淺析中國(guó)工業(yè)數(shù)據(jù)安全保護(hù)的法律法規(guī)*

劉 曼，洪 晟

(1.北京航空航天大學(xué) 法學(xué)院，北京 100083；2.北京航空航天大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京 100083）

0 引言

數(shù)據(jù)已成為重要的生產(chǎn)要素之一[1]，中國(guó)視數(shù)據(jù)為經(jīng)濟(jì)的驅(qū)動(dòng)力，數(shù)據(jù)業(yè)已融入各個(gè)行業(yè)領(lǐng)域的數(shù)字化轉(zhuǎn)型進(jìn)程。工業(yè)數(shù)據(jù)在支撐工業(yè)經(jīng)濟(jì)各要素、產(chǎn)業(yè)鏈、價(jià)值鏈中發(fā)揮重要作用，工業(yè)數(shù)據(jù)安全直接關(guān)系到工業(yè)經(jīng)濟(jì)安全。作為工業(yè)經(jīng)濟(jì)的“血液”，工業(yè)數(shù)據(jù)對(duì)于國(guó)家的重要性可謂不言自明。

工業(yè)數(shù)據(jù)是指在工業(yè)企業(yè)中各項(xiàng)工業(yè)流程環(huán)節(jié)、工業(yè)互聯(lián)網(wǎng)連接運(yùn)行中生成的數(shù)據(jù)的總和，也包括在工業(yè)領(lǐng)域中應(yīng)用的數(shù)據(jù)[2]。工業(yè)數(shù)據(jù)具體主要由三部分構(gòu)成：企業(yè)運(yùn)營(yíng)相關(guān)的業(yè)務(wù)數(shù)據(jù)、產(chǎn)線設(shè)備互聯(lián)數(shù)據(jù)和企業(yè)外部數(shù)據(jù)。工業(yè)數(shù)據(jù)在工業(yè)互聯(lián)網(wǎng)中位于舉足輕重的地位[1]。

因?yàn)楣I(yè)涉及的具體行業(yè)非常繁多，導(dǎo)致工業(yè)互聯(lián)網(wǎng)會(huì)與諸多信息系統(tǒng)相聯(lián)系，工業(yè)數(shù)據(jù)來(lái)源多、分布廣、種類多、體量大等特點(diǎn)及工業(yè)數(shù)據(jù)地位的重要性使得工業(yè)數(shù)據(jù)廣受關(guān)注，這也使得數(shù)據(jù)攻擊事件從公共互聯(lián)網(wǎng)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)移[2]。國(guó)家有關(guān)部門(mén)發(fā)布的《2021年工業(yè)信息安全態(tài)勢(shì)報(bào)告》顯示，2021年全國(guó)工業(yè)信息安全指數(shù)為53.7，已經(jīng)處于“中危”水平，并且安全風(fēng)險(xiǎn)威脅持續(xù)加劇，境外攻擊有增無(wú)減，低防護(hù)聯(lián)網(wǎng)設(shè)備總量繼續(xù)上升，工控安全漏洞數(shù)量居高不下，工業(yè)信息安全防護(hù)與管理面臨更大挑戰(zhàn)。與傳統(tǒng)的計(jì)算機(jī)信息系統(tǒng)安全需求不同，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)信息系統(tǒng)需要兼顧特殊場(chǎng)景應(yīng)用需求、管理需求以及成本運(yùn)行控制等因素。因此工業(yè)數(shù)據(jù)安全保護(hù)不僅需要具體有效的工業(yè)安全防御技術(shù)支持，也需要全面完善明確的制度保障。

根據(jù)未來(lái)數(shù)據(jù)治理的發(fā)展趨勢(shì)，有必要制定一部全面的、專業(yè)性的工業(yè)數(shù)據(jù)安全保護(hù)方面的法律，以適應(yīng)數(shù)據(jù)時(shí)代變化并滿足相應(yīng)需求，對(duì)工業(yè)數(shù)據(jù)保護(hù)與利用問(wèn)題進(jìn)行規(guī)范，促進(jìn)相關(guān)工業(yè)產(chǎn)業(yè)健康發(fā)展。

本文研究匯總了中國(guó)關(guān)于數(shù)據(jù)安全保護(hù)的主要法律法規(guī)，希望通過(guò)分析相關(guān)法律規(guī)定的發(fā)展歷程、主要內(nèi)容，窺探工業(yè)數(shù)據(jù)安全保護(hù)建設(shè)歷程，以尋求工業(yè)數(shù)據(jù)安全保護(hù)的路徑與方式。還通過(guò)對(duì)國(guó)外(以歐盟為代表)數(shù)據(jù)安全保護(hù)相關(guān)法律法規(guī)簡(jiǎn)要?dú)w納分析與借鑒，提出了關(guān)于工業(yè)數(shù)據(jù)安全保護(hù)的建議，希望有助于中國(guó)工業(yè)數(shù)據(jù)安全保護(hù)的法律體系建設(shè)。

1 中國(guó)關(guān)于工業(yè)數(shù)據(jù)的法律法規(guī)體系與評(píng)價(jià)

截止到2022年2月份，通過(guò)中國(guó)法律檢索系統(tǒng)以全文檢索的方式檢索“工業(yè)數(shù)據(jù)”字樣，也只有于2021年9月27日公布，并于同年11月1日開(kāi)始施行的《天津市促進(jìn)智能制造發(fā)展條例》中第23條明確表明“加強(qiáng)對(duì)工業(yè)互聯(lián)網(wǎng)以及數(shù)據(jù)中心的建設(shè)”。鑒于中國(guó)現(xiàn)在還并沒(méi)有針對(duì)工業(yè)數(shù)據(jù)的比較全面的法律法規(guī)，本文將從對(duì)計(jì)算機(jī)數(shù)據(jù)的相關(guān)法律規(guī)定為起始點(diǎn)，探究分析對(duì)工業(yè)數(shù)據(jù)的法律規(guī)定。

表1是對(duì)中國(guó)關(guān)于計(jì)算機(jī)數(shù)據(jù)安全保護(hù)立法進(jìn)程的大致回顧，主要匯總了各立法發(fā)展階段具有代表性的法律法規(guī)。

表1 中國(guó)關(guān)于工業(yè)數(shù)據(jù)保護(hù)的簡(jiǎn)要立法歷程

計(jì)算機(jī)數(shù)據(jù)安全保護(hù)始于1983年12月15日施行的《醫(yī)學(xué)科學(xué)技術(shù)檔案管理辦法》(現(xiàn)已失效)，該辦法中明確，醫(yī)學(xué)科學(xué)技術(shù)檔案包括計(jì)算機(jī)數(shù)據(jù)等科技文件資料。這是中國(guó)能夠查詢到的最早的、直接的關(guān)于計(jì)算機(jī)數(shù)據(jù)的規(guī)定。目前，雖然中國(guó)已有專門(mén)的《數(shù)據(jù)安全法》，但關(guān)于計(jì)算機(jī)數(shù)據(jù)安全的法律保護(hù)條文仍然散落在眾多的規(guī)定、辦法、條例、司法解釋中。相對(duì)于西方發(fā)達(dá)國(guó)家來(lái)說(shuō)，中國(guó)對(duì)數(shù)據(jù)安全的法律保護(hù)起步稍顯滯后。通過(guò)表1分析可以看出中國(guó)關(guān)于工業(yè)數(shù)據(jù)的立法特點(diǎn)體現(xiàn)在以下幾個(gè)方面：

(1)保護(hù)的內(nèi)容與對(duì)象。立法伊始，對(duì)計(jì)算機(jī)數(shù)據(jù)的保護(hù)并不是首先保護(hù)數(shù)據(jù)本身，而是重視對(duì)計(jì)算機(jī)硬件的保護(hù)；后逐漸重視計(jì)算機(jī)軟件系統(tǒng)的安全，體現(xiàn)在1991年公布的《計(jì)算機(jī)軟件保護(hù)條例》；此后中國(guó)也開(kāi)始重視自身發(fā)展與國(guó)際發(fā)展的接軌，1996年2月份公布《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》；隨著新世紀(jì)的到來(lái)，中國(guó)開(kāi)始關(guān)注對(duì)互聯(lián)網(wǎng)各項(xiàng)服務(wù)、功能的規(guī)范與約束；近幾年立法規(guī)定直接表現(xiàn)為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)本身的保護(hù)，例如《網(wǎng)絡(luò)安全法》(2015年)、《數(shù)據(jù)安全法》(2021年)；由于近年來(lái)工業(yè)領(lǐng)域成為我國(guó)數(shù)字化轉(zhuǎn)型的主陣地，開(kāi)始對(duì)數(shù)據(jù)“分門(mén)別類”地進(jìn)行保護(hù)，特別體現(xiàn)在工業(yè)數(shù)據(jù)分類分級(jí)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中。

續(xù)表

(2)數(shù)據(jù)保護(hù)的目的。最初對(duì)于計(jì)算機(jī)的保護(hù)多是出于加強(qiáng)信息安全保密工作的需要。發(fā)展至今，國(guó)家仍然高度重視與計(jì)算機(jī)相關(guān)的涉密安全防護(hù)，但同時(shí)重視發(fā)揮數(shù)據(jù)要素在經(jīng)濟(jì)與管理延伸中的作用，關(guān)注計(jì)算機(jī)數(shù)據(jù)本身屬性與功能。

(3)對(duì)于數(shù)據(jù)本身的態(tài)度的變化。由單純的保護(hù)態(tài)度發(fā)展為采取較為中立的態(tài)度，加強(qiáng)對(duì)數(shù)據(jù)的管理治理，數(shù)據(jù)保護(hù)更加細(xì)化、具體。

中國(guó)完成了網(wǎng)絡(luò)法律體系的基本建設(shè)，為數(shù)據(jù)安全提供了法律制度方面的基礎(chǔ)性支持，彌補(bǔ)了數(shù)字法律以及數(shù)據(jù)保護(hù)板塊的空白，但是仍然缺少全面的、具有可執(zhí)行性的工業(yè)數(shù)據(jù)法律法規(guī)?！稊?shù)據(jù)安全法》作為上位法，其法條內(nèi)容多為原則性、宣示性條款，例如對(duì)于違反法律后處以何種具體的懲罰仍語(yǔ)焉不詳，無(wú)法滿足社會(huì)對(duì)解決數(shù)據(jù)安全保護(hù)實(shí)際問(wèn)題的期待，其法條規(guī)定內(nèi)容也多與《網(wǎng)絡(luò)安全法》存在重疊交叉?！豆I(yè)數(shù)據(jù)分類分級(jí)指南(試行)》作為對(duì)工業(yè)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)的指南性文件，并不具備法律意義上的約束力。

2 國(guó)外有關(guān)工業(yè)數(shù)據(jù)的法律法規(guī)

2.1 歐盟關(guān)于工業(yè)數(shù)據(jù)的主要法律法規(guī)與評(píng)價(jià)

相比較而言，國(guó)外對(duì)數(shù)據(jù)保護(hù)的研究歷史更加久遠(yuǎn)。其中，歐盟關(guān)于數(shù)據(jù)的立法研究具有代表性、前沿性，本文主要匯總了歐盟在數(shù)據(jù)方面的主要法律規(guī)定，如表2所示。

通過(guò)表2分析，歐盟關(guān)于數(shù)據(jù)安全方面的立法發(fā)展變化主要體現(xiàn)在以下方面：

表2 歐盟關(guān)于數(shù)據(jù)安全保護(hù)的主要立法發(fā)展過(guò)程

(1)關(guān)注重點(diǎn)的變化。立法初期，歐盟國(guó)家對(duì)工業(yè)數(shù)據(jù)安全的保護(hù)較少重視，但隨著數(shù)字經(jīng)濟(jì)發(fā)展，歐盟逐漸加強(qiáng)了對(duì)數(shù)據(jù)的保護(hù)與治理，著力發(fā)揮數(shù)據(jù)對(duì)經(jīng)濟(jì)的正向價(jià)值。

(2)對(duì)數(shù)據(jù)態(tài)度的變化。與西方國(guó)家重視隱私保護(hù)的觀念傳統(tǒng)相關(guān)，起初對(duì)數(shù)據(jù)持有環(huán)節(jié)持保護(hù)、支持的態(tài)度。為了加強(qiáng)科技監(jiān)管、減少互聯(lián)網(wǎng)壟斷，歐盟之后的立法態(tài)度開(kāi)始傾向于加強(qiáng)數(shù)據(jù)規(guī)制與數(shù)據(jù)治理，意圖打破數(shù)據(jù)壁壘，并且在制定法律的過(guò)程注重?cái)?shù)據(jù)共享原則的貫徹體現(xiàn)[3]。

(3)對(duì)美國(guó)態(tài)度的變化。鑒于美國(guó)與歐盟之間的密切關(guān)系，歐盟的多項(xiàng)立法涉及兩者之間的數(shù)據(jù)流動(dòng)。世紀(jì)之交時(shí)，在處理與美國(guó)數(shù)據(jù)爭(zhēng)端時(shí)采取讓步折衷態(tài)度，“安全港決定”有相應(yīng)體現(xiàn)；之后呈現(xiàn)為中立態(tài)度，體現(xiàn)在“歐盟——美國(guó)隱私盾協(xié)議”；近兩年來(lái)，隨著數(shù)據(jù)要素價(jià)值的凸顯，歐盟對(duì)美國(guó)大型互聯(lián)網(wǎng)平臺(tái)公司多采取“遏制”態(tài)度[4]。

2.2 數(shù)據(jù)安全保護(hù)的法律法規(guī)的主要內(nèi)容

1980年9月2日，經(jīng)濟(jì)合作與發(fā)展組織(OECD)發(fā)布《隱私保護(hù)與個(gè)人數(shù)據(jù)跨國(guó)流通指南》，該指南的第二部分規(guī)定了國(guó)家層面數(shù)據(jù)安全保護(hù)適用的七個(gè)原則：

(1)限制原則：即最小數(shù)據(jù)原則，數(shù)據(jù)收集、使用、利用、存儲(chǔ)的類型、范圍、期間應(yīng)當(dāng)是適當(dāng)?shù)?、相關(guān)的和必要的。

(2)數(shù)據(jù)質(zhì)量原則：數(shù)據(jù)收集與處理應(yīng)當(dāng)保障質(zhì)量，做到完整性、準(zhǔn)確性、一致性、及時(shí)性的統(tǒng)一。

(3)特定目的原則：要求對(duì)數(shù)據(jù)的收集、處理應(yīng)當(dāng)遵循具體明確的、正當(dāng)?shù)哪康摹?/p>

(4)數(shù)據(jù)安全原則：承擔(dān)數(shù)據(jù)收集、利用等相關(guān)程序過(guò)程的數(shù)據(jù)控制者或者組織者、利用者要采取充分的、適當(dāng)?shù)拇胧?，?lái)保證數(shù)據(jù)的安全，嚴(yán)禁故意泄露個(gè)人數(shù)據(jù)。

(5)數(shù)據(jù)開(kāi)放原則：數(shù)據(jù)收集、處理、發(fā)布，應(yīng)公開(kāi)規(guī)則，明示目的、方式和范圍，尊重和保護(hù)公眾知情權(quán)。

(6)個(gè)人參與原則：即公開(kāi)數(shù)據(jù)、數(shù)據(jù)收集與處理利用都應(yīng)該得到數(shù)據(jù)主體的同意。

(7)安全事故責(zé)任原則：發(fā)生數(shù)據(jù)泄露事故后，數(shù)據(jù)收據(jù)控制者、受益者以及相關(guān)責(zé)任者應(yīng)當(dāng)承擔(dān)責(zé)任[5]。

總體而言，其他國(guó)家或國(guó)際組織制定的數(shù)據(jù)保護(hù)原則，基本都是以七項(xiàng)原則為模板確立、施行的。

3 工業(yè)數(shù)據(jù)安全保護(hù)立法建議

通過(guò)對(duì)國(guó)內(nèi)外公布施行的法律法規(guī)進(jìn)行分析，綜合考慮社會(huì)現(xiàn)實(shí)發(fā)展?fàn)顩r，國(guó)家現(xiàn)行對(duì)工業(yè)數(shù)據(jù)安全保護(hù)與管理可以從以下兩個(gè)思路進(jìn)行考慮：

3.1 細(xì)化工業(yè)數(shù)據(jù)安全保護(hù)的立法建設(shè)

首先，數(shù)據(jù)權(quán)屬是數(shù)據(jù)治理的基礎(chǔ)問(wèn)題，是解決數(shù)據(jù)安全的首要問(wèn)題。因此對(duì)于工業(yè)數(shù)據(jù)安全保護(hù)也先要從解決工業(yè)數(shù)據(jù)的權(quán)屬問(wèn)題開(kāi)始。關(guān)于工業(yè)數(shù)據(jù)權(quán)屬問(wèn)題，法學(xué)界已有不少研究。有學(xué)者從知識(shí)產(chǎn)權(quán)角度分析企業(yè)數(shù)據(jù)的安全保護(hù)[2]；有的學(xué)者從《民法》的財(cái)產(chǎn)權(quán)角度分析企業(yè)數(shù)據(jù)的安全保護(hù)[6]；還有學(xué)者從《反不正當(dāng)競(jìng)爭(zhēng)法》的角度分析數(shù)據(jù)保護(hù)[7]。主流觀點(diǎn)認(rèn)為，因?yàn)閿?shù)據(jù)控制者對(duì)于其控制的數(shù)據(jù)是通過(guò)長(zhǎng)期的合法經(jīng)營(yíng)，并投入大量的人力、物力和財(cái)力得到的，故應(yīng)當(dāng)根據(jù)《反不正當(dāng)競(jìng)爭(zhēng)法》第2條第2款的規(guī)定，承認(rèn)并保護(hù)數(shù)據(jù)控制者對(duì)數(shù)據(jù)的合法利益[8]。

同時(shí)，應(yīng)建立完整完善的數(shù)據(jù)安全保護(hù)風(fēng)險(xiǎn)法律提示與預(yù)防機(jī)制。要“防范于未然”，法律制度的建設(shè)要有統(tǒng)籌意識(shí)，引導(dǎo)建立整個(gè)工業(yè)領(lǐng)域的數(shù)據(jù)安全防護(hù)網(wǎng)。針對(duì)不同行業(yè)領(lǐng)域的數(shù)據(jù)安全問(wèn)題，進(jìn)行數(shù)據(jù)分級(jí)分類和建立重要數(shù)據(jù)重點(diǎn)保護(hù)制度。近年來(lái)，《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》等相關(guān)文件的發(fā)布，對(duì)于特定行業(yè)的幫助作用非常顯著，利于整合數(shù)據(jù)資源與集中利用[9]。設(shè)置恰當(dāng)?shù)倪`法懲治規(guī)范法律條款，嚴(yán)格細(xì)化數(shù)據(jù)稽查方面的法律規(guī)定，使法律具有實(shí)實(shí)在在的執(zhí)行力。同時(shí)，可以借鑒外國(guó)的數(shù)據(jù)治理經(jīng)驗(yàn)，例如美國(guó)的“藍(lán)綠按鈕”應(yīng)用[10]、英國(guó)“Midata”項(xiàng)目[10]等，以項(xiàng)目的形式實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)移，將數(shù)據(jù)轉(zhuǎn)移至官方來(lái)掌握，以加強(qiáng)對(duì)數(shù)據(jù)的監(jiān)管。

3.2 培養(yǎng)具有法學(xué)和技術(shù)雙背景復(fù)合型人才

法律制度的制定完善需要高素質(zhì)的復(fù)合型人才，工業(yè)數(shù)據(jù)安全保護(hù)涉及國(guó)家經(jīng)濟(jì)發(fā)展戰(zhàn)略的實(shí)現(xiàn)，同樣需要人才的支持。因此，國(guó)家應(yīng)該根據(jù)社會(huì)需求變化而不斷調(diào)整、改革、發(fā)展、創(chuàng)新人才培養(yǎng)模式，培養(yǎng)具有法學(xué)與計(jì)算機(jī)等雙專業(yè)背景的復(fù)合型人才，以滿足未來(lái)發(fā)展需要。

現(xiàn)行法律多為框架性建議，出于立法謹(jǐn)慎的態(tài)度，法律制度建設(shè)本身不可避免地具有某些方面的滯后性，不能很好地適應(yīng)技術(shù)發(fā)展所帶來(lái)的數(shù)據(jù)安全保護(hù)問(wèn)題。具有法學(xué)專業(yè)與技術(shù)雙背景的人才能夠更深層、本質(zhì)性地了解技術(shù)風(fēng)險(xiǎn)，增強(qiáng)數(shù)據(jù)治理的針對(duì)性、精確性，做到有的放矢。同時(shí)，熟知法律的技術(shù)人才不僅可以在研發(fā)、運(yùn)用技術(shù)的過(guò)程中以法律規(guī)束自己的行為，減少企業(yè)法律風(fēng)險(xiǎn)，還可以在相關(guān)權(quán)利受到侵害時(shí)及時(shí)運(yùn)用法律維護(hù)權(quán)益，降低損害程度。

4 結(jié)論

數(shù)字化時(shí)代，作為國(guó)民經(jīng)濟(jì)主要支柱的工業(yè)，其數(shù)據(jù)治理的價(jià)值與未來(lái)戰(zhàn)略意義毋庸贅述。雖然工業(yè)數(shù)據(jù)治理研究可以借鑒國(guó)外的經(jīng)驗(yàn)，但是基于不同的經(jīng)濟(jì)社會(huì)基礎(chǔ)會(huì)具備迥然不同的現(xiàn)實(shí)應(yīng)用場(chǎng)景。因此，加快與具體國(guó)情相適應(yīng)的法律研究與法律制度建設(shè)，探索培養(yǎng)具有法學(xué)和技術(shù)雙背景復(fù)合型人才，才可以為工業(yè)數(shù)據(jù)保護(hù)提供切實(shí)可行的理論與實(shí)踐指導(dǎo)，促成工業(yè)數(shù)據(jù)領(lǐng)域的“有法可依”局面的形成。