數據安全：用法律筑起堅固的“護城墻”

張銳

我們已經深度進入互聯網時代，我們也全面進入大數據時代。數據在無垠的網絡空間穿流，既存在被人攔截盜用的威脅，更可能遭遇肆意侵占的風險，同時還會淪為罪惡與貪婪的工具。維護與加強數據安全，不僅僅需要數據的所有者提升戒備與防護意識，更需要密集的法律制度與嚴苛的懲處制裁構筑起堅固的“護城之墻”。

萬物皆可數據化

“這是一個最好的時代，也是一個最壞的時代”。互聯網時代個人與組織的基本資料及其活動信息都可以折疊成數據，而且網絡數據又具有自動生成的特征，一旦這些數據整合與加總起來，數據之間可進行印證和相互解釋，一個網絡化的“虛擬自己”就誕生了。小到個人的日常消費，大到健康、教育等眾多決策，數據環繞在我們身邊無處不在。無疑，每個人與每一個組織的數據化為自己的生活與工作提供了極大的方便，比如掃一掃碼就可快捷完成支付，刷一刷臉便可獲得自己理財信息，足不出戶也可以享受買菜訂餐的到家服務等等。然而，數據似乎無所不及無所不能的同時，也讓我們的隱私無所遁形并陷入“裸奔”。

新冠肺炎疫情暴發以來，基于防控之需，個人出入商超、寫字樓、車站等公共場所，都要掃碼或者填寫個人信息，最終個人原始數據散發與分布到了教育、公安、鐵路航空交通等部門以及藥店、餐館和理發店等商業企業手中，再通過運營商網絡傳輸，個人數據所有權于是關聯到政府部門、公民個體、服務企業以及網絡運營商等主體。也許誰也不會想到，其實從我們交出數據的那一刻起，就已經面臨著被野蠻切割與任性爭奪的威脅，何況還有各種“數據黑市”從中推波助瀾。

拿廣州最近暴發的疫情為例，幾個高風險區域被封閉管理后，其實在封閉之前14天到過這些區域的人員也同時被準確地盯上，因為大數據已經清晰地記錄了他們的行蹤，于是，這些被數據盯住的市民所持手機上的健康碼就持續展示為“黃碼”（“綠碼”為自由通行，“黃碼”為限制通行，“紅碼”為禁止通行），而要讓“黃碼”轉“綠碼”，必須經過連續14天三次核酸檢測為陰性方可成功。顯然，限制更多到過高風險區域人群的出行腳步，無疑可以進一步發現被感染者，從而及時采取管控措施并防止疫情的蔓延。但與此同時不得不承認，如果這些頭戴“黃碼”的市民的數據散落到非法人員和組織手中，其可能遭遇到的麻煩與損失也許并不亞于因“黃碼”而產生的忐忑與不安。也正是如此，根據網絡安全企業Verizon的統計，醫療保健行業在 2020 年已確認的數據泄露事件同比增加了58%。

按照官方的解釋，數據是指任何以電子或者非電子形式對信息的記錄，由此不難看出，數據并不等于信息，數據不同于信息，前者是后者的外在表現形式，后者是前者所表達出的內容，與信息相比，數據涵蓋的范圍顯然寬泛得多。數據伴隨著業務和應用，在不同載體間流動和留存，貫穿信息化和業務系統的各層面、各環節，而且每個部位都存在著被粗暴侵占也野蠻使用的風險;而更重要的是，數據從單純的信息記載形式逐漸發展為具有獨立經濟價值的利益形態，成為了新的生產要素和國家基礎性戰略資源，尤其是隨著合資企業、跨境貿易、多廠商全球合作的模式變遷，國與國之間流轉、融合與使用，而且歐美國家還將數據主權從物理邊界轉向技術邊界，由此直接影響到第三方國家的主權。顯然，數據的價值已經上升成個人、企業、國家的競爭力、安全度與幸福感的價值。

還有一點特別要指出，目前我國在業/存續“大數據”相關企業共有18.65萬家，其中2019年新增2.59萬家，2020年新增6.36萬家，同比增長145%，至今年前5月再度新增4.28萬家，同比增長152%，數據行業呈現出明顯的井噴態勢。大數據領域的日新月異無疑可以打造出我國數字經濟在全球范圍的核心競爭力，但同時必須警惕，“得數據者得天下”，眾多數據企業競相涌現，難免泥沙俱下，圍繞著國家、企業、個人等各個層面的數據展開激烈博弈，也隨之可能帶來危害數據所有者的巨大負外部性，特別是在國內有多達150萬的黑灰產人群的生態中，那些本是純良和潔凈的數據極有可能被骯臟之手褻瀆與玷污。

安全警報頻繁拉響

這是一個真實的故事。1981年9月20日，我國首次用一枚運載火箭發射了三顆人造衛星，新華社的簡短報道語焉不詳，政府官員也是守口如瓶，可萬萬想不到，衛星發射后僅三天，北京一家電臺就播出題為《太空奧秘奪桂冠》的廣播稿，次日北京一家報紙干脆登出《我國第九顆人造衛星》的報道，并附有三顆衛星的圖樣以及在車間實施組裝的照片，而且前后兩稿都翔實報道了這三顆太空飛行物的運行軌道、無線電遙測頻率等等。國外情報部門如獲至寶，而國內軍工部門卻大驚失色。嚴查之下，原來是某部一工程師之“妄為”。該人不經請示，稿子在火箭發射前已寫好，衛星升空后傳送電臺、報社，并謊稱已經“送審”，最終個人的好大喜功導致了國家機密的泄露。

所不同的是，互聯網時代的數據已經從線下走到線上，因此數據的泄露更多的在線上發生，而且由于物與物的智能相連，數據傳遞散發的媒介和渠道更多，可以輻射到的空間更廣，更容易遭遇泄露的風險;同時，無論黑客技術，還是黑產人群，他們進攻水平與惡意攻擊的威脅能力、范圍和破壞力已經超過了一般人的想象，可以說人們幾乎每時每刻都在產生數據，但每天每日都必須面對數據泄露與盜用的痛苦與尷尬。

就像前述我國人造衛星發射信息在線下不慎泄露一樣，今天線上時代國家數據的被惡意攻擊與泄露的事件還在頻頻發生。烏克蘭首都基輔部分地區和烏克蘭西部因黑客攻擊，140萬名居民家中遭遇大面積停電長達數天，同樣，包括首都加拉加斯在內的委內瑞拉曾發生全國大規模停電，多數地區的供水和通信網絡陷入癱瘓，原因最終直接指向了“該國最重要的水電站遭到黑客攻擊”。不僅如此，來自微軟的最新警告令人毛骨悚然。據微軟的官方報告，在設法控制了美國國際開發署的電子郵件營銷平臺Constant Contact賬戶后，已經發現名為Nobelium的黑客目前正在進行網絡釣魚活動，此次網絡釣魚行動的目標是約3000個政府機構、智庫、顧問和非政府組織有關的賬戶，美國收到了大部分惡意郵件，除此之外至少還涉及24個國家。

全球企業同樣面臨著數據侵害的巨大威脅。兩年前，國際晶圓代工巨頭某公司的生產基地及營運總部的電腦，遭遇勒索病毒Wannacry入侵，生產線全數停擺，公司由此不得不承受巨大財務損失;一年前，匿名黑客入侵了開曼國家銀行，并泄露了2.21 TB數據，而且該黑客還向其他黑客提供10萬美元，以進行出于政治動機的網絡攻擊;就在日前，美國英格索蘭工業集團上海分公司一名孫姓員工利用所持有的公司內部賬戶將69萬余份公司文件從網上下載轉發到自己的私人郵箱，隨后黑客進入郵箱竊取了公司商業秘密。城門失火，殃及池魚。據日本土地、基礎設施和交通運輸部（國土交通省）發布的最新通告，富士通是其信息系統承包商，由于第三方非法訪問了由富士通管理和運營的項目信息共享工具，導致至少泄漏了7.6萬個（國土交通省）工作人員和合作伙伴的電子郵件地址以及該部內部郵件和互聯網設置的數據。

相比于國家與企業來說，面對著黑客攻擊與非法侵害，個人的攻防能力更為脆弱，所受到的戳傷也更為沉重。兩年前，由于管理用戶資料存在重大漏洞，Facebook的5000萬用戶數據被泄露，驚魂未定，今年4月Facebook又放出了“惡意行為者”泄露了5.33億用戶數據的官方消息，包括用戶的電話號碼、Facebook ID、全名和出生日期等信息悉數呈列懸掛在互聯網之上。無獨有偶，作為正在冉冉升起的美國社交平臺，Clubhouse共130萬的用戶資料包括用戶ID、名字、照片URL（統一資源定位系統，相當與人的住址）、用戶名、Twitter、關注者的數量、被關注的用戶數量、賬號創建日期、受用戶配置文件名的邀請記錄等全部裸露在黑客論壇上。

國外如此這般不堪，國內個人數據慘遭侵害的結果則更為甚烈。去年春節前后武漢新冠肺炎疫情發生后，武漢返鄉人員成為了輿論關注的一個中心群體，而在超七千的返鄉人員中，有超過2800是武漢各大高校的學生;按照要求，他們都在當地部門進行了登記，但不久這些人的身份證號碼、電話號碼、具體家庭住址甚至列車信息等內容都呈現在公開網絡上，隨后便接到了來自四面八方的謾罵、恐嚇與侮辱。幾乎在全國性醫務力量共同圍截武漢新冠肺炎疫情的同時，微博5.38億用戶數據遭到泄露的消息正式公布于眾，這些綁定手機的數據包括用戶ID和手機號號碼以及含有昵稱、頭像、粉絲數、所在地的用戶賬號基本信息。

除了網絡社交行業成為了數據泄露的“重災區”外，傳統的銀行業與新興快遞行業也在數據管控方面漏洞百出。來自江蘇淮安警方的官方消息，該市建設銀行員工以每條80-100元的價格，將銀行卡使用人的身份信息、電話號碼、余額甚至交易記錄售賣謀利，涉及個人信息5萬多條;同樣，警方破獲的圓通快遞多位“內鬼”與不法分子勾結出賣公民個人信息一案顯示，有多達40萬條包含快遞客戶姓名、住址、電話的信息被打包在網上出售，每條售價從0.8元至10元不等。

罪惡還在最新上演。從日前商丘市睢陽區人民法院的一份刑事判決書可以看到，一名住在河南商丘市的本科畢業大學生逯某自2019年11月起對淘寶實施了長達八個月的數據爬取并盜走超過11億8千多萬條用戶信息，而這11.8億條數據又被湖南省瀏陽市的黎某建起了1100個微信群，每個群90-200人不等，黎某借此每天用機器人在群里發淘寶優惠券，賺取返利，并在短短的8個月內獲利34萬余元。

從眾多數據泄露案件看，被侵害的數據標的十分驚人，動輒億級甚至幾十億的數據泄露規模，另一方面，泄露數據內容詳細，維度多，顆粒度細，幾乎包含了受害人的所有信息。從犯罪主體看，既有借數據買賣的非法牟利者，更有網絡黑客、網絡戰士甚至網絡恐怖分子等專業犯罪群體，而從數據竊取到數據干涉，再到非法侵入與間諜軟件和身份盜竊，數據侵害的形式多種多樣。它們既危及到個人與企業利益，也威脅到公共機構、關鍵基礎設施甚至政府和軍事設施，輕則給受害人帶去了精神折磨與財務損失，重則令企業生產中斷、醫院關停，甚至危及國家主權安全。

來自權威機構的公開資料顯示，包括中國在內，2020年全球數據泄露出現爆炸式增長，12個月內泄露的記錄比過去15年的總和還多，平均損失成本為1145萬美元。另根據數據安全公司Imperva發布的最新報告，自2017年以來，全球網絡攻擊泄漏數據記錄的數量平均每年增長高達224%，其中僅2021年1月報告的泄露記錄就超過了2017年全年的損失8.26億美元，達到8.78億美元，同時報告預測：2021年將發生約1500起數據泄露事件，超過400億條記錄將被泄露。

《數據安全法》鏗鏘落地

對于自然人來說，作為一種情緒反應，許多人面對數據安全事件尤其是得知自己的數據信息受到侵害時，首先就是大罵商家的道德不良，同時也會譴責網絡時代數據保護技術的缺失。但我們特別想強調的是，任何高尚的道德教育與思想勸導以及技術的攻防在數據侵害者面前都可能是蒼白無力的，作為維護數據安全的基礎，必要的制度變革必須加速跟上，尤其是需要構造出了保護數據安全的最強大法律屏障，

從世界范圍看，美國出臺了《開放政府數據法案》和《隱私法》，歐盟發布了《通用數據保護條例》，英國實施了《自由保護法》以及《公共部門信息再利用指令》，新加坡出臺了《個人信息保密條款》，日本發布了《個人信息保護法》，全球已有近100個國家和地區制定了數據安全保護的法律，數據安全保護專項立法已成為國際慣例。而值得慶幸地是，我國的《數據安全法》日前由十三屆全國人大常委會第二十九次會議表決通過并正式發布，并即將于9月1日起正式施行，由此不僅將矗立起我國數據安全的“護城墻”，也勢必成為數字經濟發展繁榮的“護衛艦”。

立法本屬于制度創建范疇，而凡是納入進法律的具體制度則更具理念上的神圣性與執行上的嚴肅性。基于此，《數據安全法》特地將數據安全制度單獨作為一章來進行規定，而且首先明確了數據分類分級保護制度，以從中分解與甄別出“核心數據”和“重要數據”。按照《數據安全法》的解釋，關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，“重要數據目錄”由國家數據安全工作協調機制統籌協調有關部門制定，在此基礎上再由各地區、各部門確定本地區和本部門、本行業的重要數據保護目錄。對于“核心數據”和“重要數據”，《數據安全法》強調實行嚴格的管理制度。

以數據分類分級保護制度這一安全制度為基礎，《數據安全法》確立了數據安全風險評估、報告、監測預警機制以及數據安全應急處置機制，提出建立數據安全審查制度與數據出口管制制度，同時《數據安全法》還明確了建立健全數據交易管理制度，規范數據交易行為，由此搭建起了我國數據安全制度的系統框架，在此基礎上，《數據安全法》申明任何組織、個人處理數據均必須采取合法、正當的方式，符合社會公德和倫理，承擔起數據處理活動的義務和責任。

按照《數據安全法》的規定，企業、中介機構等數據相關管理者、運營者和經營者都負有數據安全保護責任，包括開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施;發生數據安全事件時，應當立即采取處置措施。值得注意的是，即便是對于國家公權機關，《數據安全法》也壓實了數據處理的相關責任，包括法律、行政法規規定提供數據處理相關服務應當取得行政許可的，公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行。

當然，完善的數據安全協同治理體系不應只停留在數據處理主體的內控管理上，市場既會經常性出現自我調節失靈，也會因牟利驅使而頻生道德風險，為此數據安全的外部監管變得既必要又重要。本著這一原則，《數據安全法》規定國家網信部門負責統籌協調網絡數據安全和相關監管工作，同時工業、電信、交通、金融等主管部門承擔本行業、本領域數據安全監管職責，公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責，各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。

由于數據已上升為國家基礎性的戰略資源，并與一國主權安全構成了十分緊密的關聯，甚至可以說沒有數據安全就沒有國家安全，《數據安全法》首次明確了長臂管轄權，明確不僅在中國境內開展數據處理活動及其安全監管活動適用本法，而且對在中國境外開展數據處理活動，損害中國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任;另外，《數據安全法》貫徹對等原則，即任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中國采取歧視性的禁止、限制或者其他類似措施的，中國可以根據實際情況對該國家或者地區對等采取措施。

必須強調的是，主張數據安全的重要目的之一就是為數字經濟發展提供基礎支持，同時也只有數字經濟得到了穩健發展，數字安全方可獲得充分的保障，為此，《數據安全法》將數據作為新型生產要素以及數字經濟的核心基礎來考量，追求維護數據安全與引導數字經濟發展的動態平衡，在第一條中就開宗明義地提出要“促進數據開發利用”，第七條又強調“國家鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展”，同時第十四條言明“國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用”。除了原則性規定外，《數據安全法》還首次提出了建立“政務數據開放平臺”，明確要培育數據交易市場。

數據顯示，我國數字經濟規模已從2010年7.02萬億元擴身到2020年的39.2萬億元，同期占GDP之比由15.2%提升至38.6%。目前來看，雖然我國數字經濟總量規模已居全球第二，但相較美國、英國等發達經濟體60%的占比，差距顯然不小。更為重要的是，目前國內數據條塊分割較為嚴重，數據碎片化與數據孤島化現象十分普遍，數據壟斷也清晰可見。為此，《數據安全法》對數據處理活動中拒不配合數據調取的行為以及排除、限制競爭的行為分別做出了處罰規定。因此，伴隨《數據安全法》的實施，數據流通的堵點將得到有效清除，數據共享的障礙將獲得有力破除，數據資源的經濟與社會價值由此得以充分釋放。

高懸的利劍

糾錯必出真章，治亂須用重典。按照《數據安全法》，以下違反與侵害數據安全的行為將受到法律的懲處與制裁：

★不履行規定保護義務：責令改正和警告，給予單位5萬至50萬元罰款，給予負責人1萬至10萬元罰款;拒不改正或造成大量數據泄漏等嚴重后果的，給予單位50萬至200萬元罰款，最高責令吊銷相關業務許可證或者吊銷營業執照，給予負責人5萬至20萬元罰款。

★危害國家安全和損害合法權益的：給予200萬至1000萬元罰款，責令停業整頓、吊銷相關業務許可證或者吊銷營業執照，構成犯罪的，追究刑事責任。

★向境外提供重要數據的：由有關主管部門責令改正，給予警告，可以并處10萬至100萬元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。情節嚴重的，給予100萬至1000萬元罰款，責令停業整頓、吊銷相關業務許可證或者吊銷營業執照，對負責人給予10萬至100萬元罰款。

★交易來源不明的數據：沒收違法所得，對違法所得一至十倍罰款。沒有違法所得或違法所得不足10萬元的給予10萬至100萬元罰款，最高責令吊銷營業執照;對主管和直接責任人給予1萬至10萬元罰款。

★拒不配合數據調取的：由有關主管部門責令改正，給予警告，可以并處5萬元至50萬元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。

★未經審批向境外提供組織數據的：由有關主管部門給予警告，可以并處10萬至100萬元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。造成嚴重后果的，給予100萬至500萬元罰款，責令停業整頓、吊銷相關業務許可證或者吊銷營業執照，對負責人給予5萬至500萬元罰款。

★國家工作人員違法：因玩忽職守、濫用職權、徇私舞弊，依法給予處分;竊取或非法獲取數據的：依照有關法律、行政法規的規定處罰;給他人造成損害：依法承擔民事責任，構成犯罪的，依法追究刑事責任。

其實，《數據安全法》還只是我國據安全規范的綱領性法規之一，在此之前我國已經頒布了《網聯安全法》，繼《數據安全法》還將推出《個人信息保護法》，三部法規將共同編織出數據信息領域的完整法律體系。

（作者系中國市場學會理事、經濟學教授）