党的二十大报告提出要推进国家安全体系和能力现代化，贯彻总体国家安全观。国家数据安全是非传统安全的重要内容。现阶段，国际层面美欧数据主权呈现强权态势，国内层面数据类型化保护法律体系亟待构建，数据层面国家核心数据与重点数据规制不足凸显。因而，有必要通过合作治理以深化数据安全的战略基点与价值面向，基于规范治理以构筑数据安全法律规制体系，以协调治理贯彻数据治理的多元平衡理念，为全球数据安全治理提供中国智慧与中国方案。

一、国家数据安全的新时代背景

党的二十大报告强调要“统筹传统安全与非传统安全”。现阶段，非传统安全呈现多风险相互交织、众威胁联结耦合、国内外安全高度关联的显著特征。在数据领域，各国数据主权战略差异悬殊、数据管辖与监管各行其是、数据治理政策主张激烈振荡。全球数据领域的不稳定性与不协调性凸显，时刻威胁着人类社会的安全与稳定。国际社会亟待实现数字领域的和谐稳定共治，“从‘囚徒困境’‘零和博弈’式的‘对抗性存在’走向一种‘你中有我，我中有你’的合作性共存”十分必要。

早在2014年，习近平总书记就指出：“在信息领域没有双重标准，各国都有权维护自己的信息安全。”2017年12月，习近平总书记在中共中央政治局第二次集体学习时强调：“要切实保障国家数据安全……维护广大人民群众利益、社会稳定、国家安全。”党的二十大报告提出“强化网络、数据等安全保障体系建设”的重要论断，为国家数据安全的维护与发展提供了理论指引与行动指南。

二、国家数据安全的理论进路

（一）数据主权与数据安全的逻辑关系

基于整体性视角与体系性思维，应当厘清数据主权与数据安全之间的内在逻辑关系，基于数据主权发展、完善的宏观框架阐述数据安全。数据主权的核心任务是对内充实权能意涵与对外实现独立自主，首要价值是数据安全，基础支撑是技术实力，长远目标是数据发展。

在国际数字治理领域，数据兼具全球性与疆域性、虚拟性与现实性的二律背反性质。数据主权不具有明显的地理疆域界线，立足于又超越于物理空间。但其虚拟性同时深刻作用于现实，服务器、传输信道、终端节点等皆存在于现实社会，国家对落入其管辖范围的物质载体进行监管是其法定职责。数据兼具资源性价值与战略性价值，作为能动性的战略资源，对于维护国家安全、社会稳定、个人权益至关重要。数据受国家监管既具有合理依据，又具有现实必要性。

（二）数据治理与数据安全的维度解构

数据领域具有动态性、主动性、开放性与交互性等特点。在基本属性层面，数据既具有虚拟性又具有现实性；在安全形态层面，既需要静态安全又需要动态安全，既需要内容安全又需要信道安全；在规制效果层面，既具有强制性标准又具有开放性指向。国内数据法治应当注重以科学监管发挥数据经济效能，以高效发展维护数据安全。涉外数据法治应当坚定维护数据主权，反制外部干涉，在国际数据治理规则领域增强话语权。

安全与发展是数据治理的两个维度。防范国家安全风险与维护社会公共利益，促进数据贸易与数字经济发展，是数据治理的应有之义与必然要求。数据安全的内因是化解风险、免于威胁，外因是合作共赢、互利互惠。在价值位阶层面，国家安全是一切数据应用、处理等活动的底线与红线。在功能定位层面，数据安全依赖于数据资源的保护与技术实力的支撑。统筹审视数据安全的内因外因、价值位阶与功能定位，有助于以全面客观的视角探讨维护国家数据安全的整体逻辑与具体维度。

（三）国际数据治理的理论畸变

国际数据治理领域呈现失调化、失序化与失灵化。“‘多利益攸关方’‘网络空间自主主权’‘全球公域’‘数据例外’等理论此消彼长”，传统主权理论受到挑战。部分西方国家实质上否认各国对数据进行司法管辖与行政监管的权力。一方面，谋求国际数据领域“去法治化”。推行数据自治，虚化各国对数据领域的管辖与治理，意图使数据领域退化至技术决定论的境地，以便自身技术优势最大化。另一方面，寻求国际数据领域“反法治化”。霸权国家奉行长臂管辖与强权政策，借助技术优势肆意侵犯他国数据安全，并试图引领、决定与控制全球数据经济发展。数据的形成、存储、应用、处理等环节可能分别发生于不同国家，数据霸权与强权时刻威胁着各国的数据安全，也阻碍了国际数据治理的法治化进程。

三、国家数据安全的实践困境

（一）国际层面：美欧数据安全战略的强权态势

美国出台了《国家网络战略》《澄清境外数据的合法使用法案》《提高关键基础设施网络安全框架》《增强联邦政府网络与关键基础设施网络安全总统行政令》等法案，“形成了以完善战略顶层设计、保护关键基础设施，促进政企合作、保护个人隐私，建设网络空间军队、筹备网络战为核心的三大战略板块”，具有对外强势属性与对内深化治理控制的显性特征。欧盟出台的《通用数据保护条例》则进一步加强了信息隐私保护，严格数据出境审查，注重维护私主体的信息安全与合法权益。“欧盟以单边监管影响全球规范，引发了数字领域的布鲁塞尔效应”，注重向世界推行欧盟的数据保护标准，扩大欧盟数据保护模式的影响力。美欧的一系列法案皆反映出其作为技术强势国家与地区的利益诉求。对内极为重视各主体的数据安全，增强数据监管与控制能力，严防重要数据流向境外；对外谋求数据管辖权的扩张，不断尝试以国内立法的形式实现域外管辖。

美国通过国家间技术实力的对比态势以确定数据自由流动的政策空间，特别是与发展中国家进行数据合作时，极力鼓吹数据自由流动的优势，推行数据跨境流动自由化以获取发展中国家的数据资源，并通过发达的数据集成、挖掘、应用与攻防技术攫取利益。因而，应当警惕其综合运用传统安全与非传统安全手段对他国数据产业进行无理打压与排挤，以及实施技术封锁的风险，冷静应对竞争白热化的挑战。

（二）国内层面：数据类型化保护法律体系亟待构建

我国在数据信息领域已经初步形成了以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国国家情报法》为基础的法律规范体系。其中，《中华人民共和国数据安全法》（以下简称《数据安全法》）是维护数据主权、保护数据安全的核心规范。数据安全维护遵循类型化原则，国家核心数据、重要数据与一般数据区分保护是《数据安全法》对数据分类分级的具体规定。根据《数据安全法》第21条的规定，数据分类分级的标准是正反两方面重要程度与危害程度。其中，正面的界定重点考察数据的资源价值；反面的界定则基于国家、社会与私主体三方面的视角，关注数据存储、应用、处理等环节产生的风险对前述公私主体造成的危险程度。总体来说，现行法律规范能够较为全面地统摄防范数据风险与发挥数据价值的基本意涵，但与宏观治理机制相适应的配套实施规则的缺失制约了治理效能。

《数据安全法》从安全、经济、民生与社会4个领域对国家核心数据进行界定，条款中规定了国家、命脉、重要与重大的4个关键词，但并未在此基础上进一步细化，其他法律规范中针对国家核心数据的规制也尚付阙如。此外，《数据安全法》并未规定重要数据的具体概念，重要数据的相关界定多散见于相关技术性标准文件之中。2017年8月公布的《信息安全技术  数据出境安全评估指南（征求意见稿）》中术语和定义3.5之规定，重要数据是与国家安全、经济发展，以及社会公共利益密切相关的数据。其附录A以行业领域为标准界定了重要数据。2019年8月发布的《信息安全技术  大数据安全管理指南》并未规定重要数据的定义和范围，但规定了数据安全的分类分级流程等事项，即综合分析业务、安全风险、安全措施等因素，确定数据最终的安全级别。2022年1月完成的《信息安全技术  重要数据识别指南》规定了重要数据的定义，即以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。具体列明了识别基本原则与因素，并创新性地规范了重要数据的描述格式。2022年9月公布的《信息安全技术  网络数据分类分级要求（征求意见稿）》规定了“重要数据-核心数据-国家核心数据”的结构，重要数据包含核心数据，核心数据的界定立足于重要数据。核心数据的界定范式呈现以物理特征为主、价值为辅的特点，以政治安全作为核心数据的价值面向，通过范围、精度、规模与深度４个标准将核心数据区别于重要数据。总体来说，抽象性的数据价值标准与具体性的数据性质标准未能有机协调，主要的分类分级标准如数据主体、数据所在领域以及数据所属部门等各行其是。

（三）数据层面：国家核心数据与重点数据规制不足凸显

国家核心数据在价值维度上直接关乎国家利益，而重点数据则是特定行业、领域与部门的高价值数据的组合，相较于国家核心数据处于次一级价值位阶。目前，国家核心数据的法律规制存在抽象待细化、边界待明确的现实问题，重点数据的法律规制呈现监管碎片化、领域割裂化的倾向。重点数据的目录门类往往由各行业、各地区等分散化的主体自主制定，这一方面有助于提高重点数据保护的全面性，另一方面也导致重点数据法律保护欠缺一致性的立法逻辑。相互割裂的单元式组合难以产生体系性的规制效果，各条块、单元之间缺乏必要的衔接，且未形成严密的体系，致使其在实际操作层面存在执行散乱、规制参差的问题。此外，自下而上的重点数据保护方式具有较强的实践基础与较高的积极性，然而，不同主体对数据价值与反向危害的评估范式和衡量标准不尽相同，何以保证重点数据的科学性与合理性是目前需要关注的现实问题。维护国家核心数据与重点数据安全同样依赖于硬件层面的具体设施。现阶段，关键信息基础设施保障体系、数据保护的规范屏障尚未建立，技术与法律的逻辑协调与实践共进在数据安全层面未能充分实现。此外，基于具体安全风险视角的审视，加密存储、数据隔离、数据迁移、安全审计、数据残留、高级持续性攻击防范等方面还面临诸多挑战。

四、数据安全治理的法治化路径

（一）合作治理：深化数据安全的合作基点与价值面向

第一，凝聚各国数据主权治理的共识。可以预见，竞争与对抗将是数据主权主要的外部风险，在竞争中合作、在对抗中发展是统筹传统安全与非传统安全的应有之义。2003年通过的《日内瓦原则宣言》第49条申明“与互联网有关的公共政策问题的决策权是各国的主权”，维护数据主权是世界绝大多数国家的普遍共识，更是广大发展中国家的紧迫要求。数据主权关乎国家安全，数据安全又是数据主权的基本权能。顺应数据主权法治化的时代趋势，联合众多新兴经济体共同反对数据霸权主义，构建数据安全的互信互联互通机制，是推动国际数据治理秩序法治化的现实路径。

第二，坚持合作倡议引领，遵循共商共建共享原则。我国应当与“一带一路”沿线国家合作，构建稳定有序的多边合作机制，制定创新科学的多边数据治理规则。各国应当互相尊重数据主权、保护数据安全，促进数据作为生产要素充分涌流，积极参与全球数字基础设施建设，深度融入数字经济发展的时代大潮。

（二）规范治理：构筑数据安全法律规制体系

1.国际法治层面：坚定维护数据主权、安全与发展利益

当前，数据领域仍然存在着零和博弈的冷战思维与弱肉强食的丛林法则，尚未形成各国数据主权得到充分尊重、数据安全得到充分维护、数据权益得到充分保障的国际数据治理新秩序。发达国家与发展中国家的数字鸿沟不断扩大，技术弱势的发展中国家在数字领域的国际竞争中的地位愈加被动，数字领域的竞争规则与合作机制亟待确立。应当注重提高国际规则制定的话语权，提出具有中国特色与中国智慧的全球数据安全治理方案。

我国应当围绕反制裁、反干涉与反制长臂管辖，丰富涉外法治的“工具箱”与“武器库”。《中共中央关于全面推进依法治国若干重大问题的决定》提出：“要完善涉外法律法规体系，提升对外开放的制度化、法治化水平。”一方面，要以《中华人民共和国反外国制裁法》《阻断外国法律与措施不当域外适用办法》等法律规章为基础，完善数据领域反制外国长臂管辖的实施细则，坚决反制侵犯我国数据主权、干涉我国数据内政与损害我国数据权益的非法行径。另一方面，积极制定我国涉外管辖的法律规范，提出数据领域管辖权的中国方案与中国标准，探索性地提出数据攸关方与数据之间密切联系标准，保障数据资源的战略价值。此外，数据主权具有一定的弹性。开放共享是数据的本质特征与根本属性。数据治理国际合作亦应当统筹兼顾数据有序自由流动，避免泛化、固化数据安全以阻碍数字贸易的发展。

2.国内法治层面：完善数据安全治理规则

第一，完善数据分类分级制度。注重条块化而非碎片化，需要进一步寻找数据分类分级的种属关系依据，既要发挥自下而上的能动性与实践性优势，亦要避免因散乱化导致的标准权重不同、协调不明与衔接不畅等失衡性因素。应当明确各地方、各部门与各行业的数据分类分级制度的自主认定权限的位阶，在各数据认定标准存在冲突时，应当考虑数据分类分级各认定主体对相关种类数据的攸关性、掌握度等因素，系统审视数据应当处于何种层次。“打破传统行业和地域边界建立联动机制，共同制定与新技术新业态应用场景相适应的数据分类分级规则。”一般数据、重要数据与国家核心数据之间可能相互转化。数据正向价值与反向风险会基于时间、领域与条件的变动而变化。及时评估数据等级，增强数据安全维护手段的精准化，提高数据发展的积极性。

第二，构建风险防范与法律责任机制。风险防范的关键在于优化监管，推动监管重心前移，实现全环节、全链条动态监管。建立数据风险预警机制，及时研判数据安全风险，特别是数据跨境流动的风险。此外，应当促进数据分类分级合理化，防范数据存储的安全威胁，完善数据应用保障。依托各省区市的大数据管理局，建立风险联防联控机制。建立系统完备与科学合理的法律责任制度。明确数据安全的责任主体，根据数据风险的控制性、利益关联性、实际参与度等因素优化责任主体、归责原则与法律后果的标准机制。

（三）协调治理：贯彻数据治理的多元平衡理念

技术的发展完善需要法律不断创新、填补空白，发挥导向与规范作用。全球治理需要多元、高效、安全的跨国际的合作机制，以应对全球性风险与区域性挑战。数据安全治理与数据开放共享应当协同推进，避免因过度倚重某一价值而造成数据治理的价值体系失衡。应当制定兼具原则性与灵活性的数据监管政策，适应数据技术日新月异的发展，促进数据的依法有序应用。应当将实现数据开放共享与自由流动作为数据治理的重要任务，数字经济的发展离不开数据作为生产要素充分涌流，数据技术作为核心竞争力离不开数字市场的蓬勃发展。

此外，应当统筹国际硬法与国际软法的重要作用。一方面，数据主权与数据安全关乎一国国家安全，因而有必要通过国际法责任制度来增强相关规范的法律拘束力。另一方面，“直接通过以条约为核心的国际硬法协调各方利益并不现实，而硬法的缺失为软法的生长提供了空间”。国际软法有助于解决目前国际数据领域存在的敏感性分歧，为摆脱实践中出现的诸多困境提供过渡性与演进性方案。通过各国在实践中的广泛互动实现国际软法协调价值的共进，是顺应发展规律而提出因应之策的必然选择。

国家数据安全是非传统安全的重要组成部分，事关一国的数据主权与发展利益。面对全球数字治理领域的复杂博弈与激烈对抗，以数据类型化保护为切入点，通过合作治理以深化数据安全的合作基点与价值面向，基于规范治理以构筑数据安全法律规制体系，立足协调治理以贯彻数据治理的多元平衡理念，将为维护我国非传统安全提供法治化的现实路径。

(作者系外交学院2022级国际法学硕士研究生，本文刊载于《法治时代》杂志2023年第8期）