近两年,围绕数据利用与数据安全的议题持续升温。与此同时,数据安全的概念也已经突破传统保护数据机密性、完整性、可用性的范畴,内涵与外延均在不断扩充、延展,必将重复网络安全到网际安全的演进道路,成为一个包罗方方面面的“大安全”的概念。在这样的认知下,世界各国围绕数据资源的竞争博弈正呈现愈演愈烈之势。
一、围绕数据资源的全球性博弈
自2016年欧盟《通用数据保护条例》(GDPR)通过以来,世界各国纷纷加快与数据相关的立法进程,围绕数据安全、个人信息保护的政府监管执法活动日趋活跃。综合分析典型国家数据治理和安全管理思路,可以看出:美国、欧盟等制度较为成熟的国家,紧密围绕本国核心利益和国家整体战略制定数据相关管理思路和具体措施,提升对本土数据资源,乃至全球数据资源的掌控能力和利用能力;实力相对较弱的国家试图通过建立数据本地化或限制数据出境等制度,防止本国数据资源流失;同时,各国数据相关国内法之间冲突持续不断,合作与竞争交织,建立国际层面统一协调机制困难重重。近期美国、欧洲国家的最新举措也显示出国家间围绕数据资源的竞争博弈正在进入全方位、立体化的新阶段。
美国正在积极与盟国谈判,推动落实CLOUD法案。10月初,美英双方在华盛顿签署了世界上首份国家间的《数据互访协议》。此协议是双方落实美国2018年《澄清域外数据合法使用法案(CLOUD法案)》以及英国2019年《犯罪(海外生产订单)法》的重要举措。随后,美国司法部又宣布将与澳大利亚就共享电子证据进行谈判。可以预见,未来美国落实CLOUD法案的策略将是通过与盟友国家签订双边或多边协议,逐步形成一个以美国为中心的电子数据“共享圈”,强化调取全球数据的能力。
欧洲提出建设自主信息基础设施,以减少对外依赖。10月底,德国宣布将与法国共同打造欧洲自己的网络云设施(命名为“Gaia-X”项目),通过建设自主信息基础设施,减少对美国云服务商的依赖。可以说,自GDPR和《非个人数据自由流动条例》相继出台后,欧盟已经基本建立了法律层面的数据利用和数据保护规则体系,开始着手考虑信息技术层面的数据治理和安全能力。
二、我国面临的数据安全突出问题
当前,我国面临的数据安全问题亦不容忽视,我们既有与其他国家类似的数据安全问题,也有亟待解决的特殊性问题。
一是数据泄露事件规模、频次逐年上升,危害日趋严重。根据金雅拓历年的《全球数据泄露水平指数报告》显示,全球范围内数据泄露数量呈现快速攀升趋势,2018年仅上半年全球共泄露数据45亿条,是2017年全年泄露数量的1.7倍。同时,根据波耐蒙研究所发布的《2018年度数据泄露成本分析报告》,2018年企业数据泄露的全球平均成本已从2017年的362万美元上升到386万美元。我国数据泄露事件近年来也是频繁发生,数据泄露量级屡创新高,反应出我国企业和机构的数据安全保护能力还有所欠缺,给外部黑客和内部人员窃取数据提供了可乘之机。
二是非法买卖个人信息已形成分工明确、隐蔽性极高的上下游黑灰产业链。我国的个人信息保护问题很复杂,其中非法买卖个人信息犯罪活动是必须着力解决的紧要问题。近两年来接连曝光的多宗涉及侵害公民个人信息案件,揭示了当前我国个人信息非法买卖问题的严峻性。现今,非法买卖个人信息已经形成完整黑灰产业链,从窃取、清洗数据,到加工贩卖,分工明确,上下游协同;并且通过暗网、境外网站等隐蔽性高、取证难度大的渠道完成违法交易,客观上增加了侦查防治难度。
三是数据安全已经与国家安全产生直接关联,亟需探索新的解决之道。去年年初曝光的“剑桥分析”事件,使全世界认识到利用大数据分析技术操纵民意,干预国家政治格局不再是科技寓言。更为关键的一点是,借助大数据技术对国家重要数据资源进行挖掘分析,有可能获得反映国家军事及科技实力、社会经济运行情况等的关键敏感信息。而随着我国经济社会数字化转型,这些国家重要数据资源可能被企业或社会机构所掌握,甚至可能被外国企业或机构掌握,不论是在我国本土进行数据分析、使用发布结果或带走结果,还是直接跨境转移数据,都会对国家安全带来不利影响。
三、解决数据安全问题需要平衡的两个关系
解决上述数据安全问题,还按照过去的思路,依靠安全手段解决安全问题是不够的。建设促进数据有序利用和流动的数据治理规则体系,在保障数据安全方面同样发挥着关键性作用。而构建有序、健康的数据治理体系,缓解数据安全严峻形势,需要平衡好两个关系。
一是提升政府数据治理能力与保护公民隐私之间的平衡。大数据技术不仅赋能企业,也赋能政府,实现社会治理能力的科学化、精准化、便捷化。政府机构高效采集、有效整合、深化应用政府数据和社会数据的能力显著增强,对提升国家治理水平、维护国家数据安全,具有重要意义。另一方面,政务信息资源包含大量公民个人信息,如何在政务信息资源整合、共享、开放等过程中保护公民隐私安全,需要有更加完善的法律和制度保障。
二是企业追求数据经济价值与保护公民个人信息权益之间的平衡。这个利益平衡,还包括企业与企业间的数据权属与竞争问题,学术界和产业界已开展了诸多研究与探讨,不再赘述。需要注意的是,在当前大部分企业数据保护能力和合规意识尚未完整建立的情况下,因数据泄露、个人信息非法买卖造成对公民个人信息权益、人身财产权益的侵害不容忽视。加强个人信息收集使用行为的监管,是解决当前我国个人信息保护突出问题的有效措施。当然,在制定具体监管要求及标准过程中,也要兼顾企业开发利用数据的诉求。
四、对数据安全问题解决路径的思考
清晰认识当前面临的数据安全形势与问题,理解各方在数据利用和保护方面的需求,有助于抓住问题本质,找准解决路径,笔者认为以下三点需要着重考虑:
一是明确政府部门及履行公职机构的个人信息保护义务与责任。建议《个人信息保护法》 将政府部门及履行公职的机构纳入适用范围,在《网络安全法》第四十五条基础上更加系统地规定其个人信息保护义务及责任。并且参考刑法对履行职责过程中发生的侵害公民个人信息犯罪行为从严从重处罚的精神,对政府部门及履行公职的机构使用个人信息提出更高要求,以此增强民众对自身隐私安全的信心。
二是继续深化个人信息收集使用环节的监管执法。解决当前非法买卖个人信息严重问题,需要公安机关持续开展打击行动,也需要加强规范企业收集使用个人信息行为,督促企业提升数据保护能力。建议在今年四部门App违法违规收集使用个人信息治理专项行动工作成果基础上,有关部门联合探索建立长效监管机制,扩大监管覆盖范围,加强处罚力度,从数据供应源头遏制个人信息非法买卖猖獗势头。
三是重视数据共享环节治理规则和安全体系建设。数据共享渠道的畅通关系到能否释放数据的商业潜能和经济价值,同时数据共享又是高安全风险的数据活动。无论从数据治理,还是从数据安全角度来看,数据共享都是关键环节,需贯彻“发展与安全并重”的理念,实现数据共享规则与安全体系的协同。数据共享应当成为下一个监管重点环节,但政府部门也需要给产业界自行探索建立共享规则和安全保障体系的空间。