強化司法領域數據安全保護

數據安全法的頒布，為解決數據安全問題提供了明確法律依據。對于司法領域而言，數據安全保護問題也應引起高度重視，但是，目前數據安全法對此問題的規定較為簡略。事實上，隨著司法信息化的推進，大數據、人工智能等新型技術在司法中的運用使得其所使用的數據呈現海量增長，這些數據不但與公民的隱私息息相關，甚至與國家安全、公共利益密切相關，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能會對國家安全、公共利益或者個人、組織的合法權益造成嚴重危害，因此司法領域的數據安全需要引起高度重視。

為保護司法領域的數據安全，筆者建議從以下幾個方面采取相應數據安全保護措施：

第一，建立司法數據分類分級制度。數據安全法第21條規定確立了數據分類分級制度，這一規定同樣適用于司法領域。基于國家安全利益對數據保密程度的要求，司法數據可以分為涉密數據和非涉密數據，其中涉密數據一旦泄露可能會危害國家安全，因此，應當按照保守國家秘密法中密級劃分的規定，對司法數據進行絕密數據、機密數據和秘密數據的分類分級，并根據保守國家秘密法和保守國家秘密法實施條例等法律規定，按照不同密級采取相應的保密措施，保障司法數據安全。此外，從保護公民數據權利的角度出發，還可以將司法數據區分為一般數據和敏感數據。其中，敏感數據是指一旦泄露、非法提供或濫用可能會給公民的名譽、身心健康甚至人身安全帶來嚴重威脅的數據，例如，生物識別數據、醫療健康數據、金融賬戶數據等。對于敏感數據，應當采取較之一般數據更為嚴格的監管和保護措施，防止其被篡改、破壞、泄露或非法獲取、非法利用，保障公民的隱私、財產和人身安全。

第二，重視作為數據主體的公民在司法數據安全保護中的作用。一方面，作為數據主體的公民既是司法數據的來源者，又是司法數據安全保護的參與者，應當認可數據主體對數據在一定程度上的控制。例如，在案件辦理允許的情況下，可以就司法機關收集使用數據的情況向數據主體進行告知，以保障其法定閱卷權。另一方面，作為數據主體的公民也是司法數據安全保護中對公權力進行監督的監督者和制約者。數據主體在獲得告知、行使權利的過程中，必然影響司法機關收集使用數據的行為方式，從而對公權力形成必要的監督和制約。這種監督和制約有利于防止權力濫用、保護司法數據安全，也是憲法賦予的公民監督權在司法數據安全保護領域的體現，應當予以尊重。

第三，強化司法機關的數據安全保障職責。司法機關是司法數據的主要控制者和處理者，根據權力與職責相對應的原理，應當對其科以司法數據安全保護的職責，而這正是司法數據安全保護的關鍵。首先，司法機關應履行數據處理前的數據安全審查和評估職責。事前的數據安全審查和評估對于保護司法數據安全具有預防功能，司法機關應參照司法數據分類分級制度，在對相關數據進行收集、存儲、使用、加工、傳輸、提供、公開等處理之前，考慮和審查數據的性質和數據處理的方式、內容、范圍、目的等，并評估相應處理可能給數據主體帶來的影響，從而有效防范司法數據被非法處理的風險。其次，司法機關應承擔數據處理過程中的數據安全監測和預警職責。例如，在數據處理過程中，對特殊數據進行加密或匿名化處理，對數據訪問和處理權限設置限制性的安全保護措施，對數據處理的各個階段規定嚴格的流程規范并對關鍵節點進行日志記錄，對數據庫等數據存儲系統進行定期與不定期相結合的安全測試等等，從而實現司法數據的事中安全。再次，司法機關還應負有數據安全事故發生后的報告和應急處置職責。一旦發生司法數據被破壞、泄露或非法使用等安全事故時，司法機關應當在第一時間履行報告和應急處置兩方面職責。所謂報告職責，即要求司法機關在數據安全事故發生后，立即按照法律規定向專門的數據安全監管機構報告，并在必要時告知數據主體以保障其人身和財產安全。所謂應急處置職責，則是指司法機關在發生數據安全事故的情況下，盡快采取應急補救措施，例如，關閉系統訪問權限、暫緩數據處理行為、進行病毒查殺、實施數據隔離等，以降低數據安全事故的不利影響。

第四，設置專門的司法數據安全監管機構。設置獨立、專門的數據監管機構，能夠有效監管數據處理行為，對于數據安全保護工作的展開具有重要意義。