總體國家安全觀視域下數據安全治理的路徑選擇

李曉東，董少平，吳 菁

(燕山大學文法學院，河北 秦皇島 066000；中南財經政法大學，湖北 武漢 430073)

1 問題的提出

黨的二十大報告指出，國家安全是民族復興的根基，社會穩定是國家強盛的前提。必須堅定不移地貫徹總體國家安全觀，把維護國家安全貫穿黨和國家工作各方面全過程，確保國家安全和社會穩定。將國家安全問題首次通過專章的方式加以論述，體現出當前“安全”與“發展”所面臨的嚴峻情勢和互動關系。2020年7月31日，時任美國總統特朗普對TikTok開出的行政禁令直接影響到大型數據企業的生存乃至數字產業的發展問題[1]。該事件起因于美國政府認為其未掌握TikTok的數據控制權，基于國家安全的考量，通過行政禁令的方式對中國企業作出單方制裁，其背后體現了數據霸權主義進一步擴張的趨勢。2021年6月30日，滴滴公司在美上市事件使得我國城市交通、軍事單位、政府等部門的地理信息以及個人隱私數據面臨泄露的風險，對我國的國家安全造成巨大的威脅[2]。因此，從實踐來看，數據安全已成為維護國家安全、促進數字產業健康發展的重要內容。

數據治理是指數據作為新型生產要素，對其收集、處理和使用等全過程的賦能與規范，數據安全治理則是通過采取必要措施，確保數據本身處于完整性、保密性和可用性的安全狀態[3]。因此，數據安全是數據流通的前提，數據安全治理是數據治理本身的基礎性任務。從總體國家安全觀的視角來看，數據安全具有更為關鍵和基礎性地位。首先，數據安全影響國家資源安全。中央網絡安全和信息化委員會印發的《“十四五”國家信息化規劃》已將數據要素作為國家發展的戰略性基礎性資源，成為各國爭奪數據所有權和使用權的焦點。其次，數據安全影響國家經濟安全。數字經濟的基礎就是數據的高效利用與合理開發，數據要素通過數字技術促進各類要素的快速交融和價值擴增，因而數據安全是數字經濟發展的前提。再次，數據安全影響國家信息安全。數據是信息的電子化記錄形式[4]，社會上各種信息都需要以數據的形式儲存、流動、分析和再利用，以此實現信息乃至知識的增值和交互功能，因而信息的安全交互和增值以數據化和數據安全為前提。最后，數據安全影響著社會安全、文化安全乃至政治安全，這些都屬于數據安全的衍生性安全風險。例如，重大網絡輿情事件發生往往由于公眾將積郁的不滿情緒通過數據的形式轉化為信息，并在社交平臺上迅速傳播發酵，導致個體問題演化為社會安全問題。

基于以上分析可知，一方面，數據安全不僅專屬于總體國家安全觀中資源安全的重要方面，還直接或間接涉及其他安全問題；另一方面，數據安全治理也直接關系到總體國家安全觀中安全與發展的統籌問題。數據流通是數據增值的基礎，但數據安全治理的重要方式則是限制數據流動，因而傳統理論必然需要面對數據流動和數據安全這對難以調和的矛盾。針對數字時代的數據安全所面臨的突出風險，數據安全治理需要從總體國家安全觀視角出發，明確價值定位和整體目標，再結合數字時代的典型特征，尋求新的理論供給和革新，指導數據安全治理實踐。數據安全治理的理論深化需要解決三個重要問題：首先，數據安全究竟面臨哪些現實和理論難題，這直接決定著數據安全治理理論的實效性；其次，總體國家安全觀究竟能夠為數據安全治理提供哪些理論供給或存在哪些應然面向，這直接關系到數據安全治理與國家政策和戰略的配適度；最后，數據安全治理如何從數字時代、網絡社會、數據特性本身汲取理論營養，這直接決定著數據安全治理理論能否突破傳統視角尋找到更優路徑，也決定著理論本身的科學性和系統性。

2 數據安全治理的實踐困境

數據安全問題已經上升為事關國家安全的重要問題，對于數據安全治理中現實困境的準確提煉，直接決定相關理論的創制或續造能否解決實踐中的現實問題，以增強理論的可行性和回應性。需要立足于數字時代所產生的典型特征，重新審視數據安全治理的實踐困境。

2.1 數據主權適用的模糊性

數據存在于網絡空間，而網絡空間作為虛擬空間，缺乏明晰的邊界，與傳統物理空間的界限分明形成鮮明的對比，進而造成國家難以判斷網絡數據傳輸是否已經跨境[5]。既然網絡空間缺乏邊界，數據主權必然也面臨著邊界模糊的窘境。因此，不同國家必然需要找到虛擬空間與物理空間的連接點，來推進國際上通行的數據主權理論的適用，因而主要產生了數據存儲地標準 (歐盟標準)和數據控制者標準 (美國標準)兩類標準。兩類標準代表兩種傾向，一種是以人權和安全為核心的數據安全治理傾向，另一種是以高效和發展為核心的數據安全治理傾向。數據連接點的標準選擇成為數據主權理論的重要爭點，如果選擇一種標準作為數據安全治理的起點，在實踐中探討數據主權理論時，錨定某一主體后，其必然對內傾向于維護自身數據的安全利益，對外傾向于獲取他者數據的使用利益，進而可能侵犯他國數據主權。某一主體在面對不同主體時利益衡量立場的差異性，最終導致這樣一種邏輯悖反，使得以數據主權為出發點的相關理論難以達成共識。所謂數據跨境流動的困境，抑或數據立法管轄權與執法管轄權之爭，抑或安全與發展的矛盾皆源于此。

2.2 數據安全范圍的動態性

網絡空間由物理層、代碼層和數據層的三層結構構成[6]，數據是網絡空間構成的基本要素，而信息則是數據所表現出來的內容，賦予網絡空間的數據以產生價值和意義。因此，數據是信息的前提，信息是數據的目的。從這個角度而言，對數據安全的保護更具根本性，是保護各方信息權益的前提。數據安全治理是以“風險—控制”為模式，該模式的核心是對數據進行分類，并在此基礎上建立數據安全認證、風險評估和危機應對等安全制度[7]。而這種數據安全的風險性是一個程度概念，在不同時期、不同情境下，國家或社會對于風險性的認識、感知和接受程度不同。就數據安全背后所保護的利益而言，往往聚焦于公共利益或國家利益，這種感知程度的不確定性造成數據安全范圍的動態性。同時，數據的價值在于通過算法對大數據進行反復挖掘、碰撞和分析，實現信息和知識的增值。此時，數據風險認知的不確定性和數據價值的動態性增加了數據權屬管理和抵御安全風險的難度，也進一步造成數據安全治理場景和范圍的動態性，加大了數據安全治理的評估難度。因此，數據安全范圍的動態性加劇了數據安全治理的實現難度。某類數據 (包括原始數據和衍生數據)所帶來的風險性需要結合不同感知水平、不同場景、不同類型、不同規模、不同算法模型予以綜合考量和評估，而非簡單一刀切或僅局限于靜態數據的規制。

2.3 數字人權保護的多面性

數字人權是數字時代的產物，圍繞數據和信息，產生了一系列不同于傳統社會的法益類型。數字人權強調數字科技重塑了人權，人的信息存在方式賦予人權以數字屬性，并且數據信息法益推動了人權的數字化演進。上網權、個人數據權、數字身份權、數字完整權等構成了數字人權的實在內容。這些法益產生的重要原因在于數據控制者在網絡空間中擁有的話語權高于個體，甚至某些大型互聯網公司充當準立法者的角色，此時“代碼即法律”[8]，引發實質上的個體被侵權風險。此時，個體往往難以及時發現并實施有效救濟，需要法律的保護加以對抗，賦予個體相關數據權益或信息權益，也稱為個人數據/信息受保護權[9]。由于個體數據價值的有限性，不同類型、不同主體或不同行為的數據通過綜合處理才能實現價值的幾何級遞增，因而在數據安全方面往往會由個體法益上升至群體法益乃至公共利益，但這一上升路徑同樣需以個體法益為出發點，將個體權益上升為人的權利，發展出數據安全治理中以人民性為根本理念的實踐面向，構筑多樣化和系統化的數字人權體系。

3 數據安全治理的理論困境

對于數據安全治理的理論研究存在諸多研究路徑，如數據流動監管、數據權利保障、數據安全制度構建等視角。無論是授權 (權力)還是賦權 (權利)，都會導向制度建構，進而最終落腳到數據安全治理體系。不同路徑所展現的理論分野往往立足于不同的價值偏好，不同價值偏好既是對數據安全治理理論供給的拓展，也必然會面臨價值立場的對壘，導致不同理論間的沖突。

3.1 數據流動監管的理論分野

數據流動監管直接決定著數據利用的效能，也直接決定著數據安全的保護程度，其理論分野主要基于安全與自由的價值選擇。安全價值趨向于建立嚴格的數據流動監管制度體制，限制數據流動；而自由價值趨向于建立較為寬松的數據流動監管制度體制，促進數據利用。從安全價值出發，數字時代的數據流動監管主要表現為基于國家主權視角下的理念塑造和制度構建，即數據主權論。數據主權論主張數據治理依然從屬于傳統主權，對內強調一國在其領土范圍內對信息通信技術活動 (針對網絡虛擬角色)、信息通信技術系統 (針對平臺)及其承載數據 (針對網絡虛擬資產)具有最高的、排他的管轄權與支配力；對外強調他國不能干涉或侵犯該國數據監管和處理行為。同時，數據主權論還進一步向技術主權擴展，包括對關鍵技術、基礎設施和價值觀念的自主性與獨立性的要求。還有學者將數據主權的范圍進一步延展，認為數據主權的范疇不僅包含國家對其境內數據控制者的管轄，更強調國家對網絡空間中所承載數據本身的治理[10]。因此，數據主權論強調主權國家對數據流動監管在技術、規則和價值等方面的自主性和獨立性，多表現為以數據存儲地為標準的數據流動監管模式。

從自由價值出發，數字時代的數據流動監管理論主要表現為基于互聯網世界主義理想下的理念塑造和制度建構，即數據自由論。數據自由論認為網絡空間獨立于任何民族國家，視主權國家的規制為最大威脅，主張在虛擬空間中構建一個全新的、獨立的共同體[11]。同時，從數據流動和價值遞增角度看，該理論還強調努力消除、避免以隱私保護為名，對數據跨境流動設定不公正的障礙，加強數據信息共享。因此，數據自由論強調數據流動的效率和范圍，盡可能消除國家對于數據流動的監管和限制，在實踐中較多表現為以數據控制者為標準的數據流動監管模式。該監管模式主要以美國2018年通過《澄清域外合法使用數據法案》 (簡稱《云法案》)為標志，雖然《云法案》中規定僅允許符合資格且與美國政府簽訂行政協議的外國政府向美國境內組織發出協助調查、調取數據的請求，并享有相關抗辯權，但適格政府需要符合由美國制定的嚴苛標準，導致適格政府數量極少。因此，數據控制者標準極易引發實施國對目標國的長臂管轄，也極易侵犯他國數字主權。實質上，該法案不僅依托數據自由和高效價值擴大了美國執法機構單方調取域外數據的權力，還巧妙地憑借美國在相關領域的優勢地位，構建出一個以美國為中心的全球數據治理體系。

3.2 數據權利保障的理論分野

數據權利保障問題直接影響到數字時代數據安全的治理模式，人權保護程度與國家發展利益如何平衡和兼顧，是數據安全治理需要解決的重要理論問題。從個人信息權保護的角度出發，主要表現為歐盟對個人數據權利的保護?！锻ㄓ脭祿Ｗo條例》 (GDPR)通過賦予數據主體更大權利、加重數據控制者或處理者責任義務、強調數據儲存的本地化以及條例域外效力的方式，試圖最大限度地保護歐盟公民的數據權利，賦予數據主體知情權、訪問權、更正權、刪除權、反對權、限制處理權和數據可攜帶權等數據權利。

就我國而言，有學者[12]基于數字時代所帶來的權利與權力的結構性變革，提出構建數字時代的“第四代人權”的概念和范疇?！暗谒拇藱唷币噪p重空間的生產生活關系為社會基礎、以人的數據信息權益為表達形式、以智慧社會中人的全面發展為核心訴求，應然地將數字社會涌現的各種新興數據信息權益作為保護對象，包括圍繞數據信息使用所產生的“知情-同意權”“刪除權”“變更權”等，其本質是在數字時代中發展和保護人應該享有的權利。還有學者[13]認為，個體要享受其便利就需要犧牲一部分權利，也要直面大數據控制本身帶來的新的社會不平等、數據管控者與個人之間的信息不對稱和權力不平等等倫理和法律問題，并嘗試在兩者之間找到折衷和平衡之道。但是，也有學者認為“數字人權”不構成“第四代人權”。從人權的道德屬性來看，“數字人權”不具備人權的道德基礎，難以通過“數字人性”來實現道德人權層面的證成。從基本權利理論來看，“數字人權”既缺乏憲法的規范基礎，也不符合“人的尊嚴”標準和“最低限度基礎性”標準，無法被證立為憲法未列舉基本權利[14]。盡管對于數字人權是否構成“第四代人權”存在分歧，但從公民數字權利體系角度審視數據安全治理不失為一條可行的路徑，也是平衡安全與發展之間的重要考量因素。

從隱私權角度保障數字時代的數據權利，主要代表是美國。美國以保護隱私權為核心，即圍繞隱私的合理期待，構建完備、靈活、有效的數字權利保障體系。隱私的合理期待從主觀上是指個人必須對其主張的隱私存在真實的期待，從客觀上是指該期待被社會承認為合理。與歐盟成文法的立法模式不同，美國采取判例法的方式，通過逐案權衡，形成廣泛的示范效應，進而引導和推動社會和行業進行自發的數字權利和數據安全治理。同時，美國并未制定統一的數字權利或數據安全保障法，而是圍繞網絡隱私權，將諸多制度規范散見于不同層級的各領域法律之中，如《美國兒童在線隱私保護法案》《健康保險可攜帶性和責任法案》等。因此，個人信息權保護路徑強調國家的作為義務與個人的積極行權，構建較為嚴格、全面的數據流通前置監管標準和數字權利保障體系；網絡隱私權保護路徑強調法院審判的示范效應、行業自律和公民較高的數字素養，構建了較為高效和創新驅動的數據流通范式和自覺自省的網絡隱私權保障體系。

3.3 數據安全制度建構的理論分野

在數字經濟全球化的背景下，數據安全制度構建需要統籌國際和國內兩個大局，以更好地應對數字時代數據安全的變革。外部視角在一定程度上是“數據主權論”的衍生和發展，以應對和適應國際法中關于數據安全制度和實踐的相關挑戰，力求形成體系化、系統性、全面性的數據安全治理觀。從國際法視角看，WTO安全例外條款基于國家主權原理，賦予國家在維護“基本安全利益”與“自由貿易”中尋找平衡的機會?！端质謨?.0》中通過法律文本明確規定“國家主權原則適用于網絡空間”，數據主權作為網絡主權的一個子項，自然屬于國家主權。從對既有文獻的梳理來看，學界基本認可國家在安全層面上對數據所享有的獨立且排他性主權。

從國際法中數據安全例外條款的適用方面來看，有學者[15]認為成員國要合理合法地援引安全例外條款，而非將其認定為純粹的經濟制裁或貿易保護。第一步應當證明因跨境數據造成的基本安全利益損害與產生的國際關系緊急情況存在關聯度，第二步還需要證明成員國采取的措施與基本安全利益具有必要性。由于“國際關系緊急情況”邊界的不確定性和程度的難以估量性，其判斷便存在一定的主觀性和模糊性，導致有些國家更容易以此為借口揮舞制裁大棒。同時，信息技術的不平等往往會造成數據由弱勢國家流向強勢國家，大量涉及國民與國家的信息一旦在境外控者的有意操縱下流出本地存儲范圍，其數據安全風險必然陡增。因此，純粹的經濟損失并不涉及國家安全，而數據一旦被視為一種戰略資源，與國家利益交織在一起便涉及國家安全，更需通過系統性、分層分級的方式加以保護。

從國內法視角來看，有學者[16]認為，我國現階段堅持嚴格把控數據出境，遵循本地儲存、出境評估的基本制度，形成以《國家安全法》為總領，《網絡安全法》與《數據安全法》相互協調補充的法律體系；也有學者[17]認為，從目前《數據安全法》《個人信息保護法》等法律法規來看，我國并未提出系統性的符合國家主權、安全和發展利益的數據主權戰略，更多的還是對抗美歐“擴張式”的數據權力。因此，我國尚需建立健全數據分級分類制度、機制，從“形式合法性”和“實質合法性”實現與國際法的數據資源流動體系相適應和銜接。

3.4 數據安全治理發展的新動向

從數據安全的視角出發，根本上是如何平衡數據安全與數據流動之間的關系，進一步決定了安全與發展的協調問題。因此，不同國家之間都在彌合兩者之間的價值對立，做到安全與發展相互兼顧，努力形成一種均衡態。以美國和歐盟為代表的兩種典型模式在近年來不斷做出政策和制度的調適，盡量滿足安全與發展的雙重需求。

歐盟于2022年5月16日通過了《數據治理法案》，該法案與GDPR的嚴格保護不同，旨在通過可信任的數據中介，鼓勵數據共享、提高數據利用價值，實現數據驅動經濟轉型。該法案仍然力求與GDPR相銜接，對數據再利用的敏感性做出限制，將商業秘密、個人數據、秘密數據和涉第三方知識產權數據排除適用，主要針對公共企業、公共部門數據、不侵犯歐盟成員國法律或其他約束性規定的他國公共數據的再利用權利。同時，還規定自然人或法人在公共部門所提供的安全處理環境中訪問并再利用公共數據，以保障數據的安全性。該法案為了進一步加強數據利用，提出數據利他主義的實踐機制，分為兩種情形：其一，數據主體同意其使用個人數據且自愿共享數據，方可使用；其二，允許數據持有人使用非個人數據，且其目的必須為公共利益，方可使用。數據利他主義為合規組織通過以公共利益為核心的目的性限縮，促進數據流通和增值提供了一種可行的方案，而資質設置和知情同意門檻或數據類型限制也進一步保障了數據安全，不失為一種兼顧數據安全與發展的舉措。

美國近年來在注重數據產業發展與數據流通效能的同時，也逐步注重數據安全與數據流動的限制。2010年11月，奧巴馬政府頒布了《第13556號行政命令》，在受控非密信息概念下建立了聯邦政府公開和統一的管理框架。2016年9月，美國國家檔案和文件管理局發布了實施細則，規定了受控非密信息的登記、分類、安全保護、獲取和傳播、控制解除等內容。其中，受控非秘密信息旨在對傳播限制型敏感信息的標識，降低信息流動或被傳播的可能性，保障受控非秘密信息傳播的安全性和比例最小化，該措施仍然注重對部分敏感信息流動的控制。為了進一步提升數據安全性，2018年8月，時任美國總統特朗普簽署了《2018年外國投資風險審查現代化法》，授權美國外國投資委員會應對敏感個人數據對國家安全的威脅。該法案旨在界定敏感個人數據類型，并根據數據類型和規模對國家安全敏感性進行界定，對超過限度的非控制性外資進行審查評估、限制投資。因此，從美國一系列對敏感信息的管控來看，主要從數據流通限制和以數據量為核心數據評估體系及限制性措施來保護本國數據安全。

綜上所述，針對數據安全治理的理論分野，可以看到不同視角所衍生出的核心觀點、邏輯起點并不相同，就視角內部的理論進行橫向比較而言，不同的理論選擇產生了截然不同的效果和影響。因此，對于不同視角以及不同理論的選擇，其所帶來的影響或收益必然是片面而有限的，但歸根結底主要還是圍繞安全和發展之爭以及由其所衍生的相關理論維度展開，理論分野比較明晰。但也不難看出，相關研究存在片面性和碎片化的特點，缺乏整體性、統合性或融貫性的理論視角。從當前實踐來看，各國均在尋求一種兼顧安全與發展的兼容性數據安全治理道路，數字人權的價值影響逐步加大，但仍需進一步突破，可以通過再造數據權益共同體抑或數據自主權等概念實現價值融貫。結合數字時代的特點，當前的相關理論、概念并未進行有針對性的重構。因此，相關概念的重構是理論能否適應數字時代變革的重要基礎，亟需將其融入數據安全治理之中。

4 總體國家安全觀指引下數據安全治理的基本原則

當前，我國國家安全的內涵和外延比歷史上任何時候都要豐富，時空領域比歷史上任何時候都要寬廣，內外因素比歷史上任何時候都要復雜，因此必須堅持總體國家安全觀?？傮w國家安全觀統領數據安全治理，從數據安全風險以及由其引起的衍生性安全風險來看，其不僅是總體國家安全觀中的重要方面，還涉及總體國家安全觀中的絕大部分安全面向。因此，數據安全治理必然需要接受總體國家安全觀中價值、理念和策略的原則性指導。

(1)以安全為實踐本位，關注技術風險。安全與發展是國家安全需要討論的永恒話題，也是數據安全所關注的重要議題，因而數據安全與數據流通如何平衡是數據安全治理需要解決的核心問題。從總體國家安全觀來看，安全是發展的前提，發展是安全的保障，兩者是辯證統一的關系。在數字經濟時代，只有在保證國家安全的前提下實現數據有序流動和增值，才契合國家的長遠發展利益，總體國家安全觀的出發點正是如此，需要從安全本位的角度思考數據安全治理。數字時代的數據安全風險需要綜合考慮三大要素，即數據、算法和算力。數據的分級分類是保障數據安全的直接舉措，《數據安全法》將數據分為重要數據和個人信息兩大類，有學者認為可分為國家核心數據、重要數據和一般數據。該措施力求從源頭上解決數據安全問題，是從靜態角度解決問題，但數據價值產生是動態的過程，取決于數據體量、算法強度和算力程度。因此，必須考慮技術對數據的影響，尤其在現實、意識和價值都滲透了技術規則和技術設計的當下，技術物塑造了我們賴以生活的環境。風險社會理論恰恰強調當代社會風險大多數是由技術風險所引發，這種技術風險主要是指人為制造的風險。政府通過工具理性追逐效益最大化的治理目標，結合民眾無條件的技術信任，形成一種權力結構和治理策略，民眾很容易陷入技術治國或?？滤Q的“規訓社會”。

風險社會理論通過分析現代社會的非典型風險，進一步強化了人們對技術的再認識和再規制，也為我國治理數據安全風險提供了借鑒。首先，從本體論視角來看，必須重視數字技術發展對數據的影響和潛在風險，從動態角度認識數據安全風險。根據數字技術發展動態性、數據應用情境化和目的性限縮來控制數據安全。其次，從客體論視角來看，個體性是風險社會理論中的重要概念，重視個體在數據安全風險認知中的作用，個體并非承擔風險的主體，而是防范風險的主體。因此，需要培育利他主義個體社會定位，這種社會定位恰恰是以社會公共利益為出發點。從技術專家層面來說，有助于強化其社會道德感和社會正義觀念，盡量避免技術設計中摻雜利益偏在性和認知偏差。從用戶個體層面來說，有助于強化其對技術環境的理性認知，更易于形成權利型團體或組織。最后，通過本體論與客體論相結合，從社會結構的視角認知技術，需要認識技術治理的自反性，避免對專家系統的盲目信任，增強個體對專家系統的批判性信任能力，而這依賴于技術專家本身對于技術的解釋和個體對于自身所處技術環境的反思性[18]。因此，風險社會理論以技術為中心，為數據安全治理提供系統性、全面性的“本體論-客體論”分析視角。

(2)以總體性為治理方式，強化系統思維、辯證思維和底線思維?？傮w國家安全觀的關鍵在“總體”，強調做好國家安全工作的系統思維和方法，突出的是“大安全”理念，涵蓋政治、軍事、國土等諸多領域，而且隨著社會發展不斷拓展[19]。從數據安全治理的理論分野來看，不同國家往往采用非此即彼的思維和方法對數據安全予以保護，因而加劇了不同理論、制度和實踐的差異，最終的結果就是基于某種理論起點而延展的數據安全實踐顯現出更為嚴重的不平等甚至對立現象。因此，需要擺脫傳統的二分法理論選擇路徑，數據安全治理的理論供給需要實現不同矛盾的統籌兼顧，抑或跳脫出矛盾本身?？傮w國家安全觀中的“總體”恰恰要求統籌兼顧，是馬克思主義理論的應用與發展。

首先，總體性高度應用了系統思維。從系統與要素、要素與要素、系統與環境的相互聯系、作用中把握和思考問題，處理好整體與部分、結構與功能的關系。從系統思維看數據安全，需要統籌考量數據安全與國家安全、網絡安全、信息安全之間的關系。第一，就國家安全與數據安全的關系而言，國家安全統領各安全領域的行為。從《國家安全法》第2條來看，國家安全所涵涉的范圍既包括傳統的政權、主權和領土安全，也包括人民福祉、經濟發展利益和其他重大利益等非傳統安全，這些非傳統安全恰恰更傾向于保護個體安全和發展利益?！秶野踩ā返?6條規定了網絡安全、數據安全和信息安全的相關內容，《數據安全法》第2條和第4條也規定了其維護國家安全的立法目的和堅持總體國家安全觀的理念指導。因此，數據安全是國家安全的子領域，數據安全領域的立法活動和實踐行為必然受到總體國家安全觀和《國家安全法》的引領和規范。第二，就網絡安全與數據安全的關系而言，網絡安全規制整個網絡空間的安全風險，更注重網絡行為的整體性和系統性，數據安全則專門規制網絡空間中涉及數據的相關安全問題，但兩者的范疇呈現出相當大的交織性?！毒W絡安全法》第76條規定了網絡安全的范疇，包括網絡運行安全和網絡數據安全兩部分，從“以及”的表述來看，數據安全具有明顯的從屬性，主要包括數據完整性、保密性和可用性。因此，網絡安全涵括數據安全，《網絡安全法》與《數據安全法》屬于一般與特殊、原則與具體的關系。第三，就信息安全與數據安全的關系而言，信息安全處于內容層，而數據安全處于載體層。信息安全按照內容指涉屬性可劃分為個人信息安全和非個人信息安全，個人信息安全具有強烈的人身歸屬性，因而《個人信息保護法》將其納入人格權的保護范疇，并根據信息指涉特定個體內容重要性劃分為隱私信息、敏感信息和一般信息；非個人信息安全則通過信息指涉國家和社會內容的重要性，劃分為關鍵信息、重要信息和一般信息。數據安全作為信息的電子載體，其保護更具直接性和前端性。

其次，總體性強調對辯證法的應用。對立統一規律是辯證法的核心和實質，掌握了矛盾分析方法，也就掌握了辯證法，通過矛盾論、兩點論、重點論、全面論、發展論來觀察和處理數據安全問題。第一，承認數據安全問題的對立統一性，即承認和分析安全與發展、數據安全與數據流通、數據主權與數據自由、國內數據法治與國際數據法治之間的矛盾。第二，數據安全問題的解決需要做到兩點論與重點論統一，矛盾雙方既相互對立，又互相補充，這種對立統一的關系恰恰需要統籌兼顧或運用比例原則予以解決。因此，堅持重點突破，必須將維護國家數據主權、數據核心利益作為重點予以保護，反對數據霸權和數據壟斷。同時，需要采取比例原則，推動國內數據法與國外數據法的適度有效銜接、促進一般數據的有序高效流動、形成以尊重互信為前提的數據合作機制。第三，需要堅持用全面的和發展的眼光看待數據安全問題。數據安全問題之所以成為治理難題，主要原因在于數據具有脫域性、技術性和動態性。質言之，數據安全治理完全突破了物理“時空體制”，因而難以通過傳統物理空間下的工商社會邏輯予以有效規制；數據作為原料，其價值轉換離不開網絡空間，而網絡空間由網絡基礎設施構成的物理層 (最底層)、代碼與算法層構成的邏輯層 (中間層)和數據、信息或知識構成的內容層 (最上層)構成，因而數據安全治理必然離不開對這三個層次網絡技術的全面考量和把握；數據的價值在很大定程度上取決于數據的體量、算法和算力等多種因素，難以有效采取合比例性的保護措施。因此，需要全面和發展地看待數據安全治理問題，從技術層面建立數據安全協同保護機制，從動態層面建立數據安全場景化風險評估機制和場景適用限縮機制。

最后，總體性強調對底線思維的運用。底線思維就是考慮問題、辦事情要留有充分余地，從最壞處著眼，牢牢把握主動權。針對數據安全治理，需要明確數據安全的核心與底線是什么，為我國謀求更長遠的數據發展紅利。就物理層而言，需要加強國家和關鍵基礎設施運營者對關鍵基礎設施的保護，同時，加快突破核心關鍵技術，提升關鍵信息基礎設施的韌性或可恢復性，為數據安全保障提供堅實的產業支撐。就邏輯層而言，國家需要通過知識產權和商業秘密等方式強化對關鍵算法和代碼的保護，堅決防止關鍵算法或核心算法為他國掌握。就內容層而言，國家需要保障關鍵數據和重要數據存儲的本地化，杜絕關鍵數據流動，嚴控重要數據流動，適度放開一般數據流動，政府部門做好數據流動安全風險事前評估，企業做好數據流動安全風險自評估。

(3)以人民安全為價值目標，重視人民利益訴求。習近平總書記指出，人民性的重點就是人民利益，人民性理論就是以人民的利益福祉、主體地位、全面發展、社會實踐為核心的理論?？傮w國家安全觀始終以人民安全為宗旨，統籌經濟安全、社會安全、網絡安全、數據安全等多方面安全。因此，人民性是總體國家安全觀所追求的最高價值理念，也必然是數據安全所追求的最高價值目標。在傳統意義上，國家對國家安全的風險感知能力與民眾的風險感知能力和程度存在差異性，尤其是在風險社會中，國家對安全風險尤其是數據安全風險的感知能力更強，所面臨的風險程度更高，但這并不意味著個體的數據安全風險感知能力和程度被忽視，數據安全乃至國家安全的最終落腳點仍然是人民安全，民眾所感知的數據安全風險也可能演化為社會安全風險。這種自下而上的數據安全風險感知，可以在一定程度上避免政府或國家基于職權主義或官本位思想的主觀選擇偏好。因此，當前更需要從民眾的視角感知數據安全風險，關注民眾的福祉和期待，以人民性理論和“第四代人權”理論為視角，實現對數據安全治理的理論調適。

從人民性出發指導數據安全治理實踐，主要以人民的安全利益為出發點，其目的在于使人民免于恐懼和匱乏的自由，反之則為增進人民的安全感和權利保障。首先，保障人民訴求被準確地接收、執行，應當完善民意表達渠道和執行落實反饋機制。在實踐中，自下而上的數據安全反饋機制可能存在經由主體間性、科層傳導、決策偏好和行動偏好，造成人民數據安全風險信息傳導的窄化、偏差乃至政府的行動失靈。因此，需要政府部門最大限度且準確地接收人民所表達的數據安全風險信息，進而準確識別和梳理出有效的議題。在此基礎上，為了避免決策者和行動者的選擇偏好性，應建立執行落實反饋機制，保障各項數據安全風險議題能夠有效執行。數據安全風險議題可以集中在以下三個層面：①網絡社會生存層面，包括網絡社會中人民數據接入的可能性和數據儲存安全性等；②網絡社會生活層面，包括人民數據交互的便捷性、數據利用的高效性等；③網絡社會權利層面，包括人民數據權利以及個人信息權益、隱私權保障等。其次，健全政府數據安全保障績效評價體系。數據安全治理作為新興課題，是保障人民在數字時代享受數字福利的重要方面，建立較為完備的績效評價體系是當前總結實踐經驗、檢驗制度實效、修正制度偏差、衡量人民安全感水平、保障人民數據安全利益的重要途徑。最后，保障人民在數據安全風險治理中的參與權和基本權利。保障人民數據安全治理的參與權可以從確保法律上承認人民的主體地位，避免政府、企業在面對人民意見時選擇性失明，調動人民參與數據安全治理的積極性等方面入手，如在數據安全領域設立批評建議權、聽證權、監督權等。從基本權利出發，保障人民享有基本的數據權利，如數據所有權、數據用益權、數據攜帶權、數據刪除權、數據利用收益請求權等。

5 數據安全治理的第三條路徑

數字時代數據安全治理的理論深化不僅需要諸多理論的調適，更需要基于諸多理論調適，實現整體性和體系性理論升華，需要從原有理論基礎上予以突破和創新，進而尋求數字時代總體國家安全觀理論深化的第三條路徑。第三條路徑在吸收總體國家安全觀中的安全實踐本位、總體性治理方式和人民性價值目標等基本原則的基礎上，以數字空間特點和規律為理論起點進行系統性構建，數據安全的治理機制如圖1所示。

圖1 數據安全治理機制

(1)通過節點論解決“靠誰治理”的問題。節點論針對數字時代去中心化和扁平化的關系特點，每個網絡主體均為網絡中的節點，均發揮作用。不同的節點作為數據的所有者、占有者或控制者，既是治理的主體，又是治理的客體，還是被保護的對象。面對三重身份的疊加，數據安全治理恰恰是數據節點實現自我治理的過程。節點論既深化了總體國家安全觀中的總體性治理方式，又深化了人民性價值目標。節點論通過系統性考察網絡空間中不同節點以及不同節點在數據安全治理中所發揮的作用，從而辯證地認識不同類型節點的作用。同時，節點論將人民視為重要節點，強調其發揮的重要作用。在此基礎上，節點論系統性整合了不同類型的節點力量，可以實現數據安全治理力量的系統優化。

在數據安全治理過程中，必須注意不同類型節點的特殊性，雖然不同節點均享有一定的權利 (權力)或義務 (責任)，但具體內容和作用有所差異。該差異是由不同節點的要素控制能力導致的，這些要素主要分為四個方面：第一是認知，即節點自身對于目標事件的理解；第二是技術，即節點影響該事件進程的方法；第三是資源，用以支撐該節點形成該影響；第四是制度，即該節點整合和調用認知、技術和資源的整體結構。因此，不同節點通過不同程度的數據安全風險感知，憑借自身有限的資源能力和影響力，在制度賦權范圍內作出數據安全維護行為，構成數據安全治理的全部范疇。

不同節點可以分為三種類型，分別為政府部門、數據信息業者、數據提供者。政府部門主要為網信部門、國安部門、公安部門以及其他掌握重要數據的職能部門?；谡块T所掌握的專業化認知能力、強技術能力、制度賦權能力、行動能力等，結合我國的舉國體制、政治動員能力以及其為人民服務的價值定位，在現階段政府起主導作用。一方面，政府部門作為政務數據所有者和個人數據控制者，負有保障自身持有數據安全性的重要責任。另一方面，政府部門作為監管者，負有對數據信息業者數據流通行為依法監管和對數據提供者權利保護的責任。數據信息業者作為數據控制者，主要包括代碼編譯者、算法開發者、平臺服務提供者、其他掌握重要數據企業等。因數據信息業者作為網絡底層邏輯的開發者，決定了數據信息的運行邏輯，同時也具有政府所賦予的部分規則制定權、審查權、管理權和處分權，為準公權力機關。從數據安全治理的角度來看，一方面，數據信息業者的數據流動行為會成為政府監管的對象，此時意味著其需要履行數據安全保障和行為合規義務；另一方面，作為平臺運營者，數據信息業者也具有一定的監管責任和“執法權力”，如賬號封禁、禁言等措施。因此，現階段數據信息業者可以成為政府監管力量的有益補充，發揮協助作用。隨著數據信息業者合規制度和行業制度的不斷健全，借鑒美國的治理模式，數據信息業者的行業自治將成為重要的方式。數據提供者主要為民眾個體，個體的行動能力相對較弱，但基于前文所述，人民作為數據安全的重要感知力量，應當賦予其數據安全治理的參與權，并通過法律強化其具有的參與權能和數據權益。因此，應當將數據提供者定位為數據安全治理的重要參與者。

(2)通過數據生命周期論解決“治理什么”的問題。數據生命周期論在總體性治理方式和安全實踐本位的基礎上，針對數據信息的全過程進行關注，關注每個階段存在典型和非典型安全風險。傳統生命周期理論強調組織體發展階段是由盛轉衰的過程，而數據生命周期理論強調的是數據產生利用的各個階段，在一定程度上各個階段是自然演進、相對獨立的，數據可能存在需要銷毀的階段，但數據價值的析出就是從海量數據中進行凝練，因而數據并不存在嚴格的消亡階段[20]。就數據生命周期的階段性劃分而言，雖然根據目的和任務不同存在不同的劃分方式，但其內在的基本邏輯較為一致，大部分包括數據收集、數據存儲、數據利用、數據銷毀等階段。具體到數據安全領域，可以分為五個階段：第一階段是數據獲取、采集階段；第二階段是數據分類、儲存階段；第三階段是數據分析、利用階段；第四階段是數據流通、交易階段；第五階段是數據維護、處置階段。通過厘清各個階段，為后續明確不同階段的具體數據安全風險奠定基礎。

第一階段主要涉及數據主動采集或獲取工作，數據來源具有多樣性，包括政府公開數據、企業數據、行業數據、網頁爬蟲數據等。此階段的數據安全風險主要為數據采集等級和邊界的問題，包括采集不應采集的等級數據和超過應有目的地采集不同種類數據。因此，在數據采集和獲取階段，應當進行數據分級分類監管，對數據獲取邊界進行有效評估和目的性限縮。第二階段主要涉及數據分類和儲存工作，對于此階段的核心數據根據不同的等級和類型數據采取與之匹配的儲存和管理措施，防止數據泄露或竊取風險，還應當根據數據分析能力的發展動態調整數據等級，避免技術進步所產生的安全風險。應規范數據管理人員的操作行為，防止操作失誤所產生的數據泄露風險。第三階段主要涉及數據分析和利用階段，主要包括數據清洗和數據分析兩個環節。數據安全風險主要產生于數據分析階段，數據分析利用的場景或算法直接決定數據安全風險的有無和程度。因此，需要結合不同的應用場景和算法分析強度，具體評估和分析數據安全風險。第四階段主要涉及數據流通和交易，數據的價值在于利用，更應當注意數據流動的安全風險。首先，在數據跨境流動過程中，何種數據可以出境，需要經過自評估和監管機關評估，具有一定安全風險的數據堅決禁止出境。其次，對于國內的數據流動，建立統一的數據交易市場、數據監管機構和數據要素研究機構，對數據交易風險進行有效評估和防控。最后，由于數據具有重復利用性和可累積性，可能導致多種類數據累積分析后產生數據安全風險、數據泄漏和濫用風險。因此，應當建立數據交易目的達成后自動刪除或封存機制以及執行監督機制。第五階段主要針對可流通數據產品的維護和處置，仍然存在假名化數據、不完全匿名化數據、關鍵數據、重要數據等數據產品流通。因此，需要加強對交易數據產品中數據的類型、等級以及是否真正實現匿名化等內容進行有效評估和監管，推動數據產品的合規工作。

(3)通過協同論解決“如何治理”的問題。協同論針對數字時代數據安全風險常態化和動態化特征，在各節點均有行動能力的基礎上，不同節點需要協同治理才能發揮最大的效用，是總體性治理方式與人民性價值目標的優化適用。當前，我國數據安全治理在一定程度上處于靜態的、線性的治理狀態，但這種治理狀態并不能滿足數據安全動態的、非線性的治理需求。主要原因在于影響我國數據安全的因素數不勝數且相互交織，相關風險的出現取決于時間、場景等隨機條件。當數據安全風險呈現動態變化時，社會系統便處于非線性狀態，與傳統系統的穩定結構間的差異就會逐步顯現，從而具備通過漲落和自組織建立新秩序的可能性，而能否形成新的有序結構的關鍵在于物質、能量、信息的凈輸入能否滿足非線性狀態隨機漲落的需要。因此，數據安全治理系統必須重視外界環境與內在系統的動態關系，不斷調整優化自身的結構和方法，整合應對數據安全風險所需要的認知、技術、資源、制度等要素的協同機制。

首先，認知協同機制主要包括兩個方面：一方面，不同節點對其參與數據安全治理的自身定位、權力責任/權利義務等有清晰的認知；另一方面，建立了不同節點的橫向縱向認知聯動以及對外在安全風險的動態感知機制。對于政府部門和數據信息業者，其感知數據安全風險的方式主要通過數據風險評估和技術風險評估。對于人民個體，其感知數據安全風險的方式為技術經驗。這些數據安全風險會通過議題的形式沿著縱向和橫向的節點聯動進行擴散和分配，因而必須建立暢通的議題聯動渠道和議題解決反饋機制，避免出現前文提到的渠道窄化和主觀選擇偏好等問題。其次，技術協同機制是指不同的節點根據其分工不同掌握不同的技術，這種技術水平和能力取決于該節點自身的屬性以及在數據生命周期所處的階段。對于政府主體和數據信息業者在不同階段的技術能力，前文已有表述。對于人民個體的技術能力并不在于其本身掌握的專業知識，而在于其能否通過較為專業化的技術路徑維護自身權益，如向法院起訴、平臺申訴或參加聽證等方式。再次，資源協同機制是指不同節點在數據安全治理中獲取、整合、運用資源的能力不同，該資源主要指經濟資源、社會資源、文化資源等，需要不同節點之間搭建資源的協同機制。重點在于政府和數據信息業者的動員能力以及人民參與數據安全治理的積極性，主要包括國家對數據安全以及數據產業的支持程度和政策導向、關鍵技術和基礎設施的投入、數據安全和數據安全法相關知識的普及、數據信息業者的社會責任感等。最后，制度協同機制是指控制不同節點在合理限度內的行為方式和關聯方式，形成數據安全治理的相對穩定、有序結構，進而形成層級分明、內容完備的融貫性制度體系。制度協同需要從三個方面入手：①協調和完善數據安全與數據流通的立法體系，尤其是制定數據流動相關的制度體系，健全數據產權和流通規則；②通過制度明確不同節點的權利義務/權利責任以及不同節點的聯動方式和落實機制，推動各節點在制度的框架下有序運行；③區隔不同算法或場景下不同節點的行為和關聯方式，建立基本的節點行為方式和操作規范，保障基本的數據安全需求。

6 結語

在數字時代，數據安全治理已然成為國家安全治理中的重要方面，數據安全是數據流通的前提，數據流通是數據安全的保障，需要兼顧數據安全與流通，而非一刀切地偏重某一方面?？傮w國家安全觀為數據安全治理提供了基本指導原則，數字領域的“節點論”“數據生命周期論”“協同論”又與總體國家安全觀的價值、實踐一脈相承。因此，在理論上進行守成的同時，需要不斷深化數字領域的理論創新與應用，尋求數據安全治理的第三條路徑。未來還應當探尋現實化的路徑，在新理論指導下構建數據安全治理機制，將數據安全治理的理論優勢轉化為治理效能，開辟數字時代具有中國特色的數據安全治理之路。