党的十九届四中全会提出,健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。这是党中央首次提出将数据作为生产要素参与收益分配,反映了当前以数据为关键要素的数字经济浪潮在全球范围内迅猛推进,数据资源在重塑国家技术产业竞争力、塑造未来国际竞争新优势中的基础性、战略性作用日益凸显。以欧盟和美国为代表的主要国家和地区在加快数据资源开发利用的同时,数据安全保护立法与实践不断推进。我国作为数字经济大国,亟需构建符合我国国情和时代方位的数据安全保护体系。
近年来,全球围绕数据安全保护浪潮兴起,以发达国家立法为发端的数据安全保护工作全面开展,如美欧之间隐私盾协议、欧盟GDPR、美国云法案、英国《数据保护草案》、新加坡《数据保护管理程序指南》和《数据保护影响评估指南》等。从驱动因素来看:
一是联网设备的规模化增长,数据量大爆发(据 IDC 预测,全球数据总量预计2020年达到44个ZB);
二是数据经济价值的进一步凸显,伴随着数字化进程的不断加速,数字化趋势从消费领域向生产领域扩展,数字经济全面渗透;
三是数据支撑经济社会各领域决策,数据对提升社会治理水平的作用不断增大;
四是数字技术应用向国家政治、经济、军事等领域延展,数据敏感性、战略性特点明显,同时数据安全威胁范围显著扩大,破坏性也越发明显(乌克兰电力事件、剑桥分析事件等系列安全事件都反映出数据安全影响远超以往);
五是互联网跨国界、无中心的特点,数据安全是全球各国普遍性挑战,数据安全保护的国际协作呼声高涨。
随着数据安全重要性的凸显和各国数据安全保护实践的深入,各类新兴问题、新兴领域不断涌现,有必要对现有数据安全重担问题进行梳理研究,总结数据安全的规律与本质,辨析数据安全保护体系的关键要素,提出立足我国国情和时代方位的数据安全保护体系建设方向与路径。
数据一般是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。关于数据的分类,国际上尚未形成完全统一的标准,但从美国、澳大利亚、欧盟等国家的法规政策看,通常从数据产生或控制的主体类型、数据承载的主要信息内容等维度对数据进行分类管理。如从数据主体划分,数据可以分为政府/公共部门掌握的数据、个人数据、企业数据等;从信息内容划分,数据可以分为敏感数据、一般数据和重要数据。此外,还有从内容产生的维度上,将信息分为原生数据和衍生数据。
一般理解,数据是信息的一种表达形式和载体。但是从各国的立法文件和管理实践来看,数据与信息在多数情况是不加区分的,甚至是可以等同的。如以个人信息为例,欧盟成员国主要采用个人“数据”概念,而日、韩亚太国家采用个人“信息”概念,虽然表达不同,但本质上都强调个人“数据/信息”是与已识别或可识别的自然人相关的所有数据和信息。
随着数据所蕴含的价值逐步扩展与凸显,数据安全的内涵逐步从传统的数据安全逐步扩展到对其承载的个人权益和国家利益的安全保护,概括起来可以包含为三个层次:
第一层次是保护数据载体上的信息安全,与传统信息安全的目标完全一致,就是确保数据或者信息的保密性、完整性、可用性。
第二层次则是保护数据之上包含的个人或组织主体权益,如在个人数据领域,美国数据保护关注的个人隐私权、企业知识产权,欧盟数据保护关注的个人自决权。
第三层次是维护重要数据上承载的国家利益,主要包括海量汇聚的人口统计、基因健康、地理矿产等关系一国政治经济社会运行和科技国防安全等方面的重要基础性信息安全,以及数据出境场景下的国家安全保障。
这就意味着,数据安全的关注重点并非数据对象本身,而更多关注数据收集、存储、处理、共享、使用等数据获取和利用环节的管理,同时数据的类型、规模等也是数据安全需要同步考量的重要因素。
除了数据本身特征影响外,数据安全还受到技术创新、应用场景、价值选择三大因素的驱动。在技术创新方面,大数据技术的发展可以使得原本匿名化、非个人数据转化为可识别的个人数据,如美国在线(AOL)公布的匿名化搜索记录被数据分析技术重新识别,美国网飞(Netflix)公司公布的匿名化电影影片租赁记录,被技术识别后受到用户起诉。
在应用场景方面,日益广泛的应用场景带来类型迥异的数据安全风险,如剑桥分析公司通过对个人数据的挖掘分析与应用,对美国大选走向产生干扰性影响。在价值选择方面,数据保护与利用、个人权利保护与政府行政权利实施等系列矛盾背后的价值取舍,以及传统隐私观念的改变,都大大增加了数据安全的复杂性。
结合数据安全内涵与特征,以及驱动因素,数据安全的基本要素应包括数据应用场景、数据全生命周期、数据类型规模、数据治理主体,以及外部配套制度与技术应用环境等内容(如图1所示)。
结合上面三个层次可以看出,维护数据安全具有重大意义:
首先数据安全是维护个人或组织机构权益的核心内容,仅以个人数据为例,就关系到个人隐私权、财产权、发展权等基本权利,个人数据安全的重要性不言而喻。
第二,数据安全是发展数字经济的关键保障,数据安全是网络安全的重要部分,是保障信息化发展和数字经济繁荣的重要基础。
第三,数据安全是构建数字政府的重要基础。没有数据安全的保障,数字政务就无法开展,数字政府也将是空中楼阁。
最后,数据安全是维护国家安全的重点内容,数字资源是承载社会公共利益和国家安全利益,数据安全是国家安全的重要组成。
以移动互联网、物联网为代表的信息网络日益普及,云计算、大数据等信息技术日趋成熟,复杂多元、规模庞大的数据所蕴含的经济价值和社会价值逐步凸显,数据安全风险随之增加,数据安全问题不断涌现。
一是用户隐私数据泄露事件接连不断,危害影响持续扩散。
用户隐私数据泄露事件涉及范围持续扩大、破坏性不断增强,对人们生产生活的影响日益深化。全球每年个人信息泄露事件总数呈递增趋势,重大安全事件频发。根据荷兰 Gemalto 公司2014年至2017年公布的安全违规水平指数调查报告显示。2017年全球重大数据泄露事件高达1765起,比去年同期增长77%。同时,数据安全事件带来的经济成本和经济损失居高不下。
根据IBM联合 Ponemon Institute 发布,企业的平均数据泄露总成本基本维持在350-400万美元。此外,数据安全威胁蔓延到关系经济社会运行的基础设施,乃至政治领域。2016年,剑桥分析公司不正当使用5000万Facebook用户数据,影响美国总统大选结果。2017年6月,美国共和党全国委员会承包商营销公司托管在AWS S3上超过1.98亿美国公民1.1TB的资料数据库泄露,约占选民总数61%。
据国际安全公司Risk Based Security 报告显示,2019年前9个月披露了 5183 起违规事件,总共泄露了79亿条记录,泄露记录总数同比增长112%。
根据国际数据安全公司金雅拓(Gemalto)发布的《全球范围内公共数据泄露事件严重程度指数》显示,全球数据泄露形势依然严峻。与2017年同期相比,数据丢失、被盗或受损的数量大增133%,2018年上半年,每天有超过2500万条数据遭到入侵或泄露。数据泄露呈现四方面特点:
一是从数据泄露源头来看,外部人员进行恶意活动造成的数据泄露事件占比最高,达到56%;第二大原因是意外损失,超过8.79亿(9%)。
二是从数据泄露类型来看,身份盗窃漏洞的数量占比超过64%,财务数据泄露条数高达3.59亿(2017年同期为270万)。
三是从数据泄漏严重的行业或领域看,社交媒体泄露的数据条数(56%)排名第一,医疗领域在数据安全事故数量上继续领先(27%)。
四是从数据泄露地理分布来看,北美仍占大头,违规行为占59%,数据受损占72%,欧洲的事件数量减少了36%,但违规记录数量增加了28%,澳大利亚的事件披露数量从18 个增加到 308 个。
近年来,云安全导致的数据安全事件不断发生。2016年9月,Cloudflare 数百万网络托管客户数据被泄露;2017年6月,亚马逊AWS 共和党数据库中的美国2亿选民个人信息被曝光。
与此同时,数据相关企业内部安全管理问题日益凸显,主要表现在未得到用户授权的情况下,收集和使用用户数据信息;安全运维策略缺陷,运维人员可接触用户数据信息以及用户数据不切合自身利益,忽略长期潜在的未知安全问题。
四是移动互联网数据安全威胁日益加深,安全隐患难以缓解。
当前,移动互联网已成为数据安全威胁扩散的重要途径。侵犯数据安全的恶意应用、木马等日益增多,对用户的人身、财产安全构成了极大隐患。根据腾讯安全联合实验室发布的《2018 上半年互联网黑产研究报告》,2018年上半年手机病毒类型多达数十种,个人隐私信息获取成为继资费消耗、恶意扣费之后的第三大病毒类型,占手机病毒数量总比重的20.40%。同时,由于手机病毒功能的日益复杂化,一款病毒往往兼具多种恶意行为。
2018年4月初,腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马,伪装成正常的支付插件,在用户不知情的情况下,私自发送订购短信,同步上传用户手机固件信息和隐私,造成用户资费损耗和隐私泄露。
五是数据交易黑色地下产业链活动猖獗,治理之路漫漫。
数据交易黑色地下产业链交易的数据范围日益广泛,主要包括:用户账号、密码、网银账户等可以直接用以进行经济犯罪的信息以及手机号码、家庭住址、兴趣爱好等隐私信息。我国的数据交易黑色地下产业链存在已久,近年来,地下产业链的规模,产值不断扩大,不仅侵犯虚拟数据资产,更带来了实际的经济利益损失,对数据安全和经济安全构成了极大威胁。地下产业链治理非一日之功。
据不完全统计,从2015年开始,互联网黑灰产业从业人员就已经超过40万。尽管公开数据显示,2019年中国网络安全产业规模预计超过600亿元,但黑灰产早已达千亿元规模。
从全球实践看,经过长期发展,美国与欧盟分别形成了以公平信息实践原则和个人信息自决权为核心的两大数据安全保护理念。这两类理念的不同之处在于,美国关注数据主体与数据控制者之间的利益平衡,强调公平交易,任何一方都不具备绝对的控制权。
而欧盟则将个人信息视为本人所有,个人信息的主体权利属于人权的基本内容,在信息利用与保护之间,更倾向于保护个人隐私等基本权利,对技术发展应用加以约束和限制。
受到个人信息保护理念的影响,美国和欧盟逐步形成了极具代表性的两大数据安全管理制度体系,呈现出较为明显区别:
一是立法形式不同,欧盟倾向于统一立法,不区分公共与私营部门,不细分具体领域,授予数据主体统一的信息权益和信息处理标准。美国则采取分散立法的形式,区分政府部门和私营部门,分行业、分领域分别立法。
二是严苛程度不同,在法律适用范围,欧盟显得较为激进,凡是涉及到数据和处理欧盟居民的个人数据,无论企业是否在欧盟设立实体,都要适用欧盟数据保护原则。美国则关注收集和使用行为与当地管辖权是否建立紧密联系。
同时,在信息处理规范要求上,欧盟确立了六大合法基础,包括数据主体同意、合同履行、履行法定义务、保护重要利益、公共利益以及数据控制者的优先利益。只有符合这六类情形之一的个人数据处理行为才是合法的。美国则更多采取禁止性规定,“法无禁止即可为”。
总的来看,两大制度体系各有利弊,欧盟的统一立法利于保持执法上的一致性,但容易导致“一刀切”;美国分散立法针对性强, 但易产生标准不一的问题。
在差异化的管理制度设计下,欧盟和美国也分别成立不同的组织架构,欧盟采取高度统一的监管组织体系,将原29条款工作组升级为欧洲数据保护委员会(EDPB),从欧盟个人数据保护咨询和研究机构转为赋予欧盟境内个人信息保护的终极裁决和监督机构,并与欧盟成员国的数据保护分支机构——数据保护监督局(DPA,又称SA)进行监管对接,同时下辖欧盟数据保护监督局,负责对欧盟机构的数据安全监管。
相比之下,美国采取各领域分散监管的组织体系,隐私保护工作主要有联邦贸易委员会、消费者金融保护局、联邦通讯委员会、卫生和公共服务部、教育部、司法系统等。其中,联邦贸易委员会承担了保护消费者隐私的大部分职责。
从数据保护的实施路径看,美国和欧盟基本都是以行政执法为主、司法诉讼与行业自律为辅,但形成了各具特色的治理机制。
如在行政执法层面,英国和法国数据保护机构在近两年半的时间,已开展分别执法182次和28件次,根据中兴公司发布的统计报告显示,英国、法国、保加利亚、波兰、荷兰数据保护机构共开出6件超过50万欧元的行政处罚,最大罚单超过2亿欧元;美国联邦贸易委员会也办理大量数据安全案件,执法对象覆盖了谷歌、脸书和微软等科技巨头企业。
在司法诉讼层面,考虑到作为数据主体的个人难以完成数据安全取证等工作,欧盟成员国德国采取过错推定原则,通过举证责任倒置的方式,由作为数据控制者的企业承担数据安全事件的举证责任方。美国则积极推动面向个人信息侵权的集体诉讼机制。如2013年美国“目标”公司因用户信息泄露未能及时通知,消费者发起集体诉讼并获得每人高达1万美元的赔偿。
在行业自律层面, 美国行业自律组织较为发达,在线隐私联盟、信任等行业组织通过发布指引、开展认证等方式协同推进数据保护工作。欧盟在不断弱化事前准入机制,在95指令中许可调整为备案,2016年《通用数据保护条例》进一步取消备案制度,改为建立统一的政府主导的数据保护认证体系。
针对数据资源的战略性、基础性地位凸显而安全问题频发的现实情况,部分国家和地区出于主动捍卫本国数据资源安全、积极融入全球数字经济新秩序等目的,纷纷仿效欧盟,以个人数据为切入点,抓紧出台和完善各类数据安全制度。随着各国在数据保护工作的持续关注,全球数据保护呈现出高度趋同的趋势,主要体现在:
一是数据保护的基本原则逐步趋同,尽管美、欧、巴西、印度等主要国家和地区的个人信息保护理念认识各有侧重,但在经济全球化和国际贸易合作的驱动下,逐步形成了个人信息保护的共识原则,即公开透明、限制处理、数据质量、安全责任、主体权益五项原则被广泛接纳。
二是数据保护实施路径日渐清晰。统一立法成为越来越多国家和地区的共同模式。
如韩国通过整合《政府机关个人信息保护法》、《信用信息利用和保护法》《信息通讯网络利用和信息保护法》与《金融实名往来和秘密保障法》,于2012年正式实施统一的《个人信息保护法》,最终形成综合政府部门和商业领域的统一规制的个人信息保护立法体系。日本则对2003年出台的《个人信息保护法》进行修订,从仅限于国家机关扩展至全国范围个人信息保护统一立法,并于2015年修订出台。美国在继奥巴马政府于2015年4月将第一个全国统一的个人数据保护法案《个人数据通知和保护方案》引入立法程序后,特朗普政府于2018年启动了制定保护互联网用户隐私提案的工作,美国科技企业、行业组织等对统一立法的呼声高涨。《纽约时报》2018年8月报道脸书、谷歌、微软等科技公司正对特朗普政府及有关机构,就建立联邦统一立法展开“猛烈的游说攻势”,以避免应对可能出现的联邦各州碎片化立法情形。
三是数据保护范围呈现扩张态势。在数据全球流动、跨境服务日益频繁的大趋势下,主要国家和地区在数据安全管理的适用范围呈现初步持续扩大的趋势。如欧盟在《通用数据保护条例》不仅适用于欧盟境内的数据控制者和处理者(不区分其数据处理行为发生在境内还是境外),对于成立地在欧盟以外的机构,只要其在提供产品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于欧盟《通用数据保护条例》。
美国2018年3月生效的《澄清域外合法使用数据法》(简称CLOUD法案)规定无论通信、记录或其他信息是否存储在美国境内,电子通信服务或远程计算服务的服务提供者应遵守法案所规定的义务要求。新加坡、俄罗斯等国家也从法律法规层面采取了类似的数据安全管理适用范围。
四是不断强化的主体权责。在数据主体方面,强化个人信息自决。韩国新实施的《个人信息保护法》规定数据主体的选择权,确保对其个人信息及产生影响的知情、控制。印度、巴西则分别通过确认隐私权是一项基本人权,在立法积极借鉴欧盟《通用数据保护条例》相关内容。美国加州新出台的隐私保护法案赋予消费者对其个人信息的更多的控制权,规范企业收集、使用、转让消费者个人信息的行为,包括了数据披露请求权、数据删除权请求权、选择退出权、公平服务权以及诉讼权等。
在数据控制者方面,进一步强化数据保护责任,包括设立数据保护官、引入事前风险评估、建立威慑性事后惩罚等制度,均成为欧盟、韩国、新加坡、日本等数据保护成熟国家的共同选择。
欧盟《通用数据保护条例》、美国《2018年加州消费者隐私法案》、巴西《通用数据保护法》、印度《2018年个人数据保护法案(草案)》是近年来制定的极具代表性的个人信息保护法律,这些法律文本体现了各个国家和地区在数据保护发展过程中的异同点。
从数据保护的目的看,欧盟数据保护目的为保护个人数据权利和促进数据的自由流通。美国加州出于强化消费者对个人信息的控制权,限定企业收集处理数据的方式等目的。巴西将目的定位为保护自由和隐私的基本权利及自然人人格的自由发展。印度则提出为保护公民利益、贸易和工业利益、国家利益三重目的。可以看出,保护数据主体基本权利是个人数据保护不可或缺的核心目的,同时各个国家和地区结合本国国情, 往往兼顾有其他不同目标。
从数据保护的规制对象看,欧盟《通用数据保护条例》和巴西《通用数据保护法》均区分个人数据和个人敏感数据。其中,个人敏感数据包括种族或族裔、宗教信仰、政治观点、组织成员身份、健康或性生活数据、基因或生物数据等。美国《2018年加州消费者隐私法案》则显示出个人信息范围扩张特点,将特定家庭信息纳入“个人信息”范畴,并增加了自然人身份的“关联性数据”和“设备识别”要素。
印度《2018年个人数据保护法案(草案)》则区分个人数据、个人敏感数据和儿童个人数据。其中,儿童数据是指未满十八岁的数据主体的个人数据;个人敏感数据是指密码、财务数据、健康数据、官方标识符、性生活、性取向、生物数据、基因数据、变性人、双性人身份,种姓或部落、宗教或政治信仰或联盟等。通过该比较可以看出,在数据保护实践中,大多数国家建立了以“识别”为核心的个人信息界定, 并兼具本国特色。
从数据保护的规定内容看,在数据处理的合法性事由方面,上述国家和地区的个人数据保护法针对不同的数据类型规定了不同的合法处理数据路径,尽可能留给数据控制者、处理者较大的合规空间,旨在实现数据权利保护、数据流通与产业发展之间的平衡(如图2所示)。
在数据主体的权利体系方面,上述国家和地区都构建了具有本土特色的权利体系,通过权利体系的设置,一方面强化了数据主体对个人信息的控制,另一方面,各项权利一般都设置了“例外事由”和“限制”,旨在平衡权利保护和发展之间的关系,赋予了企业多种合规路径(如图3所示)。
在数据合规的义务主体方面,上述国家和地区通过明确合规义务主体及其管辖原则,从数据控制方一侧明确了个人数据保护责任。其中,欧盟(GDPR)、美国(CCPA)的中小企业豁免制度进一步体现了数据安全义务主体的分级责任理念(如图4所示)。
在违规事由的处罚措施方面,欧盟(GDPR)设置的高额行政处罚模式对印度、巴西个人数据保护法处罚措施影响较大(如图5所示)。
数据长臂管辖目前存在三个理论:即基于数据位置的国家管辖、基于持有数据公司位置的国家管辖以及基于数据主体位置的国家管辖。基于数据位置的国家管辖,其优点在于尊重一国的主权,减少跨国公司的国际冲突。
缺点是:(1)限制执法部门获得存储在无司法互助协定国家的数据;(2)当数据分布在多个管辖区域时,访问将变得复杂;(3)可能使得各国更趋向于要求数据本地化;(4)不排除使一些国家成为犯罪活动的合法避难所。
基于持有数据公司位置的国家管辖,其优点是允许对国内公司进行直接管辖,可确保其配合执法。
缺点则是:(1)因该公司可能在该国国内没有业务或缺少司法互助协定,执法部门获取外国公司存储的数据受限;(2)跨国公司面临各国相互冲突的法律。
基于数据主体位置的国家管辖,其优点是不会为数据本地化创造激励机制,也不会给任何国家带来竞争优势。强迫公司遵守客户国家的法律。
缺点则是:(1)限制执法人员获取数据的权限;(2)限制执法部门获取外国数据主体的数据;(3)当数据主体为多个公民时,可能会产生冲突。
由于各个国家在该问题上没有达成共识,基于不同原则行使数据长臂管辖,往往带来了诸多冲突,比如 2015年11月,中国银行因我国法律相关保密规定,拒绝向美国纽约南区地方法院提供古驰(Gucci)案中相关被告在中国银行的境内账户信息,被该法院判定构成“藐视法庭”并处以按日累计的巨额罚款。
相似的情形还有在 2013年12月,美国纽约南区联邦地区法院签发搜查令,要求微软公司协助一起毒品案件调查,将一名用户的电子邮件内容和其他账户信息提交给美国政府。由于该电子邮件内容数据存储于微软位于爱尔兰的数据中心,微软拒绝向FBI提供,并随即提出废除搜查令的动议。
2018年2月美国参议院开始审议《澄清境外数据的合法使用法案》(简称CLOUD法案),旨在为美国执法机构访问在美国境内运营的企业存储在海外的用户数据提供明确授权。同年3月23日,CLOUD法案由美国总统特朗普签署生效,授权美国政府可借助美跨国企业实现全球数据的调取,并单方面决定本国数据可向哪些国家开放。
为应对美国CLOUD法案赋权美执法机构跨境数据获取问题,欧盟也开始积极采取行动解决电子证据跨境获取问题。2018年4月17日,欧盟委员会表示正在制定新的立法,以便执法及司法机构能更快速地跨境获取电子证据。从欧盟委员会的相关介绍看,该法案将建立四大方面规则:
(1)欧洲数据提交规则,即欧盟执法或司法机构可要求向欧盟境内提供服务的企业提交数据,无论数据存储地位于欧盟境内或者境外;
(2)欧洲数据保存规则,即向欧盟境内提供服务的企业将需要保存特定数据,以便欧盟执法或司法机构获取;
(3)指定法定代表规则,向欧盟境内提供服务的企业必须在欧盟内指定一名法定代表,负责接受欧盟执法或司法机构的指令;
(4)保障和补救措施。相关数据提供或保存仅限于刑事诉讼领域,并受到相应刑事诉讼程序的保障。
2018年10月,英国《犯罪(境外提交令)法案》(Crime(Overseas Production Orders) Bill)进入上议院三读前的审查报告阶段。该法案试图响应美国CLOUD法案和欧盟电子证据跨境调取法案,拟通过双边或多边国际合作协议模式来解决英国执法机构跨境调取电子证据所面临的困境。
与欧盟、英国等国家和地区仿效或响应美国CLOUD法案对执法机构跨境调取数据权利进行突破不同的是,我国颁布的《国际刑事司法协助法》采用较为保守的“防御式”立法模式,规定非经中华人民共和国主管机关同意,中华人民共和国领域内的机构、组织和个人不得向外国提供证据材料和国际刑事司法协助法规定的协助。
2019年10月,美国与英国正式签署“史上首份”双边数据分享协议,允许执法部门直接向对方国家的科技企业获取数据。该协议作为美国CLOUD法案的一部分,标志着美国在国际领域实施数据长臂管辖取得重大突破。同月,美国还宣布与澳大利亚就共享电子证据进行正式谈判,这也预示着美国数据长臂管辖落地实施已进入全面展开的新阶段。
据国际咨询机构麦肯锡测算,在过去十年中,数据流动使全球GDP贡献增长了10.1%。而数据流动的壁垒对企业的竞争力,以及经济的生产力和创新力都有着非常严重的影响。欧洲国际政治经济中心研究发现,数据保护措施对于部分国家的GDP与国内投资的影响是负面的,并宣称以中国为例,颁布数据限制法规影响的GDP百分比为1.1%,同时导致国内投资百分比下降了1.8%。
尽管数据跨境流动对全球经济发展影响深远,但根据GSMA发布的报告,虽然数据跨境流动框架均以《经合组织准则》为共同基础,但在框架目的、管辖权应用范围、主体范围等方面存在差异(如图6所示)。
值得注意的是,针对数据安全面临的严峻形势,世界主要国家和地区大大扩展了对个人数据、公众数据和国家关键性数据的本地化留存要求。如法国、德国、丹麦等发达国家都已设立了数据本地化措施,即使是倡导数据自由流动的美国也不例外。在设立数据本地化留存政策的国家中,主要的数据留存类型集中包括:
(1)会计、税务和财务;(2)个人信息;(3)政府和公众数据;(4)新兴数字服务。
在强化数据本地化留存的同时,主要国家同步推进数据跨境流动的安全管理,美国、欧盟等发达国家和地区对出境理解较为统一,并有逐渐拓宽趋势。其中,地理上的国境标准是最为广泛采用的标准,数据接收主体的国籍也逐渐成为判定标准之一。
同时,由于数据属性、出境影响和管理目的不同,世界各国对个人信息和重要数据出境管理施行差异立法、区分管理。对于个人信息而言,主要国家秉持倡导促进个人信息开放和流动、兼顾维护公众合法权益的原则,以国家法律框架和企业健全个人信息保护规则为依据,开展行政管理和商业协议相结合的管理;对于重要数据,以保护国家安全、公共利益,维护社会稳定为原则,依据各行业立法、进出口贸易管理规定,进行政府行政干预、禁止出境和限制出境分级管理。
根据实施主体和方式不同,针对个人信息出境管理模式包含:评估认证制、合同干预制。两种管理模式可并行采用,以企业自律为基础,政府审查为保障。世界各国个人信息出境审查管理要求趋同,以四方面管理要求为抓手,对数据出境进行管理:
(1)数据主体同意。各国均要求数据控制者在数据出境前需获得数据主体同意。根据同意方式不同可分为选入式同意、选退式同意。
(2)数据主体权益保障。各国要求在个人信息出境前对数据控制者的数据主体权益保障情况及能力进行审查评估。权益保障内容包含知情权、选择权、获得救济权等。权益保障能力包括管理制度、人员设置、应急预案等。
(3)数据输出方与接收方合同。各国对数据输出方与接收方之间的合同内容进行要求。合同内容包含出境目的、数据安全、责任划分、数据进一步使用、披露限制、权益保障等。
(4)数据接收方所在国数据保护水平审查。欧盟政府对数据接收方所在国家/地区数据保护水平进行评估,满足要求的可以免于审查。评估内容包括法律规定内容、法律实施情况、加入国际公约情况、数据主体权益保障情况等。
以保护国家安全、经济发展、公共利益为立法原则,主要国家尚未有专门针对重要数据安全管理或出境管理的统一国家立法,主要在国家贸易出口管理条例和国家重要行业管理文件中体现。
重要数据出境流动管理主要采取政府行政干预模式,具体表现为禁止出境和限制出境分级管理、一事一议的行政审查管理。数据分级出境是指根据数据属性、影响程度等不同因素施行禁止出境(银行、金融、征信等)、选择性的禁止/限制出境(健康、税收、地图、政府等);行政审查限制条件是指判断是否按要求境内存储、是否按要求进行风险评估、是否获得有关部门许可、是否具有正当合理出境目的。
目前,国际上大量标准化组织在开展数据安全的标准化工作,其中影响较大的有国际标准化组织/国际电工委员会的信息技术联合委员会(ISO/IEC JTC 1)下属的大数据工作组(WG9)和安全技术分委员会(SC 27)、国际电信联盟电信标准化部门(ITU-T)。
(1)ISO/IEC JTC 1/WG 9 聚焦数据参考架构和术语标准等基础标准,识别大数据标准化的差距。
(2)ISO/IEC JTC 1/SC 27 主要集中在数据安全控制与服务、身份管理与隐私保护等内容。
(3)ITU-T SG 17 关注信息通信技术业务中涉及的个人信息、生物特征信息安全、云计算数据安全,以及金融科技等特定行业或领域的数据安全。
按照我国标准化机构对国际数据安全标准的类型划分看,可分为基础类、安全要求类、实施指南类和检测评估类。
其中,基础类标准旨在提供基础性的符号、术语、模型、框架等;安全要求类标准主要衔接上位法律法规,围绕大数据安全提出更具体明确的要求;实施指南类标准主要围绕安全要求的落实,基于最佳实践,给出具体的实施指导;检测评估类标准主要围绕具体的实施是否满足安全要求展开。
从数据安全相关标准制定来看,目前数据安全标准化工作在数据收集、存储、传输等环节已有涉及,但数据使用、共享、销毁等环节的工作还需进一步加强。
我国建立了以《中华人民共和国网络安全法》(以下简称《网络安全法》)为统领,专项法律、行政法规、部门规章为支撑,标准规范文件为配套的制度体系。
首先,《网络安全法》以法律形式明确了个人信息定义,确立了网络运营者的用户信息保护义务,提出最少够用的管理原则,明确了匿名化信息可对外提供,增设数据泄露通知、个人删除权和更正权等制度设计,并对个人信息做出了境内存储及出境评估的规定。此外,《个人信息保护法》、《国家数据安全法》也在推进过程中。
其次,在《刑法修正案九》、《民法总则》、《中华人民共和国电子商务法》等专项法规方面,根据自身立法目的、立法领域,从不同维度细化数据安全管理要求,重点突出个人信息保护、数据出境相关内容,补充完善我国数据安全管理框架。
第三,在部门规章方面,《电信条例》、《电信和互联网用户个人信息保护规定》等明确企业需要取得个人信息主体同意的相关责任义务,并确定相应的罚款、警告、计入信用档案、行政处罚及刑事处罚等保障措施。中央网信办发布了《数据安全管理办法》(征求意见稿)和《个人信息出境安全评估办法》(征求意见稿)。
第四,在规范性文件方面,《促进大数据发展行动纲要》、《关于国民经济和社会发展第十三个五年规划纲要》等,落实信息安全等级保护、风险评估等网络安全制度建立健全大数据安全保障体系实行数据资源分类分级管理,加强数据资源在采集、存储、应用和开放等环节的安全保护,加强各类公共数据资源在公开共享等环节的安全评估与保护,建立互联网企业数据资源资产化和利用授信机制等。
最后,在标准规范文件层面,我国信息安全标准化技术委员会(TC260)下已有22项数据安全国家标准项目,涵盖安全要求(7项)、实施指南(8项)、监测评估(4项)、基础框架(3项)等四大类别,其中《个人信息安全规范》、《大数据服务安全能力要求》、《数据安全能力成熟度模型》3项已发布,数据出境评估指南、个人信息安全影响评估指南等重点标准也已进入征求意见或报批阶段。
我国初步建立了刑事责任追究、行政监管、行业自律相结合的综合治理体系。
一是在刑事责任追究方面,得益于《刑法修正案(七)》、《刑法修正案(九)》两个修正案的调整变化及两高《关于办理侵犯个人信息形势案件适用法律若干问题的解释》的出台,我国在打击个人信息侵权犯罪行为的法制基础逐步夯实,惩治力度不断加大。侵犯公民个人信息的裁判案件数量从2010年5件上升到2017年 1164 件;
二是在行政监管层面,针对侵犯用户个人信息犯罪高发态势,公安部联合相关部门部署开展专项打击行动,在31个省(市、区)和新疆生产建设兵团公安机关建立了反诈骗中心,统筹协调打击利用公民个人信息实施的电信网络诈骗犯罪。2016年到2017年两年间,共侦破侵犯个人信息犯罪相关案件3700余起,抓获犯罪嫌疑人11000余名;2019年1月,中央网信办、工业和信息化部、公安部和国家市场监管总局联合在全国范围组织开展为期一年的App违法违规收集使用个人信息专项治理。截至2019年9月,超过400款下载量大、用户常用App纳入评估,向100多家App运营企业发送了整改建议函,评估发现问题得到有效整改落实。
三是在行业自律层面,中央网信办、工业和信息化部、公安部、国家标准化委员会指导相关行业组织开展个人信息保护提升行动之隐私条款专项工作,十家互联网企业共同发起并签署个人信息保护倡议书。
尽管我国数据安全保护工作取得积极进展,与欧美发达国家相比,数据安全管理工作起步较晚,管理基础相对薄弱,在法规制度方面、组织机构设置、技术能力、监管执法等方面存在很大不足。
首先,我国《网络安全法》仅针对个人信息保护、数据脱敏、数据出境管理等提出原则性的法律规定,未明确个人信息存储处理和出境转移等方面的具体实施要求,难以对企业等相关数据控制者形成有效的制度性约束;
其次,在各类行政法规、部门规章、规范性文件等细化制度中,个人信息保护规定大都属于原则性要求,反复出现,多是宣言式或者禁止性规定,面向应用场景的行为规范缺乏;
再者,《网络安全法》等法律法规的主要规制对象是“网络运营者”,即网络的所有者、管理者和网络服务提供者,对于负责公共管理的相关机构缺乏明确细化的规定要求。
二是多元化治理途径尚不平衡。近年来,现有治理机制主要集中在对个人信息相关犯罪的刑事打击,《刑法修正案(七)》、《刑法修正案(九)》、《两高关于个人信息刑事司法解释》,通过扩大公民个人信息保护范围、提高定罪量刑力度等方式,不断加大对个人信息违法犯罪的打击力度。相较之下,民事和行政保护力度仍有所不足。
三是行政监管架构仍不完善。我国尚未形成完备性的数据安全监管组织体系,亟需强化数据安全管理的统筹,单一行业“分制”监管模式已无法有效应对数据安全融合监管新特征,对于跨行业、跨领域的数据安全事件,尚未建立完善的跨部门协同机制,不利于数据安全整体工作的开展。
四是技术配套能力亟待加强。一方面,从企业自身层面看,个人数据匿名化、重要数据脱敏、加密数据共享处理、数据风险评估等数据安全技术仍有待进一步探索完善;另一方面,从政府监管层面看,数据安全技术检测验证工具、数据安全拨测巡查、关键节点态势感知等数据安全监测评估手段尚未建立,同时围绕数据资产报备、数据安全认证等信息化管理手段仍然不足。
五是监管实践经验有待探索。在制度层面,目前与数据安全紧密关联的关键信息基础设施保护、国家安全审查制度、数据出境评估制度等尚处于研究部署的初级阶段,相关配合机制措施不健全,相关监管部门的实践经验相对匮乏;在实施层面,现有日常监督检查、行政处罚等传统行政管理手段聚焦在数据采集阶段或企业隐私政策审查等方面,难以触及到复杂的数据存储、处理、使用、共享、销毁等环节,难以有效管控数据全生命周期安全。
面对当前数据安全严峻形势,我国需要从实际出发,不断完善管理制度,积极研发数据安全技术,多管齐下,建立以法律法规为准绳、战略政策为方向、管理体制机制为保障、技术手段为依托、标准指引和评估规范为支撑的全方位数据安全保护体系。
(一)科学推进数据安全保护立法进程,扩展现有法律的调整范围。一是加快立法进程,尽快立法明确数据保护对象、范畴和违法责任,制定关于数据开放共享和跨境流动监管的法律条款;二是拓宽法律调整范畴,将工业互联网、云计算等新技术新应用场景下的数据保护纳入法律调整范畴。
(二)尽快出台数据保护的战略规划和政策法规。首先,应从国家战略资源、经济生产要素的高度重塑数据安全的定位,强化数据安全与发展的战略统筹;其次,出台针对数据跨境流动、长臂管辖等热点问题的监管政策,制定通信、金融等重点行业的重要数据和用户信息的跨境流动监管政策,推动立法规范我国公民个人信息和重要数据的境内存储;此外,要积极参与国际规则的制定,提升我国在数据保护领域的话语权,为我国开展数据安全保护营造良好的国际环境。
(三)完善机制,将数据安全保护纳入国家网络安全管理的核心范畴。在国家层面,设立或者指定统领性的数据安全管理机构,在各行业设置或指定数据安全的接口部门,完善数据保护行政监管体系,确立数据保护的行业监管模式,建立覆盖备案、评估、举报、处罚等各个环节的数据保护行政监管机制,鼓励行业自律组织制定、实施行业自律规范,建立企业间交流沟通的渠道和平台;在行政监管方面,加强网络数据资源开放共享和商业合作的安全管理,建立完备的数据跨境流动审查机制,建立健全大规模用户信息泄露事件企业向行业主管部门报告和社会公告制度,健全完善用户隐私泄露举报机制。
(四)加强数据保护关键技术攻关,提升数据跨境流动监管能力。一是要提升数据基础设施安全可控水平,加大自主创新力度,突破存储设备、服务器等关键设备,操作系统等基础软件的核心关键技术,加快推动安全可控软硬件的应用推广;二是要加强数据保护关键技术手段建设,加快身份管理、防御 APT 攻击等关键技术研发;三是要加快能够有效发现、处置敏感数据违法跨境流动行为的监管支撑能力研发。
(五)统筹规划制定数据安全相关标准,推动开展数据跨境流动安全评估。一是加强标准研发工作,构建我国数据安全标准体系,积极研发通用和专用的数据安全标准;二是建立安全评估制度,引导行业内第三方机构开展数据安全相关的检测和评估,开展针对数据跨境流动的专项安全评估。
数字经济时代,数据已成为与劳动、资本、土地、知识、技术、管理等并列的生产要素,我国应当立足基本国情,借鉴全球数据治理经验,构建适应我国数字经济发展需要、保障我国数据资源利益的中国特色数据安全保护体系,为世界数据治理贡献中国方案。
覃庆玲(1973—),女,高级工程师,中国信息通信研究院安全研究所副所长,主要研究方向为电信监管、互联网管理、信息安全等;
彭志艺(1984—),男,硕士,工程师,主要研究方向为网络与数据安全监管;
李晓伟(1985—),女,博士,工程师,主要研究方向为网络数据安全保护。
选自《信息安全与通信保密》2020年第二期(为便于排版,已省去原文参考文献)
原文始发于微信公众号(信息安全与通信保密杂志社):全球数字经济浪潮下数据安全保护体系
欢迎加入东西智库微信群,专注制造业资料分享及交流(微信扫码添加东西智库小助手)。
