刘 曼,洪 晟
(1.北京航空航天大学 法学院,北京 100083;2.北京航空航天大学 网络空间安全学院,北京 100083)
数据已成为重要的生产要素之一[1],中国视数据为经济的驱动力,数据业已融入各个行业领域的数字化转型进程。工业数据在支撑工业经济各要素、产业链、价值链中发挥重要作用,工业数据安全直接关系到工业经济安全。作为工业经济的“血液”,工业数据对于国家的重要性可谓不言自明。
工业数据是指在工业企业中各项工业流程环节、工业互联网连接运行中生成的数据的总和,也包括在工业领域中应用的数据[2]。工业数据具体主要由三部分构成:企业运营相关的业务数据、产线设备互联数据和企业外部数据。工业数据在工业互联网中位于举足轻重的地位[1]。
因为工业涉及的具体行业非常繁多,导致工业互联网会与诸多信息系统相联系,工业数据来源多、分布广、种类多、体量大等特点及工业数据地位的重要性使得工业数据广受关注,这也使得数据攻击事件从公共互联网向工业互联网转移[2]。国家有关部门发布的《2021年工业信息安全态势报告》显示,2021年全国工业信息安全指数为53.7,已经处于“中危”水平,并且安全风险威胁持续加剧,境外攻击有增无减,低防护联网设备总量继续上升,工控安全漏洞数量居高不下,工业信息安全防护与管理面临更大挑战。与传统的计算机信息系统安全需求不同,工业互联网数据信息系统需要兼顾特殊场景应用需求、管理需求以及成本运行控制等因素。因此工业数据安全保护不仅需要具体有效的工业安全防御技术支持,也需要全面完善明确的制度保障。
根据未来数据治理的发展趋势,有必要制定一部全面的、专业性的工业数据安全保护方面的法律,以适应数据时代变化并满足相应需求,对工业数据保护与利用问题进行规范,促进相关工业产业健康发展。
本文研究汇总了中国关于数据安全保护的主要法律法规,希望通过分析相关法律规定的发展历程、主要内容,窥探工业数据安全保护建设历程,以寻求工业数据安全保护的路径与方式。还通过对国外(以欧盟为代表)数据安全保护相关法律法规简要归纳分析与借鉴,提出了关于工业数据安全保护的建议,希望有助于中国工业数据安全保护的法律体系建设。
截止到2022年2月份,通过中国法律检索系统以全文检索的方式检索“工业数据”字样,也只有于2021年9月27日公布,并于同年11月1日开始施行的《天津市促进智能制造发展条例》中第23条明确表明“加强对工业互联网以及数据中心的建设”。鉴于中国现在还并没有针对工业数据的比较全面的法律法规,本文将从对计算机数据的相关法律规定为起始点,探究分析对工业数据的法律规定。
表1是对中国关于计算机数据安全保护立法进程的大致回顾,主要汇总了各立法发展阶段具有代表性的法律法规。
表1 中国关于工业数据保护的简要立法历程
计算机数据安全保护始于1983年12月15日施行的《医学科学技术档案管理办法》(现已失效),该办法中明确,医学科学技术档案包括计算机数据等科技文件资料。这是中国能够查询到的最早的、直接的关于计算机数据的规定。目前,虽然中国已有专门的《数据安全法》,但关于计算机数据安全的法律保护条文仍然散落在众多的规定、办法、条例、司法解释中。相对于西方发达国家来说,中国对数据安全的法律保护起步稍显滞后。通过表1分析可以看出中国关于工业数据的立法特点体现在以下几个方面:
(1)保护的内容与对象。立法伊始,对计算机数据的保护并不是首先保护数据本身,而是重视对计算机硬件的保护;后逐渐重视计算机软件系统的安全,体现在1991年公布的《计算机软件保护条例》;此后中国也开始重视自身发展与国际发展的接轨,1996年2月份公布《计算机信息网络国际联网管理暂行规定》;随着新世纪的到来,中国开始关注对互联网各项服务、功能的规范与约束;近几年立法规定直接表现为对计算机网络、数据本身的保护,例如《网络安全法》(2015年)、《数据安全法》(2021年);由于近年来工业领域成为我国数字化转型的主阵地,开始对数据“分门别类”地进行保护,特别体现在工业数据分类分级、关键信息基础设施保护中。
续表
(2)数据保护的目的。最初对于计算机的保护多是出于加强信息安全保密工作的需要。发展至今,国家仍然高度重视与计算机相关的涉密安全防护,但同时重视发挥数据要素在经济与管理延伸中的作用,关注计算机数据本身属性与功能。
(3)对于数据本身的态度的变化。由单纯的保护态度发展为采取较为中立的态度,加强对数据的管理治理,数据保护更加细化、具体。
中国完成了网络法律体系的基本建设,为数据安全提供了法律制度方面的基础性支持,弥补了数字法律以及数据保护板块的空白,但是仍然缺少全面的、具有可执行性的工业数据法律法规。《数据安全法》作为上位法,其法条内容多为原则性、宣示性条款,例如对于违反法律后处以何种具体的惩罚仍语焉不详,无法满足社会对解决数据安全保护实际问题的期待,其法条规定内容也多与《网络安全法》存在重叠交叉。《工业数据分类分级指南(试行)》作为对工业数据进行分类分级保护的指南性文件,并不具备法律意义上的约束力。
相比较而言,国外对数据保护的研究历史更加久远。其中,欧盟关于数据的立法研究具有代表性、前沿性,本文主要汇总了欧盟在数据方面的主要法律规定,如表2所示。
通过表2分析,欧盟关于数据安全方面的立法发展变化主要体现在以下方面:
表2 欧盟关于数据安全保护的主要立法发展过程
(1)关注重点的变化。立法初期,欧盟国家对工业数据安全的保护较少重视,但随着数字经济发展,欧盟逐渐加强了对数据的保护与治理,着力发挥数据对经济的正向价值。
(2)对数据态度的变化。与西方国家重视隐私保护的观念传统相关,起初对数据持有环节持保护、支持的态度。为了加强科技监管、减少互联网垄断,欧盟之后的立法态度开始倾向于加强数据规制与数据治理,意图打破数据壁垒,并且在制定法律的过程注重数据共享原则的贯彻体现[3]。
(3)对美国态度的变化。鉴于美国与欧盟之间的密切关系,欧盟的多项立法涉及两者之间的数据流动。世纪之交时,在处理与美国数据争端时采取让步折衷态度,“安全港决定”有相应体现;之后呈现为中立态度,体现在“欧盟——美国隐私盾协议”;近两年来,随着数据要素价值的凸显,欧盟对美国大型互联网平台公司多采取“遏制”态度[4]。
1980年9月2日,经济合作与发展组织(OECD)发布《隐私保护与个人数据跨国流通指南》,该指南的第二部分规定了国家层面数据安全保护适用的七个原则:
(1)限制原则:即最小数据原则,数据收集、使用、利用、存储的类型、范围、期间应当是适当的、相关的和必要的。
(2)数据质量原则:数据收集与处理应当保障质量,做到完整性、准确性、一致性、及时性的统一。
(3)特定目的原则:要求对数据的收集、处理应当遵循具体明确的、正当的目的。
(4)数据安全原则:承担数据收集、利用等相关程序过程的数据控制者或者组织者、利用者要采取充分的、适当的措施,来保证数据的安全,严禁故意泄露个人数据。
(5)数据开放原则:数据收集、处理、发布,应公开规则,明示目的、方式和范围,尊重和保护公众知情权。
(6)个人参与原则:即公开数据、数据收集与处理利用都应该得到数据主体的同意。
(7)安全事故责任原则:发生数据泄露事故后,数据收据控制者、受益者以及相关责任者应当承担责任[5]。
总体而言,其他国家或国际组织制定的数据保护原则,基本都是以七项原则为模板确立、施行的。
通过对国内外公布施行的法律法规进行分析,综合考虑社会现实发展状况,国家现行对工业数据安全保护与管理可以从以下两个思路进行考虑:
首先,数据权属是数据治理的基础问题,是解决数据安全的首要问题。因此对于工业数据安全保护也先要从解决工业数据的权属问题开始。关于工业数据权属问题,法学界已有不少研究。有学者从知识产权角度分析企业数据的安全保护[2];有的学者从《民法》的财产权角度分析企业数据的安全保护[6];还有学者从《反不正当竞争法》的角度分析数据保护[7]。主流观点认为,因为数据控制者对于其控制的数据是通过长期的合法经营,并投入大量的人力、物力和财力得到的,故应当根据《反不正当竞争法》第2条第2款的规定,承认并保护数据控制者对数据的合法利益[8]。
同时,应建立完整完善的数据安全保护风险法律提示与预防机制。要“防范于未然”,法律制度的建设要有统筹意识,引导建立整个工业领域的数据安全防护网。针对不同行业领域的数据安全问题,进行数据分级分类和建立重要数据重点保护制度。近年来,《工业数据分类分级指南(试行)》等相关文件的发布,对于特定行业的帮助作用非常显著,利于整合数据资源与集中利用[9]。设置恰当的违法惩治规范法律条款,严格细化数据稽查方面的法律规定,使法律具有实实在在的执行力。同时,可以借鉴外国的数据治理经验,例如美国的“蓝绿按钮”应用[10]、英国“Midata”项目[10]等,以项目的形式实现数据的转移,将数据转移至官方来掌握,以加强对数据的监管。
法律制度的制定完善需要高素质的复合型人才,工业数据安全保护涉及国家经济发展战略的实现,同样需要人才的支持。因此,国家应该根据社会需求变化而不断调整、改革、发展、创新人才培养模式,培养具有法学与计算机等双专业背景的复合型人才,以满足未来发展需要。
现行法律多为框架性建议,出于立法谨慎的态度,法律制度建设本身不可避免地具有某些方面的滞后性,不能很好地适应技术发展所带来的数据安全保护问题。具有法学专业与技术双背景的人才能够更深层、本质性地了解技术风险,增强数据治理的针对性、精确性,做到有的放矢。同时,熟知法律的技术人才不仅可以在研发、运用技术的过程中以法律规束自己的行为,减少企业法律风险,还可以在相关权利受到侵害时及时运用法律维护权益,降低损害程度。
数字化时代,作为国民经济主要支柱的工业,其数据治理的价值与未来战略意义毋庸赘述。虽然工业数据治理研究可以借鉴国外的经验,但是基于不同的经济社会基础会具备迥然不同的现实应用场景。因此,加快与具体国情相适应的法律研究与法律制度建设,探索培养具有法学和技术双背景复合型人才,才可以为工业数据保护提供切实可行的理论与实践指导,促成工业数据领域的“有法可依”局面的形成。