安全視角下的大數(shù)據(jù)治理與合規(guī)應(yīng)對(duì)

大數(shù)據(jù)時(shí)代，數(shù)據(jù)不僅成為重要的商業(yè)資源和生產(chǎn)要素，更是國(guó)家基礎(chǔ)性戰(zhàn)略資源。

與此同時(shí)，新技術(shù)和新應(yīng)用的迭代更新也不斷催生出新風(fēng)險(xiǎn)，數(shù)據(jù)安全風(fēng)險(xiǎn)日益升級(jí)，成為建設(shè)產(chǎn)業(yè)健康生態(tài)、保障社會(huì)公共安全和國(guó)家安全的制約因素。大數(shù)據(jù)安全已然成為超越個(gè)體，關(guān)涉國(guó)家安全的核心環(huán)節(jié)。本文將從安全視角出發(fā)，剖析大數(shù)據(jù)治理的安全面向，介紹國(guó)內(nèi)外大數(shù)據(jù)治理態(tài)勢(shì)，同時(shí)分析當(dāng)前我國(guó)互聯(lián)網(wǎng)企業(yè)大數(shù)據(jù)合規(guī)所面臨的挑戰(zhàn)，為企業(yè)合規(guī)提供法律、管理和技術(shù)層面的綜合建議。

一、大數(shù)據(jù)治理的安全面向

從工業(yè)社會(huì)到信息社會(huì)，社會(huì)生產(chǎn)力、生產(chǎn)關(guān)系發(fā)生了重大變遷。其中一個(gè)重要特點(diǎn)在于，網(wǎng)絡(luò)成為重要的生產(chǎn)工具，數(shù)據(jù)成為重要的生產(chǎn)資料。傳統(tǒng)的信息安全理論重點(diǎn)關(guān)注數(shù)據(jù)作為資料的保密性、完整性和可用性（即“三性”）等靜態(tài)安全。其受到的主要威脅在于數(shù)據(jù)泄露、篡改、滅失所導(dǎo)致的“三性”破壞。隨著信息化和信息技術(shù)的進(jìn)一步發(fā)展，信息社會(huì)從小數(shù)據(jù)時(shí)代進(jìn)入到更高級(jí)的形態(tài)大數(shù)據(jù)時(shí)代。在此階段，數(shù)據(jù)質(zhì)量和價(jià)值通過(guò)共享、交易等流通方式價(jià)值得到更大程度的實(shí)現(xiàn)和提升，數(shù)據(jù)動(dòng)態(tài)利用逐漸走向常態(tài)化、多元化，個(gè)人信息的權(quán)屬問(wèn)題和重要數(shù)據(jù)的識(shí)別問(wèn)題成為這一階段的主要爭(zhēng)議，引發(fā)了從個(gè)人信息保護(hù)到企業(yè)數(shù)據(jù)保護(hù)、不正當(dāng)競(jìng)爭(zhēng)、著作權(quán)、網(wǎng)絡(luò)（空間）安全等一系列法律問(wèn)題。2018年，美國(guó)Facebook數(shù)據(jù)事件扭轉(zhuǎn)了大眾對(duì)大數(shù)據(jù)風(fēng)險(xiǎn)的傳統(tǒng)認(rèn)知，大數(shù)據(jù)風(fēng)險(xiǎn)的話題不再僅是個(gè)人和企業(yè)層面的保護(hù)問(wèn)題，更是深入涉及政治權(quán)力的攫取，直接影響社會(huì)穩(wěn)定和國(guó)家政治安全。

總的來(lái)說(shuō)，數(shù)據(jù)從靜態(tài)安全到動(dòng)態(tài)利用安全的轉(zhuǎn)變使得數(shù)據(jù)安全不再只是確保數(shù)據(jù)本身的保密性、完整性和可用性，更承載著個(gè)人、企業(yè)、國(guó)家等多方主體的利益訴求，關(guān)涉?zhèn)�人權(quán)益保障、企業(yè)知識(shí)產(chǎn)權(quán)保護(hù)、市場(chǎng)秩序維持、產(chǎn)業(yè)健康生態(tài)建立、社會(huì)公共安全乃至國(guó)家安全維護(hù)等諸多數(shù)據(jù)治理問(wèn)題。

二、安全視野下的大數(shù)據(jù)治理態(tài)勢(shì)

近年來(lái)，國(guó)際社會(huì)進(jìn)入了大數(shù)據(jù)安全立法的快速發(fā)展期，國(guó)內(nèi)層面，我國(guó)也正加緊推進(jìn)和完善相應(yīng)的制度建設(shè)，加強(qiáng)對(duì)數(shù)據(jù)生態(tài)的監(jiān)管和治理。

（一）國(guó)際態(tài)勢(shì)：規(guī)則體系日趨復(fù)雜

個(gè)人數(shù)據(jù)保護(hù)領(lǐng)域，20世紀(jì)70年代始，以歐美為代表的西方發(fā)達(dá)國(guó)家就已經(jīng)開(kāi)始個(gè)人數(shù)據(jù)保護(hù)的立法實(shí)踐。目前，全球已有100多個(gè)國(guó)家頒布了個(gè)人數(shù)據(jù)保護(hù)或隱私法，40多個(gè)國(guó)家已出臺(tái)了相應(yīng)的草案。近年來(lái)，隨著信息技術(shù)的發(fā)展，全球領(lǐng)域又掀起了個(gè)人數(shù)據(jù)保護(hù)立法改革浪潮。2018年，以歐盟正式施行的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱“GDPR”）和美國(guó)加州頒布的突破性立法《加州消費(fèi)者隱私法》為代表，全球個(gè)人數(shù)據(jù)保護(hù)整體水平日益提升，監(jiān)管力度日趨增強(qiáng)。

數(shù)據(jù)本地化和跨境傳輸領(lǐng)域，當(dāng)前無(wú)論是基于執(zhí)法便利還是基于保障國(guó)家安全的考量，數(shù)據(jù)本地化和跨境傳輸已經(jīng)成為全球數(shù)據(jù)監(jiān)管的一大重點(diǎn)。除信息化水平較低的非洲外，絕大多數(shù)國(guó)家均已實(shí)施了不同程度的數(shù)據(jù)本地化政策。具體來(lái)看，歐盟通過(guò)GDPR及隱私盾協(xié)議等建立了以個(gè)人數(shù)據(jù)保護(hù)為基礎(chǔ)的數(shù)據(jù)跨境傳輸體系。根據(jù)GDPR的規(guī)定，一般情形下，個(gè)人數(shù)據(jù)僅能向經(jīng)歐盟委員會(huì)認(rèn)定為“為個(gè)人數(shù)據(jù)提供充分保護(hù)”的第三國(guó)傳輸。美國(guó)方面，對(duì)外，美國(guó)堅(jiān)決反對(duì)數(shù)據(jù)本地化，主張數(shù)據(jù)在全球市場(chǎng)的自由流動(dòng)。對(duì)內(nèi)，美國(guó)也針對(duì)部分?jǐn)?shù)據(jù)實(shí)施本地化要求。2015年，美國(guó)國(guó)防部規(guī)定所有為該部門(mén)服務(wù)的云計(jì)算服務(wù)提供商須在境內(nèi)儲(chǔ)存數(shù)據(jù)。2016年，美國(guó)國(guó)家稅務(wù)局發(fā)布規(guī)定要求稅務(wù)信息系統(tǒng)應(yīng)當(dāng)位于美國(guó)境內(nèi)。

執(zhí)法數(shù)據(jù)跨境調(diào)取領(lǐng)域，犯罪數(shù)據(jù)全球化存儲(chǔ)趨勢(shì)導(dǎo)致執(zhí)法部門(mén)跨境獲取數(shù)據(jù)的需求日益增加。執(zhí)法數(shù)據(jù)的跨境調(diào)取直接關(guān)系一國(guó)的數(shù)據(jù)主權(quán)、司法主權(quán)，成為各國(guó)制衡與博弈的新焦點(diǎn)。2018年3月，美國(guó)總統(tǒng)特朗普簽署了《合法使用境外數(shù)據(jù)明確法》（Clarify Lawful Overseas Use of Data Act，又稱“CLOUD法”）。該法適用長(zhǎng)臂管轄原則，明確美國(guó)執(zhí)法機(jī)構(gòu)有權(quán)直接調(diào)取美國(guó)境外數(shù)據(jù)。在美國(guó)現(xiàn)行的司法協(xié)助程序之外，該法提出了“執(zhí)行協(xié)議”模式，允許與美國(guó)簽訂協(xié)議的國(guó)家直接向美國(guó)境內(nèi)的企業(yè)調(diào)取數(shù)據(jù)。2018年4月，為應(yīng)對(duì)CLOUD法對(duì)本區(qū)域人權(quán)保障以及司法主權(quán)等帶來(lái)的沖擊，歐盟委員會(huì)表示擬制定新法，以便執(zhí)法及司法當(dāng)局獲取電子證據(jù)。與CLOUD法類似，歐盟將不以數(shù)據(jù)存儲(chǔ)位置作為管轄權(quán)的決定因素，只要滿足相關(guān)條件，歐盟成員國(guó)的執(zhí)法或司法當(dāng)局可直接要求在歐盟境內(nèi)的服務(wù)提供商提交電子證據(jù)。

整體來(lái)看，各國(guó)立法規(guī)范逐步增多，監(jiān)管效力不斷增強(qiáng)。各國(guó)的立法目標(biāo)不僅在于個(gè)體權(quán)益的保障，更是關(guān)涉國(guó)家主權(quán)、國(guó)家利益在國(guó)際空間的博弈和角逐。為爭(zhēng)奪數(shù)據(jù)話語(yǔ)權(quán)，擴(kuò)張本國(guó)法律的適用范圍，積極推行符合本國(guó)利益訴求的國(guó)際社會(huì)數(shù)據(jù)規(guī)則體系成為當(dāng)前國(guó)際的立法趨勢(shì)。

（二）國(guó)內(nèi)態(tài)勢(shì)：管理體系逐步完善

目前，我國(guó)大數(shù)據(jù)安全領(lǐng)域頂層制度設(shè)計(jì)已經(jīng)基本完成，配套制度正在不斷推進(jìn)，相關(guān)執(zhí)法實(shí)踐也逐步走向常態(tài)化，訴訟案例逐漸豐富。整體來(lái)看，我國(guó)的大數(shù)據(jù)安全管理體系正在逐步完善。

立法層面，近年來(lái)，我國(guó)不斷通過(guò)修改現(xiàn)行法律或頒布新規(guī)定等舉措加強(qiáng)對(duì)網(wǎng)絡(luò)安全生態(tài)的治理，內(nèi)容覆蓋個(gè)人信息保護(hù)、數(shù)據(jù)跨境與本地傳輸?shù)阮I(lǐng)域。個(gè)人信息保護(hù)方面，自2003年國(guó)務(wù)院信息化辦公室部署個(gè)人信息保護(hù)法立法研究工作，到2018年十三屆全國(guó)人大常委會(huì)將《個(gè)人信息保護(hù)法》正式列入立法規(guī)劃，我國(guó)對(duì)于個(gè)人信息保護(hù)立法研究已經(jīng)歷經(jīng)了15年。在這期間，我國(guó)《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者權(quán)益保護(hù)法》《刑法》等法律法規(guī)中均對(duì)個(gè)人信息保護(hù)做出了規(guī)定。2017年，個(gè)人信息保護(hù)列入了《民法總則》《網(wǎng)絡(luò)安全法》。整體來(lái)看，我國(guó)個(gè)人信息保護(hù)立法層級(jí)逐步提升，體系逐漸完善，保護(hù)力度逐漸向國(guó)際看齊。數(shù)據(jù)本地化與跨境傳輸方面，我國(guó)《網(wǎng)絡(luò)安全法》正式從立法層面確立了關(guān)鍵信息基礎(chǔ)設(shè)施中的個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的本地化存儲(chǔ)和跨境傳輸原則，并正在推動(dòng)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南》等諸多配套規(guī)范以提高該規(guī)定的可操作性。

執(zhí)法層面，網(wǎng)絡(luò)安全法實(shí)施后，相關(guān)執(zhí)法全面鋪開(kāi)，處罰案例相繼涌現(xiàn)。除常規(guī)性執(zhí)法外，主管部門(mén)還開(kāi)展了多項(xiàng)專項(xiàng)行動(dòng)和執(zhí)法檢查。2017年底全國(guó)人大常委會(huì)開(kāi)展對(duì)網(wǎng)絡(luò)安全法及《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的“一法一決定”執(zhí)法檢查；2018年公安部部署了打擊整治網(wǎng)絡(luò)違法犯罪“凈網(wǎng)2018”專項(xiàng)行動(dòng)；司法層面，民事訴訟方面，我國(guó)先后出現(xiàn)了朱燁訴百度隱私權(quán)侵權(quán)案、周盛春訴阿里巴巴案、任甲玉訴百度案等。刑事訴訟方面，《刑法修正案（九）》施行以來(lái)，各級(jí)公檢法機(jī)關(guān)依據(jù)修改后的刑法規(guī)定，嚴(yán)肅懲處侵犯公民個(gè)人信息犯罪，案件數(shù)量顯著增長(zhǎng)。

三、安全視野下的大數(shù)據(jù)合規(guī)挑戰(zhàn)

無(wú)論是國(guó)內(nèi)還是國(guó)際領(lǐng)域，大數(shù)據(jù)安全的監(jiān)管態(tài)勢(shì)均呈現(xiàn)出不斷增強(qiáng)的趨勢(shì)。在此背景下，大數(shù)據(jù)安全成為企業(yè)合規(guī)的重要內(nèi)容。

（一）新技術(shù)沖擊傳統(tǒng)合規(guī)體系

當(dāng)下，云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)新應(yīng)用使得數(shù)據(jù)收集變得無(wú)處不在。通過(guò)數(shù)據(jù)分析和數(shù)據(jù)挖掘等信息技術(shù)，非個(gè)人數(shù)據(jù)的聚合可形成具有識(shí)別性的數(shù)據(jù)，從碎片化的、不具有敏感性的數(shù)據(jù)中也可以分析出敏感的信息，海量數(shù)據(jù)的聚合甚至可以分析出關(guān)涉國(guó)家安全的信息。這一系列的現(xiàn)象導(dǎo)致個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)、敏感數(shù)據(jù)與非敏感數(shù)據(jù)、國(guó)家秘密與非國(guó)家秘密等邊界逐漸模糊，合規(guī)邊界也隨之變得難以界定。

與傳統(tǒng)技術(shù)采用的集中式存儲(chǔ)不同，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等采用的分布式存儲(chǔ)使得傳統(tǒng)的網(wǎng)絡(luò)安全邊界變得模糊，傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的統(tǒng)一的、集中的安全管理模式已經(jīng)不能適應(yīng)新環(huán)境下的數(shù)據(jù)安全需求。此外，大數(shù)據(jù)技術(shù)發(fā)展催生出新型高級(jí)的網(wǎng)絡(luò)攻擊手段，例如針對(duì)大數(shù)據(jù)平臺(tái)的高級(jí)持續(xù)性威脅（APT）攻擊和大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊時(shí)有發(fā)生，導(dǎo)致傳統(tǒng)檢測(cè)、防御技術(shù)無(wú)法有效抵御外界攻擊。整體來(lái)看，新技術(shù)新應(yīng)用一方面催生著新威脅形態(tài)，為數(shù)據(jù)合規(guī)帶來(lái)新風(fēng)險(xiǎn)；另一方面導(dǎo)致傳統(tǒng)數(shù)據(jù)合規(guī)策略的有效性降低甚至失效。

（二）全球化監(jiān)管帶來(lái)合規(guī)難題

國(guó)內(nèi)層面，目前雖然我國(guó)網(wǎng)絡(luò)安全方面的頂層制度設(shè)計(jì)已經(jīng)基本完成，網(wǎng)絡(luò)安全法的頒布也在很大程度上填補(bǔ)了立法空缺，但在整個(gè)網(wǎng)絡(luò)安全領(lǐng)域我國(guó)仍存在著立法不足的情況，例如個(gè)人信息保護(hù)。在具體實(shí)施方面，作為網(wǎng)絡(luò)安全基本大法的網(wǎng)絡(luò)安全法配套制度尚不健全，可操作性仍有待加強(qiáng)。此外，作為新實(shí)施的法律，網(wǎng)絡(luò)安全法的執(zhí)法案例尚不充足，執(zhí)法尺度仍需進(jìn)一步探索和統(tǒng)一。整體來(lái)看，尚不完善的規(guī)則設(shè)計(jì)和執(zhí)行機(jī)制難以為企業(yè)數(shù)據(jù)合規(guī)提供有效指引。

國(guó)際層面，通觀國(guó)際立法趨勢(shì)，不難發(fā)現(xiàn)數(shù)據(jù)已成為國(guó)際空間競(jìng)相爭(zhēng)奪的戰(zhàn)略性資源，美歐等諸多國(guó)家和地區(qū)已經(jīng)紛紛出臺(tái)舉措搶占國(guó)際空間數(shù)據(jù)規(guī)則的制定權(quán)，建立以本國(guó)或本區(qū)域利益為中心的數(shù)據(jù)規(guī)則體系。隨著國(guó)際博弈的加劇，國(guó)際法律沖突也逐漸走向常態(tài)化。網(wǎng)絡(luò)和數(shù)據(jù)的跨國(guó)界性往往使得企業(yè)需要應(yīng)對(duì)不同規(guī)則體系的合規(guī)，大大增加了企業(yè)合規(guī)的復(fù)雜性。在國(guó)際法律沖突的情形下，企業(yè)合規(guī)將陷入兩難境地。例如，歐盟GDPR、美國(guó)CLOUD法與我國(guó)網(wǎng)絡(luò)安全法第37條的沖突可能會(huì)導(dǎo)致企業(yè)在數(shù)據(jù)出境方面面臨巨大的合規(guī)困境。

四、安全視角下的大數(shù)據(jù)合規(guī)應(yīng)對(duì)

面對(duì)大數(shù)據(jù)安全合規(guī)的諸多挑戰(zhàn)，企業(yè)應(yīng)當(dāng)從法律、管理、技術(shù)3個(gè)角度建立起一套全面的，以法律為依據(jù)、以管理為核心、以技術(shù)為支撐的數(shù)據(jù)安全合規(guī)體系。

（一）法律層面：加強(qiáng)國(guó)內(nèi)外立法研判

目前，我國(guó)正處于數(shù)據(jù)安全立法和實(shí)踐的快速發(fā)展期，同時(shí)也是探索期。在此階段，諸多數(shù)據(jù)安全相關(guān)法律以及配套制度陸續(xù)制定或出臺(tái)。為及時(shí)有效應(yīng)對(duì)，企業(yè)應(yīng)當(dāng)持續(xù)跟進(jìn)相關(guān)立法動(dòng)態(tài)。同時(shí)關(guān)注、研究相關(guān)的執(zhí)法案例，加強(qiáng)與行業(yè)部門(mén)、監(jiān)管部門(mén)的溝通與協(xié)作，以準(zhǔn)確把握立法要旨，掌握合規(guī)要點(diǎn)。

此外，隨著數(shù)據(jù)在全球范圍內(nèi)的自由流動(dòng)，對(duì)于數(shù)據(jù)的監(jiān)管突破原有的屬地管轄已成國(guó)際立法趨勢(shì)。數(shù)據(jù)保護(hù)已不再是一個(gè)單一的國(guó)內(nèi)立法問(wèn)題。對(duì)于諸多跨國(guó)企業(yè)或者有意于提供國(guó)際數(shù)據(jù)服務(wù)的企業(yè)而言，數(shù)據(jù)合規(guī)工作不僅需要著眼于本國(guó)立法，還需以全球化的視野關(guān)注國(guó)際立法動(dòng)態(tài)和趨勢(shì)，提前做好立法研判和業(yè)務(wù)布局。

（二）管理層面：完善數(shù)據(jù)安全內(nèi)控機(jī)制

完善的內(nèi)控機(jī)制是數(shù)據(jù)安全合規(guī)的重要環(huán)節(jié)。企業(yè)應(yīng)當(dāng)建立完善的、標(biāo)準(zhǔn)化的、覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理機(jī)制。

首先，重視數(shù)據(jù)本身的安全。數(shù)據(jù)安全不僅包括數(shù)據(jù)的靜態(tài)安全，還包括數(shù)據(jù)的動(dòng)態(tài)安全。因此，企業(yè)應(yīng)當(dāng)建立起對(duì)數(shù)據(jù)全生命周期使用情況的監(jiān)控、審計(jì)、評(píng)估機(jī)制。根據(jù)數(shù)據(jù)的類型、重要性、敏感度、面臨的風(fēng)險(xiǎn)程度等因素的不同，進(jìn)行數(shù)據(jù)分級(jí)分類，以采取適宜的安全保障措施；建立起完善的安全事件應(yīng)急響應(yīng)機(jī)制來(lái)及時(shí)有效地應(yīng)對(duì)數(shù)據(jù)安全事件。

其次，重視系統(tǒng)安全和供應(yīng)鏈安全。數(shù)據(jù)安全不僅包括數(shù)據(jù)本體的安全，系統(tǒng)和供應(yīng)鏈的安全也將直接影響到位于該系統(tǒng)中的數(shù)據(jù)安全。企業(yè)在系統(tǒng)設(shè)計(jì)之初，或者采購(gòu)過(guò)程中就應(yīng)當(dāng)將數(shù)據(jù)安全因素考慮在內(nèi)。

此外，重視人在數(shù)據(jù)安全管理中的重要性。無(wú)論是近期發(fā)生的騰訊云數(shù)據(jù)丟失事件和華住集團(tuán)數(shù)據(jù)泄露事件，還是之前發(fā)生的京東內(nèi)部數(shù)據(jù)泄露事件，不難看出，諸多數(shù)據(jù)安全事件的發(fā)生是人為因素導(dǎo)致。員工的合規(guī)意識(shí)是決定企業(yè)合規(guī)成敗的關(guān)鍵，自上而下，以人為本，數(shù)據(jù)安全管理上，人是最大的風(fēng)險(xiǎn)，也是最好的尺度。因此，在數(shù)據(jù)安全管理機(jī)制的建設(shè)中，企業(yè)應(yīng)當(dāng)強(qiáng)化權(quán)限管理、明確數(shù)據(jù)安全管理的角色和責(zé)任、加強(qiáng)人員數(shù)據(jù)安全知識(shí)的培訓(xùn)等，建立起完善的數(shù)據(jù)安全組織機(jī)制和人員管理機(jī)制。

（三）技術(shù)層面：提升數(shù)據(jù)安全防護(hù)能力

面對(duì)快速更新迭代的新技術(shù)，傳統(tǒng)的數(shù)據(jù)安全防護(hù)措施已經(jīng)暴露出不足。為有效應(yīng)對(duì)，企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)前沿?cái)?shù)據(jù)安全防護(hù)技術(shù)的研發(fā)。通過(guò)加強(qiáng)防病毒、防攻擊、防泄露、數(shù)據(jù)加密、脫敏、漏洞發(fā)現(xiàn)和修補(bǔ)，提升網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力、加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的抗災(zāi)、減災(zāi)和恢復(fù)能力等一系列的技術(shù)手段，建立起一套有效的從平臺(tái)到數(shù)據(jù)，從運(yùn)行安全到數(shù)據(jù)安全的技術(shù)防護(hù)體系。

（原載于《保密科學(xué)技術(shù)》雜志2018年10月刊）