(一)坚定不移贯彻总体国家安全观
总体国家安全观是被实践证明过、也在继续被实践证明的维护国家安全的正确科学理论,因此在今后相当长的一段时间内,要坚定不移地贯彻总体国家安全观,这是中国式现代化在国家安全领域的具体体现,推进数据安全体系和能力现代化的首要要求就是贯彻总体国家安全观,将数据安全问题放在总体国家安全中考量、筹划。数据安全的重要性越来越凸显,这充分说明:首先,总体国家安全观理论对国家安全领域的界定是采取概括加列举的方式,具体的国家安全领域要受到质的相似性的限制,同时也要受到《国家安全法》中“国家安全”概念的限定。数据安全关乎国家的重大利益,是需要维护的重要国家安全领域,这是明确提出数据安全概念的实质基础。其次,总体国家安全观是一个开放的、动态的理论体系,对具体国家安全领域的列举也是以“等”字结尾,这预示着具体的国家安全领域可以随着国家安全形势的变化,不断补充发展。我们可以采取两种方式来解决数据安全的定位问题:第一,可以在总体国家安全观所列举的具体国家安全领域中增设数据安全领域,这种方式可以很好地凸显数据安全的重要地位。但是,这种做法也有弊端,无限地扩充具体国家安全领域,不符合精简性原则。第二,可基于最密切联系原则,将数据安全分解列入科技安全、网络安全等具体的国家安全领域,最大程度保障总体国家安全观理论的稳定性。其弊端在于,虽然数据安全和科技安全、网络安全等有内容上的交叉,但是二者的内涵和外延并不完全重合。考虑到数据安全的重要性、数字经济发展的紧迫性,以及我国目前已经出台了规制数据安全的专门立法《数据安全法》,在具体国家安全领域中增列数据安全是更优选择。党的二十大报告采取了第一种做法。总体国家安全观中的“五大要素”“五个统筹”等理论同样适用于维护数据安全的实践。例如,总体国家安全观要求统筹维护国家安全和塑造国家安全,我们在维护数据安全的过程中,要有意识地塑造数据安全,构建有利于我国数据安全的国内外环境。
(二)完善高效权威的数据安全领导体制
要按照“谁主管、谁负责;谁运营、谁负责”的原则,构建高效权威的数据安全领导体制。建立“中央战略指导、部门具体负责、专门机关监管、网信部门统筹协调”的有中国特色的数据安全领导共同体体制,这可以发挥各个机关的优势,各司其职,形成维护数据安全的领导合力。依据《数据安全法》的规定,中央国家安全委员会作为中央国家安全领导机构,负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。各地区以及工业、电信、交通等部门对本地区、本部门收集和产生的数据及数据安全负责。数据安全不但需要内部的合规自治,还需要外部的监督,因此,要充分发挥公安机关、国家安全机关等专门机关对数据安全的监管作用。数据和网络相结合就产生了网络数据,由于网络不具有传统的物理边界,利用传统的手段维护网络数据安全很难奏效,需要国家网信部门统筹协调网络数据安全和相关监管工作。
(三)完善数据安全法治体系
依法维护国家安全是新时代依法治国的重要组成部分,而有法可依是依法维护国家安全的前提。我国已经出台了《数据安全法》《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)、《数据出境安全评估办法》等法律法规,来规制和保护数据安全,为数字经济的健康发展保驾护航。虽然框架已经搭建起来,但是和美国、欧盟等国家和地区相比,我国的数据安全法治体系还需要进一步完善,原因主要表现在以下方面。
1. 法律规定过于笼统,亟待制定实施细则
《数据安全法》是维护数据安全的基本法,从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等方面对数据安全维护进行了宏观性、概括性规定。但过于宏观和概括,对维护数据安全实践工作的指导作用有限。如何建立健全数据交易管理制度、如何规范数据交易行为、如何培育数据交易市场,《数据安全法》并没有给出具体的操作措施。因此,《数据安全法》应配套实施细则,例如数据交易管理制度、数据分类分级保护制度、标准体系建设、政务数据开放制度等。在这方面,数据出境安全评估制度迈出了有实质意义的关键一步,国家互联网信息办公室出台了《数据出境安全评估办法》,为数据处理者向境外提供在中华人民共和国境内收集和产生的重要数据和个人信息的安全评估,提供了具体的指导。
2. 亟待完善行业、地区法规和标准化建设
数据安全在工业、电信、交通、金融、自然资源、卫生健康、教育、科技等不同行业以及不同地区有不同的行业和地域特点,需要加强数据安全行业和地区法规的针对性建设,真正做到“谁主管、谁负责”。例如,为了加强车联网网络安全和数据安全工作,2021年9月16日,工业和信息化部出台了《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》,这是具体行业加强数据安全法规建设的很好尝试,值得在各行业大力推广。这些法规文件由行业主管部门单独或联合出台,很好地解决了各行业的数据安全管理问题。除了各行业,各地区也需要完善自身对数据安全的管理规定,例如,贵州省出台了《贵州省大数据安全保障条例》,天津市出台了《天津市数据安全管理办法(暂行)》等。只有在行业和地区的共同努力下,才可能最终形成“法律宏观统领、法规具体监管”的数据安全法律法规治理共同体。除了完善数据安全的行业和地区法规建设,数据安全标准体系还需健全,加快编制各行业数据安全标准体系建设指南,鼓励各相关企业、社会团体制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。
(四)完善数据安全战略体系、政策体系
1. 完善数据安全战略体系
数据安全战略体系是维护数据安全的顶层设计和宏观规划,为各领域、各部门、各地区维护数据安全提供指导。数据安全战略的目标是在保障数据安全的同时,促进数据开发利用,在保护公民、组织的合法权益的同时,维护国家主权、安全和发展利益。贯彻安全发展融合思想,坚持数据安全和数据发展并重,实现在数据安全的基础上发展数据,在数据发展的过程中持续保障数据安全,真正实现党的二十大报告所提出的“以新安全格局保障新发展格局”。完善数据安全战略体系需要将治理的理念贯穿于维护数据安全的全过程。何谓数据治理?2015年5月,中国信息技术服务标准(ITSS)数据治理研究小组在巴西圣保罗召开的SC40/WG1第三次工作组会议上正式提交了《数据治理白皮书》国际标准研究报告,指出数据是资产,通过服务产生价值,而数据治理主要是指在数据产生价值的过程中,治理团队对其做出的评价、指导、控制。在大数据时代,数据不仅仅是企业或机构的资产,更是现代国家的一种基础战略资源,数字经济将助力实现发展方式的真正转变;数据治理的目的不仅仅是确保数据的高效利用和实现企业价值,更是为了提升政府公共管理能力和国家治理能力;数据治理的主体不仅仅有企业,更包括政府和个人;数据治理不仅仅依靠模型和框架,还要采用法律、行政、教育、道德伦理等方法和手段。依据总体国家安全观理论,维护国家安全要考虑投入和回报的比例关系,安全也是有成本的,我们要追求的是相对安全的状态,而不是不切实际的绝对安全,一味地追求绝对安全会不可避免地陷入安全困境。完善数据安全战略体系要重点对以下问题进行深入思考。
第一,区分对待不同的数据,执行有差别的保护。对数据采取分类分级保护是维护数据安全要贯彻的理念,国家互联网信息办公室出台的《数据出境安全评估办法》就贯彻了数据“分类分级”保护理念,只要求对数据处理者向境外提供在中华人民共和国境内收集和产生的重要数据进行安全评估,保护敏感数据安全与传播合法合规,确保敏感数据不泄露。为支撑国家数据分类分级保护制度,在国家数据安全工作协调机制指导下,根据《数据安全法》《网络安全法》《个人信息保护法》及相关规定,中国电子技术标准化研究院联合中国科学技术大学等36家单位,共同制定了《数据安全技术数据分类分级规则》(GB/T43697—2024)国家标准,规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。《数据安全技术数据分类分级规则》是一种通用标准建设,适合指导各行业、各领域、各地区、各部门和数据处理者开展数据分类分级工作。数据分类分级要遵循科学实用、边界清晰、就高从严、点面结合、动态更新等基本原则,目的是便于数据管理和使用,按照先行业领域分类、再业务属性分类的思路进行分类。我们可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。依据数据分类规则,从数据主体角度,可以将数据分为公共数据、组织数据和个人信息三种类别。按照数据分级规则,可以将数据分级为核心数据、重要数据和一般数据三个级别。数据分级首先要确定待分级的数据;接着要识别分级要素,包括领域、群体、区域、精度、规模、深度、覆盖度、重要性等;然后再分析数据影响,影响对象包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益等,而影响程度包括特别严重危害、严重危害和一般危害;最后再权衡影响对象和影响程度,综合确定级别。处理者进行数据分类分级的流程包括数据资产梳理、制定内部规则、实施数据分类、实施数据分级、审核上报目录和动态更新管理。
第二,预防为主,构建数据全生命周期的安全性。在维护数据安全时,我们要反思“重检测轻预防”的做法,不仅要强调对入侵的检测能力,更要贯彻预防胜于补救的理念,从源头构建增强安全能力,这也符合《国家安全法》所宣扬的“预防为主”的原则,构建全生命周期的数据安全保护。
第三,提倡“以数据为中心”的架构模式。以往的安全实践大部分都是以产品为中心,但是当产品之间的界限越来越模糊,不同产品间开始大量复用数据(或采取内部数据流转、内部数据共享方式)的时候,使用数据目录、数据流图能够更清晰地描述不同产品之间的关系,可以考虑构建“以数据为中心”的架构模式,统一管理数据服务,构成数据中台。当然,“以产品为中心”和“以数据为中心”的模式并不是完全对立的,而是可以并行存在,互为补充的。
2.完善数据安全政策体系
和战略体系相比,政策体系是更具体、更微观的体系层次,战略体系的目标需要依靠政策体系来实现。《数据安全法》规定,数据是指任何以电子或其他方式对信息的记录,数据所涵摄的范围是非常广的。维护数据安全、促进数据开发利用,推进数据安全体系的现代化,要做到不危害国家安全利益、商业利益和个人信息安全;要打通“数据孤岛”,提升认识,科学设计数据开放共享机制,确保安全开放共享;要保护个人信息,国家要加快法制建设,企业加强自律,个人提升维权意识和技能;要实现权能分离,构建数据产权的权利体系,明确数据产权的立法方向。数据安全政策体系主要包括政府数据开放共享政策、个人信息保护政策、数据跨境流动政策三个领域,世界上主要国家的做法也不同。我们可以通过分析其他国家的模式,为我国的数据安全维护提供适当的借鉴。
第一,政府数据开放共享政策。近年来,世界各国政府充分认识到开放政府数据的战略意义,一改过去的封闭态势,纷纷开展政府数据开放行动。联合国秘书长执行办公室于2009年正式启动了“全球脉动”(Global Pulse)倡议项目,目的在于通过推动数据高效采集与数据分析方法创新突破,探索大数据技术服务于社会经济发展的解决方案及有效路径,进而推动大数据技术作为公共产品的研究、发展和利用,最终使大数据对全球可持续发展和人道主义行动发挥实质作用。其中,促进建立公私部门数据开放,形成数据开放共享伙伴关系,成为该倡议项目的重要原则和实施途径。美国的大数据战略和数字经济发展在全球一直处于领先地位,也特别重视政府数据的开放共享。2018年12月21日,美国众议院投票决定启用《公共、公开、电子与必要性政府数据法案》(又称“《开放政府数据法案》”),奠定了政府数据开放的两个基本原则:一是在不损害隐私和安全的前提下,政府信息应以机器可读的格式默认向社会公众开放;二是联邦机构在制定公共政策时应当循证使用。英国既是大数据的拥抱者,也是政府数据开放的领导者和先行者。2018年万维网基金会发布的《开放数据晴雨表》显示,英国在政府数据开放方面的指数与加拿大排名并列第一。英国政府为了推动政府数据开放,构建了完善的政府数据开放政策体系,加大资金投入,重视对数据文化的宣传,走文化建设与技术发展相统一的道路。新加坡也是政府数据开放的先行者,新加坡政府早在2008年就提出了一项全国计划——建设新加坡地理空间信息库(SG-SPACE),系统推进空间数据的全面共享和流通,为社会公众及企业开放地理空间数据,以帮助社会公众及企业决策。在具体措施方面,为了激发大数据研发创新活力,新加坡政府很早便开始利用开源平台模式,构建大数据分析系统的创新平台。
第二,个人信息保护政策。个人信息的收集及使用行为无处不在,而且具有很强的隐蔽性,这一特点造成了一系列的监督执法障碍。传统的个人信息保护执法监督模式已经难以适应目前个人信息保护的监管工作,因此亟待从“技术对技术”的角度入手,创新监管手段。在个人信息保护领域,目前主要存在美国方案和欧盟方案两种方案。1974年的《隐私法案》是美国针对个人信息保护出台的综合性法律,此外,美国还根据不同领域的特点制定了各个领域的个人信息保护规范,2018年美国通过了《加州消费者隐私法》(CCPA),赋予消费者更完整的个人信息控制权。考察美国个人信息保护的相关法案,可以发现美国对个人信息的保护具有以下特点:采取分散的立法保护模式;根据个人信息的具体内容进行分业监管;专门保护特殊数据主体;坚持以隐私权为中心的保护理念;偏重对信息使用的规制。2016年,欧盟通过了《通用数据保护条例》(GDPR),努力实现个人信息保护和数据自由流动之间的平衡。考虑到欧盟国家的历史传统以及构建统一欧盟数据市场的需求,欧盟个人信息保护具有统一立法模式、人格权保护模式、采用公法路径等特点。而我国已经出台了《个人信息保护法》,这一条例有利于在立法模式上采用统一立法和分业监管相结合的模式,充分发挥各自的优势,同时可以在个人信息公益诉讼保护、加强源头治理等方面进行制度创新。
第三,数据跨境流动政策。数据跨境传输规则在规范数据传输过程的同时,也在引导企业的发展乃至数字经济的未来走向。欧盟的《通用数据保护条例》(GDPR)和美国推动的APEC《跨境隐私规则体系》(CBPR)是目前世界上两大数据保护监管框架,形成了规制数据跨境流动的欧盟模式和美国模式。鉴于强大的综合国力、发达的数字经济、先进的数据保护技术,以及数据流入大大超出数据流出的现实,也出于服务贸易利益的目的,美国推行宽松的数据跨境流动政策,在确保美国国家安全利益的前提下,最大程度促进数据自由流动。欧盟的模式是寻求个人信息保护和数据自由流动的平衡,主要通过白名单机制和标准合同,制定有约束力的企业规章制度,经批准的认证机制、封印或标识等方式对欧盟数据的跨境流动进行严格要求。但是考虑到欧盟与美国之间的特殊关系和频繁的贸易往来,欧盟通过“安全港”协定和“隐私盾”协议,设立了欧盟和美国之间的数据跨境流通特殊管道。我国出台了《数据出境安全评估办法》来专门规制数据跨境流动,要求数据处理者向境外提供重要数据和符合条件的个人信息之前,要向国家网信部门申报数据出境安全评估,通过安全评估和风险自评估相结合的方式保障数据出境安全。数据跨境流动政策表面上看是保障数据安全,但最终目的还是为了数据发展,以新安全格局保障新发展格局。我们应该借鉴数据跨境流动的欧盟模式还是美国模式,在理论界和实务界还存在争议。从我国目前数据安全技术和数字经济发展的实际情况来看,我们还是要更多地借鉴欧盟模式,寻求数据主权和数据自由流动的平衡,毕竟美国模式有其特别的国情作为支撑。要实现数据跨境领域的安全发展,需要完善重要数据分类分级管理制度;针对不同场景设置多样化的数据跨境流动机制;推动建立数据跨境流动行业自律制度;强化国际合作,积极参与制定国际规则,提高我国在数据跨境流动领域的国际话语权。
(五)完善数据安全风险监测预警体系和应急管理体系
2023年5月30日,习近平总书记主持召开二十届中央国家安全委员会第一次会议,会议审议通过了《加快建设国家安全风险监测预警体系的意见》。可见,建设包括数据安全在内的国家安全风险监测预警体系成为中央国家安全委员会的工作重心之一,已经提上了日程。我国的《数据安全法》要求国家建立集中统一、高效权威的监测预警机制,国家数据安全工作协调机制统筹有关部门加强数据安全风险信息的获取、分析、研判、预警工作。做好数据安全风险监测工作,需要从制度建设入手,明确机构人员,细化任务分工,同时配备专业设备设施,形成上下衔接、实时共享、效能统一的监测网络。考虑到数据安全风险分布于不同领域,相关应对措施具有较强专业性,难以划定统一的预警标准,各级各部门可以根据各自职责分工和风险紧急程度、危险程度,制定预警标准,以数字或颜色对预警进行分级,及时发布风险预警。需要注意的是,数据安全风险始终处于动态发展变化之中,因此,预警信息发布单位要密切跟踪监测数据安全风险发展变化,根据具体情况适时调整预警级别,并将调整结果及时通报,以便相关部门和社会公众根据应急响应级别作出应对。
应急管理的范围包括自然灾害、事故灾难、公共卫生事件、社会安全事件,数据安全事件属于社会安全事件。我国的《数据安全法》要求国家建立数据安全应急处置机制,一旦发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大。除了《数据安全法》,《中华人民共和国突发事件应对法》和《网络安全法》也对数据安全的应急管理体系做出了相应的规定。
(六)构建全域联动、立体高效的数据安全防护体系
1. 构建全“人”域联动的数据安全防护体系
各地区、各部门要对本地区、本部门工作中收集和产生的数据及数据安全负责,公安机关、国家安全机关等专业机关在各自职责范围内承担数据安全监管职责,国家网信部门统筹协调网络数据安全工作。在应对危害数据安全的事件时,也要贯彻全域联动的原则,充分发挥主管部门、社会组织、企业、科研单位等主体的作用,各司其职、发挥合力,形成维护数据安全的治理共同体。
2. 构建全“时”域联动的数据安全防护体系
从时间维度来看,数据安全是一个包含事前、事中、事后安全的共同体,要构建数据全生命周期的安全性,不但要重视数据的事前安全,贯彻预防为主的原则,也要保障数据的事中和事后安全。在数据跨境流动领域,可以借鉴环境保护的“三同时”制度,创新全“时”域数据跨境流动风险监管制度。
3.构建立体高效的数据安全防护体系
构建立体高效的数据安全防护体系要从技术、教育和意识层面共同努力。安全的数据收集、存储、使用、加工、传输等需要依靠技术,保障数据安全、开发利用数据也需要先进的技术。国家支持教育、科研机构和企业等开展数据开发利用技术培训和数据安全教育培训,培养专业人才。目前,国家安全学已经成为“交叉学科”门类下的一级学科,有条件的和具有前期积累的高校、研究机构可以开展数据安全专业方向的学历教育。保障数据安全也要贯彻群众路线,充分依靠民众,这就需要提高民众维护数据安全的意识。2021年7月2日,国家互联网信息办公室发布公告,对滴滴出行实施网络安全审查,从国家互联网信息办公室发布的简短公告来看,滴滴出行被网络安全审查主要是与数据安全,特别是数据的跨境流动安全有关。2022年7月21日,国家互联网信息办公室依据《数据安全法》《网络安全法》《个人信息保护法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。这就是一次非常好的数据安全全民教育。此外,国家支持开展数据安全知识宣传普及,利用“全民国家安全教育日”之机,开展形式多样、喜闻乐见的数据安全宣传活动,提高了全社会的数据安全保护意识和水平,形成了维护数据安全的良好氛围。
推进数据安全体系现代化是一项系统性工程,也是一项复杂的工程,需要统筹兼顾、全面谋划。要将推进国家安全体系和能力现代化的一般原则和数据安全紧密结合起来,具体问题具体分析,充分做好转化和对接工作。要坚持“一条主线”,统筹“三个建设”,健全数据基础制度、提升数据资源开发利用水平、以数字化赋能高质量发展、促进数据科技创新发展、优化数据基础设施布局、强化数据安全保障能力、提升数据领域国际合作水平、发挥试点试验的引领作用,最终构建成和新质生产力发展相适应的现代化的数据安全体系,提升维护数据安全的持久能力。
浙公网安备 33010502006954号 
