数字时代的国家安全治理之六

编者按

党的二十届三中全会强调：“国家安全是中国式现代化行稳致远的重要基础。必须全面贯彻总体国家安全观，完善维护国家安全体制机制，实现高质量发展和高水平安全良性互动，切实保障国家长治久安。”当前，国际地缘冲突愈演愈烈、人工智能突破性发展不断重构网络安全边界、贸易战升级影响全球经济复苏等关乎国家安全和发展的问题交织叠加。面对国内外各种复杂形势，必须健全国家安全体系才能为中国式现代化提供安全保障，确保中国式现代化行稳致远。这对国家安全法治建设提出了新的要求。

2025年是《中华人民共和国国家安全法》颁布实施10周年，本期封面主题围绕“数字时代的国家安全治理”，特邀请专家学者针对国家安全多个重点领域的法治建设与制度发展进行深度剖析：关注新时代国防与军队的法治建设；构建跨文化交流中本土文化安全的保护机制；思考人工智能高速发展带来的网络安全、数据安全、保密安全等新兴问题的法治应对。以系统思维推进国家安全法治体系现代化建设，促进国家安全意识深入人心，持续筑牢国家安全的人民防线，坚定走中国特色国家安全道路，积极构建国家安全自主知识体系，为国家安全法治建设提供理论支持，推动构建新安全格局保障新发展格局。

数据安全不但关涉国家安全，也与每个人的生活密切相关。2021年9月1日正式施行的《中华人民共和国数据安全法》（以下简称《数据安全法》）作为维护数据安全、防范数据风险的重要依据和行为指南，对数据要素全周期、全方位的安全管理有细致规定。严格贯彻落实《数据安全法》，不仅是组织和公民依法开展数据工作的必然要求，更是应对数字化进程中复杂风险挑战、保障国家安全的可靠方式。

一、数据分类分级保护

《数据安全法》第21条第1款明确我国实行数据分类分级保护：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”

在一般数据之外，《数据安全法》及相关规范性文件明确界定了“重要数据”和“核心数据”的内涵。根据《数据出境安全评估办法》第19条的规定，重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。根据《数据安全法》第21条第2款的规定，核心数据的定义则是“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”。《数据安全法》要求“制定重要数据目录，加强对重要数据的保护”，并对核心数据“实行更加严格的管理制度”。

我国数据分类分级保护制度有一些值得注意的特征。一是主体广泛。根据《数据安全法》第27条、第30条规定，企业等数据处理者同样负有数据分级分类义务。2023年4月，湖南省郴州市某单位就曾因未采取数据分级分类等保护措施而受到行政处罚。二是规则法定。为了确保数据分级分类有法可依，国家陆续出台一系列规范性文件。例如，《汽车数据安全管理若干规定（试行）》对汽车行业数据分类提出了具体标准；数据处理者因业务需要向境外提供重要数据和个人信息，应当遵守《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》的有关规定。三是保护全面。我国的数据分级分类标准充分考虑各行各业面临的不同安全风险，分级分类标准比较多样。

对于《数据安全法》所规定的违法行为（包括违反数据分类分级保护义务的行为），有关主管部门将根据情节轻重责令改正，给予警告，并可以处以罚款、停业整顿等行政处罚。数据安全法律责任的设定与数据本身的重要性相关联。数据层级越高，所受法律保护越严格，对应的法律责任也越严重。违反国家核心数据管理制度的行为，情节严重的，甚至可能面临刑事责任。

二、数据安全保护义务

《数据安全法》第27条规定了数据安全保护义务相关内容：“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”

根据上述规定，分析如下。一是任何组织或个人在处理数据时，必须依法建立一套完整的“数据安全管理制度”，覆盖数据从收集、存储、使用、加工、传输、提供、公开、删除的“全流程”，包括权限分配、风险评估、应急预案等具体管理制度，严防数据泄露、篡改、滥用等数据安全风险。二是需要建立数据安全培训制度，培训对象是所有数据处理相关人员（包含外包人员），培训内容包括安全操作规范、风险识别、应急响应等，以提升安全意识和防范人为失误。三是“相应的技术措施”和“其他必要措施”应当涵盖加密、权限控制、定期检查、备份等合规要求。四是通过“互联网等信息网络”处理数据的，比如用云存储或线上平台，除了履行上述义务，还必须符合国家网络安全等级保护制度，相当于在基础的“网络安全防护网”上再加一层“数据安全防护网”。五是“处理重要数据的单位”，如掌握大量个人信息的企业或涉及国计民生的机构，责任更重。这类单位必须指定“数据安全负责人”，并设立管理机构来监督责任落实。比如，银行处理客户账户信息时需要明确谁对数据安全直接负责，并成立团队定期排查风险、制定应急预案。

以下两起典型案例揭示了企业违反上述义务的常见情形。河南省某技术公司因未关闭平台“免登录访问漏洞”导致数据泄露。经调查发现该公司既未制定数据安全管理制度，也未对员工开展安全培训，更未采取加密或权限控制等基础防护手段，暴露出“重开发轻安全”的严重管理缺陷。河南省洛阳市新安县公安局依据《数据安全法》第27条和第45条，对公司处以20万元罚款并责令整改。浙江省某科技公司违规处理政务数据案更具警示性。该公司在为政府部门开发系统时，擅自将社保、户籍等敏感数据上传至公有云服务器，且未采取加密措施，导致数据暴露于公开网络，未履行数据安全保护义务。浙江省温州市公安机关据此对公司开出100万元罚单，并对两名直接责任人分别罚款8万元和6万元；浙江省网信办依据《数据安全法》《中华人民共和国行政处罚法》等法律法规，对该公司罚款5万元，对直接责任人罚款1万元。

三、规范数据交易

数据交易能够激发数据流通活力，创造数据要素价值。《数据安全法》为数据交易提供了法律依据，第19条规定“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”；第33条规定“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录”。

《数据安全法》第33条规定了从事数据交易中介服务的机构的审核、留存义务。目前，我国已成立40余家数据交易机构，遍布北京、上海、广州、深圳、贵州等多个省市。各数据交易中介机构为履行审核、留存义务，规定了更详细的内部交易安全要求。以上海数据交易所为例，数据交易平台包括直属数据交易平台和下设的专业板块数据交易平台，各数据交易平台应满足以下基本安全要求：一是符合三级等保资质要求，并针对数据泄露事件制定紧急处置预案；二是对交易过程进行安全控制，遇有违法投诉或安全事件暂停交易；三是在运营过程中，记录操作处理、权限管理、交易过程等日志；四是具备数据交易安全审计能力，能对每笔数据交易操作进行记录，记录内容至少包括唯一标识、交易量、单价、金额、时间等；五是允许数据供方和数据需方查询各自交易记录统计信息。除了交易平台，上海数据交易所还进一步规定了数据交易双方的安全责任，数据交易双方应具备从事数据交易需要的合法资格、良好信用、数据治理能力、安全交付能力，并满足5项基本安全要求。

《数据安全法》第47条详细规定了数据交易平台未履行审核、留存义务应承担的法律责任。2023年4月，经营催收业务的某信息技术咨询公司没有要求提供合法资质，也没有审核交易双方的身份，在催收的过程中通过天眼查、小蓝本、钉钉等软件非法获取债务人的信息，获取信息后也没有存档，违反了《数据安全法》第33条、第47条的规定，湖南省邵阳市绥宁县公安局依据《数据安全法》相关规定，对该信息技术咨询公司及其法人代表张某予以行政处罚。

四、数据安全事件应急处置

防范数据安全事件的发生，建立健全数据安全应急处置机制和应急处置预案是重要手段之一。《数据安全法》第23条明确规定：“国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。”这充分表明，我国应对数据安全事件的思路已经实现从“被动应对”到“主动防控”的转型。

国家负有建立健全数据安全应急处置机制的法定职责，该机制涵盖组织架构与职责分工、分级响应与处置流程、监测预警与风险预防、技术保障与资源支撑、协同联动机制及法律与合规要求等多方面内容，以应对不同层级、不同性质、不同影响范围、不同危害程度的数据安全事件。作为数据安全应急处置的主管部门，如政务数据和数据管理局或大数据管理局，通常不仅负责数据安全事件应急预案的制定，而且负有启动预案、处置事件的义务。应急预案要实现的处置目标包括两方面：一方面在于“控”，对于已经产生的危害，如数据情报泄露、数据情报出境等，应控制在最小限度内；另一方面在于“防”，对于尚未出现数据安全事件但存有隐患的重点人员、重点岗位、重点部门、重点行业、重点领域等，应进行排查，确保数据安全无漏洞、无死角。

实践中，一些数据安全事件的发生，往往与应急处置机制责任不清、处置措施采取不及时有关。应当坚持“分级负责、多方协同”，统筹好数据安全的多个相关方，共同搭建数据安全的“防火墙”。数据安全事件的防范涉及国家及地方监管部门、企业、机构、数据平台和个人等多个主体，国家及地方监管部门应发挥好在预防和应急处置中的统筹作用，调度指挥、协调资源、加强监测，整合风险信息，及时发布风险预报；企业和机构作为数据处理者，应组建内部的应急团队，履行事件监测、处置、上报等义务，并做好技术溯源、系统修复等支撑性工作；平台应强化数据安全的日常监管措施，常态化查缺补漏，确保数据安全运行；个人应提高风险防范意识和安全意识，避免由个人数据泄露引发一连串的连锁反应。

五、数据安全人才队伍建设

维护数据安全需要建设一支优秀的人才队伍。《数据安全法》第20条规定了国家应支持教育、科研机构和企业等主体在数据开发利用和数据安全领域的人才培养，确立了数据安全领域国家、科研教育机构和企业等多方主体共同参与的人才培养格局。

党中央、国务院始终高度重视数据安全教育和人才培养工作，围绕数据安全人才队伍建设作出一系列重要战略部署。2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》，已将安全人才培养作为重点工作来抓。2014年，中央网络安全与信息化领导小组成立，着力加强网络信息安全人才队伍建设。2023年，工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》（以下简称《指导意见》），明确提出要培养“实用型、复合型数据安全专业技术技能人才”。

相比于其他主体，高校在数据安全人才培养工作中可以发挥更突出的作用。据《2024年网络安全产业人才发展报告》显示，截至2024 年6月，全国已有626所高校开设网络空间安全相关专业，课程设置涵盖密码学、数据隐私保护、网络攻防等领域。同时，高校还具有跨学科融合的独特优势，如清华大学法学院开设的“计算法学”硕士项目、中国人民大学开设的“数据法学”硕士项目，能够培养既懂技术又熟悉数据合规的人才。

数据安全人才培养，也需要相关产业的积极参与。《指导意见》指出，到2025年，我国数据安全产业基础能力和综合实力明显增强，数据安全产业规模将超过1500亿元；到2035年，我国数据安全产业进入繁荣成熟期。数据安全人才的培养，归根结底是为了满足数据安全产业蓬勃发展的需求。数据安全企业可以为人才培养提供真实的工作场景，专业培训机构可以弥补高校实训环境偏弱、人才培养针对性不强的缺陷。

总之，保障数据安全、防范数据风险是围绕《数据安全法》各项要求而展开的系统工程。这一工程既离不开对数据进行分类分级保护，确保数据交易安全；也离不开数据安全事件应急处置机制和预案的建立及完善，强化数据风险的监测、预警和实时处置。培养和建设一支政治素质硬、业务水平高的数据安全人才队伍则至关重要。

（作者系清华大学法学院长聘副教授、博士生导师屠凯，本文刊载于《法治时代》杂志2025年第4期）

（责任编辑：王凯伦）