■文/王偉潔 周千荷（賽迪智庫(kù)）

在數(shù)字經(jīng)濟(jì)時(shí)代，各國(guó)對(duì)數(shù)據(jù)安全問(wèn)題都高度重視。面對(duì)日益嚴(yán)峻的數(shù)據(jù)安全威脅，2020年不少國(guó)家通過(guò)頒布政策法規(guī)、加強(qiáng)監(jiān)管執(zhí)法、提升安全治理技術(shù)能力等舉措，全面強(qiáng)化數(shù)據(jù)安全保護(hù)。賽迪研究院網(wǎng)絡(luò)安全研究所在全面梳理美國(guó)、歐盟、日本、韓國(guó)、澳大利亞等國(guó)家和地區(qū)數(shù)據(jù)安全保護(hù)最新進(jìn)展的基礎(chǔ)上，對(duì)各國(guó)的數(shù)據(jù)安全保護(hù)舉措和特點(diǎn)進(jìn)行了深入分析，并針對(duì)我國(guó)數(shù)據(jù)安全治理現(xiàn)狀與問(wèn)題，提出四點(diǎn)啟示。

一、主要國(guó)家和地區(qū)數(shù)據(jù)安全保護(hù)舉措

第一，持續(xù)優(yōu)化數(shù)據(jù)安全政策環(huán)境。一是加強(qiáng)數(shù)據(jù)安全頂層設(shè)計(jì)。歐盟發(fā)布《歐洲數(shù)據(jù)保護(hù)監(jiān)管局戰(zhàn)略計(jì)劃（2020—2024）》，旨在從前瞻性、行動(dòng)性和協(xié)調(diào)性三個(gè)方面繼續(xù)加強(qiáng)數(shù)據(jù)安全保護(hù)，以保障個(gè)人隱私權(quán)。美國(guó)發(fā)布《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動(dòng)計(jì)劃》，確立了保護(hù)數(shù)據(jù)完整性、確保流通數(shù)據(jù)真實(shí)性、數(shù)據(jù)存儲(chǔ)安全性等基本原則。二是強(qiáng)化數(shù)據(jù)及個(gè)人信息保護(hù)方面的相關(guān)立法。阿聯(lián)酋和新西蘭分別出臺(tái)《數(shù)據(jù)保護(hù)法》和《2020年隱私法》，加強(qiáng)了對(duì)數(shù)據(jù)安全及個(gè)人隱私保護(hù)的規(guī)制建設(shè)；日本和新加坡分別完成了對(duì)本國(guó)《個(gè)人信息（數(shù)據(jù)）保護(hù)法》的修訂，明確了個(gè)人數(shù)據(jù)權(quán)利及外部使用限制；加拿大出臺(tái)的《數(shù)字憲章實(shí)施法案2020》，提出了保護(hù)私營(yíng)部門(mén)個(gè)人信息的現(xiàn)代化框架。三是陸續(xù)出臺(tái)數(shù)據(jù)安全標(biāo)準(zhǔn)指南。歐盟發(fā)布《為保持歐盟個(gè)人數(shù)據(jù)保護(hù)級(jí)別而采用的數(shù)據(jù)跨境轉(zhuǎn)移工具補(bǔ)充措施》，為數(shù)據(jù)跨境流動(dòng)中的數(shù)據(jù)保護(hù)問(wèn)題提供了進(jìn)一步指導(dǎo)；西班牙數(shù)據(jù)保護(hù)局發(fā)布《默認(rèn)數(shù)據(jù)保護(hù)指南》，闡釋了默認(rèn)數(shù)據(jù)保護(hù)原則的策略、實(shí)施措施、記錄和審計(jì)要求等，為企業(yè)實(shí)踐數(shù)據(jù)保護(hù)原則提供具體指導(dǎo)。

第二，建立健全數(shù)據(jù)安全保護(hù)機(jī)構(gòu)。通過(guò)完善數(shù)據(jù)安全監(jiān)管執(zhí)法機(jī)構(gòu)設(shè)置，提升執(zhí)法效率，加強(qiáng)數(shù)據(jù)安全保護(hù)治理。美國(guó)商務(wù)部成立了提供聯(lián)邦數(shù)據(jù)服務(wù)的咨詢委員會(huì)，以加強(qiáng)對(duì)聯(lián)邦數(shù)據(jù)隱私的保護(hù)；德國(guó)成立國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)，負(fù)責(zé)發(fā)起網(wǎng)絡(luò)安全創(chuàng)新項(xiàng)目、研究打擊網(wǎng)絡(luò)威脅，以加強(qiáng)德國(guó)的“數(shù)據(jù)主權(quán)”；巴西總統(tǒng)簽署法令批準(zhǔn)建立國(guó)家個(gè)人數(shù)據(jù)保護(hù)局，旨在制定相關(guān)規(guī)則，推進(jìn)企業(yè)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、調(diào)查違法違規(guī)行為，并促進(jìn)數(shù)據(jù)保護(hù)的國(guó)際合作；韓國(guó)成立個(gè)人信息保護(hù)委員會(huì)，主要職能是負(fù)責(zé)個(gè)人信息保護(hù)與監(jiān)管執(zhí)法工作。

第三，推動(dòng)企業(yè)強(qiáng)化數(shù)據(jù)安全保護(hù)技術(shù)手段。為進(jìn)一步保障數(shù)據(jù)安全，各國(guó)紛紛采取措施推動(dòng)企業(yè)積極響應(yīng)當(dāng)?shù)卣?，從?shù)據(jù)源頭、數(shù)據(jù)通道、數(shù)據(jù)運(yùn)營(yíng)管理等方面入手，運(yùn)用差分隱私、區(qū)塊鏈等技術(shù)手段強(qiáng)化數(shù)據(jù)安全保護(hù)，搭建具有鮮明數(shù)據(jù)安全保護(hù)特性的技術(shù)架構(gòu)。例如，F(xiàn)acebook通過(guò)開(kāi)源差分隱私庫(kù)加強(qiáng)對(duì)人工智能訓(xùn)練樣本隱私性的保護(hù)；蘋(píng)果公司通過(guò)模糊定位技術(shù)限制第三方App獲取用戶精確的地理位置信息；亞馬遜推出阻止用戶敏感信息泄露的服務(wù)Macie，以保護(hù)企業(yè)云端敏感數(shù)據(jù)；新西蘭企業(yè)通過(guò)區(qū)塊鏈技術(shù)實(shí)現(xiàn)數(shù)據(jù)加密傳輸和追蹤溯源，保護(hù)數(shù)據(jù)安全。

二、主要國(guó)家和地區(qū)數(shù)據(jù)安全保護(hù)特點(diǎn)分析

第一，數(shù)據(jù)安全成為國(guó)家安全的重要組成部分。數(shù)據(jù)現(xiàn)已成為與國(guó)家安全和國(guó)際競(jìng)爭(zhēng)力緊密關(guān)聯(lián)的一大要素，各國(guó)對(duì)數(shù)據(jù)安全的認(rèn)知已從傳統(tǒng)的個(gè)人隱私保護(hù)上升到維護(hù)國(guó)家安全的高度。美國(guó)布魯金斯學(xué)會(huì)發(fā)布的《超越華為和抖音——解開(kāi)美國(guó)擔(dān)憂中國(guó)科技企業(yè)和數(shù)字安全之謎》指出，數(shù)據(jù)是電信系統(tǒng)的命脈，應(yīng)從國(guó)家安全角度全面加強(qiáng)數(shù)據(jù)安全保護(hù)。英國(guó)發(fā)布《國(guó)家數(shù)據(jù)戰(zhàn)略》，通過(guò)搭建國(guó)家層面的數(shù)據(jù)安全治理方案，為建設(shè)促進(jìn)增長(zhǎng)和可信賴的數(shù)據(jù)機(jī)制提供指導(dǎo)方向，保障國(guó)家安全。歐盟委員會(huì)發(fā)布的《歐洲數(shù)據(jù)戰(zhàn)略》及其配套法案《數(shù)據(jù)治理法案》提案，力求在歐盟層面建立統(tǒng)一的數(shù)據(jù)治理框架，保障數(shù)據(jù)安全。下一步，各國(guó)還將從國(guó)家層面進(jìn)一步完善數(shù)據(jù)安全戰(zhàn)略規(guī)劃、法律法規(guī)及標(biāo)準(zhǔn)規(guī)范，探索數(shù)據(jù)安全、國(guó)家安全與數(shù)字經(jīng)濟(jì)發(fā)展之間的平衡之道。

第二，對(duì)大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)壟斷的規(guī)制力度持續(xù)加大。與2019年相比，2020年各國(guó)對(duì)大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全違法違規(guī)行為的懲治力度不斷增強(qiáng)，美國(guó)、歐洲等國(guó)家和地區(qū)均加大了對(duì)其單筆處罰的金額。例如，F(xiàn)acebook違反用戶隱私保護(hù)策略，美國(guó)對(duì)其處以50億美元的巨額罰款；愛(ài)爾蘭就數(shù)據(jù)非法跨境傳輸問(wèn)題，對(duì)Facebook處以高達(dá)28億美元的罰款；法國(guó)、加拿大等國(guó)家也紛紛對(duì)Twitter、谷歌等企業(yè)開(kāi)出高額罰單。隨著大型互聯(lián)網(wǎng)平臺(tái)企業(yè)的日益壯大，其數(shù)據(jù)壟斷問(wèn)題愈加嚴(yán)重，由此帶來(lái)的數(shù)字權(quán)利濫用問(wèn)題或?qū)⑼{到國(guó)家安全。因此，各國(guó)將進(jìn)一步通過(guò)高額懲罰等手段對(duì)其進(jìn)行約束，以防止其濫用數(shù)據(jù)優(yōu)勢(shì)侵害到消費(fèi)者隱私或進(jìn)行非法數(shù)據(jù)販賣。

第三，生物識(shí)別數(shù)據(jù)安全專項(xiàng)立法不斷推進(jìn)。隨著新技術(shù)新應(yīng)用的快速發(fā)展，以人臉識(shí)別為代表的人工智能技術(shù)得到了大規(guī)模應(yīng)用。然而，生物識(shí)別數(shù)據(jù)披露的個(gè)人特征精確，且采集門(mén)檻較低、極易獲取，一旦遭到泄露、篡改或非法共享，極易帶來(lái)“身份盜竊”風(fēng)險(xiǎn)，且正在成為攻擊者的主要目標(biāo)。對(duì)此，各國(guó)政府2020年紛紛出臺(tái)相關(guān)政策，開(kāi)始規(guī)范和限制生物識(shí)別數(shù)據(jù)的使用。美國(guó)提出聯(lián)邦層面的《國(guó)家生物識(shí)別信息隱私法案》，為企業(yè)生物識(shí)別數(shù)據(jù)使用樹(shù)立規(guī)范；各州也紛紛出臺(tái)相應(yīng)的人臉識(shí)別法案，對(duì)公共部門(mén)使用生物識(shí)別技術(shù)進(jìn)行限制。此外，歐盟通過(guò)發(fā)布《人工智能戰(zhàn)略》等文件，對(duì)企業(yè)和政府在公共場(chǎng)所使用攝像頭收集生物識(shí)別數(shù)據(jù)并識(shí)別個(gè)人身份的行為加以規(guī)范。下一步，各國(guó)將進(jìn)一步從頂層設(shè)計(jì)和專項(xiàng)法律規(guī)制層面，加大對(duì)人臉、聲音、指紋等生物識(shí)別數(shù)據(jù)的專項(xiàng)保護(hù)，在大力發(fā)展新技術(shù)新應(yīng)用的同時(shí)，嚴(yán)加防范其帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。

第四，健康醫(yī)療數(shù)據(jù)使用安全愈加得到重視。一方面，各國(guó)積極加強(qiáng)頂層設(shè)計(jì)和標(biāo)準(zhǔn)規(guī)范制定。歐盟委員會(huì)發(fā)布的多個(gè)戰(zhàn)略文件均提議，建設(shè)“歐洲健康數(shù)據(jù)空間”，以完善歐盟健康醫(yī)療數(shù)據(jù)交換、訪問(wèn)環(huán)境，保障個(gè)人醫(yī)療數(shù)據(jù)控制權(quán)和隱私權(quán)。韓國(guó)發(fā)布醫(yī)療領(lǐng)域的首份指南，為信息處理者提供了個(gè)人醫(yī)療信息安全使用的標(biāo)準(zhǔn)、方法和程序。另一方面，各國(guó)也在不斷推進(jìn)醫(yī)療數(shù)據(jù)使用安全的技術(shù)防護(hù)手段建設(shè)。美國(guó)醫(yī)療保險(xiǎn)公司Anthem利用區(qū)塊鏈技術(shù)賦予患者數(shù)據(jù)控制權(quán)，患者可借此實(shí)現(xiàn)數(shù)據(jù)安全訪問(wèn)和共享；英國(guó)醫(yī)療研究團(tuán)隊(duì)OpenSAFELY采用電子病歷隱私保障技術(shù)嚴(yán)控?cái)?shù)據(jù)流向，實(shí)現(xiàn)了對(duì)數(shù)據(jù)使用全過(guò)程的監(jiān)控和保護(hù)。2020年新冠疫情的暴發(fā)愈加凸顯出醫(yī)療數(shù)據(jù)安全保護(hù)的重要性。與一般數(shù)據(jù)相比，醫(yī)療數(shù)據(jù)覆蓋面廣，既包含了患者個(gè)體患病信息，還涉及疾病傳播、地區(qū)流行病、區(qū)域人口健康狀況等信息。醫(yī)療數(shù)據(jù)能否安全使用，攸關(guān)社會(huì)穩(wěn)定與國(guó)家安全。下一步，各國(guó)將進(jìn)一步從政策和技術(shù)層面探索保障醫(yī)療數(shù)據(jù)安全使用的方法，以應(yīng)對(duì)面臨的嚴(yán)峻挑戰(zhàn)。

三、幾點(diǎn)啟示

第一，完善數(shù)據(jù)安全保護(hù)的法治環(huán)境。一是大力推動(dòng)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》出臺(tái)。目前，兩部法律仍處于草案階段，建議加快法律的出臺(tái)與實(shí)施，為數(shù)據(jù)安全和個(gè)人信息保護(hù)提供基本法律框架。二是完善數(shù)據(jù)安全保護(hù)的配套法規(guī)制度。目前，上述兩部立法草案還缺乏配套的下位法，部分問(wèn)題處于模糊地帶，需進(jìn)一步出臺(tái)與之配套的法律法規(guī)，針對(duì)具體問(wèn)題制定相應(yīng)的解決措施，強(qiáng)化數(shù)據(jù)安全保護(hù)。例如，針對(duì)數(shù)據(jù)確權(quán)問(wèn)題，考慮通過(guò)采用數(shù)據(jù)分類確權(quán)思路，厘清數(shù)據(jù)類型和數(shù)據(jù)性質(zhì)，明確主體數(shù)據(jù)權(quán)利邊界；針對(duì)政務(wù)數(shù)據(jù)安全共享問(wèn)題，出臺(tái)相關(guān)政策文件，以明確上下游責(zé)任邊界，促進(jìn)政務(wù)數(shù)據(jù)安全共享，實(shí)現(xiàn)政務(wù)數(shù)據(jù)管理模式由縱向到橫向的轉(zhuǎn)型，保障政務(wù)數(shù)據(jù)的可享、可管、可信。三是建立健全數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)規(guī)范。針對(duì)數(shù)據(jù)開(kāi)放共享、交易、跨境流動(dòng)等不同場(chǎng)景，完善相應(yīng)的標(biāo)準(zhǔn)規(guī)范；制定數(shù)據(jù)安全評(píng)測(cè)指南，持續(xù)加強(qiáng)數(shù)據(jù)安全標(biāo)準(zhǔn)的宣貫實(shí)施。

第二，多措并舉加強(qiáng)數(shù)據(jù)安全監(jiān)督管理。一是完善數(shù)據(jù)安全保護(hù)監(jiān)管體系。探索建立分級(jí)分類監(jiān)管體系，構(gòu)建中央和地方分類監(jiān)管、分級(jí)負(fù)責(zé)、權(quán)責(zé)一致的監(jiān)管格局。二是探索數(shù)據(jù)安全保護(hù)機(jī)構(gòu)設(shè)置。借鑒美國(guó)、韓國(guó)、歐洲等國(guó)家和地區(qū)的成功做法，針對(duì)不同數(shù)據(jù)活動(dòng)場(chǎng)景及問(wèn)題，嘗試設(shè)置獨(dú)立的負(fù)責(zé)機(jī)構(gòu)。例如，設(shè)置與國(guó)際接軌、專項(xiàng)負(fù)責(zé)跨境數(shù)據(jù)安全風(fēng)險(xiǎn)審查與評(píng)估的機(jī)構(gòu)。三是加大對(duì)數(shù)據(jù)違法活動(dòng)的監(jiān)管執(zhí)法力度。借鑒美國(guó)、歐洲、俄羅斯等國(guó)家和地區(qū)的成功做法，通過(guò)提高罰款額度等手段，倒逼數(shù)據(jù)控制者加強(qiáng)數(shù)據(jù)安全保護(hù)。

第三，強(qiáng)化企業(yè)數(shù)據(jù)安全能力建設(shè)。一是鼓勵(lì)企業(yè)運(yùn)用技術(shù)手段強(qiáng)化數(shù)據(jù)安全治理。鼓勵(lì)企業(yè)開(kāi)展區(qū)塊鏈、隱私計(jì)算等數(shù)據(jù)安全保障技術(shù)的研究，提高技術(shù)成果轉(zhuǎn)化率，切實(shí)保護(hù)用戶數(shù)據(jù)安全。二是建立企業(yè)數(shù)據(jù)安全能力成熟度評(píng)估制度。通過(guò)明確不同類型的數(shù)據(jù)安全能力成熟度要求，推動(dòng)企業(yè)建立與數(shù)據(jù)類型和規(guī)模相匹配的數(shù)據(jù)安保能力，實(shí)現(xiàn)業(yè)務(wù)競(jìng)爭(zhēng)力與安全的正向掛鉤，并組織開(kāi)展數(shù)據(jù)安全能力成熟度評(píng)估。三是建立企業(yè)數(shù)據(jù)流向監(jiān)管制度。鼓勵(lì)企業(yè)開(kāi)發(fā)、使用追蹤數(shù)據(jù)使用情況及流向的工具，明晰數(shù)據(jù)用途，配合國(guó)家開(kāi)展數(shù)據(jù)資源使用情況追蹤調(diào)查。