从数据不安全到《数据安全法》,建立数据准据 -米乐网页
文/陈根
在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大背景下,全球进入大数据时代,数据呈现爆发增长。随着数据在数字经济时代的社会治理和数字化商业转型中扮演着日益重要的角色,数据安全,也日渐成为数字风险治理中最重要、最复杂、最具挑战性的工作。数据规则亟待建立。
在这样的背景下,2020年6月28日,《中华人民共和国数据安全法》(草案)在第十三届全国人大常委会第二十次会议审议。2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)经十三届全国人大常委会第二十九次会议表决通过,并将于2021年9月1日起正式施行。
《数据安全法》经历三次审议与修改,终于成为数据领域的基础性法律,也成为国家安全领域的一部重要法律。作为一部统筹数字经济时代“安全与发展”并重的法律,《数据安全法》标志了个人数据野蛮掘金时代的结束,也将为下一阶段数字经济的发展提供更多保证。
《数字安全法》保障数字价值实现
从内因来看,《数字安全法》的出台根源于人们日益增长的对数据的巨大需求以及不可忽视的愈演愈烈的数据安全风险。
当前,全球经济特别是传统经济增长缓慢,迫切需要通过新的经济增长点拉动内需,增加就业,而数字经济正是切入点和发动机。数据已成为名副其实的资产,与资本、劳动力、土地、技术等并列为重要的生存要素,而人们对于海量数据的运用也将引发全球新一轮的生产力增长与创新。
事实上,近年来数字经济的增速证明了数字经济发展空间巨大,数字经济已成为我国国民经济增长要素的重要一员。中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元,数字经济总体规模占gdp的比重从2005年的14.2%提升至2019年36.2%。
在这一过程中,人们对于数据价值的认识得以不断演进。这从中国信通院《中国数字产业发展白皮书》历年表述中便可见一斑:自2017年数字产业化和产业数字化的“两化”框架,到2020年数据价值化、数字产业化、产业数字化、数字化治理的“四化”框架,数据业已成为重塑生产力的核心。
然而,在面对传统经济模式失速、国际环境复杂严峻、国内任务艰巨繁重的现在,以数据为关键生产要素的数字经济成为增长的新动能、就业的新空间。但是,在“数据”价值由此倍增的背景下,数据安全风险却愈演愈烈。
在过去的传统数据时期,数据在运营过程中处于被动地位,数据收集成本较高,所以多以商业盈利为主导。这时候数据结构秩序规范,数据量相对较为有限,对数据的掌握滞留在管理方法层面,并逐渐发展出数据库、数据仓库、数据一体化等技术。彼时,数据遭受的重要难点还是安全风险防控,即维护数据不被黑客攻击和不当得利,确保导出结果的精确性和一致性。
随着大数据时代的到来,数据收集更为便捷,数据在个人移动智能终端、佩戴式设备、传感技术设备上源源不断地产生,数据量也随之暴增,并开始呈现以个人数据为主导,具备大采集特点,并逐步发展数据驱动、数据挖掘、云数据库等技术。与此前借助数据进行判断推理不一样,该阶段完全利用大数据进行驱动,数据安全与隐私泄露问题日趋严重。
risk based security数据显示,在2019年1-9月中,全球就发生了超过五千次的数据泄露事件,近八十亿条数据被暴露,2019年的数据泄露量同比增长超过百分之三十。
其中不乏大厂,比如,facebook数据泄露事件导致市值瞬间蒸发,还面临50亿万美元的巨额罚款,数据泄露成本巨大。阿里巴巴旗下东南亚电商平台lazada也曾遭遇黑客攻击,大量客户数据被泄露。
除了个人和企业,数据安全保障能力也是国家竞争力的直接体现。数据安全是国家安全的重要方面,也是促进数字经济健康发展、提升国家治理能力的重要议题。尽管现阶段我国政府并未面临大规模的数据泄露,但政务数据的共享开放不可避免面临与日增长的挑战和风险。
从某种意义上讲,要保证数据的绝对安全,就要将数据全部物理隔绝,变成“死”数据,这样显然是最“安全”的,既拿不走,也不能破坏。但这样做却也损失了数据的价值——
数据只有在流动、分享、加工处理过程中才能创造价值。可以说,《数字安全法》的核心正是保障数据在安全可控的情况下使用并发挥价值。
《数据安全法》保障国家安全
当然,《数字安全法》也离不开外力的造就。
2018年9月,《数据安全法》和《个人信息保护法》同时列入全国人大常委会委“条件比较成熟、任期内拟提请审议”的69部法律草案之中。究其原因,则与全球数据治理的进程密切相关。在全球数据治理的视野里,2018年绝不平凡。
2018年3月,时任美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件。无论服务提供者的通信、记录或其他信息是否存储在美国境内,都要求服务商根据该法案进行调取并提供相关证据。
4月,爆发了轰动全球的“facebook数据门”事件,8700万facebook用户的个人数据被出卖给一家叫做“剑桥分析”的公司。这家公司操纵这些数据,最终成功地通过选举程序,使得英国脱欧、特朗普上台,扎克伯格因此出席美国参众两院听证会。
5月,号称史上最严个人信息保护法的欧盟《一般数据保护条例》(gdpr)正式实施。gdpr法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。
这三次重大事件分别从不同维度向中国揭示了数据的重大意义。
首先,《澄清域外合法使用数据法》显示,数据关乎国家主权。该法源于美国政府诉微软一案。美国司法部为调查某毒品走私犯罪,向纽约南区联邦地方法院请求核发搜查令,要求微软提供某电子邮件帐户使用者的通讯信息,但因该通讯信息的服务器存放地为爱尔兰都柏林,微软拒绝提供,主张美国法官无权对境外存储的数据核发搜查令。
2018年2月6日,美国4位参议员提交《澄清域外合法使用数据法》草案,塞入等待批准的《2018年综合拨款提案》。短短一个月后,经特朗普签字生效。该法改变了《存储通信法》的模糊规定,旗帜鲜明地采取了“数据控制者标准”,将数据主权从物理层边界延伸到技术上的“控制边界”。
其次,facebook数据丑闻表示,数据关乎国家政治。剑桥分析的“种子用户”来自一款发布在facebook上的心理测试app,这个心理测试通过分析点赞等社交行为,给一个人进行心理画像。并且,即便是用户没有使用某款app,只要其朋友使用了,那么该用户的数据也就一并被抓取,进入模型,被算法分析。
就是这样,从27万用户画像,扩展到了5000万,并且该公司宣称,以这5000万个样本为基础,他们可以精准预测全体美国人的行为。在收集数千万facebook用户数据后,剑桥分析将其运用到2016年美国总统大选中,为特朗普打造针对性广告,终于潜移默化地影响了选民。
最后,gdpr表示,数据关乎全球博弈。在数字经济的世界版图上,欧洲无疑是落后者。但伴随着gdpr的生效,它以一种新的方式改变这一格局。
首先,欧盟通过gdpr扩张其境外管辖权,不论数据控制者、处理者及其处理行为在欧盟之内还是之外,但凡处理的是欧盟境内居民的数据,均适用欧盟法律。其次,欧盟以基本权利保障为由,禁止个人数据流入未获得“充分性认定”的国家。最后,欧盟借此向全球扩张其制度理念,并为世界个人信息保护法树立新的标准。
目前,全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。在这样的背景下,《数字安全法》的出台更被赋予保障国家安全的重大使命。
开启数字安全新阶段
事实上,《数据安全法》正式出台之前,国务院已发布多个相关政策规定:
2015年发布《促进大数据发展行动纲要》,2018年发布《科学数据管理办法》,2020年发布《关于构建更加完善的要素市场化配置体制机制的意见》。2021年3月12日,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布。这也充分体现了数据安全政策导向明确,国家数据战略清晰。
在这样的背景下,我国正式出台《数据安全法》,这既标志了个人数据野蛮掘金时代的结束,也将成为数据要素国家战略重要的法制基础,是数据要素国家战略的基本法。
一方面,《数据安全法》明确了数据活动的红线,在法律法规允许的条件下,推动数据共享,发现数据价值。比如,在《数据安全法》的第六章明确了数据活动的法律责任,对于不合规行为予以处罚或处分,构成犯罪的,依法追究刑事责任。再比如,《数字安全法》提出建立健全国家数据安全协同治理体系,有关部门、行业组织、企业、个人应共同维护数据安全,促进数据经济发展。
此外,类似于网络安全等级保护制度采用的分级管理,《数据安全法》第二十一条规定,国家建立数据分类分级保护制度。数据分类分级的标准是“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”。
确立分级分类保护制度,对不同等级不同类别的数据采用富有弹性的管理方法,是在数据安全性和数据的流通和利用对于数字经济的重要性之间寻求平衡的结果。相应地,则由国家数据安全工作协调机制来统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
可以说,《数据安全法》的颁布向社会释放了这样的信号:尽管平衡“个人数据保护”与“数据价值挖掘”这两者之间的矛盾依旧有待商榷,但在全球范围内,针对个人数据野蛮掘金的时代已经结束了。
另一方面,《数据安全法》除了高举数据基本权利大旗的道德至上主义者,更彰显了其对于数字经济的关键作用。数字经济持续高速增长正成为经济高质量发展的新引擎。目前,数据产业已经形成一个完整产业链,涉及数据收集、存储、加工、使用、交付、流通等诸多环节,但却面临政策鼓励数据应用与流通交易,法律法规相对滞后的情况。
在《数据安全法》以前,中国个人数据保护以分散立法为主,未制定专门统一的个人信息保护法,而《数据安全法》的公布,加速推动了一个关于行政法规,部门规章,国家标准、行业标准及自律公约等个人数据保护的基本法律框架的形成,也是对中国未来数据保护制度建设的顶层设计和思考。
此外,《数据安全法》在第五章特别提到了政务数据的安全与开放。从数据的来源来看,目前大数据资源主要掌握在政府手中,因此要充分发挥大数据的价值,完善政府数据开放制度,推进政府数据开放是必不可少的重要一步。
可以说,《数据安全法》是继《网络安全法》提出数据的概念后,我国在数据安全立法层面的又一个重大里程碑。毋庸置疑,作为数据安全管理的基本大法,《数据安全法》实施后,单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。数据安全,人人有责。