网站首页 | 网站地图

人民论坛网·国家治理网> 前沿理论> 正文

当前我国数据安全工作面临的形势与任务

摘 要:数据安全已成为事关国家安全与经济社会发展的重大问题。当前数据安全形势十分严峻,维护数据安全的责任重大。将数据安全纳入总体国家安全观,这是由国家安全斗争形势和国家发展战略所决定的。当前,我国已初步完成数据安全顶层设计,基本建立政策法规体系。要通过探索党管数据体制机制,引领平台监管正确方向,创新数据安全执法手段,将数据要素开发利用工作与数据安全基本制度紧密结合等方式,进一步加强数据安全相关工作。

关键词:数据安全 国家安全 总体国家安全观 党管数据

【中图分类号】D92 【文献标识码】A

随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。在党中央的高度重视和周密部署下,当前我国数据安全工作进入战略规划和顶层设计的关键阶段,不但直接关系国家发展利益,更在相当大程度上决定了今后国家实力和国际竞争力。

将数据安全纳入国家安全体系是历史必然

2014年4月15日,习近平总书记在中央国家安全委员会第一次会议上,高瞻远瞩地提出总体国家安全观。近几年来,我国国家安全体系主体框架加快形成,国家安全理论体系和战略体系不断丰富,作为习近平新时代中国特色社会主义思想“国家安全篇”重要构成的总体国家安全观不断充实提升,“数据安全”成为国家安全的最新疆域。

在中央国安委第一次会议上,习近平总书记指出:“既重视传统安全,又重视非传统安全,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”。这是我们党首次明确“总体国家安全观”指引下的国家安全体系涵盖十一个领域的安全。将总体国家安全分解成若干不同领域安全,有助于精准锁定安全风险与挑战的源头,有利于有的放矢和专业化地开展工作。

2021年11月,党的十九届六中全会通过了《中共中央关于党的百年奋斗重大成就和历史经验的决议》。《决议》指出:“习近平同志强调保证国家安全是头等大事,提出总体国家安全观,涵盖政治、军事、国土、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、深海、极地、生物等诸多领域,要求全党增强斗争精神、提高斗争本领,落实防范化解各种风险的领导责任和工作责任。”以上共计十六个领域的安全,表明太空、深海、极地等是新的国家安全利益之所在。

2017年12月,十九届中央政治局专门就实施国家大数据战略进行第二次集体学习。习近平总书记就做好数据安全工作作出重要指示,强调“要切实保障国家数据安全”“要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设”。

2022年4月,中央宣传部、中央国安办组织编写了《总体国家安全观学习纲要》。该书在“新时代国家安全的主阵地主战场”一章中,增列了人工智能和数据安全。这表明,数据安全已经成为国家安全的重要组成部分。

当前数据安全形势十分严峻,维护数据安全的责任重大

将数据安全纳入总体国家安全观,这是由国家安全斗争形势和国家发展战略所决定的。

第一,数据安全已处于国与国对抗斗争的前沿阵地。数据是国家的战略资源,围绕数据控制与反控制的斗争十分激烈。美西方国家实施“棱镜”等大规模监听、监控计划;大力发展网络战部队,以瘫痪关键信息基础设施、窃取重要数据为攻击目标;在企业的产品中安装“后门”,非法获取用户数据、控制或操纵用户系统和设备。特别是,数据安全已上升为西方国家遏制中国的核心议题,是“中国威胁论”的最新翻版。例如,为了限制中国的5G技术,部分西方国家联合提出了“布拉格提案”,专门对源自中国的5G技术“抹黑”,其炮制的四项安全准则中,有三项与数据安全直接相关。西方国家还围绕中国《国家情报法》第七条大做文章,诬称这是中国立法要求企业无条件配合中国情报机关提交数据。近年来,我国高科技技术、产品在全球受到封杀,直接原因便在于此。美国国土安全部甚至向全美商业企业发布《数据安全商业咨询》,要求防范来自中国的产品。

由于西方国家多年持续围绕数据安全向中国“泼脏水”,我们的国际环境不容乐观,中国企业在海外面临极大挑战。数据安全问题也上升到了外交最高对话层面。目前各国领导人在会面时,数据安全几乎成为必谈议题。2020年9月8日,为应对国际形势变化,我国发起《全球数据安全倡议》,旨在通过明确政府行为规范、推动企业共担责任、合作应对安全风险等务实举措,为加强全球数字安全治理、促进数字经济可持续发展提出中国方案,贡献中国智慧。

第二,数据流动重塑国家政治经济格局。众所周知,美国形成今天的“一超独霸”地位,“美元霸权”是关键原因。但美国认为,新时代需要新霸权,美元霸权将会被数据霸权取代。2021年,美国外交学会刊文《数据即权力》,将数据的竞争与当年美国获得“美元霸权”相提并论:“1944年7月,在诺曼底登陆仅几周后,第二次世界大战的结果仍然悬而未决,美国在新罕布什尔州的布雷顿森林接待了来自43个与美国意见一致的国家的代表。代表们举行会议,商定战后国际货币体系的新规则。这次会议产生了国际货币基金组织和世界银行,这两个机构旨在帮助各国在灾难性的世界大战后重建世界。在另一场危机之后,美国再次有机会建立支持和平、繁荣和安全的新国际规则,问题在于它现在是否会接受挑战。”这个“新国际规则”便是数据规则。美国智库提出,美国已经在数据治理立法上有所落后,现在应当直面中国带来的挑战,针对数字经济时代国际贸易的特点重新组织制定国际贸易规则新框架。通过信息流引领技术流、资金流、人才流、物资流,美国智库对数据规则的重视毫不奇怪,反倒是我们国内相当多的人还停留在技术层面看待数据。

第三,国家安全体系中,任何一个安全都离不开数据安全。影响国家安全的因素众多,但唯有数据安全和网络安全具有“牵一发而动全身”的影响。网络安全是整体的而不是割裂的,数据安全也具有这样的特点,而且更加突出。例如,当前正在兴起“网络生物安全”交叉学科,背景就是一些国家通过入侵别国的生物实验室,窃取或篡改数据,以制造生物武器,或者在他国引发生物灾难。实验中,攻击者通过恶意软件感染生物学家的计算机,用致病微生物基因序列替换原基因合成订单中的部分或全部基因序列,并利用DNA混淆技术成功绕开有害基因合成筛查软件的安全检测,从而可使生物学家在不知情的情况下制备出致病微生物,造成疾病传播风险,甚至成为生物恐怖袭击的参与者。这只是一个案例,经研究,总体国家安全观中的任何一个领域的安全均会受到数据安全的影响。

第四,数据已经成为新生产要素,数据安全决定其要素作用能否发挥。在当前全球经济增长乏力背景下,数字经济成为撬动经济增长的新杠杆,成为各国提振经济的重要方向,各国都在构建以数据为关键要素的数字经济。明晰的权属和有序的流动,是生产要素的本质要求和前提条件。但恰恰在这一问题上,实践中还有很多问题需要突破。例如,数据权属有待进一步明确,限制和制约数据安全有序流动的体制机制障碍依然存在。近几年,全国各地都在纷纷对大数据立法,设立数据交易所的积极性也很高。但事实上,关于数据开发利用、数据要素流动的一系列问题都没有解决,其中最核心的是数据安全和权益保障问题。

我国已初步完成数据安全顶层设计,基本建立数据安全法律法规政策体系

2015年7月1日起施行的《国家安全法》规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。

2017年6月1日起施行的《网络安全法》规定:“国家鼓励开发网络数据安全保护和利用技术”,“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动”。

2020年3月30日印发的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》指出:“制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。”

2021年9月1日起施行的《数据安全法》规定:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”该法的起草过程中,明确提出了“没有数据安全就没有国家安全”,这在历史上是首次。《数据安全法》还以法律的形式规定:“中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。”目前,国家数据安全工作协调机制已经到位,国家数据安全顶层设计基本完成。

鉴于个人信息保护与人民群众切身利益关系很大,我国还制定了《个人信息保护法》,于2021年11月1日起施行。这部法律的意义绝不是仅仅停留在个人信息保护层面。乌克兰危机中,俄黑海舰队副指挥官由于AI人脸识别技术而遭到精准狙杀;在乌作战的12万俄罗斯军人的个人信息被公布到网络,多达6616页。这些数据,都是外国企业在为俄罗斯民众提供商业服务的过程中获得的,但其显然已经涉及国家安全。这类案例为今后的个人信息保护工作揭示了新方向,赋予了这项工作更神圣的使命。

为了建立上述数据安全法律的实施细则,我国已于2021、2022年两次将《网络数据安全管理条例》列入国务院立法计划,由国家互联网信息办公室组织起草。2021年11月,国家互联网信息办公室公布了该条例的征求意见稿。目前有关立法工作正在紧锣密鼓进行中。

我国维护数据安全的主要工作部署

目前,通过法律法规和政策文件,我国确立了以下主要的数据安全制度:

一是数据交易管理制度。用以规范数据交易行为,培育数据交易市场。从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。下一步将出台专门管理办法,对数据交易机构的设立条件、运行规则、监管要求等予以明确。

二是数据分类分级制度。除涉密信息外,非涉密信息是否会影响国家安全?答案是一定的,但我国此前并没有对这类数据予以专门保护,国家安全存在短板。为此《数据安全法》规定,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家已明确数据分为三级:一般数据、重要数据、核心数据,后两者直接关系国家安全。各地区和各部门可根据实际情况,明确本地区、本部门的数据分类分级方法,对重要数据和核心数据进行重点保护。

三是数据安全审查制度。对影响或者可能影响国家安全的数据处理活动进行国家安全审查。为了落实这一制度,国家网信办等十三个部委联合公布了修订后的《网络安全审查办法》,于2022年2月15日起施行。该办法将网络平台运营者开展数据处理活动纳入审查范围,防范核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。审查制度还明确要求对国内企业赴国外上市活动进行审查,以防范上市企业存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。

四是数据出境安全管理制度。鉴于数据安全的重要性,主权国家应当对数据出境实施安全管理。为此,我国对两类数据建立了出境安全评估制度,一类是重要数据,另一类是批量个人信息以及关键信息基础设施运营者掌握的个人信息。2022年9月1日起,《数据出境安全评估办法》正式实施。对其他个人信息出境,我国则设立了认证途径和标准合同途径,目前正在研究认证程序和标准合同模板。当今世界,所有跨境贸易的实质都是数据跨境流动,故该议题已成为国际贸易规则重构的焦点,各国高度关注却远未达成共识,今后的国际博弈将更加激烈。

五是出口管制制度。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。这一规定具有重大意义,是我国《出口管制法》在数据领域的落实。而且,不仅某些数据本身是出口管制物项,描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等数据也应纳入出口管制。

六是对等反制制度。我国法律规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。目前美西方国家以数据安全为由,全方位对我国围追堵截,遏制我国高新技术发展,故这一制度有着重要的现实意义。

七是跨境数据司法调取审批制度。美国《澄清境外合法使用数据法案》规定,在美国政府执法、司法机构提出要求时,任何美国企业在他国收集存储的数据都要交给美国政府。这种“长臂管辖”是对他国司法主权的严重侵犯。为维护我国家安全利益,我国《数据安全法》规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

进一步加强数据安全工作的有关思考

第一,探索党管数据体制机制,保障党长期执政和国家长治久安。数据不但是国家战略资源,同时也是执政资源。资源被谁掌握至关重要。习近平总书记指出:“必须旗帜鲜明、毫不动摇坚持党管互联网,加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。”这一指示为数据安全工作提供了根本遵循,使党管数据成为数据开发利用和数据安全工作中一条根本的政治原则。但管什么、怎么管,一系列涉及党管数据内涵和外延的理论问题尚需深入研究。

第二,筑牢国家安全意识,引领平台监管正确方向。近年来,我国加大了互联网平台监管力度,特别是针对数据滥采滥用等问题。但也存在这样一种观点:政府的严监管导致国内互联网产业发展放缓,与美国、欧洲的差距加大,拖累了数字经济。甚至一些人认为,在国家谨慎出台限制性政策的背景下,数据安全政策应当暂缓实施。这显然忽视了数据安全与国家安全的关系,将数据安全简单等同于商业问题、经济问题,并将互联网无序发展的恶果甩给“数据安全”来背锅。任何时候,国家安全都应当是底线,不存在国家安全让位的问题。

第三,创新数据安全执法手段,敢于亮剑。《个人信息保护法》已经施行一年多,预料中的执法潮并没有出现。显然,目前的数据安全状况距离人民群众的期盼还有很大差距,公众并不满意。导致这种局面的一个重要原因,是当时立法线条比较粗,一些问题缺少细则,大家都在观望。此外,立法部门的精力在于打磨规则,但规则是不可能穷尽和尽善尽美的,目前存在大量绕过法律规定的情况。解决这个问题的关键,是要意识到数据安全法治建设的特殊性,重视执法机制的建设。要坚持担当与作为,在法律规则天然具有模糊性的条件下探索出一条数据安全执法新路子。

第四,将数据要素开发利用工作与数据安全基本制度紧密结合,全面关注数据安全问题。目前我国已经宣布成立国家数据局,正在统筹数据资源整合共享和开发利用。在这个过程中,各方面都认识到要兼顾安全与发展,但多是从公共数据、企业数据、个人信息等分类角度讨论数据安全保护。这种分类主要是基于数据的权属,固然是考虑问题的基本切入点,但还远远不够。事实上,我国正在建立数据分类分级制度,数据分为一般、重要和核心三级,不同级别数据的保护要求不一样,其分级逻辑主要面向数据与国家安全的关系。而目前在数据要素开发利用中讨论得火热的“隐私计算”等算法却主要面向个人信息保护,这显然存在明显缺失。后续工作中,建议全面关注数据安全问题的各个方面,将数据要素开发利用与各项数据安全基本制度紧密结合,整体推进数据安全和数据治理工作,赋能数字中国、网络强国建设。

【本文作者为中国科学技术大学公共事务学院、网络空间安全学院教授】

责编:周素丽/美编:王嘉骐

责任编辑:张宏莉