中國信息通信研究院互聯(lián)網(wǎng)法律研究中心 何波
近幾年以來,“大數(shù)據(jù)”和“網(wǎng)絡數(shù)據(jù)”一時風光無限,成為各國政府、企業(yè)、科研機構等競相追逐的“明星”。而隨著移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)為代表的新一代信息通信技術與經(jīng)濟社會各領域、各行業(yè)的深度融合和跨界融合,相應的網(wǎng)絡數(shù)據(jù)安全管理問題也日益凸顯。
什么是網(wǎng)絡數(shù)據(jù)?
我國“網(wǎng)絡數(shù)據(jù)”的概念第一次出現(xiàn)在全國人大常委會2015年公布的《中華人民共和國網(wǎng)絡安全法(草案)》(以下簡稱《草案》)中。《草案》第六十五條第四款規(guī)定:“網(wǎng)絡數(shù)據(jù),是指通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。”
國外法律規(guī)定中并無“網(wǎng)絡數(shù)據(jù)”的定義,各國數(shù)據(jù)保護法都只對數(shù)據(jù)以及個人數(shù)據(jù)等相關概念進行了定義。例如英國《數(shù)據(jù)保護法》,其只對數(shù)據(jù)下了定義,數(shù)據(jù)是指根據(jù)發(fā)出的處理指令自行運行的設備所處理的信息,為了由上述設備加以處理而記錄的信息以及作為相關存檔系統(tǒng)的組成部分或為了成為相關存檔系統(tǒng)的組成部分而記錄的信息。
在實踐中,網(wǎng)絡數(shù)據(jù)還經(jīng)常和大數(shù)據(jù)混用。維基百科將大數(shù)據(jù)定義為一個復雜而龐大的數(shù)據(jù)集。香山科學會議(技術型定義)則認為大數(shù)據(jù)是來源多樣、類型多樣、大而復雜、具有潛在價值,但難以在期望時間內(nèi)處理和分析的數(shù)據(jù)集。從定義理解來看,大數(shù)據(jù)是由無數(shù)的網(wǎng)絡數(shù)據(jù)組成的數(shù)據(jù)集,通常二者也很難嚴格區(qū)分開來。
網(wǎng)絡數(shù)據(jù)安全成為全球熱點
隨著網(wǎng)絡數(shù)據(jù)價值的不斷增加,針對網(wǎng)絡數(shù)據(jù)的安全威脅也與日俱增,給數(shù)據(jù)安全保障帶來了嚴峻的挑戰(zhàn),使很多國家對網(wǎng)絡數(shù)據(jù)使用的態(tài)度發(fā)生了轉(zhuǎn)變。“棱鏡”事件前,網(wǎng)絡數(shù)據(jù)開放逐年深化,針對跨境流動等的國際合作不斷推進,“注重開放”成為國際網(wǎng)絡空間數(shù)據(jù)使用的主流態(tài)度;而“后棱鏡”時代,各國開始明確并不斷強化網(wǎng)絡數(shù)據(jù)安全保護,加強網(wǎng)絡數(shù)據(jù)安全管理。
2015年9月1日,俄羅斯第149-FZ號聯(lián)邦法《關于信息、信息技術與信息保護》生效。該項法律規(guī)定俄羅斯公民的個人信息數(shù)據(jù)只能存于俄境內(nèi)的服務器中,以實現(xiàn)數(shù)據(jù)本地化。2015年10月6日,歐盟最高司法機構歐洲法院作出裁決,認定歐盟委員會2000年通過的關于認可美歐安全港框架的決定(2000/520/EC)無效,使得美歐之間最重要的跨境數(shù)據(jù)傳輸方式喪失合法性基礎。2015年10月,澳大利亞通過《電信(監(jiān)控和接入)修正(數(shù)據(jù)留存)提案》,對數(shù)據(jù)留存做出強制性法律規(guī)定,要求電信運營商對電話、互聯(lián)網(wǎng)、電子郵件的用戶數(shù)據(jù)留存兩年。2015年9月5日,我國發(fā)布了《關于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》,提出要加強大數(shù)據(jù)環(huán)境下的網(wǎng)絡安全問題研究和基于大數(shù)據(jù)的網(wǎng)絡安全技術研究,落實信息安全等級保護、風險評估等網(wǎng)絡安全制度,建立健全大數(shù)據(jù)安全保障體系。
各國“施法”保護網(wǎng)絡數(shù)據(jù)安全
總體來看,為應對日益嚴峻的網(wǎng)絡數(shù)據(jù)安全問題,國際社會正在從法律法規(guī)、戰(zhàn)略政策、標準評估、管理體制等方面下手,全面開展數(shù)據(jù)安全保障實踐。
在法律法規(guī)方面,各國通過修訂原有立法和制定新法為網(wǎng)絡數(shù)據(jù)安全管理提供強有力的立法保障。英國對《2000年調(diào)查權規(guī)則法案》進行修正,改為《2014年數(shù)據(jù)留存和調(diào)查權法案》,要求通信服務提供商保留用戶通信數(shù)據(jù)長達12個月,并且在執(zhí)法部門提出合法要求時予以披露。美國于2015年6月2日,正式出臺《美國自由法案》,賦予電信運營商承接情報執(zhí)法機構的電話數(shù)據(jù)搜集和留存職責,必要時按照特定程序向政府機構提供。2015年12月15日,歐委會與歐洲議會,歐盟理事會三方機構在立法進程的最后階段就歐盟數(shù)據(jù)保護改革達成一致,核心改革成果——《歐盟數(shù)據(jù)保護總規(guī)》即將正式頒布,新規(guī)繼續(xù)堅守保護公民基本權利理念,全面提升個人數(shù)據(jù)保護力度,開創(chuàng)性引入數(shù)據(jù)可攜權、被遺忘權,并特別針對大數(shù)據(jù)背景下的數(shù)據(jù)分析、畫像活動,予以嚴格規(guī)制。
在戰(zhàn)略政策方面,各國頂層設計與政策落實并重,先后出臺國家級戰(zhàn)略規(guī)劃,在促進數(shù)據(jù)發(fā)展的同時兼顧安全保護。英國于 2012年6月發(fā)布《開放數(shù)據(jù)白皮書》,推進公共服務數(shù)據(jù)的開放;2013年10月31日又發(fā)布了《把握數(shù)據(jù)帶來的機遇:英國數(shù)據(jù)能力戰(zhàn)略》,制定了提升數(shù)據(jù)分析技術、加強國家基礎設施建設、推動研究與產(chǎn)業(yè)合作、確保數(shù)據(jù)被安全存取和共享等舉措。日本2013年發(fā)布《創(chuàng)建最尖端IT戰(zhàn)略》,明確闡述了開放公共數(shù)據(jù)和大數(shù)據(jù)保護的國家戰(zhàn)略;印度2014年國家電信安全政策指導意見草案對移動數(shù)據(jù)保護作出規(guī)定;美國白宮2015年發(fā)布白皮書《抓住機遇,守護價值》,總結(jié)大數(shù)據(jù)中隱私保護政策,提出發(fā)展大數(shù)據(jù)的具體舉措和安全保障,加強數(shù)據(jù)管理。
在管理體制方面,各國主要分為政府主導和行業(yè)自律兩種模式進行網(wǎng)絡數(shù)據(jù)管理。政府主導型監(jiān)管體制是最主要的管理模式,通常有較成體系的保護機制,如德國專門特設保護機關聯(lián)邦數(shù)據(jù)保護委員會,荷蘭專門特設保護機關為數(shù)據(jù)保護局以及韓國行政安全部和韓國通信委員會共同承擔數(shù)據(jù)安全行政監(jiān)管職能。行業(yè)自律型監(jiān)管體制的典型代表為美國。美國的監(jiān)管體制可細分為以下兩種模式:一是建議性的行業(yè)指引,由行業(yè)組織或商業(yè)實體制定行為指引或隱私標準為行業(yè)內(nèi)的隱私保護提供示范;二是網(wǎng)絡隱私認證計劃,要求具有隱私認證標志的網(wǎng)站必須遵守在線隱私資料收集的行為規(guī)則。
此外,各國還在標準體系、技術手段、安全評估等方面采取了相關措施。
啟示:安全與發(fā)展并重
在我國的“互聯(lián)網(wǎng)+”時代,互聯(lián)網(wǎng)與傳統(tǒng)產(chǎn)業(yè)的深度融合,使得操作系統(tǒng)更加復雜,各種數(shù)據(jù)海量增長,新情況新問題層出不窮,網(wǎng)絡數(shù)據(jù)安全和用戶信息安全問題將更加突出。要堅持安全與發(fā)展并重的思路,重視互聯(lián)網(wǎng)發(fā)展帶來的數(shù)據(jù)安全風險。
一是要建設完善網(wǎng)絡數(shù)據(jù)安全監(jiān)測評估、監(jiān)督管理、標準認證和創(chuàng)新能力體系,加強針對信息系統(tǒng)設施、新型領域的安全監(jiān)測評估和責任管理,推進安全標準的研究制定和實施。初步建立適應于發(fā)展需求的網(wǎng)絡數(shù)據(jù)安全監(jiān)管制度和標準體系,提升“互聯(lián)網(wǎng)+”安全保障能力。
二是充分重視互聯(lián)網(wǎng)與政務、醫(yī)療、金融等各領域融合帶來的數(shù)據(jù)安全風險,完善網(wǎng)絡數(shù)據(jù)保護體系,加強安全管理和技術措施,包括建立數(shù)據(jù)分級分類安全管理制度,加強跨境數(shù)據(jù)流動評估認證制度,以及明確相關主體數(shù)據(jù)安全保護責任。