第四条 【数据安全工作基本原则】

维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

【释义】

本条是关于数据安全工作基本原则的规定。在本法历次审议过程中，本条均未发生变化，重点是从维护数据安全原则出发，确立了三个方面的主要内容：坚持总体国家安全观；建立健全数据安全治理体系；提高数据安全保障能力。原则导向的条文多强调规则的出发点或目的，明确被监管者需要遵守的根本性义务，以结果为导向，以更高位阶的原则而非具体的规则为工具，但不对被监管者如何达到这一目标进行具体要求，在语言表述上多为定性术语而非定量术语，为市场主体提供充分的发展空间，[3]本条作为本法中具有代表性的原则导向规定，也为技术进步和市场主体发展预留了充分空间，体现了一定灵活性和包容性，也有益于允许数据行业从业者发挥主观能动性，实现“创造性”合规的目标。

在形式上，本条是较为典型的不完全法条，并未具体规定法律效果等内容，因此，在解释论上，应当将本条视为单纯的“宣示性条款”。“宣示性条款是法律条文中仅仅展示彰显某种观点价值，并不包括行为模式和法律后果等要素，不直接调整社会关系的条款。”[4]宣示性条款在表达方式上都是对某种权利或利益的保护进行宣示，抑或对某种抽象立场进行宣告，[5]数据安全是本法的基本价值与核心立场，本条虽不具备直接的强制功能，但将维护数据安全的指导思想、要求和理念进行了概念化和规范化，普遍适用于数据处理活动及安全监管，具有较强的宣示意义。

2020年9月，在“抓住数字机遇，共谋合作发展”国际研讨会上，我国国务委员兼外交部部长王毅代表我国提出了《全球数据安全倡议》，提出“秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系”。由此可以看出，“发展与安全并重”是我国处理应对数据安全问题的基本原则，数据安全问题已经上升到国家安全和社会公共利益的高度。在过去的传统安全观下，民族矛盾、宗教冲突、领土争端等安全威胁，是导致国家间政治、经济、外交乃至军事上全面对抗的根本原因，一国对内提升本国安全保障能力、对外积极维护本国安全利益正是为了化解此类传统安全威胁。然而，在国内外形势正在发生深刻复杂变化的时代背景下，经济全球化与一体化进程之间双螺旋式的互馈推动了世界经济发展与社会进步，而世界多极化与社会信息化的持续演进也对国际政治、国家安全和社会多维关系变迁产生了深刻的影响，同时，这些进程和演变的复杂性、非线性、联动性、不确定性以及颠覆性等也对国际安全和国家安全带来巨大的风险，[6]在传统安全威胁未完全消除的同时，一些新的非传统的安全威胁开始显现。数据安全作为数字时代暴露出的非传统安全威胁，已无法通过传统安全观及其方法论予以应对。2014年4月15日，“总体国家安全观”在中央国家安全委员会第一次全体会议上被首次提出，会议提出了“构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”的要求。[7]总体国家安全观作为党史上第一个被确立为国家安全工作指导思想的重大战略思想，在强调国家安全民本性上体现了非传统思维，而且更通过强调“既重视传统安全又重视非传统安全”等多方面的论述，统一了传统安全问题与非传统安全问题两个方面的丰富内容，[8]在化解非传统安全威胁的各个领域均应当予以贯彻。在网络安全和数据安全领域，在总体国家安全观的指导下，《国家安全法》第25条明确提出了“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，将数据安全纳入国家安全的范畴。作为我国网络安全领域的首部综合性立法，《网络安全法》也涉及了网络数据的概念，并将网络数据定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”，提出了“维护网络数据完整性、保密性和可用性”“鼓励开发网络数据安全保护和利用技术”“防止网络数据泄露”等要求。综上，本法作为数据领域的基础性法律，也是国家安全领域的一部重要法律，必须要“贯彻落实总体国家安全观，聚焦数据安全领域的风险隐患，加强国家数据安全工作的统筹协调”，[9]这既是维护数据安全的题中之意，也是确保本法得以顺利有效实施的关键举措。

数据安全治理体系是数据治理体系中的一个部分，是围绕数据安全治理所构建的制度体系，从宏观层面上看，包括安全制度、安全义务、法律责任等各领域体制机制、法律法规安排， 也就是一整套紧密相连、相互协调的制度体系。本条要求“建立健全数据安全治理体系”，应当视为对所有承担维护数据安全义务的相应主体所设定的要求，而不只局限于国家机关或互联网企业。如果从中观层面的角度看，有学者提出数据安全治理体系包含精准定位的多元治理体系、精准防范的科学预判体系、精准识别的分类处置体系、精准提升的动态保障体系，[10]在这一维度下，则考虑的是数据安全治理的整体解决方案， 构建管理机制、计划和部署。当前，我国自上而下、协调一致的全局性数据要素市场治理法律体系还未建立，数据综合性监管体系不健全，法律监管理念和监管机构设置不能完全适应数据要素市场的发展要求，[11]本法正式施行后，应以数据为主导，分级实施安全管理，科学制定安全标准，完善配套法律法规以强化数据要素市场监管执法，维护国家数据安全和主权安全。

在公共安全研究中一般认为，“能力”与“灾害”“风险”具有彼消此长的关系，因此，“能力”也被称为抗灾能力或危机恢复能力，是指一个可能受到危害的系统、社区或社会，通过抵御或变革，从而在职能和结构上达到或保持可接受水平的适应能力。[12]数据安全保障能力作为保障数据安全防御、响应和恢复的相应能力，应当包含事前的防御保障能力和事后的恢复救济能力，二者不可偏废，否则可能会导致防止防御系统失效，或当系统失效后，难以使防御系统快速恢复到失效前的状态。本条提出要“提高数据安全保障能力”，则是在现有能力的基础上，要求实现能力的优化：第一，数据本身特性与提高数据安全保障能力。数据安全的一大特性是在数据的生命周期的所有环节，都有存在安全威胁。无论是数据的识别、采集、传输、使用，还是数据的存储、共享等，均应提高事前的保障防御能力和事后恢复能力。第二，外部环境与提高数据安全保障能力，主要包括经济及产业环境、法律制度环境和技术环境等。外部环境的变化对提高数据安全保障能力具有重要影响，因此应当重点培育数据安全保障技术，从多个技术维度完善技术供给，营造数据安全保障能力可持续发展的技术环境。第三，政府公共部门的组织结构、资源配置与提高数据安全保障能力。当前，数据安全监管体制机制尚未完全厘清，多头监管、空白监管时有出现，对于优化监管部门组织结构提出新的要求。从以上三个方面出发，实现数据安全保障能力的提高，也将有力支撑数据安全治理体系，落实本法维护数据安全的立法目的。

【关联规定】

《中华人民共和国国家安全法》第25条，本法第22条、第27条、第39条

（撰稿人：龙卫球 赵精武）