2021年6月10日,全国人大常委会通过了《数据安全法》,这是中国第一部有关数据安全的专门法律,也是国家安全领域的一部重要法律。新法将于2021年9月1日起施行。
《数据安全法》共7章55条,确立了数据分类分级管理、数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度,明确相关主体的数据安全保护义务,进一步提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战。
备受关注的是,《数据安全法》第5条明确提出“中央国家安全领导机构负责……建立国家数据安全工作协调机制”,并在第21条和第22条明确规定该机制“统筹协调有关部门制定重要数据目录,加强对重要数据的保护”、“ 统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作”等责任。
这是国家根据数据安全的工作特点和实际情况作出的机制设计,为促进该机制作用发挥,值得分析其中蕴含的内在逻辑并探讨落地路径。
01
为什么需要协调机制
基于数据和安全的特性,保障数据安全尤其需要在公共部门之间建立基于各自职能的工作协调机制。
首先,需注意数据安全的广泛性与公共部门职能的有限性。随着经济社会信息化、网络化、智能化的快速发展,各领域正经历着不同维度、不同颗粒度、不同进度的数字化。数据的生成使用已成为经济社会各领域日益普遍、常见的活动。随着大数据应用发展,不同领域和环节的海量数据得以在更大范围汇聚复用、交织融合——这些广泛存在的、海量的、有机联系的数据活动,在发挥出远超传统想象力功能作用的同时,也伴随着远超传统想象力的安全风险。
公共部门建立在传统社会活动上的职能范围相对确定、有限,而数据活动不断扩展、深化和迭代,数据安全风险更为多样、复杂和多变。有些数据安全风险发生于公共部门职能外延的边缘地带,有些数据安全风险发生在公共部门职能联系的交叉地带,有些数据安全风险发生在公共部门职能之外的新兴地带,这就尤为需要公共部门之间加强工作协调,以有效填补这些职能边界不足、不明之处的数据安全风险防控力量。
其次,应考量数据安全的整体性与公共部门运作的独立性。随着海量数据得以持续深度生成使用,数据安全如同网络安全一样,愈加表现出“牵一发而动全身”的特性。随着大数据与实体经济、社会治理,以及民生服务的深度融合等重点领域数字化活动推进,以及大数据在经济社会发展其他领域的深度应用,数据安全风险成为各个领域、行业、主体、环节共同的、关联的、交互的应对防控对象。任何一个领域、行业、主体、环节发生数据安全事件,将不可避免的对其他领域、行业、主体、环节的数据安全产生影响。
与此同时,公共部门在长期的发展和专业化过程中,在专业、人员、管理、控制上形成了符合各自部门特点的独立性。这在提高部门活动效率质量的同时,也客观形成了其他公共部门参与的壁垒,不可避免出现各公共部门间数据安全防控重点、能力、效率不尽一致的现象。如此一来,基于各个部门特点的数据安全防控短板、隐患、弱项、洼地或显性或隐性的存在、变动着,成为数据安全风险的一个重要表现形式。
再者,要重视数据安全的即时性与公共部门协作的有序性。随着数字化深度发展,海量数据得以源源不断的生成使用、共享开放、变动消亡。这些数据活动,形成一个相对稳定而又不断丰富扩展的数据生命周期。数据价值正是在这一数据生命周期的环节、过程中得以释放,而数据安全风险伴随于这一动态的数据价值释放过程。
同时,基于同一对象、同一类活动的持续更新的数据,其更新变动本身以及动态分析结果也是数据价值的重要表现形式。因此,对于这些处于生命周期动态发展的数据和处于不断更新变动的数据,数据安全风险也常常存在于这些变化之中——也即数据安全风险是即时的、变动的。这就要求数据安全风险防控更加注重时效性,实现快速应对。然而,公共部门间的传统协作通常有一个发出、决策、反馈、响应的顺序式、程式化的互动过程,通常这个活动具体到某个待协调事件,又需要遵循、探索具体程序规定、决策流程,同时多涉及部门内部管理分工事项的明确、内设机构个人负担的增加等情况,这无疑增大了协作难度和不确定性。这就要求,在数据安全风险防控方面,优化公共部门间顺序化的、串联式的应对流程。
02
协调机制如何发挥突出作用
面对数据安全风险防控特点与需求,在公共部门之间建立数据安全协调机制十分必要,因为数据安全协调机制能够发挥突出作用。
首先,数据安全协调机制有助于数据全领域安全。通过在经济、政治、文化、社会、生态等全领域建立数据安全协调机制,可以有效协同这些领域的诸多公共部门数据安全工作,探索体系化的、一体化的数据安全协同防控体系。在经济领域,通过农业、工业、服务业公共部门间的数据安全工作协调机制,实现三次产业之间的数据安全风险协同防控;在文化领域,通过党政文化主管部门、具有公共文化服务职能的组织团体等相关公共部门间的数据安全工作协调机制,以数据内容安全保障国家文化安全;在社会领域,通过教育、科技、卫生、交通等相关公共部门间的数据安全工作协调机制,实现社会领域数据安全风险有效防控……
其次,数据安全协调机制有助于数据全周期安全。可以在相关公共部门、其他组织之间建立数据安全工作协作机制,对各个领域、行业数据的生成、存储、传输、共享、开放、使用、销毁等活动及其治理进行安全保障。对于具体行业系统数据安全,可以在该职能系统公共部门内设机构间、不同地域的该职能系统公共部门间和其他组织间建立数据安全工作协作机制,对该行业系统数据的生成、存储、传输、共享、开放、使用、销毁等活动及其治理进行安全保障。同时,在数据平台、数据中心、网络支持、能源支持、环境支持、人员支持等支撑数据全周期活动的关键节点之间,建立数据安全工作协作机制,织密数据安全风险防控网。
最后,数据安全协调机制有助于数据全时态安全。数据安全协调机制通过着眼于过去、现在、未来的数据安全控制与风险预防,实现数据全时态安全。随着数字化深入发展,不少组织或个人都着手持续开展纸质和其他非电子载体信息的数字化活动,以实现过去静态数据的动态化利用。这些过去已经存在的信息及其以电子载体存储的数据大多保存于各公共部门、其他组织相关档案管理、统计机构之中。
《数据安全法》第53条对档案、统计工作提出了更高要求。随着上述那些过去生成数据的流通复用等活动开展,以先前数据为对象的安全风险亦随之而来。特定时段的现在产生的数据及其使用活动无疑对经济社会发展更具现实意义,数据安全风险也更为集中,需要重点特别防控。数字化是一个不断加速的过程,未来数据及其使用的规模、质量、速度将是一个爆发式提高的过程,现有数据安全工作亦应着眼于这一未来发展趋势和需要予以超前布局。因此,可以建立基于数据过去、现在、未来全时态的数据安全工作协调机制,从时间维度上全面保障数据安全。
03
促进协调机制落地的路径
国家数据安全工作协调机制充分发挥作用、取得实效,需要付出比传统工作更多的努力和决心。建议从以下三个方面促进该机制落地。
一是注重数据价值释放过程的数据安全均衡治理。目前,海量数据价值释放更多是基于组织的活动——包括公共部门的海量数据处理应用活动、各类组织形式的市场主体开展的海量数据处理应用活动以及各类形式的社会组织主体开展的海量数据处理应用活动。
数据安全工作协调机制在这些主体中的落地、协同效应的发挥,应根据这些主体不同条件、优势、情况实现均衡对待。对于政府机关等公共部门,其既是行业系统数据安全的实施者,也是行业系统数据安全的治理者。公共部门的数据安全需求普遍较高,有国家财力支持保障,不少数据具有战略作用,协调机制可以要求其采用更高的数据安全要求、发挥示范带动作用;对于市场主体数据安全工作,由于其数据规模体量、处理效率、影响范围差异较大,协调机制可以采用分类分级方式要求不同类别的市场主体承担与其能力、影响相适应的数据安全责任。这其中的小微市场主体数据安全,可以考虑通过协调机制由国家予以普惠保障和保护;对于非营利或公益性质的社会组织主体数据安全工作,数据安全保障能力较为有限,也可以考虑通过协调机制由国家予以强化保障和保护。
二是注重数据提供端的数据安全保护治理。随着数字化对经济社会领域的深度渗透,数据提供端范围日益广泛、覆盖群体日益增多。海量、高质数据更多来源于数量庞大的自然人。自然人提供数据的过程多具有分散、单个、间断与持续并存等特点,同时自然人对数据提供的辨别、预见、控制能力在数据平台、公共部门面前是明显不对称的。
为此,国家数据安全工作协调机制需要对数据提供端予以数据安全保护治理。不断提高数据提供端自然人对数据提供的辨识能力,增强数据保护意识;引入第三方机构主体辅助自然人实现数据安全防护,探索自然人数据安全保护社会保险等托底保障机制;鼓励引导数据平台、公共部门数据应用面向数据提供端的自然人提供更为人性化、更加细致的数据采集、更新、更正、删除、互动机制与服务。
三是注重数据应用端的数据安全激励治理。数据应用端事关数据价值释放的“最后一公里”,拥有为数众多的市场主体,更需要激励其创新、实践、力行精神,承担必要的行业责任。这就需要国家数据安全工作协调机制在依法、审慎治理数据应用端数据安全风险的同时,以包容、促进方式实现数据安全激励治理。
可以考虑对数据安全防控投入大、质量高、要求严的数据应用端主体,从税收、信用、项目、人才等多个方面予以优惠和激励,鼓励引导其自觉强化数据安全风险防控工作。对于那些没有现成模式、路线、技术、实践可借鉴的探索性领域,可以考虑数据应用端主体在事先进行风险评估、设置数据安全应急预案、发生危害后果时予以主动消除或赔偿后,予以尽职免责。从而消除数据应用端主体创新探索的未来顾虑,激发数据应用端主体在数据应用包括数据安全领域的创新活力,实现数据安全治理的良性发展。
吴月冠为贵州省社会科学院副研究员、澄观治库高级研究员;王静为中央党校(国家行政学院)政法部副教授、中国行政法学研究会副秘书长
