夯实与加密数据安全的标准与制度屏障
时间:2020-10-27 14:09:32 来源:达达文档网 本文已影响 人 
张锐
由于在未经客户本人授权的情况下向第三方提供个人银行账户交易明细,从而严重侵害了消费者信息安全权,损害了消费者合法权益,中信银行日前受到中国银保监会上海银保监局的立案调查,由此再次敲响的数据安全警钟振聋发聩。
从三月份微博因5亿用户信息泄露被工信部约谈,到四月份万豪国际酒店外泄520万客户信息遭到网络世界的集体吐槽,再到五月初浙江省公安部门对数十种教育APP利用新冠肺炎疫情期间学校开设网课之机非法采集用户敏感信息的行为进行查处,今年以来围绕着数据安全掀起的风波接连不断,如果再加上手机用户至今依然遭遇垃圾短息以及推销电话的频繁骚扰等大众性事件,保障数据安全的确到了刻不容缓的地步。
实际上,数据安全不仅仅存在于自然人范畴,无论是商业企业,还是机关团体,抑或是学校组织,直至整个国家,都存在着数据安全的强烈需求。对于个人来说,数据安全隐患带来的是名誉与财产损失;对于企业而言,商业数据泄露代表着客户与市场的流失,市场因此出现“劣币驱逐良币”的逆向淘汰;对于国家而言,数据安全受到威胁不仅可能导致决策失误与调控紊乱,更可能出现治理梗阻与社会危机。另外,除了像中信银行那样主观故意泄露数据信息外,危害数据安全行为还有数据窃取和数据干涉,以及非法侵入和间谍软件与身份盗窃,同时围绕着数据所从事的违法与犯罪活动广泛活跃于从一般数据交易商到黑客再到网络战士以及网络恐怖分子等非法主体之间。
作为一种情绪反应,许多人面对数据安全事件尤其是得知自己的数据信息受到侵害时,首先就是大骂商家的道德不良,同时也会谴责网络时代数据保护技术的缺失。但我们特别想强调的是,任何高尚的道德教育与思想劝导在数据侵害者面前都是苍白无力的,同时数据保护技术的升级与成熟也需时日积累,而作为维护数据安全的基础,必要的制度变革与标准体系建设则完全可以尽早先行一步,并且还会起到立竿见影之效。
互联网时代个人与组织的基本资料及其活动信息都折叠成了数据,而且网络数据具有自动生成的特征,流动过程中又可以进行再开发,并且由于数据的生成和流动过程多元,同时复杂多变,由此导致的数据确权的难度并非易事,相应地就会出现数据安全隐患。拿央行即将推出的数字货币来说,用户无论是实名注册还是下载钱包抑或是网络支付,都会线上留痕,由此形成的原始数据被银行或商铺收集,再通过运营商网络传输,数据所有权于是关联到消费者个体、商业银行、销售商、运营商和央行等监管部门,由此同时产生国家数据主权、机构数据产权和数据人格权三种权利,但究竟数据所有权属于谁,法律上目前还没有明确的权属界定。也正是因为不能得到清晰的数据确权,目前不仅形成了对数据的野蛮获取与任性争夺,也导致了数据处理的肆意妄为,甚至各种“数据黑市”暗流密集涌动。
数据资源分布上的条块分割与烟囱林立是危及数据安全的重要体制病灶。在政府内部,虽然设立了大数据管理局、政务服务数据管理局和大数据管理中心等之类的机构,但其隶属的主管部门不仅千奇百样,自身职能范围也是五花八门,并且实际数据也分布于不同的行业主管组织中;在政府与企业之间,数据双向传输渠道未能有效打通,全国开放数据集规模仅为美国的1/9,企业生产经营数据中来自政府的比重只有7%,同时企业向政府开放数据资源的意愿也不高,一些互联网头部企业的数据“自留地”也隐约可见;至于企业与企业之间,除了“数据垄断”外,数据对接完全处于水火不容和冰冻状态,彼此壁垒森严。数据无法共享不仅制造出了数据资源稀缺的市场表象,而且“囚徒困境”会倒逼有些企业与组织铤而走险,走上非法贩卖与盗用数据的偏道。
放在整个数据要素市场的结构系统中审视,数据安全实际已沦落成为一个最薄弱的短板。
数据监管节奏滞后是导致数据安全缺失的主要管理瓶颈。一方面,目前的监管仅注重事前监管与静态监管,如身份认证、安全存储等,而对动态监管如数据访问、数据脱敏以及数据审计等缺乏必要的监控认知与手段跟进;另一方面,数据监管总体上表现为碎片化痕迹而不是全程化镜像,即只是对某个阶段或者布局數据实施监管,而不是覆盖到从生成—处理—运维—交易—审计等数据全生命周期过程,同时目前国内数据监管也缺乏系统性的安全标准参照。
因此,放在整个数据要素市场的结构系统中审视,数据安全实际已沦落成为一个最薄弱的短板。但令人欣慰的是,作为数据安全领域的一个“硬核”动作,工信部日前面向社会发布了《网络数据安全标准体系建设指南(征求意见稿)》,分别针对5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能和区块链等九大关键领域提出和明确了网络数据的安全标准,以此为开端,先重点后全面,包括各种层级的基础性安全标准建设等在内,有望最终形成完备而健全的网络数据安全标准体系。当然,在建立与健全明确的数据安全评估与认定标准框架的同时,还须从制度层面建构护卫数据安全的宽厚屏障。
首先,要根据数据性质进行明确的产权归属界定,分层分类对原始数据、脱敏化数据、模型化数据和人工智能化数据给出明晰的确权,形成覆盖数据生成、使用、采集、存储、监测、收益、统计、审计等各方面权力面向不同时空、不同主体的确权框架。在此基础上,首先推进政府数据的开放共享,制定出台数据共享责任清单,同时,要研究建立促进公共数据开放和数据资源有效流动的制度规范,包括建立起社会化数据统一获取、归集和合作机制,探索建立面向互联网头部企业的数据目录备案机制,推动政务数据与社会化数据平台化对接。通过架构起“政-政”数据共享、“政-企”数据开放、“企-企”数据互通的数据要素流通体系,形成“市场有效、政府有为、企业有利、个人有益”的数据要素市场化配置机制,彻底堵塞与清除数据获取与交易的各种非法途径与管道。
其次,紧跟网络数据生成方式多元、数据体量庞大以及流动迅疾的特点,数据监管的重点要从线上转移到线上,并尽快出台数据生成、数据存储、数据运维、数据脱敏、数据访问、数据开发以及数据审计的立体性安全监管标准,同时对于数据的监控要渗透与覆盖到数据运行的全过程,监控手段上要大胆配置与引进区块链等新技术,搭建其从数据生成到数据储存以及数据溯源和数据检测的自我免疫平台。此外,数据安全治理应当鼓励社会力量积极参与,支持媒体充分参与监督的同时,畅通民众与企业的数据侵害举报与申诉渠道,探索建立多元协同共治的新型监管体制。而更为重要的是,在关注事前监管的同时,数据监管更应强化数据风险预警机制建设,提升数据安全事件的应急解决能力。
另外,完备的法律是数据安全的最强大屏障,像美国出台了《开放政府数据法案》和《隐私法》,欧盟发布了《通用数据保护条例》,英国实施了《自由保护法》以及《公共部门信息再利用指令》等,不约而同地通过上位法(效力较高的法律)对政府开放数据以及数据利用与监督提供了强有力的支持与保护;就我国来说,除了《民法总则》规定了对个人信息和数据进行保护外,近年来还出台了《网络安全法》《信息安全技术个人信息安全规范》以及《数据安全管理办法(征求意见稿)》等具体法律规章,而适应对网络数据资源卓有成效的安全保护,特别是策应加快培育数据要素市场的需要,还应尽快推出内涵更饱满、外延更广泛和具有上位法意义的《数据安全法》。
