一、從靜態(tài)防御到動態(tài)安全：數(shù)據(jù)安全保護(hù)的理念變革

傳統(tǒng)的信息安全理論重點關(guān)注數(shù)據(jù)的保密性、完整性和可用性，在此語境下的“數(shù)據(jù)安全”主要是指數(shù)據(jù)與主體關(guān)系的穩(wěn)定性，包括主體對數(shù)據(jù)控制狀態(tài)、占有狀態(tài)、利用狀態(tài)的穩(wěn)定以及數(shù)據(jù)不被其他主體竊取、篡改、使用、破壞狀態(tài)的穩(wěn)定。隨著信息化和信息技術(shù)的進(jìn)一步發(fā)展，數(shù)據(jù)流動、利用逐漸多元化，但數(shù)據(jù)的侵權(quán)和濫用漸成常態(tài)。數(shù)據(jù)從靜態(tài)安全到動態(tài)流動、利用的轉(zhuǎn)變，使得數(shù)據(jù)安全從“保障數(shù)據(jù)與主體關(guān)系的穩(wěn)定性”擴張至“防范數(shù)據(jù)處理行為對現(xiàn)實安全秩序的破壞”，這包括現(xiàn)實的人身安全、財產(chǎn)安全、公共安全乃至國家安全。

從我國《網(wǎng)絡(luò)安全法》第21條“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”到《數(shù)據(jù)安全法》第3條將“合法利用”納入“數(shù)據(jù)安全”范疇再到《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第8條對利用網(wǎng)絡(luò)數(shù)據(jù)從事非法活動的明確禁止。數(shù)據(jù)安全保護(hù)的對象逐漸擴展并愈加明晰，即數(shù)據(jù)相關(guān)主體的安全利益。

二、《網(wǎng)數(shù)條例》對數(shù)據(jù)要素發(fā)展的制度回應(yīng)

《數(shù)據(jù)安全法》定義了數(shù)據(jù)安全有效保護(hù)和合法利用的兩種狀態(tài)，但并未建立數(shù)據(jù)流轉(zhuǎn)安全的具體規(guī)則?！秱€人信息保護(hù)法》針對個人信息對外提供、委托、共同處理確立了一定要求，例如應(yīng)當(dāng)開展個人信息保護(hù)影響評估。對外提供個人信息的，應(yīng)當(dāng)履行告知義務(wù)并取得單獨同意。委托處理個人信息的，應(yīng)當(dāng)與受托人約定各自權(quán)利義務(wù)并進(jìn)行監(jiān)督等。

《網(wǎng)數(shù)條例》緊抓數(shù)據(jù)流動和利用安全這一數(shù)據(jù)要素時代的數(shù)據(jù)安全核心問題，關(guān)注點從“數(shù)據(jù)安全”到“數(shù)據(jù)合法有效利用”，在《數(shù)據(jù)安全法》《個人信息保護(hù)法》基礎(chǔ)上做了諸多規(guī)則補充：

一是要求提供、委托處理個人信息和重要數(shù)據(jù)的，應(yīng)當(dāng)通過合同等明確安全保護(hù)義務(wù)、監(jiān)督義務(wù)履行情況、記錄處理情況并至少保存3年。值得注意的是，《個人信息保護(hù)法》僅要求“委托”處理個人信息的需要約定權(quán)利義務(wù)并監(jiān)督，《網(wǎng)數(shù)條例》則擴展至“提供”個人信息的場景。

二是要求重要數(shù)據(jù)的處理者提供、委托處理、共同處理重要數(shù)據(jù)前，除為履行法定職責(zé)或者法定義務(wù)外，應(yīng)當(dāng)進(jìn)行風(fēng)險評估。

三是明確了針對自動化采集豁免知情同意規(guī)則?！毒W(wǎng)數(shù)條例》第二十四條吸收《個人信息保護(hù)法》第十三條、第十八條規(guī)定，利用行政法規(guī)層級，實現(xiàn)對自動化采集知情同意規(guī)則的豁免。

（二）關(guān)注產(chǎn)業(yè)鏈供應(yīng)鏈安全

《網(wǎng)數(shù)條例》對網(wǎng)絡(luò)數(shù)據(jù)安全的關(guān)注不再是節(jié)點安全而是整個產(chǎn)業(yè)鏈供應(yīng)鏈的安全，不僅明確提出“供應(yīng)鏈網(wǎng)絡(luò)數(shù)據(jù)安全”概念，也構(gòu)建了較為全面的供應(yīng)鏈安全體系：

一是《網(wǎng)數(shù)條例》不僅關(guān)注國家機關(guān)網(wǎng)絡(luò)數(shù)據(jù)安全，還首次針對為“關(guān)鍵信息基礎(chǔ)設(shè)施運營者、參與其他公共基礎(chǔ)設(shè)施、公共服務(wù)系統(tǒng)建設(shè)、運行、維護(hù)的”供應(yīng)商，提出其與“國家機關(guān)”相關(guān)服務(wù)供應(yīng)商同等安全保護(hù)要求。

二是不僅關(guān)注供應(yīng)鏈上的服務(wù)安全還關(guān)注信息系統(tǒng)安全，要求為國家機關(guān)提供服務(wù)的信息系統(tǒng)參照電子政務(wù)系統(tǒng)的管理要求。

三是對于處理重要數(shù)據(jù)的大型網(wǎng)絡(luò)平臺服務(wù)提供者，《網(wǎng)數(shù)條例》首次明確要求前者應(yīng)當(dāng)充分說明關(guān)鍵業(yè)務(wù)和供應(yīng)鏈網(wǎng)絡(luò)數(shù)據(jù)安全等情況。

數(shù)據(jù)跨境安全是數(shù)據(jù)流通安全的重要內(nèi)容之一。黨的二十屆三中全會《決定》再次強調(diào)，“要提升數(shù)據(jù)安全治理監(jiān)管能力，建立高效便利安全的數(shù)據(jù)跨境流動機制”。近年來，我國數(shù)據(jù)出境規(guī)則在監(jiān)管與產(chǎn)業(yè)的互動、磨合中迅速調(diào)試?！毒W(wǎng)數(shù)條例》在總結(jié)《數(shù)據(jù)出境安全評估辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等部門規(guī)章制定、實施經(jīng)驗基礎(chǔ)上，進(jìn)一步優(yōu)化了數(shù)據(jù)跨境流動機制，尤其是吸納了《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》諸多規(guī)則：

一是明確國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立國家數(shù)據(jù)出境安全管理專項工作機制。

二是擴展個人信息可自由出境的情形?！毒W(wǎng)數(shù)條例》吸納《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》豁免規(guī)定，在《個人信息保護(hù)法》的基礎(chǔ)上新增“明確為訂立、履行個人作為一方當(dāng)事人的合同”、“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理”、“緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全”情形下確需向境外提供個人信息的，個人信息可以出境。值得注意的是，《網(wǎng)數(shù)條例》在《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》基礎(chǔ)上又增加了“為履行法定職責(zé)或者法定義務(wù)，確需向境外提供個人信息”，作為可以向境外提供個人信息的情形?！洞龠M(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》規(guī)定的“關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的”則并未納入《網(wǎng)數(shù)條例》。但基于《個人信息保護(hù)法》第38條明確法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定可以對個人信息出境條件做出規(guī)定?！洞龠M(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》作為“國家網(wǎng)信部門規(guī)定”，該條款依然有效。

三是吸納《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》規(guī)定，明確未被相關(guān)地區(qū)、部門告知或者公開發(fā)布為重要數(shù)據(jù)的，不需要將其作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。

值得注意的是，《網(wǎng)數(shù)條例》還規(guī)定國家采取措施，防范、處置網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險和威脅。大型網(wǎng)絡(luò)平臺服務(wù)提供者應(yīng)當(dāng)健全相關(guān)技術(shù)和管理措施，防范網(wǎng)絡(luò)數(shù)據(jù)跨境安全風(fēng)險。

（四）將國家數(shù)據(jù)局納入監(jiān)管機制

《網(wǎng)數(shù)條例》在延續(xù)《數(shù)據(jù)安全法》確立的監(jiān)管機制基礎(chǔ)上一是回應(yīng)國家數(shù)據(jù)局的成立，將國家數(shù)據(jù)局納入監(jiān)管機制，明確“國家數(shù)據(jù)管理部門在具體承擔(dān)數(shù)據(jù)管理工作中履行相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)安全職責(zé)”。

《網(wǎng)數(shù)條例》首次明確“不得利用網(wǎng)絡(luò)數(shù)據(jù)從事非法活動”。在三法基礎(chǔ)上，吸收《刑法》及相關(guān)司法解釋中對于侵犯公民個人信息罪、幫助信息網(wǎng)絡(luò)犯罪活動罪的相關(guān)規(guī)定和表述，涵蓋了包括竊取、以其他非法方式獲取、非法出售、非法提供網(wǎng)絡(luò)數(shù)據(jù)等禁止性行為規(guī)定，并進(jìn)一步禁止提供非法活動的程序、工具，禁止提供技術(shù)支持和推廣、結(jié)算幫助，明確對利用數(shù)據(jù)從事非法活動的全鏈條打擊要求。

三、賦能數(shù)據(jù)要素流通利用：數(shù)據(jù)安全下一步工作思考

（一）規(guī)則建設(shè)：提高動態(tài)安全保障能力應(yīng)作為下一階段數(shù)據(jù)安全規(guī)則補足、完善的重要方向

作為數(shù)字經(jīng)濟(jì)時代的重要資源，數(shù)據(jù)要素安全直接影響數(shù)據(jù)價值釋放。流通不只是數(shù)據(jù)出境問題，更多的場景是數(shù)據(jù)常態(tài)化地提供、共享、交易以及使用。這也是在《數(shù)據(jù)安全法》確立了數(shù)據(jù)交易制度、全流程的數(shù)據(jù)安全制度框架下，配套規(guī)定需要去解決、提供更多規(guī)則支撐的重點。

    《網(wǎng)數(shù)條例》在數(shù)安法基礎(chǔ)上往前邁出了一大步，但數(shù)據(jù)動態(tài)安全規(guī)則的建設(shè)依然任重道遠(yuǎn)。數(shù)據(jù)跨平臺、跨主體共享，數(shù)據(jù)匯聚、融合、加工、挖掘分析等安全規(guī)則仍有較大缺口需要去補齊。

（二）監(jiān)管方式：數(shù)據(jù)法治應(yīng)從“安全”治理擴展至“生態(tài)”治理

隨著數(shù)據(jù)采集匯聚、計算存儲、流通交易、開發(fā)利用、安全治理和數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)等數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展。數(shù)據(jù)安全問題不再是單點問題，而是會上下游傳導(dǎo)，向其他主體輻射影響。隨之而來的數(shù)據(jù)安全治理不再是對數(shù)據(jù)本身的治理，而是對整個數(shù)據(jù)產(chǎn)業(yè)鏈、生態(tài)鏈的治理。在此背景下，數(shù)據(jù)生態(tài)治理這一特點將在接下來數(shù)據(jù)要素發(fā)展中體現(xiàn)得尤為明顯。

對應(yīng)的監(jiān)管方式也應(yīng)當(dāng)有所調(diào)整：一方面，結(jié)合數(shù)據(jù)要素產(chǎn)業(yè)發(fā)展情況，實現(xiàn)對產(chǎn)品、工具、服務(wù)等前端、中端、終端的全鏈治理。另一方面，將監(jiān)管模式從以“數(shù)據(jù)處理者”為監(jiān)管核心擴展至覆蓋數(shù)據(jù)處理者以及數(shù)據(jù)經(jīng)紀(jì)、數(shù)據(jù)咨詢、合規(guī)認(rèn)證、安全審計、風(fēng)險評估等多元主體的數(shù)據(jù)安全治理生態(tài)。

（三）監(jiān)管重點：關(guān)注數(shù)據(jù)要素發(fā)展中的安全問題

一方面，重者恒重。緊扣國家安全、公共安全。關(guān)注重要數(shù)據(jù)安全、政務(wù)數(shù)據(jù)安全、數(shù)據(jù)出境安全。另一方面，在高質(zhì)量發(fā)展成為全面社會主義現(xiàn)代化建設(shè)國家首要任務(wù)的背景下，無論是規(guī)則制定還是執(zhí)法監(jiān)管，均不可脫離產(chǎn)業(yè)發(fā)展實際或發(fā)展水平、發(fā)展需求談安全，這就要求：

一是結(jié)合發(fā)展形勢關(guān)注發(fā)展中的安全問題，提升監(jiān)管重點、方式與安全形勢的匹配性。例如高度關(guān)注數(shù)據(jù)要素流轉(zhuǎn)、加工、分析、融合、匯聚關(guān)聯(lián)等安全風(fēng)險。

二是回應(yīng)新技術(shù)新應(yīng)用帶來的新安全問題。這一點主要體現(xiàn)在人工智能技術(shù)。歐盟高度關(guān)注人工智能法與GDPR 的協(xié)調(diào)問題，美國關(guān)注人工智能發(fā)展中的隱私保護(hù)問題等等。

（四）基礎(chǔ)理論研究：數(shù)據(jù)基礎(chǔ)制度探索依然是包括數(shù)據(jù)安全在內(nèi)的數(shù)據(jù)法治的重要任務(wù)

長期以來，數(shù)據(jù)權(quán)益問題是影響數(shù)據(jù)供應(yīng)及數(shù)據(jù)利用的重要因素。從全球范圍來看，當(dāng)前仍未有一個成熟的解決方案。加強頂層設(shè)計、總體謀劃，抓好數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理等政策制定，加快構(gòu)建適應(yīng)數(shù)據(jù)要素特征、符合市場規(guī)律、契合發(fā)展需要的基礎(chǔ)制度已成為完善數(shù)據(jù)要素市場制度規(guī)則的重要要求。

近年我國在培育發(fā)展數(shù)據(jù)要素市場實踐基礎(chǔ)上探索出了數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)等分置機制，但仍存在諸多基礎(chǔ)性問題有待解決。例如，老大難的數(shù)據(jù)權(quán)屬問題，以及新技術(shù)發(fā)展下數(shù)據(jù)屬性的認(rèn)定問題（個人信息與非個人信息、敏感信息與非敏感信息，重要數(shù)據(jù)與非重要數(shù)據(jù)，具有相當(dāng)?shù)膭討B(tài)性）。數(shù)據(jù)處理參與主體法律責(zé)任認(rèn)定問題（數(shù)據(jù)來源方、數(shù)據(jù)匯聚方）。授權(quán)機制的問題（知情、同意規(guī)則）等等，這些也是影響數(shù)據(jù)安全治理的底層問題。后續(xù)數(shù)據(jù)基礎(chǔ)制度探索依然是包括數(shù)據(jù)安全在內(nèi)的數(shù)據(jù)法治的重要任務(wù)。