数据安全治理白皮书

在数字信息技术日新月异的发展趋势下，数据已成为数字经济发展的核心生产要素，是国家重要资产和基础战略资源。随着数据价值的愈加凸显，数据安全风险与日俱增，数据泄露、数据贩卖等数据安全事件频发，为个人隐私、企业商业秘密、国家重要情报等带来了严重的安全隐患。

当前，数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。为此，国家高度重视数据安全的顶层设计：在相继发布的《促进大数据发展行动纲要》（2015）、《科学数据管理办法》（2018）、《关于构建更加完善的要素市场化配置体制机制的意见》（2020）以及“十四五”规划（2021）中，均提出发展数字经济、加快培育发展数据要素市场，应把保障数据安全放在突出位置的重要思想内涵。

同时，2021年6月10日，十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》，并于2021年9月1日正式实施。作为我国数据安全领域内的“基础性法律”和我国国家安全领域内的“重要法律”，《数据安全法》积极回应了时下国内外数据竞争和保护的关键问题，给企业数据经营合规、以及进一步的数据资产化治理与发展提供指引。

面对数据安全威胁日益严峻的态势，着力解决数据安全领域的突出问题，有效提升数据安全治理能力迫在眉睫。然而，由于数字技术促使数据应用场景和参与主体日益多样化，数据安全的外延不断扩展，数据安全治理面临多重棘手困境。为此，赛迪智库发布《数据安全治理白皮书》，在分析我国数据安全风险、治理现状、治理困境的基础上，从政策、监管、产业生态建设、国际合作等方面提出综合解决路径。

— 01 —

数据安全治理的本质

数据安全治理本质上包含“理”和“治”两个层面，先“理”后“治保障数据资源在安全可控的状态下充分发挥使用价值。一方面，需要 “理”的内容包括数据资源的内容类型、分布流向以及不同场景下数据安全风险种类等。另一方面，需要“治”的内容包括数据安全保障制度体系、监管机制、数据安全保护生态、国际数据安全规则等。

— 02 —

数据安全治理体系

数据安全治理体系包括政策环境、产业生态、监督管理和国际合作，如图 1 所示。

政策环境主要是构筑数据安全顶层设计蓝图、建立稳定且具有国家强制力的法制框架、制定能够适应复杂数据利用场景的数据安全标准指南等。

监督管理方面旨在探索构建分级分类监管体系、完善数据安全保护机构设置 、联合开展专项整治行动、采取高额罚款等手段威慑数据违法违规行为、强化技术手段监管等。

产业生态建设主要包括加大数据安全技术投资力度、推动数据安全产品和服务创新发展、加强数据安全人才队伍建设等。

国际合作方面应积极参与并推动数据安全国际规则制定和完善 、 增强数据安全规则创制与话语权博弈的竞争力等 。

— 03 —

国外数据安全治理特色

（一）数据安全上升至国家安全层面

各国政府逐渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。

（二）对大型互联网平台企业的数据执法力度持续加大

各国对大型互联网企业数据安全违法违规行为的惩治力度不断增强，美国、欧洲等国家和地区均增大了对其单笔处罚金额。随着大型互联网平台企业的日益壮大，其数据垄断问题愈加严重，由此带来的数字权利滥用问题或将威胁到国家安全。因此，各国将进一步通过高额惩罚等手段对其进行约束，以防止其滥用数据优势侵害消费者隐私或进行非法数据贩卖。

（三）医疗、生物识别等个人特殊敏感数据的专项立法不断推进

当前，全球个人医疗数据泄露事件频发，人脸识别等新技术滥用导致个人生物信息长期处于高泄露风险状态，针对个人特殊敏感数据日益严峻的风险威胁，日本、美国等国家偏向于针对不同特征的个人数据采取精细化治理模式。

— 04 —

我国数据安全面临七大挑战

（一）数据贩卖严重侵害个人隐私

目前，数据贩卖已成为大数据产业的灰色地带，个人信息倒卖黑市猖獗，对个人人身、财产、生命安全造成了极大危害。一是外部攻击者利用爬虫等技术窃取并倒卖个人数据；二是“内鬼”常成为非法数据交易链源头；三是平台之间实施暗箱操作，通过数据兜售进行数据商业变现。

（二）数据跨境流动带来国家安全隐患

尤其在大国博弈持续加剧的今天，数据作为国家重要的生产要素和战略资源，其日益频繁的跨境流动带来了潜在的国家安全隐患。一是流转到境外的情报数据更易被外国政府获取；二是我国战略动作易被预测，陷入政策被动；三是我国以数据为驱动的新兴技术领域竞争优势将被削弱。

（三）高价值特殊敏感数据泄露风险加剧

近些年，除电子商务、社交等领域的用户数据发生大规模泄漏之外，政务、医疗及生物识别信息等高价值特殊敏感数据，逐渐成为了数据泄露的重灾区。一是政务数据具有极高的社会和经济价值，黑客将其作为攻击目标可获得更高的利益回报；二是健康医疗数据具有高度隐私性和稀缺性，成为攻击者的关注重点；三是生物识别数据具有易采集和特征敏感性，成为攻击者的主要目标。

（四）重要数据安全面临外来攻击威胁加大

具有政治背景的境外黑客逐渐加大对我国关键信息基础设施攻击力度，试图获取我国机密重要数据。

（五）新技术新应用催生新型数据安全风险

新技术新应用在极大促进生产力发展和人民生活便利同时，也带来了安全方面的不确定性。

（六）互联网平台企业滥采滥用个人信息并实施数据垄断

当前，由于互联网平台企业的业务大都由数据驱动，商业推广、精准营销、产品迭代等均依赖对数据的海量收集和开发利用，数据成为了平台企业发展和盈利的核心引擎。基于数据收集使用创新商业营收模式，实现利益最大化，成为了各个平台企业追逐的商业目标，由此也引发了个人信息滥采滥用程度加重、数据垄断乱象频发的数据安全风险。

（七）国际数据规则制定话语权与我国互联网应用领先地位严重不匹配

2020年，多国以数据安全为由，联合对TikTok进行围剿，以安全调查结果违规为由，限制其使用发展。

— 05 —

对我国数据安全治理建议

（一）完善数据安全法制建设，奠定数据安全保护基础

• 数据权属方面，在明晰数据分级分类基本原则，各行各业进一步厘清自身行业数据的类型、特征、性质等基础上，探索数据分类确权制度，并立法对数据产权归属进行界定。

• 数据交易流通方面，按照数据权属确定可交易流通数据的类型、范围和流通规则等，保护个人隐私安全。

• 数据垄断方面，在反垄断法和反不正当竞争法等法律基础上，进一步完善平台企业数据垄断认定、数据收集使用管理、消费者权益保护等方面的法律规范。

• 关键数据保护方面，考虑出台专项法律法规对医疗、政务、交通等行业高价值特殊敏

（二）全面加强数据安全监督管理，促进制度落实执行

• 一方面，建议进一步探索建立分级分类监管机制，构建中央和地方分类监管、分级负责、权责一致的监管格局。

• 另一方面，在完善监管组织和机构职能的基础上，建议积极主动进行监管方法和流程的创新，将可能的风险点纳入监管范围，以适应复杂多变的数据活动场景。

（三）建立平台企业数据业务有序发展机制，保障数据合法合规使用

• 一是压实平台企业数据主体的管理责任

• 二是增强平台企业数据处理规则制定的外部参与性

• 三是鼓励企业提高数据安全竞争性

（四）推动数据安全产业发展，构建全方位数据安全保护生态

• 一是鼓励数据安全保护技术研究

• 二是进一步推动数据安全产品落地推广

• 三是培育数据安全培训、测评、认证等公共服务

（五）推进全球数据安全治理，提升国际话语权

• 一是积极参与并推动数字领域国际规则制定和完善

• 二是加强数据安全国际治理的影响力输出

• 三是鼓励企业参与国际竞争合作

关注V♥（文盾信息），后台回复“数据安全”，即可下载《数据安全治理白皮书》全文。

声明：本文来自赛迪智库，版权归作者所有。