在2018年9月公布的“十三届全国人大常委会立法规划”中,《数据安全法》与其他68部法律被列为“条件比较成熟、任期内拟提请审议的法律草案”。在2019年十三届全国人大二次会议新闻发布会上,大会发言人张业遂表示在2019年将推进《数据安全法》立法工作。《数据安全法》的立法已经走上快车道。
但与《个人信息保护法》的大量研究讨论以及高关注度相比,《数据安全法》却显得有些“落寞”,学者们与媒体对《数据安全法》的讨论与研究并不多见,这与大数据在各行各业受到的追捧形成了鲜明的对比,因此有必要给予《数据安全法》更多关注。
习近平总书记在2016年4月19日的“在网络安全和信息化工作座谈会上的讲话”(“4·19讲话”)中明确指出:“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。企业要重视数据安全。如果企业在数据保护和安全上出了问题,对自己的信誉也会产生不利影响。”习近平总书记的讲话为《数据安全法》的立法工作定下了基调,数据的控制者,尤其是互联网企业,将会成为《数据安全法》规制的重点。
一、《数据安全法》与其他法律的关系
在《网络安全法》已经生效的情况下,《数据安全法》的定位就显得尤其重要。《网络安全法》中关于数据已经有了一些规定,比如明确网络数据“是指通过网络收集、存储、传输、处理和产生的各种电子数据。”(第76条)并且指出“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”(第76条)《数据安全法》在制定时,需要与《网络安全法》做好衔接。
《数据安全法》与《网络安全法》同是《国家安全法》的配套法规。《国家安全法》明确提出“国家……实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;……”(第25条)《国家安全法》的定位意味着《数据安全法》并不仅是《网络安全法》的配套法律,更是与《网络安全法》一样作为国家整体安全观的组成部分。如果说《网络安全法》更多地关注网络空间与网络数据的保护,那么《数据安全法》与之相比将更多关注数据的安全可控,而且《数据安全法》也将不只是关注网络数据,还会关注更广范围的数据,尤其是非网络数据的安全。《数据安全法》与《网络安全法》将各有侧重,互相补充,共同构筑网络空间安全与数据安全。
除了《国家安全法》与《网络安全法》,《刑法》中的“非法获取计算机信息系统数据罪”也关注采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据的情形(第285条)。《刑法》刑法作为维护社会安全的最后一道防线,需要在《数据安全法》中做好与《刑法》的衔接工作,区分数据保护的层级。
二、保护对象:数据与数据安全
明确数据的内涵与外延是制定《数据安全法》的基础。在国家标准《信息技术 词汇 第1部分》(GB/T 5271.1-2000)中,数据是指“信息的可再解释的形式化表示,以适用于通信、解释或处理。”本质上,数据是以数据库的形态,存储于存储器中。根据现代数据库设计的原理,用户对数据库中的数据进行调用,需要用户具备相应的权限。数据所面临的主要威胁,即是不具有权限用户对数据库的使用、篡改或阻断有权限用户访问。
在数据的范围上,虽然欧盟2018年5月25日生效的《一般数据保护条例》(General Data Protection Regulation)中的数据(Data)仅指个人数据,鉴于正在起草中的《个人信息保护法》无疑会更多地关注个人数据的保护问题,如果《数据安全法》仅关注个人数据,那么将会于《个人信息保护法》产生重叠,浪费立法资源,所以预计《数据安全法》会将个人信息与非个人信息一并纳入保护的对象。
在保护范围方面,另外一个重要的问题是《数据安全法》中的数据是否仅指“重要数据”。重要数据是《网络安全法》中提出的一个重要概念,但《网络安全法》并未就重要数据的概念与范围进行界定。在2017年5月31日《网络安全法》生效前夕,国家互联网信息办公室网络安全协调局负责人在接受记者采访时表示,重要数据是对国家而言,而不是针对企业和个人。2018年9月,中央网络安全和信息化委员会办公室与工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会与之配合的《专项调查问题列表与答复》中将重要数据界定为:不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:(1)地理、自然资源、重要物资储备等数据;(2)基因、生物特征、疾病等数据;(3)宏观统计等重要经济数据;(4)网络信息系统的缺陷、漏洞、防范措施等数据;(5)人群导航位置、大型设备目标位置和移动数据;(6)法律法规规定的其他重要数据。
重要数据与非重要数据的主要区别在于,一旦发生数据泄露事件,其危害程度与范围不同。无论是重要数据还是非重要数据,所面临的安全威胁都基本类似,需要采取的保护措施也基本相同。因此,《数据安全法》不应当将保护范围局限于重要数据,非重要数据也应当给予相应的保护。同时,《数据安全法》可以效仿《网络安全法》中要求关键信息基础设施运营者不仅需要承担一般网络运营者的网络安全保护义务,还需要承担更高的网络安全保护义务的模式,要求重要数据的控制者承担更高要求的保护义务。
从法律名称来看,《数据安全法》将仅调整数据安全的相关法律关系,对数据的财产权益等其他的法律关系并不涉及。在《民法总则》中,虽然对数据保护有所提及,但将保护什么、如何保护的问题交给了后续立法。目前,对数据财产权益相关法律关系的调整主要是在诉讼中通过《反不正当竞争法》中的法律原则进行,仍然缺少《数据保护法》或者《数据权法》对数据权益进行直接的保护。
根据《信息技术 词汇 第8部分》(GB/T 5271.8-2001),数据安全是指适用于数据的计算机安全,而计算机安全是指采取适当行动保护数据和资源,使它们免受偶然或恶意的操作。虽然“数据”与“信息”严格来说存在一定的区别,但近年来二者在使用时日趋混同,所以数据安全很大程度上等同于信息安全。在信息安全中,核心的内容是保护信息的保密性、完整性与可用性,以及真实性、可问责性、不可否认性与可靠性。因此,预计《数据安全法》将以保护数据的保密性、完整性与可用性为核心,同时对数据的真实性、可问责性、不可否认性、可靠性等特性进行保护。
三、数据的保护方式
在《网络安全法》中,对数据保护已经设置了一些保护义务,比如:(1)要求网络运营者采取数据分类、重要数据备份和加密等措施;(2)要求任何个人或组织不得窃取网络数据;(3)要求关键信息基础设施运营者采取数据容灾备份并在境内进行存储……
保密性(Confidentiality)、完整性(Integrity)与可用性(Availability)被称为信息安全三元组,是一个著名的安全策略开发模型,在安全标准中被广泛使用,《网络安全法》中亦有提及。预计《数据安全法》将主要围绕着如何保护数据的保密性、完整性与可用性展开。将传统的通过技术手段保护信息的方式提升至法律义务。
保密性亦称机密性,是指对数据资源开放范围的控制,确保信息没有非授权的访问,不被非授权的用户使用。对于数据保密性的保护,最常见的做法是对数据设置权限,或通过访问控制列表的方式控制不同用户对数据的使用。在《数据安全法》的立法上,或可结合在制定中的《密码法》对数据的保密措施做出具体规定。完整性是保护数据不被未授权方修改或删除,并确保当未授权人员进行不恰当修改时,可以降低损害。版本控制与备份是确保数据完整性的常见策略。《数据安全法》的立法可以直接要求数据的控制者采取版本控制与定期备份措施,并结合《电子签名法》等法律法规要求数据访问用户的身份进行验证。可用性,为确保数据和系统随时可用,即只要授权的用户需要数据就必须是可用的,不能拒绝服务。冗余系统、高可用系统构架、灾难恢复功能都是常见的确保数据可用性的安全策略。《数据安全法》的立法可以要求对不同敏感程度的数据,要求采取不同的冗余构建、灾难恢复功能等措施,确保数据的可以用性。
《数据安全法》除了关注数据的保密性、完整性、可用性等特性,还需要关注数据全生命周期的安全,即从数据的收集、存储、使用、共享、删除的完整生命周期角度,对每一个环节所面临的数据安全问题予以关注。任何一个环节的数据安全问题都不是孤立的,立法时需要从生命周期的角度完整进行考虑。
四、数据的发展与安全
根据习近平同志“419讲话”的精神,数据安全所需要的是网络开放环境下,动态的安全,且这种安全是相对的。通过《数据安全法》保护数据安全,是为了更好地利用数据,而非让数据处于封闭的状态追求绝对安全。
《数据安全法》的目的应当在于为数据的利用提供可靠的环境,而非一味追求安全。所以,在保护数据安全时,有必要平衡多方的利益,其中至少包括个人信息保护之于个人的利益、数据利用之于数据行业的利益、国家安全的利益与社会公共利益。数据往往被誉为数字时代的石油,但实际上数据更像是新时代的炸药,从具有巨大威力的同时也具有极高的风险,需要在确保安全的前提下进行利用,其根本目的还是有效利用。
来源:界面新闻