文 | 清華大學教授�����、智能法治研究院院長 申衛星為深入貫徹黨中央、國務院決策部署�����,加快構建數據基礎制度體系�����,近期�����,國家發展改革委、國家數據局等部門聯合印發了《關于完善數據流通安全治理 更好促進數據要素市場化價值化的實施方案》(以下簡稱《方案》)。
數據安全和數據發展是數字經濟一體之兩翼�����、驅動之雙輪。沒有完善�����、高效的數據安全治理機制�����,數據流通就始終面臨著被泄露�����、篡改、破壞�����、濫用的威脅�����,難以持續�����、健康發展;數據安全治理制度如果無法適應數據流通發展特征�����,背離數據要素市場培育趨勢�����,也會阻礙以數據要素為協同要素的新質生產力的發展。加強數據安全治理建設,不僅是維護數據安全和國家安全的強烈要求,是國家總體安全觀的題中之義,更是推動數據流通和數字經濟健康�����、可持續發展的必然選擇�����。一是數據流通安全治理制度承擔著兜底線�����、樹紅線的保障功能�����。數據安全治理是數據治理系統思維的具體落點。不能以破壞促發展�����,就不能以犧牲在先權利�����、公共利益與國家利益為代價換取數據非法違規流通交易�����。特別是,數據因其無形性�����、難以追溯等特征�����,面臨更嚴峻、更復雜的數據安全風險,更易縱容數據處理者的非法交易行為�����。近年來�����,普遍存在因數據非法流通導致個人隱私�����、商業秘密泄露等問題,亟需一個有效、完善的數據安全治理機制明確“自由”和“禁止”邊界�����,規范各類數據流通行為�����,進而保障數據流通發展在法治軌道上有序進行�����。二是數據流通安全治理制度是構建數據有效市場的重要基石,是解決當前數據市場失靈現象的關鍵抓手�����。高效的數據流通安全治理制度不會阻礙數據流通�����,相反能夠幫助構建數據交易信任,讓數據在透明�����、安全�����、有序的市場環境中實現市場化配置�����。當前�����,數據市場廣泛存在“供不出”“用不好”問題,其中一個重要因素是用數方難以辨別交易數據是否安全合規�����,供數方也擔心所交易數據日后被違法違規使用�����。通過明晰數據流通中的安全規則�����,能夠為數據合規交易構建一套透明標準�����,進而界分供需雙方義務范圍和邊界�����,讓數據流通更好在“陽光下”進行。
三是建立健全數據流通安全治理制度是踐行我國總體國家安全觀的必然成果�����,是構建全球數據安全命運共同體的必然要求�����。隨著信息技術的快速發展和數字化轉型的深入推進�����,數據已成為國家基礎性戰略資源。黨的二十屆三中全會審議通過的《中共中央關于進一步全面深化改革�����、推進中國式現代化的決定》提出�����,提升數據安全治理監管能力,《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱“數據二十條”)也將安全治理列為數據要素四大基礎制度之一,并強調“構建適應數據特征�����、符合數字經濟發展規律�����、保障國家數據安全�����、彰顯創新引領的數據基礎制度”。同時,數據流通安全治理已然成為各國關注的重要議題。數據流通安全制度不僅是完善國家安全治理體系的必然要求�����,也將為全球數據治理做出更大的貢獻�����,為全球數據安全治理貢獻中國智慧和中國方案�����。
從《方案》提到的主要任務看�����,第1點至第3點區分了企業數據、公共數據及個人數據3類數據�����,明確各類數據流通中的安全治理規則�����;第4點聚焦安全責任分配,界分數據流通中各數據參與方的義務和責任邊界;第5點強化對數據參與方的技術要求�����,明確數據流通中數據處理者應采取與其分類分級保護要求相適應的必要安全技術措施�����;第6點從安全產業發展層面�����,提出豐富數據安全供給生態鏈,培育數據安全服務市場�����;第7點從違規違法處置層面�����,嚴厲打擊數據濫用風險�����,提高預防、治理、管控、懲戒數據違法違規行為的能力和成效�����。以上7點涵蓋了責任分配�����、技術保障、產業發展以及違規違法處置等多個層面�����,將安全貫穿數據供給�����、流通�����、使用全過程,構建了一個多維度�����、立體化的數據安全治理體系�����,有助于實現數據安全與數據流通發展的動態平衡�����。一是數據分級分類治理是數據安全治理的核心。根據數據分類要求�����,把該管的管住�����、該放的放開�����。對企業數據,以鼓勵開發利用為導向�����,采取自主申報和標準識別方式�����,落實企業安全管理責任�����,強調數據流通中的監督管理。對公共數據�����,要從制度層面建立數據安全管理風險評估制度�����,落實數據提供方�����、數據接收方以及授權運營方各環節管理職責�����,以有效解決大量數據泄漏案件中數據提供方和數據接收方責任不清晰的問題�����,充分促進數據價值釋放。對個人數據�����,既要防范隱私泄露和個人信息濫用�����,嚴格遵循《個人信息保護法》知情同意規則�����,采集、獲取數據符合公平、誠信�����、自愿原則�����;又要遵循數據特征�����,細化個人信息匿名化標準和規范�����。當前雖然存在個人信息匿名化處理要求�����,但因內涵和具體標準等存在一定爭議�����,在實踐中尚未真正落地。《方案》出臺后,應在各類數據使用的典型場景中明確匿名化規則和流通環境要求�����,指引數據處理者采取可負擔�����、具有可操作性的個人信息匿名化處理技術方案�����。二是完善具有操作性的數據流通安全責任界定機制。供需雙方的數據安全責任邊界模糊是制約數據流通的重要問題�����。目前發生數據泄露事件后�����,往往會通過層層傳導追溯到數據提供方,即使數據提供方事前是合規的�����,也容易因“對業務或合作方監管不到位”被問責�����?����;\統的“誰控制,誰負責”的責任認定思路難以準確應用于數據流通生命周期�����,對此�����,應該一方面堅持合同約定優先�����,支持供需方基于意思自治約定權責;另一方面在重點數據流通場景中探索有關安全治理標準和安全責任界定機制等新型治理模式�����,從試點中提煉出可復制推廣的成熟經驗�����,發揮其引領示范和輻射帶動作用。同時運用區塊鏈、數字水印等配套技術高效支撐數據流通過程中的取證和定責�����,實現權責分配透明化�����。三是構建支撐數據全生命周期安全的技術體系�����,特別是通過搭建專門負責數據安全服務的生態系統和市場體系�����,營造創新環境,實現數據安全治理和數據市場發展的協同�����。“數據二十條”提出�����,圍繞促進數據要素合規高效�����、安全有序流通和交易需要�����,應當培育一批負責合規認證�����、安全審計、風險評估的數據商和第三方專業服務機構,為數據流通提供合規化、標準化服務,提升數據流通和交易全流程服務能力�����?����!斗桨浮窂娬{繁榮數據安全服務生態�����,通過培育數據安全服務企業、豐富數據安全產品,來優化數據安全治理的供給結構和覆蓋范圍�����,同時將數據安全治理與業務場景緊密融合�����,以數據流通安全技術創新帶動數據安全服務市場有序發展�����。通過繁榮數據安全服務生態�����,積極防范和化解各種數據風險�����,形成政府監管與市場自律、法治與行業自治協同的數據安全治理結構�����,實現安全與發展的“雙向奔赴”�����。四是加強數據流通安全的執法保障�����。既要強化個人信息保護和反壟斷反不正當競爭執法�����,依法嚴厲打擊非法數據流通交易,加強執法協同�����,形成監管合力�����,維護個人、組織合法權益和市場公平競爭秩序�����;又要貫徹總體國家安全觀�����,加強數據安全與政治安全�����、軍事安全、科技安全�����、經濟安全等協同治理的系統思維�����,根據國家數據安全工作協調機制的統籌協調�����,防范可能危害國家安全和經濟社會穩定的數據安全風險。
返回列表
