经济全球化带来了数据的全球化,但在高频数据流动下,数据泄露事件频发。Verizon发布的《2021年数据泄露调查报告》指出,通过分析来自全球83个贡献者的5358起数据泄露事件,85%的数据泄露事件涉及人为因素。人为疏忽已成为数据安全的最大威胁。数据安全与国家安全和人身安全密切相关。如何为数据经济编织一张“防护网”,是世界各国面临的重大课题。欧盟:重视数据安全和数据流通 欧洲数据安全保护立法起步较早,始终强调数据安全保护与数据流动的平衡,坚持数据经济安全稳定发展。欧洲于1981年颁布了《个人数据自动化处理中的个人保护公约》,强调在公约缔约方的管辖范围内,每个人的个人数据在处理时都必须得到保护,为后来欧洲数据安全保护立法奠定了基础。1995年,欧盟通过了《数据保护指令》,使其成为欧盟隐私和人权法的重要组成部分。在大量借鉴1981年《个人保护公约》的基础上,该指令还将个人数据的非自动化处理纳入保护范围。进一步加强个人数据保护,明确知情同意、合法目的、相称等数据处理原则。同时,欧盟不允许成员国以保护个人权利为借口限制数据的合法流动。但由于该指令原则性强,实际操作性弱,各成员国在实践中通过国内立法对其进行解读,导致成员国立法混乱,造成数据壁垒,严重阻碍数据流通。为适应互联网的快速发展,消除《数据保护指令》的弊端,欧盟于2018年出台了《通用数据保护条例》(GDPR),完全取代了《数据保护指令》,为成员国数据立法提供了统一的标准.GDPR要求在收集和处理个人数据时,必须遵守合法性、公平性和透明性、目的性、数据最小化、准确性、存储限制和安全性的原则。数据保护专家的加入等方式,大大提高了数据保护水平。此外,GDPR还主张欧盟对发生在境外但涉及欧盟的个人数据处理具有域外管辖权,强化了对数据跨境流动的安全管辖,对欧盟立法产生了重要影响。印度、巴西等国。我国做法:个人数据和重要数据都得到妥善处理 相对于欧盟,我国在数据安全方面的立法起步较晚。起初主要以个人数据保护为主,后来又将重要数据纳入保护范围。法规、制定行业标准等,推动形成协同治理机制,大力保护数据安全。在立法层面,我国应对21世纪初的数据安全治理。2000年4月发布的《计算机病毒防治管理办法》首次对计算机病毒对个人数据的威胁进行了规范和管理。《中华人民共和国电信条例》《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网电子邮件服务管理办法》《互联网网络安全信息通报实施办法》等后面介绍的,都为保护个人数据提供了法律依据。2016年,《中华人民共和国网络安全法》作为我国第一部全面规范网络空间安全管理问题的基本法颁布。该法进一步确立了个人数据处理的保密性、合法性、公正性和必要性原则。首次提出“重要数据”概念,建立个人信息和重要数据境内存储和出境安全评估体系,限制重要数据出境,保障国家数据安全。2021年9月实施的《中华人民共和国数据安全法》是我国数据安全领域的第一部基本法,在国际上也是首创。与以往的法律法规相比,这部法律更侧重于对数据本身的安全保护。在处理个人数据必须遵循合法、正当的原则的同时,促进了重要数据管理制度的形成。法律要求国家制定重要数据目录,推进数据分级分类,加强统筹数据安全治理;规定重要数据处理者应当明确数据安全负责人和管理机构,并定期进行数据风险评估。多措并举,填补数据安全保护立法空白,为保护个人数据和重要数据筑牢安全屏障。《中华人民共和国个人信息保护法》将于2021年11月起实施,重点关注个人信息保护,从个人信息处理规则、个人信息跨境提供规则、个人在个人信息处理活动中的权利、个人信息处理者的义务,在法律责任等方面构建了完整的个人信息保护框架。在规范性文件层面,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》《信息安全技术大数据安全管理指南》等文件指出,要把数据安全放在重要位置,加强涉及国家秘密、商业秘密、个人隐私的数据保护,明确提出保护数据安全和建立数据秩序。发展方向。在数据安全标准层面,我国成立了全国信息安全标准化技术委员会,通过研究信息安全标准体系,跟踪国际信息安全标准的发展,分析国内信息安全相关标准化技术,组织开展国内信息安全相关标准化技术的开发工作。国内信息安全标准的应用要求。工作,出台了多项数据安全国家标准,为行业提供规范指导。借鉴国外经验 一是完善现有立法,健全数据安全法律体系。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部基本法出台后,为解决数据安全领域的诸多法律问题提供了重要依据,对推动数字经济规范发展具有重要作用。但是,在相关法律的实际实施过程中,还存在原则性不强、监管领域交叉、法律适用等问题。为进一步发挥相关法律作用,促进数字经济又好又快发展,最大程度实现立法目的,可分别从网络安全、数据安全、个人信息安全三个方面着手,尽快制定落实这三部基本法的配套措施,逐步构建相互衔接、相互聚焦、相互协调的数据安全法律体系。二是做好数据分类工作,推动数据治理精细化。通过出台专门法律,对个人敏感数据或与国家安全、经济发展和公共利益密切相关的数据进行分类保护,提高重要数据采集门槛,严控特殊数据流动,加强对关键信息的监管基础设施运营商等细化落实重要数据安全保护措施。三是推动科技创新,加强企业数据安全保护。鼓励企业从身份认证、数据隔离、访问控制、加密存储等方面入手,深入研究全同态加密、批流式数据处理、交互式数据查询等关键技术,构建数据安全技术保障壁垒,不断强化数据安全。资源全生命周期安全保护。
