韩健
大数据时代,数据资源作为信息社会的重要生产要素、无形资产和社会财富,成为一个国家的基础性战略资源。对数据资源的获取和利用已成为国家间竞争和博弈的重要方面。与此同时,由于数据在网络空间传播迅速,且当前技术手段和行政手段都无法对其实施有效监管,使得数据主权成为国际各方关注的焦点。
从全球范围来看,鉴于各国对网络空间信息技术的能力不同,对于数据主权的诠释和侧重不同,美国网络信息技术全球领先、跨国IT企业众多、信息基础设施发达,其拥有汇聚全球数据的能力,大力推进信息自由流动,主张突破数据跨境流动的限制。欧洲长期偏重对公民数据权利的保护,对于国家数据主权的性质、作用等缺乏系统阐述,但在“棱镜门”事件曝光后,对自身数据安全表达了不同程度的担忧。欧盟出台《个人数据保护指令》,明确禁止向尚未建立充分的数据隐私保护法律的国家传输数据。澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》将政府信息分级,其中对于非保密的信息,要求政府机构要进安全风险评估之后才能实施外包。
巴西、德国共同提出“数字时代的隐私权”联合国决议草案,反对大规模网络监控,呼吁保障国家数据的机密性。
从我国发展实际来看,我国一贯主张《联合国宪章》中确立的尊重国家主权原则和精神适用于网络空间。我国在第二届世界互联网大会上倡议国际互联网治理应坚持以尊重网络主权为首的四项基本原则,构建网络空间命运共同体。
《国家安全法》也提出推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。然而,由于网络信息基础核心技术支撑能力较弱、数据跨境流动保护体系缺失等问题,我国面临信息向发达国家跨国企业集聚的风险日益加剧。
在此背景下,我国亟须出台针对性的对策措施,以提升国家数据主权的保障能力。具体建议包括以下几个方面:
一是强化技术手段,构建网络空间数据安全保障技术体系。坚持自主创新,突破芯片、操作系统、数据库等核心软硬件产品和基础通用技术。推动数据安全技術与产品研发和基于大数据的安全技术研发,提升大数据技术、产品检测、检验水平,提升大数据安全隐患的发现能力,提高我国大数据安全攻防水平。提升国家层面对违法数据跨境流动、敏感数据泄露等安全隐患的监测预警与处置技术能力,加强企业层面网络数据防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设。建立国家级的网络安全态势感知大数据平台,全面提升重大网络安全事件的监测、分析、预警和响应能力。着力打造数据、技术、应用与安全协同发展的自主产业生态体系,支持大数据核心技术产品研发及产业化,推进大数据在重点行业领域的深入应用。
二是丰富政策手段,推动制定和落实相关法律法规和标准规范。贯彻落实《网络安全法》,组织修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。针对国家基础网络,党政军涉密信息系统,能源、交通、金融等涉及重要信息系统,以及关键工业控制系统等行业领域,加强数据资源监管和防护力度,研究建立完善的重点领域数据库管理和安全操作规章制度。加强对重要信息系统的安全评估和测试,推动建立对敏感数据、要害数据的常态化监管机制,实现对安全漏洞的精准预警和预先防范。
制定和完善《外国投资法》、《外商投资国家安全审查条例》等外商投资管理法律法规,建立安全审查制度,为妥善处理可变利益实体(VIE)问题、建立外商投资安全审查制度、保护数据安全等提供法律依据。
三是加强国际合作,推动建立数据主权保护国际规则和治理体系。在联合国框架下,推动构建数据主权保护规则体系,在数据保护相关国际标准中,体现尊重和维护数据主权的思想,努力使相关标准成为保护数据主权的有效手段。推进双边区域性跨境数据流动合作,建立国家间数据流通保护的协调机制。建立数据跨境流动管理机制,明确数据跨境流动监管归口单位,以及数据跨境流出的途径、存储地点、使用条件、处理方式、服务范围等要求。加强国际合作交流,争取广泛共识,形成数据保护利益共同体,谋求更大话语权。