在数字经济时代,各国对数据安全问题都高度重视。面对日益严峻的数据安全威胁,2020年不少国家通过颁布政策法规、加强监管执法、提升安全治理技术能力等举措,全面强化数据安全保护。赛迪研究院网络安全研究所在全面梳理美国、欧盟、日本、韩国、澳大利亚等国家和地区数据安全保护最新进展的基础上,对各国的数据安全保护举措和特点进行了深入分析,并针对我国数据安全治理现状与问题,提出四点启示。
一、主要国家和地区数据安全保护举措
持续优化数据安全政策环境。一是加强数据安全顶层设计。欧盟发布《欧洲数据保护监管局战略计划(2020-2024)》,旨在从前瞻性、行动性和协调性三个方面继续加强数据安全保护,以保障个人隐私权。美国发布《联邦数据战略与2020年行动计划》,确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则。二是强化数据及个人信息保护方面的相关立法。阿联酋和新西兰分别出台《数据保护法》和《2020年隐私法》,加强了对数据安全及个人隐私保护的规制建设;日本和新加坡分别完成了对本国《个人信息(数据)保护法》的修订,明确了个人数据权利及外部使用限制;加拿大出台的《数字宪章实施法案2020》,提出了保护私营部门个人信息的现代化框架。三是陆续出台数据安全标准指南。欧盟发布《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施》,为数据跨境流动中的数据保护问题提供了进一步指导;西班牙数据保护局发布《默认数据保护指南》,阐释了默认数据保护原则的策略、实施措施、记录和审计要求等,为企业实践数据保护原则提供具体指导。
建立健全数据安全保护机构。通过完善数据安全监管执法机构设置,提升执法效率,加强数据安全保护治理。美国商务部成立了提供联邦数据服务的咨询委员会,以加强对联邦数据隐私的保护;德国成立国家网络安全机构,负责发起网络安全创新项目、研究打击网络威胁,以加强德国的“数据主权”;巴西总统签署法令批准建立国家个人数据保护局,旨在制定相关规则,推进企业开展数据安全风险评估、调查违法违规行为,并促进数据保护的国际合作;韩国成立个人信息保护委员会,主要职能是负责个人信息保护与监管执法工作。
推动企业强化数据安全保护技术手段。为进一步保障数据安全,各国纷纷采取措施推动企业积极响应当地政策,从数据源头、数据通道、数据运营管理等方面入手,运用差分隐私、区块链等技术手段强化数据安全保护,搭建具有鲜明数据安全保护特性的技术架构。例如,Facebook通过开源差分隐私库加强对人工智能训练样本隐私性的保护;苹果公司通过模糊定位技术限制第三方App获取用户精确的地理位置信息;亚马逊推出阻止用户敏感信息泄露的服务Macie,以保护企业云端敏感数据;新西兰企业通过区块链技术实现数据加密传输和追踪溯源,保护数据安全。
二、主要国家和地区数据安全保护特点分析
数据安全成为国家安全的重要组成部分。数据现已成为与国家安全和国际竞争力紧密关联的一大要素,各国对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。美国布鲁金斯学会发布的《超越华为和抖音—解开美国担忧中国科技企业和数字安全之谜》指出,数据是电信系统的命脉,应从国家安全角度全面加强数据安全保护。英国发布《国家数据战略》,通过搭建国家层面的数据安全治理方案,为建设促进增长和可信赖的数据机制提供指导方向,保障国家安全。欧盟委员会发布的《欧洲数据战略》及其配套法案《数据治理法案》提案,力求在欧盟层面建立统一的数据治理框架,保障数据安全。下一步,各国还将从国家层面进一步完善数据安全战略规划、法律法规及标准规范,探索数据安全、国家安全与数字经济发展之间的平衡之道。
对大型互联网企业数据垄断的规制力度持续加大。与2019年相比,2020年各国对大型互联网企业数据安全违法违规行为的惩治力度不断增强,美国、欧洲等国家和地区均加大了对其单笔处罚的金额。例如,Facebook违反用户隐私保护策略,美国对其处以50亿美元的巨额罚款;爱尔兰就数据非法跨境传输问题,对Facebook处以高达28亿美元的罚款;法国、加拿大等国家也纷纷对Twitter、谷歌等企业开出高额罚单。随着大型互联网平台企业的日益壮大,其数据垄断问题愈加严重,由此带来的数字权利滥用问题或将威胁到国家安全。因此,各国将进一步通过高额惩罚等手段对其进行约束,以防止其滥用数据优势侵害到消费者隐私或进行非法数据贩卖。
生物识别数据安全专项立法不断推进。随着新技术新应用的快速发展,以人脸识别为代表的人工智能技术得到了大规模应用。然而,生物识别数据披露的个人特征精确,且采集门槛较低、极易获取,一旦遭到泄露、篡改或非法共享,极易带来“身份盗窃”风险,且正在成为攻击者的主要目标。对此,各国政府2020年纷纷出台相关政策,开始规范和限制生物识别数据的使用。美国提出联邦层面的《国家生物识别信息隐私法案》,为企业生物识别数据使用树立规范;各州也纷纷出台相应的人脸识别法案,对公共部门使用生物识别技术进行限制。此外,欧盟通过发布《人工智能战略》等文件,对企业和政府在公共场所使用摄像头收集生物识别数据并识别个人身份的行为加以规范。下一步,各国将进一步从顶层设计和专项法律规制层面,加大对人脸、声音、指纹等生物识别数据的专项保护,在大力发展新技术新应用的同时,严加防范其带来的数据安全风险。
健康医疗数据使用安全愈加得到重视。一方面,各国积极加强顶层设计和标准规范制定。欧盟委员会发布的多个战略文件均提议,建设“欧洲健康数据空间”,以完善欧盟健康医疗数据交换、访问环境,保障个人医疗数据控制权和隐私权。韩国发布医疗领域的首份指南,为信息处理者提供了个人医疗信息安全使用的标准、方法和程序。另一方面,各国也在不断推进医疗数据使用安全的技术防护手段建设。美国医疗保险公司Anthem利用区块链技术赋予患者数据控制权,患者可借此实现数据安全访问和共享;英国医疗研究团队OpenSAFELY采用电子病历隐私保障技术严控数据流向,实现了对数据使用全过程的监控和保护。2020年新冠疫情的暴发愈加凸显出医疗数据安全保护的重要性。与一般数据相比,医疗数据覆盖面广,既包含了患者个体患病信息,还涉及疾病传播、地区流行病、区域人口健康状况等信息。医疗数据能否安全使用,攸关社会稳定与国家安全。下一步,各国将进一步从政策和技术层面探索保障医疗数据安全使用的方法,以应对面临的严峻挑战。
三、四点启示
完善数据安全保护的法治环境。一是大力推动《数据安全法》和《个人信息保护法》出台。目前,两部法律仍处于草案阶段,建议加快法律的出台与实施,为数据安全和个人信息保护提供基本法律框架。二是完善数据安全保护的配套法规制度。目前,上述两部立法草案还缺乏配套的下位法,部分问题处于模糊地带,需进一步出台与之配套的法律法规,针对具体问题制定相应的解决措施,强化数据安全保护。例如,针对数据确权问题,考虑通过采用数据分类确权思路,厘清数据类型和数据性质,明确主体数据权利边界;针对政务数据安全共享问题,出台相关政策文件,以明确上下游责任边界,促进政务数据安全共享,实现政务数据管理模式由纵向到横向的转型,保障政务数据的可享、可管、可信。三是建立健全数据安全保护标准规范。针对数据开放共享、交易、跨境流动等不同场景,完善相应的标准规范;制定数据安全评测指南,持续加强数据安全标准的宣贯实施。
多措并举加强数据安全监督管理。一是完善数据安全保护监管体系。探索建立分级分类监管体系,构建中央和地方分类监管、分级负责、权责一致的监管格局。二是探索数据安全保护机构设置。借鉴美国、韩国、欧洲等国家和地区的成功做法,针对不同数据活动场景及问题,尝试设置独立的负责机构。例如,设置与国际接轨、专项负责跨境数据安全风险审查与评估的机构。三是加大对数据违法活动的监管执法力度。借鉴美国、欧洲、俄罗斯等国家和地区的成功做法,通过提高罚款额度等手段,倒逼数据控制者加强数据安全保护。
强化企业数据安全能力建设。一是鼓励企业运用技术手段强化数据安全治理。鼓励企业开展区块链、隐私计算等数据安全保障技术的研究,提高技术成果转化率,切实保护用户数据安全。二是建立企业数据安全能力成熟度评估制度。通过明确不同类型的数据安全能力成熟度要求,推动企业建立与数据类型和规模相匹配的数据安保能力,实现业务竞争力与安全的正向挂钩,并组织开展数据安全能力成熟度评估。三是建立企业数据流向监管制度。鼓励企业开发、使用追踪数据使用情况及流向的工具,明晰数据用途,配合国家开展数据资源使用情况追踪调查。
对特殊敏感数据进行分类专项保护。根据数据的不同特征选取不同治理模式,促进治理精细化。一是出台专门的生物识别数据保护法案。目前我国尚未针对生物识别数据开展专项立法,仅在部分法律法规中对其进行了规定。建议考虑借鉴他国经验,加快推进我国生物识别数据保护的特色立法,制定生物识别数据保护的基本原则和框架,限定生物识别技术的适用范围、设定数据采集门槛、采用技术使用的强制备案措施等,防止生物识别技术滥用,保护生物识别数据安全。二是构建以患者为中心的医疗数据安全防护体系,实施医疗数据使用授权管理。通过采用患者对数据使用者授权的方式,赋予外部数据使用权,严格管控医疗数据分析利用流通过程,防止数据泄露,促进医疗数据安全流动。三是规范地理定位技术使用,加强地理位置数据保护。美国华盛顿州的《华盛顿州隐私法案》、弗吉尼亚州的《消费者数据保护法》,以及加利福尼亚州的《加州隐私权法案》,均将精确地理位置数据纳入个人敏感数据范畴。建议我国制定和完善相关标准指南,规范地理位置数据采集技术的使用,以便在移动互联网和车联网的发展中,能够有效平衡地理位置数据的共享利用与个人隐私安全保护。
本文作者:赛迪智库网络安全研究所 王伟洁 周千荷
本文来源:赛迪智库。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/4918.html