李怀胜 ：从静态防御到动态安全：数据安全法律保护的范式变革

李怀胜

中国政法大学刑事司法学院教授，博士生导师， 网络法学研究所所长

当前，数字革命和产业变革持续推进，信息技术跨国合作日益频繁，数据跨境流动成为重塑国家竞争力的关键变量，数据规模、数据服务中介、数据基础设施和数据应用能力成为了科技革命的重要武器。数据不但攸关个体权益，更与国家安全、公共秩序密切相关，并成为当今世界各国社会治理的核心要素。在信息技术浪潮的推动下，传统社会已经基本完成了信息化的改造，并且进入数字化、数智化的新阶段。随着大数据、云计算的普及以及人工智能技术的进一步下沉和应用，网上网下无限互联的双层社会已经到来，信息基础设施当之无愧地变为社会的“基础性”架构。在此背景下，数据安全的重要性与日俱增，数据安全治理的复杂性会更加突出。我国高度重视网络和数据安全在国家信息化进程中的重要作用。2018年，习近平总书记在全国网络安全和信息化工作会议上强调：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”2023年，《数字中国建设整体布局规划》明确提出，“筑牢可信可控的数字安全屏障”。在立法层面，我国在2016年出台《网络安全法》，2021年出台《数据安全法》和《个人信息保护法》，不但确立数据安全领域的基础性和骨干性法律，也形成了个人信息与数据安全保护并立的二元格局，这是我国数据安全立法别具一格的特色。《网络安全法》《数据安全法》等都是积极贯彻总体国家安全观的产物，共同回应当下网络和数据安全保护的紧迫需求。然而，没有一成不变的立法，也没有变动不居的立法理念。随着通用式人工智能技术的普及和应用场景的泛化，以及国际竞争环境的深刻变革，数据安全形势存在风险交织、边界模糊、控制弱化等新的特点，我国数据安全法律保护的基础理念、基本思路也应因时而动，不断自我更新与调整，从过去的静态防御型的数据安全保护范式转变为动态安全型的数据安全保护范式。

数据安全保护采用何种思路和立场，并非对与错的判断题，而是优与劣的论述题。但基本的原则是，数据安全的保护立场，应当高度吻合信息技术的发展阶段、国家网络和信息化的具体进程、国内外网络安全形势等，而推动网络安全法律保护范式变革的根本力量是科学技术与法律的互动关系。信息革命作为人类社会历史上存在范围最广、辐射范围最大、影响程度最深的技术革命，其有别于以前历次科技革命的最本质区别是，它在很大程度上已经摆脱了工具理性的束缚，转而开始制约、乃至型构人类社会的基本关系网络和组织形态，技术与法律开始直接对话。正是在不同技术模式的影响下，我国形成了不同的数据安全保护范式，并直接影响数据安全保护的目标实现与效果达成。

(一)相关术语和概念的界分

1.数据与信息的关系

美国社会学家曼纽尔·卡斯特尔(Manuel  Castells)在《信息时代三部曲：经济、社会与文化》中，将信息技术视为改变社会结构的力量，将网络视为一种新的社会形态。如果说网络是人体的血管的话，数据是奔腾的血液。通信和信息交流是网络的最初功能，数据是信息传递的载体，在这个意义上，信息和数据是事物的一体两面。根据国际化标准组织(ISO)的界定，“数据是一种便于交流、解读和处理的，并可重复展现的信息表现形式。”而信息是指“在特定语境下对特定客体的具有特定含义的知识，例如事实、事件、事物、过程、思想、概念等。”数据和信息可以从以下角度区别：(1)数据是反映客观事物属性的记录，是信息的具体表现形式。数据经过加工处理之后，就可以从中获得信息，例如一连串二进制代码可能还原为一组气象记录。在传统空间中，数据大约等于信息，因为数据的解读通常不需要复杂的运算过程，人们也不把非规律性的记录作为数据，如动作、声音、图像等，虽然这些也反映了某种信息，但人们不视为数据。不过这些事物经过数字化转换后，又重新成为数据。(2)数据的表现行为也有很多，包括文字、图像、声音等，在计算机和网络中，数据的原始表现形式就是数值，技术表现行为就是比特。而信息泛指人类社会传播的一切内容，人类正是通过对信息的获取、识别、利用等来区别事物，并认识和改造世界。信息揭示的是人类社会的普遍联系。(3)数据重在表达外观，信息重在表达内核。例如刑法中的淫秽色情信息、内幕信息等，都归类于信息而非数据，数据的价值在于能够解读出信息，无法获得任何信息的数据集没有法律保护的必要性。数据与信息的上述既密切关联又相对区分的特点影响了数据的法律保护。例如欧盟的GDPR就没有对数据和信息做严格区分，个人数据(Personal  data)与个人信息(Personal  information)在同等层次使用，但我国就做了区分。

2.静态防御与动态安全

“安全作为人的一种基本需求为法律的安全价值生成提供了内在动力。”“安全是主体得以生存的必备条件，这些都是由人肉体器官的脆弱性、生命的短暂性及不可复生性决定的”。马斯洛认为，安全是人的一种基本需求类型，马斯洛需求层次理论将人的需求从低到高依次分为生理需求、安全需求、社交需求、尊重需求和自我实现需求。但就国家、社会、组织体等而言，安全才是最基本的需求，安全是保证社会存在的基本条件。安全是客观状态与主观属性的统一，它要求社会结构的内在合理性、稳定性，以及主体对社会结构的外在感知的可预期性，安全是“社会要素有机结合而形成的属性和状态”。由此观之，网络、信息系统和数据的安全也是现代信息社会的基本存续前提。在信息时代发展的不同阶段，其体现的风险表征和规制重点不同，那么数据安全保护的体制也是不同的。数据安全的静态防御范式与动态安全范式在多个方面存在差异，这些差异既反映了智能互联网时代的新挑战，也揭示了传统防御机制的局限性。

在技术层面，数据安全的静态防御范式适应以单机和局域网为特征的网络早期发展阶段，静态防御一般是指安全软件只对某些攻击行为和恶意行为对系统进行损坏时才进行防御。动态安全范式适应大数据、云计算时代。动态安全，是指以承认、维护和促进数据的利用为前提，通过规范数据处理活动，合理控制风险，维护数据安全。动态安全范式的技术特点是安全软件会监控所有系统软件的各种异常行为和监控系统文件的各种异常行动。此外，在防御目标上，静态防御范式的治理目标是确保数据的安全使用，保护数据不被攻击和窃取，而动态安全范式追求保证数据基本安全的前提下，实现数据的流转和有效利用。在防御对象方面，静态防御范式的治理对象主要是内部人员，实现对内部系统人员的安全管理，而动态安全范式更注重防范外部入侵和外部威胁。在治理手段方面，静态防御范式注重数据区隔、边界防护等，但这会限制数据的流动性，而动态安全范式强调数据的分级分类、数据脱敏等。

在法律层面，静态防御范式将法律责任配置的重心放在危害行为的事后惩戒上，注重危害行为的事后补救，静态防御范式的特点是数据安全治理的单一性和孤立性。动态安全范式建立防御、监测、威慑三种安全策略的平衡，动态安全范式追求数据安全治理的综合性和整体性。数据安全的动态安全范式适应当前网络威胁泛在化、跨域化的发展特性。当前新的安全问题层出不穷，国家内部安全和外部安全之间、不同领域之间的安全问题相互交织、相互转化，国家安全威胁的复杂性、多样性、联动性、跨国性均远超以往，已经大大超越单一部门、单一领域的边界，网络领域也不例外。静态防御范式注重技术手段和法律手段的相对独立，而动态安全范式更看重技术与法律、管理等多种手段的融合。在刑法层面，1997年《刑法》确立的非法侵入计算机信息系统罪、破坏计算机信息系统罪属于静态防御范式的罪名，而此后几次刑法修正案新设的非法获取计算机信息系统数据、非法控制计算机信息系统罪，非法利用信息网络罪等则属于动态安全范式的罪名。

(二)数据安全法律保护范式的形塑因素

正所谓一代人有一代人的使命， 一个时代有一个时代的命题，就网络而言，不同的网络发展阶段和技术特征也塑造了网络安全法律保护的重心。数据安全法律保护范式的选择，其根本制约因素是网络代际发展背景下网络风险迁移及其表现，直接诱因则是数据安全法益对信息安全法益的相对分离和独立化。

1.静态防御范式的确立基础：数据安全对信息安全法益的附属

目前学术界习惯用网络1.0、网络2.0、智能互联网等术语对网络进行代际划分，这种划分起源于网络技术学界并获得了其他领域的认可。一些刑法学者也习惯于按照网络1.0、网络2.0的代际分类描述网络犯罪的发展变化。一般认为，网络1.0是以联为主的时代，即侧重于网络信息的快速流动和传播，而网络2.0则是以互为主的时代，人机互动、人人互动为其主要特色。网络代际划分的另一种观点认为，一代互联网是以软件应用为核心的网络，二代互联网是以内容为核心的传统互联网，三代互联网是以三网融合、大数据、云计算、移动互联网为特征的智能互联网。上述两种观点的差异，在于后者以内容为核心的传统互联网包括了前者网络1.2和网络2.0时代。近期学者以法律规制模式的差异提出了对互联网新的代际分类。这种观点认为，网络发展可以分为传统法律的微调阶段，网络平台的集中治理阶段以及法律制度的整体变革阶段。具体而言，早期将互联网作为信息传输工具时，传统法律只需要在原有框架下做出微调即可，例如通过信息网络传播权对著作权、邻接权等进行调整。在网络平台形成后，用户-平台-监管的二元公私主体划分模式逐步建立，互联网治理开始通过网约车、电商平台、互联网金融等领域进行网络平台的专项治理，通过对网络平台的规制传导效应来建立网络规则。而目前随着数字社会的变革深化，法律开始注重以体系化、整体化的视角来回应网络时代的社会变革。

数据安全的静态防御范式的确立基础是，数据安全被从属于信息安全法益之下，静态防御方式的真正保护对象，是信息安全法益。信息安全的概念虽然不局限于信息和网络技术，但是它的内涵却是随着信息的数字化、网络化而发展起来的，比如ISO(国际标准化组织)对信息安全的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。如俄罗斯早在1995年就颁布了名为《关于信息、信息化和信息安全》的联邦立法，要求在刑法中增设相关犯罪。2002年美国《联邦信息安全管理法案》正式以保密性(Confidentiality) 、完整性(Integrity)、可用性(Availability) 三性概括了信息安全这个术语的内容，合称CIA三性。国际标准化组织联合技术委员会ISO/EC JTC1(信息技术)分委员会SC27(安全技术)在2013年9月25日发布了信息安全管理体系标准ISO/IEC27001:2013 。该标准的引言中界定了信息安全管理体系的目的，即保密性、完整性、可用性。其中保密性(机密性)是指对数据的访问限制，只有被授权的人才能使用。完整性指的是保证数据没有在未 经授权的方式下改变，而可用性是指在计算机服务的 “运转时间”内，确保服务的可用。在此层面上，信息 安全和数据安全的含义是等同的，数据的法益概念借用了信息法益的概念，而信息 保护的要点在于要素保 护，自然就会产生静态防御型的数据安全模式。

2.动态安全范式的确立基础：数据安全从信息安全法益的分离

信息安全法益下的数据安全内涵反映了以单机和局域网为重要特征的网络早期形态的安全诉求。随着计算机和信息技术的发展，进入到上世纪90年代，大型化的商业控制系统日渐增多，同时计算机信息系统开始向社会下沉，工业、金融、交通控制系统频频受到各类攻击和侵害，传统的静态化的安全保护策略已不适应网络安全保护的新形式，因而被系统安全法益下的数据安全概念所取代。1984年美国颁布了联邦层面首部计算机犯罪法案《伪装进入设施和计算机欺诈与滥用法》；1986年又颁布了《计算机诈骗与滥用法》,将非法活动分为四类：“(1)任何无授权的读取系统，尤其是读取绝密文件或机密政府文件；(2)非法读取财物方面信息；(3)任何无授权的读取任何属于美国政府的计算机；(4)有目的的买卖非法的信息数据。”这已经突破了信息安全的CIA保护范畴。在我国，1994年《计算机信息系统安全保护条例》第3条规定：“计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。”系统安全关注信息基础设施、操作系统、数据库等层面的安全，主要指软硬件信息系统如操作系统、云系统、终端系统、应用软件系统的安全运行，保证系统不受恶意代码和其他恶意攻击，确保系统正常运行和合法使用。信息安全的概念随之发生更新，新的要素被引入，例如Donn B.parker提出了parkerian hexad(帕克里安六角模型),在保密性、完整性、可用性之外，增加了占有或控制(Possession  or  control)、真实性(Authenticity)、效用(Utility)。同时信息安全逐步被网络安全的范畴所取代。例如工业和信息化部2010年出台的《通信网络安全防护管理办法》第2条第3款规定：“本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。”这里的网络安全概念强调网络传输安全和信息安全两个方面。《网络安全法》第76条对网络安全做出了正式的法律界定，即网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。该定义不但突破了信息安全概念的静态要素，开始强调安全的稳定性和可持续性，还将信息安全置于网络安全的下位概念，同时将网络安全由系统安全扩展到广域网络空间安全的层次。在此基础上，《数据安全法》第3条规定，数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。该定义下的数据安全，甚至不再强调数据的静态安全，即数据类型的保护，而强化数据的动态安全，即数据流动和全生命周期的保护，并且以“状态”+“能力”的复合属性指明今后数据安全保护的法律方向，这标志着数据安全的动态安全范式开始确立。

过去30年尤其是过去10年，我国的网络安全、数据安全法治建设取得了令人瞩目的成就，其重要经验就是深刻体察网络安全、数据安全的发展态势，即信息时代的“时”与“势”，审时度势选择最契合实际的治理策略。所谓没有一成不变的数据安全策略，从静态防御到动态安全的数据安全法律保护的范式转换逻辑，是理论更新与情势变更共同作用的产物。

(一)转换的理论基础：总体国家安全与数据总体安全

早在1970年，前联邦德国的黑森州就颁布了世界上第一部《数据保护法》,该法倾向于从政府安全的角度立法。相比西方国家，我国的数据安全立法起步较晚，直到1994年才颁布《计算机信息系统安全保护条例》,对“信息安全做出界定”，这部行政法规也是我国第一部网络立法，可见从网络立法之初就带着安全的烙印。早期的数据安全立法，是就网络谈网络，就安全谈安全，而缺乏数据安全的宏观性、总体性特征，更缺乏数据安全对更广阔安全命题的呼应。真正提升数据安全立法价值品性和理论品格的，是总体国家安全观的提出。

1.总体国家安全观对数据安全治理的指导性

2014年4月15日，习近平总书记在中央国家安全委员会第一次会议上，创造性提出了“总体国家安全观”,习近平总书记指出，“当前我国国家安全内涵和外延比历史上任何时候都要丰富，时空领域比历史上任何时候都要宽广，内外因素比历史上任何时候都要复杂”，深刻揭示了总体国家安全观提出的时代背景和重要意义。2017年10月，党的十九大将坚持总体国家安全观纳入新时代坚持和发展中国特色社会主义的基本方略，2022年10月，党的二十大就推进国家安全体系和能力现代化进行专章部署，进一步丰富和发展了总体国家安全观。总体国家安全观内涵极为丰富，其核心要义包括“五大要素”“五对关系”“十个坚持”和“五个统筹”。总体国家安全观较之传统国家安全观的最大特色就是“总体性”，传统国家安全观一般只关注与政权安全和国家稳定最密切的安全类型即军事安全和政治安全，并有意无意地把文化、科技、生态、信息等方面的安全排除在国家安全之外。而总体国家安全观则将非传统安全与传统安全置于同等重要的地位，在国家安全的范畴内充分重视非传统安全对国家安全的冲击和挑战，以系统化的思维丰富了国家安全的要素安全、层级安全、领域安全等。

“没有网络安全就没有国家安全”,这不但是习近平总书记的著名论断，也成为世界各国的共识。近年来西方国家在网络安全领域动作不断，2023年3月，美国出台《国家网络安全战略》,这是美国政府五年来首份网络安全领域的战略文件。我国《国家安全法》确立总体国家安全观在我国国家安全工作中的指导思想地位，首次在法律上对国家安全作出定义，即“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力”。该定义也成为网络安全和数据安全定义的基础。此外，《国家安全法》第25条明确提出，“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，该规定将网络和数据安全直接上升到国家安全的高度，为数据安全立法提供了直接的法律依据。

总体国家安全观的总体性，要求数据安全法治建设要妥帖处理安全与发展的关系，在相对安全的前提下追究均衡安全。“安全与发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的。”安全与发展是对立统一兼具的矛盾范畴，但是统一性大于对立性。安全与发展的对立性体现在，安全与发展作为各自独立的要素，都需要相应的资源投入和供给，在资源总量不变的前提下，安全和发展投入必然存在此消彼长的变化关系，如果某一个特定时期对安全或者发展过度关注，则可能导致单方面资源投入的失衡从而忽略另一方面建设。此处的资源不限于物质等硬性资源，还包括舆情、社会宣传等软性的注意力资源。另外，发展自身具有不确定性，发展就是在不确定性中寻找确定性，因此天然具有风险性，如果过于强调安全就可能忽略了发展的重要性。尽管安全和发展的辩证关系获得广泛认可，但由于主管安全的部门和主管发展的部门往往是割裂的，基于部门利益的不自觉偏向，部门利益也可能影响整体决策，从而导致安全和发展投入配比的失衡。比如，对信息化系统自主性和国产化的要求，要和本土信息产业的创新能力相匹配，通过操作系统、软件的自主化要求倒逼、促进本土产业创新能力的提升，进而再反哺软件自主化，这是一个循序渐进的过程，不能忽略本土创新能力的实际水平而要求自主化的一步到位。当然，安全与发展的统一性是这对概念范畴的主流。安全是发展的保障，发展是安全的前提，只有确立基础的安全条件，发展才具有基本的保障，所谓的安全风险需要在发展中解决，也只有发展才能更好挖掘潜在的安全风险，数据安全的水平是随着数字产业的进步同步提升的。在信息技术领域，最高的发展水平一定代表着最高的安全水平，因此不能因为短期的发展风险就因噎废食而忽略新型产业可能的创新因子。甚至可以说，“不发展才是最大的不安全”。因此，数据安全法律保护的动态安全范式，就是要清晰认识到安全的相对性、均衡性，寻求发展前提下的安全最优解。安全和发展的均衡观念对某些法律命题也具有指导作用。例如已公开个人信息的刑法保护是公民个人信息犯罪的司法焦点话题，除了依据《个人信息保护法》论证已公开个人信息的权利边界，司法者应该想到，过度禁锢个人信息的流转会扼杀信息应有的活力。

当前世界各国纷纷将数字经济作为国家竞争的新赛道，产业升级的新战场，可以说，谁的数字经济发展得越好，谁就能在世界经济格局中占据优势和领先地位。数字经济背景下，平衡数据安全与数据发展的关系意义更加显著。国务院2015年颁布的《促进大数据发展行动纲要》提出“切实加强对涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的保护”。数字经济是继农业经济、工业经济之后人类新的产业革命，数字经济要经历数据的资源化、数据的资产化、数据的资本化三个阶段。与传统的农业经济和工业经济不同，数字经济得以发展的基础是信息技术和海量数据。数字经济的基本逻辑是，“数据跨越了物理空间与虚拟空间，将被表达为数据的物理信息、主体信息等在数字空间聚合连接，并利用算法从中提取规律性认识、相关性关系等信息，反过来对产生数据的行为产生现实影响，用以优化物理空间的资源配置和提升生产效率。”数据流动释放的价值与数据流动的自由度具有正相关性，数据流动越自由，则数据价值就越大，因此必须打破数据孤岛，构筑数据有序流转和开放共享的利益格局。数据全生命周期的风险管控是维系数字经济稳健发展的关键环节。数据全生命周期的法律保护，更需采取产业发展与数字安全协同并进的平衡策略，如果一味纠缠某个环节数据保护的安全性，缺乏风险管控的思维，必然扼杀数据流转和数字经济的活力。安全体现了状态、能力和投入的配比关系，当资源投入能够实现应对威胁的稳定状态时，就意味着状态和能力实现了平衡性，那么就是安全的，如果资源投入无法实现状态和能力的稳定性，则是不安全的。换言之，“安全就是行为体的利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。”可见，安全是因变量，投入是自变量，充足的资源投入有助于国家实现更好的安全保障。国防经费、军事建设是直接的资源投入，对于提升国家安全有立竿见影的效果，但是这可能造成资源的快速枯竭。而科技是安全和发展两者结合的最底层产业，科技的突破能够扩张生产力的边际，提升资源获取能力，进而实现更高水平的安全，这也是建立数据安全法律保护动态安全范式的价值和意义。

2.数据安全对传统安全治理的耦合嵌入

不可否认，单纯以物理的视角理解网络、计算机信息系统的观念已脱节于时代，网络、计算机信息系统早就成为社会系统的庞大并不可或缺的组成部分，它们是社会整体的组成部分，是社会系统安全的重要参数和变量。数据从静态安全到动态流动、利用的转变，使得数据安全利益从“保障数据与主体关系的稳定性”扩张至“防范数据行为对现实安全秩序的破坏”,数据安全利益谱系呈个人安全利益、公共安全利益、国家安全利益三个面向。侵害数据不是单纯的数据侵害，而是对数据背后富含的社会利益的侵害，因此，“无论是过去的计算机信息系统安全，还是现在的网络安全，它的实体内容都必须结合系统、网络的社会性质来确定，而不能单纯以它们的物理性质和运行功能作为判断的全部内容。”数据安全对传统安全治理的耦合嵌入体现在：数据安全等非传统安全与传统安全不是垂直细分和相互独立的关系，数据安全内容已经是公共安全和国家安全的要素之一，两者体现为交叉性、融合性。以公共安全为例，《刑法》分则第二章为危害公共安全罪，所谓公共安全，“是指不特定或者多数人的生命、身体的安全以及公众生活的平稳和安宁。”本章的类型包括特定的危险方法的犯罪、特定的危险场所的犯罪、特定的危险物品的犯罪等，除此之外，本章还规定了以危险方法危害公共安全罪作为兜底型罪名，要求行为必须与放火、决水、爆炸、投毒等行为烈度、性质、危害后果相类似，可见以危险方法危害公共安全罪是一个立足于传统领域公共安全的犯罪。而在信息化时代，随着数字基础设施的下沉和基础设施的数字化，社会运行的平台都奠基在各类数字化、智能的信息系统之上，社会对信息系统的依赖急速跃升，系统崩溃的后果往往造成社会秩序的巨大混乱，其危害后果丝毫不亚于传统的公共安全犯罪。一个鲜活的例子是，2024年7月19日，由于windows操作系统的安全套件更新发生系统崩溃，导致美国、英国、澳大利亚等西方二十余国大量组织机构的业务系统服务中断，全球多地的航空运输、医疗服务、媒体、银行与金融服务、零售、餐饮等行业或公共服务受到了影响，这是一起因广泛使用的安全产品故障，导致大量主机系统崩溃，并连带导致大量基础设施系统无法提供服务产生的多米诺效应的事件。网络空间的无限延展性使得其蝴蝶效应远大于传统空间，其危害性也超过了一般的危害公共安全犯罪。2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条规定，“实施前款规定行为，具有下列情形之一的，应当认定为破坏计算机信息系统‘后果特别严重’：……(三)破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序，致使生产、生活受到严重影响或者造成恶劣社会影响的”。此处的关键领域的计算机信息系统也与公共安全具有密切关系。可见，将数据安全与传统法益隔离的静态防御范式已无法应付当前数据安全弥散化的局面。

(二)转换的现实驱动：数据安全环境的情势变更

从技术层面的单机、局域网时代到现在的云计算、大数据时代，从应用层面的内容互联网到现在数智互联网，网络安全环境已发生天翻地覆变化。早期的网络安全措施主要体现为访问控制，网络安全的重点问题在于解决访问权限，在计算机信息系统逐步大型化的情况下，防火墙成为一般性的控制手段。而在2000年之后，网络攻击的复杂性催生了加密技术、虚拟专用网络、网络流量分析等新安全防御方式出现，传统安全架构已无法适应新的网络安全需求，从全局视角开展网络安全顶层设计，在统筹规划基础上系统性部署网络安全策略与基础设施建设将成为未来网络安全发展的主流方向。新的网络环节催生新的数据安全保护需求：

1. 内部安全与外部安全

数据的内部安全将保障数据作为资产的安全，即保障数据的完整性、保密性、可用性，以及避免数据泄露、损毁、篡改、丢失等安全事件。数据的内部安全即传统的信息安全视角下的数据安全。数据的外部安全是指数据处理过程中，管控数据滥用对外部可能造成的危害。也有的学者认为数据外在状态安全是数 据载体安全，信息本体内容安全是数据内容安全。在数字经济中，数据安全的存在意义是保证数据在全生命周期得到妥善保护，最终实现价值变现并促进数字经济健康发展。因此，必须建立有效的数据全生 命周期保护制度。《网络安全法》第 42条规定网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被 收集者同意，不得向他人提供个人信息。该条明确了网络运营者处理 数据的基本规范以及最低限度。《民 法典》第 1035条规定，个人信息的处理包括个人信息的收集、存储、使用、加工、 传输、提供、公开等。《数据 安全法》第 3条明确的数据处理行为，包括数据的收集、存储、使用、加工、 传输、提供、公开等。个人信息的 处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 安全是一个系统概念，安全的指 标也需要在特定系统中验证，系统的外部环境变化对安全具有直接 的影响力和制约力。

2.源生安全与衍生安全

数据的源生安全是指数据自身的稳定性、真实性，能够保证数据实现结果的基本有用性。源生安全要求消除系统的脆弱性和安全漏洞。衍生安全是指系统的脆弱性导致其他领域的安全风险。例如在人工智能中，由于外部环境感知参数的改变导致系统做出错误的判定。在车联网中，在端到端的直连通信场景下，车联网终端间将通过广播的方式在专用频段上进行直通链路短距离信息交换，汽车运行相关的刹车、速度、胎压、油耗等汽车控制信息，一旦被不法分子伪造篡改将会影响汽车行驶安全，给用户带来经济损失甚至人身伤害。2020年6月，中国台北仙桃的一辆特斯拉的自动驾驶系统把白色翻倒的卡车误认为没有障碍物，导致车辆在开启自动驾驶的状态下毫无减速地撞上卡车。甚至车企可能基于某种原因主动接管用户的汽车权限。2024年6月，某汽车品牌车主爆料称因维权纠纷，自己的智能汽车被厂家远程锁定，该事件引发了“用户汽车控制权归属”的讨论，也暴露出对汽车的外部非法侵入和控制在技术上是可行的。

3.要素安全与体系安全

数据要素是构建数据体系的基础，它侧重于描述数据在某一个维度中的基本属性和特征，例如数据的创建时间、地点、来源、属性、指标等等，这些要素的组合就是数据集。数据资源化的第一步，就是对数据要素进行商品化，然后形成数据资产，因而要素安全是与数字经济有效运行密切相关的内容。而体系安全，则是组织体和架构的整体性安全。体系由要素组成，但体系超越要素，体系既包括要素等硬件层面，又包括价值、目标、运营流程、管理规范等软件层面，还包括软硬件之间的有效协调和优化重组，因而体系安全造成的风险和危害是远大于要素安全的。例如，德国燃料储存供应商Oiltanking  GmbH  Group遭受网络攻击造成燃油供应中断，丰田公司供应商电装公司遭到勒索软件攻击，中断了设备的网络连接，数据发生大量泄密，汽车生产线被迫停工。数据的体系性风险应对失当，很容易诱发风险的倒灌效应、叠加效应。

伴随着大数据、人工智能等新一代信息技术的应用，新一轮产业革命和社会变革正在席卷全球，从消费互联网到产业互联网，新业态新经济激发的新动能正在对经济社会产生全方位的影响。在此背景下，无论是从我国数字化技术的应用现状、数字安全的内外部环境来看，还是从总体国家安全观引发的数字安全观念变革来看，都需要建构适应新时代新需求的数据安全保护范式。这一工作自《国家安全法》《网络安全法》的颁布为起点，以《数据安全法》为主要框架，目前依然要持续推动。

(一)数据保护的动态安全范式的体系构成

数据的动态安全保护范式，以法律为基础又超越法律，它需要构建容纳政策治理、法律治理、技术治理等多种治理模式的综合性治理体系。

1.数据保护的动态安全范式的多维治理体系

当前我国的数据安全保护体系已经基本形成了以法律治理为骨干、政策治理为补充、标准治理为支撑的数据安全保护体系。在法律治理层面，《国家安全法》《网络安全法》《数据安全法》是数据安全领域的综合性、基础性立法，为后续数据安全立法确定了基调。《国家安全法》确定了总体国家安全观对安全立法、执法的指导作用，具有举旗定向的功能，而《网络安全法》《数据安全法》有效整合了过去网络安全立法中相对零散的法律规范，直接提升了我国数据安全立法的规范性和科学性。甚至有的学者认为，“《数据安全法》并非局限于数据安全问题，而是在更加宽泛的意义上理解安全，意图通过《数据安全法》 一部法律完成欧美等国家或地区多部法律协力完成的综合治理目标。”上述三大法律的出台让我国的数据安全立法焕然一新，有了三大法律，后续立法迅速展开。例如在网络安全等级保护领域、关键信息基础设施安全保护领域、个人信息保护领域、数据出境管理领域、内容治理和内容服务领域等等，均有相关法律或法规的出台和修订。除了国家性立法之外，数据安全领域的地方立法也可圈可点，2018年《贵阳市大数据安全管理条例》是全国首部落实《网络安全法》的地方性法规，2019年《天津市数据安全管理办法(暂行)》则是全国第一部专门性的省级立法。除此之外，《浙江省公共数据条例》《北京市数字经济促进条例》等地方性法规均将数据安全与发展并重作为重要的立法理念。

在政策治理方面，由于政策出台层级的不同，不同政策的实际作用和功能存在较大差异，2022年《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(即俗称的《数据二十条》)是建立数据基础制度体系的一份重要文件，对今后立法和政策制定具有直接的制约和指导作用。而中央部委和地方政府制定的相关政策性文件，例如《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》(工信部联网安〔2022〕82号)等则是对国家立法的贯彻性、执行性、细化性的政策文本。