全球化的数据开放与流动对国家安全带来了巨大冲击，国家数据安全制度已经成为一国安全法律制度的重要组成部分。《数据安全法》的出台恰逢其时，贯彻《国家安全法》所提出的总体国家安全观，以法律形式建构我国基本数据安全管理制度，确立了保障数据安全与促进数据发展的立法主旨，捍卫了本国数据主权及其对内对外的管辖效力。在数据分类分级基础上，以“重要数据”的识别为抓手，建构一体两面的跨境数据流动机制，并与《网络安全法》相互协调，为建设有序、公正、合理的数据安全治理新制度夯实基础。

国家安全；数据安全；数据分级分类制度；跨境数据流动

进入物联网、大数据时代，数据与土地、技术、劳动力、资本等传统生产要素相并列，成为新的核心资源，被称为“新时代的石油”，迸发出巨大的价值潜力。作为首部以“数据安全”为主题的法律，必然有着自己的价值取向与选择，即以法律形式建构基本数据安全制度，在保障数据安全的同时促进数据的开发利用。

“数据”一词本身的内涵及外延界定是《数据安全法》的逻辑起点。其中第3条第1款对什么是“数据”做了界定，这也是第一次以立法形式对数据作出的概念阐释。数据与信息、资料，三者概念经常出现混淆，特别是数据与信息，在我国现有法律规范及学理分析中经常性出现不同的表述和混用，也对实务层面的法律适用带来很大的困扰。

从元认识论的角度，“数据”是通过数字、表格、图形等对事实的客观记录。在数字化转型的历史背景下，数据实质上就是以记录、描述、重现客观情况。国际标准化组织将数据看作信息、事实的一种表达形式，可以通过人工或自动化处理。事实上，数据不仅包括数据控制者利用网络、传感器等采集或生产的原始数据（未经加工的原始素材，基于事实和观察），还包括经过分析、加工、计算、聚合形成的衍生数据等数据产品。大数据时代，数据大都以电子形式出现。在网络空间和计算机系统中，物理空间中的多种表现都为“数据”所取代，即以二进制信息单位0和1表示。与传统的有体物相比较，数据特别是电子形式的数据本身具有无形性的特征，且可以借助互联网从一个节点到另一节点，甚至跨地域、跨国界的快速传输。

从信息科学的角度看，“资料”和 “数据”表述基本一致，都是以可识别的符号序列对事物本身加以表述，可以使口头或书面，并且不以文字为限。无论是词源还是从实际应用上来看，两者并无根本性差异。至于“资料”这一说法，只是学者对“data”的另一种译法而已，英文中并无“资料”的专门译法。

信息则是经过一定技术处理后有价值的内容，在一定程度上减少了不确定性。相较而言，数据侧重于一种客观表达，而信息的着眼点在于内容与人的互动关系。“无数客观事物的信息，正是通过人的眼、耳、鼻、舌、身这五个官能‘传递’给人们，经过人们大脑去粗取精、去伪存真的加工，人们才认识了世界”。显而易见，信息和数据呈现出一个事物的不同方面，信息是标识的内在含义，数据是表象化的标识本身。简言之，信息是数据表达的内容，数据是信息的载体和外在表现形式。与信息相比，显然数据涵盖的范围更为广阔。

在《数据安全法》出台之前，我国《网络安全法》《民法典》《护照法》《居民身份证法》《刑法修正案（九）》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《个人信息安全规范》等法律规范都基本适用了“个人信息”一词来指称与个人相关的信息资料内容。《数据安全法》首次从法律层面对“数据”进行了含义解释，即电子或其他方式对信息的记录，第一次明确区分了数据与信息。也就是说，“记录”是数据的根本性特征。只要是“对信息的记录”，无论以电子还是书面或其他形式，不论该数据上所承载的是个人信息、企业信息抑或政务信息，都是《数据安全法》所要规制的对象。

“安全”是《数据安全法》的第二个关键词，也彰显出该法最根本的价值出发点，即维护国家安全。其中，第4条明确要求“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”。数据安全源于我国《国家安全法》，属于国家安全体系建设中的重要组成部分。在数据作为新型生产资料和国家重要战略资源的今天，数据安全的重要价值和意义愈加凸显。早在2014年，习近平总书记在中央国家安全委员会第一次会议中就明确提出要建立国家安全体系。2015年修订后的《国家安全法》便贯彻吸收了这一“总体安全观”的理念和精神，将“统筹内部安全和外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全”作为安全工作的重要内容，国家安全已经辐射政治、经济、文化、军事等各个领域。

作为《国家安全法》的下位法，《数据安全法》的制度价值统合于国家安全这一总体国家安全观。一方面，国家应对重要数据拥有实际的控制支配权，避免被其他国家或组织非法操控、干扰、窃取或泄露；另一方面，确保数据的宏观安全，防控因数据处理而引发的国家主权、公共利益以及企业和公民的权益受损威胁。同时，贯彻国家安全制度中的全流程安全管理机制，《数据安全法》建立了事前“风险评估、报告、信息共享、监管预警机制”，事中“安全审查监管机制”以及事后“应急处置机制”。

然而，通信、网络技术的快速发展，在带来便捷性的同时亦引发了新的国家安全风险。以云计算为例，其突破了对传统电脑物质载体的存储要求，直接将数据存储于云端，也无须信息技术的硬件支持。大量存储于国界之外的云端数据，直接影响了国家对其国内数据的控制。事实上，数据作为技术的产物，控制核心技术意味着控制了数据资源，这也导致了国家与国家之间由于信息技术的不均等引发的数据主权层面的博弈。也就是说，一方面，信息技术强国利用其技术优势，不仅对其本国数据进行了有效控制，还对其他国家的数据进行肆无忌惮的收集、监测、分析和挖掘，其中“棱镜门事件”无疑是美国安全部门窃取国外数据的典型例证。而且，美国还垄断着全球互联网的战略资源，拥有全球影响力最大的网络运营商和通信服务商，在高科技领域和用户数量方面具有无法比拟的强大支配力。另一方面，大多数发展中国家及最不发达国家困囿于技术水平有限，无法与美国为代表的技术强国相抗衡，不能有效保障自身的数据安全和国家利益。

针对无国界边界的数据空间，一国对数据进行有效控制的路径不能也无法仿效美国利用技术优势的单边控制主义，而应通过与其他国家的公平互利合作加以实现。在国际社会语境下，开展国际合作、坚持主权平等，维护共同安全和利益是所有国家的义务和使命。数据主权合作理应体现国家间的平等性、双赢性、互利性，不能以损害甚至牺牲其他国家利益为代价来满足本国的发展，所有国家不分强弱大小，都有平等参与制定数据领域国际规则的权利。《数据安全法》亦秉承这一原则，其中第11条提出“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动”。此外，基于公平目标，国际社会应对广大发展中国家特别是最不发达国家提供数据技术支持，以提升其控制和管理本国数据的能力，防范外来的数据霸权、恐怖主义等数据安全威胁。

按照传统国家主权理论，主权是国家与生俱来的对内最高统治权力和对外独立的权力。国家主权延展至数据空间，主要表现为两个方面：一是对数据的管辖权，即国家对本国数据的治理；二是当国家遭受外部数据窃取、监控或攻击时进行防御的权利。随着通信及网络技术的发展，数据已经成为一国的基础性战略资源，由于其所承载的信息还关涉文化、价值、意识形态等内容，各国都积极主张对本国数据的生产、开发和利用等权利。加之，一个国家不可能独占性地控制与其领土、企业以及公民等的所有数据，数据的跨境存储、利用及传输往往会涉及多个国家及地区，数据控制者、使用者、处理者在地理位置上也存在事实上的分离甚至是跨国界，这也引发国家之间数据主权的深层次冲突。

数据管辖权作为国家主权的重要表现形式，是指一国对其数据生成、存储和传输的物理设备以及相关服务等享有维护、管理和利用的权利。国家对数据管辖权的行使也遵循传统的国家管辖权原则，即属地管辖、属人管辖、保护性管辖和普遍性管辖等原则。我国《数据安全法》第2条则遵循了属地管辖、属人管辖和保护性管辖原则。即，只要在中国境内开展数据处理活动及其安全监管，无论是中国境内的组织、个人还是中国境外的组织、个人，都适用本法。如果境外的组织或个人虽然没有在我国境内开展数据处理活动，但是其内容或性质会损害我国的国家安全、公共利益或其他公民、组织的合法权益，执法机构仍有权依据数据安全法追究上述主体的法律责任。

从目前数据领域的立法规范看，我国基本采用了较为谨慎的“被动型防御”策略，即强调对重要数据的出境管控，而并不积极主张数据的跨境调取。对于来自外国司法或者执法机构的调取数据请求，我国遵循的是“条约优先、平等互惠”原则，采取逐一报送主管机构批准的控制机制。为了使报告义务真正落地实施，《数据安全法》还规定了法律责任条款（第48条第2款）。同时，为规范重要数据出境活动，《数据安全法》第31条采用“二分法”的方式，对于关键信息基础设施的运营者在境内运营中收集和产生的重要数据出境，适用《网络安全法》的规定；其他数据处理者的重要数据出境，则由国家网信部门会同国务院有关部门制定。为了细化《网络安全法》第37条规定，国家网信办分别于2017年和2019年出台两版有关信息数据出境安全评估办法〔《个人信息和重要数据出境安全评估办法（征求意见稿）》与《个人信息出境安全评估办法（征求意见稿）》〕，这也从侧面反映出个人信息出境与重要数据出境在安全评估原则及规则内容等方面存在重大差异，宜采取单独立法的模式。

与之形成鲜明对比的是，以美国和英国为代表的西方国家积极谋求跨境数据管辖权，在跨境数据调取方面采取“主动获取”策略，并明确赋予执法机构向其海外企业调取数据的法定权力，为其跨境数据的访问和获取扫清障碍。

早在2001年恐怖袭击之后，为了切断基地组织及其他恐怖组织的资金流，根据《国际紧急经济权利法案》美国政府启动了恐怖分子资金追踪计划（Terrorist Finance Tracking Program,TFTP），秘密地从国际银行间转账的环球银行金融电信协会（SWIFT）获取金融数据。而最终促使美国扩大执法机构的境外数据获取权的直接原因，就是始于2013年微软与美国司法部之间的重大隐私权案。当时负责调查一起毒品走私案的检察官们获得了一份搜查令，要求微软提供保存在都柏林的微软服务器上的、该案嫌疑人的相关电子邮件。微软质疑美国政府签发的搜查令是否涵盖了存储于爱尔兰服务器上的邮件数据。司法部则认为，由于微软总部设在美国，所以检察官们有权获得这些数据。在联邦最高法院对该案做出裁决之前，美国国会在短时间内便通过了《澄清境外数据合法使用法案》（CLOUD法案），并于2018年3月23日由特朗普总统正式签署。

CLOUD法案赋予美国政府调取存储于他国境内数据的合法权利，即在数据主权判断标准这一问题上，法案适用了“数据控制者标准”，不管数据是否在美国境内存储，只要该数据控制者属于美国企业，即便是在海外的美国机构，其执法机构也可以单方面向其主张获取该数据。但对于“适格外国政府”调取存储在美国境内的数据，CLOUD 法案第五部分做了规定，包括三方面：一是由美国国会来认定“适格外国政府”，评判的标准和要求具有较强的主观色彩，如该外国政府是否有完善的个人隐私或数据保护法制，是否尊重人权等；如果被认定为“适格外国政府”后，还需要与美国签署双边协定；二是如果“适格外国政府”调取位于美国境内的数据时，该法案提出了比较苛刻的条件，如该外国政府的调取行为，应与严重犯罪行为密切相关，需提供确定的账号、住址等；三是调取令须有国内法的合法依据，并受本国司法机关或其他监督机构的审查监督等。事实上，能够成为“适格外国政府”要求就不低，即便符合条件可以向美国政府申请调取数据，该行为还受到重重约束和限制，其所遵循的差异性标准可见一斑。

显而易见，在数据主权问题上，美国采取对内对外“双重标准”：一方面严格限制其他国家对存储于美国数据的获取，另一方面美国执法机构却可以合法地调取存储于美国境外的数据。CLOUD法案最显著的变化，就是以“数据控制者标准”取代地域边界，实质上抵销了其他国家试图通过数据本地化以保护自身数据安全的努力，而美国则可以通过其遍及全球的互联网巨头公司牢牢地将数据主权控制在自己手中。

虽然英国在境外数据获取方面也采取主动策略，但相比美国激进的“双重标准”，英国则采取了更加温和的合作态度。2018年，英国审议了《犯罪（境外提交令）法案2018》。该法案授予了英国执法机构依据英国法庭命令，在与英国签订相关国际协议的国家或地区直接获取境外数据的权力。该法案通过建立“境外提交令”机制，赋予英国执法机构向英国法官申请该命令，以直接要求企业提交境外数据的权力。需要注意的是，根据该法案的规定，“境外提交令”仅在与英国签订了相关国际协议的国家或地区才有效。应该说，该法案为英国通过双边或多边国际合作协议模式开展执法机构境外数据获取确立了基本框架。

与此同时，司法机关域外管辖权扩张的情形也不少见，如加拿大公司Equustek Solutions Inc.（以下简称ESI）诉谷歌公司案。该案件源于ESI要求谷歌删除侵权的网站链接，但谷歌只删除了在加拿大领域内的链接，其他国家领域内的链接依然存在，ESI公司认为仅仅这样是远远不够的，因此向加拿大法院起诉要求谷歌公司删除在全球领域内的所有链接。加拿大法院支持了ESI的诉请，在全球范围内发布禁令，开创了法院域外管辖权的先例，但这也引发了数据主权冲突风险。

因此，合理界定数据管辖权行使的范围是数据主权合作的重要前提。我国《数据安全法》在其管辖效力问题上，不仅要管住重要数据出境这一关，明确相应的数据出境限制措施及制度安排。更重要的是，面对来自境外的数据调取要求，出于国家安全的考量，理应作出相应的规范，以约束他国过分膨胀的公权机构的数据获取要求，亦需在法律层面明确涉及跨境数据调取相关主体的义务与责任。同时，还应特别强调，即便是在境外的数据活动，只要是危害到我国的国家安全、公共利益、企业和公民权益的，都应在我国法律的管辖范围内。对于数据恐怖主义等影响国际社会稳定和秩序的国际犯罪行为，则可遵循普遍性管辖原则。鉴于广大发展中国家的数据技术水平有限，无法通过自身力量管辖域内外数据来应对上述行为，就需要在国际社会上寻求集体合作的安全机制，在集体自卫权基础上实施跨国惩治。