中國信息通信研究院互聯(lián)網(wǎng)法律研究中心 何波
近幾年以來,“大數(shù)據(jù)”和“網(wǎng)絡(luò)數(shù)據(jù)”一時(shí)風(fēng)光無限,成為各國政府、企業(yè)、科研機(jī)構(gòu)等競相追逐的“明星”。而隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)為代表的新一代信息通信技術(shù)與經(jīng)濟(jì)社會(huì)各領(lǐng)域、各行業(yè)的深度融合和跨界融合,相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)安全管理問題也日益凸顯。
什么是網(wǎng)絡(luò)數(shù)據(jù)?
我國“網(wǎng)絡(luò)數(shù)據(jù)”的概念第一次出現(xiàn)在全國人大常委會(huì)2015年公布的《中華人民共和國網(wǎng)絡(luò)安全法(草案)》(以下簡稱《草案》)中。《草案》第六十五條第四款規(guī)定:“網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。”
國外法律規(guī)定中并無“網(wǎng)絡(luò)數(shù)據(jù)”的定義,各國數(shù)據(jù)保護(hù)法都只對數(shù)據(jù)以及個(gè)人數(shù)據(jù)等相關(guān)概念進(jìn)行了定義。例如英國《數(shù)據(jù)保護(hù)法》,其只對數(shù)據(jù)下了定義,數(shù)據(jù)是指根據(jù)發(fā)出的處理指令自行運(yùn)行的設(shè)備所處理的信息,為了由上述設(shè)備加以處理而記錄的信息以及作為相關(guān)存檔系統(tǒng)的組成部分或?yàn)榱顺蔀橄嚓P(guān)存檔系統(tǒng)的組成部分而記錄的信息。
在實(shí)踐中,網(wǎng)絡(luò)數(shù)據(jù)還經(jīng)常和大數(shù)據(jù)混用。維基百科將大數(shù)據(jù)定義為一個(gè)復(fù)雜而龐大的數(shù)據(jù)集。香山科學(xué)會(huì)議(技術(shù)型定義)則認(rèn)為大數(shù)據(jù)是來源多樣、類型多樣、大而復(fù)雜、具有潛在價(jià)值,但難以在期望時(shí)間內(nèi)處理和分析的數(shù)據(jù)集。從定義理解來看,大數(shù)據(jù)是由無數(shù)的網(wǎng)絡(luò)數(shù)據(jù)組成的數(shù)據(jù)集,通常二者也很難嚴(yán)格區(qū)分開來。
網(wǎng)絡(luò)數(shù)據(jù)安全成為全球熱點(diǎn)
隨著網(wǎng)絡(luò)數(shù)據(jù)價(jià)值的不斷增加,針對網(wǎng)絡(luò)數(shù)據(jù)的安全威脅也與日俱增,給數(shù)據(jù)安全保障帶來了嚴(yán)峻的挑戰(zhàn),使很多國家對網(wǎng)絡(luò)數(shù)據(jù)使用的態(tài)度發(fā)生了轉(zhuǎn)變。“棱鏡”事件前,網(wǎng)絡(luò)數(shù)據(jù)開放逐年深化,針對跨境流動(dòng)等的國際合作不斷推進(jìn),“注重開放”成為國際網(wǎng)絡(luò)空間數(shù)據(jù)使用的主流態(tài)度;而“后棱鏡”時(shí)代,各國開始明確并不斷強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù),加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全管理。
2015年9月1日,俄羅斯第149-FZ號(hào)聯(lián)邦法《關(guān)于信息、信息技術(shù)與信息保護(hù)》生效。該項(xiàng)法律規(guī)定俄羅斯公民的個(gè)人信息數(shù)據(jù)只能存于俄境內(nèi)的服務(wù)器中,以實(shí)現(xiàn)數(shù)據(jù)本地化。2015年10月6日,歐盟最高司法機(jī)構(gòu)歐洲法院作出裁決,認(rèn)定歐盟委員會(huì)2000年通過的關(guān)于認(rèn)可美歐安全港框架的決定(2000/520/EC)無效,使得美歐之間最重要的跨境數(shù)據(jù)傳輸方式喪失合法性基礎(chǔ)。2015年10月,澳大利亞通過《電信(監(jiān)控和接入)修正(數(shù)據(jù)留存)提案》,對數(shù)據(jù)留存做出強(qiáng)制性法律規(guī)定,要求電信運(yùn)營商對電話、互聯(lián)網(wǎng)、電子郵件的用戶數(shù)據(jù)留存兩年。2015年9月5日,我國發(fā)布了《關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知》,提出要加強(qiáng)大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)安全問題研究和基于大數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)研究,落實(shí)信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等網(wǎng)絡(luò)安全制度,建立健全大數(shù)據(jù)安全保障體系。
各國“施法”保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全
總體來看,為應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)數(shù)據(jù)安全問題,國際社會(huì)正在從法律法規(guī)、戰(zhàn)略政策、標(biāo)準(zhǔn)評(píng)估、管理體制等方面下手,全面開展數(shù)據(jù)安全保障實(shí)踐。
在法律法規(guī)方面,各國通過修訂原有立法和制定新法為網(wǎng)絡(luò)數(shù)據(jù)安全管理提供強(qiáng)有力的立法保障。英國對《2000年調(diào)查權(quán)規(guī)則法案》進(jìn)行修正,改為《2014年數(shù)據(jù)留存和調(diào)查權(quán)法案》,要求通信服務(wù)提供商保留用戶通信數(shù)據(jù)長達(dá)12個(gè)月,并且在執(zhí)法部門提出合法要求時(shí)予以披露。美國于2015年6月2日,正式出臺(tái)《美國自由法案》,賦予電信運(yùn)營商承接情報(bào)執(zhí)法機(jī)構(gòu)的電話數(shù)據(jù)搜集和留存職責(zé),必要時(shí)按照特定程序向政府機(jī)構(gòu)提供。2015年12月15日,歐委會(huì)與歐洲議會(huì),歐盟理事會(huì)三方機(jī)構(gòu)在立法進(jìn)程的最后階段就歐盟數(shù)據(jù)保護(hù)改革達(dá)成一致,核心改革成果——《歐盟數(shù)據(jù)保護(hù)總規(guī)》即將正式頒布,新規(guī)繼續(xù)堅(jiān)守保護(hù)公民基本權(quán)利理念,全面提升個(gè)人數(shù)據(jù)保護(hù)力度,開創(chuàng)性引入數(shù)據(jù)可攜權(quán)、被遺忘權(quán),并特別針對大數(shù)據(jù)背景下的數(shù)據(jù)分析、畫像活動(dòng),予以嚴(yán)格規(guī)制。
在戰(zhàn)略政策方面,各國頂層設(shè)計(jì)與政策落實(shí)并重,先后出臺(tái)國家級(jí)戰(zhàn)略規(guī)劃,在促進(jìn)數(shù)據(jù)發(fā)展的同時(shí)兼顧安全保護(hù)。英國于 2012年6月發(fā)布《開放數(shù)據(jù)白皮書》,推進(jìn)公共服務(wù)數(shù)據(jù)的開放;2013年10月31日又發(fā)布了《把握數(shù)據(jù)帶來的機(jī)遇:英國數(shù)據(jù)能力戰(zhàn)略》,制定了提升數(shù)據(jù)分析技術(shù)、加強(qiáng)國家基礎(chǔ)設(shè)施建設(shè)、推動(dòng)研究與產(chǎn)業(yè)合作、確保數(shù)據(jù)被安全存取和共享等舉措。日本2013年發(fā)布《創(chuàng)建最尖端IT戰(zhàn)略》,明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護(hù)的國家戰(zhàn)略;印度2014年國家電信安全政策指導(dǎo)意見草案對移動(dòng)數(shù)據(jù)保護(hù)作出規(guī)定;美國白宮2015年發(fā)布白皮書《抓住機(jī)遇,守護(hù)價(jià)值》,總結(jié)大數(shù)據(jù)中隱私保護(hù)政策,提出發(fā)展大數(shù)據(jù)的具體舉措和安全保障,加強(qiáng)數(shù)據(jù)管理。
在管理體制方面,各國主要分為政府主導(dǎo)和行業(yè)自律兩種模式進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)管理。政府主導(dǎo)型監(jiān)管體制是最主要的管理模式,通常有較成體系的保護(hù)機(jī)制,如德國專門特設(shè)保護(hù)機(jī)關(guān)聯(lián)邦數(shù)據(jù)保護(hù)委員會(huì),荷蘭專門特設(shè)保護(hù)機(jī)關(guān)為數(shù)據(jù)保護(hù)局以及韓國行政安全部和韓國通信委員會(huì)共同承擔(dān)數(shù)據(jù)安全行政監(jiān)管職能。行業(yè)自律型監(jiān)管體制的典型代表為美國。美國的監(jiān)管體制可細(xì)分為以下兩種模式:一是建議性的行業(yè)指引,由行業(yè)組織或商業(yè)實(shí)體制定行為指引或隱私標(biāo)準(zhǔn)為行業(yè)內(nèi)的隱私保護(hù)提供示范;二是網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃,要求具有隱私認(rèn)證標(biāo)志的網(wǎng)站必須遵守在線隱私資料收集的行為規(guī)則。
此外,各國還在標(biāo)準(zhǔn)體系、技術(shù)手段、安全評(píng)估等方面采取了相關(guān)措施。
啟示:安全與發(fā)展并重
在我國的“互聯(lián)網(wǎng)+”時(shí)代,互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)的深度融合,使得操作系統(tǒng)更加復(fù)雜,各種數(shù)據(jù)海量增長,新情況新問題層出不窮,網(wǎng)絡(luò)數(shù)據(jù)安全和用戶信息安全問題將更加突出。要堅(jiān)持安全與發(fā)展并重的思路,重視互聯(lián)網(wǎng)發(fā)展帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。
一是要建設(shè)完善網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)測評(píng)估、監(jiān)督管理、標(biāo)準(zhǔn)認(rèn)證和創(chuàng)新能力體系,加強(qiáng)針對信息系統(tǒng)設(shè)施、新型領(lǐng)域的安全監(jiān)測評(píng)估和責(zé)任管理,推進(jìn)安全標(biāo)準(zhǔn)的研究制定和實(shí)施。初步建立適應(yīng)于發(fā)展需求的網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)管制度和標(biāo)準(zhǔn)體系,提升“互聯(lián)網(wǎng)+”安全保障能力。
二是充分重視互聯(lián)網(wǎng)與政務(wù)、醫(yī)療、金融等各領(lǐng)域融合帶來的數(shù)據(jù)安全風(fēng)險(xiǎn),完善網(wǎng)絡(luò)數(shù)據(jù)保護(hù)體系,加強(qiáng)安全管理和技術(shù)措施,包括建立數(shù)據(jù)分級(jí)分類安全管理制度,加強(qiáng)跨境數(shù)據(jù)流動(dòng)評(píng)估認(rèn)證制度,以及明確相關(guān)主體數(shù)據(jù)安全保護(hù)責(zé)任。