构建数据安全综合治理体系
2021-11-30支振锋
文_支振锋
数据是国家基础性战略资源,也是新时代国家安全的重大风险点。在信息时代,利用数字技术将物理世界数字化,将微量、零星数据大数据化,既为数据带来了更加丰富的时代内涵,也带来了一系列新的挑战。正是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,我国于2021年6月10日通过《数据安全法》,并将于9月1日起施行。
一、信息时代的“数据”
信息时代,数据无所不在。山脉河流、草木鸟兽、土壤矿产甚至宇宙星辰等大自然会产生数据,政府、企业、社会组织的运行会产生数据,科技探索、市场研发和社会问题应对会产生数据,人体的器官、血液、组织、细胞、基因和外形特征会产生数据,人们的出行、工作、社交、购物等行为也会产生数据。有的数据在人类社会伊始即已开始收集利用,而宇宙和自然,以及人的基因、虹膜、耳郭、指纹等生物信息,还有位置、阅读习惯、购物、交易、偏好、职业、收入、家庭等社会信息,只有到了信息时代,利用数字收集、加工、存储、传输技术,才能进行大规模收集,汇集成海量的大数据。
在传统社会,对数据的利用就已经有利于生产进步、国家治理,只是还停留在相对简单的经验积累和统计分析层面。但在数字时代,数据不仅是资源,可以驱动经济发展、创新商业模式,本身还是可以交易的重要资产。数据可以支撑电子政务、“一网通办”,实现让数据多跑路、让群众少跑腿,健康码可以助力疫情防控,大数据助力社会智慧治理,以交通规划领域为例,利用大数据技术实施的城市交通智能规划,能够改变传统用静态的机动车保有量来制定交通政策的方式,实现了城市数据的汇聚、融合、计算,显著缓解拥堵问题。
基于数据的AI算法决策,可以让企业在生产领域更科学地规划生产,秒级发现问题、迅速解决问题,降低库存等资源浪费,提升交付率和生产效率;在物流领域,通过智能调度帮助企业找到最优运输路线,提高运送安全,降低运输成本,保障送达时效;在交通运输领域,通过完整的产品体系和智能决策产品矩阵,实现交通运输业的战略规划、精细化运营和实时调度;在金融领域,利用大数据进行决策支持,可以更好实现精准营销、获客,进行产品设计和风险管控;在医疗领域,大数据平台可以帮助收集疾病的基本特征、病例和治疗方案,建立针对疾病的数据库,帮助医生进行疾病诊断;在农业领域,可以利用大数据预判消费能力和趋势报告,进行先进农业生产,使产能与需求更加匹配。
二、数据时代的安全威胁
人类获取和利用数据是一把双刃剑,既可造福人类,同时数据也带来了安全问题。据统计,2020年,我国公安机关共侦办侵犯公民个人信息刑事案件3100余起,抓获犯罪嫌疑人9700余名,共治安处罚1500余名侵犯涉疫公民个人信息的违法人员。
2021年7月2日,国家网络安全审查办公室开始对滴滴进行网络安全审查,接着滴滴出行APP下架、滴滴全系APP下架。2020年5月,由于监管标准化数据(EAST)系统数据质量及数据报送存在资金交易信息漏报严重、信贷资产转让业务漏报等违法违规行为,中国银监会一次性在官网挂出9张罚单,工农中建四大行以及交通、邮储、中信、光大等银行累计被罚1970万元。近两年,APP专项治理工作组查出一系列涉及个人隐私和数据过度搜集的问题,数据安全事故频发。与日常生活密切相关的行为可能感受更加明显,比如,“大数据杀熟”、刷单、炒信,以及娱乐界艺人粉丝造假、网红直播带货数据造假等。
数据安全尤其关系国家安全。通过对海量大数据进行分析,可以获取与国家安全密切相关的政治、军事、经济、社会、民生等重要情报。比如,智能联网汽车可用于搜集敏感单位的地理位置、内部空间布局、建筑结构情况甚至更加机密的信息;网约车APP搜集的海量个人信息数据可以准确判断用户的个人姓名、工作单位、行程轨迹、日程安排,一旦泄露就可能为敌对势力收买、策反甚至暗杀提供重要情报;大量敏感测绘地理信息的收集,可以矫正我国公开出版地图的算法偏差,确定国家公共机关、敏感设施的准确位置,甚至道路的坡度、曲率;交通运输和物流数据则可以用于测绘国家跨省路网、运输热力图,并进而判断国家经济形势甚至敏感物资投放情况等信息情报,这些都对国家安全带来日益明显的威胁。
2016年12月27日发布的《国家网络空间安全战略》指出,“网络安全形势日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战”。2021年7月6日,中共中央办公厅、国务院办公厅公开发布《关于依法从严打击证券违法活动的意见》,提出完善数据安全、跨境数据流动、涉密信息管理等相关法律法规,抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。
三、构建数据安全综合治理体系
习近平总书记指出,“没有网络安全就没有国家安全,没有信息化就没有现代化”。党的十八大以来,我国在网络安全和数据安全方面作出了一系列重要战略部署,不断取得制度成果和实践成果。数据安全既是我国网络安全理念认识的深化,也是网络安全迈入新阶段的重要标志。
数据安全是一个非常宽泛的概念,既包含政治军事等传统安全,也包括非传统安全。这与我国“总体国家安全观”的理念是一致的。2014年,习近平总书记在中央国家安全委员会第一次会议中强调,“既重视传统安全,又重视非传统安全,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”。
基于“总体国家安全观”的要求,我国《国家安全法》第25条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”《网络安全法》第21条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”该条第4款进一步规定:“采取数据分类、重要数据备份和加密等措施。”《数据安全法》第三条规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
数据安全和利用能力,已经成为国家能力矩阵中的重要支撑。数据已经成为科技创新的驱动力、数字经济的新引擎、国家治理体系和治理能力现代化的助推器。传统上,数据安全主要体现为国家机密、军事秘密和商业机密等信息的完整性、保密性和可用性,关键在于不被窃取、篡改或损毁。但随着数字技术的全方位渗透,我国社会反映强烈的“大数据杀熟”、饭圈的“刷量控评”、相关自动驾驶汽车数据搜集等问题,都使得数据安全问题以全新的形态呈现出来。从传统数据到网络数据,从“小数据”到“大数据”,数据的形态变化与量的积累,带来的是安全问题质的变化。在算力得到极大提升的大数据时代,人工智能等技术的运用,使数据不仅是信息记录或传送的载体,更成为国家基础性战略资源。
为有效应对数据安全问题,《数据安全法》第四条规定:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”在数据科技突飞猛进的情况下,欠发展成为最大的不安全。因此,《数据安全法》充分平衡数据安全和发展,强调提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。而以专章对政务数据安全和利用作出规定,是此次数据安全立法的一个显著特色。
维护数据安全,关键是建立健全国家数据安全管理制度,完善国家数据安全治理体系。《数据安全法》坚持总体国家安全观,在规定中要求建立国家数据安全工作协调机制,明确国家数据安全工作协调机制在制定重要数据目录、加强数据安全风险分析预警等方面的统筹协调职能。而且在相关规定中统筹传统安全和非传统安全,协调传统数据安全和新型数据安全,以“任何以电子或者其他方式对信息的记录”重新界定“数据”,不仅关注传统数据安全或者数据自身的安全,而且更加关注数据对个人、组织、社会秩序和公共利益以及国家安全的影响等新型非传统数据安全,大大丰富了数据安全的内涵和层次。
建立健全国家数据安全管理制度和落实数据安全保护义务,是《数据安全法》最为直接的立法任务。立法中明确要求建立数据分级分类管理制度,对国家核心数据更加严格保护;规定了数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制,数据安全审查制度和出口管制制度。《数据安全法》明确了开展数据活动必须遵守的法律和伦理要求,规定了全流程数据安全管理制度,另外还对数据交易中介服务和在线数据处理服务,以及公安机关和国家安全机关因依法履行职责需要调取数据以及境外执法机构调取境内数据时,有关组织和个人的相关义务作了规定。
如果说互联网深刻改变了人类社会,那数据就是信息科技拥有如此伟力的密码。政务、金融、物流、教育、科技、交通、地理、电信等,各个领域、各个行业的网络数据对个人信息保护和维护国家安全都非常重要。大数据已成为推动经济转型发展的新动力、重塑国家竞争优势的新机遇、提升政府治理能力的新支撑,各国都把推进经济数字化作为实现创新发展的重要动能,在前沿技术研发、数据开放共享、隐私安全保护、人才培养等方面进行前瞻性布局。因此,统筹发展和安全两个大局,构建数据综合治理体系,是数据安全立法极具智慧的中国方案。