新基建背景下的数据治理体系研究
2020-09-21刘露杨晓雷
刘露 杨晓雷
摘要:数据是新基建发展的“土壤”,共性基础设施建设促进了产业间数据的密切交互,也带来了海量化、耦合化的数据形态,传统“囚笼式”的数据规制方式已无法满足新基建数据动态发展的需要。结合对数据治理现状的多角度分析,本文提出以数据生命周期作为主线的治理框架,通过数据生命周期穿透各个治理环节,提炼出数据的共性价值,为治理提供合理有效的规制路径。还结合法律政策与技术规范,对数据的来源、传输、存储、加工、应用和清理等六大数据生命周期的环节进行具体论述,并针对每一环节提出治理重点和治理思路。
关键词:新基建;数据治理;信息基础设施;人工智能;工业互联网
中图分类号:G311 文献标志码:A文章编号:1007-9092(2020)04-0059-008
2020年3月4日,中共中央政治局常務委员会召开的会议强调,要加快推进国家规划已明确的重大工程和基础设施建设。4月20日,国家发改委在新闻发布会上对新基建的具体内容作了明确解析,为基础设施数字化、智能化发展释放出巨大的产业信号,标志着信息互联网向更深层次的产业互联网和价值互联网转型。
新型基础设施建设通过技术驱动数据,将产业作为技术赋能的对象,形成巨大的社会能力。在数字基建浪潮的推动下,从消费领域到实体经济都将面临一次巨大的技术变革,各行业由过去被动、条块状的数据平台建设模式,升级为主动与业务结合,共同进化的有机体系化框架。但是海量数据爆发,多样化的数据形态和激增的实时处理需求也给数据产业安全带来了巨大的挑战。区别于传统互联网“尽力而为”的网络服务架构,产业互联网需要给予产品服务体系可靠的数据安全保证,并通过对数据的软治理来提升对整个基础设施的治理高度。本文从技术、立法、评价与监管、伦理等四个角度对当前数据治理体系的现状进行综合分析,在此基础上提出以数据生命周期为总线的新基建数据治理路径,并对数据的来源、传输、存储、加工、应用、清理等六大生命周期环节具体展开论述。
一、新基建背景下的数据特征
强调数据的流动与融合。融合是大数据的价值所在,在新基建数据赋能中,不同行业数据进行有效联结,并通过数据利用与挖掘实现数据价值的最大化。多源数据的汇聚,避免了数据割裂带来的片面决策,不同行业间的数据互补将更好地提升数据的内在价值,但对技术创新的同步性、产业配套的系统性也提出了更高的要求。
强调应用能力与平台能力的结合。新型基础设施建设通过“数字化”“信息化”“智能化”对传统行业进行重塑,呈现数据平台化和数据产业链分工细化的趋势。共性数字基础设施已成为各类工业数据和资源的重要载体,针对行业数据差异较大的特点,需要结合产业环境搭建产业互联网平台,通过区分化的数据治理思路实现行业数据价值升级。
强调数据的安全属性。随着信息基础设施建设和应用的大面积开展,政治、经济、军事、文化、科技等活动越来越依赖于信息系统的辅助支撑,潜藏其中的数据危机也不断衍生出新的安全挑战。同时,随着信息基础设施的大规模增加,对数据的攻击将从网络空间延伸到更加丰富的物理空间,这就需要从终端芯片、服务器、网络、操作系统和数据库等方面建立起全方位的保护。
强调数据的社会属性和价值属性。数据平台的广泛关联和运行形成了全新的社会运行机制,信息生产和运行模式、信息与行为的关系、社会行为模式、社会关系结构等多方面也在发生深刻的改变。数据在社会流动中拥有了价值属性,数据的所有权、知情权、采集权、保存权、使用权以及隐私权等,也成了每个公民在大数据时代的新权益。
结合对数据特点的分析可知,新基建背景下的数据治理要更加强调数据在新时期发挥的关键作用,在保障数据安全的同时还要实现促流动、促融合和促发展,数据治理所涵盖的内容已远超过狭义上的数据安全管理。因此,面向新基建的数据治理体系建设需要实现“从点到面”,进而“从面到体”的立体化的规制和监管。
二、数据治理的现状与不足
(一)技术角度
技术是数据治理的执行层面,治理的落实需要通过标准化组织建立统一的标准体系来进行规制。以工业互联网为例,工信部针对总体框架发布了《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划(2018-2020)》等指导文件刘廉如、张尼、张忠平:《工业互联网安全框架研究》,《邮电设计技术》,2019年第4期。;中国工业互联网产业联盟(AII)、中国通信标准化协会(CCSA)随后也对安全体系、防护需求、接入技术等提出了细化标准。纵向上,按照行业细分电力、煤炭、水利等又有各自的行业平台和技术标准。以煤矿业为例,现有国家标准AQ 6201-2019《煤矿安全监控系统通用技术要求》;MT/T 1169-2019《矿井感应通信系统通用技术条件》;同时,在煤矿智能化标准制定体系中又涵盖了国家能源局、国家煤炭协会、中国煤炭学会的19项行业标准立项王国法、杜毅博:《煤矿智能化标准体系框架与建设思路》,《煤炭科学技术》,2020年第1期。。数据治理中标准体系的复杂和庞大可见一斑。
标准体系复杂化带来的问题具体表现如下:概念混淆,不同层面、不同组织缺乏统一的术语标准;缺乏跨行业的技术标准和通用的基础标准,数据流通不畅;行业智能化水平发展迅速,行业标准指导、规范和安全要求制定流程较长,无法及时跟进;落实到基层,企业对标准执行的能力存在着差别,执行效果不佳等诸多问题,迫切需要技术标准层面的进一步加强和改善。
(二)立法角度
法律是根本性的社会治理手段,可为数据治理建立监管和问责制度。从《网络安全法》《电子商务法》《信息安全技术个人信息安全规范》《关于加强国家网络安全标准化工作的若干意见》,到立法规划中的《个人数据保护法》《数据安全法》《儿童个人信息网络保护规定》《个人信息出境安全评估办法》,再到近期十二个部门联合发布的《网络安全审查办法》,我国数据立法体系正逐步趋于完善。
新基建场景下,参与到数据处理的社会角色越发丰富,法律制定需要对不同的数据安全责任主体进行区分。如信息主体要求加强对个人信息的保护;行业主体要求对合法搜集、处理信息的法律保障;数据加工主体要求对数据处理能力的保护;平台要求对网络交易的规范等。目前我国对数据方面的法律保护还集中在宏观层面,面对产业链中越发具体的数据保护诉求,如人脸识别数据信息保护、数据平台交易规范、流程数据保护等依旧缺乏及时的立法保护。
数据立法是数据技术与立法体系的高度融合,法律保护要恰当务实,把握数字经济发展与治理之间的平衡,不能一味求全、求严,卡住数据脖子,限制社会的数字化改造活力。同时更要注重立法的可执行性,避免类似于欧盟GDPR“被遗忘权”规范与操作脱节的情况发生。
(三)评价和监管体系
数据治理中法律政策的执行需要政府部门、行业组织和具备认证资质专业机构的密切配合。以2019年移动互联网App专项治理为例:2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》相关认证要求中华人民共和国国家互联网信息办公室:《关于开展App违法违规收集使用个人信息专项治理的公告》,2019年1月25日。;同时还委托全国信息标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立“App违法违规收集使用个人信息专项治理工作组”;2019年3月,第三方认证机构中国网络安全审查技术与认证中心中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。中国网络安全审查技术与认证中心为国家市场监督管理总局直属事业单位,系第三方公正机构和法人实体。在业务上接受中共中央网络安全和信息化委员会办公室指导。为落实“公告”要求编制了《移动互联网应用程序(App)安全认证实施规则》,并获得市场监督总局认证监管司评审通过。随后,国家市场监督管理总局发布了该“实施规则”,规则技术验证依据为GB/T 35273《信息安全技术个人信息安全》,认定方法为后发布的《App违法违规收集使用个人信息行为认定方法》中华人民共和国国家互联网信息办公室:《App违法违规收集使用个人信息行为认定方法》,2019年12月30日。。从2019年12月开始,在工业和信息化部网站上可看到由工信部通信管理局对违规App进行通告整改和下架的工作。
在实际操作中,多部门参与的监管和评估会在一定程度上影响执法的稳定和可预期性。如国家发改委等十余个部门均具有关于App个人信息收集使用的行政监管权与执法权,带来了多头管理的局面,管辖权限范围不明确,不利于执法尺度和标准统一的问题邰江丽:《关于App收集个人信息实务及规范研究》,《北京航空航天大学学报(社会科学版)》,2019年第4期。。还需注意的是评价和监管并不能仅注重事后管理,还需要通过常态化的评价与监督方式,建立起科学完善的监控平台,实现主动防治。
(四)数据伦理角度
数据治理不能仅靠公权力进行维护,同时也要将治理思维体现在伦理道德监管中。新兴技术指向未来发展,技術研发还处于快速成长期,社会影响的复杂性、长期性、累积性,带来了信息技术的“科林格里奇困境”。伦理问题将借由新基建的放大效应,给社会带来多方面的影响。
2019年7月24日,中央全面深化改革委员会第九次会议审议通过了《国家科技伦理委员会组建方案》,开启了我国科技伦理治理制度化的历程。有效应对信息技术带来的社会挑战,需要深入研究思考并树立正确的道德观、价值观和法治观。习近平总书记在中共中央政治局第九次集体学习时强调:“要整合多学科力量,加强人工智能相关法律、伦理、社会问题研究,建立健全保障人工智能健康发展的法律法规、制度体系、伦理道德。”
然而,近年来隐私泄露、算法歧视、信息茧房等有关数据使用的丑闻使公众对数据使用和信息技术的信任度降低;数字经济浪潮下的数字鸿沟导致在不同社会群体之间形成新的“权利沟”和“知识沟”,反而会阻碍社会治理能力的提升。故要正确引导公众的数据使用方式,提倡数据使用的自由、平等、诚信和自律,积极帮助公众适应新基建时代带来的环境挑战和劳动力市场结构变化,实现公众数据和产业数据的价值共创,最大程度地释放数据红利。
综上可见,数字基建带动了数据的流动和集中,随着平台数据价值重要性的体现,数据治理需要从问题导向向价值导向进行转变。如何在海量数据中穿透各个运行层面,提炼出数据的共性价值,为治理提供合理有效的规制路径,成为数据治理体系构建研究的重点。
三、以生命周期为总线的数据治理路径
新基建数据来源多样,处理方式多样,所处行业和场景不断变化。数据从其产生的原点出发,会全部或者部分流经信息基础设施的相关环节,如下图(图1)。基础设施建设环环紧扣,传统对单一行业数据或某一数据处理环节的技术规范体系或政策法律规制很难起到综合治理的作用。
数据贯穿信息流动的生命周期,把握以数据生命周期为总线的数据治理,可以将治理思路贯穿于数据的产生、收集、流转、加工、使用直至清理的全应用流程,在信息全链条中完成数据从端到端的跟踪与管理服务。故此,有必要对数据治理流程的各个环节进行全面深入的梳理。
(一)数据来源:区分来源的差异化治理
现阶段,我国的数据来源形态处于由单向应用阶段向协同共享阶段过渡。不同来源数据具备不同的数据规模和数据特征,在数据治理的过程中不可一概而论,而是要采用“分而治之”的思路,抓住特点,给出不同的治理思路和路径措施。
个人数据是大数据最重要的信息来源,也是整个数据产业链中经济价值最高的数据类型。在我国法律体系中,“公民个人信息”被定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条以《中华人民共和国网络安全法》第七十六条规定为基础,明确刑法第二百五十三条之一规定的“公民个人信息”。。在更广义的定义中,个人数据可以扩大解释范围为个人的自然信息和行为数据的总合。不可否认,目前我国个人数据权层面法律基础设施与配套建设尚不充分,把握个人数据收集过程中的合法公开原则、目的限制原则、最小数据原则、数据安全原则和限期存储原则成为进一步个人信息数据收集的关键韩新远:《收集、使用个人数据宜遵循五项原则》,《检察日报》,2020年3月28日。。
政府数据作为国家基础性、战略性的数据资源已成为当代数字创新的重要来源,具体包含城市建设、城市健康管理统计监察、服务与民生消费类数据等多方面信息,是串联产业数据的关键组成部分。但由于缺乏数据开放的相应立法,许多高价值数据处于被锁定的闲置状态杜振华:《政府数据开放与创新驱动经济增长的关系》,《首都师范大学学报(社会科学版)》,2020年第2期。。虽然广泛开放政府数据作为重要产业数据来源、鼓励政府数据流动已成为新型数字产业的迫切需求,但只有制定了相应的对策、建议,才可以推进政府数据工作的均衡有序发展。
行业数据是一个涵盖内容更加丰富的数据体量。在新基建政策和技术的驱动下,工业大数据作为“智能制造”和“工业互联网”的关键支撑即两化融合的重要基础正逐渐受到重视。制造技术和商业模式的变革将首先带来工业大数据市场的繁荣,对于大规模工业数据的治理,需要建立分级、分权的治理方式才能对复杂的产业场景进行规范性的整合。
(二)数据传输:以技术为基础,以政策为指引
“基础设施犹如经济社会发展的筋骨,节点布局合理、网络密度适宜、通道运行高效、传输能力符合社会需要,筋骨就强健有力,对经济社会发展的支撑就稳固有效。”殷鹏:《统筹推进传统基建和新基建》,《人民日报》,2020年4月20日。 网络基础设施经常被类比于传统基建中的铁路公路建设,伴随国家信息化建设的推进,数据网络的信息安全保障已上升至国家网络空间战略高度。
在传统理解中,网络运营商被认为是保障数据安全传输的主体。但随着信息供应链的日趋复杂,产业链也在逐步细化,设备集成商、网络服务提供商、软件供应商都在更大程度地参与到数据传输的关键工作中。“5G”作为新基建中数据传输的重头戏,对5G的投资范围不仅包括通信设备、网络建设等基础设施,还包括智能驾驶、工业互联网、人工智能、远程医疗、智慧城市等外延产业链群的同步升级。
在网络基础设施扩大建设后需要重新评估现有网络政策和安全治理框架,扩大网络安全保障范围和重新评估并建立具备长度、深度、广度的立体化网络空间治理体系。网络空间的治理涵盖技术和政策两个角度,行业规范组织从技术角度对设备制造商、软件供应商、互联网运营商,以及互联网服务和内容提供商等所提供的服务进行技术安全保护和行为界定;同时,需要国家和政府从政策及法律法规的角度对网络空间的生态系统做一整合和战略性规制张彬、理查德·泰勒:《美国网络空间治理现状与政策(上篇)》,《通信世界》,2018年第27期。。具体见表2。
(三)数据存储:新形态下的数据中心治理
数据存储主要由大规模数据中心进行承载。在新基建时代数据中心的组织形态将发生巨大变化,成为促进5G、人工智能、工业互联网、云计算等新一代信息技术发展的数据中枢和算力载体王青:《“新基建”浪潮下数据中心应该如何规划布局?》,《人民郵电报》,2020年4月9日。。海量数据将推动数据中心向超大规模发展,对时延要求敏感的VR/AR、自动驾驶、远程医疗等业务场景,使计算能力逐步向用户端下沉,边缘数据中心的需求迅猛增长。考虑自然灾害、病毒攻击等不可控因素影响(如数据的异地灾备),分布式云数据中心将进行更大范围的协同布局和整体优化。经过调整的数据中心组织形态建设,将更好地面向新基建背景下的多场景业务需求,但是其多节点、广分布、跨地域的形态特点,也给数据存储的治理带来了新的挑战。
从应用需求角度看,要加强数据中心和网络建设的协同布局。构建基于云、网、边深度融合的算力网络,满足在云、网、边之间按需分配和灵活调度计算资源、存储资源等的需求。统一数据中心的技术标准,优化网络组织结构,从基础能力上保障海量、异构和多样性数据的接入,维护数据中心的物理环境、数据存储安全和数据处理能力。由工信部牵头组织,中国数据中心工作组(CDCC)、中国数据中心产业发展联盟、中国数据中心技术委员会、数据中心联盟、中国绿色数据中心推进联盟等均正在致力于推进数据中心基础设施的技术能力治理提升,并推出相关系列国家和行业建设标准现行数据中心相关规范有国家标准:《数据中心基础设施运行维护标准》(GB/T 51314—2018),《数据中心设计规范》(GB 50174—2017),《互联网数据中心工程技术规范》(GB 51195— 2016),《数据中心基础设施施工及验收规范》(GB 50462—2015),《计算机场地通用规范》(GB/T 2887—2011)等。。
从立法监督角度看,结合当前分布式数据存储的特点,尤其要加强离岸存储数据的确权管辖。由于历史因素和规制传统的不同,各国数据规制制度存在显著差异,数据业务的跨国提供和数据的离岸存储带来地域管辖上的冲突。我国大数据发展的国际环境日趋复杂、治理难度系数逐级攀高,围绕着数据资源的跨境传输与数据主权、开放数据的共享利用与安全保护以及敏感数据的情报萃取与反渗透、反窃密等行为的博弈较量日趋激烈磨惟伟:《新时期我国大数据安全治理工作的“破”与“立”》,《中国信息安全》,2018年第6期。。2016年11月出台的《网络安全法》首次以国家法律形式明确了中国数据跨境流动的基本政策,但仍缺少明确的评估方式和评估机构。
从美国、欧盟和俄罗斯这三大数据跨境保护阵营的实施策略中,我们可以清楚地发现,国家的数据技术能力与立法的限制程度成反比。数据治理能力综合体现为技术治理能力与政策治理能力的叠加,呈现互补的关系。数据中心的治理以保护国家数据主权作为第一需要,而数据流动价值需求次之。这种规律也为我国制定数据信息保护和管辖规范的制定提供了一定的参考价值。
(四)数据加工:对智能算法及产品的规制
数据加工是对数据价值的深度挖掘,涵盖人工智能、数据挖掘、智能感知、智能交互等多重技术,是数据成果化实现的关键环节和信息技术发展的核心动能。随着数字基础设施建设的发展,数据传播的内容将更具社会渗透力,数据加工的结果对人的社会化方向、内容将产生更深远的影响。
从社会治理的维度看,人类行为正通过算法以一种全新的方式产生关联运行,数据的社会属性就是人类社会行为及作为行为基础或者依据信息的表现形式和载体的数据化。人工智能应用下的信息生产和运行模式、行为决策机制、社会关系结构等多方面正在发生深刻的改变,传统法律法规只能通过国家干预进行事后救济,而技术规则则可以通过代码进行事先预防赵蕾、曹建峰:《从“代码即法律”到“法律即代码”——以区块链作为一种互联网监管技术为切入点》,《科技与法律》,2018年第5期。。
首先是对智能算法本身的规制。智能算法是“以数学形式或计算机代码表达的意见”,但其内核和运算过程带有不透明性和不可解释性。同时大量数据经过算法的循环推演,又会把这种歧视倾向进一步放大或者固化,从而造成“自我实现的歧视性反馈循环”。算法歧视和算法黑盒的结果应用在社会价值的判断中,就会直接影响到相关主体的权益,带来现实社会中“偏见”和“歧视”的受害者。当前,对人工智能算法和相关业务规范已在不同条款中有涉及汪庆华:《怎样对人工智能进行法律规制》,《经济参考报》,2020年3月17日。。
其次是以智能算法为内核的智能产品法律地位,及权利义务关系问题。如人工智能创作成果的知识产权争议,智能算法致第三方损害的责任承担问题等等。以无人驾驶汽车交通肇事为例,其在刑事和民事领域的责任主体构成上与有人驾驶的机动车肇事案件需要做明确的区分。
智能算法仍具有高度的不确定性,相关数据体量庞大,相互依赖性强,影响后果的因素复杂,这种不确定性使得法律制定在事后干预措施的可控性较弱。因此,在立法层面要积极地推动人工智能责任立法以及自动驾驶、医疗机器人等相关领域的细分,充分考虑特定场合中对相互冲突的利益进行道德判断和取舍,以及在此基础上如何调整法律理念、制定法律规范和分配法律责任等问题。
(五)数据应用:平台风险的管控
数据应用的治理是面向不同应用场景的数据资源再分配和数据安全管理。目前网络和数据安全风险不断向平台转移,安全形势愈加复杂,工业互联网正在成为网络安全的主战场,且工业大数据多涉及到民生、军事等重大方面,工业互联网安全已威胁到国计民生和国家发展的安全蒋融融、翁正秋、陈铁明:《工业互联网平台及其安全技术发展》,《电信科学》,2020年第36期。。因此,要结合产业环境,针对行业数据差异性的特点,通过区分化的数据治理思路实现行业数据价值的升级。
技术安全保障是工业互联网数据平台治理的基础,通过技术治理赋能我国工业互联网平台运行的数据采集、监测、感知和预警等工作,实现工业企业数字化、网络化、智能化的综合应用能力提升。强调平台数据使用安全,在防护维度上加强数据监控和数据感知,避免工业互联网大规模安全事件发生。国内外工业互联网技术标准体系正在逐步建立与完善,我国信息安全标准化技术委员会、中国通信标准化协会(CCSA)等标准组织已分别着手从不同层面定义了安全防护总体要求、接入要求、检测要求、监测管理要求等评估标准张尼、刘廉如、田志宏:《工业互联网安全进展与趋势》,《广州大学学报(自然科学版)》,2019年第3期。。
同步建立以国家政策性规章为导向,以地方指导意见为资源保障的工业互联网平台数据治理体系。自2015年5月国务院首次提出《智能制造2025》至2020年初,我国共颁布全国性政策法规及指导意见21项。其中与数据治理密切相关的有2019年7月26日工信部、教育部等十部委共同印发的《加强工业互联网安全工作的指导意见》,标志着中国工业互联网安全体系基本形成工业和信息化部:《十部门关于印发加强工业互联网安全工作的指导意见的通知》,2019年8月28日。;2020年2月,《工业数据分类分级指南(试行)》围绕工业数据的概念、分类分级方法、差异化管理等方面提出16条指导意见,标志着我国工业数据治理体系的建立;2020年3月,《关于推动工业互联网加快发展的通知》具体提出工业互联网20项举措,信息通信管理局:《工业和信息化部办公厅关于推动工业互联网加快发展的通知》,2020年3月20日。 还印发了《工业互联网企业网络安全分类分级指南(试行)》等重要文件。从落实到地方的政策法规看,29省均具体下发了结合地域工业发展要求的地方性指导政策、实施方案及配套措施等相关意见。
(六)数据清理:不同清理需求的区分
海量数据涌入信息系统,带来商业价值的同时也带来了大量的数据冗余。数据的清理可以发生在数据处理的各个环节,是数据生命周期的重要组成部分,也是最容易被忽视的治理环节。2018年以后,随着GDPR数据删除权的提出和施行,数据清理、数据丢弃问题开始走入数据治理的视野。什么样的数据可以被清理;哪一个数据主体有决定数据可以被删除的权利;业务数据被删除后,数据副本是否依旧留存;“互联网的记忆”要维持多久,数据的清理周期是如何规定的等等,这些都成为在数据清理环节中需要解决的治理问题。数据清理按照清理目的的不同可分为下面三大类:
1.数据处理过程中的技术性剔除。数据的采集过程通常有一个或者多个数据源,而这些数据并不是系统可以直接处理的数据,存在噪声数据、冲突数据以及格式问题数据,需要对脏数据进行清洗剔除、格式梳理,并根据规则进行数据转换和数据集成。在这一部分需要结合数据的处理目的,来把握数据的业务规则、约束范围、数据完整程度等具体指标,将不正确的数据删除,纠正或重新估算。这一数据清理过程保证了数据的合法性、一致性、完整性和准确性,避免了数据系统的“垃圾进、垃圾出”的问题,是数据后续处理的基础。
2.数据主体的主观清理要求。参考GDPR,数据被删除的情况大体可分为两种:一种是以信息错误或无法按照约定情况处理为前提,如违法收集、利用,与第三方共享、转让或公开披露等;另一种是以信息已过时、不相干等有害于数据主体为前提刘学涛、李月:《大数据时代被遗忘权本土化的考量——兼以与个人信息删除权的比较为视角》,《科技与法律》,2020年第2期。。从治理角度看,GDPR将一部分数据的管控权利交给个人用户(即数据主体),带来了数据删除权利与人格权、隐私权关系的进一步讨论,对新时代的个人隐私保护以及电子商务的发展将产生深远而重大的影响张建文:《被遗忘权的场域思考及与隐私权、个人信息权的关系》,《重庆邮电大学学报(社会科学版)》,2017年第1期。。
但在具体操作方面,数据删除权利却带来诸多问题。数据处理链条的每个步骤都是保存副本的,包括数据处理的第三方。搜索界面取消链接,业务的下架不代表数据的真正消失,GDPR里规定的数据不能被访问到不代表数据在系统层面的真正删除。个体数据进入系统中后会与大量数据进行耦合,对于指定个体数据的删除或者迁移都给系统的存储和计算带来了巨大的技术压力,给企业带来高额的合规成本。因此迫切需要具体的执行规范来进一步保障操作的合理和合规性。
3.企业数据的周期性归档与销毁。该阶段数据的销毁是主动将数据从物理介质上进行彻底转移或删除。信息的價值会随着时间的推移而降低,当数据不再有立即相关性后,数据企业会从生产系统中清除掉使用率低的数据,降低拥有成本。在企业要保证数据的销毁不能与政府条例和法律法规相违背,且与在诉的争议性数据无关的前提下,数据的归档与销毁需要企业或者行业制度分级分类地对数据保存时间、处理周期、销毁方式和归档封存等情况做统一要求。信息时效性是企业数据周期性管理的重要指标,企业或者行业组织应建立明确、科学的数据回收和销毁规则。
四、结论与建议
治理数据如同治水,面对数据的高流动性,要站在新基建打造产业发展的视角予以全面的、系统化的考虑,找出数据生命周期的治理总线,突出端到端的流程把控,从传统“囚笼式管控”转向伴随数据流动“主动防治”的动态思维的方式。
在技术防御上,要建立常态化的合规制度,结合数据的生命周期阶段,动态地评估数据的安全问题,建立预警、响应及处理机制。在政策和立法方面,数据治理手段可以具体化,但不能片面化,要遵循数据生命周期发展的客观路径,体现前后的关联性,保证技术上可以落地执行。要以数据价值为导向,以产业应用场景为抓手,以保障数据安全为目标,实现信息技术与管控流程的深度整合,从而达到数据治理与数字经济发展的平衡态。
(责任编辑:胡晓慧)