数据安全影响国家安全的微观分析
2021-11-25庞雪莹
庞雪莹
(山东大学,山东 青岛 266071)
2021年7月上旬,国家网络安全审查办公室对系列赴海外上市互联网平台企业实施网络安全审查,同时要求其手机应用程序在审查期间不得接受新用户注册。本次被审查企业,其共同点在于掌握大量用户数据,业务范围涉及交通、物流、公共服务和人才信息等关键信息基础设施领域,且于近期赴美上市,不可避免涉及数据出境问题。本文以该事件为例,立足总体国家安全观,探讨数据安全影响国家安全的理论逻辑,在此基础上,进一步讨论数据安全规制的基本路径,提升数据安全保护能力,维护国家安全。
一、关键资源能力分析:海量信息采集与深度数据挖掘
基于Barney关于企业竞争优势的判断理论“有价值的、稀缺的、难以模仿的资源是企业竞争优势的重要来源”[1],可以认为企业关键资源能力包括两个方面,一方面是围绕企业主业运营方向,开展经营活动所依托的具有排他甚至垄断性的关键资源。这种关键资源可以是有形资产,也可以是无形资产。企业主业的开展关键在于对关键资源的获取与整合,企业技术能力的创新也离不开关键资源所带来的内生动力和外在激发,由此形成企业可持续发展的核心竞争力。另一方面是企业建立和形成相对固定商业模式所具备的关键能力,也就是对关键资源的开发利用和创新整合。关键能力正向作用于企业发展的前提是企业能够有效识别并汲取关键资源,通过对所处行业的发展趋势预测和市场走向的分析评估,在设定的发展模式中充分融合已有关键资源,形成不同资源间协同联动、相互促进。对关键资源的运用能力在某种程度上直接决定企业的战略定位、价值取向和最终产品或服务形象,是企业生存发展获得经济利益的重要因素。
互联网平台企业是典型的“大数据,轻资产”企业,其种类繁多的业务开展,都离不开数据采集和分析,该模式相较于竞争对手的“小数据,重资产”模式,具有明显优势。对企业自身而言,无需购置大量资产影响现金流动;对用户而言,共享平台更为便捷高效,适应现代化出行需求的同时也创造了灵活就业机会,更符合城市应用场景,因而广受欢迎。具体来说,该类企业每项业务的开展都离不开数据支持。使用快车、专车业务,用户输入起终点,发出订单,系统可自动分配最合适的司机前往接驾,甚至用户发出订单,系统可根据历史订单和轨迹预测用户想要前往的地点,提高运营效率;使用拼车服务,系统会自动匹配具有相似路线的乘客完成订单;车主服务信用体系,则是通过算法计算不同司机的服务水平以及用户体验,司机个人专属服务信用分值越高,能够被分配到越多的订单,进而获得更高的收入,该做法也可有效降低乘客的投诉率。在越来越丰富的数据运用场景中,互联网平台企业通过提供海量精准高效的出行服务,源源不断地收集、更新并补充新的数据信息,将新获得的知识资源与日积月累形成的原数据信息进行综合关联分析、精确比对以及碎片化整合,挖掘出数据背后隐藏的大量信息,通过这些信息的不断重组和聚合,企业便可掌握用户信息本身之外的更多信息资源。
正是基于数据智能驱动带来的技术创新,企业可逐步搭建几乎覆盖各行业领域的难以复制的交通数据库,形成商业战略核心竞争力,实现对用户行为和服务适用性的精准预测,精确的营销范围以及广告的针对性投放,进而实现商业价值的最大化。正所谓“在对的时间,把对的信息,放在对的人眼前”[2],数据的威力被不断放大,用户依赖形成,企业竞争力提升。但与此同时,企业所具备的关键资源能力,也成为其在海外上市可能对国家安全带来的最大威胁。
二、引发网络安全审查的根本考量:国家安全
数字经济时代各行业发展高度依赖网络设施和信息系统,国家资源配置与保护也越来越多地倾向于关键信息基础设施,在平衡国家利益、社会公共利益和个人权益的前提下,赋予关键信息基础设施运营者更多的保护义务并强化其自我监督管理,对关键环节实施重点保护,也是实现网络安全的根本保证。本次赴美上市企业运营的关键领域在于交通运输,提供的关键服务为乘客出行,掌握大量关键信息并具备数据思维,基于定位技术、云计算以及机器学习算法形成了“互联网+网约车业务”有机融合的运营模式,可以认为其属于交通运输行业的关键信息基础设施运营者。作为掌握核心数据资源的国内互联网企业,其赴海外上市行为将可能引发潜在的数据跨境流动,面临数据被截获或者篡改进而损害国家利益甚至威胁国家安全,如放任其海外上市行为的持续发酵,大量拥有类似运营模式的新兴独角兽企业势必蠢蠢欲动,这些新兴“独角兽”基本控制了各行业的关键数据并掌握核心资源,如字节跳动、企查查等,产业价值大幅提升带来了科技的高速发展,但其瓜分国际市场获得更大商业利益的全球化野心往往导致忽视了内在企业担当。如果这些随着我国新经济崛起而发展起来的新兴企业纷纷在仓促间赴海外上市,都将对国家安全带来严峻挑战,国家间数据主权的博弈,数据跨境流动的复杂性最终都指向国家安全,网络安全审查成为必然。
(一)数据主权博弈引发国家安全危机
当前数据全球化的趋势使得各国对数据主权愈加关注。区别于传统国家主权范畴,数据主权早已超出物理界分,任何数据的生产、处理、传播、运用和交易行为均有可能影响国家主权,而数据权力的行使则应当以确保国家安全为前提。但在数据流动中不可避免地产生了数据主权分歧,权力界限导致国家间数据主权博弈。首先,数据涵盖着可以被解构的国家政治、经济、军事以及其他核心领域的信息,掌握并管辖数据本身便意味着对权力的控制,这也是各国争夺数据主权的一个重要原因。其次,数据在跨境流动过程中意味着数据输出国和数据接收国之间权力的流动、交换乃至妥协,而各国对于数据的解构或聚合分析能力不同,能够实现的管辖能力也不对等,必然导致数据主权边界划分不清,引发数据权力重合以及数据市场的动荡。最后,具有高水平数据技术优势及更智能算法的国家,基于其强大的数据收集和整合能力,对他国数据流动的不法干涉和监管最终都将指向政治安全和国家安全,这也是当今时代数据作为各国基础性战略资源[3]难以避免的权力之争。如企业存储的实时多元数据流向美国,美国将掌握大量中国公民个人及国家重点领域数据信息,通过数据孤岛的整合互联,形成更为强大的数据霸权,而推行数据霸权主义本就是其强化全球主导地位的必然选择[4],这将严重威胁国家安全。
(二)数据跨境流动的复杂性影响国家安全
数字经济时代,合法合规的数据流动可以促进经济发展,提高数据的收集、应用和分析能力,但数据的非法跨境流动则将对国家安全产生严重影响。美国“棱镜门”事件之后,一些国家通过法律规制或其他手段对数据进行管控就是出于国家安全的考量,俄罗斯、印尼等国为防范外国监控明确限制数据出境[5]。如何处理数据跨境流动的尺度问题,便存在法律和技术上的双重难度,这就需要在促进数据自由流动的同时,合理考量数据流出可能产生的潜在威胁,寻找发展与安全的平衡点。企业所掌握的大量基础出行数据,关乎国家基础设施领域建设和发展,通过长期的观察和分析数据,可勾勒出中国城市发展的经济状况,如这些数据被泄露或篡改,可能致使国家秘密外泄,国家安全价值受损,将严重侵犯国家及社会公共利益。
三、数据安全法律规制面临的难题
(一)数据、信息、网络法律规范齐驱并进但体系协同作用不足
2014年,习近平总书记在中央网络安全和信息化委员会会议上强调:“没有网络安全就没有国家安全”[6],网络强国的建设,需以网络安全为前提。对于网络安全而言,作为总体国家安全的重要组成部分,相较于传统国家安全,其整体性、基础性作用更为突显。总体国家安全所包含的政治、国土、军事等16个领域,本身就是彼此联系、相辅相成的有机整体,网络和信息渗透在各个领域之中,使各领域之间的联动不断加深,是“牵一发而动全身”的,网络安全出现问题,很有可能引发蝴蝶效应,多个领域产生系列连锁反应,破坏网络生态平衡,危害国家安全。网络安全本身所具备的整体、动态、开放的特征[7],也决定了网络安全的治理需着眼于技术发展创新,构建与社会生活实际紧密联系的动态治理体系。对于网络所承载的大量信息,信息的形成和传播便可以影响国家的决策和社会经济发展,数据本身作为信息的载体,成为连接网络和信息的根本,区别于传统的信息安全、网络安全和网络空间安全均聚焦于信息安全,信息安全为三者的核心[8]的观点,可以认为,数据安全已然成为网络安全、信息安全和数据安全的核心,成为三者的交集所在。还有学者提出的算法安全[9],也需要以海量数据为依托进行聚合分析,可见数据安全的保护,已不再局限于数据本身。
目前,我国《国家安全法》于2015年颁布施行,我国《网络安全法》于2017年颁布施行,我国《数据安全法》自2021年9月1日起施行,我国《个人信息保护法》已于2021年8月20日审议通过并于2021年11月1日起施行,以上法律的立法宗旨中均强调维护国家安全、保障网络安全、保障数据安全等,结合2020年我国已施行的《网络安全审查办法》可以看出,我国在法律层面已经搭建起涵盖国家安全、网络安全、数据安全和信息保护的法律框架,宏观层面把控定位功能基本具备。通过梳理自我国《国家安全法》颁布以来各立法层级关于数据、信息和网络的规范性文件,国家、网络、数据和个人信息领域分别颁布安全方面的法律,构成安全领域立法的顶层设计;已颁布施行的有5项部门规章,涵盖个人信息出境、科学数据管理、网络安全审查和汽车数据管理等方面,颁布时间集中于2018年后。各项立法的宗旨表述基本相似,如维护国家安全,保障数据安全等。
总体来看,我国《数据安全立法》起步较晚。自2014年习近平总书记首次提出总体国家安全观以来,2015年国务院印发的《促进大数据发展行动纲要》提出建立完备的法规制度并构建标准体系,从法律层面对数据安全提供全方位的保护,2019年国家互联网信息办公室会同相关部门研究起草并发布了《数据安全管理办法(征求意见稿)》却一直未予颁布实施,直到2021年企业系列赴美上市事件发生,我国《数据安全法》《关键信息技术设施安全保护条例》相继颁布施行。与此同时,对原《网络安全审查办法》结合国内企业国外上市情形进行修订并发布征求意见稿,新推出汽车数据安全领域的全新管理规定《汽车数据安全管理若干规定(施行)》,地方层面仅有的《贵州省大数据安全保障条例》于2019年才颁布实施。从整体来看,行政法规、部门规章以及地方层面立法尚没有对数据安全这一重要事项给予充分的权力配置和责任划分[10],直到国内企业赴海外上市可能造成数据泄露引发国家安全时才密集推出相关立法。此外,当前的立法体系仍然存在碎片化现象,配套制度不完善,体系协同作用不充分,数据安全的法律治理尚无法满足国家治理需求,距离实现治理全方位覆盖、体系全过程协调、多层次主体参与的治理机制还有差距,紧密结合总体国家安全观的立法也存在缺失,制度供给尚不能满足数据安全保护的需要。
(二)我国《数据安全法》顶层设计完备但细化措施仍需加快制定落实
2021年6月10日,我国《数据安全法》正式颁布,第四条明确指出“维护数据安全,应当坚持总体国家安全观”,说明立法者在对该法进行顶层设计时就将国家总体安全作为根本出发点,运用总体国家安全观作为理论指引,意在满足我国数据安全规范的需求,是适应我国当前发展阶段的科学立法,也将成为平衡数据安全风险隐患的最有效指导文件。我国《数据安全法》从法律层面对数据、数据安全等理论概念进行分明的范畴界定,明确数据安全治理主体责任划分,规范了国家部门、政府和企业、个人的职责和保护义务,强调发展与安全“一体两翼”的共同推进,搭建了涵盖多要素、多层级的制度设计体系。我国《数据安全法》第三章提出了六方面相关子制度设计,包括数据分类分级保护、数据安全审查、数据安全应急处置、数据安全风险评估、数据出口管制和反歧视,真正实现多维度、全方位的制度规范,真正发挥出在数据安全领域的规范指导作用。
但鉴于当前数据安全领域体系化规范不足,我国《数据安全法》作为法律层面的整体规划设计尚需要更为细化的规范性文件指导实际工作。一是“重要数据”这一关键概念需要进一步定义判断标准。我国《数据安全法》提出有关部门制定重要数据目录,但又缺乏对重要的准确界定,其重要性是应体现在数据的敏感性、数据的高风险性,还是强调数据泄露造成的危害程度?需要明确的定义,或者是否认为《关键信息基础设施安全保护条例》中对于关键信息基础设施所涵盖领域的数据可等同于此处的“重要数据”,在制定重要数据目录时需作为基本参照进行考量。我国《数据安全法》第二十一条还提出“国家核心数据”的概念,“重要数据”的确定是否要以此作为定性范畴尚且不确定,还需要在制度层面与“国家核心数据”的概念和指向予以明确的界分。二是子制度的实施缺乏特定领域的规范文件。我国《数据安全法》作为基础性法律,对数据安全保护具有纲领性作用,系统涵盖了工业、交通、教育、科技、自然资源等多领域部门的职权和监管职责,这就需要在未来的实施过程中,明确各领域行业内规范,针对六方面子制度制定细化措施及相应的惩戒制度,完善配套立法,提高我国《数据安全法》的可实施性,实现数据、网络与国家安全立法的有效衔接,促进各领域数据安全规范治理。
(三)企业数据安全保障不足且行业自律管理不到位
互联网平台企业赴美上市事件折射出的当前企业层面普遍存在的数据权力法律规制与共享利用机制的不健全。法律规制的原则不够明确,惩戒措施不够具体,企业运用数据的行为缺乏规范指导,最为明显的就是企业交易个人信息谋取利益、运用数据优势进行不正当竞争,同时上位法的规范缺乏配套制度,企业探索式行使数据权力往往偏离数据安全而不自知。特别是数据产业发展突飞猛进,但数据行业或者以数据作为关键资源的行业尚未形成统一的市场规则,数据恶性竞争行为产生,影响行业发展。加之法律“规范性期望”[11]的独特功能,法律规制已无法涵盖数据生成的各个领域,产生超出法律规制范畴的数据行为,这也是特殊时代背景下法律对数据行为规制必将面临的矛盾。此外,无论企业是否出于自愿共享,都不得不承认数据共享才能给双方带来更大价值,发挥资产利益,但实际中缺乏较为健全的共享共用机制,企业与政府之间,企业与企业之间,均需要进行不同程度的数据共享流通,但法律保障的不足使企业模糊了共享与交易的边界,不法数据行为没能得到有效治理。
随着数据价值突显,企业掌握并处理数据的数量日趋增多,数据所承载的关键性信息所体现出的数据价值大幅提升,企业对于数据价值的深度挖掘也创造了更深层次的社会经济价值。但在实践中,企业存储的数据急速扩张,企业因数据保护技术措施不足以及数据保护意识缺乏,造成数据泄露或存在泄露隐患,导致数据风险事件发生。互联网平台企业在海外上市,其数据便存在被境外资本通过商业协议或者股权收购的方式操作的风险,进而威胁国家安全,其中所显露出的数据安全风险为所有掌握国家重要数据信息的运营者敲响警钟,具有基础设施运营性质的大型企业未来将成为国家数据安全监管的重点对象。
企业对于自身掌握数据的安全可控具有义不容辞的责任,但现有立法中,《网络安全法》规定网络运营者有维护网络运行安全的义务,防止数据被窃取、篡改或者泄露;我国《数据安全法》作出了开展数据处理活动应当健全流程管理,加强风险监测,开展风险评估以及采取合法、正当方式收集数据等原则性规定,实际中可操作性不强;我国《民法典·总则编》将数据与网络虚拟财产并列提及,可见当前对于企业承担数据安全责任的法律规范仍较为分散并且缺乏明确的权利义务约束。立法层面的模糊处理也在某种程度上放纵了企业自身的监管责任,企业发展中缺乏数据安全监管的积极性,怠于提升数据安全技术保护能力,甚至在安全责任方面缩减成本,这些行为对于企业乃至国家数据安全保护都是极为不利的,并可能导致新型知识产权纠纷和不正当竞争[12]。
四、数据安全规制的基本路径
(一)强化国家总体安全观对数据安全规制的引导作用
2014年中央国家安全委员会第一次会议上首次提出总体国家安全观,总体国家安全观是中国特色社会主义建设这一特有背景下形成的我国特有的总体安全理念,是对全新历史时期新发展趋势下安全任务指导方针的深刻总结。基于国家安全形势的现实考量,总体国家安全观在发展过程中所涵盖的范围和覆盖的领域逐步扩大,内涵进一步丰富,国家安全逐步转向非传统安全,伴随着经济全球化的趋势以及数字经济的兴起,国家整体安全规范下的意识形态安全、数据安全的影响力不断渗透到其他各类安全领域。2015年我国《国家安全法》出台后,形成“11+4”类安全,2020年,包含新纳入的生物安全领域的16领域的国家安全体系形成。从总体国家安全的视角出发,16个领域的安全彼此联动,只有实现整体性的动态平衡,才是全方位的总体国家安全。而网络的运用则加深了各要素之间的相互依赖和渗透,数据作为网络和信息的基础,其法律规制理应立足于促进国家整体安全。总体国家观为数据安全保护的法律体系构建指明了方向和重点,作为数据安全领域立法的总体价值导向具有一定的抽象性,在构建数据安全体系规范时需将这一目标价值转化为实践原则,厘清网络安全、数据安全和个人信息安全的权利义务边界并对职权设置重叠交叉的部分予以合理解决,明确数据安全立法的内涵和外延,实现数据安全与发展的良性互动,在动态平衡中维护总体国家安全。
(二)从国家安全高度构建数据安全系统规划
数据安全系统规划,应从国家安全的高度形成各领域重点突出、层次规范,并且相互促进相互配合的法治体系,既包括法律、行政法规的完备,也应包括综合考虑地方经济社会发展实际而制定的地方性立法的特别适用,还应将国家标准、行业标准等标准类规范纳入数据安全体系规划,对于实践操作形成明确的指导规范,用法规制度建设保障数据和国家安全。系统规划的同时,也应关注以下重点内容。
1.将数据安全审查纳入网络安全审查范围
2020年我国颁布的《网络安全审查办法》,将需接受审查的行为表述为“采购网络产品和服务”,审查重点考虑产品和服务可能带来的遭受干扰、被非法控制的风险,产品和服务的安全、透明、开放以及来源的多样性等,此外产品和服务供应中断的风险也是审查重点考量的因素之一。2021年修订后的征求意见稿则将数据处理者开展数据处理活动纳入审查范围,审查重点在于数据的重要性和风险性,重要性即考虑数据对国家安全、社会安全的关系程度,是否为核心或重要数据;风险性则侧重数据使用可能发生泄露、毁损风险,也包括数据被恶意控制和利用的风险。在实践中,可制定更为具体的行业技术审查标准,提高审查透明度,进一步丰富网络安全审查的内容。可见该上市事件后,对高风险数据的安全审查,成为国家管控数据风险的必要手段,数据使用环境的安全性和数据运用的可靠性评估也将成为审查重点。
2.完善重要数据保护制度
我国《数据安全法》提出建立数据分类分级保护制度,对于分类分级的标准确定则重点考量两个维度,其一是经济社会发展过程中数据能够体现出的重要程度,其二则是数据遭到破坏损毁可能对个人、社会甚至国家产生的危害程度。例如,就数据的敏感性来说,可区分敏感数据与非敏感数据,可对敏感数据再实施等级分类进行进一步细化保护。重要数据目录作为分类分级制度呈现形式的重要组成部分,则需要各部门加快推进制定,根据关键信息基础设施的定义,重要行业领域数据可大致划分为能源数据、通信数据、交通数据、金融数据、电子政务数据以及国防科技数据等领域;另外可抽象列举,区分可能危害国家安全、社会安全、公共利益等概括性范围作为兜底,也即以“具体列举+抽象概括”的方式[13]确定重要数据目录。同时可构建重要数据负面清单,明确严禁数据或其处理分析结果出境的范围,确保重要数据安全可控。在目录清晰的基础上,整合各领域重要数据构建重要数据保护制度作为我国《数据安全法》的配套制度,共同维护国家安全。
3.促进政务数据安全与开放共享
我国《数据安全法》将政务数据安全与开放作为专章进行规定,可见政务数据在信息化建设以及新型政府运作模式中的重要作用,政务数据同样面临安全保护问题。数字政府建设在某种程度上与数字企业异曲同工,基础在于政务数据资源,政务数据资源的充分开发和合理利用,可以重塑政府业务流程,促进部门间协同联动,更好地服务于广大人民群众。政务数据共享包括政府内部共享以及政府与企业共享,内部共享可打通部门间业务壁垒,各部门通过数据链条实现智慧化办公,数据孤岛消失,政策标准、流程标准和技术标准得以统一。外部共享则是政务数据的对外开放,更高的社会参与度可以促进政务数据的优化整合,因为外部企业以及个人运用政务数据的过程本身也是对政务数据的更新和补充,企业和个人获得政务数据的同时促进了社会公众对政府权力行使的信任,有利于消除信息鸿沟,优化意识形态,消除负面舆论。与此同时,数据安全成为政务数据开放共享的必然前提,构建系统化政务数据安全平台,完善政务数据法律规制,成为国家总体安全的重要组成部分。
(三)明确企业数据安全保护的职责定位与功能改进
1.明确企业数据安全保护职责定位
面对种类繁多超量的企业数据,如果企业仅仅依靠政府的主动监管,不能充分发挥自我监督和评估机制,数据的快速安全合法流动将受到抑制,政府也将承担过重的审批职能,不利于市场高效良性运转,也不利于生产经营效率的提高。因此,需要从立法层面对企业自身需承担的数据安全保护职责进行系统化构建,涉及数据采集,则进行全程自我监控,一旦发现未经授权,则触发提示或直接判定终止;涉及数据使用,则通过智能分类进行脱敏处理和特殊标识,防止数据泄露;涉及数据共享,则将风险评估主动作为前置程序,出现异常调用行为可实现溯源或路径追踪,真正让数据安全成为企业可持续发展不可分割的一部分。此外,以法律规制对企业自我监管提供指引,明确鼓励以及禁止企业对数据的运用范围,如鼓励企业数据合法流动、加强技术创新探索数据全周期安全防护、数据异常行为实时监控等,禁止企业利用数据开展不正当竞争、数据垄断以及非法输出行为。同时应加强数据安全保护的法治教育,将数据安全纳入企业生产“第一责任人”责任范畴,真正让企业认识到新形势下企业安全已不再是传统领域的安全,更应与时俱进承担更多的安全责任,体现企业担当。
2.促进企业数据保护的功能改进
企业可以购买、交换、许可等方式处置其拥有合法权益的数据,但随着数据价值的上升以及通过算法数据发生的多样性衍化,很大一部分的数据权属边界不再明晰,导致数据交易中的权利界分产生重叠,而对于边界的判断以及重叠的界定又具有相当的复杂性,这就需要国家健全数据交易管理制度,并对数据交易中介服务机构设定准入标准,明确资质要求,使中介服务机构在对交易双方数据进行初步判断的同时可以做出初步评估,防止非法交易行为。数据价值的另一层面,则是数据的共享利用。数据若是筑起壁垒,其潜在价值无法发挥,不能共享流通的数据将很快被新数据取代成为历史数据,所以,数据共建共享才能发挥其难以估量的经济价值。数据共享包括企业与企业之间、政府与企业之间共享。我国《数据安全法》第五章规定了政务数据安全与开放,政务数据开放共享的对象包括企业,这就要求企业具备数据风险的识别与保护能力,主动进行功能完善与改进,自觉承担数据共享安全的责任,促进数据产业的健康发展。