社会工作与管理  2025, Vol. 25Issue (4): 79-88.
|
政府数据作为国家战略性资源,承载推动社会经济繁荣、改善政府治理能力、提升政府服务水平的重要使命。充分发掘大数据的潜力与价值,开放数据使用是必然选择。在坚守保护个人隐私、商业秘密与国家机密的前提下,应致力于实现数据资源的最大化社会开放,通过深度利用与融合,充分释放数据潜能,从而催生创新动能,创造公共价值。[1] 数据开放渐成学界共识,跨入大数据时代,数据的再生产成为必然。政府数据的增量价值受到社会和学界广泛关注,数据的自由开放可以促进数据创新利用,促使政府决策愈加公开透明,形成基于数据事实的科学决策理念,有效提升政府治理能力。与此同时,数据自由开放关涉的数据安全问题无疑将遭遇更大挑战。法律规则的缺位一方面影响数据再生产与数据安全之间的平衡,阻碍国内大数据产业发展的迭代,另一方面在全球数据“战争”中会将我国置于不利境地。因此,构建国家数据安全保障制度是维护国家数据主权的要求。[2]政府大数据作为关涉公共利益的数据资源,在采集、加工、使用、存储的每个环节都会产生信息安全漏洞,需要立法防范[3],因此加强数据安全立法迫在眉睫。
一、数据安全问题缘起(一)数据安全概念界定
厘定数据和数据安全的科学内涵是数据安全立法的基本任务。龙卫球认为,应完善数据及数据安全的基本定义,厘清数据安全这一概念,从立法层面厘定数据安全的治理定位,明确数据安全的治理原则,构建统一管理联合机制。
关于数据安全,学界尚未作出明确界定。然而,信息安全的概念已被提出,它旨在确保国家、机构及个人的信息载体、信息空间以及信息资源免受来自内部和外部的各种形式的威胁、危险、误导和侵害。这既包括保护信息的外在状态不受干扰,也涵盖维护信息主体对信息安全的内在感受。在法学领域,信息安全是维护信息完整性、保密性和可用性的重要法律原则。它要求采取适当的技术、管理和法律措施来保障信息的安全,从而维护信息主体的合法权益和国家的信息安全利益。[7]由此可见,信息安全的概念已涉及数据安全之内涵。作为一个复合概念,信息安全被阐释为在数据开放的流程中,必须严谨对待数据的处理、整合、发布及再利用等各个环节,以确保其免受组织管理不善、政策法律冲突、工作人员失误、开放平台建设瑕疵以及技术疏漏等诸多因素的威胁和影响。信息安全是包含政策、法律和技术等元素的“有机总和”。 [8]15综上所述,政府数据安全在普遍意义上被界定为:在政府数据整合、处理、发布和再利用等环节,排除组织管理、政策法规、工作人员失误、技术疏漏、开放平台建设缺陷等因素的影响及威胁。因此,政府数据安全保障应涵括“战略层面、管理层面和技术层面”三个基础因素。[8]16
(二)政府数据安全关切的主要问题
政府数据往往包含大量的个人信息、商业数据和敏感数据,因此数据安全并非一个孤立的安全问题。数据安全关涉数据自由与数字经济发展,关涉数据主权和国家安全,关涉个人隐私与数据权利保障。同时,在大数据时代,为保障数据安全,数据科技的有力支撑不可或缺。上述关切均对数据安全具有重要影响,并带来新的问题和挑战。
1.数据自由对数据安全的影响及挑战
数据自由对数据安全具有双重影响,既带来了机遇,也带来了挑战。从机遇角度看,数据自由原则促进了数据的广泛流通和共享,推动了大数据产业的发展和创新。它使得数据能够更高效地服务于经济、社会、科研等领域,提升了数据的价值和应用潜力。在大数据时代背景下,开放政府数据已成为政府的新职责和法定义务。政府在数据领域扮演至关重要的角色,其不仅是最大的数据主体,也是最为重要的数据来源。从数据的总量和重要性两方面来考量,政府所持有的数据无疑占据各类数据的榜首。各级政府在长期的行政管理和公共服务过程中,累积了庞大且与公众日常生活紧密相关的数据资源,其掌握的信息资源量占据全社会总量的八成之多,具体涵盖超过三千个数据库。这些数据不仅规模庞大,而且具有极高的社会价值和公共属性。[9]
数据自由鼓励了技术创新和产业升级,为数据安全提供了新的技术手段和解决方案。然而,数据自由也对数据安全带来了严峻的挑战。数据开放共享会使数据安全问题更加复杂,尤其是数据跨国流动与共享,其核心问题在于数据安全与数据流动共享之间的张力,以及个人数据权益保障与数据自由流通之间的权衡。首先,数据自由增加了数据泄露和滥用的风险。在数据自由的环境下,数据的收集、存储、传输和使用变得更加便捷,但同时更容易被不法分子获取和滥用。这可能导致个人隐私泄露、商业机密被窃取,甚至可能威胁到国家安全。政府数据开放为复杂行政活动,牵涉国家机密保护、个人信息保护、知识产权维护及国家数据安全保障等核心法律问题。故需构建系统规范体系,明确开放行为之权利义务、标准、范围、救济途径及程序要求,以确保政府数据开放活动的合法性和有效性。[10]其次,数据自由带来了数据跨境流动的问题。随着全球化的加速和互联网的普及,数据跨境流动变得越来越频繁。然而,不同国家和地区在数据保护标准、法律法规等方面存在差异,这可能导致数据在跨境流动中面临法律风险和安全隐患。许可认为,《中华人民共和国数据安全法》(以下简称《数据安全法》)将“数据自由流动”作为基础性原则,将“数据安全流动”作为限制性原则,以平衡对外开放和国家安全的双重目标。[11]
综上所述,数据自由对数据安全既有积极影响,也有挑战。在享受数据自由带来的便利和价值的同时,我们应该高度重视数据安全问题,加强数据治理和监管,明确各方主体的权利义务边界,通过法律手段妥善协调各方利益,实现数据安全、数据流动和个人数据保护之间的平衡与协调,确保数据在合法、合规的前提下进行流通和使用。同时,应加强国际合作,共同应对数据跨境流动和数据保护等问题,推动数据安全和数据自由之间平衡发展。
2.数据主权和数据权利对数据安全的影响及挑战
数据主权是指国家在其政权管辖地域内对个人、企业和政府所生产、流通、利用、管理等各个环节的数据享有至高无上的、排他性的权力。其对内体现为,国家对于管辖地域内的数据传播、生成、分析、处理、交易及利用等享有至高无上的绝对权力;对外则展现为国家有权自主抉择参与国际数据活动的方式与程序,同时有权采取措施确保数据权益不受其他国家侵害。[12]尤其是对于可能危及国家利益的数据,更应予以严密保护,以确保国家的数据安全和主权完整。[3]它强调国家对其领土内数据的控制和管理权,包括数据管理权和数据限制权。数据主权的确立有助于维护国家主权安全,防止他国窃取数据资源或进行数据霸权。然而,数据主权的实施面临诸多挑战,如不同国家之间数据主权观念的差异、数据跨境流动的管理和监管难题等。
在数据安全方面,数据主权的影响主要体现在三个方面。一是国家通过行使数据管理权,加强对数据的监管和控制,从而防止数据泄露、滥用等安全风险。二是通过数据限制权,国家可以制定相关法律法规和技术标准,确保数据的独立性和真实性,防止数据被篡改或销毁。三是数据主权有助于促进国内数据流通和共享,推动数字经济的发展,但也可能对数据安全带来一些挑战。例如,过于强调数据主权可能会导致数据孤岛现象的出现,阻碍数据的跨境流动和共享,从而影响全球数据资源的充分利用。此外,不同国家之间数据主权观念的差异可能导致数据治理和监管的碎片化,增加数据安全风险。
在数据安全方面,数据权利的影响主要体现在个人隐私保护和数据共享之间的平衡上。一方面,个人数据的隐私和安全需要得到充分保护,防止数据泄露和滥用;另一方面,数据的共享和流通也是推动数字经济发展的重要动力。因此,如何在保护个人数据权利的同时,促进数据的共享和流通,是数据安全领域面临的重要挑战。
此外,保障数据主权和保护数据权利之间存在冲突,主要体现在权力与权利的冲突上。数据主权更多体现为国家层面的权力和管理职能,而数据权利则侧重于个人或组织层面的权益保障。在某些情况下,国家为了维护数据主权,可能会采取一些措施,这些措施可能会限制或影响个人或组织的数据权利。解决二者冲突需要平衡各方利益,制定合理的法律法规和政策措施,确保数据主权和数据权利得到妥善保障。同时,需要加强国际合作,共同应对数据领域的挑战和问题。
综上所述,数据主权和数据权利对数据安全产生深远影响,既带来了机遇,也带来了挑战。在推动数据安全发展的过程中,需要充分考虑数据主权和数据权利的需求和限制,制定合理的政策和法规,促进数据的合法、安全、有序流通和共享。
3.数据科技对数据安全的影响及挑战
数据科技对数据安全的影响是深远的,它带来了众多机遇,同时也伴随着一系列挑战。首先,数据科技显著提升了数据处理的效率和能力,使得数据的收集、存储、分析和应用更加便捷和高效。这为企业、政府和个人提供了更多的价值和应用场景,推动了各行各业的创新和发展。然而,这也带来了数据泄露和滥用的风险。随着数据科技的进步,黑客和恶意攻击者有了更多的手段和方法来窃取、篡改或破坏数据,给数据安全带来了严重威胁。其次,数据科技使得数据的流通和共享变得更加容易,促进了数据的跨组织、跨地域甚至跨境流动。然而,这也带来了数据管理和监管的难题。不同组织、地区和国家之间在数据标准、法律法规和监管要求上存在差异,导致数据在流通和共享过程中可能面临法律风险和合规挑战。
此外,数据科技的发展还加剧了数据隐私保护的挑战。针对这些挑战,需要采取一系列措施来加强数据安全。首先,加强数据管理和监管,制定统一的数据标准和法律法规,确保数据的合法、合规流通和共享。其次,加强技术研发和创新,利用先进的技术手段来保护数据安全,如加密技术、身份认证技术等。同时,加强人员培训和教育,提高企业和个人对数据安全的重视程度和防范意识。
综上所述,数据科技对数据安全带来了机遇和挑战。在享受数据科技带来的便利和价值的同时,需要重视数据安全问题,采取有效措施来加强数据保护和管理。
二、数据安全治理的底层逻辑数据安全治理的底层逻辑在于构建一个以“数据安全”为基础,以“数据控制”为手段,以“数据利用”为目标的数据保护体系。该体系旨在规范数据处理活动,保障数据安全,并在此基础上促进数据的有序开发和利用,从而维护国家主权、安全和发展利益。这一体系需要平衡数据自由与数据安全,统筹国家对数据主权的维护和个人数据权利的保障,推动数据安全技术和法律框架的深度融合。
(一)数据自由与数据安全的平衡
平衡数据自由与数据安全是一个复杂而重要的任务,如何既保障数据安全,又保障数据的增值性利用,需要通过立法手段,明确数据自由和数据安全的边界与规范。法律应保护个人隐私和数据安全,同时允许数据的合理使用和流动。平衡数据自由与数据安全意味着只有在确保数据安全的前提下,才能实现数据的自由流动和增值性利用,实现对数据驱动的制度支持。
数据自由和数据安全存在内在冲突,政府数据安全立法的核心问题,无疑是如何在保障数据安全与促进数据流动之间找到恰当的平衡点,实现二者之间的博弈与均衡。政府数据的自由开放在学界达成高度共识后,最直接的影响是推动政府将公共数据(如交通、测绘、气象数据等)向社会公众开放。这些数据一般是在公共事务管理流程中采集及存储的,既是社会急需,又与民生相关,且增值潜力显著,但开放前应对其中的个人隐私、商业秘密、国家安全等问题完成“脱敏”处理。[13]
数据安全不是一个封闭和孤立的问题,必须在数据价值和效用最大化的前提下来谋划。龙卫球认为,数据安全问题的前提是数据发展,数据安全所追求的应是建立适应数据资源化、产业化的安全制度。秦天雄表示,数字安全立法作为国家安全领域的立法,追求的应是相对安全以及数据安全与数据发展并重。王锡锌认为,为了解决安全与发展平衡难题,数据安全立法背后存在复杂的利益博弈,主张落实数据安全与发展并重的基本原则。
数据自由流动在采集、加工、使用、存储的每个环节都会产生数据安全漏洞问题。环节愈多,安全风险愈多、愈大。毫无疑问,数据自由增大了数据安全风险。因此,数据自由开放始终在数据安全的关切声中徐徐展开。自2014年以来,中国政府在数据开放方面持续发声,通过一系列文件和政策,不断强调要积极稳妥地推进政府数据公开和共享,明确了构建统一、安全、互联互通的国家数据开放体系的目标。中国政府已初步建立起开放政府数据的政策框架体系,并强调数据“安全可控”。[14]
保密与公开存在内在张力,数据安全与数据开放存在难以避免的冲突。开放政府数据并非不受限制,绝对自由的数据流动必然引来风险与问题,因此,有必要规制数据的获取。基于公共利益之基本要求,应严格保护涉及个人隐私、商业秘密及国家机密的数据,确保商业数据交易不损害第三方及公共利益。例如,政府需对侵犯个人隐私、商业秘密或第三方知识产权的数据交易实施严格监管,并制定相应的限制性措施,以保障各方权益不受侵害。数据作为一项公共产品,“数据开放”倾向于不受限制地流通,“数据保护”则要求其流通必须受到限制。[1]
如何实现数据自由和数据安全的均衡,成为当下学界讨论的焦点,学者们提出了一些颇具建设性的主张。韩旭至认为,关于政务数据公开,应以公开为原则,制定不予公开的政务数据目录。
(二)数据主权与数据权利的统筹
数据安全治理关注“数据控制”问题。数据被视为国家基础性战略资源,数据安全立法应明确国家能够对一定范围内数据的收集、使用、流动、删除、销毁等环节提出自主控制和支配的强制性要求,这体现了国家对数据主权的维护和对数据安全的严格控制。维护国家数据主权是国家数据安全立法的重要使命,同时企业和个人的数据权利也是数据安全保障的重要客体。公权范畴的数据主权与私权范畴的知识产权与数字人权,在发生冲突的情形下,何者应成为优先保障的对象?如何统筹兼顾权力和权利?这些问题构成了数据安全立法的基本议题。
在数字法治的时代背景下,数据主权已然成为国家主权的一种新型表现形态。无论是物理空间,还是虚拟空间,大数据之保密性及跨境流动之安全性,已然成为国家主权、军事、国土、情报及网络安全监管之核心要素,充分彰显数据安全已晋升为国家安全之重要构成部分。
丧失大数据的话语权与控制权将直接危及国家数据主权。关于数据开放,涉及如何开放、对谁开放、由谁开放以及开放时间等核心问题,均与国家数据安全息息相关。大数据挖掘可能会导致个人隐私的广泛暴露,包括个人爱好、社会关系、绯闻隐私、心理障碍及生理缺陷等敏感信息。而大数据的滥用则可能会侵犯个人的人身权和财产权,进而对社会安全构成威胁。此外,政府应确保任何个人及实体在合法前提下均享有使用政府数据的权利,且不得无正当理由地排除此类权利。
关于数据安全立法中数据主权和数字人权何者处于优先地位的分析如下。
一是强调保障数据主权。何渊在总结各国的数据跨境问题解决方案的基础上,提出数据安全立法应该强调数据主权,尤其是数据调取。汪庆华指出,数据安全立法需针对欧盟和美国所提出的长臂管辖问题作出回应,并坚持维护数据主权。丁道勤认为,《数据安全法》的立法目标可分为内向和外向两大层面。内向目标主要聚焦于通过构建完善的数据流通规则体系,推动数据的合理开发和高效利用,并对关键重要数据实施有效监管;而外向目标则着重于捍卫国家的数据主权,确保在跨境数据流动和国际数据竞争中维护国家的核心利益。
二是强调保障数字人权。张文显强调,政府关于“数字人权”的义务,表现为在数字生活中对公民隐私权、数据权、信息权、人格尊严、表达权等权利及自由的保护和尊重,填补弱势群体遭遇的“数字鸿沟”,确保社会成员平等分享数字化生活的机会及条件,真正实现其联网权和数字化生活权。知识产权保护应严格遵循尊重公民隐私权、数据权以及知识利益均享权等人权的原则和底线。[15]刘新年等认为,应明确规定储存于政府、网络运营商、商业组织等数据库中的个人数据纯属个人隐私,公民应享有编辑管理权、使用知情权及删除不当数据等权利。[16] 作为数据权利形态的隐私权是一种典型的数字人权。随着政府数据的爆炸性增长,政府决策思维在未来将不可避免地发生转变,从对精确性的要求逐渐转向接受混杂性,从依赖随机样本过渡到利用全体数据。同时,追求的重心也将从因果关系转向相关关系。
在数字时代,随着数据的广泛流通和开放政府数据的推进,每个人的信息都可能变得透明化,这使得隐私权的保护显得尤为重要。保护隐私权的核心问题,归根结底在于谁有权决定个人信息的公开与否,以及隐私数据应以何种方式被公开。针对这些问题,《中华人民共和国网络安全法》第45条[17]和《中华人民共和国政府信息公开条例》第14条[18]都做出了明确规定,强调对个人隐私的保密义务和不得公开涉及隐私的政府信息。因此,在数据安全立法中,需要构建一种隐私权保护机制,以平衡公共利益与个人利益之间的关系,确保个人隐私得到充分的尊重和保护。[14]
数字人权还包括数据平等权,数据歧视直接侵害相关权利主体的数据平等权。在商业化进程中,当运用复杂的算法处理政府数据时,往往由于缺乏人情味和对上下文的理解,导致数据歧视的问题屡见不鲜。例如,当电商平台利用政府公开的消费大数据时,若采用如“大数据杀熟”等歧视性算法推荐信息,频繁向收入较低的顾客推送打折信息,则无疑构成了一种消费歧视。因此,在数据安全立法中,消除各类歧视、保护数据平等权,成为一个亟待解决的重要议题。
三是强调均衡保护。许可认为,数据安全立法应当全面考量个人及企业的权利与权益,使其成为一部平衡权力及权利的共生法。
(三)数据科技与安全制度的融会贯通
数据安全治理关注“数据控制”问题,必须推动数据安全技术和法律框架深度融合,采用先进的技术手段来保护数据安全,如使用加密算法、建立防火墙、实施入侵检测等。同时,定期进行安全漏洞扫描和修复,以防止数据泄露和非法访问。值得探究的是,数据科技的迭代升级与数据安全立法滞后形成了一种所谓的自然落差,比如,新科技的发展对传统的个人信息法律保护框架提出了挑战。在大数据、物联网、人工智能、云技术快速发展的语境下,个人信息授权通常以用户同意为前提,而这样做则常常陷入妨碍技术进步或无法有效保护隐私的困境。[19]数据安全立法离不开数据科技的支撑,大数据的涌现不仅衍生了新的安全隐患,其自身也构成了应对这些挑战的核心技术工具。唯有依托政策法规与技术手段的深度融合,才能更有效地应对隐私保护及大数据安全的诸多问题。[20]这种综合性解决策略,不仅能够提升数据治理效能,也有助于构建一个更加稳健、可靠的大数据应用生态。政府数据暗藏海量的关涉个人隐私及国家安全的重要数据,在数据自由流动的过程中,管理及技术的缺陷势必造成重大的安全隐患。[8]4数据安全立法就是要修补数据技术和数据管理的缺陷和安全漏洞。
在大数据时代,保障数据安全是国家数据能力的重要体现,数据安全能力和数据科技能力是其基本构成。国家数据能力是国家建构能力的重要组成部分,而国家建构能力是现代化国家的最基础因素。[15]数据主权依靠国家数据能力的支撑及保障,国家对其管辖区域内全部数据的存储、收集、处置和利用拥有最高决定权,在跨境数据流动中国家拥有独立自主权。[21]应通过立法推动科研数据输出,构建平台与中心以促成科研数据开放与共享,建立评估机制以保证科研数据质量。[22]
数据科技不断制造和累积的风险构成对人类的威胁与挑战,数据搜集、利用数据的技术需要法律规制,“算法黑箱”和“透明社会”业已构成数字时代的一对基本矛盾。大数据展示了其对人的形塑作用,电商平台积累了个人消费行为和选择偏好的海量数据,大数据时代的网络人就这样逐步形成。[23]在数字化时代背景下,每日生成的庞大数据量不仅记录了生活和生产领域的交流互动与运作动态,更成为个体身份、社会关系、行为模式和语言表达等数据的具象化展现及场景重构。这些数据不仅承载着丰富的信息价值,同时也反映了人们在数字世界中的行为轨迹和社会活动的真实面貌。[24]大数据促使个人生活样态日趋透明化,使个人不得不直面一个极化的“透明社会”。
在数据驱动的智能化网络社会中,为确保社会秩序与公民权益的和谐共生,必须实施切实有效的措施来保护数据安全、网络安全、个人信息安全,以及捍卫公民的名誉权和隐私权不受侵犯。这些保护措施不仅是维护数字空间安全稳定的基石,更是法治精神在虚拟世界中的延伸与体现,应通过数据合作实现合理化的供应链。[25]当下我国的司法大数据仍存在规格不一致及数据质量差等问题,这样所得结论就会充斥误差,乃至重复出现错谬。[26]如果在此情形下,过于仓促地推进人工智能及大数据在司法领域的应用,恐将导致算法与推断承袭过往司法实践中的偏见与弊端,甚至可能加剧既存缺陷。一旦司法不慎沦为唯算法论的傀儡,那么法律的正义与公平将不可避免地受到数据处理机构和算法的摆布,从而威胁到司法的独立性与公正性。因此,在推进人工智能及大数据应用时,必须审慎行事,确保技术的运用不会侵蚀司法的本质与原则。[27]
三、完善数据安全规制的路径数据安全规制应将前述基本逻辑理念融入政府数据安全的差异化治理,有针对性地回应问题与挑战,同时在借鉴国外数据安全立法的有益经验基础上,构建和优化大数据全生命周期的安全防护机制。陈越峰提出,有必要制定一部针对数据全生命周期的动态数据安全法。该法应确立数据安全的权利与义务体系,并在立法过程中充分考虑安全治理的成本效益。政府在进行干预时,应确保其措施在合理成本范围内实施,同时尊重和保护市场主体的权利,以实现安全与发展的平衡。
如何保障数据安全?法治是有效手段,立法是数据安全治理的基础,通常分为三个层面:一是关键信息基础设施保护的基础立法;二是促进互联网服务提供商发展的中间层立法;三是规范互联网信息的应用层立法。这三个层面相互关联,共同构建互联网法治体系。[2]应完善数据安全保障法律制度,致力于大数据、跨境数据流动等特定场域的安全立法。需要深入细化和有效实施相关法律,确保数据安全的各方责任与权益得到明确界定,同时建立健全问责机制,为数据安全提供坚实保障。
(一)全流程保障数据自由流动及安全
我国《数据安全法》第7条规定了保障数据依法有序自由流动,第11条提到了数据跨境安全自由流动,第27条规定了建立健全全流程数据安全管理制度,但未具体厘定数据自由和数据安全的边界。[28]数据安全立法的重点是结合政府数据安全的不同管理需求,化解安全困境。同时,参照域外的数据安全立法经验,为大数据的每个生命周期阶段建立保护机制。这包括:在数据生成维度,引入验证机制以确保数据质量;在数据管理维度,加强数据流动的安全性,明确数据利用中的自由与安全界限,以保护国家数据主权和个人数据权利;在数据开放维度,详细规定数据安全的责任和义务,促进技术与法律的深度融合,从而保障政府数据链的安全性。
确保数据的真实及完整是数据安全立法的核心目标,其重心在于保障数据内容安全。数据安全规制立法,应完善政府数据审查机制,严惩数据造假行为,最大限度排除伪数据的产生和进入政府大数据系统。准确的数据是进行公共决策的依据,政府发布的数据是公众和企业决策的重要依据。如果这些数据失真,将导致公众在就业、生育、医疗、购车购房等方面的决策失误,进而造成经济损失和心理伤害。[29]大数据造假不易发现,难于监管,现行法规未对大数据的生成、发布及利用进行规制,也未明确监管职能部门,更无对数据造假实施处罚的相关条款。[30]如果数据造假盛行,必将导致“劣币驱逐良币”。真实可信的数据才是安全治理之根本,法律“利剑”可以斩断数据造假的利益链。[31]
当前,我国在开放政府数据方面所面临的主要问题包括静态数据占比较大、高质量数据的应用相对较少,以及缺乏便捷高效的数据获取通道。《中华人民共和国个人信息保护法》和《数据安全法》已陆续颁布并实施,为个人信息和数据安全提供了有力的法律保障。在此基础上,应进一步推动和完善地方政府在数据安全方面的立法工作,以更好地适应和满足开放政府数据的需求。要获取高质量的数据,不仅需要投入大量的人力、物力和时间资源,确保数据的准确性和完整性,同时还需要建立完善的法律法规体系进行规范。在数据采集行业中,有一条广为流传的原则,即“天下没有免费的数据”,强调了数据获取的成本和重要性。[32]
开放数据自由流动是效益最大化的基本要求,但也给数据安全带来更大挑战。统筹兼顾数据主权和数据权利保障成为数据安全立法的主要目标和任务,应在此基础上细化各个主体关于数据安全保障的权利和义务。随着数据跨境流动加速,数据主权风险增加。我国现行数据保护法规间的相互关系未厘清,关于是否制定保护数据安全的单行法,未能统筹协调,造成相关法律针对性不够,约束力欠缺。无论是数据安全制度、网络安全法规,还是数据安全标准及法律,均存在立法缺位。关于数据保护,权利与义务不明,问责措施未到位,而大数据、云计算、跨境数据流动等特定场域的数据保护立法亟待完善。当下关于地方政府数据安全的立法规范尚处空白,在政府数据开放领域,目前尚缺乏明确且专门的法律依据来界定其与国家机密、商业秘密、数据安全及个人信息保护之间的界限。尤其是关于政府数据开放如何与商业秘密、个人隐私及网络数据安全相协调的专门法律规范,存在显著不足。[10]
(二)全面保障数据主权与数据权利
首先,需要明确数据主权和数据权利的法律定义和范围。《数据安全法》第1条在立法目的层面提到了维护“国家主权”,第45条规定了对危害国家主权的数据行为的处罚,但未进一步规制“数据主权”;第2条提到了维护“公民、组织合法权益”,第38条规定了国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,但未提出“数据权利”的概念,也未对数据权利的保护做具体规定。[28]数据主权是指国家对其管辖范围内数据的控制和管理权,包括数据的生成、传播、利用和保护等方面。数据权利则涉及个人、组织等对数据所享有的权益,如数据知情同意权、数据修改权等。只有明确定义和范围,才能为立法提供清晰指导。
其次,构建完整的数据保护法律体系是关键。这包括制定综合性的数据保护法,对数据收集、存储、处理、传输和利用等各个环节进行规范。同时,还需要完善与数据保护相关的其他法律法规,确保各法律之间的协调性和一致性。
在立法过程中,应充分考虑数据主权和数据权利之间的平衡。既要保护国家的数据主权,防止数据被外部势力窃取或滥用,又要尊重和保护个人、组织的数据权利,防止数据被滥用或侵犯。这需要立法者在制定法律时充分考虑各方利益,寻求合理的平衡点。在法治框架下进行数字权利的平衡保护,既不应无限“扩张自然人对个人数据的权利边界”,以免阻碍数据的分享与利用,也不能忽视数据企业合法收集及“利用个人数据”所付出的成本及其相应的权利。[33]保护“数字人权”就是对数据及信息资源的平衡分配。[13]
再次,加强国际合作是完善数据保护立法的重要途径。随着数据跨境流动的增加,各国之间需要加强合作,共同制定数据保护的标准和规范,促进数据合法、安全流动。通过参与国际组织和协议,共同应对数据安全问题,可以更有效地保障数据主权和数据权利。
最后,强化执法和监管力度是必要措施。建立健全的数据保护执法机构,加强对数据违法行为的查处和惩罚力度。同时,加强对数据保护工作的监管和评估,确保数据保护法律得到有效执行。应创设安全抽检机制,评估用户数据安全保护的手段和能力。建立追溯惩处机制,对于信息泄露等安全事件,应按法定流程加以处置,最大限度消除信息泄露的负面影响。细化及完善政府数据开放规则及数据资源保护规则,增加和细化条例中的数据安全保护规定。厘定数据挖掘、收集、分析及公开等环节应当遵循的规则,制定针对大数据、云计算、物联网等新业务、新技术使用流程中的数据安全保护法规。
(三)优化数据科技与安全制度融会贯通的法律机制
大数据科技的迭代推进,使现有政府数据安全立法明显滞后,如何将技术理性上升为制度理性,又将制度理性落实到技术理性之中,是数据安全立法的重要议题。《数据安全法》第39条强调了建立健全数据安全管理制度[28],但如何健全数据安全制度,依托数据科技确保政府数据链安全,亟须完善相关立法。优化数据科技与数据安全融会贯通的法律机制是一个复杂且重要的任务,通过法律和技术的正当程序对数据科技进行制度化制约,这正是“数字法治的要义”[34],涉及多方面的策略和措施。
首先,需要制定和完善相关法律法规。这些法律法规应涵盖数据收集、存储、处理、传输和利用的各个环节,明确各方主体的权利和义务,规范数据科技的应用行为。《数据安全法》第27条规定了采取相应的技术措施来保障数据安全[28],应继续完善技术措施自身的安全规制。法律法规还应关注数据主权和数据权利的保护,确保数据的安全和合法利用。应建立健全的数据安全执法机构,加强对数据违法行为的查处和惩罚力度。《数据安全法》第28条规定了研究开发数据新技术的伦理限制。[28]同时,还需要加强对数据科技企业和相关机构的监管,确保其遵守法律法规,保障数据安全。
其次,推动技术创新是优化法律机制的重要途径。《数据安全法》第16条规定了国家支持数据安全技术研究,应鼓励和支持数据科技企业加强技术研发和创新,开发更加安全、高效的数据处理和分析技术;第17条规定了推进数据开发利用技术和数据安全标准体系建设,提升数据安全保障能力。[28]人工智能大数据技术犹如一把双刃剑。一方面,它提升了数据造假的隐蔽性和欺骗性,使得数据真实性面临更大的挑战;另一方面,随着技术的不断发展,我们也获得了更为有效的工具来应对数据造假问题。当数据的生产、使用和呈现过程能够摆脱人类主观因素的干预时,便能够更有效地遏制数据造假现象。
再次,需要加强与国际间的合作与交流,共同推动数据科技和数据安全领域的创新发展。《数据安全法》第26条规定了针对与数据和数据开发利用技术等有关的投资和贸易歧视采取对等措施。[28]另外,加强行业自律也是保障数据安全的重要手段。应建立健全的行业自律机制,规范行业行为,促进行业健康发展。同时,还需要加强行业内的安全培训和宣传,提高从业人员的安全意识和技能水平。《数据安全法》第20条强调了培养数据开发利用技术和数据安全专业人才。[28]
最后,需要加强公众的数据安全教育和意识提升。通过普及数据安全知识,提高公众对数据安全的重视程度和防范意识,形成全社会共同维护数据安全的良好氛围。
综上所述,应构建数据安全保护技术及相关管理规则,从进网审批、市场准入、许可证年检等监管环节,完善个人数据保护技术及相关管理法规,从设备、市场、服务三个维度对个人数据保护进行常态化规制。为确保在不同数据集关联使用中的数据安全,需应对数据集规模、多样性及复杂性增长所带来的安全风险。通过立法手段,可以有效应对数据收集、获取、分享和存储过程中可能出现的隐私和安全问题,从而建立起数据安全的常态化监管机制。政府应积极肩负起保护数据安全的重任,制定详尽的管理规则,精心编制数据安全处置预案,并定期执行风险评估、安全测评以及应急演练,以确保万无一失。同时,必须采取先进的技术措施来筑牢数据安全的防线,有效预防数据毁损、丢失、泄露及篡改等风险,从而确保数据的完整性和安全性。在发生重大安全事故时,必须立即激活应急处置预案,迅速实施有效的补救措施,并及时通知受影响的用户。同时,应确立向主管部门进行报告的制度,以确保信息的及时传递和事故的有效处理。
四、结束语数据自由与数据安全的张力消解与平衡,数据主权与数据权利的统筹兼顾,数据科技迭代与数据立法滞后的落差弥合,被视为政府数据安全治理的基本逻辑。数据生成维度的安全在于数据真实及完整,数据管理维度的重心在于数据动态安全,数据开放维度聚力完善数据安全权利义务,整合优化全生命周期大数据安全防护机制,保障政府数据链安全。借鉴数据安全立法经验,优化政府数据安全法规,实现数据安全科技和法律框架深度融合,构建科学的数据安全立法评估机制,保证立法的可操作性及效能。统筹政府数据安全和实现数据价值最大化,始终是优化数据安全立法的中心命题。
注释
①②③④⑤⑥2020年7月24日上午,由中国人民大学未来法治研究院主办、中央网信办《数据安全立法研究》重大项目课题组协办的《数据安全法(草案)》暨数据法治研讨会在线上举行,会议以《数据安全法(草案)》修改为主题,来自中央网信办政策法规局、多所高校、企业智库、知名科研机构的近20名代表及资深专家学者参与研讨。正文中引用的资料来源于北京航空航天大学法学院教授、院长龙卫球,腾讯安全战略研究部高级研究员秦天雄,北京大学教授、《中外法学》主编王锡锌,华东政法大学数字法治研究院副院长韩旭至, 北京师范大学教授汪庆华, 字节跳动法律研究中心主任丁道勤, 对外经济贸易大学数字经济与法律创新研究中心执行主任许可, 华东政法大学法律学院副院长、副教授陈越峰在会上的发言。(“《数据安全法(草案)》暨数据法治研讨会”成功召开,微信公众号:人大未来法治研究院,https://mp.weixin.qq.com/s/bmbTRX3f9y_MXkr0cIB_tQ.)
| [1] |
郑磊. 开放不等于公开、共享和交易: 政府数据开放与相近概念的界定与辨析[J]. 南京社会科学, 2018(9): 83-91. |
| [2] |
宋志红. 大数据对传统法治的挑战与立法回应[J]. 经济研究参考, 2016(10): 26-34. DOI:10.3969/j.issn.2095-3151.2016.10.003 |
| [3] |
田维琳. 公共大数据信息安全立法的内涵、现状与依据[J]. 河南社会科学, 2018(7): 86-91. |
| [4] |
中国科学院语言研究所词典编辑室. 现代汉语词典[M]. 北京: 商务印书馆, 1973: 873.
|
| [5] |
OPEN DATA CHAPTER. Principles[EB/OL]. [2024-05-04]. https://opendatacharter. org.
|
| [6] |
华海英. 公共部门信息增值利用的若干概念辨析[J]. 图书情报工作, 2012(2): 14-18. |
| [7] |
上海社会科学院信息研究所. 信息安全辞典[M]. 上海: 上海辞书出版社, 2013: 59.
|
| [8] |
王文强. 政府数据开放背景下中美信息安全保障比较研究[D]. 武汉: 武汉大学, 2017.
|
| [9] |
余雨阳. 中国政府数据开放的立法路径探究[D]. 南宁: 广西大学, 2018: 16.
|
| [10] |
陈尚龙. 大数据时代政府数据开放的立法研究[J]. 地方立法研究, 2019(2): 103-117. |
| [11] |
许可. 自由与安全: 数据跨境流动的中国方案[J]. 环球法律评论, 2021(1): 22-37. |
| [12] |
齐爱民, 盘佳. 数据权、数据主权的确立与大数据保护的基本原则[J]. 苏州大学学报(哲学社会科学版), 2015(1): 64-70,191. |
| [13] |
马长山. 数字时代的人权保护境遇及其应对[J]. 求是学刊, 2020(4): 103-111. |
| [14] |
何渊. 政府数据开放的整体法律框架[J]. 行政法学研究, 2017(6): 58-68. |
| [15] |
张文显. 构建智能社会的法律秩序[J]. 东方法学, 2020(5): 4-19. DOI:10.3969/j.issn.1007-1466.2020.05.001 |
| [16] |
刘新年, 王晓民, 任博. 大数据时代下, 如何保护隐私权[N]. 检察日报, 2013-08-23(5).
|
| [17] |
全国人大常委会办公厅. 中华人民共和国网络安全法[M]. 北京: 中国民主法制出版社, 2016: 12.
|
| [18] |
辽宁省政务公开工作协调小组办公室. 《中华人民共和国政府信息公开条例》学习读本[M]. 沈阳: 辽宁人民出版社, 2007: 5.
|
| [19] |
丁晓东. 大数据与人工智能时代的个人信息立法——论新科技对信息隐私的挑战[J]. 北京航空航天大学学报(社会科学版), 2020(3): 8-16,71. |
| [20] |
冯登国, 张敏, 李昊. 大数据安全与隐私保护[J]. 计算机学报, 2014(1): 246-258. |
| [21] |
吴沈括. 数据跨境流动与数据主权研究[J]. 新疆师范大学学报(哲学社会科学版), 2016(5): 112-119. |
| [22] |
王胜开, 马欣. 科研大数据发展状况探讨[J]. 互联网天地, 2015(3): 63-66. |
| [23] |
季卫东. 科技让我们飞升还是在制造牢笼[N]. 社会科学报, 2020-01-16(1).
|
| [24] |
马长山. 确认和保护“数字人权”[N]. 北京日报, 2020-01-06(14).
|
| [25] |
季卫东. 人工智能开发的理念、法律以及政策[J]. 东方法学, 2019(5): 4-13. DOI:10.3969/j.issn.1007-1466.2019.05.001 |
| [26] |
季卫东. 人工智能时代的法律议论[J]. 法学研究, 2019(6): 32-49. |
| [27] |
季卫东. 人工智能时代的司法权之变[J]. 东方法学, 2018(1): 125-133. DOI:10.3969/j.issn.1007-1466.2018.01.015 |
| [28] |
第十三届全国人民代表大会常务委员会第二十九次会议. 中华人民共和国数据安全法[EB/OL].(2021-06-11). http://www.xinhuanet.com/2021-06/11/c_1127552204.htm.
|
| [29] |
周亚越. 对数据造假问责的逻辑分析[J]. 江汉论坛, 2019(8): 23-27. DOI:10.3969/j.issn.1003-854X.2019.08.004 |
| [30] |
潘璠. 大数据造假让社会诚信很受伤[N]. 中国信息报, 2015-07-07(5).
|
| [31] |
王旭东. 网络数据造假必须正本清源[N]. 人民法院报, 2018-11-02(2).
|
| [32] |
刘能, 马俊男. 数据生产和数据造假: 基于社会学视角的分析[J]. 江苏行政学院学报, 2019(3): 62-69. DOI:10.3969/j.issn.1009-8860.2019.03.009 |
| [33] |
程啸. 论大数据时代的个人数据权利[J]. 中国社会科学, 2018(3): 102-122,207-208. |
| [34] |
季卫东. 主权的嬗变——数字化“魔兽世界”与法律秩序创新[J]. 交大法学, 2023(5): 5-17. |
