■文/王偉潔 周千荷（賽迪智庫）

在數字經濟時代，各國對數據安全問題都高度重視。面對日益嚴峻的數據安全威脅，2020年不少國家通過頒布政策法規(guī)、加強監(jiān)管執(zhí)法、提升安全治理技術能力等舉措，全面強化數據安全保護。賽迪研究院網絡安全研究所在全面梳理美國、歐盟、日本、韓國、澳大利亞等國家和地區(qū)數據安全保護最新進展的基礎上，對各國的數據安全保護舉措和特點進行了深入分析，并針對我國數據安全治理現狀與問題，提出四點啟示。

一、主要國家和地區(qū)數據安全保護舉措

第一，持續(xù)優(yōu)化數據安全政策環(huán)境。一是加強數據安全頂層設計。歐盟發(fā)布《歐洲數據保護監(jiān)管局戰(zhàn)略計劃（2020—2024）》，旨在從前瞻性、行動性和協(xié)調性三個方面繼續(xù)加強數據安全保護，以保障個人隱私權。美國發(fā)布《聯邦數據戰(zhàn)略與2020年行動計劃》，確立了保護數據完整性、確保流通數據真實性、數據存儲安全性等基本原則。二是強化數據及個人信息保護方面的相關立法。阿聯酋和新西蘭分別出臺《數據保護法》和《2020年隱私法》，加強了對數據安全及個人隱私保護的規(guī)制建設；日本和新加坡分別完成了對本國《個人信息（數據）保護法》的修訂，明確了個人數據權利及外部使用限制；加拿大出臺的《數字憲章實施法案2020》，提出了保護私營部門個人信息的現代化框架。三是陸續(xù)出臺數據安全標準指南。歐盟發(fā)布《為保持歐盟個人數據保護級別而采用的數據跨境轉移工具補充措施》，為數據跨境流動中的數據保護問題提供了進一步指導；西班牙數據保護局發(fā)布《默認數據保護指南》，闡釋了默認數據保護原則的策略、實施措施、記錄和審計要求等，為企業(yè)實踐數據保護原則提供具體指導。

第二，建立健全數據安全保護機構。通過完善數據安全監(jiān)管執(zhí)法機構設置，提升執(zhí)法效率，加強數據安全保護治理。美國商務部成立了提供聯邦數據服務的咨詢委員會，以加強對聯邦數據隱私的保護；德國成立國家網絡安全機構，負責發(fā)起網絡安全創(chuàng)新項目、研究打擊網絡威脅，以加強德國的“數據主權”；巴西總統(tǒng)簽署法令批準建立國家個人數據保護局，旨在制定相關規(guī)則，推進企業(yè)開展數據安全風險評估、調查違法違規(guī)行為，并促進數據保護的國際合作；韓國成立個人信息保護委員會，主要職能是負責個人信息保護與監(jiān)管執(zhí)法工作。

第三，推動企業(yè)強化數據安全保護技術手段。為進一步保障數據安全，各國紛紛采取措施推動企業(yè)積極響應當地政策，從數據源頭、數據通道、數據運營管理等方面入手，運用差分隱私、區(qū)塊鏈等技術手段強化數據安全保護，搭建具有鮮明數據安全保護特性的技術架構。例如，Facebook通過開源差分隱私庫加強對人工智能訓練樣本隱私性的保護；蘋果公司通過模糊定位技術限制第三方App獲取用戶精確的地理位置信息；亞馬遜推出阻止用戶敏感信息泄露的服務Macie，以保護企業(yè)云端敏感數據；新西蘭企業(yè)通過區(qū)塊鏈技術實現數據加密傳輸和追蹤溯源，保護數據安全。

二、主要國家和地區(qū)數據安全保護特點分析

第一，數據安全成為國家安全的重要組成部分。數據現已成為與國家安全和國際競爭力緊密關聯的一大要素，各國對數據安全的認知已從傳統(tǒng)的個人隱私保護上升到維護國家安全的高度。美國布魯金斯學會發(fā)布的《超越華為和抖音——解開美國擔憂中國科技企業(yè)和數字安全之謎》指出，數據是電信系統(tǒng)的命脈，應從國家安全角度全面加強數據安全保護。英國發(fā)布《國家數據戰(zhàn)略》，通過搭建國家層面的數據安全治理方案，為建設促進增長和可信賴的數據機制提供指導方向，保障國家安全。歐盟委員會發(fā)布的《歐洲數據戰(zhàn)略》及其配套法案《數據治理法案》提案，力求在歐盟層面建立統(tǒng)一的數據治理框架，保障數據安全。下一步，各國還將從國家層面進一步完善數據安全戰(zhàn)略規(guī)劃、法律法規(guī)及標準規(guī)范，探索數據安全、國家安全與數字經濟發(fā)展之間的平衡之道。

第二，對大型互聯網企業(yè)數據壟斷的規(guī)制力度持續(xù)加大。與2019年相比，2020年各國對大型互聯網企業(yè)數據安全違法違規(guī)行為的懲治力度不斷增強，美國、歐洲等國家和地區(qū)均加大了對其單筆處罰的金額。例如，Facebook違反用戶隱私保護策略，美國對其處以50億美元的巨額罰款；愛爾蘭就數據非法跨境傳輸問題，對Facebook處以高達28億美元的罰款；法國、加拿大等國家也紛紛對Twitter、谷歌等企業(yè)開出高額罰單。隨著大型互聯網平臺企業(yè)的日益壯大，其數據壟斷問題愈加嚴重，由此帶來的數字權利濫用問題或將威脅到國家安全。因此，各國將進一步通過高額懲罰等手段對其進行約束，以防止其濫用數據優(yōu)勢侵害到消費者隱私或進行非法數據販賣。

第三，生物識別數據安全專項立法不斷推進。隨著新技術新應用的快速發(fā)展，以人臉識別為代表的人工智能技術得到了大規(guī)模應用。然而，生物識別數據披露的個人特征精確，且采集門檻較低、極易獲取，一旦遭到泄露、篡改或非法共享，極易帶來“身份盜竊”風險，且正在成為攻擊者的主要目標。對此，各國政府2020年紛紛出臺相關政策，開始規(guī)范和限制生物識別數據的使用。美國提出聯邦層面的《國家生物識別信息隱私法案》，為企業(yè)生物識別數據使用樹立規(guī)范；各州也紛紛出臺相應的人臉識別法案，對公共部門使用生物識別技術進行限制。此外，歐盟通過發(fā)布《人工智能戰(zhàn)略》等文件，對企業(yè)和政府在公共場所使用攝像頭收集生物識別數據并識別個人身份的行為加以規(guī)范。下一步，各國將進一步從頂層設計和專項法律規(guī)制層面，加大對人臉、聲音、指紋等生物識別數據的專項保護，在大力發(fā)展新技術新應用的同時，嚴加防范其帶來的數據安全風險。

第四，健康醫(yī)療數據使用安全愈加得到重視。一方面，各國積極加強頂層設計和標準規(guī)范制定。歐盟委員會發(fā)布的多個戰(zhàn)略文件均提議，建設“歐洲健康數據空間”，以完善歐盟健康醫(yī)療數據交換、訪問環(huán)境，保障個人醫(yī)療數據控制權和隱私權。韓國發(fā)布醫(yī)療領域的首份指南，為信息處理者提供了個人醫(yī)療信息安全使用的標準、方法和程序。另一方面，各國也在不斷推進醫(yī)療數據使用安全的技術防護手段建設。美國醫(yī)療保險公司Anthem利用區(qū)塊鏈技術賦予患者數據控制權，患者可借此實現數據安全訪問和共享；英國醫(yī)療研究團隊OpenSAFELY采用電子病歷隱私保障技術嚴控數據流向，實現了對數據使用全過程的監(jiān)控和保護。2020年新冠疫情的暴發(fā)愈加凸顯出醫(yī)療數據安全保護的重要性。與一般數據相比，醫(yī)療數據覆蓋面廣，既包含了患者個體患病信息，還涉及疾病傳播、地區(qū)流行病、區(qū)域人口健康狀況等信息。醫(yī)療數據能否安全使用，攸關社會穩(wěn)定與國家安全。下一步，各國將進一步從政策和技術層面探索保障醫(yī)療數據安全使用的方法，以應對面臨的嚴峻挑戰(zhàn)。

三、幾點啟示

第一，完善數據安全保護的法治環(huán)境。一是大力推動《數據安全法》和《個人信息保護法》出臺。目前，兩部法律仍處于草案階段，建議加快法律的出臺與實施，為數據安全和個人信息保護提供基本法律框架。二是完善數據安全保護的配套法規(guī)制度。目前，上述兩部立法草案還缺乏配套的下位法，部分問題處于模糊地帶，需進一步出臺與之配套的法律法規(guī)，針對具體問題制定相應的解決措施，強化數據安全保護。例如，針對數據確權問題，考慮通過采用數據分類確權思路，厘清數據類型和數據性質，明確主體數據權利邊界；針對政務數據安全共享問題，出臺相關政策文件，以明確上下游責任邊界，促進政務數據安全共享，實現政務數據管理模式由縱向到橫向的轉型，保障政務數據的可享、可管、可信。三是建立健全數據安全保護標準規(guī)范。針對數據開放共享、交易、跨境流動等不同場景，完善相應的標準規(guī)范；制定數據安全評測指南，持續(xù)加強數據安全標準的宣貫實施。

第二，多措并舉加強數據安全監(jiān)督管理。一是完善數據安全保護監(jiān)管體系。探索建立分級分類監(jiān)管體系，構建中央和地方分類監(jiān)管、分級負責、權責一致的監(jiān)管格局。二是探索數據安全保護機構設置。借鑒美國、韓國、歐洲等國家和地區(qū)的成功做法，針對不同數據活動場景及問題，嘗試設置獨立的負責機構。例如，設置與國際接軌、專項負責跨境數據安全風險審查與評估的機構。三是加大對數據違法活動的監(jiān)管執(zhí)法力度。借鑒美國、歐洲、俄羅斯等國家和地區(qū)的成功做法，通過提高罰款額度等手段，倒逼數據控制者加強數據安全保護。

第三，強化企業(yè)數據安全能力建設。一是鼓勵企業(yè)運用技術手段強化數據安全治理。鼓勵企業(yè)開展區(qū)塊鏈、隱私計算等數據安全保障技術的研究，提高技術成果轉化率，切實保護用戶數據安全。二是建立企業(yè)數據安全能力成熟度評估制度。通過明確不同類型的數據安全能力成熟度要求，推動企業(yè)建立與數據類型和規(guī)模相匹配的數據安保能力，實現業(yè)務競爭力與安全的正向掛鉤，并組織開展數據安全能力成熟度評估。三是建立企業(yè)數據流向監(jiān)管制度。鼓勵企業(yè)開發(fā)、使用追蹤數據使用情況及流向的工具，明晰數據用途，配合國家開展數據資源使用情況追蹤調查。