文 | 上海政法学院教授 张继红;北京理工大学法学院 刘昊
2015年12月16日,习近平总书记在第二届世界互联网大会开幕式上首次提出“构建网络空间命运共同体”的重要理念。这一重要理念立足时代潮头、顺应世界大势,敏锐把握世界百年未有之大变局与信息革命时代潮流发生的历史性交汇,从关乎人类前途命运的高度审视互联网发展治理问题,为推动全球网络空间安全稳定和繁荣发展提供了思想指引和行动指南。近年来,在数字基础设施的持续迭代背景下,数据已由单纯的“信息载体”跃升为具有战略价值的“新型生产要素”。这一属性的转变不仅源于数据体量的持续增长与结构复杂性的提升,更关键的驱动力在于人工智能特别是大模型技术路径的确立,使数据本身成为训练智能、生成知识的核心资源,进而在经济发展与国家竞争中获得前所未有的战略地位,对我国数据治理制度提出了一系列挑战。
一、数据定位变化引发的现实挑战
数据资源化与资产化的递进过程以及数据与信息之间关系的演变重构,不仅为数据要素价值的挖掘带来了新议题,更深刻影响了传统权属体系和收益分配制度。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等基础性法律虽已确立数据法治的部分制度框架,但交易公示机制、收益分配制度、责任分担规则等领域尚处于探索状态,并未形成系统性规范。
(一)国内数据治理创新的适应性不足
一方面,数据要素和数据产权之间存在“断层”。2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)发布,确立了数据资源持有权、数据加工使用权、数据产品经营权的“三权”分置制度,通过赋权模式为数据财产权益保护提供了治理路径,但也引发了一系列实践问题。“三权”分置以数据处理的不同阶段来实现权益保障,旨在同一数据客体上实现不同权能。但数据具有非排他性,不同阶段形态叠加且存在难以清晰界定的模糊地带,加大了司法机关在权利冲突处理、侵权责任归责中找到明确依据的难度。同时,“数据二十条”属于政策性文件而非法律规范,数据权利的实施应以法律层面的界定为前提。传统民事法律体系强调权利客体的唯一性与排他性,《中华人民共和国民法典》也以有体物和特定无体财产权为权利对象,要求权属清晰、边界确定。而数据的可复制性、可流动性和多重利用性等特点,同一数据能够同时具有公共管理、商业利用与人格利益承载等多重价值属性,使得规则落实和制度衔接成为难题。例如,现行数据流通制度对各类数据权益的确认机制仍停留在抽象层面,尚未真正形成类似传统物权体系中通过登记公示、公信证明等形式赋予权利的对世效力。企业常面临谁享有何种权利、权利范围如何界定的现实窘境,在数据交易场景中也难以根据既有法律逻辑判断权利移转是否有效,如何划分侵权责任,甚至无法准确厘清经济利益归属。在数据跨区域流转过程中,权属凭证因记载事项存在地区性差异也无法实现互认。与此同时,数据的虚拟性、非均质性和强时效性共同造就了数据交易面临的“阿罗信息悖论”,多源复用性与合规风险累积效应导致市场主体普遍更倾向于简化中间流程,通过私下谈判、模糊授权等方式达成交易,以避免权属披露、合规审查、履约监督等带来的成本与不确定性。场外交易发挥了主要资源配置功能,而以数据交易所为代表的数据交易机构难以发挥激励创新与规范秩序的平台作用,真实的市场吸引力严重不足。
另一方面,现行制度实践未能充分把握发展和安全的辩证统一关系。在我国数据治理法治化进程中,制度设计始终坚持“统筹发展和安全”,并明确将数据安全作为底线要求,这一导向在《中华人民共和国数据安全法》中有明确体现。然而,在制度具体执行过程中,部分地方对发展和安全之间的平衡关系把握失当:有的地方以数据安全为由设置严苛的监管条件,忽视了企业的正常业务发展需求,直接导致合规成本攀升,抑制了市场主体的创新意愿与能力;有的地方则放宽监管标准和要求,以安全利益让渡为代价维持短时期的经济增长。这两种倾向都偏离了“统筹发展和安全”的初衷,无法为我国数字经济高质量发展提供稳定的制度环境,也难以构建长效的数据安全保障机制。鉴于此,2024年3月22日,国家网信办发布《促进和规范数据跨境流动规定》(以下简称《规定》)进行了监管方向的调整,不仅明确了数据出境的豁免情形,还首创自贸试验区数据出境负面清单制度,赋予自贸试验区在数据跨境领域更大范围的制度探索自主权和实践灵活度。《规定》出台后,天津、北京、上海、海南、浙江、广西、江苏、重庆等地自贸区迅速响应,结合自身产业特色,开展数据出境负面清单制度的实践探索。虽然“负面清单”很大程度上提升了企业数据出境的便利性,但各地政策执行中亦呈现出覆盖领域与执行尺度的显著差异,暴露出深层次问题。部分地区数据出境负面清单基本沿用了个人信息出境阈值设定的逻辑,总体都突破了《规定》的标准。但单纯以定量分析为基础的阈值设置标准,也可能会遗漏那些数量虽未达到规模但具有高度敏感性的个人信息数据,由此也可能触发国家安全风险。与之对应,部分地区则延续“大清单”思路,将一些常规数据纳入限制出境范围,又在一定程度上阻滞了新兴产业发展,进一步压缩了可能的国际合作空间,也与我国提出的《全球数据跨境流动合作倡议》中“携手构建高效便利安全的数据跨境流动机制”目标不符。
(二)国家治理规则之间的竞争对抗
联合国贸易和发展会议(UNCTAD)在2025年10月22日发布的《利用数字技术促进中小微企业融入区域价值链和供应链》报告指出,包容性数字化转型能够作为推动中小微企业融入区域价值链的强大驱动力,通过降低交易成本、改善市场准入,从而实现标准合规,并增强应对经济冲击的韧性。数据要素化的背后是数据创造价值的方式革新,数字化转型在赋能文化、医疗、公共管理等行业高质量发展中前景广阔。在此过程中,数据规模成倍增加。
数据主权概念的出现标志着各国对数据治理的重视程度日趋提升,通过管辖权形式阻隔他国对本国敏感数据的访问,符合国际法中国家主权概念的逻辑内核。但数据所依附的复杂场景,却为部分国家谋求霸权提供了可乘之机。这些国家将国际政治博弈中惯用的“规则武器化”“出口钳制”等手段,套用在具有“多主体关联、多属地覆盖”特性的数据领域,反而为其干涉他国内政、妨害他国主权制造了空隙与便利。霸权主义思维借助数据资源的战略属性获得新的表现形式,不仅破坏了主权平等原则,也对全球数字秩序带来了深刻冲击。在“TikTok案”中,美国政府将TikTok收集和传输美国用户数据的行为上升为国家安全议题,认为TikTok的母公司字节跳动(ByteDance)设在中国,受制于我国、相关法律规范,可能被要求向我国政府提供美国用户数据,进而以此为由对该企业的正常经营活动进行限制。类似问题导致法律冲突与产业链脱钩风险持续增大,国家之间的对抗与竞争为跨境数据流通设置多重阻碍。数据安全从全球共同议题异化为政治博弈的筹码,放大了网络安全、经济安全与供应链安全等多重不稳定因素,可能导致世界数字体系监管割裂、技术障碍加剧、制度性对抗升级。
二、数据法治困局的深层成因剖析
数据作为关键生产要素的崛起,对现行国内法治的基础逻辑产生了冲击。同时,数据的战略价值迅速提升以及国际治理理念的差异,不可避免地导致了国家之间制度性张力的产生。
(一)数据要素化重塑国内既有权利保护与风险治理逻辑
权利保护的规则逻辑发生变化。数据已成为人和数字社会互动的核心媒介,数字场域中权利的实现与利益的保障涌现出新的形态和问题,既有规则难以适配。
“数据—信息”逻辑关系颠倒。在传统数据安全治理思维中,数据的采集与使用遵循“以信息需求为中心”的逻辑,数据收集行为多围绕特定目标展开,其来源、流向与用途具有相对的封闭性和可控性,信息安全风险因此具有较高的可预测性。随着大数据与智能分析能力的跨越式提升,这一逻辑关系发生了根本性的反转——数据不再只是为某条信息服务的手段,而成为独立的资产与要素资源。以数据价值为导向的采集模式逐步取代了以信息需求为导向的模式,数据被视为潜在的生产资本而被大规模、泛在化地收集。这种逻辑颠倒导致数据收集从“主动选择”走向“被动卷入”,从“特定用途”扩展为“全景记录”。无论是智能终端的后台运行、物联网设备的自动反馈,还是算法对用户行为的持续追踪,均可能在不为使用者所感知的情境下完成数据提取与再利用。其结果是,数据边界的模糊化与信息流通的非目的化显著增加了关键信息泄露与去标识化信息再识别等风险。换言之,当数据被视为可无限复用的资产时,仅聚焦信息安全单一维度的传统数据安全逻辑的有效性被显著削弱,与之配套的安全防护措施与权益保障机制随之失去能够发挥作用的明确边界。
数据资源化开拓了传统数据活动的应用渠道。数据资源化在为数据要素创造无限可能的同时,对传统交易习惯产生冲击。数据资源化是数据利用的开始,将非结构化的原始数据整合成为机器可读、算法可用的结构化数据,进而更好地为数字技术或服务所用,发挥数据的资源价值。而算法基础功能与普适需求基本趋同,能够训练诸如知识传递、思想表达、内容创作等功能的数据资源可以跨领域、跨行业自由流动。在繁荣数字产业的同时,这种资源化特性亦衍生出诸如文化遗产数据被恶意用于伪造文物、语音和面部识别数据被滥用等违法活动的可能风险。
数据资产化冲击并挑战既有权利保障体系。数据资产化进程正推动财产权利体系从定义内核到实现路径进行系统性重构。在传统经济模式下,财产多以物质形态或权利凭证为载体,权属界定清晰明确,收益关系稳定可预期。而进入数据资产化场景后,数据作为“非物质性资源”被纳入资本运作逻辑,传统的产权结构由此被打破并重塑。数据的形成与流转依赖多主体协同参与,其归属与收益因难以通过传统产权规则实现精准界定和公平分配而陷入混沌状态,相关法律制度的完善仍需在实践中持续调适优化。
数字技术敏捷部署具有“双刃剑”效应。数字技术迭代速度远超传统制度的变迁周期,企业在市场竞争驱动下普遍采取“快速上线、快速试错、持续迭代”敏捷部署策略。在数据要素成为核心生产资料的背景下,敏捷部署为企业带来显著的市场先发优势,通过即时采集用户行为数据、加速算法反馈与产品优化,企业得以在商业生态中建立路径依赖与数据壁垒,最终实现快速扩张。同时,新兴业务模式的迅速实施显著推动了数字经济业态更新,为产业结构转型注入活力。然而,敏捷部署所依赖的“先行实践—后置规范”逻辑天然与数据治理体系存在冲突。企业快速扩张往往基于超范围数据收集、算法黑箱化处理与数据跨境不透明流动,极易侵蚀个人信息与数据安全底线。其中,敏捷架构中的第三方SDK、API接口以及供应链协同模式增加了数据流动链条的复杂性,不仅大幅提升了数据归属、责任划分与风险识别难度,也显著削弱了监管的穿透性和可视性。企业生存逻辑与数据监管逻辑存在“增长、效率与盈利—安全、秩序与公共利益”之间的矛盾,极易导致监管失灵的情况出现,从而极化数据权力失衡、算法歧视扩散与平台垄断固化等结构性风险。
数据安全风险愈发复杂。数字化转型对社会产生了深远影响,将数字生态融入传统社会并内化的过程,全面推动了人类生产与生活理念的革新。然而,随之而来的数据安全风险的系统性特征也变得愈发明显。各领域数字化转型的全面推进,既增加了社会对数据的依赖度,也扩大了数据的攻击面和潜在风险。特别是在云计算、物联网、大数据等技术广泛应用的背景下,数据泄露、滥用以及遭受攻击的风险概率持续上升,风险因素的数量和复杂性不断累积,而有限的数据安全防御资源难以实现全面且等效的严格覆盖,进一步加剧了风险受体的脆弱性。在深度层面,数据安全风险诱因之间的联动性显著增强。数据的迭代与循环处理是数字技术优化的常态。在既有安全隐患未得到及时清除的情况下,数据的每次更新、分析与再利用,结合算法模型的持续学习、数据集的不断扩充以及数据的多次交互应用,将会导致不同数据源的潜在威胁相互交织,风险的叠加和联动效应随之放大,原本孤立的风险点可能在多个系统、平台间交叉传播,最终形成系统性威胁。从主体性逻辑来看,数字交互的过度渗透降低了风险受体的敏感性。数据的复用性与广泛应用使得数据应用场景日益丰富,原本局限于单一领域的数据如今在多个领域反复使用,致使数据持有者、提供者和使用者对数据安全风险的敏感度逐渐弱化。
(二)数据战略属性引发的国家间制度性对抗
数据跨境扩张了主权行使边界。数据主权是国家主权在数据管理事项上的自然延伸。自《威斯特伐利亚和约》确立国家主权原则以来,国家主权作为国际关系的基本准则,在国家治理中发挥了核心作用。而所谓数据主权,则是指国家对其政权管辖地域内的数据享有生成、传播、管理、控制、利用和保护的权力,涵盖数据管理权和数据控制权两个方面。其主要表现为各国有权根据自身的国情、文化传统以及发展阶段自主制定数据治理规则。主权事项不仅局限于国内网络空间的管理和监管,还拓展至数据事项的控制。在全球数字化背景下,作为国家主权的延伸要求,各国都有保护自身数据资源、防止外部力量干预和侵害的权力。
然而,个别国家将政治偏执转化为数据封锁政策,推动数据规则“武器化”,以歧视性手段阻碍本国数据出境、干预企业正常经营,这与全球数据自由流动趋势形成了尖锐冲突。例如,通过数据立法赋予本国执法机构域外取证权,扩展司法管辖范围,形成典型的“长臂管辖”;利用差异化标准,对其他国家的数据保护体系进行层级化评估,借机推行自身价值体系的全球化。这些行为都偏离了“为全人类构建包容、开放、可持续、公平、安全与可信的数字未来”的国际治理共识。
国际社会实现“数字良性发展”的美好愿景受阻。自《联合国宪章》通过以来,国际社会就一直致力于通过多边合作维护全球的和平与安全。第二次世界大战以后,联合国的建立为国际合作搭建了平台,世界各国在此框架下深化合作与交流,逐步建立起保障和平与安全的国际法律制度,自由、安全和发展成为网络空间国际治理的核心原则。联合国毒品和犯罪问题办公室于1997年正式成立,于多个国家间建立跨境合作网络并提供可靠的数据与专业分析,致力于让世界更加安全,免受毒品、犯罪、恐怖主义和腐败的侵害。此后,网络空间安全的国际合作逐步加强,各国依托联合国框架开展协商合作,推动制定了包括《全球数字契约》《联合国打击网络犯罪公约》等一系列法律条约和文件的制定,使安全、可靠、有韧性的网络治理要求成为国际社会的普遍共识。但个别国家为了强化自身竞争优势、提升数字主权控制力,在单边主义思想的影响下将数据安全这一全球共同议题异化为地缘政治博弈筹码,采取远超常规监管范畴的政策手段,将数据定位为战略资源与博弈工具,严重冲击了全球数字秩序的和谐与稳定。
国际数据开放程度存在巨大差异。国际数据开放程度差异显著,主要体现为以欧盟、美国与印度分别代表的三种不同的规制路径。基于对第二次世界大战历史记忆的深刻反思以及对基本权利传统的坚守,欧盟将个人数据保护定位为一项独立的基本人权。从《关于个人数据自动化处理中的个人保护公约》《个人数据保护指令》到《通用数据保护条例》(GDPR),欧盟始终以高标准约束数据跨境流动,仅允许数据传输至能够提供“充分性保障”的国家或地区,体现“权利先行”的原则。与之形成鲜明对比的是,美国基于数字贸易优势推行“市场本位”发展策略,通过双边或多边协议纳入“跨境数据自由流动”“禁止数据本地化”条款,并以亚太经济合作组织(APEC)隐私框架的最低保护标准,抵御欧盟规则的外部影响。印度在经历了一段严格的数据本地化政策后转向经济赋能,并在《2023年数字个人数据保护法案》中放宽数据管理限制,体现了发展中国家在安全和发展之间的再平衡。整体来看,数据开放的分歧主要源于制度目标与价值基础的差异。个人权利和市场效率成为规则扩散与制度竞争的主要分歧点,而处于不同发展阶段与利益诉求的主体,需要在数据主权与经济赋能之间寻求动态平衡。
三、构建网络空间命运共同体理念对数据治理法治化的具体指导
近年来,人类命运共同体理念在实践中不断丰富和发展,在国际社会中反响热烈。我国陆续提出全球发展倡议、全球安全倡议、全球文明倡议和全球治理倡议,作为信息时代的必然选择,构建网络空间命运共同体的价值目标在于,坚持共商共建共享的全球治理观,推动构建多边、民主、透明的国际互联网治理体系,努力实现网络空间创新发展、安全有序、平等尊重、开放共享的目标,做到发展共同推进、安全共同维护、治理共同参与、成果共同分享,把网络空间建设成为造福全人类的发展共同体、安全共同体、责任共同体、利益共同体。
(一)推动构建更加公正合理的数据流动治理体系
长期以来,国际网络治理格局呈现“权力集中、规则偏向、资源不均”的特点,部分国家通过技术标准和话语权主导形成了“单边治理”结构,导致全球数据流动规则受到少数国家政策的制约。我国提出构建网络空间命运共同体,提倡坚持多边参与、多方参与,强调各国在数字规则制定中的平等地位,主张通过国际协商形成兼顾安全和发展的全球数据流通规则,进而实现互联网共享共治的共同愿景。在数据跨域流动领域,通过区域协同机制建立信任基础与制度框架,逐步消除地方间的数据壁垒,实现数据资源跨区域、跨部门、跨行业的有序流动。以国家层面统筹的数据分类分级、权责审查制度为基础,推动京津冀、长三角、大湾区等重点区域率先开展数据全流程协同监管和合规互认试点,通过数据交易规则统一、标准体系对接以及加强监管协同,强化政府间与市场主体间的信任,进而形成可复制、可推广的“区域模板”,为更大范围的数据要素流通提供经验支撑。强化国家级数据基础设施建设,通过公共数据开放平台、数据流通认证机制、加密计算与隐私增强技术应用等工具为安全开放提供技术保障,以规则与技术双轮驱动实现数据可控共享。
国际层面,坚持分层推进、循序渐进的策略,通过多边平台与双边机制相结合的方式推动数据治理合作。以既有合作网络为基础,优先与制度理念相近、互信基础较好的国家和地区建立“小范围、深耕式”的数据互认与流通机制,在“一带一路”框架内推动数据跨境流动认证标准、个人信息保护机制的对接与互信,实现从区域性经验走向国际通行规则的渐进式转化。积极参与全球数字贸易规则重塑,在联合国、二十国集团(G20)、金砖国家、世界贸易组织(WTO)等平台发声,主张建立多边透明、权责对称、公平普惠的跨境数据治理体系,反对借国家安全之名行数字霸权之实,推动形成兼顾隐私保护、产业发展与国家安全的国际制度平衡格局。
(二)实践共同、综合、合作、可持续的数据安全观
在全球数字秩序重塑的浪潮中,我国应继续坚持贯彻数据“绿色原则”与“统筹发展和安全原则”,确保数据利用与生态环境和资源承载能力相匹配,实现数字发展与自然和谐共生。在机制构建上,以数据分类分级制度为基础,根据重点场景细分不同类型数据的流通边界与合规标准。坚持数据治理以人民至上、人类共享为核心,让安全理念回归促进人类福祉这一根本出发点。数字技术与数据资源并非单纯的商业工具或权力筹码,而应服务于人的全面发展,在尊重文化多样性与社会整体利益的基础上推进创新。数据安全的核心目标不仅是防范风险、维护国家主权和独立,更在于避免数字化进程滑向资本垄断、算法控制和少数主体对多数主体的信息不对称统治,以发展促安全,确保数据价值转化真正体现“技术向善、发展惠民”的伦理要求。在数据权利保护上,保障公民在数字空间的权利与尊严,通过制度化手段确保个人数据权利的可确认、可救济与可实现,使每个个体都能够成为数字时代真正的权利主体。
国际层面,我国需继续坚持安全共治与普惠共享理念,践行《全球数字契约》,展现大国担当。以制度化、法治化形式,明确反对数据安全议题政治化、意识形态化和阵营化,坚决抵制利用数据优势实施技术封锁、数字霸权和数据殖民主义的行为。推动各国共同抵制侵犯数据安全的活动,包括破坏关键信息基础设施、未经授权窃取数据、滥用大规模监控等不法行为,共同维护数字生态的稳定与信任。秉持造福全人类的理念,倡导在数字化进程中坚持平等和互利共赢,推动制定统一、透明的跨境数据流动和数据安全保护规则,确保各国在法律适用、责任分配与救济机制等方面实现对称性。与互信基础深厚的国家缔结数据安全合作协议,以条约形式降低法律不确定性。同时,推动构建全球范围的数据安全评估、合规认证和争端解决机制,以法治保障数据合作的稳定性和可预期性,推动国际数据治理迈向合作共治、制度共赢的新阶段,共创普惠包容的美好数字未来。
四、结 语
数据法治要以尊重主权治理为前提,以共筑和平为方向,以增进全人类共同福祉为价值导向,通过坚持多边共建、平等对话,为全球数据治理贡献中国智慧。坚持以实践成果为“硬道理”,通过提升高水平治理效能强化中国国际话语势能、扩大国际影响力。同时,积极关注并回应发展中国家的合理诉求,凝聚广泛国际共识,引导更多国家积极参与构建人类命运共同体的伟大事业。【本文系国家社科基金项目“数据交易领域公共法律服务现代化体系研究”(项目编号:23BFX046)的阶段性研究成果】
(本文刊登于《中国信息安全》杂志2025年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
