一、從靜態防御到動態安全：數據安全保護的理念變革

傳統的信息安全理論重點關注數據的保密性、完整性和可用性，在此語境下的“數據安全”主要是指數據與主體關系的穩定性，包括主體對數據控制狀態、占有狀態、利用狀態的穩定以及數據不被其他主體竊取、篡改、使用、破壞狀態的穩定。隨著信息化和信息技術的進一步發展，數據流動、利用逐漸多元化，但數據的侵權和濫用漸成常態。數據從靜態安全到動態流動、利用的轉變，使得數據安全從“保障數據與主體關系的穩定性”擴張至“防范數據處理行為對現實安全秩序的破壞”，這包括現實的人身安全、財產安全、公共安全乃至國家安全。

從我國《網絡安全法》第21條“防止網絡數據泄露或者被竊取、篡改”到《數據安全法》第3條將“合法利用”納入“數據安全”范疇再到《網絡數據安全管理條例》第8條對利用網絡數據從事非法活動的明確禁止。數據安全保護的對象逐漸擴展并愈加明晰，即數據相關主體的安全利益。

二、《網數條例》對數據要素發展的制度回應

《數據安全法》定義了數據安全有效保護和合法利用的兩種狀態，但并未建立數據流轉安全的具體規則。《個人信息保護法》針對個人信息對外提供、委托、共同處理確立了一定要求，例如應當開展個人信息保護影響評估。對外提供個人信息的，應當履行告知義務并取得單獨同意。委托處理個人信息的，應當與受托人約定各自權利義務并進行監督等。

《網數條例》緊抓數據流動和利用安全這一數據要素時代的數據安全核心問題，關注點從“數據安全”到“數據合法有效利用”，在《數據安全法》《個人信息保護法》基礎上做了諸多規則補充：

一是要求提供、委托處理個人信息和重要數據的，應當通過合同等明確安全保護義務、監督義務履行情況、記錄處理情況并至少保存3年。值得注意的是，《個人信息保護法》僅要求“委托”處理個人信息的需要約定權利義務并監督，《網數條例》則擴展至“提供”個人信息的場景。

二是要求重要數據的處理者提供、委托處理、共同處理重要數據前，除為履行法定職責或者法定義務外，應當進行風險評估。

三是明確了針對自動化采集豁免知情同意規則。《網數條例》第二十四條吸收《個人信息保護法》第十三條、第十八條規定，利用行政法規層級，實現對自動化采集知情同意規則的豁免。

（二）關注產業鏈供應鏈安全

《網數條例》對網絡數據安全的關注不再是節點安全而是整個產業鏈供應鏈的安全，不僅明確提出“供應鏈網絡數據安全”概念，也構建了較為全面的供應鏈安全體系：

一是《網數條例》不僅關注國家機關網絡數據安全，還首次針對為“關鍵信息基礎設施運營者、參與其他公共基礎設施、公共服務系統建設、運行、維護的”供應商，提出其與“國家機關”相關服務供應商同等安全保護要求。

二是不僅關注供應鏈上的服務安全還關注信息系統安全，要求為國家機關提供服務的信息系統參照電子政務系統的管理要求。

三是對于處理重要數據的大型網絡平臺服務提供者，《網數條例》首次明確要求前者應當充分說明關鍵業務和供應鏈網絡數據安全等情況。

數據跨境安全是數據流通安全的重要內容之一。黨的二十屆三中全會《決定》再次強調，“要提升數據安全治理監管能力，建立高效便利安全的數據跨境流動機制”。近年來，我國數據出境規則在監管與產業的互動、磨合中迅速調試。《網數條例》在總結《數據出境安全評估辦法》《促進和規范數據跨境流動規定》等部門規章制定、實施經驗基礎上，進一步優化了數據跨境流動機制，尤其是吸納了《促進和規范數據跨境流動規定》諸多規則：

一是明確國家網信部門統籌協調有關部門建立國家數據出境安全管理專項工作機制。

二是擴展個人信息可自由出境的情形。《網數條例》吸納《促進和規范數據跨境流動規定》豁免規定，在《個人信息保護法》的基礎上新增“明確為訂立、履行個人作為一方當事人的合同”、“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理”、“緊急情況下為保護自然人的生命健康和財產安全”情形下確需向境外提供個人信息的，個人信息可以出境。值得注意的是，《網數條例》在《促進和規范數據跨境流動規定》基礎上又增加了“為履行法定職責或者法定義務，確需向境外提供個人信息”，作為可以向境外提供個人信息的情形。《促進和規范數據跨境流動規定》規定的“關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的”則并未納入《網數條例》。但基于《個人信息保護法》第38條明確法律、行政法規或者國家網信部門規定可以對個人信息出境條件做出規定。《促進和規范數據跨境流動規定》作為“國家網信部門規定”，該條款依然有效。

三是吸納《促進和規范數據跨境流動規定》規定，明確未被相關地區、部門告知或者公開發布為重要數據的，不需要將其作為重要數據申報數據出境安全評估。

值得注意的是，《網數條例》還規定國家采取措施，防范、處置網絡數據跨境安全風險和威脅。大型網絡平臺服務提供者應當健全相關技術和管理措施，防范網絡數據跨境安全風險。

（四）將國家數據局納入監管機制

《網數條例》在延續《數據安全法》確立的監管機制基礎上一是回應國家數據局的成立，將國家數據局納入監管機制，明確“國家數據管理部門在具體承擔數據管理工作中履行相應的網絡數據安全職責”。

《網數條例》首次明確“不得利用網絡數據從事非法活動”。在三法基礎上，吸收《刑法》及相關司法解釋中對于侵犯公民個人信息罪、幫助信息網絡犯罪活動罪的相關規定和表述，涵蓋了包括竊取、以其他非法方式獲取、非法出售、非法提供網絡數據等禁止性行為規定，并進一步禁止提供非法活動的程序、工具，禁止提供技術支持和推廣、結算幫助，明確對利用數據從事非法活動的全鏈條打擊要求。

三、賦能數據要素流通利用：數據安全下一步工作思考

（一）規則建設：提高動態安全保障能力應作為下一階段數據安全規則補足、完善的重要方向

作為數字經濟時代的重要資源，數據要素安全直接影響數據價值釋放。流通不只是數據出境問題，更多的場景是數據常態化地提供、共享、交易以及使用。這也是在《數據安全法》確立了數據交易制度、全流程的數據安全制度框架下，配套規定需要去解決、提供更多規則支撐的重點。

    《網數條例》在數安法基礎上往前邁出了一大步，但數據動態安全規則的建設依然任重道遠。數據跨平臺、跨主體共享，數據匯聚、融合、加工、挖掘分析等安全規則仍有較大缺口需要去補齊。

（二）監管方式：數據法治應從“安全”治理擴展至“生態”治理

隨著數據采集匯聚、計算存儲、流通交易、開發利用、安全治理和數據基礎設施建設等數據產業蓬勃發展。數據安全問題不再是單點問題，而是會上下游傳導，向其他主體輻射影響。隨之而來的數據安全治理不再是對數據本身的治理，而是對整個數據產業鏈、生態鏈的治理。在此背景下，數據生態治理這一特點將在接下來數據要素發展中體現得尤為明顯。

對應的監管方式也應當有所調整：一方面，結合數據要素產業發展情況，實現對產品、工具、服務等前端、中端、終端的全鏈治理。另一方面，將監管模式從以“數據處理者”為監管核心擴展至覆蓋數據處理者以及數據經紀、數據咨詢、合規認證、安全審計、風險評估等多元主體的數據安全治理生態。

（三）監管重點：關注數據要素發展中的安全問題

一方面，重者恒重。緊扣國家安全、公共安全。關注重要數據安全、政務數據安全、數據出境安全。另一方面，在高質量發展成為全面社會主義現代化建設國家首要任務的背景下，無論是規則制定還是執法監管，均不可脫離產業發展實際或發展水平、發展需求談安全，這就要求：

一是結合發展形勢關注發展中的安全問題，提升監管重點、方式與安全形勢的匹配性。例如高度關注數據要素流轉、加工、分析、融合、匯聚關聯等安全風險。

二是回應新技術新應用帶來的新安全問題。這一點主要體現在人工智能技術。歐盟高度關注人工智能法與GDPR 的協調問題，美國關注人工智能發展中的隱私保護問題等等。

（四）基礎理論研究：數據基礎制度探索依然是包括數據安全在內的數據法治的重要任務

長期以來，數據權益問題是影響數據供應及數據利用的重要因素。從全球范圍來看，當前仍未有一個成熟的解決方案。加強頂層設計、總體謀劃，抓好數據產權、流通交易、收益分配、安全治理等政策制定，加快構建適應數據要素特征、符合市場規律、契合發展需要的基礎制度已成為完善數據要素市場制度規則的重要要求。

近年我國在培育發展數據要素市場實踐基礎上探索出了數據資源持有權、數據加工使用權、數據產品經營權等分置機制，但仍存在諸多基礎性問題有待解決。例如，老大難的數據權屬問題，以及新技術發展下數據屬性的認定問題（個人信息與非個人信息、敏感信息與非敏感信息，重要數據與非重要數據，具有相當的動態性）。數據處理參與主體法律責任認定問題（數據來源方、數據匯聚方）。授權機制的問題（知情、同意規則）等等，這些也是影響數據安全治理的底層問題。后續數據基礎制度探索依然是包括數據安全在內的數據法治的重要任務。