6月10日,全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國資料安全法》(以下簡稱《數安法》)。該法是國內第一部專門針對資料安全的法律,將於今年9月1日起施行。大資料時代下這部法律對網際網路企業關於資料的處理和保護提出更新要求。浙江大學網路空間安全學院百人計劃研究員、博導周亞金向《IT時報》記者表示,《數安法》界定了資料處理過程中包括收集、儲存、使用、加工、傳輸、提供、公開等方面參與者的責任和義務,明確每個過程中,資料運營者該為資料洩露以及帶來的安全風險負責。企業網路安全專家聯盟祕書長張威也認為,普通使用者本身不應該承擔過多安全責任,國家轉換管理思路,重點管控提供服務的平臺。那麼,《數安法》還會給使用者和網際網路公司帶來怎樣的變化?
6月11日,當《數安法》出爐的訊息傳出時,科大訊飛股價閃崩,盤中一度大挫9.58%,逼近跌停。當日科大訊飛收跌6.01%。
同一天,訊飛、QQ、搜狗等輸入法在蘋果、安卓應用商店被下架或無法下載。截至發稿,記者手機中的華為應用商店仍無法下載訊飛、搜狗輸入法。
對此,科大訊飛近日在投資者互動平臺表示,網信辦正對有關App進行統一安全認證與整改。
據市場監管總局官網解釋,App安全認證是為了規範App收集、使用使用者資訊特別是個人資訊的行為,加強個人資訊保安保護。華安證券研報認為,這一事件側面反映出國家對資料安全的重視,「強監管有望規範行業的資訊採集行為,在合規前提下更好利用資料」。這一次,《數安法》對資料給出明確定義,指的是任何以電子或者其他方式對資訊的記錄。可見,個人資訊屬於資料的一種。值得一提的是,中國社會科學院金融研究所法與金融研究室副主任尹振濤認為,《數安法》並不是一部專門針對使用者個人隱私的法律,與個人隱私最相關的法律是仍未出爐的《個人資訊保護法》。上海市聯合律師事務所網際網路與資訊科技業務部主任蘇曉琳律師透露,目前《個人資訊保護法》於5月28日完成徵求意見程式,有望今年年內施行。
圖源:全國人大官網
此前,《網路安全法》(以下簡稱《網安法》)對個人隱私保護已有較為明確的規範。蘇曉琳認為,《網安法》主要為保障網路安全,維護各主體網路空間權益而制定,將有效促進經濟社會資訊化健康發展,而《數安法》則為規範資料處理活動,保障資料安全,維護各主體資料相關權益而制定,將促進資料開發利用。這是二者本質的區別。
《數安法》共有七個章節,其中企業運用資料時保護資料安全規範與義務主要集中在第四章。而第六章違法處理資料的處罰條例,均與第四章相關。
圖源:新華社
《IT時報》記者發現,第六章相關處罰覆蓋第四章所有內容,除了第二十八條:
「開展資料處理活動以及研究開發資料新技術,應當有利於促進經濟社會發展,增進人民福祉,符合社會公德和倫理。」
在蘇曉琳看來,第二十八條就開展資料處理活動以及研究開發資料新技術等資料處理及相關行為,從價值導向高度提出對資料安全保護義務的要求,為維護國家層面的價值目標、社會層面的價值取向、公民個人層面的價值準則。「這樣的價值導向,與其他有相應罰則的強制性資料安全保護義務相結合,對資料安全形成完整的系統性保護」。
但由於《數安法》並未對公德與倫理做出具體定義,周亞金擔心,每個人對道德、倫理的解讀不同,沒有清晰的條文,會讓企業無法判斷自己是否踩線。一位採訪物件告訴《IT時報》記者,《數安法》更像是對資料安全保護的大框架,還需要實質的細則填充,確保其發揮實際監督企業意義。蘇曉琳表示,《數安法》明確規定國家、地方、公安、網安、國安各職能部門、各行業領域主管單位的監管職責,確實會有相應配套的行政法規、部門規章會按照資料安全法的要求和目標,有針對性地規範和實施資料安全保護。「但這不意味著資料安全法只是一部空泛的、亟須細則填充的法律。」她說。
今年3月,特斯拉陷入多重風波。馬斯克在迴應網友時承認,特斯拉車內的攝像頭可以監測車主,而大眾更大的擔憂來自特斯拉資料儲存於海外伺服器,可能導致國家安全資訊、地理資訊等關鍵敏感資料洩露。
圖源:pxhere
全國人大常委會法制工作委員會副主任劉俊臣曾發文稱,資料是國家基礎型戰略資源,「沒有資料安全就沒有國家安全」。
5月25日,特斯拉宣佈,已在中國建立資料中心,以實現資料儲存本地化。同時,所有在中國大陸市場銷售車輛所產生的資料,都將儲存在境內。在業內看來,一切為了合規。
一個月前,國家網信辦釋出《汽車資料安全管理若干規定(徵求意見稿)》,對重要資料進行了定義,包括高於國家公開發布地圖精度的測繪資料、汽車充電網的運行資料、道路上車輛類型、流量等。該規定指出,重要資料應當依法在境記憶體儲,確需向境外提供的,應當通過國家網信部門組織的資料出境安全評估。
如今,《數安法》有了更明確的監管要求:關鍵資訊基礎設施的運營者在境內運營中收集和產生的重要資料出境安全管理,適用《網安法》規定;其他資料處理者在境內運營中收集和產生的重要資料出境安全管理辦法,由國家網信部門會同國務院有關部門制定。記者瞭解到,關鍵資訊基礎設施是指一旦遭到破壞、喪失功能或資料洩露,可能嚴重危害國家安全、國計民生、公共利益的網路設施和資訊系統。具體行業和領域可能包括金融、交通、水利、衛生醫療等。有業內人士認為,特斯拉可以看作是關鍵資訊基礎設施的運營者。國家對資料出境日益謹慎的態度,令近期外國汽車品牌、新能源汽車品牌紛紛在國內投建資料中心。值得一提的是,若企業違反《數安法》相關規定,運營者將面臨頂格1000萬元、相關個人最高100萬元的罰款。相比《數安法》第一版、第二版草案中,運營者頂格100萬元、500萬元和相關個人頂格10萬元、50萬元的罰款金額,可見處罰力度在不斷加重,違法成本也在加大。蘇曉琳認為,就目前對於資料安全方面的執法現狀看,相關監管部門並不存在立法嚴格卻在執法上放寬要求的可能。她表示,資料安全涉及國家安全,是國計民生的重要安全事項,相關企業應當予以充分的重視,務必根據《資料安全法》及相關規定,積極履行相關法律義務,尤其是特殊的資料處理主體,還有更嚴格的特別義務規定。例如重要資料處理者還要定期開展風險評估,並向有關主管部門主動報送風險評估報告。張威則表示,如今監管要求資料脫敏加密,但如何在加密資料中檢測敏感資訊仍是技術上的難點。而一旦發現敏感資料,在資料流通過程中要如何阻斷,仍是需要思考的問題。
圖源:pixabay
「我覺得這對公司既是約束也是保護。」國內首家上市的雲端計算公司Ucloud政府及運營商事業部架構總監呂雁飛認為。
《數安法》指出,國家要建立資料分類分級保護制度,同時要求各地區、各部門、各行業制定各自範圍裡的「重要資料目錄」,並對國家核心資料實行更加嚴格的管理制度。此外,國家將建立資料安全應急處置機制、國家資料安全審查制度,同時建立資料安全的風險評估、報告、資訊共享、監測預警機制。對行業資料管理實施更嚴苛的制度,在尹振濤看來,會給企業增加很多合規成本。張威舉了一個例子。為了保護使用者資料安全,快遞小哥、外賣小哥往往通過虛擬號碼聯絡使用者。如果對40萬到50萬用工規模的公司進行系統改造,不僅要重塑資料使用流程,企業還要投入1-2億元成本。
另一方面,儘管目前行業中已有企業採用聯邦學習技術,讓資料在移動終端上實現本地計算,然後通過雲交換計算結果,從而確保資料不脫離終端,但目前這項技術主要運用於金融行業。「這個技術還不成熟,要進行大規模應用,估計最快還要5年時間。」周亞金預計。
更大的難點在於資料確權。資料的價值只有在流通中才能體現,這也是網際網路企業賴以成長的重要資源。然而數字時代,資料不僅涉及個人隱私,還具有財產屬性,因此企業面臨共享和隱私保護的兩難。參照2018年歐盟釋出的《通用資料保護條例》(GDPR),其採用個人資料和非個人資料二元架構,個人資料主體權利歸屬於自然人,包括知情同意權、修改權、刪除權、拒絕和限制處理權、遺忘權、可攜權等權利。「對於個人資料」以外的「非個人資料」,企業享有「資料生產者權」,其權利並非絕對。然而,也正是因為GDPR對資料流通設定了較高門檻,導致歐盟國家5G、AI、大資料等技術發展相對緩慢。「各國法律似乎還沒有準確界定資料財產權益的歸屬。」銀保監會主席郭樹清去年底曾對外表示。在周亞金看來,《數安法》出爐,坐立難安的應是大資料企業。手上的資料很有可能成為一顆「雷」。不過,《數安法》同樣催熱了一塊新市場。根據《中國網路安全生產業白皮書(2020年)》,當年網路安全產業規模約為1702億元。未來五年複合增長率在15%左右。在呂雁飛看來,《數安法》積極意義在於對資料保護有了明確要求,能讓企業敢於投入,進一步激發了公司利用科技力量推動行業發展的熱情。還有兩個多月,《數安法》將正式落地,中國的資料資源能在安全合規的護衛下,真正呈現出它的價值嗎?
圖源:全國人大官網
圖源:新華社
圖源:pxhere
圖源:pixabay
