摘要:随着大数据技术和应用的快速发展,促进跨部门、跨行业数据共享的需求已经非常迫切。但是,安全问题是影响数据共享发展的关键问题,世界各国对数据共享的安全越来越关注,包括美国、欧盟和中国在内的很多国家都在制定数据安全相关的法律法规来推动数据共享的合法利用和安全保护。本文总结分析了国内外数据共享安全管控情况,对数据共享模型和相关方角色进行设计,在分析数据共享存在的安全风险和问题的基础上,提出数据共享安全框架,最后给出加强数据共享安全治理的建议。
关键词:数据共享;数据安全;数据共享模型;法律法规;安全治理
20世纪90年代以来,随着信息技术的快速发展和应用,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。
2015年国务院发布《促进大数据发展行动纲要》,提出全面推进我国大数据发展应用的行动计划。2016年国家发布《“十三五”国民经济和社会发展规划纲要》,提出要实施国家大数据战略,促进大数据创新应用,着力推动数据开放共享。
在推动数据开放共享方面,国家首先启动政务信息资源的开放和共享工作,通过政务信息资源的开放共享,引导企业、社会组织等主动采集并开放数据,实现政府和社会互动的大数据采集形成、合作开发和综合利用机制,取得了一定的成果。除政务信息资源共享以外,政府和企业之间以及企业之间在数据交换和交易方面也有一些实际应用案例。
国内数据共享虽然取得了一定的成果,但是和发达国家相比还有一定的差距。
当今世界,信息化发展较快的发达国家在大数据开发利用方面和促进大数据产业发展方面已经走在了前面,数据的共享已经成为常态,对共享数据的安全保护方面有很多值得我们国家借鉴的实践经验,欧盟、美国等国家在数据安全保护方面出台了很多有针对性的法律法规,例如欧盟的《通用数据保护条例》(GDPR)、美国的《澄清域外合法使用数据法》、日本的《个人信息保护法》等等。
本文的研究目标是在分析国内外的数据共享安全管控现状基础上,研究数据共享的安全问题和风险,提出数据共享的模型、角色,提出数据共享的安全治理建议和加强我国数据安全保护立法工作的建议,为下一步国家制定相关政策法规和安全管理制度提供参考。
一、国内外数据共享安全管控
(一)国外数据共享安全管控经验
根据国外的法律法规和相关实践经验,国外对于数据共享的安全治理和管控措施主要体现在以下几个方面:
1)法律规定数据的管辖范围由“属地”扩展到“属人”
国外法律规定的管辖对象不仅包括在境内成立的机构,还包括一部分在境外成立的机构,只要其在提供产品或者服务的过程中(不论是否收费)处理了境内个体的个人数据。无论通信、记录或其他信息是否存储在境内,服务提供者均应当按照义务要求保存、备份、披露通信内容、记录等信息,只要该服务提供者拥有、监管或控制上述信息。国外法律对数据共享的管辖范围从“属地”扩展到“属人”,既是对数据保护范围的扩大也是对数据主权的扩张。
2)明确了数据共享参与主体的权责
国外法律对数据共享的参与角色进行了明确的划分,同时对各参与角色的权力和责任作出说明,例如明确个人对其个人信息所有的权力,要求企业在内部建立完善的问责机制,确保其员工能够遵守有关保密的要求,不得对处理的数据进行二次分包等。国外法律明确数据共享参与主体的权责可以确定数据共享活动中各方的权力和责任,便于监管。
3)对个人信息有完善的保护
国外法律明确了个人对其信息所具有的权利,例如知情权、访问权、反对权、个人数据可携权、被遗忘权等权利,对数据控制者和处理者规定了其必须遵守的制度和履行的义务,甚至对教育等专项个人信息专门立法进行保护,成立相应的数据安全管理部门来开展个人信息保护工作,加大对个人信息保护的力度。国外针对公民个人权利和个人信息有明确的立法,对个人信息提出严格的保护要求,建立相应的机构,从各个方面加强个人信息保护。
4)对数据跨境传输提出明确的安全要求
国外法律规定服务提供者应当按照义务要求保存、备份、披露个人信息,只要涉及到境内公民的个人信息为该服务提供者所拥有、监管或控制,不考虑服务提供者将信息存储在境内还是境外;公民个人数据不得转移至不能达到与本国同等保护水平的国家,并给出跨境数据传输的合法途径和要求,保障了数据跨境传输共享的安全。
5)对违法行为进行严厉处罚
国外法律尤其是欧盟的GDPR对数据违法行为作出严厉处罚,针对不同程度的违法行为分两档进行处罚。对没有实施充分的IT安全保障措施、没有提供全面的透明的隐私政策、没有签订书面的数据处理协议等违法行为,处1000万欧元或者上一年度全球营收的2%的罚金,两者取其高;对无法说明如何获得用户的同意、违反数据处理的一般性原则、侵害数据主体的合法权利、拒绝服从监管机构的执法命令等违法行为,处以2000万欧元或者企业上一年度全球营业收入的4%的罚金,两者取其高。国外法律对违法行为作出严厉处罚,有利于推动企业在进行数据相关活动过程中依法对数据进行充分的安全保障。
(二)国内数据共享安全现状
国内的数据共享虽然取得了一定的成果,但是依旧存在许多问题需要解决。在国内数据的共享交换、交易流通过程中,存在法律法规不完善、行业发展良莠不齐、数据开放程度较低、安全风险日益突出、技术应用创新滞后五大问题。
1)法律法规不完善
数据共享过程中存在数据拥有者与管理者不同、数据所有权和使用权分离的情况,即数据会脱离数据提供方的控制而存在,从而会带来数据滥用、权属不明确、安全监管责任不清晰等法律制度的挑战。
2)行业发展良莠不齐
国内数据共享行业仍处于起步发展阶段,也缺少国家层面的标准规范,政府部门、企业、社会组织等开展数据共享的时候缺少相关文件指导,容易各自发展自成体系,同时数据共享行业缺乏监管,不利于行业的健康发展。
3)数据开放程度较低
和国外数据资源主要集中在企业手中不同,国内的数据资源80%集中在政府部门。由于认识不到数据共享开放的价值,缺乏开放数据的动力,各部门企业不愿意共享开放;由于缺乏相关的法规文件,担心出现问题后责任认定不清,各部门企业不敢共享开放;由于行业的技术比较落后,缺少相应的实践,各部门企业不会共享开放。
4)安全风险日益突出
数据的共享涉及到大量的数据,尤其在通过平台进行数据共享时会导致大量数据的集中,过于集中的数据容易成为黑客攻击的主要目标,数据的安全保护措施如果不到位,数据容易泄露。除了外部攻击的风险,在数据共享过程中也会面临内部的安全风险,主要表现为用户和工作人员的过量下载、违规使用等行为。
5)技术应用创新滞后
数据共享行业的发展也依赖于相应大数据技术的发展,国内大数据产业虽然与国际大数据发展几近步伐相同,但是仍然存在技术及应用滞后的差距,在大数据相关的数据库及数据挖掘等技术领域,处于支配地位的领军企业均为国外企业。市场上,由于国内大数据企业技术上的不足,用户更加青睐IBM、甲骨文、EMC、SAP 等国外IT企业。
二、数据共享模型
通过对国内外的数据共享的模式、相关法律法规和经典案例的研究,本文研究并提出了数据共享模型,包括数据的分类、角色定义以及数据共享的方式。
(一)数据分类
按照数据生产或持有主体来划分数据,分为政府数据、企业数据和个人数据。
1)政府数据。是指人民政府及其行政机关在依法履行职责过程中产生或获取的,以一定形式记录、保存的各类数据资源。
2)企业数据。是指反映企业基本状况的数据资源,包括企业财务数据、经营数据(研发、采购、生产、销售等)以及人力资源数据,也包括通过授权直接或间接采集的个人数据。
3)个人数据。是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。
政府数据、企业数据、个人数据之间存在交集和相关性。政府和企业共享数据时不可避免地会含有个人数据,因此,在共享数据时不仅要注意保护国家秘密、商业秘密,特别要保护个人隐私数据,维护公民个人的权利。
(二)数据共享角色定义
参与数据共享的相关责任主体可以定义为5种角色,包括:数据提供方、数据使用方、平台管理方、服务提供方和监管方。
1)数据提供方。指生产或收集数据,并提供数据进行共享的各类相关主体,包括各政务部门或企业。
数据提供方应当遵循国家相关政策要求开展数据共享工作,向数据使用方提供共享数据,确保所提供的共享数据准确有效、及时更新和安全可靠。
2)数据使用方。指通过数据共享获取、应用共享数据的各政务部门或企业。
数据使用方应当遵循国家相关政策要求和数据共享要求,在授权范围内获取和使用共享数据,并采取措施,确保共享数据不丢失、不泄漏、不被未授权读取或扩大使用范围。
3)平台管理方。指负责建设、管理和运营数据共享平台,在数据开放和数据交易中为数据提供方和使用方提供平台服务的政务部门或企业。
平台管理方应当建立和完善共享平台的数据安全管理制度,以及数据安全保护、安全服务和安全监测等技术措施,确保共享平台运行安全和数据安全,为数据提供方和使用方提供安全支撑服务,为数据安全监管提供支持。
4)服务提供方。指为数据提供方、使用方或平台管理方提供数据存储、数据分析处理、数据安全保障、数据保护能力测评等技术和安全服务,对平台管理方的工作提供支撑的企业或专业机构。
服务提供方应当与服务对象签署服务协议,为所提供的服务建立相应的管理制度和专门团队,加强团队数据安全教育和能力培训,履行数据安全承诺,确保服务过程中的数据安全。
5)监管方。指依照国家法律法规和政策文件的授权,对数据共享进行指导、监督管理的政府部门,包括网信、公安、安全、保密等部门。
监管方应严格履行监管职责,依据国家法律法规政策和标准,建立数据共享管理制度,对上述4类责任主体参与的数据共享活动进行合法合规监管,在责任主体间产生冲突时进行协调和仲裁。
(三)数据共享方式
数据共享的方式主要分为3种,数据开放、数据交换和数据交易。下面针对3种数据共享方式分别描述相关方的权责和义务。
(1)数据开放
数据开放指数据提供方通过数据开放平台为数据使用方提供开放数据资源的在线检索、下载及调用等服务,数据开放模型如图1所示:
图1 数据开放模型
(2)数据交换
数据交换指数据共享各方之间在政策、法律和法规允许的范围内,通过签署协议、合作等方式开展的非盈利性数据共享,通常采用以“数”易“数”的方式、或者“1对1”地进行数据交换,数据交换模型如图2所示。
图2 数据交换模型
(3)数据交易
数据交易指数据提供方通过交易平台为数据使用方提供有偿数据共享服务。数据使用方付费后获得了数据或者服务调用权限,也可以付费获得平台的相关数据服务,数据交易模型如图3所示。
图3 数据交易模型
三、数据共享安全框架
基于对国内数据共享安全现状的分析,为推进数据共享的健康发展,需要加强政策、法律、管理制度、标准规范和技术体系的统筹协调,因此本文提出数据共享安全框架,如图4所示。框架分为4个层次,从上到下依次为法律法规、安全管理制度、标准体系以及安全技术。
图4 数据共享安全框架
加强数据共享安全保障要完善数据安全法律法规,加强数据安全管理制度建设,健全数据安全标准规范,推动数据安全技术开发和应用,做好数据安全的整体规划和顶层设计。遵循国家相关的安全政策,制定数据安全保护方面的法律法规和制度,健全数据安全相关标准及指南,完善数据安全保障组织机构和保障角色的规划,制定数据安全保障规划和指导意见,推进数据共享,满足国家层面安全管控要求,明确数据总体安全策略,指导相关管理制度、标准文件的制定,推动安全防护技术的发展。
(一)加强数据安全立法
在我国信息技术、互联网应用以及大数据快速发展的推动下,相关立法工作要与时俱进,要满足国家大数据发展战略要求,同时结合国内的实际情况制定并完善相关的法律法规。既要严格数据保护要求,加大执法力度和惩罚措施,维护国家安全和公众利益,也要有效推动产业发展,促进数据共享流动和开发利用。同时,还要学习国外立法的先进经验,能够与国外法律形成对照与对接,推动数据共享健康有序发展。
目前来看,立法的重点在于个人信息保护、数据资源确权、数据跨境监管和数据交易监管4个方面。
1)个人信息保护
从总体上看,国外关于个人信息保护的法律法规比较完善,欧盟制定的《通用数据保护法案》(GDPR)生效后极有可能会成为国际通行的数据隐私保护法规。而我国目前关于个人信息保护的法律法规非常有限,且较为分散,直接相关的保护个人信息的相关法规主要有:《中华人民共和国网络安全法》、《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》、《消费者权益保护法》、《电信和互联网用户个人信息保护规定》、《全国人大常委会关于加强网络信息保护的决定》以及《刑法修正案》(七)等。此外,在我国宪法、民法通则等国家根本大法和基本法中也有一些较为笼统的规定。
在大数据发展的新形势下,随着大数据开发、应用和共享的广泛深入开展,个人信息保护问题愈加突出,可以借鉴网络信息先进技术和个人信息立法保护完善的国家(地区)的立法治理经验,加快出台个人信息保护专项法律。
2)数据资源确权
数据作为一种特殊的资源要从法律上确立其资产的地位,才能让社会各方在数据采集、开放、流通、交易等过程中重视数据安全保护,切实维护数据主体的权益。数据的所有权、使用权、管理权可能涉及很多部门,在数据共享过程中需要做到权责分明,厘清数据权属关系,才能有效防止数据的非法使用。
数据确权是数据开放、交换和交易的前提和基础,也是难点问题。目前数据所有权归属还存在不清晰的情况,特别是当数据进行交换和共享时,不可避免地会涉及个人数据,这部分数据的所有权属于相关机构还是个人,目前还存在很大分歧。另外,原始数据和加工数据的权属问题也存在争议,这些问题都需要通过立法加以明确。在此基础上,可进一步明确数据授权、使用范围、安全保护责任,以及安全保护措施等要求。
3)数据跨境监管
从法律角度对数据进行保护是有范围的,要从可监管的辖区范围、需保护的数据对象、需监管的数据应用场景,以及数据处理行为等方面明确数据保护范围。《中华人民共和国网络安全法》等法律一般界定的数据管辖范围是国内,而欧盟的《通用数据保护条例》(GDPR)和美国的《澄清域外合法使用数据法案》(CLOUD)等法律都把管辖范围都扩大到欧盟和美国数据控制者的范围。特别对于数据跨境传输的监管来讲,国内外的法律如果不对等,将对我国的数据主权、网络主权、数据安全、公众利益等产生非常不利的影响。因此我们国家的数据安全立法应明确数据管辖范围。
4)数据交易监管
数据交易可以促进数据资源流通,破除数据孤岛,有效支撑数据应用的快速发展,发挥数据资源的经济价值。良好的数据交易环境是数据交易发展的基础保障,既有赖于法律法规的保障和标准的支撑,也需要政府监管到位。目前国家尚未推出数据交易方面的法律法规,这方面仍属空白。
对数据交易进行立法监管有利于规范数据资源交易行为,建立良好的数据交易秩序,增强对数据交易服务的安全管控能力,在确保数据安全的前提下促进数据资源自由流通,从而带动整个数据产业的安全、健康、快速发展。
数据交易立法需明确数据交易的政府监管职能部门,及其监管职责范围,明确交易双方的权责和义务,加强对用户个人隐私数据的保护,明确对数据交易平台以及交易双方资质的审核,以及数据保护能力评估等要求。
(二)建设数据安全管理制度
对数据共享的安全管控,除了健全国家法律法规以外,还需要在行业、部门、地方或平台层面建设配套的、完善的数据安全管理制度,以落实相关法律的要求。管理制度的设计要上承法律要求,下接标准支撑,在实践方面能够有效规范数据共享行为,确保数据共享组织管理机构职责明确、数据共享活动流程清晰、数据共享过程安全可控和监管有效。
根据数据共享的安全需求,需重点建立以下安全管理制度:
1)数据分类分级制度
数据分级是数据采集、存储、使用过程中进行保护的重要依据。需要进行数据梳理和数据分级,对不同级别的数据采取不同安全管控措施,在确保数据流动合理合规的前提下,促进数据安全的开发利用和共享,根据数据的重要性和敏感程度确定共享范围、权限和方式。
2)数据提供注册制度
数据提供方按照规定向平台管理方注册并审核通过所提供的数据后,方可发布。数据提供方所提供数据应明确数据的摘要、使用范围、条件及要求、提供者信息、联系方式、更新周期和发布日期等。在具体的流程中,应注意数据提供方在注册过程中需要承诺对注册数据的所有权或控制权,确保提供的数据真实、完整、安全、有效、可用,来源明确、界限清晰。一旦出现数据泄密事故,可为追踪溯源提供有力证据支撑。
3)数据授权许可制度
平台管理方在获得数据提供方的许可条件下,通过规定方式,将数据的使用权授予数据使用方。对于重要数据,需要第三方对数据使用方评估其数据保护能力,达标后才能授权。如果涉及隐私数据,管理者负责数据脱敏后方可授权。
4)数据登记使用制度
数据使用方按照规定向平台管理方/数据提供方登记并被审核身份及权限后,在合法合规的条件下方可获得数据的使用权。数据使用方登记内容应明确所使用数据类别、数据用途、使用范围、使用方式、使用者信息、联系方式等。
数据使用方应当遵循国家相关政策要求,在授权范围内获取和使用数据,并采取措施,保障确保共享数据不丢失、不泄漏、不被未授权读取或扩大使用范围。
5)数据保护能力评估制度
依据等级保护要求、数据分类和分级保护策略,对数据共享参与各方数据安全防护情况和承载系统的安全防护情况进行检测评估,保障共享数据的使用合规和承载系统的安全满足要求。
6)数据安全保密管理制度
明确数据交换需遵从的原则,如个人信息保护原则、最小授权原则、获取数据需要具备相应等级数据安全保护能力原则等。明确数据交换过程中的数据安全管理要求,包括数据传输、存储、处理、销毁等环节,加强数据安全保护。要建立数据安全应急处置预案,当出现信息安全事件时能够及时发现和处置,降低事件造成的影响。
一般来说,数据交换的行为有其特殊的需求和应用场景,因此应根据交换双方的需求、权责义务关系和数据内容制定相应的数据安全保密协议,对参与数据共享的相关方形成法律约束,规定相关权利义务和违规责任。
7)数据交易安全管理制度
第一,建议建立基于第三方的数据评价估值机制,对数据提供方的数据准确性、完整性、安全性以及知识产权情况、数据脱敏情况进行审核和评价,进而确定其是否可以上市交易,并给出指导价格。第二,要对交易双方的资格进行审核,数据提供方是否具备数据产权或处置权,是否具备提供数据以及后续更新数据的条件和能力。对于数据使用方重点审核其是否具备相应数据安全保护能力。第三,服务提供方应保证数据交易过程的公开公正和透明,并通过采取有效技术措施,确保数据交易过程的可监可控和可追溯。第四,服务提供方可以建立交易双方的信用评价机制、数据使用效果的评价机制和市场退出机制,推动形成数据交易的良性循环,维护市场秩序,同时开展数据应用示范,提升数据开发利用规模和应用水平。第五,要解决好数据安全和隐私保护问题,交易的数据中不可避免含有个人隐私数据或者政府及企业敏感数据,数据提供方如何合法合规地进行数据脱敏,监管方应给予指导和规范。
(三)完善数据共享标准体系
为了更好地开展数据共享,需要以数据安全为核心,围绕数据安全,主要制定以下4个方面的标准,以提供全方位的安全标准支撑。
1)基础类标准
数据共享基础类安全标准为整个数据共享安全标准体系提供包括概念、角色、模型、框架等基础概念,明确数据共享过程中各类安全角色及相关的安全活动或功能定义,为其它类别标准的制定奠定基础。
2)平台和技术类标准
针对数据共享所依托的平台及其安全防护技术、运行维护技术,制定平台和技术类标准,对数据共享安全的技术和机制(包括安全监测、安全存储、数据溯源、密钥服务等)、平台建设安全(包括基础设施、网络系统、数据采集、数据处理、数据存储等)、安全运维(包括风险管理、应急服务以及安全测评等)提出要求。
3)数据安全类标准
制定数据安全类标准主要包括个人信息、重要数据、数据跨境安全等安全管理与技术标准,覆盖数据生命周期的数据安全,包括分类分级、去标识化、数据跨境、风险评估等内容,用于健全个人信息安全标准体系,指导重要数据的管理和保护,规范指导跨境数据共享。
4)服务安全类标准
针对数据开放、交换、交易等应用场景,提出共享服务安全类标准,包括数据共享服务安全要求、实施指南及评估方法等;规范数据交换共享过程的安全性和规范性,保护个人信息安全不受侵犯、企业利益不受损害等;保证数据交易服务产业的健康规范发展,促进政府、企业、社会资源的融合运用,支撑行业应用和服务创新,提升经济社会运行效率等。
(四)研发和应用数据安全技术
数据开放及共享交换过程必然会涉及数据的汇聚、数据在提供者和使用者之间传输,以及数据脱离所有人控制使用等情况,数据将面临更大的安全风险,包括个人信息泄露,数据容易遭受攻击而泄露,数据非法过度采集、分析和滥用等等。国家安全主管部门或者相关责任单位制定并实施的数据安全管控要求,包括立法、立制、立标等,最终要做到能够部署应用相应的自动化安全监管技术手段,才能真正有效落到实处。
发展数据共享安全保护技术的目标是保障数据共享全程的可监测、可管控和可追溯。目前需突破的关键技术包括:全方位全天候的数据共享安全监测技术、细粒度数据资源访问控制技术、共享数据脱敏及去标识化技术、跨域多模式网络身份认证技术,以及数据标记及追踪溯源技术等,并在上述技术中推广使用国产密码算法。
建议国家在制定产业发展政策、设立科技重大研发计划、产品服务产业化项目,或者应用示范项目时,重点支持上述数据共享安全保护技术的研发、产业化以及应用示范,充分调动产、学、研、用各界研发及应用数据共享安全保护技术的积极性,支持自主知识产权的产品研发,推动数据共享的安全可控能力提升,快速扩大应用规模和效果,提高数据安全及个人隐私保护的意识、能力和水平,加强安全监管能力和水平,切实保障国家及个人数据安全。
四、小结
按照国家大数据发展战略,推动数据共享是大势所趋,有利于充分调动社会力量参与社会治理,深化大数据创新应用,发挥数据价值,释放数字红利。保障安全是推动数据共享发展的前提和基础,建议国家重点解决数据共享的合法化和合规路径问题,形成政策法规、管理制度、标准规范和技术保障统筹协调的数据安全治理体系,为数据共享创造良好的生态环境,推动数据共享的发展。
本文转载自《信息安全研究》2019年第4期
作者:国家信息中心信息与网络安全部
闫桂勋、刘蓓、程浩、许涛、王啸天、文博
声明:本文来自国信安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。