浙江大学网络空间安全学院百人计划研究员、博导周亚金向《IT时报》记者表示,《数安法》界定了数据处理过程中包括收集、存储、使用、加工、传输、提供、公开等方面参与者的责任和义务,明确每个过程中,数据运营者该为数据泄露以及带来的安全风险负责。
企业网络安全专家联盟秘书长张威也认为,普通用户本身不应该承担过多安全责任,国家转换管理思路,重点管控提供服务的平台。
那么,《数安法》还会给用户和互联网公司带来怎样的变化?
01
多款输入法被下架
6月11日,当《数安法》出炉的消息传出时,科大讯飞股价闪崩,盘中一度大挫9.58%,逼近跌停。当日科大讯飞收跌6.01%。
同一天,讯飞、QQ、搜狗等输入法在苹果、安卓应用商店被下架或无法下载。截至发稿,记者手机中的华为应用商店仍无法下载讯飞、搜狗输入法。
对此,科大讯飞近日在投资者互动平台表示,网信办正对有关App进行统一安全认证与整改。
据市场监管总局官网解释,App安全认证是为了规范App收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护。
华安证券研报认为,这一事件侧面反映出国家对数据安全的重视,“强监管有望规范行业的信息采集行为,在合规前提下更好利用数据”。
这一次,《数安法》对数据给出明确定义,指的是任何以电子或者其他方式对信息的记录。可见,个人信息属于数据的一种。
值得一提的是,中国社会科学院金融研究所法与金融研究室副主任尹振涛认为,《数安法》并不是一部专门针对用户个人隐私的法律,与个人隐私最相关的法律是仍未出炉的《个人信息保护法》。上海市联合律师事务所互联网与信息技术业务部主任苏晓琳律师透露,目前《个人信息保护法》于5月28日完成征求意见程序,有望今年年内施行。
图源:全国人大官网
此前,《网络安全法》(以下简称《网安法》)对个人隐私保护已有较为明确的规范。苏晓琳认为,《网安法》主要为保障网络安全,维护各主体网络空间权益而制定,将有效促进经济社会信息化健康发展,而《数安法》则为规范数据处理活动,保障数据安全,维护各主体数据相关权益而制定,将促进数据开发利用。这是二者本质的区别。
02
新法执行需配套行政法规
《数安法》共有七个章节,其中企业运用数据时保护数据安全规范与义务主要集中在第四章。而第六章违法处理数据的处罚条例,均与第四章相关。
图源:新华社
《IT时报》记者发现,第六章相关处罚覆盖第四章所有内容,除了第二十八条:
“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。”
在苏晓琳看来,第二十八条就开展数据处理活动以及研究开发数据新技术等数据处理及相关行为,从价值导向高度提出对数据安全保护义务的要求,为维护国家层面的价值目标、社会层面的价值取向、公民个人层面的价值准则。
“这样的价值导向,与其他有相应罚则的强制性数据安全保护义务相结合,对数据安全形成完整的系统性保护”。
但由于《数安法》并未对公德与伦理做出具体定义,周亚金担心,每个人对道德、伦理的解读不同,没有清晰的条文,会让企业无法判断自己是否踩线。
一位采访对象告诉《IT时报》记者,《数安法》更像是对数据安全保护的大框架,还需要实质的细则填充,确保其发挥实际监督企业意义。
苏晓琳表示,《数安法》明确规定国家、地方、公安、网安、国安各职能部门、各行业领域主管单位的监管职责,确实会有相应配套的行政法规、部门规章会按照数据安全法的要求和目标,有针对性地规范和实施数据安全保护。“但这不意味着数据安全法只是一部空泛的、亟须细则填充的法律。”她说。
03
数据违规出境最高罚1000万
监听你的不止手机端App。
今年3月,特斯拉陷入多重风波。马斯克在回应网友时承认,特斯拉车内的摄像头可以监测车主,而大众更大的担忧来自特斯拉数据存储于海外服务器,可能导致国家安全信息、地理信息等关键敏感数据泄露。
全国人大常委会法制工作委员会副主任刘俊臣曾发文称,数据是国家基础型战略资源,“没有数据安全就没有国家安全”。
5月25日,特斯拉宣布,已在中国建立数据中心,以实现数据存储本地化。同时,所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。在业内看来,一切为了合规。
一个月前,国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》,对重要数据进行了定义,包括高于国家公开发布地图精度的测绘数据、汽车充电网的运行数据、道路上车辆类型、流量等。该规定指出,重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
如今,《数安法》有了更明确的监管要求:关键信息基础设施的运营者在境内运营中收集和产生的重要数据出境安全管理,适用《网安法》规定;其他数据处理者在境内运营中收集和产生的重要数据出境安全管理办法,由国家网信部门会同国务院有关部门制定。
记者了解到,关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。具体行业和领域可能包括金融、交通、水利、卫生医疗等。
有业内人士认为,特斯拉可以看作是关键信息基础设施的运营者。国家对数据出境日益谨慎的态度,令近期外国汽车品牌、新能源汽车品牌纷纷在国内投建数据中心。
值得一提的是,若企业违反《数安法》相关规定,运营者将面临顶格1000万元、相关个人最高100万元的罚款。相比《数安法》第一版、第二版草案中,运营者顶格100万元、500万元和相关个人顶格10万元、50万元的罚款金额,可见处罚力度在不断加重,违法成本也在加大。
苏晓琳认为,就目前对于数据安全方面的执法现状看,相关监管部门并不存在立法严格却在执法上放宽要求的可能。
她表示,数据安全涉及国家安全,是国计民生的重要安全事项,相关企业应当予以充分的重视,务必根据《数据安全法》及相关规定,积极履行相关法律义务,尤其是特殊的数据处理主体,还有更严格的特别义务规定。例如重要数据处理者还要定期开展风险评估,并向有关主管部门主动报送风险评估报告。
张威则表示,如今监管要求数据脱敏加密,但如何在加密数据中检测敏感信息仍是技术上的难点。而一旦发现敏感数据,在数据流通过程中要如何阻断,仍是需要思考的问题。
04
大数据公司持“雷”前行
“我觉得这对公司既是约束也是保护。”国内首家上市的云计算公司Ucloud政府及运营商事业部架构总监吕雁飞认为。
《数安法》指出,国家要建立数据分类分级保护制度,同时要求各地区、各部门、各行业制定各自范围里的“重要数据目录”,并对国家核心数据实行更加严格的管理制度。此外,国家将建立数据安全应急处置机制、国家数据安全审查制度,同时建立数据安全的风险评估、报告、信息共享、监测预警机制。
对行业数据管理实施更严苛的制度,在尹振涛看来,会给企业增加很多合规成本。
张威举了一个例子。为了保护用户数据安全,快递小哥、外卖小哥往往通过虚拟号码联系用户。如果对40万到50万用工规模的公司进行系统改造,不仅要重塑数据使用流程,企业还要投入1-2亿元成本。
另一方面,尽管目前行业中已有企业采用联邦学习技术,让数据在移动终端上实现本地计算,然后通过云交换计算结果,从而确保数据不脱离终端,但目前这项技术主要运用于金融行业。“这个技术还不成熟,要进行大规模应用,估计最快还要5年时间。”周亚金预计。
更大的难点在于数据确权。数据的价值只有在流通中才能体现,这也是互联网企业赖以成长的重要资源。然而数字时代,数据不仅涉及个人隐私,还具有财产属性,因此企业面临共享和隐私保护的两难。
参照2018年欧盟发布的《通用数据保护条例》(GDPR),其采用个人数据和非个人数据二元架构,个人数据主体权利归属于自然人,包括知情同意权、修改权、删除权、拒绝和限制处理权、遗忘权、可携权等权利。“对于个人数据”以外的“非个人数据”,企业享有“数据生产者权”,其权利并非绝对。
然而,也正是因为GDPR对数据流通设置了较高门槛,导致欧盟国家5G、AI、大数据等技术发展相对缓慢。
“各国法律似乎还没有准确界定数据财产权益的归属。”银保监会主席郭树清去年底曾对外表示。在周亚金看来,《数安法》出炉,坐立难安的应是大数据企业。手上的数据很有可能成为一颗“雷”。不过,《数安法》同样催热了一块新市场。根据《中国网络安全生产业白皮书(2020年)》,当年网络安全产业规模约为1702亿元。未来五年复合增长率在15%左右。
在吕雁飞看来,《数安法》积极意义在于对数据保护有了明确要求,能让企业敢于投入,进一步激发了公司利用科技力量推动行业发展的热情。
还有两个多月,《数安法》将正式落地,中国的数据资源能在安全合规的护卫下,真正呈现出它的价值吗?
作者/IT时报记者 孙鹏飞
编辑/郝俊慧 挨踢妹
排版/黄建