夯實與加密數據安全的標準與制度屏障

張銳

由于在未經客戶本人授權的情況下向第三方提供個人銀行賬戶交易明細，從而嚴重侵害了消費者信息安全權，損害了消費者合法權益，中信銀行日前受到中國銀保監會上海銀保監局的立案調查，由此再次敲響的數據安全警鐘振聾發聵。

從三月份微博因5億用戶信息泄露被工信部約談，到四月份萬豪國際酒店外泄520萬客戶信息遭到網絡世界的集體吐槽，再到五月初浙江省公安部門對數十種教育APP利用新冠肺炎疫情期間學校開設網課之機非法采集用戶敏感信息的行為進行查處，今年以來圍繞著數據安全掀起的風波接連不斷，如果再加上手機用戶至今依然遭遇垃圾短息以及推銷電話的頻繁騷擾等大眾性事件，保障數據安全的確到了刻不容緩的地步。

實際上，數據安全不僅僅存在于自然人范疇，無論是商業企業，還是機關團體，抑或是學校組織，直至整個國家，都存在著數據安全的強烈需求。對于個人來說，數據安全隱患帶來的是名譽與財產損失;對于企業而言，商業數據泄露代表著客戶與市場的流失，市場因此出現“劣幣驅逐良幣”的逆向淘汰;對于國家而言，數據安全受到威脅不僅可能導致決策失誤與調控紊亂，更可能出現治理梗阻與社會危機。另外，除了像中信銀行那樣主觀故意泄露數據信息外，危害數據安全行為還有數據竊取和數據干涉，以及非法侵入和間諜軟件與身份盜竊，同時圍繞著數據所從事的違法與犯罪活動廣泛活躍于從一般數據交易商到黑客再到網絡戰士以及網絡恐怖分子等非法主體之間。

作為一種情緒反應，許多人面對數據安全事件尤其是得知自己的數據信息受到侵害時，首先就是大罵商家的道德不良，同時也會譴責網絡時代數據保護技術的缺失。但我們特別想強調的是，任何高尚的道德教育與思想勸導在數據侵害者面前都是蒼白無力的，同時數據保護技術的升級與成熟也需時日積累，而作為維護數據安全的基礎，必要的制度變革與標準體系建設則完全可以盡早先行一步，并且還會起到立竿見影之效。

互聯網時代個人與組織的基本資料及其活動信息都折疊成了數據，而且網絡數據具有自動生成的特征，流動過程中又可以進行再開發，并且由于數據的生成和流動過程多元，同時復雜多變，由此導致的數據確權的難度并非易事，相應地就會出現數據安全隱患。拿央行即將推出的數字貨幣來說，用戶無論是實名注冊還是下載錢包抑或是網絡支付，都會線上留痕，由此形成的原始數據被銀行或商鋪收集，再通過運營商網絡傳輸，數據所有權于是關聯到消費者個體、商業銀行、銷售商、運營商和央行等監管部門，由此同時產生國家數據主權、機構數據產權和數據人格權三種權利，但究竟數據所有權屬于誰，法律上目前還沒有明確的權屬界定。也正是因為不能得到清晰的數據確權，目前不僅形成了對數據的野蠻獲取與任性爭奪，也導致了數據處理的肆意妄為，甚至各種“數據黑市”暗流密集涌動。

數據資源分布上的條塊分割與煙囪林立是危及數據安全的重要體制病灶。在政府內部，雖然設立了大數據管理局、政務服務數據管理局和大數據管理中心等之類的機構，但其隸屬的主管部門不僅千奇百樣，自身職能范圍也是五花八門，并且實際數據也分布于不同的行業主管組織中;在政府與企業之間，數據雙向傳輸渠道未能有效打通，全國開放數據集規模僅為美國的1/9，企業生產經營數據中來自政府的比重只有7%，同時企業向政府開放數據資源的意愿也不高，一些互聯網頭部企業的數據“自留地”也隱約可見;至于企業與企業之間，除了“數據壟斷”外，數據對接完全處于水火不容和冰凍狀態，彼此壁壘森嚴。數據無法共享不僅制造出了數據資源稀缺的市場表象，而且“囚徒困境”會倒逼有些企業與組織鋌而走險，走上非法販賣與盜用數據的偏道。

放在整個數據要素市場的結構系統中審視，數據安全實際已淪落成為一個最薄弱的短板。

數據監管節奏滯后是導致數據安全缺失的主要管理瓶頸。一方面，目前的監管僅注重事前監管與靜態監管，如身份認證、安全存儲等，而對動態監管如數據訪問、數據脫敏以及數據審計等缺乏必要的監控認知與手段跟進;另一方面，數據監管總體上表現為碎片化痕跡而不是全程化鏡像，即只是對某個階段或者布局數據實施監管，而不是覆蓋到從生成—處理—運維—交易—審計等數據全生命周期過程，同時目前國內數據監管也缺乏系統性的安全標準參照。

因此，放在整個數據要素市場的結構系統中審視，數據安全實際已淪落成為一個最薄弱的短板。但令人欣慰的是，作為數據安全領域的一個“硬核”動作，工信部日前面向社會發布了《網絡數據安全標準體系建設指南（征求意見稿）》，分別針對5G、移動互聯網、車聯網、物聯網、工業互聯網、云計算、大數據、人工智能和區塊鏈等九大關鍵領域提出和明確了網絡數據的安全標準，以此為開端，先重點后全面，包括各種層級的基礎性安全標準建設等在內，有望最終形成完備而健全的網絡數據安全標準體系。當然，在建立與健全明確的數據安全評估與認定標準框架的同時，還須從制度層面建構護衛數據安全的寬厚屏障。

首先，要根據數據性質進行明確的產權歸屬界定，分層分類對原始數據、脫敏化數據、模型化數據和人工智能化數據給出明晰的確權，形成覆蓋數據生成、使用、采集、存儲、監測、收益、統計、審計等各方面權力面向不同時空、不同主體的確權框架。在此基礎上，首先推進政府數據的開放共享，制定出臺數據共享責任清單，同時，要研究建立促進公共數據開放和數據資源有效流動的制度規范，包括建立起社會化數據統一獲取、歸集和合作機制，探索建立面向互聯網頭部企業的數據目錄備案機制，推動政務數據與社會化數據平臺化對接。通過架構起“政-政”數據共享、“政-企”數據開放、“企-企”數據互通的數據要素流通體系，形成“市場有效、政府有為、企業有利、個人有益”的數據要素市場化配置機制，徹底堵塞與清除數據獲取與交易的各種非法途徑與管道。

其次，緊跟網絡數據生成方式多元、數據體量龐大以及流動迅疾的特點，數據監管的重點要從線上轉移到線上，并盡快出臺數據生成、數據存儲、數據運維、數據脫敏、數據訪問、數據開發以及數據審計的立體性安全監管標準，同時對于數據的監控要滲透與覆蓋到數據運行的全過程，監控手段上要大膽配置與引進區塊鏈等新技術，搭建其從數據生成到數據儲存以及數據溯源和數據檢測的自我免疫平臺。此外，數據安全治理應當鼓勵社會力量積極參與，支持媒體充分參與監督的同時，暢通民眾與企業的數據侵害舉報與申訴渠道，探索建立多元協同共治的新型監管體制。而更為重要的是，在關注事前監管的同時，數據監管更應強化數據風險預警機制建設，提升數據安全事件的應急解決能力。

另外，完備的法律是數據安全的最強大屏障，像美國出臺了《開放政府數據法案》和《隱私法》，歐盟發布了《通用數據保護條例》，英國實施了《自由保護法》以及《公共部門信息再利用指令》等，不約而同地通過上位法（效力較高的法律）對政府開放數據以及數據利用與監督提供了強有力的支持與保護;就我國來說，除了《民法總則》規定了對個人信息和數據進行保護外，近年來還出臺了《網絡安全法》《信息安全技術個人信息安全規范》以及《數據安全管理辦法（征求意見稿）》等具體法律規章，而適應對網絡數據資源卓有成效的安全保護，特別是策應加快培育數據要素市場的需要，還應盡快推出內涵更飽滿、外延更廣泛和具有上位法意義的《數據安全法》。