党的十八大以来,以习近平同志为核心的党中央围绕数据安全治理作出一系列重要决策部署。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》指出,“加快建立数据产权归属认定、市场交易、权益分配、利益保护制度,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制”。我们要深入贯彻落实习近平总书记关于网络强国的重要思想,学深悟透习近平总书记关于数据安全的重要论述精神,充分把握数据安全治理面临的新形势、新机遇、新挑战,加快提升数据安全治理监管能力,为数字经济高质量发展保驾护航。
提高政治站位,深刻领悟党中央关于数据安全治理决策部署的重大意义
数据安全治理现代化是国家治理体系和治理能力现代化的重要组成部分。面对纷繁复杂的国际国内形势,面对新一轮科技革命和产业变革,面对人民群众新期待,要深刻把握好提升数据安全治理监管能力的重大意义。
第一,数据安全治理是数字经济高质量发展的重要内容。
习近平总书记强调,“推动数字经济健康发展,要坚持促进发展和监管规范两手抓、两手都要硬,在发展中规范、在规范中发展”。数据安全对数字经济发展具有基础性和决定性作用,数据要素只有安全有序流动才能发挥应有的乘数效应,没有数据安全治理就无法保证数字经济的行稳致远。《中华人民共和国数据安全法》对“数据安全与发展”进行了专章规定,要求“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”等。中共中央、国务院印发的《数字中国建设整体布局规划》指出,筑牢可信可控的数字安全屏障是强化数字中国关键能力之一。
近年来,我国数字经济迅猛发展,在国民经济中的地位和作用日益凸显。据国家统计局核算,2023年我国数字经济核心产业增加值为127555亿元,占国内生产总值(GDP)的比重为9.9%。但是,我们应清醒地认识到,我国数字经济总体规模、占GDP比重与世界数字经济大国、强国相比仍然存在一定差距。同时,还要看到我国数字经济在快速发展中也出现了一些不健康、不规范的苗头和问题,这些情况不仅影响数字经济健康发展,还可能对国家经济金融安全和社会稳定带来威胁,需要予以坚决纠正和治理。为此,在推进数字经济建设进程中,应坚持在发展中治理、在治理中发展,形成“以发展促安全,以安全保发展”的良好格局。
第二,数据安全治理是落实总体国家安全观的具体要求。
习近平总书记强调,“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力”。数据安全已成为新时代国家安全的主阵地主战场。世界各国和地区纷纷将数据的流动和安全上升为国家战略,相继出台数据安全的相关法律、政策,例如欧盟的《通用数据保护条例》(GDPR)、新加坡的《个人数据保护法》(PDPA)等。国际社会也正在通过一些协议协定探索数据领域的国际治理规则,例如联合国发布的《全球数字契约》等。值得注意的是,个别国家或地区正在营造数据领域的“小圈子”,企图阻碍其他国家的数字经济发展。
我国出台的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《网络数据安全管理条例》等,为维护国家数据安全构建了法律体系,提供了制度保障。《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出的“提升数据安全治理监管能力”是切实保障国家数据安全的战略考虑。为此,需要构筑和完善数据安全的综合治理体系,防范化解数字经济发展中遇到的重大风险挑战,保障我国数字经济健康稳定发展。
第三,数据安全治理是保护个人信息权益的迫切需要。
习近平总书记强调,“要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系”。数字经济时代,个人的日常消费、社交互动、交通出行等日常生活中的各个领域,都可能存在个人信息被收集、存储、传输、使用等情况。公民个人信息承载着个人的身份、财产、健康等数据,是关系到公民的人格尊严和人身、财产安全的敏感内容。特别是大量个人信息汇聚后,被泄露或者非法使用可能直接影响公共安全和社会稳定。
近年来,一些移动应用或小程序出现强制授权、过度索权、超范围收集个人信息等侵害个人信息权益的情况,个人信息被非法采集、非法买卖等情况也偶有发生。公众对维护个人信息权益的需求日益迫切。个人信息是数据资源的重要组成部分,数据的交易、流通、利用等环节应当保护公众的个人信息权益不受侵害。为此,需要通过数据安全治理,提高个人信息保护的能力和水平,增强人民共享数字经济发展成果的获得感、幸福感、安全感。
增强忧患意识,准确把握数据安全治理面临的新挑战
伴随网络强国建设的深入推进,我国数字经济发展取得了历史性成就,同时也面临一些新挑战,我们需要锚定数据安全治理的方向目标,准确识别国内国际形势不断变化带来的新挑战、新要求,为数字经济高质量发展提供支撑。
第一,来自境外的数据安全威胁形势严峻。
当前,从网络攻击总体态势看,我国面对的数据安全威胁严峻。近年来,全球网络攻击不断,数据泄露事件呈显著上升趋势,数据泄露带来的经济损失明显增加。据有关机构统计,2024年,全球数据泄露造成的平均成本损失达到488万美元/次,创历史新高。我国受到来自境外的数据安全攻击威胁不断,给经济社会发展带来挑战。例如,2025年1月17日,国家互联网应急中心发布报告,公布境外机构对我国某先进材料设计研究院、某智慧能源和数字信息大型高科技企业进行网络攻击和商业及知识产权窃密的详细情况。此外,人工智能、区块链等新技术发展带来“双刃剑”效应,数据安全的攻击威胁出现数据投毒、用户画像攻击、模型逆向推理等新形态,也给我国数据安全治理带来挑战。
同时,从国际数据政策环境看,个别国家出台的不友好数据政策一定程度上影响我国企业“走出去”发展。作为全球贸易大国,我国的数字贸易进出口正加快发展,2023年我国可数字化交付的服务进出口额3859亿美元,同比增长3.5%。但是,个别发达国家借助经济、社会、信息技术等方面的发展优势,在数据领域作出长臂管辖、脱钩断链、强买强卖等“霸权主义”强盗行为,意图打压其他国家数字经济的正常发展。值得注意的是,个别国家在数据领域将我国列为受关注国,阻止数据流向我国,并且频繁出台对我国企业具有明显歧视性的数据政策,部分“走出去”企业受到不公平、不公正对待,严重影响企业的日常经营活动,同时也影响到我国及全球数字贸易进出口的发展。
第二,企业数据合规的意识和能力亟待提高。
数字经济时代,数据是企业日常经营的重要支撑,数据合规涉及各行各业,并日益成为企业健康发展的关切内容,但我国企业的数据合规意识和能力还存在明显不足。在合规意识方面,部分企业对国家法律政策的具体要求理解不足,一些企业不掌握国家发布的最新数据安全和个人信息保护相关规定。同时,有别于传统“有形”的生产要素、生产资料,数据的产权归属、市场交易、权益分配、利益保护等制度规则需要不断探索和完善,部分企业对数据政策和概念还存在模糊认识,个别企业出现观望情绪和选择性合规的现象,影响了数据的安全有序流动。
在数据合规能力方面,部分销售、商旅、生产制造等传统行业企业缺少数据领域的专业技术和法务团队,缺乏相关积累,开展数据合规工作存在难度,亟须提高能力保护企业自身数据安全。此外,部分企业选择向第三方机构寻求数据合规帮助,但市面上一些“小乱差”第三方机构能力不足、服务不规范,给企业数据合规带来不必要的时间和经济成本,一定程度上加重了企业合规负担。
第三,数据跨境流动国际合作需求迫切。
当前,数据跨境流动在推动经济、科技、文化、商贸等方面的数字化发展和国际交流合作中发挥着至关重要的作用。据世界贸易组织(WTO)有关数据推测,如全球所有经济体都限制数据跨境流动,将导致全球GDP损失4.5%、出口减少8.5%。我国数据跨境场景丰富、需求旺盛,以跨境电商为例,据海关总署数据,2024年我国跨境电商进出口总额2.63万亿元,增长10.8%。与此同时,国际社会正在积极探索数据跨境流动的规则和秩序,《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)等多双边协定将数据跨境流动作为重点内容,体现了世界各国和地区对促进数据跨境流动国际合作的强烈意愿和迫切需求。
“主动对接国际高标准经贸规则”是党中央的重要工作部署。探索对接国际高标准经贸规则,需要加快建立高效便利安全的数据跨境流动机制,保障数据跨境安全有序流动。2024年世界互联网大会乌镇峰会期间,我国发布《全球数据跨境流动合作倡议》,呼吁“各国秉持开放、包容、安全、合作、非歧视的原则,平衡数字技术创新、数字经济发展、数字社会进步与保护国家安全、公共利益、个人隐私和知识产权的关系,在推动数据跨境流动的同时实现各国合法政策目标”,给出了全球数据跨境流动合作的中国方案,也给我们开展数据跨境治理实践、处理好数据跨境流动中开放与安全的辩证统一关系、不断提高在开放环境中动态维护国家数据安全的本领提出了更高要求。
坚持系统思维,加快提升数据安全治理监管能力
面对新挑战、新要求,我们要坚持问题导向、目标导向相结合,统筹发展和安全,持续提升数据安全治理的能力和水平,推动数字经济发展与数据安全治理同向发力、同步建设,以高水平安全保障数字经济高质量发展。
第一,坚持依法治理,推动数据安全治理规则体系现代化。
坚持数据法治,深化落实法律法规关于数据安全治理的具体要求。推动制度建设,加快数据安全与个人信息保护相关认证、评估、备案、检测等方面的工作落实,建立完善相关制度体系。同时,组织做好相应政策的阐释解读,及时回应企业诉求;推动标准建设,强化调查研究能力,围绕数据流通利用的痛点难点以及企业数据合规面对的急难愁盼问题,加快出台一批数据治理推荐性和强制性标准,以标准化方式推动治理实践落实落地;推动国际规则对接,跟踪研究国际数据治理规则,结合我国治理实际,探索建立高效便利安全的数据跨境流动机制,进一步促进数据要素依法有序流动。
第二,强化协同治理,推动数据安全治理生态效能现代化。
坚持共商共建共享理念,进一步发挥政府、企业、专业机构以及广大群众等的集体力量,构建群策群力、协同联动的治理生态,共同筑牢数据安全保护屏障。加强监管部门协同,推动相关部门优化数据安全监管服务方式,制定企业数据合规的激励机制,及时跟进国内国际的数据安全威胁情报和总体态势,丰富事中事后监管的举措和手段,同时发挥自由贸易试验区(港)先行先试带头作用,主动对接国际高标准经贸规则,稳步扩大制度型开放,营造透明稳定可预期的制度环境;提高企业数据合规能力,加强数据安全领域专业人才队伍培养,依法明确数据安全责任人、个人信息保护负责人等,积极开展个人信息保护合规审计、申请数据安全及个人信息保护认证、申报数据出境安全评估等工作;发挥专业机构作用,推动专业机构服务的规范化,提高第三方认证和合规服务的质效,降低企业合规成本,帮助企业提高数据合规能力;加大普法宣传力度,提升广大群众数据安全意识,畅通数据安全和个人信息权益维护的公共渠道。
第三,创新技术治理,推动数据安全治理技术手段现代化。
全面提升技术治数的能力和水平,推动数据安全治理监管的创新发展。推动信息化赋能,丰富数据安全治理的技术保障手段,加强数据安全、数据跨境流动的监测预警和应急处置能力,提升合规服务的信息化手段,为企业数据合规申报提供高效快捷的系统或平台;推动新技术发挥作用,结合隐私保护计算、区块链、大模型等技术特点和优势,解决数据治理难点问题,探索建立数据安全治理的新模式、新方案、新路径;推动治理技术创新,组织有关高校、科研机构、新型研发机构等共建数据安全合规实验室,面向政府、企业、个人的数据安全技术需要,开展相关技术攻关和应用示范,不断充实数据安全治理技术工具箱。
