近年来，在数字经济蓬勃发展的同时，数据泄露事件层出不穷，数据安全逐渐成为社会关注的焦点。为规范数据处理活动，《中华人民共和国数据安全法》（以下简称《数据安全法》）应运而生。《数据安全法》不仅是我国国家安全领域的重要法律，更是我国首部专门保障数据安全的基础性法律。《数据安全法》以数据安全为逻辑起点，最具亮点的是确立了“国家核心数据”概念。国家核心数据是《数据安全法》三审稿中首次出现的内容，标志着我国数据主权治理新秩序建构的开端。但鉴于《数据安全法》对国家核心数据的范围规定相对模糊，仍需各领域涉及核心数据的职能部门予以细化。2023年1月，由工业和信息化部制定的《工业和信息化领域数据安全管理办法（试行）》正式实施，该法首次明确了工业和信息化领域核心数据的范围及其出境安全评估要求。鉴于国家核心数据在数据处理活动中的战略地位高，有必要厘清国家核心数据蕴含的价值，并寻求衡平之道，以数据治理法治化打造我国全球数据竞争新优势。

一、安全：国家核心数据的核心价值

欧美数字规则业已主导全球数据竞争的话语体系，这是当今数字时代的基本形态。我国参与全球数据竞争无法完全避开欧美数字规则体系的涵摄。若我国数字规则体系潜藏诸多欧美数字规则的痕迹，容易在数据法治思维上以欧美为导向，进而亦步亦趋，从长远来看，轻则弱化全球数据竞争力，重则侵蚀数据主权根基。可见，《数据安全法》首设国家核心数据概念，并非立法者的感性行为。相反，国家核心数据寄寓着立法者围绕安全价值建构数据主权治理新秩序的“雄心”，即以国家安全为准绳重构数据的分类体系，并从中抽象出国家核心数据，进而反向消解他国数字规则的域外效力，抢占全球数据竞争的制高点。概言之，国家核心数据是《数据安全法》的核心概念，是理解《数据安全法》嵌入国家总体安全观的关键点。

纵观《数据安全法》全文，规制国家核心数据的条款共两条，分别是第21条第2款和第45条第2款，前者明确国家核心数据规范构造的基本形态，即“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”属于国家核心数据的范畴，而后者明确违反国家核心数据管理制度的法律责任，即根据违反严格措施程度的轻重，对行为人施以罚款、暂停业务、吊销营业执照的处罚乃至追究刑事责任。可见，《数据安全法》对国家核心数据的保护遵循“外延+后果”的规范逻辑。从规范内容的幅度来看，国家核心数据确实与其他数据类型截然不同，似乎其他数据类型才是《数据安全法》规制的主要对象。而事实上，这与国家核心数据的价值定位以及立法者高度重视国家核心数据的安全价值密不可分。国家核心数据是新设数据类型，关于这一数据类型的构造尚无完整和清晰的规范路径。从我国立法工作的惯例而言，规范内容越抽象，规制空间则越大，有助于避免《数据安全法》实施后因落后于数字时代而侵蚀国家核心数据的安全价值。质言之，立法规制是形式功能的体现，而从总体国家安全观的高度全方位布局，方是彰显国家核心数据安全价值的重要进路。

总之，数据安全是总体国家安全观不可或缺的“映射区”，更是数字时代的“压舱石”。我国的《数据安全法》先于欧美国家提出“国家核心数据”概念，契合全球数字治理的深层规律，有助于促进数据安全规则的体系重构，为全球数字治理规则制定贡献了中国方案，并进一步充实了数据主权的内涵结构，迈出了我国正面应对全球数据竞争的关键一步。

二、发展：国家核心数据的基本价值

《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》（以下简称《意见》）明确将“数据”与土地、劳动力、资本、技术等传统要素并列为生产要素之一。数据正式纳入生产要素的范畴，凸显了数据在国民经济发展中的重要战略地位——驱动数字经济发展的核心要素。然而，作为数据的一种重要类型，国家核心数据尚未得到《数据安全法》的体系性规制，且学界对国家核心数据的理论准备仍相对不足。为全面厘清国家核心数据的价值形态，可从《数据安全法》的立法目的获得证成。《数据安全法》第1条便开宗明义地指出本法的目的在于保障数据安全、促进数据开发利用以及维护国家主权、安全和发展利益。由此观之，安全与发展不仅是其他数据类型的价值，更是国家核心数据不可或缺的价值。从数据安全的规制逻辑而言，安全性是一切数据发展的逻辑起点，安全价值显然是国家核心数据的核心价值，而发展价值则是国家核心数据的基本价值。质言之，若将国家核心数据完全局限于安全价值，立法者只需健全保守国家秘密的法律体系即可，而无需另行建立一套国家核心数据的数据安全体系。

数据是一项宝贵资源，是数字经济发展的原动力，将数据资源合理配置、高效利用必定产生不可估量的社会效益，国家核心数据亦然。申言之，国家核心数据可在制定与实施国家重大战略、解决重大民生问题、引导大数据企业编制经营战略规划等关键性环节得到广泛运用。然而，当前国家核心数据的治理秩序或处于一种失衡状态。在数据治理实践中，我国尚未明晰国家安全与私人自治的边界，缺乏对特定数据类型的“抓关键”意识，“眉毛胡子一把抓”是数据治理的真实写照。此外，跨境数据流动处于一种缓慢发展状态，在“翻墙”与“反翻墙”的对抗中内耗严重，劣币驱逐良币的现象时有发生，不利于我国参与全球数据竞争。与此同时，对国家核心数据的治理组织机制仍处于疲软状态。《数据安全法》明确地区与行业部门对各自工作中收集和产生的数据及数据安全负责，虽然可以有效填补模糊地带的数据安全漏洞，但这一规定过于原则化，地区和行业之间的监管事项上不排除重叠的可能。数据的开放利用活动不断更新、迭代与深化，使得数据安全风险更为多样、多变和复杂，这意味着或将由不同级别的公权机关及行业组织共同保护国家核心数据，国家核心数据的治理或遭遇“九龙治水”式的难题。更为重要的是，《数据安全法》既未明确公权机关之间的协调关系，亦未明确公权力与私人权益之间的协调关系。从长远观之，若缺乏相应的利益协调机制，国家核心数据的开发利用空间将遭到压缩。

在挖掘国家核心数据发展价值的路途上，亦有必要尽快厘清国家核心数据与国家秘密的联系与区别。按照《中华人民共和国保守国家秘密法》，国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。显然，国家核心数据与国家秘密既密切联系又存在界限，两者均离不开严格的保护措施，但前者的外延更大，知悉范围广，而后者内容范围窄，知悉人员少。当国家核心数据嵌入国家秘密管理制度中，倘若未能转变强度过高的管理方式，公权力机关或将肆意模糊国家核心数据与国家秘密的界限，甚至有的公权力组织为了逃避监督或者维护部门利益，而采取消极保守的态度，将越来越多的数据纳入国家秘密的范畴，以维护国家安全为由致使国家核心数据的不公开、不流动，这不仅损害了公众的知情权，更是降低了数据在流动过程中转化为有效信息的发展价值。

总之，数据自由流动是数字经济发展的价值追求，更是数字经济高质量发展的内生动力。安全与发展是国家核心数据不可或缺的两种价值，两者既需要保持合理的界限，更需要实现动态平衡。切忌不分青红皂白地无限扩大国家核心数据的外延，阻却非国家核心数据在数字经济市场的自由流动。因此，在保障国家核心数据安全的基础上，积极深挖发展价值，满足数字经济市场的需求，是中国争夺全球数据规则制定主导权的重要举措。

三、安全与发展并驾齐驱的治理之道

安全与发展是国家核心数据不同维度的价值体现，是立足于国家核心数据不同层次的治理面向。尽管在规制国家核心数据时，两种异质价值会表现出一定的内在张力，但安全绝非发展的障碍，发展亦非安全的荆棘。纯安全价值的国家核心数据只能视作国家秘密，与数据作为生产要素的性质背道而驰。然而，一味偏向发展价值，亦容易置国家核心数据于危险状态，与数据安全的规制目的相悖。事实上，不同的数据类型对国家安全的影响度悬殊，绝大多数的数据类型属于私人自治的范畴。因此，不宜将所有类型的数据都纳入国家安全的审查范围，而应从一般数据中抽离出国家核心数据，并施以严格的管理措施，以保障数据的正常流动。从《数据安全法》的立法精神来看，对国家核心数据实行更加严格的管理制度，并不意味着封闭。一方面，数据的碎片化、流动性及分散性特征，使得难以将其约束在一定行政区域内；另一方面，网络空间的自规制传统导致全球数据治理体系往往由国际组织、技术团体、行业组织等平等参与，公权力不宜过度介入。可见，要站稳数字时代守卫数据主权与促进数据开发利用的综合性立场，兼顾行政管理与行政效益，必须推动安全与发展两种异质价值并驾齐驱、相互促进。

综上所述，数据安全治理的核心目的在于实现安全与发展的平衡，不能肆意借国家安全之名阻碍数据自由流动，更不能以数据自由流动为由逃避国家安全审查。质言之，安全与发展是国家核心数据的一体两翼，共同服务于数字经济发展。唯有建构开放型的价值衡平体系，方能激发国家核心数据助推数字经济的动力。

第一，健全数据治理体制。国家核心数据是新兴的数据类型，改革现有数据治理体制成本过高，故而可重构现有体制，更好地适应数字经济的发展。一方面，自上而下推进立法工作。国家核心数据的立法事关国家安全，属于中央权力，但涉及国民经济命脉、重要民生、重大公共利益等数据主要由各地的经济社会发展数据共同集聚。为了调动地方保护国家核心数据的积极性，中央可授予地方一定自主立法权，由各地制定本地区国家核心数据的规范，制定的地方性规范应向国务院备案。另一方面，建立高效协同的治理组织体制。协同治理组织是实现跨主体协同的结构形态，不仅是组织不同主体进行分工协作的平台，也是协调治理主体关系、激励主体作为、推进协同工作的关键。因此，可在全国各级网信部门设立国家核心数据治理的协同组织，专职负责相关统筹工作。协同组织可依托国家数据安全工作协调机制统筹指导有关部门制定国家核心数据目录，并依法统筹协调国家核心数据的监管工作。

第二，建构利益协调机制。强化国家核心数据作为生产要素的性质，亦可在维护国家安全的基础上加快培育数据要素市场。据此逻辑，个人或者组织亦可依法开发利用国家核心数据。国家核心数据的治理要通过政府、企业、社会、个人在各场域管理到位且形成合力，不能仅依靠对企业或者公共机构课以治理义务的功能主义进路。申言之，《数据安全法》在实施细则中应明确建构利益协调机制，更好地畅通各方协同共治国家核心数据的渠道，企业或者公共机构在国家核心数据上可以享受哪些权利，权利的边界如何，均是直接影响企业或者公共机构可预期收益的重要变量。作为理性经济人，唯有依法明确数据的可预期利益，并得到充分保障，方能真正激活自身参与安全管理与创新发展的内生动力。

第三，确立开发利用边界。以何种方式管理国家核心数据是开发利用的核心问题。目前，官方尚未有较清晰的路线图，工业和信息化部正尝试从工业和信息化领域的核心数据取得突破。2021年9月，工业和信息化部发布的《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）明确“核心数据不得出境”，这意味着对工业和信息化领域的国家核心数据进行开发利用必须局限于中国境内。显然，这种立法导向涉嫌与数据作为生产要素的属性相悖。经过征求意见后，2023年1月，正式实施的《工业和信息化领域数据安全管理办法（试行）》为核心数据的出境留下一个口子——“工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估”。从数据作为一种生产要素的逻辑来看，流动性能充分体现数据价值。只有数据具有足够好的流动性，方能更好地服务于数字经济发展。若将核心数据限制在境内流动，存在“扼杀”数据流动性的嫌疑，并降低了国家核心数据在数字经济市场中的价值性。然而，国家核心数据不进行跨境流动，并不意味着阻碍了数字经济发展。事实上，网络数据的境内流动业已积累大量的实践经验。网信部门会采用一定的技术，阻却境外涉嫌危害我国国家安全的数据流入境内。外国平台若不遵守我国法律，还可能会被依法停止业务，例如谷歌因多次违反中国法律而被退出中国市场。从维护国家安全的角度出发，仅限于境内流动，或是国家核心数据进入数字经济市场的合适路径。然而，以电子形式为载体的国家核心数据具有虚拟性，可以存储于一定的媒介。只限于境内流动并不足以阻却国家安全风险。为此，即使允许境内流动国家核心数据，亦只能通过加密后的方式进行。此外，若网信部门和企业在境外收集到的数据与国家核心数据功能相似，应如何开发利用？这是当前悬而未决的问题。从数据规制的涵摄范围来看，这些数据既然在境外，就不符合“境内流动”的要件。但从数据价值来看，既然达到了国家核心数据的价值层级，数据的利用应采取类似严格的管理制度。当实践中出现类似情况后，数据监管部门理应将这些境外数据尽快传输至国内，并采取严格措施，以限制其在境外流动。（福建理工大学管理学院：陈煌鑫 / 广东工业大学法学院：冯泽华 / 福建师范大学经济学院：杨长平）