理情况

5.1 重点治理暴恐、虚假内容

2019年3月15日，新西兰克赖斯特撤奇发生枪击案，行凶者在社交媒体上直播枪杀49人全过程，震惊全世界，推动世界各国采取行动治理网上暴恐视频.澳大利亚、法国、德国、巴基斯坦、土耳其等国纷纷以立法或修正案形式，规定社交平台义务报告、删除涉嫌暴恐、谋杀、强奸等画面.针对网上虚假信息，各国也纷纷通过立法进行规制.法国针对虚假信息干预选举的问题专门通过了《反假信息操纵法》.俄罗斯立法打击在网上传播虚假信息和不尊重国家的言论.新加坡立法明确政府可以要求网络运营者或个人删除或移除虚假消息.2019年12月15日，中央网信办正式发布《网络信息内容生态治理规定》，对网络信息内容生产者、网络信息内容服务平台、网络信息内容使用者以及网络行业组织在网络信息内容中的权利和义务作出了明确的规定.2019—2020年，中央网信办、工信部、公安部等部门，接连开展网上违法有害信息清理行动，重点清理低俗色情信息、虚假不良信息、网络暴力内容等，严惩相关责任平台和个人，持续净化网络环境.

5.2 强化平台主体责任

长期以来，欧美国家对互联网平台企业在网络信息内容方面的法律责任界定主要遵循以“通知-删除”规则为核心的避风港原则和对显而易见的违法内容应负责的“红旗原则”.然而，近年来，随着关于加强互联网平台责任的呼声日益提高，部分国家正在尝试通过立法强化平台责任[7].澳大利亚通过《分享重大暴力内容》修正案，规定如果网络服务提供商“在意识到重大暴力内容存在后的合理时间内”未能向澳大利亚联邦警察局报告，或未能“确保将内容迅速删除”，将被处以当年全球营业额10%的罚款.相关个人最高将面临3年监禁或210万澳元罚款，或二者并罚.2018年，德国通过《改进社交网络中法律执行的法案》，大量违法内容未被删除或屏蔽的社交媒体平台，将面临最高5 000万欧元的巨额罚款.我国于2019年12月通过《网络信息内容生态治理规定》，要求“网络信息内容服务平台应当履行信息内容管理主体责任.”

5.3 应对网上新兴业态

近年来，我国针对网络直播、短视频、论坛社区等新兴信息传播媒介出台了专门的管理规范.2018—2020年，中央网信办先后发布了《微博客信息服务管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》《网络音视频信息服务管理规定》《区块链信息服务管理规定》，以及《互联网直播影响信息内容服务管理规定(征求意见稿)》等多项规定，明确各类传播活动中信息服务提供者应当承担的义务，禁止相关活动中出现虚假宣传、诽谤等行为.为整治兴起的“饭圈”乱象，2021年8月27日，中央网信办发布《关于进一步加强“饭圈”乱象治理的通知》，提出10条整治措施，包括“严禁呈现互撕信息”“清理违规群组板块”“强化节目设置管理”等内容.同日，中央网信办启动“清朗·移动应用程序PUSH弹窗突出问题专项整改”行动，重点治理网民反映强烈的移动应用程序PUSH弹窗违规推送、过滥推送等扰乱传播秩序的问题.

6 对我国数据安全治理的建议

6.1 进一步完善法律体系，争夺数字经济领导权

随着《数据安全法》和《个人信息保护法》的出台，我国在数据安全领域已基本完成上位法架构，在指导思想、基本原则、重点领域上形成了较为明确的指向，但在指导具体落地的下位法规建设方面还相对欠缺，存在很多模糊地带，与欧美国家存在较大差距.在数字经济高速发展、中国即将成为全球最大数字市场之际，宜加快立法进度，构建起统筹安全与发展、相对完备的法律体系.一是完善数据安全治理配套法规制度建设.对标《网络安全法》《数据安全法》《个人信息保护法》，针对数据确权、责任界定、安全评估等重点难点问题，尽快出台指导性和操作性强的下位法规.二是建立健全数据安全保护标准规范.充分考虑我国数字经济特点和特殊安全需求，结合具体领域、场景，邀请行业、企业深度参与，制定承接“地气”、操作便捷、保障有力的标准规范和指南.三是加强企业数据安全制度建设.建立企业数据安全能力成熟度评估制度，即通过明确不同类型数据安全能力的成熟度要求，推动企业建立与数据类型和规模相匹配的数据安保能力.同时，建立企业数据流向监管制度，鼓励企业对追踪数据使用情况及流向的工具开发和使用，使数据用途明晰化，并配合国家开展数据资源使用情况的追踪调查[21].

6.2 深度参与全球数据治理，提升规则制定国际话语权

2020年1月，美国战略与国际问题研究中心(CSIS)高级副总裁Matthew发表文章[22]表示:“是时候就数据治理达成一致了”，并认为，数据治理是全球经济秩序的“第5个支柱”.前4个支柱分别是布雷顿森林体系的3个机构，以及20世纪70年代形成的能源相关安排.他还说：“谁在有关数据隐私和数据流的规则、标准和规范、技术标准、网络安全以及关键技术的全球争夺中获胜，就将在2030年的经济中拥有重大的竞争优势”[22]当前，在数字经济领域，中美欧是3大核心力量，3方在全球数据规则制定方面的合作与博弈，将很大程度上决定未来数字经济世界格局.一是加强数据安全治理影响力输出.用好世界互联网大会、“一带一路”高峰论坛、中非合作论坛等主场外交，大力推广以《全球数据安全倡议》为代表的中国主张、中国倡议，不断扩大国际共识基础.二是积极参与数字安全领域国际规则制定.发挥政府、国际组织、行业、企业、个人以及技术社群主体作用，参与国际标准、指南、规则制定，将中国理念融入世界方案.三是加强双多边交流合作.在当前中德、中俄、中阿(拉伯)、中国-东盟数据安全相关国际声明、倡议基础上，进一步加强对话磋商和谈判，争取尽早在数据跨境流动、本地化存储、打造网络空间命运共同体等方面进一步深化理解共识，形成制度安排，构建“区域数字经济圈”，打造合作样板，为引领国际规则制定奠定坚实基础.

6.3 加强对新技术新应用的扶持监管，抢占数字经济治理新高地

随着数字经济的飞速发展，5G、人工智能、区块链、生物识别、物联网、自动驾驶、加密货币等新技术在各领域深度融合应用，不断催生出各种新产品、新业态、新应用，在推进数字经济边界拓展和层级提高的同时，也带来各种风险和问题，是各国立法和监管部门面临的共同难题.在这一背景下，各国争相通过投资、立法和制度安排等方式，引导新技术新应用高速健康发展，在全球竞争中争夺优势地位.鉴于当前中国在5G、人工智能、区块链、生物识别等领域已进入全球第一梯队，具备赢得未来竞争的强大潜质，建议在充分吸收借鉴世界各国成功经验基础上，结合我国实际，重点向以下2个方面聚焦用力：一是从国家战略层面进一步加大扶持发展力度.着眼赢得数字经济前沿领域大国博弈竞争，进一步完善我国在相关领域的发展战略，同时紧盯相关领域全球竞争态势，出台年度报告或白皮书，随时校正调整发展方向、建设重点和实施步骤，始终保持领先或领跑地位.二是重点通过指南等“软指标”进行监管.在新技术融合交织、发展迅速的背景下，政府部门往往难以使用统一的法律法规对新技术新应用进行监管，不恰当的立法监管不但达不到治理目标，还有可能限制产业发展.建议借鉴美欧等成功经验，重点通过制定“指南”等“软指标”规范引导新技术新应用发展，营造适度宽松发展环境，践行安全与发展并重的指导思想.

总之，数据安全治理是国家治理体系和治理能力现代化建设的重要组成部分，是打造网络强国、数字强国的必然要求，应当在充分吸收借鉴世界经验的基础上，大力发展融合中国智慧、满足中国需求、对接世界发展的数据安全治理体系，推动网络空间命运共同体建设行稳致远.