数据安全:用法律筑起坚固的“护城墙”

2021-11-03 06:04张锐
中关村 2021年6期
关键词:安全法数据安全

张锐

我们已经深度进入互联网时代,我们也全面进入大数据时代。数据在无垠的网络空间穿流,既存在被人拦截盗用的威胁,更可能遭遇肆意侵占的风险,同时还会沦为罪恶与贪婪的工具。维护与加强数据安全,不仅仅需要数据的所有者提升戒备与防护意识,更需要密集的法律制度与严苛的惩处制裁构筑起坚固的“护城之墙”。

万物皆可数据化

“这是一个最好的时代,也是一个最坏的时代”。互联网时代个人与组织的基本资料及其活动信息都可以折叠成数据,而且网络数据又具有自动生成的特征,一旦这些数据整合与加总起来,数据之间可进行印证和相互解释,一个网络化的“虚拟自己”就诞生了。小到个人的日常消费,大到健康、教育等众多决策,数据环绕在我们身边无处不在。无疑,每个人与每一个组织的数据化为自己的生活与工作提供了极大的方便,比如扫一扫码就可快捷完成支付,刷一刷脸便可获得自己理财信息,足不出户也可以享受买菜订餐的到家服务等等。然而,数据似乎无所不及无所不能的同时,也让我们的隐私无所遁形并陷入“裸奔”。

新冠肺炎疫情暴发以来,基于防控之需,个人出入商超、写字楼、车站等公共场所,都要扫码或者填写个人信息,最终个人原始数据散发与分布到了教育、公安、铁路航空交通等部门以及药店、餐馆和理发店等商业企业手中,再通过运营商网络传输,个人数据所有权于是关联到政府部门、公民个体、服务企业以及网络运营商等主体。也许谁也不会想到,其实从我们交出数据的那一刻起,就已经面临着被野蛮切割与任性争夺的威胁,何况还有各种“数据黑市”从中推波助澜。

拿广州最近暴发的疫情为例,几个高风险区域被封闭管理后,其实在封闭之前14天到过这些区域的人员也同时被准确地盯上,因为大数据已经清晰地记录了他们的行踪,于是,这些被数据盯住的市民所持手机上的健康码就持续展示为“黄码”(“绿码”为自由通行,“黄码”为限制通行,“红码”为禁止通行),而要让“黄码”转“绿码”,必须经过连续14天三次核酸检测为阴性方可成功。显然,限制更多到过高风险区域人群的出行脚步,无疑可以进一步发现被感染者,从而及时采取管控措施并防止疫情的蔓延。但与此同时不得不承认,如果这些头戴“黄码”的市民的数据散落到非法人员和组织手中,其可能遭遇到的麻烦与损失也许并不亚于因“黄码”而产生的忐忑与不安。也正是如此,根据网络安全企业Verizon的统计,医疗保健行业在 2020 年已确认的数据泄露事件同比增加了58%。

按照官方的解释,数据是指任何以电子或者非电子形式对信息的记录,由此不难看出,数据并不等于信息,数据不同于信息,前者是后者的外在表现形式,后者是前者所表达出的内容,与信息相比,数据涵盖的范围显然宽泛得多。数据伴随着业务和应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、各环节,而且每个部位都存在着被粗暴侵占也野蛮使用的风险;而更重要的是,数据从单纯的信息记载形式逐渐发展为具有独立经济价值的利益形态,成为了新的生产要素和国家基础性战略资源,尤其是随着合资企业、跨境贸易、多厂商全球合作的模式变迁,国与国之间流转、融合与使用,而且欧美国家还将数据主权从物理边界转向技术边界,由此直接影响到第三方国家的主权。显然,数据的价值已经上升成个人、企业、国家的竞争力、安全度与幸福感的价值。

还有一点特别要指出,目前我国在业/存续“大数据”相关企业共有18.65万家,其中2019年新增2.59万家,2020年新增6.36万家,同比增长145%,至今年前5月再度新增4.28万家,同比增长152%,数据行业呈现出明显的井喷态势。大数据领域的日新月异无疑可以打造出我国数字经济在全球范围的核心竞争力,但同时必须警惕,“得数据者得天下”,众多数据企业竞相涌现,难免泥沙俱下,围绕着国家、企业、个人等各个层面的数据展开激烈博弈,也随之可能带来危害数据所有者的巨大负外部性,特别是在国内有多达150万的黑灰产人群的生态中,那些本是纯良和洁净的数据极有可能被肮脏之手亵渎与玷污。

安全警报频繁拉响

这是一个真实的故事。1981年9月20日,我国首次用一枚运载火箭发射了三颗人造卫星,新华社的简短报道语焉不详,政府官员也是守口如瓶,可万万想不到,卫星发射后仅三天,北京一家电台就播出题为《太空奥秘夺桂冠》的广播稿,次日北京一家报纸干脆登出《我国第九颗人造卫星》的报道,并附有三颗卫星的图样以及在车间实施组装的照片,而且前后两稿都翔实报道了这三颗太空飞行物的运行轨道、无线电遥测频率等等。国外情报部门如获至宝,而国内军工部门却大惊失色。严查之下,原来是某部一工程师之“妄为”。该人不经请示,稿子在火箭发射前已写好,卫星升空后传送电台、报社,并谎称已经“送审”,最终个人的好大喜功导致了国家机密的泄露。

所不同的是,互联网时代的数据已经从线下走到线上,因此数据的泄露更多的在线上发生,而且由于物与物的智能相连,数据传递散发的媒介和渠道更多,可以辐射到的空间更广,更容易遭遇泄露的风险;同时,无论黑客技术,还是黑产人群,他们进攻水平与恶意攻击的威胁能力、范围和破坏力已经超过了一般人的想象,可以说人们几乎每时每刻都在产生数据,但每天每日都必须面对数据泄露与盗用的痛苦与尴尬。

就像前述我国人造卫星发射信息在線下不慎泄露一样,今天线上时代国家数据的被恶意攻击与泄露的事件还在频频发生。乌克兰首都基辅部分地区和乌克兰西部因黑客攻击,140万名居民家中遭遇大面积停电长达数天,同样,包括首都加拉加斯在内的委内瑞拉曾发生全国大规模停电,多数地区的供水和通信网络陷入瘫痪,原因最终直接指向了“该国最重要的水电站遭到黑客攻击”。不仅如此,来自微软的最新警告令人毛骨悚然。据微软的官方报告,在设法控制了美国国际开发署的电子邮件营销平台Constant Contact账户后,已经发现名为Nobelium的黑客目前正在进行网络钓鱼活动,此次网络钓鱼行动的目标是约3000个政府机构、智库、顾问和非政府组织有关的账户,美国收到了大部分恶意邮件,除此之外至少还涉及24个国家。

全球企业同样面临着数据侵害的巨大威胁。两年前,国际晶圆代工巨头某公司的生产基地及营运总部的电脑,遭遇勒索病毒Wannacry入侵,生产线全数停摆,公司由此不得不承受巨大财务损失;一年前,匿名黑客入侵了开曼国家银行,并泄露了2.21 TB数据,而且该黑客还向其他黑客提供10万美元,以进行出于政治动机的网络攻击;就在日前,美国英格索兰工业集团上海分公司一名孙姓员工利用所持有的公司内部账户将69万余份公司文件从网上下载转发到自己的私人邮箱,随后黑客进入邮箱窃取了公司商业秘密。城门失火,殃及池鱼。据日本土地、基础设施和交通运输部(国土交通省)发布的最新通告,富士通是其信息系统承包商,由于第三方非法访问了由富士通管理和运营的项目信息共享工具,导致至少泄漏了7.6万个(国土交通省)工作人员和合作伙伴的电子邮件地址以及该部内部邮件和互联网设置的数据。

相比于国家与企业来说,面对着黑客攻击与非法侵害,个人的攻防能力更为脆弱,所受到的戳伤也更为沉重。两年前,由于管理用户资料存在重大漏洞,Facebook的5000万用户数据被泄露,惊魂未定,今年4月Facebook又放出了“恶意行为者”泄露了5.33亿用户数据的官方消息,包括用户的电话号码、Facebook ID、全名和出生日期等信息悉数呈列悬挂在互联网之上。无独有偶,作为正在冉冉升起的美国社交平台,Clubhouse共130万的用户资料包括用户ID、名字、照片URL(统一资源定位系统,相当与人的住址)、用户名、Twitter、关注者的数量、被关注的用户数量、账号创建日期、受用户配置文件名的邀请记录等全部裸露在黑客论坛上。

国外如此这般不堪,国内个人数据惨遭侵害的结果则更为甚烈。去年春节前后武汉新冠肺炎疫情发生后,武汉返乡人员成为了舆论关注的一个中心群体,而在超七千的返乡人员中,有超过2800是武汉各大高校的学生;按照要求,他们都在当地部门进行了登记,但不久这些人的身份证号码、电话号码、具体家庭住址甚至列车信息等内容都呈现在公开网络上,随后便接到了来自四面八方的谩骂、恐吓与侮辱。几乎在全国性医务力量共同围截武汉新冠肺炎疫情的同时,微博5.38亿用户数据遭到泄露的消息正式公布于众,这些绑定手机的数据包括用户ID和手机号号码以及含有昵称、头像、粉丝数、所在地的用户账号基本信息。

除了网络社交行业成为了数据泄露的“重灾区”外,传统的银行业与新兴快递行业也在数据管控方面漏洞百出。来自江苏淮安警方的官方消息,该市建设银行员工以每条80-100元的价格,将银行卡使用人的身份信息、电话号码、余额甚至交易记录售卖谋利,涉及个人信息5万多条;同样,警方破获的圆通快递多位“内鬼”与不法分子勾结出卖公民个人信息一案显示,有多达40万条包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等。

罪惡还在最新上演。从日前商丘市睢阳区人民法院的一份刑事判决书可以看到,一名住在河南商丘市的本科毕业大学生逯某自2019年11月起对淘宝实施了长达八个月的数据爬取并盗走超过11亿8千多万条用户信息,而这11.8亿条数据又被湖南省浏阳市的黎某建起了1100个微信群,每个群90-200人不等,黎某借此每天用机器人在群里发淘宝优惠券,赚取返利,并在短短的8个月内获利34万余元。

从众多数据泄露案件看,被侵害的数据标的十分惊人,动辄亿级甚至几十亿的数据泄露规模,另一方面,泄露数据内容详细,维度多,颗粒度细,几乎包含了受害人的所有信息。从犯罪主体看,既有借数据买卖的非法牟利者,更有网络黑客、网络战士甚至网络恐怖分子等专业犯罪群体,而从数据窃取到数据干涉,再到非法侵入与间谍软件和身份盗窃,数据侵害的形式多种多样。它们既危及到个人与企业利益,也威胁到公共机构、关键基础设施甚至政府和军事设施,轻则给受害人带去了精神折磨与财务损失,重则令企业生产中断、医院关停,甚至危及国家主权安全。

来自权威机构的公开资料显示,包括中国在内,2020年全球数据泄露出现爆炸式增长,12个月内泄露的记录比过去15年的总和还多,平均损失成本为1145万美元。另根据数据安全公司Imperva发布的最新报告,自2017年以来,全球网络攻击泄漏数据记录的数量平均每年增长高达224%,其中仅2021年1月报告的泄露记录就超过了2017年全年的损失8.26亿美元,达到8.78亿美元,同时报告预测:2021年将发生约1500起数据泄露事件,超过400亿条记录将被泄露。

《数据安全法》铿锵落地

对于自然人来说,作为一种情绪反应,许多人面对数据安全事件尤其是得知自己的数据信息受到侵害时,首先就是大骂商家的道德不良,同时也会谴责网络时代数据保护技术的缺失。但我们特别想强调的是,任何高尚的道德教育与思想劝导以及技术的攻防在数据侵害者面前都可能是苍白无力的,作为维护数据安全的基础,必要的制度变革必须加速跟上,尤其是需要构造出了保护数据安全的最强大法律屏障,

从世界范围看,美国出台了《开放政府数据法案》和《隐私法》,欧盟发布了《通用数据保护条例》,英国实施了《自由保护法》以及《公共部门信息再利用指令》,新加坡出台了《个人信息保密条款》,日本发布了《个人信息保护法》,全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。而值得庆幸地是,我国的《数据安全法》日前由十三届全国人大常委会第二十九次会议表决通过并正式发布,并即将于9月1日起正式施行,由此不仅将矗立起我国数据安全的“护城墙”,也势必成为数字经济发展繁荣的“护卫舰”。

立法本属于制度创建范畴,而凡是纳入进法律的具体制度则更具理念上的神圣性与执行上的严肃性。基于此,《数据安全法》特地将数据安全制度单独作为一章来进行规定,而且首先明确了数据分类分级保护制度,以从中分解与甄别出“核心数据”和“重要数据”。按照《数据安全法》的解释,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,“重要数据目录”由国家数据安全工作协调机制统筹协调有关部门制定,在此基础上再由各地区、各部门确定本地区和本部门、本行业的重要数据保护目录。对于“核心数据”和“重要数据”,《数据安全法》强调实行严格的管理制度。

以数据分类分级保护制度这一安全制度为基础,《数据安全法》确立了数据安全风险评估、报告、监测预警机制以及数据安全应急处置机制,提出建立数据安全审查制度与数据出口管制制度,同时《数据安全法》还明确了建立健全数据交易管理制度,规范数据交易行为,由此搭建起了我国数据安全制度的系统框架,在此基础上,《数据安全法》申明任何组织、个人处理数据均必须采取合法、正当的方式,符合社会公德和伦理,承担起数据处理活动的义务和责任。

按照《数据安全法》的规定,企业、中介机构等数据相关管理者、运营者和经营者都负有数据安全保护责任,包括开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施。值得注意的是,即便是对于国家公权机关,《数据安全法》也压实了数据处理的相关责任,包括法律、行政法规规定提供数据处理相关服务应当取得行政许可的,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行。

当然,完善的数据安全协同治理体系不应只停留在数据处理主体的内控管理上,市场既会经常性出现自我调节失灵,也会因牟利驱使而频生道德风险,为此数据安全的外部监管变得既必要又重要。本着这一原则,《数据安全法》规定国家网信部门负责统筹协调网络数据安全和相关监管工作,同时工业、电信、交通、金融等主管部门承担本行业、本领域数据安全监管职责,公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

由于数据已上升为国家基础性的战略资源,并与一国主权安全构成了十分紧密的关联,甚至可以说没有数据安全就没有国家安全,《数据安全法》首次明确了长臂管辖权,明确不仅在中国境内开展数据处理活动及其安全监管活动适用本法,而且对在中国境外开展数据处理活动,损害中国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任;另外,《数据安全法》贯彻对等原则,即任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施。

必须强调的是,主张数据安全的重要目的之一就是为数字经济发展提供基础支持,同时也只有数字经济得到了稳健发展,数字安全方可获得充分的保障,为此,《数据安全法》将数据作为新型生产要素以及数字经济的核心基础来考量,追求维护数据安全与引导数字经济发展的动态平衡,在第一条中就开宗明义地提出要“促进数据开发利用”,第七条又强调“国家鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”,同时第十四条言明“国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用”。除了原则性规定外,《数据安全法》还首次提出了建立“政务数据开放平台”,明确要培育数据交易市场。

数据显示,我国数字经济规模已从2010年7.02万亿元扩身到2020年的39.2万亿元,同期占GDP之比由15.2%提升至38.6%。目前来看,虽然我国数字经济总量规模已居全球第二,但相较美国、英国等发达经济体60%的占比,差距显然不小。更为重要的是,目前国内数据条块分割较为严重,数据碎片化与数据孤岛化现象十分普遍,数据垄断也清晰可见。为此,《数据安全法》对数据处理活动中拒不配合数据调取的行为以及排除、限制竞争的行为分别做出了处罚规定。因此,伴随《数据安全法》的实施,数据流通的堵点将得到有效清除,数据共享的障碍将获得有力破除,数据资源的经济与社会价值由此得以充分释放。

高悬的利剑

纠错必出真章,治乱须用重典。按照《数据安全法》,以下违反与侵害数据安全的行为将受到法律的惩处与制裁:

★不履行规定保护义务:责令改正和警告,给予单位5万至50万元罰款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位50万至200万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。

★危害国家安全和损害合法权益的:给予200万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。

★向境外提供重要数据的:由有关主管部门责令改正,给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的,给予100万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予10万至100万元罚款。

★交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款,最高责令吊销营业执照;对主管和直接责任人给予1万至10万元罚款。

★拒不配合数据调取的:由有关主管部门责令改正,给予警告,可以并处5万元至50万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。

★未经审批向境外提供组织数据的:由有关主管部门给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的,给予100万至500万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予5万至500万元罚款。

★国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,依法给予处分;窃取或非法获取数据的:依照有关法律、行政法规的规定处罚;给他人造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。

其实,《数据安全法》还只是我国据安全规范的纲领性法规之一,在此之前我国已经颁布了《网联安全法》,继《数据安全法》还将推出《个人信息保护法》,三部法规将共同编织出数据信息领域的完整法律体系。

(作者系中国市场学会理事、经济学教授)

猜你喜欢
安全法数据安全
《道路交通安全法》修改公开征求意见
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
云环境中数据安全去重研究进展
中华人民共和国食品安全法(续)
《刑法》与《食品安全法》衔接中的若干问题
大数据安全搜索与共享
健全大数据安全保障体系研究
日本修订劳动卫生安全法(ISHL)