大数据时代,数据不仅成为重要的商业资源和生产要素,更是国家基础性战略资源。
与此同时,新技术和新应用的迭代更新也不断催生出新风险,数据安全风险日益升级,成为建设产业健康生态、保障社会公共安全和国家安全的制约因素。大数据安全已然成为超越个体,关涉国家安全的核心环节。本文将从安全视角出发,剖析大数据治理的安全面向,介绍国内外大数据治理态势,同时分析当前我国互联网企业大数据合规所面临的挑战,为企业合规提供法律、管理和技术层面的综合建议。
一、大数据治理的安全面向
从工业社会到信息社会,社会生产力、生产关系发生了重大变迁。其中一个重要特点在于,网络成为重要的生产工具,数据成为重要的生产资料。传统的信息安全理论重点关注数据作为资料的保密性、完整性和可用性(即“三性”)等静态安全。其受到的主要威胁在于数据泄露、篡改、灭失所导致的“三性”破坏。随着信息化和信息技术的进一步发展,信息社会从小数据时代进入到更高级的形态大数据时代。在此阶段,数据质量和价值通过共享、交易等流通方式价值得到更大程度的实现和提升,数据动态利用逐渐走向常态化、多元化,个人信息的权属问题和重要数据的识别问题成为这一阶段的主要争议,引发了从个人信息保护到企业数据保护、不正当竞争、著作权、网络(空间)安全等一系列法律问题。2018年,美国Facebook数据事件扭转了大众对大数据风险的传统认知,大数据风险的话题不再仅是个人和企业层面的保护问题,更是深入涉及政治权力的攫取,直接影响社会稳定和国家政治安全。
总的来说,数据从静态安全到动态利用安全的转变使得数据安全不再只是确保数据本身的保密性、完整性和可用性,更承载着个人、企业、国家等多方主体的利益诉求,关涉个人权益保障、企业知识产权保护、市场秩序维持、产业健康生态建立、社会公共安全乃至国家安全维护等诸多数据治理问题。
二、安全视野下的大数据治理态势
近年来,国际社会进入了大数据安全立法的快速发展期,国内层面,我国也正加紧推进和完善相应的制度建设,加强对数据生态的监管和治理。
(一)国际态势:规则体系日趋复杂
个人数据保护领域,20世纪70年代始,以欧美为代表的西方发达国家就已经开始个人数据保护的立法实践。目前,全球已有100多个国家颁布了个人数据保护或隐私法,40多个国家已出台了相应的草案。近年来,随着信息技术的发展,全球领域又掀起了个人数据保护立法改革浪潮。2018年,以欧盟正式施行的《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)和美国加州颁布的突破性立法《加州消费者隐私法》为代表,全球个人数据保护整体水平日益提升,监管力度日趋增强。
数据本地化和跨境传输领域,当前无论是基于执法便利还是基于保障国家安全的考量,数据本地化和跨境传输已经成为全球数据监管的一大重点。除信息化水平较低的非洲外,绝大多数国家均已实施了不同程度的数据本地化政策。具体来看,欧盟通过GDPR及隐私盾协议等建立了以个人数据保护为基础的数据跨境传输体系。根据GDPR的规定,一般情形下,个人数据仅能向经欧盟委员会认定为“为个人数据提供充分保护”的第三国传输。美国方面,对外,美国坚决反对数据本地化,主张数据在全球市场的自由流动。对内,美国也针对部分数据实施本地化要求。2015年,美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据。2016年,美国国家税务局发布规定要求税务信息系统应当位于美国境内。
执法数据跨境调取领域,犯罪数据全球化存储趋势导致执法部门跨境获取数据的需求日益增加。执法数据的跨境调取直接关系一国的数据主权、司法主权,成为各国制衡与博弈的新焦点。2018年3月,美国总统特朗普签署了《合法使用境外数据明确法》(Clarify Lawful Overseas Use of Data Act,又称“CLOUD法”)。该法适用长臂管辖原则,明确美国执法机构有权直接调取美国境外数据。在美国现行的司法协助程序之外,该法提出了“执行协议”模式,允许与美国签订协议的国家直接向美国境内的企业调取数据。2018年4月,为应对CLOUD法对本区域人权保障以及司法主权等带来的冲击,欧盟委员会表示拟制定新法,以便执法及司法当局获取电子证据。与CLOUD法类似,欧盟将不以数据存储位置作为管辖权的决定因素,只要满足相关条件,欧盟成员国的执法或司法当局可直接要求在欧盟境内的服务提供商提交电子证据。
整体来看,各国立法规范逐步增多,监管效力不断增强。各国的立法目标不仅在于个体权益的保障,更是关涉国家主权、国家利益在国际空间的博弈和角逐。为争夺数据话语权,扩张本国法律的适用范围,积极推行符合本国利益诉求的国际社会数据规则体系成为当前国际的立法趋势。
(二)国内态势:管理体系逐步完善
目前,我国大数据安全领域顶层制度设计已经基本完成,配套制度正在不断推进,相关执法实践也逐步走向常态化,诉讼案例逐渐丰富。整体来看,我国的大数据安全管理体系正在逐步完善。
立法层面,近年来,我国不断通过修改现行法律或颁布新规定等举措加强对网络安全生态的治理,内容覆盖个人信息保护、数据跨境与本地传输等领域。个人信息保护方面,自2003年篮球比分信息化办公室部署个人信息保护法立法研究工作,到2018年十三届全国人大常委会将《个人信息保护法》正式列入立法规划,我国对于个人信息保护立法研究已经历经了15年。在这期间,我国《全国人大常委会关于加强网络信息保护的决定》《消费者权益保护法》《刑法》等法律法规中均对个人信息保护做出了规定。2017年,个人信息保护列入了《民法总则》《网络安全法》。整体来看,我国个人信息保护立法层级逐步提升,体系逐渐完善,保护力度逐渐向国际看齐。数据本地化与跨境传输方面,我国《网络安全法》正式从立法层面确立了关键信息基础设施中的个人数据和重要数据的本地化存储和跨境传输原则,并正在推动《个人信息和重要数据出境安全评估办法》《信息安全技术数据出境安全评估指南》等诸多配套规范以提高该规定的可操作性。
执法层面,网络安全法实施后,相关执法全面铺开,处罚案例相继涌现。除常规性执法外,主管部门还开展了多项专项行动和执法检查。2017年底全国人大常委会开展对网络安全法及《全国人民代表大会常务委员会关于加强网络信息保护的决定》的“一法一决定”执法检查;2018年公安部部署了打击整治网络违法犯罪“净网2018”专项行动;司法层面,民事诉讼方面,我国先后出现了朱烨诉百度隐私权侵权案、周盛春诉阿里巴巴案、任甲玉诉百度案等。刑事诉讼方面,《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。
三、安全视野下的大数据合规挑战
无论是国内还是国际领域,大数据安全的监管态势均呈现出不断增强的趋势。在此背景下,大数据安全成为企业合规的重要内容。
(一)新技术冲击传统合规体系
当下,云计算、物联网、移动互联网等新技术新应用使得数据收集变得无处不在。通过数据分析和数据挖掘等信息技术,非个人数据的聚合可形成具有识别性的数据,从碎片化的、不具有敏感性的数据中也可以分析出敏感的信息,海量数据的聚合甚至可以分析出关涉国家安全的信息。这一系列的现象导致个人数据与非个人数据、敏感数据与非敏感数据、国家秘密与非国家秘密等边界逐渐模糊,合规边界也随之变得难以界定。
与传统技术采用的集中式存储不同,云计算、移动互联网等采用的分布式存储使得传统的网络安全边界变得模糊,传统网络环境下的统一的、集中的安全管理模式已经不能适应新环境下的数据安全需求。此外,大数据技术发展催生出新型高级的网络攻击手段,例如针对大数据平台的高级持续性威胁(APT)攻击和大规模分布式拒绝服务(DDoS)攻击时有发生,导致传统检测、防御技术无法有效抵御外界攻击。整体来看,新技术新应用一方面催生着新威胁形态,为数据合规带来新风险;另一方面导致传统数据合规策略的有效性降低甚至失效。
(二)全球化监管带来合规难题
国内层面,目前虽然我国网络安全方面的顶层制度设计已经基本完成,网络安全法的颁布也在很大程度上填补了立法空缺,但在整个网络安全领域我国仍存在着立法不足的情况,例如个人信息保护。在具体实施方面,作为网络安全基本大法的网络安全法配套制度尚不健全,可操作性仍有待加强。此外,作为新实施的法律,网络安全法的执法案例尚不充足,执法尺度仍需进一步探索和统一。整体来看,尚不完善的规则设计和执行机制难以为企业数据合规提供有效指引。
国际层面,通观国际立法趋势,不难发现数据已成为国际空间竞相争夺的战略性资源,美欧等诸多国家和地区已经纷纷出台举措抢占国际空间数据规则的制定权,建立以本国或本区域利益为中心的数据规则体系。随着国际博弈的加剧,国际法律冲突也逐渐走向常态化。网络和数据的跨国界性往往使得企业需要应对不同规则体系的合规,大大增加了企业合规的复杂性。在国际法律冲突的情形下,企业合规将陷入两难境地。例如,欧盟GDPR、美国CLOUD法与我国网络安全法第37条的冲突可能会导致企业在数据出境方面面临巨大的合规困境。
四、安全视角下的大数据合规应对
面对大数据安全合规的诸多挑战,企业应当从法律、管理、技术3个角度建立起一套全面的,以法律为依据、以管理为核心、以技术为支撑的数据安全合规体系。
(一)法律层面:加强国内外立法研判
目前,我国正处于数据安全立法和实践的快速发展期,同时也是探索期。在此阶段,诸多数据安全相关法律以及配套制度陆续制定或出台。为及时有效应对,企业应当持续跟进相关立法动态。同时关注、研究相关的执法案例,加强与行业部门、监管部门的沟通与协作,以准确把握立法要旨,掌握合规要点。
此外,随着数据在全球范围内的自由流动,对于数据的监管突破原有的属地管辖已成国际立法趋势。数据保护已不再是一个单一的国内立法问题。对于诸多跨国企业或者有意于提供国际数据服务的企业而言,数据合规工作不仅需要着眼于本国立法,还需以全球化的视野关注国际立法动态和趋势,提前做好立法研判和业务布局。
(二)管理层面:完善数据安全内控机制
完善的内控机制是数据安全合规的重要环节。企业应当建立完善的、标准化的、覆盖数据全生命周期的数据安全管理机制。
首先,重视数据本身的安全。数据安全不仅包括数据的静态安全,还包括数据的动态安全。因此,企业应当建立起对数据全生命周期使用情况的监控、审计、评估机制。根据数据的类型、重要性、敏感度、面临的风险程度等因素的不同,进行数据分级分类,以采取适宜的安全保障措施;建立起完善的安全事件应急响应机制来及时有效地应对数据安全事件。
其次,重视系统安全和供应链安全。数据安全不仅包括数据本体的安全,系统和供应链的安全也将直接影响到位于该系统中的数据安全。企业在系统设计之初,或者采购过程中就应当将数据安全因素考虑在内。
此外,重视人在数据安全管理中的重要性。无论是近期发生的腾讯云数据丢失事件和华住集团数据泄露事件,还是之前发生的京东内部数据泄露事件,不难看出,诸多数据安全事件的发生是人为因素导致。员工的合规意识是决定企业合规成败的关键,自上而下,以人为本,数据安全管理上,人是最大的风险,也是最好的尺度。因此,在数据安全管理机制的建设中,企业应当强化权限管理、明确数据安全管理的角色和责任、加强人员数据安全知识的培训等,建立起完善的数据安全组织机制和人员管理机制。
(三)技术层面:提升数据安全防护能力
面对快速更新迭代的新技术,传统的数据安全防护措施已经暴露出不足。为有效应对,企业应当加强对前沿数据安全防护技术的研发。通过加强防病毒、防攻击、防泄露、数据加密、脱敏、漏洞发现和修补,提升网络安全态势感知能力、加强网络系统的抗灾、减灾和恢复能力等一系列的技术手段,建立起一套有效的从平台到数据,从运行安全到数据安全的技术防护体系。
(原载于《保密科学技术》杂志2018年10月刊)