國內外數(shù)據(jù)安全治理現(xiàn)狀綜述

邵晶晶 韓曉峰

(國防大學國際防務學院 北京 102200)

數(shù)據(jù)是新的生產要素，是基礎性戰(zhàn)略資源.數(shù)字經濟的蓬勃發(fā)展正在深刻改變國際經濟格局.據(jù)統(tǒng)計，2019年全球數(shù)字貿易(出口)規(guī)模達31 925.9億美元，在服務貿易中的占比上升至52%，在全部貿易中的占比上升至12.9%[1].同期，我國數(shù)字經濟增加值規(guī)模達到35.8萬億元，在GDP中占比達到36.2%[2].據(jù)國際數(shù)據(jù)公司(IDC)預測，2025年全球數(shù)據(jù)量將高達175 ZB.其中，中國數(shù)據(jù)量將增至48.6 ZB，占全球數(shù)據(jù)量的27.8%，將成為全球最大的數(shù)據(jù)圈[3].數(shù)字經濟越發(fā)展，安全問題就越突出，日益成為國家治理和全球治理的重要議題.在此背景下，世界各國紛紛采取行動，從戰(zhàn)略規(guī)劃、政策制定、立法執(zhí)法等多個維度入手，形成了各具特色的治理理念和治理方案，對于完善我國數(shù)據(jù)安全治理體系、打造網(wǎng)絡空間命運共同體具有重要借鑒意義.

1 數(shù)據(jù)安全國家戰(zhàn)略規(guī)劃

國家數(shù)據(jù)戰(zhàn)略是國家數(shù)據(jù)安全治理的頂層設計.近年來，世界主要大國和國際組織相繼出臺具有戰(zhàn)略規(guī)劃性質的文件，用于指導本國(地區(qū)組織)數(shù)字經濟發(fā)展和數(shù)據(jù)安全治理.重點國家(地區(qū)組織)數(shù)據(jù)安全國家戰(zhàn)略規(guī)劃情況如圖1所示：

圖1 重點國家(地區(qū)組織)數(shù)據(jù)安全國家戰(zhàn)略規(guī)劃情況

1.1 歐洲致力于塑造“更加安全的數(shù)字未來”

歐盟委員會于 2020 年發(fā)布《歐洲數(shù)據(jù)保護監(jiān)管局戰(zhàn)略計劃(2020—2024)——塑造更加安全的數(shù)字未來》，圍繞后疫情時代數(shù)字經濟轉型帶來的各種挑戰(zhàn)，如市場集中、虛假信息、平臺壟斷等，提出歐洲的數(shù)據(jù)戰(zhàn)略.計劃提升歐洲在網(wǎng)絡標準制定方面的話語權，強調“未來10年，工業(yè)數(shù)據(jù)競爭將十分激烈，歐洲要在其中發(fā)揮領導作用，對當前正在實行的互聯(lián)網(wǎng)重要協(xié)議和標準進行重新修訂”；強調推動實現(xiàn)基于歐洲共同價值觀的“數(shù)字主權”“把歐洲產生的數(shù)據(jù)轉換為歐洲公司和個人的價值，并根據(jù)歐洲價值觀進行處理”；高度重視新興技術快速發(fā)展背景下的隱私和數(shù)據(jù)信息保護，強調“在部署數(shù)字技術時，對于不尊重個人信息保護、隱私權以及《歐盟基本權利憲章》所規(guī)定的其他權利和公民自由的行為，將向歐盟機構和公眾發(fā)出警示”；高度重視信息基礎設施供應鏈安全，強調“最大程度地減少對通信和軟件服務壟斷供應商的依賴，并與歐盟其他機構和公共管理部門達成一致.”[4]

1.2 美國致力于維護其世界領導地位

美國發(fā)布《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動計劃》，以2020年為起點，描述了美國聯(lián)邦政府未來10年的數(shù)據(jù)發(fā)展愿景，其核心目標是將數(shù)據(jù)作為戰(zhàn)略資產加以利用.從企業(yè)數(shù)據(jù)治理，訪問、使用和擴充，決策和問責制，商業(yè)化、創(chuàng)新和公共使用4個方面明確了使命愿景和實現(xiàn)途徑，明確了10項框架原則和40項數(shù)據(jù)管理實踐.該戰(zhàn)略與《數(shù)據(jù)科學戰(zhàn)略計劃》(2018)、《美國國家網(wǎng)絡戰(zhàn)略》(2018)、《美國先進制造業(yè)領導力戰(zhàn)略》(2018)等聯(lián)邦戰(zhàn)略互為補充，致力于“維護全球數(shù)字化轉型背景下的數(shù)字領導地位.”[5]

1.3 中國致力于推進網(wǎng)絡強國建設

2018年4月，習近平總書記在全國網(wǎng)絡安全和信息化工作會議上深入闡述了網(wǎng)絡強國戰(zhàn)略思想.“十三五”規(guī)劃中明確提出了“互聯(lián)網(wǎng)+”行動計劃.“十四五”規(guī)劃強調提高發(fā)展數(shù)字經濟、加快培育發(fā)展數(shù)據(jù)要素市場，應把保障數(shù)據(jù)安全放到突出位置[6].2021年7月12日，工業(yè)和信息化部(以下簡稱“工信部”)在其官網(wǎng)發(fā)布了《網(wǎng)絡安全產業(yè)高質量發(fā)展3年行動計劃(2021—2023年)(征求意見稿)》，強調網(wǎng)絡安全產業(yè)作為新興數(shù)字產業(yè)，是維護國家網(wǎng)絡空間安全和發(fā)展的網(wǎng)絡安全技術、產品生產和服務活動，是建設制造強國和網(wǎng)絡強國的基礎保障.

此外，澳大利亞、日本、韓國等也相繼出臺戰(zhàn)略規(guī)劃，用于指導本國數(shù)字經濟發(fā)展和數(shù)據(jù)安全保護.

2 個人信息保護

個人信息保護向來是數(shù)據(jù)治理的重要方面，目前全球共有127個國家制定了個人信息保護相關法律.重點國家(地區(qū)組織)個人信息保護立法情況如圖2所示：

圖2 重點國家(地區(qū)組織)個人信息保護立法

2.1 歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)為全球個人信息保護樹立典范

歐盟GDPR于2018年5月在歐盟全體成員國正式生效，強調自然人的個人數(shù)據(jù)保護權，是當前全球個人信息和數(shù)據(jù)保護方面最具代表性的立法成果，對其他國家的個人信息和數(shù)據(jù)保護制度建設具有明顯示范作用.中國、日本、新加坡等眾多國家均參照歐盟GDPR制定或修訂本國的數(shù)據(jù)保護法規(guī).該條例自生效以來，便以執(zhí)行嚴格著稱.截至2021年7月，罰款總額累計達到2.9億多美元，其中，僅針對Google的1項罰款，就達到5 000萬美元.2021年7月16日，盧森堡數(shù)據(jù)保護局決定，因Amazon違反歐盟GDPR規(guī)定，擬對其處以8.88億美元罰款.如果Amazon上訴失敗，這有可能是歐盟數(shù)據(jù)保護機構依據(jù)歐盟GDPR開出的最大罰單.總體上看，歐盟GDPR處罰事由按數(shù)量排名前3的分別是：1)未采取有效措施導致嚴重數(shù)據(jù)泄露；2)超過必要程度收集、處理、存儲用戶信息；3)未依法報告數(shù)據(jù)泄露事件[7].

2.2 美國個人信息保護相對靈活寬松

美國迄今沒有聯(lián)邦層次的個人信息保護法律，但美國各州個人信息保護立法穩(wěn)步推進.其中，最出名的是2018年6月頒布的《加州消費者隱私保護法》(以下簡稱CCPA).雖然只是一部州法案，但由于加州是Amazon,Google,Apple等世界互聯(lián)網(wǎng)巨頭的總部所在地，因此自然賦予該法案以世界影響力.CCPA規(guī)定，消費者在個人信息收集過程中享有知情權，擁有選擇其個人信息不被出售的決定權；禁止企業(yè)在未經本人授權情況下出售16歲以下未成年人的信息，而對于未滿13歲的未成年人，則需要獲得其父母的同意.2020年11月3日，加州全民公投通過了CCPA的修正案——《加州隱私權與執(zhí)法法案》(以下簡稱CPRA)，增加了更正不準確信息的權利，即更正權，以及限制使用和披露敏感個人信息的權利.2021年8月，美國統(tǒng)一法律委員會(ULC)通過了《統(tǒng)一個人數(shù)據(jù)保護法》(UPDPA)，旨在為各州隱私立法提供范本.該示范法對個人信息的保護很有限，并對假名數(shù)據(jù)提供了廣泛的豁免.

美國CCPA及其修正案CPRA與歐盟GDPR在個人信息收集方面的顯著區(qū)別是，CCPA和CPRA采用“默示同意”(opt-out)模式，即默認用戶同意數(shù)據(jù)收集方利用個人信息或與第三方分享的行為，只有以明示的方式表示“不允許”，才能阻止其個人信息被利用.而歐盟GDPR采用“明示同意”(opt-in)模式，也就是默認用戶不同意，只有在明確表示同意的情況下，才能使用用戶信息[8].這樣看來，美國CCPA和CPRA要比歐盟GDPR寬松靈活得多.

2.3 我國個人信息保護立法堅持走“寬嚴相濟”的中間道路

近年來，我國個人信息保護立法進展明顯.2013年工信部出臺《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，明確了電信業(yè)務經營者、互聯(lián)網(wǎng)信息服務提供者收集、使用用戶個人信息的規(guī)則.2016年《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)把個人信息保護納入網(wǎng)絡安全保護范疇，明確規(guī)定了違反個人信息保護應負的法律責任.2021年8月21日，全國人大常委會表決通過了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，這是我國首部針對個人信息保護的專門性立法.其主要亮點包括：一是明確立法依據(jù)是憲法中關于“尊重和保障人權，公民的人格尊嚴不受侵犯，公民的通信自由和通信秘密受法律保護”；二是進一步完善個人信息處理原則，即合法、正當、必要和誠信等，特別針對應用程序過度收集個人信息、“大數(shù)據(jù)殺熟”等作出有針對性的規(guī)范；三是完善個人信息跨境提供的規(guī)則；四是明確了敏感個人信息處理規(guī)則.

我國的《個人信息保護法》與歐盟以及美國模式有顯著不同.從嚴格程度上講，介于二者之間，采取“寬嚴相濟”的立法模式，探索出第3條個人信息保護路徑.在保護路徑上，從單一賦權模式轉變?yōu)槎嘣Ｗo模式，即在明確個人在個人信息處理中的權利的基礎上，采取行政干預方式，對涉及國家機關的個人信息處理者進行行為規(guī)制[9].

在個人信息保護立法浪潮推動下，世界其他國家也加快了相關立法步伐.巴西和印度分別于2018年和2019年通過了《個人數(shù)據(jù)保護法》.新西蘭出臺了《2020年隱私法》.日本和新加坡分別完成了本國《個人信息(數(shù)據(jù))保護法》的修訂.加拿大推出《數(shù)字憲章實施法案2020》，強調保護私營部門個人信息.

3 數(shù)據(jù)跨境流動監(jiān)管

數(shù)據(jù)跨境流動向來是數(shù)據(jù)安全治理領域較為敏感、復雜的問題.各國從維護國家安全、產業(yè)安全、個人安全考慮，制定了很多監(jiān)管法規(guī).重點國家(地區(qū)組織)數(shù)據(jù)跨境流動監(jiān)管情況如圖3所示：

圖3 重點國家(地區(qū)組織)數(shù)據(jù)跨境流動監(jiān)管情況

1) 歐盟《一般數(shù)據(jù)保護條例》(GDPR)明確數(shù)據(jù)跨境流動4條途徑.

該條例于2018年5月生效，是當前數(shù)據(jù)安全領域規(guī)定最完備、對個人隱私保護標準最高的一部法規(guī).對于跨境數(shù)據(jù)流動，歐盟GDPR設置了嚴苛的標準，主要包括4個方面：

一是基于“充分保護決議”進行數(shù)據(jù)跨境傳輸.如果第三國或國際組織能夠證明自己在個人數(shù)據(jù)保護方面達到了“充分”程度，即與歐盟相當，就可以向其傳輸數(shù)據(jù)，無需特別授權.相當于把這些國家放進了“白名單”，目前進入該名單的只有英國、阿根廷、以色列等14個非歐盟國家和地區(qū).

二是基于“標準數(shù)據(jù)保護條款”進行數(shù)據(jù)跨境傳輸.如果相關國家達不到“充分保護”標準，那么進行數(shù)據(jù)跨境傳輸?shù)墓疽部梢圆捎脷W盟制定的標準合同，將數(shù)據(jù)保護的相關條款納入其中并嚴格遵守.

三是基于“約束性企業(yè)原則”進行數(shù)據(jù)跨境傳輸.如果所在國家達不到“充分”標準，企業(yè)如果能夠滿足這些原則，也可以參與跨境數(shù)據(jù)傳輸.

四是特定情形下的數(shù)據(jù)跨境傳輸.包括數(shù)據(jù)主體同意，出于訂立和履行合同需要、司法需要以及保護重大利益需要等.

2) 美國“云法案”(The Clarifying Lawful Overseas Use of Data Act，CLOUD Act)確保美國在數(shù)據(jù)跨境流動方面占據(jù)優(yōu)勢.

該法案有2條重要規(guī)定：

一是“數(shù)據(jù)控制者標準”.無論通信內容、記錄或其他信息是否存儲在美國境內，服務提供者均應保存、備份、披露通信內容、記錄或其他信息，只要上述通信內容、記錄或其他信息為該服務提供者所擁有、監(jiān)管或控制.根據(jù)該規(guī)定，如果美國政府想調查某人，只要他(她)的個人信息掌握在美國通信公司手中，哪怕服務器在歐洲，這家美國公司就是“數(shù)據(jù)控制者”，必須配合美國政府提供該人的數(shù)據(jù).該規(guī)定也被稱為數(shù)據(jù)領域的“長臂管轄”.

二是“符合資格的外國政府”認定.如果外國政府想從美國獲取個人信息，必須符合相應條件：①特定外國政府也給予美國對等待遇，即允許美國直接向其服務提供者發(fā)出內容數(shù)據(jù)的調取命令；②數(shù)據(jù)調取的主要直接對象不應是美國人，也不應是位于美國境內的人；③調取命令的范圍必須被嚴格限定；④該國必須符合一定的人權保護與隱私保護要求[10].

歐盟為抗衡美國的“云法案”，也公布了《電子證據(jù)提案》.該提案允許歐盟執(zhí)法機構直接調取在歐洲運營的企業(yè)存儲在歐盟境外的數(shù)據(jù).2019年澳大利亞政府通過《電信和其他法律關于協(xié)助和準入的修正案》，明確其管轄對象包括位于澳大利亞境外的主體.

3) 我國明確“境內存儲”和“安全評估”2大原則.

我國向來重視數(shù)據(jù)安全.2017年12月，習近平總書記在中央政治局就實施國家大數(shù)據(jù)戰(zhàn)略進行第2次集體學習時強調：“要切實保障國家數(shù)據(jù)安全”[11].《中華人民共和國國家安全法》《中華人民共和國保守國家秘密法》《網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)以及《個人信息保護法》等法律，從維護國家安全高度明確了數(shù)據(jù)跨境流動的指導原則，即“境內存儲”和“安全評估”.《個人信息保護法》在2大原則基礎上，增加了“個人信息保護認證”和“標準合同”2項規(guī)定.2021年7月2日，網(wǎng)絡安全審查辦公室發(fā)布公告，對“滴滴出行”APP啟動網(wǎng)絡安全審查，其核心關切是赴美上市公司可能帶來的數(shù)據(jù)跨境流動風險.

4) 部分國家通過雙多邊協(xié)議推動數(shù)據(jù)跨境流動.

歐盟GDPR框架下的“充分保護決議”就是典型代表.此外，2018年12月，美國、墨西哥、加拿大簽訂《美墨加協(xié)議》，在數(shù)據(jù)存儲非本地化部分提出了“監(jiān)管例外”和“公共安全例外”條款，大力推動數(shù)據(jù)跨境流動.這2項條款也成為美國向全球推行數(shù)據(jù)自由流動的樣板.此外，美國還通過亞太經合組織框架下的“跨境隱私規(guī)則體系”(CBPRs)，不斷推動多邊數(shù)據(jù)跨境流動.2020年11月，中國與東盟國家、澳大利亞、新西蘭等國簽署的《區(qū)域全面經濟伙伴關系協(xié)定》(RCEP)規(guī)定，不得阻止為商業(yè)目的而進行電子方式的跨境信息傳輸(政府在符合“非歧視”和“必需”條件下，也可基于公共政策和基本安全利益而采取限制措施.)，標志著我國向區(qū)域數(shù)據(jù)自由流動方面邁出了重要一步.

4 數(shù)字市場治理

隨著數(shù)字經濟的發(fā)展，互聯(lián)網(wǎng)平臺日益成為重要的市場主體.一方面，這些平臺是用戶個人數(shù)據(jù)的持有者、管理者、處理者，需要對其行為進行有效規(guī)制，確保用戶數(shù)據(jù)信息受到應有保護；另一方面，互聯(lián)網(wǎng)公司之間也存在同業(yè)競爭問題，維護市場秩序、遏制壟斷等不正當行為，是數(shù)字市場治理的重要內容.重點國家(地區(qū)組織)數(shù)據(jù)市場治理情況如圖4所示:

4.1 治理數(shù)據(jù)濫用、販賣行為

隨著商業(yè)推廣、精準營銷等手段的興起，利用數(shù)據(jù)支撐經營模式創(chuàng)新已成為互聯(lián)網(wǎng)平臺成功的關鍵，但同時也帶來數(shù)據(jù)過度抓取、過度索權、信息濫用、非法販賣(轉移)等嚴重問題.

4.1.1 規(guī)制數(shù)據(jù)濫用行為

歐盟GDPR規(guī)定，收集和處理個人數(shù)據(jù)，必須堅持數(shù)據(jù)最小化、目的限制、存儲限制以及合法性、公平性和透明性等原則.我國《個人信息保護法》也規(guī)定，處理個人信息應遵循合法、正當、必要原則，應當限于實現(xiàn)目的的最小范圍，任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息.在完善立法的同時，我國還不斷加大執(zhí)法力度.2019年1月，中央網(wǎng)信辦聯(lián)合工信部、公安部、國家市場監(jiān)督總局啟動“APP違法違規(guī)收集使用個人信息專項治理”工作，工信部也先后啟動“電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案”“APP侵害用戶權益專項整治行動”，重點整治APP違規(guī)收集、使用個人信息，超范圍收集個人信息，強制用戶使用定向推送功能，強制、頻繁、過度索取權限，頻繁自啟動和關聯(lián)啟動等行為.2020年，4部門再次出手，開展APP違法違規(guī)收集使用個人信息專項治理工作.2020年8月，工信部發(fā)布公告，對騰訊、攜程等43款APP違規(guī)調用通信錄、位置信息以及開屏彈窗騷擾用戶等問題進行通報，并限期整改.

4.1.2 規(guī)制數(shù)據(jù)非法販賣(轉移)行為

近年來，隨著數(shù)字經濟發(fā)展，數(shù)據(jù)作為關鍵生產要素的價值不斷提高，個人數(shù)據(jù)倒賣現(xiàn)象十分猖獗，已成為大數(shù)據(jù)產業(yè)的灰色地帶.我國嚴禁數(shù)據(jù)非法販賣，《個人信息保護法》明確規(guī)定，不得非法買賣、提供或者公開他人個人信息.與此同時，司法機構的懲治力度也在不斷加強.2020年5月，江蘇警方破獲一起公安部督辦的特大“暗網(wǎng)”侵犯公民個人信息案，抓獲犯罪嫌疑人27名，查獲被售賣的公民個人信息數(shù)據(jù)5 000萬余條，有效震懾了數(shù)據(jù)非法販賣行為[12].2021年1月，江蘇省儀征市人民法院發(fā)布一則刑事判決書，判處北京智借網(wǎng)絡科技有限公司罰金320萬元，案由是該公司在未取得受害人同意的情況下，向下游多家公司出售姓名、身份證號、手機號在內的個人信息，嚴重侵犯公民個人信息，買方涉及多家公司，如平安普惠、拍拍貸等[13].

美國對非法轉移數(shù)據(jù)問題曾開出天價罰單.從2015年起，F(xiàn)acebook將5 000萬用戶的個人信息分享給英國政治分析公司“劍橋分析”，用于幫助后者了解用戶偏好，并通過定向推送影響用戶在政治領域的投票.2018年12月，F(xiàn)acebook遭到起訴.2020年4月，該公司接受和解協(xié)議，認罰50億美元，成為美國聯(lián)邦貿易委員會有史以來最大的一筆罰款[14].

4.2 治理算法侵權問題

隨著智能化技術的廣泛應用，算法在互聯(lián)網(wǎng)平臺中的滲透力和影響力日趨強大，同時也帶來了算法濫用、算法黑箱、大數(shù)據(jù)殺熟等問題.

4.2.1 提高算法透明度

美國計算機協(xié)會于2017年1月發(fā)布了《算法透明性和可問責性聲明》，提出使用算法的機構應采取嚴格的方法驗證算法模型并將測試結果公開，同時鼓勵機構對算法所遵循的程序以及作出的特定決策進行解釋.2019年4月，歐洲議會未來與科學和技術小組(STOA)發(fā)布了《算法責任與透明治理框架》，提出將責任治理和算法透明當作解決算法公平問題的工具，同時指出算法透明并非對算法的每個步驟、算法的技術原理和實現(xiàn)細節(jié)的解釋，簡單公開算法系統(tǒng)的源代碼難以提供有效的透明度，反而可能威脅數(shù)據(jù)隱私或影響技術的安全應用[7].我國的算法治理強調用戶對算法推薦結果的知情和自主選擇權.2019年5月28日，中央網(wǎng)信辦發(fā)布了《數(shù)據(jù)安全管理辦法(征求意見稿)》，明確規(guī)定網(wǎng)絡運營者在利用用戶數(shù)據(jù)和算法推送商業(yè)廣告等時，應以明顯方式表明“定推”字樣，并為用戶提供停止接受定向推送信息的功能.《個人信息保護法》規(guī)定：“個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，……個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定.”2021年8月27日，中央網(wǎng)信辦發(fā)布《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定(征求意見稿)》，要求算法推薦服務提供者向用戶提供不針對其個人特征的選項，或者向用戶提供便捷的關閉算法推薦服務的選項.

4.2.2 強化算法問責

2019年4月，美國國會引入《2019年算法問責法案》，指導聯(lián)邦貿易委員會對相關實體使用的自動決策系統(tǒng)進行評估，并對侵犯消費者隱私和安全的算法進行問責.近年來，我國在處理APP侵權尤其是“大數(shù)據(jù)殺熟”方面取得顯著成效.2021年7月7日，我國首個“大數(shù)據(jù)殺熟”案在浙江宣判，被告攜程公司須依據(jù)判決“退一賠三”，同時糾正其“二選一”行為[15].2021年8月，有關禁止“大數(shù)據(jù)殺熟”的規(guī)范被寫入《個人信息保護法》，規(guī)定“不得對個人在交易價格等交易條件上實行不合理的差別待遇.”

4.2.3 提倡算法倫理

歐美國家十分重視算法倫理建設.2019年，美國修訂了《國家人工智能研究與發(fā)展戰(zhàn)略計劃》,提出研究人工智能的倫理、法律和社會影響，以及開發(fā)設計符合倫理、法律和社會目標的人工智能系統(tǒng)的方法.2018年4月，歐盟委員會發(fā)布的政策文件《歐盟人工智能》提出：人工智能應堅持以人為本的價值觀，人工智能技術需要朝著有益于個人和社會的方向發(fā)展.2018年4月,英國議會發(fā)布《英國人工智能發(fā)展計劃、能力與志向》,明確“人工智能不應用于削弱個人、家庭乃至社區(qū)的數(shù)據(jù)權利或隱私”等5項人工智能基本道德準則.我國高度重視人工智能倫理道德問題.2019年6月，國家新一代人工智能治理專業(yè)委員會發(fā)布《新一代人工智能治理原則——發(fā)展負責任的人工智能》，明確提出和諧友好、公平公正、包容共享等8項原則，特別強調“人工智能發(fā)展應以增進人類共同福祉為目標；應符合人類的價值觀和倫理道德.”[16]2021年發(fā)布的《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定(征求意見稿)》，要求不得設置誘導用戶沉迷或者高額消費等違背公序良俗的算法模型，不得將違法和不良信息關鍵詞計入用戶興趣點，不得設置歧視性或者偏見性用戶標簽.

4.3 治理壟斷行為

互聯(lián)網(wǎng)平臺公司的龐大體量和運作模式，使其經常游走于壟斷的邊緣，因此也成為互聯(lián)網(wǎng)治理和數(shù)據(jù)安全治理的重點對象.

4.3.1 歐盟堅持對互聯(lián)網(wǎng)平臺壟斷行為實行強監(jiān)管

2020年12月15日，歐盟發(fā)布了旨在遏制大型網(wǎng)絡平臺不正當競爭行為的《數(shù)字服務法案》和《數(shù)字市場法案》.其中，《數(shù)字服務法案》要求互聯(lián)網(wǎng)平臺，尤其是超大型平臺負擔繁重的安全管理、透明度義務；《數(shù)字市場法案》明確了針對大型互聯(lián)網(wǎng)平臺的“守門人”義務，如“允許平臺的商業(yè)用戶在平臺之外推廣產品、簽訂合約”“禁止利用商家數(shù)據(jù)與商家開展競爭”等，對于企業(yè)違規(guī)行為，2部法案也都設置了嚴苛的處罰，最高處罰金額分別高達全球年營業(yè)額6%和10%.近4年來，Google，Amazon，F(xiàn)acebook，Apple等科技巨頭在全球范圍內遭到反壟斷調查，其中歐盟自2017—2019年連續(xù)3年對Google進行反壟斷處罰，累計金額超過90億美元[17].

4.3.2 美國對互聯(lián)網(wǎng)平臺反壟斷監(jiān)管逐步趨緊

美國沒有專門針對互聯(lián)網(wǎng)平臺制定反壟斷相關法律，主要結合數(shù)字經濟特點對原有工業(yè)時代的《反托拉斯》《克萊頓法》《聯(lián)邦貿易委員會法》進行修正，并將反壟斷法的適用范圍向數(shù)字經濟延伸；在懲罰力度和執(zhí)法手段上，以和解為主，與歐盟高額罰款措施形成鮮明對比[18].多年來，美國對互聯(lián)網(wǎng)公司采取較為寬松的監(jiān)管政策，但自2019年以來，形勢發(fā)生大幅轉變，標志性事件是對4大數(shù)字平臺(Google,Amazon,Facebook,Apple)展開的反壟斷調查.2020年12月9日，美國聯(lián)邦貿易委員會和48個州及地區(qū)總檢察長對Facebook發(fā)起反壟斷訴訟，指控該公司通過長達數(shù)年的不當競爭行為，非法維持其在個人社交網(wǎng)絡領域的壟斷地位，該案至今仍在審理之中[19].

4.3.3 中國針對互聯(lián)網(wǎng)平臺的反壟斷監(jiān)管取得長足進步

2019年，《禁止壟斷協(xié)議暫行規(guī)定》《禁止濫用市場支配地位行為暫行規(guī)定》《制止濫用行政權力排除、限制競爭行為暫行規(guī)定》3部反壟斷法配套章程正式落地，明確了市場份額認定的指標范圍，以及認定具有市場支配地位的特殊考慮因素，并對互聯(lián)網(wǎng)經濟中的“免費模式”進行了規(guī)范.2020年1月，國家市場監(jiān)督管理總局發(fā)布《〈反壟斷法〉修訂草案(公開征求意見稿)》.該草案首次將互聯(lián)網(wǎng)等新業(yè)態(tài)納入規(guī)制范圍，并新增了互聯(lián)網(wǎng)經營者市場支配地位認定標準.2020年11月10日，國家市場監(jiān)督管理總局發(fā)布了《關于平臺經濟領域的反壟斷指南(征求意見稿)》，認為互聯(lián)網(wǎng)平臺巨頭形成的壟斷抑制公平競爭，并明確提出加大對平臺經濟領域所有市場主體的反壟斷調查，如VIE架構、“二選一”等問題.2021年4月10日，國家市場監(jiān)督管理總局依法對阿里巴巴集團作出行政處罰決定，責令其停止違法行為，并處以其2019年中國境內銷售額4%的罰款，共計182.28億元[20].

5 數(shù)據(jù)內容管理

隨著網(wǎng)絡信息發(fā)布主體和傳播渠道日益多元化，暴恐、虛假以及不規(guī)范的內容不斷出現(xiàn)，嚴重威脅經濟社會安全穩(wěn)定.如何維護清朗的網(wǎng)絡環(huán)境，培育良好的網(wǎng)絡生態(tài)，已成為全球數(shù)據(jù)安全治理的重要議題.重點國家(地區(qū)組織)數(shù)據(jù)內容管理情況如圖5所示:

圖5 重點國家(地區(qū)組織)數(shù)據(jù)內容管理情況

5.1 重點治理暴恐、虛假內容

2019年3月15日，新西蘭克賴斯特撤奇發(fā)生槍擊案，行兇者在社交媒體上直播槍殺49人全過程，震驚全世界，推動世界各國采取行動治理網(wǎng)上暴恐視頻.澳大利亞、法國、德國、巴基斯坦、土耳其等國紛紛以立法或修正案形式，規(guī)定社交平臺義務報告、刪除涉嫌暴恐、謀殺、強奸等畫面.針對網(wǎng)上虛假信息，各國也紛紛通過立法進行規(guī)制.法國針對虛假信息干預選舉的問題專門通過了《反假信息操縱法》.俄羅斯立法打擊在網(wǎng)上傳播虛假信息和不尊重國家的言論.新加坡立法明確政府可以要求網(wǎng)絡運營者或個人刪除或移除虛假消息.2019年12月15日，中央網(wǎng)信辦正式發(fā)布《網(wǎng)絡信息內容生態(tài)治理規(guī)定》，對網(wǎng)絡信息內容生產者、網(wǎng)絡信息內容服務平臺、網(wǎng)絡信息內容使用者以及網(wǎng)絡行業(yè)組織在網(wǎng)絡信息內容中的權利和義務作出了明確的規(guī)定.2019—2020年，中央網(wǎng)信辦、工信部、公安部等部門，接連開展網(wǎng)上違法有害信息清理行動，重點清理低俗色情信息、虛假不良信息、網(wǎng)絡暴力內容等，嚴懲相關責任平臺和個人，持續(xù)凈化網(wǎng)絡環(huán)境.

5.2 強化平臺主體責任

長期以來，歐美國家對互聯(lián)網(wǎng)平臺企業(yè)在網(wǎng)絡信息內容方面的法律責任界定主要遵循以“通知-刪除”規(guī)則為核心的避風港原則和對顯而易見的違法內容應負責的“紅旗原則”.然而，近年來，隨著關于加強互聯(lián)網(wǎng)平臺責任的呼聲日益提高，部分國家正在嘗試通過立法強化平臺責任[7].澳大利亞通過《分享重大暴力內容》修正案，規(guī)定如果網(wǎng)絡服務提供商“在意識到重大暴力內容存在后的合理時間內”未能向澳大利亞聯(lián)邦警察局報告，或未能“確保將內容迅速刪除”，將被處以當年全球營業(yè)額10%的罰款.相關個人最高將面臨3年監(jiān)禁或210萬澳元罰款，或二者并罰.2018年，德國通過《改進社交網(wǎng)絡中法律執(zhí)行的法案》，大量違法內容未被刪除或屏蔽的社交媒體平臺，將面臨最高5 000萬歐元的巨額罰款.我國于2019年12月通過《網(wǎng)絡信息內容生態(tài)治理規(guī)定》，要求“網(wǎng)絡信息內容服務平臺應當履行信息內容管理主體責任.”

5.3 應對網(wǎng)上新興業(yè)態(tài)

近年來，我國針對網(wǎng)絡直播、短視頻、論壇社區(qū)等新興信息傳播媒介出臺了專門的管理規(guī)范.2018—2020年，中央網(wǎng)信辦先后發(fā)布了《微博客信息服務管理規(guī)定》《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務安全評估規(guī)定》《網(wǎng)絡音視頻信息服務管理規(guī)定》《區(qū)塊鏈信息服務管理規(guī)定》，以及《互聯(lián)網(wǎng)直播影響信息內容服務管理規(guī)定(征求意見稿)》等多項規(guī)定，明確各類傳播活動中信息服務提供者應當承擔的義務，禁止相關活動中出現(xiàn)虛假宣傳、誹謗等行為.為整治興起的“飯圈”亂象，2021年8月27日，中央網(wǎng)信辦發(fā)布《關于進一步加強“飯圈”亂象治理的通知》，提出10條整治措施，包括“嚴禁呈現(xiàn)互撕信息”“清理違規(guī)群組板塊”“強化節(jié)目設置管理”等內容.同日，中央網(wǎng)信辦啟動“清朗·移動應用程序PUSH彈窗突出問題專項整改”行動，重點治理網(wǎng)民反映強烈的移動應用程序PUSH彈窗違規(guī)推送、過濫推送等擾亂傳播秩序的問題.

6 對我國數(shù)據(jù)安全治理的建議

6.1 進一步完善法律體系，爭奪數(shù)字經濟領導權

隨著《數(shù)據(jù)安全法》和《個人信息保護法》的出臺，我國在數(shù)據(jù)安全領域已基本完成上位法架構，在指導思想、基本原則、重點領域上形成了較為明確的指向，但在指導具體落地的下位法規(guī)建設方面還相對欠缺，存在很多模糊地帶，與歐美國家存在較大差距.在數(shù)字經濟高速發(fā)展、中國即將成為全球最大數(shù)字市場之際，宜加快立法進度，構建起統(tǒng)籌安全與發(fā)展、相對完備的法律體系.一是完善數(shù)據(jù)安全治理配套法規(guī)制度建設.對標《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》，針對數(shù)據(jù)確權、責任界定、安全評估等重點難點問題，盡快出臺指導性和操作性強的下位法規(guī).二是建立健全數(shù)據(jù)安全保護標準規(guī)范.充分考慮我國數(shù)字經濟特點和特殊安全需求，結合具體領域、場景，邀請行業(yè)、企業(yè)深度參與，制定承接“地氣”、操作便捷、保障有力的標準規(guī)范和指南.三是加強企業(yè)數(shù)據(jù)安全制度建設.建立企業(yè)數(shù)據(jù)安全能力成熟度評估制度，即通過明確不同類型數(shù)據(jù)安全能力的成熟度要求，推動企業(yè)建立與數(shù)據(jù)類型和規(guī)模相匹配的數(shù)據(jù)安保能力.同時，建立企業(yè)數(shù)據(jù)流向監(jiān)管制度，鼓勵企業(yè)對追蹤數(shù)據(jù)使用情況及流向的工具開發(fā)和使用，使數(shù)據(jù)用途明晰化，并配合國家開展數(shù)據(jù)資源使用情況的追蹤調查[21].

6.2 深度參與全球數(shù)據(jù)治理，提升規(guī)則制定國際話語權

2020年1月，美國戰(zhàn)略與國際問題研究中心(CSIS)高級副總裁Matthew發(fā)表文章[22]表示:“是時候就數(shù)據(jù)治理達成一致了”，并認為，數(shù)據(jù)治理是全球經濟秩序的“第5個支柱”.前4個支柱分別是布雷頓森林體系的3個機構，以及20世紀70年代形成的能源相關安排.他還說：“誰在有關數(shù)據(jù)隱私和數(shù)據(jù)流的規(guī)則、標準和規(guī)范、技術標準、網(wǎng)絡安全以及關鍵技術的全球爭奪中獲勝，就將在2030年的經濟中擁有重大的競爭優(yōu)勢”[22]當前，在數(shù)字經濟領域，中美歐是3大核心力量，3方在全球數(shù)據(jù)規(guī)則制定方面的合作與博弈，將很大程度上決定未來數(shù)字經濟世界格局.一是加強數(shù)據(jù)安全治理影響力輸出.用好世界互聯(lián)網(wǎng)大會、“一帶一路”高峰論壇、中非合作論壇等主場外交，大力推廣以《全球數(shù)據(jù)安全倡議》為代表的中國主張、中國倡議，不斷擴大國際共識基礎.二是積極參與數(shù)字安全領域國際規(guī)則制定.發(fā)揮政府、國際組織、行業(yè)、企業(yè)、個人以及技術社群主體作用，參與國際標準、指南、規(guī)則制定，將中國理念融入世界方案.三是加強雙多邊交流合作.在當前中德、中俄、中阿(拉伯)、中國-東盟數(shù)據(jù)安全相關國際聲明、倡議基礎上，進一步加強對話磋商和談判，爭取盡早在數(shù)據(jù)跨境流動、本地化存儲、打造網(wǎng)絡空間命運共同體等方面進一步深化理解共識，形成制度安排，構建“區(qū)域數(shù)字經濟圈”，打造合作樣板，為引領國際規(guī)則制定奠定堅實基礎.

6.3 加強對新技術新應用的扶持監(jiān)管，搶占數(shù)字經濟治理新高地

隨著數(shù)字經濟的飛速發(fā)展，5G、人工智能、區(qū)塊鏈、生物識別、物聯(lián)網(wǎng)、自動駕駛、加密貨幣等新技術在各領域深度融合應用，不斷催生出各種新產品、新業(yè)態(tài)、新應用，在推進數(shù)字經濟邊界拓展和層級提高的同時，也帶來各種風險和問題，是各國立法和監(jiān)管部門面臨的共同難題.在這一背景下，各國爭相通過投資、立法和制度安排等方式，引導新技術新應用高速健康發(fā)展，在全球競爭中爭奪優(yōu)勢地位.鑒于當前中國在5G、人工智能、區(qū)塊鏈、生物識別等領域已進入全球第一梯隊，具備贏得未來競爭的強大潛質，建議在充分吸收借鑒世界各國成功經驗基礎上，結合我國實際，重點向以下2個方面聚焦用力：一是從國家戰(zhàn)略層面進一步加大扶持發(fā)展力度.著眼贏得數(shù)字經濟前沿領域大國博弈競爭，進一步完善我國在相關領域的發(fā)展戰(zhàn)略，同時緊盯相關領域全球競爭態(tài)勢，出臺年度報告或白皮書，隨時校正調整發(fā)展方向、建設重點和實施步驟，始終保持領先或領跑地位.二是重點通過指南等“軟指標”進行監(jiān)管.在新技術融合交織、發(fā)展迅速的背景下，政府部門往往難以使用統(tǒng)一的法律法規(guī)對新技術新應用進行監(jiān)管，不恰當?shù)牧⒎ūO(jiān)管不但達不到治理目標，還有可能限制產業(yè)發(fā)展.建議借鑒美歐等成功經驗，重點通過制定“指南”等“軟指標”規(guī)范引導新技術新應用發(fā)展，營造適度寬松發(fā)展環(huán)境，踐行安全與發(fā)展并重的指導思想.

總之，數(shù)據(jù)安全治理是國家治理體系和治理能力現(xiàn)代化建設的重要組成部分，是打造網(wǎng)絡強國、數(shù)字強國的必然要求，應當在充分吸收借鑒世界經驗的基礎上，大力發(fā)展融合中國智慧、滿足中國需求、對接世界發(fā)展的數(shù)據(jù)安全治理體系，推動網(wǎng)絡空間命運共同體建設行穩(wěn)致遠.