高志华

（中共武汉市委党校，湖北 武汉 430000）

0 引言

大数据时代，数字信息技术发展日新月异，政府、企业都在积极进行数字化转型，数据作为新型生产要素极大促进了社会经济的发展。习近平总书记在不同场合多次强调数据作为重要战略资源对于提升国家竞争力的重要价值[1]。然而，随着数据价值的日益提升，数据安全所面临的的风险也越来越多。数据的安全将直接影响到经济安全、社会安全，乃至国家安全，必须加强数据安全意识，在总体国家安全观的指导下统筹安全和发展，切实有效地维护数据安全。

1 我国数据安全面临的风险挑战

1.1 个人隐私数据遭贩卖

万物互联给我们的生活带来极大便利，但大数据也悄悄侵犯个人隐私权。近些年，移动互联网技术的大力发展产生出海量数据资源，然而在利益的驱动下，网络黑色产业链日益猖獗，大量用户信息遭到窃取和贩卖，严重侵害个人隐私。例如，国内第一家弹幕视频网站AcFun遭受黑客攻击，导致数千万条用户信息

被窃取并在“暗网”出售[2]。数据行业繁荣与隐忧始终并存，数据一旦被窃取或被恶意滥用，损失随时都有可能发生。大数据的多维度和全面性，可以从很多看似支离破碎的数据中拼出个人或组织的全貌。例如，2020年圆通发生的个人信息泄露事件，圆通内部员工参与贩卖40多万条涉及姓名、地址、手机号和所购物品等多个维度的用户信息。利用大数据分析和挖掘技术，不仅可以复原个人或组织的全部信息，并且可以了解这个人的生活细节或组织内部的各种信息。个人信息数据被窃取被贩卖，对个人、对组织、对社会都将造成巨大的不良影响甚至是危害。

1.2 敏感数据泄露存隐患

近些年，除了在互联网平台发生大规模用户数据泄漏，随着万物互联，在许多线上线下的深度融合的领域，诸如车联网、医疗健康、政务服务等领域中，由于具有高价值特殊敏感数据，也逐渐成为攻击目标。例如，“滴滴出行”App存在非法收集个人数据信息问题。网络安全审查办公室2021年7月审查的“运满满”“货车帮”等头部平台，至少掌握了80%以上所属行业领域的深度数据，这些数据可以间接地或直接地反映出我国各地区的商业热力、货物流动、企业经营、人口分布等情况。再例如2020年春节期间，一些地方利用大数据手段摸排从武汉返乡人员信息时，就曾发生多起返乡人员的姓名、身份证号码、住址和电话号码等隐私信息被泄露事件。

近年来，随着各地政府持续大力推进政务信息的开放共享，政府与企业之间的数据开放，政府与政府之间的数据共享，正在成为各组织机关开展高效行动的一项日益重要的能力，新冠疫情暴发期间，各地健康码数据共享就是这项能力的有效证明。然而，中国数据资源80%以上由政府掌握，由于政务数据具有极高的社会价值和经济价值，往往成为黑客、甚至是有国家背景的黑客组织攻击的对象，导致敏感数据的机密性受到极大挑战。当前经济社会发展存在大量政府和企业的合作，在业务往来过程中，数据共享是政企之间必要环节，往往涉及大量数据与国民经济发展、社会管理紧密相关的信息以及大量的个人隐私、商业机密信息和国家安全信息。政务数据共享开放发展过程中面临的挑战主要表现在政务数据大量汇聚容易成为攻击目标，共享开放环节复杂导致数据流动潜藏风险，新兴技术快速发展催生出多种攻击手段。

1.3 数据跨境流动不安全

全球数字经济的发展，推动了大规模的数据跨境流动。与此同时，数据在跨境流动中也存在不同形式不同程度的安全风险。例如，在数据的存储、传输、应用过程中，如果处理不好很容易产生安全风险。数据作为国家重要的战略资源不受限制地流出可能影响本国数字产业的发展，数据跨境会导致本国执法机关在跨境数据取证的合作中增加执法成本，数据跨境流动还可能威胁国家主权与安全。

2 《数据安全法》要点解析

正是在这样的大背景下，十三届全国人大常委会通过了《中华人民共和国数据安全法》（以下简称《数据安全法》），并于2021年9月1日起施行。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律。《数据安全法》的出台，既顺应了国际发展趋势，有助于在国际竞争激烈、跨境活动频繁的国际背景下，维护我国政府、企业和公民的数据安全，也是保障我国社会经济高质量安全发展的必然要求，有助于推动国家数字经济安全健康发展。《数据安全法》立法宗旨包括了“维护国家主权安全”和“保障数据安全和发展”两层重要含义，承接了2015年7月1日施行的《中华人民共和国国家安全法》所遵循的“总体国家安全观”中对数据安全的关切[3]。

《数据安全法》与2017年6月1日起施行《中华人民共和国网络安全法》（以下简称《网络安全法》）及2021年11月1日施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）一起全面构筑起我国数据与安全信息领域的法律框架。这三部法律有不同的侧重点，《网络安全法》重点关注网络本身的安全，涉及数据在网络上流动与存储的安全。《数据安全法》重点关注数据本身的安全，内容上覆盖了非电子数据，比如纸质的信息。《个人信息保护法》则在寻求个人信息安全的基础上，促进信息数据的合理流通与利用，相对于《数据安全法》为了维护国家安全和社会公共利益不同，《个人信息保护法》侧重于维护公民个人的隐私、人格、财产等利益。2021年11月14日国家网信办发布的《网络安全数据管理条例》（征求意见稿）在《网络安全法》《数据安全法》《个人信息保护法》三部上位法的基础上，在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰细致，进一步强化和落实数据处理者的主体责任，共同保护重要数据和个人信息的安全。

2.1 强调数据安全与发展相平衡

《数据安全法》对数据的有效监管与治理实现了有法可依，填补了数据安全保护立法的空白，同时也鼓励数据依法合理有效利用，鼓励通过技术和业务创新来实现数据安全与应用发展的平衡。《数据安全法》第二章对数据安全与发展并行的原则做出明确[4]解释，进一步强调了“数据安全”与“数据利用”的关系。国家作为统筹数据安全与发展的主体（第十三条），通过推进数据基础设施建设（第十四条）、提升公共服务智能化水平（第十五条）、支持数据开发利用和数据安全技术研究（第十六条）、推进数据安全标准体系建设（第十七条）、促进数据安全检测评估与认证等服务的发展（第十八条）、建立健全数据交易管理制度（第十九条）、支持技术与数据安全相关培训教育（第二十条）等手段，保障数据安全与发展共行[5]。由此可见，《数据安全法》描述了国家主体的重点规划，通过发挥国家主体在重点数据制度的带头作用，完善保障与数据安全相关的产业发展以及数据开发利用等配套措施，实现以发展促安全，以安全保发展的战略理念。

2.2 建立数据分类分级保护制度

《数据安全法》明确了以国家安全为目的的针对数据的分类分级管理，并强化了对国家核心数据的重点保护。第二十一条第一款明确了数据分类分级保护制度。第二款与第三款提出了两个重要概念：“重要数据”与“核心数据”。对于这两种数据，显然要实施更为严格的保护制度。

数据分类分级治理将会带来更多的数据应用机遇，在《数据安全法》框架下可以更加灵活地开发利用不同分类的数据。数据分类分级之后，各方才能更容易确定可分享的数据部分，在完全开放和完全不开放之间寻求平衡。针对不同的应用场景，例如，金融、政务、医疗、广告、教育等，可以采用不同的数据保护机制，提供不同的安全保护等级，这样就可以通过不同的技术手段来实现多方数据的协同应用，可以服务更多的业务场景。在这样的背景下，隐私计算平台产品应该包含多种隐私包含机制，依据具体的分类分级数据保护场景提供可选的隐私保护方案，适用更多的实际应用场景。

2.3 规定跨境数据流动监管要求

在数字时代，数据跨境流动愈发常态化，由于数据跨境流动往往涉及各国的网络空间主权、数据主权和数据安全，实践中一直是各国进行数据立法时重点关注的部分。开展数据出口管制和反制裁措施。《数据安全法》对于数据跨境流动并未做全面的禁止性规定，而仅对涉及国家安全的管制物项数据、重要数据出境等做出框架性安排，真正实现数据的依法有序自由流动。《数据安全法》进一步明确了在跨境数据流动中的监管要求，对数据跨境流动做出相应的制度安排，维护国家数据主权。一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据；另一方面明确了对外国在数据领域的投资、贸易歧视可采取对等反制措施的立法主张，充分体现了我国在网络数据空间主张数据主权的立法思想。

2.4 推动政务数据安全开放利用

大数据时代，政务服务数字化应用效能的体现基于对政务数据信息资源的充分利用。然而，当前政务大数据的汇集、存储、流通、应用等环节存在阻滞，严重影响了政务数据的价值挖掘和利用。《数据安全法》的第五章第三十七条到第四十三条针对政务数据的安全与开放做了细致的规范和要求，明确提出政府应当加强数据开放共享的安全保障措施，构建统一政务数据开放平台，发布数据开放目录，落实数据安全保护责任，利用数据安全运营，提升数据服务对经济社会稳定发展的效果。

政务数据数量庞大，关系国计民生、国家安全和国家主权，如果出现数据安全事件，其后果可能不堪设想。在实践中，为了对数据进行分析整理或者基于提供公共职能服务需要，国家机关委托存储、加工或向他人提供政务数据的情形并不少见。由于此前规制较少，不乏未经审批程序而直接微信对外发送数据等政务数据不规范对外提供的案例。因此，《数据安全法》提出了政务数据安全保护的要求，对国家机关委托存储、加工、向他人提供政务数据提出了规范性要求。

3 结束语

数据作为新世纪的战略性资源，对国家主权、安全和发展利益、企业的发展存亡均有着重要意义。因此《数据安全法》的出台是维护国家安全的战略性举措，也是指引企业安全且有序使用数据进行经济发展的重要保障。数字经济时代的法治建设兼具促进数字经济发展以及防控数据领域风险的双重目标，既要促进数据流通，更好地满足多维大数据利用的需求，推动数据赋能经济社会发展。《数字安全法》中不仅规定了数据安全保护义务，更是在制度设计上致力于关注数字经济发展的特点，让数据安全有法可依，让广大人民群众在数字化发展中获得更多幸福感、安全感。■