从等级保护到数据保护：我国网络安全政策的转型与发展

引言

随着移动互联网和物联网的不断发展，通信网络安全性已成为衡量其发展水平的重要指标 [1]。我国网络安全政策历经多年发展，逐步从以信息系统安全为核心的传统“等级保护”模式，转向更加注重数据要素价值与风险的“数据保护”体系。本文旨在系统梳理我国网络安全政策从等级保护到数据保护的发展脉络，分析其转型动因、主要内容与实践意义，以揭示我国在网络空间治理领域的战略调整与发展方向。

一、政策背景与演进动因

我国网络安全政策的转型深深植根于国内外环境的变化与技术发展的双重推动。早期的网络安全体系以“等级保护”为核心，其主要依据为 1994 年颁布的《中华人民共和国计算机信息系统安全保护条例》，强调通过对信息系统划分安全等级并实施差异化保护，以防范外部攻击与内部漏洞。该模式在互联网初步普及阶段发挥了重要作用，但其重点局限于系统本身的安全性与稳定性，未能充分涵盖数据作为核心资产的价值与风险。

随着大数据、云计算、人工智能等技术的广泛应用，数据已成为国家发展的重要战略资源。然而，高度互联的网络环境也带来了严峻的网络安全挑战 [2]。此外，国际社会对数据安全的重视程度日益提升，诸如欧盟《通用数据保护条例》（GDPR）等域外立法也对我国数据治理政策形成外部压力。在这一背景下，我国开始逐步调整网络安全政策的重心，强调数据安全与个人信息保护，推动政策框架从系统防御走向数据治理。

二、法律体系的完善与制度构建

法律体系的完善是网络安全政策转型的重要保障。2017 年 6 月 1 日实施的《中华人民共和国网络安全法》标志着我国网络安全治理进入新阶段。该法不仅延续了等级保护制度（现已发展为“网络安全等级保护 2.0”），还首次明确提出数据安全与个人信息保护的基本要求，奠定了数据保护的法律基础。

此后，我国进一步加快了相关立法进程。2021 年，《数据安全法》与《个人信息保护法》相继出台，共同构成了数据保护领域的“三驾马车”。《数据安全法》确立了数据分类分级、风险评估、跨境传输管理等制度，强调数据作为生产要素的安全与流通平衡；《个人信息保护法》则聚焦个人权益保障，规范个人信息处理活动，赋予个体知情权、同意权与删除权等权利，制定明确的网络安全政策和规范，这些政策和规范应根据国家和行业标准，明确网络安全的目标和基本要求 [3]。

三、治理理念的转型：从防御到赋能

在治理理念上，我国网络安全政策实现了从“被动防御”到“主动赋能”的深刻转型。等级保护制度侧重于通过技术与管理手段强化信息系统的防护能力，其本质是一种风险规避型模式，主要针对系统稳定性和外部攻击进行防护。而数据保护政策则在保障安全的基础上，更加强调数据的合法利用与价值释放，体现出发展与安全并重的治理导向，旨在实现安全与发展的动态平衡。

这一理念转变突出体现在政策目标与实施路径中。例如，《数据安全法》明确提出“国家建立健全数据交易管理制度”和“支持数据开发利用与数据安全技术研究”，表明政策意图不仅在于防范风险，也在于促进数据要素的市场化配置与创新应用。实践中，北京国际大数据交易所的成立和运营便是一个典型案例。该所在合法合规框架下推动数据资产登记、评估和交易，既通过隐私计算、区块链等技术保障数据流转安全，又促进了数据要素的价值释放，为数据驱动型创新提供了制度性平台。同时，个人信息保护制度虽然严格规范数据处理行为，但也通过匿名化、去标识化等机制平衡保护与利用之间的关系。例如，在医疗健康领域，多家医院与科研机构在遵循《个人信息保护法》的前提下，对临床数据进行脱敏处理，建立医疗科研数据共享平台，既保护患者隐私，又支持医学研究和公共卫生决策，实现了数据保护与公共利益的协同。

四、实施机制的优化与多元协同

政策的有效实施依赖于机制的优化与多元主体的协同参与。在等级保护制度下，实施主体相对单一，主要以政府监管机构和信息系统运营者为主，措施多集中于定级、测评与整改等刚性环节。而在数据保护模式下，治理机制更加注重多方协同与技术赋能，构建了一个多层次、网络化的共治体系。

一方面，监管架构从粗放走向精细，形成了由国家网信部门统筹协调，公安、工信、央行、卫健委、交通部等行业主管机构各负其责的“1+X”监管体系。这种分工协作极大地增强了政策的适用性与执行力。例如，在金融领域，中国人民银行不仅遵循《数据安全法》的总原则，更制定了《金融数据安全 数据安全分级指南》等行业标准，对个人金融信息、重要数据等的处理活动提出了更具体、更严格的监管要求，实现了垂直领域的精准治理。

另一方面，企业的角色从被动的“执行者”转变为主动的“责任主体”。政策要求企业建立内部合规体系，开展数据安全风险评估，并及时上报安全事件。例如，根据《网络安全审查办法》，某知名网约车公司因其存在数据跨境处理、可能影响国家安全的风险，接受了网络安全审查，此举向所有企业明确了数据合规的严肃性和主体责任。此外，政策还鼓励第三方机构参与安全认证与评估工作，如国家认证认可监督管理委员会推动的数据安全管理认证，旨在借助市场力量，推动形成政府监管、企业自治、社会监督的共同治理格局。

技术手段本身也成为实施机制的核心一环。黑客作为网络空间中的不法分子，利用各种技术手段对网络系统进行恶意攻击，企图窃取或破坏其中的敏感数据 [4]。因此，数据加密、访问控制、安全审计等传统技术被深度应用于数据从采集到销毁的全生命周期管理。同时，新兴技术正成为提升数据保护能力的“利器”，完美体现了“以技术管技术”的治理思路。

结语

我国网络安全政策从等级保护到数据保护的转型，是一个顺应技术发展、应对威胁变化、完善治理体系的系统性过程。未来，随着全球数字竞争加剧与新兴技术的不断涌现，我国仍需在数据跨境流动、人工智能伦理、平台责任等领域持续探索，进一步完善网络安全治理体系，以实现更高水平的安全保障与数字发展良性互动。

参考文献：

[1] 楼锡东 . 人工智能技术在通信网络安全管理中应用研究 [J]. 中国宽带 ,2025,21(08):37-39.DOI:10.20167/j.cnki.ISSN1673-7911.2025.08.13.

[2] 李鉴雨 , 王静 , 臧昊 , 等 . 人工智能技术在计算机网络安全管理中的应用[J]. 网络安全和信息化 ,2025,(05):57-59.

[3] 彭鹏 . 职业教育信息化中的网络安全：政策、挑战与策略 [J]. 网络安全技术与应用 ,2024,(07):81-82.

[4] 李瑞宇 , 王晋 . 高校信息化建设中的网络安全管理与防护 [J]. 数字技术与应用 ,2025,43(05):57-59.

姓名：刘新怡, 性别：女，民族：汉，籍贯：陕西省宝鸡市，出生年月日：1999 年 8 月24 日，学历：本科，研究方向：网络安全等级保护密码学，所在单位：，单位邮编：