大數(shù)據(jù)時(shí)代,數(shù)據(jù)不僅成為重要的商業(yè)資源和生產(chǎn)要素,更是國家基礎(chǔ)性戰(zhàn)略資源。
與此同時(shí),新技術(shù)和新應(yīng)用的迭代更新也不斷催生出新風(fēng)險(xiǎn),數(shù)據(jù)安全風(fēng)險(xiǎn)日益升級,成為建設(shè)產(chǎn)業(yè)健康生態(tài)、保障社會(huì)公共安全和國家安全的制約因素。大數(shù)據(jù)安全已然成為超越個(gè)體,關(guān)涉國家安全的核心環(huán)節(jié)。本文將從安全視角出發(fā),剖析大數(shù)據(jù)治理的安全面向,介紹國內(nèi)外大數(shù)據(jù)治理態(tài)勢,同時(shí)分析當(dāng)前我國互聯(lián)網(wǎng)企業(yè)大數(shù)據(jù)合規(guī)所面臨的挑戰(zhàn),為企業(yè)合規(guī)提供法律、管理和技術(shù)層面的綜合建議。
一、大數(shù)據(jù)治理的安全面向
從工業(yè)社會(huì)到信息社會(huì),社會(huì)生產(chǎn)力、生產(chǎn)關(guān)系發(fā)生了重大變遷。其中一個(gè)重要特點(diǎn)在于,網(wǎng)絡(luò)成為重要的生產(chǎn)工具,數(shù)據(jù)成為重要的生產(chǎn)資料。傳統(tǒng)的信息安全理論重點(diǎn)關(guān)注數(shù)據(jù)作為資料的保密性、完整性和可用性(即“三性”)等靜態(tài)安全。其受到的主要威脅在于數(shù)據(jù)泄露、篡改、滅失所導(dǎo)致的“三性”破壞。隨著信息化和信息技術(shù)的進(jìn)一步發(fā)展,信息社會(huì)從小數(shù)據(jù)時(shí)代進(jìn)入到更高級的形態(tài)大數(shù)據(jù)時(shí)代。在此階段,數(shù)據(jù)質(zhì)量和價(jià)值通過共享、交易等流通方式價(jià)值得到更大程度的實(shí)現(xiàn)和提升,數(shù)據(jù)動(dòng)態(tài)利用逐漸走向常態(tài)化、多元化,個(gè)人信息的權(quán)屬問題和重要數(shù)據(jù)的識(shí)別問題成為這一階段的主要爭議,引發(fā)了從個(gè)人信息保護(hù)到企業(yè)數(shù)據(jù)保護(hù)、不正當(dāng)競爭、著作權(quán)、網(wǎng)絡(luò)(空間)安全等一系列法律問題。2018年,美國Facebook數(shù)據(jù)事件扭轉(zhuǎn)了大眾對大數(shù)據(jù)風(fēng)險(xiǎn)的傳統(tǒng)認(rèn)知,大數(shù)據(jù)風(fēng)險(xiǎn)的話題不再僅是個(gè)人和企業(yè)層面的保護(hù)問題,更是深入涉及政治權(quán)力的攫取,直接影響社會(huì)穩(wěn)定和國家政治安全。
總的來說,數(shù)據(jù)從靜態(tài)安全到動(dòng)態(tài)利用安全的轉(zhuǎn)變使得數(shù)據(jù)安全不再只是確保數(shù)據(jù)本身的保密性、完整性和可用性,更承載著個(gè)人、企業(yè)、國家等多方主體的利益訴求,關(guān)涉?zhèn)人權(quán)益保障、企業(yè)知識(shí)產(chǎn)權(quán)保護(hù)、市場秩序維持、產(chǎn)業(yè)健康生態(tài)建立、社會(huì)公共安全乃至國家安全維護(hù)等諸多數(shù)據(jù)治理問題。
二、安全視野下的大數(shù)據(jù)治理態(tài)勢
近年來,國際社會(huì)進(jìn)入了大數(shù)據(jù)安全立法的快速發(fā)展期,國內(nèi)層面,我國也正加緊推進(jìn)和完善相應(yīng)的制度建設(shè),加強(qiáng)對數(shù)據(jù)生態(tài)的監(jiān)管和治理。
(一)國際態(tài)勢:規(guī)則體系日趨復(fù)雜
個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域,20世紀(jì)70年代始,以歐美為代表的西方發(fā)達(dá)國家就已經(jīng)開始個(gè)人數(shù)據(jù)保護(hù)的立法實(shí)踐。目前,全球已有100多個(gè)國家頒布了個(gè)人數(shù)據(jù)保護(hù)或隱私法,40多個(gè)國家已出臺(tái)了相應(yīng)的草案。近年來,隨著信息技術(shù)的發(fā)展,全球領(lǐng)域又掀起了個(gè)人數(shù)據(jù)保護(hù)立法改革浪潮。2018年,以歐盟正式施行的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡稱“GDPR”)和美國加州頒布的突破性立法《加州消費(fèi)者隱私法》為代表,全球個(gè)人數(shù)據(jù)保護(hù)整體水平日益提升,監(jiān)管力度日趨增強(qiáng)。
數(shù)據(jù)本地化和跨境傳輸領(lǐng)域,當(dāng)前無論是基于執(zhí)法便利還是基于保障國家安全的考量,數(shù)據(jù)本地化和跨境傳輸已經(jīng)成為全球數(shù)據(jù)監(jiān)管的一大重點(diǎn)。除信息化水平較低的非洲外,絕大多數(shù)國家均已實(shí)施了不同程度的數(shù)據(jù)本地化政策。具體來看,歐盟通過GDPR及隱私盾協(xié)議等建立了以個(gè)人數(shù)據(jù)保護(hù)為基礎(chǔ)的數(shù)據(jù)跨境傳輸體系。根據(jù)GDPR的規(guī)定,一般情形下,個(gè)人數(shù)據(jù)僅能向經(jīng)歐盟委員會(huì)認(rèn)定為“為個(gè)人數(shù)據(jù)提供充分保護(hù)”的第三國傳輸。美國方面,對外,美國堅(jiān)決反對數(shù)據(jù)本地化,主張數(shù)據(jù)在全球市場的自由流動(dòng)。對內(nèi),美國也針對部分?jǐn)?shù)據(jù)實(shí)施本地化要求。2015年,美國國防部規(guī)定所有為該部門服務(wù)的云計(jì)算服務(wù)提供商須在境內(nèi)儲(chǔ)存數(shù)據(jù)。2016年,美國國家稅務(wù)局發(fā)布規(guī)定要求稅務(wù)信息系統(tǒng)應(yīng)當(dāng)位于美國境內(nèi)。
執(zhí)法數(shù)據(jù)跨境調(diào)取領(lǐng)域,犯罪數(shù)據(jù)全球化存儲(chǔ)趨勢導(dǎo)致執(zhí)法部門跨境獲取數(shù)據(jù)的需求日益增加。執(zhí)法數(shù)據(jù)的跨境調(diào)取直接關(guān)系一國的數(shù)據(jù)主權(quán)、司法主權(quán),成為各國制衡與博弈的新焦點(diǎn)。2018年3月,美國總統(tǒng)特朗普簽署了《合法使用境外數(shù)據(jù)明確法》(Clarify Lawful Overseas Use of Data Act,又稱“CLOUD法”)。該法適用長臂管轄原則,明確美國執(zhí)法機(jī)構(gòu)有權(quán)直接調(diào)取美國境外數(shù)據(jù)。在美國現(xiàn)行的司法協(xié)助程序之外,該法提出了“執(zhí)行協(xié)議”模式,允許與美國簽訂協(xié)議的國家直接向美國境內(nèi)的企業(yè)調(diào)取數(shù)據(jù)。2018年4月,為應(yīng)對CLOUD法對本區(qū)域人權(quán)保障以及司法主權(quán)等帶來的沖擊,歐盟委員會(huì)表示擬制定新法,以便執(zhí)法及司法當(dāng)局獲取電子證據(jù)。與CLOUD法類似,歐盟將不以數(shù)據(jù)存儲(chǔ)位置作為管轄權(quán)的決定因素,只要滿足相關(guān)條件,歐盟成員國的執(zhí)法或司法當(dāng)局可直接要求在歐盟境內(nèi)的服務(wù)提供商提交電子證據(jù)。
整體來看,各國立法規(guī)范逐步增多,監(jiān)管效力不斷增強(qiáng)。各國的立法目標(biāo)不僅在于個(gè)體權(quán)益的保障,更是關(guān)涉國家主權(quán)、國家利益在國際空間的博弈和角逐。為爭奪數(shù)據(jù)話語權(quán),擴(kuò)張本國法律的適用范圍,積極推行符合本國利益訴求的國際社會(huì)數(shù)據(jù)規(guī)則體系成為當(dāng)前國際的立法趨勢。
(二)國內(nèi)態(tài)勢:管理體系逐步完善
目前,我國大數(shù)據(jù)安全領(lǐng)域頂層制度設(shè)計(jì)已經(jīng)基本完成,配套制度正在不斷推進(jìn),相關(guān)執(zhí)法實(shí)踐也逐步走向常態(tài)化,訴訟案例逐漸豐富。整體來看,我國的大數(shù)據(jù)安全管理體系正在逐步完善。
立法層面,近年來,我國不斷通過修改現(xiàn)行法律或頒布新規(guī)定等舉措加強(qiáng)對網(wǎng)絡(luò)安全生態(tài)的治理,內(nèi)容覆蓋個(gè)人信息保護(hù)、數(shù)據(jù)跨境與本地傳輸?shù)阮I(lǐng)域。個(gè)人信息保護(hù)方面,自2003年國務(wù)院信息化辦公室部署個(gè)人信息保護(hù)法立法研究工作,到2018年十三屆全國人大常委會(huì)將《個(gè)人信息保護(hù)法》正式列入立法規(guī)劃,我國對于個(gè)人信息保護(hù)立法研究已經(jīng)歷經(jīng)了15年。在這期間,我國《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者權(quán)益保護(hù)法》《刑法》等法律法規(guī)中均對個(gè)人信息保護(hù)做出了規(guī)定。2017年,個(gè)人信息保護(hù)列入了《民法總則》《網(wǎng)絡(luò)安全法》。整體來看,我國個(gè)人信息保護(hù)立法層級逐步提升,體系逐漸完善,保護(hù)力度逐漸向國際看齊。數(shù)據(jù)本地化與跨境傳輸方面,我國《網(wǎng)絡(luò)安全法》正式從立法層面確立了關(guān)鍵信息基礎(chǔ)設(shè)施中的個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的本地化存儲(chǔ)和跨境傳輸原則,并正在推動(dòng)《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》《信息安全技術(shù)數(shù)據(jù)出境安全評估指南》等諸多配套規(guī)范以提高該規(guī)定的可操作性。
執(zhí)法層面,網(wǎng)絡(luò)安全法實(shí)施后,相關(guān)執(zhí)法全面鋪開,處罰案例相繼涌現(xiàn)。除常規(guī)性執(zhí)法外,主管部門還開展了多項(xiàng)專項(xiàng)行動(dòng)和執(zhí)法檢查。2017年底全國人大常委會(huì)開展對網(wǎng)絡(luò)安全法及《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的“一法一決定”執(zhí)法檢查;2018年公安部部署了打擊整治網(wǎng)絡(luò)違法犯罪“凈網(wǎng)2018”專項(xiàng)行動(dòng);司法層面,民事訴訟方面,我國先后出現(xiàn)了朱燁訴百度隱私權(quán)侵權(quán)案、周盛春訴阿里巴巴案、任甲玉訴百度案等。刑事訴訟方面,《刑法修正案(九)》施行以來,各級公檢法機(jī)關(guān)依據(jù)修改后的刑法規(guī)定,嚴(yán)肅懲處侵犯公民個(gè)人信息犯罪,案件數(shù)量顯著增長。
三、安全視野下的大數(shù)據(jù)合規(guī)挑戰(zhàn)
無論是國內(nèi)還是國際領(lǐng)域,大數(shù)據(jù)安全的監(jiān)管態(tài)勢均呈現(xiàn)出不斷增強(qiáng)的趨勢。在此背景下,大數(shù)據(jù)安全成為企業(yè)合規(guī)的重要內(nèi)容。
(一)新技術(shù)沖擊傳統(tǒng)合規(guī)體系
當(dāng)下,云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)新應(yīng)用使得數(shù)據(jù)收集變得無處不在。通過數(shù)據(jù)分析和數(shù)據(jù)挖掘等信息技術(shù),非個(gè)人數(shù)據(jù)的聚合可形成具有識(shí)別性的數(shù)據(jù),從碎片化的、不具有敏感性的數(shù)據(jù)中也可以分析出敏感的信息,海量數(shù)據(jù)的聚合甚至可以分析出關(guān)涉國家安全的信息。這一系列的現(xiàn)象導(dǎo)致個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)與非敏感數(shù)據(jù)、國家秘密與非國家秘密等邊界逐漸模糊,合規(guī)邊界也隨之變得難以界定。
與傳統(tǒng)技術(shù)采用的集中式存儲(chǔ)不同,云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等采用的分布式存儲(chǔ)使得傳統(tǒng)的網(wǎng)絡(luò)安全邊界變得模糊,傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的統(tǒng)一的、集中的安全管理模式已經(jīng)不能適應(yīng)新環(huán)境下的數(shù)據(jù)安全需求。此外,大數(shù)據(jù)技術(shù)發(fā)展催生出新型高級的網(wǎng)絡(luò)攻擊手段,例如針對大數(shù)據(jù)平臺(tái)的高級持續(xù)性威脅(APT)攻擊和大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊時(shí)有發(fā)生,導(dǎo)致傳統(tǒng)檢測、防御技術(shù)無法有效抵御外界攻擊。整體來看,新技術(shù)新應(yīng)用一方面催生著新威脅形態(tài),為數(shù)據(jù)合規(guī)帶來新風(fēng)險(xiǎn);另一方面導(dǎo)致傳統(tǒng)數(shù)據(jù)合規(guī)策略的有效性降低甚至失效。
(二)全球化監(jiān)管帶來合規(guī)難題
國內(nèi)層面,目前雖然我國網(wǎng)絡(luò)安全方面的頂層制度設(shè)計(jì)已經(jīng)基本完成,網(wǎng)絡(luò)安全法的頒布也在很大程度上填補(bǔ)了立法空缺,但在整個(gè)網(wǎng)絡(luò)安全領(lǐng)域我國仍存在著立法不足的情況,例如個(gè)人信息保護(hù)。在具體實(shí)施方面,作為網(wǎng)絡(luò)安全基本大法的網(wǎng)絡(luò)安全法配套制度尚不健全,可操作性仍有待加強(qiáng)。此外,作為新實(shí)施的法律,網(wǎng)絡(luò)安全法的執(zhí)法案例尚不充足,執(zhí)法尺度仍需進(jìn)一步探索和統(tǒng)一。整體來看,尚不完善的規(guī)則設(shè)計(jì)和執(zhí)行機(jī)制難以為企業(yè)數(shù)據(jù)合規(guī)提供有效指引。
國際層面,通觀國際立法趨勢,不難發(fā)現(xiàn)數(shù)據(jù)已成為國際空間競相爭奪的戰(zhàn)略性資源,美歐等諸多國家和地區(qū)已經(jīng)紛紛出臺(tái)舉措搶占國際空間數(shù)據(jù)規(guī)則的制定權(quán),建立以本國或本區(qū)域利益為中心的數(shù)據(jù)規(guī)則體系。隨著國際博弈的加劇,國際法律沖突也逐漸走向常態(tài)化。網(wǎng)絡(luò)和數(shù)據(jù)的跨國界性往往使得企業(yè)需要應(yīng)對不同規(guī)則體系的合規(guī),大大增加了企業(yè)合規(guī)的復(fù)雜性。在國際法律沖突的情形下,企業(yè)合規(guī)將陷入兩難境地。例如,歐盟GDPR、美國CLOUD法與我國網(wǎng)絡(luò)安全法第37條的沖突可能會(huì)導(dǎo)致企業(yè)在數(shù)據(jù)出境方面面臨巨大的合規(guī)困境。
四、安全視角下的大數(shù)據(jù)合規(guī)應(yīng)對
面對大數(shù)據(jù)安全合規(guī)的諸多挑戰(zhàn),企業(yè)應(yīng)當(dāng)從法律、管理、技術(shù)3個(gè)角度建立起一套全面的,以法律為依據(jù)、以管理為核心、以技術(shù)為支撐的數(shù)據(jù)安全合規(guī)體系。
(一)法律層面:加強(qiáng)國內(nèi)外立法研判
目前,我國正處于數(shù)據(jù)安全立法和實(shí)踐的快速發(fā)展期,同時(shí)也是探索期。在此階段,諸多數(shù)據(jù)安全相關(guān)法律以及配套制度陸續(xù)制定或出臺(tái)。為及時(shí)有效應(yīng)對,企業(yè)應(yīng)當(dāng)持續(xù)跟進(jìn)相關(guān)立法動(dòng)態(tài)。同時(shí)關(guān)注、研究相關(guān)的執(zhí)法案例,加強(qiáng)與行業(yè)部門、監(jiān)管部門的溝通與協(xié)作,以準(zhǔn)確把握立法要旨,掌握合規(guī)要點(diǎn)。
此外,隨著數(shù)據(jù)在全球范圍內(nèi)的自由流動(dòng),對于數(shù)據(jù)的監(jiān)管突破原有的屬地管轄已成國際立法趨勢。數(shù)據(jù)保護(hù)已不再是一個(gè)單一的國內(nèi)立法問題。對于諸多跨國企業(yè)或者有意于提供國際數(shù)據(jù)服務(wù)的企業(yè)而言,數(shù)據(jù)合規(guī)工作不僅需要著眼于本國立法,還需以全球化的視野關(guān)注國際立法動(dòng)態(tài)和趨勢,提前做好立法研判和業(yè)務(wù)布局。
(二)管理層面:完善數(shù)據(jù)安全內(nèi)控機(jī)制
完善的內(nèi)控機(jī)制是數(shù)據(jù)安全合規(guī)的重要環(huán)節(jié)。企業(yè)應(yīng)當(dāng)建立完善的、標(biāo)準(zhǔn)化的、覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理機(jī)制。
首先,重視數(shù)據(jù)本身的安全。數(shù)據(jù)安全不僅包括數(shù)據(jù)的靜態(tài)安全,還包括數(shù)據(jù)的動(dòng)態(tài)安全。因此,企業(yè)應(yīng)當(dāng)建立起對數(shù)據(jù)全生命周期使用情況的監(jiān)控、審計(jì)、評估機(jī)制。根據(jù)數(shù)據(jù)的類型、重要性、敏感度、面臨的風(fēng)險(xiǎn)程度等因素的不同,進(jìn)行數(shù)據(jù)分級分類,以采取適宜的安全保障措施;建立起完善的安全事件應(yīng)急響應(yīng)機(jī)制來及時(shí)有效地應(yīng)對數(shù)據(jù)安全事件。
其次,重視系統(tǒng)安全和供應(yīng)鏈安全。數(shù)據(jù)安全不僅包括數(shù)據(jù)本體的安全,系統(tǒng)和供應(yīng)鏈的安全也將直接影響到位于該系統(tǒng)中的數(shù)據(jù)安全。企業(yè)在系統(tǒng)設(shè)計(jì)之初,或者采購過程中就應(yīng)當(dāng)將數(shù)據(jù)安全因素考慮在內(nèi)。
此外,重視人在數(shù)據(jù)安全管理中的重要性。無論是近期發(fā)生的騰訊云數(shù)據(jù)丟失事件和華住集團(tuán)數(shù)據(jù)泄露事件,還是之前發(fā)生的京東內(nèi)部數(shù)據(jù)泄露事件,不難看出,諸多數(shù)據(jù)安全事件的發(fā)生是人為因素導(dǎo)致。員工的合規(guī)意識(shí)是決定企業(yè)合規(guī)成敗的關(guān)鍵,自上而下,以人為本,數(shù)據(jù)安全管理上,人是最大的風(fēng)險(xiǎn),也是最好的尺度。因此,在數(shù)據(jù)安全管理機(jī)制的建設(shè)中,企業(yè)應(yīng)當(dāng)強(qiáng)化權(quán)限管理、明確數(shù)據(jù)安全管理的角色和責(zé)任、加強(qiáng)人員數(shù)據(jù)安全知識(shí)的培訓(xùn)等,建立起完善的數(shù)據(jù)安全組織機(jī)制和人員管理機(jī)制。
(三)技術(shù)層面:提升數(shù)據(jù)安全防護(hù)能力
面對快速更新迭代的新技術(shù),傳統(tǒng)的數(shù)據(jù)安全防護(hù)措施已經(jīng)暴露出不足。為有效應(yīng)對,企業(yè)應(yīng)當(dāng)加強(qiáng)對前沿?cái)?shù)據(jù)安全防護(hù)技術(shù)的研發(fā)。通過加強(qiáng)防病毒、防攻擊、防泄露、數(shù)據(jù)加密、脫敏、漏洞發(fā)現(xiàn)和修補(bǔ),提升網(wǎng)絡(luò)安全態(tài)勢感知能力、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的抗災(zāi)、減災(zāi)和恢復(fù)能力等一系列的技術(shù)手段,建立起一套有效的從平臺(tái)到數(shù)據(jù),從運(yùn)行安全到數(shù)據(jù)安全的技術(shù)防護(hù)體系。
(原載于《保密科學(xué)技術(shù)》雜志2018年10月刊)