引用本文:支振锋.贡献数据安全立法的中国方案[J].信息安全与通信保密,2020(8):2-8.

摘 要

数据是互联网时代信息传播的重要形式,也是数字经济时代的重要生产要素。数据涉及个人生活、生产生活,关乎国家安全和社会治理。作为国家基础性战略资源,围绕数据的开发利用以及个人信息保护、数据跨境流动、数据跨境执法司法协助等,各国竞相出台数据战略等顶层设计以及公共政策、规制措施和法律规范。紧锣密鼓的中国数据安全立法进程,是对国际层面各国数据战略和立法的回应,也是促进自身数据开发利用与安全保障的时代急务。在高度不确定外部环境背景下,我国数据安全立法应避免“闭门造车”,要为全球数据安全立法树立标杆和典范,贡献中国智慧和方案。

关键词:总体国家安全观;数据安全;公共利益;重要数据;多主体协同

内容目录

0 引 言

1 数据安全是互联网国际治理的大哉问

2 准确界定互联网信息时代的网络“数据”

3 充分理解互联网信息时代的数据安全

4 为全球数据安全立法贡献中国智慧

5 结 论

00 引 言

突如其来的新冠疫情,成为对全球各国制度和国家治理的极限考验。信息技术和网络数据的广泛运用,既成为疫情防控的重要助力,也引发了关于个人信息和数据安全的诸多担忧。以 ABCDE(人工智能、区块链、云计算、数据科技和边缘计算)为代表的信息技术与经济社会高度交汇融合,人类生产生活日益加深的网络化、数字化和智能化趋势,促进了数据的迅猛增长。数据已经成为国家基础性战略资源和新的生产要素,被称为21世纪的“钻石矿”。围绕数据开发利用和国家社会安全及公民、法人合法权益保护的冲突问题也愈加凸显。

近年来,全球各国纷纷通过数据安全相关立法。2020年6月28日,我国《数据安全法(草案)》在十三届全国人大常委会第二十次会议上初次提请审议。在“百年未有之大变局”与信息革命的叠加影响下,高质量的数据安全立法将不仅支撑我国经济高质量发展和国家社会安全,也在很大程度上牵涉国际格局变化,影响人类福祉。

01 数据安全是互联网国际治理的大哉问

自有人类以来,就会有数据产生。数据是人类的产物,是人类通过技术对自然万物、社会生活进行记载或记录的结果。在有人类产生之前,浩瀚宇宙、无垠地球都是自然之物,但只有在人类对其进行观察和记录之后,才会形成关于宇宙与地球的数据。在互联网产生之前, 人类也无时无刻不在产生数据,但只有利用信息技术,才能对人体的脉搏、心跳、睡眠、行动轨迹、交易记录、生活习惯和天象、水文、气候、地理、资源,以及生产、运输、销售等自然万物、经济社会生活方方面面进行监测,并搜集、记录,进而形成海量的网络数据以至大数据。在工业生产、电子商务、移动支付等领域,数据更成为制胜的秘诀。可以说,信息技术与经济社会深度交融,既促进了海量数据的产生,也增强了人类搜集、记载数据的能力。全球数据呈现爆发增长、海量集聚的特点,对经济发展、社会治理、国家管理、人民生活都产生了重大影响。为了维护数据安全,保障国家和社会安全而进行数据安全立法,成为大势所趋。

海量数据的汇集,既便利生产生活,也易于成为网络违法犯罪的目标。数据泄露是数据领域的高发事故。2020年5月,国外有一家成人视频网站泄露数据高达108亿条,包括7TB的名称、性取向、付款记录、电子邮件和聊天记录,其中涉及50万名中国用户。更讽刺的是,今年3月,一家英国网络安全公司竟然也泄露了55亿条记录。6月,全球顶级数据公司甲骨文(Oracle)旗下公司被曝因服务器不加密导致了数十亿条记录泄露;亚马逊网络服务数据包也被曝出存在严重泄密风险,涉及几十万用户的 845GB 文件和近 250 万份记录等敏感信息被研究人员轻松获取。

数据泄露不仅可能侵犯网络用户个人信息和隐私,也助长网络犯罪,甚至影响国家政治安全。2016年徐玉玉被骗案中,网络诈骗犯之所以轻易得手,一个重要原因在于犯罪分子轻松攻破“山东省2016高考网上报名信息系统”并植入木马病毒,获取了包括徐玉玉在内的大量考生报名信息,而后将信息转卖出去。波及全球的“剑桥分析事件”,不仅仅涉及8700万脸书(Facebook)用户的数据泄露,更揭露了西方资本和政治精英联盟利用网络进行的政治操纵,严重威胁主权国家的政治安全。社交媒体操纵建构的“混合宣传”模式,对于在线信息传播秩序和网络内容生态具有深远的影响。

由于互联网的全球连通性,除了数据泄露外,网络诈骗、网络黑产、网络攻击等网络犯罪, 影响主权国家政治安全的社交媒体操纵,涉及个人信息保护和国家经济安全的互联网巨头数据跨境流动,以及执法机构调取境外数据等,都是当前各国数据安全面临的紧迫问题。在当前逆全球化盛行、霸权国家奉行单边主义和国际霸凌的背景下,美国对中国科技领域“脱钩断供”,利用“实体清单”打击中国高科技企业, 并开始对抖音海外版Tiktok等中国应用程序动手;印度近日封禁59款中国APP甚至要求交出算法和源代码等,都开了恶劣先例。特别是在美国《澄清域外数据合法使用法》(以下称“云法案”)以及欧美“隐私盾协议”被欧盟法院判决无效的情况下,各国之间如何传输数据以及在数据执法领域如何协调,也成为棘手问题。在认识到数据开发利用、数据跨境流动、数据安全以及跨境执法数据协助重要性的基础上,世界各国也纷纷进行数据安全相关立法。作为互联网技术和应用的领先国家,美国很早就通过《金融现代化法》《公平信用报告法》《联邦证券法》《联邦贸易委员会法》等十数部法律,从个人信息和数据安全保护两个领域进行立法。近年来,美国日益强化对个人信息和数据保护的立法,而且通过出口管控、跨境司法协助等方面的立法(以“云法案”为代表),日益霸道蛮横。其他如欧盟、日本、澳大利亚、泰国等国家和地区,也出台了一系列与数据安全相关的立法。特别值得指出的是,美欧之间以及欧盟、日本之间,曾经通过协议形成了促进数据互通的某些规则性成果。

02 准确界定互联网信息时代的网络“数据”

从目前的国内外立法来看,欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私法案》(CCPA),我国已经提请一审的《数据安全法(草案)》和正在制定的《个人信息保护法》中,在术语选择上,有的用“数据”,有的用“信息”。从内容上看,大多数国家在立法上对数据和信息都未加以区分,因此在理论上引发了很多争议。国际标准化组织认为, 数据是“以一种适合沟通、解释或处理的形式化方式,对信息的可解释性呈现”,数据和信息应该说是一体两面。数据是信息的形式和载体,信息则是数据可以表达的内容。这种解释

可能更符合实际,也更便于理解。就一个特定的场景而言,数据和信息是很难分离的。

《数据安全法(草案)》把数据定义为“任何以电子或者非电子形式的信息的记录”。这个界定过于宽泛。从立法宗旨来看,非电子形式的数据由于涉及物理形态,很难进行“跨境自由流动”,传统上通过档案法、保密法或国际执法司法协助机制,相关问题大体上能得到较好解决,不应该属于数据安全立法所规制的对象。换言之,数据安全立法中的“数据”,在当今的时代背景下,只能是网络数据。因此,《网络安全法》第 76 条第 4 项对数据的界定可能更为合适:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”

电子形式的数据同样类型多样,根据不同的标准有不同的分类。大体上说,电子形式的国家秘密、商业机密、个人信息、密码、重要数据、一般数据(企业生产经营和内部管理信息) 等,都是网络数据。从广义上说,所有这些类别的数据都在数据安全法立法的规制范围内, 而且它们之间常有交叉。但由于已经有了保密法、密码法、网络安全法,并且全国人大常委会也正在制定个人信息法;不同法律任务不同,专门的数据安全立法就应该主要规范关于重要数据和一般数据的数据活动。

也就是说,数据安全立法所规范的应该是“网络数据”,而且还不是全部网络数据,而是电子形式的国家秘密、商业机密、个人信息、密码之外的其他重要网络数据,以及一部分涉及了国家安全和公共利益的一般数据。数据安全立法更为基础,国家秘密、个人信息等其他数据或信息的立法保护,是建立在数据安全法之上的。

特别是,在《网络安全法》已经生效实施三年,但关键信息基础设施、数据跨境流动等相关配套法规仍未出台的情况下,在《数据安全法》立法过程中应该对“数据安全”问题进行充分的理论研究,并结合不同的数据安全要求,对需要进行数据立法规范的网络数据进行准确界定和分类,从而形成《网络安全法》《数据安全法》和《个人信息保护法》等对不同数据类型进行分类保护的法律体系。

03 充分理解互联网信息时代的数据安全

数据安全不出事则已,一旦出事就是大事。根据调研机构 Audit Analytics 近期在《网络安全事件披露趋势》中披露的数据,2011 年以来的639 起上市公司网络安全事件中,平均每起网络数据泄露事件的损失高达 1.16 亿美元,其中近一半公司(43%)却选择隐瞒不报。另有报告显示,2019年,网络犯罪分子在美国暴露了超过50亿条数据记录,导致1.2万亿美元的损失。谷歌近期因个人数据处理不当被法国处罚5000万欧元。

2020 年5月,由于监管标准化数据(EAST)系统数据质量及数据报送存在资金交易信息漏报严重、信贷资产转让业务漏报等违法违规行为,中国银监会一次性在官网挂出9张罚单, 工农中建四大行以及交通、邮储、中信、光大等银行累计被罚1970万元。近两年,华住集团5亿条个人信息被泄露、470万条12306网站数据被不法分子公开贩卖,上市公司数据堂涉嫌侵犯公民个人信息罪被查,APP专项治理工作组查出一系列涉及个人隐私和数据过度搜集的问题,数据安全事故频频爆发,且多与老百姓关系密切。有的可能感受更加明显,比如,“大数据杀熟”、刷单、炒信,以及娱乐界艺人粉丝造假、网红直播带货数据造假等。如果一场直播带货若干亿,那得交多少税?没有纳税证明的直播带货数据,恐怕不靠谱的居多。

因此,所谓数据安全是一个非常宽泛的概念,既包含政治军事等传统安全,也包括非传统安全。这与我国“总体国家安全观”的理念是一致的。2014年,习近平在中央国家安全委员会第一次会议中强调,“既重视传统安全,又重视非传统安全,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”。

基于“总体国家安全观”的要求,我国《国家安全法》第 25 条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”该法第 2 条规定:“国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。”《网络安全法》第18条规定:“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。”《网络安全法》第21条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”该条第 4 款进一步规定:“采取数据分类、重要数据备份和加密等措施。”

数据安全立法与国家安全法、网络安全法一脉相承,在“总体国家安全观”的要求下, 规范数据搜集、存储、加工、使用、提供、传输、交易、公开等全部数据活动。这中间涉及许多环节,也牵涉不同主体。不仅要保障数据本身处于完整、可信、不被篡改的安全状态,还要保障数据处理活动不妨碍国家社会安全以及其他公民、组织的合法权益。国家及不同地区、不同部门,要承担不同的监管职责;网信部门承担统筹协调及数据安全相关监管工作。在此过程中,政府、行业组织、企业、个人都是利益攸关者,所以要建立健全数据安全综合治理体系。

数据中既包含了财富、隐私、商业秘密,还包含国家和社会安全,因此数据安全立法的制度设计十分复杂。作为国家基础战略性资源和新型生产要素,数据已经渗透到国家经济社会生活的方方面面。数据安全立法必须兼顾全方位的利益平衡,监管全周期的数据活动,进行全链条的制度设计。习近平总书记指出,安全是发展的前提,发展是安全的保障。没有信息安全就没有国家安全,没有数据安全同样没有国家安全。我们的数据安全观,是国家总体安全观下的新型安全观,超越了传统安全的范畴。以人民为中心,国家安全、经济安全、社会安全、军事安全、文化安全等,都是数据安全所保障的目标,因此这也涉及安全和发展的平衡,以及各方不同利益的平衡。

为此,一方面国家要鼓励数据开发和安全保障的技术研发及标准制定,促进数据安全检测评估、认证等服务,健全数据交易制度,支持数据开发利用和安全保障方面的人才培养;另一方面,也要针对数据的全生命周期和全产业链条,设计数据分级分类保护,安全风险评估、报告、监测预警和信息共享,应急处置机制,国家安全审查,数据出口管控和数据国际交往等数据安全基本制度;同时具体规定企业开展数据活动中的数据安全管理措施、教育培训、保障措施,数据安全事故报告,重要数据处理者的风险评估,配合执法机构依法进行的数据调取,以及政务数据开放中的安全保障等义务。

04 为全球数据安全立法贡献中国智慧

政务、金融、物流、教育、科技、交通、地理、电信等,各个领域、各个行业的网络数据对个人信息保护和维护国家社会安全都非常重要。大数据已成为推动经济转型发展的新动力、重塑国家竞争优势的新机遇、提升政府治理能力的新途径,世界各国都把推进经济数字化作为实现创新发展的重要动能,在前沿技术研发、数据开放共享、隐私安全保护、人才培养等方面进行前瞻性布局。在此背景下,我国的数据安全立法必须统筹好国内外两个大局。

数据对现代经济至关重要,数据安全必须是数据充分开发利用背景下的安全。在2020年4月9日发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中,数据作为一种新型生产要素与土地、劳动力、资本、技术等传统要素并列。从全球来看,中美数字经济和网信行业发展态势最佳,2019年中国数字经济规模达31.3万亿,达GDP的 34.8%。值得思考的是欧盟,有预测表明,到2020年底,欧盟数字经济潜在增加值达7千亿欧元,可创造1千万就业岗位,然而许多市场份额却被美国拿走。所以,做好数据安全和数据开发利用的平衡非常重要。

作为对数据安全和开发利用进行平衡的综合性解决框架,在当前经济全球化和信息化深入发展,跨国公司极其活跃的情形下,数据安全立法还要考虑对全球贸易的影响。其中最典型的是数据跨境流动问题。跨国公司尤其是互联网巨头汇集了海量的数据,不仅是企业发展的重要资源,也是影响国家安全的重要因素。比如,一个人的支付信息属于个人隐私,但支付宝汇聚了几亿人的支付信息,因此可能涉及国家安全。对于这些规模巨大的跨国公司,它们所汇聚的海量数据是否允许跨境自由流动,成为一种麻烦的问题。如果不允许自由流动, 则企业经营困难;如果允许自由流动,则面临个人信息甚至国家安全的危险。在全球化时代, 欧美日等一些国家已经形成了数据跨境流动的规则性成果。我国如何在维护自身安全的前提下融入国际数据市场,并争夺标准、规则的制定权甚至主导权,是数据安全立法必须考虑的问题。另外,互联网企业如何配合执法机构调取数据,特别是如何应对执法机构跨境调取数据的要求,因为涉及个人隐私和国际政治因素,也是需要考虑的复杂问题。

特别值得重视的是,作为正在迈向网络强国的国家,网络强国战略是我国数据安全立法必须考虑的因素。数据安全立法不仅有底线,还应划出数据活动的红线和高压线。没有国家和社会安全,没有公民、组织合法权益的保障,很难有良好的数据开发利用。但同时也需注意到,我国有世界上最大的网民群体、最大规模的网络市场、最活跃的信息技术应用,以市值、估值和营收为维度,中国企业规模仅均次于美国,远远领先其他国家;我国需要把自身在网信技术研发、产品创新以及标准规则等方面的成果推向世界,将中国最大规模市场优势、最活跃互联网应用优势转化为国际网络空间治理中的话语权和影响力。

在美国奉行“脱钩断供”、单边主义和逆全球化的形势下,我国网信企业在海外的经营活动已经受到了极其不利的影响。我国《国家情报法》第七条规定的“任何组织和公民都应当依法支持、协助和配合国家情报工作”,以及《网络安全法》第28条关于“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助”的规定,虽然法规较为宽泛,但是容易成为西方某些国家的口实,成为他们攻击我国网络安全规范,甚至对我国采取某些不正当措施的借口。另外,我国正在积极践行“一带一路”倡议,积极发展与世界上其他国家的合作。努力服务全球的中国网信企业,也需要更加宽松的法律环境。

因此,对于国家数据安全底线,必须坚决维护,而且在立法上要充满技巧并具有可执行性,避免规定不具备可执行性以及成为西方国家的口实。特别是,保障安全前提下的数据跨境流动和数据开发利用,是非常必要的。在进行数据安全立法时,既要认识到自己的短板,也要对自身的力量和责任充满自信,从而为全球数据立法提供审慎包容、促进交流、鼓励合作的中国方案,贡献网络空间命运共同体建设的中国智慧。

05 结 论

数据作为国家基础性战略资源,蕴藏着无比的财富。对数据的开发利用能力与水平,将深刻影响一个国家的科技进步和经济发展。但数据也意味着风险和危机,个人信息、市场秩序、社会治理和国家安全,也因此都是数据安全立法必须考量的重要因素。

作为互联网信息时代的新问题,数据安全立法是当今急务,却也不能仓促出台。数据安全法规制的是何种“数据”,保护的是什么“安全”,国内外两个大局如何统筹,都既涉及需要认真思考的理论问题,也关系到极其复杂的利益平衡问题,还涉及精巧的立法技术问题,这些都需要认真、翔实的前期研究和准备工作。惟其如此,我们才能更好抓住时代赋予的机遇, 制定出高质量的数据安全立法。

作者简介

支振锋(1977—),男,博士,中国社会科学院法学研究所教授,博士生导师,主要研究方向为网络治理与法治、法理学。

选自《信息安全与通信保密》2020年第八期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。