封面主题 |总体国家安全观十年：回望与发展  之六  数据安全法治发展面临的问题和完善路径

编者按

国家安全和社会稳定是改革发展的前提。统筹发展和安全，增强忧患意识，做到居安思危，是我们党治国理政的一个重大原则。2014年4月15日，习近平总书记在中央国家安全委员会第一次会议上首次提出总体国家安全观，这是国家安全理念的创新，为新形势下加强国家安全建设、完善国家安全制度体系、保障国泰民安提供了基本遵循和行动指南。

在总体国家安全观提出十周年之际，为更好地了解总体国家安全观十年的发展和成绩，本期封面主题聚焦国家安全形势新特点新目标新任务，特邀请各领域的专家学者，探讨新时代总体国家安全观的形成与发展，以及军事安全、金融安全、社会安全、应急安全、数据安全、生物安全等重点领域法治建设的现状。今后，总体国家安全观将继续不断完善，以筑牢新时代国家安全的法治保障，回应人民群众对国家安全的新期待。

数据作为新型生产要素，是数字化、网络化、智能化的基础，正深刻改变着生产方式、生活方式和社会治理方式。数据安全已经成为事关国家安全和经济社会发展的重大课题。党的十八大以来，数据安全法治建设取得显著成就，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等法律相继出台，为数据安全提供了坚实的法律保障。随着全球新一轮科技革命和产业变革深入推进，信息技术日新月异，数字经济发展进入战略机遇和风险挑战并存，不确定、难预料因素增多的时期，必须有力推进数据安全领域科学立法、规范执法、公正司法、创新普法，更好地护航网络强国、数字中国建设。

一、数据安全法治建设取得显著成就

（一）科学立法，筑牢数据安全法治根基

出台《网络安全法》《数据安全法》《个人信息保护法》等基础性法律，以及《关键信息基础设施安全保护条例》《数据出境安全评估办法》等配套行政法规、规章，确立了数据分类分级、数据跨境流动、数据交易管理、数据安全保护等多项制度。出台《中华人民共和国反电信网络诈骗法》，对与实施电信网络诈骗密切相关的物流信息、贷款信息、交易信息、婚介信息等予以重点保护。

完善法律法规，如《中华人民共和国民法典》将个人信息作为一项受保护的重要民事权利，并将数据纳入保护范围；在《中华人民共和国刑法》中，设立了侵犯公民个人信息罪，强化个人信息的刑法保护，形成了我国数据安全治理的顶层设计。2024年3月22日，国家网信办出台《促进和规范数据跨境流动规定》，针对新形势下保障国家数据安全、保护个人信息权益、促进和规范数据依法有序自由流动的现实需要，对现有的数据跨境标准、程序等作了优化完善。这既是优化营商环境、支持外资企业在中国持续深耕发展的有力举措，也是统筹推进深层次改革和高水平开放，持续打造更具竞争力的数字经济的重要制度创新。工业、金融等部门相继出台了本领域的数据安全管理办法，根据不同领域涉及的数据敏感程度，以及数据风险性的差异，在各领域中具体落实和细化基础法律中的数据分类分级、数据流通、数据安全审查等机制。

上海、深圳等地也加快立法步伐，《上海市数据条例》《深圳经济特区数据条例》均设立“数据安全”相关章节，明确实施数据安全责任制，确立数据处理活动中的义务，并要求建立健全数据安全风险评估、报告、信息共享及监测预警机制。

（二）严格执法，保障数据处理规范有序

行政机关加大数据安全领域执法力度，通过行政处罚、行政指导、规则指引等多种手段，规范企业数据处理行为。2022年，各级网信部门依法查处违法违规处理个人信息行为的App，下架未按要求开展安全评估等违法行为的App。同年，各级公安机关针对关键信息基础设施、重要信息系统和重要数据，切实履行安全监管职责，部、省、市三级公安机关累计对3.5万家单位开展执法检查，下发限期整改通知书4.6万份，有力确保了网络和数据安全。2023年，工信部通报46款App及第三方软件开发工具包（SDK）存在违规收集、使用个人信息情形，责令其限期整改。各行业主管机关在网络基础资源、网络数据等领域，通过加强技术手段建设、完善监测与预警机制等举措，筑牢数据安全防线，防范化解安全风险，通过制定数据安全和个人信息保护领域的标准，明确数据安全合规的具体技术方法和管理措施，推动数据安全能力建设。

视觉中国供图

（三）公正司法，捍卫数据信息公平正义

法院通过梳理、公布典型案例，树立行为规则、统一司法尺度，充分发挥了保护数据权益的作用。在庞某鹏诉某航空股份有限公司、某信息技术有限公司隐私权纠纷案中，法院的判决明确了掌握个人信息的组织应当积极、谨慎采取有效措施，防止信息泄露，任何人未经权利人允许，都不得扩散和不当利用个人信息。

检察机关加大数据安全、个人信息保护领域公益诉讼办案力度。在贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案中，西秀区人民检察院在审查熊某某等3人涉嫌侵犯公民个人信息罪一案时，发现熊某某等3人的行为可能损害社会公共利益，遂将该案线索移送至公益诉讼检察部门审查，经调查，西秀区人民检察院依法对熊某某等3人侵犯公民个人信息案提起刑事附带民事公益诉讼。

最高人民法院、最高人民检察院公布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益。最高人民检察院发布个人信息保护检察公益诉讼典型案例，加大个人信息保护领域公益诉讼办案力度，突出保护重点人员、重点领域的个人信息，严格保护敏感类别信息及特定群体的个人信息。

（四）全民普法，提升数据安全意识素养

积极开展数据安全普法，提高全民数据安全法治意识和素养。在数据安全立法过程中，立法机关广泛听取并充分吸纳各方意见，法律公布后以新闻发布会、答记者问和专家解读等方式解疑释惑，引导公众了解数据安全法律知识、遵守数据安全法律法规。在执法、司法活动中，以发布数据安全典型案例、公开数据安全司法案件等方式，适时开展数据安全法律法规普及工作，帮助群众生动直观了解数据安全法律知识。自2019年起，国家网络安全宣传周开始加强数据安全管理、个人信息保护方面的法律法规宣传，全国各地通过展览、论坛、知识技能竞赛等多种形式，发动企业、媒体广泛参与，深入开展数据安全宣传教育活动。数据安全法律知识的到达率、普及率、知晓率得到提升，民众的数据安全法治意识和素养明显增强。

二、数据安全法治发展面临新挑战

随着大数据、云计算、物联网、人工智能等新一代数字技术迅猛发展，新科技革命成果不断融入生产生活，我们所面临的数据安全问题的复杂程度、艰难程度明显加大。要以新安全格局保障新发展格局，既通过发展提升数据安全实力，又深入推进数据安全思路、体制、手段创新，营造有利于数字经济发展的安全环境，在发展中更多地考虑安全因素，努力实现发展和安全的动态平衡，开创在发展中巩固和维护数据安全的崭新局面。

（一）法律修改配套仍需加强

《数据安全法》需要进一步明确重要数据概念，完善不同行业、领域的数据分类分级制度规则；《个人信息保护法》涉及的小型个人信息处理者专门规范、个人信息匿名化标准等配套制度也需加快出台，提供相对明确的指引和约束。《网络数据安全管理条例（征求意见稿）》以列举的形式明确了重要数据的定义，但仍需要结合形势发展进一步完善管理制度。在数据出境方面，《数据出境安全评估办法》规定的数据出境流程走完需要数个月的时间，对于未通过评估的情形，缺乏明确的说明，需加以完善。

（二）监管体制与机制仍需改革

从监管体制与机制层面看，数据安全领域监管权责划分仍不够清晰，数据安全监管权责可能存在交叉，同一对象可能被不同行业主管部门监管，甚至还存在行业主管部门和综合性主管部门监管权责交叉重叠的现象。例如，个人的金融数据在证券公司的收集过程中面临的出境审查应当交由证监会负责，而人民银行作为金融工作领域的主要负责机关，对于这类数据的出境也具有审查权力，这种多头重复监管导致监管挤踏、互相推诿，增加企业合规成本，极易限制数字经济的发展活力和创造力，最终难以使社会和人民群众从数据要素及数字经济发展中获益。

在监管手段上，重管理、轻服务的现象时有发生。例如，部分地方建设电子服务平台时准入门槛较低，参与建设运营的企业和机构资质参差不齐，相关部门缺乏监管机制、监管技术，可能存在重要敏感数据泄露的风险。个别部门担心数据安全出了问题需要担责，就拒绝共享相关数据信息，而不是引导企业、机构去完善安全措施。随着科技的进步和新业态的涌现，传统监管体系难以完全适应快速发展的科技领域，导致监管滞后和缺失。

（三）诉讼规则体系亟待创新

现行诉讼规则需要根据数据司法保护的需要不断进行创新发展。侵犯数据权益的行为具有跨地域甚至跨国界的特征，同时网络数据具有易被删除、易于篡改且不留痕迹的特点，证据的存储、提取、检验均比较困难，这些都对创新诉讼规则、完善审判制度提出了新要求。

现有的刑事法律体系未严格区分计算机系统和数据两种调整对象，更侧重于保护计算机信息系统而非数据本身，倾向于对包含明确具体法益的信息进行保护，对数据法益这种抽象的独立法益则关注不足，甚至有时完全忽略了数据本身的财产价值。比如，对于利用网络爬虫技术非法获取企业数据的行为，司法实践往往回避犯罪行为所抓取的数据类型、数量、价值等，而多从危害计算机信息系统运行秩序和数据安全的角度适用非法获取计算机信息系统数据罪进行兜底性定罪处罚，该种规制思路使得企业的数据资产难以得到更加充分的刑法保护。

（四）普法宣传仍有完善空间

普法线下参与度仍有提升空间，线上宣传方式仍有创新空间。现有的线下普法方式，如举办讲座、开设培训课程、发放宣传册等，虽然起到了一定作用，但它们在吸引公众参与、提高互动性方面仍有局限。可以通过在线下设立咨询台、利用社区大屏滚动播放相关案例视频等手段来吸引群众参与。现有的线上普法方式，如官方网站发布、社交媒体推广等，虽然覆盖面广，但在吸引公众关注、提高宣传效果方面仍有不足。为此，可以利用微信群转发宣传与群众日常生活息息相关的数据安全案例，或者利用短视频平台制作图文解说，以更加生动直观的方式向公众传递数据安全法律知识。

数据安全普法的对象一般集中在企业、政府机构和相关专业人员等，面对普通公众的普法宣传较少。普法频率和持续性也需要加强，数据安全是一个不断发展的领域，新的威胁和挑战不断涌现，当前的普法宣传可能难以跟上数据安全领域的变化和发展，公众对数据安全的认识和理解可能滞后于实际的需求。

（五）新兴领域回应仍不充分

以生成式人工智能为代表的新一代人工智能新技术新应用快速发展，新技术、新业态、新风险不断变化并带来新挑战，一些重要领域的制度规范难免存在空白区、时间差。应用日渐广泛、风险日益凸显、创新压力紧迫的人工智能发展，仍存在综合性立法不足的问题。《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》虽然及时回应了相关管理和发展需求，但作为部门规章，存在位阶较低、管理手段有限等问题。

三、以更完善的数据安全法治护航网络强国、数字中国建设

信息技术迅猛发展，信息传播日益向数字化、网络化、智能化深入发展。必须坚持高质量发展和高水平安全良性互动，以更完善的数据安全法治为网络强国、数字中国建设保驾护航。

（一）坚持安全和发展并重，促进新质生产力发展

数据安全是动态的而不是静态的，信息技术变化越来越快，数据安全的威胁来源和攻击手段也在不断变化，需要树立动态的防护理念。在数据安全立法理念上，我们应坚持安全和发展并重，安全是发展的前提，发展是安全的保障，安全和发展要同步推进，不发展是最大的不安全，不安全会对发展造成极大冲击。要更好地体现发展与安全的深度融合，更好地促进数字化、网络化、智能化方向的新质生产力发展。

（二）完善数据安全法律法规，推动新兴领域的专门法律出台

一是加快重点法律法规的修订。推动《网络安全法》《个人信息保护法》《中华人民共和国反不正当竞争法》适时修订，完善不同行业、领域的数据分类分级制度规则；明确个人信息范围、匿名化个人信息范围、已公开个人信息范围等各类信息划分标准；完善针对数据抓取、盗用等行为的保护规则，为有关主体提供相对明确的指引和约束；推进《网络数据安全管理条例》尽早出台，细化落实数据分类分级保护制度、数据保护措施等规定。

二是推动新兴领域立法。研究制定人工智能法，为人工智能技术的研发和应用提供明确的法律框架和标准。在立法中明确人工智能安全评估、人工智能审计等机制，统筹好新技术发展与安全的关系，有利于更好地释放人工智能创新潜力。在数据市场领域立法上，要聚焦数据产权登记、数据交易等上位法的制定，统一相关规则的指引，避免地方现有制度“各自为战”。

（三）明确监管权责界限，加强对企业合规引导

一是明确各职能部门的权责界限，落实职权法定原则，推进监管机构、职能、权限、程序、责任的法定化。理顺跨部门协同治理的结构与程序，健全部门协同治理运行机制，建设分工合理、权责一致、运行高效的监管机制。

二是增强服务意识。建立健全目标责任制、考核评价制度、奖惩激励制度等，加强监督检查和评估反馈，明确投诉方式，开通现场、电话、网络等多类免费咨询渠道，解答监管过程中企业遇到的各类问题。

三是针对人工智能新兴领域，设立国家及地方人工智能主管机关，统筹全国范围内的人工智能发展与管理工作，避免出现新的监管挤踏、互相推诿等问题。

四是主管机关应加强合规引导。通过组织培训、召开研讨会等形式，帮助相关企业建立科学、有效的数据安全体系。执法机关在进行监管时，不仅需要确保监管措施明确，还需要根据规则强度，赋予一定的执法“灰度”，鼓励企业根据自身实际情况选择合适的合规方式，为企业创新留出容错的空间。

（四）优化数据安全司法保护体制，完善诉讼规则体系

一是法院要进一步发挥在确立规则、完善制度方面的重要作用。明确数字化证据的证明标准和采信规则，为数字经济矛盾纠纷解决、保护新兴业态发展提供具体指引。

二是法院要加强对数字法治前沿理论和实践难点问题研究，围绕数据交易实践中业界关心的数据确权、交易定价、数据脱敏、安全保密等问题，引导建立完善科学的数据交易与流动制度；根据数据性质和场景明确权属规则，处理好不同数据主体的合法利益诉求，激励更多主体参与数据要素市场。

三是继续推进审判制度机制改革创新。推进大数据、云计算、人工智能、区块链等现代科技在诉讼服务、审判执行、司法管理等领域的深度应用，要主动适应信息技术新发展，完善全流程、全业务网上办理机制，健全网上诉讼规则和电子证据标准。进一步加强互联网法院建设，将涉及数据保护的案件纳入集中管辖范围。

（五）创新数据安全普法形式，增强公众法律素养与防护意识

一是不断创新法治宣传教育的内容与渠道。在普法内容上，发挥互联网媒体的内容与资源优势，结合不同群体需求，运用图解、短视频、直播等多种形式，使数据安全法治内容更加贴近人民群众。在普法形式上，加大线上普法力度，通过论坛、微博、政府网站、微信公众号、网络直播间、问答社区等多种平台向公众普及法律知识。

二是积极倡导数据安全科普知识进社区、乡村与学校。广泛动员社会公共培训基地、公共图书馆、企业等多元资源，构建一套针对不同年龄层次群体的数据安全知识体系，定期开展数据安全法律知识普及和宣传教育活动，帮助民众建立并强化数据安全、隐私保护及防电信诈骗意识。中小学、职业教育和高等教育应依据各自教育阶段的特点，分类实施数据安全意识和素养教育，以切实加强师生对数据安全的认知与重视，努力构建一个全民参与、全民受益的数据安全教育和防范体系。

（六）建立新型数据信托制度，助力数据高效流动

一是构建新型数据信托制度，通过政府政策支持及引导，培育作为不直接处理数据的第三方主体的数据信托受托者，在数据主体的授权下与数据处理者的需求进行匹配，并帮助数据主体维护合法权益以及获取相应收益。着重保障处理活动的合规底线，拓展数据需求方获取数据的途径，降低因数据流动而对数据主体带来的风险。数据信托受托者将在数据流通过程中发挥监督数据处理、保护数据权益、撮合数据交易等作用，应当在确保其独立性、合规性、技术先进性的同时，公平、透明、合理地参与数据流通，通过中介担保促进各方相互信任，提升数据要素市场的配置效率。

二是做好《中华人民共和国信托法》与《数据安全法》等数据法律规定的对接，细化可作为数据信托财产的数据范围，廓清数据信托当事人的资质要求，明晰数据信托受托人信义义务的内容，确定信息来源者的监督权行使方式与范围，提供数据信托营利分配的示范模式，使数据信托真正发挥提升数据流通效率与维护数据安全的双重作用。

（七）发展监管合规科技，筑牢数据安全技术屏障

一是加强技术研发。结合现有数据安全防护技术，推动数据水印、数据访问异常识别检测等技术工具的发展，探索将人工智能应用于安全防护领域，从而增强合规措施的穿透性和有效性，提高企业合规效率、降低合规成本，实现以算法规制算法、以技术治理技术。

二是推动技术共享。对监管实践中已经证明具有可行性及应用价值的监测技术、安全评估工具，可适当面向企业开放共享使用，促进其自我评估、自律治理，对成熟有效的合规技术建立示范推广机制，明确应用合规效果，增强技术应用预期。

三是促进协同创新。促进政府、企业、科研机构、社会组织等多方合作和交流，共同探索实践方案，构建以企业为主体、以市场为导向、产学研用深度融合的技术创新体系，把企业作为科技成果转化的核心载体，提高科技成果落地转化率。

党的二十大报告提出，“构建新一代信息技术、人工智能……等一批新的增长引擎”“加快发展数字经济”，为数据安全法治建设指明了方向、描绘了蓝图。在新征程上，不断提升科学统筹推进数据安全立法、执法、司法、普法水平，更好地发挥法治固根本、稳预期、利长远的基础作用，更好地助力数字时代高质量发展和高水平安全良性互动、深度融合。

（作者系中国社会科学院文化法制研究中心研究员周辉，本文刊载于《法治时代》杂志2024年第4期）