回顾网络安全法施行六年来,网络安全概念基本上沿着“两条脉络、三个阶段”发展下来。2014年网络安全和信息化座谈会提出“安全是发展前提,发展是安全的保障”。盖因信息化“野蛮生长”的阶段,安全考量未能同步,安全与信息化存在发展错位的问题。网络安全法明确“三同步”原则,网络安全整体处于“补短板”阶段,所以“安全为先”成为一时呼号。网络安全法施行伊始,基本沿着“关键信息基础设施保护”和“个人信息保护”的两条脉络延展开来,在总体国家安全和人民群众切身利益两个维度上着墨甚多,作为上位法可谓“致广大而尽精微”。第31条规定建立关键信息基础设施保护制度,是其中唯一明确规定“由国务院制定”的行政法规,无论过去六年还是在未来,这条脉络都将构成网络安全法律体系的“压舱石”。这一时期,数据安全尚属于数据保护的阶段,更多的是指利用数据存储、数据备份、容灾技术等对数据进行主动保护,但网络安全法中对个人信息保护的关注已经流露出对数据本身安全的关照,聚焦数据全生命周期的安全概念呼之欲出。
2020 年《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》发布,数据正式成为第五大生产要素,数据安全迅速从网络安全概念的众多分支中崛起。数据安全的概念也由主动数据保护拓展为对数据全生命周期的监管。仅仅一年之后,数据安全法、个人信息保护法相继出台,与网络安全法共同构成了我国网络法律体系的“三驾马车”。同样在2021年,关键信息基础设施保护向纵深发展,《关键信息基础设施安全保护条例》《网络安全审查办法》相继出台,供应链安全正式提上议事日程,今年5月,国家网信办正式通告,美光公司在华销售产品未通过网络安全审查。这一阶段,安全技术的关注维度发生转变,从“关注网络系统的硬件、软件及其系统中的数据受到保护”的狭义网络安全概念,向“采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”的数据安全转变,在保有对关键信息基础设施保护的基础之上,发展脉络大幅拓展出了数据安全这一新维度。通过数据安全法确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,重点关注国家核心数据安全、个人数据安全、政务数据安全和跨境数据安全等。其中,以“滴滴事件”为代表,跨境数据安全立法得以快速推进(《数据出境安全评估办法》于2022年9月1日起施行)。值得一提的是,数据安全法在关照数据本身安全的基础上开始关注数据要素价值的释放,提出了数据开发利用、培育数据交易市场、激发数据要素价值等要求,对挖掘数字经济红利,推进国家治理体系和治理能力现代化,开展国际数据规则竞争和参与全球治理具有重要的战略意义。
释放数字经济红利凸显了数据安全对数据治理的伴生属性,安全与治理并行的新阶段来临。2022年12月《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称数据二十条)发布,其中重点直指公共数据确权授权机制,一方面要“合理降低市场主体获取数据的门槛,增强数据要素共享性、普惠性,激励创新创业创造”;一方面要“审慎对待原始数据流转交易行为”。意见从数据产权、流通交易、收益分配、安全治理等四个方面着力构建制度框架,其核心问题是数据确权,计算法学等交叉学科开始在构建数据基础制度上发力。从法理层面,意见通过对数据权属的“三权分置”,建立数据资源持有权、数据加工使用权、数据产品经营权等的产权运行机制,为激活数据要素价值创造和价值实现提供基础性制度保障。其中,中国电子信息产业集团有限公司与清华大学合作提出了“三三制数据确权法”,有效破解数据安全和数据要素化中的数据确权难题。数据确权从制度保障上解决了数据流通交易问题,数据安全则需要从现实的工程化路径来破解。在国内相关研究与实践已经走在前列有中国电子数据治理工程,工程原理是通过发现“数据元件”这一数据中间形态,入手解决原始数据无法大规模流通交易的关键问题(数据二十条已经提出“审慎对待原始数据流转交易行为”),同时为定价和数据全生命周期的管理提供了支撑。2021年11月,国家网信办公布《网络数据安全管理条例(征求意见稿)》明确提出,国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护,同时提出“重要数据在满足安全保护要求前提下有序流动,释放数据价值”。其中核心数据、重要数据基本覆盖了关键信息基础设施的领域和范畴。针对核心数据、重要数据的要素价值释放,中国电子数据治理工程通过建立“数据金库”和安全可信数据空间,构建基于数据元件的要素流通体系,实现“数据不动价值动、数据不动程序动、数据不动模型动”;建立“两网”即金库网和要素网,通过金库网实现数据金库之间的数据交换,通过数据元件实现“金库”网向要素网的数据要素单向传输,从而实现数据安全与发挥数据要素价值的统一,目前已经在国内多省市陆续实现成果落地。
也许正如360集团创始人周鸿祎评价AI数据安全问题时所说的那样,“发展也是安全,不发展是最大的不安全”。数字经济已成全球大国博弈的“新赛道”,对数据治理规则话语权的争夺将日趋激烈,建立国内与国际统筹的数据要素治理结构,积极参与数据跨境流动国际规则制定等对国家发展战略安全至关重要。以网络安全法、数据安全法、数据二十条的颁布为标志,安全与发展“一体两面,驱动双轮”的定位未来无疑将更加明晰。
作者:范赫男
编辑:周彬
凡《网络安全与数据治理》(原《信息技术与网络安全》)录用的文章,如作者没有关于汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权等版权的特殊声明,即视作该文章署名作者同意将该文章的汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权授予本刊,本刊有权授权本刊合作数据库、合作媒体等合作伙伴使用。同时,本刊支付的稿酬已包含上述使用的费用,特此声明。