全球数据安全：认知、政策与实践

全球数据安全：认知、政策与实践

数据时代背景下，一方面数据战略价值凸显，各国围绕数据展开战略竞

争；另一方面数据成为安全重灾区，近年来，针对数据的攻击、窃取、劫持、

滥用等手段不断推陈出新，给经济、政治、社会等各领域带来巨大风险。需要

围绕当前数据安全涉及的核心议题，深入分析数据安全面临的主要挑战以及当

前的政策实践，在对未来数据安全发展趋势评估的基础上，就中国如何进一步

有效维护数据安全并引领数据规则制定进行思考。

内容目录：

引言

1正确理解数据安全

2数据安全面临的主身兆战

3维护数据安全的主要实践

4未来数据安全维护主要趋势

5结语

引言

当今世界已进入数据时代，海量数据的产生与流转成为“新常态"，正如

中国发布的《全球数据安全倡议》所言："作为数字技术的关键要素，全球数

据爆发增长，海量集聚，成为实现创新发展、重塑人们生活的重要力量，事关

各国安全与经济社会发展。"依赖性越强则脆弱性越大，在数据如此重要的背

景下，数据亦成为安全"重灾区”。近年来，针对数据的攻击、窃取、劫持、

滥用等手段不断推陈出新，给经济、政治、社会等领域带来巨大风险。为切实

保障数据安全，国际社会各方在实践中不断探索，但鉴于数据安全的技术与应

用特性，有效确保数据安全仍然面临诸多现实挑战。

1、正确理解数据安全

世界主要国家均高度重视数据及其安全，但因各国国情不同，对数据问题

的核心关切亦有所不同，对于何为数据安全，并不存在统一认知与概念界定。

对于数据安全的理解总体上与各国发展阶段和程度密切相关，但不可否认的

是，数据安全具有安全问题的共性，即本质上是一种动态、平衡、相对的安

全。

首先，数据安全是一种动态的安全。数据问题兼具技术性与社会性，从技

术角度来看，数据的产生、流转与技术应用高度相关，数据形态与“运维"本

身处在不断的发展变化之中，这就意味着数据安全的内涵与外延亦在不断拓

展。从社会角度来看，数据涉及社会各层面，与日常生活息息相关，必然受到

社会环境与文化传统的影响。因此，各国对于数据安全的理解与把握存在差

异，且处于动态变化之中。一般而言，发展程度越高，对于数据安全维护的意

识与认知会更加成熟。

其次，数据安全是一种平衡的安全。任何一个国家对于数据安全的维护都

是有"偏好”的，这种偏好不是指心理上的，而是基于现实，在安全诉求与发

展需要之间不断寻求最符合自身利益的平衡点。长远来看，安全是为了更好地

发展。但在实践进程中，出于不同发展阶段的需要，发展会付出一定的安全代

价，安全亦会事实上影响发展进程。一般而言，发展程度越高，对于数据安全

维护会更加偏好发展，力图在实现发展利益的前提下最大限度地确保安全。

最后，数据安全是一种相对的安全。数据安全同其他安全一样，没有绝对

的安全。在当前发展背景下，数据是一种常态化、泛在化的存在，这不仅意味

着数据处理涵盖收集、存储、使用、加工、传输、提供与公开的“全链条"，

更意味着数据主体涉及国家、企业乃至个人。数据安全的复杂性不言而喻，绝

对安全只能是一种理想状态，而非现实目标，这也是为什么中国在最新颁布的

《中华人民共和国数据安全法》中，将"数据安全”务实地界定为："通过必

要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状

态的能力。"

需要指出的是，由于各国处于不同发展阶段，有效应用数据的能力并不相

同，对于数据安全的内在利益诉求与面临的外在现实约束均有不同。数据安全

维护很难齐头并进，而是具有一定"优先排序"。因此，相应的数据安全维护

政策法规与治理机制没有绝对的"模板"，政策实践更会呈现鲜明的"国情特

色"。

比如美国鉴于其技术与产业优势，主要从产业利益出发，对数据持积极利

用的态度，坚持以市场为主导、以行业自律为主要手段，总体呈现一种"相对

宽松”的政策导向[1];欧盟虽然将数字产业发展列为实现未来竞争力的战略

方向，但目前来看规模有限，其对数据安全的关注更多从"理念"与"规则"

塑造层面入手，提出将价值观、个人权利和市场价值相结合的欧洲“数据理

念"；俄罗斯从维护国家安全的角度出发高度重视数据安全，对于数据流通有

较严格限制，总体呈现出相对封闭的“孤岛"态势。中国数据安全观基于总体

国家安全观，数据安全政策整体比较务实平衡。一方面大胆将数据作为重要生

产要素投入生产，推动数字经济和实体经济深度融合、实现经济转型。另一方

面通过《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华

人民共和国个人信息保护法（草案）》等法律法规，乃至于紧跟热点行业推进

规范的《汽车数据安全管理若干规定（征求意见稿）》，建设全方位的数据安

全保障体系。同时中国积极参与国际数据安全规则塑造，于2020年9月发布

《全球数据安全倡议》，呼吁各国致力于维护开放、公正、非歧视性的数字环

境。

2、数据安全面临的主要挑战

在数据时代，数据是一种“泛在"性的存在，其安全的维护是一个非常复

杂的系统，但按照涉及议题的属性，大致可以将当前数据安全面临的主要挑战

或问题划分为以下四大类：

第一，数据确权难题。有效维护数据安全，首要的问题是对数据进行确

权。所谓数据确权，是对数据权内容、权属、权利体系和治理机制等做出明确

规范的过程。由于数据问题本身的特殊性，数据确权从不同主体层面均面临不

同程度的困难。从国家层面来看，就是"数据主权”问题。虽然各国表述不

-，但总体而言均旨在强调国家对数据的主权，涉及提升数据安全管控能力和

强化国家关键数据资源保护能力等各方面。目前，对于该问题的探索还处在初

级阶段，各国虽然对国家拥有数据主权没有异议，但在实践中，如何有效维

护，特别是如何平衡数据开放、共享与跨境流动之间的关系仍然面临诸多分歧

与差异。从社会与个体层面来看，就涉及数据的“产权”问题，目前学术与政

策界对于数据特征、数据权利性质的内容、数据权利配置结果等重要问题仍存

不同看法。数据确权问题很难有权威或普适的解决方案，各国需要不断寻找适

合自身安全与发展需要的解决路径。

第二，数据垄断困境。互联网行业以用户量和数据量为导向形成“赢者通

吃”的天然垄断局面，绝大部分用户份额控制在一个或几个巨型互联网公司之

中。数据垄断会带来系列问题，一是隐私保护问题，以Facebook、Google这

类挖掘海量用户数据资源的社交、搜索企业为代表，这些数据被用于定向推

送、协调行业生产资源。但用户交付个人信息以换取互联网企业免费服务的同

时，所产生的大量行为数据也被互联网企业所搜集。二是加大数据泄露风险，

海量数据集中在少部分平台和公司之中，也增大了大规模数据泄露的风险。三

是市场垄断问题。企业对于数据的排他性支配是否在事实上导致准入壁垒，进

而使得互联网市场趋向垄断，长远看会影响行业整体的良性发展态势。

第三，数据泄露危害。所谓数据泄露主要是指受保护的重要、敏感、核心

数据丢失、被盗、或其他未经授权的访问或公开。近年来数据泄露事件屡见不

鲜，涉及工业制造、政府数据、医疗信息、个人账号、军工情报等诸多领域。

依据泄露数据的重要性、数据数量规模可造成不同程度危害。从数据泄露影响

主体而言，可分为个人、企业、社会与国家四个层次。数据泄露侵犯网络用户

个人信息和隐私，增大用户被欺诈风险；企业数据泄露造成直接经济损害，同

时影响企业可信度；公共数据泄露影响社会治理，违法售卖数据等既是犯罪本

身也可能引发其他类型的网络犯罪；核心、机密数据以及大规模数据泄露同样

威胁着国家的政权安全和主权安全。

第四，数据造假隐患。近年来，数据篡改或造假问题日益引起广泛关注：

一是影响行业发展，数据造假已成为社会多领域内的问题，包括环境监测、金

融数据造假。在电商平台、视频网站以及社交平台上的公开数据也有相关造假

手段。这些对于依赖数据真实性的行业发展而言都有着不良影响，更为重要的

是会影响国家相关领域的宏观判断与政策制定；二是影响新技术与应用发展。

主要体现在人工智能和机器学习的应用中。众所周知，无论是算法还是机器学

习都需要基于海量数据，数据的真实性与有效性也至为重要，如果基于被篡改

的数据与作假的数据，算法的有效性与学习效果不难想象；三是滋生新的犯罪

手段。突出表现在个人生物识别信息的应用过程中，个人生物识别信息具有独

特性、唯一性，并且与个人身份信息具有高度相关性，以其可数据化和便携性

得以迅速推广，涉及生活的方方面面。指纹锁、小区人脸识别门禁、疫苗注射

登记乃至天网系统都与个人生物识别信息密切相关。利用人工智能的“深度伪

造”技术对这些信息进行替换、合成和调整，从而破坏个人生物识别数据的排

他性和唯一性，不仅会导致个人身份及信息的盗用，而且会成为进行恶意或非

法活动的重要手段。

3、维护数据安全的主要实践

数据安全问题复杂，涉及主体多元，领域广泛，包括国家、企业乃至个人

的各方均是数据安全维护的主要实践者，虽然各有专长或专注领域，但彼此之

间又有着紧密关联，共同构成不断发展的数据安全治理生态。

首先，是国家层面"三条主线"。随着数据安全重要性日益凸显，世界各

国都在维护数据安全方面进行了诸多尝试。

一是推进数据本地化措施。出于保护国家安全和公民隐私考虑，国家往往

会对数据存储做出相应要求。近年来，数据本地化浪潮兴起，明确提出相关要

求的国家多为发展中国家和新兴经济体，但实际上各国不管"明面"（明确专

门就数据本地化提出要求）还是"暗里"（相关数据流动限制分散体现在其他

具体的安全例外或行业规定）都有相关规定。

二是加强数据跨境流动规制。各国出于不同考虑，会对本国数据境外传输

采取相应规制。主要表现为需经数据主体同意或特定数据经审批后方可对外传

输。如中国强调评估，2019年《个人信息出境安全评估办法（征求意见稿）》

要求个人信息出境前需进行安全评估，评估其合法性和正当性，可能影响国家

安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。美国虽

然鼓励数据自由流动，但采取禁止性规定，即关乎国家安全和利益的特定类型

数据受到严格保护。此外，多国提出数据向境外传输后能够受到与本国同等程

度保护的要求。如欧盟《通用数据保护条例》（GDPR）对数据传输目的地实

行数据保护的"充分性认定"，通过该认定的国家方可自由地将欧盟个人数据

传输至该国。

三是围绕“长臂管辖”展开较量。数据领域的长臂管辖问题主要源于网络

犯罪的取证问题，网络犯罪因其数据转移更新快，通过正常审批流程周期长等

问题，使得各国为了本国的司法便利而采取长臂管辖。一方面这有一定的合理

性，是探索网络犯罪取证的解决之道"旦另一方面也确易出现滥用风险，引发

主权争议。比如美国2018年通过了《澄清境外数据的合法使用法案》（简称

CLOUD法案），明确加强数据领域长臂管辖能力，但在实践进程中带来司法

管辖权冲突或异议。各国纷纷出台相应政策进行应对。如2018年8月7日，

欧盟委员会出台升级版《阻断法案》；法国2019年6月发布了《重建法国和

欧洲主权、保护我们的企业免于域外管辖的法律和措施》报告；中国2021年

1月9日发布《阻断外国法律与措施不当域外适用办法》，4月29日公布了

《中华人民共和国个人信息保护法（草案二审稿）》，加强了对向境外司法或

执法机构提供个人信息的监管，明确非经主管机关批准不得提供等。

其次，行业层面"重点突出"。不同行业对于数据安全类型的侧重和维护

方式均有所不同，所有需要和个人交互的行业都需要保护的个人隐私数据之

外，重点是对各自“核心数据”采取相应措施大幅提升数据安全能力。

一是加大数据安全管理架构优化力度，不再仅仅将数据安全作为简单的技

术问题，而是通过涉及优化治理层、管理层、执行层和监督层四个层面促进整

个数据安全治理体系的持续优化。

二是不断加强数据安全风险评估力度，通过建立专门部门或工作小组的方

式，将数据安全风险评估工作常态化与机制化。

三是积极采取新技术手段，通过系统升级，部署人工智能、器学习、分析

和其他形式的安全自动化技术，强化数据安全态势感知。

四是加大人员数据安全能力培训，通过打造针对技术、自动化与安全专业

人才团队建设，维护和减少系统内部漏洞以避免外部恶意攻击；规范数据处理

流程，对于企业内部人员进行数据安全培训与道德培训以降低内部无意识泄露

的风险。

最后，国际层面"积极探索"。各国数据在跨境流动中，不断地通过机制

对接，寻找流动与安全的平衡点。在此过程中，基于流动背景下的数据安全理

念不断扩散，相应数据安全规则也在逐渐成形。虽然目前阶段各国囿于利益、

价值观等方面的较大差异，短期内在联合国或WTO等多边机制下很难形成各

方接受的单一数据流动规则，更遑论安全规则，但各主要国家都在探索可能的

路径。

一是对于个人数据的保护基本达成共识。欧盟通过GDPR确立了被称为

"世界上采用最广泛的个人数据保护模式"，虽然保护的力度有所不同，但大

多数国家在国内立法中都在不同程度上适用其原则。此外，美国亦着力推动

APEC跨境隐私规贝!!(Cross-BorderPrivacyRules,CBPR)体系,增强个人

信息保护机制兼容性。CBPR体系是基于自愿原则在政府支持下开展的,为企

业提供符合国际公认标准的数据隐私保护认证体系。

二是通过"相互认定"设立数据安全"门槛”。欧盟于2018年发布的

《通用数据保护条例》(GDPR)通过"充分性认定"规则确定数据跨境自由

流动白名单国家，对具有充分保护水平的国家和地区进行充分性认定，从而确

定能与欧盟进行数据自由传输的国家和地区。目前已通过欧盟充分性认定的国

家和地区有13个。在一定程度上设立了数据安全保护的“门槛"，打造了一

些"模板"。如韩国为与欧盟达成"充分性认定”，于2020年修改了其国内

数据保护法。

三是力图形成兼顾发展与安全的治理框架。最具代表性的即日本倡议的

"可信数据自由流动"，该框架通过G20机制得到美国和欧盟的认可。2019

年6月，G20贸易与数字经济部长会议重申可信数据自由流动的概念，强调跨

境数据流动对促进生产率、创新和可持续发展的重要性。该框架着重强调两个

方面：一是信任，即消费者和企业对隐私保护和安全的信任；二是可互操作

性，即不同法律框架之间的融合。

四是积极推出全球数据安全倡议。中国作为数据大国，亦积极为全球数据

治理不断探索。2020年9月8日，在北京举办的“抓住数字机遇，共谋合作

发展”的国际研讨会上，中国提出《全球数据安全倡议》。在这份倡议的推动

下，2021年3月29日，中国外交部同阿拉伯国家联盟秘书处召开中阿数据安

全视频会议，宣布共同发表《中阿数据安全合作倡议》，阿拉伯国家成为全球

范围内首个与中国共同发表数据安全倡议的地区，体现了中阿在数字治理领域

的高度共识。

4、未来数据安全维护主要趋势

当前国际社会积极探索推进全球数据安全治理，但总体而言尚处起步阶

段，虽然各类网络空间治理议程均将数据安全纳入优先议程，包括政府、企

业、智库在内的各方也在不断提供政策建议，但无论是从共识基础、规则形成

还是机制建设等各方面来看，全球性规则体系建立还有很长的一段路要走。基

于当前形势与政策实践，未来数据安全维护将呈现如下发展趋势：

趋势一：主要国家数据安全框架基本成形。随着各国对数据保护工作的持

续关注，在数据全球流动、跨境服务日益频繁的大趋势下，主要国家和地区在

数据安全管理的适用范围呈现初步持续扩大的趋势，经过初期的探索以及相应

的规则整合，数字安全框架趋于成形：一是从战略高度重视数据安全，围绕数

据安全的统一立法成为越来越多国家和地区的共同模式；二是数据的分级分类

管理机制逐渐清晰，虽然各国对数据的细分或有所不同，但在实践上，大体均

会根据数据性质以及具体应用场景，制定不同保护标准与实施措施。三是围绕

数据安全的主体责任落实更加明确。越来越多的国家通过既有机制中增加相应

数据安全职能，或者新建相应主管机制，将数据安全责任进一步压实，以确保

相应数据安全战略与政策能够有效落地。

趋势二：各国对于数据的控制权会不断加强。虽然当前技术能力较为发达

的国家在数据安全问题上倾向于积极鼓励数据跨境流动，维护并进一步扩大自

身的权益和优势地位。与此同时，随着各国对于数字经济的重视，在贸易协定

等国际协作上，数据本地化要求会得到相应限制。但总体来看，技术能力相对

不足的国家会继续倾向于采取数据本地化等"数据防御主义”措施，在发展中

国家和新兴经济体中，数据本地化浪潮还将不断延续。同时，有条件的数据跨

境流动将越来越普遍，尤其是政府数据、健康数据、个人隐私数据等关乎国家

安全利益的数据；各国之间数据跨境流动的审查及认定机制也将在衡量各国数

据安全保护能力的同时继续体现更多政治性因素的考量，构建数据流动“朋友

圈”的做法亦会延续。

趋势三：全球跨境数据流动圈呈现复杂态势。经过初期发展，数据安全的

本地化措施基本到位，相关国家的关注重心会更多地转向在数据的流动中如何

更好维护数据的安全。美欧日韩等国在此方面已经采取相应措施，力图实现在

所谓"价值共同体"中的机制对接。但似乎这种路径也并不那么顺利，随着

2020年7月，欧盟法院宣布欧盟与美国的隐私盾协议在跨境数据传输方面无

效，欧盟与美国跨境流动"通道"存在变数。同时，欧盟、英国也试图进一步

拓展其与亚太地区的数据流动。2020年6月，英国制定了脱欧后的科技贸易

战略，此前欧盟与日本通过充分性认定实现数据自由流动，但在英国脱欧之

后，该条款已经不再适用于英国，英国希望与日本等亚太国家签订更深度融合

的数据自由流动协议［12］。此外，地缘政治博弈带来的影响，如美国联合多国

针对中国推进“清洁数据"等做法，也会在客观上进一步加大未来数据流动版

图的复杂性与不确定性。