數據時代背景下,一方面數據戰(zhàn)略價值凸顯,各國圍繞數據展開戰(zhàn)略競爭;另一方面數據成為安全重災區(qū),近年來,針對數據的攻擊、竊取、劫持、濫用等手段不斷推陳出新,給經濟、政治、社會等各領域帶來巨大風險。需要圍繞當前數據安全涉及的核心議題,深入分析數據安全面臨的主要挑戰(zhàn)以及當前的政策實踐,在對未來數據安全發(fā)展趨勢評估的基礎上,就中國如何進一步有效維護數據安全并引領數據規(guī)則制定進行思考。
引 言
當今世界已進入數據時代,海量數據的產生與流轉成為“新常態(tài)”,正如中國發(fā)布的《全球數據安全倡議》所言:“作為數字技術的關鍵要素,全球數據爆發(fā)增長,海量集聚,成為實現創(chuàng)新發(fā)展、重塑人們生活的重要力量,事關各國安全與經濟社會發(fā)展。”依賴性越強則脆弱性越大,在數據如此重要的背景下,數據亦成為安全“重災區(qū)”。近年來,針對數據的攻擊、竊取、劫持、濫用等手段不斷推陳出新,給經濟、政治、社會等領域帶來巨大風險。為切實保障數據安全,國際社會各方在實踐中不斷探索,但鑒于數據安全的技術與應用特性,有效確保數據安全仍然面臨諸多現實挑戰(zhàn)。
正確理解數據安全
世界主要國家均高度重視數據及其安全,但因各國國情不同,對數據問題的核心關切亦有所不同,對于何為數據安全,并不存在統(tǒng)一認知與概念界定。對于數據安全的理解總體上與各國發(fā)展階段和程度密切相關,但不可否認的是,數據安全具有安全問題的共性,即本質上是一種動態(tài)、平衡、相對的安全。
首先,數據安全是一種動態(tài)的安全。數據問題兼具技術性與社會性,從技術角度來看,數據的產生、流轉與技術應用高度相關,數據形態(tài)與“運維”本身處在不斷的發(fā)展變化之中,這就意味著數據安全的內涵與外延亦在不斷拓展。從社會角度來看,數據涉及社會各層面,與日常生活息息相關,必然受到社會環(huán)境與文化傳統(tǒng)的影響。因此,各國對于數據安全的理解與把握存在差異,且處于動態(tài)變化之中。一般而言,發(fā)展程度越高,對于數據安全維護的意識與認知會更加成熟。
其次,數據安全是一種平衡的安全。任何一個國家對于數據安全的維護都是有“偏好”的,這種偏好不是指心理上的,而是基于現實,在安全訴求與發(fā)展需要之間不斷尋求最符合自身利益的平衡點。長遠來看,安全是為了更好地發(fā)展。但在實踐進程中,出于不同發(fā)展階段的需要,發(fā)展會付出一定的安全代價,安全亦會事實上影響發(fā)展進程。一般而言,發(fā)展程度越高,對于數據安全維護會更加偏好發(fā)展,力圖在實現發(fā)展利益的前提下最大限度地確保安全。
最后,數據安全是一種相對的安全。數據安全同其他安全一樣,沒有絕對的安全。在當前發(fā)展背景下,數據是一種常態(tài)化、泛在化的存在,這不僅意味著數據處理涵蓋收集、存儲、使用、加工、傳輸、提供與公開的“全鏈條”,更意味著數據主體涉及國家、企業(yè)乃至個人。數據安全的復雜性不言而喻,絕對安全只能是一種理想狀態(tài),而非現實目標,這也是為什么中國在最新頒布的《中華人民共和國數據安全法》中,將“數據安全”務實地界定為:“通過必要措施,確保數據處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。”
需要指出的是,由于各國處于不同發(fā)展階段,有效應用數據的能力并不相同,對于數據安全的內在利益訴求與面臨的外在現實約束均有不同。數據安全維護很難齊頭并進,而是具有一定“優(yōu)先排序”。因此,相應的數據安全維護政策法規(guī)與治理機制沒有絕對的“模板”,政策實踐更會呈現鮮明的“國情特色”。
比如美國鑒于其技術與產業(yè)優(yōu)勢,主要從產業(yè)利益出發(fā),對數據持積極利用的態(tài)度,堅持以市場為主導、以行業(yè)自律為主要手段 , 總體呈現一種“相對寬松”的政策導向 [1];歐盟雖然將數字產業(yè)發(fā)展列為實現未來競爭力的戰(zhàn)略方向,但目前來看規(guī)模有限,其對數據安全的關注更多從“理念”與“規(guī)則”塑造層面入手,提出將價值觀、個人權利和市場價值相結合的歐洲“數據理念”;俄羅斯從維護國家安全的角度出發(fā)高度重視數據安全,對于數據流通有較嚴格限制,總體呈現出相對封閉的“孤島”態(tài)勢。中國數據安全觀基于總體國家安全觀,數據安全政策整體比較務實平衡。一方面大膽將數據作為重要生產要素投入生產,推動數字經濟和實體經濟深度融合、實現經濟轉型。另一方面通過《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法(草案)》等法律法規(guī),乃至于緊跟熱點行業(yè)推進規(guī)范的《汽車數據安全管理若干規(guī)定(征求意見稿)》,建設全方位的數據安全保障體系。同時中國積極參與國際數據安全規(guī)則塑造,于2020年9月發(fā)布《全球數據安全倡議》,呼吁各國致力于維護開放、公正、非歧視性的數字環(huán)境。
數據安全面臨的主要挑戰(zhàn)
在數據時代,數據是一種“泛在”性的存在,其安全的維護是一個非常復雜的系統(tǒng),但按照涉及議題的屬性,大致可以將當前數據安全面臨的主要挑戰(zhàn)或問題劃分為以下四大類:
第一,數據確權難題。有效維護數據安全,首要的問題是對數據進行確權。所謂數據確權,是對數據權內容、權屬、權利體系和治理機制等做出明確規(guī)范的過程。由于數據問題本身的特殊性,數據確權從不同主體層面均面臨不同程度的困難。從國家層面來看,就是“數據主權”問題。雖然各國表述不一,但總體而言均旨在強調國家對數據的主權,涉及提升數據安全管控能力和強化國家關鍵數據資源保護能力等各方面。目前,對于該問題的探索還處在初級階段,各國雖然對國家擁有數據主權沒有異議,但在實踐中,如何有效維護,特別是如何平衡數據開放、共享與跨境流動之間的關系仍然面臨諸多分歧與差異。從社會與個體層面來看,就涉及數據的“產權”問題,目前學術與政策界對于數據特征、數據權利性質的內容、數據權利配置結果等重要問題仍存不同看法。數據確權問題很難有權威或普適的解決方案,各國需要不斷尋找適合自身安全與發(fā)展需要的解決路徑。
第二,數據壟斷困境。互聯網行業(yè)以用戶量和數據量為導向形成“贏者通吃”的天然壟斷局面,絕大部分用戶份額控制在一個或幾個巨型互聯網公司之中。數據壟斷會帶來系列問題,一是隱私保護問題,以Facebook、Google這類挖掘海量用戶數據資源的社交、搜索企業(yè)為代表,這些數據被用于定向推送、協(xié)調行業(yè)生產資源。但用戶交付個人信息以換取互聯網企業(yè)免費服務的同時,所產生的大量行為數據也被互聯網企業(yè)所搜集。二是加大數據泄露風險,海量數據集中在少部分平臺和公司之中,也增大了大規(guī)模數據泄露的風險。三是市場壟斷問題。企業(yè)對于數據的排他性支配是否在事實上導致準入壁壘,進而使得互聯網市場趨向壟斷,長遠看會影響行業(yè)整體的良性發(fā)展態(tài)勢。
第三,數據泄露危害。所謂數據泄露主要是指受保護的重要、敏感、核心數據丟失、被盜、或其他未經授權的訪問或公開。近年來數據泄露事件屢見不鮮,涉及工業(yè)制造、政府數據、醫(yī)療信息、個人賬號、軍工情報等諸多領域。依據泄露數據的重要性、數據數量規(guī)模可造成不同程度危害。從數據泄露影響主體而言,可分為個人、企業(yè)、社會與國家四個層次。數據泄露侵犯網絡用戶個人信息和隱私,增大用戶被欺詐風險;企業(yè)數據泄露造成直接經濟損害,同時影響企業(yè)可信度;公共數據泄露影響社會治理,違法售賣數據等既是犯罪本身也可能引發(fā)其他類型的網絡犯罪;核心、機密數據以及大規(guī)模數據泄露同樣威脅著國家的政權安全和主權安全。
第四,數據造假隱患。近年來,數據篡改或造假問題日益引起廣泛關注:一是影響行業(yè)發(fā)展,數據造假已成為社會多領域內的問題,包括環(huán)境監(jiān)測、金融數據造假。在電商平臺、視頻網站以及社交平臺上的公開數據也有相關造假手段。這些對于依賴數據真實性的行業(yè)發(fā)展而言都有著不良影響,更為重要的是會影響國家相關領域的宏觀判斷與政策制定;二是影響新技術與應用發(fā)展。主要體現在人工智能和機器學習的應用中。眾所周知,無論是算法還是機器學習都需要基于海量數據,數據的真實性與有效性也至為重要,如果基于被篡改的數據與作假的數據,算法的有效性與學習效果不難想象;三是滋生新的犯罪手段。突出表現在個人生物識別信息的應用過程中,個人生物識別信息具有獨特性、唯一性,并且與個人身份信息具有高度相關性,以其可數據化和便攜性得以迅速推廣,涉及生活的方方面面。指紋鎖、小區(qū)人臉識別門禁、疫苗注射登記乃至天網系統(tǒng)都與個人生物識別信息密切相關。利用人工智能的“深度偽造”技術對這些信息進行替換、合成和調整,從而破壞個人生物識別數據的排他性和唯一性,不僅會導致個人身份及信息的盜用,而且會成為進行惡意或非法活動的重要手段。
維護數據安全的主要實踐
數據安全問題復雜,涉及主體多元,領域廣泛,包括國家、企業(yè)乃至個人的各方均是數據安全維護的主要實踐者,雖然各有專長或專注領域,但彼此之間又有著緊密關聯,共同構成不斷發(fā)展的數據安全治理生態(tài)。
首先,是國家層面“三條主線”。隨著數據安全重要性日益凸顯,世界各國都在維護數據安全方面進行了諸多嘗試。
一是推進數據本地化措施。出于保護國家安全和公民隱私考慮,國家往往會對數據存儲做出相應要求。近年來,數據本地化浪潮興起,明確提出相關要求的國家多為發(fā)展中國家和新興經濟體,但實際上各國不管“明面”(明確專門就數據本地化提出要求)還是“暗里”(相關數據流動限制分散體現在其他具體的安全例外或行業(yè)規(guī)定)都有相關規(guī)定。
二是加強數據跨境流動規(guī)制。各國出于不同考慮,會對本國數據境外傳輸采取相應規(guī)制。主要表現為需經數據主體同意或特定數據經審批后方可對外傳輸。如中國強調評估,2019年《個人信息出境安全評估辦法(征求意見稿)》要求個人信息出境前需進行安全評估,評估其合法性和正當性,可能影響國家安全、損害公共利益,或者難以有效保障個人信息安全的,不得出境。美國雖然鼓勵數據自由流動,但采取禁止性規(guī)定,即關乎國家安全和利益的特定類型數據受到嚴格保護。此外,多國提出數據向境外傳輸后能夠受到與本國同等程度保護的要求。如歐盟《通用數據保護條例》(GDPR)對數據傳輸目的地實行數據保護的“充分性認定”,通過該認定的國家方可自由地將歐盟個人數據傳輸至該國。
三是圍繞“長臂管轄”展開較量。數據領域的長臂管轄問題主要源于網絡犯罪的取證問題,網絡犯罪因其數據轉移更新快,通過正常審批流程周期長等問題,使得各國為了本國的司法便利而采取長臂管轄。一方面這有一定的合理性,是探索網絡犯罪取證的解決之道;但另一方面也確易出現濫用風險,引發(fā)主權爭議。比如美國2018年通過了《澄清境外數據的合法使用法案》(簡稱CLOUD法案),明確加強數據領域長臂管轄能力,但在實踐進程中帶來司法管轄權沖突或異議。各國紛紛出臺相應政策進行應對。如2018年8月7日,歐盟委員會出臺升級版《阻斷法案》;法國2019年6月發(fā)布了《重建法國和歐洲主權、保護我們的企業(yè)免于域外管轄的法律和措施》報告;中國2021年1月9日發(fā)布《阻斷外國法律與措施不當域外適用辦法》,4月29日公布了《中華人民共和國個人信息保護法(草案二審稿)》, 加強了對向境外司法或執(zhí)法機構提供個人信息的監(jiān)管,明確非經主管機關批準不得提供等。
其次,行業(yè)層面“重點突出”。不同行業(yè)對于數據安全類型的側重和維護方式均有所不同,所有需要和個人交互的行業(yè)都需要保護的個人隱私數據之外,重點是對各自“核心數據”采取相應措施大幅提升數據安全能力。
一是加大數據安全管理架構優(yōu)化力度,不再僅僅將數據安全作為簡單的技術問題,而是通過涉及優(yōu)化治理層、管理層、執(zhí)行層和監(jiān)督層四個層面促進整個數據安全治理體系的持續(xù)優(yōu)化;二是不斷加強數據安全風險評估力度,通過建立專門部門或工作小組的方式,將數據安全風險評估工作常態(tài)化與機制化;三是積極采取新技術手段,通過系統(tǒng)升級,部署人工智能、器學習、分析和其他形式的安全自動化技術,強化數據安全態(tài)勢感知;四是加大人員數據安全能力培訓,通過打造針對技術、自動化與安全專業(yè)人才團隊建設,維護和減少系統(tǒng)內部漏洞以避免外部惡意攻擊;規(guī)范數據處理流程 , 對于企業(yè)內部人員進行數據安全培訓與道德培訓以降低內部無意識泄露的風險。
最后,國際層面“積極探索”。各國數據在跨境流動中,不斷地通過機制對接,尋找流動與安全的平衡點。在此過程中,基于流動背景下的數據安全理念不斷擴散,相應數據安全規(guī)則也在逐漸成形。雖然目前階段各國囿于利益、價值觀等方面的較大差異,短期內在聯合國或WTO等多邊機制下很難形成各方接受的單一數據流動規(guī)則,更遑論安全規(guī)則,但各主要國家都在探索可能的路徑。
一是對于個人數據的保護基本達成共識。歐盟通過GDPR確立了被稱為“世界上采用最廣泛的個人數據保護模式”,雖然保護的力度有所不同,但大多數國家在國內立法中都在不同程度上適用其原則。此外,美國亦著力推動APEC跨境隱私規(guī)則(Cross-Border Privacy Rules,CBPR)體系,增強個人信息保護機制兼容性。CBPR體系是基于自愿原則在政府支持下開展的,為企業(yè)提供符合國際公認標準的數據隱私保護認證體系。
二是通過“相互認定”設立數據安全“門檻”。歐盟于2018年發(fā)布的《通用數據保護條例》(GDPR)通過“充分性認定”規(guī)則確定數據跨境自由流動白名單國家,對具有充分保護水平的國家和地區(qū)進行充分性認定,從而確定能與歐盟進行數據自由傳輸的國家和地區(qū)。目前已通過歐盟充分性認定的國家和地區(qū)有13個。在一定程度上設立了數據安全保護的“門檻”,打造了一些“模板”。如韓國為與歐盟達成“充分性認定”,于2020年修改了其國內數據保護法。
三是力圖形成兼顧發(fā)展與安全的治理框架。最具代表性的即日本倡議的“可信數據自由流動”,該框架通過G20機制得到美國和歐盟的認可。2019年6月,G20貿易與數字經濟部長會議重申可信數據自由流動的概念,強調跨境數據流動對促進生產率、創(chuàng)新和可持續(xù)發(fā)展的重要性。該框架著重強調兩個方面:一是信任,即消費者和企業(yè)對隱私保護和安全的信任;二是可互操作性,即不同法律框架之間的融合。
四是積極推出全球數據安全倡議。中國作為數據大國,亦積極為全球數據治理不斷探索。2020年9月8日,在北京舉辦的“抓住數字機遇,共謀合作發(fā)展”的國際研討會上,中國提出《全球數據安全倡議》。在這份倡議的推動下,2021年3月29日,中國外交部同阿拉伯國家聯盟秘書處召開中阿數據安全視頻會議,宣布共同發(fā)表《中阿數據安全合作倡議》,阿拉伯國家成為全球范圍內首個與中國共同發(fā)表數據安全倡議的地區(qū),體現了中阿在數字治理領域的高度共識。
未來數據安全維護主要趨勢
當前國際社會積極探索推進全球數據安全治理,但總體而言尚處起步階段,雖然各類網絡空間治理議程均將數據安全納入優(yōu)先議程,包括政府、企業(yè)、智庫在內的各方也在不斷提供政策建議,但無論是從共識基礎、規(guī)則形成還是機制建設等各方面來看,全球性規(guī)則體系建立還有很長的一段路要走。基于當前形勢與政策實踐,未來數據安全維護將呈現如下發(fā)展趨勢:
趨勢一:主要國家數據安全框架基本成形。隨著各國對數據保護工作的持續(xù)關注,在數據全球流動、跨境服務日益頻繁的大趨勢下,主要國家和地區(qū)在數據安全管理的適用范圍呈現初步持續(xù)擴大的趨勢,經過初期的探索以及相應的規(guī)則整合,數字安全框架趨于成形:一是從戰(zhàn)略高度重視數據安全,圍繞數據安全的統(tǒng)一立法成為越來越多國家和地區(qū)的共同模式;二是數據的分級分類管理機制逐漸清晰,雖然各國對數據的細分或有所不同,但在實踐上,大體均會根據數據性質以及具體應用場景,制定不同保護標準與實施措施。三是圍繞數據安全的主體責任落實更加明確。越來越多的國家通過既有機制中增加相應數據安全職能,或者新建相應主管機制,將數據安全責任進一步壓實,以確保相應數據安全戰(zhàn)略與政策能夠有效落地。
趨勢二:各國對于數據的控制權會不斷加強。雖然當前技術能力較為發(fā)達的國家在數據安全問題上傾向于積極鼓勵數據跨境流動,維護并進一步擴大自身的權益和優(yōu)勢地位。與此同時,隨著各國對于數字經濟的重視,在貿易協(xié)定等國際協(xié)作上,數據本地化要求會得到相應限制。但總體來看,技術能力相對不足的國家會繼續(xù)傾向于采取數據本地化等“數據防御主義”措施,在發(fā)展中國家和新興經濟體中,數據本地化浪潮還將不斷延續(xù)。同時,有條件的數據跨境流動將越來越普遍,尤其是政府數據、健康數據、個人隱私數據等關乎國家安全利益的數據;各國之間數據跨境流動的審查及認定機制也將在衡量各國數據安全保護能力的同時繼續(xù)體現更多政治性因素的考量,構建數據流動“朋友圈”的做法亦會延續(xù)。
趨勢三:全球跨境數據流動圈呈現復雜態(tài)勢。經過初期發(fā)展,數據安全的本地化措施基本到位,相關國家的關注重心會更多地轉向在數據的流動中如何更好維護數據的安全。美歐日韓等國在此方面已經采取相應措施,力圖實現在所謂“價值共同體”中的機制對接。但似乎這種路徑也并不那么順利,隨著2020年7月,歐盟法院宣布歐盟與美國的隱私盾協(xié)議在跨境數據傳輸方面無效,歐盟與美國跨境流動“通道”存在變數。同時,歐盟、英國也試圖進一步拓展其與亞太地區(qū)的數據流動。2020年6月,英國制定了脫歐后的科技貿易戰(zhàn)略,此前歐盟與日本通過充分性認定實現數據自由流動,但在英國脫歐之后,該條款已經不再適用于英國,英國希望與日本等亞太國家簽訂更深度融合的數據自由流動協(xié)議 [12]。此外,地緣政治博弈帶來的影響,如美國聯合多國針對中國推進“清潔數據”等做法,也會在客觀上進一步加大未來數據流動版圖的復雜性與不確定性。
趨勢四:最佳實踐會給數據安全帶來新變數。數據安全本身是一個動態(tài)發(fā)展的問題,隨著相應新技術與應用的拓展,會不斷產生新的安全議題,與此同時,實踐證明,數據安全政策總會有不同程度的“落地”問題,需要不斷根據實踐反饋校準與修正。事實上從發(fā)展的角度看,對于數據安全的有效維護,除戰(zhàn)略與政策層面之外,實踐層面的“解決方案”即最佳實踐亦至關重要。比如面對數據流動中的隱私保護問題,企業(yè)和技術社群積極探索方案,從技術上解決“合規(guī)”問題,使數據既能有效流動起來,又能解決隱私或安全關切。比如“聯邦學習”等“隱私算法”技術手段的應用;再比如“工業(yè)數據空間”(IDS),作為一種基于標準化通信接口安全的數據共享虛擬結構,它可以將分散的工業(yè)數據轉換為一個可信的數據網絡空間,以規(guī)范的數據共享保證數據的保密性和所有權。
結語
綜上所述,數據安全作為一個時代性議題,需要在發(fā)展中不斷探索。當前國際數據安全維護現狀與趨勢帶來的啟示在于以下幾點。
一是意識要適當“超前”。中國作為數據大國,考慮到數據戰(zhàn)略價值,尤其是未來數字經濟發(fā)展需要,不僅要考慮數據能夠“護得住”,更要考慮數據能夠“拿得來”,這就需要在制定國內數據安全維護政策措施時,要考慮是否達到安全與發(fā)展的最佳平衡點,是否能夠和其他具有數據潛力的國家或地區(qū)有效對接,促進數據的流動。
二是策略要足夠“豐富”。要深刻認識到數據安全是一個戰(zhàn)略問題,更是一個實踐問題,不僅要從國家層面制定相應的戰(zhàn)略,出臺相關法規(guī),完善應有機制,更要在實踐中,發(fā)揮非國家主體,尤其是行業(yè)和企業(yè)的作用。一方面要聽取他們作為“落地一線”的反饋,不斷校準與修正相應政策,提升政策的有效性;另一方面要鼓勵他們尋求更加有效的技術或標準解決方案,以最佳實踐提升數據安全的話語權和影響力。
三是議程設置要足夠“主動”。當前數據規(guī)則還在發(fā)展初期,正是加緊“塑造”的戰(zhàn)略機遇期。不論是在雙邊、區(qū)域還是多邊場合,對于數據規(guī)則探討的議程設置都應該更加積極。一方面要在一些既有機制下,就重要議題拿出有影響力的主張或有說服力的案文;另一方面還要主動搭建相關渠道,以開放和促進數據流動的姿態(tài),引導數據安全規(guī)則探討,從而全面提升話語權。
原文來源:信息安全與通信保密雜志社
