論我國數(shù)據(jù)安全保護(hù)法律制度的完善

馬忠法 胡玲

摘? ? 要：《中華人民共和國數(shù)據(jù)安全法（草案）》第九條明確了國家、企業(yè)和個(gè)人等參與數(shù)據(jù)安全協(xié)同治理體系構(gòu)建的重要性。對此，在界定數(shù)據(jù)安全概念之含義并對其進(jìn)行分類后，應(yīng)意識到重要數(shù)據(jù)和敏感數(shù)據(jù)之安全應(yīng)比一般數(shù)據(jù)安全更需要受到重視。針對數(shù)據(jù)泄露事件頻發(fā)使得數(shù)據(jù)安全受到普遍關(guān)注之現(xiàn)象，分析現(xiàn)行數(shù)據(jù)保護(hù)法律制度內(nèi)容及其不足十分關(guān)鍵。在前述分析論證基礎(chǔ)上，結(jié)合數(shù)據(jù)治理主體的多元性等方面，可以在數(shù)據(jù)安全保護(hù)法律制度完善方面做出如下努力：宏觀層面，政府應(yīng)完善政府?dāng)?shù)據(jù)保護(hù)法律制度，完善數(shù)據(jù)安全標(biāo)準(zhǔn)，指導(dǎo)企業(yè)構(gòu)建數(shù)據(jù)安全體系;微觀層面，企業(yè)應(yīng)明確責(zé)任并制定系統(tǒng)的數(shù)據(jù)安全管理制度，而個(gè)人應(yīng)樹立對個(gè)人信息保護(hù)的主動防范意識，提升保護(hù)隱私和個(gè)人數(shù)據(jù)維權(quán)意識，采取積極有效的數(shù)據(jù)保護(hù)防范措施。

關(guān)鍵詞：數(shù)據(jù)安全;法律保護(hù)制度;完善對策

中圖分類號：D 912? ? ? ? ? 文獻(xiàn)標(biāo)識碼：? A? ? ? 文章編號：2096-9783（2021）02-0001-07

引? 言

隨著數(shù)字化世界的到來，數(shù)據(jù)成為各國博弈的新領(lǐng)域。隨著數(shù)據(jù)的急劇增長，數(shù)據(jù)安全風(fēng)險(xiǎn)也隨之提高，但是無論是國內(nèi)法律還是國際規(guī)則尚缺乏應(yīng)對經(jīng)驗(yàn)和智慧?！吨腥A人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱《數(shù)據(jù)安全法（草案）》）（2020年7月3日發(fā)布）既是踐行中國一直倡導(dǎo)的網(wǎng)絡(luò)空間命運(yùn)共同體理念，也是中國為全球數(shù)據(jù)治理貢獻(xiàn)的中國方案和智慧?！稊?shù)據(jù)安全法（草案）》是構(gòu)建以《國家安全法》為核心的國家安全法律體系的重要組成部分，國家安全保護(hù)是其出臺的出發(fā)點(diǎn)之一，數(shù)據(jù)安全是國家安全的組成部分?？梢哉f，二十一世紀(jì)是大規(guī)模放松管制和私有化的時(shí)代，許多國家的關(guān)鍵基礎(chǔ)設(shè)施（如能源、交通、金融和醫(yī)藥等領(lǐng)域）已交由私營部門掌握，入侵者正不斷瞄準(zhǔn)這些關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。同時(shí)，個(gè)人信息安全也時(shí)刻牽動著社會各界的神經(jīng)，已經(jīng)可用的大量信息使重新識別變得容易。數(shù)據(jù)安全主要側(cè)重于防止通過入侵或泄漏而對數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問，而不管未經(jīng)授權(quán)的一方是誰1。數(shù)據(jù)安全目前是大數(shù)據(jù)新時(shí)代的主題，在新時(shí)代進(jìn)行科學(xué)有效的數(shù)據(jù)安全治理，確保數(shù)字經(jīng)濟(jì)的持續(xù)健康發(fā)展是我國國民經(jīng)濟(jì)和社會發(fā)展的重要任務(wù)?！稊?shù)據(jù)安全法（草案）》第九條明確了國家在建立健全數(shù)據(jù)安全協(xié)同治理體系過程中，有關(guān)部門、行業(yè)組織、企業(yè)和個(gè)人等應(yīng)共同參與數(shù)據(jù)安全保護(hù)工作。下文主要從政府、企業(yè)和個(gè)人三個(gè)層面進(jìn)一步探析數(shù)據(jù)安全保護(hù)法律制度的完善問題，尤其側(cè)重個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的安全保護(hù)。

一、數(shù)據(jù)安全的定義、分類及其保護(hù)法律制度完善的必要性

（一）數(shù)據(jù)安全定義及其分類

1.數(shù)據(jù)安全概念的界定

安全通常是指保護(hù)資產(chǎn)（如建筑物、設(shè)備、貨物、存貨、在某些情況下還包括人員等）不受威脅。數(shù)據(jù)安全（信息安全）通常是指“保護(hù)（數(shù)據(jù)）信息免受各種威脅以確保業(yè)務(wù)的連續(xù)性、風(fēng)險(xiǎn)最小化以及最大化投資回報(bào)和商業(yè)機(jī)會”2，以及“組織或機(jī)構(gòu)維護(hù)對其運(yùn)營至關(guān)重要的信息的系統(tǒng)、媒體和設(shè)施的過程。3”本文認(rèn)為，數(shù)據(jù)安全通常指數(shù)據(jù)的機(jī)密性、可用性和完整性，即依靠各種流程和措施防止未經(jīng)授權(quán)的個(gè)人或組織使用或訪問數(shù)據(jù)。數(shù)據(jù)安全需要確保數(shù)據(jù)準(zhǔn)確可靠，并且在具有訪問權(quán)限的人員需要時(shí)確保數(shù)據(jù)可用。實(shí)踐中，“數(shù)據(jù)安全”關(guān)注如下兩個(gè)方面：一方面，信息系統(tǒng)，如計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和軟件;另一方面，通過信息系統(tǒng)進(jìn)行記錄、存儲、處理、共享、傳輸?shù)臄?shù)據(jù)、消息和信息4。

2.數(shù)據(jù)安全分類

（1）按數(shù)據(jù)安全級別劃分：特別數(shù)據(jù)安全和一般數(shù)據(jù)安全

特別數(shù)據(jù)安全的保護(hù)適用于重要數(shù)據(jù)和敏感數(shù)據(jù)。重要數(shù)據(jù)是指與國家安全、經(jīng)濟(jì)發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體包括“未公開的政府信息、大面積人口、基因健康、地理、礦產(chǎn)資源等”5。重要數(shù)據(jù)一旦泄露可能會直接影響國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定、公共健康和安全。敏感數(shù)據(jù)是個(gè)人數(shù)據(jù)中需要特別關(guān)注的一種類型，一般是指“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇的個(gè)人信息6。就本文而言，敏感數(shù)據(jù)主要指：種族或民族血統(tǒng)、政治意見、宗教信仰或其他類似性質(zhì)的信仰、身體或精神健康或狀況（或任何遺傳數(shù)據(jù)）、性取向和其他相關(guān)活動、有關(guān)司法程序的任何信息、任何個(gè)人財(cái)務(wù)數(shù)據(jù)。一般數(shù)據(jù)安全保護(hù)適用于除重要數(shù)據(jù)和敏感數(shù)據(jù)以外的普通數(shù)據(jù)。

（2）按數(shù)據(jù)安全主體劃分：政府的數(shù)據(jù)安全、企業(yè)的數(shù)據(jù)安全及個(gè)人的數(shù)據(jù)安全

實(shí)踐中，數(shù)據(jù)治理主體呈現(xiàn)多元性，政府、企業(yè)和個(gè)人是數(shù)據(jù)安全治理的直接參與者和主要利益相關(guān)方。政府?dāng)?shù)據(jù)安全保護(hù)涉及：管理自身政務(wù)數(shù)據(jù)、建立數(shù)據(jù)安全標(biāo)準(zhǔn)、為社會組織合法合理收集、使用數(shù)據(jù)提供規(guī)范指引及加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)公共宣傳。企業(yè)數(shù)據(jù)保護(hù)范圍包含其經(jīng)營過程中涉及的一切數(shù)據(jù)，其中個(gè)人數(shù)據(jù)和重要數(shù)據(jù)需要額外關(guān)注。個(gè)人是當(dāng)今互聯(lián)網(wǎng)的主要用戶，盡管侵犯隱私報(bào)道連篇累牘，絕大多數(shù)用戶依然心存僥幸或選擇漠視，但是只要互聯(lián)網(wǎng)存在一天，個(gè)人就應(yīng)加強(qiáng)自我防范意識，保護(hù)自身信息不被泄露和濫用。

（3）按數(shù)據(jù)生命周期的安全管理劃分：靜態(tài)的數(shù)據(jù)安全、傳輸中的數(shù)據(jù)安全、正在使用的數(shù)據(jù)安全

數(shù)據(jù)安全管理應(yīng)貫穿整個(gè)數(shù)據(jù)生命周期，即處在靜態(tài)中的數(shù)據(jù)、傳輸中的數(shù)據(jù)和使用中的數(shù)據(jù)。靜態(tài)數(shù)據(jù)是指以任何數(shù)字形式存儲的非活動數(shù)據(jù)，靜態(tài)數(shù)據(jù)可能位于硬盤驅(qū)動器或數(shù)據(jù)庫、云存儲或其它位置，由于數(shù)據(jù)存儲的聚合性，靜態(tài)數(shù)據(jù)常常成為攻擊者的主要目標(biāo)。傳輸中的數(shù)據(jù)是指數(shù)據(jù)從一存儲地向另一存儲地進(jìn)行移動，此種數(shù)據(jù)也很容易受到攻擊，無論是通過專用網(wǎng)絡(luò)、本地設(shè)備、還是公共/不可信空間。使用中的數(shù)據(jù)保護(hù)最容易被忽略，在對使用中的數(shù)據(jù)進(jìn)行保護(hù)時(shí)，除了訪問控制和用戶身份驗(yàn)證，還應(yīng)采用同態(tài)加密等安全技術(shù)?？傊?，數(shù)據(jù)保護(hù)方案必須貫穿數(shù)據(jù)生命周期中的各個(gè)環(huán)節(jié)。

（二）數(shù)據(jù)泄露事件頻發(fā)對數(shù)據(jù)安全保護(hù)法律制度的完善提出了迫切要求

現(xiàn)在的大型數(shù)據(jù)泄露事件，幾乎到了每天都會曝光一次的頻率。根據(jù)國際數(shù)據(jù)公司（IDC）預(yù)測，至2020年，全球四分之一的人口將受到數(shù)據(jù)泄露的影響，在這個(gè)高度連接的世界中，這些數(shù)據(jù)泄露行為對許多組織及其領(lǐng)導(dǎo)人來說都是迫在眉睫的威脅7。縱觀國際商業(yè)機(jī)器公司（IBM）發(fā)布的《2020數(shù)據(jù)泄露成本報(bào)告》8，我們可以看到，惡意攻擊、系統(tǒng)故障、人為錯(cuò)誤這三類是導(dǎo)致數(shù)據(jù)泄露事件發(fā)生的根本原因，其中系統(tǒng)故障是導(dǎo)致政府等公共部門數(shù)據(jù)泄露的主要原因。我國也發(fā)生過不少大型數(shù)據(jù)泄露事件，對個(gè)人和企業(yè)造成了很大損害9。在數(shù)據(jù)的作用與地位日漸重要的今天，數(shù)據(jù)安全關(guān)乎國家安全，關(guān)乎市場組織數(shù)字化發(fā)展和未來的商業(yè)模式及競爭力，任何數(shù)據(jù)泄露事件將對市場組織的正常運(yùn)營、收入和聲譽(yù)造成重大影響，同時(shí)，數(shù)據(jù)安全也關(guān)乎著個(gè)人信息隱私保護(hù)。

二、我國現(xiàn)行數(shù)據(jù)安全保護(hù)法律制度及其不足

數(shù)字經(jīng)濟(jì)的發(fā)展離不開技術(shù)研發(fā)和法制保障，在某種意義上，法制建設(shè)和完善起著基礎(chǔ)性作用，因?yàn)榱己玫姆芍贫饶芗ぐl(fā)市場主體的積極性、創(chuàng)造性。

（一）我國現(xiàn)行數(shù)據(jù)安全保護(hù)法律制度的現(xiàn)狀

1. 基礎(chǔ)性法律規(guī)范

事實(shí)上，我國正在不斷完善數(shù)據(jù)安全相關(guān)制度和規(guī)則，保障個(gè)人數(shù)據(jù)和重要數(shù)據(jù)安全的同時(shí)充分發(fā)揮數(shù)據(jù)的經(jīng)濟(jì)價(jià)值，并不斷推動數(shù)據(jù)安全協(xié)同治理機(jī)制的形成。2016年《網(wǎng)絡(luò)安全法》首次提出了重要數(shù)據(jù)的概念，并在第三十七條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者掌握的重要數(shù)據(jù)境內(nèi)存儲及出境應(yīng)進(jìn)行安全評估10?！稊?shù)據(jù)安全法（草案）》在第三章“數(shù)據(jù)安全制度”和第四章“數(shù)據(jù)安全保護(hù)義務(wù)”中，從國家需要建立的保護(hù)制度和重要數(shù)據(jù)的處理者應(yīng)承擔(dān)的保護(hù)義務(wù)兩方面，對重要數(shù)據(jù)保護(hù)做出了規(guī)定。為降低人們在使用那些必需采集個(gè)人信息的平臺或軟件時(shí)發(fā)生信息泄露風(fēng)險(xiǎn)，《網(wǎng)絡(luò)安全法》第四十一條明確規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循安全、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的方式和范圍，并經(jīng)被收集者同意11?！睹穹ǖ洹返谝磺Я闳臈l明確了個(gè)人信息的保護(hù)范圍，其中“電子郵箱”和“行蹤信息”首次被明確納入了個(gè)人信息范疇，進(jìn)一步加強(qiáng)了對個(gè)人信息的保護(hù);第一千零三十五條從個(gè)人信息的處理原則和條件方面進(jìn)行了規(guī)定12?！秱€(gè)人信息保護(hù)法》（草案）已正式全文對外發(fā)布，全文共八章七十條，在總則、個(gè)人信息處理規(guī)則、個(gè)人信息跨境提供的規(guī)則、個(gè)人在個(gè)人信息處理活動中的權(quán)利、個(gè)人處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門、法律責(zé)任和附則等多個(gè)層面設(shè)計(jì)和建構(gòu)個(gè)人信息保護(hù)的立法框架。草案整體上對個(gè)人信息提供了高標(biāo)準(zhǔn)的保護(hù)13。

隨著信息技術(shù)的高速發(fā)展，大數(shù)據(jù)正在成為一種全新的國家實(shí)力要素14。數(shù)據(jù)的安全直接關(guān)涉國家經(jīng)濟(jì)和社會發(fā)展，上述數(shù)據(jù)安全法律制度為相關(guān)數(shù)字實(shí)踐提供了重要制度基礎(chǔ)。

2.中央和地方性法規(guī)及規(guī)章

（1）政府?dāng)?shù)據(jù)管理。政府?dāng)?shù)據(jù)包括廣義及狹義兩個(gè)層面，狹義的政府?dāng)?shù)據(jù)主要是政府所擁有和管理的數(shù)據(jù)，如氣象、教育、醫(yī)療、金融等不同領(lǐng)域的各種數(shù)據(jù);廣義的政府?dāng)?shù)據(jù)則與政府部門的工作內(nèi)容相聯(lián)系，涉及政府在履行職能而需要收集的外部大數(shù)據(jù)，具體包括政府及其相關(guān)機(jī)構(gòu)在履職過程中形成和掌握的各類統(tǒng)計(jì)數(shù)據(jù)，如國內(nèi)生產(chǎn)總值、財(cái)政及國際收支、物價(jià)指數(shù)及稅收、國土資源、人口就業(yè)、交通治安等各類數(shù)據(jù)，在此之中還涵蓋互聯(lián)網(wǎng)輿論數(shù)據(jù)。我國保障數(shù)據(jù)安全的工作隨著政務(wù)數(shù)據(jù)開放才逐漸重視起來，2015年，國務(wù)院發(fā)布《關(guān)于促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，提出了對涉及國家利益、公共安全、商業(yè)秘密、個(gè)人隱私、軍工科研生產(chǎn)等數(shù)據(jù)保護(hù)，之后，各地也陸續(xù)出臺了大數(shù)據(jù)或政務(wù)數(shù)據(jù)安全方面的條例、辦法和細(xì)則等文件。2019年1月1日，天津市開始實(shí)施《天津市促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用條例》，此條例圍繞大數(shù)據(jù)發(fā)展應(yīng)用的迫切需求和趨勢，充分發(fā)揮大數(shù)據(jù)在商用、民用、政用方面的價(jià)值和作用，構(gòu)建大數(shù)據(jù)發(fā)展應(yīng)用新格局，并在極大程度上保護(hù)用戶的信息和數(shù)據(jù)15。政府部門存儲的數(shù)據(jù)要比私營部門大得多，且往往重要得多，但是經(jīng)常將其保存在陳舊且更易受攻擊的系統(tǒng)上，因此公共部門面臨的挑戰(zhàn)更加嚴(yán)峻，打算進(jìn)行數(shù)字化轉(zhuǎn)型的政府將網(wǎng)絡(luò)安全視為一項(xiàng)重大挑戰(zhàn)?？梢哉f，公共部門比任何其他部門都面臨更多的安全事件和數(shù)據(jù)泄露16。

（2）個(gè)人數(shù)據(jù)安全保護(hù)?！秶医y(tǒng)計(jì)信息網(wǎng)絡(luò)管理暫行規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法規(guī)規(guī)章從各個(gè)角度對各種個(gè)人信息進(jìn)行了多維保護(hù)。同時(shí)，在一些特殊行業(yè)和領(lǐng)域，也制定了相關(guān)法規(guī)對個(gè)人信息加以保護(hù)，如衛(wèi)生部關(guān)于印發(fā)《對艾滋病病毒病感染者和艾滋病病人管理意見的通知》、國家衛(wèi)生和計(jì)劃生育委員會、國家中醫(yī)藥管理局關(guān)于印發(fā)《醫(yī)療機(jī)構(gòu)病例管理規(guī)定（2013版）》等。隨著大數(shù)據(jù)和云計(jì)算技術(shù)的發(fā)展，個(gè)人信息被收集的途徑和方式越來越多，但是收集的目的、方式和類型缺乏統(tǒng)一和明確的法規(guī)和制度來進(jìn)行管理。政府面臨著網(wǎng)絡(luò)數(shù)據(jù)監(jiān)管的失控，個(gè)人信息泄露事件頻頻發(fā)生，非技術(shù)性因素引發(fā)的隱私泄露已嚴(yán)重影響互聯(lián)網(wǎng)的信任度。

3. 數(shù)據(jù)安全標(biāo)準(zhǔn)

數(shù)據(jù)安全是組織機(jī)構(gòu)信息安全體系的重要環(huán)節(jié)，許多組織機(jī)構(gòu)并不充分了解自身的數(shù)據(jù)安全能力，行業(yè)內(nèi)急需一套評估組織機(jī)構(gòu)數(shù)據(jù)安全能力的標(biāo)準(zhǔn)規(guī)范。為落實(shí)《網(wǎng)絡(luò)安全法》中“國家鼓勵(lì)開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)，促進(jìn)公共數(shù)據(jù)資源開放”及“國家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系”等要求，響應(yīng)《大數(shù)據(jù)發(fā)展行動綱要》中“健全大數(shù)據(jù)安全保障體系，強(qiáng)化安全支撐;完善法規(guī)制度和標(biāo)準(zhǔn)體系，科學(xué)規(guī)范利用大數(shù)據(jù)，切實(shí)保障數(shù)據(jù)安全”的主要任務(wù)。2016年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260，簡稱“信安標(biāo)委”）成立了大數(shù)據(jù)安全標(biāo)準(zhǔn)化特別工作組（SWG-BDS），連續(xù)開展了數(shù)項(xiàng)數(shù)據(jù)安全標(biāo)準(zhǔn)研制項(xiàng)目。至2019年12月，已有四項(xiàng)數(shù)據(jù)安全國家標(biāo)準(zhǔn)正式發(fā)布：GB/T 35274-2017《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》、GB/T 37932-2019《信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求》、GB/T 37973-2019 《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》、GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》。這樣的標(biāo)準(zhǔn)能夠幫助各行業(yè)、組織機(jī)構(gòu)基于統(tǒng)一標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力，發(fā)現(xiàn)數(shù)據(jù)安全能力短板，查漏補(bǔ)缺，最終提升互聯(lián)網(wǎng)行業(yè)的整體安全管理水平和產(chǎn)業(yè)競爭力，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。同時(shí)，2020年，國家信安標(biāo)委正式立項(xiàng)國家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)識別指南》，從公布的草案稿來看，該標(biāo)準(zhǔn)簡化了重要數(shù)據(jù)定義、明確提出了重要數(shù)據(jù)的主要分布;不再沿用行業(yè)分類的方式，而是從數(shù)據(jù)的作用、受破壞后可能帶來的影響等角度，對重要數(shù)據(jù)做分類。這對重要數(shù)據(jù)保護(hù)實(shí)施起到了指導(dǎo)作用。

（二）我國現(xiàn)行數(shù)據(jù)安全保護(hù)法律制度的不足

我國數(shù)據(jù)安全法律制度是對當(dāng)今數(shù)字化世界中出現(xiàn)的不安定因素提出的中國方案和對策，對全球數(shù)據(jù)治理有著積極意義，也是未來指導(dǎo)數(shù)據(jù)安全實(shí)踐的重要法律基礎(chǔ)。但看具體制度本身，普遍偏原則性，缺乏實(shí)施指導(dǎo)性。就文章論述的主題而言，主要存在兩點(diǎn)不足。首先，《數(shù)據(jù)安全法（草案）》第九條規(guī)定的數(shù)據(jù)安全協(xié)同治理體系，只是對保護(hù)主體作了明確，而各主體的實(shí)施重點(diǎn)及如何協(xié)同都未規(guī)定。其次，《數(shù)據(jù)安全法（草案）》對重要數(shù)據(jù)比《網(wǎng)絡(luò)安全法》規(guī)定的更系統(tǒng)、明確，但是尚未明確保護(hù)的對象，具體存在如下問題：尚未細(xì)化管理制度和要求;重要數(shù)據(jù)保護(hù)權(quán)限過度“下放”;需要協(xié)同重要數(shù)據(jù)和個(gè)人數(shù)據(jù)保護(hù);需要協(xié)同重要數(shù)據(jù)和數(shù)據(jù)分類分級。

此外，政府既是政府?dāng)?shù)據(jù)的直接管理者，也是落實(shí)國家數(shù)據(jù)安全實(shí)施的重要執(zhí)行和監(jiān)督主體。但是，由于缺乏法律的明確指引，現(xiàn)實(shí)中存在以下問題：政府?dāng)?shù)據(jù)安全管理主體分散，政府機(jī)構(gòu)內(nèi)部、企業(yè)，甚至第三方機(jī)構(gòu)，都會因直接或間接接觸數(shù)據(jù)而影響數(shù)據(jù)安全;法律問責(zé)機(jī)制缺失，一旦發(fā)生數(shù)據(jù)泄露，對相關(guān)責(zé)任人的懲處不足以使當(dāng)事人嚴(yán)肅對待;政府?dāng)?shù)據(jù)安全的投入不足，無論是資金、技術(shù)還是人才方面的投入都遠(yuǎn)低于發(fā)達(dá)國家。此外，政府需出臺更詳細(xì)的規(guī)則或指令以指導(dǎo)企業(yè)數(shù)據(jù)安全保護(hù)實(shí)踐，同時(shí)還應(yīng)加強(qiáng)個(gè)人數(shù)據(jù)隱私侵犯的執(zhí)法活動等。

三、我國數(shù)據(jù)安全保護(hù)法律制度的完善建議

鑒于上文分析的數(shù)據(jù)安全保護(hù)法律制度存在著諸多不足，本文提出如下相關(guān)的完善建議。

（一）盡快制定通過我國的《數(shù)據(jù)安全法》

2020年7月3日，全國人大常委會第二十次會議審議了《數(shù)據(jù)安全法（草案）》并公開征求意見，本法作為數(shù)據(jù)安全領(lǐng)域的專門法律，體現(xiàn)了國家立法層面對數(shù)據(jù)安全的高度重視，也為實(shí)踐中各數(shù)據(jù)保護(hù)主體具體實(shí)施數(shù)據(jù)保護(hù)指明了努力方向。《數(shù)據(jù)安全法（草案）》公布后受到了學(xué)界、實(shí)務(wù)界等領(lǐng)域的學(xué)者與專家的廣泛關(guān)注和探討，并提出了許多建設(shè)性的完善建議，相關(guān)立法部門應(yīng)盡快匯總、綜合并提煉社會各界的有益意見、建議，爭取早日通過并頒布《數(shù)據(jù)安全法》，為我國的數(shù)據(jù)經(jīng)濟(jì)的安全發(fā)展保駕護(hù)航，為保護(hù)有關(guān)當(dāng)事人合法權(quán)益提供立法依據(jù)。

（二）在全球數(shù)字治理背景下構(gòu)建和完善數(shù)據(jù)安全制度

隨著信息技術(shù)發(fā)展日新月異，數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，極大影響著人類的生產(chǎn)生活，對各國經(jīng)濟(jì)發(fā)展、全球治理體系、甚至人類文明都有著深遠(yuǎn)影響。數(shù)據(jù)已代替了傳統(tǒng)的商品、貨幣成為了21世紀(jì)跨境流通最主要的要素。在全球分工合作日益密切背景下，保護(hù)數(shù)據(jù)安全與促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展同樣重要。數(shù)據(jù)安全法律制度的構(gòu)建和完善應(yīng)放眼全球，分析全球數(shù)字治理發(fā)展現(xiàn)狀和趨勢，將中國數(shù)據(jù)安全治理方案融入到全球數(shù)字治理體系中去。中國近期提出的《全球數(shù)據(jù)安全倡議》便是對全球數(shù)字治理的最新實(shí)踐，《數(shù)據(jù)安全法》的最終稿形成和出臺也應(yīng)響應(yīng)這一時(shí)代主題。

（三）避免過度原則性規(guī)定，注重法律的實(shí)施指導(dǎo)意義

縱觀數(shù)據(jù)安全法律制度，尚存在待改善之處，其中最重要的一點(diǎn)是增強(qiáng)法律的實(shí)施指導(dǎo)性，避免抽象化和原則化?！稊?shù)據(jù)安全法（草案）》中規(guī)定的由政府、企業(yè)、個(gè)人等構(gòu)成的數(shù)據(jù)安全協(xié)同治理體系應(yīng)明確相關(guān)原則及各自的側(cè)重點(diǎn)，如政府層面應(yīng)著力于頂層設(shè)計(jì)、加強(qiáng)數(shù)據(jù)安全執(zhí)法等;企業(yè)應(yīng)致力于完善內(nèi)部數(shù)據(jù)安全合規(guī)管理機(jī)制;個(gè)人應(yīng)加強(qiáng)對數(shù)據(jù)安全和數(shù)據(jù)隱私本身的識別和認(rèn)識，并熟悉個(gè)人數(shù)據(jù)（隱私）保護(hù)相關(guān)法律法規(guī)。具體應(yīng)從以下幾個(gè)層面進(jìn)行完善。

1. 完善政府?dāng)?shù)據(jù)保障體系

第一，確保數(shù)據(jù)安全。首先，政府部門必須審查其數(shù)據(jù)以確定敏感程度;其次，加強(qiáng)內(nèi)部人員管理并進(jìn)行數(shù)據(jù)安全培訓(xùn)。此外，應(yīng)充分利用大數(shù)據(jù)和成熟的分析技術(shù)檢測行為異常的員工，以應(yīng)對政府部門的內(nèi)部威脅。總之，網(wǎng)絡(luò)威脅的不斷演化需要政府協(xié)同企業(yè)和安全服務(wù)提供商以共享有關(guān)漏洞、威脅和補(bǔ)救措施的信息。第二，保持警惕，充分認(rèn)識威脅。這意味著需要了解哪些數(shù)據(jù)是入侵者最想要的，哪些網(wǎng)絡(luò)犯罪分子對這些數(shù)據(jù)最感興趣以及網(wǎng)絡(luò)入侵者最有可能用于滲透系統(tǒng)的黑客。第三、加強(qiáng)復(fù)原力構(gòu)建。復(fù)原力指政府機(jī)構(gòu)抵御網(wǎng)絡(luò)攻擊的能力，即能夠抵御破壞并動用各種資源以最大程度減少其影響的能力。有復(fù)原能力的機(jī)構(gòu)通常會以最小化訪問權(quán)限，對數(shù)據(jù)進(jìn)行加密和匿名化處理以限制其可用性，同時(shí)會持續(xù)掃描是否存在漏洞，以便在發(fā)生入侵事件時(shí)僅泄露少量信息。對政府公共機(jī)構(gòu)而言，復(fù)原力關(guān)乎公眾信任重建?？傊?，政府?dāng)?shù)據(jù)管理應(yīng)采用柔性技術(shù)和管理制度并行，使之成為推動政府職能轉(zhuǎn)變、提升國家治理效能的重要催化劑17。

2. 指導(dǎo)企業(yè)構(gòu)建數(shù)據(jù)安全體系

首先，政府應(yīng)以確立“監(jiān)督、促進(jìn)和協(xié)作”為指導(dǎo)準(zhǔn)則;其次，政府應(yīng)加強(qiáng)企業(yè)“合理”或“適當(dāng)”等法律安全合規(guī)性要求的指導(dǎo)，無需告知公司必需采取哪些特定的安全措施，但是應(yīng)指導(dǎo)企業(yè)建立相應(yīng)流程，該流程旨在識別和評估風(fēng)險(xiǎn)，執(zhí)行針對這些風(fēng)險(xiǎn)的適當(dāng)安全措施并確保其實(shí)施有效且持續(xù)更新。總之，安全是一個(gè)過程，有關(guān)安全的法律義務(wù)應(yīng)側(cè)重于在特定情況下可以達(dá)到預(yù)期安全目標(biāo)的合理方法。

3. 加強(qiáng)數(shù)據(jù)安全執(zhí)法

為保護(hù)公民個(gè)人信息，近期我國正開展全國網(wǎng)絡(luò)安全執(zhí)法大檢查，展開對大數(shù)據(jù)安全的整治工作，加大對違法違規(guī)APP的清理整治力度。這在一定程度上嚴(yán)懲了許多不法網(wǎng)絡(luò)平臺/APP經(jīng)營者，用行動證明了國家對個(gè)人信息保護(hù)的重視。但對數(shù)據(jù)安全的執(zhí)法應(yīng)有重點(diǎn)、有區(qū)分，重點(diǎn)稽查、懲治涉及人民生命健康、財(cái)產(chǎn)安全的網(wǎng)絡(luò)平臺/APP，對于其它一般行業(yè)實(shí)施企業(yè)自律和行業(yè)監(jiān)督雙軌制。

（四）明確企業(yè)數(shù)據(jù)安全保護(hù)責(zé)任，提升個(gè)人數(shù)據(jù)安全保護(hù)意識

1. 企業(yè)應(yīng)制定系統(tǒng)的數(shù)據(jù)安全管理制度以履行安全保護(hù)責(zé)任

企業(yè)應(yīng)明確其數(shù)據(jù)安全保護(hù)責(zé)任并采取有效措施來切實(shí)履行，而系統(tǒng)的數(shù)據(jù)安全管理制度是重要的有效措施。該措施應(yīng)該至少包含以下五個(gè)方面：第一，建立企業(yè)數(shù)據(jù)安全責(zé)任制;第二，制定網(wǎng)絡(luò)服務(wù)政策;第三，制定系統(tǒng)安全策略;第四，建立安全事件應(yīng)對機(jī)制。一旦發(fā)生安全事件，應(yīng)在第一時(shí)間采取適當(dāng)?shù)拇胧?yīng)對，包括對事件的評估和報(bào)告，以及如何解決導(dǎo)致該事件的源頭以及如何防止該問題再次發(fā)生，并及時(shí)將損失等降低到最小程度;第五，制定內(nèi)部數(shù)據(jù)許可使用政策。公司應(yīng)制定相應(yīng)規(guī)則明確許可使用政策的定義和范圍，并讓相關(guān)員工在相應(yīng)政策文件上進(jìn)行簽署，以便后續(xù)發(fā)生不當(dāng)使用可以采取紀(jì)律處分等。企業(yè)一旦實(shí)施了統(tǒng)一的數(shù)據(jù)安全政策，那么在該政策生效實(shí)施后，應(yīng)至少每年對其進(jìn)行兩次審查，進(jìn)行風(fēng)險(xiǎn)合規(guī)評估，風(fēng)險(xiǎn)評估包括確定風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)的發(fā)生概率及潛在影響、采取措施糾正嚴(yán)重風(fēng)險(xiǎn)、然后評估這些步驟的有效性。

2. 自然人個(gè)人應(yīng)提升數(shù)據(jù)安全保護(hù)意識

自然人個(gè)人信息泄露渠道越來越多，但就個(gè)人而言，首先要重視個(gè)人信息保護(hù)，避免在不經(jīng)意間向他人或外界透露自己的信息。時(shí)刻提高警惕，不斷加強(qiáng)個(gè)人信息保護(hù)意識，增強(qiáng)辨識能力。一方面應(yīng)深刻認(rèn)識到信息泄露對自己可能帶來的嚴(yán)重威脅和損失，牢固樹立對自身信息保護(hù)的主動防范意識，切實(shí)做到防患于未然，不給不法分子留下侵權(quán)或犯罪的機(jī)會;如個(gè)人通話記錄、行走軌跡、網(wǎng)上瀏覽記錄、購物記錄、社交網(wǎng)站記錄等信息，不法分子可能會通過大數(shù)據(jù)分析推算出個(gè)人的性別、年齡、職業(yè)、愛好、社交等隱私信息。另一方面應(yīng)建立保護(hù)隱私和個(gè)人數(shù)據(jù)維權(quán)意識并采取積極有效的數(shù)據(jù)保護(hù)防范措施。法律是對個(gè)人信息保護(hù)最直接的手段。遭遇信息泄露的個(gè)人有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止;個(gè)人還可向公安部門、互聯(lián)網(wǎng)管理部門、工商部門、消協(xié)、行業(yè)管理部門和相關(guān)機(jī)構(gòu)進(jìn)行投訴舉報(bào);個(gè)人還可依據(jù)《民法典》《消費(fèi)者權(quán)益保護(hù)法》等，通過法律手段進(jìn)一步維護(hù)自己的合法權(quán)益，如要求侵權(quán)人賠禮道歉、消除影響、恢復(fù)名譽(yù)、賠償損失等。

結(jié)? 語

互聯(lián)網(wǎng)是一個(gè)旨在共享信息而非保護(hù)信息的平臺，這種連通性推動了公共和私營部門的創(chuàng)新和效能?；ヂ?lián)網(wǎng)有著自身運(yùn)轉(zhuǎn)的機(jī)制和風(fēng)險(xiǎn)，在過去幾十年中，我們通過互聯(lián)網(wǎng)連接了經(jīng)濟(jì)和社會，一定程度上改變了人們的生活方式和學(xué)習(xí)模式等，為人們帶來了諸多便利。同時(shí)，互聯(lián)網(wǎng)也為網(wǎng)絡(luò)犯罪分子提供了商機(jī)，早期的黑客行為主要是為了尋求刺激和娛樂，但是，慢慢地出現(xiàn)了牟利動機(jī)，甚至吸引了有組織、有預(yù)謀且成集團(tuán)化的全球犯罪組織?，F(xiàn)在很多國家將網(wǎng)絡(luò)空間歸類為新疆域，與海陸空同樣重要，有可能成為新的戰(zhàn)場。信息系統(tǒng)是該疆域最為重要的運(yùn)轉(zhuǎn)基礎(chǔ)，而其最核心的資產(chǎn)是數(shù)據(jù)，因?yàn)閿?shù)據(jù)構(gòu)成了互聯(lián)網(wǎng)運(yùn)行的基本要素，是信息系統(tǒng)發(fā)揮功能的命脈。因此，數(shù)據(jù)安全的保障是網(wǎng)絡(luò)安全的核心議題，特別是關(guān)乎組織數(shù)字化發(fā)展和未來的商業(yè)模式及競爭力，任何數(shù)據(jù)泄露事件將對組織的正常運(yùn)營、收入和聲譽(yù)造成重大影響。安全是大數(shù)據(jù)發(fā)展的重大挑戰(zhàn)，數(shù)據(jù)需要流動、共享、運(yùn)用以發(fā)揮其應(yīng)有的價(jià)值，但也要保護(hù)好國家機(jī)密、商業(yè)秘密和個(gè)人隱私。在技術(shù)層面上，區(qū)塊鏈技術(shù)可以較好地解決數(shù)據(jù)安全問題，通過加密、溯源，可以追溯數(shù)據(jù)泄露者，讓人不敢輕易違法。上述諸目標(biāo)的實(shí)現(xiàn)需要相應(yīng)的法律制度的保障，為此，我國應(yīng)盡快構(gòu)建和完善以《數(shù)據(jù)安全法》為基礎(chǔ)的數(shù)據(jù)安全保護(hù)法律體系。

參考文獻(xiàn)：

[1] DILLON PHILLIPS，Data Privacy vs. Data Security： What is the Core Difference？[J]. DATA SECURITY，JULY 7， 2020.

[2] ISO/IEC 27002：2005， Information Technology-Security Techniques-Code of Practice for Information Security Management （June. 2005）.

[3] 何淵.數(shù)據(jù)法學(xué)[M].北京：北京大學(xué)出版社，2020：7.

[4] Maddie Davis， Damaging After-Effects of a Data Breach[J].July 25， 2019.

[5] Cost of a Data Breach Report，IBM Security，2020. https：//www.ibm.com/security/digital-assets/cost-data-breach-report/Cost%20of%20a%20Data%20Breach%20Report%202020.pdf.

[6] 胡健.基于大數(shù)據(jù)的國家實(shí)力：內(nèi)涵及其評估[J].中國社會科學(xué).2018（8）：185.

[7] “2015 Data breach investigations report” Verizon， 2015. http：//higherlogicdownload.s3.amazonaws.com/GOVERNANCEPROFESSIONALS/a8892c7c-6297-4149-b9fc-3785 77d0b150/UploadedImages/Landing%20Page%20Documents/ DBIR%20Executive%20Summary%20vv%204-10-15.pdf.

[8] 第45次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[R].中國互聯(lián)網(wǎng)絡(luò)信息中心，2020（4）.

[9] 中國網(wǎng)民個(gè)人隱私狀況調(diào)查報(bào)告[R].騰訊新聞、企業(yè)智庫研究出品，2018（8）.

[10] SANS Institute， “CIS critical security controls： Guidelines，” https：//www.sans.org/critical-security-controls/guidelines.

[11] Ed Powers and Mary Galligan， “The pursuit of cybersecurity，” Risk and Compliance Journal， July 27， 2015.

[12] 謝軍.為政務(wù)數(shù)據(jù)“上鎖――織密數(shù)據(jù)安全防護(hù)網(wǎng)[N].人民日報(bào)，2020-8-12（1）.

[13] Risks， Harms and Benefits Assessment Tool， Global Pulse. https：//unglobalpulse.org/wp-content/uploads/2019/02/risk-harms-and-benefits-assessment-tool.pdf.

[14] 魯傳穎.網(wǎng)絡(luò)空間安全困境及治理機(jī)制構(gòu)建[J].現(xiàn)代國際關(guān)系，2018（11）：51.

[15] 董青嶺.大數(shù)據(jù)安全態(tài)勢感知與沖突預(yù)測[J].中國社會科學(xué)，2018（6）.

[16] Tal Z. Zarsky， Incompatible： The GDPR in the Age of Big Data[J]， SETON HALL LAW REVIEW， Vol. 47：995，2017.

The Improvement of China's Legal System of Data Security Protection

Ma Zhongfa， Hu Ling

（Law School， Fudan University， Shanghai 200433， China）

Abstract： Article 9 of the "Data Security Law of the People's Republic of China （Draft）" clarifies the importance of country， enterprises and individuals participating in the construction of a data security collaborative governance system. In this regard， after defining the meaning of the data security concept and classifying it， we should realize that the security of important and sensitive data should be more valued than general data security. Furthermore， in response to the phenomenon of frequent data breaches that has caused widespread concern about data security， the current data legal protection system and its shortcomings are analyzed. Finally， combined with the diversity of data governance subjects， and in view of the deficiencies of the existing legal system， the following suggestions are made in terms of implementing and improving data security protection： at the macro level， the government should improve the data protection system， improve data security standards， and guide companies to build data security systems; at the micro level， companies should clarify their responsibilities and formulate a systematic data security management system; individuals should establish an awareness of active prevention of personal information protection， establish awareness of infringement of privacy and personal data rights protection， and adopt data protection preventive measures.

Key words： data security; legal protection system; perfecting countermeasure