劉 曼，洪 晟

(1.北京航空航天大學 法學院，北京 100083；2.北京航空航天大學 網絡空間安全學院，北京 100083）

0 引言

數(shù)據(jù)已成為重要的生產要素之一[1]，中國視數(shù)據(jù)為經濟的驅動力，數(shù)據(jù)業(yè)已融入各個行業(yè)領域的數(shù)字化轉型進程。工業(yè)數(shù)據(jù)在支撐工業(yè)經濟各要素、產業(yè)鏈、價值鏈中發(fā)揮重要作用，工業(yè)數(shù)據(jù)安全直接關系到工業(yè)經濟安全。作為工業(yè)經濟的“血液”，工業(yè)數(shù)據(jù)對于國家的重要性可謂不言自明。

工業(yè)數(shù)據(jù)是指在工業(yè)企業(yè)中各項工業(yè)流程環(huán)節(jié)、工業(yè)互聯(lián)網連接運行中生成的數(shù)據(jù)的總和，也包括在工業(yè)領域中應用的數(shù)據(jù)[2]。工業(yè)數(shù)據(jù)具體主要由三部分構成：企業(yè)運營相關的業(yè)務數(shù)據(jù)、產線設備互聯(lián)數(shù)據(jù)和企業(yè)外部數(shù)據(jù)。工業(yè)數(shù)據(jù)在工業(yè)互聯(lián)網中位于舉足輕重的地位[1]。

因為工業(yè)涉及的具體行業(yè)非常繁多，導致工業(yè)互聯(lián)網會與諸多信息系統(tǒng)相聯(lián)系，工業(yè)數(shù)據(jù)來源多、分布廣、種類多、體量大等特點及工業(yè)數(shù)據(jù)地位的重要性使得工業(yè)數(shù)據(jù)廣受關注，這也使得數(shù)據(jù)攻擊事件從公共互聯(lián)網向工業(yè)互聯(lián)網轉移[2]。國家有關部門發(fā)布的《2021年工業(yè)信息安全態(tài)勢報告》顯示，2021年全國工業(yè)信息安全指數(shù)為53.7，已經處于“中?！彼?，并且安全風險威脅持續(xù)加劇，境外攻擊有增無減，低防護聯(lián)網設備總量繼續(xù)上升，工控安全漏洞數(shù)量居高不下，工業(yè)信息安全防護與管理面臨更大挑戰(zhàn)。與傳統(tǒng)的計算機信息系統(tǒng)安全需求不同，工業(yè)互聯(lián)網數(shù)據(jù)信息系統(tǒng)需要兼顧特殊場景應用需求、管理需求以及成本運行控制等因素。因此工業(yè)數(shù)據(jù)安全保護不僅需要具體有效的工業(yè)安全防御技術支持，也需要全面完善明確的制度保障。

根據(jù)未來數(shù)據(jù)治理的發(fā)展趨勢，有必要制定一部全面的、專業(yè)性的工業(yè)數(shù)據(jù)安全保護方面的法律，以適應數(shù)據(jù)時代變化并滿足相應需求，對工業(yè)數(shù)據(jù)保護與利用問題進行規(guī)范，促進相關工業(yè)產業(yè)健康發(fā)展。

本文研究匯總了中國關于數(shù)據(jù)安全保護的主要法律法規(guī)，希望通過分析相關法律規(guī)定的發(fā)展歷程、主要內容，窺探工業(yè)數(shù)據(jù)安全保護建設歷程，以尋求工業(yè)數(shù)據(jù)安全保護的路徑與方式。還通過對國外(以歐盟為代表)數(shù)據(jù)安全保護相關法律法規(guī)簡要歸納分析與借鑒，提出了關于工業(yè)數(shù)據(jù)安全保護的建議，希望有助于中國工業(yè)數(shù)據(jù)安全保護的法律體系建設。

1 中國關于工業(yè)數(shù)據(jù)的法律法規(guī)體系與評價

截止到2022年2月份，通過中國法律檢索系統(tǒng)以全文檢索的方式檢索“工業(yè)數(shù)據(jù)”字樣，也只有于2021年9月27日公布，并于同年11月1日開始施行的《天津市促進智能制造發(fā)展條例》中第23條明確表明“加強對工業(yè)互聯(lián)網以及數(shù)據(jù)中心的建設”。鑒于中國現(xiàn)在還并沒有針對工業(yè)數(shù)據(jù)的比較全面的法律法規(guī)，本文將從對計算機數(shù)據(jù)的相關法律規(guī)定為起始點，探究分析對工業(yè)數(shù)據(jù)的法律規(guī)定。

表1是對中國關于計算機數(shù)據(jù)安全保護立法進程的大致回顧，主要匯總了各立法發(fā)展階段具有代表性的法律法規(guī)。

表1 中國關于工業(yè)數(shù)據(jù)保護的簡要立法歷程

計算機數(shù)據(jù)安全保護始于1983年12月15日施行的《醫(yī)學科學技術檔案管理辦法》(現(xiàn)已失效)，該辦法中明確，醫(yī)學科學技術檔案包括計算機數(shù)據(jù)等科技文件資料。這是中國能夠查詢到的最早的、直接的關于計算機數(shù)據(jù)的規(guī)定。目前，雖然中國已有專門的《數(shù)據(jù)安全法》，但關于計算機數(shù)據(jù)安全的法律保護條文仍然散落在眾多的規(guī)定、辦法、條例、司法解釋中。相對于西方發(fā)達國家來說，中國對數(shù)據(jù)安全的法律保護起步稍顯滯后。通過表1分析可以看出中國關于工業(yè)數(shù)據(jù)的立法特點體現(xiàn)在以下幾個方面：

(1)保護的內容與對象。立法伊始，對計算機數(shù)據(jù)的保護并不是首先保護數(shù)據(jù)本身，而是重視對計算機硬件的保護；后逐漸重視計算機軟件系統(tǒng)的安全，體現(xiàn)在1991年公布的《計算機軟件保護條例》；此后中國也開始重視自身發(fā)展與國際發(fā)展的接軌，1996年2月份公布《計算機信息網絡國際聯(lián)網管理暫行規(guī)定》；隨著新世紀的到來，中國開始關注對互聯(lián)網各項服務、功能的規(guī)范與約束；近幾年立法規(guī)定直接表現(xiàn)為對計算機網絡、數(shù)據(jù)本身的保護，例如《網絡安全法》(2015年)、《數(shù)據(jù)安全法》(2021年)；由于近年來工業(yè)領域成為我國數(shù)字化轉型的主陣地，開始對數(shù)據(jù)“分門別類”地進行保護，特別體現(xiàn)在工業(yè)數(shù)據(jù)分類分級、關鍵信息基礎設施保護中。

續(xù)表

(2)數(shù)據(jù)保護的目的。最初對于計算機的保護多是出于加強信息安全保密工作的需要。發(fā)展至今，國家仍然高度重視與計算機相關的涉密安全防護，但同時重視發(fā)揮數(shù)據(jù)要素在經濟與管理延伸中的作用，關注計算機數(shù)據(jù)本身屬性與功能。

(3)對于數(shù)據(jù)本身的態(tài)度的變化。由單純的保護態(tài)度發(fā)展為采取較為中立的態(tài)度，加強對數(shù)據(jù)的管理治理，數(shù)據(jù)保護更加細化、具體。

中國完成了網絡法律體系的基本建設，為數(shù)據(jù)安全提供了法律制度方面的基礎性支持，彌補了數(shù)字法律以及數(shù)據(jù)保護板塊的空白，但是仍然缺少全面的、具有可執(zhí)行性的工業(yè)數(shù)據(jù)法律法規(guī)。《數(shù)據(jù)安全法》作為上位法，其法條內容多為原則性、宣示性條款，例如對于違反法律后處以何種具體的懲罰仍語焉不詳，無法滿足社會對解決數(shù)據(jù)安全保護實際問題的期待，其法條規(guī)定內容也多與《網絡安全法》存在重疊交叉?！豆I(yè)數(shù)據(jù)分類分級指南(試行)》作為對工業(yè)數(shù)據(jù)進行分類分級保護的指南性文件，并不具備法律意義上的約束力。

2 國外有關工業(yè)數(shù)據(jù)的法律法規(guī)

2.1 歐盟關于工業(yè)數(shù)據(jù)的主要法律法規(guī)與評價

相比較而言，國外對數(shù)據(jù)保護的研究歷史更加久遠。其中，歐盟關于數(shù)據(jù)的立法研究具有代表性、前沿性，本文主要匯總了歐盟在數(shù)據(jù)方面的主要法律規(guī)定，如表2所示。

通過表2分析，歐盟關于數(shù)據(jù)安全方面的立法發(fā)展變化主要體現(xiàn)在以下方面：

表2 歐盟關于數(shù)據(jù)安全保護的主要立法發(fā)展過程

(1)關注重點的變化。立法初期，歐盟國家對工業(yè)數(shù)據(jù)安全的保護較少重視，但隨著數(shù)字經濟發(fā)展，歐盟逐漸加強了對數(shù)據(jù)的保護與治理，著力發(fā)揮數(shù)據(jù)對經濟的正向價值。

(2)對數(shù)據(jù)態(tài)度的變化。與西方國家重視隱私保護的觀念傳統(tǒng)相關，起初對數(shù)據(jù)持有環(huán)節(jié)持保護、支持的態(tài)度。為了加強科技監(jiān)管、減少互聯(lián)網壟斷，歐盟之后的立法態(tài)度開始傾向于加強數(shù)據(jù)規(guī)制與數(shù)據(jù)治理，意圖打破數(shù)據(jù)壁壘，并且在制定法律的過程注重數(shù)據(jù)共享原則的貫徹體現(xiàn)[3]。

(3)對美國態(tài)度的變化。鑒于美國與歐盟之間的密切關系，歐盟的多項立法涉及兩者之間的數(shù)據(jù)流動。世紀之交時，在處理與美國數(shù)據(jù)爭端時采取讓步折衷態(tài)度，“安全港決定”有相應體現(xiàn)；之后呈現(xiàn)為中立態(tài)度，體現(xiàn)在“歐盟——美國隱私盾協(xié)議”；近兩年來，隨著數(shù)據(jù)要素價值的凸顯，歐盟對美國大型互聯(lián)網平臺公司多采取“遏制”態(tài)度[4]。

2.2 數(shù)據(jù)安全保護的法律法規(guī)的主要內容

1980年9月2日，經濟合作與發(fā)展組織(OECD)發(fā)布《隱私保護與個人數(shù)據(jù)跨國流通指南》，該指南的第二部分規(guī)定了國家層面數(shù)據(jù)安全保護適用的七個原則：

(1)限制原則：即最小數(shù)據(jù)原則，數(shù)據(jù)收集、使用、利用、存儲的類型、范圍、期間應當是適當?shù)?、相關的和必要的。

(2)數(shù)據(jù)質量原則：數(shù)據(jù)收集與處理應當保障質量，做到完整性、準確性、一致性、及時性的統(tǒng)一。

(3)特定目的原則：要求對數(shù)據(jù)的收集、處理應當遵循具體明確的、正當?shù)哪康摹?/p>

(4)數(shù)據(jù)安全原則：承擔數(shù)據(jù)收集、利用等相關程序過程的數(shù)據(jù)控制者或者組織者、利用者要采取充分的、適當?shù)拇胧?，來保證數(shù)據(jù)的安全，嚴禁故意泄露個人數(shù)據(jù)。

(5)數(shù)據(jù)開放原則：數(shù)據(jù)收集、處理、發(fā)布，應公開規(guī)則，明示目的、方式和范圍，尊重和保護公眾知情權。

(6)個人參與原則：即公開數(shù)據(jù)、數(shù)據(jù)收集與處理利用都應該得到數(shù)據(jù)主體的同意。

(7)安全事故責任原則：發(fā)生數(shù)據(jù)泄露事故后，數(shù)據(jù)收據(jù)控制者、受益者以及相關責任者應當承擔責任[5]。

總體而言，其他國家或國際組織制定的數(shù)據(jù)保護原則，基本都是以七項原則為模板確立、施行的。

3 工業(yè)數(shù)據(jù)安全保護立法建議

通過對國內外公布施行的法律法規(guī)進行分析，綜合考慮社會現(xiàn)實發(fā)展狀況，國家現(xiàn)行對工業(yè)數(shù)據(jù)安全保護與管理可以從以下兩個思路進行考慮：

3.1 細化工業(yè)數(shù)據(jù)安全保護的立法建設

首先，數(shù)據(jù)權屬是數(shù)據(jù)治理的基礎問題，是解決數(shù)據(jù)安全的首要問題。因此對于工業(yè)數(shù)據(jù)安全保護也先要從解決工業(yè)數(shù)據(jù)的權屬問題開始。關于工業(yè)數(shù)據(jù)權屬問題，法學界已有不少研究。有學者從知識產權角度分析企業(yè)數(shù)據(jù)的安全保護[2]；有的學者從《民法》的財產權角度分析企業(yè)數(shù)據(jù)的安全保護[6]；還有學者從《反不正當競爭法》的角度分析數(shù)據(jù)保護[7]。主流觀點認為，因為數(shù)據(jù)控制者對于其控制的數(shù)據(jù)是通過長期的合法經營，并投入大量的人力、物力和財力得到的，故應當根據(jù)《反不正當競爭法》第2條第2款的規(guī)定，承認并保護數(shù)據(jù)控制者對數(shù)據(jù)的合法利益[8]。

同時，應建立完整完善的數(shù)據(jù)安全保護風險法律提示與預防機制。要“防范于未然”，法律制度的建設要有統(tǒng)籌意識，引導建立整個工業(yè)領域的數(shù)據(jù)安全防護網。針對不同行業(yè)領域的數(shù)據(jù)安全問題，進行數(shù)據(jù)分級分類和建立重要數(shù)據(jù)重點保護制度。近年來，《工業(yè)數(shù)據(jù)分類分級指南(試行)》等相關文件的發(fā)布，對于特定行業(yè)的幫助作用非常顯著，利于整合數(shù)據(jù)資源與集中利用[9]。設置恰當?shù)倪`法懲治規(guī)范法律條款，嚴格細化數(shù)據(jù)稽查方面的法律規(guī)定，使法律具有實實在在的執(zhí)行力。同時，可以借鑒外國的數(shù)據(jù)治理經驗，例如美國的“藍綠按鈕”應用[10]、英國“Midata”項目[10]等，以項目的形式實現(xiàn)數(shù)據(jù)的轉移，將數(shù)據(jù)轉移至官方來掌握，以加強對數(shù)據(jù)的監(jiān)管。

3.2 培養(yǎng)具有法學和技術雙背景復合型人才

法律制度的制定完善需要高素質的復合型人才，工業(yè)數(shù)據(jù)安全保護涉及國家經濟發(fā)展戰(zhàn)略的實現(xiàn)，同樣需要人才的支持。因此，國家應該根據(jù)社會需求變化而不斷調整、改革、發(fā)展、創(chuàng)新人才培養(yǎng)模式，培養(yǎng)具有法學與計算機等雙專業(yè)背景的復合型人才，以滿足未來發(fā)展需要。

現(xiàn)行法律多為框架性建議，出于立法謹慎的態(tài)度，法律制度建設本身不可避免地具有某些方面的滯后性，不能很好地適應技術發(fā)展所帶來的數(shù)據(jù)安全保護問題。具有法學專業(yè)與技術雙背景的人才能夠更深層、本質性地了解技術風險，增強數(shù)據(jù)治理的針對性、精確性，做到有的放矢。同時，熟知法律的技術人才不僅可以在研發(fā)、運用技術的過程中以法律規(guī)束自己的行為，減少企業(yè)法律風險，還可以在相關權利受到侵害時及時運用法律維護權益，降低損害程度。

4 結論

數(shù)字化時代，作為國民經濟主要支柱的工業(yè)，其數(shù)據(jù)治理的價值與未來戰(zhàn)略意義毋庸贅述。雖然工業(yè)數(shù)據(jù)治理研究可以借鑒國外的經驗，但是基于不同的經濟社會基礎會具備迥然不同的現(xiàn)實應用場景。因此，加快與具體國情相適應的法律研究與法律制度建設，探索培養(yǎng)具有法學和技術雙背景復合型人才，才可以為工業(yè)數(shù)據(jù)保護提供切實可行的理論與實踐指導，促成工業(yè)數(shù)據(jù)領域的“有法可依”局面的形成。