邱实 牟承晋：网络化数据安全的根本性变化——来自西工大的警示

　　数据安全，更为准确地说，是“网络化”（Networked）的数据安全，已成为当前国际间竞争和斗争的焦点。数据，不仅被作为国家的核心资产和资源，而且被作为政治化和武器化的标的。

　　中国政府相关部门最近宣布，西北工业大学遭受美国国家安全局（NSA）的持续网络攻击，导致大量敏感数据遭窃。这起事件是对数据安全保护的又一次深刻警示，亟应举一反三地从中汲取经验和教训，果断采取必要和有效措施，加固国家关键信息基础设施（和数据安全）的底座。

　　鉴于，网络入侵和攻击、数据遭窃或失窃，乃至极端情况下被断网或断服的潜在风险，都具有相应的范围和边界（尽管有时是动态的），其中包括：起点（战术）、路径（技术）和步骤（过程）；因此，有必要探究和搞清楚三个基本且相互关联的问题：

　　1）国家安全与公共安全（起点）；

　　2）网络的基本特征（路径）；

　　3）管辖权与控制权（步骤）。

　　一、国家安全与公共安全

　　从数据安全的角度，国家安全（National Security）与公共安全（Public Safety），既具有不同的术语界定，也具有不同的内涵与外延。

　　一方面，国家必须以立法的形式，规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。

　　另一方面，由于数据安全在事实上动态地被泛化，使得区域的不同环境、立法的统一解释、执法的力度效能都存在不同程度的困难，或滞后于现实的变化和需求。

　　因此，美国和欧洲等国家存在行政命令和立法执法并行与互补的机制，并明确国家安全与公共安全的差异与重点。

　　例如，美国法典第44卷第3542章定义了美国的“国家安全体系”（简称“NSS”），即：是由美国政府机构或机构的承包商或代表机构，所使用或运营的任何信息系统（包括任何电信系统）。1990年7月5日，布什总统签署第42号“国家安全指令”（NSD-42），指定由美国国家安全局（NSA）作为该“国家安全体系”的主管（或称为“国家安全经理”，National Security Manager）。至今，NSA所行使的职责，“旨在预防和消除网信安全威胁，以挫败外国对手并保护重要网络”，是“法定”赋予其在网信安全领域的定位和职能。

　　拜登上台伊始，于2021年3月3日发布了“国家安全战略临时指南”，把“网信安全（Cybersecurity）作为重中之重（Top Priority）”；不久，又于2021年5月12日签发总统行政令（EO14028 ），再次明确NSA的职能和作用是“加强国家的网信安全”。