北京邮电大学肖毅敏：数据立法应首要设定数据安全的基本底线和基本红线

凤凰网WEMONEY讯 12月15日，由中国政法大学主办的2018新时代大数据法治峰会在安徽合肥举行。会上，北京邮电大学通信法律研究中心副主任、副教授肖毅敏发表了以《大数据安全治理的法律思考》为题的演讲。

下附肖毅敏发言全文：

数据安全如今在全球受到了极大的关注，大家都在讨论这个话题，数据无处不在、无处不用的情况下，如何保障数据的安全，如何进行监管？对监管仿佛是雾里看花。在大数据时代下，数据的存在形式、使用方式都跟原来不同了，因为大数据时代的数据安全是个新问题，所以不能用过去的经验来解决今天的数据安全问题，要进行创新。

大数据时代，数据的治理相关机遇与风险的态势，一方面围绕着各类数据的利用，以互联网、大数据、人工智能为代表的新一代信息技术日新月异，给各国经济社会发展、社会治理、人民生活带来重大而深远的影响，另一方面围绕着各类数据的保护，我们也面对着来源更为广泛、更为深刻的安全风险。根据中国互联网信息中心2018发布的第41次中国互联网发展状况统计报告显示，我国网民规模已经达到了7.72亿，手机网络规模达到了7.53亿，互联网普及率为55.8%。信息基础设施而言，我国的服务器部署数量也达到了118万台。Norton（诺顿）于2018年1月发布的关于网络安全的研究报告，这个报告统计分析了包括中国在内的20个世界主要国家和地区，在2017年遭受了网络犯罪的情况。根据该报告2017年全世界约有9.78亿人受到了网络犯罪的影响，全世界的消费者因黑客的攻击共遭受了约1720亿美元的损失。核心要素风险是木马、病毒、僵尸网络等，组织管理风险是电信网络诈骗等，在线内容是暴力恐怖信息、虚假信息等。数据治理的焦点区域有刑事责任区域（数据的获取、流转、安全事件泄露等）、非刑事责任区域（数据获取、处理使用、流转等）。

大数据治理的法律问题，大数据时代的安全挑战是大数据面临大量的法律问题，首先是数据的权属问题，对大数据权属的研究是制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度的起点和基石。大数据权属的研究不仅是关于数据本质的探讨，更是影响数据具体应用的关键问题。还有商业和公共数据利用的安全和个人信息的保护，随着数字化生态的来临，电子化的个人信息不但构成了我们的虚拟人格，而且延伸到我们的现实生活当中，成为我们的名誉、财产乃至生命无形的接口。一旦公共数据泄露，将会造成巨大的安全，2017年亚马逊公司医疗数据意外对公众开放，导致了13万患者姓名、住址、病例记录以及检验结果等信息泄露。如何平衡好个人信息保护和大数据利用之间的关系，不仅是企业更是政府数据治理的核心问题。关键基础设施的数据安全问题，关键基础设施保护正向数字化进行转型，关键信息基础设施的跨境流动与法规规程问题是关键基础设施保护的关键问题，就是要在数据利用的同时，完善关键基础设施的保护。还有跨境数据流动问题，2013年（斯诺登）事件之后，各国政府引入了形式多样的本地化的要求，更增加了人们对跨境流动政策的困惑和误解，经济和网络全球化及一带一路，还有企业走出去的部署，促使基于跨境业务的数据流动日益频繁，给国家数据安全增加了风险，因各自经济及技术等发展不同，数据治理欧美方案的路径差异，美国的数据跨境流动政策主要是以贸易利益的驱动，主张数据无限的自由流动；在立法的价值取向上，欧盟侧重保护个人权利，数据跨境流动监管政策主要体现个人数据保护制度上。以中国、俄罗斯、印度为代表的发展中国家，为保障国家主权和网络安全都提出了不同程度的本地化要求，但是这里面如何加快中国数字企业融入全球化的数字经济体系，共同促进国际间必要的数据共享与合作，是有待解决的法律问题。还涉及到大数据杀熟的问题，随着大数据算法在应用的深入，电商千人千面的个性化推进，为用户网购提供了便利，也为电商经营者降低了推广的成本，有针对不同用户来区分定价问题，这样都形成了价格的歧视，侵害了消费者合法权益，应对此做出针对性的规范。还有公私合作的范式问题，政府网络安全监管的权利配置应当从宏观角度，应坚持政府主导的地位，必须要建立政府与企业、运营商、平台公私合作的范式。像现在的平台不比以往是超级平台，还有运营商，他们权利是非常大的，跟过去不一样，所以在这方面应该赋予他们更多的社会责任，应赋予他们更多的义务。95%以上诈骗是在异地进行，中国移动用位置定位以及结合消费者消费习惯、喜好可以锁定是不是异地诈骗，从源头上、从技术方面就给它搞定了，而不是出了问题从下游再去解决。对给予白名单、黑名单，这个由企业来做，政府进行间接监管，这样更好一些。

数据安全治理的原则，为了保证数据经济的发展，数据治理的立法应当促进数据利用和流动为原则，我国在数据跨境流动监管方面应充分考虑数据保护和数据流动的平衡，并引导数据在我国聚集。同时，数据应本地化存储和处理，以维护我国国家安全。重要强调对数据的控制力，加强数据控制力的核心是以建立以风险为中心的数据治理的路径。重点关注对个人重大权益和国家安全可能产生重大影响领域，在这方面要投入更多的精力。这里数据安全治理的最终目标，还是为了实现数据安全和数据经济发展之间的平衡，使二者相互促进。这里最为关键的目标要让数据安全成为组织的竞争力，而不是成本，要让提升数据安全水平成为自发的需求，我们说不是被动合规，而是要不断地进行抗风险，不断地提升数据安全能力，这方面是我们的终极目标。能力成熟度是更加内在的指标，通过科学的方法衡量一个组织的数据发展成熟的等级，用这个等级决定一个组织能够做什么，不能够做什么，通过数据安全能力、成熟度级别来决定，允许数据流动的方向，从而实现总体数据安全、风险可控。数据安全需要多方协作，仅仅靠法律是不够的，这里面法律能解决数据来源的合法性，但不能解决合法获得的数据是否能被安全保存或安全使用，这里面要加强技术的创新，好的技术也就是最好的法律。要提高网络综合治理能力，政府管理、企业履责、社会监督、网民自律等多主体参与，经济、法律、监管、技术等多种手段相结合的综合治网局面，是全社会共同的协作。

立法方面，首先要设定数据安全的基本底线和基本红线，加强行业的自律，在开展大数据业务中坚守保护用户个人隐私，保护社会安全和国家安全的底线，公平竞争，共同促进大数据行业安全、稳定、健康的发展。法律应当确立并尊重数据主体的权利，比如明确保护数据载体控制方对数据载体的财产权利。公司可以利用的用户数据应当以何种方式收集？美国民主党参议员提出了一项重要的数据隐私计划，根据该法案，数据收集者将被要求“合理地保护”识别信息，不以有害的方式使用该信息，有关敏感信息的泄漏时需通知消费者。如果数据收集者与另一个实体共享或销售该数据，则要求延伸至第三方，并且该计划还将赋予FTC新的权限，处罚对用户数据具有欺骗性行为的公司。法律要明确精准打击各类侵犯数据权利的行为，要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪的链条，特别是对国内网络空间非常猖獗的数据灰黑行为，采取有针对性的精准打击，持续形成高压态势保护公民的合法权益，推动我们国家网络安全治理的法治化。 

应对大数据安全治理的重要数据类型和关键节点要做深入的分析，建议遵循以风险控制为中心的数据治理路径，分别对个人信息保护法以及数据安全法的立法，以及企业数据安全治理，提出详细的可行的建议。要引入数据安全的影响评估，强化数据安全事件的报告制度，要抓住数据流转关键环节，要抓住关键的对象，以及我国的关键基础设施这方面的治理，所以说对这些方面都要重点的进行保护。（凤凰网WEMONEY 张国栋/编辑）