馬忠法 胡玲

摘? ? 要：《中華人民共和國數(shù)據(jù)安全法（草案）》第九條明確了國家、企業(yè)和個人等參與數(shù)據(jù)安全協(xié)同治理體系構(gòu)建的重要性。對此，在界定數(shù)據(jù)安全概念之含義并對其進(jìn)行分類后，應(yīng)意識到重要數(shù)據(jù)和敏感數(shù)據(jù)之安全應(yīng)比一般數(shù)據(jù)安全更需要受到重視。針對數(shù)據(jù)泄露事件頻發(fā)使得數(shù)據(jù)安全受到普遍關(guān)注之現(xiàn)象，分析現(xiàn)行數(shù)據(jù)保護法律制度內(nèi)容及其不足十分關(guān)鍵。在前述分析論證基礎(chǔ)上，結(jié)合數(shù)據(jù)治理主體的多元性等方面，可以在數(shù)據(jù)安全保護法律制度完善方面做出如下努力：宏觀層面，政府應(yīng)完善政府?dāng)?shù)據(jù)保護法律制度，完善數(shù)據(jù)安全標(biāo)準(zhǔn)，指導(dǎo)企業(yè)構(gòu)建數(shù)據(jù)安全體系;微觀層面，企業(yè)應(yīng)明確責(zé)任并制定系統(tǒng)的數(shù)據(jù)安全管理制度，而個人應(yīng)樹立對個人信息保護的主動防范意識，提升保護隱私和個人數(shù)據(jù)維權(quán)意識，采取積極有效的數(shù)據(jù)保護防范措施。

關(guān)鍵詞：數(shù)據(jù)安全;法律保護制度;完善對策

中圖分類號：D 912? ? ? ? ? 文獻(xiàn)標(biāo)識碼：? A? ? ? 文章編號：2096-9783（2021）02-0001-07

引? 言

隨著數(shù)字化世界的到來，數(shù)據(jù)成為各國博弈的新領(lǐng)域。隨著數(shù)據(jù)的急劇增長，數(shù)據(jù)安全風(fēng)險也隨之提高，但是無論是國內(nèi)法律還是國際規(guī)則尚缺乏應(yīng)對經(jīng)驗和智慧?！吨腥A人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱《數(shù)據(jù)安全法（草案）》）（2020年7月3日發(fā)布）既是踐行中國一直倡導(dǎo)的網(wǎng)絡(luò)空間命運共同體理念，也是中國為全球數(shù)據(jù)治理貢獻(xiàn)的中國方案和智慧?！稊?shù)據(jù)安全法（草案）》是構(gòu)建以《國家安全法》為核心的國家安全法律體系的重要組成部分，國家安全保護是其出臺的出發(fā)點之一，數(shù)據(jù)安全是國家安全的組成部分?？梢哉f，二十一世紀(jì)是大規(guī)模放松管制和私有化的時代，許多國家的關(guān)鍵基礎(chǔ)設(shè)施（如能源、交通、金融和醫(yī)藥等領(lǐng)域）已交由私營部門掌握，入侵者正不斷瞄準(zhǔn)這些關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。同時，個人信息安全也時刻牽動著社會各界的神經(jīng)，已經(jīng)可用的大量信息使重新識別變得容易。數(shù)據(jù)安全主要側(cè)重于防止通過入侵或泄漏而對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問，而不管未經(jīng)授權(quán)的一方是誰1。數(shù)據(jù)安全目前是大數(shù)據(jù)新時代的主題，在新時代進(jìn)行科學(xué)有效的數(shù)據(jù)安全治理，確保數(shù)字經(jīng)濟的持續(xù)健康發(fā)展是我國國民經(jīng)濟和社會發(fā)展的重要任務(wù)。《數(shù)據(jù)安全法（草案）》第九條明確了國家在建立健全數(shù)據(jù)安全協(xié)同治理體系過程中，有關(guān)部門、行業(yè)組織、企業(yè)和個人等應(yīng)共同參與數(shù)據(jù)安全保護工作。下文主要從政府、企業(yè)和個人三個層面進(jìn)一步探析數(shù)據(jù)安全保護法律制度的完善問題，尤其側(cè)重個人數(shù)據(jù)和重要數(shù)據(jù)的安全保護。

一、數(shù)據(jù)安全的定義、分類及其保護法律制度完善的必要性

（一）數(shù)據(jù)安全定義及其分類

1.數(shù)據(jù)安全概念的界定

安全通常是指保護資產(chǎn)（如建筑物、設(shè)備、貨物、存貨、在某些情況下還包括人員等）不受威脅。數(shù)據(jù)安全（信息安全）通常是指“保護（數(shù)據(jù)）信息免受各種威脅以確保業(yè)務(wù)的連續(xù)性、風(fēng)險最小化以及最大化投資回報和商業(yè)機會”2，以及“組織或機構(gòu)維護對其運營至關(guān)重要的信息的系統(tǒng)、媒體和設(shè)施的過程。3”本文認(rèn)為，數(shù)據(jù)安全通常指數(shù)據(jù)的機密性、可用性和完整性，即依靠各種流程和措施防止未經(jīng)授權(quán)的個人或組織使用或訪問數(shù)據(jù)。數(shù)據(jù)安全需要確保數(shù)據(jù)準(zhǔn)確可靠，并且在具有訪問權(quán)限的人員需要時確保數(shù)據(jù)可用。實踐中，“數(shù)據(jù)安全”關(guān)注如下兩個方面：一方面，信息系統(tǒng)，如計算機系統(tǒng)、網(wǎng)絡(luò)和軟件;另一方面，通過信息系統(tǒng)進(jìn)行記錄、存儲、處理、共享、傳輸?shù)臄?shù)據(jù)、消息和信息4。

2.數(shù)據(jù)安全分類

（1）按數(shù)據(jù)安全級別劃分：特別數(shù)據(jù)安全和一般數(shù)據(jù)安全

特別數(shù)據(jù)安全的保護適用于重要數(shù)據(jù)和敏感數(shù)據(jù)。重要數(shù)據(jù)是指與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體包括“未公開的政府信息、大面積人口、基因健康、地理、礦產(chǎn)資源等”5。重要數(shù)據(jù)一旦泄露可能會直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全。敏感數(shù)據(jù)是個人數(shù)據(jù)中需要特別關(guān)注的一種類型，一般是指“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇的個人信息6。就本文而言，敏感數(shù)據(jù)主要指：種族或民族血統(tǒng)、政治意見、宗教信仰或其他類似性質(zhì)的信仰、身體或精神健康或狀況（或任何遺傳數(shù)據(jù)）、性取向和其他相關(guān)活動、有關(guān)司法程序的任何信息、任何個人財務(wù)數(shù)據(jù)。一般數(shù)據(jù)安全保護適用于除重要數(shù)據(jù)和敏感數(shù)據(jù)以外的普通數(shù)據(jù)。

（2）按數(shù)據(jù)安全主體劃分：政府的數(shù)據(jù)安全、企業(yè)的數(shù)據(jù)安全及個人的數(shù)據(jù)安全

實踐中，數(shù)據(jù)治理主體呈現(xiàn)多元性，政府、企業(yè)和個人是數(shù)據(jù)安全治理的直接參與者和主要利益相關(guān)方。政府?dāng)?shù)據(jù)安全保護涉及：管理自身政務(wù)數(shù)據(jù)、建立數(shù)據(jù)安全標(biāo)準(zhǔn)、為社會組織合法合理收集、使用數(shù)據(jù)提供規(guī)范指引及加強個人數(shù)據(jù)保護公共宣傳。企業(yè)數(shù)據(jù)保護范圍包含其經(jīng)營過程中涉及的一切數(shù)據(jù)，其中個人數(shù)據(jù)和重要數(shù)據(jù)需要額外關(guān)注。個人是當(dāng)今互聯(lián)網(wǎng)的主要用戶，盡管侵犯隱私報道連篇累牘，絕大多數(shù)用戶依然心存僥幸或選擇漠視，但是只要互聯(lián)網(wǎng)存在一天，個人就應(yīng)加強自我防范意識，保護自身信息不被泄露和濫用。

（3）按數(shù)據(jù)生命周期的安全管理劃分：靜態(tài)的數(shù)據(jù)安全、傳輸中的數(shù)據(jù)安全、正在使用的數(shù)據(jù)安全

數(shù)據(jù)安全管理應(yīng)貫穿整個數(shù)據(jù)生命周期，即處在靜態(tài)中的數(shù)據(jù)、傳輸中的數(shù)據(jù)和使用中的數(shù)據(jù)。靜態(tài)數(shù)據(jù)是指以任何數(shù)字形式存儲的非活動數(shù)據(jù)，靜態(tài)數(shù)據(jù)可能位于硬盤驅(qū)動器或數(shù)據(jù)庫、云存儲或其它位置，由于數(shù)據(jù)存儲的聚合性，靜態(tài)數(shù)據(jù)常常成為攻擊者的主要目標(biāo)。傳輸中的數(shù)據(jù)是指數(shù)據(jù)從一存儲地向另一存儲地進(jìn)行移動，此種數(shù)據(jù)也很容易受到攻擊，無論是通過專用網(wǎng)絡(luò)、本地設(shè)備、還是公共/不可信空間。使用中的數(shù)據(jù)保護最容易被忽略，在對使用中的數(shù)據(jù)進(jìn)行保護時，除了訪問控制和用戶身份驗證，還應(yīng)采用同態(tài)加密等安全技術(shù)。總之，數(shù)據(jù)保護方案必須貫穿數(shù)據(jù)生命周期中的各個環(huán)節(jié)。

（二）數(shù)據(jù)泄露事件頻發(fā)對數(shù)據(jù)安全保護法律制度的完善提出了迫切要求

現(xiàn)在的大型數(shù)據(jù)泄露事件，幾乎到了每天都會曝光一次的頻率。根據(jù)國際數(shù)據(jù)公司（IDC）預(yù)測，至2020年，全球四分之一的人口將受到數(shù)據(jù)泄露的影響，在這個高度連接的世界中，這些數(shù)據(jù)泄露行為對許多組織及其領(lǐng)導(dǎo)人來說都是迫在眉睫的威脅7?？v觀國際商業(yè)機器公司（IBM）發(fā)布的《2020數(shù)據(jù)泄露成本報告》8，我們可以看到，惡意攻擊、系統(tǒng)故障、人為錯誤這三類是導(dǎo)致數(shù)據(jù)泄露事件發(fā)生的根本原因，其中系統(tǒng)故障是導(dǎo)致政府等公共部門數(shù)據(jù)泄露的主要原因。我國也發(fā)生過不少大型數(shù)據(jù)泄露事件，對個人和企業(yè)造成了很大損害9。在數(shù)據(jù)的作用與地位日漸重要的今天，數(shù)據(jù)安全關(guān)乎國家安全，關(guān)乎市場組織數(shù)字化發(fā)展和未來的商業(yè)模式及競爭力，任何數(shù)據(jù)泄露事件將對市場組織的正常運營、收入和聲譽造成重大影響，同時，數(shù)據(jù)安全也關(guān)乎著個人信息隱私保護。

二、我國現(xiàn)行數(shù)據(jù)安全保護法律制度及其不足

數(shù)字經(jīng)濟的發(fā)展離不開技術(shù)研發(fā)和法制保障，在某種意義上，法制建設(shè)和完善起著基礎(chǔ)性作用，因為良好的法律制度能激發(fā)市場主體的積極性、創(chuàng)造性。

（一）我國現(xiàn)行數(shù)據(jù)安全保護法律制度的現(xiàn)狀

1. 基礎(chǔ)性法律規(guī)范

事實上，我國正在不斷完善數(shù)據(jù)安全相關(guān)制度和規(guī)則，保障個人數(shù)據(jù)和重要數(shù)據(jù)安全的同時充分發(fā)揮數(shù)據(jù)的經(jīng)濟價值，并不斷推動數(shù)據(jù)安全協(xié)同治理機制的形成。2016年《網(wǎng)絡(luò)安全法》首次提出了重要數(shù)據(jù)的概念，并在第三十七條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者掌握的重要數(shù)據(jù)境內(nèi)存儲及出境應(yīng)進(jìn)行安全評估10。《數(shù)據(jù)安全法（草案）》在第三章“數(shù)據(jù)安全制度”和第四章“數(shù)據(jù)安全保護義務(wù)”中，從國家需要建立的保護制度和重要數(shù)據(jù)的處理者應(yīng)承擔(dān)的保護義務(wù)兩方面，對重要數(shù)據(jù)保護做出了規(guī)定。為降低人們在使用那些必需采集個人信息的平臺或軟件時發(fā)生信息泄露風(fēng)險，《網(wǎng)絡(luò)安全法》第四十一條明確規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循安全、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的方式和范圍，并經(jīng)被收集者同意11?！睹穹ǖ洹返谝磺Я闳臈l明確了個人信息的保護范圍，其中“電子郵箱”和“行蹤信息”首次被明確納入了個人信息范疇，進(jìn)一步加強了對個人信息的保護;第一千零三十五條從個人信息的處理原則和條件方面進(jìn)行了規(guī)定12。《個人信息保護法》（草案）已正式全文對外發(fā)布，全文共八章七十條，在總則、個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人處理者的義務(wù)、履行個人信息保護職責(zé)的部門、法律責(zé)任和附則等多個層面設(shè)計和建構(gòu)個人信息保護的立法框架。草案整體上對個人信息提供了高標(biāo)準(zhǔn)的保護13。

隨著信息技術(shù)的高速發(fā)展，大數(shù)據(jù)正在成為一種全新的國家實力要素14。數(shù)據(jù)的安全直接關(guān)涉國家經(jīng)濟和社會發(fā)展，上述數(shù)據(jù)安全法律制度為相關(guān)數(shù)字實踐提供了重要制度基礎(chǔ)。

2.中央和地方性法規(guī)及規(guī)章

（1）政府?dāng)?shù)據(jù)管理。政府?dāng)?shù)據(jù)包括廣義及狹義兩個層面，狹義的政府?dāng)?shù)據(jù)主要是政府所擁有和管理的數(shù)據(jù)，如氣象、教育、醫(yī)療、金融等不同領(lǐng)域的各種數(shù)據(jù);廣義的政府?dāng)?shù)據(jù)則與政府部門的工作內(nèi)容相聯(lián)系，涉及政府在履行職能而需要收集的外部大數(shù)據(jù)，具體包括政府及其相關(guān)機構(gòu)在履職過程中形成和掌握的各類統(tǒng)計數(shù)據(jù)，如國內(nèi)生產(chǎn)總值、財政及國際收支、物價指數(shù)及稅收、國土資源、人口就業(yè)、交通治安等各類數(shù)據(jù)，在此之中還涵蓋互聯(lián)網(wǎng)輿論數(shù)據(jù)。我國保障數(shù)據(jù)安全的工作隨著政務(wù)數(shù)據(jù)開放才逐漸重視起來，2015年，國務(wù)院發(fā)布《關(guān)于促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，提出了對涉及國家利益、公共安全、商業(yè)秘密、個人隱私、軍工科研生產(chǎn)等數(shù)據(jù)保護，之后，各地也陸續(xù)出臺了大數(shù)據(jù)或政務(wù)數(shù)據(jù)安全方面的條例、辦法和細(xì)則等文件。2019年1月1日，天津市開始實施《天津市促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用條例》，此條例圍繞大數(shù)據(jù)發(fā)展應(yīng)用的迫切需求和趨勢，充分發(fā)揮大數(shù)據(jù)在商用、民用、政用方面的價值和作用，構(gòu)建大數(shù)據(jù)發(fā)展應(yīng)用新格局，并在極大程度上保護用戶的信息和數(shù)據(jù)15。政府部門存儲的數(shù)據(jù)要比私營部門大得多，且往往重要得多，但是經(jīng)常將其保存在陳舊且更易受攻擊的系統(tǒng)上，因此公共部門面臨的挑戰(zhàn)更加嚴(yán)峻，打算進(jìn)行數(shù)字化轉(zhuǎn)型的政府將網(wǎng)絡(luò)安全視為一項重大挑戰(zhàn)。可以說，公共部門比任何其他部門都面臨更多的安全事件和數(shù)據(jù)泄露16。

（2）個人數(shù)據(jù)安全保護?！秶医y(tǒng)計信息網(wǎng)絡(luò)管理暫行規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法規(guī)規(guī)章從各個角度對各種個人信息進(jìn)行了多維保護。同時，在一些特殊行業(yè)和領(lǐng)域，也制定了相關(guān)法規(guī)對個人信息加以保護，如衛(wèi)生部關(guān)于印發(fā)《對艾滋病病毒病感染者和艾滋病病人管理意見的通知》、國家衛(wèi)生和計劃生育委員會、國家中醫(yī)藥管理局關(guān)于印發(fā)《醫(yī)療機構(gòu)病例管理規(guī)定（2013版）》等。隨著大數(shù)據(jù)和云計算技術(shù)的發(fā)展，個人信息被收集的途徑和方式越來越多，但是收集的目的、方式和類型缺乏統(tǒng)一和明確的法規(guī)和制度來進(jìn)行管理。政府面臨著網(wǎng)絡(luò)數(shù)據(jù)監(jiān)管的失控，個人信息泄露事件頻頻發(fā)生，非技術(shù)性因素引發(fā)的隱私泄露已嚴(yán)重影響互聯(lián)網(wǎng)的信任度。

3. 數(shù)據(jù)安全標(biāo)準(zhǔn)

數(shù)據(jù)安全是組織機構(gòu)信息安全體系的重要環(huán)節(jié)，許多組織機構(gòu)并不充分了解自身的數(shù)據(jù)安全能力，行業(yè)內(nèi)急需一套評估組織機構(gòu)數(shù)據(jù)安全能力的標(biāo)準(zhǔn)規(guī)范。為落實《網(wǎng)絡(luò)安全法》中“國家鼓勵開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護和利用技術(shù)，促進(jìn)公共數(shù)據(jù)資源開放”及“國家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系”等要求，響應(yīng)《大數(shù)據(jù)發(fā)展行動綱要》中“健全大數(shù)據(jù)安全保障體系，強化安全支撐;完善法規(guī)制度和標(biāo)準(zhǔn)體系，科學(xué)規(guī)范利用大數(shù)據(jù)，切實保障數(shù)據(jù)安全”的主要任務(wù)。2016年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260，簡稱“信安標(biāo)委”）成立了大數(shù)據(jù)安全標(biāo)準(zhǔn)化特別工作組（SWG-BDS），連續(xù)開展了數(shù)項數(shù)據(jù)安全標(biāo)準(zhǔn)研制項目。至2019年12月，已有四項數(shù)據(jù)安全國家標(biāo)準(zhǔn)正式發(fā)布：GB/T 35274-2017《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》、GB/T 37932-2019《信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求》、GB/T 37973-2019 《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》、GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》。這樣的標(biāo)準(zhǔn)能夠幫助各行業(yè)、組織機構(gòu)基于統(tǒng)一標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力，發(fā)現(xiàn)數(shù)據(jù)安全能力短板，查漏補缺，最終提升互聯(lián)網(wǎng)行業(yè)的整體安全管理水平和產(chǎn)業(yè)競爭力，促進(jìn)數(shù)字經(jīng)濟發(fā)展。同時，2020年，國家信安標(biāo)委正式立項國家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)識別指南》，從公布的草案稿來看，該標(biāo)準(zhǔn)簡化了重要數(shù)據(jù)定義、明確提出了重要數(shù)據(jù)的主要分布;不再沿用行業(yè)分類的方式，而是從數(shù)據(jù)的作用、受破壞后可能帶來的影響等角度，對重要數(shù)據(jù)做分類。這對重要數(shù)據(jù)保護實施起到了指導(dǎo)作用。

（二）我國現(xiàn)行數(shù)據(jù)安全保護法律制度的不足

我國數(shù)據(jù)安全法律制度是對當(dāng)今數(shù)字化世界中出現(xiàn)的不安定因素提出的中國方案和對策，對全球數(shù)據(jù)治理有著積極意義，也是未來指導(dǎo)數(shù)據(jù)安全實踐的重要法律基礎(chǔ)。但看具體制度本身，普遍偏原則性，缺乏實施指導(dǎo)性。就文章論述的主題而言，主要存在兩點不足。首先，《數(shù)據(jù)安全法（草案）》第九條規(guī)定的數(shù)據(jù)安全協(xié)同治理體系，只是對保護主體作了明確，而各主體的實施重點及如何協(xié)同都未規(guī)定。其次，《數(shù)據(jù)安全法（草案）》對重要數(shù)據(jù)比《網(wǎng)絡(luò)安全法》規(guī)定的更系統(tǒng)、明確，但是尚未明確保護的對象，具體存在如下問題：尚未細(xì)化管理制度和要求;重要數(shù)據(jù)保護權(quán)限過度“下放”;需要協(xié)同重要數(shù)據(jù)和個人數(shù)據(jù)保護;需要協(xié)同重要數(shù)據(jù)和數(shù)據(jù)分類分級。

此外，政府既是政府?dāng)?shù)據(jù)的直接管理者，也是落實國家數(shù)據(jù)安全實施的重要執(zhí)行和監(jiān)督主體。但是，由于缺乏法律的明確指引，現(xiàn)實中存在以下問題：政府?dāng)?shù)據(jù)安全管理主體分散，政府機構(gòu)內(nèi)部、企業(yè)，甚至第三方機構(gòu)，都會因直接或間接接觸數(shù)據(jù)而影響數(shù)據(jù)安全;法律問責(zé)機制缺失，一旦發(fā)生數(shù)據(jù)泄露，對相關(guān)責(zé)任人的懲處不足以使當(dāng)事人嚴(yán)肅對待;政府?dāng)?shù)據(jù)安全的投入不足，無論是資金、技術(shù)還是人才方面的投入都遠(yuǎn)低于發(fā)達(dá)國家。此外，政府需出臺更詳細(xì)的規(guī)則或指令以指導(dǎo)企業(yè)數(shù)據(jù)安全保護實踐，同時還應(yīng)加強個人數(shù)據(jù)隱私侵犯的執(zhí)法活動等。

三、我國數(shù)據(jù)安全保護法律制度的完善建議

鑒于上文分析的數(shù)據(jù)安全保護法律制度存在著諸多不足，本文提出如下相關(guān)的完善建議。

（一）盡快制定通過我國的《數(shù)據(jù)安全法》

2020年7月3日，全國人大常委會第二十次會議審議了《數(shù)據(jù)安全法（草案）》并公開征求意見，本法作為數(shù)據(jù)安全領(lǐng)域的專門法律，體現(xiàn)了國家立法層面對數(shù)據(jù)安全的高度重視，也為實踐中各數(shù)據(jù)保護主體具體實施數(shù)據(jù)保護指明了努力方向?！稊?shù)據(jù)安全法（草案）》公布后受到了學(xué)界、實務(wù)界等領(lǐng)域的學(xué)者與專家的廣泛關(guān)注和探討，并提出了許多建設(shè)性的完善建議，相關(guān)立法部門應(yīng)盡快匯總、綜合并提煉社會各界的有益意見、建議，爭取早日通過并頒布《數(shù)據(jù)安全法》，為我國的數(shù)據(jù)經(jīng)濟的安全發(fā)展保駕護航，為保護有關(guān)當(dāng)事人合法權(quán)益提供立法依據(jù)。

（二）在全球數(shù)字治理背景下構(gòu)建和完善數(shù)據(jù)安全制度

隨著信息技術(shù)發(fā)展日新月異，數(shù)字經(jīng)濟蓬勃發(fā)展，極大影響著人類的生產(chǎn)生活，對各國經(jīng)濟發(fā)展、全球治理體系、甚至人類文明都有著深遠(yuǎn)影響。數(shù)據(jù)已代替了傳統(tǒng)的商品、貨幣成為了21世紀(jì)跨境流通最主要的要素。在全球分工合作日益密切背景下，保護數(shù)據(jù)安全與促進(jìn)數(shù)字經(jīng)濟發(fā)展同樣重要。數(shù)據(jù)安全法律制度的構(gòu)建和完善應(yīng)放眼全球，分析全球數(shù)字治理發(fā)展現(xiàn)狀和趨勢，將中國數(shù)據(jù)安全治理方案融入到全球數(shù)字治理體系中去。中國近期提出的《全球數(shù)據(jù)安全倡議》便是對全球數(shù)字治理的最新實踐，《數(shù)據(jù)安全法》的最終稿形成和出臺也應(yīng)響應(yīng)這一時代主題。

（三）避免過度原則性規(guī)定，注重法律的實施指導(dǎo)意義

縱觀數(shù)據(jù)安全法律制度，尚存在待改善之處，其中最重要的一點是增強法律的實施指導(dǎo)性，避免抽象化和原則化。《數(shù)據(jù)安全法（草案）》中規(guī)定的由政府、企業(yè)、個人等構(gòu)成的數(shù)據(jù)安全協(xié)同治理體系應(yīng)明確相關(guān)原則及各自的側(cè)重點，如政府層面應(yīng)著力于頂層設(shè)計、加強數(shù)據(jù)安全執(zhí)法等;企業(yè)應(yīng)致力于完善內(nèi)部數(shù)據(jù)安全合規(guī)管理機制;個人應(yīng)加強對數(shù)據(jù)安全和數(shù)據(jù)隱私本身的識別和認(rèn)識，并熟悉個人數(shù)據(jù)（隱私）保護相關(guān)法律法規(guī)。具體應(yīng)從以下幾個層面進(jìn)行完善。

1. 完善政府?dāng)?shù)據(jù)保障體系

第一，確保數(shù)據(jù)安全。首先，政府部門必須審查其數(shù)據(jù)以確定敏感程度;其次，加強內(nèi)部人員管理并進(jìn)行數(shù)據(jù)安全培訓(xùn)。此外，應(yīng)充分利用大數(shù)據(jù)和成熟的分析技術(shù)檢測行為異常的員工，以應(yīng)對政府部門的內(nèi)部威脅?？傊W(wǎng)絡(luò)威脅的不斷演化需要政府協(xié)同企業(yè)和安全服務(wù)提供商以共享有關(guān)漏洞、威脅和補救措施的信息。第二，保持警惕，充分認(rèn)識威脅。這意味著需要了解哪些數(shù)據(jù)是入侵者最想要的，哪些網(wǎng)絡(luò)犯罪分子對這些數(shù)據(jù)最感興趣以及網(wǎng)絡(luò)入侵者最有可能用于滲透系統(tǒng)的黑客。第三、加強復(fù)原力構(gòu)建。復(fù)原力指政府機構(gòu)抵御網(wǎng)絡(luò)攻擊的能力，即能夠抵御破壞并動用各種資源以最大程度減少其影響的能力。有復(fù)原能力的機構(gòu)通常會以最小化訪問權(quán)限，對數(shù)據(jù)進(jìn)行加密和匿名化處理以限制其可用性，同時會持續(xù)掃描是否存在漏洞，以便在發(fā)生入侵事件時僅泄露少量信息。對政府公共機構(gòu)而言，復(fù)原力關(guān)乎公眾信任重建?？傊?，政府?dāng)?shù)據(jù)管理應(yīng)采用柔性技術(shù)和管理制度并行，使之成為推動政府職能轉(zhuǎn)變、提升國家治理效能的重要催化劑17。

2. 指導(dǎo)企業(yè)構(gòu)建數(shù)據(jù)安全體系

首先，政府應(yīng)以確立“監(jiān)督、促進(jìn)和協(xié)作”為指導(dǎo)準(zhǔn)則;其次，政府應(yīng)加強企業(yè)“合理”或“適當(dāng)”等法律安全合規(guī)性要求的指導(dǎo)，無需告知公司必需采取哪些特定的安全措施，但是應(yīng)指導(dǎo)企業(yè)建立相應(yīng)流程，該流程旨在識別和評估風(fēng)險，執(zhí)行針對這些風(fēng)險的適當(dāng)安全措施并確保其實施有效且持續(xù)更新。總之，安全是一個過程，有關(guān)安全的法律義務(wù)應(yīng)側(cè)重于在特定情況下可以達(dá)到預(yù)期安全目標(biāo)的合理方法。

3. 加強數(shù)據(jù)安全執(zhí)法

為保護公民個人信息，近期我國正開展全國網(wǎng)絡(luò)安全執(zhí)法大檢查，展開對大數(shù)據(jù)安全的整治工作，加大對違法違規(guī)APP的清理整治力度。這在一定程度上嚴(yán)懲了許多不法網(wǎng)絡(luò)平臺/APP經(jīng)營者，用行動證明了國家對個人信息保護的重視。但對數(shù)據(jù)安全的執(zhí)法應(yīng)有重點、有區(qū)分，重點稽查、懲治涉及人民生命健康、財產(chǎn)安全的網(wǎng)絡(luò)平臺/APP，對于其它一般行業(yè)實施企業(yè)自律和行業(yè)監(jiān)督雙軌制。

（四）明確企業(yè)數(shù)據(jù)安全保護責(zé)任，提升個人數(shù)據(jù)安全保護意識

1. 企業(yè)應(yīng)制定系統(tǒng)的數(shù)據(jù)安全管理制度以履行安全保護責(zé)任

企業(yè)應(yīng)明確其數(shù)據(jù)安全保護責(zé)任并采取有效措施來切實履行，而系統(tǒng)的數(shù)據(jù)安全管理制度是重要的有效措施。該措施應(yīng)該至少包含以下五個方面：第一，建立企業(yè)數(shù)據(jù)安全責(zé)任制;第二，制定網(wǎng)絡(luò)服務(wù)政策;第三，制定系統(tǒng)安全策略;第四，建立安全事件應(yīng)對機制。一旦發(fā)生安全事件，應(yīng)在第一時間采取適當(dāng)?shù)拇胧?yīng)對，包括對事件的評估和報告，以及如何解決導(dǎo)致該事件的源頭以及如何防止該問題再次發(fā)生，并及時將損失等降低到最小程度;第五，制定內(nèi)部數(shù)據(jù)許可使用政策。公司應(yīng)制定相應(yīng)規(guī)則明確許可使用政策的定義和范圍，并讓相關(guān)員工在相應(yīng)政策文件上進(jìn)行簽署，以便后續(xù)發(fā)生不當(dāng)使用可以采取紀(jì)律處分等。企業(yè)一旦實施了統(tǒng)一的數(shù)據(jù)安全政策，那么在該政策生效實施后，應(yīng)至少每年對其進(jìn)行兩次審查，進(jìn)行風(fēng)險合規(guī)評估，風(fēng)險評估包括確定風(fēng)險、評估風(fēng)險的發(fā)生概率及潛在影響、采取措施糾正嚴(yán)重風(fēng)險、然后評估這些步驟的有效性。

2. 自然人個人應(yīng)提升數(shù)據(jù)安全保護意識

自然人個人信息泄露渠道越來越多，但就個人而言，首先要重視個人信息保護，避免在不經(jīng)意間向他人或外界透露自己的信息。時刻提高警惕，不斷加強個人信息保護意識，增強辨識能力。一方面應(yīng)深刻認(rèn)識到信息泄露對自己可能帶來的嚴(yán)重威脅和損失，牢固樹立對自身信息保護的主動防范意識，切實做到防患于未然，不給不法分子留下侵權(quán)或犯罪的機會;如個人通話記錄、行走軌跡、網(wǎng)上瀏覽記錄、購物記錄、社交網(wǎng)站記錄等信息，不法分子可能會通過大數(shù)據(jù)分析推算出個人的性別、年齡、職業(yè)、愛好、社交等隱私信息。另一方面應(yīng)建立保護隱私和個人數(shù)據(jù)維權(quán)意識并采取積極有效的數(shù)據(jù)保護防范措施。法律是對個人信息保護最直接的手段。遭遇信息泄露的個人有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止;個人還可向公安部門、互聯(lián)網(wǎng)管理部門、工商部門、消協(xié)、行業(yè)管理部門和相關(guān)機構(gòu)進(jìn)行投訴舉報;個人還可依據(jù)《民法典》《消費者權(quán)益保護法》等，通過法律手段進(jìn)一步維護自己的合法權(quán)益，如要求侵權(quán)人賠禮道歉、消除影響、恢復(fù)名譽、賠償損失等。

結(jié)? 語

互聯(lián)網(wǎng)是一個旨在共享信息而非保護信息的平臺，這種連通性推動了公共和私營部門的創(chuàng)新和效能。互聯(lián)網(wǎng)有著自身運轉(zhuǎn)的機制和風(fēng)險，在過去幾十年中，我們通過互聯(lián)網(wǎng)連接了經(jīng)濟和社會，一定程度上改變了人們的生活方式和學(xué)習(xí)模式等，為人們帶來了諸多便利。同時，互聯(lián)網(wǎng)也為網(wǎng)絡(luò)犯罪分子提供了商機，早期的黑客行為主要是為了尋求刺激和娛樂，但是，慢慢地出現(xiàn)了牟利動機，甚至吸引了有組織、有預(yù)謀且成集團化的全球犯罪組織?，F(xiàn)在很多國家將網(wǎng)絡(luò)空間歸類為新疆域，與海陸空同樣重要，有可能成為新的戰(zhàn)場。信息系統(tǒng)是該疆域最為重要的運轉(zhuǎn)基礎(chǔ)，而其最核心的資產(chǎn)是數(shù)據(jù)，因為數(shù)據(jù)構(gòu)成了互聯(lián)網(wǎng)運行的基本要素，是信息系統(tǒng)發(fā)揮功能的命脈。因此，數(shù)據(jù)安全的保障是網(wǎng)絡(luò)安全的核心議題，特別是關(guān)乎組織數(shù)字化發(fā)展和未來的商業(yè)模式及競爭力，任何數(shù)據(jù)泄露事件將對組織的正常運營、收入和聲譽造成重大影響。安全是大數(shù)據(jù)發(fā)展的重大挑戰(zhàn)，數(shù)據(jù)需要流動、共享、運用以發(fā)揮其應(yīng)有的價值，但也要保護好國家機密、商業(yè)秘密和個人隱私。在技術(shù)層面上，區(qū)塊鏈技術(shù)可以較好地解決數(shù)據(jù)安全問題，通過加密、溯源，可以追溯數(shù)據(jù)泄露者，讓人不敢輕易違法。上述諸目標(biāo)的實現(xiàn)需要相應(yīng)的法律制度的保障，為此，我國應(yīng)盡快構(gòu)建和完善以《數(shù)據(jù)安全法》為基礎(chǔ)的數(shù)據(jù)安全保護法律體系。

參考文獻(xiàn)：

[1] DILLON PHILLIPS，Data Privacy vs. Data Security： What is the Core Difference？[J]. DATA SECURITY，JULY 7， 2020.

[2] ISO/IEC 27002：2005， Information Technology-Security Techniques-Code of Practice for Information Security Management （June. 2005）.

[3] 何淵.數(shù)據(jù)法學(xué)[M].北京：北京大學(xué)出版社，2020：7.

[4] Maddie Davis， Damaging After-Effects of a Data Breach[J].July 25， 2019.

[5] Cost of a Data Breach Report，IBM Security，2020. https：//www.ibm.com/security/digital-assets/cost-data-breach-report/Cost%20of%20a%20Data%20Breach%20Report%202020.pdf.

[6] 胡健.基于大數(shù)據(jù)的國家實力：內(nèi)涵及其評估[J].中國社會科學(xué).2018（8）：185.

[7] “2015 Data breach investigations report” Verizon， 2015. http：//higherlogicdownload.s3.amazonaws.com/GOVERNANCEPROFESSIONALS/a8892c7c-6297-4149-b9fc-3785 77d0b150/UploadedImages/Landing%20Page%20Documents/ DBIR%20Executive%20Summary%20vv%204-10-15.pdf.

[8] 第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》[R].中國互聯(lián)網(wǎng)絡(luò)信息中心，2020（4）.

[9] 中國網(wǎng)民個人隱私狀況調(diào)查報告[R].騰訊新聞、企業(yè)智庫研究出品，2018（8）.

[10] SANS Institute， “CIS critical security controls： Guidelines，” https：//www.sans.org/critical-security-controls/guidelines.

[11] Ed Powers and Mary Galligan， “The pursuit of cybersecurity，” Risk and Compliance Journal， July 27， 2015.

[12] 謝軍.為政務(wù)數(shù)據(jù)“上鎖――織密數(shù)據(jù)安全防護網(wǎng)[N].人民日報，2020-8-12（1）.

[13] Risks， Harms and Benefits Assessment Tool， Global Pulse. https：//unglobalpulse.org/wp-content/uploads/2019/02/risk-harms-and-benefits-assessment-tool.pdf.

[14] 魯傳穎.網(wǎng)絡(luò)空間安全困境及治理機制構(gòu)建[J].現(xiàn)代國際關(guān)系，2018（11）：51.

[15] 董青嶺.大數(shù)據(jù)安全態(tài)勢感知與沖突預(yù)測[J].中國社會科學(xué)，2018（6）.

[16] Tal Z. Zarsky， Incompatible： The GDPR in the Age of Big Data[J]， SETON HALL LAW REVIEW， Vol. 47：995，2017.

The Improvement of China's Legal System of Data Security Protection

Ma Zhongfa， Hu Ling

（Law School， Fudan University， Shanghai 200433， China）

Abstract： Article 9 of the "Data Security Law of the People's Republic of China （Draft）" clarifies the importance of country， enterprises and individuals participating in the construction of a data security collaborative governance system. In this regard， after defining the meaning of the data security concept and classifying it， we should realize that the security of important and sensitive data should be more valued than general data security. Furthermore， in response to the phenomenon of frequent data breaches that has caused widespread concern about data security， the current data legal protection system and its shortcomings are analyzed. Finally， combined with the diversity of data governance subjects， and in view of the deficiencies of the existing legal system， the following suggestions are made in terms of implementing and improving data security protection： at the macro level， the government should improve the data protection system， improve data security standards， and guide companies to build data security systems; at the micro level， companies should clarify their responsibilities and formulate a systematic data security management system; individuals should establish an awareness of active prevention of personal information protection， establish awareness of infringement of privacy and personal data rights protection， and adopt data protection preventive measures.

Key words： data security; legal protection system; perfecting countermeasure