我国数据安全治理发展趋势、问题与国外数据安全治理经验借鉴
2023-03-21吕明元弓亚男
吕明元,弓亚男
(天津商业大学,天津 300134)
随着我国数字经济的迅速发展,数据安全已成为国家安全的重要领域。《中华人民共和国数据安全法》自2021 年9 月正式实施;2021 年11 月中共中央政治局会议上习近平总书记主持审议了《国家安全战略(2021—2025 年)》,强调加快提升数据安全的治理能力;2022 年6 月中央全面深化改革委员会审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》。数据安全已经上升到了国家战略层面,构成数据基础制度的核心要义之一。我国的数据安全治理处于起步阶段,目前针对产业、企业层面数据安全的保护措施未得到细致规定与落实,如何借鉴国外经验,尽快建立较为成熟的数据安全治理体系,推动我国数据安全治理逐步完善,成为当务之急。
1 研究述评
数据安全领域的国内研究早年往往集中于某一细分领域,对国家整体数据安全治理的研究较少。其中,李雪迎等[1]根据相关法规构建临床研究数据安全等级划分策略;张利华等[2]对微电网数据安全进行研究;黄如花等[3]从政策、法律等方面总结了我国政府数据开放过程中的经验和存在的问题,提出政府开放数据的安全保护对策。近年来,部分学者开始从国家、企业、个人层面对我国数据安全治理展开研究,如董木欣等[4]认为数据风险是国有企业数字化转型的制约条件,深化数据安全治理对国有企业转型升级具有重要意义,并从国家、社会和企业层面提出了治理路径;崔平等[5]立足于我国当下在数据贡献确算、数据确权和数据安全方面的困难,提出要协调政府与市场作用,确定数据为二元主体共同持有,建立多元共治的数据安全治理体系。同时有部分学者开展了中外数据安全治理的比较研究,如刘春年等[6]将中外数据安全政策进行了比较,认为我国数据安全政策存在覆盖面不够、政策要素比例不平衡、激励较轻等问题;阙天舒等[7]立足于全球视野,认为数据安全治理存在规则分散、机制作用力不够、治理力度弱等问题,提出我国在参与全球数据安全治理中的可选路径。
近几年来,主要发达国家相继发布了大数据相关的战略决策,在国外的相关研究中,部分学者分析了各国已发布的数据安全政策、法律对某一对象的影响,如Martin 等[8]研究了欧盟出台的《通用数据保护条例》对创新创业的影响,其中3 个公司的反馈为刺激创新,3 个公司为限制创新,Momen 等[9]研究表明《通用数据保护条例》实施后应用程序隐私的保护情况得到了改善;也有学者对不同国家的数据安全保护模式进行了比较,如Custers 等[10]以8个欧盟成员国为研究对象,从5个方面进行综合比较,结论为由于各国法律执行力、可用预算、文化制度差异,导致了各国数据保护机构执行力的差异。
综上,目前国内的数据安全研究或着重分析某一领域、某类数据的安全治理工作,内容大多偏向法学、情报学,或在进行中外比较时多从单一的政策、法律角度对数据安全治理进行研究,缺乏通过借鉴国外经验提出针对我国数据安全治理的可行性对策的研究;国外的研究往往着眼于单一国家的范围,并未进行多个国家的线性梳理及总结。目前还没有研究从经济学角度对国内外数据安全治理进行分析、总结国外数据安全治理的方法与经验,为我国数据安全治理提供借鉴。鉴于此,本研究分析我国数据安全的治理现状及现存问题,并以美国、德国、日本、韩国作为研究对象,从政府、法律、行业、企业等方面对其相关实践进行经验总结,以期为我国尽快建立较为成熟的数据安全治理体系、推动数据安全治理逐步完善提供一些参考。
2 我国数据安全治理现状及存在的问题
2.1 数据安全治理进展
(1)制度政策和基础设施方面推进数据安全建设。2016 年8 月,中共中央网络安全和信息化委员会办公室发布《关于加强国家网络安全标准化工作的若干意见》,在发展高端制造业和《促进大数据发展行动纲要》等国家战略的要求下,推进关键信息基础设施保护、大数据安全、网络安全等领域的标准研究和制定工作。2017 年《网络安全法》正式实施,网络运行安全和关键信息基础设施安全、网络安全等级保护制度等工作逐步加强。2021 年3 月,国家互联网信息办公室联合四部门共同发布《常见类型移动互联网应用程序必要个人信息范围规定》,对过度利用个人信息的现象进行整治。2021 年4 月,《关键信息基础设施安全保护条例》出台,我国大力推进以5G、人工智能、工业互联网、数据中心为代表的新型基础设施建设,为实现数据安全奠定基础。除国家层面出台的政策文件外,各省区市也在积极探索数据安全保护政策,如《贵阳市大数据安全管理条例》(2018 年)、《海南省大数据开发应用条例》(2019 年)、《天津市数据安全管理办法(暂行)》(2019 年)和《深圳经济特区数据条例(征求意见稿)》(2021 年)等。
(2)法律上逐步形成数据安全保护体系。2021年《数据安全法》和《个人信息保护法》的相继出台,填补了我国在数据安全立法上的空白,与《网络安全法》《民法典》共同构成数据安全保护基本框架。《数据安全法》首次明确数据权益,规定国家保护个人、组织与数据有关的权益,承认了数据的权益性特征。《个人信息保护法》规范了个人信息收集过程,对个人信息所有者的权益给予了法律上的强制保护。目前,中国没有设立专门的数据保护机构,对危害数据安全的行为主要由有关主管部门责令改正、给予警告,如国家互联网信息办公室负责与互联网安全相关的监督工作,工业和信息化部下属网络安全监管局和各省级电信管理部门、公安部、各级市场监管局等相关部门负责其管辖范围内的数据安全监督工作。
(3)完善数据安全治理制度与机制。一是建立数据分类分级保护制度,以数据在经济社会发展中的重要程度和遭到披露会造成的危害程度为衡量标准,对数据实行分类分级保护。对重要数据建立重要数据目录;对关系到国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,实行更加严格的管理制度。二是建立数据安全风险评估、报告、信息共享、监测预警机制,建立数据安全审查制度和数据安全应急处置机制。三是强调政务数据的安全与保护。制定政务数据开放目录,建设政务数据开放平台,在保障政务数据安全的前提下推动政务数据开放利用。
(4)特定行业中数据安全得到保障。近几年各行业出台了一系列数据安全相关的标准,如:中国人民银行等制定了《个人金融信息保护技术规范》(2020 年)、《金融数据安全 数据生命周期安全规范》(2021 年);中国银保监会发布了《中国银保监会监管数据安全管理办法(试行)》(2021 年);国家互联网信息办公室起草了《汽车数据安全管理若干规定(征求意见稿)》(2021 年);工信部印发了《电信和互联网行业数据安全标准体系建设指南》(2020 年)。这些标准指南与已有的行业行政法规一起,共同保障行业数据安全。
(5)探索建设数据安全产业示范区。2017 年,贵阳经济技术开发区经批准建立了全国第一个大数据安全认证示范区,致力于促进贵阳市大数据安全产业集聚。截至2020 年,该示范区已有大数据安全企业及相关机构120 余家[11],是全国大数据安全企业的重要聚集地,初步形成了大数据安全产业生态体系,为国内其他地区发展大数据安全产业提供了可借鉴经验。
2.2 数据安全治理存在的问题
(1)数字基础设施建设有待加强。根据世界银行[12]数据,2020 年中韩接入固定宽带互联网用户率分别为33.6%和43.5%,2010 年我国这一数据仅为9.2%,而美德日韩均在26.5%以上,其中韩国为34.7%。可见,我国数字基础设施的服务能力在短时间内与发达国家仍有一段距离,数据安全治理起步较晚。国家统计局[13]560数据显示,2020 年长途光缆线路长度四川省(最大值)与海南省(最小值)相差121 873 km。地区间的数字基础设施配置不平衡,特别在一些偏远贫困地区,老旧的生产设备难以支撑数据安全的实现,区域基础设施建设的不同步,必然导致地区间“数字鸿沟”问题日益严重[14]。2020 年,西藏自治区一般预算收入合计约为广东省的1.7%[13]225-227。西藏等地区地方政府的财政收入难以支撑本地区长期的基础设施建设,导致对基础设施研发资金的投入不足。同时,投资渠道狭窄使得我国在关键核心技术上与发达国家存在差距,只有牢牢掌握核心技术,才能在激烈的国际竞争中展现中国力量,真正走在数字基础设施建设的前列。
(2)数据保护法律体系有待完善。我国数据保护法律体系的不完善不仅表现在细分法律的缺失上,如在数据跨境流动的法律规范上没有出台专项法规,只在《数据安全法》的个别条例中对数据的跨境流动进行规范。如《数据安全法》第三十一条规定关键信息基础设施的数据处理者在境内运营产生的重要数据的跨境流动要遵循《网络安全法》,其他数据处理者在境内运营产生的重要数据的跨境流动由国家网信部门和其他相关部门制定。由于没有对数据跨境流动进行专门的法律规定,直接导致已有条例具体实施的难度增大,以及大众对数据跨境流动法律规定的认知不足。同时《数据安全法》和《个人信息保护法》刚刚实行,法律在现实环境中的具体应用情况还不明朗,在个人、政府、社会数据的收集、使用和管理上还没有形成完善、成熟的流程。截至2022 年6 月,在中国裁判文书网搜索与数据安全、数据保护相关的案件裁定书仅有708 份。由此可见,目前我国用户对个人信息的使用情况不能被充分告知,维护自身数据主权的意识淡薄,在个人权益受到侵害时往往处于被动;数据处理者普遍把数据作为一种工具,没有意识到拥有数据的同时应承担的责任。
(3)行业和企业数据安全监管有待加强。2021年我国重大数据泄露事件中,遭到泄露的数据来源广泛,涉及到银行、社交媒体、购物软件、求职平台、电销公司……2022 年广州数据安全论坛峰会上,中国工程院院士方滨兴指出,近年来数据安全事件涉及领域广,包括工业、金融、医疗健康、教育等多个行业[15]。数据安全事件频发反映出目前大多行业和企业对数据的重视程度不够,投入的人力、物力、财力资源不足,缺少专门的数据安全的监管机构,没有针对自身情况制定合适的数据管理制度、申诉制度、数据保护官制度,同时员工对数据安全的界定不清晰,数据安全意识淡薄;大部分企业没有根据实际业务需要对数据收集的详细程度作出明确规定,组织内的数据流动具有随意性,容易在此过程中发生数据泄露。2019 年阿里云用户注册信息泄露事件中,浙江省通信管理局对阿里云作出责令整改的处理[16],并未对企业和泄露数据员工作出实际处罚,数据遭泄露者是否得到相应赔偿也未公开说明,用户未来遇到类似事件的维权流程依然不透明。规范行业和企业内部对数据安全事件的事前防范和事后弥补仍然任重道远。
(4)国家数据主权问题不容忽视。随着国际数据竞争的加剧,日益频繁的数据跨境流动形成了潜在的国家安全隐患,国家数据主权问题也日益受到关注。根据Synergy Research Group[17]的数据,截至2021 年9 月末,全球超大规模数据中心数量增加到700 个,美国关键信息技术(IT)负载量占全部数据中心总和的49%,是名副其实的“数据中心国”。2020 年夏天,美国联合印度、澳大利亚等国,以数据安全为借口,以安全调查结果违规为由,对我国互联网公司TikTok 进行公开的限制和使用[18]。该事件说明,美国实际上已经开始了对我国的数据打压,意图把我国排除在国际数据安全治理体系之外,不排除未来会推出将有损我国数据安全的审查规则、侵犯我国的国家数据主权。美国以数据安全为由对他国行使“长臂管辖”,进而侵犯他国国家数据主权的现象值得高度重视。
3 发达国家数据安全治理的主要经验
3.1 加强政府规划引导和数据安全顶层设计
(1)美国强化政府在国家数据安全中的主导作用。2015 年美国发布新版《美国创新战略》,通过政府投资支持下一代信息通信技术(ICT)研究作为其创新战略的基石,强化了政府在国家数据安全中的作用。同时,美国把维护互联网空间安全作为重点工作,2019 年制定为期10 年(2020—2030)的联邦数据战略(FDS),采取合理的数据安全措施确保数据使用的可问责性和透明度,建立公众信任。
(2)德国推动政产学研合作共建数字生态系统。2020 年1 月,德国倡议打造“欧洲数据云计划”(GAIA-X),使数据生态系统和基础设施生态系统联系起来,共同组成了数字生态系统。公共部门可以借此进行数据安全存储;私人企业能通过该基础设施充分利用数字环境的优势进行合作。
(3)日本设立专门机构保障数据安全。2000 年,日本国际贸易与工业部宣布“安全电子政务行动计划”。日本还设立了专门保护个人信息安全的机构,2016 年设立个人信息保护委员会(PPC)监督《个人信息保护法》的应用,为维护个人信息安全提供指导。PPC 还与金融厅、厚生劳动省联合发布财务指南及个人医疗信息保护指南。
(4)韩国政府专设数据安全保障机构。2004 年,韩国信息产业部为保障“IT839”战略下的数据安全,致力于研发加密和认证技术、轻量级隐私保护加密技术。政府部门在发布战略时会重点考虑数据安全问题,总理办公室下设个人信息保护委员会(PIPC),作为韩国负责数据保护的主导机构,并指定韩国互联网和安全局(KISA)为有权接收个人信息泄露报告的专属机构。
3.2 强化法律规范,建立数据安全保护体系
(1)美国完善数据安全立法,建立数据安全保护体系。2000 年以前,美国已出台一系列联邦层次的个人信息保护法,形成了美国数据安全保护体系的基础。1966 年出台《信息自由法案》保护信息安全。1973 年颁布的《记录、计算机和公民权利》首次提出了公平信息实践法则,开创性地赋予信息所有者一系列权利并规定了信息处理者的义务,对美国乃至世界的信息安全相关法律影响巨大。目前,美国数据安全立法没有统一的联邦数据安全法,而是针对不同的行政区域、部门、行业、人群进行单独立法。
(2)德国注重数据安全与经济发展新平衡。德国《联邦数据保护法》自1977 年颁布以来,考虑到数字经济时代数据自由流动带来的经济效应,修订法案逐渐对之前严格的数据保护作出让步。欧洲层面上,从《自动化处理个人数据之个人保护公约》(1981 年)到《通用数据保护条例》(2016 年),都体现出其捍卫数据安全以及数据主体权利的坚定态度。此外,欧盟委员会的《数据治理法案》(2020年)将促进整个欧盟以及各部门之间的数据共享,为欧盟经济发展和社会治理提供支撑。
(3)日本通过“三法合一”,统一管理公私部门数据安全。1988 年以来,日本相继出台《行政机关计算机处理的个人信息保护法案》等3 部与个人信息保护相关的法律,2021 年将此3 部法律合一,新的《个人信息保护法》统一了地方公共团体在个人信息保护方面的规则。
(4)韩国“三法”分立,构建数据安全法律体系。韩国设立了《个人信息保护法》《信息通信网络的利用促进与信息保护法》及《信用信息使用及保护法》,并通过不断修正完善数据保护法律体系。此外,《信息保护产业振兴法》(2015 年)、《国家网络法案》(2017 年)等其他法律也在数据安全方面发挥着作用。
3.3 加强行业和企业的数据安全管理
(1)美国针对农作物保护业和电信业的数据安全措施。在农作物保护业,美国针对与该行业产品相关的重要数据制定了保护措施,给予数据拥有者为期10 年的知识产权保护[19]。美国电信业为解决多种质量标准并行带来的成本过高问题,成立了QUEST 论坛,通过多种技术手段为相关公司数据安全提供保护[20]。
(2)德国针对工业和机器人行业的数据安全措施。德国保障制造业系统安全措施包括制定统一的数据安全架构和标准,对生产要素和生产流程等进行安全评级,制定预案减少数据安全受损带来的利润损失,以及通过公司培训和高校必修课设立提高公众数据安全知识素养[21]。在机器人行业,通过机器人公司对个人数据进行假名化处理,保证数据在传输过程中的安全;在企业内部设立数据保护专员,专职负责数据安全问题[22]。
(3)日本在管理制度和技术层面加强企业数据安全管理。管理制度层面,IBM 日本分公司以日本《个人信息保护法》为基础制定了内部隐私保护政策。在技术层面,富士通公司推出数据去识别化方案,使操作者能够在对系统进行最小化改动的基础上进行各种类型的数据匿名化操作[23]。
(4)韩国数据安全的法律保障与行业协会监管。韩国《个人信息保护法》规定了数据主体的个人信息泄露时管理者的应对措施,韩国政府赋予行业委员会保护数据安全的职责。韩国通信委员会负责监督《位置信息使用及保护法》的实施,金融服务委员会负责监督金融行业与信用信息有关的业务,监督《信用信息使用及保护法》的执行情况。
3.4 规范数据安全治理的规则与标准
(1)美国注重数据安全国家标准的制定与推行。美国国家标准与技术研究院2014 年出版《工业控制系统安全指南》(SP 800-82),国土安全部2011年发布《控制系统安全目录:对标准开发人员的建议》等文件,保障数据采集、监视控制及工业控制系统的安全性。
(2)美国信息系统认证规范化是数据安全治理的重要手段。美国是最先开始信息系统认证与认可的国家[24]。美国国防部早在《防御信息保证认证和鉴定流程》2001 版中就把保护信息系统和国防信息基础设施管理流程进行了细化,2005 版进一步提升信息系统和信息基础设施的安全管理。
(3)德国信息技术安全标准的制定与实施。德国在1991 年制定了《贸易与工业部信息技术安全评估标准》(ITSEC),2004 年发布了《信息技术基线保护手册》(ITBPM)等信息安全管理系统指南。ITBPM 强调信息技术安全,提供与信息技术基础设施相关的通信方法,设立了8 个步骤和62 个模块,把管理流程分为7 个阶段:确定保护目标、界定安全概念、检验基本的安全级别、界定易变的核对清单、核对合适的保护等级、确定实施情况、自我认证。
(4)韩国信息技术安全管理规范化。韩国信息系统认证与认可(certification and accreditation,C&A)指南有:通信委员会信息安全管理系统认证(ISMS,2008 年)、信息安全检查服务(ISCS)。ISMS 专注事先预防和事后补救措施,强调信息技术的安全性,设立了14 个管理要求和137 个控制目标以及5个阶段,包括制定信息安全政策、管理系统范围设定、风险管控、实际应用和岗位管理[25]。
4 发达国家数据安全治理经验对我国的启示
4.1 加强数字基础设施建设是国家数据安全治理的重要保障
一是加大对关键数字基础设施研发的投资力度。2016 年美国成立促进国家网络安全委员会,拨款31亿美元到信息技术现代化基金[26];德国政府对“可信云计划”“智能数据计划”等数字技术进行了投资。通过借鉴美德政府在数据安全治理中展开的工作可知,加大加深政府参与度,深化政产学研合作,加大投资新兴数字技术,建设数字基础设施相关的高水平实验室,牢牢掌握关键核心技术并实现核心技术的市场化,制定评估新技术实施效果的评价机制,对推动国家数据安全治理至关重要。
二是特别要重视欠发达地区数字基础设施的建设,建立强大的覆盖度广的数字基础设施。2015 年美国成立宽带机会委员会,特别重视农村地区的宽带普及率,为宽带服务水平低下的社区引入宽带,鼓励新进入者和投资者,以提高宽带质量和服务。以此为参考,可以在我国欠发达地区有针对性地设立专门机构,提高数字基础设施的整体覆盖率。发达国家十分注重基础设施的共享性,共享基础设施不仅能节约成本、缓解资源压力,而且对于各方开展合作、集中力量开发数字创新技术也会起到不可忽略的作用。可以借鉴国外的“GAIA-X”计划、国家制造业创新网络、行业数据库等共享基础设施形式,致力于建设成熟的行业创新网络群、数据库,做到在完成数字基础设施建设的覆盖度与成熟度这类硬性指标目标的同时,提高基础设施共享性等软性指标。
三是推广绿色数据中心建设。美国的企业选择在可再生能源丰富的地区建立自己的数据中心,利用可再生能源提供电力[27]。目前我国的绿色数据中心大多在互联网行业和金融、通信领域,应全面推进各个行业绿色数据中心的建设工程。首要对发达城市如上海、深圳、北京、广州等地大企业的数据中心进行绿色改造,再充分选择可再生能源丰富的地区新建一批数据中心,最终将绿色数据中心的建设范围扩展到全国以及中小企业中。
4.2 更新修订完善数据安全治理的法律体系
美德日韩在数据安全法等系列法律实施过程中,均会依据数字经济的发展态势对相关法规进行修订,同时根据现实情况考虑法律之间的合并与拆分,进而不断完善国家数据安全治理的法律体系。美国各州根据本地的数据流动和经济发展情况正在积极制定各自的数据保护法案。与美德等联邦制国家不同,我国可以充分借鉴日韩数据安全法律体系,根据现实情况适时进行相关法律修订,找寻数据安全与经济发展平衡点。以《数据安全法》和《个人信息保护法》为基础,在各地区、各行业制定细分法律,完善我国数据安全法律体系;同时,可以选择部分地区、行业(领域)建立试点,探索建立个人信息安全保护体系。
欧盟2016 年的《通用数据保护条例》(GDPR)采用了“选择进入”机制,要求在进行数据后续处理前先取得数据主体的同意。而美国2018 年的《加州消费者隐私法案》(CCPA)更倾向于“选择退出”机制。“选择退出”机制详细规定了个人信息处理者的行为,如企业在收集个人信息时无须征求用户同意,但需要告知用户被收集信息的内容以及目的,且在企业后续使用有关信息过程中用户拥有选择退出或拒绝个人信息被使用的权利。在法规实际操作和后续配套法律的制定上,“选择退出”机制对个人信息处理者制定更加详细的规则对我国具有借鉴意义,包括规定个人信息处理者回应时间、要求个人信息处理者制定专门程序,对个人选择退出的请求予以重视,充分利用“双机制”来保护个人信息安全等等。
4.3 设立数据保护专职机构专事数据安全管理工作
科学管理、有条不紊的数据保护机构能有效保护数据安全。2016 年美国建立联邦隐私委员会,对保护公民和企业的数据安全和强化联邦政府和州政府的网络安全能力起到很大作用[28]。美德日韩的数据保护机构不仅有权监督法律的实施情况,而且可以授权其他单位共同开展数据保护工作。这些国家的数据保护机构虽然在权责划分上不尽相同,但他们高效的运行机制和公信力是促进其所在国家数据安全取得一定成功的重要因素。我国行政人员众多,拥有省、自治区、直辖市并存的行政区划,充分考虑我国国情,设立单一的国家层面的数据保护机构无法有效保障数据安全的落实。而德国不仅设立了联邦数据保护机构,其16 个州也都设立了各自的数据保护机构[29],分别负责联邦公共部门和州内各个实体的数据安全。借鉴德国的做法,我国可考虑同时在各个省、自治区和直辖市设立专门的数据保护机构,专职专责,监督各地区对《数据安全法》《个人信息保护法》等数据安全相关法律的应用,协助地方政府制定并实施地区数据安全政策与计划,管理规范各部门在数据处理过程中的行为,及时对危害到数据安全的行为进行处置,积极实施补救措施。
此外,参考日本个人信息保护委员会(PPC)与金融厅、厚生劳动省联合发布的专业指南,设立的数据保护机构可以与金融、教育、工业、医疗等行业协会展开合作,对辖区内重点产业进行定期检查,对违反数据保护机构规定的行为进行处罚,不断探索地区间合作机制,共同促进国家数据安全。
4.4 在企业层面建立一体化工作机制保障企业数据安全
德国企业设立数据保护专员负责数据安全工作,为企业数据安全提供了很大保障。我国中小企业可以在企业内部设立1~2 个数据安全保护相关职位,使员工与当地网信部门进行对接,并向企业高层汇报。同时,借鉴日本企业数据安全管理机制,全面考虑管理和技术层面,在企业内部建立数据安全一体化工作机制,培养企业数据安全意识文化,重视对人的管理和对机构的管理,制定详细的奖惩措施。
一是明确企业数据安全的目标。针对不同数据所要求达到的数据安全级别不同,包括员工数据安全、产业链中涉及到与上下游企业沟通合作时的数据安全、客户数据安全、企业外包业务的数据安全等等,严格把控对外来访问系统的管理。二是管控企业数据安全风险。建立适应企业发展的数据安全管理制度。明确划分责任范围,保证企业在数据安全方面的投入。建立数据安全的应急处理程序,确保员工熟知公司数据安全管理制度,防止数据安全事件的发生。三是评估企业数据安全效率。建立数据安全成熟度评价体系,指定专门人员进行评估、分析结果、制定改进计划的工作,定期对企业数据安全成熟度评级,并据此改进企业数据安全管理,不断完善成熟度评价标准。四是提升数据安全技术和数据安全管理。日本富士通公司研发的信息网关和相关算法能够保证企业与外部组织进行数据交流中的数据安全[30]。在数据安全技术上,要注重培养全经济社会积极研发数据安全技术的风气,鼓励机构、组织、单位根据自身业务需要不断研发新技术,改进旧技术。
4.5 结合行业不同特点制定行业数据安全管理标准
首先,制定特定行业数据安全标准是解决行业数据安全问题的关键。行业数据安全是国家数据安全的重要组成部分。参考美国在农作物保护业和电信业采取的措施、德国的《贸易与工业部信息技术安全评估标准》(ITSEC)等,制定行业数据安全标准。以现有法律规定为主要依据,在已出台的数据保护相关法律基础上,制定能够规范特定行业数据安全的标准,使对信息技术安全性的判断更加科学一致[31]。
其次,行业数据安全管理应结合我国各行业的不同特点。借鉴美德在农作物保护业、电信业、制造业和机器人行业推出的数据安全管理措施,根据不同行业的特点实行相应举措;行业数据安全标准的试行和推广应先在部分地区的优势行业试行,在取得一定成效后向全国推广。行业内部可以成立自发性组织负责监督行业数据安全,充分发挥政产学研合作的优势,推动不同行业的数据安全管理工作。
再次,重视培育具备数据素养的高素质人才。韩国政府赋予行业委员会以保护数据安全的职责[32],以便更好地实现法律对特定行业数据安全的保护作用。针对行业委员会需要的高数据素养型人才培养,应该从学校教育抓起,如设立数据安全课程,将数据安全思维深植在课堂教学中;在行业人员从业资格考试中针对数据安全有关的知识点设置题目,提高数据敏感行业的从业门槛。
5 结论
数字经济时代,数据安全成为各国发展数字经济的重要议题,我国正积极从制度政策、数字基础设施、法律制定、行业规范等方面推进数据安全治理工作。由于我国数据安全治理目前尚处于起步阶段,在数字基础设施地区配置比例、数据保护相关法律的完整度、实施效果和大众认知程度、行业监管、国际数据流动等方面存在诸多问题。美德日韩四国数据安全治理工作推进较早且积累较多经验,在政府、法律、行业、企业、标准制定等方面实施的一些数据安全治理措施能够为我国数据安全治理工作提供一些有益的启示。强化新型基础设施建设,重视区域配置平衡;更新完善现有数据保护相关法律法规,探索“双机制”保护模式;分区设立数据保护专职机构;企业内部建立数据安全一体化工作机制;考虑行业特点,制定数据安全标准等等思路和举措,可以作为我国有效推动数据安全治理工作的借鉴和参考。