回顧網絡安全法施行六年來,網絡安全概念基本上沿著“兩條脈絡、三個階段”發展下來。2014年網絡安全和信息化座談會提出“安全是發展前提,發展是安全的保障”。蓋因信息化“野蠻生長”的階段,安全考量未能同步,安全與信息化存在發展錯位的問題。網絡安全法明確“三同步”原則,網絡安全整體處于“補短板”階段,所以“安全為先”成為一時呼號。網絡安全法施行伊始,基本沿著“關鍵信息基礎設施保護”和“個人信息保護”的兩條脈絡延展開來,在總體國家安全和人民群眾切身利益兩個維度上著墨甚多,作為上位法可謂“致廣大而盡精微”。第31條規定建立關鍵信息基礎設施保護制度,是其中唯一明確規定“由國務院制定”的行政法規,無論過去六年還是在未來,這條脈絡都將構成網絡安全法律體系的“壓艙石”。這一時期,數據安全尚屬于數據保護的階段,更多的是指利用數據存儲、數據備份、容災技術等對數據進行主動保護,但網絡安全法中對個人信息保護的關注已經流露出對數據本身安全的關照,聚焦數據全生命周期的安全概念呼之欲出。
2020 年《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》發布,數據正式成為第五大生產要素,數據安全迅速從網絡安全概念的眾多分支中崛起。數據安全的概念也由主動數據保護拓展為對數據全生命周期的監管。僅僅一年之后,數據安全法、個人信息保護法相繼出臺,與網絡安全法共同構成了我國網絡法律體系的“三駕馬車”。同樣在2021年,關鍵信息基礎設施保護向縱深發展,《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》相繼出臺,供應鏈安全正式提上議事日程,今年5月,國家網信辦正式通告,美光公司在華銷售產品未通過網絡安全審查。這一階段,安全技術的關注維度發生轉變,從“關注網絡系統的硬件、軟件及其系統中的數據受到保護”的狹義網絡安全概念,向“采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力”的數據安全轉變,在保有對關鍵信息基礎設施保護的基礎之上,發展脈絡大幅拓展出了數據安全這一新維度。通過數據安全法確立了數據分類分級管理、數據安全審查、數據安全風險評估、監測預警和應急處置等基本制度,重點關注國家核心數據安全、個人數據安全、政務數據安全和跨境數據安全等。其中,以“滴滴事件”為代表,跨境數據安全立法得以快速推進(《數據出境安全評估辦法》于2022年9月1日起施行)。值得一提的是,數據安全法在關照數據本身安全的基礎上開始關注數據要素價值的釋放,提出了數據開發利用、培育數據交易市場、激發數據要素價值等要求,對挖掘數字經濟紅利,推進國家治理體系和治理能力現代化,開展國際數據規則競爭和參與全球治理具有重要的戰略意義。
釋放數字經濟紅利凸顯了數據安全對數據治理的伴生屬性,安全與治理并行的新階段來臨。2022年12月《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(簡稱數據二十條)發布,其中重點直指公共數據確權授權機制,一方面要“合理降低市場主體獲取數據的門檻,增強數據要素共享性、普惠性,激勵創新創業創造”;一方面要“審慎對待原始數據流轉交易行為”。意見從數據產權、流通交易、收益分配、安全治理等四個方面著力構建制度框架,其核心問題是數據確權,計算法學等交叉學科開始在構建數據基礎制度上發力。從法理層面,意見通過對數據權屬的“三權分置”,建立數據資源持有權、數據加工使用權、數據產品經營權等的產權運行機制,為激活數據要素價值創造和價值實現提供基礎性制度保障。其中,中國電子信息產業集團有限公司與清華大學合作提出了“三三制數據確權法”,有效破解數據安全和數據要素化中的數據確權難題。數據確權從制度保障上解決了數據流通交易問題,數據安全則需要從現實的工程化路徑來破解。在國內相關研究與實踐已經走在前列有中國電子數據治理工程,工程原理是通過發現“數據元件”這一數據中間形態,入手解決原始數據無法大規模流通交易的關鍵問題(數據二十條已經提出“審慎對待原始數據流轉交易行為”),同時為定價和數據全生命周期的管理提供了支撐。2021年11月,國家網信辦公布《網絡數據安全管理條例(征求意見稿)》明確提出,國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護,同時提出“重要數據在滿足安全保護要求前提下有序流動,釋放數據價值”。其中核心數據、重要數據基本覆蓋了關鍵信息基礎設施的領域和范疇。針對核心數據、重要數據的要素價值釋放,中國電子數據治理工程通過建立“數據金庫”和安全可信數據空間,構建基于數據元件的要素流通體系,實現“數據不動價值動、數據不動程序動、數據不動模型動”;建立“兩網”即金庫網和要素網,通過金庫網實現數據金庫之間的數據交換,通過數據元件實現“金庫”網向要素網的數據要素單向傳輸,從而實現數據安全與發揮數據要素價值的統一,目前已經在國內多省市陸續實現成果落地。
也許正如360集團創始人周鴻祎評價AI數據安全問題時所說的那樣,“發展也是安全,不發展是最大的不安全”。數字經濟已成全球大國博弈的“新賽道”,對數據治理規則話語權的爭奪將日趨激烈,建立國內與國際統籌的數據要素治理結構,積極參與數據跨境流動國際規則制定等對國家發展戰略安全至關重要。以網絡安全法、數據安全法、數據二十條的頒布為標志,安全與發展“一體兩面,驅動雙輪”的定位未來無疑將更加明晰。
作者:范赫男
編輯:周彬
凡《網絡安全與數據治理》(原《信息技術與網絡安全》)錄用的文章,如作者沒有關于匯編權、翻譯權、印刷權及電子版的復制權、信息網絡傳播權與發行權等版權的特殊聲明,即視作該文章署名作者同意將該文章的匯編權、翻譯權、印刷權及電子版的復制權、信息網絡傳播權與發行權授予本刊,本刊有權授權本刊合作數據庫、合作媒體等合作伙伴使用。同時,本刊支付的稿酬已包含上述使用的費用,特此聲明。