6月10日,全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》(以下簡稱《數安法》)。該法是國內第一部專門針對數據安全的法律,將於今年9月1日起施行。大數據時代下這部法律對互聯網企業關於數據的處理和保護提出更新要求。
浙江大學網絡空間安全學院百人計劃研究員、博導周亞金向《IT時報》記者表示,《數安法》界定了數據處理過程中包括收集、存儲、使用、加工、傳輸、提供、公開等方面參與者的責任和義務,明確每個過程中,數據運營者該為數據泄露以及帶來的安全風險負責。
企業網絡安全專家聯盟秘書長張威也認為,普通用戶本身不應該承擔過多安全責任,國家轉換管理思路,重點管控提供服務的平台。
那麼,《數安法》還會給用戶和互聯網公司帶來怎樣的變化?
01
多款輸入法被下架
6月11日,當《數安法》出爐的消息傳出時,科大訊飛股價閃崩,盤中一度大挫9.58%,逼近跌停。當日科大訊飛收跌6.01%。
同一天,訊飛、QQ、搜狗等輸入法在蘋果、安卓應用商店被下架或無法下載。截至發稿,記者手機中的華為應用商店仍無法下載訊飛、搜狗輸入法。
對此,科大訊飛近日在投資者互動平台表示,網信辦正對有關App進行統一安全認證與整改。
據市場監管總局官網解釋,App安全認證是為了規範App收集、使用用戶信息特別是個人信息的行為,加強個人信息安全保護。
華安證券研報認為,這一事件側面反映出國家對數據安全的重視,“強監管有望規範行業的信息採集行為,在合規前提下更好利用數據”。
這一次,《數安法》對數據給出明確定義,指的是任何以電子或者其他方式對信息的記錄。可見,個人信息屬於數據的一種。
值得一提的是,中國社會科學院金融研究所法與金融研究室副主任尹振濤認為,《數安法》並不是一部專門針對用戶個人隱私的法律,與個人隱私最相關的法律是仍未出爐的《個人信息保護法》。上海市聯合律師事務所互聯網與信息技術業務部主任蘇曉琳律師透露,目前《個人信息保護法》於5月28日完成徵求意見程序,有望今年年內施行。
圖源:全國人大官網
此前,《網絡安全法》(以下簡稱《網安法》)對個人隱私保護已有較為明確的規範。蘇曉琳認為,《網安法》主要為保障網絡安全,維護各主體網絡空間權益而制定,將有效促進經濟社會信息化健康發展,而《數安法》則為規範數據處理活動,保障數據安全,維護各主體數據相關權益而制定,將促進數據開發利用。這是二者本質的區別。
02
新法執行需配套行政法規
《數安法》共有七個章節,其中企業運用數據時保護數據安全規範與義務主要集中在第四章。而第六章違法處理數據的處罰條例,均與第四章相關。
圖源:新華社
《IT時報》記者發現,第六章相關處罰覆蓋第四章所有內容,除了第二十八條:
“開展數據處理活動以及研究開發數據新技術,應當有利於促進經濟社會發展,增進人民福祉,符合社會公德和倫理。”
在蘇曉琳看來,第二十八條就開展數據處理活動以及研究開發數據新技術等數據處理及相關行為,從價值導向高度提出對數據安全保護義務的要求,為維護國家層面的價值目標、社會層面的價值取向、公民個人層面的價值準則。
“這樣的價值導向,與其他有相應罰則的強制性數據安全保護義務相結合,對數據安全形成完整的系統性保護”。
但由於《數安法》並未對公德與倫理做出具體定義,周亞金擔心,每個人對道德、倫理的解讀不同,沒有清晰的條文,會讓企業無法判斷自己是否踩線。
一位採訪對象告訴《IT時報》記者,《數安法》更像是對數據安全保護的大框架,還需要實質的細則填充,確保其發揮實際監督企業意義。
蘇曉琳表示,《數安法》明確規定國家、地方、公安、網安、國安各職能部門、各行業領域主管單位的監管職責,確實會有相應配套的行政法規、部門規章會按照數據安全法的要求和目標,有針對性地規範和實施數據安全保護。“但這不意味着數據安全法只是一部空泛的、亟須細則填充的法律。”她說。
03
數據違規出境最高罰1000萬
監聽你的不止手機端App。
今年3月,特斯拉陷入多重風波。馬斯克在回應網友時承認,特斯拉車內的攝像頭可以監測車主,而大眾更大的擔憂來自特斯拉數據存儲於海外服務器,可能導致國家安全信息、地理信息等關鍵敏感數據泄露。
全國人大常委會法制工作委員會副主任劉俊臣曾發文稱,數據是國家基礎型戰略資源,“沒有數據安全就沒有國家安全”。
5月25日,特斯拉宣布,已在中國建立數據中心,以實現數據存儲本地化。同時,所有在中國大陸市場銷售車輛所產生的數據,都將存儲在境內。在業內看來,一切為了合規。
一個月前,國家網信辦發布《汽車數據安全管理若干規定(徵求意見稿)》,對重要數據進行了定義,包括高於國家公開發布地圖精度的測繪數據、汽車充電網的運行數據、道路上車輛類型、流量等。該規定指出,重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。
如今,《數安法》有了更明確的監管要求:關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數據出境安全管理,適用《網安法》規定;其他數據處理者在境內運營中收集和產生的重要數據出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
記者了解到,關鍵信息基礎設施是指一旦遭到破壞、喪失功能或數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡設施和信息系統。具體行業和領域可能包括金融、交通、水利、衛生醫療等。
有業內人士認為,特斯拉可以看作是關鍵信息基礎設施的運營者。國家對數據出境日益謹慎的態度,令近期外國汽車品牌、新能源汽車品牌紛紛在國內投建數據中心。
值得一提的是,若企業違反《數安法》相關規定,運營者將面臨頂格1000萬元、相關個人最高100萬元的罰款。相比《數安法》第一版、第二版草案中,運營者頂格100萬元、500萬元和相關個人頂格10萬元、50萬元的罰款金額,可見處罰力度在不斷加重,違法成本也在加大。
蘇曉琳認為,就目前對於數據安全方面的執法現狀看,相關監管部門並不存在立法嚴格卻在執法上放寬要求的可能。
她表示,數據安全涉及國家安全,是國計民生的重要安全事項,相關企業應當予以充分的重視,務必根據《數據安全法》及相關規定,積極履行相關法律義務,尤其是特殊的數據處理主體,還有更嚴格的特別義務規定。例如重要數據處理者還要定期開展風險評估,並向有關主管部門主動報送風險評估報告。
張威則表示,如今監管要求數據脫敏加密,但如何在加密數據中檢測敏感信息仍是技術上的難點。而一旦發現敏感數據,在數據流通過程中要如何阻斷,仍是需要思考的問題。
04
大數據公司持“雷”前行
“我覺得這對公司既是約束也是保護。”國內首家上市的雲計算公司Ucloud政府及運營商事業部架構總監呂雁飛認為。
《數安法》指出,國家要建立數據分類分級保護制度,同時要求各地區、各部門、各行業制定各自範圍里的“重要數據目錄”,並對國家核心數據實行更加嚴格的管理制度。此外,國家將建立數據安全應急處置機制、國家數據安全審查制度,同時建立數據安全的風險評估、報告、信息共享、監測預警機制。
對行業數據管理實施更嚴苛的制度,在尹振濤看來,會給企業增加很多合規成本。
張威舉了一個例子。為了保護用戶數據安全,快遞小哥、外賣小哥往往通過虛擬號碼聯繫用戶。如果對40萬到50萬用工規模的公司進行系統改造,不僅要重塑數據使用流程,企業還要投入1-2億元成本。
另一方面,儘管目前行業中已有企業採用聯邦學習技術,讓數據在移動終端上實現本地計算,然後通過雲交換計算結果,從而確保數據不脫離終端,但目前這項技術主要運用於金融行業。“這個技術還不成熟,要進行大規模應用,估計最快還要5年時間。”周亞金預計。
更大的難點在於數據確權。數據的價值只有在流通中才能體現,這也是互聯網企業賴以成長的重要資源。然而數字時代,數據不僅涉及個人隱私,還具有財產屬性,因此企業面臨共享和隱私保護的兩難。
參照2018年歐盟發布的《通用數據保護條例》(GDPR),其採用個人數據和非個人數據二元架構,個人數據主體權利歸屬於自然人,包括知情同意權、修改權、刪除權、拒絕和限制處理權、遺忘權、可攜權等權利。“對於個人數據”以外的“非個人數據”,企業享有“數據生產者權”,其權利並非絕對。
然而,也正是因為GDPR對數據流通設置了較高門檻,導致歐盟國家5G、AI、大數據等技術發展相對緩慢。
“各國法律似乎還沒有準確界定數據財產權益的歸屬。”銀保監會主席郭樹清去年底曾對外表示。在周亞金看來,《數安法》出爐,坐立難安的應是大數據企業。手上的數據很有可能成為一顆“雷”。不過,《數安法》同樣催熱了一塊新市場。根據《中國網絡安全生產業白皮書(2020年)》,當年網絡安全產業規模約為1702億元。未來五年複合增長率在15%左右。
在呂雁飛看來,《數安法》積極意義在於對數據保護有了明確要求,能讓企業敢於投入,進一步激發了公司利用科技力量推動行業發展的熱情。
還有兩個多月,《數安法》將正式落地,中國的數據資源能在安全合規的護衛下,真正呈現出它的價值嗎?
作者/IT時報記者 孫鵬飛
編輯/郝俊慧 挨踢妹
排版/黃建