以数字安全法治落实总体国家安全观
来源:中国社会科学报 更新时间:2023-11-15

2015年施行的《国家安全法》第3条规定:“国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。”近年来,《网络安全法》《关键信息基础设施安全保护条例》《数据安全法》《个人信息保护法》等数字安全领域基础性的法律法规相继出台,初步构建起数字安全法律保护体系。如何以数字法治落实总体国家安全观,是当前亟待解决的关键问题。

统筹安全、发展和权利保障之间的关系

总体国家安全观是从政治、经济、社会、军事、文化和国际等层面对国家安全工作所作的整体性、综合性和系统性思考,不仅囊括了不同维度的安全需要,也涉及对其相互关系和权重的考量。在数字安全法治建设过程中,按照总体国家安全观的要求,在维护“国家主权”和“网络空间主权”的基础上,统筹安全、发展和权利保障三者之间的关系至关重要。

首先,安全是数字法治的基石价值。数字安全维护是基础,没有网络安全、数据安全和国家安全,数字社会无法正常运行,数字经济也不可能获得长足发展。数字经济以大数据、人工智能、云计算、区块链、移动互联网、物联网等信息通信技术的应用为基础和载体,信息通信技术的先进性、适用性、完整性、可靠性等直接决定了网络运行的安全性程度及其潜在风险。信息的保密性、完整性和可用性则是数据安全维护需要重点关注的核心问题。数字安全维护牵涉个人财产和人身权利保护、企业正常生产经营活动开展、经济社会长足发展乃至国家安全保障。筑牢数字安全屏障,让数字文明造福各国人民,是当前世界各国面临的重大实践课题。

其次,效率是数字法治的核心价值。数字经济发展关涉到经济增长、社会福祉提升和综合国力竞争。当前,我国高端芯片设计、制造等关键技术仍面临“卡脖子”等问题,加快构建促进数字经济高质量发展的法治体系迫在眉睫。对此,党和国家对数字经济发展及其法治建设进行了全面部署。十八届四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》提出“加强互联网领域立法”;党的十九大报告提出建设网络强国、数字中国和智慧社会;2021年国务院印发《“十四五”数字经济发展规划》;党的二十大报告提出“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”。数字经济关涉先进技术研发和先导产业发展,是未来十年全球经济发展的引擎,只有充分发展,才能获得真正的安全保障。

最后,权利保障是数字法治的根本价值。在数字经济的背景下,时间和空间概念的内涵和外延都发生了转换,出现了曼纽尔·卡斯特所说的“流动的空间”(space of flows)和“无时间性的时间”(timeless time),个人自由得到了很大的拓展。随着新媒体发展,新媒体的使用主体和受众群体发生了巨大改变,“人人都有麦克风”,网络给个人言论表达极大地“赋权”。但是,数字经济发展也带来了权利被限制和被侵犯的风险。如数字产业化和产业数字化造就了数字超级平台企业的崛起,也带来社会权力的重新配置,在平台企业拥有强大市场势力,又拥有海量个人数据并可以跨界经营的时候,其市场和社会影响力与日俱增,数字超级平台企业的崛起及其担任的越来越重要的社会角色,可能侵蚀到自由的根基。数字社会中如何充分保障权利,是不容回避的重大理论和实践问题。数字经济发展、数字安全保障从根本上是为了给社会主体充分赋权赋能的过程。

优化数字安全法治保障的制度供给

当前,国家在数字安全领域虽然进行了密集的立法,并多次修正《刑法》以精准打击计算机领域和网络领域的犯罪行为,但是数字安全领域侵犯公民个人信息、侵入计算机网络、不履行数据安全保护义务等类型的案件仍然处于高发阶段。结合数字安全法治整体立法目标的要求,需要探索更为有效的规制进路,在总体国家安全观视角下进一步加强数字安全保障。

第一,明晰我国数字安全国家战略。联合国国际电信联盟的报告显示,目前已经有超过70多个国家发布了网络安全方面的国家战略。2023年美国最新颁布的《国家网络安全战略》不仅继续将中国视为主要威胁,还从网络安全战略定位、保护关键基础设施、推进公私合作和国际合作等战略举措方面进行了创新和改革,以实现从“实施威慑战略”到“主动防御”转变。在这样的背景下,我国需要在2016年《国家网络空间安全战略》的基础上,立足于我国数字经济发展现状、国际竞争态势和未来发展目标构建我国数字安全国家战略,在维护“国家主权”和“网络空间主权”的同时,兼顾数据安全、网络安全和国家安全的保障,充分应对国际竞争。

第二,优化数字安全管理体制机制。在数字安全管理体制方面,我国具有数字安全管理职权的部门数量众多,不同部门之间和不同层级政府之间的安全管理权限缺乏清晰划分,需要优化数字安全管理的整体架构,构建互联互通的数据安全监管平台,保证网络基础设施、信息系统的安全稳定运行和维护重要数据安全。在数字安全监管措施方面,监测预警、分类分级管理、安全标准等都是数字安全监管的重要政策工具,只有提升安全技术手段、做好安全预警、完善数字安全标准,才能够有效回应数字市场变化和数字技术的发展。另外,数字安全管理部门应当加强自身能力建设和改善人员知识结构,通过监管数字化和智能化转型,全面提升数字安全监管能力。

第三,细化数字安全规制规则。为了回应数字经济迅猛发展所带来的法治需求,近年来,我国在包括数字安全保障在内的数字经济领域进行了密集立法,但也显著增加了企业及其他社会主体在数字经济法律制度方面的遵从成本。以数据出境安全管理为例,《数据安全法》和《网络安全法》对数据出境安全管理仅作了概括性规定,国家网信办虽然制定了《数据出境安全评估办法》等部门规章,但主要限于安全评估等方面的框架性和程序性规定。实践中,数据出境安全评估存在评估程序不透明、评估标准不一致、评估效率低下等问题,严重影响了跨境数据的正常流动。2023年,国家网信办起草的《规范和促进数据跨境流动规定(征求意见稿)》对重要数据的识别、不需要申报数据出境安全评估的具体情形等作了明确规定或列举,这对于明确数据出境安全评估的制度边界是至关重要的,极大降低了数字安全方面的制度遵从成本。

第四,构建数字安全多元治理体系。在数字安全治理中,需要政府、平台、企业、行业组织和社会公众等多元主体的共同参与和有效协同。按照《数据安全法》的规定,公权机关要承担数据安全保障义务,包括建立数据安全风险评估、报告、信息共享、监测预警机制,建立数据安全应急处置机制,建立数据安全审查制度等;数据处理者则要承担相应的数据安全保护义务,包括建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全等。对于公权机关而言,由于数据安全风险评估、报告、信息共享、监测预警机制等具有公共物品属性,由政府部门提供才是更有效率的制度选择;对于数据处理者而言,基于受益标准、能力标准或最低处理成本标准,在很多情形下,由数据处理者承担数据安全保护义务都是恰当的。在确立数据处理者数字安全义务方面,既要通过一般性规则发挥企业在安全维护方面的主体作用,全面落实安全保护义务,也要兼顾企业所处经济、技术环节以及市场地位,对数字平台企业、重要数据的处理者和关键信息基础设施的运营者进行分类管理,打造数字安全保护共同体。

(本文系国家社科基金重大项目“系统论视野下数字法治基本问题研究”(22&ZD201)阶段性成果)

(作者系深圳大学法学院、深圳大学创新发展法治研究院教授)