封面主题数据安全法治发展面临的问题和完善路径

封面主题|总体国家安全观十年：回望与发展之六数据安全法治发展面临的问题和完善路径

编者按

国家安全和社会稳定是改革发展的前提。统筹发展和安全，增强忧患意识，做到居安思危，是我们党治国理政的一个重大原则。2014年4月15日，习近平总书记在中央国家安全委员会第一次会议上首次提出总体国家安全观，这是国家安全理念的创新，为新形势下加强国家安全建设、完善国家安全制度体系、保障国泰民安提供了基本遵循和行动指南。

在总体国家安全观提出十周年之际，为更好地了解总体国家安全观十年的发展和成绩，本期封面主题聚焦国家安全形势新特点新目标新任务，特邀请各领域的专家学者，探讨新时代总体国家安全观的形成与发展，以及军事安全、金融安全、社会安全、应急安全、数据安全、生物安全等重点领域法治建设的现状。今后，总体国家安全观将继续不断完善，以筑牢新时代国家安全的法治保障，回应人民群众对国家安全的新期待。

数据作为新型生产要素，是数字化、网络化、智能化的基础，正深刻改变着生产方式、生活方式和社会治理方式。数据安全已经成为事关国家安全和经济社会发展的重大课题。党的十八大以来，数据安全法治建设取得显著成就，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等法律相继出台，为数据安全提供了坚实的法律保障。随着全球新一轮科技革命和产业变革深入推进，信息技术日新月异，数字经济发展进入战略机遇和风险挑战并存，不确定、难预料因素增多的时期，必须有力推进数据安全领域科学立法、规范执法、公正司法、创新普法，更好地护航网络强国、数字中国建设。

一、数据安全法治建设取得显著成就

（一）科学立法，筑牢数据安全法治根基

完善法律法规，如《中华人民共和国民法典》将个人信息作为一项受保护的重要民事权利，并将数据纳入保护范围；在《中华人民共和国刑法》中，设立了侵犯公民个人信息罪，强化个人信息的刑法保护，形成了我国数据安全治理的顶层设计。2024年3月22日，国家网信办出台《促进和规范数据跨境流动规定》，针对新形势下保障国家数据安全、保护个人信息权益、促进和规范数据依法有序自由流动的现实需要，对现有的数据跨境标准、程序等作了优化完善。这既是优化营商环境、支持外资企业在中国持续深耕发展的有力举措，也是统筹推进深层次改革和高水平开放，持续打造更具竞争力的数字经济的重要制度创新。工业、金融等部门相继出台了本领域的数据安全管理办法，根据不同领域涉及的数据敏感程度，以及数据风险性的差异，在各领域中具体落实和细化基础法律中的数据分类分级、数据流通、数据安全审查等机制。

（二）严格执法，保障数据处理规范有序

行政机关加大数据安全领域执法力度，通过行政处罚、行政指导、规则指引等多种手段，规范企业数据处理行为。2022年，各级网信部门依法查处违法违规处理个人信息行为的App，下架未按要求开展安全评估等违法行为的App。同年，各级公安机关针对关键信息基础设施、重要信息系统和重要数据，切实履行安全监管职责，部、省、市三级公安机关累计对3.5万家单位开展执法检查，下发限期整改通知书4.6万份，有力确保了网络和数据安全。2023年，工信部通报46款App及第三方软件开发工具包（SDK）存在违规收集、使用个人信息情形，责令其限期整改。各行业主管机关在网络基础资源、网络数据等领域，通过加强技术手段建设、完善监测与预警机制等举措，筑牢数据安全防线，防范化解安全风险，通过制定数据安全和个人信息保护领域的标准，明确数据安全合规的具体技术方法和管理措施，推动数据安全能力建设。

视觉中国供图

（三）公正司法，捍卫数据信息公平正义

法院通过梳理、公布典型案例，树立行为规则、统一司法尺度，充分发挥了保护数据权益的作用。在庞某鹏诉某航空股份有限公司、某信息技术有限公司隐私权纠纷案中，法院的判决明确了掌握个人信息的组织应当积极、谨慎采取有效措施，防止信息泄露，任何人未经权利人允许，都不得扩散和不当利用个人信息。

检察机关加大数据安全、个人信息保护领域公益诉讼办案力度。在贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案中，西秀区人民检察院在审查熊某某等3人涉嫌侵犯公民个人信息罪一案时，发现熊某某等3人的行为可能损害社会公共利益，遂将该案线索移送至公益诉讼检察部门审查，经调查，西秀区人民检察院依法对熊某某等3人侵犯公民个人信息案提起刑事附带民事公益诉讼。

最高人民法院、最高人民检察院公布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益。最高人民检察院发布个人信息保护检察公益诉讼典型案例，加大个人信息保护领域公益诉讼办案力度，突出保护重点人员、重点领域的个人信息，严格保护敏感类别信息及特定群体的个人信息。

（四）全民普法，提升数据安全意识素养

积极开展数据安全普法，提高全民数据安全法治意识和素养。在数据安全立法过程中，立法机关广泛听取并充分吸纳各方意见，法律公布后以新闻发布会、答记者问和专家解读等方式解疑释惑，引导公众了解数据安全法律知识、遵守数据安全法律法规。在执法、司法活动中，以发布数据安全典型案例、公开数据安全司法案件等方式，适时开展数据安全法律法规普及工作，帮助群众生动直观了解数据安全法律知识。自2019年起，国家网络安全宣传周开始加强数据安全管理、个人信息保护方面的法律法规宣传，全国各地通过展览、论坛、知识技能竞赛等多种形式，发动企业、媒体广泛参与，深入开展数据安全宣传教育活动。数据安全法律知识的到达率、普及率、知晓率得到提升，民众的数据安全法治意识和素养明显增强。

二、数据安全法治发展面临新挑战

随着大数据、云计算、物联网、人工智能等新一代数字技术迅猛发展，新科技革命成果不断融入生产生活，我们所面临的数据安全问题的复杂程度、艰难程度明显加大。要以新安全格局保障新发展格局，既通过发展提升数据安全实力，又深入推进数据安全思路、体制、手段创新，营造有利于数字经济发展的安全环境，在发展中更多地考虑安全因素，努力实现发展和安全的动态平衡，开创在发展中巩固和维护数据安全的崭新局面。

（一）法律修改配套仍需加强

（二）监管体制与机制仍需改革

从监管体制与机制层面看，数据安全领域监管权责划分仍不够清晰，数据安全监管权责可能存在交叉，同一对象可能被不同行业主管部门监管，甚至还存在行业主管部门和综合性主管部门监管权责交叉重叠的现象。例如，个人的金融数据在证券公司的收集过程中面临的出境审查应当交由证监会负责，而人民银行作为金融工作领域的主要负责机关，对于这类数据的出境也具有审查权力，这种多头重复监管导致监管挤踏、互相推诿，增加企业合规成本，极易限制数字经济的发展活力和创造力，最终难以使社会和人民群众从数据要素及数字经济发展中获益。

（三）诉讼规则体系亟待创新

现行诉讼规则需要根据数据司法保护的需要不断进行创新发展。侵犯数据权益的行为具有跨地域甚至跨国界的特征，同时网络数据具有易被删除、易于篡改且不留痕迹的特点，证据的存储、提取、检验均比较困难，这些都对创新诉讼规则、完善审判制度提出了新要求。

（四）普法宣传仍有完善空间

（五）新兴领域回应仍不充分

三、以更完善的数据安全法治护航网络强国、数字中国建设

信息技术迅猛发展，信息传播日益向数字化、网络化、智能化深入发展。必须坚持高质量发展和高水平安全良性互动，以更完善的数据安全法治为网络强国、数字中国建设保驾护航。

（一）坚持安全和发展并重，促进新质生产力发展

（二）完善数据安全法律法规，推动新兴领域的专门法律出台

一是加快重点法律法规的修订。推动《网络安全法》《个人信息保护法》《中华人民共和国反不正当竞争法》适时修订，完善不同行业、领域的数据分类分级制度规则；明确个人信息范围、匿名化个人信息范围、已公开个人信息范围等各类信息划分标准；完善针对数据抓取、盗用等行为的保护规则，为有关主体提供相对明确的指引和约束；推进《网络数据安全管理条例》尽早出台，细化落实数据分类分级保护制度、数据保护措施等规定。

（三）明确监管权责界限，加强对企业合规引导

一是明确各职能部门的权责界限，落实职权法定原则，推进监管机构、职能、权限、程序、责任的法定化。理顺跨部门协同治理的结构与程序，健全部门协同治理运行机制，建设分工合理、权责一致、运行高效的监管机制。

三是针对人工智能新兴领域，设立国家及地方人工智能主管机关，统筹全国范围内的人工智能发展与管理工作，避免出现新的监管挤踏、互相推诿等问题。

（四）优化数据安全司法保护体制，完善诉讼规则体系

一是法院要进一步发挥在确立规则、完善制度方面的重要作用。明确数字化证据的证明标准和采信规则，为数字经济矛盾纠纷解决、保护新兴业态发展提供具体指引。

二是法院要加强对数字法治前沿理论和实践难点问题研究，围绕数据交易实践中业界关心的数据确权、交易定价、数据脱敏、安全保密等问题，引导建立完善科学的数据交易与流动制度；根据数据性质和场景明确权属规则，处理好不同数据主体的合法利益诉求，激励更多主体参与数据要素市场。

三是继续推进审判制度机制改革创新。推进大数据、云计算、人工智能、区块链等现代科技在诉讼服务、审判执行、司法管理等领域的深度应用，要主动适应信息技术新发展，完善全流程、全业务网上办理机制，健全网上诉讼规则和电子证据标准。进一步加强互联网法院建设，将涉及数据保护的案件纳入集中管辖范围。

2024年3月28日，博鳌亚洲论坛2024年年会“融合与创新的数字经济”分论坛举行(视觉中国供图)

（五）创新数据安全普法形式，增强公众法律素养与防护意识

二是积极倡导数据安全科普知识进社区、乡村与学校。广泛动员社会公共培训基地、公共图书馆、企业等多元资源，构建一套针对不同年龄层次群体的数据安全知识体系，定期开展数据安全法律知识普及和宣传教育活动，帮助民众建立并强化数据安全、隐私保护及防电信诈骗意识。中小学、职业教育和高等教育应依据各自教育阶段的特点，分类实施数据安全意识和素养教育，以切实加强师生对数据安全的认知与重视，努力构建一个全民参与、全民受益的数据安全教育和防范体系。

（六）建立新型数据信托制度，助力数据高效流动

（七）发展监管合规科技，筑牢数据安全技术屏障

一是加强技术研发。结合现有数据安全防护技术，推动数据水印、数据访问异常识别检测等技术工具的发展，探索将人工智能应用于安全防护领域，从而增强合规措施的穿透性和有效性，提高企业合规效率、降低合规成本，实现以算法规制算法、以技术治理技术。

二是推动技术共享。对监管实践中已经证明具有可行性及应用价值的监测技术、安全评估工具，可适当面向企业开放共享使用，促进其自我评估、自律治理，对成熟有效的合规技术建立示范推广机制，明确应用合规效果，增强技术应用预期。

三是促进协同创新。促进政府、企业、科研机构、社会组织等多方合作和交流，共同探索实践方案，构建以企业为主体、以市场为导向、产学研用深度融合的技术创新体系，把企业作为科技成果转化的核心载体，提高科技成果落地转化率。

党的二十大报告提出，“构建新一代信息技术、人工智能……等一批新的增长引擎”“加快发展数字经济”，为数据安全法治建设指明了方向、描绘了蓝图。在新征程上，不断提升科学统筹推进数据安全立法、执法、司法、普法水平，更好地发挥法治固根本、稳预期、利长远的基础作用，更好地助力数字时代高质量发展和高水平安全良性互动、深度融合。

（作者系中国社会科学院文化法制研究中心研究员周辉，本文刊载于《法治时代》杂志2024年第4期）