一、从静态防御到动态安全：数据安全保护的理念变革

传统的信息安全理论重点关注数据的保密性、完整性和可用性，在此语境下的“数据安全”主要是指数据与主体关系的稳定性，包括主体对数据控制状态、占有状态、利用状态的稳定以及数据不被其他主体窃取、篡改、使用、破坏状态的稳定。随着信息化和信息技术的进一步发展，数据流动、利用逐渐多元化，但数据的侵权和滥用渐成常态。数据从静态安全到动态流动、利用的转变，使得数据安全从“保障数据与主体关系的稳定性”扩张至“防范数据处理行为对现实安全秩序的破坏”，这包括现实的人身安全、财产安全、公共安全乃至国家安全。

从我国《网络安全法》第21条“防止网络数据泄露或者被窃取、篡改”到《数据安全法》第3条将“合法利用”纳入“数据安全”范畴再到《网络数据安全管理条例》第8条对利用网络数据从事非法活动的明确禁止。数据安全保护的对象逐渐扩展并愈加明晰，即数据相关主体的安全利益。

二、《网数条例》对数据要素发展的制度回应

《数据安全法》定义了数据安全有效保护和合法利用的两种状态，但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求，例如应当开展个人信息保护影响评估。对外提供个人信息的，应当履行告知义务并取得单独同意。委托处理个人信息的，应当与受托人约定各自权利义务并进行监督等。

《网数条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题，关注点从“数据安全”到“数据合法有效利用”，在《数据安全法》《个人信息保护法》基础上做了诸多规则补充：

一是要求提供、委托处理个人信息和重要数据的，应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是，《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督，《网数条例》则扩展至“提供”个人信息的场景。

二是要求重要数据的处理者提供、委托处理、共同处理重要数据前，除为履行法定职责或者法定义务外，应当进行风险评估。

三是明确了针对自动化采集豁免知情同意规则。《网数条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定，利用行政法规层级，实现对自动化采集知情同意规则的豁免。

（二）关注产业链供应链安全

《网数条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全，不仅明确提出“供应链网络数据安全”概念，也构建了较为全面的供应链安全体系：

一是《网数条例》不仅关注国家机关网络数据安全，还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商，提出其与“国家机关”相关服务供应商同等安全保护要求。

二是不仅关注供应链上的服务安全还关注信息系统安全，要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。

三是对于处理重要数据的大型网络平台服务提供者，《网数条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。

数据跨境安全是数据流通安全的重要内容之一。党的二十届三中全会《决定》再次强调，“要提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制”。近年来，我国数据出境规则在监管与产业的互动、磨合中迅速调试。《网数条例》在总结《数据出境安全评估办法》《促进和规范数据跨境流动规定》等部门规章制定、实施经验基础上，进一步优化了数据跨境流动机制，尤其是吸纳了《促进和规范数据跨境流动规定》诸多规则：

一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制。

二是扩展个人信息可自由出境的情形。《网数条例》吸纳《促进和规范数据跨境流动规定》豁免规定，在《个人信息保护法》的基础上新增“明确为订立、履行个人作为一方当事人的合同”、“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”、“紧急情况下为保护自然人的生命健康和财产安全”情形下确需向境外提供个人信息的，个人信息可以出境。值得注意的是，《网数条例》在《促进和规范数据跨境流动规定》基础上又增加了“为履行法定职责或者法定义务，确需向境外提供个人信息”，作为可以向境外提供个人信息的情形。《促进和规范数据跨境流动规定》规定的“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的”则并未纳入《网数条例》。但基于《个人信息保护法》第38条明确法律、行政法规或者国家网信部门规定可以对个人信息出境条件做出规定。《促进和规范数据跨境流动规定》作为“国家网信部门规定”，该条款依然有效。

三是吸纳《促进和规范数据跨境流动规定》规定，明确未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。

值得注意的是，《网数条例》还规定国家采取措施，防范、处置网络数据跨境安全风险和威胁。大型网络平台服务提供者应当健全相关技术和管理措施，防范网络数据跨境安全风险。

（四）将国家数据局纳入监管机制

《网数条例》在延续《数据安全法》确立的监管机制基础上一是回应国家数据局的成立，将国家数据局纳入监管机制，明确“国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责”。

《网数条例》首次明确“不得利用网络数据从事非法活动”。在三法基础上，吸收《刑法》及相关司法解释中对于侵犯公民个人信息罪、帮助信息网络犯罪活动罪的相关规定和表述，涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为规定，并进一步禁止提供非法活动的程序、工具，禁止提供技术支持和推广、结算帮助，明确对利用数据从事非法活动的全链条打击要求。

三、赋能数据要素流通利用：数据安全下一步工作思考

（一）规则建设：提高动态安全保障能力应作为下一阶段数据安全规则补足、完善的重要方向

作为数字经济时代的重要资源，数据要素安全直接影响数据价值释放。流通不只是数据出境问题，更多的场景是数据常态化地提供、共享、交易以及使用。这也是在《数据安全法》确立了数据交易制度、全流程的数据安全制度框架下，配套规定需要去解决、提供更多规则支撑的重点。

    《网数条例》在数安法基础上往前迈出了一大步，但数据动态安全规则的建设依然任重道远。数据跨平台、跨主体共享，数据汇聚、融合、加工、挖掘分析等安全规则仍有较大缺口需要去补齐。

（二）监管方式：数据法治应从“安全”治理扩展至“生态”治理

随着数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等数据产业蓬勃发展。数据安全问题不再是单点问题，而是会上下游传导，向其他主体辐射影响。随之而来的数据安全治理不再是对数据本身的治理，而是对整个数据产业链、生态链的治理。在此背景下，数据生态治理这一特点将在接下来数据要素发展中体现得尤为明显。

对应的监管方式也应当有所调整：一方面，结合数据要素产业发展情况，实现对产品、工具、服务等前端、中端、终端的全链治理。另一方面，将监管模式从以“数据处理者”为监管核心扩展至覆盖数据处理者以及数据经纪、数据咨询、合规认证、安全审计、风险评估等多元主体的数据安全治理生态。

（三）监管重点：关注数据要素发展中的安全问题

一方面，重者恒重。紧扣国家安全、公共安全。关注重要数据安全、政务数据安全、数据出境安全。另一方面，在高质量发展成为全面社会主义现代化建设国家首要任务的背景下，无论是规则制定还是执法监管，均不可脱离产业发展实际或发展水平、发展需求谈安全，这就要求：

一是结合发展形势关注发展中的安全问题，提升监管重点、方式与安全形势的匹配性。例如高度关注数据要素流转、加工、分析、融合、汇聚关联等安全风险。

二是回应新技术新应用带来的新安全问题。这一点主要体现在人工智能技术。欧盟高度关注人工智能法与GDPR 的协调问题，美国关注人工智能发展中的隐私保护问题等等。

（四）基础理论研究：数据基础制度探索依然是包括数据安全在内的数据法治的重要任务

长期以来，数据权益问题是影响数据供应及数据利用的重要因素。从全球范围来看，当前仍未有一个成熟的解决方案。加强顶层设计、总体谋划，抓好数据产权、流通交易、收益分配、安全治理等政策制定，加快构建适应数据要素特征、符合市场规律、契合发展需要的基础制度已成为完善数据要素市场制度规则的重要要求。

近年我国在培育发展数据要素市场实践基础上探索出了数据资源持有权、数据加工使用权、数据产品经营权等分置机制，但仍存在诸多基础性问题有待解决。例如，老大难的数据权属问题，以及新技术发展下数据属性的认定问题（个人信息与非个人信息、敏感信息与非敏感信息，重要数据与非重要数据，具有相当的动态性）。数据处理参与主体法律责任认定问题（数据来源方、数据汇聚方）。授权机制的问题（知情、同意规则）等等，这些也是影响数据安全治理的底层问题。后续数据基础制度探索依然是包括数据安全在内的数据法治的重要任务。