9 月8 日，參觀者在2021 中國國際數字經濟博覽會5G 智慧展區參觀 陳其保攝/本刊

➤針對數據安全管理“九龍治水”情況，數據安全法明確了黨對數據安全的領導體制

➤2020年，我國捕獲的攻擊國家關鍵數據和涉及國計民生重要數據的惡意程式樣本數量，超過4200萬個

➤建立數據分類分級保護制度，關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度

　　文 | 陳智敏

　　數據，是數字經濟的重要生産資料，是國家核心戰略資源和社會重要財富。如今，新一輪科技革命和産業變革正在萌發，大數據、人工智慧、5G、物聯網、區塊鏈、雲計算等新技術、新産業、新業態層出不窮，這些均以數據的收集、使用為前提和基礎。

　　當前，我國已正式進入數字經濟紅利大規模釋放的時代。2020年，數字經濟在我國GDP中佔比38.6%，對我國發展模式和治理模式産生深刻影響。同時，數據安全問題日益突出，也已成為關乎國家安全、公共安全、個人隱私安全、數字經濟健康有序可持續發展乃至人類社會公平正義的重大問題。

　　在以往實踐中，對于數據安全和國家安全的關係、數據安全的領導管理體制和工作機制、數據跨境流動的安全審查制度、各行業各部門以及數據使用和處理者對數據的安全保護義務、公民維護數據安全的權利義務等問題，法律尚未予以明確，給各方維護數據安全帶來不少困難挑戰。

　　9月1日正式施行的《中華人民共和國數據安全法》（以下簡稱數據安全法），是大數據時代的一部具有裏程碑意義的法律，為有效解決目前我國數據安全面臨的十大突出問題奠定了法律基礎。

　　一是，更好維護大數據時代的國家安全。

　　大數據時代，國家安全體係的任何一個領域都離不開數據支撐，都與信息安全、數據安全密切相關。涉及政治、經濟、外交、科技、軍事的敏感數據一旦泄露或被惡意利用，將對國家安全造成重大危害。特別是，如果形成數據壟斷和數據霸權，將會帶來政治、經濟、社會等諸多領域一係列風險。同時，當前以涉及國家安全的關鍵數據和國計民生的重要數據為目標的跨境攻擊越來越頻繁，成為威脅國家安全的網絡犯罪新形態。

　　沒有數據安全，就沒有國家安全。數據安全法明確，開展數據處理活動不得危害國家安全，在境外開展數據處理活動損害我國家安全也要依法追究法律責任；從維護國家主權、安全和發展利益的高度保障數據安全、促進數據開發利用。

　　這些規定在立法上是一個重大進步，對于更好維護國家安全具有重大法律意義。

　　二是，明確黨對數據安全領導的體制。

　　黨政軍民學、東西南北中，黨是領導一切的。只有加強黨中央的集中統一領導，才能做好數據發展和安全的頂層設計、制定方針政策和法律法規、組織協調各方力量、統籌推進數據安全工作，才能有利于國家更好行使數據管理權、控制權、防護權、反制權、司法權以及開展網絡戰的權力。

　　針對數據安全管理“九龍治水”情況，數據安全法明確了黨對數據安全的領導體制，規定了中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，並要求建立國家數據安全工作協調機制。

　　這些規定為做好數據安全工作提供了堅強的體制保證。

　　三是，明確各部門、地方政府、行業組織維護數據安全的管理職責。

　　在開展數據處理活動的過程中，各部門、地方政府、行業組織和社會管理者、運營者、經營者維護數據安全責任不明確，導致數據安全風險事件時有發生。

　　針對這一問題，數據安全法明確，各地區、各部門要對本地區、本部門工作中收集和産生的數據及數據安全負責。其中，工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責；公安機關、國家安全機關在職責范圍內承擔數據安全監管職責；國家網信部門負責統籌協調網絡數據安全和相關監管工作。

　　同時，數據安全法還規定，相關行業組織要制定數據安全行為規范和團體標準，加強數據安全保護，提高數據安全保護水準；並要求科研機構、企業共同參與數據安全保護工作，在數據處理活動以及研究開發數據新技術過程中遵守法律法規，尊重社會公德和倫理，遵守商業道德和職業道德。

　　明確各方管理職責，有利于推動形成全社會共同維護數據安全和促進發展的良好環境。

　　四是，明確數據安全與發展的關係。

　　當前，由數據採集、數據清洗、數據標注、數據交易等核心數據要素環節構成的中國數據要素市場快速成長，規模從2016年的62億元增長到2020年的545億元。同時，數據要素市場快速發展也帶來了影響包括經濟安全、社會安全在內的國家安全等問題和隱患。

　　針對以往存在的“先發展、後安全”的問題，數據安全法明確，統籌發展和安全，堅持以數據開發利用和産業發展促進數據安全，以數據安全保障數據開發利用和産業發展；實施大數據戰略，推進數據基礎設施建設，鼓勵和支援數據在各行業、各領域的創新應用，省級以上人民政府根據需要制定數字經濟發展規劃；支援數據安全技術研究，推動形成數據安全標準體係，促進數據安全檢測評估、風險評估、認證等服務發展，加強數據安全教育培訓、規范數據交易行業規則、培育數據交易市場，保障數據依法有序自由流動、推進數據基礎設施建設和政務數據開放。

　　這些規定有利于充分發揮數據的基礎資源作用和創新引擎作用，以數據開發利用和産業發展促進數據安全，以數據安全保障數據開發利用和産業發展，為建設更高水準的平安中國提供法律保障。

　　五是，建立健全維護數據安全的工作機制。

　　2020年，我國捕獲的攻擊國家關鍵數據和涉及國計民生重要數據的惡意程式樣本數量，超過4200萬個。

　　針對遭網絡攻擊而停擺的安全風險，數據安全法聚焦數據安全領域的風險隱患，明確了國家要建立集中統一、高效權威的數據安全風險評估、報告、資訊共用、監測預警機制，還要建立數據安全風險應急處置機制。一旦發生數據安全事件，有關部門應及時採取處置措施，防止危害擴大，消除安全隱患。

　　通過建立健全對數據安全風險資訊的獲取、分析、研判、預警以及應急處置機制和舉措，實現數據安全事前、事中和事後的全流程保障，提升國家數據安全保障能力，有效應對數據安全這一非傳統領域的國家安全風險與挑戰。

　　六是，建立分類分級的數據安全等級保護制度。

　　據調查，2019年中國産生了3.9Zbps的數據量，約佔全球9.3%，居世界第二。日益劇增的海量數據給數據安全保護帶來了重大挑戰。同時，各類各領域數據對數據安全的重要程度不同，一旦遭到篡改、破壞、泄露或被非法獲取、非法利用，對國家安全的危害也不一樣，因此數據分類分級保護已成為數據安全治理的重要前提。

　　數據安全法明確，建立數據分類分級保護制度，提出國家核心數據概念，指出關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，要實行更加嚴格的管理制度；各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

　　這些規定有利于加強對重要數據特別是對國家核心數據的保護，完善數據安全治理。

　　七是，建立數據跨境流動的安全審查制度。

　　2019年，我國數據跨境流動量約為每秒1.11億Mbps，佔全球數據跨境流動量的23％。目前，數據跨境流動的安全缺乏法律保障，沒有通行的國際規則，誰掌握了數據就掌握了戰略主動。美國通過的澄清域外合法使用數據法案，試圖通過長臂管轄實施數據霸權，使數據安全問題日益成為一個全球性問題。此外，掌握大量用戶數據的國內大型企業在境外上市，也存在著嚴重的數據安全風險隱患。

　　對此，數據安全法明確，對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制，對影響或者可能影響國家安全的數據處理活動進行國家安全審查，強調非經國家主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于我國境內的數據，並對違法向境外提供重要數據的行為進行嚴厲處罰。同時明確，對我採取歧視性的禁止、限制或者其他類似措施的國家和地區對等採取措施，體現了國家為維護國家安全和發展利益的堅強意志。

　　這些規定契合了當前我國數據跨境流動的發展趨勢，有利于應對愈演愈烈的數據跨境流動安全風險。

　　八是，規定數據使用和處理者對數據安全的保護義務。

　　截至2021年6月，中國網民規模達10.11億，互聯網普及率達71.6%。預計2025年中國數據總量全球佔比有望達到27%以上。同時，我國違法犯罪活動日益從社會空間進入網絡空間，呈現跨地區、跨領域、跨行業特徵，電信網絡詐騙等非接觸性犯罪已成為影響社會治安乃至平安中國建設的突出問題，嚴重威脅人民群眾生命財産安全。特別是，作為電信詐騙高發、多發的源頭，不法分子非法獲取、非法倒賣的各類數據已成為其用來策劃、組織實施違法犯罪活動的重要工具。

　　數據安全法明確，任何組織、個人不得竊取或者以其他非法方式獲取數據，並針對數據使用者、處理者不規范使用和處理數據造成的安全隱患，專門明確數據處理者要建立健全全流程數據安全管理制度，加強風險監測，組織開展教育培訓，並採取相應的技術措施和其他必要措施保障數據安全；重要數據的處理者落實數據安全保護責任制，定期開展風險評估並向主管部門報送風險評估報告；公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。

　　這些規定明確了數據使用和處理者的責任和義務，規范其數據處理活動，有利于促進數據依法合理有效利用和相關行業健康有序發展。

　　九是，明確公民維護數據安全的權利義務。

　　大數據時代，公民個人的數據權應當是公民的基本權利，數據權屬的主體在民。

　　針對公民個人數據泄露危害個人隱私安全和經濟權益，數據安全法明確，國家保護個人與數據有關的權益，對于竊取或者以其他非法方式獲取數據、損害個人合法權益的行為，將依照有關法律、行政法規的規定處罰；要求國家機關對在履行職責中知悉的個人隱私、個人資訊等數據應當依法予以保密；明確了公民維護數據安全的義務，要求公民個人應積極參與數據安全保護工作，提高數據安全保護意識和水準，舉報違反數據安全法行為，履行配合公安機關和國家安全機關依法調取數據、未經批準不得向外國司法或者執法機構提供存儲于我國境內的數據等數據安全保護義務；個人在有關主管部門發現數據處理活動存在較大安全風險並進行約談後，應採取措施進行整改，消除數據安全隱患。

　　這些規定有利于公民更好參與維護數據安全。

　　十是，提出開展數據國際合作。

　　網絡安全和數據安全是全球性問題。數據安全法明確，國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。

　　這些規定為推動構建網絡空間命運共同體奠定了法律基礎。□

　　（作者為全國政協社會和法制委員會副主任、公安部原副部長、國家網信辦原副主任）