增強網絡安全意識　筑牢網絡安全屏障

本刊綜合

6月10日，經歷三次正式審議的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱“《數(shù)據(jù)安全法》”）最終由全國人大常務委員會會議通過，并將于2021年9月1日起施行。這部法律是數(shù)據(jù)領域的基礎性法律，正式確立了我國數(shù)據(jù)安全領域的基本法律框架。

在數(shù)字經濟時代，數(shù)據(jù)的重要性毋庸諱言。隨著社會經濟的發(fā)展，信息化、數(shù)字化已經成為趨勢。中共中央、國務院發(fā)布的《關于構建更加完善的要素市場化配置體制機制的意見》也將數(shù)據(jù)作為新的生產要素上升到基礎戰(zhàn)略資源地位。據(jù)工業(yè)和信息化部副部長劉烈宏介紹，“十三五”時期，我國大數(shù)據(jù)產業(yè)年均復合增長率超過了30%，2020年產業(yè)規(guī)模超過了1萬億元。當前，數(shù)據(jù)對經濟發(fā)展、社會治理、人民生活都產生了重大影響，已成為國家基礎性戰(zhàn)略資源。

不過，隨著數(shù)據(jù)利用在各個領域的不斷深入，數(shù)據(jù)安全領域也暴露出一些問題。無處不在的攝像頭、手機上的應用程序（APP）、越來越普及的物聯(lián)網設備，在給我們的生活帶來諸多便利的同時，也暴露著我們的隱私，而網絡黑客的攻擊，更是造成了安全隱患。

“當前，全社會的數(shù)據(jù)安全意識還沒有達到應有的高度，對數(shù)據(jù)治理還沒有科學的認知?！敝袊ù髮W互聯(lián)網金融法律研究院院長李愛君表示，目前，個人信息保護和隱私保護的有效個人維權能力不足，數(shù)據(jù)安全的生態(tài)環(huán)境還沒有形成，數(shù)據(jù)安全的相關標準缺乏，數(shù)據(jù)安全監(jiān)管的技術手段不足，亟待進一步構筑起更好的用戶數(shù)據(jù)隱私保護和數(shù)據(jù)安全保護屏障。

“而此時推出數(shù)據(jù)安全法，正是為了更好推動相關規(guī)則的完善?！北本┦芯煟ㄉ钲冢┞蓭熓聞账?lián)合創(chuàng)始人、京師深圳法律研究院院長王巖飛說，現(xiàn)行的網絡安全法、民法典以及部分法規(guī)、條例、標準等文件中雖然對于數(shù)據(jù)處理活動有所規(guī)制，但依然有所欠缺?！稊?shù)據(jù)安全法》的出臺，將對數(shù)據(jù)處理活動、數(shù)據(jù)權益、數(shù)據(jù)保護和利用、政務數(shù)據(jù)開放共享、數(shù)據(jù)交易等方面從法律層面進行規(guī)制，指導實踐活動。

數(shù)據(jù)安全保護升級

在王巖飛看來，當前數(shù)據(jù)開發(fā)利用的過程中凸顯了很多前沿的法律問題，比如數(shù)據(jù)產權制度、數(shù)據(jù)產權保護和利用機制、數(shù)據(jù)隱私保護制度、政府數(shù)據(jù)開放共享以及數(shù)據(jù)交易等方面。

這也是一個全球性難題。為此，世界各國和地區(qū)相繼出臺了相關的保護數(shù)據(jù)安全與數(shù)據(jù)隱私的法律法規(guī)。歐盟出臺了通用數(shù)據(jù)保護條例（The General Data Protection Regulation，簡稱GDPR），對企業(yè)收集、控制和處理個人數(shù)據(jù)的方式做出了嚴格規(guī)范，如果違反GDPR，企業(yè)將面臨高達2000萬歐元或全球年營業(yè)額4%（兩者取其高）的巨額罰款;美國出臺了相關數(shù)據(jù)保護法——加利福尼亞消費者隱私法案（CCPA），根據(jù)規(guī)定，罰款金額范圍定在按受影響用戶人數(shù)計，一個擁有百萬級用戶賬戶的網絡服務很可能因違規(guī)被罰款至倒閉。

我國的《數(shù)據(jù)安全法》旨在通過數(shù)據(jù)分類分級管理、數(shù)據(jù)安全審查、數(shù)據(jù)安全風險評估、監(jiān)測預警和應急處置等基本制度，以總體國家安全為出發(fā)點和落腳點保障國家數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，為有效應對數(shù)據(jù)這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn)提供了法律依據(jù)。

據(jù)了解，《數(shù)據(jù)安全法》可能與網絡安全法、個人信息保護法（草案）一起，共同構成我國網絡安全體系建設中的關鍵立法，為后續(xù)的網絡和數(shù)據(jù)安全以及數(shù)據(jù)流動奠定基礎?！啊稊?shù)據(jù)安全法》是我國信息數(shù)據(jù)立法的關鍵立法，我國正在建設完備的數(shù)據(jù)信息安全體系，未來將以三部法律（前述三部）為核心來推進網絡安全體系建設。三者相輔相成，互為補充，數(shù)據(jù)安全法主要規(guī)范數(shù)據(jù)處理活動和數(shù)據(jù)開發(fā)利用，保障數(shù)據(jù)安全?！敝心县斀浾ù髮W數(shù)字經濟研究院執(zhí)行院長、教授盤和林說。

“可以說，《數(shù)據(jù)安全法》對于所有領域的數(shù)據(jù)處理活動都有規(guī)范，但主要還是對于涉及數(shù)據(jù)敏感、數(shù)據(jù)量大的行業(yè)具有重要影響?！蓖鯉r飛表示，互聯(lián)網企業(yè)、金融領域是敏感數(shù)據(jù)集中、數(shù)據(jù)量巨大的行業(yè)，《數(shù)據(jù)安全法》要求這類領域的企業(yè)和機構要做好全方位合規(guī)工作，包括商業(yè)模式合規(guī)、分類分級數(shù)據(jù)管理、嚴格數(shù)據(jù)出境審查、加強技術和計算機系統(tǒng)方面的有效措施、建立健全全流程數(shù)據(jù)安全管理制度、組織開展數(shù)據(jù)安全教育培訓、設置完善應急措施、進行定期風險評估，等等，否則將面臨行政處罰或者刑事責任。

在盤和林看來，由于傳統(tǒng)金融業(yè)一直重視風控體系，所以，《數(shù)據(jù)安全法》的發(fā)布只是通過外部規(guī)范加強了數(shù)據(jù)管理，影響不大。相應的，這部法律對于數(shù)據(jù)基礎行業(yè)，比如數(shù)據(jù)清洗、數(shù)據(jù)處理、數(shù)據(jù)存儲和管理、數(shù)據(jù)預標注、數(shù)據(jù)第三方將產生較大影響。

安全與利用求平衡

因其收集數(shù)據(jù)的規(guī)模和內容的敏感性，公共領域的數(shù)據(jù)收集和利用也頗值得關注。如何平衡開發(fā)利用和安全保護頗具挑戰(zhàn)性。

“隨著政府信息化建設，政務數(shù)據(jù)統(tǒng)一管理和數(shù)據(jù)開放成為監(jiān)管趨勢?！蓖鯉r飛表示，但電子政務系統(tǒng)的建設維護、政務數(shù)據(jù)的存儲加工，很多都是委托專業(yè)機構實施的。

正是基于此，《數(shù)據(jù)安全法》從政務數(shù)據(jù)安全的層面對數(shù)據(jù)的收集、安全管理、委托他人存儲和加工以及向他人提供政務數(shù)據(jù)的行為進行了規(guī)范?！皩φ諗?shù)據(jù)安全與開放進行了規(guī)定，推動了政務數(shù)據(jù)的開放?！崩類劬龔娬{。

在具體實踐層面，政務數(shù)據(jù)系統(tǒng)建設和利用時還涉及政企合作。目前，在智慧城市和政務數(shù)據(jù)建設中，有很多政企數(shù)據(jù)融合互通的模式。王巖飛表示，在這方面，政府部門在政務數(shù)據(jù)向企業(yè)開放時，要明確數(shù)據(jù)權屬，制定和落實管控制度，對于企業(yè)利用政務數(shù)據(jù)商業(yè)化運作的模式要設置合法合規(guī)性審查，還要嚴格對企業(yè)再次轉讓共享政務數(shù)據(jù)進行監(jiān)管，避免政務數(shù)據(jù)開放中的違法違規(guī)行為。

“可以考慮推進數(shù)據(jù)管理綜合第三方。第三方可以是企業(yè)，也可以是政府主導。此舉既可以解決公共數(shù)據(jù)的外部性管理難題，也能將數(shù)據(jù)所有權和管理權分離，便于外部監(jiān)管?！北P和林建議。相比跨機構的監(jiān)管，盤和林更擔心數(shù)據(jù)在機構內部的“濫用”風險以及相關監(jiān)管的缺位?！啊稊?shù)據(jù)安全法》更加強調數(shù)據(jù)的公共性，對數(shù)據(jù)進行分級，對數(shù)據(jù)使用進行監(jiān)管，但數(shù)據(jù)使用在企業(yè)內部是比較封閉的狀態(tài)，外部監(jiān)管如何滲透到企業(yè)內部數(shù)據(jù)使用是一個難點?！彼麖娬{說。

讓數(shù)據(jù)為人服務

《數(shù)據(jù)安全法》絕非一部“冷冰冰的條文”，多可見人性化的規(guī)定。比如《數(shù)據(jù)安全法》第十五條規(guī)定，國家支持開發(fā)利用數(shù)據(jù)提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

“從政府層面講，此條規(guī)定主要在于保障老年人、殘疾人平等地享受公共服務，一方面可見立法者重視平等、公平，另一方面也體現(xiàn)了人性立法?！蓖鯉r飛表示，其實不僅是公共服務領域，當前，國家在推行信息化建設，各地均在建設智慧城市，商業(yè)環(huán)節(jié)中互聯(lián)網化程度越來越高，在商業(yè)環(huán)節(jié)中杜絕一刀切的信息化，考慮老年人、殘疾人以及落后地區(qū)群眾的基本條件和特點也有必要?！袄纾皇遣荒軓娭剖褂眯畔⒒a品，比如餐飲消費環(huán)節(jié)中不能強制掃碼點餐，不能強制網絡支付等等;二是在產品設計時應考慮老年人、殘疾人等的特點，針對特點設計產品或者產品中的服務技術?！彼忉屨f。

與顯性的“適老設計”同樣重要的是一些隱形的規(guī)則?！稊?shù)據(jù)安全法》第八條規(guī)定，開展數(shù)據(jù)處理活動，應當遵守法律、法規(guī)，尊重社會公德和倫理。第二十八條規(guī)定，開展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術，應當有利于促進經濟社會發(fā)展，增進人民福祉，符合社會公德和倫理?！斑@種合規(guī)不僅包括合法，還包括涉及社會公德和倫理的問題，部分情形混合著違法違規(guī)行為，而部分情形僅是社會公德和倫理問題。比如AI倫理問題、大數(shù)據(jù)‘殺熟、消費歧視、個人信息財產權益定價問題等。對于數(shù)據(jù)處理活動，應對數(shù)據(jù)分析和產品設計添加社會公德和倫理審查環(huán)節(jié)，避免投入市場后才發(fā)現(xiàn)違反社會公德和倫理，《數(shù)據(jù)安全法》對于社會公德和倫理的合規(guī)要求，也有利于新興問題中的法律適用?！蓖鯉r飛強調說。

當然，上述法律在具體執(zhí)行層面還亟待細則的不斷完善。李愛君提醒，《數(shù)據(jù)安全法》彌補了我國有關“數(shù)據(jù)”為規(guī)范客體的法律空白，但要讓其中的規(guī)范真正發(fā)揮其立法目標，還要制定具體的標準，如重要數(shù)據(jù)的標準、數(shù)據(jù)交易具體規(guī)制、數(shù)據(jù)治理的內容等。