完善数据安全治理应从三方面入手
数字数据技术的产生和大范围的应用推动了数字化的经济的快速的提升,而以数据为核心的新兴技术,正在加速与社会所有的领域深层次地融合,成为推动经济发展、实现产业转变发展方式与经济转型的新引擎、新动力。数据作为数字化的经济的基础要素,带动各种新业态、新产能的出现;随着数字浪潮的扩展,从虚拟经济到实体经济的各个行业都面临巨大的技术和产业变革。这一变革带来了海量数据的爆发式增长、多样化的数据形态、慢慢地加强的数据流动性和各类不同场景模式的数据应用等巨大变化,同时使得引发数据安全风险的可能性大大提高。
随着我国数字化的经济和产业的发展,数据安全问题日渐凸显。2015年国务院印发《促进大数据发展行动纲要》,部署促进大数据发展的三大主要任务之一是健全大数据安全保障体系,强化安全支撑。随着数据数字技术的延伸和扩展,社会的方方面面对数据的依赖程度日益加深,新的安全挑战不断衍生。如何通过完善制度供给保障数字化的经济发展中的数据安全,是当前亟待解决的重要课题。
数据作为一种新型生产要素和资源,具有非常明显的可使用价值,能够在经济发展、社会治理、科学技术进步、文化繁荣等每个方面发挥重要推进作用。但数据本身就具有多归属性、流动性和多样性等不同于传统生产要素的特性,其安全风险在数字化的经济和产业动态运行的条件下被不断放大,牵涉的主体范围也更广,不仅关系到个人、企业和其他组织等主体的权益,更关系到国家利益和社会公共利益,因而其安全治理问题也就更复杂,面临各种新挑战、新风险。
数字数据技术和人类生产生活的深层次地融合,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。随着大数据的跨界融合、交叉互联,数字经济所涵盖的整体的结构日益复杂化,政府机构、社会组织、市场主体以及公民等都与大数据安全紧密关联。数据安全不仅关涉个人、企业和其他组织,还牵涉国家和政府。故数据安全不单是某一主体的事务,而是多方主体共同牵涉的事务。也就是说,数据安全不仅需要国家和政府在治理过程中加以保障,也需要企业、公民等多方主体共同维护。
但是根据社会学的“责任分散理论”,当不同个体需要共同解决某项问题时,群体中的“匿名效应”将稀释参与个体的责任感,使得单独个体因为观望其他主体的行为而怠于承担自己的相应责任。就数据安全问题而言,多元治理主体的存在在某些特定的程度上造成了责任的分散,因此就需要加强不同主体之间的协作,唯有推动每一方主体都去参加了,形成合力,才能更好地解决数据安全治理难题。
现代西方社会治理理论认为, 随着公共利益的多元化和公共事务的复杂化, 政府作为公共事务的唯一管理主体已日渐力不从心, 除政府之外的一些非营利组织和私营部门等公共行为主体也应承担起管理公共事务的责任, 并且它们只要得到公众的认可, 就可以在各自不同的系统中构成公共权力中心。就数据安全而言,行业组织在其中发挥着协调不同企业利益、担当政企关系媒介、引领行业自治的及其重要的作用。因此,数据安全治理,离不开行业组织的沟通串联。
数字经济以数据的高效开发和利用为基础,涵盖数据的来源、传输、存储、使用、清理等所有的环节,不同环节的特性不同,面临的数据安全问题也大相径庭。
数据采集是数据生命周期的第一道环节。数据采集是指从产生数据的源头进行数据记录和预处理的过程。采集过程中的安全风险主要是未经许可或采集对象同意,非法获取数据。例如企业未经消费者授权自行采集用户数据信息用于经营。
在数据采集完成后,需要将采集到的数据传送到数据存储中心,这就是数据传输。该环节面临的风险主要是恶意拦截、篡改或破坏。数据传输技术的进步在提升传输速度和数量的同时,也使得数据流量更为庞大,数据监控和保护更为困难。
数据存储是指将数据存于特定介质之中。其所面临的安全风险大多数来源于于内部和外部两方面:一方面,数据存储者可能会故意或者因过失而泄露数据;另一方面,外部人员可能通过入侵存储系统,获取、篡改、删除数据。
数据使用是指对数据来进行加工处理,是数字化的经济的核心环节,也是数据安全治理的最终目的。数据使用阶段的风险最重要的包含数据系统非法访问、数据库运维管控安全、开发测试安全以及使用权非法转让、非法关联及不当使用等。
数据共享是数据价值实现的重要方式,包括免费和付费两种方式。它主要是通过数据在不同主体间的流动,有效促进数据互联和数据作用的发挥。数据共享阶段面临的风险最重要的包含非法访问、恶意更改、非法外泄等。此外,数据共享过程中数据产生的价值如何分配也是一个棘手的问题。
数据在经历上述各环节后,面临着销毁的问题。当前数据销毁技术主要有物理和逻辑两种:物理消除包括消磁、腐蚀、粉碎、焚化等方式,逻辑销毁最重要的包含数据擦除、重写等方式。在数据销毁过程中,同样存在着非法备份、泄露、非法交易等安全风险,也值得关注。
总之,数据所面临的威胁与风险是一个动态变化的过程,在不同环节面临着不同问题,呈现周期性变化趋势。因此一定要坚持整体宏观视野,有明确的目的性地解决不同环节中存在的数据安全治理问题,消除数据安全风险。目前,我国针对数据安全的制度设计仍处于大而化之的阶段,缺乏对产业链中不同环节的更为细致的关注,导致没办法有效管控各环节的安全风险。这从侧面上更加凸显了加快数据全生命周期安全立法的重要意义。
在全球化日益深入发展的今天,数据日渐超出国家或地区边界走向世界,进行跨国、跨地区流动。数据安全不仅成为国内建设关注的焦点,同时也成为国际上各国普遍重视的问题。各国纷纷出台政策法规,加强对数据安全尤其是本国数据安全的保护,尽可能在国际数据竞争中占得先机。在这一过程中,以中国为首的发展中国家面临的风险更大。今年以来,一些外国政府以数据安全为由针对中国的支付宝、微信、TikTok等进行的管制行为,体现出数据日渐成为国际竞争的前沿阵地,也更彰显了强化国家数据安全保护的重要意义。从这个意义上说,数据安全问题,不仅对国内的改革与发展具备极其重大影响,同时也对国家利益维护和国际关系构建具有非常明显作用。因此,数据安全治理一定要坚持国际视野,统筹国内国际两个大局,基于数据跨境流动的动态发展现状,制定相应措施以应对日益严峻的新型国家安全问题。
国家数据安全所面临的风险最重要的包含技术和制度两方面。就技术风险来说,数据跨境流动过程中存在非法获取、数据泄露、系统入侵等会带来安全风险的技术行为,面临着安全标准制定、安全技术开发和应用等技术性难题;同时,在数据跨境流动的法律和法规构建上,又存在安全审查、跨境执法、规则衔接等制度性问题。前者属于动态风险,后者属于静态风险。动静交织的风险使得国家数据安全保障面临更为复杂的局面。
纵观我国的相关制度建设,无论是《数据安全法(草案)》《网络安全法》等数据安全相关立法,还是《促进大数据发展行动纲要》《国务院关于“互联网+”行动的指导意见》等政策规划,大多缺乏对国家数据安全的系统性规定,即便有所规定,也大多囿于一些原则性、框架性的表述,缺乏具体的制度构建。在数据跨境流动日益迅猛的今天,我国当前的数据安全制度供给已经不能适应国家数据安全保障的需求,一定要尽快完善数据安全制度设计,以保障国家的总体安全。
要想充分挖掘数据价值,推动数字化的经济发展,实现经济发展的提质增效,就必须强化数据安全治理。应从补齐多元主体共治机制短板、强化数据生命周期各环节差异化风险防控和加强数据跨境流动安全保护三方面入手,完善数据安全治理的体制机制和政策体系。
多元主体的共同参与有助于构建良好的数据安全治理秩序,而数据安全的有效维护又反过来使各方主体共同受益,应该依据不同主体自身的特性,在明确治理主体定位的基础上,构建数据安全共治体系。
一是明确政府部门权责。应当厘清政府部门对数据安全的监管权责,构建涵盖数据运行全过程的全方位监督管理体制,同时还应合理界定政府监管范围,在保障安全的基础上,限制政府公权力对产业高质量发展的过度介入,避免权力滥用。政府还应制定有关政策或者行动计划,从宏观上确定数据安全的治理目标、根本原则、行动步骤和具体制度,细化数据安全的内容。同时,大数据安全并非某一部门或者某一地区的责任,还需要加强各部门、各地区之间的协作,建立中央统一领导、各部委分别负责、各地方具体落实的自上而下的完整治理体系;还可优先考虑构建部门、地方之间的联席会议机制,并促使其在大数据安全治理中发挥主导性作用。
二是推动行业自治。企业、行业组织、第三方机构以及其他数据组织或者涉数据主体不仅享有数据安全权益,同时也负有数据安全责任。因此应当在厘清企业、行业组织等数据组织定位的基础上,通过行业规范、标准制定、内控机制等方式确定主体权责,同时还能够最终靠第三方机构安全认证等方式激发行业自治的积极性,激励数据市场主体强化安全保障措施,完善内部管理。
三是深化公众在大数据安全治理中的作用。社会公众既是大数据的重要来源,也是大数据应用的受益对象。应当细化公民个人享有的数据安全权利和应承担的数据安全义务,为公民在数据安全治理中发挥作用筑牢法治根基。同时还应通过政策宣传,提升公众对个人隐私及信息安全的重视,增强自律意识和自我保护意识,为数据安全治理奠定群众基础,并充分的发挥公众的监督职能。另外,畅通数据安全群众意见反馈渠道,可优先考虑构建政府、行业、公众三方代表协商机制或者听证机制,定期或不定期召开会议讨论数据安全问题,对数据安全治理建言献策,为维护数据安全提供有力保障。
数据采集是数据安全治理的第一道关口。可按照数据的重要程度对不同数据来进行分级,从上到下分为涉密数据、敏感数据、重要数据、一般数据。在分级基础上,根据不同级别的数据设置不一样的采集程序要求,级别越高的数据,采集程序要求越严格,所需获得的授权标准也就越高,由此保障数据的采集安全。
在数据传输环节,应当以传输加密为核心。将不同数据的专线传输、传输证书、文件内容过滤、网关审查、敏感性检查等内容纳入数据安全法律和法规,明确其技术标准、责任主体、监管方式等。
在数据存储方面,应从内外两方面入手加强安全保障。在内部管理上,应当明确数据库的访问主体、访问权限,建立专门的数据库或数据平台管理机制,部署专门的管理人员,防止泄露;在外部防御上,通过加强技术防范,采取有力措施阻止非法攻击和侵入,同时还应赋予用户查看、修改、删除自身数据的权利以及时发现潜在的数据安全风险。
在数据使用环节,应当从数据的加工处理入手,推动数据加工处理的规范化。应当重点解决数据使用的授权认证、权限范围、运维权责、用户监督等问题,在保障安全的基础上推动数据高效合理使用。
在数据共享环节,应当厘清参与共享主体之间的协议制定和履行、风险分担、收益分配、责任界定等问题,加强对数据平台运行和管理的监管,平衡共享主体之间的利益,在此基础上保障数据的安全高效流动。
在数据销毁阶段,重点在于数据是不是得到真实有效的销毁。因此,应当着力于数据销毁清单建立和记录保存制度建设,可优先考虑通过数据销毁全程录音录像以及不按时进行检查制度的构建,确保数据得到真实有效的销毁。
数字经济时代,数据作为新型基础性战略资源日益得到各国重视,日渐成为国际竞争与合作的重要对象。面对当前跨境数据流动的发展现实,我国应当直面安全挑战,抓住时代机遇,积极推动我们国家数字化的经济和产业的发展水平更上一层楼。同时,还应当从具体规则完善、技术发展和国际合作等方面探索国家数据安全保护的制度进路。
首先,在具体规则上,应当细化各项规则内容,增强其可操作性。应在明确部门、地区权责范围基础上,抓紧构建各地区、各部门的数据清单和数据名录制度,合理制定数据的分级分类标准,并加强协调以避免重复和矛盾。具体列举数据跨境流动过程中所涉及的重要领域和行业,针对关键节点和重要领域开展多层次重点保护。同时,加强数据安全风险评估,明确负责数据安全风险评估机构,完善评估主体、评估标准、评估流程、评估频次、费用承担、评估结果等规定,可在规范资质认定、测评程序、责任承担等事项基础上,加强与第三方数据评级机构的合作,以提升评估效果,提高治理效率。此外,还应完善国家数据安全治理体系内部的监督和问责机制,明确监督主体、问责范围、责任处理等方面规定,可通过开展定期巡视、随机抽查等方式,保证国家各部门、各地区依法履行保障数据安全的职责。
其次,应当积极采取一定的措施推动数据安全技术创新。对此,可加大资金、技术和人才投入,推进数据研究院、数据实验室等科研机构建设,加强与国内外科研院所、技术组织的合作,为数据安全治理创新提供技术基础。同时,应鼓励和扶持一些大型互联网或数据企业组织自主研发,通过技术奖励、税收优惠等措施,激发企业创新数据安全技术的积极性。此外,还应加快数据治理人才的培养和引进,加强数据治理人才储备,打造覆盖全方位、多领域的数据人才治理队伍。
最后,应当加强数据安全方面的国际交流与合作,热情参加国际数据安全治理规则体系的制定。可通过建立国际数据安全合作小组、信息交流共享、备忘录签署以及民间组织往来等多元化、多层次形式,推动国家间数据安全治理的交流。还应当在考虑国际通行标准和做法的基础上,制定合理的跨境数据安全执法规则,加强与其他几个国家和地区规则的衔接,促进数据安全跨境执法合作。热情参加国际数据治理规则的制定,构建国际数据治理多边机制,在国际数据治理中展现大国担当。
数字数据技术的发展,在带动数字化的经济和新兴起的产业发展的同时,也催生了数据安全风险。数字经济和新兴产业的发展离不开数据安全保障。数据安全不仅牵涉个体权益,同时关系社会整体利益;不仅是国内建设所面临的重大问题,也是当前国际竞争与合作的重要内容。因此,必须不断深化对数据安全的认识,更新数据治理理念,加强顶层设计,完善相关立法,填补制度漏洞。应从数据安全治理的私益与公益动态平衡、国内国际两个大局兼顾的基础出发,加快构建科学合理、高效有序、完整统一的数据安全治理体系,为我国数字经济和产业市场化、规范化、国际化的发展提供有力的制度保障。
【本文作者为南开大学法学院教授、竞争法律与政策研究中心执行主任;本文系教育部高校人文社会科学研究重点基地重大项目“全球数据竞争下人权基准的考量与促进研究”(项目编码:19JJD820009)、天津市教委社会科学研究重大项目“天津市人工智能产业高质量发展的经济法治保障研究”(项目编码:2019JWZD20)的阶段性成果】