安全視角下的大數(shù)據(jù)治理與合規(guī)應(yīng)對

大數(shù)據(jù)時代，數(shù)據(jù)不僅成為重要的商業(yè)資源和生產(chǎn)要素，更是國家基礎(chǔ)性戰(zhàn)略資源。

與此同時，新技術(shù)和新應(yīng)用的迭代更新也不斷催生出新風(fēng)險，數(shù)據(jù)安全風(fēng)險日益升級，成為建設(shè)產(chǎn)業(yè)健康生態(tài)、保障社會公共安全和國家安全的制約因素。大數(shù)據(jù)安全已然成為超越個體，關(guān)涉國家安全的核心環(huán)節(jié)。本文將從安全視角出發(fā)，剖析大數(shù)據(jù)治理的安全面向，介紹國內(nèi)外大數(shù)據(jù)治理態(tài)勢，同時分析當(dāng)前我國互聯(lián)網(wǎng)企業(yè)大數(shù)據(jù)合規(guī)所面臨的挑戰(zhàn)，為企業(yè)合規(guī)提供法律、管理和技術(shù)層面的綜合建議。

一、大數(shù)據(jù)治理的安全面向

從工業(yè)社會到信息社會，社會生產(chǎn)力、生產(chǎn)關(guān)系發(fā)生了重大變遷。其中一個重要特點在于，網(wǎng)絡(luò)成為重要的生產(chǎn)工具，數(shù)據(jù)成為重要的生產(chǎn)資料。傳統(tǒng)的信息安全理論重點關(guān)注數(shù)據(jù)作為資料的保密性、完整性和可用性（即“三性”）等靜態(tài)安全。其受到的主要威脅在于數(shù)據(jù)泄露、篡改、滅失所導(dǎo)致的“三性”破壞。隨著信息化和信息技術(shù)的進(jìn)一步發(fā)展，信息社會從小數(shù)據(jù)時代進(jìn)入到更高級的形態(tài)大數(shù)據(jù)時代。在此階段，數(shù)據(jù)質(zhì)量和價值通過共享、交易等流通方式價值得到更大程度的實現(xiàn)和提升，數(shù)據(jù)動態(tài)利用逐漸走向常態(tài)化、多元化，個人信息的權(quán)屬問題和重要數(shù)據(jù)的識別問題成為這一階段的主要爭議，引發(fā)了從個人信息保護(hù)到企業(yè)數(shù)據(jù)保護(hù)、不正當(dāng)競爭、著作權(quán)、網(wǎng)絡(luò)（空間）安全等一系列法律問題。2018年，美國Facebook數(shù)據(jù)事件扭轉(zhuǎn)了大眾對大數(shù)據(jù)風(fēng)險的傳統(tǒng)認(rèn)知，大數(shù)據(jù)風(fēng)險的話題不再僅是個人和企業(yè)層面的保護(hù)問題，更是深入涉及政治權(quán)力的攫取，直接影響社會穩(wěn)定和國家政治安全。

總的來說，數(shù)據(jù)從靜態(tài)安全到動態(tài)利用安全的轉(zhuǎn)變使得數(shù)據(jù)安全不再只是確保數(shù)據(jù)本身的保密性、完整性和可用性，更承載著個人、企業(yè)、國家等多方主體的利益訴求，關(guān)涉?zhèn)�人權(quán)益保障、企業(yè)知識產(chǎn)權(quán)保護(hù)、市場秩序維持、產(chǎn)業(yè)健康生態(tài)建立、社會公共安全乃至國家安全維護(hù)等諸多數(shù)據(jù)治理問題。

二、安全視野下的大數(shù)據(jù)治理態(tài)勢

近年來，國際社會進(jìn)入了大數(shù)據(jù)安全立法的快速發(fā)展期，國內(nèi)層面，我國也正加緊推進(jìn)和完善相應(yīng)的制度建設(shè)，加強(qiáng)對數(shù)據(jù)生態(tài)的監(jiān)管和治理。

（一）國際態(tài)勢：規(guī)則體系日趨復(fù)雜

個人數(shù)據(jù)保護(hù)領(lǐng)域，20世紀(jì)70年代始，以歐美為代表的西方發(fā)達(dá)國家就已經(jīng)開始個人數(shù)據(jù)保護(hù)的立法實踐。目前，全球已有100多個國家頒布了個人數(shù)據(jù)保護(hù)或隱私法，40多個國家已出臺了相應(yīng)的草案。近年來，隨著信息技術(shù)的發(fā)展，全球領(lǐng)域又掀起了個人數(shù)據(jù)保護(hù)立法改革浪潮。2018年，以歐盟正式施行的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱“GDPR”）和美國加州頒布的突破性立法《加州消費者隱私法》為代表，全球個人數(shù)據(jù)保護(hù)整體水平日益提升，監(jiān)管力度日趨增強(qiáng)。

數(shù)據(jù)本地化和跨境傳輸領(lǐng)域，當(dāng)前無論是基于執(zhí)法便利還是基于保障國家安全的考量，數(shù)據(jù)本地化和跨境傳輸已經(jīng)成為全球數(shù)據(jù)監(jiān)管的一大重點。除信息化水平較低的非洲外，絕大多數(shù)國家均已實施了不同程度的數(shù)據(jù)本地化政策。具體來看，歐盟通過GDPR及隱私盾協(xié)議等建立了以個人數(shù)據(jù)保護(hù)為基礎(chǔ)的數(shù)據(jù)跨境傳輸體系。根據(jù)GDPR的規(guī)定，一般情形下，個人數(shù)據(jù)僅能向經(jīng)歐盟委員會認(rèn)定為“為個人數(shù)據(jù)提供充分保護(hù)”的第三國傳輸。美國方面，對外，美國堅決反對數(shù)據(jù)本地化，主張數(shù)據(jù)在全球市場的自由流動。對內(nèi)，美國也針對部分?jǐn)?shù)據(jù)實施本地化要求。2015年，美國國防部規(guī)定所有為該部門服務(wù)的云計算服務(wù)提供商須在境內(nèi)儲存數(shù)據(jù)。2016年，美國國家稅務(wù)局發(fā)布規(guī)定要求稅務(wù)信息系統(tǒng)應(yīng)當(dāng)位于美國境內(nèi)。

執(zhí)法數(shù)據(jù)跨境調(diào)取領(lǐng)域，犯罪數(shù)據(jù)全球化存儲趨勢導(dǎo)致執(zhí)法部門跨境獲取數(shù)據(jù)的需求日益增加。執(zhí)法數(shù)據(jù)的跨境調(diào)取直接關(guān)系一國的數(shù)據(jù)主權(quán)、司法主權(quán)，成為各國制衡與博弈的新焦點。2018年3月，美國總統(tǒng)特朗普簽署了《合法使用境外數(shù)據(jù)明確法》（Clarify Lawful Overseas Use of Data Act，又稱“CLOUD法”）。該法適用長臂管轄原則，明確美國執(zhí)法機(jī)構(gòu)有權(quán)直接調(diào)取美國境外數(shù)據(jù)。在美國現(xiàn)行的司法協(xié)助程序之外，該法提出了“執(zhí)行協(xié)議”模式，允許與美國簽訂協(xié)議的國家直接向美國境內(nèi)的企業(yè)調(diào)取數(shù)據(jù)。2018年4月，為應(yīng)對CLOUD法對本區(qū)域人權(quán)保障以及司法主權(quán)等帶來的沖擊，歐盟委員會表示擬制定新法，以便執(zhí)法及司法當(dāng)局獲取電子證據(jù)。與CLOUD法類似，歐盟將不以數(shù)據(jù)存儲位置作為管轄權(quán)的決定因素，只要滿足相關(guān)條件，歐盟成員國的執(zhí)法或司法當(dāng)局可直接要求在歐盟境內(nèi)的服務(wù)提供商提交電子證據(jù)。

整體來看，各國立法規(guī)范逐步增多，監(jiān)管效力不斷增強(qiáng)。各國的立法目標(biāo)不僅在于個體權(quán)益的保障，更是關(guān)涉國家主權(quán)、國家利益在國際空間的博弈和角逐。為爭奪數(shù)據(jù)話語權(quán)，擴(kuò)張本國法律的適用范圍，積極推行符合本國利益訴求的國際社會數(shù)據(jù)規(guī)則體系成為當(dāng)前國際的立法趨勢。

（二）國內(nèi)態(tài)勢：管理體系逐步完善

目前，我國大數(shù)據(jù)安全領(lǐng)域頂層制度設(shè)計已經(jīng)基本完成，配套制度正在不斷推進(jìn)，相關(guān)執(zhí)法實踐也逐步走向常態(tài)化，訴訟案例逐漸豐富。整體來看，我國的大數(shù)據(jù)安全管理體系正在逐步完善。

立法層面，近年來，我國不斷通過修改現(xiàn)行法律或頒布新規(guī)定等舉措加強(qiáng)對網(wǎng)絡(luò)安全生態(tài)的治理，內(nèi)容覆蓋個人信息保護(hù)、數(shù)據(jù)跨境與本地傳輸?shù)阮I(lǐng)域。個人信息保護(hù)方面，自2003年國務(wù)院信息化辦公室部署個人信息保護(hù)法立法研究工作，到2018年十三屆全國人大常委會將《個人信息保護(hù)法》正式列入立法規(guī)劃，我國對于個人信息保護(hù)立法研究已經(jīng)歷經(jīng)了15年。在這期間，我國《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費者權(quán)益保護(hù)法》《刑法》等法律法規(guī)中均對個人信息保護(hù)做出了規(guī)定。2017年，個人信息保護(hù)列入了《民法總則》《網(wǎng)絡(luò)安全法》。整體來看，我國個人信息保護(hù)立法層級逐步提升，體系逐漸完善，保護(hù)力度逐漸向國際看齊。數(shù)據(jù)本地化與跨境傳輸方面，我國《網(wǎng)絡(luò)安全法》正式從立法層面確立了關(guān)鍵信息基礎(chǔ)設(shè)施中的個人數(shù)據(jù)和重要數(shù)據(jù)的本地化存儲和跨境傳輸原則，并正在推動《個人信息和重要數(shù)據(jù)出境安全評估辦法》《信息安全技術(shù)數(shù)據(jù)出境安全評估指南》等諸多配套規(guī)范以提高該規(guī)定的可操作性。

執(zhí)法層面，網(wǎng)絡(luò)安全法實施后，相關(guān)執(zhí)法全面鋪開，處罰案例相繼涌現(xiàn)。除常規(guī)性執(zhí)法外，主管部門還開展了多項專項行動和執(zhí)法檢查。2017年底全國人大常委會開展對網(wǎng)絡(luò)安全法及《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的“一法一決定”執(zhí)法檢查；2018年公安部部署了打擊整治網(wǎng)絡(luò)違法犯罪“凈網(wǎng)2018”專項行動；司法層面，民事訴訟方面，我國先后出現(xiàn)了朱燁訴百度隱私權(quán)侵權(quán)案、周盛春訴阿里巴巴案、任甲玉訴百度案等。刑事訴訟方面，《刑法修正案（九）》施行以來，各級公檢法機(jī)關(guān)依據(jù)修改后的刑法規(guī)定，嚴(yán)肅懲處侵犯公民個人信息犯罪，案件數(shù)量顯著增長。

三、安全視野下的大數(shù)據(jù)合規(guī)挑戰(zhàn)

無論是國內(nèi)還是國際領(lǐng)域，大數(shù)據(jù)安全的監(jiān)管態(tài)勢均呈現(xiàn)出不斷增強(qiáng)的趨勢。在此背景下，大數(shù)據(jù)安全成為企業(yè)合規(guī)的重要內(nèi)容。

（一）新技術(shù)沖擊傳統(tǒng)合規(guī)體系

當(dāng)下，云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)新應(yīng)用使得數(shù)據(jù)收集變得無處不在。通過數(shù)據(jù)分析和數(shù)據(jù)挖掘等信息技術(shù)，非個人數(shù)據(jù)的聚合可形成具有識別性的數(shù)據(jù)，從碎片化的、不具有敏感性的數(shù)據(jù)中也可以分析出敏感的信息，海量數(shù)據(jù)的聚合甚至可以分析出關(guān)涉國家安全的信息。這一系列的現(xiàn)象導(dǎo)致個人數(shù)據(jù)與非個人數(shù)據(jù)、敏感數(shù)據(jù)與非敏感數(shù)據(jù)、國家秘密與非國家秘密等邊界逐漸模糊，合規(guī)邊界也隨之變得難以界定。

與傳統(tǒng)技術(shù)采用的集中式存儲不同，云計算、移動互聯(lián)網(wǎng)等采用的分布式存儲使得傳統(tǒng)的網(wǎng)絡(luò)安全邊界變得模糊，傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的統(tǒng)一的、集中的安全管理模式已經(jīng)不能適應(yīng)新環(huán)境下的數(shù)據(jù)安全需求。此外，大數(shù)據(jù)技術(shù)發(fā)展催生出新型高級的網(wǎng)絡(luò)攻擊手段，例如針對大數(shù)據(jù)平臺的高級持續(xù)性威脅（APT）攻擊和大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊時有發(fā)生，導(dǎo)致傳統(tǒng)檢測、防御技術(shù)無法有效抵御外界攻擊。整體來看，新技術(shù)新應(yīng)用一方面催生著新威脅形態(tài)，為數(shù)據(jù)合規(guī)帶來新風(fēng)險；另一方面導(dǎo)致傳統(tǒng)數(shù)據(jù)合規(guī)策略的有效性降低甚至失效。

（二）全球化監(jiān)管帶來合規(guī)難題

國內(nèi)層面，目前雖然我國網(wǎng)絡(luò)安全方面的頂層制度設(shè)計已經(jīng)基本完成，網(wǎng)絡(luò)安全法的頒布也在很大程度上填補(bǔ)了立法空缺，但在整個網(wǎng)絡(luò)安全領(lǐng)域我國仍存在著立法不足的情況，例如個人信息保護(hù)。在具體實施方面，作為網(wǎng)絡(luò)安全基本大法的網(wǎng)絡(luò)安全法配套制度尚不健全，可操作性仍有待加強(qiáng)。此外，作為新實施的法律，網(wǎng)絡(luò)安全法的執(zhí)法案例尚不充足，執(zhí)法尺度仍需進(jìn)一步探索和統(tǒng)一。整體來看，尚不完善的規(guī)則設(shè)計和執(zhí)行機(jī)制難以為企業(yè)數(shù)據(jù)合規(guī)提供有效指引。

國際層面，通觀國際立法趨勢，不難發(fā)現(xiàn)數(shù)據(jù)已成為國際空間競相爭奪的戰(zhàn)略性資源，美歐等諸多國家和地區(qū)已經(jīng)紛紛出臺舉措搶占國際空間數(shù)據(jù)規(guī)則的制定權(quán)，建立以本國或本區(qū)域利益為中心的數(shù)據(jù)規(guī)則體系。隨著國際博弈的加劇，國際法律沖突也逐漸走向常態(tài)化。網(wǎng)絡(luò)和數(shù)據(jù)的跨國界性往往使得企業(yè)需要應(yīng)對不同規(guī)則體系的合規(guī)，大大增加了企業(yè)合規(guī)的復(fù)雜性。在國際法律沖突的情形下，企業(yè)合規(guī)將陷入兩難境地。例如，歐盟GDPR、美國CLOUD法與我國網(wǎng)絡(luò)安全法第37條的沖突可能會導(dǎo)致企業(yè)在數(shù)據(jù)出境方面面臨巨大的合規(guī)困境。

四、安全視角下的大數(shù)據(jù)合規(guī)應(yīng)對

面對大數(shù)據(jù)安全合規(guī)的諸多挑戰(zhàn)，企業(yè)應(yīng)當(dāng)從法律、管理、技術(shù)3個角度建立起一套全面的，以法律為依據(jù)、以管理為核心、以技術(shù)為支撐的數(shù)據(jù)安全合規(guī)體系。

（一）法律層面：加強(qiáng)國內(nèi)外立法研判

目前，我國正處于數(shù)據(jù)安全立法和實踐的快速發(fā)展期，同時也是探索期。在此階段，諸多數(shù)據(jù)安全相關(guān)法律以及配套制度陸續(xù)制定或出臺。為及時有效應(yīng)對，企業(yè)應(yīng)當(dāng)持續(xù)跟進(jìn)相關(guān)立法動態(tài)。同時關(guān)注、研究相關(guān)的執(zhí)法案例，加強(qiáng)與行業(yè)部門、監(jiān)管部門的溝通與協(xié)作，以準(zhǔn)確把握立法要旨，掌握合規(guī)要點。

此外，隨著數(shù)據(jù)在全球范圍內(nèi)的自由流動，對于數(shù)據(jù)的監(jiān)管突破原有的屬地管轄已成國際立法趨勢。數(shù)據(jù)保護(hù)已不再是一個單一的國內(nèi)立法問題。對于諸多跨國企業(yè)或者有意于提供國際數(shù)據(jù)服務(wù)的企業(yè)而言，數(shù)據(jù)合規(guī)工作不僅需要著眼于本國立法，還需以全球化的視野關(guān)注國際立法動態(tài)和趨勢，提前做好立法研判和業(yè)務(wù)布局。

（二）管理層面：完善數(shù)據(jù)安全內(nèi)控機(jī)制

完善的內(nèi)控機(jī)制是數(shù)據(jù)安全合規(guī)的重要環(huán)節(jié)。企業(yè)應(yīng)當(dāng)建立完善的、標(biāo)準(zhǔn)化的、覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理機(jī)制。

首先，重視數(shù)據(jù)本身的安全。數(shù)據(jù)安全不僅包括數(shù)據(jù)的靜態(tài)安全，還包括數(shù)據(jù)的動態(tài)安全。因此，企業(yè)應(yīng)當(dāng)建立起對數(shù)據(jù)全生命周期使用情況的監(jiān)控、審計、評估機(jī)制。根據(jù)數(shù)據(jù)的類型、重要性、敏感度、面臨的風(fēng)險程度等因素的不同，進(jìn)行數(shù)據(jù)分級分類，以采取適宜的安全保障措施；建立起完善的安全事件應(yīng)急響應(yīng)機(jī)制來及時有效地應(yīng)對數(shù)據(jù)安全事件。

其次，重視系統(tǒng)安全和供應(yīng)鏈安全。數(shù)據(jù)安全不僅包括數(shù)據(jù)本體的安全，系統(tǒng)和供應(yīng)鏈的安全也將直接影響到位于該系統(tǒng)中的數(shù)據(jù)安全。企業(yè)在系統(tǒng)設(shè)計之初，或者采購過程中就應(yīng)當(dāng)將數(shù)據(jù)安全因素考慮在內(nèi)。

此外，重視人在數(shù)據(jù)安全管理中的重要性。無論是近期發(fā)生的騰訊云數(shù)據(jù)丟失事件和華住集團(tuán)數(shù)據(jù)泄露事件，還是之前發(fā)生的京東內(nèi)部數(shù)據(jù)泄露事件，不難看出，諸多數(shù)據(jù)安全事件的發(fā)生是人為因素導(dǎo)致。員工的合規(guī)意識是決定企業(yè)合規(guī)成敗的關(guān)鍵，自上而下，以人為本，數(shù)據(jù)安全管理上，人是最大的風(fēng)險，也是最好的尺度。因此，在數(shù)據(jù)安全管理機(jī)制的建設(shè)中，企業(yè)應(yīng)當(dāng)強(qiáng)化權(quán)限管理、明確數(shù)據(jù)安全管理的角色和責(zé)任、加強(qiáng)人員數(shù)據(jù)安全知識的培訓(xùn)等，建立起完善的數(shù)據(jù)安全組織機(jī)制和人員管理機(jī)制。

（三）技術(shù)層面：提升數(shù)據(jù)安全防護(hù)能力

面對快速更新迭代的新技術(shù)，傳統(tǒng)的數(shù)據(jù)安全防護(hù)措施已經(jīng)暴露出不足。為有效應(yīng)對，企業(yè)應(yīng)當(dāng)加強(qiáng)對前沿數(shù)據(jù)安全防護(hù)技術(shù)的研發(fā)。通過加強(qiáng)防病毒、防攻擊、防泄露、數(shù)據(jù)加密、脫敏、漏洞發(fā)現(xiàn)和修補(bǔ)，提升網(wǎng)絡(luò)安全態(tài)勢感知能力、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的抗災(zāi)、減災(zāi)和恢復(fù)能力等一系列的技術(shù)手段，建立起一套有效的從平臺到數(shù)據(jù)，從運行安全到數(shù)據(jù)安全的技術(shù)防護(hù)體系。

（原載于《保密科學(xué)技術(shù)》雜志2018年10月刊）