返回列表

构建“有温度”的数据安全屏障

  6月10日,经历三次正式审议的《中华人民共和国数据安全法》(以下简称“数据安全法”)最终由全国人大常务委员会会议通过,并将于2021年9月1日起施行。这部法律是数据领域的基础性法律,正式确立了我国数据安全领域的基本法律框架。

  在数字经济时代,数据的重要性毋庸讳言。随着社会经济的发展,信息化、数字化已经成为趋势。中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》也将数据作为新的生产要素上升到基础战略资源地位。据工业和信息化部副部长刘烈宏介绍,“十三五”时期,我国大数据产业年均复合增长率超过了30%,2020年产业规模超过了1万亿元。当前,数据对经济发展、社会治理、人民生活都产生了重大影响,已成为国家基础性战略资源。

  不过,随着数据利用在各个领域的不断深入,数据安全领域也暴露出一些问题。无处不在的摄像头、手机上的应用程序(APP)、越来越普及的物联网设备,在给我们的生活带来诸多便利的同时,也暴露着我们的隐私,而网络黑产的攻击,更是造成了安全隐患。

  “当前,全社会的数据安全意识还没有达到应有的高度,对数据治理还没有科学的认知。”中国政法大学互联网金融法律研究院院长李爱君在接受《金融时报》记者采访时表示,当前,个人信息保护和隐私保护的有效个人维权能力不足,数据安全的生态环境还没有形成,数据安全的相关标准缺乏,数据安全监管的技术手段不足,亟待进一步构筑起更好的用户数据隐私保护和数据安全保护屏障。

  “而此时推出数据安全法,正是为了更好推动相关规则的完善。”北京市京师(深圳)律师事务所联合创始人、京师深圳法律研究院院长王岩飞对《金融时报》记者说。他强调,现行的网络安全法、民法典以及部分法规、条例、标准等文件中虽然对于数据处理活动有所规制,但依然有所欠缺。数据安全法的出台,将对数据处理活动、数据权益、数据保护和利用、政务数据开放共享、数据交易等方面从法律层面进行规制,指导实践活动。

  数据安全保护升级

  在王岩飞看来,当前数据开发利用的过程中凸显了很多前沿的法律问题,比如数据产权制度、数据产权保护和利用机制、数据隐私保护制度、政府数据开放共享以及数据交易等方面。

  这也是一个全球性难题。为此,世界各国和地区相继出台了相关的保护数据安全与数据隐私的法律法规。欧盟出台了通用数据保护条例(The General Data Protection Regulation,简称GDPR),对企业收集、控制和处理个人数据的方式做出了严格规范,如果违反GDPR,企业将面临高达2000万欧元或全球年营业额4%(两者取其高)的巨额罚款;比如美国出台了相关数据保护法——加利福尼亚消费者隐私法案(CCPA),根据规定,罚款金额范围定在按受影响用户人数计,一个拥有百万级用户账户的网络服务很可能因违规被罚款至倒闭。

  而我国的数据安全法旨在通过数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,以总体国家安全为出发点和落脚点保障国家数据安全,促进数据开发利用,为有效应对数据这一非传统领域的国家安全风险与挑战提供了法律依据。

  记者了解到,数据安全法可能与网络安全法、个人信息保护法(草案)一起,共同构成我国网络安全体系建设中的关键立法,为后续的网络和数据安全以及数据流动奠定基础。“数据安全法是我国信息数据立法的关键立法,我国正在建设完备的数据信息安全体系,未来将以三部法律(前述三部)为核心来推进网络安全体系建设。三者相辅相成,互为补充,数据安全法主要规范数据处理活动和数据开发利用,保障数据安全。”中南财经政法大学数字经济研究院执行院长、教授盘和林告诉《金融时报》记者。

  “可以说,数据安全法对于所有领域的数据处理活动都有规范,但主要还是对于涉及数据敏感、数据量大的行业具有重要影响。”王岩飞表示,互联网企业金融领域是敏感数据集中、数据量巨大的行业,数据安全法要求这类领域的企业和机构要做好全方位合规工作,包括商业模式合规、分类分级数据管理、严格数据出境审查、加强技术和计算机系统方面的有效措施、建立健全全流程数据安全管理制度、组织开展数据安全教育培训、设置完善应急措施、进行定期风险评估,等等,否则将面临行政处罚或者刑事责任。

  而在盘和林看来,由于传统金融业一直重视风控体系,所以,数据安全法的发布只是通过外部规范加强了数据管理,影响不大。相应的,这部法律对于数据基础行业,比如数据清洗、数据处理、数据存储和管理、数据预标注、数据第三方将产生较大影响。

  安全与利用求平衡

  因其收集数据的规模和内容的敏感性,公共领域的数据收集和利用也颇值得关注。如何平衡开发利用和安全保护颇具挑战性。

  “随着政府信息化建设,政务数据统一管理和数据开放成为监管趋势。”王岩飞表示,但电子政务系统的建设维护、政务数据的存储加工,很多都是委托专业机构实施的。

  正是基于此,数据安全法从政务数据安全的层面对数据的收集、安全管理、委托他人存储和加工以及向他人提供政务数据的行为进行了规范。“对政务数据安全与开放进行了规定,推动了政务数据的开放。”李爱君强调。

  在具体实践层面,政务数据系统建设和利用时还涉及政企合作。目前,智慧城市和政务数据建设中,有很多政企数据融合互通的模式。王岩飞表示,在这方面,政府部门在政务数据向企业开放时,要明确数据权属、制定和落实管控制度,对于企业利用政务数据商业化运作的模式要设置合法合规性审查,还要严格对企业再次转让共享政务数据进行监管,避免政务数据开放中的违法违规行为。

  “可以考虑推进数据管理综合第三方。第三方可以是企业,也可以是政府主导。此举既可以解决公共数据的外部性管理难题,也能将数据所有权和管理权分离,便于外部监管。”盘和林建议。

  相比跨机构的监管,盘和林更担心数据在机构内部的“滥用”风险以及相关监管的缺位。“数据安全法更加强调数据的公共性,对数据进行分级,对数据使用进行监管,但数据使用在企业内部是比较封闭的状态,外部监管如何渗透到企业内部数据使用是一个难点。”他强调说。

  让数据为人服务

  数据安全法绝非一部“冷冰冰的条文”,多可见人性化的规定。比如数据安全法第十五条规定,国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

  “从政府层面讲,此条规定主要在于保障老年人、残疾人平等地享受公共服务,一方面可见立法者重视平等、公平,另一方面也体现了人性立法。”王岩飞表示,其实不仅是公共服务领域,当前,国家在推行信息化建设,各地均在建设智慧城市,商业环节中互联网化程度越来越高,在商业环节中杜绝一刀切的信息化,考虑老年人、残疾人以及落后地区群众的基本条件和特点也有必要。

  “例如,一是不能强制使用信息化产品,比如餐饮消费环节中不能强制扫码点餐,不能强制网络支付等等;二是在产品设计时应考虑老年人、残疾人等的特点,针对特点设计产品或者产品中的服务技术。”他解释说。

  与显性的“适老设计”同样重要的是一些隐形的规则。数据安全法第八条规定,开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理。第二十八条规定,开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。“这种合规不仅包括合法,还包括涉及社会公德和伦理的问题,部分情形混合着违法违规行为,而部分情形仅是社会公德和伦理问题。比如AI伦理问题、大数据‘杀熟’、消费歧视、个人信息财产权益定价问题等。对于数据处理活动,应对数据分析和产品设计添加社会公德和伦理审查环节,避免投入市场后才发现违反社会公德和伦理,数据安全法对于社会公德和伦理的合规要求,也有利于新兴问题中的法律适用。”王岩飞强调说。

  当然,上述法律在具体执行层面还亟待细则的不断完善。李爱君提醒,《数据安全法》弥补了我国有关“数据”为规范客体的法律空白,但要让其中的规范真正发挥其立法目标,还要制定具体的标准,如重要数据的标准、数据交易具体规制、数据治理的内容等。

  • 用户注册

    扫码注册或下载尊嘉金融App注册
  • 极速开户

    2分钟填写开户信息,即时开户成功
  • 0佣交易

    随时随地开启港美A股0佣金交易

1个账户、1笔资金
0佣金买卖港股、美股、A股