数据安全保护体系的检视与构建
——以《数据安全法》为切入点

2022-11-26 16:19朱斌斌
牡丹江大学学报 2022年4期
关键词:数据保护安全法数据安全

朱斌斌

(华东政法大学刑事法学院,上海 200333)

一、提出问题

在大数据时代,数据保护与利用呈现出愈加重要的意义,伴随着数字经济战略的全面开展,数据作为具有科技性、价值性、战略性等特征的重要生产要素,已与当前社会的经济、科技、政治、民生等版块息息相关。在这一过程中,数据功能的开发与利用不断在深入,然而在数据产业链不断生成与革新的同时,大数据技术在信息安全、数据垄断、数字鸿沟和隐私侵害等方面对数据安全构成了巨大挑战。互联网经营者大量收集、存储、使用消费者用户数据、由此引发恶意广泛收集数据、隐私信息泄露等诸多问题,成为数字技术商业化发展悬而未决的问题。[1]

在网络黑灰产业链的不断兴起中,各类数据的泄露风险激增,数据安全成为社会经济发展与隐私安全的重要保障,为了加强数据保护力度,我国数据保护法律体系在不断完善,一系列规范性文件不断出台。2020年5月28日《民法典》出台,在人格权编的“隐私权和个人信息保护”这一章节,确立了对隐私权和个人信息保护的相关原则。2021年4月29日,《个人信息保护法(草案二次审议稿)》在中国人大网公布,向社会大众征求意见,也在其中规定了个人敏感信息的处理原则。2021年6月10日,《数据安全法》经审议正式通过,本法在总体上展现了我国国家安全观的要求,有“数据安全领域的基础性法律”地位。《数据安全法》将数据作为生产要素的总体发展布局,凸显出国家对数据安全的高度重视。虽然对于数据保护进行了诸多的立法,但从目前来看,具体如何贯彻落实仍然有待商榷。

二、《数据安全法》视域下的数据安全保护体系

(一)《数据安全法》总体布局与概念厘清

作为数据安全领域内的基础性法律,《数据安全法》对于数据利用及保护发挥着极为重要的作用。本法所建立的数据保护体系已经较为全面,目前这一立法刚正式生效不久,为了确保本法在司法适用时,能够与其他调整数据法律关系的法律进行较为妥善的衔接适用,有必要对这一数据保护体系进行阐释,从而妥善安排数据安全保护计划。

《数据安全法》共7章55条,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。在总则部分对于数据等基本概念做出了详细的界定,在余下章节分别介绍了数据安全及发展的相关制度安排、数据的合理使用与流转要求、国家政务数据制度安排、数据安全保护义务及法律责任等内容。

在《数据安全法》中,对于数据做出了概括性的规定,认为数据是任何以电子或者其他方式对信息的记录,解决了数据定义模糊不清的问题,也就意味着数据属于信息的外在表现形式之一,而信息属于数据的实质内容。不过数据通常以虚拟性的电子记录形式存在,具体来源广泛而又复杂,不仅包括政府基于行政管理职能或公共服务而获取的数据,而且包括互联网运营者在商业贸易中获得的数据,除此之外,还包括公民上传或记录的个人信息,数据具体内容的纷繁复杂,导致相应的保护措施缺乏针对性,从而较难制定出行之有效的政策制度。

(二)健全完善数据安全制度

在《数据安全法》第二章、第三章中,在宏观层面指出,国家大力推动数据经济发展战略,确保数据的开发与利用能够稳中向好、不断向前发展,而后在中观层面,由于数据合法正当的流转与利用,离不开相应数据行使规范的约束,为了促进数据发展、维护数据安全,国家不断推进完善国家安全制度的建设。从具体制度的构建而言,数据安全保护体系呈现出多层次、分阶段的系统性特征。在数据交流前端,由于数据交流或者交易过程中,离不开目标客体或者相对方的作用,首先需要对于数据安全进行评估,才能够确认数据是否能够被获取并加以利用,从而数据安全检验这一制度的设立,体现出较为重要的意义。其次,数据交换过程的合理合法且有效,离不开相应平台的充分利用,通过健全完善数据交易管理制度,可以实现数据流转的高效快捷,同时也利于监管部门进行数据安全监测及监管。在第三章中,也针对数据安全进行了一系列的制度安排。在数据交流中端,为了避免数据具体类型的多样性带来的管理不利等问题,针对性地制定了数据分级分类保护制度,从而防止出现防护力度不足的问题,同时也在《数据安全法》中设立了相应的监管、报告、信息共享机制,进行补充完善。而在数据交流末端,当发生数据安全事件时,通过建立数据安全应急处理机制、数据安全审查制度等制度,进行及时纠错、事后补救、从而减轻不利影响。可以发现,在数据交流的全过程都能够实现及时保护,相关制度政策的出台,较为全面的完善了这一数据安全保护体系。

(三)确认数据安全保护义务

数据保护制度的贯彻落实,离不开多元主体间的通力合作。根据数据保护的具体制度安排,本法在第四章确立了不同行为主体的数据安全保护义务,因而在具体义务承担上有所区分,根据主体可以划分为一般主体、重要数据处理者、中介方、经营者等所要负责的具体义务类型。在第27条强调了一般主体在开展数据活动时,要遵守法律法规和国家标准的要求,其次,结合数据分级保护的需要,多次强调了重要数据处理者的数据安全责任,有效提高了重要数据的保护力度,在第30条和第33条,区分了在数据交易中存在指定风险的相关主体,对症下药,结合风险端口的特性,从而进行不同管理,在数据保护中呈现出分层次、分主体的特点,从而实现了社会资源的充分利用。最后,额外提及了一些其他类型的规范要求,比如在诉讼程序中,公安机关在调查取证时,具有调取数据的正当权利,以及为实现司法合作,具体落实我国所缔结或参加的国际条约,依照约定我国需要承担的义务,在本法应当有着衔接条款加以体现。

三、《数据安全法》缺乏配套的实施细则与标准规范

数据保护立法体系虽然在如火如荼地进行着,在中观层面,《数据安全法》已经确立了数据分级分类制度、数据安全应急处置机制,建立数据安全审查等数据安全管理制度。但是,目前《数据安全法》已正式通过,这一数据保护体系虽然颇具前景,但缺乏与之相配套的实施细则与标准规范,无法通过精细化操作而贯彻落实,数据安全保护工作难以达到预期效果。

(一)数据分级分类规范尚不精细

在《数据安全法》中虽然存在数据分级分类的要求与划分依据,但仅是数据分级分类制度的雏形。其中在划分依据上,主要依靠数据重要性以及危害程度进行划分,虽然重要数据可以通过列入保护目录进行针对性保护,但其他数据如何进行分级分类仍处于不清晰的状态,其次数据存在质与量的差别,即使是一般数据,但庞大的数据流泄漏问题,也会带来足够的社会危害性,因而严格来讲,这一划分标准缺乏可操作性。在数据交换的过程中,所涉及的数据因权益主体、所处专业领域、具体类型、敏感程度等不同,在被泄露后,所造成的损害结果呈现出较大的区别,因而并非将重要数据单列加以特殊保护,就能够解决问题。严格来说,目前的数据分级分类标准仍然处于不明确的状态,不同类型的数据无论是在具体内容上,还是在重要程度、保护需求、保护难度上,都存在较大的差异性,若不进行准确区分,将会导致数据泄露风险,并且,若对于公开数据强行施加严密保护,则会影响数据的共享与利用。

(二)数据风险防控制度尚不完善

由《数据安全法》可以发现,我国数据风险防控制度已经初具规模,从数据交流开启端口的风险评估至结束端口的审查报告等制度,已经能够实现数据交流全过程保护机制的覆盖,但问题在于如此繁杂的数据风险防范机制,在《数据安全法》中寥寥数语进行介绍,仅仅发挥着宣示性的作用,仍然需要通过具体操作机制的建构,对这一防控体系进行完善。但目前看来,相关举措的具体落实仍然不够到位,这一问题的重要成因在于,有关主体对数据风险防范存在认知偏差。具体而言,在数据交流过程中,企业经营者往往以经济利益为中心,在大数据运用过程中的操作不规范问题,也往往抛之脑后,对于数据安全风险缺乏考虑;其次,在数据交流监管层面,监管者的数据安全保障理念,往往还停留在传统静态信息保护阶段,然而由于大数据时代下云计算、物联网等先进科技手段,所带来数据的动态流动、多层级流转特征,缺乏与时俱进的数据保护理念,并不利于数据保护。此外,基于这一传统数据保护理念,相关主体在数据保护手段的适用上、数据安全保护目标上进行简单化认定,从而忽视了在数据流转过程中产生的多路径风险。

(三)数据共享机制尚不健全

在全面深化的数据商业模式中,数据共享作为数据交流机制的一环,也扮演着极为重要的角色。目前数据共享合作模式已经在实践中充分展开,而问题在于相应的行业标准与规范指南等仍然不够健全。首先,在数据处理技术层面,由于数据流的多元性与复杂性,在共享过程中,数据已经脱离所有者的控制,数据追踪溯源技术并不成熟,无法跟踪数据的最终去向和使用情况,使数据处于失控状态;并且,由于数据脱敏技术不成熟,脱敏后的数据会改变数据间原有的关系,降低数据价值,同时部分企业为了降低成本,通过省略或简化脱敏环节进行共享数据,导致数据泄露风险大增。这些问题导致及时制定开放共享策略的难度大大增加,从而在数据共享过程中不合规现象较为突出;其次,在数据共享管理制度层面,由于数据共享管理制度和操作流程不明确,会存在共享数据不及时、数据传达效率滞后、发现问题后难以追溯等问题,也缺乏对数据流转样态、数据防护情况的细粒度监管手段;[2]最后,在数据主体的责任认定层面,由于数据流转路径的复杂性,导致诸多主体都有所涉及,因而在责任认定上具有模糊性,也因此往往由企业承担相应法律责任,从而轻纵具体行为人,导致数据提供者的权益无法得到充分保护、涉及数据交易时的合法性难以保证,违规操作后的安全责任难以落实、监管职责难以履行。

四、数据安全保护计划的建设

(一)完善数据分级分类保护制度

在数据分类制度的历史经验上,严格来说,我国并不缺乏。比如《证券期货业数据分类分级指引》等规范性文件和行业标准,已然成功实现对特定领域和行业的数据分级分类。通过参考这些规范性文件,以求细化《数据安全法》数据分级分类保护制度,从而真正平衡数据安全与发展的关系。[3]

首先,需要确立数据分级分类的标准。由于数据来源、数据内容、数据类型呈现出较大的差异性,因而对于所有数据进行均等保护不具有现实性,数据保护制度的实现建立在数据合理划分的基础之上,考虑到数据因涉及各个专业领域,[4]而呈现出一定的专业性,笔者以为,可以通过按照数据所处专业领域进行划分,比如可以将数据划分为:司法、金融、医疗、商务、个人信息等类型,这一分类范式也有利于专业部门数据工作的迅速开展,在数据分级这一层面,可以根据数据的权益主体和所侵犯利益类型进行划分,可以细分为国家安全、公共利益、商业利益、个人隐私等层次,实现数据类型的不同定位,对于不同数据的重要性程度加以明确,从而为保护措施的制定提供区分前提。

其次,对所划分的不同级别的数据进行不同程度的保护。对于国家安全数据与公共利益数据应当划归为重要数据,列入重要数据保护名录,在保护手段上加大投入力度,同时对于这部分数据,在制定设计上应当予以排除适用,比如在数据交易管理制度中,应当将重要数据进行排除,禁止非法交易国家安全数据、公共利益数据,而且在政务数据公开制度上,也应当将这部分重点加以考虑,从而划分不同的开放程度,针对性的采取限制开放措施。对于商业利益数据,可以根据商业利益数据的不同表现形式加以保护,比如商业利益数据往往以知识产权的样态呈现,直接适用相关规定进行治理即可,而在个人隐私数据这一层次,应当根据《个人信息保护法(草案)》的具体规定,从而结合个人信息保护的各项政策方针进行贯彻落实。

(二)细化数据风险防控机制

根据《数据安全法》,数据风险防控制度内的具体机制安排繁多,诸如风险识别及检测预警机制、数据安全监管机制等内容,但这一数据风险防范体系,缺乏精细化的内容安排,为解决这一问题,通过技术创新、管理制度重构等方式加以调整,从而契合数据保护的需要。

在风险识别及检测预警机制上,一般而言,在对于数据风险评估时,需要对于发现的风险点做到及时预警、及时上报,两者在功能上具有密切联系、相辅相成的特点,因此在这一层面,可以建立在已有的数据分级分类机制的基础之上,通过数据溯源等技术进行数据治理,能够实现数据流转过程中的可追溯性,实现风险“看得见”这一效果,通过优化算法,从而能够对于发生概率、可能造成的损失进行预估,再通过掌握数据的流动情况,从而能够及时进行风险评估;其次,结合当前经济社会发展状况,根据现有行业标准,制定出具有适用价值的风险预警标准,从而在发生特定数据风险时,能够加以截流、及时上报。

在数据安全监管机制上,目前我国数据保护体系由网信办负责,并由相关行业部门负责行业监管的“1+X”体制,主要以国家数据安全保护为工作中心,[5]存在负责主体的单一性、保护内容的限定性等缺陷,为了解决这一困境,笔者以为,可以通过大数据平台,建立信息共享机制,打破行政条块分割产生的“信息孤岛”问题。此外,为健全完善这一监管体系,可以通过与互联网经营者等多元主体加强合作,形成协同监管机制,实现监管的全面化,并且在这一合作过程中,可以提供监管措施的有效性与针对性,从而综合市场反应、手段有效性、反馈建议等因素,有机采用或组合多项政策手段实现监管质量的提高。

(三)构建数据共享安全机制

数据共享安全机制的建立,离不开大数据技术的支撑,通过前沿技术的综合运用,可以有效提高相关政策的落实程度,同时,为了实现数字治理的高效便捷性,有必要对与数据共享管理机制进行优化,从而在整体上优化数据共享机制的操作步骤及配套措施。

首先,在技术革新层面,要运用大数据、云计算、区块链、人工智能等前沿技术,推动数据共享风险防范手段的革新,必要时进行重点技术突破,比如加强数据追踪溯源技术、数据脱敏技术的研发与运用,通过前沿技术手段的有效部署,推动数据共享安全机制及相关政策真正落实,除了落实常规安全保障要求之外,要注重保障数据全生命周期的安全,重点做好数据脱敏、数据标记、追踪溯源、数据安全标识、数据加密存储、风险控制和个人信息保护等,着力解决数据共享过程中敏感及隐私数据易泄露、共享数据二次流转管控和越权使用等问题,实现数据共享全程可监测、可管控和可追溯。[6]

其次,在共享机制结构层面,在行政管理部门内部,健全完善工作交流机制,形成网络对接平台,进行统一规划、实行统一标准,完成数据共享全过程的宏观规划与总体性布局。[7]而在对外合作层面,健全完善以政府为主导、多元主体共同参与的数据共享机制,利用大数据、人工智能等前沿技术,建立多层级、智能化的数据共享平台,推动数据交流的便捷化与简单化,促进多元主体不断深化合作、不断推进数据共享双方朝着互利共赢的方向发展。

最后,在责任认定标准层面,可以在企业内部进行合规指导,从而培养单位内部人员的合规意识,同时通过准确划分单位与个人的行为责任,从而防止责任混同现象的发生,落实违规操作后的安全责任。同时指导互联网企业建立风险应对机制,实现数据风险来袭时的积极防御,同时在一定程度上,也能够避免行为不规范所带来的法律风险,督促企业在从事数据贸易时,履行一定的审慎义务。

五、结语

依托互联网、物联网、5G、人工智能等先进科技手段,传统生产生活方式已经在数据革新中不断蜕变。[8]在社会关系的交互过程中,数据呈现出去实体化的重要载体或媒介等工具特征,日益彰显着重要的经济价值。在数字商务的开展过程中,多有围绕以数据为核心的不正当竞争行为发生,不法分子为了谋取海量经济利益,常常会采用深度链接、流量劫持等技术手段盗取他人数据,数据的价值性与脆弱性形成了强烈的对比。为了健全完善数据安全保护体系,国家出台了《数据安全法》,但本法存在缺乏配套的实施细则与标准规范的问题,从而无法得到有效贯彻落实,为解决这一困境,通过数据安全保护计划的设立,具体方案呈现为数据分级分类保护制度、数据风险防控机制、数据共享安全机制三个维度,从而在每一维度下进行具体展开,推动数据流转全过程保护机制的发展完善,全面贯彻落实数字经济战略。

猜你喜欢
数据保护安全法数据安全
《道路交通安全法》修改公开征求意见
部署推进2020年电信和互联网 行业网络数据安全管理工作
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
建立激励相容机制保护数据安全
数据安全政策与相关标准分享
未成年人能不能上社交网络
食品安全:最严食品安全法出台
史上最严食品安全法通过
关注《食品安全法》