內(nèi)容摘要

隨著大數(shù)據(jù)技術(shù)和應(yīng)用的快速發(fā)展，促進(jìn)跨部門、跨行業(yè)數(shù)據(jù)共享的需求已經(jīng)非常迫切。但是，安全問(wèn)題是影響數(shù)據(jù)共享發(fā)展的關(guān)鍵問(wèn)題，世界各國(guó)對(duì)數(shù)據(jù)共享的安全越來(lái)越關(guān)注，包括美國(guó)、歐盟和中國(guó)在內(nèi)的很多國(guó)家都在制定數(shù)據(jù)安全相關(guān)的法律法規(guī)來(lái)推動(dòng)數(shù)據(jù)共享的合法利用和安全保護(hù)。本文總結(jié)分析了國(guó)內(nèi)外數(shù)據(jù)共享安全管控情況，對(duì)數(shù)據(jù)共享模型和相關(guān)方角色進(jìn)行設(shè)計(jì)，在分析數(shù)據(jù)共享存在的安全風(fēng)險(xiǎn)和問(wèn)題的基礎(chǔ)上，提出數(shù)據(jù)共享安全框架，最后給出加強(qiáng)數(shù)據(jù)共享安全治理的建議。

關(guān)鍵詞：數(shù)據(jù)共享;數(shù)據(jù)安全;數(shù)據(jù)共享模型;法律法規(guī);安全治理

20世紀(jì)90年代以來(lái)，隨著信息技術(shù)的快速發(fā)展和應(yīng)用，數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)正日益對(duì)全球生產(chǎn)、流通、分配、消費(fèi)活動(dòng)以及經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式和國(guó)家治理能力產(chǎn)生重要影響。

2015年國(guó)務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，提出全面推進(jìn)我國(guó)大數(shù)據(jù)發(fā)展應(yīng)用的行動(dòng)計(jì)劃。2016年國(guó)家發(fā)布《“十三五”國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展規(guī)劃綱要》，提出要實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略，促進(jìn)大數(shù)據(jù)創(chuàng)新應(yīng)用，著力推動(dòng)數(shù)據(jù)開(kāi)放共享。

在推動(dòng)數(shù)據(jù)開(kāi)放共享方面，國(guó)家首先啟動(dòng)政務(wù)信息資源的開(kāi)放和共享工作，通過(guò)政務(wù)信息資源的開(kāi)放共享，引導(dǎo)企業(yè)、社會(huì)組織等主動(dòng)采集并開(kāi)放數(shù)據(jù)，實(shí)現(xiàn)政府和社會(huì)互動(dòng)的大數(shù)據(jù)采集形成、合作開(kāi)發(fā)和綜合利用機(jī)制，取得了一定的成果。除政務(wù)信息資源共享以外，政府和企業(yè)之間以及企業(yè)之間在數(shù)據(jù)交換和交易方面也有一些實(shí)際應(yīng)用案例。

國(guó)內(nèi)數(shù)據(jù)共享雖然取得了一定的成果，但是和發(fā)達(dá)國(guó)家相比還有一定的差距。

當(dāng)今世界，信息化發(fā)展較快的發(fā)達(dá)國(guó)家在大數(shù)據(jù)開(kāi)發(fā)利用方面和促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展方面已經(jīng)走在了前面，數(shù)據(jù)的共享已經(jīng)成為常態(tài)，對(duì)共享數(shù)據(jù)的安全保護(hù)方面有很多值得我們國(guó)家借鑒的實(shí)踐經(jīng)驗(yàn)，歐盟、美國(guó)等國(guó)家在數(shù)據(jù)安全保護(hù)方面出臺(tái)了很多有針對(duì)性的法律法規(guī)，例如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)、美國(guó)的《澄清域外合法使用數(shù)據(jù)法》、日本的《個(gè)人信息保護(hù)法》等等。

本文的研究目標(biāo)是在分析國(guó)內(nèi)外的數(shù)據(jù)共享安全管控現(xiàn)狀基礎(chǔ)上，研究數(shù)據(jù)共享的安全問(wèn)題和風(fēng)險(xiǎn)，提出數(shù)據(jù)共享的模型、角色，提出數(shù)據(jù)共享的安全治理建議和加強(qiáng)我國(guó)數(shù)據(jù)安全保護(hù)立法工作的建議，為下一步國(guó)家制定相關(guān)政策法規(guī)和安全管理制度提供參考。

一、國(guó)內(nèi)外數(shù)據(jù)共享安全管控

(一)國(guó)外數(shù)據(jù)共享安全管控經(jīng)驗(yàn)

根據(jù)國(guó)外的法律法規(guī)和相關(guān)實(shí)踐經(jīng)驗(yàn)，國(guó)外對(duì)于數(shù)據(jù)共享的安全治理和管控措施主要體現(xiàn)在以下幾個(gè)方面：

1)法律規(guī)定數(shù)據(jù)的管轄范圍由“屬地”擴(kuò)展到“屬人”

國(guó)外法律規(guī)定的管轄對(duì)象不僅包括在境內(nèi)成立的機(jī)構(gòu)，還包括一部分在境外成立的機(jī)構(gòu)，只要其在提供產(chǎn)品或者服務(wù)的過(guò)程中(不論是否收費(fèi))處理了境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)。無(wú)論通信、記錄或其他信息是否存儲(chǔ)在境內(nèi)，服務(wù)提供者均應(yīng)當(dāng)按照義務(wù)要求保存、備份、披露通信內(nèi)容、記錄等信息，只要該服務(wù)提供者擁有、監(jiān)管或控制上述信息。國(guó)外法律對(duì)數(shù)據(jù)共享的管轄范圍從“屬地”擴(kuò)展到“屬人”，既是對(duì)數(shù)據(jù)保護(hù)范圍的擴(kuò)大也是對(duì)數(shù)據(jù)主權(quán)的擴(kuò)張。

2)明確了數(shù)據(jù)共享參與主體的權(quán)責(zé)

國(guó)外法律對(duì)數(shù)據(jù)共享的參與角色進(jìn)行了明確的劃分，同時(shí)對(duì)各參與角色的權(quán)力和責(zé)任作出說(shuō)明，例如明確個(gè)人對(duì)其個(gè)人信息所有的權(quán)力，要求企業(yè)在內(nèi)部建立完善的問(wèn)責(zé)機(jī)制，確保其員工能夠遵守有關(guān)保密的要求，不得對(duì)處理的數(shù)據(jù)進(jìn)行二次分包等。國(guó)外法律明確數(shù)據(jù)共享參與主體的權(quán)責(zé)可以確定數(shù)據(jù)共享活動(dòng)中各方的權(quán)力和責(zé)任，便于監(jiān)管。

3)對(duì)個(gè)人信息有完善的保護(hù)

國(guó)外法律明確了個(gè)人對(duì)其信息所具有的權(quán)利，例如知情權(quán)、訪問(wèn)權(quán)、反對(duì)權(quán)、個(gè)人數(shù)據(jù)可攜權(quán)、被遺忘權(quán)等權(quán)利，對(duì)數(shù)據(jù)控制者和處理者規(guī)定了其必須遵守的制度和履行的義務(wù)，甚至對(duì)教育等專項(xiàng)個(gè)人信息專門立法進(jìn)行保護(hù)，成立相應(yīng)的數(shù)據(jù)安全管理部門來(lái)開(kāi)展個(gè)人信息保護(hù)工作，加大對(duì)個(gè)人信息保護(hù)的力度。國(guó)外針對(duì)公民個(gè)人權(quán)利和個(gè)人信息有明確的立法，對(duì)個(gè)人信息提出嚴(yán)格的保護(hù)要求，建立相應(yīng)的機(jī)構(gòu)，從各個(gè)方面加強(qiáng)個(gè)人信息保護(hù)。

4)對(duì)數(shù)據(jù)跨境傳輸提出明確的安全要求

國(guó)外法律規(guī)定服務(wù)提供者應(yīng)當(dāng)按照義務(wù)要求保存、備份、披露個(gè)人信息，只要涉及到境內(nèi)公民的個(gè)人信息為該服務(wù)提供者所擁有、監(jiān)管或控制，不考慮服務(wù)提供者將信息存儲(chǔ)在境內(nèi)還是境外;公民個(gè)人數(shù)據(jù)不得轉(zhuǎn)移至不能達(dá)到與本國(guó)同等保護(hù)水平的國(guó)家，并給出跨境數(shù)據(jù)傳輸?shù)暮戏ㄍ緩胶鸵�求，保障了�?shù)據(jù)跨境傳輸共享的安全。

5)對(duì)違法行為進(jìn)行嚴(yán)厲處罰

國(guó)外法律尤其是歐盟的GDPR對(duì)數(shù)據(jù)違法行為作出嚴(yán)厲處罰，針對(duì)不同程度的違法行為分兩檔進(jìn)行處罰。對(duì)沒(méi)有實(shí)施充分的IT安全保障措施、沒(méi)有提供全面的透明的隱私政策、沒(méi)有簽訂書(shū)面的數(shù)據(jù)處理協(xié)議等違法行為，處1000萬(wàn)歐元或者上一年度全球營(yíng)收的2%的罰金，兩者取其高;對(duì)無(wú)法說(shuō)明如何獲得用戶的同意、違反數(shù)據(jù)處理的一般性原則、侵害數(shù)據(jù)主體的合法權(quán)利、拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等違法行為，處以2000萬(wàn)歐元或者企業(yè)上一年度全球營(yíng)業(yè)收入的4%的罰金，兩者取其高。國(guó)外法律對(duì)違法行為作出嚴(yán)厲處罰，有利于推動(dòng)企業(yè)在進(jìn)行數(shù)據(jù)相關(guān)活動(dòng)過(guò)程中依法對(duì)數(shù)據(jù)進(jìn)行充分的安全保障。

(二)國(guó)內(nèi)數(shù)據(jù)共享安全現(xiàn)狀

國(guó)內(nèi)的數(shù)據(jù)共享雖然取得了一定的成果，但是依舊存在許多問(wèn)題需要解決。在國(guó)內(nèi)數(shù)據(jù)的共享交換、交易流通過(guò)程中，存在法律法規(guī)不完善、行業(yè)發(fā)展良莠不齊、數(shù)據(jù)開(kāi)放程度較低、安全風(fēng)險(xiǎn)日益突出、技術(shù)應(yīng)用創(chuàng)新滯后五大問(wèn)題。

1)法律法規(guī)不完善

數(shù)據(jù)共享過(guò)程中存在數(shù)據(jù)擁有者與管理者不同、數(shù)據(jù)所有權(quán)和使用權(quán)分離的情況，即數(shù)據(jù)會(huì)脫離數(shù)據(jù)提供方的控制而存在，從而會(huì)帶來(lái)數(shù)據(jù)濫用、權(quán)屬不明確、安全監(jiān)管責(zé)任不清晰等法律制度的挑戰(zhàn)。

2)行業(yè)發(fā)展良莠不齊

國(guó)內(nèi)數(shù)據(jù)共享行業(yè)仍處于起步發(fā)展階段，也缺少國(guó)家層面的標(biāo)準(zhǔn)規(guī)范，政府部門、企業(yè)、社會(huì)組織等開(kāi)展數(shù)據(jù)共享的時(shí)候缺少相關(guān)文件指導(dǎo)，容易各自發(fā)展自成體系，同時(shí)數(shù)據(jù)共享行業(yè)缺乏監(jiān)管，不利于行業(yè)的健康發(fā)展。

3)數(shù)據(jù)開(kāi)放程度較低

和國(guó)外數(shù)據(jù)資源主要集中在企業(yè)手中不同，國(guó)內(nèi)的數(shù)據(jù)資源80%集中在政府部門。由于認(rèn)識(shí)不到數(shù)據(jù)共享開(kāi)放的價(jià)值，缺乏開(kāi)放數(shù)據(jù)的動(dòng)力，各部門企業(yè)不愿意共享開(kāi)放;由于缺乏相關(guān)的法規(guī)文件，擔(dān)心出現(xiàn)問(wèn)題后責(zé)任認(rèn)定不清，各部門企業(yè)不敢共享開(kāi)放;由于行業(yè)的技術(shù)比較落后，缺少相應(yīng)的實(shí)踐，各部門企業(yè)不會(huì)共享開(kāi)放。

4)安全風(fēng)險(xiǎn)日益突出

數(shù)據(jù)的共享涉及到大量的數(shù)據(jù)，尤其在通過(guò)平臺(tái)進(jìn)行數(shù)據(jù)共享時(shí)會(huì)導(dǎo)致大量數(shù)據(jù)的集中，過(guò)于集中的數(shù)據(jù)容易成為黑客攻擊的主要目標(biāo)，數(shù)據(jù)的安全保護(hù)措施如果不到位，數(shù)據(jù)容易泄露。除了外部攻擊的風(fēng)險(xiǎn)，在數(shù)據(jù)共享過(guò)程中也會(huì)面臨內(nèi)部的安全風(fēng)險(xiǎn)，主要表現(xiàn)為用戶和工作人員的過(guò)量下載、違規(guī)使用等行為。

5)技術(shù)應(yīng)用創(chuàng)新滯后

數(shù)據(jù)共享行業(yè)的發(fā)展也依賴于相應(yīng)大數(shù)據(jù)技術(shù)的發(fā)展，國(guó)內(nèi)大數(shù)據(jù)產(chǎn)業(yè)雖然與國(guó)際大數(shù)據(jù)發(fā)展幾近步伐相同，但是仍然存在技術(shù)及應(yīng)用滯后的差距，在大數(shù)據(jù)相關(guān)的數(shù)據(jù)庫(kù)及數(shù)據(jù)挖掘等技術(shù)領(lǐng)域，處于支配地位的領(lǐng)軍企業(yè)均為國(guó)外企業(yè)。市場(chǎng)上，由于國(guó)內(nèi)大數(shù)據(jù)企業(yè)技術(shù)上的不足，用戶更加青睞IBM、甲骨文、EMC、SAP 等國(guó)外IT企業(yè)。

二、數(shù)據(jù)共享模型

通過(guò)對(duì)國(guó)內(nèi)外的數(shù)據(jù)共享的模式、相關(guān)法律法規(guī)和經(jīng)典案例的研究，本文研究并提出了數(shù)據(jù)共享模型，包括數(shù)據(jù)的分類、角色定義以及數(shù)據(jù)共享的方式。

(一)數(shù)據(jù)分類

按照數(shù)據(jù)生產(chǎn)或持有主體來(lái)劃分?jǐn)?shù)據(jù)，分為政府?dāng)?shù)據(jù)、企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)。

1)政府?dāng)?shù)據(jù)。是指人民政府及其行政機(jī)關(guān)在依法履行職責(zé)過(guò)程中產(chǎn)生或獲取的，以一定形式記錄、保存的各類數(shù)據(jù)資源。

2)企業(yè)數(shù)據(jù)。是指反映企業(yè)基本狀況的數(shù)據(jù)資源，包括企業(yè)財(cái)務(wù)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)(研發(fā)、采購(gòu)、生產(chǎn)、銷售等)以及人力資源數(shù)據(jù)，也包括通過(guò)授權(quán)直接或間接采集的個(gè)人數(shù)據(jù)。

3)個(gè)人數(shù)據(jù)。是指以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人個(gè)人身份的信息，包括但不限于自然人的姓名、出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。

政府?dāng)?shù)據(jù)、企業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)之間存在交集和相關(guān)性。政府和企業(yè)共享數(shù)據(jù)時(shí)不可避免地會(huì)含有個(gè)人數(shù)據(jù)，因此，在共享數(shù)據(jù)時(shí)不僅要注意保護(hù)國(guó)家秘密、商業(yè)秘密，特別要保護(hù)個(gè)人隱私數(shù)據(jù)，維護(hù)公民個(gè)人的權(quán)利。

(二)數(shù)據(jù)共享角色定義

參與數(shù)據(jù)共享的相關(guān)責(zé)任主體可以定義為5種角色，包括：數(shù)據(jù)提供方、數(shù)據(jù)使用方、平臺(tái)管理方、服務(wù)提供方和監(jiān)管方。

1)數(shù)據(jù)提供方。指生產(chǎn)或收集數(shù)據(jù)，并提供數(shù)據(jù)進(jìn)行共享的各類相關(guān)主體，包括各政府部門或企業(yè)。

數(shù)據(jù)提供方應(yīng)當(dāng)遵循國(guó)家相關(guān)政策要求開(kāi)展數(shù)據(jù)共享工作，向數(shù)據(jù)使用方提供共享數(shù)據(jù)，確保所提供的共享數(shù)據(jù)準(zhǔn)確有效、及時(shí)更新和安全可靠。

2)數(shù)據(jù)使用方。指通過(guò)數(shù)據(jù)共享獲取、應(yīng)用共享數(shù)據(jù)的各政府部門或企業(yè)。

數(shù)據(jù)使用方應(yīng)當(dāng)遵循國(guó)家相關(guān)政策要求和數(shù)據(jù)共享要求，在授權(quán)范圍內(nèi)獲取和使用共享數(shù)據(jù)，并采取措施，確保共享數(shù)據(jù)不丟失、不泄漏、不被未授權(quán)讀取或擴(kuò)大使用范圍。

3)平臺(tái)管理方。指負(fù)責(zé)建設(shè)、管理和運(yùn)營(yíng)數(shù)據(jù)共享平臺(tái)，在數(shù)據(jù)開(kāi)放和數(shù)據(jù)交易中為數(shù)據(jù)提供方和使用方提供平臺(tái)服務(wù)的政府部門或企業(yè)。

平臺(tái)管理方應(yīng)當(dāng)建立和完善共享平臺(tái)的數(shù)據(jù)安全管理制度，以及數(shù)據(jù)安全保護(hù)、安全服務(wù)和安全監(jiān)測(cè)等技術(shù)措施，確保共享平臺(tái)運(yùn)行安全和數(shù)據(jù)安全，為數(shù)據(jù)提供方和使用方提供安全支撐服務(wù)，為數(shù)據(jù)安全監(jiān)管提供支持。

4)服務(wù)提供方。指為數(shù)據(jù)提供方、使用方或平臺(tái)管理方提供數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析處理、數(shù)據(jù)安全保障、數(shù)據(jù)保護(hù)能力測(cè)評(píng)等技術(shù)和安全服務(wù)，對(duì)平臺(tái)管理方的工作提供支撐的企業(yè)或?qū)�業(yè)機(jī)構(gòu)。

服務(wù)提供方應(yīng)當(dāng)與服務(wù)對(duì)象簽署服務(wù)協(xié)議，為所提供的服務(wù)建立相應(yīng)的管理制度和專門團(tuán)隊(duì)，加強(qiáng)團(tuán)隊(duì)數(shù)據(jù)安全教育和能力培訓(xùn)，履行數(shù)據(jù)安全承諾，確保服務(wù)過(guò)程中的數(shù)據(jù)安全。

5)監(jiān)管方。指依照國(guó)家法律法規(guī)和政策文件的授權(quán)，對(duì)數(shù)據(jù)共享進(jìn)行指導(dǎo)、監(jiān)督管理的政府部門，包括網(wǎng)信、公安、安全、保密等部門。

監(jiān)管方應(yīng)嚴(yán)格履行監(jiān)管職責(zé)，依據(jù)國(guó)家法律法規(guī)政策和標(biāo)準(zhǔn)，建立數(shù)據(jù)共享管理制度，對(duì)上述4類責(zé)任主體參與的數(shù)據(jù)共享活動(dòng)進(jìn)行合法合規(guī)監(jiān)管，在責(zé)任主體間產(chǎn)生沖突時(shí)進(jìn)行協(xié)調(diào)和仲裁。

(三)數(shù)據(jù)共享方式

數(shù)據(jù)共享的方式主要分為3種，數(shù)據(jù)開(kāi)放、數(shù)據(jù)交換和數(shù)據(jù)交易。下面針對(duì)3種數(shù)據(jù)共享方式分別描述相關(guān)方的權(quán)責(zé)和義務(wù)。

(1)數(shù)據(jù)開(kāi)放

數(shù)據(jù)開(kāi)放指數(shù)據(jù)提供方通過(guò)數(shù)據(jù)開(kāi)放平臺(tái)為數(shù)據(jù)使用方提供開(kāi)放數(shù)據(jù)資源的在線檢索、下載及調(diào)用等服務(wù)，數(shù)據(jù)開(kāi)放模型如圖1所示：

 

 

圖1 數(shù)據(jù)開(kāi)放模型

(2)數(shù)據(jù)交換

數(shù)據(jù)交換指數(shù)據(jù)共享各方之間在政策、法律和法規(guī)允許的范圍內(nèi)，通過(guò)簽署協(xié)議、合作等方式開(kāi)展的非盈利性數(shù)據(jù)共享，通常采用以“數(shù)”易“數(shù)”的方式、或者“1對(duì)1”地進(jìn)行數(shù)據(jù)交換，數(shù)據(jù)交換模型如圖2所示。

 

 

圖2 數(shù)據(jù)交換模型

(3)數(shù)據(jù)交易

數(shù)據(jù)交易指數(shù)據(jù)提供方通過(guò)交易平臺(tái)為數(shù)據(jù)使用方提供有償數(shù)據(jù)共享服務(wù)。數(shù)據(jù)使用方付費(fèi)后獲得了數(shù)據(jù)或者服務(wù)調(diào)用權(quán)限，也可以付費(fèi)獲得平臺(tái)的相關(guān)數(shù)據(jù)服務(wù)，數(shù)據(jù)交易模型如圖3所示。

 

 

圖3 數(shù)據(jù)交易模型

三、數(shù)據(jù)共享安全框架

基于對(duì)國(guó)內(nèi)數(shù)據(jù)共享安全現(xiàn)狀的分析，為推進(jìn)數(shù)據(jù)共享的健康發(fā)展，需要加強(qiáng)政策、法律、管理制度、標(biāo)準(zhǔn)規(guī)范和技術(shù)體系的統(tǒng)籌協(xié)調(diào)，因此本文提出數(shù)據(jù)共享安全框架，如圖4所示�？蚣芊譃�4個(gè)層次，從上到下依次為法律法規(guī)、安全管理制度、標(biāo)準(zhǔn)體系以及安全技術(shù)。

 

 

圖4 數(shù)據(jù)共享安全框架

加強(qiáng)數(shù)據(jù)共享安全保障要完善數(shù)據(jù)安全法律法規(guī)，加強(qiáng)數(shù)據(jù)安全管理制度建設(shè)，健全數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范，推動(dòng)數(shù)據(jù)安全技術(shù)開(kāi)發(fā)和應(yīng)用，做好數(shù)據(jù)安全的整體規(guī)劃和頂層設(shè)計(jì)。遵循國(guó)家相關(guān)的安全政策，制定數(shù)據(jù)安全保護(hù)方面的法律法規(guī)和制度，健全數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)及指南，完善數(shù)據(jù)安全保障組織機(jī)構(gòu)和保障角色的規(guī)劃，制定數(shù)據(jù)安全保障規(guī)劃和指導(dǎo)意見(jiàn)，推進(jìn)數(shù)據(jù)共享，滿足國(guó)家層面安全管控要求，明確數(shù)據(jù)總體安全策略，指導(dǎo)相關(guān)管理制度、標(biāo)準(zhǔn)文件的制定，推動(dòng)安全防護(hù)技術(shù)的發(fā)展。

(一)加強(qiáng)數(shù)據(jù)安全立法

在我國(guó)信息技術(shù)、互聯(lián)網(wǎng)應(yīng)用以及大數(shù)據(jù)快速發(fā)展的推動(dòng)下，相關(guān)立法工作要與時(shí)俱進(jìn)，要滿足國(guó)家大數(shù)據(jù)發(fā)展戰(zhàn)略要求，同時(shí)結(jié)合國(guó)內(nèi)的實(shí)際情況制定并完善相關(guān)的法律法規(guī)。既要嚴(yán)格數(shù)據(jù)保護(hù)要求，加大執(zhí)法力度和懲罰措施，維護(hù)國(guó)家安全和公眾利益，也要有效推動(dòng)產(chǎn)業(yè)發(fā)展，促進(jìn)數(shù)據(jù)共享流動(dòng)和開(kāi)發(fā)利用。同時(shí)，還要學(xué)習(xí)國(guó)外立法的先進(jìn)經(jīng)驗(yàn)，能夠與國(guó)外法律形成對(duì)照與對(duì)接，推動(dòng)數(shù)據(jù)共享健康有序發(fā)展。

目前來(lái)看，立法的重點(diǎn)在于個(gè)人信息保護(hù)、數(shù)據(jù)資源確權(quán)、數(shù)據(jù)跨境監(jiān)管和數(shù)據(jù)交易監(jiān)管4個(gè)方面。

1)個(gè)人信息保護(hù)

從總體上看，國(guó)外關(guān)于個(gè)人信息保護(hù)的法律法規(guī)比較完善，歐盟制定的《通用數(shù)據(jù)保護(hù)法案》(GDPR)生效后極有可能會(huì)成為國(guó)際通行的數(shù)據(jù)隱私保護(hù)法規(guī)。而我國(guó)目前關(guān)于個(gè)人信息保護(hù)的法律法規(guī)非常有限，且較為分散，直接相關(guān)的保護(hù)個(gè)人信息的相關(guān)法規(guī)主要有：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《關(guān)于侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》、《消費(fèi)者權(quán)益保護(hù)法》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以及《刑法修正案》(七)等。此外，在我國(guó)憲法、民法通則等國(guó)家根本大法和基本法中也有一些較為籠統(tǒng)的規(guī)定。

在大數(shù)據(jù)發(fā)展的新形勢(shì)下，隨著大數(shù)據(jù)開(kāi)發(fā)、應(yīng)用和共享的廣泛深入開(kāi)展，個(gè)人信息保護(hù)問(wèn)題愈加突出，可以借鑒網(wǎng)絡(luò)信息先進(jìn)技術(shù)和個(gè)人信息立法保護(hù)完善的國(guó)家(地區(qū))的立法治理經(jīng)驗(yàn)，加快出臺(tái)個(gè)人信息保護(hù)專項(xiàng)法律。

2)數(shù)據(jù)資源確權(quán)

數(shù)據(jù)作為一種特殊的資源要從法律上確立其資產(chǎn)的地位，才能讓社會(huì)各方在數(shù)據(jù)采集、開(kāi)放、流通、交易等過(guò)程中重視數(shù)據(jù)安全保護(hù)，切實(shí)維護(hù)數(shù)據(jù)主體的權(quán)益。數(shù)據(jù)的所有權(quán)、使用權(quán)、管理權(quán)可能涉及很多部門，在數(shù)據(jù)共享過(guò)程中需要做到權(quán)責(zé)分明，厘清數(shù)據(jù)權(quán)屬關(guān)系，才能有效防止數(shù)據(jù)的非法使用。

數(shù)據(jù)確權(quán)是數(shù)據(jù)開(kāi)放、交換和交易的前提和基礎(chǔ)，也是難點(diǎn)問(wèn)題。目前數(shù)據(jù)所有權(quán)歸屬還存在不清晰的情況，特別是當(dāng)數(shù)據(jù)進(jìn)行交換和共享時(shí)，不可避免地會(huì)涉及個(gè)人數(shù)據(jù)，這部分?jǐn)?shù)據(jù)的所有權(quán)屬于相關(guān)機(jī)構(gòu)還是個(gè)人，目前還存在很大分歧。另外，原始數(shù)據(jù)和加工數(shù)據(jù)的權(quán)屬問(wèn)題也存在爭(zhēng)議，這些問(wèn)題都需要通過(guò)立法加以明確。在此基礎(chǔ)上，可進(jìn)一步明確數(shù)據(jù)授權(quán)、使用范圍、安全保護(hù)責(zé)任，以及安全保護(hù)措施等要求。

3)數(shù)據(jù)跨境監(jiān)管

從法律角度對(duì)數(shù)據(jù)進(jìn)行保護(hù)是有范圍的，要從可監(jiān)管的轄區(qū)范圍、需保護(hù)的數(shù)據(jù)對(duì)象、需監(jiān)管的數(shù)據(jù)應(yīng)用場(chǎng)景，以及數(shù)據(jù)處理行為等方面明確數(shù)據(jù)保護(hù)范圍�！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》等法律一般界定的數(shù)據(jù)管轄范圍是國(guó)內(nèi)，而歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)和美國(guó)的《澄清域外合法使用數(shù)據(jù)法案》(CLOUD)等法律都把管轄范圍都擴(kuò)大到歐盟和美國(guó)數(shù)據(jù)控制者的范圍。特別對(duì)于數(shù)據(jù)跨境傳輸?shù)谋O(jiān)管來(lái)講，國(guó)內(nèi)外的法律如果不對(duì)等，將對(duì)我國(guó)的數(shù)據(jù)主權(quán)、網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)安全、公眾利益等產(chǎn)生非常不利的影響。因此我們國(guó)家的數(shù)據(jù)安全立法應(yīng)明確數(shù)據(jù)管轄范圍。

4)數(shù)據(jù)交易監(jiān)管

數(shù)據(jù)交易可以促進(jìn)數(shù)據(jù)資源流通，破除數(shù)據(jù)孤島，有效支撐數(shù)據(jù)應(yīng)用的快速發(fā)展，發(fā)揮數(shù)據(jù)資源的經(jīng)濟(jì)價(jià)值。良好的數(shù)據(jù)交易環(huán)境是數(shù)據(jù)交易發(fā)展的基礎(chǔ)保障，既有賴于法律法規(guī)的保障和標(biāo)準(zhǔn)的支撐，也需要政府監(jiān)管到位。目前國(guó)家尚未推出數(shù)據(jù)交易方面的法律法規(guī)，這方面仍屬空白。

對(duì)數(shù)據(jù)交易進(jìn)行立法監(jiān)管有利于規(guī)范數(shù)據(jù)資源交易行為，建立良好的數(shù)據(jù)交易秩序，增強(qiáng)對(duì)數(shù)據(jù)交易服務(wù)的安全管控能力，在確保數(shù)據(jù)安全的前提下促進(jìn)數(shù)據(jù)資源自由流通，從而帶動(dòng)整個(gè)數(shù)據(jù)產(chǎn)業(yè)的安全、健康、快速發(fā)展。

數(shù)據(jù)交易立法需明確數(shù)據(jù)交易的政府監(jiān)管職能部門，及其監(jiān)管職責(zé)范圍，明確交易雙方的權(quán)責(zé)和義務(wù)，加強(qiáng)對(duì)用戶個(gè)人隱私數(shù)據(jù)的保護(hù)，明確對(duì)數(shù)據(jù)交易平臺(tái)以及交易雙方資質(zhì)的審核，以及數(shù)據(jù)保護(hù)能力評(píng)估等要求。

(二)建設(shè)數(shù)據(jù)安全管理制度

對(duì)數(shù)據(jù)共享的安全管控，除了健全國(guó)家法律法規(guī)以外，還需要在行業(yè)、部門、地方或平臺(tái)層面建設(shè)配套的、完善的數(shù)據(jù)安全管理制度，以落實(shí)相關(guān)法律的要求。管理制度的設(shè)計(jì)要上承法律要求，下接標(biāo)準(zhǔn)支撐，在實(shí)踐方面能夠有效規(guī)范數(shù)據(jù)共享行為，確保數(shù)據(jù)共享組織管理機(jī)構(gòu)職責(zé)明確、數(shù)據(jù)共享活動(dòng)流程清晰、數(shù)據(jù)共享過(guò)程安全可控和監(jiān)管有效。

根據(jù)數(shù)據(jù)共享的安全需求，需重點(diǎn)建立以下安全管理制度：

1)數(shù)據(jù)分類分級(jí)制度

數(shù)據(jù)分級(jí)是數(shù)據(jù)采集、存儲(chǔ)、使用過(guò)程中進(jìn)行保護(hù)的重要依據(jù)。需要進(jìn)行數(shù)據(jù)梳理和數(shù)據(jù)分級(jí)，對(duì)不同級(jí)別的數(shù)據(jù)采取不同安全管控措施，在確保數(shù)據(jù)流動(dòng)合理合規(guī)的前提下，促進(jìn)數(shù)據(jù)安全的開(kāi)發(fā)利用和共享，根據(jù)數(shù)據(jù)的重要性和敏感程度確定共享范圍、權(quán)限和方式。

2)數(shù)據(jù)提供注冊(cè)制度

數(shù)據(jù)提供方按照規(guī)定向平臺(tái)管理方注冊(cè)并審核通過(guò)所提供的數(shù)據(jù)后，方可發(fā)布。數(shù)據(jù)提供方所提供數(shù)據(jù)應(yīng)明確數(shù)據(jù)的摘要、使用范圍、條件及要求、提供者信息、聯(lián)系方式、更新周期和發(fā)布日期等。在具體的流程中，應(yīng)注意數(shù)據(jù)提供方在注冊(cè)過(guò)程中需要承諾對(duì)注冊(cè)數(shù)據(jù)的所有權(quán)或控制權(quán)，確保提供的數(shù)據(jù)真實(shí)、完整、安全、有效、可用，來(lái)源明確、界限清晰。一旦出現(xiàn)數(shù)據(jù)泄密事故，可為追蹤溯源提供有力證據(jù)支撐。

3)數(shù)據(jù)授權(quán)許可制度

平臺(tái)管理方在獲得數(shù)據(jù)提供方的許可條件下，通過(guò)規(guī)定方式，將數(shù)據(jù)的使用權(quán)授予數(shù)據(jù)使用方。對(duì)于重要數(shù)據(jù)，需要第三方對(duì)數(shù)據(jù)使用方評(píng)估其數(shù)據(jù)保護(hù)能力，達(dá)標(biāo)后才能授權(quán)。如果涉及隱私數(shù)據(jù)，管理者負(fù)責(zé)數(shù)據(jù)脫敏后方可授權(quán)。

4)數(shù)據(jù)登記使用制度

數(shù)據(jù)使用方按照規(guī)定向平臺(tái)管理方、數(shù)據(jù)提供方登記并被審核身份及權(quán)限后，在合法合規(guī)的條件下方可獲得數(shù)據(jù)的使用權(quán)。數(shù)據(jù)使用方登記內(nèi)容應(yīng)明確所使用數(shù)據(jù)類別、數(shù)據(jù)用途、使用范圍、使用方式、使用者信息、聯(lián)系方式等。

數(shù)據(jù)使用方應(yīng)當(dāng)遵循國(guó)家相關(guān)政策要求，在授權(quán)范圍內(nèi)獲取和使用數(shù)據(jù)，并采取措施，保障確保共享數(shù)據(jù)不丟失、不泄漏、不被未授權(quán)讀取或擴(kuò)大使用范圍。

5)數(shù)據(jù)保護(hù)能力評(píng)估制度

依據(jù)等級(jí)保護(hù)要求、數(shù)據(jù)分類和分級(jí)保護(hù)策略，對(duì)數(shù)據(jù)共享參與各方數(shù)據(jù)安全防護(hù)情況和承載系統(tǒng)的安全防護(hù)情況進(jìn)行檢測(cè)評(píng)估，保障共享數(shù)據(jù)的使用合規(guī)和承載系統(tǒng)的安全滿足要求。

6)數(shù)據(jù)安全保密管理制度

明確數(shù)據(jù)交換需遵從的原則，如個(gè)人信息保護(hù)原則、最小授權(quán)原則、獲取數(shù)據(jù)需要具備相應(yīng)等級(jí)數(shù)據(jù)安全保護(hù)能力原則等。明確數(shù)據(jù)交換過(guò)程中的數(shù)據(jù)安全管理要求，包括數(shù)據(jù)傳輸、存儲(chǔ)、處理、銷毀等環(huán)節(jié)，加強(qiáng)數(shù)據(jù)安全保護(hù)。要建立數(shù)據(jù)安全應(yīng)急處置預(yù)案，當(dāng)出現(xiàn)信息安全事件時(shí)能夠及時(shí)發(fā)現(xiàn)和處置，降低事件造成的影響。

一般來(lái)說(shuō)，數(shù)據(jù)交換的行為有其特殊的需求和應(yīng)用場(chǎng)景，因此應(yīng)根據(jù)交換雙方的需求、權(quán)責(zé)義務(wù)關(guān)系和數(shù)據(jù)內(nèi)容制定相應(yīng)的數(shù)據(jù)安全保密協(xié)議，對(duì)參與數(shù)據(jù)共享的相關(guān)方形成法律約束，規(guī)定相關(guān)權(quán)利義務(wù)和違規(guī)責(zé)任。

7)數(shù)據(jù)交易安全管理制度

第一，建議建立基于第三方的數(shù)據(jù)評(píng)價(jià)估值機(jī)制，對(duì)數(shù)據(jù)提供方的數(shù)據(jù)準(zhǔn)確性、完整性、安全性以及知識(shí)產(chǎn)權(quán)情況、數(shù)據(jù)脫敏情況進(jìn)行審核和評(píng)價(jià)，進(jìn)而確定其是否可以上市交易，并給出指導(dǎo)價(jià)格。第二，要對(duì)交易雙方的資格進(jìn)行審核，數(shù)據(jù)提供方是否具備數(shù)據(jù)產(chǎn)權(quán)或處置權(quán)，是否具備提供數(shù)據(jù)以及后續(xù)更新數(shù)據(jù)的條件和能力。對(duì)于數(shù)據(jù)使用方重點(diǎn)審核其是否具備相應(yīng)數(shù)據(jù)安全保護(hù)能力。第三，服務(wù)提供方應(yīng)保證數(shù)據(jù)交易過(guò)程的公開(kāi)公正和透明，并通過(guò)采取有效技術(shù)措施，確保數(shù)據(jù)交易過(guò)程的可監(jiān)可控和可追溯。第四，服務(wù)提供方可以建立交易雙方的信用評(píng)價(jià)機(jī)制、數(shù)據(jù)使用效果的評(píng)價(jià)機(jī)制和市場(chǎng)退出機(jī)制，推動(dòng)形成數(shù)據(jù)交易的良性循環(huán)，維護(hù)市場(chǎng)秩序，同時(shí)開(kāi)展數(shù)據(jù)應(yīng)用示范，提升數(shù)據(jù)開(kāi)發(fā)利用規(guī)模和應(yīng)用水平。第五，要解決好數(shù)據(jù)安全和隱私保護(hù)問(wèn)題，交易的數(shù)據(jù)中不可避免含有個(gè)人隱私數(shù)據(jù)或者政府及企業(yè)敏感數(shù)據(jù)，數(shù)據(jù)提供方如何合法合規(guī)地進(jìn)行數(shù)據(jù)脫敏，監(jiān)管方應(yīng)給予指導(dǎo)和規(guī)范。

(三)完善數(shù)據(jù)共享標(biāo)準(zhǔn)體系

為了更好地開(kāi)展數(shù)據(jù)共享，需要以數(shù)據(jù)安全為核心，圍繞數(shù)據(jù)安全，主要制定以下4個(gè)方面的標(biāo)準(zhǔn)，以提供全方位的安全標(biāo)準(zhǔn)支撐。

1)基礎(chǔ)類標(biāo)準(zhǔn)

數(shù)據(jù)共享基礎(chǔ)類安全標(biāo)準(zhǔn)為整個(gè)數(shù)據(jù)共享安全標(biāo)準(zhǔn)體系提供包括概念、角色、模型、框架等基礎(chǔ)概念，明確數(shù)據(jù)共享過(guò)程中各類安全角色及相關(guān)的安全活動(dòng)或功能定義，為其它類別標(biāo)準(zhǔn)的制定奠定基礎(chǔ)。

2)平臺(tái)和技術(shù)類標(biāo)準(zhǔn)

針對(duì)數(shù)據(jù)共享所依托的平臺(tái)及其安全防護(hù)技術(shù)、運(yùn)行維護(hù)技術(shù)，制定平臺(tái)和技術(shù)類標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)共享安全的技術(shù)和機(jī)制(包括安全監(jiān)測(cè)、安全存儲(chǔ)、數(shù)據(jù)溯源、密鑰服務(wù)等)、平臺(tái)建設(shè)安全(包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)等)、安全運(yùn)維(包括風(fēng)險(xiǎn)管理、應(yīng)急服務(wù)以及安全測(cè)評(píng)等)提出要求。

3)數(shù)據(jù)安全類標(biāo)準(zhǔn)

制定數(shù)據(jù)安全類標(biāo)準(zhǔn)主要包括個(gè)人信息、重要數(shù)據(jù)、數(shù)據(jù)跨境安全等安全管理與技術(shù)標(biāo)準(zhǔn)，覆蓋數(shù)據(jù)生命周期的數(shù)據(jù)安全，包括分類分級(jí)、去標(biāo)識(shí)化、數(shù)據(jù)跨境、風(fēng)險(xiǎn)評(píng)估等內(nèi)容，用于健全個(gè)人信息安全標(biāo)準(zhǔn)體系，指導(dǎo)重要數(shù)據(jù)的管理和保護(hù)，規(guī)范指導(dǎo)跨境數(shù)據(jù)共享。

4)服務(wù)安全類標(biāo)準(zhǔn)

針對(duì)數(shù)據(jù)開(kāi)放、交換、交易等應(yīng)用場(chǎng)景，提出共享服務(wù)安全類標(biāo)準(zhǔn)，包括數(shù)據(jù)共享服務(wù)安全要求、實(shí)施指南及評(píng)估方法等;規(guī)范數(shù)據(jù)交換共享過(guò)程的安全性和規(guī)范性，保護(hù)個(gè)人信息安全不受侵犯、企業(yè)利益不受損害等;保證數(shù)據(jù)交易服務(wù)產(chǎn)業(yè)的健康規(guī)范發(fā)展，促進(jìn)政府、企業(yè)、社會(huì)資源的融合運(yùn)用，支撐行業(yè)應(yīng)用和服務(wù)創(chuàng)新，提升經(jīng)濟(jì)社會(huì)運(yùn)行效率等。

(四)研發(fā)和應(yīng)用數(shù)據(jù)安全技術(shù)

數(shù)據(jù)開(kāi)放及共享交換過(guò)程必然會(huì)涉及數(shù)據(jù)的匯聚、數(shù)據(jù)在提供者和使用者之間傳輸，以及數(shù)據(jù)脫離所有人控制使用等情況，數(shù)據(jù)將面臨更大的安全風(fēng)險(xiǎn)，包括個(gè)人信息泄露，數(shù)據(jù)容易遭受攻擊而泄露，數(shù)據(jù)非法過(guò)度采集、分析和濫用等等。國(guó)家安全主管部門或者相關(guān)責(zé)任單位制定并實(shí)施的數(shù)據(jù)安全管控要求，包括立法、立制、立標(biāo)等，最終要做到能夠部署應(yīng)用相應(yīng)的自動(dòng)化安全監(jiān)管技術(shù)手段，才能真正有效落到實(shí)處。

發(fā)展數(shù)據(jù)共享安全保護(hù)技術(shù)的目標(biāo)是保障數(shù)據(jù)共享全程的可監(jiān)測(cè)、可管控和可追溯。目前需突破的關(guān)鍵技術(shù)包括：全方位全天候的數(shù)據(jù)共享安全監(jiān)測(cè)技術(shù)、細(xì)粒度數(shù)據(jù)資源訪問(wèn)控制技術(shù)、共享數(shù)據(jù)脫敏及去標(biāo)識(shí)化技術(shù)、跨域多模式網(wǎng)絡(luò)身份認(rèn)證技術(shù)，以及數(shù)據(jù)標(biāo)記及追蹤溯源技術(shù)等，并在上述技術(shù)中推廣使用國(guó)產(chǎn)密碼算法。

建議國(guó)家在制定產(chǎn)業(yè)發(fā)展政策、設(shè)立科技重大研發(fā)計(jì)劃、產(chǎn)品服務(wù)產(chǎn)業(yè)化項(xiàng)目，或者應(yīng)用示范項(xiàng)目時(shí)，重點(diǎn)支持上述數(shù)據(jù)共享安全保護(hù)技術(shù)的研發(fā)、產(chǎn)業(yè)化以及應(yīng)用示范，充分調(diào)動(dòng)產(chǎn)、學(xué)、研、用各界研發(fā)及應(yīng)用數(shù)據(jù)共享安全保護(hù)技術(shù)的積極性，支持自主知識(shí)產(chǎn)權(quán)的產(chǎn)品研發(fā)，推動(dòng)數(shù)據(jù)共享的安全可控能力提升，快速擴(kuò)大應(yīng)用規(guī)模和效果，提高數(shù)據(jù)安全及個(gè)人隱私保護(hù)的意識(shí)、能力和水平，加強(qiáng)安全監(jiān)管能力和水平，切實(shí)保障國(guó)家及個(gè)人數(shù)據(jù)安全。

四、小結(jié)

按照國(guó)家大數(shù)據(jù)發(fā)展戰(zhàn)略，推動(dòng)數(shù)據(jù)共享是大勢(shì)所趨，有利于充分調(diào)動(dòng)社會(huì)力量參與社會(huì)治理，深化大數(shù)據(jù)創(chuàng)新應(yīng)用，發(fā)揮數(shù)據(jù)價(jià)值，釋放數(shù)字紅利。保障安全是推動(dòng)數(shù)據(jù)共享發(fā)展的前提和基礎(chǔ)，建議國(guó)家重點(diǎn)解決數(shù)據(jù)共享的合法化和合規(guī)路徑問(wèn)題，形成政策法規(guī)、管理制度、標(biāo)準(zhǔn)規(guī)范和技術(shù)保障統(tǒng)籌協(xié)調(diào)的數(shù)據(jù)安全治理體系，為數(shù)據(jù)共享創(chuàng)造良好的生態(tài)環(huán)境，推動(dòng)數(shù)據(jù)共享的發(fā)展。

標(biāo)簽： [db:TAGG]

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。