以法治之笔书写网络与数据安全答卷

网络安全和数据安全是国家安全的新课题和新内容,已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题,网络与数据已经深刻地融入了经济社会生活的各个方面。与此同时,网络与数据安全的威胁正在向经济社会的各个层面渗透。网络安全的核心是保护网络和网络载体上的数据免受未经授权的访问、攻击、损坏、窃取或篡改等。

当前,在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题愈发凸显,给人类和社会带来了前所未有的挑战。数据安全与数据治理,不仅关乎数据作为重要生产要素的开发利用,而且与国家主权、国家安全、社会秩序、公共利益、公民隐私等休戚相关。

我国通过制定《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》《关键信息基础设施安全保护条例》《未成年人网络保护条例》等法律法规,系统构建了以网络安全、数据安全、个人信息保护为核心的法律制度体系,增强了网络和数据安全的防御能力,持续有效应对网络与数据安全风险,为维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益提供坚实的法律保障。

《网络安全法》:体现信息化发展与网络安全并重的安全发展观

我国于2017年6月1日正式实施《中华人民共和国网络安全法》(以下简称《网络安全法》),《网络安全法》是我国在国际网络安全最严峻的时期出台的,显得非常及时且极为重要。《网络安全法》是我国第一部既涉及网络安全,也涉及数据安全和个人信息保护的综合性和基础性网络与数据领域的立法。首先,在网络安全方面,《网络安全法》重点规定了网络运行安全制度和网络安全监测预警与应急处置制度,如国家网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全风险评估和应急工作机制等;其次,在数据保护方面,《网络安全法》重点规定了数据的分类、重要数据的境内存储和出境安全评估制度,以及确立了网络数据的定义等;最后,在个人信息保护方面,《网络安全法》第四章用较大篇幅规定了公民个人信息权保护的基本法律制度,如“合法、正当、必要”原则,以及用户个人的知情权、删除权、更正权等。

《网络安全法》充分体现了信息化发展与网络安全并重的安全发展观,突出的亮点是:确立了网络空间主权原则、明确了重要数据的本地化存储、强化了对个人信息的保护、确定了网络安全人才培养制度、提出了关键信息基础设施的安全保护及其范围,尤其是针对当前电信网络诈骗等新型网络违法犯罪的多发态势,强化了惩治网络诈骗等新型网络违法犯罪活动的规定。

作为我国网络安全领域首部基础性、框架性、综合性法律,《网络安全法》成为网络安全领域相关立法及配套制度建设的立法依据,为构建以网络安全法为核心的网络安全法律体系奠定了基础。目前,基于《网络安全法》的“四梁八柱”基本形成,已出台的重要配套法规和规章包括:《关键信息基础设施安全保护条例》《未成年人网络保护条例》《网络安全审查办法》《网络产品和服务安全审查办法》《网络信息内容生态治理规定》《国家网络安全事件应急预案》《生成式人工智能服务管理暂行办法》《数据出境安全评估办法》《互联网信息服务算法推荐管理规定》《互联网用户账号信息管理规定》《儿童个人信息网络保护规定》《区块链信息服务管理规定》《互联网新闻信息服务管理规定》等。

《数据安全法》:确立数据分类分级管理制度

《中华人民共和国数据安全法》(以下简称《数据安全法》)体现了总体国家安全观的立法目标,聚焦数据安全领域的突出问题,以规范数据处理活动为核心,明确了我国数据安全保护的域外法律效力,确立了数据分类分级管理制度,建立了数据安全风险评估、监测预警、应急处置制度,构建了数据安全审查等基本制度,并明确了相关数据处理者的数据安全保护义务,是我国首部有关数据安全的基础性法律。

《数据安全法》明确了“数据”的定义,即“数据,是指任何以电子或者其他方式对信息的记录”。该定义有两层含义,一是数据是对信息的记录;二是记录的方式可以是电子方式或其他方式(如物理方式)。简言之,“数据”生成需要介质,真正承载数据的介质是传输介质,这是数据对信息记录的主要载体;传输介质可以是物理上看得到或可感知的介质,也可以是物理上看不见的介质,因此记录数据的方式可以是电子或者其他方式。我国《数据安全法》有关“数据”的定义不仅具有科学的内涵,而且简洁清晰。

中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)系统性布局了数据产权制度、流通和交易制度、收益分配制度及安全治理制度等数据基础制度体系,历史性绘制了数据要素发展的长远蓝图,具有里程碑意义。当前,各地积极贯彻落实“数据二十条”的战略部署,探索和制定与数据相关的制度,积极推动公共数据资源开发利用,加快数据要素市场化配置改革,统筹优化数据交易,开展数据要素试点示范,探索数据资产化和要素化路径,取得初步成效。

《数据安全法》对“数据安全”给出的定义是,通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。该定义的核心内容是“两个确保”:一个是确保数据的“有效保护”,另一个是确保数据的“合法利用”。确保数据的“有效保护”不仅仅是技术的措置,更强调的是管理方式;数据的“合法利用”主要指采取合法、正当的方式利用数据,重点强调数据利用过程中的合规管理。以上“两个确保”应具备保障持续安全状态的能力。

在推进数据要素市场化配置改革进程中,应当把统筹发展和安全的理念落实到具体工作中,一定要守住安全底线、明确监管红线,打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境,尤其在公共数据授权运营中要把数据安全治理作为首要责任,使数据资源的持有者、加工使用者和产品经营者承担的社会责任与拥有的权益相匹配,避免出现片面追求利益最大化的现象,从而影响数据安全治理与社会公共利益。

《关键信息基础设施安全保护条例》:同步规划、同步建设、同步使用

2021年9月1日起正式施行的国务院《关键信息基础设施安全保护条例》(以下简称《条例》)是《网络安全法》的一部重要配套法规。《条例》第二条明确规定:“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。上述八大领域的重要网络设施和信息系统是法定的关键信息基础设施,国家在网络安全等级保护制度的基础上进行重点保护。

《条例》专章细化了关键信息基础设施运营者的六大主体责任和义务:一是明确建设关键信息基础设施的“三同步”原则,即“同步规划、同步建设、同步使用”,《条例》中的“安全保护措施”与《网络安全法》中的“安全技术措施”相比较,前者更强调“三同步”包括但不限于“安全技术措施”,更强调管理的重要性;二是建立健全网络安全保护制度和责任制,强调关键信息基础设施的保护是“一把手”工程,对关键信息基础设施安全保护负总责,其主要的工作有三项,领导关键信息基础设施安全保护、重大网络安全事件处置工作、组织研究解决重大网络安全问题;三是设置专门的安全管理机构,对专门机构的负责人和关键岗位人员应当进行安全背景审查,审查时应当邀请公安机关和国家安全机关相关人员参加,重点对负责人和关键岗位人员的政治背景、职业道德、业务能力进行综合审查;四是进行网络安全检测和风险评估,运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门的要求报送情况;五是履行重大网络安全事件报告制度,关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定及时向保护工作部门、公安机关报告;六是确保采购安全可信的网络产品和服务,《条例》第十九条在《网络安全法》第三十五条的基础上特别增加了“运营者应当优先采购安全可信的网络产品和服务”的规定,即“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”。

《个人信息保护法》:严格规范个人信息处理活动

《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”《个人信息保护法》中出现频率最高的词不是“保护”,而是“处理”,在该法的八章内容中,不包括目录部分,“处理”一词共出现217次,“保护”一词出现了67次。从个人信息保护的立法目的看,《个人信息保护法》的实质功能是一部个人信息处理活动的规范法。“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位,只有夯实规范个人信息处理行为这个基础,才能确保达到保护个人信息权益和促进个人信息合理利用之目的。

在数字时代,个人信息从一开始就处在与自然人主体分离的状态,自然人根本无法了解自己的个人信息在何时、何地、被何人、以何种方式收集、存储、使用、加工、传输、提供、公开等。因此,个人信息权益处在一种消极状态,根本无法积极行使。只有规范个人信息处理行为,才能保障个人信息权益。

《个人信息保护法》第四章名称是“个人在个人信息处理活动中的权利”,从该章的名称可以看出,个人行使个人信息权的前提是个人信息的处理者在处理自然人的个人信息。这一章规定的七项权利大多属于个人信息保护的请求权,即个人信息的处理者在对自然人的个人信息的收集、存储、使用、加工、传输、提供、公开等过程中自然人所享有的请求权,这里的请求权大部分是包括排除个人信息的处理者违法侵害的消极请求权,很少有个人控制、支配个人信息的积极请求权。这七项请求权包括:1.知情同意权,收集和使用公民个人信息必须遵循合法、正当、必要原则,目的必须明确并经用户的知情同意。2.决定权,有权限制、拒绝或撤回他人对其个人信息的处理。3.查阅复制权,个人有权向个人信息处理者查阅、复制其个人信息。4.个人信息可携带权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。5.更正补充权,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。6.删除权,在以下五种情形下,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(1)处理目的已实现、无法实现或者为实现处理目的不再必要;(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(3)个人撤回同意;(4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(5)法律、行政法规规定的其他情形。7.规则解释权,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

《反电信网络诈骗法》:强化系统观念 立足源头治理

《中华人民共和国反电信网络诈骗法》(以下简称《反电信网络诈骗法》)是专门为打击治理电信网络诈骗制定的一部专门领域的微型法律,内容涉及电信网络诈骗的定义、法律的域外效力、反电信网络诈骗的基本原则、电信网络诈骗工作机制等,充分体现了党中央要求、人民意愿和实践需要,将为打击遏制电信网络诈骗提供有力有效的法治保障。《反电信网络诈骗法》强化系统观念,立足源头治理、综合治理,侧重前端防范,主要是按照完善预防性法律制度的要求,针对电信网络诈骗发生的信息链、资金链、技术链、人员链等各环节,加强防范性制度措施建设,深入推进行业治理,强化部门监管责任和企业社会责任。反电信网络诈骗的治理施行“3+1”模式,即电信治理、金融治理、互联网治理+综合治理。

《反电信网络诈骗法》特别规定了该法的域外效力,主要有三种情形,一是中国公民在境外实施电信网络诈骗的,适用《反电信网络诈骗法》;二是境外的组织、个人针对中国境内实施电信网络诈骗的,适用《反电信网络诈骗法》;三是境外的组织、个人为他人针对中国境内实施电信网络诈骗提供产品、服务等帮助的,适用《反电信网络诈骗法》。

针对缅北涉我电信网络诈骗犯罪严峻形势,公安部部署云南等地公安机关深入推进边境警务执法合作,持续开展多轮打击行动,坚决铲除诈骗窝点,依法缉捕涉诈人员。在缅甸各方的大力配合下,2023年共有4.1万名电信网络诈骗犯罪嫌疑人移交我方,一大批境外诈骗窝点被成功铲除。2023年,工信部扎实推进电信和互联网业务治理,落实企业反诈责任,先后组织开展5批次执法检查,涵盖全国22家电信、互联网企业。人民银行常态化推进“资金链”治理,形成部门联动、行业联防、系统联网治理体系,强化行业监管,对相关机构进行专项执法检查,压实机构主体责任。

当前,境内电信网络诈骗犯罪形势依然严峻复杂,境内境外、网上网下、诈骗赌博等犯罪相互交织,诈骗手段迭代翻新,迷惑性、隐蔽性、针对性更强。针对上述新情况、新特点,相关部门应当积极开展案例警示教育和识诈防诈知识普及,切实提高广大人民群众的识诈防诈意识。同时,每个公民不仅要做好自身防范,还要加强对家庭成员、亲朋好友的教育提醒,共同营造“全民防诈、全民反诈”的社会环境。

(本版撰稿:王春晖,浙江大学网络空间安全学院双聘教授、博导,中国科协决策咨询首席专家、工信部信息通信经济专家委员会委员)

(编辑:户静凝)