夯實與加密數(shù)據(jù)安全的標準與制度屏障

張銳

由于在未經(jīng)客戶本人授權(quán)的情況下向第三方提供個人銀行賬戶交易明細，從而嚴重侵害了消費者信息安全權(quán)，損害了消費者合法權(quán)益，中信銀行日前受到中國銀保監(jiān)會上海銀保監(jiān)局的立案調(diào)查，由此再次敲響的數(shù)據(jù)安全警鐘振聾發(fā)聵。

從三月份微博因5億用戶信息泄露被工信部約談，到四月份萬豪國際酒店外泄520萬客戶信息遭到網(wǎng)絡世界的集體吐槽，再到五月初浙江省公安部門對數(shù)十種教育APP利用新冠肺炎疫情期間學校開設網(wǎng)課之機非法采集用戶敏感信息的行為進行查處，今年以來圍繞著數(shù)據(jù)安全掀起的風波接連不斷，如果再加上手機用戶至今依然遭遇垃圾短息以及推銷電話的頻繁騷擾等大眾性事件，保障數(shù)據(jù)安全的確到了刻不容緩的地步。

實際上，數(shù)據(jù)安全不僅僅存在于自然人范疇，無論是商業(yè)企業(yè)，還是機關團體，抑或是學校組織，直至整個國家，都存在著數(shù)據(jù)安全的強烈需求。對于個人來說，數(shù)據(jù)安全隱患帶來的是名譽與財產(chǎn)損失;對于企業(yè)而言，商業(yè)數(shù)據(jù)泄露代表著客戶與市場的流失，市場因此出現(xiàn)“劣幣驅(qū)逐良幣”的逆向淘汰;對于國家而言，數(shù)據(jù)安全受到威脅不僅可能導致決策失誤與調(diào)控紊亂，更可能出現(xiàn)治理梗阻與社會危機。另外，除了像中信銀行那樣主觀故意泄露數(shù)據(jù)信息外，危害數(shù)據(jù)安全行為還有數(shù)據(jù)竊取和數(shù)據(jù)干涉，以及非法侵入和間諜軟件與身份盜竊，同時圍繞著數(shù)據(jù)所從事的違法與犯罪活動廣泛活躍于從一般數(shù)據(jù)交易商到黑客再到網(wǎng)絡戰(zhàn)士以及網(wǎng)絡恐怖分子等非法主體之間。

作為一種情緒反應，許多人面對數(shù)據(jù)安全事件尤其是得知自己的數(shù)據(jù)信息受到侵害時，首先就是大罵商家的道德不良，同時也會譴責網(wǎng)絡時代數(shù)據(jù)保護技術(shù)的缺失。但我們特別想強調(diào)的是，任何高尚的道德教育與思想勸導在數(shù)據(jù)侵害者面前都是蒼白無力的，同時數(shù)據(jù)保護技術(shù)的升級與成熟也需時日積累，而作為維護數(shù)據(jù)安全的基礎，必要的制度變革與標準體系建設則完全可以盡早先行一步，并且還會起到立竿見影之效。

互聯(lián)網(wǎng)時代個人與組織的基本資料及其活動信息都折疊成了數(shù)據(jù)，而且網(wǎng)絡數(shù)據(jù)具有自動生成的特征，流動過程中又可以進行再開發(fā)，并且由于數(shù)據(jù)的生成和流動過程多元，同時復雜多變，由此導致的數(shù)據(jù)確權(quán)的難度并非易事，相應地就會出現(xiàn)數(shù)據(jù)安全隱患。拿央行即將推出的數(shù)字貨幣來說，用戶無論是實名注冊還是下載錢包抑或是網(wǎng)絡支付，都會線上留痕，由此形成的原始數(shù)據(jù)被銀行或商鋪收集，再通過運營商網(wǎng)絡傳輸，數(shù)據(jù)所有權(quán)于是關聯(lián)到消費者個體、商業(yè)銀行、銷售商、運營商和央行等監(jiān)管部門，由此同時產(chǎn)生國家數(shù)據(jù)主權(quán)、機構(gòu)數(shù)據(jù)產(chǎn)權(quán)和數(shù)據(jù)人格權(quán)三種權(quán)利，但究竟數(shù)據(jù)所有權(quán)屬于誰，法律上目前還沒有明確的權(quán)屬界定。也正是因為不能得到清晰的數(shù)據(jù)確權(quán)，目前不僅形成了對數(shù)據(jù)的野蠻獲取與任性爭奪，也導致了數(shù)據(jù)處理的肆意妄為，甚至各種“數(shù)據(jù)黑市”暗流密集涌動。

數(shù)據(jù)資源分布上的條塊分割與煙囪林立是危及數(shù)據(jù)安全的重要體制病灶。在政府內(nèi)部，雖然設立了大數(shù)據(jù)管理局、政務服務數(shù)據(jù)管理局和大數(shù)據(jù)管理中心等之類的機構(gòu)，但其隸屬的主管部門不僅千奇百樣，自身職能范圍也是五花八門，并且實際數(shù)據(jù)也分布于不同的行業(yè)主管組織中;在政府與企業(yè)之間，數(shù)據(jù)雙向傳輸渠道未能有效打通，全國開放數(shù)據(jù)集規(guī)模僅為美國的1/9，企業(yè)生產(chǎn)經(jīng)營數(shù)據(jù)中來自政府的比重只有7%，同時企業(yè)向政府開放數(shù)據(jù)資源的意愿也不高，一些互聯(lián)網(wǎng)頭部企業(yè)的數(shù)據(jù)“自留地”也隱約可見;至于企業(yè)與企業(yè)之間，除了“數(shù)據(jù)壟斷”外，數(shù)據(jù)對接完全處于水火不容和冰凍狀態(tài)，彼此壁壘森嚴。數(shù)據(jù)無法共享不僅制造出了數(shù)據(jù)資源稀缺的市場表象，而且“囚徒困境”會倒逼有些企業(yè)與組織鋌而走險，走上非法販賣與盜用數(shù)據(jù)的偏道。

放在整個數(shù)據(jù)要素市場的結(jié)構(gòu)系統(tǒng)中審視，數(shù)據(jù)安全實際已淪落成為一個最薄弱的短板。

數(shù)據(jù)監(jiān)管節(jié)奏滯后是導致數(shù)據(jù)安全缺失的主要管理瓶頸。一方面，目前的監(jiān)管僅注重事前監(jiān)管與靜態(tài)監(jiān)管，如身份認證、安全存儲等，而對動態(tài)監(jiān)管如數(shù)據(jù)訪問、數(shù)據(jù)脫敏以及數(shù)據(jù)審計等缺乏必要的監(jiān)控認知與手段跟進;另一方面，數(shù)據(jù)監(jiān)管總體上表現(xiàn)為碎片化痕跡而不是全程化鏡像，即只是對某個階段或者布局數(shù)據(jù)實施監(jiān)管，而不是覆蓋到從生成—處理—運維—交易—審計等數(shù)據(jù)全生命周期過程，同時目前國內(nèi)數(shù)據(jù)監(jiān)管也缺乏系統(tǒng)性的安全標準參照。

因此，放在整個數(shù)據(jù)要素市場的結(jié)構(gòu)系統(tǒng)中審視，數(shù)據(jù)安全實際已淪落成為一個最薄弱的短板。但令人欣慰的是，作為數(shù)據(jù)安全領域的一個“硬核”動作，工信部日前面向社會發(fā)布了《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南（征求意見稿）》，分別針對5G、移動互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能和區(qū)塊鏈等九大關鍵領域提出和明確了網(wǎng)絡數(shù)據(jù)的安全標準，以此為開端，先重點后全面，包括各種層級的基礎性安全標準建設等在內(nèi)，有望最終形成完備而健全的網(wǎng)絡數(shù)據(jù)安全標準體系。當然，在建立與健全明確的數(shù)據(jù)安全評估與認定標準框架的同時，還須從制度層面建構(gòu)護衛(wèi)數(shù)據(jù)安全的寬厚屏障。

首先，要根據(jù)數(shù)據(jù)性質(zhì)進行明確的產(chǎn)權(quán)歸屬界定，分層分類對原始數(shù)據(jù)、脫敏化數(shù)據(jù)、模型化數(shù)據(jù)和人工智能化數(shù)據(jù)給出明晰的確權(quán)，形成覆蓋數(shù)據(jù)生成、使用、采集、存儲、監(jiān)測、收益、統(tǒng)計、審計等各方面權(quán)力面向不同時空、不同主體的確權(quán)框架。在此基礎上，首先推進政府數(shù)據(jù)的開放共享，制定出臺數(shù)據(jù)共享責任清單，同時，要研究建立促進公共數(shù)據(jù)開放和數(shù)據(jù)資源有效流動的制度規(guī)范，包括建立起社會化數(shù)據(jù)統(tǒng)一獲取、歸集和合作機制，探索建立面向互聯(lián)網(wǎng)頭部企業(yè)的數(shù)據(jù)目錄備案機制，推動政務數(shù)據(jù)與社會化數(shù)據(jù)平臺化對接。通過架構(gòu)起“政-政”數(shù)據(jù)共享、“政-企”數(shù)據(jù)開放、“企-企”數(shù)據(jù)互通的數(shù)據(jù)要素流通體系，形成“市場有效、政府有為、企業(yè)有利、個人有益”的數(shù)據(jù)要素市場化配置機制，徹底堵塞與清除數(shù)據(jù)獲取與交易的各種非法途徑與管道。

其次，緊跟網(wǎng)絡數(shù)據(jù)生成方式多元、數(shù)據(jù)體量龐大以及流動迅疾的特點，數(shù)據(jù)監(jiān)管的重點要從線上轉(zhuǎn)移到線上，并盡快出臺數(shù)據(jù)生成、數(shù)據(jù)存儲、數(shù)據(jù)運維、數(shù)據(jù)脫敏、數(shù)據(jù)訪問、數(shù)據(jù)開發(fā)以及數(shù)據(jù)審計的立體性安全監(jiān)管標準，同時對于數(shù)據(jù)的監(jiān)控要滲透與覆蓋到數(shù)據(jù)運行的全過程，監(jiān)控手段上要大膽配置與引進區(qū)塊鏈等新技術(shù)，搭建其從數(shù)據(jù)生成到數(shù)據(jù)儲存以及數(shù)據(jù)溯源和數(shù)據(jù)檢測的自我免疫平臺。此外，數(shù)據(jù)安全治理應當鼓勵社會力量積極參與，支持媒體充分參與監(jiān)督的同時，暢通民眾與企業(yè)的數(shù)據(jù)侵害舉報與申訴渠道，探索建立多元協(xié)同共治的新型監(jiān)管體制。而更為重要的是，在關注事前監(jiān)管的同時，數(shù)據(jù)監(jiān)管更應強化數(shù)據(jù)風險預警機制建設，提升數(shù)據(jù)安全事件的應急解決能力。

另外，完備的法律是數(shù)據(jù)安全的最強大屏障，像美國出臺了《開放政府數(shù)據(jù)法案》和《隱私法》，歐盟發(fā)布了《通用數(shù)據(jù)保護條例》，英國實施了《自由保護法》以及《公共部門信息再利用指令》等，不約而同地通過上位法（效力較高的法律）對政府開放數(shù)據(jù)以及數(shù)據(jù)利用與監(jiān)督提供了強有力的支持與保護;就我國來說，除了《民法總則》規(guī)定了對個人信息和數(shù)據(jù)進行保護外，近年來還出臺了《網(wǎng)絡安全法》《信息安全技術(shù)個人信息安全規(guī)范》以及《數(shù)據(jù)安全管理辦法（征求意見稿）》等具體法律規(guī)章，而適應對網(wǎng)絡數(shù)據(jù)資源卓有成效的安全保護，特別是策應加快培育數(shù)據(jù)要素市場的需要，還應盡快推出內(nèi)涵更飽滿、外延更廣泛和具有上位法意義的《數(shù)據(jù)安全法》。