文 | 中国科学技术大学公共事务学院、网络空间安全学院 吴梦婷 左晓栋
当前,数据安全已成为事关国家安全与经济社会发展的重大议题,“没有数据安全就没有国家安全”的论断深入人心。在党中央高度重视和周密部署下,我国数据安全工作已经进入了战略规划和顶层设计落地实施的关键阶段。然而,数据安全毕竟是新事物,适逢“总体国家安全观”提出十周年之际,有必要深入研究其内涵,厘清相关工作边界,进一步增强对这项工作的责任感和使命感。
一、将数据安全纳入国家安全体系是历史必然
2014年4月15日,习近平总书记在中央国家安全委员会第一次会议上创造性提出总体国家安全观,为构建国家安全制度体系提供了根本遵循。十年来,我国国家安全体系主体框架加快形成,国家安全理论体系和战略体系不断丰富,作为习近平新时代中国特色社会主义思想“国家安全篇”的总体国家安全观不断充实提升,“数据安全”也经历了一个逐步纳入其中的过程。
总体国家安全观最初提出时,涵盖政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等十一个安全。将总体国家安全分解成若干不同领域安全,有助于精准锁定安全风险与挑战的源头,有利于有的放矢和专业化地开展工作。
此后,随着国家安全形势发展,国家安全体系所涵盖的问题领域从当初的十一个,逐步扩展到包括网络安全、海外利益安全、生物安全、太空安全、极地安全、深海安全、人工智能安全、金融安全等在内的十八个。然而,当时也有人提出了一些问题,例如:人工智能安全与网络安全是什么关系?金融安全与经济安全是什么关系?总的来说,总体国家安全观也经历了一个“合并同类项”的整合过程。
2021年11月,党的十九届六中全会通过了《中共中央关于党的百年奋斗重大成就和历史经验的决议》。决议指出:“习近平同志强调保证国家安全是头等大事,提出总体国家安全观,涵盖政治、军事、国土、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、深海、极地、生物等诸多领域,要求全党增强斗争精神、提高斗争本领,落实防范化解各种风险的领导责任和工作责任。”以上共计十六个安全,表明太空、深海、极地等是新的国家安全利益之所在,但还没有包含数据安全。
2022年4月,中央宣传部、中央国安办组织编写了《总体国家安全观学习纲要》。该书在“新时代国家安全的主阵地主战场”一章中,增列了人工智能和数据安全。这是根据形势发展,对总体国家安全观作出的最新表述,表明数据安全已经成为国家安全的新疆域。
二、当前数据安全形势十分严峻,维护数据安全的责任重大
将数据安全纳入总体国家安全观,这是由国家安全斗争形势和国家发展战略所决定的。
(一)数据流动规则重塑国际新秩序
习近平总书记指出,“网络信息是跨国界流动的,信息流引领技术流、资金流、人才流。”当今时代,如果没有数据的流动,那么人的流动、物的流动和资金的流动也将无法实现。因此,数据的流动不仅仅是数据自身的问题,也不不仅仅是技术问题,而是政治经济发展的问题。众所周知,美国之所以形成今天的“一超独霸”地位,布雷顿森林体系下的“美元霸权”是关键原因。当前,美国急于在新时代谋求新的霸权,为“美元霸权”寻找替代品。近些年,美国得出结论,在信息时代,围绕数据做文章将可能实现类似“美元霸权”的对全球经济的控制地位,因为数据流动的规则是数字经济发展的关键。2021年,美国外交学会发表了一篇名为《数据即权力》的文章,将数据的竞争与当年美国获得“美元霸权”的情况相提并论:“在另一场危机之后,美国再次有机会建立支持和平、繁荣和安全的新国际规则,问题在于它现在是否会接受挑战。”这个“新国际规则”便是数据规则。美国智库提出,现在应当直面中国带来的挑战,针对数字经济时代国际贸易的特点,重新组织制定国际贸易规则新框架。
(二)数据安全成为国与国对抗斗争的前沿阵地
数据是国家的战略资源,围绕数据控制与反控制的斗争十分激烈。一直以来,西方国家围绕中国《国家情报法》第七条大作文章,诬称这是中国立法要求企业无条件配合中国情报机关提交数据。近年来,我国高科技技术产品在国外受到封杀,直接原因便在于此。2024年2月28日,美国总统拜登发布了第14117号行政令,要求多个部门协力合作阻止敏感个人数据被大规模转移至受关注国家,并通过授权司法部门制定规则或条例,保护美国敏感个人数据不被受关注国家利用。“受关注国家”中,列第一位的便是中国。这一行动表明美国和西方国家数据安全政策进一步趋严,尤其是强化了数据安全与国家安全的关系。
长期以来,美国和西方国家在数据领域对中国采取了一些措施。这些措施包括:实施“棱镜”计划的大规模监听和监控;大力发展网络战部队能力,以瘫痪我国关键信息基础设施并窃取重要数据;以及在企业的产品中设置“后门”,以便非法获取用户数据、控制或操纵用户系统和设备。
数据安全已然上升成为西方国家遏制中国的核心议题。正是由于西方国家多年持续围绕数据安全向中国发难,我国的国际舆论环境不容乐观,中国企业在海外经营面临巨大挑战。数据安全问题也上升到外交最高对话层面。目前,各国领导人在会面时,数据安全几乎成为必谈议题。为应对国际形势变化,我国提出了《全球数据安全倡议》,习近平总书记亲自向全球推介。
(三)总体国家安全观中,每一个安全都与数据直接相关
影响国家安全的因素众多,而总体国家安全观本身亦在不断发展。其中,数据安全和网络安全具有“牵一发而动全身”的深远影响。在2016年4月19日,在网络安全和信息化工作座谈会上,习近平总书记提出了“正确的网络安全观”,其中首要内容便是“网络安全是整体的而不是割裂的”,即在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切联系。现今,数据安全也呈现出这样的特点,其影响力甚至更为显著。政治、军事、经济、文化、社会、科技、生态等各领域的安全,都受到数据安全的影响。相比之下,其他安全领域尚未显现出这样的特性。例如,当前正在兴起“网络生物安全”交叉学科,其背景就是一些国家通过入侵别国的生物实验室,窃取或篡改数据,以研制生物武器或在他国引发生物灾难。这就是数据安全对生物安全产生影响的一个例证。
(四)数据安全是发展数字经济的前提和基础
经济基础决定上层建筑。数字经济作为一种新型的生产方式,涵盖了数字产业化、产业数字化、数据价值化等多维内容,其独特之处就在于,它本身就代表着一种先进生产力——新质生产力。习近平总书记指出,“要构建以数据为关键要素的数字经济。”数据要素作为创造新质生产力的关键生产资料,通过对其高效的开发与利用,可以提高资源配置效率,优化生产方式变革,推动产业生态重构,促进经济社会高质量发展。与此同时,明确的数据权属和有序的数据流动,是发挥数据作为生产要素乘数作用的必要前提,也是发展新质生产力的本质要求。可以认为,数据安全从一定程度上决定了数字经济的发展。
然而,恰恰在这一问题上,实践中还有很多问题需要突破。例如,数据权属有待进一步明确,限制和制约数据安全有序流动的体制机制障碍依然存在。人们说起数据要素流转与使用时充满期待,但很多数据交易机构却呈现出“虚假繁荣”的现象,这显然不符合数字经济发展的需求,已经到了非解决不可的时候。
三、数据安全工作中存在的两大认识误区亟需厘清
数据安全工作涉及到多个部门,也由多个具体的工作所组成,故而产生了边界的问题。一是部门之间的工作边界,特别是统筹协调部门的工作边界;二是数据安全不同具体工作之间的边界。关于这些边界,目前存在着一些误区亟待厘清。
(一)对国家数据安全工作协调机制的设计未能充分理解
我国《数据安全法》第五条规定,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。此条款明确了我国数据安全工作的最高领导机关——中央国家安全委员会,并提出了由中央国安办牵头的国家数据安全工作协调机制,这充分体现了“维护数据安全,应当坚持总体国家安全观”的指导思想。
但《数据安全法》第六条同时规定,国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。即国家网信部门也在数据安全工作中承担协调职能。因此,人们可能会产生这样的疑问:中央国家安全机关和国家网信部门在数据安全工作中的区别是什么?有很多人从字面理解,认为国家网信部门负责网络数据的安全,中央国家安全机关负责非网络数据的安全。但这种理解是完全错误的。
为了更深入地理解这个问题,我们可以从《数据安全法》与《国家安全法》的关系谈起。传统意义上,人们认为网络安全包括很多层面,例如物理安全、通信安全、边界安全、主机安全、应用安全和数据安全等,这符合由外到内的“纵深防御”思想。因此,在网络安全领域,许多人认为《网络安全法》居上,而《数据安全法》居下,因为数据安全只是网络安全众多方面中的一小部分。然而,另一种理解方式是,《国家安全法》居上,《数据安全法》居中,《网络安全法》居下。其原因是,在《国家安全法》确立的框架下,总体国家安全观的每一个领域,都有立法的必要,《数据安全法》便是如此。其目的是确立维护国家安全的有关制度,只不过这些国家安全与数据安全有关。这些数据可以以任何形态存在,无论是何种处理场景,都不影响其在国家安全中的地位。一旦这些制度确立,接下来的任务就是保护数据。我们会发现,当今绝大多数数据都是以电子形式存在的,通过网络收集、产生、存储、传输和使用,即它们是“网络数据”。因此,保护这些数据的前提是确保网络的安全,这就需要依据《网络安全法》来实施。《网络安全法》实际上位于《数据安全法》之下,因为它是实现数据安全的前提条件。
因此,中央国家安全机关和国家网信部门在数据安全方面的职责划分,并不是简单地区分非网络数据和网络数据,而是在抽象的国家安全事务与具体的数据安全保护对象之间进行区分。只有深刻理解数据安全与国家安全之间的联系,我们才能对上述问题有一个清晰的认识。
(二)对数据安全与网络安全的关系未能充分理解
数据安全与网络安全既有区别又有联系。但是,区别在哪里?联系是什么?这两者之间的关系并不明晰,常常导致在工作部署和统计口径中将它们混淆。
为了深入理解数据安全的内涵,在总体国家安全观的框架下,我们需要从以下四个方面进行考量。
一是环境安全,即数据所在的网络与系统的安全。如果网络和系统遭到侵入,则将“皮之不存毛将焉附”。因此,保护数据安全不可能仅保护主机系统上数据库的安全,而是要把网络安全和数据安全视为一个整体。在这个意义上,网络安全和数据安全是等同的,不能认为网络安全比数据安全更重要。
二是数据自身安全,主要体现在数据自身能否防范被攻击、窃取、篡改等。常见的数据安全措施包括数据脱敏、数据防泄漏等。虽然这些措施有时被视为网络安全的一部分,但它们实际上是围绕数据展开的保护,而不是直接针对网络和信息系统漏洞的入侵行为。因此,从安全防范手段的角度来看,我们应该将其与网络安全区分开来,因为其不直接涉及“网络”。
三是数据处理行为安全,即数据处理活动要符合法律法规的规定。即使一个机构对数据进行了很好的保护,确保其不会受外部威胁,但如果该机构滥采滥用数据,那仍然是一个严重的问题。
四是数据要素的安全,即数据流通过程中的安全。包括数据质量、数据来源合法性、数据授权、数据开发利用主体选择、数据流通过程追溯、数据交易双方身份认证等一系列问题。
以上四个方面相互独立,互不涵盖。做好任何一方面工作并不意味着其他方面可高枕无忧;反之,任何一个方面的疏忽都可能对实际工作产生重要影响。如果不加以区分,将会导致工作边界模糊,甚至可能引发部门间的分歧。
四、落实《数据安全法》,深入推进数据安全重大制度落地实施
《数据安全法》专门设立了“数据安全制度”一节,目前相关工作已经取得了一定的进展,但仍需抓紧制定相关细则,以确保制度取得实效。
一是数据分类分级制度。这一制度的核心在于重要数据的识别和保护。2024年3月15日,国家标准委员会批准发布了国家标准《数据安全技术 数据分类分级规则》(GB/T 43697-2024)。该标准整合了原《重要数据识别指南》的国标内容,并将重要数据识别标准放到了附录G中。这标志着重要数据识别的国家标准正式诞生。下一步,各地区、各部门需要根据国家标准和相关规定,制定适用于本地区、本行业、本系统的重要数据识别规范。此外正在制定中的,第二部重要数据国标《重要数据处理安全要求》将与中国电子技术标准化研究院承担的《数据分类分级保护要求》合并,合并后的标准《数据安全保护要求》即将公开征求意见。
二是数据安全审查制度。为了落实这一制度,中央网信办等十三个部委印发了修订后的《网络安全审查办法》,并于2022年2月15日开始施行。该办法将网络平台运营者开展数据处理活动纳入审查范围,防范核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。审查制度还明确要求对赴国外上市的活动进行审查,以防范上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。然而,我们需要明确的是,网络安全审查制度并不等同于数据安全审查制度,前者只是后者在网络数据领域的实施,而更完备的数据安全审查制度仍待建立。
三是数据跨境流动安全管理制度。自2017年《网络安全法》颁布至2022年9月1日《数据出境安全评估办法》的正式实施,我国已形成了以“数据出境安全评估”“个人信息保护认证”和“个人信息出境标准合同”三大数据出境事前监管机制为核心的数据跨境流动管理体系。2024年3月22日,国家网信办发布了《促进和规范数据跨境流动规定》,进一步明确了现有数据出境制度的实施细节,放宽了数据跨境流动的条件,缩小了数据出境的安全评估范围。在保障国家数据安全的前提下,这便利了数据的跨境流动。然而,当前有两项工作需要尽快落实,首先,各部门要及时明确分管领域的重要数据处理者,并督促其向网信部门提交出境评估申请。其次,各自贸区要抓紧制定本地区的数据出境负面清单,以更加开放的姿态促进数据的安全便利流动。
四是出口管制制度。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。这项制度实施的关键是在广义上理解“数据”。不仅某些数据本身是出口管制物项,描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等数据也应纳入出口管制。
五是对等反制制度。我国法律规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。目前,美国和西方国家多次以数据安全为由,全方位对我围追堵截,遏制我高技术发展,需要适时对这一制度“亮剑”。
六是跨境数据司法调取审批制度。美国《澄清境外合法使用数据法案》规定,在美国政府执法、司法机构提出要求时,任何美国企业在他国收集存储的数据都要交给美国政府。这种“长臂管辖”是对他国司法主权的严重侵犯。为维护国家安全利益,我国《数据安全法》规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。当前需要明确的三类事项包括:首先,“主管机关”是谁?其次,批准程序是什么?另外,是否所有涉及外国司法或者执法机构的数据跨境事项均属于上述条款规范范围?例如赴境外打官司的情况。
五、结 语
我国数据安全工作取得的成绩有目共睹,但仍存在大量的急迫问题没有解决,特别是在数据要素流通的安全保障方面,且其中有很多是理论层面的问题。人工智能时代的来临则进一步加重了数据安全问题的复杂性。在当前的国际国内形势下,数据安全工作只能加强,不能削弱。
鉴于数据安全对国家安全的特殊意义,有必要深入探索“党管数据”体制机制,保障党长期执政和国家长治久安。数据不但是国家战略资源,同时也是执政资源。资源被谁掌握至关重要。习近平总书记指出,必须旗帜鲜明、毫不动摇坚持党管互联网,加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。这一指示为数据安全工作提供了根本遵循,“党管数据”应当成为数据开发利用和数据安全工作中一条根本的政治原则。当然,管什么、怎么管,一系列涉及“党管数据”内涵和外延的理论问题还需深入研究。
(本文刊登于《中国信息安全》杂志2024年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
