加快健全地理信息数据安全治理体系

加快健全地理信息数据安全治理体系

自然资源部测绘发展研究中心主任 王瑞幺

数据安全是国家安全体系的重要组成部分。习近平总书记强调，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通利用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“把安全贯穿数据治理全过程，构建政府、企业、社会多方协同的治理模式……形成有效市场和有为政府相结合的数据要素治理格局”。2025年1月，国家发展改革委、国家数据局等部门联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，明确到2027年底基本构建规则明晰、产业繁荣、多方协同的数据流通安全治理体系。

地理信息数据作为基础性、战略性数据资源和新型生产要素，不仅是数字中国建设的时空基底和数字经济发展的重要引擎，更关系到国家主权、安全和利益，在维护政治、经济、军事、科技和其他非传统领域国家安全中发挥着重要作用。随着人工智能、大数据等新技术快速发展，智能网联汽车、低空经济等新业态如火如荼，地理信息数据以前所未有的深度和广度加速赋能各行各业，同时也面临着安全威胁加剧、风险挑战增多的态势。地理信息数据的双重属性决定了在服务发展和保障安全上必须实现有机统一。2023年8月，自然资源部印发《关于加快测绘地理信息事业转型升级 更好支撑高质量发展的意见》，将“充分发挥测绘地理信息数据要素保障作用”作为未来一段时期测绘地理信息事业转型升级的主攻方向，并提出“拓展测绘地理信息赋能应用”“构建测绘地理信息新安全格局”等重点任务。构建地理信息数据安全治理体系，在防范数据流通风险的前提下深化地理信息数据开发利用，既是守好安全底线的题中之义，也是释放数据价值的必然要求。

地理信息数据安全治理的内涵与目标

地理信息数据安全治理，顾名思义，可从“地理信息数据安全”与“治理”两部分来理解，其中前者是目标，后者是手段。公共治理视角下，地理信息数据安全治理是指以地理信息数据保护及其价值实现为目的，政府、企业、行业协会等多元主体共同参与和实施的一系列协同活动的集合。这些协同活动包括制定政策法规、建设与实施标准体系、研发并应用关键技术、培养专业人才等。

在现有的法律法规和政策文件表述中，“地理信息数据安全”通常与“管理”或“监督管理”搭配。“治理”与“管理”仅一字之差，却蕴含了两种不同的理念。两者的差异体现在：一是主体不同，安全管理的主体是单一的，即各级主管部门，而治理的主体是多元化，不仅包括主管部门，还包括企业、社会组织乃至个人；二是权力来源不同，“管”来自于赋权，例如《测绘法》第四十六条赋予行政机关的公权力，是自上而下的一种行为，而“治”则以法律、规则、标准、契约等为依据，强调行为上的权责对等；三是运作方式不同，安全管理的运作模式是单向、强制和刚性的，而安全治理应是融合、合作和包容的。

根据《数据安全法》中对于“数据安全”的定义，“数据的有效保护和合法利用”是数据安全治理的目标所在。面对当前经济社会发展日益增长的地理信息数据要素需求与现行管理制度下的数据供给严重不足之间的矛盾，地理信息数据安全治理的主要目标可概括为“供得出”“流得动”“控得住”。

要让地理信息数据充分释放潜力和价值，“供得出”是前提。聚焦破除制约地理信息数据供给的体制性障碍、机制性梗阻，在保障数据安全的前提下，尽可能扩大公共数据和企业数据的高质量供给，形成规模大、种类多样、现势性强、渠道丰富和服务便捷的地理信息数据供给体系，满足各行各业需求。

要让地理信息数据作为要素“活”起来，“流得动”是关键。从地理信息数据流通角度，构建一系列安全规则和标准，以及支撑地理信息数据流通安全的基础设施，促进地理信息数据跨部门、跨层级、跨区域、跨主体的高效可信流通利用。

要让地理信息数据“供得出”“流得动”，“控得住”是基础。必须强化数据全生命周期安全，创新数据安全防控技术应用，健全数据安全监管机制，把好数据的“入口关”和“出口关”，实现数据流通过程中的可控、可信、可追溯，筑牢地理信息数据安全流通的“防火墙”。

地理信息数据安全治理面临的形势

从国际看，世界百年未有之大变局加速演进，科技革命与大国博弈相互交织。数据治理能力是构建国家竞争新优势的直接体现，数据掌握多寡和利用水平高低成为衡量国家软实力和竞争力的重要标准，各国竞相强化数据资源管控，在数据安全领域展开战略博弈。地理信息数据所蕴含的战略价值和经济价值愈发受到世界主要国家的高度关注，不仅在俄乌冲突、巴以冲突等现代军事冲突中发挥了关键作用，在“热战”之外的情报战、科技战中，其重要性更是与日俱增。

主要国家和地区基于各自战略需求，形成了差异化的地理信息数据安全治理理念。尤其在国际数据主权博弈背景下，各国纷纷从国家安全、个人隐私等出发，重点聚焦数据跨境流动和外商投资等方面，通过不断完善政策体系、强化数据监管和技术保障来确保地理信息数据安全。例如，美国以构建“技术霸权”为核心，通过技术优势推动规则输出，谋求全球数据治理主导权。在地理信息数据安全治理方面，通过限制数据跨境流动、实施技术出口管制、外商投资审查等手段强化对重点国家的遏制。欧盟秉承“个人数据权是基本人权”理念，通过建立统一的数据立法框架实现其“数字主权”和“技术主权”的治理目标。在地理信息数据安全治理方面，以隐私保护为切入口，实施“域内数据自由流动、域外跨境严格限制”策略，多数地理信息数据可能被纳入个人数据范畴受到严格管制。日本与韩国同属东亚文化圈，均秉承“安全与发展并重”的数据安全治理理念，在地理信息数据安全治理方面，均较为审慎和严格，设立了专门的测绘地理信息主管部门，通过实施测绘市场准入、测绘成果汇交等措施强化数据安全治理，同时采取较为严格的数据跨境流动措施，限制相关地理信息数据向国外输出。

从国内看，我国数据总量和应用规模迅猛增长，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。同时，美国等西方国家将数据安全作为遏制我国的核心议题，围绕数据控制与反控制斗争日趋激烈，数据安全已成为事关我国国家安全与经济社会发展的重大问题。党中央高度重视数据安全，将其纳入国家安全体系，并加快完善相关法治体系、战略体系、安全保障体系等。当前，我国已形成了以《网络安全法》《数据安全法》《个人信息保护法》为基础的法律架构，构建了数据分类分级保护、数据安全审查、出口管制、数据安全风险评估、监测预警和应急处置等制度体系，建立了以国家数据安全工作协调机制为主导，各地区、各部门协同推进的工作机制。

在测绘地理信息领域，数据安全面临形势空前复杂且严峻。一方面，境外情报机构借助卫星遥感、众包测绘、开源信息挖掘、实地调查窃取等手段，不遗余力地攫取我国重要地区和目标的地理信息数据，加紧对我国实施“陆、海、空、天、网”全方位、立体式、多维度监控。同时，美国等西方国家通过设置出口管制壁垒、限制数据跨境流动、实体名单制裁等方式，力图对我国地理信息数据和技术实施“脱钩断链”。另一方面，在人工智能、物联网等新一代信息技术的驱动下，涉及地理信息的新技术、新业态层出不穷，测绘活动门槛极大降低，企业数据安全意识和保护能力短板凸显，地理信息数据泄露、窃取和滥用等安全隐患日益突出，不仅涉及测绘地理信息软硬件、境内外互联网地理信息服务等领域的数据安全风险呈现多点散发态势，同时在智能网联汽车、涉外众源测绘等新型领域面临的数据安全威胁不断增多。尤其是随着以大模型与生成式人工智能为代表的通用人工智能技术取得突破性进展，大模型与测绘地理信息的融合应用可能导致的内容生成与传播的不可控性，进一步加剧了地理信息数据安全治理的复杂性。

我国地理信息数据安全治理现状及存在问题

当前，我国地理信息安全以测绘成果的保密管理为核心内容，已经形成了较为成熟的管理体系。在制度政策方面，形成了以《测绘法》《保守国家秘密法》等法律、《测绘成果管理条例》《地图管理条例》等行政法规为基础，以《外国的组织或者个人来华测绘管理暂行办法》《地图审核管理规定》等部门规章以及超过30余部规范性文件为补充的地理信息安全法律和政策体系，涵盖国家秘密范围和密级划定、测绘成果提供使用、测绘准入管理、地图管理、涉密环境管理、涉密人员管理、安全保密技术应用、监督检查、执法处罚、宣传教育等方面内容。在工作机制方面，建立了地理信息安全协调工作机制，初步形成了部省协同、上下联动的地理信息安全监管机制。在技术防控方面，初步建成了测绘地理信息安全防控技术体系，保密处理技术不断升级优化，促进了我国导航电子地图和互联网地图产业健康有序发展；推广应用数字水印、安全控制等技术，基本实现涉密基础测绘成果分发应用的可追溯。在监督管理方面，通过持续强化重点领域安全监管和专项整治行动，相继查处了违法持有、提供和利用涉密地形图，以及利用众包测绘、众源采集等新型涉外非法测绘活动等案件，有力有效地震慑相关违法行为，一些重大隐患和乱象得到治理和遏制。在宣传教育方面，上线了地理信息安全培训考试系统，满足了全国范围开展从业人员地理信息安全培训的需求；依托“测绘法宣传日”“国家安全教育日”积极开展宣传教育活动，有效提升公众的地理信息安全意识。

面对经济社会高质量发展对地理信息数据的旺盛需求，应对地理信息数据安全多层次、立体化的风险挑战，当前地理信息安全管理已难以满足地理信息数据要素流通安全治理的需求，主要体现在以下几个方面。

一是理念上待更新。当前地理信息安全管理仍然沿用测绘成果管理的思路，还称不上“数据安全治理”。一方面，核心内容仍然是主管部门对于测绘成果的保密管理，尚未形成多元共治的“治理”理念；另一方面，未从数据视角进行治理，未能涵盖所有地理信息数据范畴以及数据生命周期全过程。

二是立法上有滞后。一方面，缺少专门规制地理信息数据安全的行政法规或部门规章，相关规定分散在各项测绘地理信息管理规定中，法律位阶与维护国家地理信息安全工作的重要性不匹配。另一方面，法律的适用性不高，《测绘成果管理条例》以及部分规制地理信息安全的文件已出台超过10年，存在与新技术新业态脱节情形。

三是监管统筹不足。涉及地理信息安全的监管分散在测绘资质管理、涉密测绘成果管理、地图管理等工作中，存在条块分割、各自为政的局面，监管统筹融合不够，效能未能完全发挥。

四是技术能力存短板。尽管近年来数字水印、商用密码、安全控制等技术研发与应用推广取得一定成绩，但应用场景和范围存在一定局限性，应对自动驾驶、低空经济、人工智能大模型等新业态新应用，仍存在安全风险未研究透、防控手段不多、技术供给不足等问题。

地理信息数据安全治理体系框架和主要任务

地理信息数据安全治理总体框架

地理信息数据安全治理的核心理念包括：

一是国家安全优先。以总体国家安全观为指导，强调地理信息数据安全在维护国家主权、安全和发展利益中的关键作用，同时兼顾公共利益、企业、个人合法权益。

二是以数据为中心。地理信息数据安全威胁与风险存在于数据的采集、传输、存储、加工、提供、利用、销毁等全生命周期的各个环节，不同环节的特性不同。需构建以数据为中心的安全治理体系，根据具体的业务场景和各生命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。

三是分类施策。针对不同级别地理信息数据及其数据处理活动状态，统筹制定相应政策标准和实施相关技术、监管措施，实现不同级别数据的差异化、动态安全防护，推动数据合规有序高效流通。

四是多元主体协作。面对地理信息数据安全领域诸多挑战，仅依靠一方力量难以实现目标，需要主管部门、企业、行业协会及个人等多方主体承担数据安全治理主体责任，推动政府监管、企业自治、行业自律、社会监督形成合力，实现数据安全治理“一盘棋”。

地理信息数据安全治理体系的总体框架可比喻为“一幢房子”（如图所示），是以地理信息数据全生命周期安全保护为基础（基础层），以政策环境、标准规范、防控技术、基础设施、监督管理5根“柱子”为支撑（支撑层），同时需要能力建设作为房子运行使用所必需的水、电、网等的配套设施（配套层），承载政府、企业、行业协会、个人等不同主体协同治理（执行层），最终能够实现地理信息数据“供得出”“流得动”“控得住”的目标（目标层）。

其中，数据全生命周期安全保护是安全治理体系的基础。地理信息数据的流通和开发利用，涵盖了采集、传输、存储、加工、提供、利用、销毁等全生命周期各环节。根据数据流通应用场景，从政策、标准、技术、基础设施、监管等方面有针对性地采取措施防范数据安全风险，确保数据在全生命周期内各环节处于持续安全状态。

政策环境、标准规范、防控技术、基础设施、监督管理是安全治理体系的重要支撑。政策环境包括地理信息数据安全法律法规和政策、数据安全管理制度等。标准规范不仅为数据安全管理提供了统一的规范，还为各方治理主体参与数据安全治理提供了可操作性的依据。防控技术包括支撑地理信息数据全周期数据安全、促进数据合规有序流通的技术及工具。基础设施是链接数据供给方、需求方、服务方、监管方等多方主体，使地理信息数据具备持续安全状态，能够“流动”起来的关键载体。监督管理包括监管机制、监测预警体系和应急处置机制等。

地理信息数据安全治理的不同主体在5根“柱子”支撑下相互协调、统一共识，各自发挥优势，共同参与数据安全治理。主管部门可通过政策明确安全底线、压实责任，推动可信的数据基础设施建设，做好监测监管；企业可通过建立数据安全管理制度、采取相应技术措施来落实数据安全主体责任，实现业务与安全协同；行业协会可通过组织引导标准制定、促进行业自律，来营造良好市场秩序；个人可通过增强安全意识、规范自身行为、开展社会监督等，提升数据安全治理效能。

能力建设是地理信息数据安全治理体系得以持续运行的核心驱动力，通过系统性能力建设，破解当前地理信息数据安全治理面临的技术、产品和服务供给不足，人才队伍短缺，安全意识不足等困境，全方位提升地理信息数据安全治理能力。地理信息数据安全治理是一项基础性、长期性且系统性的工作，搭好治理体系这幢“房子”需要在全局上谋划、关键处落子、协同中发力。未来一段时期应重点开展的主要工作包括以下6个方面。

一是优化地理信息数据安全治理的政策环境。适时修订《测绘法》《测绘成果管理条例》等法律法规，设立地理信息安全监管专章或制定专门部门规章。结合新技术、新业态，统筹做好地理信息安全相关文件的立改废释工作。加快建立地理信息数据分类分级保护等数据安全制度，研究出台地理信息重要数据识别指南、流通交易负面清单、出境安全指引等相关政策文件。做好人工智能大模型与测绘地理信息融合应用的安全风险研判和防范应对。

二是建立健全地理信息数据安全标准体系。充分发挥标准化对于地理信息数据安全治理的规范和引导作用，加快构建涵盖地理信息数据全生命周期安全的数据安全标准体系。强化重点领域标准供给，加强低空经济、自动驾驶等新业态安全相关的标准研制，加快推动地理信息数据分类分级管理、数据安全风险评估、众源采集与更新等标准制定。

三是持续推进地理信息数据安全技术防控体系建设。面向实景三维等新产品，加快推动保密处理技术研发升级和应用。推进面向数据流通安全需求的数据加密、脱敏、监控、溯源、识别、标记等技术，研发可信数据空间配套技术解决方案。推广应用数字水印、安全控制、隐私保护计算、国产商用密码等技术，不断拓宽成熟技术的应用场景和适应性。加快互联网地理信息数据的“反爬取”“防篡改”等技术实现。加强地理信息数据检测鉴定、智能质检、智能审图、风险监测、一体化监管等相关技术工具和支撑系统的研发和应用。

四是统筹推进安全可信数据基础设施建设。加快推进行业测绘软硬件国产化替代，落实网络安全等级保护和关键信息基础设施安全保护要求，全面构筑自主可控的地理信息数据基础设施。探索开展测绘地理信息行业可信数据空间建设，打造“采汇传算流用运”等功能于一体的环境和设施，实现地理信息数据流通过程中的可信可管、互联互通、价值共创。

五是健全地理信息数据安全监管机制。按照“事前约束、事中监控、事后追溯”原则，围绕地理信息数据采集、传输、存储、加工、提供、利用、销毁等全生命周期梳理形成监管清单。以清单和信用为纽带，打通测绘资质、资格、成果、质量、信用、安全、保密等监管各环节，加快推动地理信息数据安全监管一体化。充分发挥地理信息安全协调工作机制作用，强化跨部门监管工作联动，建立跨层级、跨地域的监管数据共享机制。构建地理信息数据安全风险监测预警体系，分类开展风险监测和隐患排查，建立数据安全事件应急处置和信息通报机制。

六是加强地理信息数据安全能力建设。将数据安全意识教育摆在能力建设的突出位置，持续加大地理信息数据安全宣传教育和培训的力度和覆盖面，实现从“要我安全”“我要安全”向“我会安全”的思想跨越。鼓励产学研深度融合，着力开展地理信息数据安全关键技术攻关，加大技术产品应用推广力度，构建地理信息数据安全产品体系。引导规范开展地理信息数据安全检测、评估、认证等中介服务。加强地理信息与数据安全交叉学科人才培养，加快建设一支高素质的地理信息数据安全人才队伍。

来源：《中国测绘》2025年第4期

声明：本文来自自然资源部测绘发展研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。