2018年9月,“十三届全国人大常委会立法规划”发布,《数据安全法》位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。2019年3月4日,十三届全国人大二次会议新闻发布会发言人张业遂表示:2019年将加强国家安全立法,制定数据安全法等法律,提高防范和抵御安全风险的能力。在如火如荼的立法时刻,不妨平心静气地作一番思考:《数据安全法》所说的“安全”究竟是什么?
从来没有绝对安全
“无危则安,无缺则全”,在中国传统观念中,“安全”往往意味着没有危险且尽善尽美。然而,在当今风险社会(risk society)中,这种绝对的安全观念已经不合时宜。正如德国社会学巨擘卢曼所洞见的:我们生活在一个除了冒险别无选择的社会。
无时不在、无处不在的风险弥散在周围,更重要的是,我们作为集体或个人做出的每个决定、每种选择、每种行动同时也在制造着新的风险。这从反面证明了风险的绝对性:人们用于应对风险的规制方式, 本身就是滋生新型风险的罪魁祸首。由于现代社会前所未有的复杂与抽象,无论是冒险取向还是安全取向的制度,都可能蕴含运转失灵或决策失误风险。风险滋生风险,这是当代人的必然宿命。
最后,风险并非全然客观,而是人为建构和社会定义的“构想”(conception),是一种想象的现实。在某种意义上,风险的本质并不在于发生,而在于人们认识到它“可能发生”。只要民众在主观上相信风险的存在,风险就是真实有效的。正因如此,“不安全感”可能并非源于实际风险的增加,而是由有影响力的社会人士的呼吁所引发。正如英国金融服务局在2003年发布的《合理期待》(Reasonable Expectations)文件所揭示的,“零失误”的安全并不是监管机构的目标,但对于政府监管究竟能实现什么,公众和立法者的“期待”都需要进行实事求是的调整。
既然风险不可避免,“相对的安全”便取代了“绝对的安全”,成为国家的理性目标。“相对安全”意味着安全可以衡量,人的身心安全程度及其事物的可靠程度可称为“安全度”。当危险性低于某种程度时,人们就认为对于安全就是满意的。因此,法律和政治并不追求根除风险,也非简单考虑风险的最小化,而是设法控制那些可能导致不合理危险的风险,达到人们的“安全度”。就此来说,《数据安全法》并非对所有数据风险“零容忍”,而是通过持续的危险识别和风险管理过程,将损失降低并保持在可接受的水平以下。
“绝对安全”下的数据安全 VS “相对安全”下的数据安全
在绝对安全看来,封闭的数据系统比开放的数据系统更安全,这意味着独特的数据格式、不兼容的数据接口、不能二次利用的数据流动更加安全。但历史一次次地证明,由于专用系统的知识体系不开放,无法利用大众智慧帮助其改进,数据安全架构必然会越发故步自封,最终落后于开放的数据友好型生态系统。这一规律早已被习近平总书记在2016年4月19日“全国网络安全和信息化工作会议”所指明:网络安全是动态的而不是静态的,开放的而不是封闭的,相对的而不是绝对的,因此一定避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。这里的“彼”就是我国的信息化以及更广泛的经济发展。
信息网络之所以能成为“促进发展的机器”,来自于它与“颠覆性创新”机制的耦合。哈佛商学院克里斯滕森教授与加拿大学者雷纳在《创新者的解答》一书中将创新区分为“颠覆性创新”与“维持性创新”,前者才是经济变革的真正源泉。
作为数字经济的核心生产要素,数据正成为经济转型和发展的新引擎,以及社会治理的有效工具。正是建立海量数据之上,大数据、云计算、人工智能等新技术、新产业才有可能实现颠覆性创新。为了维持这种发展态势,我国《网络安全法》专设“网路安全支持和促进”一章,特别指出鼓励数据开放和利用,其第42条第1款还赋予了利用匿名化数据的自由,这一被称为“大数据条款”的规定为企业创新打开了大门。
《数据安全法》亦应延续这一思路,充分认识到数据价值,将数据安全和数据利用看做一体之两翼、驱动之双轮,只要数据利用不会导致不合理危险,就应允许并积极推动其发展,正所谓“除弊不如兴利”,与其在事前限制数据利用以保安全,不如在数据利用中促进安全的实现。
通过数据共享促进数据安全
数据利用的核心在于数据的共享、聚合和二次处理。这是因为,数据具有一种特殊的“涌现性”(Emergence)。借用美国圣塔菲研究院科学家霍兰(John Holland)在其《涌现:从混沌到有序》一书中的表达,数据共享的价值以相互作用为中心的,数据汇聚就是一个典型的非线性动态涌现过程,从而产生出之前任何单一数据所无的新功能,有人甚至称之为“数据智能”。我们可以想象一下蚁群。单只蚂蚁的能力相当有限,难于完成复杂的任务。但当蚁群作为整体时,则能做出许多惊人之举,比如建筑山丘,又或者毁掉一座大坝——千里之堤,毁于蚁穴。
安全的问题,归根到底要通过发展解决。作为数据利用的枢纽,数据共享对于数据安全的意义重大,此即“数据驱动安全”之真意。按照共享主体的不同,我们可将数据共享分为三个层面:
其一,企业与用户之间的数据共享
实时在线的安全软件协助企业与用户不间断地发生着数据交换:对用户而言,他们可以随时连接到企业服务器上,以便下载具有网络欺诈内容和恶意软件网站的最新黑名单列表,帮助其快速识别并清除新型木马病毒以及钓鱼、挂马的恶意网页;对企业而言,用户终端里的大量数据也会上传到云端,企业据此建立全面的软件信息数据库,发现可疑样本,并改善数据安全服务。
其二,企业与企业之间的数据共享
在新的网络安全形势下,融合监测、感知、预警、响应等不同功能的“安全态势感知”,是实现数据安全威胁防范、内控治理的有效模式。作为动态、准实时的预测系统,安全态势感知依赖于对数据的编译、处理和融合,并依此判断变动及发展趋势。为此,不同企业之间的安全数据共享是其建立的前提。
未来的《数据安全法》可以在《网络安全法》第29条、39条基础上,进一步拓展安全数据共享的对象和主体范围。在具体制度设计上,可以借鉴美国2015年《网络安全信息共享法》,将“安全数据”细化为安全事件、威胁、漏洞、缓解措施、情景感知、最佳做法、战略分析。通过搭建一个既有中心企业又有分布式节点的“混合式共享结构”,要求各方尽量统一数据和接口标准,并适当豁免数据共享的责任,即在各方提供防止、调查或减轻数据安全威胁的协助时,只要符合法律规定的共享要求,便可免于未经信息主体授权或反垄断法下包括“垄断协议”在内的责任。
其三,企业与政府之间的数据共享
其三,企业与政府之间的数据共享。各网络强国均十分重视网络安全领域的政企合作。例如,澳大利亚《网络安全战略》就将“企业—政府伙伴关系”列为重点战略措施,鼓励政府与企业共同促进关键基础设施、网络、产品和服务领域的安全。美国2015年《网络安全信息共享法》和《国家网络安全保护促进法》同样意在推动联邦政府和企业之间的数据共享。
由于企业和政府的不对等性,《数据安全法》可以采取分而治之的手段,一方面,鼓励而非强制企业向政府共享安全数据,除非该等数据将危及国家主权、公众权利和公共利益。另一方面,应强制要求政府将其掌握的安全数据与企业及时共享,除非数据涉及国家秘密或公民隐私。同时,为了解除企业共享数据的后果之忧,政府应承诺数据使用的目的和边界,保护其中的知识产权和商业秘密,适当豁免企业对个人信息保护责任。在特定场合下,若企业主动披露未被政府掌握的安全事件及其数据,可以酌情减轻行政处罚。
总之,正如《网络安全法》第1条和第3条分别体现出安全和发展两大价值取向一样,《数据安全法》同样需要权衡数据安全和数据利用两大价值,最终令数据安全和数据利用协调一致、齐头并进,建久安之势、成长治之业。
(许可 法学博士,博士后,对外经济贸易大学数字经济与法律创新研究中心执行主任)
声明:本文来自360智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。