王永生
经三次审议,十三届全国人大常委会第二十九次会议日前通过了《数据安全法》。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,并将于今年9月1日起施行。
大数据和人工智能产业的快速发展,促使数据产业持续野蛮生长,然而由于市场发展速度快于法律。一直以来,数据采集、存储、管理、加工、应用和流通等环节都处在无法可依的无序发展状态。《数据安全法》的推出,为国内的数据应用行业和整个市场提供了新的行为准则,也设立了行业的准入门槛,从法律角度促进了数据应用和交易规范化,也加强了全社会对数据安全防护的重视。
数据,其字面意思理解为数值,是通过观察、实验或计算得出的结果。在我国,数据与法律层面的联系源于上世纪80年代。1983年12月8日,“数据”二字首次出现在规范性法律文件中。当时制定的《统计法》中,数据是以“统计数据”的词组形式出现的。现行《统计法》中,全文共有六处出现“数据”,其中,有五处是以“统计数据”词语组合的形式出现。可以看到,从最早的法律中,数据就与统计有着密切的关系,数据是统计的结果呈现,统计是数据的形成方法。
2015年7月1日起施行的《国家安全法》,首次将数据安全纳入到国家安全范畴,强调“重要领域信息系统及数据的安全可控”。一方面,这说明数据与信息有着密不可分的关系,另一方面,也说明数据与信息又有着显著的差异。《民法典》从权利层面明确了数据在法律上的意义。《国家安全法》则是从国家安全层面凸显了数据安全的重要性,这也为《数据安全法》的制定和出台奠定了基础,并成为后者重要的立法渊源及依据。
随着数字经济的快速发展,全球进入数据爆炸时代,数据在社会发展、民众生活中扮演起了越来越重要的角色。人工智能(Artificial Intelligence)、大数据(BigData)、云计算(Cloud Computing)等新技术或新概念层出不穷,也使得数据有了更多新的含义。
同时,持续爆出的数据安全事件一直令各国政府和民众堪忧。 2018年4月,扎克伯格因Facebook泄漏8700万人数据,并将其用于美国总统大选,出席美国参众两院听证会;就在最近,刚刚传出欧盟隐私监管机构因亚马逊违规收集和使用个人数据,而决议对亚马逊进行4.25亿美元处罚的消息。数据安全与合规、经济与技术发展之间的博弈与冲突日益被置于风口浪尖。世界各国也相继出台数据保护法律法规。
2015年,贵州省贵阳大数据交易所开业,这是全国乃至全球第一家数据公开交易场所。此后,陕西西咸新区数据交易中心、上海数据交易中心、北京国际大数据交易所等机构如雨后春笋般出现。截至目前,此类数据交易平台已超过30家。
作为当前全球第一数据资源大国和全球第二大数字经济体,我国近年来积极开展国际数据交流合作,提出数据治理“中国方案”,助推全球数字化进程,增进全球人民数字福祉。
2020年7月,《数据安全法(草案)》对外发布并公开征求意见。走进2021年,数据交易和交易机构的“身影”出现在数据安全法第十九条、第三十三条和第四十七条,让呼吁尽快建立数据交易规则的人们看到了曙光。
大数据和人工智能产业的快速发展,促使数据产业持续野蛮生长,然而由于市场发展速度快于法律。一直以来,数据采集、存储、管理、加工、应用和流通等环节都处在无法可依的无序发展状态。
《数据安全法》确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,为数据安全保护点亮了“指明灯”。与此同时,《数据安全法》对企业与机构的责任、义务有了更加细节的划分,且针对不同的实际情况提供了不同的应对方案,在广度和深度上都对数据安全保护有了更为详细的规定。这为正在加速数字化转型中的各行各业撑开了一把数据安全“保护伞”。
在数据应用规范化方面。《数据安全法》为数据产业、数字经济划定了数据应用的边界。在数据收集、管理、应用方面,做到合规、合法将成为企业运营数据业务的新门槛。
规范数据应用,既约束了数据的非法采集和滥用,又保护了数据提供方和普通民众的信息,让数据真正成为数字经济发展的血液。以数据开放、数据保护、数据流动等为基础的数据规则或将构建并逐步完善,不断促进数字经济发展。
例如,数据分级制度有利于让数据公司放开手脚,明确“红线”。政府有关部门从源头上明确哪些数据属于重点保护,绝对不可触及;而其它数据可以有条件或者免费向公众开放。
在数据交易规范化。数据资产化是近年来行业中的热点话题,随着数据的应用水平逐步提高,数据市场化交易、流通需求迅速扩大。然而,数据市场在交易过程缺乏相关的法律法规管理,交易机制不完善,中介服务商不规范,直接导致了市场中存在大量损害消费者及企业利益的违规、违法交易。同时,现存于市场中的数据中介服务机构在实际运营中也存在很大的法律风险。
数字经济加速各行各业发展的同时,也带来了相应的数据安全问题。在过去的十年中,针对数据的安全事件不胜枚举,造成的损失小到工程停產、设备损坏,大到核设施停摆、国家能源运输瘫痪。《数据安全法》的出台,使数据安全保护有法可依,对威胁数据安全的不法分子起到了约束作用。
与此同时,《数据安全法》明确了企业在保护数据安全方面的责任,对企业的数据安全建设提出了要求。企业数据安全防护将逐步常态化,企业在整个企业的数字化安全防护方面的投入也将有所扩大,这也从一定程度上加速了国内数字化安全防护产业的整体发展。
腾讯标准副总监、安全标准负责人武杨接受采访表示,《数据安全法》对行业组织提出了安全行为规范,对会员加强自律和管理,杜绝了各行业存在的灰色空间及数据随意共享和流转的情况。“比如网信细分的互联网服务,如即时通信、网络支付以及生物特征识别跟大家密切相关的、现在爆出最多问题的人脸识别等,都将得到进一步规范。”
近年来,一些企业、机构忽视数据安全保护、利用数据侵害人民群众合法权益的问题也十分突出,社会反映强烈。从手机APP过度不断收集个人隐私、行为数據,到上亿用户个人信息泄露,隐私问题屡见不鲜。
与之呼应的,是《数据安全法》第八条中规定:“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”
对此,腾讯安全云鼎实验室数据安全专家刘海洋表示,《数据安全法》颁布后,公众十分关注的数据交易终于有法可依。“比如说交易的时候双方必须要确定对方身份,买数据一定要确认对方数据的来源从哪里来,是否合法,这些事情一定会规范化。”
作为我国首部以“数据”或“数据安全”命名的法律,《数据安全法》的出台预示着我国数据开发与应用将全面进入法治化轨道,其意义非常重大。最近,全国各地、各媒体对数据立法一事均高度关注。对于从事数据法学研究和数据开发利用的人员来说,不论是理论研究工作,还是开发应用工作,都将迎来全新的发展阶段。
上海交大数据法律研究中心执行主任何渊认为,《数据安全法》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,其上位法应该是《国家安全法》,而其最重要的制度是分类分级制度,确立了“国家核心数据”的概念,与“重要数据”“其他数据”形成责任界定,并且优化了数据出境的规则,隐含数据主权的概念。
“按照法律要求国家必须制定核心数据、重要数据目录,主要按照行业划分,比如医疗健康数据、金融数据、公共数据、消费者数据等,针对不同的数据将制定特殊的规则。”何渊表示。
何渊认为,《数据安全法》凸显了“数据主权”的概念,表现在数据的跨境方面。“对于重要数据,尤其是核心数据的出境要经过国家安全审查,未经批准数据不能向外输送。”
中国工程院院士沈昌祥认为,《数据安全法》的出台,将有助于进一步提升国家数据安全保障能力,有助于加强我国应对因数据引发的国家安全风险与挑战,有助于全面维护国家主权、安全和发展利益。
沈昌祥表示,加强数据安全防护,要坚持积极防范,构建基于等级保护的数据纵深防御防护体系架构,加强可信免疫、主动防护以确保数据可信、可控、可管。一是要加强数据资源、环境、系统整体防护,建设多重防护、多级互联体系结构,确保数据处理环境可信;二是要加强处理流程控制,防止内部攻击,提高计算节点自我免疫能力;三是要加强全局层面安全机制,制定数据控制策略,梳理数据处理流程,建立安全的数据处理新模式;四是要加强技术平台支持下的安全管理,基于安全策略,与业务处理、监控及日常管理制度有机结合,实施技管并重、全程管控。
中国科学院信息工程研究所二级研究员,第七应用工程部主任李凤华表示,《数据安全法》将数据安全上升到国家安全层面,明确了数据、数据处理、数据安全的范畴,厘清了数据安全防护的主体责任,规范了国家行政主管部门、企业、个人的职责与权力,为数据安全防护奠定了基础。从数据全生命周期角度出发,《数据安全法》明确了数据的收集、存储、使用、加工、传输、提供、公开等环节,为后续的执法检查、标准制定、企业数据安全防护、个人权益保障等方面指明了方向,并将促进相关技术手段在不同环节的应用。
中央财经大学数字经济与法治研究中心执行主任、法学院副教授刘权认为,要完善数据安全法律体系接下来还需要制定《数字经济促进法》,最大程度地发挥政府职能部门的能动作用,并减少阻碍数字经济发展的体制机制障碍;制定《政府数据开放法》,加快政府数据开放,盘活政府数据资源,释放“政府数据红利”;制定《算法法》,对算法设计、算法公开、算法解释、算法责任等事项做出系统性规定。
中关村是中国数据资源和大数据企业最为密集的地区。多年来,中关村瞄准世界创新前沿,推动各项大数据项目落地:2012年率先布局,启动设立了中关村大数据日;2013年落实中关村641产业集群引领工程,开展大数据应用示范;2014年发布实施《关于加快培育大数据产业集群推动产业转型升级的意见》;2015年首次发布三张图,分别是“中关村大数据企业分布图”“京津冀大数据产业布局图”“中关村大数据产业发展促进路线图”;2016年联合相关委办局,推动京津冀大数据综合试验区获批,建设了全国首个跨区域性的国家大数据综合试验区;2017年推动产业协同创新平台落地,创新性地以PPP模式支持北京大数据研究院建设,开创了政府支持新型科研机构创新发展的新模式。到2019年,中关村示范区的大数据企业已达1600余家,产业规模年均增长20%以上,有效授权专利5800余件,领先全国。
中关村大数据技术发展与硅谷同步,海量数据挖掘等技术都处于国内领先地位,大数据产业链雏形已经初步显现。从系统架构到技术指标的实现,百度、亿赞普等企业都与谷歌、Facebook等公司齐头并进。中关村是国家各部委信息中心、运营商、国内大型互联网平台公司等拥有高价值密度数据机构的集中区域,拥有全国最大规模和最有价值的数据资产。同时,依托全球最密集的科教资源、软件人才和海外留学人员创业优势,中关村率先开展关于数据科学与工程实践相结合的跨学科跨产业大规模研讨。
多年来,在参与大数据技术方面,中关村企业各显身手。北京忆恒创源科技有限公司成功研发出的固态硬盘产品——PCIe 闪存卡,其每块硬盘的性能相当于6000块机械硬盘,每秒钟可传输一张DVD光盘的数据量,帮助用户很好地解决了数据中心IT设备性能的技术瓶颈。美科德(北京)科技有限公司推出国内首家个人云整体解决方案MYCLOUD,整合个人信息中心,个人社交中心,个人娱乐中心,为用户创造最前沿的云端体验。亿赞普在大数据处理和数据分类技术上处于国际领先地位,通过与全球运营商及互联网网站合作建立的云媒体平台,将覆盖包括欧洲、拉美、独联体和亚太地区的92个国家,可协助中国大量的本土企业全球扩张,实现从"中国创造"到"中国品牌"的跨越和提升。
为保护数据隐私及安全问题,中关村大数据产业联盟和北京腾云天下科技有限公司2017年共同发布了“数据标识互联示范应用”。这一项目是中关村大数据产业联盟与国务院发展研究中心国际技术经济研究所合作的一个落实国家大数据战略具体措施的基础性示范项目,旨在共同推进国家大数据下一代基础设施建设,简称 “数联网”。“‘数联网就是在不改变现有数据管理格局、不改变数据权属和不侵犯个人隐私的情况下,形成完整的社会数据资源,满足大数据在国家安全、社会治理、经济发展等方面的应用需求。”据北京腾云天下科技有限公司CEO崔晓波介绍,“数联网”项目是立足于把所有ID有效地、安全的管控起来,让业界在一个安全合规的框架下做数据共享。
2020年10月,在全国大众创业万众创新活动周北京市分会场暨中关村创新创业季启动仪式上,中关村管委会发布了《中关村国家自主创新示范区数字经济引领发展行动计划(2020—2022年)》,到2022年,中关村示范区数字经济企业总收入规模超过4.6万亿,年均增速不低于15%。
《中关村国家自主创新示范区数字经济引领发展行动计划(2020-2022年)》明确,围绕算力提升、算法优化、数据采集传输和重点行业融合应用等,突破一批关键核心技术和应用创新技术。加快培育10家以上具有国际影响力的平台型领军企业、100家独角兽企业和国内细分领域的单项冠军企业,涌现出一批科技创新企业。支持一批数据交易、中试基地、产业协同创新平台建设,积极探索、试点落地一批创新政策,营造符合数字经济发展需求的良好产业生态和政策环境。
《数据安全法》落地后,各地会依据自身特点出台相应的具体条例与措施,数据立法对中关村大数据产业发展也将起着积极引导作用。
目前,北京、上海、深圳、天津、贵州、安徽等地已启动数据立法,江苏也将公共数据管理办法列入省政府2021年立法工作计划。
瞄准加快打造具有世界影响力的国际数字之都,上海正在全面推进數据立法,为城市数字化转型奠定法制基础。“上海市数据条例”(暂定名)草案已经形成。该草案拟在今年9月提交市人大一审,力争在数据确权和数据交易等关键瓶颈问题方面取得突破。
今年4月16日,北京市经信局公告显示,中国政法大学作为成交供应商承担“北京市数据立法研究论证支撑服务项目”。这意味着北京数据立法工作已提上日程。
毋庸置疑,数据安全问题已成为关系国家安全和经济社会发展、关系广大人民群众切身利益的重大问题,制定和实施数据安全法将有力推动实现维护国家主权、国家安全、国家利益以及维护全体公民和组织数据合法权益的任务目标,也将成为我国数字化经济成功转型与健康、安全发展的强大保障力量,也能够让人民群众在信息化发展中有更多获得感、幸福感、安全感。