國外數(shù)據(jù)安全保護(hù)的最新進(jìn)展、特點及啟示

■文/王偉潔 周千荷（賽迪智庫）

在數(shù)字經(jīng)濟(jì)時代，各國對數(shù)據(jù)安全問題都高度重視。面對日益嚴(yán)峻的數(shù)據(jù)安全威脅，2020年不少國家通過頒布政策法規(guī)、加強(qiáng)監(jiān)管執(zhí)法、提升安全治理技術(shù)能力等舉措，全面強(qiáng)化數(shù)據(jù)安全保護(hù)。賽迪研究院網(wǎng)絡(luò)安全研究所在全面梳理美國、歐盟、日本、韓國、澳大利亞等國家和地區(qū)數(shù)據(jù)安全保護(hù)最新進(jìn)展的基礎(chǔ)上，對各國的數(shù)據(jù)安全保護(hù)舉措和特點進(jìn)行了深入分析，并針對我國數(shù)據(jù)安全治理現(xiàn)狀與問題，提出四點啟示。

一、主要國家和地區(qū)數(shù)據(jù)安全保護(hù)舉措

第一，持續(xù)優(yōu)化數(shù)據(jù)安全政策環(huán)境。一是加強(qiáng)數(shù)據(jù)安全頂層設(shè)計。歐盟發(fā)布《歐洲數(shù)據(jù)保護(hù)監(jiān)管局戰(zhàn)略計劃（2020—2024）》，旨在從前瞻性、行動性和協(xié)調(diào)性三個方面繼續(xù)加強(qiáng)數(shù)據(jù)安全保護(hù)，以保障個人隱私權(quán)。美國發(fā)布《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動計劃》，確立了保護(hù)數(shù)據(jù)完整性、確保流通數(shù)據(jù)真實性、數(shù)據(jù)存儲安全性等基本原則。二是強(qiáng)化數(shù)據(jù)及個人信息保護(hù)方面的相關(guān)立法。阿聯(lián)酋和新西蘭分別出臺《數(shù)據(jù)保護(hù)法》和《2020年隱私法》，加強(qiáng)了對數(shù)據(jù)安全及個人隱私保護(hù)的規(guī)制建設(shè)；日本和新加坡分別完成了對本國《個人信息（數(shù)據(jù)）保護(hù)法》的修訂，明確了個人數(shù)據(jù)權(quán)利及外部使用限制；加拿大出臺的《數(shù)字憲章實施法案2020》，提出了保護(hù)私營部門個人信息的現(xiàn)代化框架。三是陸續(xù)出臺數(shù)據(jù)安全標(biāo)準(zhǔn)指南。歐盟發(fā)布《為保持歐盟個人數(shù)據(jù)保護(hù)級別而采用的數(shù)據(jù)跨境轉(zhuǎn)移工具補(bǔ)充措施》，為數(shù)據(jù)跨境流動中的數(shù)據(jù)保護(hù)問題提供了進(jìn)一步指導(dǎo)；西班牙數(shù)據(jù)保護(hù)局發(fā)布《默認(rèn)數(shù)據(jù)保護(hù)指南》，闡釋了默認(rèn)數(shù)據(jù)保護(hù)原則的策略、實施措施、記錄和審計要求等，為企業(yè)實踐數(shù)據(jù)保護(hù)原則提供具體指導(dǎo)。

第二，建立健全數(shù)據(jù)安全保護(hù)機(jī)構(gòu)。通過完善數(shù)據(jù)安全監(jiān)管執(zhí)法機(jī)構(gòu)設(shè)置，提升執(zhí)法效率，加強(qiáng)數(shù)據(jù)安全保護(hù)治理。美國商務(wù)部成立了提供聯(lián)邦數(shù)據(jù)服務(wù)的咨詢委員會，以加強(qiáng)對聯(lián)邦數(shù)據(jù)隱私的保護(hù)；德國成立國家網(wǎng)絡(luò)安全機(jī)構(gòu)，負(fù)責(zé)發(fā)起網(wǎng)絡(luò)安全創(chuàng)新項目、研究打擊網(wǎng)絡(luò)威脅，以加強(qiáng)德國的“數(shù)據(jù)主權(quán)”；巴西總統(tǒng)簽署法令批準(zhǔn)建立國家個人數(shù)據(jù)保護(hù)局，旨在制定相關(guān)規(guī)則，推進(jìn)企業(yè)開展數(shù)據(jù)安全風(fēng)險評估、調(diào)查違法違規(guī)行為，并促進(jìn)數(shù)據(jù)保護(hù)的國際合作；韓國成立個人信息保護(hù)委員會，主要職能是負(fù)責(zé)個人信息保護(hù)與監(jiān)管執(zhí)法工作。

第三，推動企業(yè)強(qiáng)化數(shù)據(jù)安全保護(hù)技術(shù)手段。為進(jìn)一步保障數(shù)據(jù)安全，各國紛紛采取措施推動企業(yè)積極響應(yīng)當(dāng)?shù)卣?，從?shù)據(jù)源頭、數(shù)據(jù)通道、數(shù)據(jù)運營管理等方面入手，運用差分隱私、區(qū)塊鏈等技術(shù)手段強(qiáng)化數(shù)據(jù)安全保護(hù)，搭建具有鮮明數(shù)據(jù)安全保護(hù)特性的技術(shù)架構(gòu)。例如，F(xiàn)acebook通過開源差分隱私庫加強(qiáng)對人工智能訓(xùn)練樣本隱私性的保護(hù)；蘋果公司通過模糊定位技術(shù)限制第三方App獲取用戶精確的地理位置信息；亞馬遜推出阻止用戶敏感信息泄露的服務(wù)Macie，以保護(hù)企業(yè)云端敏感數(shù)據(jù)；新西蘭企業(yè)通過區(qū)塊鏈技術(shù)實現(xiàn)數(shù)據(jù)加密傳輸和追蹤溯源，保護(hù)數(shù)據(jù)安全。

二、主要國家和地區(qū)數(shù)據(jù)安全保護(hù)特點分析

第一，數(shù)據(jù)安全成為國家安全的重要組成部分。數(shù)據(jù)現(xiàn)已成為與國家安全和國際競爭力緊密關(guān)聯(lián)的一大要素，各國對數(shù)據(jù)安全的認(rèn)知已從傳統(tǒng)的個人隱私保護(hù)上升到維護(hù)國家安全的高度。美國布魯金斯學(xué)會發(fā)布的《超越華為和抖音——解開美國擔(dān)憂中國科技企業(yè)和數(shù)字安全之謎》指出，數(shù)據(jù)是電信系統(tǒng)的命脈，應(yīng)從國家安全角度全面加強(qiáng)數(shù)據(jù)安全保護(hù)。英國發(fā)布《國家數(shù)據(jù)戰(zhàn)略》，通過搭建國家層面的數(shù)據(jù)安全治理方案，為建設(shè)促進(jìn)增長和可信賴的數(shù)據(jù)機(jī)制提供指導(dǎo)方向，保障國家安全。歐盟委員會發(fā)布的《歐洲數(shù)據(jù)戰(zhàn)略》及其配套法案《數(shù)據(jù)治理法案》提案，力求在歐盟層面建立統(tǒng)一的數(shù)據(jù)治理框架，保障數(shù)據(jù)安全。下一步，各國還將從國家層面進(jìn)一步完善數(shù)據(jù)安全戰(zhàn)略規(guī)劃、法律法規(guī)及標(biāo)準(zhǔn)規(guī)范，探索數(shù)據(jù)安全、國家安全與數(shù)字經(jīng)濟(jì)發(fā)展之間的平衡之道。

第二，對大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)壟斷的規(guī)制力度持續(xù)加大。與2019年相比，2020年各國對大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全違法違規(guī)行為的懲治力度不斷增強(qiáng)，美國、歐洲等國家和地區(qū)均加大了對其單筆處罰的金額。例如，F(xiàn)acebook違反用戶隱私保護(hù)策略，美國對其處以50億美元的巨額罰款；愛爾蘭就數(shù)據(jù)非法跨境傳輸問題，對Facebook處以高達(dá)28億美元的罰款；法國、加拿大等國家也紛紛對Twitter、谷歌等企業(yè)開出高額罰單。隨著大型互聯(lián)網(wǎng)平臺企業(yè)的日益壯大，其數(shù)據(jù)壟斷問題愈加嚴(yán)重，由此帶來的數(shù)字權(quán)利濫用問題或?qū)⑼{到國家安全。因此，各國將進(jìn)一步通過高額懲罰等手段對其進(jìn)行約束，以防止其濫用數(shù)據(jù)優(yōu)勢侵害到消費者隱私或進(jìn)行非法數(shù)據(jù)販賣。

第三，生物識別數(shù)據(jù)安全專項立法不斷推進(jìn)。隨著新技術(shù)新應(yīng)用的快速發(fā)展，以人臉識別為代表的人工智能技術(shù)得到了大規(guī)模應(yīng)用。然而，生物識別數(shù)據(jù)披露的個人特征精確，且采集門檻較低、極易獲取，一旦遭到泄露、篡改或非法共享，極易帶來“身份盜竊”風(fēng)險，且正在成為攻擊者的主要目標(biāo)。對此，各國政府2020年紛紛出臺相關(guān)政策，開始規(guī)范和限制生物識別數(shù)據(jù)的使用。美國提出聯(lián)邦層面的《國家生物識別信息隱私法案》，為企業(yè)生物識別數(shù)據(jù)使用樹立規(guī)范；各州也紛紛出臺相應(yīng)的人臉識別法案，對公共部門使用生物識別技術(shù)進(jìn)行限制。此外，歐盟通過發(fā)布《人工智能戰(zhàn)略》等文件，對企業(yè)和政府在公共場所使用攝像頭收集生物識別數(shù)據(jù)并識別個人身份的行為加以規(guī)范。下一步，各國將進(jìn)一步從頂層設(shè)計和專項法律規(guī)制層面，加大對人臉、聲音、指紋等生物識別數(shù)據(jù)的專項保護(hù)，在大力發(fā)展新技術(shù)新應(yīng)用的同時，嚴(yán)加防范其帶來的數(shù)據(jù)安全風(fēng)險。

第四，健康醫(yī)療數(shù)據(jù)使用安全愈加得到重視。一方面，各國積極加強(qiáng)頂層設(shè)計和標(biāo)準(zhǔn)規(guī)范制定。歐盟委員會發(fā)布的多個戰(zhàn)略文件均提議，建設(shè)“歐洲健康數(shù)據(jù)空間”，以完善歐盟健康醫(yī)療數(shù)據(jù)交換、訪問環(huán)境，保障個人醫(yī)療數(shù)據(jù)控制權(quán)和隱私權(quán)。韓國發(fā)布醫(yī)療領(lǐng)域的首份指南，為信息處理者提供了個人醫(yī)療信息安全使用的標(biāo)準(zhǔn)、方法和程序。另一方面，各國也在不斷推進(jìn)醫(yī)療數(shù)據(jù)使用安全的技術(shù)防護(hù)手段建設(shè)。美國醫(yī)療保險公司Anthem利用區(qū)塊鏈技術(shù)賦予患者數(shù)據(jù)控制權(quán)，患者可借此實現(xiàn)數(shù)據(jù)安全訪問和共享；英國醫(yī)療研究團(tuán)隊OpenSAFELY采用電子病歷隱私保障技術(shù)嚴(yán)控數(shù)據(jù)流向，實現(xiàn)了對數(shù)據(jù)使用全過程的監(jiān)控和保護(hù)。2020年新冠疫情的暴發(fā)愈加凸顯出醫(yī)療數(shù)據(jù)安全保護(hù)的重要性。與一般數(shù)據(jù)相比，醫(yī)療數(shù)據(jù)覆蓋面廣，既包含了患者個體患病信息，還涉及疾病傳播、地區(qū)流行病、區(qū)域人口健康狀況等信息。醫(yī)療數(shù)據(jù)能否安全使用，攸關(guān)社會穩(wěn)定與國家安全。下一步，各國將進(jìn)一步從政策和技術(shù)層面探索保障醫(yī)療數(shù)據(jù)安全使用的方法，以應(yīng)對面臨的嚴(yán)峻挑戰(zhàn)。

三、幾點啟示

第一，完善數(shù)據(jù)安全保護(hù)的法治環(huán)境。一是大力推動《數(shù)據(jù)安全法》和《個人信息保護(hù)法》出臺。目前，兩部法律仍處于草案階段，建議加快法律的出臺與實施，為數(shù)據(jù)安全和個人信息保護(hù)提供基本法律框架。二是完善數(shù)據(jù)安全保護(hù)的配套法規(guī)制度。目前，上述兩部立法草案還缺乏配套的下位法，部分問題處于模糊地帶，需進(jìn)一步出臺與之配套的法律法規(guī)，針對具體問題制定相應(yīng)的解決措施，強(qiáng)化數(shù)據(jù)安全保護(hù)。例如，針對數(shù)據(jù)確權(quán)問題，考慮通過采用數(shù)據(jù)分類確權(quán)思路，厘清數(shù)據(jù)類型和數(shù)據(jù)性質(zhì)，明確主體數(shù)據(jù)權(quán)利邊界；針對政務(wù)數(shù)據(jù)安全共享問題，出臺相關(guān)政策文件，以明確上下游責(zé)任邊界，促進(jìn)政務(wù)數(shù)據(jù)安全共享，實現(xiàn)政務(wù)數(shù)據(jù)管理模式由縱向到橫向的轉(zhuǎn)型，保障政務(wù)數(shù)據(jù)的可享、可管、可信。三是建立健全數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)規(guī)范。針對數(shù)據(jù)開放共享、交易、跨境流動等不同場景，完善相應(yīng)的標(biāo)準(zhǔn)規(guī)范；制定數(shù)據(jù)安全評測指南，持續(xù)加強(qiáng)數(shù)據(jù)安全標(biāo)準(zhǔn)的宣貫實施。

第二，多措并舉加強(qiáng)數(shù)據(jù)安全監(jiān)督管理。一是完善數(shù)據(jù)安全保護(hù)監(jiān)管體系。探索建立分級分類監(jiān)管體系，構(gòu)建中央和地方分類監(jiān)管、分級負(fù)責(zé)、權(quán)責(zé)一致的監(jiān)管格局。二是探索數(shù)據(jù)安全保護(hù)機(jī)構(gòu)設(shè)置。借鑒美國、韓國、歐洲等國家和地區(qū)的成功做法，針對不同數(shù)據(jù)活動場景及問題，嘗試設(shè)置獨立的負(fù)責(zé)機(jī)構(gòu)。例如，設(shè)置與國際接軌、專項負(fù)責(zé)跨境數(shù)據(jù)安全風(fēng)險審查與評估的機(jī)構(gòu)。三是加大對數(shù)據(jù)違法活動的監(jiān)管執(zhí)法力度。借鑒美國、歐洲、俄羅斯等國家和地區(qū)的成功做法，通過提高罰款額度等手段，倒逼數(shù)據(jù)控制者加強(qiáng)數(shù)據(jù)安全保護(hù)。

第三，強(qiáng)化企業(yè)數(shù)據(jù)安全能力建設(shè)。一是鼓勵企業(yè)運用技術(shù)手段強(qiáng)化數(shù)據(jù)安全治理。鼓勵企業(yè)開展區(qū)塊鏈、隱私計算等數(shù)據(jù)安全保障技術(shù)的研究，提高技術(shù)成果轉(zhuǎn)化率，切實保護(hù)用戶數(shù)據(jù)安全。二是建立企業(yè)數(shù)據(jù)安全能力成熟度評估制度。通過明確不同類型的數(shù)據(jù)安全能力成熟度要求，推動企業(yè)建立與數(shù)據(jù)類型和規(guī)模相匹配的數(shù)據(jù)安保能力，實現(xiàn)業(yè)務(wù)競爭力與安全的正向掛鉤，并組織開展數(shù)據(jù)安全能力成熟度評估。三是建立企業(yè)數(shù)據(jù)流向監(jiān)管制度。鼓勵企業(yè)開發(fā)、使用追蹤數(shù)據(jù)使用情況及流向的工具，明晰數(shù)據(jù)用途，配合國家開展數(shù)據(jù)資源使用情況追蹤調(diào)查。