英國國家數(shù)據(jù)安全治理：制度、機構(gòu)及啟示

張 濤 崔文波 劉 碩 蔡慶平 馬海群

(1.黑龍江大學(xué)信息管理學(xué)院，哈爾濱，150080； 2. 黑龍江大學(xué)信息資源管理研究中心，哈爾濱，150080)

1 引言

隨著全球數(shù)字化轉(zhuǎn)型，數(shù)據(jù)資源已經(jīng)成為數(shù)字時代的“軟黃金”，數(shù)據(jù)成為最寶貴的資產(chǎn)已經(jīng)是不爭的事實，數(shù)據(jù)的價值正在推動全球市場及經(jīng)濟的變革，作為國家基礎(chǔ)性戰(zhàn)略資源的數(shù)據(jù)與國家安全和利益息息相關(guān)，對數(shù)據(jù)資源的開發(fā)、利用、保護成為了全球關(guān)注的焦點。世界各國先后發(fā)布各類數(shù)據(jù)政策以促進數(shù)字經(jīng)濟發(fā)展，改善社會公共服務(wù)水平，提升政府現(xiàn)代化治理能力。數(shù)據(jù)為管理與服務(wù)帶來便捷的同時，其安全形勢并不樂觀，自2013年6月“棱鏡門”事件暴發(fā)后，全球數(shù)據(jù)安全的神經(jīng)緊繃，各國政府逐漸意識到數(shù)據(jù)安全問題已經(jīng)影響到社會穩(wěn)定乃至國家安全[1]。長期以來英國一直延續(xù)歐盟的數(shù)據(jù)安全保護政策，但自英國脫歐之后，能否確保用戶數(shù)據(jù)安全一直令社會各界擔(dān)憂。作為網(wǎng)絡(luò)強國的英國也遭受著各類安全攻擊，大規(guī)模的網(wǎng)絡(luò)攻擊活動已經(jīng)嚴(yán)重威脅到了國家安全。英國較早地意識到數(shù)據(jù)安全的重要性，1984年頒布的《數(shù)據(jù)保護法》(Data Protection Act)明確提出個人數(shù)據(jù)隱私保護的原則，1998年英國議會根據(jù)歐盟《個人數(shù)據(jù)保護指令》(Data Protection Directive)的要求頒布了新版《數(shù)據(jù)保護法》，在此之后英國又陸續(xù)起草、修訂并公布了《個人數(shù)據(jù)保護指令》《國家網(wǎng)絡(luò)安全戰(zhàn)略》《網(wǎng)絡(luò)和信息系統(tǒng)安全法規(guī)》《自由保護法》等一系列綱領(lǐng)性法律和政策，如圖1所示。由此可見，英國從國家層面對數(shù)據(jù)安全已經(jīng)形成了一整套治理經(jīng)驗，因此對英國國家數(shù)據(jù)安全治理研究具有重要現(xiàn)實意義。

國內(nèi)外學(xué)者圍繞英國數(shù)據(jù)治理形成了一系列研究成果，在國內(nèi)，李重照等[2]從政策與機構(gòu)兩條主線對英國政府?dāng)?shù)據(jù)治理進行研究；譚必勇等[3]通過研究英國政府?dāng)?shù)據(jù)治理體系的經(jīng)驗總結(jié)出走向善治的經(jīng)驗；楊學(xué)成等[4]對英國開放數(shù)據(jù)研究所(Open Data Institute,ODI)數(shù)據(jù)開放背景下多主體協(xié)同的機理進行分析，提出數(shù)據(jù)共治模型；陳美[5]基于英國政府開放數(shù)據(jù)的隱私風(fēng)險評估與防控的經(jīng)驗,提出了我國建設(shè)的策略；石賢澤[6]認(rèn)為英歐新數(shù)據(jù)保護關(guān)系將呈現(xiàn)出歐盟外部差異一體化特點。在國外，Chan等[7]針對英國正在采用的隱私原則進行分析，并從對公眾信任指導(dǎo)方針、行為準(zhǔn)則和監(jiān)管工具方面進行研究；Butler[8]針對《歐盟通用數(shù)據(jù)保護條例》和英國《數(shù)據(jù)保護法案》解釋了個人和公共機構(gòu)義務(wù)間的差異。Ortega Gimenez[9]探討了英國脫歐、國際關(guān)系、個人數(shù)據(jù)保護的內(nèi)在聯(lián)系及其應(yīng)對策略；Pleger等[10]通過對英國和德國的數(shù)據(jù)分析發(fā)現(xiàn)，公民對數(shù)據(jù)保護和數(shù)據(jù)安全的理解是政府充分解決公民對電子政務(wù)舉措擔(dān)憂的先決條件；Choromidou[11]討論了在《歐盟-英國貿(mào)易與合作協(xié)議》《歐盟-英國退出協(xié)議》《通用數(shù)據(jù)保護條例》框架下，從歐盟到英國個人數(shù)據(jù)保護和數(shù)據(jù)傳輸相關(guān)的法律情況。

基于以上研究綜述，國內(nèi)外學(xué)者主要聚焦于數(shù)據(jù)治理、數(shù)據(jù)共治、數(shù)據(jù)保護層面的研究，尤其是近兩年英國脫歐后對數(shù)據(jù)隱私保護的影響關(guān)注較多，而對英國國家數(shù)據(jù)安全治理系統(tǒng)和深入的研究較為欠缺，尤其是通過梳理英國數(shù)據(jù)安全制度和機構(gòu)對我國數(shù)據(jù)安全治理啟示的研究成果較少。因此，本研究將從英國國家數(shù)據(jù)安全治理制度體系和機構(gòu)權(quán)責(zé)兩個方面入手，對英國國家數(shù)據(jù)安全治理思路進行研究，總結(jié)其主要經(jīng)驗，以此希望對我國構(gòu)建符合中國國情的數(shù)據(jù)安全治理機制和治理體系提供參考。

2 英國國家數(shù)據(jù)安全治理制度體系

自20世紀(jì)80年代以來，英國歷屆政府和議會頒布了一系列的法律、法規(guī)和條例等，形成了較為系統(tǒng)的數(shù)據(jù)安全治理制度體系。自2013年計劃脫歐到2020年正式脫歐，英國半數(shù)以上數(shù)據(jù)治理政策是基于歐盟各項指令制定的，經(jīng)過幾十年的相互交流和密集合作，英國和歐盟的數(shù)據(jù)保護現(xiàn)在已經(jīng)通過滲透而實現(xiàn)了內(nèi)在聯(lián)系。雖然歐盟制定的制度仍適用于英國，但隨著英國正式脫歐，制度演進逐漸趨于英國自身。本文將英國國家數(shù)據(jù)安全治理制度體系分為個人數(shù)據(jù)安全、政府?dāng)?shù)據(jù)安全、網(wǎng)絡(luò)數(shù)據(jù)安全、數(shù)據(jù)倫理安全、人工智能數(shù)據(jù)安全五個部分，如圖2所示。

圖1 英國國家數(shù)據(jù)安全治理制度發(fā)展進路圖

2.1 個人數(shù)據(jù)安全：貫穿英國國家數(shù)據(jù)安全治理始終

個人數(shù)據(jù)安全是國家數(shù)據(jù)安全的前提與基礎(chǔ)，英國遵循了歐盟數(shù)據(jù)處理全流程控制與個人賦權(quán)的方式開展個人數(shù)據(jù)保護，以新版《數(shù)據(jù)保護法》和歐盟《通用數(shù)據(jù)保護條例》確定了個人數(shù)據(jù)保護的總體思路，其個人數(shù)據(jù)保護制度具有頒布時間早、關(guān)鍵法迭代快、覆蓋面廣等特點。

早在1981年歐洲議會通過了世界上首部涵蓋個人數(shù)據(jù)保護相關(guān)規(guī)定的“歐洲公約”—《有關(guān)個人數(shù)據(jù)自動化處理之個人保護公約》[12]?；谶@一國際公約，1984年英國議會頒布首部《數(shù)據(jù)保護法》，明確提出個人數(shù)據(jù)隱私保護的原則，禁止未經(jīng)注冊持有個人相關(guān)數(shù)據(jù)，并設(shè)立數(shù)據(jù)保護登記官和數(shù)據(jù)保護法庭實施監(jiān)管[13]。1998年英國議會根據(jù)歐盟《個人數(shù)據(jù)保護指令》的要求重新修訂了《數(shù)據(jù)保護法》，明確個人數(shù)據(jù)具有的權(quán)利和自由，同時設(shè)立信息專員作為數(shù)據(jù)保護的獨立專員，監(jiān)督數(shù)據(jù)使用方按規(guī)定使用個人數(shù)據(jù)，保護個人數(shù)據(jù)隱私，維護公民的權(quán)利[14]。2003年根據(jù)歐盟指令，英國議會通過《隱私與電子通信條例》(Privacy and Electronic Communications Regulations，PECR)，條例要求電子通信服務(wù)商保護終端用戶信息，并由信息專員負(fù)責(zé)監(jiān)督PECR執(zhí)行[15]。2016年歐盟通過著名的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)，標(biāo)志著歐盟建立了統(tǒng)一數(shù)據(jù)保護機制，創(chuàng)建了嚴(yán)格的個人數(shù)據(jù)和隱私保護框架，旨在保護個人及個人信息的權(quán)力和自由，同時在數(shù)據(jù)跨境流動方面明確了四條主要途徑，分別是基于充分保護協(xié)議、標(biāo)準(zhǔn)數(shù)據(jù)保護條款、約束性企業(yè)原則及特定情形下進行數(shù)據(jù)跨境傳輸[16]。GDPR對英國數(shù)據(jù)安全治理有著重要影響，至今英國還在沿用GDPR中的相關(guān)條款。2018年5月英國通過新版《數(shù)據(jù)保護法》,是對GDPR的具體實施，旨在使法案更適用于數(shù)據(jù)量不斷增長的數(shù)字時代，為英國企業(yè)和組織提供支持，同時為英國正式脫歐做好準(zhǔn)備。該法案從個人和組織層面對個人和組織數(shù)據(jù)保護的權(quán)利和義務(wù)作出了更明確的規(guī)定。個人層面，通過授予公民對個人數(shù)據(jù)的相關(guān)權(quán)利，加強公民個人隱私保護；組織層面，完善與數(shù)據(jù)保護相關(guān)的機制，輔助組織正確合法地使用數(shù)據(jù)[17]。2020年8月英國發(fā)布的《適齡設(shè)計規(guī)范》(Age Appropriate Design Code，AADC)，是一項針對未成年人的數(shù)據(jù)保護條款，對互聯(lián)網(wǎng)企業(yè)涉及兒童數(shù)據(jù)處理的各個方面進行了細(xì)致的規(guī)定。AADC是全球首部該類型的法規(guī)，反映了未成年人數(shù)據(jù)保護改革的全球發(fā)展趨勢[18]。2022年2月，英國國務(wù)卿向議會提交國際數(shù)據(jù)傳輸協(xié)議(International Data Tranfer Agreement, IDTA)、歐盟委員會國際數(shù)據(jù)傳輸標(biāo)準(zhǔn)合同條款(Standard Contratual Clauses,SCCs)的國際數(shù)據(jù)傳輸附錄(SCCs附錄)及一份規(guī)定過渡條款的文件，規(guī)定出口商將能夠使用IDTA作為傳輸機制，在將個人數(shù)據(jù)從英國傳輸?shù)接浞中苑ㄒ?guī)未涵蓋的國家時，為個人數(shù)據(jù)提供適當(dāng)?shù)谋Ｗo措施[19]。2022年6月，英國政府公布改革《英國數(shù)據(jù)保護法》的計劃，主要包括減輕合規(guī)負(fù)擔(dān)、保護消費者、實現(xiàn)ICO現(xiàn)代化、實現(xiàn)數(shù)據(jù)的創(chuàng)新使用及增強國際貿(mào)易能力五個方面，旨在利用英國脫歐的優(yōu)勢，創(chuàng)建一個數(shù)據(jù)保護框架，使用一種更靈活、以結(jié)果為中心的方法來減輕企業(yè)的負(fù)擔(dān)，同時還引入了更明確的個人數(shù)據(jù)使用規(guī)則[20]。

圖2 英國國家數(shù)據(jù)安全治理制度體系

2.2 政府?dāng)?shù)據(jù)安全：贏得公共信任和簡化監(jiān)管環(huán)境

政府?dāng)?shù)據(jù)開放是開展國家數(shù)據(jù)治理的重要組成部分，在確保數(shù)據(jù)安全，保護公眾隱私的前提下推進政府?dāng)?shù)據(jù)開放，有利于贏得公共信任和簡化監(jiān)管環(huán)境。

英國自2000年已開始關(guān)注政府?dāng)?shù)據(jù)開放領(lǐng)域，對公民在數(shù)據(jù)利用方面賦權(quán)，提出和頒布了一系列的法律、政策及倡議。2000年頒布的《信息自由法》(Freedom of Information Act)[21]和2004年頒布的《自由保護法》(Protection of Freedom)[22]作為該領(lǐng)域的基礎(chǔ)法律，明確規(guī)定公共機構(gòu)有公開特定信息的義務(wù)，公民享有向公共部門索取和訪問公共部門信息的權(quán)利，并延伸和修訂了《數(shù)據(jù)保護法》和《公共記錄法》(Public Records Act)[23]的相關(guān)內(nèi)容。此后，英國政府開始大力推進數(shù)據(jù)開放，旨在保護數(shù)據(jù)安全的前提下推動政府的數(shù)字化轉(zhuǎn)型。2009年英國政府發(fā)布“讓公共數(shù)據(jù)公開”的倡導(dǎo)計劃，啟動了date.gov.uk數(shù)據(jù)網(wǎng)站的設(shè)計。同年12月發(fā)布《邁向第一線：更智能的政府》(Putting the Frontline First: Smarter Government)，將開放數(shù)據(jù)和加強政府透明度作為國家首要戰(zhàn)略，確?？绲貐^(qū)的數(shù)據(jù)能夠有效聯(lián)接，保障政府?dāng)?shù)據(jù)安全[24]。2010年成立內(nèi)閣辦公室公共部門透明度委員會(Public Sector Transparency Board)，以幫助提高整個政府的透明度，并于2012年6月發(fā)布《公共數(shù)據(jù)原則》(Public Data Principles)，規(guī)定公共數(shù)據(jù)將以可重用、機器可讀的形式發(fā)布，并希望公共數(shù)據(jù)政策和實踐由使用數(shù)據(jù)的公眾和企業(yè)明確推動[25]。2011年到2016年間，英國內(nèi)閣辦公室頒布了三份《國家行動計劃》(National Action Plans)[26]，旨在通過開放政府?dāng)?shù)據(jù)，促進經(jīng)濟增長，改善公共服務(wù)，提高政府透明度。2013年英國先后出臺《開放數(shù)據(jù)憲章》[27]《抓住數(shù)據(jù)機遇：英國數(shù)據(jù)能力策略》[28]《開放政府合作組織英國國家行動計劃2013—2015》[29]，充分體現(xiàn)英國政府對于政府?dāng)?shù)據(jù)開放安全治理的重視。

2.3 網(wǎng)絡(luò)數(shù)據(jù)安全：保障國家數(shù)據(jù)安全的重要防線

隨著技術(shù)的交匯融合促使數(shù)據(jù)海量增長，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件頻發(fā)，確保網(wǎng)絡(luò)數(shù)據(jù)安全是保障國家數(shù)據(jù)安全的重要防線。根據(jù)聯(lián)合國《2021年數(shù)字經(jīng)濟報告指出》，受新冠疫情影響2022年當(dāng)年全球互聯(lián)網(wǎng)協(xié)議流量將超過2016年前互聯(lián)網(wǎng)流量總和。因此，加強網(wǎng)絡(luò)數(shù)據(jù)安全建設(shè)是新時期英國脫歐后面臨的又一重大挑戰(zhàn)。

英國政府分別于2009年、2011年和2016年頒布三部《國家網(wǎng)絡(luò)安全戰(zhàn)略》(National Cyber Security Strategy)，以促進產(chǎn)業(yè)發(fā)展，維護網(wǎng)絡(luò)安全。特別是在2013年的“棱鏡門事件”及大型企業(yè)頻繁遭受網(wǎng)絡(luò)攻擊及數(shù)據(jù)泄漏事件大的背景下，2016年英國政府發(fā)布的《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》，將網(wǎng)絡(luò)安全提升至國家安全重點領(lǐng)域，投資19億英鎊，支持英國建立大量基礎(chǔ)設(shè)施，加強網(wǎng)絡(luò)安全能力[2]，形成較為完備的網(wǎng)絡(luò)安全戰(zhàn)略框架，以一種監(jiān)督的定位視角，實現(xiàn)“防御-震懾-發(fā)展”并重的網(wǎng)絡(luò)數(shù)據(jù)安全體系。2010年10 月英國政府發(fā)布《戰(zhàn)略防御與安全評估：保護不確定時代的英國安全》，將網(wǎng)絡(luò)攻擊與恐怖主義、緊急民事(重大事故和自然災(zāi)害)、軍事危機等并列為英國國家安全面臨的一級威脅(最高威脅)，并決定在未來四年實施“國家網(wǎng)絡(luò)安全計劃”(National Cyber Security Pragramme,NCSP)，用以支持國家網(wǎng)絡(luò)安全戰(zhàn)略的實施[30]。2018年英國政府為配合歐盟頒布的《網(wǎng)絡(luò)和信息系統(tǒng)安全指令》(The Directive on Security of Network and Information Systems)，頒布了《網(wǎng)絡(luò)和信息系統(tǒng)安全法規(guī)》，法規(guī)明確規(guī)定網(wǎng)絡(luò)提供商的法律義務(wù)是保護信息系統(tǒng)的可用性和關(guān)鍵服務(wù)的連續(xù)性[31]。2022年1月內(nèi)閣辦公室發(fā)布《政府網(wǎng)絡(luò)安全戰(zhàn)略：2022年至2030年》闡釋了政府將確保所有公共部門組織能夠抵御網(wǎng)絡(luò)威脅及核心政府職能能夠抵御網(wǎng)絡(luò)攻擊[32]。

2.4 數(shù)據(jù)倫理安全：凸顯自動化技術(shù)發(fā)展的核心理念和要求

數(shù)據(jù)倫理是指在收集、管理或使用數(shù)據(jù)時，為保護公民自由、最大限度的降低個人和社會的數(shù)據(jù)使用風(fēng)險、實現(xiàn)公共利益最大化等目的，進行適當(dāng)判斷和問責(zé)的依據(jù)[33]。但隨著進入大數(shù)據(jù)和人工智能時代，數(shù)據(jù)倫理復(fù)雜度和難度呈指數(shù)增長，如何在整個數(shù)據(jù)生命周期內(nèi)作出符合倫理的決策并進行責(zé)任追究，是自動化技術(shù)發(fā)展亟需解決的問題。艾薩克·阿西莫夫曾在他的科幻小說里描述了規(guī)范機器人行為的三定律，包括不能傷害人類、服從人類命令和保護自己。

英國在數(shù)據(jù)倫理安全方面開展風(fēng)險評估治理機制的同時，一直將人的自主權(quán)及人格尊嚴(yán)作為自動化技術(shù)發(fā)展的核心理念和要求。自2016年針對數(shù)據(jù)倫理安全密集頒布了一系列的制度，2016年9月英國標(biāo)準(zhǔn)協(xié)會(Bristish Standards Institution,BSI)在阿西莫夫三定律的基礎(chǔ)上，發(fā)布一套更為復(fù)雜、成熟和與時俱進的機器人倫理指南，即《機器人和機器系統(tǒng)的倫理設(shè)計與應(yīng)用指南》，這是業(yè)界第一個關(guān)于機器人倫理設(shè)計的公開標(biāo)準(zhǔn)，主要針對機器人設(shè)計的研究者和制造商，指導(dǎo)他們?nèi)绾螌σ粋€機器人做出道德風(fēng)險評估，保證人類生產(chǎn)出來的智能機器人能夠融入人類社會現(xiàn)有的道德規(guī)范；同時該指南還明確了機器人制造商的責(zé)任是負(fù)責(zé)考慮機器人欺詐問題、機器人成癮現(xiàn)象，以及自主學(xué)習(xí)系統(tǒng)越俎代庖行為等問題[34]。2016年10月英國下議院科學(xué)和技術(shù)委員會(Science and Technology Council,STC)發(fā)布《機器人技術(shù)和人工智能》(Robotics and Artificial Intelligence)的報告，闡述人工智能創(chuàng)新發(fā)展帶來的潛在倫理道德與監(jiān)管挑戰(zhàn)，側(cè)重說明英國將規(guī)范機器人技術(shù)與人工智能系統(tǒng)的發(fā)展，以及如何應(yīng)對其帶來的倫理道德、法律及社會問題[35-36]。2020年11月英國數(shù)據(jù)倫理與創(chuàng)新中心(Centre for Data Ethics and Innovation,CDEI)發(fā)布其審查算法決策偏差的報告，CDEI專注于審查在個人的重大決策中使用算法，該審查重點關(guān)注在警務(wù)、地方政府、金融服務(wù)和招聘四個部門中使用算法決策，并提出跨領(lǐng)域的建議，如組織應(yīng)積極使用數(shù)據(jù)來識別和減輕偏見，確保他們了解算法工具的功能和局限性，以實現(xiàn)算法向善[37]。

2.5 人工智能數(shù)據(jù)安全：英國國家數(shù)據(jù)安全治理發(fā)展新方向

隨著數(shù)據(jù)爆炸式增長，智能算法不斷優(yōu)化，計算能力持續(xù)提升不斷驅(qū)動人工智能加速發(fā)展[38]，而人工智能發(fā)展過程中帶來的數(shù)據(jù)安全風(fēng)險，如決策風(fēng)險、失實風(fēng)險等是英國未來一段時期國家數(shù)據(jù)安全治理新方向。

英國政府通過制定人工智能發(fā)展標(biāo)準(zhǔn)和監(jiān)管原則，確保人工智能數(shù)據(jù)安全。2015年11月英國率先提出了“監(jiān)管沙盒”概念，同時金融行為監(jiān)管局(Financial Conduct Authority,FCA)發(fā)布了《監(jiān)管沙盒報告》，旨在為企業(yè)創(chuàng)新和監(jiān)管之間，提供一個靈活的、受控的合作環(huán)境，允許企業(yè)用真實的消費者在市場上測試創(chuàng)新，以此實現(xiàn)在保護創(chuàng)新的同時又不會削弱消費者保護，降低風(fēng)險的不確定性。人工智能技術(shù)的創(chuàng)新發(fā)展涉及大量的數(shù)據(jù)信息，數(shù)據(jù)信息使用需要符合隱私安全等相應(yīng)的制度，而人工智能技術(shù)的難監(jiān)管性和監(jiān)管機構(gòu)的能力有限使得兩者之間失衡。為處理人工智能技術(shù)創(chuàng)新發(fā)展與數(shù)據(jù)隱私安全的矛盾，英國官方采取“監(jiān)管沙盒”機制充當(dāng)創(chuàng)新與監(jiān)管之間的橋梁和合作空間。英國的“監(jiān)管沙盒”在各個領(lǐng)域得到應(yīng)用與發(fā)展，包括綠色金融、基于區(qū)塊鏈的支付服務(wù)、監(jiān)管科技主張、數(shù)字身份等，實現(xiàn)了人工智能技術(shù)創(chuàng)新發(fā)展與數(shù)據(jù)隱私保護之間的協(xié)同。2016年11月英國政府科學(xué)辦公室(GO-Science)發(fā)布《人工智能：未來決策的機會與影響》報告，闡述人工智能對個人隱私、就業(yè)的影響，并指出人工智能在政府層面大規(guī)模使用的潛在可能性[39]。2017年10月英國政府發(fā)布《在英國發(fā)展人工智能》報告，對當(dāng)前人工智能的應(yīng)用、市場和政策支持進行分析，從數(shù)據(jù)獲取、人才培養(yǎng)、研究轉(zhuǎn)化、行業(yè)發(fā)展四方面提出促進英國人工智能產(chǎn)業(yè)發(fā)展的重要行動建議，該報告被納入英國政府2017年《政府行業(yè)策略指導(dǎo)》白皮書中，成為英國人工智能發(fā)展的重要指引[40]。2018年4月英國議會發(fā)布《英國人工智能發(fā)展的計劃、能力與志向》(AI in the UK: Ready, Willing and Able?)[41]，報告概述了人工智能不應(yīng)用于削弱個人、家庭、社區(qū)的數(shù)據(jù)權(quán)力或隱私等五項人工智能道德的核心原則。英國作為人工智能發(fā)展的世界領(lǐng)先者之一，希望增加自己的影響力，率先制定相關(guān)的標(biāo)準(zhǔn)，尤其提出要把類似的“機器人三原則”加入人工智能的發(fā)展，體現(xiàn)出英國政府對人工智能數(shù)據(jù)安全的關(guān)注，隨后政府又發(fā)布了《對上議院人工智能委員會報告的回應(yīng)》[42]。2020年9月英國政府發(fā)布《人工智能研究與開發(fā)合作宣言》后，同年，英國數(shù)據(jù)倫理與創(chuàng)新中心發(fā)布了《人工智能晴雨表》，針對英國人工智能和數(shù)據(jù)使用相關(guān)的機遇、風(fēng)險和治理挑戰(zhàn)進行了分析[43]。2021年11月英國內(nèi)閣辦公室中央數(shù)字和數(shù)據(jù)辦公室(The Central Digital and Data Office,CDDO)發(fā)布《算法透明度標(biāo)準(zhǔn)》(Algorithmic Transparency Standard)，該標(biāo)準(zhǔn)旨在為政府和公共服務(wù)部門提供有關(guān)利用算法工具支持決策的具體指導(dǎo)，要求算法工具要保持適當(dāng)?shù)耐该鞫龋貏e是在可能對個人產(chǎn)生法律或經(jīng)濟影響的情況下[44]。其中《算法透明度數(shù)據(jù)標(biāo)準(zhǔn)》作為《算法透明度標(biāo)準(zhǔn)》的一部份，規(guī)定了一種收集政府如何使用算法工具信息的標(biāo)準(zhǔn)化方式[45]。2022年7月，英國數(shù)字文化傳媒體育部發(fā)布了新的人工智能規(guī)則提議《建立一種支持創(chuàng)新的人工智能監(jiān)管方法》(Establishing a Pro-innovation Approach to Regulating AI),該方法強調(diào)監(jiān)管的合比例性，并基于人工智能的特征提了一個促進創(chuàng)新的監(jiān)管框架[46]。

2.6 英國國家數(shù)據(jù)安全治理制度體系特征

英國國家數(shù)據(jù)安全治理制度體系具有以關(guān)鍵法為核心制度、重視個人數(shù)據(jù)安全與人權(quán)、制度涉及領(lǐng)域廣、制度演進由外及里等較為典型的特征。

(1)以關(guān)鍵法為核心制度，形成較為健全的數(shù)據(jù)安全治理制度體系?！稊?shù)據(jù)保護法》和《信息自由法》貫穿國家數(shù)據(jù)安全治理始終，隨著技術(shù)的發(fā)展和數(shù)據(jù)的增長兩部關(guān)鍵法與時俱進，不斷進行修訂，其在英國國家數(shù)據(jù)安全治理制度體系起著核心作用。

(2)重視個人數(shù)據(jù)安全與人權(quán)。在英國國家數(shù)據(jù)安全治理方面對于個人數(shù)據(jù)安全和個人權(quán)益保護受歐盟治理制度影響較深，其認(rèn)為只有確保個人數(shù)據(jù)安全和賦予公民足夠的法制權(quán)力，才能更好地保護國家數(shù)據(jù)安全。因此，英國在出臺的《數(shù)據(jù)保護法》《數(shù)據(jù)保護監(jiān)管行動政策》等制度中均突出個人數(shù)據(jù)安全和公民權(quán)利。

(3)制度涉及領(lǐng)域廣。英國國家數(shù)據(jù)安全治理涉及電子通信、數(shù)字經(jīng)濟、政務(wù)開放、個人數(shù)據(jù)安全等領(lǐng)域，如《通信法》《電子通訊法》《數(shù)字經(jīng)濟法》《公共部門信息再利用條例》《開放數(shù)據(jù)憲章》《政府開放標(biāo)準(zhǔn)指南》等。除此之外，英國在2021年發(fā)布全球首部未成年人數(shù)據(jù)保護法《適齡設(shè)計規(guī)范》，其主要為歐盟《通用數(shù)據(jù)保護條例》適用兒童使用數(shù)字服務(wù)場景時設(shè)立標(biāo)準(zhǔn)和提供解釋，各類組織需遵守該準(zhǔn)則，并證明其服務(wù)遵守《數(shù)據(jù)保護法》，公平、有效地使用兒童數(shù)據(jù)。

(4)制度演進由外及里。英國數(shù)據(jù)安全治理由歐盟的個人數(shù)據(jù)保護演進而來，形成的數(shù)據(jù)安全治理理念和體系深受歐盟影響，如重視個人數(shù)據(jù)保護與人權(quán)、網(wǎng)絡(luò)安全治理、警惕人工智能技術(shù)發(fā)展帶來的風(fēng)險等，總體來說，當(dāng)下英國數(shù)據(jù)安全治理仍處于脫歐過渡期，很多英國脫歐前歐盟發(fā)布的相關(guān)制度仍適用于英國，如《通用數(shù)據(jù)保護條例》《隱私和電子通信條例》等。整體上英國國家數(shù)據(jù)安全治理演進過程為：從遵循歐盟數(shù)據(jù)安全相關(guān)指令，到起草適用于本國的法律法規(guī)，再到及時根據(jù)國際環(huán)境變化、國家現(xiàn)實需求與時俱進地更新制度以適應(yīng)大數(shù)據(jù)、人工智能時代的轉(zhuǎn)變。

3 英國國家數(shù)據(jù)安全治理機構(gòu)權(quán)責(zé)

經(jīng)過對英國國家數(shù)據(jù)安全治理制度體系的研究發(fā)現(xiàn)，英國已形成與數(shù)據(jù)安全治理制度相匹配的組織機構(gòu)體系，并梳理出緊密聯(lián)系、協(xié)同共治、一體運行的“一中心一張網(wǎng)”的組織機構(gòu)特征。

3.1 機構(gòu)權(quán)責(zé)分析

英國國家數(shù)據(jù)安全治理的關(guān)鍵機構(gòu)有兩層。核心層包括英國首相、英國議會、內(nèi)閣辦公室，治理層包括數(shù)字文化傳媒體育部、政府通信總部、數(shù)據(jù)戰(zhàn)略委員會、司法部和政府法務(wù)部及其下設(shè)或贊助機構(gòu)，如圖3所示。

3.1.1 核心層

(1)首相(Prime Minister,PM)。PM是英國政府領(lǐng)導(dǎo)人，對政府的政策和決定負(fù)最終責(zé)任。主要職責(zé)包括：作為下議院的主要政府官員、監(jiān)督公務(wù)員和政府機構(gòu)的運作、選擇政府成員[47]。

(2)內(nèi)閣辦公室(Cabinet Office,CO)。輔助首相和內(nèi)閣運作，并監(jiān)督各機構(gòu)，在數(shù)據(jù)安全治理方面主要職責(zé)包括：①確保數(shù)據(jù)安全治理制度的有效制定、協(xié)調(diào)和實施；②支持國家安全委員會和聯(lián)合情報組織，協(xié)調(diào)政府應(yīng)對危機并管理英國網(wǎng)絡(luò)安全；③推動政府?dāng)?shù)據(jù)發(fā)布，使政府工作方式更加透明；④建立卓越的公務(wù)員制度，加強數(shù)字技術(shù)和政府間數(shù)據(jù)管理和使用，提高其數(shù)字能力和效力[48]。

(3)英國議會(UK Parliament,UKP)。UKP有下議院和上議院。下議院國會議員(Members of Parliament,MP)考慮并提出新法律，通過在下議院或委員會中向部長們詢問有關(guān)問題來審查政府政策；上議院在審查法案、質(zhì)疑政府行動和調(diào)查公共政策方面發(fā)揮著至關(guān)重要的作用。簡言之，英國議會代表英國公民檢查和挑戰(zhàn)政府的工作，制定有效的法律，并就當(dāng)前的重大問題進行辯論或決策[49]。

圖3 英國國家數(shù)據(jù)安全治理機構(gòu)權(quán)責(zé)圖

3.1.2 治理層

(1)政府?dāng)?shù)字服務(wù)局(Government Digital Service,GDS)。GDS隸屬于內(nèi)閣辦公室，接受來自數(shù)據(jù)指導(dǎo)組、隱私和消費者咨詢組及政府?dāng)?shù)字服務(wù)咨詢委員會的指導(dǎo)和支持，負(fù)責(zé)協(xié)調(diào)所有政府部門及民間組織、私營部門、工作小組、多邊機構(gòu)作為執(zhí)行機構(gòu)以推進政府?dāng)?shù)據(jù)開放[50]。

(2)數(shù)字文化傳媒體育部(Department for Digital, Culture, Media and Sport, DCMS)。DCMS是一個部長級政府部門，是英國國家數(shù)據(jù)安全治理的主要機構(gòu)之一，負(fù)責(zé)牽頭政府?dāng)?shù)據(jù)戰(zhàn)略、政策、安全和數(shù)字身份識別[51]。其下設(shè)或管理、贊助的機構(gòu)有信息專員辦公室、國家檔案館、英國數(shù)據(jù)倫理與創(chuàng)新中心、人工智能辦公室、英國互聯(lián)網(wǎng)安全委員會。

①信息專員辦公室(Information Commis-sioner’s Office,ICO)。ICO作為英國獨立的數(shù)據(jù)保護機構(gòu)在數(shù)據(jù)安全治理中發(fā)揮重要作用，旨在維護符合公共利益的信息權(quán)利，促進公共機構(gòu)的開放和保護個人的數(shù)據(jù)隱私。ICO聯(lián)合通信數(shù)據(jù)授權(quán)辦公室和商業(yè)、能源與工業(yè)戰(zhàn)略部共同開展數(shù)據(jù)保護工作，并加強與其他數(shù)字監(jiān)管機構(gòu)的聯(lián)系，在《信息自由法》《隱私和電子通信條例》《環(huán)境信息條例》《公共部門再利用信息指令》《數(shù)據(jù)保護法》《通用數(shù)據(jù)保護條例》等法案或條例中均規(guī)定了ICO的具體職責(zé)，即確保法案能夠并行使用及有效實施，并由管理委員會協(xié)助信息專員在長期戰(zhàn)略基礎(chǔ)上履行其法定職責(zé)[52]。

②國家檔案館(The National Archives,TNA)。TNA是由公共檔案館(Public Record Office,1838年)、歷史手稿委員會(Historical Manuscripts Commission,1869年)、英國文書局(HM Stationery Office，HMSO,1786年)和公共部門信息辦公室(2005年)合并組建的非部長級部門。主要職責(zé)包括記錄和管理公共部門信息，幫助政府和公共機構(gòu)更有效地管理和使用信息；促進公共部門信息的再利用，規(guī)范信息交易；運維英國成文法在線數(shù)據(jù)庫(legislation.gov.uk)，及時發(fā)布所有主體法和次級法資料。其下設(shè)的國家記錄和檔案咨詢委員會是一個獨立的機構(gòu)，在審議保留或關(guān)閉記錄申請方面的工作注重公開性和客觀性，就與獲取公共記錄有關(guān)的問題向DCMS負(fù)責(zé)人提供建議，并代表公眾利益決定哪些記錄應(yīng)該開放或關(guān)閉[53]。

③英國數(shù)據(jù)倫理與創(chuàng)新中心(Centre for Data Ethics and Innovation, CDEI)。CDEI是一個政府專家機構(gòu)，致力于確保公民能夠可靠地使用數(shù)據(jù)和人工智能，并使公民在管理數(shù)據(jù)和數(shù)據(jù)驅(qū)動技術(shù)方面擁有發(fā)言權(quán)，如建立有效的人工智能保障生態(tài)系統(tǒng)，幫助公共部門以一種命令和保持公眾信任的方式使用數(shù)據(jù)和人工智能等，CDEI得到了世界領(lǐng)先專家咨詢委員會的支持和英國各地的組織合作[54]。

④人工智能辦公室(Office for AI,OAI)。OAI負(fù)責(zé)監(jiān)督國家人工智能戰(zhàn)略的實施，推動負(fù)責(zé)任和創(chuàng)新的采用人工智能技術(shù)。該辦公室負(fù)責(zé)執(zhí)行政府的《人工智能部門協(xié)議》，并與人工智能理事會合作，進一步制定英國人工智能戰(zhàn)略[55]。

⑤英國互聯(lián)網(wǎng)安全委員會(UK Council for Internet Safety,UKCIS)。UKCIS是一個自愿的、非法定的合作論壇，由DCMS的一個小型秘書處團隊提供支持，政府、技術(shù)和第三方機構(gòu)通過該論壇共同努力，確保英國成為世界上最安全的上網(wǎng)場所[56]。

(3)政府通信總部(Government Communications Headquarters,GCHQ)。GCHQ是英國的情報、安全和網(wǎng)絡(luò)機構(gòu),也是當(dāng)下英國應(yīng)對Covid-19的重要組成機構(gòu)，負(fù)責(zé)保障國家網(wǎng)絡(luò)安全，致力于運用專業(yè)知識和經(jīng)驗維護國家安全和通信安全，保護國家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)、數(shù)據(jù)和系統(tǒng)免受網(wǎng)絡(luò)攻擊，確保網(wǎng)絡(luò)連接和基礎(chǔ)設(shè)施的安全[57]。其下設(shè)國家網(wǎng)絡(luò)安全中心(National Cyber Security Centre,NCSC)，NCSC通過技術(shù)改進和向公民、組織提供建議，保護英國的關(guān)鍵服務(wù)免受網(wǎng)絡(luò)攻擊，以提高英國互聯(lián)網(wǎng)的基礎(chǔ)性安全[58]。

(4)數(shù)據(jù)戰(zhàn)略委員會(Data Strategy Board,DSB)。2011年《關(guān)于開放數(shù)據(jù)措施進一步細(xì)節(jié)的秋季聲明》提出，設(shè)立數(shù)據(jù)戰(zhàn)略委員會(DSB)和公共數(shù)據(jù)組(Public Data Group,PDG)[59]。在數(shù)據(jù)治理方面，DSB主要職責(zé)是向內(nèi)閣大臣提供發(fā)布公共數(shù)據(jù)的建議，為英國公眾部門提供數(shù)據(jù)和服務(wù)，提交PDG的開放數(shù)據(jù)，使所有用戶更容易訪問數(shù)據(jù)。其下設(shè)開放數(shù)據(jù)小組，由政府、企業(yè)、學(xué)術(shù)界和市民等多方代表組成，通過搜集開放數(shù)據(jù)用戶的意見和訴求，向DSB及其他公共服務(wù)組織提供開放數(shù)據(jù)集。PDG主要職責(zé)是將政府機構(gòu)和數(shù)據(jù)聚合在一個組織內(nèi)，通過協(xié)調(diào)一致的路徑和方法促進公共數(shù)據(jù)的存取[60]。

(5)司法部(Ministry of Justice,MOJ)。MOJ是司法系統(tǒng)的核心，負(fù)責(zé)司法系統(tǒng)的法院監(jiān)獄、緩刑服務(wù)、考勤中心。在數(shù)據(jù)安全治理方面作為監(jiān)督機構(gòu)負(fù)責(zé)保護正義原則、監(jiān)督中央政府對法案的執(zhí)行情況、提供法案實施指南并協(xié)調(diào)各部門間的信息共享等[61]。

(6)政府法務(wù)部(Government Legal Department,GLD)。GLD是政府的法律顧問機構(gòu)，主要職責(zé)是為中央政府提供法律服務(wù)，為政府政策的制定、設(shè)計和實施提供法律咨詢，起草諸如《隱私與電子通信條例》《環(huán)境信息條例》等法規(guī)[62]。

3.2 機構(gòu)權(quán)責(zé)特征

經(jīng)過多年的發(fā)展，英國國家數(shù)據(jù)安全治理已經(jīng)顯現(xiàn)出緊密聯(lián)系、協(xié)同共治、一體運行的“一中心一張網(wǎng)”的組織機構(gòu)特征。

(1)一中心是指以內(nèi)閣辦公室為中心直接服務(wù)于首相的行政機構(gòu)及英國議會共同組成的核心治理機構(gòu)。內(nèi)閣辦公室作為首相領(lǐng)導(dǎo)和監(jiān)督治理機構(gòu)運行的行政機構(gòu)，確保數(shù)據(jù)安全治理制度的有效制定、協(xié)調(diào)和實施等；英國議會由上議院和下議院組成，是英國最高的立法機關(guān)，享有立法權(quán)，并對首相及其領(lǐng)導(dǎo)的內(nèi)閣進行監(jiān)督。

(2)一張網(wǎng)是指以核心治理機構(gòu)為中心，形成了上下聯(lián)動、左右協(xié)調(diào)、多方參與的完整治理機構(gòu)。主要包括四個部分：①數(shù)字文化傳媒體育部及其下設(shè)或資助支持的機構(gòu)。數(shù)字文化傳媒體育部經(jīng)過不斷的發(fā)展，特別是英國信息專員辦公室和國家檔案館兩個機構(gòu)的加入，使其職權(quán)不斷擴大，逐漸成為數(shù)據(jù)安全治理的核心機構(gòu)。②網(wǎng)絡(luò)信息安全治理機構(gòu)。以政府通信總部及其下設(shè)機構(gòu)國家網(wǎng)絡(luò)安全中心為主要治理機構(gòu)，確保國家及各公共組織在面對突發(fā)事件下如Covid-19有能力保護數(shù)據(jù)，保障國家在現(xiàn)實世界和在網(wǎng)絡(luò)中的安全。③數(shù)據(jù)治理的司法機構(gòu)。以司法部為主要機構(gòu)，負(fù)責(zé)進行數(shù)據(jù)層面部分政策制定；政府法務(wù)部作為輔助機構(gòu)，負(fù)責(zé)向內(nèi)閣、司法部、數(shù)字文化傳媒體育部等政府機構(gòu)提供法律服務(wù)。④數(shù)據(jù)安全治理建議機構(gòu)。以數(shù)據(jù)戰(zhàn)略委員會及其下設(shè)機構(gòu)開放數(shù)據(jù)小組為主要機構(gòu)，對發(fā)布公共數(shù)據(jù)類政策提供建議。

4 對我國推進數(shù)據(jù)安全治理的啟示

英國形成了以規(guī)章制度為保障、以組織機構(gòu)為主體的數(shù)據(jù)安全治理框架結(jié)構(gòu)，在一定程度上與我國數(shù)據(jù)安全治理的做法有相似之處，我國圍繞《數(shù)據(jù)安全法》《個人信息保護法》《網(wǎng)絡(luò)安全法》的數(shù)據(jù)安全治理政策，形成以“三法”為中心的數(shù)據(jù)安全治理制度頂層設(shè)計，并逐步通過發(fā)布數(shù)據(jù)安全相關(guān)制度來細(xì)化“三法”的配套規(guī)章。全球合作背景下我國不但應(yīng)有大國擔(dān)當(dāng)，而且還應(yīng)吸取經(jīng)驗[63]，進一步加強數(shù)據(jù)安全方面的國際交流與合作，積極參與國際數(shù)據(jù)安全治理規(guī)則體系的制定，逐漸強化全球數(shù)據(jù)安全規(guī)則制定權(quán)和國際話語權(quán)[64]，為推進互聯(lián)網(wǎng)全球治理法治化貢獻中國智慧，提供中國方案。因此，本文借鑒英國國家數(shù)據(jù)安全治理的主要做法，從治理機構(gòu)、數(shù)據(jù)倫理、監(jiān)管沙盒、數(shù)據(jù)跨境流動四個方面對我國數(shù)據(jù)安全治理提出建議。

4.1 完善“一中心一張網(wǎng)”的數(shù)據(jù)安全治理機構(gòu)體系

由于英國實行的是內(nèi)閣制，英國國家數(shù)據(jù)安全治理核心治理機構(gòu)直接服務(wù)于首相，因此在數(shù)據(jù)安全治理過程中，顯現(xiàn)出緊密聯(lián)系、協(xié)同共治、一體運行的“一中心一張網(wǎng)”治理機構(gòu)特征，以此來共同推動國家數(shù)據(jù)安全治理制度的制定和實施。英國國家數(shù)據(jù)安全治理機構(gòu)具有分工明確、協(xié)同合作的特點，分工明確體現(xiàn)在英國數(shù)據(jù)安全治理機構(gòu)權(quán)責(zé)結(jié)構(gòu)清晰，網(wǎng)絡(luò)信息安全、數(shù)據(jù)倫理與創(chuàng)新、人工智能等各領(lǐng)域治理機構(gòu)職責(zé)分工明確，數(shù)據(jù)治理制度從建議、提出、審議到監(jiān)督實施，每一職能部門各司其職、相互支持和注重協(xié)調(diào)溝通，共同推進英國國家數(shù)據(jù)安全治理工作流程中各環(huán)節(jié)有條不紊的實施；協(xié)同合作體現(xiàn)在大數(shù)據(jù)、深度學(xué)習(xí)算法等技術(shù)快速發(fā)展使得數(shù)據(jù)海量、多模、異構(gòu)，傳統(tǒng)的單一數(shù)據(jù)治理模式已無法應(yīng)對風(fēng)險的復(fù)雜多變，鑒于數(shù)據(jù)安全治理是一項具有綜合性和復(fù)雜性特征的工作，英國的數(shù)據(jù)安全治理機構(gòu)以核心層為領(lǐng)導(dǎo)中心，建立了多邊機構(gòu)參與的協(xié)調(diào)合作機制，提高了數(shù)據(jù)治理工作的效率?；诖?，我國可適當(dāng)借鑒英國國家數(shù)據(jù)安全治理組織機構(gòu)職能，進一步完善具有中國特色的“一中心一張網(wǎng)”的治理體系。具體以國家網(wǎng)信辦為數(shù)據(jù)安全治理的核心機構(gòu)，發(fā)揮各地區(qū)、各行業(yè)、各領(lǐng)域中網(wǎng)信工作機構(gòu)的職能，并且充分調(diào)動第三方數(shù)據(jù)安全監(jiān)管機構(gòu)積極性，形成上下聯(lián)動、左右協(xié)調(diào)、協(xié)同參與的完整治理機構(gòu)，最有效地發(fā)揮治理體系互聯(lián)互動、各司其職的作用。

4.2 構(gòu)建多利益主體間數(shù)據(jù)倫理協(xié)作機制

數(shù)智時代數(shù)據(jù)倫理問題已逐漸凸顯，數(shù)據(jù)倫理給傳統(tǒng)的法律規(guī)范、倫理道德帶來了挑戰(zhàn)，傳統(tǒng)的隱私保護方式難適應(yīng)當(dāng)前復(fù)雜多變的環(huán)境。在不同發(fā)展階段，各主體數(shù)據(jù)需求不同，對大數(shù)據(jù)倫理問題的認(rèn)知也不同。英國在數(shù)據(jù)倫理風(fēng)險治理方面認(rèn)為人是技術(shù)使用的主體，也是引發(fā)倫理問題的關(guān)鍵，英國納菲爾德生物倫理委員會主席M.Jonathan教授也表示，大多數(shù)違規(guī)都是人為的，而不是技術(shù)[65]。為此，英國政府單獨設(shè)立數(shù)據(jù)倫理與創(chuàng)新中心，有力支持政府開展并實施數(shù)據(jù)戰(zhàn)略，在確保數(shù)據(jù)驅(qū)動型技術(shù)和人工智能對社會有益的同時，使人類對數(shù)據(jù)和技術(shù)擁有足夠的信任度。英國數(shù)據(jù)倫理與創(chuàng)新中心將和英國內(nèi)閣辦公室種族差異中心聯(lián)合應(yīng)對刑事司法、金融服務(wù)、招聘和地方政府管理中算法決策應(yīng)用的潛在歧視與偏見問題?；诖?，我國在面對數(shù)據(jù)倫理問題時不能采取“一刀切”的形式，重點關(guān)注多利益主體數(shù)據(jù)倫理內(nèi)容與機構(gòu)協(xié)作機制的建立：①經(jīng)濟發(fā)展與數(shù)據(jù)倫理相平衡。根據(jù)我國的實際情況，在經(jīng)濟發(fā)展和生產(chǎn)經(jīng)營中，應(yīng)明確平臺收集消費者基礎(chǔ)信息、消費行為信息等具體的邊界，將道德和社會責(zé)任考慮在內(nèi)，完善各領(lǐng)域數(shù)據(jù)倫理規(guī)范和應(yīng)用標(biāo)準(zhǔn)。②加強數(shù)據(jù)倫理機構(gòu)間協(xié)作。數(shù)據(jù)倫理安全問題呈現(xiàn)出治理的復(fù)雜性和交互性，我國應(yīng)設(shè)立專門機構(gòu)研究數(shù)據(jù)倫理問題，同時細(xì)化機構(gòu)的工作職能，并加強部門間的協(xié)同，提高治理效率。

4.3 建立監(jiān)管沙盒機制有效防控數(shù)據(jù)安全風(fēng)險

為應(yīng)對人工智能、區(qū)塊鏈等新技術(shù)帶來的數(shù)據(jù)安全風(fēng)險，英國對“監(jiān)管沙盒”機制的探索與應(yīng)用，為我國建立符合我國國情的數(shù)據(jù)安全監(jiān)管制度提供了參考。2019年1月國務(wù)院批復(fù)同意北京市在依法合規(guī)的前提下探索“監(jiān)管沙盒”機制；2019年12月中國人民銀行批復(fù)北京市率先在全國開展金融科技創(chuàng)新監(jiān)管試點，探索構(gòu)建中國版的“監(jiān)管沙盒”。這些探索均在金融監(jiān)管領(lǐng)域試行，我國應(yīng)結(jié)合大數(shù)據(jù)創(chuàng)新發(fā)展趨勢和數(shù)據(jù)安全治理實際情況建立“監(jiān)管沙盒”機制，以尋求創(chuàng)新發(fā)展和安全風(fēng)險間的平衡。同時還要明確實行“監(jiān)管沙盒”的目的是實現(xiàn)防范與化解數(shù)據(jù)安全風(fēng)險，因此應(yīng)避免使其成為規(guī)避監(jiān)管并進行監(jiān)管套利的工具。根據(jù)我國目前數(shù)據(jù)安全治理機構(gòu)權(quán)責(zé)，可由國家網(wǎng)信辦牽頭，會同工信部、市場監(jiān)管總局等相關(guān)部委，以部門規(guī)章的形式制定、出臺“監(jiān)管沙盒”制度。對測試項目的豁免僅限于現(xiàn)行的數(shù)據(jù)安全相關(guān)的管理辦法，不得與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等國家法律和行政法規(guī)等上位法相抵觸。這方面可適當(dāng)借鑒英國“監(jiān)管沙盒”模式，僅放寬業(yè)務(wù)規(guī)范而不放寬機構(gòu)準(zhǔn)入，以鼓勵相關(guān)機構(gòu)和企業(yè)進行業(yè)務(wù)創(chuàng)新。通過構(gòu)建各領(lǐng)域數(shù)據(jù)安全治理“監(jiān)管沙盒”機制，全面降低數(shù)據(jù)安全風(fēng)險發(fā)生的機率，提升數(shù)據(jù)安全治理的效能。

4.4 完善數(shù)據(jù)跨境流動安全的制度體系

數(shù)據(jù)跨境流動的敏感性、安全性使其成為數(shù)據(jù)安全治理的重點與難點。英國政府在《歐盟通用數(shù)據(jù)保護條例》數(shù)據(jù)跨境流動要求大框架下，基于國際形勢變化和國家數(shù)據(jù)安全治理思路，積極開展國家數(shù)據(jù)安全治理的探索，如向議會提交國際數(shù)據(jù)傳輸協(xié)議(IDTA)等政策，這些政策規(guī)定出口商將能夠使用IDTA作為數(shù)據(jù)傳輸機制，確保數(shù)據(jù)跨境交易的安全。這一點我國與英國類似，我國作為全球規(guī)模最大的數(shù)字服務(wù)市場，需要規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動。由于數(shù)據(jù)交易和流動內(nèi)容既包括政府、醫(yī)療、金融等多種類型數(shù)據(jù)，還包括數(shù)據(jù)存儲能力、通信能力、算法、算力等系統(tǒng)性的解決方案，因此，國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估辦法》中明確指出堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險，保障數(shù)據(jù)依法有序自由流動。未來一個階段以《數(shù)據(jù)出境安全評估辦法》為中心，我國應(yīng)加強在各行業(yè)、各領(lǐng)域建立完善的數(shù)據(jù)跨境流動風(fēng)險評估監(jiān)管制度，實行領(lǐng)域數(shù)據(jù)分級分類風(fēng)險評估，構(gòu)建領(lǐng)域數(shù)據(jù)跨境交易和流通安全一類一策的制度體系，同時注重所屬部門管轄領(lǐng)域職權(quán)范圍內(nèi)制定制度時的協(xié)調(diào)，確保制度能夠并行使用。

5 結(jié)束語

英國國家數(shù)據(jù)安全治理主要以保護國家安全為主要目標(biāo)，經(jīng)過多年的發(fā)展，數(shù)據(jù)安全治理基本步入法制化軌道，經(jīng)歷了從個人數(shù)據(jù)安全、政府?dāng)?shù)據(jù)安全、網(wǎng)絡(luò)數(shù)據(jù)安全、數(shù)據(jù)倫理安全、人工智能數(shù)據(jù)安全的演進過程。自20世紀(jì)80年代《數(shù)據(jù)保護法案》中較早地提及數(shù)據(jù)安全概念后，英國就開始關(guān)注數(shù)據(jù)安全問題，在此后的發(fā)展過程中英國緊緊圍繞服務(wù)于國家安全的總體目標(biāo)來對數(shù)據(jù)安全進行治理，注重個人數(shù)據(jù)安全與人權(quán)，提出沙盒監(jiān)管治理機制，制度演進由外及里，脫離歐盟后相關(guān)制度仍適用，機構(gòu)呈現(xiàn)出“一中心一張網(wǎng)”的治理特征。基于此特征，本文從治理機構(gòu)、數(shù)據(jù)倫理、監(jiān)管沙盒和數(shù)據(jù)跨境流動四個方面提出對我國數(shù)據(jù)安全治理的啟示。2022年英國首次公布《數(shù)據(jù)改革法案》，旨在簡化數(shù)據(jù)保護相關(guān)立法，屆時英國數(shù)據(jù)保護機制或?qū)②呄蚝喕蛯捤?。脫歐后的英國正逐步形成一個科學(xué)合理的數(shù)據(jù)安全治理體系，為其抵御全球數(shù)據(jù)安全威脅、防范各類數(shù)據(jù)安全事件及實施數(shù)據(jù)安全策略提供了堅實的技術(shù)支撐和可靠的制度保障。