网络数据管理是大数据和互联网+背景及网络空间竞争加剧环境下应运而生的新热点。2016年出台的《网络安全法》和2015 年调整的工信部三定规定明确赋予了电信主管部门电信和互联网网络数据管理职责。
1 网络数据的基本概念
1.1 网络数据的内涵和范围
网络数据的官方定义首次出现在《网络安全法》中,《网络安全法》第七十六条第四款规定:网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。该定义包含三个关键点:一是从形式和载体角度,明确了网络数据是电子数据,区别于线下的以纸质或者其他载体的形式;二是明确了网络的定义,包括公共通信网和专用通信网,包括线路和设备;三是界定了网络数据从产生到消亡全生命周期的主要活动。
网络数据的概念抽象,通常国内外主要的电信和互联网企业通过对其占有的、掌握的数据进行分级或分类,具象出常见的数据类型。虽然电信和互联网企业的主营业务和产品不同,但根据数据内容聚类,其掌握的网络数据基本可以概括为以下五类:物理数据、经营管理数据、员工数据、用户行为数据和用户身份数据。其中,用户行为数据和用户身份数据是企业网络数据应用的核心数据,也是保护的重点数据。
1.2 网络数据管理的重点内容
综合《网络安全法》和工信部三定规定,电信和互联网网络数据管理主要是对收集、使用、传输、存储、销毁网络数据等行为的管理。
从信息化和网络安全的大视野理解,网络数据管理以安全与发展并重,促进与规范并举为原则。一方面要坚持推动数据开放,产生更多数据资源,推动网络数据应用和流动,鼓励创新;另一方面要规范网络数据的采集、传输、存储和使用等行为,保护数据安全,保障国家安全、企业利益和用户权益。
虽然欧美没有网络数据的概念,但是也对与网络数据范围相当的数据进行管理,并且对其中的个人数据进行重点管理,即对个人数据的采集、使用、共享、交易等行为进行规范;对非个人数据的数据,提出安全要求,不对其全生命周期的具体行为进行规范。综观国际组织规则和主要国家法律政策,网络数据管理的主要内容基本一致,重点关注数据安全管理、公共数据开放与保护、商业数据应用与保护、个人数据保护四个方面。
2 国际视野下的网络数据管理动向
2.1 出台国家战略,确保数据资源优势
国际社会高度重视数据战略资源价值。美欧等发达国家和地区纷纷出台战略,从数据开放、技术投入、应用推动三方面促进网络数据发展。自2009 年起,全球掀起了开放政府数据运动热潮,各国际组织、发达及发展中国家纷纷通过出台国家战略、行动计划、修订法律等举措促进政府数据的开放。美国的《透明和开放的政府备忘录》、日本的《创建最尖端IT 国家宣言》、韩国的《智慧首尔2015》、澳大利亚的《公共服务大数据战略》均对公共数据开放做出指示。而在提升大数据分析应用方面,各国针对大数据路线和能力等制定了一系列战略规划,如美国的《大数据研究和发展计划》、法国的《数字化路线图》、英国的《数据能力战略》、日本的《面向2020 年的ICT综合战略》。
2.2 加强数据管理,应对安全挑战和发展需求
对数据的滥用、窃取等行为给国家安全、用户隐私和信息安全带来了巨大挑战,也是加强数据管理的根源。总体上看,国际上网络数据管理法律政策呈现以下趋势:与国家安全有关的网络数据管理政策更加强化;与产业发展有关的网络数据管理政策更加灵活。具体表现为:
国家安全和反恐成为网络数据管理的重要目标。2001 年美国911事件、2016 年欧洲心脏比利时布鲁塞尔322事件等,使得网络空间立法以维护国家安全、打击恐怖主义为重要目标之一的趋势更加凸显。各国主要通过强化数据留存以及为国家安全机关等重要部门更加便捷、灵活获得企业掌握的大量数据(包括用户个人数据)提供法律上的依据,实现国家安全和反恐目标。例如2016 年6 月7日,英国议会下院通过了新的数字监控法《数据保留及调查权法案》(IPB),赋予安全机构更广泛的监控职能,要求互联网服务提供商记录用户12 个月的网页浏览历史,以便警方和安全部门随时查看。
更多地付诸数据主权规范立法。斯诺登事件凸显了以美国为代表的先发国家对于他国数据权利的漠视。数据主权被越来越多国家落实到政策层面,确保本国数据产业发展权及对本国数据的排他性最高控制权是立法核心。各国数据主权立法主要体现为对数据的本地留存要求和跨境流动规范。常见的制度包括:禁止数据向国外传输、要求数据本地化存储、数据向境外传输前必须征得数据所有者同意、向数据传输征税。目前已有逾20 个国家和地区付诸了数据主权规范立法。例如俄罗斯242-FZ 号法案明确商业机构有义务保证个人数据的收集、记录、整理、积累、存储、更新、修改和检索应使用俄联邦境内的服务器。商业机构必须把所有服务器的位置报送联邦政府。
扩大个人数据范围,重视对使用环节监管。大数据时代个人数据识别的标准在弱化。纵观欧美个人数据保护,除了传统的可识别出个人身份的数据外,也在与时俱进地划分、聚类出新的类型的数据,与可识别的个人数据相区别,扩大个人数据保护范围。例如1997 年的美国《公平信息实践法则》只提及了个人可识别数据,而2012 年的《消费者隐私权利法案》中,则明确个人数据包括与一个特定的电脑或设备相关的数据。这一定义更加灵活,尽可能包括了商业实体收集、使用和公开的数据。
找寻平衡产业发展和权益保护的新出口。平衡数据产业发展和权益保护,一方面在于突破原则、模糊的收集、使用个人数据应征得用户同意的规定,允许在某些风险较低情形下相对自由的使用,并提出更多的替代方案;另一方面,通过提高透明度等方式增强用户控制。在实践中,一是以合理预期提升用户同意的针对性。例如美国FTC《宽带网络服务提供商隐私指导法案》指出,宽带服务提供商组织内部共享和使用用户数据的行为,无需征得用户同意,除非用户明确选择退出。二是允许匿名后进行相对自由的数据交易。例如美国FTC《信息中介责任与透明度法案》、欧盟《通用数据保护条例》、日本修订后的《个人信息保护法》,均允许企业在数据匿名化处理后进行市场化利用,可以一定程度豁免个人数据保护义务。三是强化数据主体的知情权和选择权。例如美国《消费者隐私保护法案》和欧盟《通用数据保护条例》均规定,消费者应当有权对授权进行撤销,而这种撤销的方式应当与授权方式的便捷性相当。四是强化数据泄露通知,根据情况严重程度向消费者、政府部门通知和报告。
3 我国网络数据管理现状及面临的挑战
3.1 我国网络数据管理步入快速期
2014 年以来,我国高度重视保障网络数据安全,同时充分利用好数据带来的发展机遇,做出了一系列战略部署。形式上,通过制定《反恐怖主义法》、《网络安全法》、《促进大数据发展行动纲要》、《关于运用大数据加强对市场主体服务和监管的若干意见》等法律和政策,加强网络数据管理顶层设计。内容上,一是鼓励数据开放和应用。促进政府、公共部门和各行各业的技术研发、数据应用和产业创新;二是从关键信息基础设施运行、数据留存、数据跨境流动管理、个人信息保护等重点入手,保障数据安全、用户权益和市场秩序。虽然相关内容主要体现为原则性规定,但管理重点和方向体现出关注高价值数据、关注高风险业务、关注数据流通环节的三个特点。
3.2 网络数据管理体制初步确立
《网络安全法》确立了我国网络数据管理的基本体制。该法第八条规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。可以看出,《网络安全法》仍然沿袭行业管理分工,网络数据管理工作是国务院各部门职责的自然延伸。
3.3 网络数据管理政策和管理机制手段处在探索阶段
虽然国家在促进大数据发展、保障数据安全方面密集出台法律和政策,但是总体上看,我国网络数据管理起步晚、基础薄弱,与国家要求、产业需求和社会期待仍有差距。
一是法律法规滞后产业发展。虽然《网络安全法》已经出台,但与网络数据管理相关的内容篇幅仍然较少,且数据权利归属、数据交易、数据加密、数据留存、敏感数据的范围和处理规则等重要内容均未明确,网络数据管理法律仍然存在散、缺、粗的问题。
二是交叉管理职责未明晰。电信网、互联网承载着不同行业的应用与业务产生的电子数据。在融合趋势下,电信服务与其他服务更难区分。目前网络数据管理体制未回答依托互联网从事金融、交通、药品、农业、电商等其他行业管理职责范围内的事项的主体,对其通过网络采集、传输、存储、使用数据的行为的管理职责划分。
三是尚不具备针对监管对象分类监管的条件。部分国家考虑到数据安全风险与监管对象对守法成本的承受力,根据年营业额、业务类型、是否是关键服务运营者、是否开展高风险的数据处理活动以及是否处理敏感数据等指标对监管对象进行分类,使不同企业承担差别化的数据保护责任,既有效管控高风险行为,又防止一刀切对创新动力的抑制。但是目前,我国电信和互联网网络数据监管对象的划分标准较粗,不存在对监管对象进行区分监管的基础。
四是现行管理手段在网络数据管理方面存在不适应性。现有网络数据保护管理手段聚焦于移动互联网应用漏洞和恶意行为安全检测、安全防护检测方面,缺少专业的数据安全检测分析和数据流动行为监听抽查手段。此外,网络数据管理面向时刻发生的、庞大复杂的、难以聚焦和锁定的数据处理活动,现行的应用软件个人信息保护中的监测分析定期通报行政处理管理模式很难复制到网络数据管理中。
4 加强网络数据管理的建议
国家正加快发力网络数据管理。如何从管理依据、管理细则、管理手段、管理能力等方面落实网络数据全生命周期管理,初步形成既满足发展要求、又满足安全要求的网络数据管理体系,是现阶段网络数据管理的核心。
4.1 管理依据:抓住立法窗口期,为网络数据管理提供依据
促进信息化发展、保障网络安全以及消费者权益的国家和地方立法进入制定的密集期。《网络安全法》配套规定、《消费者权益保护法实施条例》等中央立法正在起草,同时地方省级单位也在积极制定省信息化条例、省个人信息保护条例等。在当前形势下,应当抓住立法窗口期,通过高层级立法,明确难以通过部门立法规范的数据管理基本制度,明确管理职责边界及多部门合作机制,设定更有力度、更有效的法律责任。
4.2 管理职责:立足行业管理,做好基础安全保障
落实《网络安全法》和工信部三定规定,电信行业主管部门的网络数据管理职责应当侧重于以下两点。一方面,应当立足行业管理职责,管理电信业务经营者、互联网信息服务提供者在我国境内从事电信和互联网业务过程中采集、传输、存储、使用电子数据的行为,侧重全生命周期管理;另一方面,作为电信行业主管部门和互联网行业管理部门,应当确保电信网、互联网上传输、存储数据的完整性、保密性和可用性。
4.3 管理对象:突出重点,聚焦高风险、高价值对象
网络数据管理未知大于已知,且并非所有数据在现阶段都具有同等保护必要。同时,网络数据管理强调安全与发展并重,促进与规范并举,应对高风险、高价值的数据和行为进行重点规范,对其他数据和行为则以自由为主,鼓励其应用和流动。在管理的数据方面,应当以价值和风险更高的用户个人数据为管理重点。在管理的行为方面,应当以导致数据价值释放、权利变更的数据交易、共享、跨境流动等境内外流动行为为管理重点。
4.4 管理细则:法律、政策、标准相结合,构建有的放矢的管理细则体系
网络数据管理技术性强,且各类业务采集、使用的数据差别较大,很难通过立法和行政管理文件进行细致化、有针对性的规定。通过部门规章或更高层级立法确定电信和互联网网络数据管理的基本制度,通过规范性文件确定重点制度的细化规定,通过技术标准提出分业务、分场景的技术和行为要求。法律、政策、标准相互促进、相互补充,构建分类施策、有的放矢、细致入微的管理细则体系。
4.5 管理手段:管理手段和技术手段相结合,构建全流程监管手段框架
网络数据监管面临数据量大、数据流通难以跟踪等难题,对技术发现和管控能力要求高,单纯依靠行政手段将面临执法困境,但是单纯利用技术手段也无法完全实现管理目标,特别是在缺乏对数据流动行为进行跟踪的技术手段的情况下,需综合运用管理和技术手段,锁定监管对象,查实违法行为,留存违规证据和处罚违规行为,构建事前、事中、事后全流程监管框架。