從靜態防御到動態安全：數據安全法律保護的范式變革

摘要：網絡的代際更迭和風險特征的遷移引發數據安全制度體系的變遷和數據安全法律的范式變革。在數據安全法益對信息安全法益的逐步分離過程中，數據安全法律保護范式也完成了從靜態防御范式到動態安全范式的轉變。兩者的技術特征、法律模式配置等均有顯著不同，靜態防御范式重視數據的要素保護，動態安全范式注重體系保護以及安全和發展的平衡。總體國家安全觀指導下的數據安全觀念與數據安全環境的情勢變遷是其范式轉換的邏輯基礎。動態安全范式是多元多層的數據安全治理機制，包括政策、法律、標準共存的多維治理體系，數據全生命周期的合規體系，以及兼有協同共治、風險預防、市場激勵的多元價值體系。應當在防御、監測、威懾三位一體的治理架構下，完善和擴充現有的數據安全法律制度。

關鍵詞：數據安全 總體國家安全觀 動態安全 范式

一、問題的提出

當前，數字革命和產業變革持續推進，信息技術跨國合作日益頻繁，數據跨境流動成為重塑國家競爭力的關鍵變量，數據規模、數據服務中介、數據基礎設施和數據應用能力成為了科技革命的重要武器。數據不但攸關個體權益，更與國家安全、公共秩序密切相關，并成為當今世界各國社會治理的核心要素。在信息技術浪潮的推動下，傳統社會已經基本完成了信息化的改造，并且進入數字化、數智化的新階段。隨著大數據、云計算的普及以及人工智能技術的進一步下沉和應用，網上網下無限互聯的雙層社會已經到來，信息基礎設施當之無愧地變為社會的“基礎性”架構。在此背景下，數據安全的重要性與日俱增，數據安全治理的復雜性會更加突出。我國高度重視網絡和數據安全在國家信息化進程中的重要作用。2018年，習近平總書記在全國網絡安全和信息化工作會議上強調：“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。”2023年，《數字中國建設整體布局規劃》明確提出，“筑牢可信可控的數字安全屏障”。在立法層面，我國在2016年出臺《網絡安全法》，2021年出臺《數據安全法》和《個人信息保護法》，不但確立數據安全領域的基礎性和骨干性法律，也形成了個人信息與數據安全保護并立的二元格局，這是我國數據安全立法別具一格的特色。《網絡安全法》《數據安全法》等都是積極貫徹總體國家安全觀的產物，共同回應當下網絡和數據安全保護的緊迫需求。然而，沒有一成不變的立法，也沒有變動不居的立法理念。隨著通用式人工智能技術的普及和應用場景的泛化，以及國際競爭環境的深刻變革，數據安全形勢存在風險交織、邊界模糊、控制弱化等新的特點，我國數據安全法律保護的基礎理念、基本思路也應因時而動，不斷自我更新與調整，從過去的靜態防御型的數據安全保護范式轉變為動態安全型的數據安全保護范式。

二、數據安全的兩種保護范式的理論梳理

數據安全保護采用何種思路和立場，并非對與錯的判斷題，而是優與劣的論述題。但基本的原則是，數據安全的保護立場，應當高度吻合信息技術的發展階段、國家網絡和信息化的具體進程、國內外網絡安全形勢等，而推動網絡安全法律保護范式變革的根本力量是科學技術與法律的互動關系。信息革命作為人類社會歷史上存在范圍最廣、輻射范圍最大、影響程度最深的技術革命，其有別于以前歷次科技革命的最本質區別是，它在很大程度上已經擺脫了工具理性的束縛，轉而開始制約、乃至型構人類社會的基本關系網絡和組織形態，技術與法律開始直接對話。正是在不同技術模式的影響下，我國形成了不同的數據安全保護范式，并直接影響數據安全保護的目標實現與效果達成。

（一）相關術語和概念的界分

1.數據與信息的關系

美國社會學家曼紐爾·卡斯特爾（Manuel Castells）在《信息時代三部曲：經濟、社會與文化》中，將信息技術視為改變社會結構的力量，將網絡視為一種新的社會形態。如果說網絡是人體的血管的話，數據是奔騰的血液。通信和信息交流是網絡的最初功能，數據是信息傳遞的載體，在這個意義上，信息和數據是事物的一體兩面。根據國際化標準組織（ISO）的界定，“數據是一種便于交流、解讀和處理的，并可重復展現的信息表現形式。”而信息是指“在特定語境下對特定客體的具有特定含義的知識，例如事實、事件、事物、過程、思想、概念等。”數據和信息可以從以下角度區別：（1）數據是反映客觀事物屬性的記錄，是信息的具體表現形式。數據經過加工處理之后，就可以從中獲得信息，例如一連串二進制代碼可能還原為一組氣象記錄。在傳統空間中，數據大約等于信息，因為數據的解讀通常不需要復雜的運算過程，人們也不把非規律性的記錄作為數據，如動作、聲音、圖像等，雖然這些也反映了某種信息，但人們不視為數據。不過這些事物經過數字化轉換后，又重新成為數據。（2）數據的表現行為也有很多，包括文字、圖像、聲音等，在計算機和網絡中，數據的原始表現形式就是數值，技術表現行為就是比特。而信息泛指人類社會傳播的一切內容，人類正是通過對信息的獲取、識別、利用等來區別事物，并認識和改造世界。信息揭示的是人類社會的普遍聯系。（3）數據重在表達外觀，信息重在表達內核。例如刑法中的淫穢色情信息、內幕信息等，都歸類于信息而非數據，數據的價值在于能夠解讀出信息，無法獲得任何信息的數據集沒有法律保護的必要性。數據與信息的上述既密切關聯又相對區分的特點影響了數據的法律保護。例如歐盟的GDPR就沒有對數據和信息做嚴格區分，個人數據（Personal data）與個人信息（Personal information）在同等層次使用，但我國就做了區分。

2.靜態防御與動態安全

“安全作為人的一種基本需求為法律的安全價值生成提供了內在動力。”“安全是主體得以生存的必備條件，這些都是由人肉體器官的脆弱性、生命的短暫性及不可復生性決定的”。馬斯洛認為，安全是人的一種基本需求類型，馬斯洛需求層次理論將人的需求從低到高依次分為生理需求、安全需求、社交需求、尊重需求和自我實現需求。但就國家、社會、組織體等而言，安全才是最基本的需求，安全是保證社會存在的基本條件。安全是客觀狀態與主觀屬性的統一，它要求社會結構的內在合理性、穩定性，以及主體對社會結構的外在感知的可預期性，安全是“社會要素有機結合而形成的屬性和狀態”。由此觀之，網絡、信息系統和數據的安全也是現代信息社會的基本存續前提。在信息時代發展的不同階段，其體現的風險表征和規制重點不同，那么數據安全保護的體制也是不同的。數據安全的靜態防御范式與動態安全范式在多個方面存在差異，這些差異既反映了智能互聯網時代的新挑戰，也揭示了傳統防御機制的局限性。

在技術層面，數據安全的靜態防御范式適應以單機和局域網為特征的網絡早期發展階段，靜態防御一般是指安全軟件只對某些攻擊行為和惡意行為對系統進行損壞時才進行防御。動態安全范式適應大數據、云計算時代。動態安全，是指以承認、維護和促進數據的利用為前提，通過規范數據處理活動，合理控制風險，維護數據安全。動態安全范式的技術特點是安全軟件會監控所有系統軟件的各種異常行為和監控系統文件的各種異常行動。此外，在防御目標上，靜態防御范式的治理目標是確保數據的安全使用，保護數據不被攻擊和竊取，而動態安全范式追求保證數據基本安全的前提下，實現數據的流轉和有效利用。在防御對象方面，靜態防御范式的治理對象主要是內部人員，實現對內部系統人員的安全管理，而動態安全范式更注重防范外部入侵和外部威脅。在治理手段方面，靜態防御范式注重數據區隔、邊界防護等，但這會限制數據的流動性，而動態安全范式強調數據的分級分類、數據脫敏等。

在法律層面，靜態防御范式將法律責任配置的重心放在危害行為的事后懲戒上，注重危害行為的事后補救，靜態防御范式的特點是數據安全治理的單一性和孤立性。動態安全范式建立防御、監測、威懾三種安全策略的平衡，動態安全范式追求數據安全治理的綜合性和整體性。數據安全的動態安全范式適應當前網絡威脅泛在化、跨域化的發展特性。當前新的安全問題層出不窮，國家內部安全和外部安全之間、不同領域之間的安全問題相互交織、相互轉化，國家安全威脅的復雜性、多樣性、聯動性、跨國性均遠超以往，已經大大超越單一部門、單一領域的邊界，網絡領域也不例外。靜態防御范式注重技術手段和法律手段的相對獨立，而動態安全范式更看重技術與法律、管理等多種手段的融合。在刑法層面，1997年《刑法》確立的非法侵入計算機信息系統罪、破壞計算機信息系統罪屬于靜態防御范式的罪名，而此后幾次刑法修正案新設的非法獲取計算機信息系統數據、非法控制計算機信息系統罪，非法利用信息網絡罪等則屬于動態安全范式的罪名。

（二）數據安全法律保護范式的形塑因素

正所謂一代人有一代人的使命，一個時代有一個時代的命題，就網絡而言，不同的網絡發展階段和技術特征也塑造了網絡安全法律保護的重心。數據安全法律保護范式的選擇，其根本制約因素是網絡代際發展背景下網絡風險遷移及其表現，直接誘因則是數據安全法益對信息安全法益的相對分離和獨立化。

1. 靜態防御范式的確立基礎：數據安全對信息安全法益的附屬

目前學術界習慣用網絡1.0、網絡2.0、智能互聯網等術語對網絡進行代際劃分，這種劃分起源于網絡技術學界并獲得了其他領域的認可。一些刑法學者也習慣于按照網絡1.0、網絡2.0的代際分類描述網絡犯罪的發展變化。一般認為，網絡1.0是以聯為主的時代，即側重于網絡信息的快速流動和傳播，而網絡2.0則是以互為主的時代，人機互動、人人互動為其主要特色。網絡代際劃分的另一種觀點認為，一代互聯網是以軟件應用為核心的網絡，二代互聯網是以內容為核心的傳統互聯網，三代互聯網是以三網融合、大數據、云計算、移動互聯網為特征的智能互聯網。上述兩種觀點的差異，在于后者以內容為核心的傳統互聯網包括了前者網絡1.2和網絡2.0時代。近期學者以法律規制模式的差異提出了對互聯網新的代際分類。這種觀點認為，網絡發展可以分為傳統法律的微調階段，網絡平臺的集中治理階段以及法律制度的整體變革階段。具體而言，早期將互聯網作為信息傳輸工具時，傳統法律只需要在原有框架下做出微調即可，例如通過信息網絡傳播權對著作權、鄰接權等進行調整。在網絡平臺形成后，用戶-平臺-監管的二元公私主體劃分模式逐步建立，互聯網治理開始通過網約車、電商平臺、互聯網金融等領域進行網絡平臺的專項治理，通過對網絡平臺的規制傳導效應來建立網絡規則。而目前隨著數字社會的變革深化，法律開始注重以體系化、整體化的視角來回應網絡時代的社會變革。

數據安全的靜態防御范式的確立基礎是，數據安全被從屬于信息安全法益之下，靜態防御方式的真正保護對象，是信息安全法益。信息安全的概念雖然不局限于信息和網絡技術，但是它的內涵卻是隨著信息的數字化、網絡化而發展起來的，比如ISO（國際標準化組織）對信息安全的定義為：為數據處理系統建立和采用的技術、管理上的安全保護，為的是保護計算機硬件、軟件、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。如俄羅斯早在1995年就頒布了名為《關于信息、信息化和信息安全》的聯邦立法，要求在刑法中增設相關犯罪。2002年美國《聯邦信息安全管理法案》正式以保密性（Confidentiality）、完整性（In?tegrity）、可用性（Availability）三性概括了信息安全這個術語的內容，合稱CIA三性。國際標準化組織聯合技術委員會ISO/IEC JTC1（信息技術）分委員會SC27（安全技術）在2013年9月25日發布了信息安全管理體系標準ISO/IEC27001：2013。該標準的引言中界定了信息安全管理體系的目的，即保密性、完整性、可用性。其中保密性（機密性）是指對數據的訪問限制，只有被授權的人才能使用。完整性指的是保證數據沒有在未經授權的方式下改變，而可用性是指在計算機服務的“運轉時間”內，確保服務的可用。在此層面上，信息安全和數據安全的含義是等同的，數據的法益概念借用了信息法益的概念，而信息保護的要點在于要素保護，自然就會產生靜態防御型的數據安全模式。

2. 動態安全范式的確立基礎：數據安全從信息安全法益的分離

信息安全法益下的數據安全內涵反映了以單機和局域網為重要特征的網絡早期形態的安全訴求。隨著計算機和信息技術的發展，進入到上世紀90年代，大型化的商業控制系統日漸增多，同時計算機信息系統開始向社會下沉，工業、金融、交通控制系統頻頻受到各類攻擊和侵害，傳統的靜態化的安全保護策略已不適應網絡安全保護的新形式，因而被系統安全法益下的數據安全概念所取代。1984年美國頒布了聯邦層面首部計算機犯罪法案《偽裝進入設施和計算機欺詐與濫用法》；1986年又頒布了《計算機詐騙與濫用法》，將非法活動分為四類：“（1）任何無授權的讀取系統，尤其是讀取絕密文件或機密政府文件；（2）非法讀取財物方面信息；（3）任何無授權的讀取任何屬于美國政府的計算機；（4）有目的的買賣非法的信息數據。”這已經突破了信息安全的CIA保護范疇。在我國，1994年《計算機信息系統安全保護條例》第3條規定：“計算機信息系統的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網絡）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行。”系統安全關注信息基礎設施、操作系統、數據庫等層面的安全，主要指軟硬件信息系統如操作系統、云系統、終端系統、應用軟件系統的安全運行，保證系統不受惡意代碼和其他惡意攻擊，確保系統正常運行和合法使用。信息安全的概念隨之發生更新，新的要素被引入，例如Donn B.parker提出了parkerian hexad（帕克里安六角模型），在保密性、完整性、可用性之外，增加了占有或控制（Possession or control）、真實性（Authentici?ty）、效用（Utility）。同時信息安全逐步被網絡安全的范疇所取代。例如工業和信息化部2010年出臺的《通信網絡安全防護管理辦法》第2條第3款規定：“本辦法所稱網絡安全防護工作，是指為防止通信網絡阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。”這里的網絡安全概念強調網絡傳輸安全和信息安全兩個方面。《網絡安全法》第76條對網絡安全做出了正式的法律界定，即網絡安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。該定義不但突破了信息安全概念的靜態要素，開始強調安全的穩定性和可持續性，還將信息安全置于網絡安全的下位概念，同時將網絡安全由系統安全擴展到廣域網絡空間安全的層次。在此基礎上，《數據安全法》第3條規定，數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。該定義下的數據安全，甚至不再強調數據的靜態安全，即數據類型的保護，而強化數據的動態安全，即數據流動和全生命周期的保護，并且以“狀態”+“能力”的復合屬性指明今后數據安全保護的法律方向，這標志著數據安全的動態安全范式開始確立。

三、從靜態防御到動態安全的范式轉換邏輯

過去30年尤其是過去10年，我國的網絡安全、數據安全法治建設取得了令人矚目的成就，其重要經驗就是深刻體察網絡安全、數據安全的發展態勢，即信息時代的“時”與“勢”，審時度勢選擇最契合實際的治理策略。所謂沒有一成不變的數據安全策略，從靜態防御到動態安全的數據安全法律保護的范式轉換邏輯，是理論更新與情勢變更共同作用的產物。

（一）轉換的理論基礎：總體國家安全與數據總體安全

早在1970年，前聯邦德國的黑森州就頒布了世界上第一部《數據保護法》，該法傾向于從政府安全的角度立法。相比西方國家，我國的數據安全立法起步較晚，直到1994年才頒布《計算機信息系統安全保護條例》，對“信息安全做出界定”，這部行政法規也是我國第一部網絡立法，可見從網絡立法之初就帶著安全的烙印。早期的數據安全立法，是就網絡談網絡，就安全談安全，而缺乏數據安全的宏觀性、總體性特征，更缺乏數據安全對更廣闊安全命題的呼應。真正提升數據安全立法價值品性和理論品格的，是總體國家安全觀的提出。

1. 總體國家安全觀對數據安全治理的指導性

2014年4月15日，習近平總書記在中央國家安全委員會第一次會議上，創造性提出了“總體國家安全觀”，習近平總書記指出，“當前我國國家安全內涵和外延比歷史上任何時候都要豐富，時空領域比歷史上任何時候都要寬廣，內外因素比歷史上任何時候都要復雜”，深刻揭示了總體國家安全觀提出的時代背景和重要意義。2017年10月，黨的十九大將堅持總體國家安全觀納入新時代堅持和發展中國特色社會主義的基本方略，2022年10月，黨的二十大就推進國家安全體系和能力現代化進行專章部署，進一步豐富和發展了總體國家安全觀。總體國家安全觀內涵極為豐富，其核心要義包括“五大要素”“五對關系”“十個堅持”和“五個統籌”。總體國家安全觀較之傳統國家安全觀的最大特色就是“總體性”，傳統國家安全觀一般只關注與政權安全和國家穩定最密切的安全類型即軍事安全和政治安全，并有意無意地把文化、科技、生態、信息等方面的安全排除在國家安全之外。而總體國家安全觀則將非傳統安全與傳統安全置于同等重要的地位，在國家安全的范疇內充分重視非傳統安全對國家安全的沖擊和挑戰，以系統化的思維豐富了國家安全的要素安全、層級安全、領域安全等。

“沒有網絡安全就沒有國家安全”，這不但是習近平總書記的著名論斷，也成為世界各國的共識。近年來西方國家在網絡安全領域動作不斷，2023年3月，美國出臺《國家網絡安全戰略》，這是美國政府五年來首份網絡安全領域的戰略文件。我國《國家安全法》確立總體國家安全觀在我國國家安全工作中的指導思想地位，首次在法律上對國家安全作出定義，即“國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益相對處于沒有危險和不受內外威脅的狀態，以及保障持續安全狀態的能力”。該定義也成為網絡安全和數據安全定義的基礎。此外，《國家安全法》第25條明確提出，“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”，該規定將網絡和數據安全直接上升到國家安全的高度，為數據安全立法提供了直接的法律依據。

總體國家安全觀的總體性，要求數據安全法治建設要妥帖處理安全與發展的關系，在相對安全的前提下追究均衡安全。“安全與發展是一體之兩翼、驅動之雙輪。安全是發展的保障，發展是安全的目的。”安全與發展是對立統一兼具的矛盾范疇，但是統一性大于對立性。安全與發展的對立性體現在，安全與發展作為各自獨立的要素，都需要相應的資源投入和供給，在資源總量不變的前提下，安全和發展投入必然存在此消彼長的變化關系，如果某一個特定時期對安全或者發展過度關注，則可能導致單方面資源投入的失衡從而忽略另一方面建設。此處的資源不限于物質等硬性資源，還包括輿情、社會宣傳等軟性的注意力資源。另外，發展自身具有不確定性，發展就是在不確定性中尋找確定性，因此天然具有風險性，如果過于強調安全就可能忽略了發展的重要性。盡管安全和發展的辯證關系獲得廣泛認可，但由于主管安全的部門和主管發展的部門往往是割裂的，基于部門利益的不自覺偏向，部門利益也可能影響整體決策，從而導致安全和發展投入配比的失衡。比如，對信息化系統自主性和國產化的要求，要和本土信息產業的創新能力相匹配，通過操作系統、軟件的自主化要求倒逼、促進本土產業創新能力的提升，進而再反哺軟件自主化，這是一個循序漸進的過程，不能忽略本土創新能力的實際水平而要求自主化的一步到位。當然，安全與發展的統一性是這對概念范疇的主流。安全是發展的保障，發展是安全的前提，只有確立基礎的安全條件，發展才具有基本的保障，所謂的安全風險需要在發展中解決，也只有發展才能更好挖掘潛在的安全風險，數據安全的水平是隨著數字產業的進步同步提升的。在信息技術領域，最高的發展水平一定代表著最高的安全水平，因此不能因為短期的發展風險就因噎廢食而忽略新型產業可能的創新因子。甚至可以說，“不發展才是最大的不安全”。因此，數據安全法律保護的動態安全范式，就是要清晰認識到安全的相對性、均衡性，尋求發展前提下的安全最優解。安全和發展的均衡觀念對某些法律命題也具有指導作用。例如已公開個人信息的刑法保護是公民個人信息犯罪的司法焦點話題，除了依據《個人信息保護法》論證已公開個人信息的權利邊界，司法者應該想到，過度禁錮個人信息的流轉會扼殺信息應有的活力。

當前世界各國紛紛將數字經濟作為國家競爭的新賽道，產業升級的新戰場，可以說，誰的數字經濟發展得越好，誰就能在世界經濟格局中占據優勢和領先地位。數字經濟背景下，平衡數據安全與數據發展的關系意義更加顯著。國務院2015年頒布的《促進大數據發展行動綱要》提出“切實加強對涉及國家利益、公共安全、商業秘密、個人隱私、軍工科研生產等信息的保護”。數字經濟是繼農業經濟、工業經濟之后人類新的產業革命，數字經濟要經歷數據的資源化、數據的資產化、數據的資本化三個階段。與傳統的農業經濟和工業經濟不同，數字經濟得以發展的基礎是信息技術和海量數據。數字經濟的基本邏輯是，“數據跨越了物理空間與虛擬空間，將被表達為數據的物理信息、主體信息等在數字空間聚合連接，并利用算法從中提取規律性認識、相關性關系等信息，反過來對產生數據的行為產生現實影響，用以優化物理空間的資源配置和提升生產效率。”數據流動釋放的價值與數據流動的自由度具有正相關性，數據流動越自由，則數據價值就越大，因此必須打破數據孤島，構筑數據有序流轉和開放共享的利益格局。數據全生命周期的風險管控是維系數字經濟穩健發展的關鍵環節。數據全生命周期的法律保護，更需采取產業發展與數字安全協同并進的平衡策略，如果一味糾纏某個環節數據保護的安全性，缺乏風險管控的思維，必然扼殺數據流轉和數字經濟的活力。安全體現了狀態、能力和投入的配比關系，當資源投入能夠實現應對威脅的穩定狀態時，就意味著狀態和能力實現了平衡性，那么就是安全的，如果資源投入無法實現狀態和能力的穩定性，則是不安全的。換言之，“安全就是行為體的利益相對處于沒有危險和不受內外威脅的狀態，以及保障持續安全狀態的能力。”可見，安全是因變量，投入是自變量，充足的資源投入有助于國家實現更好的安全保障。國防經費、軍事建設是直接的資源投入，對于提升國家安全有立竿見影的效果，但是這可能造成資源的快速枯竭。而科技是安全和發展兩者結合的最底層產業，科技的突破能夠擴張生產力的邊際，提升資源獲取能力，進而實現更高水平的安全，這也是建立數據安全法律保護動態安全范式的價值和意義。

2. 數據安全對傳統安全治理的耦合嵌入

不可否認，單純以物理的視角理解網絡、計算機信息系統的觀念已脫節于時代，網絡、計算機信息系統早就成為社會系統的龐大并不可或缺的組成部分，它們是社會整體的組成部分，是社會系統安全的重要參數和變量。數據從靜態安全到動態流動、利用的轉變，使得數據安全利益從“保障數據與主體關系的穩定性”擴張至“防范數據行為對現實安全秩序的破壞”，數據安全利益譜系呈個人安全利益、公共安全利益、國家安全利益三個面向。侵害數據不是單純的數據侵害，而是對數據背后富含的社會利益的侵害，因此，“無論是過去的計算機信息系統安全，還是現在的網絡安全，它的實體內容都必須結合系統、網絡的社會性質來確定，而不能單純以它們的物理性質和運行功能作為判斷的全部內容。”數據安全對傳統安全治理的耦合嵌入體現在：數據安全等非傳統安全與傳統安全不是垂直細分和相互獨立的關系，數據安全內容已經是公共安全和國家安全的要素之一，兩者體現為交叉性、融合性。以公共安全為例，《刑法》分則第二章為危害公共安全罪，所謂公共安全，“是指不特定或者多數人的生命、身體的安全以及公眾生活的平穩和安寧。”本章的類型包括特定的危險方法的犯罪、特定的危險場所的犯罪、特定的危險物品的犯罪等，除此之外，本章還規定了以危險方法危害公共安全罪作為兜底型罪名，要求行為必須與放火、決水、爆炸、投毒等行為烈度、性質、危害后果相類似，可見以危險方法危害公共安全罪是一個立足于傳統領域公共安全的犯罪。而在信息化時代，隨著數字基礎設施的下沉和基礎設施的數字化，社會運行的平臺都奠基在各類數字化、智能的信息系統之上，社會對信息系統的依賴急速躍升，系統崩潰的后果往往造成社會秩序的巨大混亂，其危害后果絲毫不亞于傳統的公共安全犯罪。一個鮮活的例子是，2024年7月19日，由于windows操作系統的安全套件更新發生系統崩潰，導致美國、英國、澳大利亞等西方二十余國大量組織機構的業務系統服務中斷，全球多地的航空運輸、醫療服務、媒體、銀行與金融服務、零售、餐飲等行業或公共服務受到了影響，這是一起因廣泛使用的安全產品故障，導致大量主機系統崩潰，并連帶導致大量基礎設施系統無法提供服務產生的多米諾效應的事件。網絡空間的無限延展性使得其蝴蝶效應遠大于傳統空間，其危害性也超過了一般的危害公共安全犯罪。2011年《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第4條規定，“實施前款規定行為，具有下列情形之一的，應當認定為破壞計算機信息系統‘后果特別嚴重’：……（三）破壞國家機關或者金融、電信、交通、教育、醫療、能源等領域提供公共服務的計算機信息系統的功能、數據或者應用程序，致使生產、生活受到嚴重影響或者造成惡劣社會影響的”。此處的關鍵領域的計算機信息系統也與公共安全具有密切關系。可見，將數據安全與傳統法益隔離的靜態防御范式已無法應付當前數據安全彌散化的局面。

（二）轉換的現實驅動：數據安全環境的情勢變更

從技術層面的單機、局域網時代到現在的云計算、大數據時代，從應用層面的內容互聯網到現在數智互聯網，網絡安全環境已發生天翻地覆變化。早期的網絡安全措施主要體現為訪問控制，網絡安全的重點問題在于解決訪問權限，在計算機信息系統逐步大型化的情況下，防火墻成為一般性的控制手段。而在2000年之后，網絡攻擊的復雜性催生了加密技術、虛擬專用網絡、網絡流量分析等新安全防御方式出現，傳統安全架構已無法適應新的網絡安全需求，從全局視角開展網絡安全頂層設計，在統籌規劃基礎上系統性部署網絡安全策略與基礎設施建設將成為未來網絡安全發展的主流方向。新的網絡環節催生新的數據安全保護需求：

1. 內部安全與外部安全

數據的內部安全將保障數據作為資產的安全，即保障數據的完整性、保密性、可用性，以及避免數據泄露、損毀、篡改、丟失等安全事件。數據的內部安全即傳統的信息安全視角下的數據安全。數據的外部安全是指數據處理過程中，管控數據濫用對外部可能造成的危害。也有的學者認為數據外在狀態安全是數據載體安全，信息本體內容安全是數據內容安全。在數字經濟中，數據安全的存在意義是保證數據在全生命周期得到妥善保護，最終實現價值變現并促進數字經濟健康發展。因此，必須建立有效的數據全生命周期保護制度。《網絡安全法》第42條規定網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。該條明確了網絡運營者處理數據的基本規范以及最低限度。《民法典》第1035條規定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。《數據安全法》第3條明確的數據處理行為，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。安全是一個系統概念，安全的指標也需要在特定系統中驗證，系統的外部環境變化對安全具有直接的影響力和制約力。

2. 源生安全與衍生安全

數據的源生安全是指數據自身的穩定性、真實性，能夠保證數據實現結果的基本有用性。源生安全要求消除系統的脆弱性和安全漏洞。衍生安全是指系統的脆弱性導致其他領域的安全風險。例如在人工智能中，由于外部環境感知參數的改變導致系統做出錯誤的判定。在車聯網中，在端到端的直連通信場景下，車聯網終端間將通過廣播的方式在專用頻段上進行直通鏈路短距離信息交換，汽車運行相關的剎車、速度、胎壓、油耗等汽車控制信息，一旦被不法分子偽造篡改將會影響汽車行駛安全，給用戶帶來經濟損失甚至人身傷害。2020年6月，中國臺北仙桃的一輛特斯拉的自動駕駛系統把白色翻倒的卡車誤認為沒有障礙物，導致車輛在開啟自動駕駛的狀態下毫無減速地撞上卡車。甚至車企可能基于某種原因主動接管用戶的汽車權限。2024年6月，某汽車品牌車主爆料稱因維權糾紛，自己的智能汽車被廠家遠程鎖定，該事件引發了“用戶汽車控制權歸屬”的討論，也暴露出對汽車的外部非法侵入和控制在技術上是可行的。

3. 要素安全與體系安全

數據要素是構建數據體系的基礎，它側重于描述數據在某一個維度中的基本屬性和特征，例如數據的創建時間、地點、來源、屬性、指標等等，這些要素的組合就是數據集。數據資源化的第一步，就是對數據要素進行商品化，然后形成數據資產，因而要素安全是與數字經濟有效運行密切相關的內容。而體系安全，則是組織體和架構的整體性安全。體系由要素組成，但體系超越要素，體系既包括要素等硬件層面，又包括價值、目標、運營流程、管理規范等軟件層面，還包括軟硬件之間的有效協調和優化重組，因而體系安全造成的風險和危害是遠大于要素安全的。例如，德國燃料儲存供應商Oiltanking GmbH Group遭受網絡攻擊造成燃油供應中斷，豐田公司供應商電裝公司遭到勒索軟件攻擊，中斷了設備的網絡連接，數據發生大量泄密，汽車生產線被迫停工。數據的體系性風險應對失當，很容易誘發風險的倒灌效應、疊加效應。

四、數據保護的動態安全范式的建構思路

伴隨著大數據、人工智能等新一代信息技術的應用，新一輪產業革命和社會變革正在席卷全球，從消費互聯網到產業互聯網，新業態新經濟激發的新動能正在對經濟社會產生全方位的影響。在此背景下，無論是從我國數字化技術的應用現狀、數字安全的內外部環境來看，還是從總體國家安全觀引發的數字安全觀念變革來看，都需要建構適應新時代新需求的數據安全保護范式。這一工作自《國家安全法》《網絡安全法》的頒布為起點，以《數據安全法》為主要框架，目前依然要持續推動。

（一）數據保護的動態安全范式的體系構成

數據的動態安全保護范式，以法律為基礎又超越法律，它需要構建容納政策治理、法律治理、技術治理等多種治理模式的綜合性治理體系。

1. 數據保護的動態安全范式的多維治理體系

當前我國的數據安全保護體系已經基本形成了以法律治理為骨干、政策治理為補充、標準治理為支撐的數據安全保護體系。在法律治理層面，《國家安全法》《網絡安全法》《數據安全法》是數據安全領域的綜合性、基礎性立法，為后續數據安全立法確定了基調。《國家安全法》確定了總體國家安全觀對安全立法、執法的指導作用，具有舉旗定向的功能，而《網絡安全法》《數據安全法》有效整合了過去網絡安全立法中相對零散的法律規范，直接提升了我國數據安全立法的規范性和科學性。甚至有的學者認為，“《數據安全法》并非局限于數據安全問題，而是在更加寬泛的意義上理解安全，意圖通過《數據安全法》一部法律完成歐美等國家或地區多部法律協力完成的綜合治理目標。”上述三大法律的出臺讓我國的數據安全立法煥然一新，有了三大法律，后續立法迅速展開。例如在網絡安全等級保護領域、關鍵信息基礎設施安全保護領域、個人信息保護領域、數據出境管理領域、內容治理和內容服務領域等等，均有相關法律或法規的出臺和修訂。除了國家性立法之外，數據安全領域的地方立法也可圈可點，2018年《貴陽市大數據安全管理條例》是全國首部落實《網絡安全法》的地方性法規，2019年《天津市數據安全管理辦法（暫行）》則是全國第一部專門性的省級立法。除此之外，《浙江省公共數據條例》《北京市數字經濟促進條例》等地方性法規均將數據安全與發展并重作為重要的立法理念。

在政策治理方面，由于政策出臺層級的不同，不同政策的實際作用和功能存在較大差異，2022年《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（即俗稱的《數據二十條》）是建立數據基礎制度體系的一份重要文件，對今后立法和政策制定具有直接的制約和指導作用。而中央部委和地方政府制定的相關政策性文件，例如《工業和信息化部等十六部門關于促進數據安全產業發展的指導意見》（工信部聯網安﹝2022﹞82號）等則是對國家立法的貫徹性、執行性、細化性的政策文本。

在標準治理方面，網絡和數據安全的標準發揮了重要作用。所謂標準，目前已經廢止的國家標準GB39351-83《標準化基本術語第一部分》規定，標準是“對重復性事物和概念所作的統一規定。它以科學、技術和實踐經驗的綜合成果為基礎，經有關方面協商一致，由主管機構批準，以特定形式發布，作為共同遵守的準則和依據”。在網絡安全和數據領域存在著大量國家標準和行業標準，例如《GB/T 39786—2021信息安全技術信息系統密碼應用基本要求》《GB/T 31504—2015信息安全技術鑒別與授權數字身份信息服務框架規范》等。數據安全標準是對相關法律的補充，能夠將數據安全的相關立法予以細化，同時它具有靈活性、場景性等特征，有助于實現技術與法律的跨系統溝通。技術標準不具有法律規則的外觀，但它同樣是判斷數據安全合規的重要依據，在實際的運作中與法律規則的功能并無本質區別。

2. 數據保護的動態安全范式的數據合規體系

所謂數據合規，是指企業通過履行相應的合規要求，使得數據處理的全流程符合法律和標準的規范性要求，進而保持數據的合法使用和安全狀態。數據合規的目的是對數據全生命流程的風險點進行預防、識別、管控和處置，以防范可能的法律風險。在信息技術的加持下，伴隨著數據收集成本的降低，數據的集聚程度顯著提升，而頻繁的數據泄露事件給數據的應用蒙上了陰影。數據風險與數據規模具有相關性，大型商業機構乃至政府機關的數據風險未必比中小機構低。2022年3月，銀保監會發布公告稱銀保監會嚴肅查處一批監管標準化數據（EAST）質量領域違法違規案件，對政策性銀行、國有大型銀行、股份制銀行等共21家銀行機構依法作出行政處罰決定，處罰金額合計8760萬元。2024年7月，美聯儲宣布，花旗集團將因數據質量管理和風險控制相關問題向監管機構支付近1.36億美元罰款。可見，維護網絡和信息安全固然是所有網絡參與者的責任，但實際上商業機構、政府機關等才是數據安全防御的重點區域和核心堡壘，也是數據安全建設的關鍵所在。ISO/TC309技術委員會編制的《合規管理體系要求及使用指南》由ISO組織在2021年4月發布實施，適用于全球各類行業和組織，該標準將信息安全管理（對應ISO/IEC 27001標準）納入其中。《網絡安全法》第四章專章規定數據安全保護義務，主要的合規對象就是企業，同時第六章規定了違反本法的相關法律責任。此外，2020年國家標準《信息安全技術個人信息安全影響評估指南》頒布，明確了實施評估的責任主體、具體流程、風險處置等。

3. 數據保護的動態安全范式的多元價值體系

數據保護的動態安全范式不僅僅是一套法律規則體系，還有不同于靜態防御的價值體系構建，包括協同共治、風險預防與市場激勵等。

第一，關于協同共治。數據安全的協同共治，源自網絡安全風險的泛在化。當前的網絡信息系統是一個龐大的體系，彼此之間環環相扣又相對獨立，同時又進行復雜的數據交互過程，一個數據處理環節發生錯誤，可能會帶來牽連性的危害后果，風險的不可預知性與危害后果的不可控性是現代信息系統的主要特點。例如，2021年，美國最大的燃油供應商Colonial Pipeline遭到勒索軟件攻擊，該公司負責美國東海岸將近一半的燃油供應，事件發生后，該公司暫停了所有的管道作業網絡，該事件影響到美國17個州的燃油供應。網絡攻擊后果具有不確定性，很有可能波及第三方并造成附帶毀傷。攻擊伊朗核設施的震網病毒被發現后，許多系統又遭受被改編過的病毒的襲擊，造成了嚴重的級聯效應（cascade effect）。網絡安全還具有明顯的蝴蝶效應，初始差錯就能造成巨大的危害，同時木桶效應的存在也會讓數據安全的巨大前期投入毀于一旦。以鄰為壑，只掃自己門前雪的做法在信息化時代已然行不通，一家不安全等于所有不安全。為此《數據安全法》第5條規定，“中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。”協同共治可以著墨的地方很多，比如不同數據安全管理機關的情報共享，商業機構和政府機關之間的技術協作等等。

第二，風險預防。“現代社會是法治社會，制度風險及風險法律控制是風險法學研究理論的基本內涵。”在人工智能時代，技術與法律的互動關系是法學研究的恒常主題，現今社會的多數社會風險和社會矛盾，都可以歸結于技術風險帶來的社會挑戰。在前工業時代，雖然科學技術也是形塑社會結構的重要力量，但技術應力的釋放是緩慢和斷續的，這就給了法律等社會規則充分調整和從容應對的時間。而在數字時代，技術的飛速發展推動社會關系的快速變革和社會利益結構的持續調整，法律已經很難做到前瞻性應對，因此所謂的風險預防毋寧說是事后的應對策略。盡管如此，“法律制度的價值和意義就在于規范和追尋技術上的可以管理的哪怕是可能性很小或影響范圍很小的風險和災難的每一個細節。”風險預防和控制依然是緩解法律和技術緊張關系的不二法門。“在風險預防層面，科技創新治理體系需要解決的風險類型主要以技術安全風險、應用方向偏離風險、技術合規風險三類風險為主。”這就需要完善的風險評估體系以建立有效的合規機制。

第三，市場激勵。《數字中國建設整體布局規劃》提出夯實數字基礎設施和數據資源體系“兩大基礎”，強化數字技術創新體系和數字安全屏障兩大能力，將數字安全提高到戰略層級。數字中國作為一個龐大的建設體系，單純依靠行政推動建設數據安全是遠遠不夠的，也要充分發揮市場激勵的優點，充分調動各方力量參與網絡安全建設。如果說法律的強制性規范決定了數據安全的底線，那么市場激勵的措施決定了數據安全發展的上限。在此方面，西方國家高度重視市場激勵和產業保護對數據安全產業的重要作用，并且以法律的形式予以明確化。美國的《購買美國產品法》規定，在政府采購項目的國外報價中，如果本國供應商的報價比外國供應商的報價高出不超過6%的幅度，那么，必須優先交由本國供應商采購。我國《中共中央辦公廳、國務院辦公廳國家信息化發展戰略綱要》也要求從以下方面發展核心技術、做強信息產業：構建先進技術體系、加強前沿和基礎研究、打造協同發展的產業生態、培育壯大龍頭企業、支持中小微企業創新。在法律層面，《密碼法》第21條規定，“國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用，健全統一、開放、競爭、有序的商用密碼市場體系，鼓勵和促進商用密碼產業發展。”法律層面的市場激勵規范缺乏落地化的規則和具有操作性的規范。

（二）數據保護的動態安全范式的治理架構

數據保護的動態安全范式不是拋棄靜態防御范式另起爐灶，而是在后者基礎上的升級和迭代，既強化了數據全流程的風險治理，并以安全與發展的協同理念設定數據安全的閾值。數據保護的動態安全范式應以防御、監測、威懾為核心，完善其治理架構。

第一，關于防御。防守是最好的進攻，面對數字時代多點多源多面的風險來源，需要構建全方位的主動防御和動態防御機制。動態防御的法律落地化即《網絡安全法》確立的網絡安全等級保護2.0制度，俗稱“等保2.0”。網絡安全等級保護制度是對計算機信息系統實行分級保護、響應、處置的制度，可以追溯到《計算機信息系統安全保護條例》，隨后一系列部門規章和國家技術標準豐富了該項制度，《網絡安全法》第20條規定，“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改……”第31條規定，“對于國家關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護”被視為等保2.0制度的開端。等保2.0是為了適應更高程度的網絡安全威脅而建立的更高等級的網絡安全等級保護制度。目前等保2.0主要存在技術標準制定受到商業利益影響，部分企業開展等保2.0的經濟壓力較大等問題，需要法律做出更加細致的安排。

第二，關于監測。事實證明，監測和預警是預防安全風險、降低安全威脅的有效手段。安全風險監測預警體系也是總體國家安全體系的重要內容。2023年5月，二十屆中央國家安全委員會第一次會議提出“要完善應對國家安全風險綜合體，實時監測、及時預警，打好組合拳”，會議通過了《加快建設國家安全風險監測預警體系的意見》。2022年12月8日，工業和信息化部關于印發《工業和信息化領域數據安全管理辦法（試行）》的通知（工信部網安〔2022〕166號），其中第四章規定“數據安全監測預警與應急管理”，第五章規定“數據安全檢測、認證、評估管理”，數據安全監測制度的目的，是為建構一整套風險預警、識別的溯源和處置機制，提升網絡安全的綜合態勢感知能力。

第三，關于威懾。在軍事學上，威懾是一個古老的軍事思想，威懾的核心是勸服（convince）對手，使其相信采用行動的后果是不利的。在網絡空間，威懾體現了一國的網絡對抗能力，超越敵對方的報復能力是建立有效威懾的基礎。2011年5月，美國在《網絡空間國際戰略》中正式提出網絡威懾，宣布保留以軍事手段懲戒網絡敵對行為的自衛權，倡導建立國際威懾聯盟應對網絡空間的惡意行為。美國國防部于2017年2月發布的《國防科學委員會網絡威懾專題小組最終報告》指出，為了應對來自俄羅斯和中國的大規模網絡攻擊的威脅，美國必須通過明確的報復戰略來阻止這類進攻。威懾理論用于網絡戰爭屬于進攻的思想，用于網絡安全屬于防守的思想，但并非消極被動防守，而是積極主動防御。在網絡和數據安全事件中，一些網絡攻擊者之所以肆無忌憚，一個重要的原因在于不相信網絡防御者具有威懾和報復的能力，網絡防御者具有報復能力卻具有實施報復的顧忌。例如前文提到的美國石油管道商被勒索軟件攻擊事件的主角就是勒索軟件，勒索軟件是一種流行的網絡攻擊工具，通過加密用戶文件等方式進行勒索。近年來幾乎所有國家的政府、金融、醫療、交通等行業均受其影響。2022年，勒索軟件活躍程度再度飆升，攻擊事件數量同比增長13%，超過以往五年的總和。攻擊者鎖定目標用戶的文件、數據庫或者關鍵信息系統，以提供解鎖秘鑰為條件迫使受害者支付贖金。這類案件經常報道于媒體，但主要是西方國家的犯罪案件，我國的勒索軟件犯罪案件極少被媒體披露，并非我國類似案件較少，而是受害的商業機構尤其是大型商業機構擔心案件一旦披露會給自身的商業信用造成損害，因此多數商業機構選擇息事寧人，而攻擊者正是利用受害者的此種心理而有恃無恐。換句話說，針對勒索軟件攻擊的威懾是無效的，為此必須重構對網絡攻擊者的法律威懾，以此實現有效的犯罪拒止，此即網絡安全漏洞報告制度。美國在2022年通過《2022年關鍵基礎設施網絡事件報告法》，澳大利亞在2021年通過《2021年安全立法修正案（關鍵基礎設施）法》，明確運營者在規定期限報告規定的網絡安全事件，以提升國家整體的網絡安全態勢感知和防御能力。2024年7月，英國計劃制定《網絡安全和彈性法案》，法案將引入強制勒索軟件報告制度，以幫助政府更好地理解此類威脅的規模、性質。我國的《網絡安全法》第22條要求建立網絡安全漏洞報告制度。2021年7月，工業和信息化部、國家互聯網信息辦公室、公安部聯合發布了《網絡產品安全漏洞管理規定》。2021年12月，工業和信息化部在官網上發布了一個網絡安全風險提示，阿里云計算有限公司發現阿帕奇（Apache）Log4j2組件嚴重安全漏洞隱患后，未能按照《網絡產品安全漏洞管理規定》及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理，工信部網絡安全管理局決定暫停阿里云作為工信部網絡安全威脅信息共享平臺合作單位6個月。在此基礎上，2023年12月，國家互聯網信息辦公室公布了《網絡安全事件報告管理辦法（征求意見稿）》，向社會公開征求意見，這意味著我國的網絡安全事件報告制度正式建立。網絡安全事件報告制度保障國家機關全面、及時掌握國家的網絡安全實時態勢，并由此協調各網絡主體調動相應資源以應對網絡安全的威脅，是一項融合防御、監測、威懾為一體的制度體系。

五、結語

2023年3月，國務院新聞辦公室發布《新時代的中國網絡法治建設》白皮書，2024年6月，國家互聯網信息辦公室牽頭編纂《中國網絡法治30年》。30年，不過是人類歷史的白駒過隙，卻組成了中國互聯網立法濃墨重彩的畫卷。安全，是30年來網絡立法的基石和底色，是貫穿網絡立法始終的筋骨和脈絡。中國互聯網30年沿著內容數字化-個人數字化-大眾數字化-社會數字化的路徑演進，數據安全不但在內涵上存在隱性的變化，在外延上也存在顯性的變化，數據安全時代命題的更迭也要求數據安全法律保護范式的更新。當前社會正在經歷信息化和數字化的轉型，萬物互聯時代的數據安全風險類型、表征均不同于過去的消費互聯網時代。時代命題的轉變必然要求新的治理思路，從這個角度而言，從靜態防御的數據安全保護體制過渡到動態安全的數據安全保護體制是社會發展的必然。當然，并非筆者寫了本文才說明數據安全治理的范式開始轉型，筆者贊同這樣的論斷，“法律制度的生成機制，不僅是制度文本的撰寫，更是制度環境的合理建構。”筆者撰寫本文的目的，也并非僅僅做一個制度記錄者，而是想揭示數據安全范式轉型背后的實踐脈絡、理論基礎、價值根基，讓制度建設更具自覺和自為。