安全視角下的大數據治理與合規應對

大數據時代，數據不僅成為重要的商業資源和生產要素，更是國家基礎性戰略資源。

與此同時，新技術和新應用的迭代更新也不斷催生出新風險，數據安全風險日益升級，成為建設產業健康生態、保障社會公共安全和國家安全的制約因素。大數據安全已然成為超越個體，關涉國家安全的核心環節。本文將從安全視角出發，剖析大數據治理的安全面向，介紹國內外大數據治理態勢，同時分析當前我國互聯網企業大數據合規所面臨的挑戰，為企業合規提供法律、管理和技術層面的綜合建議。

一、大數據治理的安全面向

從工業社會到信息社會，社會生產力、生產關系發生了重大變遷。其中一個重要特點在于，網絡成為重要的生產工具，數據成為重要的生產資料。傳統的信息安全理論重點關注數據作為資料的保密性、完整性和可用性（即“三性”）等靜態安全。其受到的主要威脅在于數據泄露、篡改、滅失所導致的“三性”破壞。隨著信息化和信息技術的進一步發展，信息社會從小數據時代進入到更高級的形態大數據時代。在此階段，數據質量和價值通過共享、交易等流通方式價值得到更大程度的實現和提升，數據動態利用逐漸走向常態化、多元化，個人信息的權屬問題和重要數據的識別問題成為這一階段的主要爭議，引發了從個人信息保護到企業數據保護、不正當競爭、著作權、網絡（空間）安全等一系列法律問題。2018年，美國Facebook數據事件扭轉了大眾對大數據風險的傳統認知，大數據風險的話題不再僅是個人和企業層面的保護問題，更是深入涉及政治權力的攫取，直接影響社會穩定和國家政治安全。

總的來說，數據從靜態安全到動態利用安全的轉變使得數據安全不再只是確保數據本身的保密性、完整性和可用性，更承載著個人、企業、國家等多方主體的利益訴求，關涉個人權益保障、企業知識產權保護、市場秩序維持、產業健康生態建立、社會公共安全乃至國家安全維護等諸多數據治理問題。

二、安全視野下的大數據治理態勢

近年來，國際社會進入了大數據安全立法的快速發展期，國內層面，我國也正加緊推進和完善相應的制度建設，加強對數據生態的監管和治理。

（一）國際態勢：規則體系日趨復雜

個人數據保護領域，20世紀70年代始，以歐美為代表的西方發達國家就已經開始個人數據保護的立法實踐。目前，全球已有100多個國家頒布了個人數據保護或隱私法，40多個國家已出臺了相應的草案。近年來，隨著信息技術的發展，全球領域又掀起了個人數據保護立法改革浪潮。2018年，以歐盟正式施行的《通用數據保護條例》（General Data Protection Regulation，簡稱“GDPR”）和美國加州頒布的突破性立法《加州消費者隱私法》為代表，全球個人數據保護整體水平日益提升，監管力度日趨增強。

數據本地化和跨境傳輸領域，當前無論是基于執法便利還是基于保障國家安全的考量，數據本地化和跨境傳輸已經成為全球數據監管的一大重點。除信息化水平較低的非洲外，絕大多數國家均已實施了不同程度的數據本地化政策。具體來看，歐盟通過GDPR及隱私盾協議等建立了以個人數據保護為基礎的數據跨境傳輸體系。根據GDPR的規定，一般情形下，個人數據僅能向經歐盟委員會認定為“為個人數據提供充分保護”的第三國傳輸。美國方面，對外，美國堅決反對數據本地化，主張數據在全球市場的自由流動。對內，美國也針對部分數據實施本地化要求。2015年，美國國防部規定所有為該部門服務的云計算服務提供商須在境內儲存數據。2016年，美國國家稅務局發布規定要求稅務信息系統應當位于美國境內。

執法數據跨境調取領域，犯罪數據全球化存儲趨勢導致執法部門跨境獲取數據的需求日益增加。執法數據的跨境調取直接關系一國的數據主權、司法主權，成為各國制衡與博弈的新焦點。2018年3月，美國總統特朗普簽署了《合法使用境外數據明確法》（Clarify Lawful Overseas Use of Data Act，又稱“CLOUD法”）。該法適用長臂管轄原則，明確美國執法機構有權直接調取美國境外數據。在美國現行的司法協助程序之外，該法提出了“執行協議”模式，允許與美國簽訂協議的國家直接向美國境內的企業調取數據。2018年4月，為應對CLOUD法對本區域人權保障以及司法主權等帶來的沖擊，歐盟委員會表示擬制定新法，以便執法及司法當局獲取電子證據。與CLOUD法類似，歐盟將不以數據存儲位置作為管轄權的決定因素，只要滿足相關條件，歐盟成員國的執法或司法當局可直接要求在歐盟境內的服務提供商提交電子證據。

整體來看，各國立法規范逐步增多，監管效力不斷增強。各國的立法目標不僅在于個體權益的保障，更是關涉國家主權、國家利益在國際空間的博弈和角逐。為爭奪數據話語權，擴張本國法律的適用范圍，積極推行符合本國利益訴求的國際社會數據規則體系成為當前國際的立法趨勢。

（二）國內態勢：管理體系逐步完善

目前，我國大數據安全領域頂層制度設計已經基本完成，配套制度正在不斷推進，相關執法實踐也逐步走向常態化，訴訟案例逐漸豐富。整體來看，我國的大數據安全管理體系正在逐步完善。

立法層面，近年來，我國不斷通過修改現行法律或頒布新規定等舉措加強對網絡安全生態的治理，內容覆蓋個人信息保護、數據跨境與本地傳輸等領域。個人信息保護方面，自2003年國務院信息化辦公室部署個人信息保護法立法研究工作，到2018年十三屆全國人大常委會將《個人信息保護法》正式列入立法規劃，我國對于個人信息保護立法研究已經歷經了15年。在這期間，我國《全國人大常委會關于加強網絡信息保護的決定》《消費者權益保護法》《刑法》等法律法規中均對個人信息保護做出了規定。2017年，個人信息保護列入了《民法總則》《網絡安全法》。整體來看，我國個人信息保護立法層級逐步提升，體系逐漸完善，保護力度逐漸向國際看齊。數據本地化與跨境傳輸方面，我國《網絡安全法》正式從立法層面確立了關鍵信息基礎設施中的個人數據和重要數據的本地化存儲和跨境傳輸原則，并正在推動《個人信息和重要數據出境安全評估辦法》《信息安全技術數據出境安全評估指南》等諸多配套規范以提高該規定的可操作性。

執法層面，網絡安全法實施后，相關執法全面鋪開，處罰案例相繼涌現。除常規性執法外，主管部門還開展了多項專項行動和執法檢查。2017年底全國人大常委會開展對網絡安全法及《全國人民代表大會常務委員會關于加強網絡信息保護的決定》的“一法一決定”執法檢查；2018年公安部部署了打擊整治網絡違法犯罪“凈網2018”專項行動；司法層面，民事訴訟方面，我國先后出現了朱燁訴百度隱私權侵權案、周盛春訴阿里巴巴案、任甲玉訴百度案等。刑事訴訟方面，《刑法修正案（九）》施行以來，各級公檢法機關依據修改后的刑法規定，嚴肅懲處侵犯公民個人信息犯罪，案件數量顯著增長。

三、安全視野下的大數據合規挑戰

無論是國內還是國際領域，大數據安全的監管態勢均呈現出不斷增強的趨勢。在此背景下，大數據安全成為企業合規的重要內容。

（一）新技術沖擊傳統合規體系

當下，云計算、物聯網、移動互聯網等新技術新應用使得數據收集變得無處不在。通過數據分析和數據挖掘等信息技術，非個人數據的聚合可形成具有識別性的數據，從碎片化的、不具有敏感性的數據中也可以分析出敏感的信息，海量數據的聚合甚至可以分析出關涉國家安全的信息。這一系列的現象導致個人數據與非個人數據、敏感數據與非敏感數據、國家秘密與非國家秘密等邊界逐漸模糊，合規邊界也隨之變得難以界定。

與傳統技術采用的集中式存儲不同，云計算、移動互聯網等采用的分布式存儲使得傳統的網絡安全邊界變得模糊，傳統網絡環境下的統一的、集中的安全管理模式已經不能適應新環境下的數據安全需求。此外，大數據技術發展催生出新型高級的網絡攻擊手段，例如針對大數據平臺的高級持續性威脅（APT）攻擊和大規模分布式拒絕服務（DDoS）攻擊時有發生，導致傳統檢測、防御技術無法有效抵御外界攻擊。整體來看，新技術新應用一方面催生著新威脅形態，為數據合規帶來新風險；另一方面導致傳統數據合規策略的有效性降低甚至失效。

（二）全球化監管帶來合規難題

國內層面，目前雖然我國網絡安全方面的頂層制度設計已經基本完成，網絡安全法的頒布也在很大程度上填補了立法空缺，但在整個網絡安全領域我國仍存在著立法不足的情況，例如個人信息保護。在具體實施方面，作為網絡安全基本大法的網絡安全法配套制度尚不健全，可操作性仍有待加強。此外，作為新實施的法律，網絡安全法的執法案例尚不充足，執法尺度仍需進一步探索和統一。整體來看，尚不完善的規則設計和執行機制難以為企業數據合規提供有效指引。

國際層面，通觀國際立法趨勢，不難發現數據已成為國際空間競相爭奪的戰略性資源，美歐等諸多國家和地區已經紛紛出臺舉措搶占國際空間數據規則的制定權，建立以本國或本區域利益為中心的數據規則體系。隨著國際博弈的加劇，國際法律沖突也逐漸走向常態化。網絡和數據的跨國界性往往使得企業需要應對不同規則體系的合規，大大增加了企業合規的復雜性。在國際法律沖突的情形下，企業合規將陷入兩難境地。例如，歐盟GDPR、美國CLOUD法與我國網絡安全法第37條的沖突可能會導致企業在數據出境方面面臨巨大的合規困境。

四、安全視角下的大數據合規應對

面對大數據安全合規的諸多挑戰，企業應當從法律、管理、技術3個角度建立起一套全面的，以法律為依據、以管理為核心、以技術為支撐的數據安全合規體系。

（一）法律層面：加強國內外立法研判

目前，我國正處于數據安全立法和實踐的快速發展期，同時也是探索期。在此階段，諸多數據安全相關法律以及配套制度陸續制定或出臺。為及時有效應對，企業應當持續跟進相關立法動態。同時關注、研究相關的執法案例，加強與行業部門、監管部門的溝通與協作，以準確把握立法要旨，掌握合規要點。

此外，隨著數據在全球范圍內的自由流動，對于數據的監管突破原有的屬地管轄已成國際立法趨勢。數據保護已不再是一個單一的國內立法問題。對于諸多跨國企業或者有意于提供國際數據服務的企業而言，數據合規工作不僅需要著眼于本國立法，還需以全球化的視野關注國際立法動態和趨勢，提前做好立法研判和業務布局。

（二）管理層面：完善數據安全內控機制

完善的內控機制是數據安全合規的重要環節。企業應當建立完善的、標準化的、覆蓋數據全生命周期的數據安全管理機制。

首先，重視數據本身的安全。數據安全不僅包括數據的靜態安全，還包括數據的動態安全。因此，企業應當建立起對數據全生命周期使用情況的監控、審計、評估機制。根據數據的類型、重要性、敏感度、面臨的風險程度等因素的不同，進行數據分級分類，以采取適宜的安全保障措施；建立起完善的安全事件應急響應機制來及時有效地應對數據安全事件。

其次，重視系統安全和供應鏈安全。數據安全不僅包括數據本體的安全，系統和供應鏈的安全也將直接影響到位于該系統中的數據安全。企業在系統設計之初，或者采購過程中就應當將數據安全因素考慮在內。

此外，重視人在數據安全管理中的重要性。無論是近期發生的騰訊云數據丟失事件和華住集團數據泄露事件，還是之前發生的京東內部數據泄露事件，不難看出，諸多數據安全事件的發生是人為因素導致。員工的合規意識是決定企業合規成敗的關鍵，自上而下，以人為本，數據安全管理上，人是最大的風險，也是最好的尺度。因此，在數據安全管理機制的建設中，企業應當強化權限管理、明確數據安全管理的角色和責任、加強人員數據安全知識的培訓等，建立起完善的數據安全組織機制和人員管理機制。

（三）技術層面：提升數據安全防護能力

面對快速更新迭代的新技術，傳統的數據安全防護措施已經暴露出不足。為有效應對，企業應當加強對前沿數據安全防護技術的研發。通過加強防病毒、防攻擊、防泄露、數據加密、脫敏、漏洞發現和修補，提升網絡安全態勢感知能力、加強網絡系統的抗災、減災和恢復能力等一系列的技術手段，建立起一套有效的從平臺到數據，從運行安全到數據安全的技術防護體系。

（原載于《保密科學技術》雜志2018年10月刊）