刘云:健全数据分级分类规矩完善网络数据安全立法

来源:火狐app 时间:2022-05-24 21:11:52 阅读:7

  跟着信息技能和人类出产日子交汇交融,经过网络搜集、存储、传输、处理和发生的各种电子数据迅猛增加、海量集合并成为重要的商场经济要素,对经济展开、社会办理、人民日子都发生了严重而深入的影响。2016年11月公布的《网络安全法》树立了网络数据安全相关准则,2019年5月《数据安全办理办法》草案揭露征求意见,2020年7月《数据安全法》草案揭露征求意见,数据安全现已成为网络安全乃至国家安全法制系统中的核心内容之一。在行将构建构成的数据安全和个人信息维护系统下,应当愈加详细地回应网络数据运用和维护的合理需求,经过配套法令和规章健全数据分级分类规矩,完善网络数据安全立法。

  传统网络数据安全侧重于静态维护,首要是防止网络数据走漏、盗取、篡改、毁损,维护网络数据的完整性、保密性和可用性。新一代网络数据安全处于数字经济繁荣展开和全面数字化转型的新时代,需求习惯动态维护的需求,保证数据在各类场景下搜集、运用、流通、敞开、同享等不同行为时的安全与自在。场景差异会构成不同的合理价值和安全危险,分级分类维护应当成为网络数据安全立法的根本思路。

  数据分级分类开始是网络运营者对数据财物进行一致性、标准化办理的办法,随后成为网络数据安全危险办理的技能方案。依据《网络安全法》第21条的规矩,网络运营者应当采纳数据分类、重要数据备份和加密等办法。《数据安全法(征求意见稿)》第19条提出:国家对数据实施分级分类维护。由此可见,数据分级分类的主体由“网络运营者”转变为“国家”,国家对数据进行分级分类的办法不只包含拟定重要数据目录,更需求结合典型的数据运用场景拟定配套的网络数据安全法规。只要在数据安全配套法规中树立根本的数据分级分类规矩,才能为拟定数据分级分类目录、技能标准和企业数据安全办理实践供给愈加清晰的一致指引。

  从联络的视点而言,数据分级分类也能够称之为数据分类维护,这是因为数据分级也是对数据进行分类的一种表现方法。从区别的视点而言,数据分级是对数据分类之后采纳的安全等级规矩。国家在数据安全立法中,应当依据数据对国家安全、公共利益或许公民、安排的不同含义和或许的危害结果,对不同类别的数据别离采纳严厉维护、内容监管、鼓舞活动、强制揭露等不同办理办法的数据运用规矩,并对不同等级的数据别离采纳不同授权和责任方法的数据处理规矩。

  数据分类是对数据运用过程中触及的数据进行分类,依照来历能够需求区别为公共数据、安排数据和个人数据,依照数据的揭露程度能够区别为网络揭露数据、有限揭露数据和隐秘维护数据,它们在法令中应当具有不同的安全与展开规矩。结合不同的运用场景,还能够对这些数据做进一步分类。例如,我国《宪法》第40条树立了严厉的私家通讯维护准则,首要标准方针是电信运营商和国家机关,可是现代的互联网通讯东西和交流渠道构成了通讯内容简单被转发,私家通讯联络和公共信息传达边界不清的问题,不利于树立与数据类型相习惯的安全维护次序。所以,有必要在互联网通讯场景下区别私家通讯和公共信息,便于网络运营者和用户清晰其所在网络交际场景的私家特点或许公共特点,然后依照分类办理的思路树立私家通讯严厉保密、公共信息有序办理的网络数据安全标准。

  数据分级处理规矩首要适用于个人数据,包含不同类型的个人数据存在安全等级差异,以及同一类个人数据在不同场景下的安全等级差异。依据《个人信息安全标准》,个人数据能够区分为一般数据、灵敏数据和高度灵敏数据三类。其间,搜集一般个人信息,应向个人信息主体奉告搜集、运用个人信息的意图、办法和规模等规矩,并获得个人信息主体的授权赞同;搜集个人灵敏信息前,应征得个人信息主体的明示赞同,并应保证个人信息主体的明示赞同是其在彻底知情的根底上自主给出的、详细的、清晰清晰的志愿表明。此外,个人生物辨认信息归于高度灵敏数据,搜集个人生物辨认信息前,应独自向个人信息主体奉告搜集、运用个人生物辨认信息的意图、办法和规模,以及存储时刻等规矩,并征得个人信息主体的明示赞同。关于这些引荐性国家标准中的办理性标准,需求经过立法程序转化为相应的法令规矩。

  公共特点的数据也被称之为公共利益数据,是由政府部分或许网络运营企业搜集、存储,但归于社会中各类人力资源、工业资源一起参加发明的,能够在政府和企业之间彼此同享,也能够根据公共利益意图对外敞开。公共特点数据的同享与敞开包含企业对政务数据的运用(G2B)、政府组织对企业数据的运用(B2G)、政府不同部分之间的数据同享(G2G)。

  G2B数据在国内外现已构成遍及一致的政务数据敞开趋势。例如,国家地理信息数据能够为旅行或许交通产品开发供给根底,司法机关的裁判数据能够为企业合规和法令研讨供给协助。G2G数据的同享首要是政府内部数据渠道建造和数据交融才能的建造问题,它能够进步政府内部办理的一体化水平,一起也能够为单一商场中运营的企业减轻重复报送数据的本钱。B2G方向的数据敞开与同享归于一个近年来才意识到重要性问题,因为触及到网络运营企业商业隐秘、企业数据私有工业维护、个人信息安全维护责任等价值抵触,是需求数据安全法规进行和谐的重要范畴。

  数字经济的展开使得网络运营企业积累了很多的数据,充分运用其间具有公共特点的数据,有助于完善城乡规划、道路交通、民生保证、生态环境、社会安全、自然灾害、公共健康等社会办理和公共事务,协助政府树立根据实证数据的公共决议方案方向。例如,道路交通导航地图运营商的数据能够为迟早顶峰的交通拥堵办理供给支撑,医院医治疾病的数据能够为公共健康防治供给决议方案依据,汇总的、匿名的交际媒体数据能够为流行症防控办法及其作用供给信息参阅。

  严厉维护个人数据安全的欧洲,也在长时间推动企业与政府部分之间的数据同享。2018年4月,欧洲委员会通讯网络内容与技能执行署就发布了《欧洲数据经济中的私营部分数据同享攻略》,提出了B2G数据同享的模型和根本准则。欧盟委员会在2020年2月发布的《欧洲数据战略》清晰了B2G数据同享的重要性,欧盟B2G数据同享高等级专家组也在同一时刻发布了《迈向根据公共利益的企业对政府数据同享的欧洲战略》(Towards a European Strategy on Business-to-Government Data Sharing for the Public Interest),不只总结了B2G数据同享存在的现实问题,还从法令、技能、办理等多个维度提出了或许的解决方案。

  我国数字经济的展开也构成了很多把握在企业手中的公共特点数据,在拟定数据安全法规过程中,需求依照数据场景化办理的思路,区别政府调取企业数据、企业向政府同享数据两种类型。关于政府调取企业数据,需求在内容上划定政府调取网络运营企业数据的规模,在程序上承认政府调取数据的办法,在责任上清晰政府的安全保证责任,在外部监督上树立存案检查和权力救助机制。关于企业向政府同享数据,首要是依照相等洽谈的机制完成,重视进步数据同享技能的安全性和数据运用的有用性,一起要防止危害别人合法权益。企业与政府之间无论是调取仍是同享数据,政府都应当考虑企业数据的质量和处理本钱,为企业供给公共特点数据作出必要的经济补偿,或许向企业供给数据反应等其他合理的对价。

  企业把握的公共利益数据能够为个人和安排供给信息获取服务,一起能够为各类研讨人员、公共组织、中小企业、草创企业参加科技立异和数字经济展开供给便当。关于与公共利益有关的数据,政府应当依照法定的程序向社会或许特定申请人揭露其获得的企业数据。可是,政府从企业获取的数据一般不得超出法定运用意图规模,特别是要防止行政权力对数据自在竞争商场的不合理干涉。

  企业数据是企业经过合法方法获得的具有彻底权属、有限权属、无权属的各类数据。企业关于无权属的别人数据只能依照约好意图和办法进行办理和运用,关于处理很多别人数据的网络运营者应当依法树立数据安全系统,为别人供给数据搜集、存储、加工、剖析、传输等服务的企业,应当经过向主管部分存案、树立彼此阻隔的数据安全环境等办法。关于彻底权属和有限权属的数据,企业能够在权力规模内进行生意、同享和敞开。

  企业能够经过生意、交换、答应运用等办法生意其合法获得且有相应处置权力的数据。跟着数据价值的上升,数据被国家列为与土地、劳动力、本钱、技能等相并排的出产要素,在国内外商场中诞生了行纪、中介和署理等多种类型的数据生意中心商。《数据安全(征求意见稿)》第30条规矩:从事数据生意中介服务的组织在供给生意中介服务时,应当要求数据供给方阐明数据来历,审阅生意两边的身份,并留存审阅、生意记载。可是,何种数据能够进行生意,数据能够怎么进行生意,数据生意中怎么保证安全,需求相关配套规矩进一步细化规矩。在《民法典》承认数据工业权的根底上,尚需求进一步清晰数据工业权的分配规矩,特别是清晰物联网等一起创立数据的权力归属和权力行使规矩,并对数据生意合同的相关法令适用规矩予以标准。此外,需求清晰数据生意参加方的责任和监管准则,促进构成一批专业才能强、运营标准、抗危险才能强的数据生意中心服务组织。

  企业数据同享是以无偿方法为别人运用本身数据供给便当的一种办法,企业除了向政府同享数据外,还能够向其他企业同享其数据,包含在同一生态内的不同企业、不同生态内的不同企业之间进行数据同享,乃至是同一企业的不同部分。在不同企业之间进行数据同享有利于进步数据渠道的服务才能、削减数据重复搜集的本钱,特别是很多会聚第三方运用、第三方商铺的渠道存在很多数据同享行为,可是承受数据同享的处理者或许引发不承认性数据走漏或许乱用的危险。一方面,咱们应当鼓舞数据安全办理才能强的渠道企业向别人同享数据,不只能够削减数据距离,还能够防止中小企业数据安全办理才能缺少引发的危险。另一方面,不同主体之间展开数据同享需求清晰各自的安全办理责任,并依照差错准则承当相应的法令责任。

  互联网的实质是数据活动,打破数据独占和防止数据孤岛是企业数据敞开的首要方针。企业数据敞开的方针包含企业自主具有的、具有数据根底设备位置的数据,也包含在企业渠道上展现的网络揭露数据。关于具有数据根底设备位置的数据或许数据设备,应当要求企业依照通明、公正、合理、非轻视准则供给必要的敞开运用条件。关于网络揭露数据,企业应当树立公正、自在的拜访规矩,防止采纳不合理的拜访约束办法。与此一起,数据爬虫技能改变了网络揭露数据获取的传统规矩,一方面要支撑契合职业常规的数据获取行为,然后为数据工业的展开供给必要的法令环境;另一方面,应当为企业采纳“Robot协议”等办法保证其系统正常运转供给必要的强制性保证。

  信息技能的立异展开进步了个人数据的运用功率和办法,呈现了用户画像、个性化引荐、自动化决议方案、深度假造、人脸辨认等进步个人数据运用危险的新技能,也呈现了差分隐私、多方核算等削减个人数据运用危险的新技能。在数据安全配套法规中,应当引导网络运营者采纳有利于个人数据安全运用的新技能,经过技能手段完成安全和展开的两层方针,有用防止个人数据运用过程中呈现的安全危险。关于各类发掘个人数据潜在价值的新技能,应当进行数据安全危险评价,并在相关法规中树立场景化的数据运用规矩。

  人脸辨认是国内外言论广泛重视的个人数据运用技能,关于何种场景能够运用,人脸生物信息怎么存储,怎么保证此类高度灵敏数据的安全,需求树立配套的法令规矩。缺少人脸等个人生物辨认信息的安全规矩简单引发言论的惊惧,安全可控的法令规矩不只能够增强顾客对新技能的决心,还能够为新技能的布置供给安稳的指引和预期。

  用户画像、个性化引荐都是根据用户的个人信息和网络运用行为所构成的数据交融和算法运用,其或许进步信息的获取功率,可是也或许导致个人被标签化或许隐私走漏,故而应当为这类行为供给“挑选-退出”的功用,防止对个人逼迫供给技能服务。

  自动化决议方案和深度假造关于个人的权益往往会发生直接的影响,乃至在某些情况下会严重影响社会公共次序。关于自动化决议方案,应当进步此类算法的通明度和可解释性,防止算法黑箱危险。关于深度假造等信息聚合技能,应当经过符号等规矩防止数据乱用行为。

  现在,《欧洲数据战略》现已清晰提出了一系列数据安全与运用的配套立法方案,美国联邦和各地方也在出台一系列数据运用的弥补法令准则。我国在《网络安全法》现已公布实施,《数据安全法》和《个人信息维护法》处于起草中的布景之下,还需求一起发动网络数据安全相关配套法规的立法储藏作业,构建法令、行政法规和规章联接配套的网络安全、数据安全和个人信息维护的法令和谐系统。在行政法规层面进行网络数据安全办理准则的立法储藏作业中,应当着力细化《网络安全法》《数据安全法》和《个人信息维护法》中的相关规矩,吸收《数据安全办理办法(征求意见稿)》和国内外数据安全法治最新进展的经历,依照数据分级分类办理的思路,科学区分数据的运用场景,经过一般规矩和场景规矩相结合的方法树立具有可操作性的配套法令准则。(作者:刘云,清华大学法学院助理研讨员)

地址:北京市海淀区丰秀中路3号院12号楼 / 邮编:100094 / 电话:010-82695000 010-82883933 / 传真:010-82883858

版权所有: 京ICP备05008170号 京公网安备11010802029694号
© All rights reserved by 火狐app

扫一扫,关注