大数据技术的快速发展正成为经济社会发展的新动能,随之而来的是数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》中明确提出“提升数据安全治理监管能力”,这为加强数据安全指明了方向、作出了战略部署。
一、深刻认识加强数据安全的极端重要性和现实紧迫性
习近平总书记强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”数据成为信息化时代的基础性资源、新质生产力的重要内容和关键性生产要素,只有做好数据安全保护与有序使用之间的平衡,才能有效防范数据泄露、窃取、篡改、滥用等给个人、企业、社会乃至国家利益带来损害。
(一)数据安全事关国家、企业和个人
互联网迭代升级技术的高速发展,将社会带入“大数据”时代,海量用户数据正成为某些人攫取商业利益的目标,每个人既面临着互联网的丰富应用场景,又不得不面对信息隐私泄露和信息被盗用的风险。总的来看,对国家而言,经济全球化推动世界各国经济贸易与技术交流不断扩大,大量数据日益频繁地在全球范围跨境流动,其导致的数据泄露泄密、黑客攻击、盗用滥用,危及国家安全,影响社会稳定。对企业而言,大数据是重要的商业资源和生产要素,数据安全治理能力已成为企业的重要竞争力。对个人而言,大数据的信息集成分析技术和开放式多点共享的特点,导致用户失去了对数据安全的自主拥有权,隐私滥用已是常态,数据安全治理成为加强个人隐私保护的基本要求。
(二)信息泄露事件的多发频发让人忧心忡忡
习近平总书记强调,网信事业发展必须贯彻以人民为中心的发展思想,让人民群众在信息化发展中有更多获得感、幸福感、安全感。这一重要指示具有极强的现实针对性。归纳起来,现实中影响数据安全的主要情形有:(1)不安全的网络连接,让网络钓鱼和欺诈行为有机可乘。据报道,2022年4月,安徽省公安机关成功打掉一个利用电脑漏洞、植入木马病毒等手段,操控12台网络服务器、700余台电脑主机、17万余组虚拟账号的案件。(2)一些应用程序的权限无限扩大导致被滥用。许多应用程序在安装时要求获取超量权限,如访问地理位置、相机等,通过对用户数据的分析,可以帮助应用改进服务并更好地满足用户的需求。但是,如果用户随意授予这些权限,也会有应用程序滥用用户个人信息的风险,带来隐私和安全方面的威胁。
(三)数据安全面临的挑战越来越严峻,导致风险隐患防不胜防
随着大数据、区块链、大模型等新技术的升级迭代,个人隐私泄露、数据滥用、网络黑客攻击等现象屡见不鲜,成了挥之不去的数据安全“痼疾”。与此同时,数据自身也具有不确定性、难以追溯等特点,在采集、存储、传输、使用等环节都存在潜在风险隐患。一方面,需要立法部门和监管部门优化反应机制,有的放矢地制定出台实化细化的制度措施,以提供于事简便的监管法规依据。另一方面,需要充分吸收借鉴世界各国立法经验,以宽广的视野胸怀天下,取其良法善治的精华为我所用。
二、我国数据安全制度建设蹄疾步稳成效明显
我国对数据利用背后隐藏的信息泄露风险和信息控制权问题,一直高度重视、严格规范、强化监管,逐步织密扎紧制度笼子,不断把制度成果转化为监管成效。
(一)在国际层面提出打造数字命运共同体的中国方案
数据安全是全球性问题,应对数据安全风险,需要凝聚全球数字治理合力,共同应对全球数字治理领域面临的规则缺失挑战。我国在这方面率先行动,采取一系列举措,积极打造数字命运共同体。(1)2020年我国就全球数字安全治理监管的核心问题,第一个提出《全球数据安全倡议》,提出引导规范全球各国政府的行为、细化企业应当担负的责任、共同合作防控风险等措施,构建一个共享共治的网络空间命运共同体,这一“中国方案”是全球数据安全领域的创建性引领性文件。(2)2022年《“中国+中亚五国”数据安全合作倡议》提出,就防范全球信息安全所面临的挑战和威胁,保障数据安全,开展协调行动与合作,提倡应以事实为依据全面客观看待数据安全问题。(3)2023年第三届“一带一路”国际合作高峰论坛数字经济高级别论坛在北京召开,倡议深化网络安全领域合作,旨在与世界各国一道,加快构建网络空间命运共同体。(4)2024年世界互联网大会数字丝路发展论坛在陕西举行,旨在携手推进数字丝路建设,共建数字治理规则体系,以数字技术赋能共建“一带一路”高质量发展。从理念到实践,我国的数据安全、数字建设在国际舞台上展现出强大影响力、凝聚力、引领力。
(二)在国家层面构建“四梁八柱”,从顶层设计谋划数据安全
我国高度重视数据安全保护,建立了涉及数据信息安全、网络安全及审查、数据安全包括出境安全评估、把个人信息纳入民法典等制度法规的科学框架体系,确立了对数据领域的全方位监管和保护。近年来,数据安全的治理监管自觉提高工作站位,在总体国家安全观的科学指引下,我国数据安全保护法治化道路越走越宽广,其中若干标志性、创制性、国际化的制度起到了引领示范作用。主要有:(1)2021年《中华人民共和国个人信息保护法》施行,围绕个人信息已经形成了民事责任、行政责任与刑事责任三重责任保护机制,个人信息保护基本实现了有法可依。(2)2022年《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出,要“建立安全可控、弹性包容的数据要素治理制度”,充分释放了注重数据安全并不意味着要把数据管死的鲜明态度。(3)2024年,率先发布《人工智能全球治理上海宣言》,提出“高度重视人工智能的安全问题,特别是数据安全与隐私保护”,明确“以高水平数据安全保障高质量数据发展”。
(三)在地方和行业层面鼓励因地制宜先行先试,进行大胆探索创新
在搞好顶层设计的同时,鼓励有条件的地方政府积极探索创新,重点围绕公共数据汇总采集、公用共享、研究开发与综合利用等,支持在能源行业、交通领域、金融系统、通信企业等行业领域,推出一系列有针对性的涉及数据安全的行业自律规范,推动制度更加细化实化、成龙配套。不搞整齐划一的“齐步走”,进一步鼓励支持依法出台涉及数据安全的地方性法规规章,通过适当包容和稳妥审慎的规则,满足地方抢抓数据安全和发展稍纵即逝的机遇窗口期。比如,2022年国内首部关于智能网联汽车管理的法规——《深圳经济特区智能网联汽车管理条例》,对智能网联汽车数据安全等进行了全链条立法。
(四)在惩处层面坚持以“零容忍”态度执规执纪执法,强化制度的刚性约束
近年来,国家数据安全工作执法力度保持高压态势,网信部门会同公安、市场监管等部门开展联合整治专项行动,对App擅自收集信息、非法手段获取交易数据信息等问题采取点对点的定向精准打击,数据违规、安全保障不力等热点“老大难”问题的蔓延势头被打压遏制,甚至被一个一个地有效破解。公安机关突出问题导向,转变思维理念和执法方式,抓住“重要敏感数据全生命周期安全保护”这个着力点,监督指导负有数据安全保护责任的数据主体全流程、各环节、多举措采取行动,严密规范数据处理的目的手段、标准程度、方式方法和自律要求等,以法治方式维护网络秩序,保障人民群众合法权益。
三、加大数据安全制度的引领创建力度
“要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。”筑牢数据安全防线,离不开制度支撑。认真贯彻落实党的二十届三中全会精神,当前急需以制度供给保障数据安全,必须坚持系统观念,补齐数据要素协同治理制度短板,更好统筹发展和安全。
(一)进一步健全完善个人数据保护的法律体系
依据数据主权原则,明确各级政府部门特别是履职部门的监管职责,通过细化界定数据安全治理和监管机构的人员组成、职能职责以及法律责任、奖励手段和惩罚性措施等,界定各责任主体和经营主体的权利和义务,彰显数据信息安全治理监管的理念思路、价值取向、原则标准。针对各种类型数据特点属性和安全保护特殊需求,着力健全完善数据资源各方主体应当承担履行的法律责任制度规定体系。推进个人信息安全和隐私保护立法,合理界定个人数据利用信息合法使用的范围,个人保持其拥有权、知情权、监督权,细化遇到滥用盗用等违规违法侵犯时的个人维权以及权利救济的方式途径,通过一系列有效管用的技术标准、程序规定、流程操作和安全保障措施,健全完善严厉防范和惩治大数据违规违法行为的制度规范和法律规定,对危害国家数据安全、企业数据信息、个人数据隐私的行为,从严从快查处、严惩不贷、以儆效尤。
(二)建立健全行业自律准则,防止出现“数据垄断”
作为数字经济的重要参与者,企业尤其是拥有海量数据的平台企业,要制定并执行安全策略,以保护用户的数据安全。明确企业在数据收集、处理和使用过程中的制度,建立透明的数据使用政策和隐私条款,个人数据信息未经授权不得访问、泄露或滥用,增强数据处理的透明度和公正性。
(三)健全数据安全的监管制度体系
以制度赋予数据安全监管机构的职能职责,与行业组织和行业(协会)组织合作,共同制定和完善数据保护法律和政策。建立标准化的数据安全管理机制,加快前沿科学技术研发,以技术赋能数据安全管理。
(四)及早完善细化对数据跨境交流的规定,保障数据有序流动
当前美国等西方一些政客,以地缘政治为借口,打着意识形态先行的幌子,妄图把数据安全上升为“政治化”的问题,或采用“小院高墙”搞所谓“脱钩断链”,或借着“清洁”“安全”的名义倒行逆施搞数据安全霸权,干扰建设网络空间的全球命运共同体的进程。在此形势下,数据作为世界各国高度重视并极力发展的重要生产要素和一种战略资源,其内在具有的倍增叠加、聚变裂变功能日益发挥释放,如果得不到足够重视和有效引导,全球数字治理赤字将越积越大,数字鸿沟越来越深。这种国际形势下,尤其需要我国加大制度创新力度,为打造全球数字命运共同体提供更多充满中国智慧的制度供给和制度创新。当前,我国要秉持胸怀天下的视野格局,重点增强“四个自信”并勇于担当引领全球数据安全治理监管顶层设计任务,既要加快建立健全具有自身特色、示范标杆性的数据安全防护制度框架体系,又要健全以注重全球知识产权保护、防范数据安全风险隐患为导向的全球数据治理监管制度。大力推动建立具有全球引领力的数据治理和安全监管的国际合作平台载体、运行机制、评估监测标准体系,采取有效措施打击跨国(境)的数据收集利用、传递运营中的犯罪行为。