夯實(shí)與加密數(shù)據(jù)安全的標(biāo)準(zhǔn)與制度屏障

張銳

由于在未經(jīng)客戶本人授權(quán)的情況下向第三方提供個(gè)人銀行賬戶交易明細(xì)，從而嚴(yán)重侵害了消費(fèi)者信息安全權(quán)，損害了消費(fèi)者合法權(quán)益，中信銀行日前受到中國(guó)銀保監(jiān)會(huì)上海銀保監(jiān)局的立案調(diào)查，由此再次敲響的數(shù)據(jù)安全警鐘振聾發(fā)聵。

從三月份微博因5億用戶信息泄露被工信部約談，到四月份萬(wàn)豪國(guó)際酒店外泄520萬(wàn)客戶信息遭到網(wǎng)絡(luò)世界的集體吐槽，再到五月初浙江省公安部門對(duì)數(shù)十種教育APP利用新冠肺炎疫情期間學(xué)校開(kāi)設(shè)網(wǎng)課之機(jī)非法采集用戶敏感信息的行為進(jìn)行查處，今年以來(lái)圍繞著數(shù)據(jù)安全掀起的風(fēng)波接連不斷，如果再加上手機(jī)用戶至今依然遭遇垃圾短息以及推銷電話的頻繁騷擾等大眾性事件，保障數(shù)據(jù)安全的確到了刻不容緩的地步。

實(shí)際上，數(shù)據(jù)安全不僅僅存在于自然人范疇，無(wú)論是商業(yè)企業(yè)，還是機(jī)關(guān)團(tuán)體，抑或是學(xué)校組織，直至整個(gè)國(guó)家，都存在著數(shù)據(jù)安全的強(qiáng)烈需求。對(duì)于個(gè)人來(lái)說(shuō)，數(shù)據(jù)安全隱患帶來(lái)的是名譽(yù)與財(cái)產(chǎn)損失;對(duì)于企業(yè)而言，商業(yè)數(shù)據(jù)泄露代表著客戶與市場(chǎng)的流失，市場(chǎng)因此出現(xiàn)“劣幣驅(qū)逐良幣”的逆向淘汰;對(duì)于國(guó)家而言，數(shù)據(jù)安全受到威脅不僅可能導(dǎo)致決策失誤與調(diào)控紊亂，更可能出現(xiàn)治理梗阻與社會(huì)危機(jī)。另外，除了像中信銀行那樣主觀故意泄露數(shù)據(jù)信息外，危害數(shù)據(jù)安全行為還有數(shù)據(jù)竊取和數(shù)據(jù)干涉，以及非法侵入和間諜軟件與身份盜竊，同時(shí)圍繞著數(shù)據(jù)所從事的違法與犯罪活動(dòng)廣泛活躍于從一般數(shù)據(jù)交易商到黑客再到網(wǎng)絡(luò)戰(zhàn)士以及網(wǎng)絡(luò)恐怖分子等非法主體之間。

作為一種情緒反應(yīng)，許多人面對(duì)數(shù)據(jù)安全事件尤其是得知自己的數(shù)據(jù)信息受到侵害時(shí)，首先就是大罵商家的道德不良，同時(shí)也會(huì)譴責(zé)網(wǎng)絡(luò)時(shí)代數(shù)據(jù)保護(hù)技術(shù)的缺失。但我們特別想強(qiáng)調(diào)的是，任何高尚的道德教育與思想勸導(dǎo)在數(shù)據(jù)侵害者面前都是蒼白無(wú)力的，同時(shí)數(shù)據(jù)保護(hù)技術(shù)的升級(jí)與成熟也需時(shí)日積累，而作為維護(hù)數(shù)據(jù)安全的基礎(chǔ)，必要的制度變革與標(biāo)準(zhǔn)體系建設(shè)則完全可以盡早先行一步，并且還會(huì)起到立竿見(jiàn)影之效。

互聯(lián)網(wǎng)時(shí)代個(gè)人與組織的基本資料及其活動(dòng)信息都折疊成了數(shù)據(jù)，而且網(wǎng)絡(luò)數(shù)據(jù)具有自動(dòng)生成的特征，流動(dòng)過(guò)程中又可以進(jìn)行再開(kāi)發(fā)，并且由于數(shù)據(jù)的生成和流動(dòng)過(guò)程多元，同時(shí)復(fù)雜多變，由此導(dǎo)致的數(shù)據(jù)確權(quán)的難度并非易事，相應(yīng)地就會(huì)出現(xiàn)數(shù)據(jù)安全隱患。拿央行即將推出的數(shù)字貨幣來(lái)說(shuō)，用戶無(wú)論是實(shí)名注冊(cè)還是下載錢包抑或是網(wǎng)絡(luò)支付，都會(huì)線上留痕，由此形成的原始數(shù)據(jù)被銀行或商鋪收集，再通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)傳輸，數(shù)據(jù)所有權(quán)于是關(guān)聯(lián)到消費(fèi)者個(gè)體、商業(yè)銀行、銷售商、運(yùn)營(yíng)商和央行等監(jiān)管部門，由此同時(shí)產(chǎn)生國(guó)家數(shù)據(jù)主權(quán)、機(jī)構(gòu)數(shù)據(jù)產(chǎn)權(quán)和數(shù)據(jù)人格權(quán)三種權(quán)利，但究竟數(shù)據(jù)所有權(quán)屬于誰(shuí)，法律上目前還沒(méi)有明確的權(quán)屬界定。也正是因?yàn)椴荒艿玫角逦臄?shù)據(jù)確權(quán)，目前不僅形成了對(duì)數(shù)據(jù)的野蠻獲取與任性爭(zhēng)奪，也導(dǎo)致了數(shù)據(jù)處理的肆意妄為，甚至各種“數(shù)據(jù)黑市”暗流密集涌動(dòng)。

數(shù)據(jù)資源分布上的條塊分割與煙囪林立是危及數(shù)據(jù)安全的重要體制病灶。在政府內(nèi)部，雖然設(shè)立了大數(shù)據(jù)管理局、政務(wù)服務(wù)數(shù)據(jù)管理局和大數(shù)據(jù)管理中心等之類的機(jī)構(gòu)，但其隸屬的主管部門不僅千奇百樣，自身職能范圍也是五花八門，并且實(shí)際數(shù)據(jù)也分布于不同的行業(yè)主管組織中;在政府與企業(yè)之間，數(shù)據(jù)雙向傳輸渠道未能有效打通，全國(guó)開(kāi)放數(shù)據(jù)集規(guī)模僅為美國(guó)的1/9，企業(yè)生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)中來(lái)自政府的比重只有7%，同時(shí)企業(yè)向政府開(kāi)放數(shù)據(jù)資源的意愿也不高，一些互聯(lián)網(wǎng)頭部企業(yè)的數(shù)據(jù)“自留地”也隱約可見(jiàn);至于企業(yè)與企業(yè)之間，除了“數(shù)據(jù)壟斷”外，數(shù)據(jù)對(duì)接完全處于水火不容和冰凍狀態(tài)，彼此壁壘森嚴(yán)。數(shù)據(jù)無(wú)法共享不僅制造出了數(shù)據(jù)資源稀缺的市場(chǎng)表象，而且“囚徒困境”會(huì)倒逼有些企業(yè)與組織鋌而走險(xiǎn)，走上非法販賣與盜用數(shù)據(jù)的偏道。

放在整個(gè)數(shù)據(jù)要素市場(chǎng)的結(jié)構(gòu)系統(tǒng)中審視，數(shù)據(jù)安全實(shí)際已淪落成為一個(gè)最薄弱的短板。

數(shù)據(jù)監(jiān)管節(jié)奏滯后是導(dǎo)致數(shù)據(jù)安全缺失的主要管理瓶頸。一方面，目前的監(jiān)管僅注重事前監(jiān)管與靜態(tài)監(jiān)管，如身份認(rèn)證、安全存儲(chǔ)等，而對(duì)動(dòng)態(tài)監(jiān)管如數(shù)據(jù)訪問(wèn)、數(shù)據(jù)脫敏以及數(shù)據(jù)審計(jì)等缺乏必要的監(jiān)控認(rèn)知與手段跟進(jìn);另一方面，數(shù)據(jù)監(jiān)管總體上表現(xiàn)為碎片化痕跡而不是全程化鏡像，即只是對(duì)某個(gè)階段或者布局?jǐn)?shù)據(jù)實(shí)施監(jiān)管，而不是覆蓋到從生成—處理—運(yùn)維—交易—審計(jì)等數(shù)據(jù)全生命周期過(guò)程，同時(shí)目前國(guó)內(nèi)數(shù)據(jù)監(jiān)管也缺乏系統(tǒng)性的安全標(biāo)準(zhǔn)參照。

因此，放在整個(gè)數(shù)據(jù)要素市場(chǎng)的結(jié)構(gòu)系統(tǒng)中審視，數(shù)據(jù)安全實(shí)際已淪落成為一個(gè)最薄弱的短板。但令人欣慰的是，作為數(shù)據(jù)安全領(lǐng)域的一個(gè)“硬核”動(dòng)作，工信部日前面向社會(huì)發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見(jiàn)稿）》，分別針對(duì)5G、移動(dòng)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能和區(qū)塊鏈等九大關(guān)鍵領(lǐng)域提出和明確了網(wǎng)絡(luò)數(shù)據(jù)的安全標(biāo)準(zhǔn)，以此為開(kāi)端，先重點(diǎn)后全面，包括各種層級(jí)的基礎(chǔ)性安全標(biāo)準(zhǔn)建設(shè)等在內(nèi)，有望最終形成完備而健全的網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系。當(dāng)然，在建立與健全明確的數(shù)據(jù)安全評(píng)估與認(rèn)定標(biāo)準(zhǔn)框架的同時(shí)，還須從制度層面建構(gòu)護(hù)衛(wèi)數(shù)據(jù)安全的寬厚屏障。

首先，要根據(jù)數(shù)據(jù)性質(zhì)進(jìn)行明確的產(chǎn)權(quán)歸屬界定，分層分類對(duì)原始數(shù)據(jù)、脫敏化數(shù)據(jù)、模型化數(shù)據(jù)和人工智能化數(shù)據(jù)給出明晰的確權(quán)，形成覆蓋數(shù)據(jù)生成、使用、采集、存儲(chǔ)、監(jiān)測(cè)、收益、統(tǒng)計(jì)、審計(jì)等各方面權(quán)力面向不同時(shí)空、不同主體的確權(quán)框架。在此基礎(chǔ)上，首先推進(jìn)政府?dāng)?shù)據(jù)的開(kāi)放共享，制定出臺(tái)數(shù)據(jù)共享責(zé)任清單，同時(shí)，要研究建立促進(jìn)公共數(shù)據(jù)開(kāi)放和數(shù)據(jù)資源有效流動(dòng)的制度規(guī)范，包括建立起社會(huì)化數(shù)據(jù)統(tǒng)一獲取、歸集和合作機(jī)制，探索建立面向互聯(lián)網(wǎng)頭部企業(yè)的數(shù)據(jù)目錄備案機(jī)制，推動(dòng)政務(wù)數(shù)據(jù)與社會(huì)化數(shù)據(jù)平臺(tái)化對(duì)接。通過(guò)架構(gòu)起“政-政”數(shù)據(jù)共享、“政-企”數(shù)據(jù)開(kāi)放、“企-企”數(shù)據(jù)互通的數(shù)據(jù)要素流通體系，形成“市場(chǎng)有效、政府有為、企業(yè)有利、個(gè)人有益”的數(shù)據(jù)要素市場(chǎng)化配置機(jī)制，徹底堵塞與清除數(shù)據(jù)獲取與交易的各種非法途徑與管道。

其次，緊跟網(wǎng)絡(luò)數(shù)據(jù)生成方式多元、數(shù)據(jù)體量龐大以及流動(dòng)迅疾的特點(diǎn)，數(shù)據(jù)監(jiān)管的重點(diǎn)要從線上轉(zhuǎn)移到線上，并盡快出臺(tái)數(shù)據(jù)生成、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)運(yùn)維、數(shù)據(jù)脫敏、數(shù)據(jù)訪問(wèn)、數(shù)據(jù)開(kāi)發(fā)以及數(shù)據(jù)審計(jì)的立體性安全監(jiān)管標(biāo)準(zhǔn)，同時(shí)對(duì)于數(shù)據(jù)的監(jiān)控要滲透與覆蓋到數(shù)據(jù)運(yùn)行的全過(guò)程，監(jiān)控手段上要大膽配置與引進(jìn)區(qū)塊鏈等新技術(shù)，搭建其從數(shù)據(jù)生成到數(shù)據(jù)儲(chǔ)存以及數(shù)據(jù)溯源和數(shù)據(jù)檢測(cè)的自我免疫平臺(tái)。此外，數(shù)據(jù)安全治理應(yīng)當(dāng)鼓勵(lì)社會(huì)力量積極參與，支持媒體充分參與監(jiān)督的同時(shí)，暢通民眾與企業(yè)的數(shù)據(jù)侵害舉報(bào)與申訴渠道，探索建立多元協(xié)同共治的新型監(jiān)管體制。而更為重要的是，在關(guān)注事前監(jiān)管的同時(shí)，數(shù)據(jù)監(jiān)管更應(yīng)強(qiáng)化數(shù)據(jù)風(fēng)險(xiǎn)預(yù)警機(jī)制建設(shè)，提升數(shù)據(jù)安全事件的應(yīng)急解決能力。

另外，完備的法律是數(shù)據(jù)安全的最強(qiáng)大屏障，像美國(guó)出臺(tái)了《開(kāi)放政府?dāng)?shù)據(jù)法案》和《隱私法》，歐盟發(fā)布了《通用數(shù)據(jù)保護(hù)條例》，英國(guó)實(shí)施了《自由保護(hù)法》以及《公共部門信息再利用指令》等，不約而同地通過(guò)上位法（效力較高的法律）對(duì)政府開(kāi)放數(shù)據(jù)以及數(shù)據(jù)利用與監(jiān)督提供了強(qiáng)有力的支持與保護(hù);就我國(guó)來(lái)說(shuō)，除了《民法總則》規(guī)定了對(duì)個(gè)人信息和數(shù)據(jù)進(jìn)行保護(hù)外，近年來(lái)還出臺(tái)了《網(wǎng)絡(luò)安全法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》以及《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》等具體法律規(guī)章，而適應(yīng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)資源卓有成效的安全保護(hù)，特別是策應(yīng)加快培育數(shù)據(jù)要素市場(chǎng)的需要，還應(yīng)盡快推出內(nèi)涵更飽滿、外延更廣泛和具有上位法意義的《數(shù)據(jù)安全法》。