2022年6月22日,中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平6月22日下午主持召开中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。
习近平在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。
要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等产权运行机制,健全数据要素权益保护制度。
要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要完善数据要素市场化配置机制,更好发挥政府在数据要素收益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度。
要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管,压实企业数据安全责任。
总书记的讲话,与4.19讲话一脉相承,再次强调了安全与发展的关系。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。面对数据安全领域的诸多挑战,政府、企业、社会力量需要相互配合,发挥各自优势,构建数据安全协同治理模式,保障数据要素价值释放,护航数字经济发展。
01 建设数据安全基础制度
完善的数据安全基础制度是开展数据安全治理的前提条件。目前,我国的数据安全制度体系框架已经形成,配置细则正加紧制定出台,为数据安全协同治理提供了良好的制度保障。
(1)数据安全顶层制度已经形成
“三法一条例”构成了我国数据安全顶层制度框架。2021年,《数据安全法》和《个人信息保护法》的相继颁布实施,与之前颁布的《网络安全法》一同构成了数据安全领域的顶层法律框架。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,安全与发展并重、共同治理是网络安全法秉承的基本原则。《数据安全法》进一步明确了数据安全保护与数据开发利用的关系,即国家坚持维护数据安全和促进数据开发利用并重的原则。在确保数据安全的前提下,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。个人信息保护在《网络安全法》和《民法典》人格权编已有相关规定,而《个人信息保护法》的出台为个人信息权益保护、个人信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。
为落实三大法关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共立意,国家网信办发布《网络数据安全管理条例》,目前正在征求意见阶段。《条例》作为《网络安全法》、《数据安全法》和《个人信息保护法》的配套行政法规,针对三部法律中的原则性规范和制度进行内容和流程方面的细化规定。
(2)数据安全配套规范正在完善
为支撑数据安全和个人信息保护法规落地,信安标委、相关主管和行业部门正在出台系列数据安全标准规范和制度文件,不断织密数据安全制度网。目前在数据分类分级方面,信安标委发布了《网络安全标准实践指南——网络数据分类分级指引》,电信、金融等已发布数据分类分级行业标准;数据安全方面,信安标委发布了GB/T 37988--2019 《信息安全技术 数据安全能力成熟度模型》, GB/T 41479《信息安全技术 网络数据处理安全要求》等标准。个人信息保护方面,以GB/T 35273-2020《信息安全技术 个人信息安全规范》为代表,已形成了较为完善的标准体系;在重要数据安全方面,国标《信息安全技术 重要数据识别规则》和《信息安全技术 重要数据处理安全要求》正在制定中;数据跨境方面,《数据出境安全评估指南》正在征求意见,《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》已发布;在数据交易安全方面,GB/T 37932-2019《信息安全技术 数据交易服务安全要求》正在重新修订,深圳、上海等数据交易所正在进行包括数据交易安全在内的制度探索。
02 落实数据安全各方责任
与传统生产要素不同,数据要素具有非竞争性,并且可以无限复制、重复使用,作为经济活动的副产品有着独特的生命周期,在价值创造上具有规模报酬递增、规模效应、质量依赖、高度异质等特点。因此,需要通过高质量供给、市场化流通、创新开发利用等市场化建设来充分发挥数据要素价值,这迫切需要政府、企业和社会各方协同配合,落实各方责任,共同守护数据安全底线。
(1)强化政府监管职能
政府监管在数据安全中发挥着重要作用,需要加强重点领域执法司法,把必须管住的坚决管到位。《数据安全法》第五、六条明确了数据安全领域内治理体系的顶层设计,即中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究和制定重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责;并且,由公安机关和国家安全机关承担其范围内的监管职责;最后由国家网信部门统筹协调网络数据安全的监督管理工作。
到目前为止,我国数据安全监管机构机制已经初步确定,数据监管从各部门分散监管向以中央网信部门统筹协调。近年来APP违规问题各部门联合开展整治行动,对滴滴、知网启动网络安全审查,表明数据安全联合执法机制也已逐渐建立。
(2)压实企业主体责任
企业是落实数据安全责任主体,需要贯穿将数据安全贯穿数据治理全过程。压实企业主体责任,包括以下方面:
开展数据安全治理。企业通过有效的数据安全能力的建设,不仅可以对自身的敏感数据进行有效的防护,同时促进企业数据的共享,扩大数据资源的交互能力,从而存进企业的数据的进一步的分析与挖掘,大大的增加其在数字经济中的竞争优势。安全服务企业通过数据安全产品和服务供给,在企业数据安全治理中起到了重要的作用。
倡导行业自律。例如,阿里巴巴、京东、腾讯等133家基础电信企业和重点互联网企业签署了《电信和互联网行业网络数据安全自律公约》,倡导了企业在网络数据安全责任上的五类要求:一是明确管理责任部门,制定管理制度规范;二是加强网络数据资产梳理和分类分级管理;三是深化网络数据安全合规性评估;四是依法规范数据对外合作安全管理;五是建立完善用户举报与受理机制。
开展数据安全认证。通过第三方数据安全认证,可以提升数据安全能力降低数据安全风险,提升信任、信用及信心,使用户及利益相关方感受到企业对数据安全的承诺,能证明数据安全法律法规的符合性。目前,已经开展了数据安全认证包括数据安全管理体系认证、个人信息跨境处理活动安全认证等。
(3)发挥社会监督作用
社会监督的主体是国家机关之外的社会组织和公民,主要是对各种法律活动的合法性进行监督。社会监督是对政府监督的有效补充,注重社会的监督力量,一定程度上可以弥补政府监督的不足。社会监督的作用众多,最主要的是预防作用和矫正作用,在数据安全和个人信息安全保护方面,社会监督既能有效地预防信息被泄露,又能对信息被侵犯后起到矫正作用,降低甚至消除带来的影响后果。
数据安全法规定,任何个人、组织都有权对违反数据安全法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。提供社会举报、监督的渠道,对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
为更好地发挥社会监督作用,需要广泛开展数据安全、个人信息保护普法宣传,提升全社会数据安全和个人信息保护意识,需要落实个人信息主体权益保障机制,提供数据安全和个人信息保护监督反馈的畅通渠道。
03 实现数据安全协同治理
以国家队为代表的数据安全服务企业,正加快数据安全技术和服务供给,保障数据安全责任落地,实现数据安全协同治理。然而,在数据安全协同治理中,监管部门面临手段不足和监管滞后的问题,企业面临合规证明中缺乏“他证”的问题,用户面临企业自主利用、自主保护,缺乏信任依据问题。如何将对个人信息的保护措施、为个人信息权益提供的保障展示出来,赢得客户信任?如何避免审查违规,如何向主管单位提供更为透明、便捷的企业中个人信息处理活动的监控、审计、审查支撑手段?
为此,可引入可信数据安全合规服务,以可信第三方服务平台和嵌入互联网企业业务的安全服务模块为核心支撑,通过“团队+工具+平台+安全服务模块”的服务模式,其面向企业提供服务、面向监管机构提供可信监管接口、面向用户提供信任证明,最终形成一种可增强多方信任的数据安全合规治理架构,支撑数据安全协同治理理念落地。
可信第三方的数据安全合规治理架构实现如下目标:
面向企业,数据安全合规服务方作为合规服务商,提供合规风险评估、合规咨询、策略制定与管理、数据保护、持续提升等数据合规服务,帮助企业实现数据安全合规能力的提升。
面向监管,作为可信存证方、技术支撑方,提供监管所需的证据支撑、监管接口支撑、技术服务支撑。
面向个人用户,作为可信第三方,提供信任证据,增强用户对企业的信任。
