6月10日,数据安全法获表决通过。数字政府作为数字中国、数字经济的重要基础,已成为提升国家治理能力现代化的重要战略举措和推进服务型政府建设的有力抓手。当前,“一网通办”“跨省通办”、政务“秒批”“秒办”、身份证“网证”、“城市大脑”等试点示范措施,有力促进了政府和社会治理的高效化、精准化和智能化。但不容忽视的是,数字政府系统作为超级数据平台,面临巨大的安全威胁和风险,如黑客对政府网站的攻击、金融数据被不法分子窃取、个人敏感信息大规模泄露等。可以说,数据安全是数字政府的生命线,个人信息保护是数字经济的底线。国家作为数据安全和个人信息权益的守护者,在数据安全法颁布后,仍需从以下几个方面夯实数字政府建设的基石。
构建一体多翼治理体系
建设数字政府、提升国家治理效能,需要遵循“以人民为中心”的理念,强化顶层设计,综合运用法律、制度、标准、技术等多元治理工具。
法治轨道上运行的数字政府负有双重责任:一方面,政府必须依法行政,不能无限制收集数据和个人信息,遵守“合法、正当、必要”原则,同时履行安全保障义务。另一方面,政府要积极履行监管职能,维护数字经济中数据共享流通秩序和数据安全,保障个人信息权益。刑法修正案、网络安全法、民法典已经对数据和个人信息处理的基本规则,权利归属、安全义务和法律责任作出部分规定,刚刚颁布的数据安全法和正在制定的个人信息保护法的规定更为全面具体。
因此,首先要建立全方位、动态保护管理制度,全面防范风险。按照数据安全法的要求,建立数据分类分级保护制度,确定重要数据目录,加强对重要数据的保护,尤其要对关系国家安全、国民经济命脉、重要民生、重大公共利益等方面的数据实行更严格的管理制度;落实网络安全法、《信息安全技术 网络安全等级保护基本要求》的规定,进一步细化数字政府中的云、网、平台、数据、系统等关键信息基础设施和政务数据的安全保障制度;完善数据流动管理制度,尤其是数据出境安全评估制度;改进数据安全监测预警与应急机制;构建个人信息处理的风险评估和合规审计制度;建立个人信息保护负责人制度等。
其次,发挥技术标准对数字治理、数据安全和个人信息保护的基础性、规范化和引领性作用,推进数据安全标准体系和个人信息保护标准规范的建立,尤其是要针对敏感个人信息以及人脸识别、人工智能等新技术、新应用,及时制定专门的个人信息保护标准。
最后,通过自主研发的核心技术为政务数据和个人信息上锁。加大研发和创新力度,掌握大数据安全治理的核心技术,建立相对独立的安全防护系统,发展具有自主知识产权的数据安全产业,为数字政府建设和个人信息保护提供安全可靠的技术支撑。
建立多元高效、激励相容、职责明确的监管机制
数据安全和个人信息保护的法定义务以及具体制度需要外部监管制度来保障落实。因此,不仅要建立事前预防、事中监督和事后处理的全流程高效监管制度,而且需要综合运用风险管理、行政调查、行政处罚和刑事制裁等多元监管手段,加大对违法行为的处罚力度,强化处罚的威慑作用。同时也要探索设计鼓励义务主体主动守法合规的激励相容机制,实现从单向的外部监督向权利控制与激励机制并行的多元治理机制转变。
对于负有监管职责的政府部门而言,则应当明确主体职权,确保监管责任落实到位。根据网络安全法、数据安全法以及个人信息保护法的二审稿,数据安全和个人信息保护在中央层面,分别由中央国家安全领导机构和国家网信办负责统筹协调,而具体的监督管理工作则由分散于各领域、各行业的监管部门在各自职权范围内负责,这与数据处理的数字化场景性、跨区域性、空间不确定性等特征不甚相符。如何廓清各监管部门之间的职责界限,如何协调属地管辖冲突,仍有待探索。在无法改变现有行政监管机构设置的情形下,新颁布的数据安全法明确建立的工作协调机制具有重大意义。合理高效的工作协调机制有利于加强中央和各级监管机构对数据安全和个人信息保护工作的统筹协调、协作监管。
通过行政公益诉讼筑起司法防线
若手机App大量违规收集并不当使用用户信息,医疗机构、快递企业或者校外培训机构大量泄露个人信息,而负有个人信息保护职责的行政机关怠于履行监管职责,个人若针对侵权主体提起民事诉讼或针对行政机关提起行政复议及行政诉讼,维权成本和难度都很大,无法有效实现法律救济,此时行政公益诉讼将大有用武之地。
检察机关已经将个人信息保护纳入检察公益诉讼新领域。截至目前,全国已有19个省份通过地方人大决定的形式明确要求检察机关积极稳妥开展个人信息保护领域公益诉讼。今年4月22日最高检发布的11件个人信息保护公益诉讼典型案例中,有6例行政公益诉讼案件,既涉及行政机关在履行政府信息公开职能时泄露不应公开的公民个人信息的情形,也包括在前述典型场景下,通信管理机关、公安机关、网信办、市场监管局、邮政局和教育局等行政机关未履行个人信息保护和安全监管职责被督促履职的情形。检察机关还可通过制发诉前检察建议和社会治理类检察建议,依法督促行政机关履职整改,推动信息处理主体加强安全保护措施,堵塞漏洞、防控风险。
虽然行政诉讼法第25条可以为检察机关的实践探索提供法律依据,但更为妥适的做法是立法者在个人信息保护法中分设民事公益诉讼条款和行政公益诉讼条款,将这一有效的司法救济方式明确规定在个人信息保护的基本法中。
在数字政府建设中维护网络和数据安全,保护个人信息权益是政府、企业、社会组织、公民共同的责任,需要各方主体协同共治,共筑安全防线。同时,在数字政府建设中,大数据、云计算、区块链等数字技术的运用,推动了单一化的、以政府为主的传统治理模式向企业、社会、公民全方位参与的多元主体协同共治模式转变。而数据安全保障和个人信息保护的复杂性、专业性和高风险性使其单靠政府一方的力量难以实现,需要监管部门、互联网企业、网络平台、数据和信息处理主体、行业自律组织、公民个人共同参与,形成“共建共治共享”的治理机制,实现数字政府的长治久安。
(作者系中国人民大学未来法治研究院研究员)