數據安全:織密數據經濟的“保護網”
2022年2月23日,歐盟委員會公布《數據法案》(Data Act)草案全文。草案就數據安全明確提出,要在保持高隱私、安全、安保和道德標準的同時,平衡數據的流動和使用,通過實施安全措施,增強對數據處理服務的信任,夯實歐洲數據經濟基礎。
經濟全球化帶來了數據的全球化,但在高頻的數據流動之下,數據泄露事件屢屢發生。威瑞森發布的《2021年數據泄露調查報告》指出,通過分析全球83家貢獻者的5358起數據泄露事件,其中85%的數據泄露涉及人的因素,新冠肺炎疫情所致遠程辦公和云端遷移潮為網絡犯罪開辟了新的途徑,人為疏忽成為數據安全的最大威脅。數據安全與國家安全、個人安全息息相關,如何織密數據經濟的“保護網”,是世界各國共同面臨的重大課題。
歐盟:數據安全與數據流通并重
歐洲的數據安全保護相關立法起步較早,始終強調保持數據安全保護和數據流動的平衡,堅持安全平穩地發展數據經濟。
歐洲于1981年頒布了《個人數據自動化處理中的個人保護公約》,強調在公約締約方的管轄范圍內,每一個體的個人數據在被處理時均要得到保護,為歐洲數據安全保護的后續立法奠定基礎。
1995年,歐盟通過《數據保護指令》,將其作為歐盟隱私和人權法的重要組成部分,該指令在大量借鑒1981年個人保護公約的基礎上,將非自動化處理個人數據也納入了保護范圍。通過明確知情同意、合法目的、相稱性等數據處理原則,進一步加強對個人數據的保護。同時,歐盟不允許各成員國以保護個人權利為借口,限制數據的合法流通。但是由于該指令原則性強、實際操作性弱,各成員國在實踐中多通過國內立法對其進行解釋,導致成員國之間立法混亂,產生數據壁壘,嚴重阻礙了數據流通。
為了適應網絡的飛速發展,消除《數據保護指令》弊端,歐盟于2018年出臺了《通用數據保護條例》(GDPR),該條例完全取代了《數據保護指令》,為成員國的數據立法提供了統一標準。GDPR要求在收集和處理個人數據時必須遵守合法公平和透明原則、目的性原則、數據最小化原則、準確性原則、存儲限制原則、安全原則,通過制定高額罰款、設立政府監督機構、要求企業新增數據保護專員等方式,大幅提升了數據保護水平。此外,GDPR還主張歐盟對發生在境外但涉及歐盟境內的個人數據處理行為具有域外管轄權,加強了對數據跨境流動的安全管轄,對印度、巴西等國家的立法產生了重要影響。
我國實踐:個人數據和重要數據兩手抓
相較于歐盟,我國關于數據安全的立法起步較晚,最初主要關注個人數據保護,后將重要數據納入保護范圍,通過完善法律規范、出臺部門規章、制定行業標準等方式,推動協同治理機制的形成,大力保障數據安全。
在立法層面,我國于21世紀初就對數據安全治理做出了回應。2000年4月發布的《計算機病毒防治管理辦法》中,首次從計算機病毒方面對個人數據造成的威脅進行規范管理。后出臺的《中華人民共和國電信條例》《全國人民代表大會常務委員會關于維護互聯網安全的決定》《互聯網電子郵件服務管理辦法》《互聯網網絡安全信息通報實施辦法》等,都為個人數據保護提供了法律依據。
2016年,《中華人民共和國網絡安全法》出臺,作為我國首部全面規范網絡空間安全管理問題的基礎性法律,該法進一步確立了保密、合法、正當、必要等對個人數據進行處理的原則,較為亮眼的是,首次提出了“重要數據”這一概念,建立了個人信息和重要數據的境內存儲以及出境安全評估制度,限制重要數據的境外流動,保障國家的數據安全。
2021年9月施行的《中華人民共和國數據安全法》是我國數據安全領域的首部基礎性法律,在全球也具有首創性意義,相較于以往的法律法規,該法更加著眼于對數據本身的安全保護,在提出個人數據處理時必須遵循合法、正當原則的同時,推動了重要數據管理制度的形成。該法要求國家制定重要數據目錄,推動數據分級分類,加強了對數據安全治理工作的統籌;規定重要數據處理者應當明確數據安全負責人和管理機構,定期開展數據風險評估。多措并舉,填補了數據安全保護立法的空白,為個人數據和重要數據保護構建了堅實的安全屏障。
自2021年11月起施行的《中華人民共和國個人信息保護法》則緊緊圍繞個人信息保護,從個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、法律責任等方面構建了完整的個人信息保護框架。
在規范性文件層面,《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》《信息安全技術大數據安全管理指南》等多項文件中指出,要將保障數據安全放到重要位置,加強涉及國家秘密、商業秘密、個人隱私的數據保護,明確提出了保護數據安全、構建數據秩序的發展導向。
在數據安全標準層面,我國組建了全國信息安全標準化技術委員會,通過研究信息安全標準體系、跟蹤國際信息安全標準發展動態、分析國內信息安全標準的應用需求等,組織開展國內信息安全有關的標準化技術工作,發布了多項數據安全國家標準,為行業提供規范性指導。
國外經驗之借鑒
第一,完善現有立法,健全數據安全法律體系。《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》三部基礎性法律出臺后,為解決當前數據安全領域諸多法律問題提供了重要依據,為促進數字經濟規范化發展起到了重要作用。然而,在相關法律實際落實過程中,仍存在原則性強于實踐性、規制領域交叉、法律適用等問題。為進一步發揮相關法律的作用,促進數字經濟又好又快發展,在最大限度上實現立法目的,可分別聚焦網絡安全、數據安全、個人信息安全,盡快制定實施這三部基礎性法律的配套措施,逐步構建起互相銜接、重點突出、相互配合的數據安全法律體系。
第二,做好數據分類,推進數據治理精細化。通過出臺專項法律,對個人敏感數據或與國家安全、經濟發展以及公共利益密切相關的數據進行分類保護,通過提高重要數據采集的門檻、嚴格管控特殊數據流通、加強關鍵信息基礎設施運營者監管等措施,細化、落實對重要數據的安全保護。
第三,促進技術創新,強化企業數據安全保護。鼓勵企業從身份認證、數據隔離、訪問控制、加密儲存等方面入手,深入研究全同態加密、批量和流式數據處理、交互式數據查詢等關鍵技術,搭建數據安全技術保護屏障,不斷強化數據資源全生命周期安全保護。
