随着数据的急剧增长和应用场景的日趋丰富，数据安全问题也日益突出。近年来国际上层出不穷的数据事件，会将各国网络和数据安全的法律发展导向何方？针对数据产业的政策，是否有明显的发展趋势？从平衡数据开放与安全来看，中国可以如何借鉴相关国际经验？在中国目前的个人信息保护制度下，要实现数据产业的发展和创新，都面临哪些问题？从制度上来看，解决之道又在哪里？

　　针对以上问题，励讯集团围绕“数据开放与数据安全”，对公安部第三研究所网络安全法律研究中心主任黄道丽博士进行了访谈。

　　2019年至今，从世界范围来看，有哪些典型的数据安全（数据泄露、滥用）事件？

　　黄道丽：随着信息技术及数据产业的发展，数据资源日益成为人类社会重要的生产要素和国家基础性战略资源。与此同时，随着数据生产和收集的急剧增长以及应用场景的日趋多元，数据安全问题在也日益突出。网络攻击、侵入等外部威胁与安全漏洞、缺陷、人的因素等内部脆弱性叠加共振，任何组织100%数据安全的目标都是不可实现的。这是近年来全球范围内重大数据泄露、滥用事件在影响面、危害性上不断创新高的根本原因。举例来说，2019年7月美国第一资本银行遭黑客入侵，逾1亿用户信息泄露。同月，万豪国际被曝泄露3亿条用户数据被英国监管机构罚款9900万英镑。2019年9月，厄瓜多尔遭遇史上最严重数据泄露，涉及到超过2千万人的数据涉及到超过2千万人的姓名、出生年月、家庭住址、电子邮箱地址，身份证件号码、个人税号、雇佣信息、个人财务信息等被泄露。2020年2月，雅诗兰黛泄露4.4亿用户敏感信息，包括邮件地址和网络数据；同月，政府选举应用中发现严重漏洞，640万以色列选民数据遭泄露。

　　值得注意的是，数据泄露和滥用本质上是不一样的。数据泄露体现为因数据泄露、篡改、灭失所导致的保密性、完整性和可用性（即传统信息安全三性）等静态安全的破坏，而数据滥用更多体现为采集、使用、共享、交易等数据动态利用安全的破坏。

　　这些事件对于各国的网络安全和数据安全法律法规的发展有何影响？

　　黄道丽：重大事件驱动重大立法规律在全球网络安全领域一直存在，这也是信息社会立法回应性特征的一个体现。局限到上述事件来看，一是刺激和加速了各国网络安全和数据安全立法进程。例如，厄瓜多尔数据泄漏事件之后，厄瓜多尔政府向国会紧急提交了一项隐私法草案；美国在一系列的数据泄露事件后，州层面不断推进修改数据泄露通知规则。二是引发了立法者对重点领域的数据利用的关注。2018年美国Facebook数据滥用事件之后，美国、欧盟都出台了系列规定，加强了选举中个人数据的利用监管。

　　这些影响对于中国的网络和数据安全的法律法规的后续发展有何借鉴意义？

　　黄道丽：在个人看来，未来，在《网络安全法》配套制度、《密码法》配套制度、正在起草阶段的《个人信息保护法》和处于征求意见阶段的《数据安全法》等基本法律中，需要进一步完善数据泄露通知制度、数据影响评估制度、监测预警和应急处置制度等，搭建起一套完善的数据安全保障制度体系。我们需要高度重视数据的动态利用安全以及数据安全对国家安全的影响，并建立相应机制。数据安全已成为事关国家安全与经济社会发展的重大问题。

　　2020年7月3日，《数据安全法（草案）》在全国人大网公开并征求公众意见。此次发布的草案体现了总体国家安全观指导下国家数据安全治理的总体思路，通盘考虑国内外两个大局，兼顾安全与发展两个面向，确立了国家数据分级分类、数据安全审查等制度，推出了重要数据保护目录、数据出口管制与反制、执法机构数据跨境调取报告和批准等重要措施，引发了各界的强烈关注，也不乏争议。

　　个人认为，我国以《网络安全法》为代表的现行法中已建立起了部分数据安全制度。在我国数据产业正处于高速发展的当下，数据安全风险、安全保障能力均在不断发展、演变。尚不稳定的国际政治、经济等形势也成为影响数据安全制度设计的重要变量。在缺乏成熟经验与范例，又异常敏感的情况下，《数据安全法》应厘清自身定位，明确自身需要重点解决的问题，重在构建起数据安全治理的四梁八柱，明确预防、控制和消除数据安全风险的制度、措施，确立国家行为的正当性，同时妥善处理好与现行法如《网络安全法》及正在审议中的《出口管制法》等立法的衔接协调。

　　鉴于数据安全问题的复杂情况，草案存在各种问题和争议，如数据主权维护机制、与其他基础性立法的有效衔接、数据要素资源利用与数据安全协同治理的平衡考量、引进来走出去的法治营商环境构建、制度设计的合理性与可操作性、条款完整性和结构平衡性的立法技术问题等，这一方面须得各界人士脚踏实地的研究、调研和论证，为草案多提建设性意见；一方面有待有关部门加速《数据安全法》及其下位配套制度的设计、规划、协调工作，推动数据安全治理“中国方案”不断完善。

　　您如何看待中国目前的数据产业政策体系？

　　黄道丽：当前我国数据产业政策发展迅速。自2015年国务院发布《促进大数据发展行动纲要》以来，大数据相关政策体系建设迅速推进、完备。2020年4月，中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》，更是首次将“数据”与土地、劳动力、资本、技术等传统要素并列为要素之一，提出要加快培育数据要素市场，为数据产业的发展提供了有力的政策支撑。但与此同时，相较于产业的发展速度，数据政策尤其是数据安全政策仍呈现供给不足的情况。尤其是对于5G、人工智能、区块链、云计算等新一代信息技术下的数据政策支撑，存在明显的短板和空白。

　　中国目前的网络和数据安全的法规政策体系是否存在一些与数据产业政策法规间的重大博弈？您认为这些博弈的未来趋势如何？

　　黄道丽：确实存在。以数据出境问题为例，一方面数据跨境的自由流动有利于企业走出去，积极融入全球化进程，也有利于为我国营造一个开放、自由的营商环境；但另一方面，在大数据背景下，数据安全在很多场景下与国家安全密切相关，不加限制的数据跨境自由流动，可能会对国家安全带来威胁。这一块有赖于加强产业和立法的沟通互动，以找到一个最佳平衡点。

　　从国际上来看，各国的网络和数据安全政策有哪些明显的发展趋势？

　　黄道丽：当前各国高度重视数据安全政策体系的构建，主要围绕个人数据保护、数据本地化与跨境传输、执法数据的跨境调取等，并呈现以下趋势：

　　第一：个人数据保护法成为各国争夺数据话语权的重要武器。

　　制定个人数据保护法，不仅是保护公民个人数据权利的需要，更是各国提高数据资源利用率，参与全球化竞争的战略需要。当前，发达国家大多已建立个人数据保护立法体系，并在国际舞台上积极推行符合本国利益诉求的个人数据保护与跨境流动的国际规则。目前，全球已有100多个国家颁布了个人数据保护或隐私法，40多个国家已出台了相应的草案。以2018年欧盟《通用数据保护条例》的实施为标志，全球掀起了数据保护改革浪潮。

　　第二：执法数据的跨境调取成为各国利益博弈的新焦点。

　　犯罪数据全球化存储趋势导致执法部门跨境获取数据的需求日益增加。执法数据的跨境调取直接关系一国的数据主权、司法主权，成为各国制衡与博弈的新焦点。从美欧诸国的立法举措来看，扩张本国法律的适用范围、提升执法行为的域外效力是当前国际的立法趋势。2018年3月，美国总统特朗普签署了《合法使用境外数据明确法》（ClarifyLawfulOverseasUseofDataAct，又称“Cloud法”），旨在解决美国政府如何合法获取境外数据及外国政府如何合法获取美国境内数据问题。

　　2018年4月，为应对CLOUD法对本区域人权保障以及司法主权等带来的冲击，欧盟委员会表示拟制定新法，以便执法及司法当局获取电子证据。与CLOUD法类似，欧盟将不以数据存储位置作为管辖权的决定因素，只要满足相关条件，欧盟成员国的执法或司法当局可直接向在欧盟境内的服务提供商要求提交电子证据，无论数据存储地位于欧盟境内还是境外。2019年10月，英美签署《英美政府间就获取电子数据打击严重犯罪的协定》允许美国和英国的执法机构在获得适当授权的情况下，在没有法律障碍的前提下，直接从高科技公司获取与严重犯罪相关的电子数据，包括恐怖主义、儿童性虐待和网络犯罪。

　　第三：加强监管力度成为各国加强大数据安全的重要举措。

　　单一的私权保障模式难以为个人权利提供充分的保护，毕竟大数据所带来的问题远不止个人私权保障问题，还涉及到公民平等、自由、民主与政治安全等公法领域问题。因此，面对大数据带来的诸多风险，各国立法在加强私权保障之外，加强公权监管的特点也尤为突出。

　　第四：大数据风险传统认知被颠覆，大数据对政权安全的影响生死攸关。

　　美国Facebook事件扭转了对大数据风险的传统认知，大数据对政治安全的影响上升到了生死攸关的层面。大数据风险的话题不再是个人信息的保护问题，更涉及到社会稳定乃至国家政治安全。

　　从平衡数据开放与安全来看，有哪些地方值得中国借鉴？

　　黄道丽：大数据、云计算、物联网、人工智能等新技术新应用，都以海量数据的融合分析为基础。逐步推动数据开放，利用数据要素推动技术创新、优化资源配置是当今全球市场发展的趋势之一。2020年4月，《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据作为一种新型生产要素写入文件，与土地、劳动力、资本和技术并列，强调要加快培育数据要素市场，并再一次强调推进政府数据开放共享。2016年《国家信息化发展战略纲要》明确提出“构建统一规范、互联互通、安全可控”的国家数据开放体系”。安全可控作为国家数据开放体系的三大核心要素之一。个人看来，数据开放制度设计的宗旨以法律法规或政策的方式确认“国家大数据战略”，并为政府数据开放的生命周期提供安全能力和行为规范。我们可以看到，地方层面先行先试，数据开放平台越来越多，上海、浙江都率先出台了数据开放的地方性法规，中国方案一直没有停止探索拓展。

　　从国际通行的平衡数据安全与数据开发利用经验角度来看，中国数据相关立法中可借鉴之处包括：一是明确数据开放机制，包括建立数据分级分类开放规则、数据开放清单制度、数据开放动态评估机制等；二是明确发挥数据开放平台作用，明确平台责任，包括提供数据开放支撑、落实数据获取利用记录、数据安全保障等责任；三是展示数据来源，不仅能激发多元力量参与开发应用，又能为依托政府开放数据产生的新成果赋权。

　　在中国目前的个人信息保护制度下，要实现数据产业的发展和创新，都面临哪些问题？

　　黄道丽：当前我国的个人信息保护法律体系正在不断发展完善中，也取得了不少成果，如《网络安全法》、《消费者权益保护法》等。监管机构也依法开展了不同领域覆盖广泛的执法行动，执法力度空前。但以数据法律权属、数据法律性质为代表的诸多基础性的问题还没有解决。《个人信息保护法》目前还处于人大制定阶段，部分已经确立的规则也未能在安全和产业发展之间找到一个很好的平衡点，使得当前的规范体系还不能为平衡安全与数据产业发展提供有效支撑。比如，无论是《网络安全法》，还是近期通过的《民法典》，都非常强调用户同意，但在很多场景下，用户同意并不能真正的实现。而过分强调用户同意，可能会导致企业合规成本大幅增加，从而阻碍产业的发展，抑或用户同意流于形式，损害个人信息安全。目前面临的问题包括：个人信息在内的数据如何合法获取，加工后的数据权益分配，数据如何合法流转，如何有效实施匿名化、脱敏技术达到立法所认定的效果等。

　　从制度上来看，这些问题的解决之道在哪里？目前是否在政策上有一些趋势？

　　黄道丽：从个人来看，基础性法律问题还是需要解决，如加强数据权利的本质、内涵、外延、客体、分类的研究，为数据权利保护提供底层支撑。针对维护国家核心利益和国家安全需要，明确对个人信息、基因、生物、医疗、地理等类别数据实施重点保护。在充分调研的基础上，加速《个人信息保护法》和《数据安全法》的制定进度，确保基本立法的体系化、基线要求的强制化、行业要求的差异化。建立覆盖数据主权维护、数据权利确认、生命周期保护、供应链条监管、跨境传输审查、境外要素（资本、技术、产品、人员、服务）审查、数据主体监管、数据滥用禁制等数据权利法律制度。

黄道丽，公安部第三研究所副研究员，二级警督，现任公安部第三研究所网络安全法律研究中心主任。从事网络安全政策法律业务实践和交叉学科研究10余年，主持国家科技部、上海市科委、中国工程院、公安部等国家和省部级项目近10项，主编参编《网络安全法适用指南》《互联网内容安全管理》等著作教材10余部，发表论文30余篇，获得党政密码科技进步奖三等奖1次，个人三等功1次；兼任上海市网络安全和信息化专家咨询组专家，浙江省网络治理法律顾问，中国信息安全法律大会专家委员会秘书长，中国法学会网络与信息法学会理事，华东政法大学兼职教授，《信息安全与通信保密》执行编委。