经济全球化带来了数据的全球化,但在高频的数据流动之下,数据泄露事件屡屡发生。威瑞森发布的《2021年数据泄露调查报告》指出,通过分析全球83家贡献者的5358起数据泄露事件,其中85%的数据泄露涉及人的因素,新冠肺炎疫情所致远程办公和云端迁移潮为网络犯罪开辟了新的途径,人为疏忽成为数据安全的最大威胁。数据安全与国家安全、个人安全息息相关,如何织密数据经济的“保护网”,是世界各国共同面临的重大课题。
欧盟:数据安全与数据流通并重
欧洲的数据安全保护相关立法起步较早,始终强调保持数据安全保护和数据流动的平衡,坚持安全平稳地发展数据经济。
欧洲于1981年颁布了《个人数据自动化处理中的个人保护公约》,强调在公约缔约方的管辖范围内,每一个体的个人数据在被处理时均要得到保护,为欧洲数据安全保护的后续立法奠定基础。
1995年,欧盟通过《数据保护指令》,将其作为欧盟隐私和人权法的重要组成部分,该指令在大量借鉴1981年个人保护公约的基础上,将非自动化处理个人数据也纳入了保护范围。通过明确知情同意、合法目的、相称性等数据处理原则,进一步加强对个人数据的保护。同时,欧盟不允许各成员国以保护个人权利为借口,限制数据的合法流通。但是由于该指令原则性强、实际操作性弱,各成员国在实践中多通过国内立法对其进行解释,导致成员国之间立法混乱,产生数据壁垒,严重阻碍了数据流通。
为了适应网络的飞速发展,消除《数据保护指令》弊端,欧盟于2018年出台了《通用数据保护条例》(GDPR),该条例完全取代了《数据保护指令》,为成员国的数据立法提供了统一标准。GDPR要求在收集和处理个人数据时必须遵守合法公平和透明原则、目的性原则、数据最小化原则、准确性原则、存储限制原则、安全原则,通过制定高额罚款、设立政府监督机构、要求企业新增数据保护专员等方式,大幅提升了数据保护水平。此外,GDPR还主张欧盟对发生在境外但涉及欧盟境内的个人数据处理行为具有域外管辖权,加强了对数据跨境流动的安全管辖,对印度、巴西等国家的立法产生了重要影响。
我国实践:个人数据和重要数据两手抓 相较于欧盟,我国关于数据安全的立法起步较晚,最初主要关注个人数据保护,后将重要数据纳入保护范围,通过完善法律规范、出台部门规章、制定行业标准等方式,推动协同治理机制的形成,大力保障数据安全。
在立法层面,我国于21世纪初就对数据安全治理做出了回应。2000年4月发布的《计算机病毒防治管理办法》中,首次从计算机病毒方面对个人数据造成的威胁进行规范管理。后出台的《中华人民共和国电信条例》《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网电子邮件服务管理办法》《互联网网络安全信息通报实施办法》等,都为个人数据保护提供了法律依据。
2016年,《中华人民共和国网络安全法》出台,作为我国首部全面规范网络空间安全管理问题的基础性法律,该法进一步确立了保密、合法、正当、必要等对个人数据进行处理的原则,较为亮眼的是,首次提出了“重要数据”这一概念,建立了个人信息和重要数据的境内存储以及出境安全评估制度,限制重要数据的境外流动,保障国家的数据安全。
2021年9月施行的《中华人民共和国数据安全法》是我国数据安全领域的首部基础性法律,在全球也具有首创性意义,相较于以往的法律法规,该法更加着眼于对数据本身的安全保护,在提出个人数据处理时必须遵循合法、正当原则的同时,推动了重要数据管理制度的形成。该法要求国家制定重要数据目录,推动数据分级分类,加强了对数据安全治理工作的统筹;规定重要数据处理者应当明确数据安全负责人和管理机构,定期开展数据风险评估。多措并举,填补了数据安全保护立法的空白,为个人数据和重要数据保护构建了坚实的安全屏障。
自2021年11月起施行的《中华人民共和国个人信息保护法》则紧紧围绕个人信息保护,从个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、法律责任等方面构建了完整的个人信息保护框架。
在规范性文件层面,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《信息安全技术大数据安全管理指南》等多项文件中指出,要将保障数据安全放到重要位置,加强涉及国家秘密、商业秘密、个人隐私的数据保护,明确提出了保护数据安全、构建数据秩序的发展导向。
在数据安全标准层面,我国组建了全国信息安全标准化技术委员会,通过研究信息安全标准体系、跟踪国际信息安全标准发展动态、分析国内信息安全标准的应用需求等,组织开展国内信息安全有关的标准化技术工作,发布了多项数据安全国家标准,为行业提供规范性指导。
国外经验之借鉴
第一,完善现有立法,健全数据安全法律体系。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部基础性法律出台后,为解决当前数据安全领域诸多法律问题提供了重要依据,为促进数字经济规范化发展起到了重要作用。然而,在相关法律实际落实过程中,仍存在原则性强于实践性、规制领域交叉、法律适用等问题。为进一步发挥相关法律的作用,促进数字经济又好又快发展,在最大限度上实现立法目的,可分别聚焦网络安全、数据安全、个人信息安全,尽快制定实施这三部基础性法律的配套措施,逐步构建起互相衔接、重点突出、相互配合的数据安全法律体系。
第二,做好数据分类,推进数据治理精细化。通过出台专项法律,对个人敏感数据或与国家安全、经济发展以及公共利益密切相关的数据进行分类保护,通过提高重要数据采集的门槛、严格管控特殊数据流通、加强关键信息基础设施运营者监管等措施,细化、落实对重要数据的安全保护。
第三,促进技术创新,强化企业数据安全保护。鼓励企业从身份认证、数据隔离、访问控制、加密储存等方面入手,深入研究全同态加密、批量和流式数据处理、交互式数据查询等关键技术,搭建数据安全技术保护屏障,不断强化数据资源全生命周期安全保护。