推進數據安全體系現代化：風險挑戰與實現路徑

王林?李雅婷?

摘? 要：[研究目的]數據安全是總體國家安全的重要領域，也是新興領域，數據安全關系到總體國家安全的維護和塑造。差異性和規律性是數據安全的主要特征，在大數據時代，推進數據安全體系現代化對保障數據安全，促進數據開發利用，維護國家主權、安全和發展利益至關重要。我國目前的數據安全面臨著數據泄露、數據主權侵害、數據霸權、數據跨境流動等風險和挑戰。[研究方法]梳理黨的二十大報告中推進國家安全體系現代化的內涵、要求和實現路徑，將其適用于數據安全領域，探索推進數據安全體系現代化的路徑，形成系統性的數據安全體系。[研究結論]推進數據安全體系現代化要堅定不移地貫徹總體國家安全觀，完善高效權威的數據安全領導體制，完善數據安全法治體系、戰略體系、政策體系、風險監測預警體系、應急管理體系，構建全域聯動、立體高效的數據安全防護體系。

關鍵詞：總體國家安全觀；數據安全體系；現代化；風險挑戰；實現路徑

中圖分類號：D820 文獻標識碼：A DOI：10.19881/j.cnki.1006-3676.2024.05.07

黨的二十大報告設立“推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定”專章，對國家安全進行詳細論述，并且將國家安全的地位提升至“民族復興的根基”的高度，要求“把維護國家安全貫穿黨和國家工作各方面全過程”[1]。在全面建設社會主義現代化國家、全面推進中華民族偉大復興的關鍵時刻，黨的二十大報告為維護國家安全指明了路徑，即推進國家安全體系和能力現代化，具有世界觀和方法論的雙重貢獻。我們要實現的現代化是中國式現代化，因此，在維護國家安全領域，推進國家安全體系和能力中國式現代化也是中國式現代化的應有之義，具有鮮明的時代特征和深厚的民族烙印。我國國家安全體系和能力的現代化既有各國現代化的共同特征，更有基于自己國情的中國特色。數字經濟的健康有序發展不但需要數據的自由流動，而且也需要保障數據安全，維護國家、企業、個人的數據權益。推進數據安全體系和能力現代化既是維護數據安全的世界觀，也是它的方法論。數據安全體系的現代化是數據安全能力現代化的基礎，只有具備了數據安全體系的現代化才有可能實現數據安全能力的現代化，達到保障數據安全的目的。

一、數據安全的內涵和特征

（一）數據安全的內涵

“國家安全是指國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益相對處于沒有危險和不受內外威脅的狀態，以及保障持續安全狀態的能力”，這是《中華人民共和國國家安全法》（以下簡稱“《國家安全法》”）給“國家安全”下的定義。《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）對“數據”和“數據安全”給出了明確的定義：數據是指任何以電子或者其他方式對信息的記錄。數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。可見，《數據安全法》對“數據安全”內涵的表述和我國維護國家安全的基本法《國家安全法》對“國家安全”內涵的表述是一致的，不僅指安全的狀態，還包括保障安全的能力。

2024年4月1日，首次全國數據工作會議召開。會議從六個方面總結了2023年數據工作成效，包括黨對數據工作的領導全面加強；數據工作體系初步成型；數據要素市場化配置改革加快破局；統籌數字化發展力度穩步增強；數據基礎設施建設有力推進；數據領域開放合作進一步拓展[2]。可見，數據安全的內涵是極其豐富的，需要從領導體制、工作體系、要素市場、數字化、基礎設施、開放合作等方面綜合把握。要大力發展新質生產力，開創我國數據安全工作新局面，以數據新安全格局保障數據新發展格局。

（二）數據安全的主要特征

第一，差異性。差異性主要體現為數據多數描述的是事物的數量特征，現實世界中每件事、每個人、每種物都有不同的特征，因此反映于數據也會有各種不同的表現，甚至從表面看起來可能是雜亂無章的。數據的差異性決定了數據安全也具有差異性，不同國家、不同部門、不同領域的數據安全具有差異性。認識到這種差異性，是我們進行數據安全治理的前提。

第二，規律性。規律性主要體現為，數據是具有一定規律的，對數據進行分析研究，很重要的目的就是從數據中找出某種規律和關聯。在承認數據安全具有差異性特征的前提下，要想從根本上解決數據安全問題，就要認識和總結數據安全的規律性，提出切實可行的治理方案。

正因為數據安全具有差異性，才有必要對數據安全進行研究與分析；也正因為數據安全存在規律性，對其研究才具有價值[3]。

二、我國數據安全面臨的挑戰

與美國等西方發達國家相比，我國無論在數字技術發展、數據挖掘還是數字經濟發展等方面，都還有進步的空間，而且我國的數據安全挑戰在近年來開始顯現。我國數據安全面臨的挑戰主要體現在以下方面：

（一）防范數據泄露

一方面，數據泄露會損害數據企業的聲譽，使用戶喪失對其的信任感；另一方面，數據泄露會侵害用戶的合法權益，特別是個人信息權和隱私權，而個人信息權和隱私權在數字化時代是每個公民最基本的權利。根據泄露數據的危險源不同，可以將數據泄露威脅分為內部威脅和外部威脅。內部威脅的危險源是企業、單位的內部人員，外部威脅的危險源是企業、單位的外部人員。

（二）抵制數據主權侵害

由于數據的流動性，國家邊界和國家主權的內涵發生了變化。因此，不但要關注傳統的、有形的主權安全，而且要關注非傳統的、無形的數據主權的安全，并采取措施加以保障。隨著各領域全球化的推進和全球數字經濟的發展，數據的跨境流動不可避免。由于數據尤其國家關鍵數據是稀缺資源，各個國家對數據的爭奪也進入了白熱化。如果我國享有所有權的數據被他國占有，就相當于數據主權乃至國家主權被侵害。我國政府對“滴滴出行”實施網絡安全審查，即是出于避免關鍵基礎數據被外國非法占有的考慮[4]。

（三）反對數據霸權

數據霸權是霸權主義在數據領域的集中體現，美國憑借其在數據技術、綜合國力等方面的優勢，一方面控制數據安全標準的制定權，另一方面強制他國企業轉移數據。例如，美國曾要求臺積電等半導體企業在45天內，交出公司包括庫存、銷售及客戶等商業機密在內的相關數據[5]。

（四）規范數據跨境流動

內部安全和外部安全是總體國家安全觀“五對關系”之一，數據跨境流動關涉到內部安全和外部安全問題。因此，維護和塑造好數據安全，就要促進和規范數據跨境流動。數據跨境流動已經成為全球資金、信息、技術、人才、貨物等資源要素交換、共享的基礎，不但關系到數字經濟發展，而且還關系到數據安全和數據主權，也是我國數據安全面臨的重大風險挑戰之一。為了促進數據依法有序自由流動、激發數據要素價值、擴大高水平對外開放，2024年3月22日，國家互聯網信息辦公室發布了《促進和規范數據跨境流動規定》，對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度作出優化調整[6]。

要有效化解上述數據安全挑戰，不但要有微觀層面的對策，還要有宏觀層面的戰略。推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定，是維護和塑造國家安全領域的重大戰略。數據安全作為總體國家安全中的重要安全領域，也屬于適用上述戰略的范圍。維護和塑造數據安全，需要首先從數據安全體系入手，提升數據安全體系的現代化水平，再提升數據安全能力的現代化水平，最終形成保障我國數據安全的“體系”和“能力”合力。體系現代化是能力現代化的前提，而能力現代化是體系現代化追求的結果。提升數據安全體系的現代化，就需要廓清實現數據安全體系現代化的路徑。

三、推進數據安全體系現代化的路徑

（一）堅定不移貫徹總體國家安全觀

總體國家安全觀是被實踐證明過、也在繼續被實踐證明的維護國家安全的正確科學理論，因此在今后相當長的一段時間內，要堅定不移地貫徹總體國家安全觀，這是中國式現代化在國家安全領域的具體體現，推進數據安全體系和能力現代化的首要要求就是貫徹總體國家安全觀，將數據安全問題放在總體國家安全中考量、籌劃。數據安全的重要性越來越凸顯，這充分說明：首先，總體國家安全觀理論對國家安全領域的界定是采取概括加列舉的方式，具體的國家安全領域要受到質的相似性的限制，同時也要受到《國家安全法》中“國家安全”概念的限定。數據安全關乎國家的重大利益，是需要維護的重要國家安全領域，這是明確提出數據安全概念的實質基礎。其次，總體國家安全觀是一個開放的、動態的理論體系，對具體國家安全領域的列舉也是以“等”字結尾，這預示著具體的國家安全領域可以隨著國家安全形勢的變化，不斷補充發展。我們可以采取兩種方式來解決數據安全的定位問題：第一，可以在總體國家安全觀所列舉的具體國家安全領域中增設數據安全領域，這種方式可以很好地凸顯數據安全的重要地位。但是，這種做法也有弊端，無限地擴充具體國家安全領域，不符合精簡性原則。第二，可基于最密切聯系原則，將數據安全分解列入科技安全、網絡安全等具體的國家安全領域，最大程度保障總體國家安全觀理論的穩定性。其弊端在于，雖然數據安全和科技安全、網絡安全等有內容上的交叉，但是二者的內涵和外延并不完全重合。考慮到數據安全的重要性、數字經濟發展的緊迫性，以及我國目前已經出臺了規制數據安全的專門立法《數據安全法》，在具體國家安全領域中增列數據安全是更優選擇。黨的二十大報告采取了第一種做法。總體國家安全觀中的“五大要素”“五個統籌”等理論同樣適用于維護數據安全的實踐。例如，總體國家安全觀要求統籌維護國家安全和塑造國家安全，我們在維護數據安全的過程中，要有意識地塑造數據安全，構建有利于我國數據安全的國內外環境。

（二）完善高效權威的數據安全領導體制

要按照“誰主管、誰負責；誰運營、誰負責”的原則，構建高效權威的數據安全領導體制。建立“中央戰略指導、部門具體負責、專門機關監管、網信部門統籌協調”的有中國特色的數據安全領導共同體體制，這可以發揮各個機關的優勢，各司其職，形成維護數據安全的領導合力。依據《數據安全法》的規定，中央國家安全委員會作為中央國家安全領導機構，負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。各地區以及工業、電信、交通等部門對本地區、本部門收集和產生的數據及數據安全負責。數據安全不但需要內部的合規自治，還需要外部的監督，因此，要充分發揮公安機關、國家安全機關等專門機關對數據安全的監管作用。數據和網絡相結合就產生了網絡數據，由于網絡不具有傳統的物理邊界，利用傳統的手段維護網絡數據安全很難奏效，需要國家網信部門統籌協調網絡數據安全和相關監管工作。

（三）完善數據安全法治體系

依法維護國家安全是新時代依法治國的重要組成部分，而有法可依是依法維護國家安全的前提。我國已經出臺了《數據安全法》《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）、《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）、《數據出境安全評估辦法》等法律法規，來規制和保護數據安全，為數字經濟的健康發展保駕護航。雖然框架已經搭建起來，但是和美國、歐盟等國家和地區相比，我國的數據安全法治體系還需要進一步完善，原因主要表現在以下方面。

1.法律規定過于籠統，亟待制定實施細則

《數據安全法》是維護數據安全的基本法，從數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放等方面對數據安全維護進行了宏觀性、概括性規定。但過于宏觀和概括，對維護數據安全實踐工作的指導作用有限。如何建立健全數據交易管理制度、如何規范數據交易行為、如何培育數據交易市場，《數據安全法》并沒有給出具體的操作措施。因此，《數據安全法》應配套實施細則，例如數據交易管理制度、數據分類分級保護制度、標準體系建設、政務數據開放制度等。在這方面，數據出境安全評估制度邁出了有實質意義的關鍵一步，國家互聯網信息辦公室出臺了《數據出境安全評估辦法》，為數據處理者向境外提供在中華人民共和國境內收集和產生的重要數據和個人信息的安全評估，提供了具體的指導。

2.亟待完善行業、地區法規和標準化建設

數據安全在工業、電信、交通、金融、自然資源、衛生健康、教育、科技等不同行業以及不同地區有不同的行業和地域特點，需要加強數據安全行業和地區法規的針對性建設，真正做到“誰主管、誰負責”。例如，為了加強車聯網網絡安全和數據安全工作，2021年9月16日，工業和信息化部出臺了《工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知》，這是具體行業加強數據安全法規建設的很好嘗試，值得在各行業大力推廣。這些法規文件由行業主管部門單獨或聯合出臺，很好地解決了各行業的數據安全管理問題。除了各行業，各地區也需要完善自身對數據安全的管理規定，例如，貴州省出臺了《貴州省大數據安全保障條例》，天津市出臺了《天津市數據安全管理辦法（暫行）》等[7]。只有在行業和地區的共同努力下，才可能最終形成“法律宏觀統領、法規具體監管”的數據安全法律法規治理共同體。除了完善數據安全的行業和地區法規建設，數據安全標準體系還需健全，加快編制各行業數據安全標準體系建設指南，鼓勵各相關企業、社會團體制定高于國家標準或行業標準相關技術要求的企業標準、團體標準。

（四）完善數據安全戰略體系、政策體系

1.完善數據安全戰略體系

數據安全戰略體系是維護數據安全的頂層設計和宏觀規劃，為各領域、各部門、各地區維護數據安全提供指導。數據安全戰略的目標是在保障數據安全的同時，促進數據開發利用，在保護公民、組織的合法權益的同時，維護國家主權、安全和發展利益。貫徹安全發展融合思想，堅持數據安全和數據發展并重，實現在數據安全的基礎上發展數據，在數據發展的過程中持續保障數據安全，真正實現黨的二十大報告所提出的“以新安全格局保障新發展格局”[1]。完善數據安全戰略體系需要將治理的理念貫穿于維護數據安全的全過程。何謂數據治理？2015年5月，中國信息技術服務標準（ITSS）數據治理研究小組在巴西圣保羅召開的SC40/WG1第三次工作組會議上正式提交了《數據治理白皮書》國際標準研究報告，指出數據是資產，通過服務產生價值，而數據治理主要是指在數據產生價值的過程中，治理團隊對其做出的評價、指導、控制。在大數據時代，數據不僅僅是企業或機構的資產，更是現代國家的一種基礎戰略資源，數字經濟將助力實現發展方式的真正轉變；數據治理的目的不僅僅是確保數據的高效利用和實現企業價值，更是為了提升政府公共管理能力和國家治理能力；數據治理的主體不僅僅有企業，更包括政府和個人；數據治理不僅僅依靠模型和框架，還要采用法律、行政、教育、道德倫理等方法和手段。依據總體國家安全觀理論，維護國家安全要考慮投入和回報的比例關系，安全也是有成本的，我們要追求的是相對安全的狀態，而不是不切實際的絕對安全，一味地追求絕對安全會不可避免地陷入安全困境。完善數據安全戰略體系要重點對以下問題進行深入思考。

第一，區分對待不同的數據，執行有差別的保護。對數據采取分類分級保護是維護數據安全要貫徹的理念，國家互聯網信息辦公室出臺的《數據出境安全評估辦法》就貫徹了數據“分類分級”保護理念，只要求對數據處理者向境外提供在中華人民共和國境內收集和產生的重要數據進行安全評估，保護敏感數據安全與傳播合法合規，確保敏感數據不泄露。為支撐國家數據分類分級保護制度，在國家數據安全工作協調機制指導下，根據《數據安全法》《網絡安全法》《個人信息保護法》及相關規定，中國電子技術標準化研究院聯合中國科學技術大學等36家單位，共同制定了《數據安全技術數據分類分級規則》（GB/T 43697—2024）國家標準，規定了數據分類分級的原則、框架、方法和流程，給出了重要數據識別指南。《數據安全技術數據分類分級規則》是一種通用標準建設，適合指導各行業、各領域、各地區、各部門和數據處理者開展數據分類分級工作。數據分類分級要遵循科學實用、邊界清晰、就高從嚴、點面結合、動態更新等基本原則，目的是便于數據管理和使用，按照先行業領域分類、再業務屬性分類的思路進行分類。我們可根據數據管理和使用需求，結合已有數據分類基礎，靈活選擇業務屬性將數據細化分類。依據數據分類規則，從數據主體角度，可以將數據分為公共數據、組織數據和個人信息三種類別。按照數據分級規則，可以將數據分級為核心數據、重要數據和一般數據三個級別。數據分級首先要確定待分級的數據；接著要識別分級要素，包括領域、群體、區域、精度、規模、深度、覆蓋度、重要性等；然后再分析數據影響，影響對象包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益等，而影響程度包括特別嚴重危害、嚴重危害和一般危害；最后再權衡影響對象和影響程度，綜合確定級別。處理者進行數據分類分級的流程包括數據資產梳理、制定內部規則、實施數據分類、實施數據分級、審核上報目錄和動態更新管理[8]。

第二，預防為主，構建數據全生命周期的安全性。在維護數據安全時，我們要反思“重檢測輕預防”的做法，不僅要強調對入侵的檢測能力，更要貫徹預防勝于補救的理念，從源頭構建增強安全能力，這也符合《國家安全法》所宣揚的“預防為主”的原則，構建全生命周期的數據安全保護。

第三，提倡“以數據為中心”的架構模式。以往的安全實踐大部分都是以產品為中心，但是當產品之間的界限越來越模糊，不同產品間開始大量復用數據（或采取內部數據流轉、內部數據共享方式）的時候，使用數據目錄、數據流圖能夠更清晰地描述不同產品之間的關系，可以考慮構建“以數據為中心”的架構模式，統一管理數據服務，構成數據中臺。當然，“以產品為中心”和“以數據為中心”的模式并不是完全對立的，而是可以并行存在，互為補充的[9]。

2.完善數據安全政策體系

和戰略體系相比，政策體系是更具體、更微觀的體系層次，戰略體系的目標需要依靠政策體系來實現。《數據安全法》規定，數據是指任何以電子或其他方式對信息的記錄，數據所涵攝的范圍是非常廣的。維護數據安全、促進數據開發利用，推進數據安全體系的現代化，要做到不危害國家安全利益、商業利益和個人信息安全；要打通“數據孤島”，提升認識，科學設計數據開放共享機制，確保安全開放共享；要保護個人信息，國家要加快法制建設，企業加強自律，個人提升維權意識和技能；要實現權能分離，構建數據產權的權利體系，明確數據產權的立法方向。數據安全政策體系主要包括政府數據開放共享政策、個人信息保護政策、數據跨境流動政策三個領域，世界上主要國家的做法也不同。我們可以通過分析其他國家的模式，為我國的數據安全維護提供適當的借鑒。

第一，政府數據開放共享政策。近年來，世界各國政府充分認識到開放政府數據的戰略意義，一改過去的封閉態勢，紛紛開展政府數據開放行動。聯合國秘書長執行辦公室于2009年正式啟動了“全球脈動”（Global Pulse）倡議項目，目的在于通過推動數據高效采集與數據分析方法創新突破，探索大數據技術服務于社會經濟發展的解決方案及有效路徑，進而推動大數據技術作為公共產品的研究、發展和利用，最終使大數據對全球可持續發展和人道主義行動發揮實質作用。其中，促進建立公私部門數據開放，形成數據開放共享伙伴關系，成為該倡議項目的重要原則和實施途徑。美國的大數據戰略和數字經濟發展在全球一直處于領先地位，也特別重視政府數據的開放共享。2018年12月21日，美國眾議院投票決定啟用《公共、公開、電子與必要性政府數據法案》（又稱“《開放政府數據法案》”），奠定了政府數據開放的兩個基本原則：一是在不損害隱私和安全的前提下，政府信息應以機器可讀的格式默認向社會公眾開放；二是聯邦機構在制定公共政策時應當循證使用。英國既是大數據的擁抱者，也是政府數據開放的領導者和先行者。2018年萬維網基金會發布的《開放數據晴雨表》顯示，英國在政府數據開放方面的指數與加拿大排名并列第一。英國政府為了推動政府數據開放，構建了完善的政府數據開放政策體系，加大資金投入，重視對數據文化的宣傳，走文化建設與技術發展相統一的道路。新加坡也是政府數據開放的先行者，新加坡政府早在2008年就提出了一項全國計劃—建設新加坡地理空間信息庫（SG-SPACE），系統推進空間數據的全面共享和流通，為社會公眾及企業開放地理空間數據，以幫助社會公眾及企業決策。在具體措施方面，為了激發大數據研發創新活力，新加坡政府很早便開始利用開源平臺模式，構建大數據分析系統的創新平臺。

第二，個人信息保護政策。個人信息的收集及使用行為無處不在，而且具有很強的隱蔽性，這一特點造成了一系列的監督執法障礙。傳統的個人信息保護執法監督模式已經難以適應目前個人信息保護的監管工作，因此亟待從“技術對技術”的角度入手，創新監管手段。在個人信息保護領域，目前主要存在美國方案和歐盟方案兩種方案。1974年的《隱私法案》是美國針對個人信息保護出臺的綜合性法律，此外，美國還根據不同領域的特點制定了各個領域的個人信息保護規范，2018年美國通過了《加州消費者隱私法》（CCPA），賦予消費者更完整的個人信息控制權。考察美國個人信息保護的相關法案，可以發現美國對個人信息的保護具有以下特點：采取分散的立法保護模式；根據個人信息的具體內容進行分業監管；專門保護特殊數據主體；堅持以隱私權為中心的保護理念；偏重對信息使用的規制。2016年，歐盟通過了《通用數據保護條例》（GDPR），努力實現個人信息保護和數據自由流動之間的平衡。考慮到歐盟國家的歷史傳統以及構建統一歐盟數據市場的需求，歐盟個人信息保護具有統一立法模式、人格權保護模式、采用公法路徑等特點。而我國已經出臺了《個人信息保護法》，這一條例有利于在立法模式上采用統一立法和分業監管相結合的模式，充分發揮各自的優勢，同時可以在個人信息公益訴訟保護、加強源頭治理等方面進行制度創新。

第三，數據跨境流動政策。數據跨境傳輸規則在規范數據傳輸過程的同時，也在引導企業的發展乃至數字經濟的未來走向[10]。歐盟的《通用數據保護條例》（GDPR）和美國推動的APEC《跨境隱私規則體系》（CBPR）是目前世界上兩大數據保護監管框架[11]，形成了規制數據跨境流動的歐盟模式和美國模式。鑒于強大的綜合國力、發達的數字經濟、先進的數據保護技術，以及數據流入大大超出數據流出的現實，也出于服務貿易利益的目的，美國推行寬松的數據跨境流動政策，在確保美國國家安全利益的前提下，最大程度促進數據自由流動。歐盟的模式是尋求個人信息保護和數據自由流動的平衡，主要通過白名單機制和標準合同，制定有約束力的企業規章制度，經批準的認證機制、封印或標識等方式對歐盟數據的跨境流動進行嚴格要求。但是考慮到歐盟與美國之間的特殊關系和頻繁的貿易往來，歐盟通過“安全港”協定和“隱私盾”協議，設立了歐盟和美國之間的數據跨境流通特殊管道。我國出臺了《數據出境安全評估辦法》來專門規制數據跨境流動，要求數據處理者向境外提供重要數據和符合條件的個人信息之前，要向國家網信部門申報數據出境安全評估，通過安全評估和風險自評估相結合的方式保障數據出境安全。數據跨境流動政策表面上看是保障數據安全，但最終目的還是為了數據發展，以新安全格局保障新發展格局。我們應該借鑒數據跨境流動的歐盟模式還是美國模式，在理論界和實務界還存在爭議。從我國目前數據安全技術和數字經濟發展的實際情況來看，我們還是要更多地借鑒歐盟模式，尋求數據主權和數據自由流動的平衡，畢竟美國模式有其特別的國情作為支撐。要實現數據跨境領域的安全發展，需要完善重要數據分類分級管理制度；針對不同場景設置多樣化的數據跨境流動機制；推動建立數據跨境流動行業自律制度；強化國際合作，積極參與制定國際規則，提高我國在數據跨境流動領域的國際話語權。

（五）完善數據安全風險監測預警體系和應急管理體系

2023年5月30日，習近平總書記主持召開二十屆中央國家安全委員會第一次會議，會議審議通過了《加快建設國家安全風險監測預警體系的意見》[12]。可見，建設包括數據安全在內的國家安全風險監測預警體系成為中央國家安全委員會的工作重心之一，已經提上了日程。我國的《數據安全法》要求國家建立集中統一、高效權威的監測預警機制，國家數據安全工作協調機制統籌有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。做好數據安全風險監測工作，需要從制度建設入手，明確機構人員，細化任務分工，同時配備專業設備設施，形成上下銜接、實時共享、效能統一的監測網絡。考慮到數據安全風險分布于不同領域，相關應對措施具有較強專業性，難以劃定統一的預警標準，各級各部門可以根據各自職責分工和風險緊急程度、危險程度，制定預警標準，以數字或顏色對預警進行分級，及時發布風險預警。需要注意的是，數據安全風險始終處于動態發展變化之中，因此，預警信息發布單位要密切跟蹤監測數據安全風險發展變化，根據具體情況適時調整預警級別，并將調整結果及時通報，以便相關部門和社會公眾根據應急響應級別作出應對[13]。

應急管理的范圍包括自然災害、事故災難、公共衛生事件、社會安全事件，數據安全事件屬于社會安全事件。我國的《數據安全法》要求國家建立數據安全應急處置機制，一旦發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大。除了《數據安全法》，《中華人民共和國突發事件應對法》和《網絡安全法》也對數據安全的應急管理體系做出了相應的規定。

（六）構建全域聯動、立體高效的數據安全防護體系

1.構建全“人”域聯動的數據安全防護體系

各地區、各部門要對本地區、本部門工作中收集和產生的數據及數據安全負責，公安機關、國家安全機關等專業機關在各自職責范圍內承擔數據安全監管職責，國家網信部門統籌協調網絡數據安全工作。在應對危害數據安全的事件時，也要貫徹全域聯動的原則，充分發揮主管部門、社會組織、企業、科研單位等主體的作用，各司其職、發揮合力，形成維護數據安全的治理共同體。

2.構建全“時”域聯動的數據安全防護體系

從時間維度來看，數據安全是一個包含事前、事中、事后安全的共同體，要構建數據全生命周期的安全性，不但要重視數據的事前安全，貫徹預防為主的原則，也要保障數據的事中和事后安全。在數據跨境流動領域，可以借鑒環境保護的“三同時”制度，創新全“時”域數據跨境流動風險監管制度。

3.構建立體高效的數據安全防護體系

構建立體高效的數據安全防護體系要從技術、教育和意識層面共同努力。安全的數據收集、存儲、使用、加工、傳輸等需要依靠技術，保障數據安全、開發利用數據也需要先進的技術。國家支持教育、科研機構和企業等開展數據開發利用技術培訓和數據安全教育培訓，培養專業人才。目前，國家安全學已經成為“交叉學科”門類下的一級學科，有條件的和具有前期積累的高校、研究機構可以開展數據安全專業方向的學歷教育。保障數據安全也要貫徹群眾路線，充分依靠民眾，這就需要提高民眾維護數據安全的意識。2021年7月2日，國家互聯網信息辦公室發布公告，對滴滴出行實施網絡安全審查，從國家互聯網信息辦公室發布的簡短公告來看，滴滴出行被網絡安全審查主要是與數據安全，特別是數據的跨境流動安全有關。2022年7月21日，國家互聯網信息辦公室依據《數據安全法》《網絡安全法》《個人信息保護法》等法律法規，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款[14]。這就是一次非常好的數據安全全民教育。此外，國家支持開展數據安全知識宣傳普及，利用“全民國家安全教育日”之機，開展形式多樣、喜聞樂見的數據安全宣傳活動，提高了全社會的數據安全保護意識和水平，形成了維護數據安全的良好氛圍。

推進數據安全體系現代化是一項系統性工程，也是一項復雜的工程，需要統籌兼顧、全面謀劃。要將推進國家安全體系和能力現代化的一般原則和數據安全緊密結合起來，具體問題具體分析，充分做好轉化和對接工作。要堅持“一條主線”，統籌“三個建設”，健全數據基礎制度、提升數據資源開發利用水平、以數字化賦能高質量發展、促進數據科技創新發展、優化數據基礎設施布局、強化數據安全保障能力、提升數據領域國際合作水平、發揮試點試驗的引領作用，最終構建成和新質生產力發展相適應的現代化的數據安全體系，提升維護數據安全的持久能力。

參考文獻：

[1] 習近平.高舉中國特色社會主義偉大旗幟 為全面建設社會主義現代化國家而團結奮斗：在中國共產黨第二十次全國代表大會上的報告[M].北京：人民出版社，2022.

[2] 中國戰略新興產業網.全國數據工作會議：加快一體化算力網建設[EB/OL].（2024-04-03）[2024-05-03].http：//www.chinasei.com.cn/cyzx/202404/t20240403_71182.html.

[3] 張莉.數據治理與數據安全[M].北京：人民郵電出版社，2019.

[4] 王林.新時代我國的數據安全風險及治理方案探析[J].山東科技大學學報（社會科學版），2022，24（3）：26-32.

[5] 環球網.臺積電等參加美峰會，被強硬要求45天內交出商業機密數據［EB/OL］.（2021-09-27）［2024-01-15］.https：//news.sina.cn/gn/2021-09-27/detail-iktzqtyt8463514.d.html.

[6] 人民網.國家網信辦公布《促進和規范數據跨境流動規定》[EB/OL].（2024-03-23）[2024-04-02].https：//baijiahao.baidu.com/s？id=1794272590741166065&wfr=spider&for=pc.

[7] 劉新宇.數據保護合規指引與規則解析[M].北京：中國法制出版社，2020.

[8] 昆明市交通運輸局.一圖讀懂|國家標準GB/T 43697—2024《數據安全技術 數據分類分級規則》[EB/OL].（2024-04-03）[2024-05-03].https：//jtys.km.gov.cn/c/2024-04-03/4846979.shtml.

[9] 鄭云文.數據安全架構設計與實戰[M].北京：機械工業出版社，2020.

[10] 李仁真，羅琳娜.歐盟數據跨境傳輸標準合同條款新發展及啟示[J].情報雜志，2022，41（5）：146-153.

[11] 徐瑛晗，紀孟汝.“三同時”制度：個人數據跨境流動風險監管之創新[J].情報雜志，2022，41（7）：84-90.

[12] 中國政府網.習近平主持召開二十屆中央國家安全委員會第一次會議[EB/OL].（2023-05-30）[2024-01-30].https：//www.gov.cn/yaowen/liebiao/202305/content_6883803.htm？eqid=9edc5ccb000009740000000364978aab.

[13] 中華人民共和國國家安全法釋義[M].北京：法律出版社，2016.

[14] 人民網.國家互聯網信息辦公室對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定[EB/OL].（2022-07-21）[2024-01-16].http：//politics.people.com.cn/n1/2022/0721/c1001-32481972.html.

Promoting the Modernization of the Data Security System：Risks，Challenges and? Implementation Path

Wang? Lin? ? Li? Yating

（Northwest University of Political Science and Law，School of National Security，Shaanxi，Xian，710063）

Abstract：[Research purpose] Data security is an important and emerging field of overall national security，and data security is related to the maintenance and shaping of overall national security. Differance and regularity are the main characteristics of data security. In the era of big data，promoting the modernization of data security system is crucial to ensuring data security，promoting data development and utilization，and safeguarding national sovereignty，security and development interests. At present，Chinas data security is also facing risks and challenges such as data leakage，data sovereignty infringement，data hegemony，and data cross-border flow.[Research method] By combing the connotation，requirements and realization path of promoting the modernization of the national security system in the Report of the 20th National Congress of the Communist Party of China，the article applies it to the field of data security，explores the path of promoting the modernization of the data security system，and forms a systematic data security system.[Research conclusion] To promote the modernization of the data security system，we must unswervably implement the overall national security outlook，improve the efficient and authoritative data security leadership system，improve the data security rule of law system，strategic system，policy system，risk monitoring and early warning system，and emergency management system，building an all-domain linkage，three-dimensional and efficient data security protection system.

Key words：overall national security outlook；data security system；modernization；risks and challenges；implementation path

基金項目：2022年陜西省社會科學基金年度項目“習近平總書記關于國家安全重要論述研究”（2022E011）；2023年西北政法大學習近平文化思想專項課題“牢固樹立文化自信：研究生文化安全教育課程探索實踐”（YJWH200313）。

作者簡介：王林（通信作者），男，1980年生，博士，副教授，碩士生導師，研究方向為國家安全學。李雅婷，女，2002年生，研究實習員，研究方向為國家安全法治。