论文部分内容阅读
DOI:10.3969/j.issn.1008-0821.2021.09.005
[中图分类号]G259.2 [文献标识码]A [文章编号]1008-0821(2021)09-0040-13
进入DT时代,大规模、大体量的数据资源在助力国家全面发展的同时也带来了数据安全新挑战,我国“十四五”规划提出要“强化数据资源全生命周期安全防护”,习总书记指出,要通过加快法规制度建设来保障国家数据安全,由此制定一个科学合理的数据安全制度来防范化解数据安全风险愈发迫切。在如此背景下,2020年7月3日《数据安全法(草案)》公开,在吸收广泛意见的基础上历经两次修改,2021年6月10日《数据安全法》(以下简称“《数安法》”)正式颁布,明确提出“维护数据安全,应当坚持总体国家安全观”并且都单独拿出一章内容规定“数据安全制度”。由此可见,总体国家安全观就是保障数据安全的新法宝,在其指导下构建数据安全制度就是防范化解数据安全风险的最有效措施。总体国家安全观内涵之一“信息安全”以情报学科理解,其含义不单指“信息”的安全,更是指“信息链”的安全,即包括“事实、数据、信息、知识、情报”所有环节的安全。因此,立足于总体国家安全观,对数据安全制度的构建进行探讨,也是情报学科促进国家的创新、发展与安全的重要工作。
1国内外数据安全制度相关进展和研究概述
1.1国内外数据安全制度相关进展概述
美国以及欧洲国家(地区)较早开展数据安全治理相关工作。美国数字经济发展迅速,处于数据技术的创新前沿,在数据安全监管、保护等领域处于世界领先地位。从数据安全立法来看,美国联邦政府采用“行业自律 分散立法”模式,针对不同行业与领域分别立法,比如针对金融领域的《联邦证券法》、针对儿童数据领域的《儿童在线隐私保护法》、针对跨境数据领域的《云法案》和《2019国家安全和個人数据保护法》等一系列法律法规,同时各州政府也出台相应法律法规,比如加州的CCPA法案。从数据安全保障机构来看,美国形成了包括联邦贸易委员会(FTC)、联邦首席数据官委员会、OMB联邦数据政策委员会、联邦通信委员会(FCC)等多机构联合保障数据安全的部门协作机制。从数据相关政策及战略来看,美国近期发布的诸如《大数据研究和开发计划》《联邦大数据研究与发展战略计划》《联邦数据战略2020行动计划》等一系列战略规划都对数据隐私安全保护等方面进行规定。
欧盟对待数据安全十分重视,早在20世纪70年代就出台了全球首个完整意义上的数据保护法——《数据保护指令》,截至目前形成了以《通用数据保护条例》(GDPR)、《关于欧盟各类官方机构处理个人数据的条例》《非个人数据自由流动条例》《数据治理法》《数字服务法》和《数字市场法》等全面完整的数据安全法律保障体系。在数据安全保障机构方面,形成欧盟理事会、欧洲议会、各国数据保护部门、欧洲数据创新委员会、欧洲数据保护委员会(EDPB)以及欧洲数据保护监管机构(EDPS)等多层级、多机构共同治理领导机制。在数据战略层面,欧盟出台的一系列数据发展战略规划都考虑到数据安全保护的问题,比如《欧洲数据战略》提出“数据空间”应对数据保护难题。
其他域外国家(地区)同样在数据安全保护方面发力颇多,英国数据安全治理具备完善的法律法规体系,先后颁布了《2018数据保护法》等法律以及《国家数据战略》等战略;德国通过并多次修改《联邦数据保护法》确立了数据安全治理的整体框架,设立了联邦数据保护特派员,此外,德国还颁布《德国数字2015》《德国数字化战略2025》等多项数字经济发展战略;日本早在2005年就颁布实施了首个个人数据保护专门性法律——《个人信息保护法》,为了进一步保障数据安全,日本随后颁布了《个人数据利用的改革纲要》并在2015年对《个人信息保护法》作出修改。
反观我国的数据安全保障工作发力较晚,我国国家层面上明确要求数据安全始于2015年国务院发布的《促进大数据发展行动纲要》,之后中央与地方制定实施一系列数据安全政策规划,典型代表如《贵阳市政府数据共享开放条例》等。同时,我国跟进了包括《网络安全法》《数据安全法》《个人信息保护法(草案)》等相关数据安全法律的出台。
1.2国内外数据安全制度相关研究概述
国外对于数据安全制度的研究颇为深入,形成了数据安全制度的治理机构、管理人员、工作流程等多方面、多层次研究成果,例如,Brous P等从政府数据安全层面指出,可以设置首席数据官实现数据全生命周期的安全治理,职责为制定数据标准化措施、完成基础架构设施更新并向首席数据官委员会作报告等;Basooriya P等研究了数据完整性委员会的主要工作与主要责任:Voss W G认为在新的框架协议下,欧盟公民可直接向美国数据监察员投诉美国政府不正当收集个人数据的行为并寻求救助措施。
国内数据安全制度的研究在《数据安全法(草案)》发布后开始密集出现,大致分为如下方向:①完善数据安全法律保障制度,如马忠法等从宏观(政府)、微观(企业)以及个人3方面提出完善数据安全的法律保障制度的建议:②建设数据安全保护体系,如马海群等通过定性与定量相结合对《数据安全法(草案)》进行分析,从法律体系、保护制度、监管职责、风险评估给予数据安全保护体系的建设思路;③分析《数据安全法(草案)》所提多种重点制度,如许可分析了数据分类制度、重要数据识别与流通制度,刘金瑞分析重要数据认定与保护制度、数据分级保护制度以及数据跨境管制制度。
综上所述,我国数据安全立法相较国外起步晚、配套制度不充分,我国对数据安全制度的研究多集中于法律层面,缺乏制度构建的逻辑及实践方面的研究,尤其是结合总体国家安全观与数据安全制度的研究极度稀缺。因此,鉴于数据安全对于维护国家安全的重要性,必须高度重视构建数据安全制度的急迫性,特别是在当今我国数据繁荣发展与数据风险并存的背景下,有必要探讨在总体国家安全观的指导下如何构建数据安全制度。 2总体国家安全观下数据安全制度构建的逻辑框架
根据系统论思想,制度在完整意义上是一个由目标价值、规则体系、实施保障和调整对象4种要素组成的复杂系统。同理,数据安全制度也是由此4个要素构成的复杂系统,而且对于这样一种具有多要素、多层级的制度系统的构建,也必须站在总体国家安全观统筹一切的高度上进行考量。同时,《数安法》在“数据安全制度”一章设计规定了6项子制度,即数据分类分级制度、数据安全风险管理制度(评估、报告、信息共享、检测预警)、数据安全应急处置制度、数据安全审查制度、数据出口管制制度和反制歧视制度,而且借鉴相关制度构建经验,数据安全制度还应包括制度本身的评估、监督与反馈制度。综合分析,本研究提出总体国家安全观下数据安全制度的构建逻辑架构,如图1所示。其中,总体国家安全观居中统筹,是一切基本要素与基本子制度的起始点与落脚点。对于内部基本要素圈,总体国家安全观统筹并作用于目标价值、规则体系、实施保障和调整对象,同时目标价值是数据安全制度的逻辑起点,直接作用于规则体系和实施保障,间接作用于调整对象;对于外部基本子制度圈,要以内圈基本要素为基石进行指导构建。至此总体国家安全观已经通过“总体国家安全观直接统筹并作用于基本要素→以基本要素为基石指导基本子制度的构建”这样一个由内而外的路径,全面融入到数据安全制度的具体构建工作中,而这也符合总体国家安全观方法论之一的“系统思维”。下文第2大点详细阐述总体国家安全观下数据安全制度的基本要素,即目标价值(包括以民为本、协同发展、激励相容、和谐性以及与时俱进原则)、规则体系(包括实体规则以及程序规则)、实施保障(包括实施主体以及实施手段)、调整对象,第3大点结合基本要素与国内外经验分析7种子制度如何构建。
2.1目标价值
目标价值乃制度之魂,间接存在于一切规则中,从深层次含义上代表制度的理念。反过来看,制度的理念是指制度的目标价值追求,因此,可以认为制度的目标价值等同于制度的理念。《数安法》从法律层面上指出数据安全制度的指导理念或者目标价值就是总体国家安全观,并且从逻辑层面看,制度总在制度系统之中,即数据安全制度并不孤立存在,而是处于中国特色安全制度系统之中,而“总体国家安全观是中国特色安全制度的核心考量”,因而,无论是法律要求亦或内部逻辑,数据安全制度的构建过程中应然也必然要坚持深挖总体国家安全观作为目标价值的精髓。但是制度的理念或者目标价值往往十分抽象,而制度的原则是对制度理念的具体表达。换言之,总体国家安全观作为数据安全制度的目标价值具有抽象性,因此,在构建过程中要将总体国家安全观这个抽象的目标价值化为一定原则来指导规则体系、实施保障构建等工作,本研究结合总体国家安全观从如下5方面讨论构建原则:以民为本原则、协同发展原则、激励相容原则、和谐性原则、与时俱进原则。
2.1.1以民为本原则
习总书记在中央国家安全委员会第一次会议强调,“贯彻落实总体国家安全观,要坚持以人民安全为宗旨”,而《数安法》第28条中明确指出,开展数据处理活动要“增进人民福祉”。总结其逻辑脉络即“构建数据安全制度,保障数据安全→维护国家安全→保障人民安全”,故而构建数据安全制度虽以“数据安全”命名,然则是以“人民安全”为内核。
2.1.2协同发展原则
总体国家安全观“既强调安全,又强调发展”。马海群等对《数安法》进行定量研究,指出“数据开发利用、开展数据活动、数据交易”等有关“数据活动”的词汇出现频次与对应“保障、保护”词汇出现频次大致相同。孙瑞英等指出政府、企事业单位、个人等既需要数据开放与共享,也需要维护数据安全。总结来看,保护数据安全,不是简单地把数据“圈地为牢”围困住,而是要让数据在流动过程中防范化解危害国家安全、危害人民利益的灾难行为,因此,构建数据安全制度的过程中要注意数据共享、开发利用等活动与数据安全协同协作,做到既要安全又要发展。
2.1.3激励相容原则
激励相容指所有制度制定的各种激励都能够对每个参与者进行有效地激励,使得参与者利己行为结果与给定的国家或社会的集体价值最大化的目标相吻合。根据经济人假设,人往往是自利性的劳动主体,好的制度建立和设计可能会直接引导人们利己行为,促使个人的目标和制度的目标趋于统一。数据安全制度的设计建立构造的奥妙之处在于参与者能够在实现其个人利益最大化的基础上,同时能够保障数据安全以及更深层次国家安全,而总体国家安全观即是我国各族人民群众安全利益最集中的体现,因此从全局的角度来看,我国在总体国家安全观下构建数据安全制度具有天然的优越性。
2.1.4和谐性原则
和谐是总体国家安全观的根本属性。所谓制度和谐,是指制度本身应该合理、完善,具有自洽性。合理性要求数据安全制度建构使“制度要合乎情理,特别是合乎自由与正义”;完善性要求数据安全制度建构最大程度削减乃至消除制度真空,减少“钻空子”“上有政策,下有对策”等现象的发生;自洽性要求数据安全制度建构内在逻辑一致,不含悖论。同时对外,数据安全制度應与中国特色安全制度体系内其他制度匹配、协作、互补。
2.1.5与时俱进原则
总体国家安全观具有与时俱进的发展品质。制度会随着目标、环境等因素的变化而调整,因而制度的构建应成为一种有目的的制度变迁。比如,如今新技术的发展飞速,大数据、人工智能、区块链等新技术深刻改变了人们开发、获取、传播、利用数据的方式,无人能断言下一代新技术来临时数据本身及其流动会发生何种变化。因而,总体国家安全观下数据安全制度的构建工作必须重视新技术、新环境等因素带来的冲击,必须与时俱进、灵活应对。
2.2规则体系
规则体系使制度具有了形式化的内容以及规范化的意义。基于制度的目标价值及其构建原则,需要进一步建立制度的规则体系,规则体系细分可分为实体规则与程序规则。数据安全制度的实体规则包括行为规范与权力义务规范两种。首先,“权力义务规范是制度的核心构成”,制度需要明确权利义务关系以构成对主体地位的确定,若无法厘清权利义务关系则无法明确其行动界限。数据安全制度在总体国家安全观环境下的最典型的权利义务关系就是主体的“数据权利”与“数据义务”。对于“数据权利”,宏观层次上,总体国家安全观所辖多种安全以及“以民为本”的构建原则已经确保了各主体在各领域的合法数据权益:具体问题上,需要对典型问题仔细考量,如在数据处理活动中人的数据权如何确权、个人数据权与数据财产权该如何规限等,这牵扯到社会大环境下,人与数据的关系如何协调。国外在此方面具有更为明晰的解释与规限可供建构参考,比如CPDR规定数据主体修正权、被遗忘权、限制处理权等7项权力;CCPA则结合概念与举例为数据主体提供了对“个人数据”范围相对清晰的判断依据,从而避免双方认知偏差过大。对于“数据义务”也就是“数据安全保护义务”,需要认真思考如何保证各主体的数据安全义务得以更好地履行,《数安法》专门设有“数据安全保护义务”章节,从法律层面上保障义务的履行,但这还不足以支撑起整个保障体系,还需要各下层机构按照“激励相容”等构建原则设计更为细化、科学的条例条款保障义务履行。其次,行为规范是由“条件假设 处分”构成即“行为模式 行为后果”构成的,对于数据安全制度构建而言,即明确数据主体在特定条件下可做什么,不可做什么,以及违反有什么后果,数据安全制度的行为模式可划分应当、可以和不得3种类型,处分后果则依据事态严重程度划分。 至于程序规则,其重要性不亚于实体规则,起着程序规范保障作用。研究发现,“程序规则/实体规则”的比值越高,制度的可执行性越强,意味着一个制度得到执行应该是大量的、周密的程序制度。因此,构建数据安全制度需要一系列严谨的程序设计,《数安法》多次提及数据处理活动以及数据安全行为要依照程序进行,实际上我国古代也十分重视程序,比如古代之“礼”颇具复杂精妙的规则与程序。在数据安全制度构建过程中,当实体规则难以设计或分歧较大时,不妨努力设计程序规范,如此可满足制度目标价值的实现。
2.3实施保障
制度实施保障包括实施主体和实施手段(实施制度的物质工具、非物质工具)。总体国家安全观多方位、多方面安全兼顾,是一个“覆盖社会全领域的安全战略体系”,这就要求数据安全制度的实施手段要更为全面、先进,这样才能有力地掌控社会全领域的数据安全。数据安全制度物质和非物质工具可以从实用性工具和象征性工具来理解。数据安全制度的物质工具即实用性工具,囊括数据处理的软硬件资源、基础设施,数据处理部门的管理能力,国家权威力量、法庭、监狱等。非物质工具即象征性工具,系指一个制度意识层面的威严、力量和价值,可以起到团结成员、协调行动等作用,如国家安全意识日、学校思想教育、媒体宣传等。《数安法》第9条明确指出“国家支持开展数据安全知识宣传普及”,表明我国从立法层面上重视非物质工具的作用,我国在实践上也没落伍,如我国近期提出的《全球数据安全倡议》,呼吁政府、国际组织、IT企业、民间机构和个人等共同促进数据安全。因此,在实际构建过程中,注重物质工具建设与更新的同时,也绝不可忽视非物质工具的重要作用,要利用好非物质工具的强大力量,以合理的实用工具搭配绝妙的意识传播辅助才能使数据安全制度内化成为人们的行为习惯,以符合总体国家安全观“全面、先进”的要求。
总体国家安全观的主体既包括国家层面,又包括诸如社会机构等非国家层面,这就要求数据安全制度应该让总体国家安全观的各主体,即国家、社会机构以及人民等都参与进来,打造真正的“数据安全共同体”。从实施主体考虑,设立一个对国家数据安全工作统一管理的机构,不仅满足《数安法》第5、21、22所提建立“国家数据安全工作协调机制”的要求,也是各国保障数据安全的普遍做法。我国应该对参与数据活动的主体进行统一管辖,建立一体化的数据安全保障机构体系,依据《数安法》可从如下方面考虑:一是中央国家安全领导机构组成数据安全委员会(以下简称“数据安全委员会”)作为统筹协调机构,负责统筹协调、进行决策、制定有关数据安全政策方针、指导政策实施工作等,除数据安全委员会之外,军用数据安全由中央军委负责;二是面向数据安全的各领域国家机关(以下简称“安全部分”),负责研读解析数据安全委员会的政策方针,接收来自企业与社会机构的情报分析并做出决策,负责具体实体规则以及程序规则的实施,监管各行业、各领域数据,其中公安机关和国家安全机关依法可对涉及威胁的数据监管与管控,网信部可对网络数据监管;三是面向数据安全服务的各企业、行业组织、科研机构及社会机构(以下简称“服务部分”),负责提供诸如数据安全检测评估和认证、数据安全人才培养、数据标准制定等服务;四是国家数据安全平台(以下简称“安全平台”),负责数据安全相关资源与技术共享和整合。现提出数据安全制度的实施主体架构,如图2所示。
2.4调整对象
调整对象即制度的要求所指,设定对象确定了制度的运行场所和作用范围。依据《数安法》,只要是境内或境外开展或涉及我国数据的处理活动就是数据安全制度的调整对象。总体国家安全观所辖多种安全拓展了调整对象,使其从笼统的境内与境外方面具体化为涉及政治安全的数据处理活动、涉及国土安全的数据处理活动、涉及军事安全的数据处理活动、涉及经济安全的数据处理活动、涉及文化安全的数据处理活动、涉及社会安全的数据处理活动、涉及科技安全的数据处理活动、涉及信息安全的数据处理活动、涉及生态安全的数据处理活动、涉及资源安全的数据处理活动、涉及核安全的数据处理活动、涉及生物安全的数据处理活动等。因此,使得数据安全制度的作用范围得到极大的延伸,充分考虑到了多方面的数据安全。而这其中又牵扯到数据安全区分的问题,从总体国家安全观所分传统安全与非传统安全这个角度看,数据安全也可分为传统数据安全与非传统数据安全,如表1所示,传统数据安全应对的是来自人为实地窃取损害信息载体介质行为、传统计算机病毒、传统黑客攻击等传统威胁,而非传统数据安全应对的是新型云攻击、跨国窃取攻击行为、大数据攫取等新型威胁。因而在构建过程中,需要处理好数据活动中数据安全牵扯的多种关系,以使数据安全制度的运行场所和作用范围确定。
3总体国家安全观下数据安全制度的子制度分析
3.1數据分类分级制度
数据分类分级是界定数据安全和数据处理活动之间界限的一个重要依据。近期国内颇多领域与行业积极制定本领域内相关数据分类分级规定,典型代表如表2所示,但是站在国家层面上的全局数据分类分级却没有得到重视,成果甚少,如《网络安全法》只提出采取数据分类,《数安法》简单提及要建立“重要数据目录”和数据可以按照被破坏后的影响进行分类分级,同样没有给出具体标准。
通过表2对比分析得出公有原则,确立数据分类分级制度要厘清分类分级概念,先分类、再分级。理论上,数据分类重数据之间的“关系”,分类颗粒度要合适,既要避免因太过粗放导致无法精细、精确分类的情况,又要避免因过于精细导致无可分类的情况,而且要具有良好的拓展性,为将来新型数据的产生留空隙:数据分级重数据的“特征”,可从数据敏感度、数据被损害后的影响度、既往经验与法规硬性要求4方面考虑。
实践上,借鉴域外“他山之石”,如美国倾向于设立专门机构将受控非密信息分为金融等20大类,大类细分为124子类,具体工作可从以下方面考量:关于分类,在“数据安全委员会”下设立数据分类工作机构,向“服务部分”提供数据安全服务的企业与社会标准机构委派任务,同时组建各行业、各领域专家组,按照以上公有原则审核标准划分数据大小类,建立统一的标识制度和登记备案系统,确保每个子类均有详细的定义、具体的实例、各自强制分类标识、所对应分级保护标准以及相应法律责任;关于分级,从表2可以看出中央与地方有较大的共识,所欠缺的就是统一分级标准,可分为两套体系标准,政府军警数据从低到高分为非机密、机密、秘密、绝密,非政府军警数据从低到高分为非重要可公开、非重要但不宜公开、重要可公开、重要不公开、极其重要绝不公开;对于新种类数据,发现主体应当及时申报地方主管部门,由地方向中央数据安全管理委员会统一报批定级,在未定类定级前,发现主体需按照最高安全等级操作。 3.2数据安全风险管理制度
数据安全风险管理机制(评估、报告、信息共享、检测预警)核心在于如何管控数据生命周期所有阶段(采集、传输、存储、处理、应用和销毁)以及数据的硬件设备和物理环境存在的潜在风险。管理和技术双推进可降低甚至消弭数据风险。在管理层面,“安全部分”要做到:①化被动处理为主动管控,推进数据安全风险管理规范和标准体系建设;②设置专门工作组将风险管理常态化,同步开展风险的评估、报告、信息共享、检测预警等技术开发及应用工作;③政府主导,各主体共同参与,比如美国数据安全评估工作交由第三方机构并严格规定从项目初始评估到实时监控各环节的标准,“安全部分”也可指导“服务部分”的社会数据安全评测机构开展相关工作;④将风险管理精细化,要求全方位、全流程风险检测,并在信息共享的基础上通过大数据手段预判风险,同时宣传风险文化。在技术层面上,国内外存在颇多重要的数据安全模型,比如英国的DCC模型、澳大利亚的ANDS模型、国内的DSMM模型,因此“数据安全委员会”通过参考形成更为全面的安全模型。数据安全风险管理需要结合数据类型及数据生命周期不同阶段风险进行具体分析,数据生命周期各阶段各自风险如图3所示(借鉴参考文献图样并进行部分修改)。在确定风险类型之后,可对症下药,采取相应的技术及管理方法化解风险,例如解决数据传输风险问题可以使用区块链的强效加密技术,此外还需注意数据周边风险,即数据硬件设备风险和物理环境风险。
3.3数据安全应急处置制度
在《数安法》的影响下,我国各地方、各领域已经开始明确提出建立数据安全应急处置机制,如近期发布的《安徽省大数据发展条例》第44条指出,制定有关数据安全的应急预案并按时演练。但是相较于完善的互联网信息安全应急处理体系,数据安全应急处置还显得“响应迟缓、人工干预”,尤其是对比美国建立的以“爱因斯坦计划”与安全体系为标志的动态信息安全管控应急机制。借鉴我国特色防灾防疫应急管理体系的成功经验,在协同理论指导下数据安全委员会应构建一个覆盖“点(个体)、线(各行业各领域)、面(政府)”、分类管理和分级负责、流程标准化的高效工作机制。“点线面”全覆盖即在“数据安全委员会”统一领导下建立面向各级政府、各行业各领域、个体的数据应急分管点,通过应用大数据监控、区块链等技术形成一个横纵联动配合、条块结合、全过程管理的三级数据安全应急处置网络平台。分类管理和分级负责目的是专业应对,借鉴《信息安全技术信息安全事件分类分级指南》,可出台专门针对数据安全事件的分类分级指南以确定统一标准,注意数据安全风险发生和发展迅速、不易觉察、专业性强、危害性高的特点,确定不同级别的数据风险由不同级别的政府启动应急措施。根据数据处理活动的特性相对应的面向数据安全的政府机关将风险应急流程标准化、精细化和规范化,同时针对高频数据安全风险事件设置专项预案,这一切都必须建立在“安全平台”上,比如某领域中心数据泄露被数据安全平台的大数据监控分析到,之后迅速逐级上报,根据风险等级启动专项应急预案。
3.4数据安全审查制度
美欧走在数据安全审查的前列,近期发布多项法规对个人数据审查做出说明,比如2018年美国的《外资投资风险审查现代化法案》和2019年欧盟的《关于建立欧盟外国直接投资审查框架的条例》。同时,2020年我国颁布的《网络安全审查办法》(以下简称“《办法》”)建立了较为完善的网络安全审查制度,而且数据安全审查与网络安全审查制度两者存在一定的交叉重复,关键在于如何考量其审查机制、审查内容、审查标准等。因此借鉴国内外相关审查制度,可对数据安全审查制度的构建起一定指导意义。
首先,《办法》理顺了统一领导、相互协调的审查机制,即明确由中央网络安全和信息化委员会统一领导审查工作。美国也专设网络安全审查机构,因此亦可在“数据安全委员会”下设立数据安全审查专项工作机构,做到能够跨部门联合审查。其次,《办法》审查重点进一步突出了供应链安全,而且美国网络安全审查范围扩大到全球供应链安全管理,因而以全球供应链视角进行数据安全审查,将数据安全审查渗透到涉及国家安全的全部数据、涉及数据全生命周期,将技术审查、资质审查、企业审查等全面结合,对数据处理活动包括产品与服务等有关的人员、设备及规范等全周边、全周期进行审核检测,最大限度地维护我国数据主权、安全和发展利益。最后,《办法》确立了具体清晰、操作性强的审查程序,数据安全审查理应设置清晰透明、可操性强的审查程序,对政府机关审查、海内外运营者申报等流程提供明确指引,防止審查久拖不决。
3.5数据出口管制制度
数据出口即数据向外跨境流动,数据出口管制是为了保障数据向外跨境流动安全。迄今为止,我国相较欧美等数据保护发达的国家(地区)存在域外数据获取使用传统司法救助方式、数据跨境流动战略政策多聚焦防御(即多关注数据的境内安全)、相关机构管理分散3个大问题。近期我国的数据保护立法针对此问题做出更为详尽的说明,典型代表如2021年5月12日网信办公开《汽车数据安全管理若干规定(征求意见稿)》(以下简称《规定》)。因此,吸纳“规定”以及域外先进经验可对数据出口管制起一定借鉴意义,站在博弈论角度,我国采取数据存储本地化的跨境数据流动政策能实现利益最大化,而这也符合《网络安全法》《数安法》以及《规定》所提及的数据境内存储规定,但是欧美不仅稳固防守还能“主动出击”,即打造海外管辖权,因此我国在数据本地化存储的基础上要具有国际数据战略思维,行使正当合理的数据出口海外长臂管辖权。弥补数据出口管制的不完善之处的具体规则如下:首先,需要强化数据出口的法制建设,全盘考虑如《数安法》《出口管制法》《规定》等所有提及数据出境制度的政策法规之间的配合及衔接;其次,完善数据出口过程中相关主体的风险管理责任,在“数据安全委员会”的统筹下,形成政府宏观审慎监控、行业协会自律监管、数据持有主体积极自查的三位一体组织架构;再次,《规定》强调数据出口评估和年度备案的重要性,因此可鼓励“服务部分”第三方机构提供包括数据出口安全报告、安全资质信用评级、年度备案等服务以供给“安全部分”决策并上传“安全平台”;最后,在总体国家安全观的国际安全合作理念指导下,积极主动与国际接轨,我国在对数据跨境流动、数据出口管制时可借鉴欧盟、美国等发达国家(地区)在数据跨境流动国际合作中的有益工具,如CBPR体系、“隐私盾”等。
[中图分类号]G259.2 [文献标识码]A [文章编号]1008-0821(2021)09-0040-13
进入DT时代,大规模、大体量的数据资源在助力国家全面发展的同时也带来了数据安全新挑战,我国“十四五”规划提出要“强化数据资源全生命周期安全防护”,习总书记指出,要通过加快法规制度建设来保障国家数据安全,由此制定一个科学合理的数据安全制度来防范化解数据安全风险愈发迫切。在如此背景下,2020年7月3日《数据安全法(草案)》公开,在吸收广泛意见的基础上历经两次修改,2021年6月10日《数据安全法》(以下简称“《数安法》”)正式颁布,明确提出“维护数据安全,应当坚持总体国家安全观”并且都单独拿出一章内容规定“数据安全制度”。由此可见,总体国家安全观就是保障数据安全的新法宝,在其指导下构建数据安全制度就是防范化解数据安全风险的最有效措施。总体国家安全观内涵之一“信息安全”以情报学科理解,其含义不单指“信息”的安全,更是指“信息链”的安全,即包括“事实、数据、信息、知识、情报”所有环节的安全。因此,立足于总体国家安全观,对数据安全制度的构建进行探讨,也是情报学科促进国家的创新、发展与安全的重要工作。
1国内外数据安全制度相关进展和研究概述
1.1国内外数据安全制度相关进展概述
美国以及欧洲国家(地区)较早开展数据安全治理相关工作。美国数字经济发展迅速,处于数据技术的创新前沿,在数据安全监管、保护等领域处于世界领先地位。从数据安全立法来看,美国联邦政府采用“行业自律 分散立法”模式,针对不同行业与领域分别立法,比如针对金融领域的《联邦证券法》、针对儿童数据领域的《儿童在线隐私保护法》、针对跨境数据领域的《云法案》和《2019国家安全和個人数据保护法》等一系列法律法规,同时各州政府也出台相应法律法规,比如加州的CCPA法案。从数据安全保障机构来看,美国形成了包括联邦贸易委员会(FTC)、联邦首席数据官委员会、OMB联邦数据政策委员会、联邦通信委员会(FCC)等多机构联合保障数据安全的部门协作机制。从数据相关政策及战略来看,美国近期发布的诸如《大数据研究和开发计划》《联邦大数据研究与发展战略计划》《联邦数据战略2020行动计划》等一系列战略规划都对数据隐私安全保护等方面进行规定。
欧盟对待数据安全十分重视,早在20世纪70年代就出台了全球首个完整意义上的数据保护法——《数据保护指令》,截至目前形成了以《通用数据保护条例》(GDPR)、《关于欧盟各类官方机构处理个人数据的条例》《非个人数据自由流动条例》《数据治理法》《数字服务法》和《数字市场法》等全面完整的数据安全法律保障体系。在数据安全保障机构方面,形成欧盟理事会、欧洲议会、各国数据保护部门、欧洲数据创新委员会、欧洲数据保护委员会(EDPB)以及欧洲数据保护监管机构(EDPS)等多层级、多机构共同治理领导机制。在数据战略层面,欧盟出台的一系列数据发展战略规划都考虑到数据安全保护的问题,比如《欧洲数据战略》提出“数据空间”应对数据保护难题。
其他域外国家(地区)同样在数据安全保护方面发力颇多,英国数据安全治理具备完善的法律法规体系,先后颁布了《2018数据保护法》等法律以及《国家数据战略》等战略;德国通过并多次修改《联邦数据保护法》确立了数据安全治理的整体框架,设立了联邦数据保护特派员,此外,德国还颁布《德国数字2015》《德国数字化战略2025》等多项数字经济发展战略;日本早在2005年就颁布实施了首个个人数据保护专门性法律——《个人信息保护法》,为了进一步保障数据安全,日本随后颁布了《个人数据利用的改革纲要》并在2015年对《个人信息保护法》作出修改。
反观我国的数据安全保障工作发力较晚,我国国家层面上明确要求数据安全始于2015年国务院发布的《促进大数据发展行动纲要》,之后中央与地方制定实施一系列数据安全政策规划,典型代表如《贵阳市政府数据共享开放条例》等。同时,我国跟进了包括《网络安全法》《数据安全法》《个人信息保护法(草案)》等相关数据安全法律的出台。
1.2国内外数据安全制度相关研究概述
国外对于数据安全制度的研究颇为深入,形成了数据安全制度的治理机构、管理人员、工作流程等多方面、多层次研究成果,例如,Brous P等从政府数据安全层面指出,可以设置首席数据官实现数据全生命周期的安全治理,职责为制定数据标准化措施、完成基础架构设施更新并向首席数据官委员会作报告等;Basooriya P等研究了数据完整性委员会的主要工作与主要责任:Voss W G认为在新的框架协议下,欧盟公民可直接向美国数据监察员投诉美国政府不正当收集个人数据的行为并寻求救助措施。
国内数据安全制度的研究在《数据安全法(草案)》发布后开始密集出现,大致分为如下方向:①完善数据安全法律保障制度,如马忠法等从宏观(政府)、微观(企业)以及个人3方面提出完善数据安全的法律保障制度的建议:②建设数据安全保护体系,如马海群等通过定性与定量相结合对《数据安全法(草案)》进行分析,从法律体系、保护制度、监管职责、风险评估给予数据安全保护体系的建设思路;③分析《数据安全法(草案)》所提多种重点制度,如许可分析了数据分类制度、重要数据识别与流通制度,刘金瑞分析重要数据认定与保护制度、数据分级保护制度以及数据跨境管制制度。
综上所述,我国数据安全立法相较国外起步晚、配套制度不充分,我国对数据安全制度的研究多集中于法律层面,缺乏制度构建的逻辑及实践方面的研究,尤其是结合总体国家安全观与数据安全制度的研究极度稀缺。因此,鉴于数据安全对于维护国家安全的重要性,必须高度重视构建数据安全制度的急迫性,特别是在当今我国数据繁荣发展与数据风险并存的背景下,有必要探讨在总体国家安全观的指导下如何构建数据安全制度。 2总体国家安全观下数据安全制度构建的逻辑框架
根据系统论思想,制度在完整意义上是一个由目标价值、规则体系、实施保障和调整对象4种要素组成的复杂系统。同理,数据安全制度也是由此4个要素构成的复杂系统,而且对于这样一种具有多要素、多层级的制度系统的构建,也必须站在总体国家安全观统筹一切的高度上进行考量。同时,《数安法》在“数据安全制度”一章设计规定了6项子制度,即数据分类分级制度、数据安全风险管理制度(评估、报告、信息共享、检测预警)、数据安全应急处置制度、数据安全审查制度、数据出口管制制度和反制歧视制度,而且借鉴相关制度构建经验,数据安全制度还应包括制度本身的评估、监督与反馈制度。综合分析,本研究提出总体国家安全观下数据安全制度的构建逻辑架构,如图1所示。其中,总体国家安全观居中统筹,是一切基本要素与基本子制度的起始点与落脚点。对于内部基本要素圈,总体国家安全观统筹并作用于目标价值、规则体系、实施保障和调整对象,同时目标价值是数据安全制度的逻辑起点,直接作用于规则体系和实施保障,间接作用于调整对象;对于外部基本子制度圈,要以内圈基本要素为基石进行指导构建。至此总体国家安全观已经通过“总体国家安全观直接统筹并作用于基本要素→以基本要素为基石指导基本子制度的构建”这样一个由内而外的路径,全面融入到数据安全制度的具体构建工作中,而这也符合总体国家安全观方法论之一的“系统思维”。下文第2大点详细阐述总体国家安全观下数据安全制度的基本要素,即目标价值(包括以民为本、协同发展、激励相容、和谐性以及与时俱进原则)、规则体系(包括实体规则以及程序规则)、实施保障(包括实施主体以及实施手段)、调整对象,第3大点结合基本要素与国内外经验分析7种子制度如何构建。
2.1目标价值
目标价值乃制度之魂,间接存在于一切规则中,从深层次含义上代表制度的理念。反过来看,制度的理念是指制度的目标价值追求,因此,可以认为制度的目标价值等同于制度的理念。《数安法》从法律层面上指出数据安全制度的指导理念或者目标价值就是总体国家安全观,并且从逻辑层面看,制度总在制度系统之中,即数据安全制度并不孤立存在,而是处于中国特色安全制度系统之中,而“总体国家安全观是中国特色安全制度的核心考量”,因而,无论是法律要求亦或内部逻辑,数据安全制度的构建过程中应然也必然要坚持深挖总体国家安全观作为目标价值的精髓。但是制度的理念或者目标价值往往十分抽象,而制度的原则是对制度理念的具体表达。换言之,总体国家安全观作为数据安全制度的目标价值具有抽象性,因此,在构建过程中要将总体国家安全观这个抽象的目标价值化为一定原则来指导规则体系、实施保障构建等工作,本研究结合总体国家安全观从如下5方面讨论构建原则:以民为本原则、协同发展原则、激励相容原则、和谐性原则、与时俱进原则。
2.1.1以民为本原则
习总书记在中央国家安全委员会第一次会议强调,“贯彻落实总体国家安全观,要坚持以人民安全为宗旨”,而《数安法》第28条中明确指出,开展数据处理活动要“增进人民福祉”。总结其逻辑脉络即“构建数据安全制度,保障数据安全→维护国家安全→保障人民安全”,故而构建数据安全制度虽以“数据安全”命名,然则是以“人民安全”为内核。
2.1.2协同发展原则
总体国家安全观“既强调安全,又强调发展”。马海群等对《数安法》进行定量研究,指出“数据开发利用、开展数据活动、数据交易”等有关“数据活动”的词汇出现频次与对应“保障、保护”词汇出现频次大致相同。孙瑞英等指出政府、企事业单位、个人等既需要数据开放与共享,也需要维护数据安全。总结来看,保护数据安全,不是简单地把数据“圈地为牢”围困住,而是要让数据在流动过程中防范化解危害国家安全、危害人民利益的灾难行为,因此,构建数据安全制度的过程中要注意数据共享、开发利用等活动与数据安全协同协作,做到既要安全又要发展。
2.1.3激励相容原则
激励相容指所有制度制定的各种激励都能够对每个参与者进行有效地激励,使得参与者利己行为结果与给定的国家或社会的集体价值最大化的目标相吻合。根据经济人假设,人往往是自利性的劳动主体,好的制度建立和设计可能会直接引导人们利己行为,促使个人的目标和制度的目标趋于统一。数据安全制度的设计建立构造的奥妙之处在于参与者能够在实现其个人利益最大化的基础上,同时能够保障数据安全以及更深层次国家安全,而总体国家安全观即是我国各族人民群众安全利益最集中的体现,因此从全局的角度来看,我国在总体国家安全观下构建数据安全制度具有天然的优越性。
2.1.4和谐性原则
和谐是总体国家安全观的根本属性。所谓制度和谐,是指制度本身应该合理、完善,具有自洽性。合理性要求数据安全制度建构使“制度要合乎情理,特别是合乎自由与正义”;完善性要求数据安全制度建构最大程度削减乃至消除制度真空,减少“钻空子”“上有政策,下有对策”等现象的发生;自洽性要求数据安全制度建构内在逻辑一致,不含悖论。同时对外,数据安全制度應与中国特色安全制度体系内其他制度匹配、协作、互补。
2.1.5与时俱进原则
总体国家安全观具有与时俱进的发展品质。制度会随着目标、环境等因素的变化而调整,因而制度的构建应成为一种有目的的制度变迁。比如,如今新技术的发展飞速,大数据、人工智能、区块链等新技术深刻改变了人们开发、获取、传播、利用数据的方式,无人能断言下一代新技术来临时数据本身及其流动会发生何种变化。因而,总体国家安全观下数据安全制度的构建工作必须重视新技术、新环境等因素带来的冲击,必须与时俱进、灵活应对。
2.2规则体系
规则体系使制度具有了形式化的内容以及规范化的意义。基于制度的目标价值及其构建原则,需要进一步建立制度的规则体系,规则体系细分可分为实体规则与程序规则。数据安全制度的实体规则包括行为规范与权力义务规范两种。首先,“权力义务规范是制度的核心构成”,制度需要明确权利义务关系以构成对主体地位的确定,若无法厘清权利义务关系则无法明确其行动界限。数据安全制度在总体国家安全观环境下的最典型的权利义务关系就是主体的“数据权利”与“数据义务”。对于“数据权利”,宏观层次上,总体国家安全观所辖多种安全以及“以民为本”的构建原则已经确保了各主体在各领域的合法数据权益:具体问题上,需要对典型问题仔细考量,如在数据处理活动中人的数据权如何确权、个人数据权与数据财产权该如何规限等,这牵扯到社会大环境下,人与数据的关系如何协调。国外在此方面具有更为明晰的解释与规限可供建构参考,比如CPDR规定数据主体修正权、被遗忘权、限制处理权等7项权力;CCPA则结合概念与举例为数据主体提供了对“个人数据”范围相对清晰的判断依据,从而避免双方认知偏差过大。对于“数据义务”也就是“数据安全保护义务”,需要认真思考如何保证各主体的数据安全义务得以更好地履行,《数安法》专门设有“数据安全保护义务”章节,从法律层面上保障义务的履行,但这还不足以支撑起整个保障体系,还需要各下层机构按照“激励相容”等构建原则设计更为细化、科学的条例条款保障义务履行。其次,行为规范是由“条件假设 处分”构成即“行为模式 行为后果”构成的,对于数据安全制度构建而言,即明确数据主体在特定条件下可做什么,不可做什么,以及违反有什么后果,数据安全制度的行为模式可划分应当、可以和不得3种类型,处分后果则依据事态严重程度划分。 至于程序规则,其重要性不亚于实体规则,起着程序规范保障作用。研究发现,“程序规则/实体规则”的比值越高,制度的可执行性越强,意味着一个制度得到执行应该是大量的、周密的程序制度。因此,构建数据安全制度需要一系列严谨的程序设计,《数安法》多次提及数据处理活动以及数据安全行为要依照程序进行,实际上我国古代也十分重视程序,比如古代之“礼”颇具复杂精妙的规则与程序。在数据安全制度构建过程中,当实体规则难以设计或分歧较大时,不妨努力设计程序规范,如此可满足制度目标价值的实现。
2.3实施保障
制度实施保障包括实施主体和实施手段(实施制度的物质工具、非物质工具)。总体国家安全观多方位、多方面安全兼顾,是一个“覆盖社会全领域的安全战略体系”,这就要求数据安全制度的实施手段要更为全面、先进,这样才能有力地掌控社会全领域的数据安全。数据安全制度物质和非物质工具可以从实用性工具和象征性工具来理解。数据安全制度的物质工具即实用性工具,囊括数据处理的软硬件资源、基础设施,数据处理部门的管理能力,国家权威力量、法庭、监狱等。非物质工具即象征性工具,系指一个制度意识层面的威严、力量和价值,可以起到团结成员、协调行动等作用,如国家安全意识日、学校思想教育、媒体宣传等。《数安法》第9条明确指出“国家支持开展数据安全知识宣传普及”,表明我国从立法层面上重视非物质工具的作用,我国在实践上也没落伍,如我国近期提出的《全球数据安全倡议》,呼吁政府、国际组织、IT企业、民间机构和个人等共同促进数据安全。因此,在实际构建过程中,注重物质工具建设与更新的同时,也绝不可忽视非物质工具的重要作用,要利用好非物质工具的强大力量,以合理的实用工具搭配绝妙的意识传播辅助才能使数据安全制度内化成为人们的行为习惯,以符合总体国家安全观“全面、先进”的要求。
总体国家安全观的主体既包括国家层面,又包括诸如社会机构等非国家层面,这就要求数据安全制度应该让总体国家安全观的各主体,即国家、社会机构以及人民等都参与进来,打造真正的“数据安全共同体”。从实施主体考虑,设立一个对国家数据安全工作统一管理的机构,不仅满足《数安法》第5、21、22所提建立“国家数据安全工作协调机制”的要求,也是各国保障数据安全的普遍做法。我国应该对参与数据活动的主体进行统一管辖,建立一体化的数据安全保障机构体系,依据《数安法》可从如下方面考虑:一是中央国家安全领导机构组成数据安全委员会(以下简称“数据安全委员会”)作为统筹协调机构,负责统筹协调、进行决策、制定有关数据安全政策方针、指导政策实施工作等,除数据安全委员会之外,军用数据安全由中央军委负责;二是面向数据安全的各领域国家机关(以下简称“安全部分”),负责研读解析数据安全委员会的政策方针,接收来自企业与社会机构的情报分析并做出决策,负责具体实体规则以及程序规则的实施,监管各行业、各领域数据,其中公安机关和国家安全机关依法可对涉及威胁的数据监管与管控,网信部可对网络数据监管;三是面向数据安全服务的各企业、行业组织、科研机构及社会机构(以下简称“服务部分”),负责提供诸如数据安全检测评估和认证、数据安全人才培养、数据标准制定等服务;四是国家数据安全平台(以下简称“安全平台”),负责数据安全相关资源与技术共享和整合。现提出数据安全制度的实施主体架构,如图2所示。
2.4调整对象
调整对象即制度的要求所指,设定对象确定了制度的运行场所和作用范围。依据《数安法》,只要是境内或境外开展或涉及我国数据的处理活动就是数据安全制度的调整对象。总体国家安全观所辖多种安全拓展了调整对象,使其从笼统的境内与境外方面具体化为涉及政治安全的数据处理活动、涉及国土安全的数据处理活动、涉及军事安全的数据处理活动、涉及经济安全的数据处理活动、涉及文化安全的数据处理活动、涉及社会安全的数据处理活动、涉及科技安全的数据处理活动、涉及信息安全的数据处理活动、涉及生态安全的数据处理活动、涉及资源安全的数据处理活动、涉及核安全的数据处理活动、涉及生物安全的数据处理活动等。因此,使得数据安全制度的作用范围得到极大的延伸,充分考虑到了多方面的数据安全。而这其中又牵扯到数据安全区分的问题,从总体国家安全观所分传统安全与非传统安全这个角度看,数据安全也可分为传统数据安全与非传统数据安全,如表1所示,传统数据安全应对的是来自人为实地窃取损害信息载体介质行为、传统计算机病毒、传统黑客攻击等传统威胁,而非传统数据安全应对的是新型云攻击、跨国窃取攻击行为、大数据攫取等新型威胁。因而在构建过程中,需要处理好数据活动中数据安全牵扯的多种关系,以使数据安全制度的运行场所和作用范围确定。
3总体国家安全观下数据安全制度的子制度分析
3.1數据分类分级制度
数据分类分级是界定数据安全和数据处理活动之间界限的一个重要依据。近期国内颇多领域与行业积极制定本领域内相关数据分类分级规定,典型代表如表2所示,但是站在国家层面上的全局数据分类分级却没有得到重视,成果甚少,如《网络安全法》只提出采取数据分类,《数安法》简单提及要建立“重要数据目录”和数据可以按照被破坏后的影响进行分类分级,同样没有给出具体标准。
通过表2对比分析得出公有原则,确立数据分类分级制度要厘清分类分级概念,先分类、再分级。理论上,数据分类重数据之间的“关系”,分类颗粒度要合适,既要避免因太过粗放导致无法精细、精确分类的情况,又要避免因过于精细导致无可分类的情况,而且要具有良好的拓展性,为将来新型数据的产生留空隙:数据分级重数据的“特征”,可从数据敏感度、数据被损害后的影响度、既往经验与法规硬性要求4方面考虑。
实践上,借鉴域外“他山之石”,如美国倾向于设立专门机构将受控非密信息分为金融等20大类,大类细分为124子类,具体工作可从以下方面考量:关于分类,在“数据安全委员会”下设立数据分类工作机构,向“服务部分”提供数据安全服务的企业与社会标准机构委派任务,同时组建各行业、各领域专家组,按照以上公有原则审核标准划分数据大小类,建立统一的标识制度和登记备案系统,确保每个子类均有详细的定义、具体的实例、各自强制分类标识、所对应分级保护标准以及相应法律责任;关于分级,从表2可以看出中央与地方有较大的共识,所欠缺的就是统一分级标准,可分为两套体系标准,政府军警数据从低到高分为非机密、机密、秘密、绝密,非政府军警数据从低到高分为非重要可公开、非重要但不宜公开、重要可公开、重要不公开、极其重要绝不公开;对于新种类数据,发现主体应当及时申报地方主管部门,由地方向中央数据安全管理委员会统一报批定级,在未定类定级前,发现主体需按照最高安全等级操作。 3.2数据安全风险管理制度
数据安全风险管理机制(评估、报告、信息共享、检测预警)核心在于如何管控数据生命周期所有阶段(采集、传输、存储、处理、应用和销毁)以及数据的硬件设备和物理环境存在的潜在风险。管理和技术双推进可降低甚至消弭数据风险。在管理层面,“安全部分”要做到:①化被动处理为主动管控,推进数据安全风险管理规范和标准体系建设;②设置专门工作组将风险管理常态化,同步开展风险的评估、报告、信息共享、检测预警等技术开发及应用工作;③政府主导,各主体共同参与,比如美国数据安全评估工作交由第三方机构并严格规定从项目初始评估到实时监控各环节的标准,“安全部分”也可指导“服务部分”的社会数据安全评测机构开展相关工作;④将风险管理精细化,要求全方位、全流程风险检测,并在信息共享的基础上通过大数据手段预判风险,同时宣传风险文化。在技术层面上,国内外存在颇多重要的数据安全模型,比如英国的DCC模型、澳大利亚的ANDS模型、国内的DSMM模型,因此“数据安全委员会”通过参考形成更为全面的安全模型。数据安全风险管理需要结合数据类型及数据生命周期不同阶段风险进行具体分析,数据生命周期各阶段各自风险如图3所示(借鉴参考文献图样并进行部分修改)。在确定风险类型之后,可对症下药,采取相应的技术及管理方法化解风险,例如解决数据传输风险问题可以使用区块链的强效加密技术,此外还需注意数据周边风险,即数据硬件设备风险和物理环境风险。
3.3数据安全应急处置制度
在《数安法》的影响下,我国各地方、各领域已经开始明确提出建立数据安全应急处置机制,如近期发布的《安徽省大数据发展条例》第44条指出,制定有关数据安全的应急预案并按时演练。但是相较于完善的互联网信息安全应急处理体系,数据安全应急处置还显得“响应迟缓、人工干预”,尤其是对比美国建立的以“爱因斯坦计划”与安全体系为标志的动态信息安全管控应急机制。借鉴我国特色防灾防疫应急管理体系的成功经验,在协同理论指导下数据安全委员会应构建一个覆盖“点(个体)、线(各行业各领域)、面(政府)”、分类管理和分级负责、流程标准化的高效工作机制。“点线面”全覆盖即在“数据安全委员会”统一领导下建立面向各级政府、各行业各领域、个体的数据应急分管点,通过应用大数据监控、区块链等技术形成一个横纵联动配合、条块结合、全过程管理的三级数据安全应急处置网络平台。分类管理和分级负责目的是专业应对,借鉴《信息安全技术信息安全事件分类分级指南》,可出台专门针对数据安全事件的分类分级指南以确定统一标准,注意数据安全风险发生和发展迅速、不易觉察、专业性强、危害性高的特点,确定不同级别的数据风险由不同级别的政府启动应急措施。根据数据处理活动的特性相对应的面向数据安全的政府机关将风险应急流程标准化、精细化和规范化,同时针对高频数据安全风险事件设置专项预案,这一切都必须建立在“安全平台”上,比如某领域中心数据泄露被数据安全平台的大数据监控分析到,之后迅速逐级上报,根据风险等级启动专项应急预案。
3.4数据安全审查制度
美欧走在数据安全审查的前列,近期发布多项法规对个人数据审查做出说明,比如2018年美国的《外资投资风险审查现代化法案》和2019年欧盟的《关于建立欧盟外国直接投资审查框架的条例》。同时,2020年我国颁布的《网络安全审查办法》(以下简称“《办法》”)建立了较为完善的网络安全审查制度,而且数据安全审查与网络安全审查制度两者存在一定的交叉重复,关键在于如何考量其审查机制、审查内容、审查标准等。因此借鉴国内外相关审查制度,可对数据安全审查制度的构建起一定指导意义。
首先,《办法》理顺了统一领导、相互协调的审查机制,即明确由中央网络安全和信息化委员会统一领导审查工作。美国也专设网络安全审查机构,因此亦可在“数据安全委员会”下设立数据安全审查专项工作机构,做到能够跨部门联合审查。其次,《办法》审查重点进一步突出了供应链安全,而且美国网络安全审查范围扩大到全球供应链安全管理,因而以全球供应链视角进行数据安全审查,将数据安全审查渗透到涉及国家安全的全部数据、涉及数据全生命周期,将技术审查、资质审查、企业审查等全面结合,对数据处理活动包括产品与服务等有关的人员、设备及规范等全周边、全周期进行审核检测,最大限度地维护我国数据主权、安全和发展利益。最后,《办法》确立了具体清晰、操作性强的审查程序,数据安全审查理应设置清晰透明、可操性强的审查程序,对政府机关审查、海内外运营者申报等流程提供明确指引,防止審查久拖不决。
3.5数据出口管制制度
数据出口即数据向外跨境流动,数据出口管制是为了保障数据向外跨境流动安全。迄今为止,我国相较欧美等数据保护发达的国家(地区)存在域外数据获取使用传统司法救助方式、数据跨境流动战略政策多聚焦防御(即多关注数据的境内安全)、相关机构管理分散3个大问题。近期我国的数据保护立法针对此问题做出更为详尽的说明,典型代表如2021年5月12日网信办公开《汽车数据安全管理若干规定(征求意见稿)》(以下简称《规定》)。因此,吸纳“规定”以及域外先进经验可对数据出口管制起一定借鉴意义,站在博弈论角度,我国采取数据存储本地化的跨境数据流动政策能实现利益最大化,而这也符合《网络安全法》《数安法》以及《规定》所提及的数据境内存储规定,但是欧美不仅稳固防守还能“主动出击”,即打造海外管辖权,因此我国在数据本地化存储的基础上要具有国际数据战略思维,行使正当合理的数据出口海外长臂管辖权。弥补数据出口管制的不完善之处的具体规则如下:首先,需要强化数据出口的法制建设,全盘考虑如《数安法》《出口管制法》《规定》等所有提及数据出境制度的政策法规之间的配合及衔接;其次,完善数据出口过程中相关主体的风险管理责任,在“数据安全委员会”的统筹下,形成政府宏观审慎监控、行业协会自律监管、数据持有主体积极自查的三位一体组织架构;再次,《规定》强调数据出口评估和年度备案的重要性,因此可鼓励“服务部分”第三方机构提供包括数据出口安全报告、安全资质信用评级、年度备案等服务以供给“安全部分”决策并上传“安全平台”;最后,在总体国家安全观的国际安全合作理念指导下,积极主动与国际接轨,我国在对数据跨境流动、数据出口管制时可借鉴欧盟、美国等发达国家(地区)在数据跨境流动国际合作中的有益工具,如CBPR体系、“隐私盾”等。