从动态安全视角理解数据安全制度
来源:中国社会科学报 更新时间:2021-11-15

所谓动态安全,是指以承认、维护和促进数据的利用为前提,通过规范数据处理活动,合理控制风险,维护数据安全。2021年6月《数据安全法》正式颁布,标志我国在数据安全法律制度建设方面迈入新的历史阶段。《数据安全法》确立了一整套数据安全法律制度,为数据处理者规定了多项数据安全法律义务,并对数据安全与发展、政务数据安全与开放之间统筹协调机制作出了相应规定。从动态安全的视角出发来理解数据安全,是准确解读《数据安全法》的关键。

数据安全的含义

《数据安全法》将数据安全界定为数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,该定义在强调“有效保护”的同时,突出强调了“合法利用”,由此可见,我国《数据安全法》所维护的数据安全并不是静态的安全,而是动态的安全,并非仅指数据存储的安全,而是指包括数据的收集、存储、使用、加工、传输、提供、公开、销毁等各个环节的全生命周期的安全。

数据安全不同于信息保密。数据是以电子或者其他方式对信息的记录。从数据所反映的信息内容来看,属于国家秘密的,应当适用《保守国家秘密法》等法律、行政法规的规定;属于商业秘密和个人隐私的,则应当适用保护商业秘密的法律和民法典中的相关规定,而大量的既不属于国家秘密亦不属于商业秘密或个人隐私的数据,虽然并不涉及保密的问题,但是其数据处理过程仍应适用数据安全法》。区分数据与信息的重要意义还在于,对于许多数据而言,仅就单个数据在其孤立、静止的状态下所体现的信息而言,可能并无秘密或敏感性可言,然而,其在特定的应用场景之下,或者与其他大量的分散数据相结合而进行大数据分析,则有可能从中挖掘出影响到国家安全、公共安全和私人民事权益的信息。

保护数据安全不同于《网络安全法》所规定的“保障网络数据的完整性、保密性、可用性”。《网络安全法》背景下的数据安全主要强调防止数据泄露、毁损、被篡改或未经授权访问,而《数据安全法》背景下的数据安全除了涵盖上述具有保护性的内容以外,还额外强调数据利用、数据流通中的安全,其是以数据有可能被他人使用为前提,以规范数据交易、禁止数据滥用为手段,防范他人通过数据处理活动危害国家安全、公共安全和私人民事权益。

数据安全的立法目的

《数据安全法》第一条规定:“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”我国《数据安全法》虽然名为数据安全,但是并没有将数据安全作为该法唯一的立法目的,也没有以保障数据安全的名义禁止数据的利用,而是强调“以数据开发利用和产业发展促进数据安全”,并且有大量的条款涉及促进数据利用和政务数据开放的内容。在当今时代,随着以互联网、大数据、人工智能为代表的现代信息技术的广泛应用,当今社会正在加速进入信息化、数字化时代。特别是随着5G技术和工业互联网、物联网的发展,各类智能传感器遍布在人类生产、生活的各个角落,万物互联的时代即将到来,无论是人的生理状态、自然环境监测指标,还是人们从事政治、经济和社会生活的方方面面,几乎均可实现“数据化”,并且可以非常低的成本实现数据的收集、传输、整合和分析。数据已不仅仅是数字经济的要素,而是已成为智能社会正常运转的要素。在当今大数据时代,静止状态已不再是数据的常态,而流动、利用等动态形式才是数据的常态,通过抑制数据的流动、利用来实现数据安全的目的已不现实,科学的数据安全立法应当建立在数据需要充分利用的现实基础之上。

从立法所维护的利益角度来看,《数据安全法》不仅将国家主权、安全和发展利益置于重要地位,而且,还强调维护公共安全,保护个人、组织的合法权益。其实,从动态的视角来看,国家利益、公共利益与和个人、组织的利益并不是截然分开的,而是相互影响的。国内外的众多事例表明,当大规模的个人数据被非法收集、处理时,受到侵害的不仅是个人的权益,公共安全和国家安全亦有可能受到影响。

数据分类分级管理制度

在现实生活中,数据总是在随时随地产生,其类型纷繁复杂,其应用场景不同,关涉的利益不同,遭受窃取、毁损、滥用的风险不同,有可能产生的危害后果亦有所不同。如果为所有类型的数据处理活动统一规定相同的安全保障水平,那么,其有可能对于某些类型的数据而言保护水平过低,而对于另一些类型的数据而言则保护水平过高。因此,通过对数据进行分类分级而采取差异化、针对性的规制方法十分必要。

我国的《数据安全法》是根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级。基于数据安全的目的,数据可以划分为一般数据和重要数据,立法者对重要数据规定了特殊保护措施,对于重要数据处理者施加额外的法律义务。例如,重要数据的处理者应当明确数据安全负责人和管理机构,并且在进行数据处理活动时应当依法履行数据安全风险评估义务,而对于一般数据处理者则并没有这方面的明确规定。此外,《数据安全法》还在重要数据的分类基础上,将那些关系国家安全、国民经济命脉、重要民生、重大公共利益等数据确定为国家核心数据,并对其采取更加严格的保护措施,以与其所存在的安全风险保持一致。需要注意的是,在对数据进行分类分级时并不是基于该数据的孤立状态进行评定,而是需要充分考虑到其应用场景以及该类数据在利用过程中与其他数据进行汇集的可能及产生的效应,既要进行定性分析,也要进行定量分析。因此,对数据类型的划分也需要进行定期评估和动态调整。

数据安全风险管理制度

维护安全是需要成本的,我们所追求的数据安全并不是绝对的安全或不计一切代价的安全,而是合理程度的安全、相对的安全,是建立在风险测算基础之上的有管理的安全,是将风险控制在社会可接受的限度内的安全。安全的对立面是风险,因此,我们可以从应对风险的角度来理解数据安全,这就需要建立一套应对数据安全风险的识别、评估、报告、监测预警、应急处置和信息共享机制。

就评估机制而言,依照我国《数据安全法》要求,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,因业务需要,确需向境外提供的,依照《网络安全法》的要求,应当进行安全评估;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境,依照《数据安全法》的规定,亦应当依照有关规定进行安全评估。此外,依照我国正在制定中的《个人信息保护法(草案)》,个人信息处理者处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向他人提供个人信息、公开个人信息,以及向境外提供个人信息,都应当进行风险评估。对于那些存在危及国家安全风险的数据处理活动,依照《数据安全法》还应当进行数据安全审查。数据安全审查的目的在于保障国家安全,而对国家安全的理解应当回到《国家安全法》中,从总体国家安全观出发来审视数据处理活动有可能存在的安全风险。

只要人类社会不断地产生、使用数据,那么,数据安全的风险就会始终存在。为此,我们需要一直保持数据安全的意识,充分运用《数据安全法》所提供的各种手段,准确识别风险、合理控制风险。

(作者系北京航空航天大学法学院教授)