《数据安全法》自2021年9月1日实施已经一周年,这一年的变化有目共睹。数据处理活动开始有规可循,数据安全得到更多保障,数据开发利用更加规范,个人和组织更加具有数据安全意识,企业安全建设越来越完善,政务数据越来越开放。
数据安全和数字经济密不可分。数据显示,2017年到2021年,我国数字经济规模从27.2万亿元增至45.5万亿元,总量排名世界第二,年均复合增长率达13.6%。数字经济在提升市场效率的同时,也带来了数据安全问题。再加上如今远程网课、居家办公的需求迅猛增长,网络环境愈加开放和多元也暗含着风险因素增加。
在《数据安全法》实施的这一年中,我们看到了几个趋势,首先企业数据安全建设工作面临挑战,法规和技术落地之间存在实践难点;其次是数据经纪开始兴起,数据流通加快的同时也面临一些隐私边界界定问题;最后是各地政务数据开放趋势加快,越来越多的政府部门开始对外开放数据,但其中目前相对还处于粗放式开放阶段,有待进一步发展。
企业数据安全建设挑战
在企业数据安全建设中,数据分级制度、数据合规、数据保护、数据备份、数据存储、数据容灾等等,需要部署和落地的环节很多。7月,互联网出行巨头滴滴的网络安全审查案刚刚靴子落地,以处罚80.26亿元人民币结束,也给其他企业的数据安全和数据出境工作敲响警钟。
但目前企业数据安全面临的问题是,从法律到技术落地之间缺少细则。在实际业务层面,法律的合规要求如何落实在技术中,应用何种技术既能满足合规要求,又能减少对业务的影响,是企业在实际操作中遇到的难点。
腾讯安全数据安全专家谢灿在接受媒体采访时表示,除了技术问题,企业还面临的还包括法律规范的解读、数据安全组织、流程制度、技术规范和落地、监测处置、能力评估各个层面的建设和落地。
蚂蚁集团副总裁兼首席技术安全官韦韬曾对36氪表示,相关法律实施近一年,行业对安全的投入依然有巨大缺口。不少企业把数字化系统应用得相当广泛,但往往能看到他们专业安全团队的建设滞后。他表示,“一些企业买了安全产品,有了安全报警,却没人管,这不在少数。“
数据经纪开始兴起
数据经纪(data broker)在国外发展成熟,是成熟的数据交易产业链中的重要一环,极大地促进数据交易、发挥数据作用。数据交易除了数据提供方、使用方、交易平台,还需要数据撮合、加工、评估、定价、存储及交付的主体,也就是数据经纪商。
但数据是一把双刃剑,数据流通可以带来便利,但理想的数据流通应该建立在数据分级情况下,核心敏感数据需要脱敏处理以保护用户的信息安全。2022年9月,美国最大的数据服务商之一Kochava,被美国联邦贸易委员会起诉,称其过度收集隐私信息、出售数亿手机设备的地理位置数据,威胁公民人身安全。
回看国内情况,由于此前在法律上无法清晰界定数据权利边界,数据交易活动徘徊不前。《数据安全法》明确要完善数据交易管理制度,促进数据流动。第十九条规定,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
数据经纪商从用户的智能手机上收集精确数据,包括手机位置、时间标记、经纬度作标、设备ID、IP地址、设备类型等,处理打包转售给客户,客户利用这些数据来进行精准营销。但在这些环节,需要法律约束,以防出现上述侵犯用户隐私的行为。
2021年11月,上海提出“数据服务商”体系,包括数据交易主体、数据合规咨询、质量评估、资产评估、交付等环节。2022年1月,北京国际大数据交易所提出了“数字经济中介产业体系”。其他各地也陆续推出数据经纪服务,但目前的数据经纪市场仍处于起步阶段,后续在《数据安全法》的驱动下,其发展值得期待。
政务数据愈发开放
《数据安全法》的亮点之一,是在中央立法层面对政务数据安全和数据开放做出明确规定。在本法施行之前,我国政务数据的开放处于各自摸索状态,各地、各部门发展进度不一、发展不平衡,一些走在前列的省市通过立法对政务数据开放做出规定,但尚无全国范围内的统一法律。还存在部分部门,出于数据安全问责压力,对政务数据开放存在顾虑缺乏动力。
政务数据安全和开放在《数据安全法》中单独占据一个章节, 第三十九条规定,国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
上述两条法规旨在规范数据政务数据安全,对于政务数据公开,该法也做出相应要求。第四十一条规定,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。第四十二条规定,国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
根据复旦大学数字与移动治理实验室的《中国地方政府数据开放报告》(2021年度),截至 2021 年 10 月,我国已有 193 个省级和城市的地方政府上线了数据开放平台,其中省级平台 20 个(含省和自治区,不包括直辖市和港澳台), 城市平台 173 个(含直辖市、副省级与地级行政区)。
如上图所示,全国各地上线的城市数据开放平台分布不一,主要集中在东部沿海、中部、西南地区以及南部广东、广西两省。图中绿色越深代表开放平台上线越早。
但是报告也指出,我国公共数据开放目前仍存在不充分、不协同、不平衡、不可持续等问题。开放数据数量不多、容量低、颗粒度粗、质量不高;实时动态、高颗粒度、高容量数据集的开放极少,来自政府部门数据以外的公共数据集的开放也很不充分。其次,各地数据开放工作之间缺少联动协同,地方平台间未充分实现跨层级跨地域连通,各地开放的数据在内容和标准上也存在明显差异。此外,各地之间在开放平台的数量、开放数据集的数量、容量和类型上也很不平衡。
当前,《数据安全法》实施一年有余,数据安全各方面更加规范,各个主体在实践中也暴露了一些问题。为了补充《数据安全法》,2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自9月1日起施行。该法规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供具体指引。
还有学者提出疑虑,《数据安全法》中存在数据地方主义和部门主义。北京师范大学法学院副院长袁志杰认为,将确定数据保护目录的权力交给各个地方和部门,将会造成严重的数据地方主义和数据部门主义,回味各种数据系统的打通认为设置更大的障碍,也令跨地域、跨部门经营的大公司的合规工作难上加难。
前不久,实施了五年之久的《网络安全法》迎来了修改的消息,国家网信办拟对该法的四部分做出修改,涉及处罚方式和个人信息保护等方面。《数据安全法》在实施过程中面临的问题和挑战也有望在后续进行调整或增补。
