如何保障“互聯網+”時代網絡數據安全？

近幾年以來，“大數據”和“網絡數據”一時風光無限，成為各國政府、企業、科研機構等競相追逐的“明星”。而隨著移動互聯網、云計算、大數據、物聯網為代表的新一代信息通信技術與經濟社會各領域、各行業的深度融合和跨界融合，相應的網絡數據安全管理問題也日益凸顯。

什么是網絡數據？

我國“網絡數據”的概念第一次出現在全國人大常委會2015年公布的《中華人民共和國網絡安全法（草案）》（以下簡稱《草案》）中。《草案》第六十五條第四款規定：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。”

國外法律規定中并無“網絡數據”的定義，各國數據保護法都只對數據以及個人數據等相關概念進行了定義。例如英國《數據保護法》，其只對數據下了定義，數據是指根據發出的處理指令自行運行的設備所處理的信息，為了由上述設備加以處理而記錄的信息以及作為相關存檔系統的組成部分或為了成為相關存檔系統的組成部分而記錄的信息。

在實踐中，網絡數據還經常和大數據混用。維基百科將大數據定義為一個復雜而龐大的數據集。香山科學會議（技術型定義）則認為大數據是來源多樣、類型多樣、大而復雜、具有潛在價值，但難以在期望時間內處理和分析的數據集。從定義理解來看，大數據是由無數的網絡數據組成的數據集，通常二者也很難嚴格區分開來。

網絡數據安全成為全球熱點

隨著網絡數據價值的不斷增加，針對網絡數據的安全威脅也與日俱增，給數據安全保障帶來了嚴峻的挑戰，使很多國家對網絡數據使用的態度發生了轉變。“棱鏡”事件前，網絡數據開放逐年深化，針對跨境流動等的國際合作不斷推進，“注重開放”成為國際網絡空間數據使用的主流態度；而“后棱鏡”時代，各國開始明確并不斷強化網絡數據安全保護，加強網絡數據安全管理。

2015年9月1日，俄羅斯第149-FZ號聯邦法《關于信息、信息技術與信息保護》生效。該項法律規定俄羅斯公民的個人信息數據只能存于俄境內的服務器中，以實現數據本地化。2015年10月6日，歐盟最高司法機構歐洲法院作出裁決，認定歐盟委員會2000年通過的關于認可美歐安全港框架的決定（2000/520/EC）無效，使得美歐之間最重要的跨境數據傳輸方式喪失合法性基礎。2015年10月，澳大利亞通過《電信（監控和接入）修正（數據留存）提案》，對數據留存做出強制性法律規定，要求電信運營商對電話、互聯網、電子郵件的用戶數據留存兩年。2015年9月5日，我國發布了《關于印發促進大數據發展行動綱要的通知》，提出要加強大數據環境下的網絡安全問題研究和基于大數據的網絡安全技術研究，落實信息安全等級保護、風險評估等網絡安全制度，建立健全大數據安全保障體系。

各國“施法”保護網絡數據安全

總體來看，為應對日益嚴峻的網絡數據安全問題，國際社會正在從法律法規、戰略政策、標準評估、管理體制等方面下手，全面開展數據安全保障實踐。

在法律法規方面，各國通過修訂原有立法和制定新法為網絡數據安全管理提供強有力的立法保障。英國對《2000年調查權規則法案》進行修正，改為《2014年數據留存和調查權法案》，要求通信服務提供商保留用戶通信數據長達12個月，并且在執法部門提出合法要求時予以披露。美國于2015年6月2日，正式出臺《美國自由法案》，賦予電信運營商承接情報執法機構的電話數據搜集和留存職責，必要時按照特定程序向政府機構提供。2015年12月15日，歐委會與歐洲議會，歐盟理事會三方機構在立法進程的最后階段就歐盟數據保護改革達成一致，核心改革成果——《歐盟數據保護總規》即將正式頒布，新規繼續堅守保護公民基本權利理念，全面提升個人數據保護力度，開創性引入數據可攜權、被遺忘權，并特別針對大數據背景下的數據分析、畫像活動，予以嚴格規制。

在戰略政策方面，各國頂層設計與政策落實并重，先后出臺國家級戰略規劃，在促進數據發展的同時兼顧安全保護。英國于 2012年６月發布《開放數據白皮書》，推進公共服務數據的開放；2013年10月31日又發布了《把握數據帶來的機遇：英國數據能力戰略》，制定了提升數據分析技術、加強國家基礎設施建設、推動研究與產業合作、確保數據被安全存取和共享等舉措。日本2013年發布《創建最尖端IT戰略》，明確闡述了開放公共數據和大數據保護的國家戰略；印度2014年國家電信安全政策指導意見草案對移動數據保護作出規定；美國白宮2015年發布白皮書《抓住機遇，守護價值》，總結大數據中隱私保護政策，提出發展大數據的具體舉措和安全保障，加強數據管理。

在管理體制方面，各國主要分為政府主導和行業自律兩種模式進行網絡數據管理。政府主導型監管體制是最主要的管理模式，通常有較成體系的保護機制，如德國專門特設保護機關聯邦數據保護委員會，荷蘭專門特設保護機關為數據保護局以及韓國行政安全部和韓國通信委員會共同承擔數據安全行政監管職能。行業自律型監管體制的典型代表為美國。美國的監管體制可細分為以下兩種模式：一是建議性的行業指引，由行業組織或商業實體制定行為指引或隱私標準為行業內的隱私保護提供示范；二是網絡隱私認證計劃，要求具有隱私認證標志的網站必須遵守在線隱私資料收集的行為規則。

此外，各國還在標準體系、技術手段、安全評估等方面采取了相關措施。

啟示：安全與發展并重

在我國的“互聯網+”時代，互聯網與傳統產業的深度融合，使得操作系統更加復雜，各種數據海量增長，新情況新問題層出不窮，網絡數據安全和用戶信息安全問題將更加突出。要堅持安全與發展并重的思路，重視互聯網發展帶來的數據安全風險。

一是要建設完善網絡數據安全監測評估、監督管理、標準認證和創新能力體系，加強針對信息系統設施、新型領域的安全監測評估和責任管理，推進安全標準的研究制定和實施。初步建立適應于發展需求的網絡數據安全監管制度和標準體系，提升“互聯網+”安全保障能力。

二是充分重視互聯網與政務、醫療、金融等各領域融合帶來的數據安全風險，完善網絡數據保護體系，加強安全管理和技術措施，包括建立數據分級分類安全管理制度，加強跨境數據流動評估認證制度，以及明確相關主體數據安全保護責任。

（中國信息通信研究院互聯網法律研究中心）