所謂動態安全，是指以承認、維護和促進數據的利用為前提，通過規范數據處理活動，合理控制風險，維護數據安全。2021年6月《數據安全法》正式頒布，標志我國在數據安全法律制度建設方面邁入新的歷史階段。《數據安全法》確立了一整套數據安全法律制度，為數據處理者規定了多項數據安全法律義務，并對數據安全與發展、政務數據安全與開放之間統籌協調機制作出了相應規定。從動態安全的視角出發來理解數據安全，是準確解讀《數據安全法》的關鍵。

數據安全的含義

《數據安全法》將數據安全界定為數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力”，該定義在強調“有效保護”的同時，突出強調了“合法利用”，由此可見，我國《數據安全法》所維護的數據安全并不是靜態的安全，而是動態的安全，并非僅指數據存儲的安全，而是指包括數據的收集、存儲、使用、加工、傳輸、提供、公開、銷毀等各個環節的全生命周期的安全。

數據安全不同于信息保密。數據是以電子或者其他方式對信息的記錄。從數據所反映的信息內容來看，屬于國家秘密的，應當適用《保守國家秘密法》等法律、行政法規的規定；屬于商業秘密和個人隱私的，則應當適用保護商業秘密的法律和民法典中的相關規定，而大量的既不屬于國家秘密亦不屬于商業秘密或個人隱私的數據，雖然并不涉及保密的問題，但是其數據處理過程仍應適用數據安全法》。區分數據與信息的重要意義還在于，對于許多數據而言，僅就單個數據在其孤立、靜止的狀態下所體現的信息而言，可能并無秘密或敏感性可言，然而，其在特定的應用場景之下，或者與其他大量的分散數據相結合而進行大數據分析，則有可能從中挖掘出影響到國家安全、公共安全和私人民事權益的信息。

保護數據安全不同于《網絡安全法》所規定的“保障網絡數據的完整性、保密性、可用性”。《網絡安全法》背景下的數據安全主要強調防止數據泄露、毀損、被篡改或未經授權訪問，而《數據安全法》背景下的數據安全除了涵蓋上述具有保護性的內容以外，還額外強調數據利用、數據流通中的安全，其是以數據有可能被他人使用為前提，以規范數據交易、禁止數據濫用為手段，防范他人通過數據處理活動危害國家安全、公共安全和私人民事權益。

數據安全的立法目的

《數據安全法》第一條規定：“為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。”我國《數據安全法》雖然名為數據安全，但是并沒有將數據安全作為該法唯一的立法目的，也沒有以保障數據安全的名義禁止數據的利用，而是強調“以數據開發利用和產業發展促進數據安全”，并且有大量的條款涉及促進數據利用和政務數據開放的內容。在當今時代，隨著以互聯網、大數據、人工智能為代表的現代信息技術的廣泛應用，當今社會正在加速進入信息化、數字化時代。特別是隨著5G技術和工業互聯網、物聯網的發展，各類智能傳感器遍布在人類生產、生活的各個角落，萬物互聯的時代即將到來，無論是人的生理狀態、自然環境監測指標，還是人們從事政治、經濟和社會生活的方方面面，幾乎均可實現“數據化”，并且可以非常低的成本實現數據的收集、傳輸、整合和分析。數據已不僅僅是數字經濟的要素，而是已成為智能社會正常運轉的要素。在當今大數據時代，靜止狀態已不再是數據的常態，而流動、利用等動態形式才是數據的常態，通過抑制數據的流動、利用來實現數據安全的目的已不現實，科學的數據安全立法應當建立在數據需要充分利用的現實基礎之上。

從立法所維護的利益角度來看，《數據安全法》不僅將國家主權、安全和發展利益置于重要地位，而且，還強調維護公共安全，保護個人、組織的合法權益。其實，從動態的視角來看，國家利益、公共利益與和個人、組織的利益并不是截然分開的，而是相互影響的。國內外的眾多事例表明，當大規模的個人數據被非法收集、處理時，受到侵害的不僅是個人的權益，公共安全和國家安全亦有可能受到影響。

數據分類分級管理制度

在現實生活中，數據總是在隨時隨地產生，其類型紛繁復雜，其應用場景不同，關涉的利益不同，遭受竊取、毀損、濫用的風險不同，有可能產生的危害后果亦有所不同。如果為所有類型的數據處理活動統一規定相同的安全保障水平，那么，其有可能對于某些類型的數據而言保護水平過低，而對于另一些類型的數據而言則保護水平過高。因此，通過對數據進行分類分級而采取差異化、針對性的規制方法十分必要。

我國的《數據安全法》是根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級。基于數據安全的目的，數據可以劃分為一般數據和重要數據，立法者對重要數據規定了特殊保護措施，對于重要數據處理者施加額外的法律義務。例如，重要數據的處理者應當明確數據安全負責人和管理機構，并且在進行數據處理活動時應當依法履行數據安全風險評估義務，而對于一般數據處理者則并沒有這方面的明確規定。此外，《數據安全法》還在重要數據的分類基礎上，將那些關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據確定為國家核心數據，并對其采取更加嚴格的保護措施，以與其所存在的安全風險保持一致。需要注意的是，在對數據進行分類分級時并不是基于該數據的孤立狀態進行評定，而是需要充分考慮到其應用場景以及該類數據在利用過程中與其他數據進行匯集的可能及產生的效應，既要進行定性分析，也要進行定量分析。因此，對數據類型的劃分也需要進行定期評估和動態調整。

數據安全風險管理制度

維護安全是需要成本的，我們所追求的數據安全并不是絕對的安全或不計一切代價的安全，而是合理程度的安全、相對的安全，是建立在風險測算基礎之上的有管理的安全，是將風險控制在社會可接受的限度內的安全。安全的對立面是風險，因此，我們可以從應對風險的角度來理解數據安全，這就需要建立一套應對數據安全風險的識別、評估、報告、監測預警、應急處置和信息共享機制。

就評估機制而言，依照我國《數據安全法》要求，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，因業務需要，確需向境外提供的，依照《網絡安全法》的要求，應當進行安全評估；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境，依照《數據安全法》的規定，亦應當依照有關規定進行安全評估。此外，依照我國正在制定中的《個人信息保護法（草案）》，個人信息處理者處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向他人提供個人信息、公開個人信息，以及向境外提供個人信息，都應當進行風險評估。對于那些存在危及國家安全風險的數據處理活動，依照《數據安全法》還應當進行數據安全審查。數據安全審查的目的在于保障國家安全，而對國家安全的理解應當回到《國家安全法》中，從總體國家安全觀出發來審視數據處理活動有可能存在的安全風險。

只要人類社會不斷地產生、使用數據，那么，數據安全的風險就會始終存在。為此，我們需要一直保持數據安全的意識，充分運用《數據安全法》所提供的各種手段，準確識別風險、合理控制風險。（作者系北京航空航天大學法學院教授）