随着信息技术和人类生产生活交汇融合,通过网络收集、存储、传输、处理和产生的各种电子数据迅猛增长、海量聚集并成为重要的市场经济要素,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。2016年11月颁布的《网络安全法》建立了网络数据安全相关制度,2019年5月《数据安全管理办法》草案公开征求意见,2020年7月《数据安全法》草案公开征求意见,数据安全已经成为网络安全乃至国家安全法制体系中的核心内容之一。在即将构建形成的数据安全和个人信息保护体系下,应当更加具体地回应网络数据利用和保护的正当需求,通过配套条例和规章健全数据分级分类规则,完善网络数据安全立法。

一、确立网络数据安全分级分类的基本思路

传统网络数据安全侧重于静态保护,主要是防止网络数据泄露、窃取、篡改、毁损,维护网络数据的完整性、保密性和可用性。新一代网络数据安全处于数字经济繁荣发展和全面数字化转型的新时代,需要适应动态保护的需求,确保数据在各类场景下收集、利用、流转、开放、共享等不同行为时的安全与自由。场景差异会形成不同的正当价值和安全风险,分级分类保护应当成为网络数据安全立法的基本思路。

数据分级分类最初是网络运营者对数据资产进行一致性、标准化管理的方法,随后成为网络数据安全风险管理的技术方案。根据《网络安全法》第21条的规定,网络运营者应当采取数据分类、重要数据备份和加密等措施。《数据安全法(征求意见稿)》第19条提出:国家对数据实行分级分类保护。由此可见,数据分级分类的主体由“网络运营者”转变为“国家”,国家对数据进行分级分类的方法不仅包括制定重要数据目录,更需要结合典型的数据应用场景制定配套的网络数据安全法规。只有在数据安全配套法规中确立基本的数据分级分类规则,才能为制定数据分级分类目录、技术标准和企业数据安全管理实践提供更加明确的统一指引。

从联系的角度而言,数据分级分类也可以称之为数据分类保护,这是因为数据分级也是对数据进行分类的一种表现形式。从区分的角度而言,数据分级是对数据分类之后采取的安全等级规则。国家在数据安全立法中,应当根据数据对国家安全、公共利益或者公民、组织的不同意义和可能的损害后果,对不同类别的数据分别采取严格保护、内容监管、鼓励流动、强制公开等不同管理方法的数据利用规则,并对不同级别的数据分别采取不同授权和责任模式的数据处理规则。

数据分类是对数据应用过程中涉及的数据进行分类,按照来源可以区分为公共数据、组织数据和个人数据,按照数据的公开程度可以区分为网络公开数据、有限公开数据和秘密保护数据,它们在法律中应当具有不同的安全与发展规则。结合不同的应用场景,还可以对这些数据做进一步分类。例如,我国《宪法》第40条建立了严格的私人通信保护制度,主要规范对象是电信运营商和国家机关,但是现代的互联网通信工具和交流平台形成了通信内容容易被转发,私人通信联络和公共信息传播界限不清的问题,不利于建立与数据类型相适应的安全保护秩序。所以,有必要在互联网通信场景下区分私人通信和公共信息,便于网络运营者和用户明确其所处网络社交场景的私人属性或者公共属性,从而按照分类管理的思路建立私人通信严格保密、公共信息有序管理的网络数据安全规范。

数据分级处理规则主要适用于个人数据,包括不同类型的个人数据存在安全等级差异,以及同一类个人数据在不同场景下的安全等级差异。根据《个人信息安全规范》,个人数据可以划分为一般数据、敏感数据和高度敏感数据三类。其中,收集一般个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。此外,个人生物识别信息属于高度敏感数据,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。对于这些推荐性国家标准中的管理性规范,需要通过立法程序转化为相应的法律规则。

二、引导公共属性数据相互共享和对外开放

公共属性的数据也被称之为公共利益数据,是由政府部门或者网络运营企业收集、存储,但属于社会中各类人力资源、财产资源共同参与创造的数据,可以在政府和企业之间相互共享,也可以基于公共利益目的对外开放。公共属性数据的共享与开放包括企业对政务数据的使用(G2B)、政府机构对企业数据的使用(B2G)、政府不同部门之间的数据共享(G2G)。

G2B数据在国内外已经形成普遍共识的政务数据开放趋势。例如,国家地理信息数据可以为旅游或者交通产品开发提供基础,司法机关的裁判数据可以为企业合规和法律研究提供帮助。G2G数据的共享主要是政府内部数据平台建设和数据融合能力的建设问题,它可以提高政府内部管理的一体化水平,同时也可以为单一市场中运营的企业减轻重复报送数据的成本。B2G方向的数据开放与共享属于一个近年来才意识到重要性问题,由于涉及到网络运营企业商业秘密、企业数据私有财产保护、个人信息安全保护义务等价值冲突,是需要数据安全法规进行协调的重要领域。

数字经济的发展使得网络运营企业积累了大量的数据,充分利用其中具有公共属性的数据,有助于完善城乡规划、道路交通、民生保障、生态环境、社会安全、自然灾害、公共健康等社会管理和公共事务,帮助政府建立基于实证数据的公共决策方向。例如,道路交通导航地图运营商的数据可以为早晚高峰的交通拥堵治理提供支撑,医院治疗疾病的数据可以为公共健康防治提供决策依据,汇总的、匿名的社交媒体数据可以为传染病防控措施及其效果提供信息参考。

严格保护个人数据安全的欧洲,也在长期推进企业与政府部门之间的数据共享。2018年4月,欧洲委员会通信网络内容与技术执行署就发布了《欧洲数据经济中的私营部门数据共享指南》,提出了B2G数据共享的模型和基本原则。欧盟委员会在2020年2月发布的《欧洲数据战略》明确了B2G数据共享的重要性,欧盟B2G数据共享高级别专家组也在同一时间发布了《迈向基于公共利益的企业对政府数据共享的欧洲战略》(Towards a European Strategy on Business-to-Government Data Sharing for the Public Interest),不仅总结了B2G数据共享存在的现实问题,还从法律、技术、管理等多个维度提出了可能的解决方案。

我国数字经济的发展也形成了大量掌握在企业手中的公共属性数据,在制定数据安全法规过程中,需要按照数据场景化管理的思路,区分政府调取企业数据、企业向政府共享数据两种类型。对于政府调取企业数据,需要在内容上划定政府调取网络运营企业数据的范围,在程序上确定政府调取数据的方法,在责任上明确政府的安全保障责任,在外部监督上建立备案审查和权利救济机制。对于企业向政府共享数据,主要是按照平等协商的机制实现,注重提高数据共享技术的安全性和数据利用的有效性,同时要避免损害他人合法权益。企业与政府之间无论是调取还是共享数据,政府都应当考虑企业数据的质量和处理成本,为企业提供公共属性数据作出必要的经济补偿,或者向企业提供数据反馈等其他合理的对价。

企业掌握的公共利益数据可以为个人和组织提供信息获取服务,同时可以为各类研究人员、公共机构、中小企业、初创企业参与科技创新和数字经济发展提供便利。对于与公共利益有关的数据,政府应当按照法定的程序向社会或者特定申请人公开其获得的企业数据。但是,政府从企业获取的数据一般不得超出法定使用目的范围,特别是要避免行政权力对数据自由竞争市场的不正当干预。

三、推动企业数据安全有序的利用与流转

企业数据是企业通过合法形式取得的具有完全权属、有限权属、无权属的各类数据。企业对于无权属的他人数据只能按照约定目的和方式进行管理和使用,对于处理大量他人数据的网络运营者应当依法建立数据安全体系,为他人提供数据收集、存储、加工、分析、传输等服务的企业,应当通过向主管部门备案、建立相互隔离的数据安全环境等措施。对于完全权属和有限权属的数据,企业可以在权利范围内进行交易、共享和开放。

企业可以通过买卖、互换、许可使用等方式交易其合法取得且有相应处置权利的数据。随着数据价值的上升,数据被国家列为与土地、劳动力、资本、技术等相并列的生产要素,在国内外市场中诞生了行纪、中介和代理等多种类型的数据交易中间商。《数据安全(征求意见稿)》第30条规定:从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。然而,何种数据可以进行交易,数据可以如何进行交易,数据交易中如何保障安全,需要相关配套规定进一步细化规则。在《民法典》确认数据财产权的基础上,尚需要进一步明确数据财产权的分配规则,特别是明确物联网等共同创建数据的权利归属和权利行使规则,并对数据交易合同的相关法律适用规则予以规范。此外,需要明确数据交易参与方的职责和监管制度,促进形成一批专业能力强、运营规范、抗风险能力强的数据交易中间服务机构。

企业数据共享是以无偿形式为他人利用自身数据提供便利的一种方式,企业除了向政府共享数据外,还可以向其他企业共享其数据,包括在同一生态内的不同企业、不同生态内的不同企业之间进行数据共享,甚至是同一企业的不同部门。在不同企业之间进行数据共享有利于提升数据平台的服务能力、减少数据重复收集的成本,特别是大量汇聚第三方应用、第三方商店的平台存在大量数据共享行为,但是接受数据共享的处理者可能引发不确定性数据泄露或者滥用的风险。一方面,我们应当鼓励数据安全管理能力强的平台企业向他人共享数据,不仅可以缩小数据鸿沟,还可以避免中小企业数据安全管理能力不足引发的风险。另一方面,不同主体之间开展数据共享需要明确各自的安全管理职责,并按照过错原则承担相应的法律责任。

互联网的本质是数据流动,打破数据垄断和避免数据孤岛是企业数据开放的主要目标。企业数据开放的对象包括企业自主拥有的、具有数据基础设施地位的数据,也包括在企业平台上展示的网络公开数据。对于具有数据基础设施地位的数据或者数据设施,应当要求企业按照透明、公平、合理、非歧视原则提供必要的开放利用条件。对于网络公开数据,企业应当建立公平、自由的访问规则,避免采取不合理的访问限制措施。与此同时,数据爬虫技术改变了网络公开数据获取的传统规则,一方面要支持符合行业惯例的数据获取行为,从而为数据产业的发展提供必要的法律环境;另一方面,应当为企业采取“Robot协议”等措施保障其系统正常运行提供必要的强制性保障。

四、确保新技术对个人数据利用的安全

信息技术的创新发展优化了个人数据的利用效率和方式,出现了用户画像、个性化推荐、自动化决策、深度伪造、人脸识别等提升个人数据利用风险的新技术,也出现了差分隐私、多方计算等减少个人数据利用风险的新技术。在数据安全配套法规中,应当引导网络运营者采取有利于个人数据安全利用的新技术,通过技术手段实现安全和发展的双重目标,有效避免个人数据利用过程中出现的安全风险。对于各类挖掘个人数据潜在价值的新技术,应当进行数据安全风险评估,并在相关法规中建立场景化的数据利用规则。

人脸识别是国内外舆论广泛关注的个人数据使用技术,对于何种场景可以利用,人脸生物信息如何存储,如何保障此类高度敏感数据的安全,需要建立配套的法律规则。缺乏人脸等个人生物识别信息的安全规则容易引发舆论的恐慌,安全可控的法律规则不仅可以增强消费者对新技术的信心,还可以为新技术的部署提供稳定的指引和预期。

用户画像、个性化推荐都是基于用户的个人信息和网络使用行为所形成的数据融合和算法应用,其可能提高信息的获取效率,但是也可能导致个人被标签化或者隐私泄露,故而应当为这类行为提供“选择-退出”的功能,避免对个人强迫提供技术服务。

自动化决策和深度伪造对于个人的权益往往会产生直接的影响,甚至在某些情况下会严重影响社会公共秩序。对于自动化决策,应当提高此类算法的透明度和可解释性,避免算法黑箱风险。对于深度伪造等信息聚合技术,应当通过标记等规则避免数据滥用行为。

目前,《欧洲数据战略》已经明确提出了一系列数据安全与利用的配套立法计划,美国联邦和各地方也在出台一系列数据利用的补充法律制度。我国在《网络安全法》已经颁布施行,《数据安全法》和《个人信息保护法》处于起草中的背景之下,还需要同时启动网络数据安全相关配套法规的立法储备工作,构建法律、行政法规和规章衔接配套的网络安全、数据安全和个人信息保护的法律协调体系。在行政法规层面进行网络数据安全管理制度的立法储备工作中,应当着力细化《网络安全法》《数据安全法》和《个人信息保护法》中的相关规则,吸收《数据安全管理办法(征求意见稿)》和国内外数据安全法治最新进展的经验,按照数据分级分类管理的思路,科学划分数据的应用场景,通过一般规则和场景规则相结合的模式建立具有可操作性的配套法律制度。

作者:刘云 清华大学法学院助理研究员

声明:本文来自网信中国,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。