數據安全影響國家安全的微觀分析

龐雪瑩

（山東大學，山東 青島 266071）

2021年7月上旬，國家網絡安全審查辦公室對系列赴海外上市互聯網平臺企業實施網絡安全審查，同時要求其手機應用程序在審查期間不得接受新用戶注冊。本次被審查企業，其共同點在于掌握大量用戶數據，業務范圍涉及交通、物流、公共服務和人才信息等關鍵信息基礎設施領域，且于近期赴美上市，不可避免涉及數據出境問題。本文以該事件為例，立足總體國家安全觀，探討數據安全影響國家安全的理論邏輯，在此基礎上，進一步討論數據安全規制的基本路徑，提升數據安全保護能力，維護國家安全。

一、關鍵資源能力分析：海量信息采集與深度數據挖掘

基于Barney關于企業競爭優勢的判斷理論“有價值的、稀缺的、難以模仿的資源是企業競爭優勢的重要來源”［1］，可以認為企業關鍵資源能力包括兩個方面，一方面是圍繞企業主業運營方向，開展經營活動所依托的具有排他甚至壟斷性的關鍵資源。這種關鍵資源可以是有形資產，也可以是無形資產。企業主業的開展關鍵在于對關鍵資源的獲取與整合，企業技術能力的創新也離不開關鍵資源所帶來的內生動力和外在激發，由此形成企業可持續發展的核心競爭力。另一方面是企業建立和形成相對固定商業模式所具備的關鍵能力，也就是對關鍵資源的開發利用和創新整合。關鍵能力正向作用于企業發展的前提是企業能夠有效識別并汲取關鍵資源，通過對所處行業的發展趨勢預測和市場走向的分析評估，在設定的發展模式中充分融合已有關鍵資源，形成不同資源間協同聯動、相互促進。對關鍵資源的運用能力在某種程度上直接決定企業的戰略定位、價值取向和最終產品或服務形象，是企業生存發展獲得經濟利益的重要因素。

互聯網平臺企業是典型的“大數據，輕資產”企業，其種類繁多的業務開展，都離不開數據采集和分析，該模式相較于競爭對手的“小數據，重資產”模式，具有明顯優勢。對企業自身而言，無需購置大量資產影響現金流動；對用戶而言，共享平臺更為便捷高效，適應現代化出行需求的同時也創造了靈活就業機會，更符合城市應用場景，因而廣受歡迎。具體來說，該類企業每項業務的開展都離不開數據支持。使用快車、專車業務，用戶輸入起終點，發出訂單，系統可自動分配最合適的司機前往接駕，甚至用戶發出訂單，系統可根據歷史訂單和軌跡預測用戶想要前往的地點，提高運營效率；使用拼車服務，系統會自動匹配具有相似路線的乘客完成訂單；車主服務信用體系，則是通過算法計算不同司機的服務水平以及用戶體驗，司機個人專屬服務信用分值越高，能夠被分配到越多的訂單，進而獲得更高的收入，該做法也可有效降低乘客的投訴率。在越來越豐富的數據運用場景中，互聯網平臺企業通過提供海量精準高效的出行服務，源源不斷地收集、更新并補充新的數據信息，將新獲得的知識資源與日積月累形成的原數據信息進行綜合關聯分析、精確比對以及碎片化整合，挖掘出數據背后隱藏的大量信息，通過這些信息的不斷重組和聚合，企業便可掌握用戶信息本身之外的更多信息資源。

正是基于數據智能驅動帶來的技術創新，企業可逐步搭建幾乎覆蓋各行業領域的難以復制的交通數據庫，形成商業戰略核心競爭力，實現對用戶行為和服務適用性的精準預測，精確的營銷范圍以及廣告的針對性投放，進而實現商業價值的最大化。正所謂“在對的時間，把對的信息，放在對的人眼前”［2］，數據的威力被不斷放大，用戶依賴形成，企業競爭力提升。但與此同時，企業所具備的關鍵資源能力，也成為其在海外上市可能對國家安全帶來的最大威脅。

二、引發網絡安全審查的根本考量：國家安全

數字經濟時代各行業發展高度依賴網絡設施和信息系統，國家資源配置與保護也越來越多地傾向于關鍵信息基礎設施，在平衡國家利益、社會公共利益和個人權益的前提下，賦予關鍵信息基礎設施運營者更多的保護義務并強化其自我監督管理，對關鍵環節實施重點保護，也是實現網絡安全的根本保證。本次赴美上市企業運營的關鍵領域在于交通運輸，提供的關鍵服務為乘客出行，掌握大量關鍵信息并具備數據思維，基于定位技術、云計算以及機器學習算法形成了“互聯網+網約車業務”有機融合的運營模式，可以認為其屬于交通運輸行業的關鍵信息基礎設施運營者。作為掌握核心數據資源的國內互聯網企業，其赴海外上市行為將可能引發潛在的數據跨境流動，面臨數據被截獲或者篡改進而損害國家利益甚至威脅國家安全，如放任其海外上市行為的持續發酵，大量擁有類似運營模式的新興獨角獸企業勢必蠢蠢欲動，這些新興“獨角獸”基本控制了各行業的關鍵數據并掌握核心資源，如字節跳動、企查查等，產業價值大幅提升帶來了科技的高速發展，但其瓜分國際市場獲得更大商業利益的全球化野心往往導致忽視了內在企業擔當。如果這些隨著我國新經濟崛起而發展起來的新興企業紛紛在倉促間赴海外上市，都將對國家安全帶來嚴峻挑戰，國家間數據主權的博弈，數據跨境流動的復雜性最終都指向國家安全，網絡安全審查成為必然。

（一）數據主權博弈引發國家安全危機

當前數據全球化的趨勢使得各國對數據主權愈加關注。區別于傳統國家主權范疇，數據主權早已超出物理界分，任何數據的生產、處理、傳播、運用和交易行為均有可能影響國家主權，而數據權力的行使則應當以確保國家安全為前提。但在數據流動中不可避免地產生了數據主權分歧，權力界限導致國家間數據主權博弈。首先，數據涵蓋著可以被解構的國家政治、經濟、軍事以及其他核心領域的信息，掌握并管轄數據本身便意味著對權力的控制，這也是各國爭奪數據主權的一個重要原因。其次，數據在跨境流動過程中意味著數據輸出國和數據接收國之間權力的流動、交換乃至妥協，而各國對于數據的解構或聚合分析能力不同，能夠實現的管轄能力也不對等，必然導致數據主權邊界劃分不清，引發數據權力重合以及數據市場的動蕩。最后，具有高水平數據技術優勢及更智能算法的國家，基于其強大的數據收集和整合能力，對他國數據流動的不法干涉和監管最終都將指向政治安全和國家安全，這也是當今時代數據作為各國基礎性戰略資源［3］難以避免的權力之爭。如企業存儲的實時多元數據流向美國，美國將掌握大量中國公民個人及國家重點領域數據信息，通過數據孤島的整合互聯，形成更為強大的數據霸權，而推行數據霸權主義本就是其強化全球主導地位的必然選擇［4］，這將嚴重威脅國家安全。

（二）數據跨境流動的復雜性影響國家安全

數字經濟時代，合法合規的數據流動可以促進經濟發展，提高數據的收集、應用和分析能力，但數據的非法跨境流動則將對國家安全產生嚴重影響。美國“棱鏡門”事件之后，一些國家通過法律規制或其他手段對數據進行管控就是出于國家安全的考量，俄羅斯、印尼等國為防范外國監控明確限制數據出境［5］。如何處理數據跨境流動的尺度問題，便存在法律和技術上的雙重難度，這就需要在促進數據自由流動的同時，合理考量數據流出可能產生的潛在威脅，尋找發展與安全的平衡點。企業所掌握的大量基礎出行數據，關乎國家基礎設施領域建設和發展，通過長期的觀察和分析數據，可勾勒出中國城市發展的經濟狀況，如這些數據被泄露或篡改，可能致使國家秘密外泄，國家安全價值受損，將嚴重侵犯國家及社會公共利益。

三、數據安全法律規制面臨的難題

（一）數據、信息、網絡法律規范齊驅并進但體系協同作用不足

2014年，習近平總書記在中央網絡安全和信息化委員會會議上強調：“沒有網絡安全就沒有國家安全”［6］，網絡強國的建設，需以網絡安全為前提。對于網絡安全而言，作為總體國家安全的重要組成部分，相較于傳統國家安全，其整體性、基礎性作用更為突顯。總體國家安全所包含的政治、國土、軍事等16個領域，本身就是彼此聯系、相輔相成的有機整體，網絡和信息滲透在各個領域之中，使各領域之間的聯動不斷加深，是“牽一發而動全身”的，網絡安全出現問題，很有可能引發蝴蝶效應，多個領域產生系列連鎖反應，破壞網絡生態平衡，危害國家安全。網絡安全本身所具備的整體、動態、開放的特征［7］，也決定了網絡安全的治理需著眼于技術發展創新，構建與社會生活實際緊密聯系的動態治理體系。對于網絡所承載的大量信息，信息的形成和傳播便可以影響國家的決策和社會經濟發展，數據本身作為信息的載體，成為連接網絡和信息的根本，區別于傳統的信息安全、網絡安全和網絡空間安全均聚焦于信息安全，信息安全為三者的核心［8］的觀點，可以認為，數據安全已然成為網絡安全、信息安全和數據安全的核心，成為三者的交集所在。還有學者提出的算法安全［9］，也需要以海量數據為依托進行聚合分析，可見數據安全的保護，已不再局限于數據本身。

目前，我國《國家安全法》于2015年頒布施行，我國《網絡安全法》于2017年頒布施行，我國《數據安全法》自2021年9月1日起施行，我國《個人信息保護法》已于2021年8月20日審議通過并于2021年11月1日起施行，以上法律的立法宗旨中均強調維護國家安全、保障網絡安全、保障數據安全等，結合2020年我國已施行的《網絡安全審查辦法》可以看出，我國在法律層面已經搭建起涵蓋國家安全、網絡安全、數據安全和信息保護的法律框架，宏觀層面把控定位功能基本具備。通過梳理自我國《國家安全法》頒布以來各立法層級關于數據、信息和網絡的規范性文件，國家、網絡、數據和個人信息領域分別頒布安全方面的法律，構成安全領域立法的頂層設計；已頒布施行的有5項部門規章，涵蓋個人信息出境、科學數據管理、網絡安全審查和汽車數據管理等方面，頒布時間集中于2018年后。各項立法的宗旨表述基本相似，如維護國家安全，保障數據安全等。

總體來看，我國《數據安全立法》起步較晚。自2014年習近平總書記首次提出總體國家安全觀以來，2015年國務院印發的《促進大數據發展行動綱要》提出建立完備的法規制度并構建標準體系，從法律層面對數據安全提供全方位的保護，2019年國家互聯網信息辦公室會同相關部門研究起草并發布了《數據安全管理辦法（征求意見稿）》卻一直未予頒布實施，直到2021年企業系列赴美上市事件發生，我國《數據安全法》《關鍵信息技術設施安全保護條例》相繼頒布施行。與此同時，對原《網絡安全審查辦法》結合國內企業國外上市情形進行修訂并發布征求意見稿，新推出汽車數據安全領域的全新管理規定《汽車數據安全管理若干規定（施行）》，地方層面僅有的《貴州省大數據安全保障條例》于2019年才頒布實施。從整體來看，行政法規、部門規章以及地方層面立法尚沒有對數據安全這一重要事項給予充分的權力配置和責任劃分［10］，直到國內企業赴海外上市可能造成數據泄露引發國家安全時才密集推出相關立法。此外，當前的立法體系仍然存在碎片化現象，配套制度不完善，體系協同作用不充分，數據安全的法律治理尚無法滿足國家治理需求，距離實現治理全方位覆蓋、體系全過程協調、多層次主體參與的治理機制還有差距，緊密結合總體國家安全觀的立法也存在缺失，制度供給尚不能滿足數據安全保護的需要。

（二）我國《數據安全法》頂層設計完備但細化措施仍需加快制定落實

2021年6月10日，我國《數據安全法》正式頒布，第四條明確指出“維護數據安全，應當堅持總體國家安全觀”，說明立法者在對該法進行頂層設計時就將國家總體安全作為根本出發點，運用總體國家安全觀作為理論指引，意在滿足我國數據安全規范的需求，是適應我國當前發展階段的科學立法，也將成為平衡數據安全風險隱患的最有效指導文件。我國《數據安全法》從法律層面對數據、數據安全等理論概念進行分明的范疇界定，明確數據安全治理主體責任劃分，規范了國家部門、政府和企業、個人的職責和保護義務，強調發展與安全“一體兩翼”的共同推進，搭建了涵蓋多要素、多層級的制度設計體系。我國《數據安全法》第三章提出了六方面相關子制度設計，包括數據分類分級保護、數據安全審查、數據安全應急處置、數據安全風險評估、數據出口管制和反歧視，真正實現多維度、全方位的制度規范，真正發揮出在數據安全領域的規范指導作用。

但鑒于當前數據安全領域體系化規范不足，我國《數據安全法》作為法律層面的整體規劃設計尚需要更為細化的規范性文件指導實際工作。一是“重要數據”這一關鍵概念需要進一步定義判斷標準。我國《數據安全法》提出有關部門制定重要數據目錄，但又缺乏對重要的準確界定，其重要性是應體現在數據的敏感性、數據的高風險性，還是強調數據泄露造成的危害程度？需要明確的定義，或者是否認為《關鍵信息基礎設施安全保護條例》中對于關鍵信息基礎設施所涵蓋領域的數據可等同于此處的“重要數據”，在制定重要數據目錄時需作為基本參照進行考量。我國《數據安全法》第二十一條還提出“國家核心數據”的概念，“重要數據”的確定是否要以此作為定性范疇尚且不確定，還需要在制度層面與“國家核心數據”的概念和指向予以明確的界分。二是子制度的實施缺乏特定領域的規范文件。我國《數據安全法》作為基礎性法律，對數據安全保護具有綱領性作用，系統涵蓋了工業、交通、教育、科技、自然資源等多領域部門的職權和監管職責，這就需要在未來的實施過程中，明確各領域行業內規范，針對六方面子制度制定細化措施及相應的懲戒制度，完善配套立法，提高我國《數據安全法》的可實施性，實現數據、網絡與國家安全立法的有效銜接，促進各領域數據安全規范治理。

（三）企業數據安全保障不足且行業自律管理不到位

互聯網平臺企業赴美上市事件折射出的當前企業層面普遍存在的數據權力法律規制與共享利用機制的不健全。法律規制的原則不夠明確，懲戒措施不夠具體，企業運用數據的行為缺乏規范指導，最為明顯的就是企業交易個人信息謀取利益、運用數據優勢進行不正當競爭，同時上位法的規范缺乏配套制度，企業探索式行使數據權力往往偏離數據安全而不自知。特別是數據產業發展突飛猛進，但數據行業或者以數據作為關鍵資源的行業尚未形成統一的市場規則，數據惡性競爭行為產生，影響行業發展。加之法律“規范性期望”［11］的獨特功能，法律規制已無法涵蓋數據生成的各個領域，產生超出法律規制范疇的數據行為，這也是特殊時代背景下法律對數據行為規制必將面臨的矛盾。此外，無論企業是否出于自愿共享，都不得不承認數據共享才能給雙方帶來更大價值，發揮資產利益，但實際中缺乏較為健全的共享共用機制，企業與政府之間，企業與企業之間，均需要進行不同程度的數據共享流通，但法律保障的不足使企業模糊了共享與交易的邊界，不法數據行為沒能得到有效治理。

隨著數據價值突顯，企業掌握并處理數據的數量日趨增多，數據所承載的關鍵性信息所體現出的數據價值大幅提升，企業對于數據價值的深度挖掘也創造了更深層次的社會經濟價值。但在實踐中，企業存儲的數據急速擴張，企業因數據保護技術措施不足以及數據保護意識缺乏，造成數據泄露或存在泄露隱患，導致數據風險事件發生。互聯網平臺企業在海外上市，其數據便存在被境外資本通過商業協議或者股權收購的方式操作的風險，進而威脅國家安全，其中所顯露出的數據安全風險為所有掌握國家重要數據信息的運營者敲響警鐘，具有基礎設施運營性質的大型企業未來將成為國家數據安全監管的重點對象。

企業對于自身掌握數據的安全可控具有義不容辭的責任，但現有立法中，《網絡安全法》規定網絡運營者有維護網絡運行安全的義務，防止數據被竊取、篡改或者泄露；我國《數據安全法》作出了開展數據處理活動應當健全流程管理，加強風險監測，開展風險評估以及采取合法、正當方式收集數據等原則性規定，實際中可操作性不強；我國《民法典·總則編》將數據與網絡虛擬財產并列提及，可見當前對于企業承擔數據安全責任的法律規范仍較為分散并且缺乏明確的權利義務約束。立法層面的模糊處理也在某種程度上放縱了企業自身的監管責任，企業發展中缺乏數據安全監管的積極性，怠于提升數據安全技術保護能力，甚至在安全責任方面縮減成本，這些行為對于企業乃至國家數據安全保護都是極為不利的，并可能導致新型知識產權糾紛和不正當競爭［12］。

四、數據安全規制的基本路徑

（一）強化國家總體安全觀對數據安全規制的引導作用

2014年中央國家安全委員會第一次會議上首次提出總體國家安全觀，總體國家安全觀是中國特色社會主義建設這一特有背景下形成的我國特有的總體安全理念，是對全新歷史時期新發展趨勢下安全任務指導方針的深刻總結。基于國家安全形勢的現實考量，總體國家安全觀在發展過程中所涵蓋的范圍和覆蓋的領域逐步擴大，內涵進一步豐富，國家安全逐步轉向非傳統安全，伴隨著經濟全球化的趨勢以及數字經濟的興起，國家整體安全規范下的意識形態安全、數據安全的影響力不斷滲透到其他各類安全領域。2015年我國《國家安全法》出臺后，形成“11+4”類安全，2020年，包含新納入的生物安全領域的16領域的國家安全體系形成。從總體國家安全的視角出發，16個領域的安全彼此聯動，只有實現整體性的動態平衡，才是全方位的總體國家安全。而網絡的運用則加深了各要素之間的相互依賴和滲透，數據作為網絡和信息的基礎，其法律規制理應立足于促進國家整體安全。總體國家觀為數據安全保護的法律體系構建指明了方向和重點，作為數據安全領域立法的總體價值導向具有一定的抽象性，在構建數據安全體系規范時需將這一目標價值轉化為實踐原則，厘清網絡安全、數據安全和個人信息安全的權利義務邊界并對職權設置重疊交叉的部分予以合理解決，明確數據安全立法的內涵和外延，實現數據安全與發展的良性互動，在動態平衡中維護總體國家安全。

（二）從國家安全高度構建數據安全系統規劃

數據安全系統規劃，應從國家安全的高度形成各領域重點突出、層次規范，并且相互促進相互配合的法治體系，既包括法律、行政法規的完備，也應包括綜合考慮地方經濟社會發展實際而制定的地方性立法的特別適用，還應將國家標準、行業標準等標準類規范納入數據安全體系規劃，對于實踐操作形成明確的指導規范，用法規制度建設保障數據和國家安全。系統規劃的同時，也應關注以下重點內容。

1.將數據安全審查納入網絡安全審查范圍

2020年我國頒布的《網絡安全審查辦法》，將需接受審查的行為表述為“采購網絡產品和服務”，審查重點考慮產品和服務可能帶來的遭受干擾、被非法控制的風險，產品和服務的安全、透明、開放以及來源的多樣性等，此外產品和服務供應中斷的風險也是審查重點考量的因素之一。2021年修訂后的征求意見稿則將數據處理者開展數據處理活動納入審查范圍，審查重點在于數據的重要性和風險性，重要性即考慮數據對國家安全、社會安全的關系程度，是否為核心或重要數據；風險性則側重數據使用可能發生泄露、毀損風險，也包括數據被惡意控制和利用的風險。在實踐中，可制定更為具體的行業技術審查標準，提高審查透明度，進一步豐富網絡安全審查的內容。可見該上市事件后，對高風險數據的安全審查，成為國家管控數據風險的必要手段，數據使用環境的安全性和數據運用的可靠性評估也將成為審查重點。

2.完善重要數據保護制度

我國《數據安全法》提出建立數據分類分級保護制度，對于分類分級的標準確定則重點考量兩個維度，其一是經濟社會發展過程中數據能夠體現出的重要程度，其二則是數據遭到破壞損毀可能對個人、社會甚至國家產生的危害程度。例如，就數據的敏感性來說，可區分敏感數據與非敏感數據，可對敏感數據再實施等級分類進行進一步細化保護。重要數據目錄作為分類分級制度呈現形式的重要組成部分，則需要各部門加快推進制定，根據關鍵信息基礎設施的定義，重要行業領域數據可大致劃分為能源數據、通信數據、交通數據、金融數據、電子政務數據以及國防科技數據等領域；另外可抽象列舉，區分可能危害國家安全、社會安全、公共利益等概括性范圍作為兜底，也即以“具體列舉+抽象概括”的方式［13］確定重要數據目錄。同時可構建重要數據負面清單，明確嚴禁數據或其處理分析結果出境的范圍，確保重要數據安全可控。在目錄清晰的基礎上，整合各領域重要數據構建重要數據保護制度作為我國《數據安全法》的配套制度，共同維護國家安全。

3.促進政務數據安全與開放共享

我國《數據安全法》將政務數據安全與開放作為專章進行規定，可見政務數據在信息化建設以及新型政府運作模式中的重要作用，政務數據同樣面臨安全保護問題。數字政府建設在某種程度上與數字企業異曲同工，基礎在于政務數據資源，政務數據資源的充分開發和合理利用，可以重塑政府業務流程，促進部門間協同聯動，更好地服務于廣大人民群眾。政務數據共享包括政府內部共享以及政府與企業共享，內部共享可打通部門間業務壁壘，各部門通過數據鏈條實現智慧化辦公，數據孤島消失，政策標準、流程標準和技術標準得以統一。外部共享則是政務數據的對外開放，更高的社會參與度可以促進政務數據的優化整合，因為外部企業以及個人運用政務數據的過程本身也是對政務數據的更新和補充，企業和個人獲得政務數據的同時促進了社會公眾對政府權力行使的信任，有利于消除信息鴻溝，優化意識形態，消除負面輿論。與此同時，數據安全成為政務數據開放共享的必然前提，構建系統化政務數據安全平臺，完善政務數據法律規制，成為國家總體安全的重要組成部分。

（三）明確企業數據安全保護的職責定位與功能改進

1.明確企業數據安全保護職責定位

面對種類繁多超量的企業數據，如果企業僅僅依靠政府的主動監管，不能充分發揮自我監督和評估機制，數據的快速安全合法流動將受到抑制，政府也將承擔過重的審批職能，不利于市場高效良性運轉，也不利于生產經營效率的提高。因此，需要從立法層面對企業自身需承擔的數據安全保護職責進行系統化構建，涉及數據采集，則進行全程自我監控，一旦發現未經授權，則觸發提示或直接判定終止；涉及數據使用，則通過智能分類進行脫敏處理和特殊標識，防止數據泄露；涉及數據共享，則將風險評估主動作為前置程序，出現異常調用行為可實現溯源或路徑追蹤，真正讓數據安全成為企業可持續發展不可分割的一部分。此外，以法律規制對企業自我監管提供指引，明確鼓勵以及禁止企業對數據的運用范圍，如鼓勵企業數據合法流動、加強技術創新探索數據全周期安全防護、數據異常行為實時監控等，禁止企業利用數據開展不正當競爭、數據壟斷以及非法輸出行為。同時應加強數據安全保護的法治教育，將數據安全納入企業生產“第一責任人”責任范疇，真正讓企業認識到新形勢下企業安全已不再是傳統領域的安全，更應與時俱進承擔更多的安全責任，體現企業擔當。

2.促進企業數據保護的功能改進

企業可以購買、交換、許可等方式處置其擁有合法權益的數據，但隨著數據價值的上升以及通過算法數據發生的多樣性衍化，很大一部分的數據權屬邊界不再明晰，導致數據交易中的權利界分產生重疊，而對于邊界的判斷以及重疊的界定又具有相當的復雜性，這就需要國家健全數據交易管理制度，并對數據交易中介服務機構設定準入標準，明確資質要求，使中介服務機構在對交易雙方數據進行初步判斷的同時可以做出初步評估，防止非法交易行為。數據價值的另一層面，則是數據的共享利用。數據若是筑起壁壘，其潛在價值無法發揮，不能共享流通的數據將很快被新數據取代成為歷史數據，所以，數據共建共享才能發揮其難以估量的經濟價值。數據共享包括企業與企業之間、政府與企業之間共享。我國《數據安全法》第五章規定了政務數據安全與開放，政務數據開放共享的對象包括企業，這就要求企業具備數據風險的識別與保護能力，主動進行功能完善與改進，自覺承擔數據共享安全的責任，促進數據產業的健康發展。