专访为节选内容更多详情请扫码阅读
“在法律贯彻执行过程中,应探索数字经济背景下的弹性和柔性监管模式,避免对数据流通过度、严苛监管,为新技术、新应用、新业态创造宽严适度的发展环境,坚持数据安全与经济发展并重。”在2022年广东省网络安全宣传周举办之际,长期从事网络安全法治研究的公安部第三研究所网络安全法律研究中心主任黄道丽接受南都专访时说。
据悉,今年广东省网络安全宣传周由省委网信办牵头会同省委宣传部、省委编办、省教育厅、省公安厅、省国资委、省广电局、省政务服务数据管理局、省总工会、团省委、省妇联、省通信管理局、人民银行广州分行主办,广东省互联网业联合会、南方都市报、N视频联合承办,持续到9月11日。
A
数据安全成为新立法增长点
南都:你从事网络安全法律研究已近20年,据你观察,大陆乃至全球对网络安全的重视程度和方向有哪些明显变化?
黄道丽:有四个方面的变化。一是更多国家开始重视网络安全政策法律,且由网络安全、数据安全、个人信息保护、关键信息基础设施保护、信息内容治理转向更加精细划分的领域。比如个人信息保护细分为规范人脸识别技术使用、敏感信息保护、特殊人群的个人信息保护等。
二是数据安全成为个人信息保护后新的立法增长点,围绕数据的国际政策立法争夺激烈,数据跨境流动、跨境数据调取等规则持续调整细化。
三是疫情带来的网络安全问题引发广泛关注,各国政府推动政策立法,利用人工智能算法、加密技术加强安全防护,积极应对疫情带来的数据滥用、在线内容安全等问题。
四是对新技术的利用及其衍生安全问题给予前所未有的关注和支持。5G、人工智能、加密货币以及近两年大热的元宇宙技术等进入政策法律视野,进一步体现了各国对新技术利用与规范的迅速反映。
B
强化平台网络安全管理义务
南都:自2018年以来,公安部连续5年组织全国公安机关开展“净网”专项行动,严厉打击网络违法犯罪,而提供各类网络服务的平台企业往往在网络犯罪案件中扮演重要角色。如何才能深化企业网络安全管理义务,加强网络平台源头治理?
黄道丽:我建议从三方面入手:首先是从立法层面加快推进《网络犯罪防治法》等法律法规,强化平台网络安全管理和网络犯罪防治义务。立足源头防治,明确平台责任和义务,完善网络犯罪执法协作机制,能进一步提升新时代依法管网、依法治网的能力水平。
其次是从制度建设层面完善实名制具体措施,遏制网络犯罪生态源头。我建议,在立法上明确利用虚假信息冒用他人身份、大量买卖实名注册账号、规避实名制等行为的违法性及相应法律责任。
再者是从执法层面加强行政执法力度,切实推动平台履行法律责任。网信、公安等监管部门应加大执法力度,包括专项监督检查和常态化的行政执法活动,督促平台落实网络安全法、数据安全法、个人信息保护法等法律法规规定的信息内容管理、数据安全和个人信息保护等义务。
C
广东首席数据官制度强势呼应数据安全法
南都:让数据安全地流通、交易,才能激活、释放数据的价值。如何在保障数据安全的同时,最大化提升数据应用价值?
黄道丽:在大陆的网络和数据安全法律法规中,已经对促进数据合法利用作出了充分考量,为产业创新预留了空间。在法律贯彻执行的过程中,应探索数字经济背景下的弹性和柔性监管模式,避免对数据流通过度、严苛监管,为新技术、新应用、新业态创造宽严适度的发展环境,坚持数据安全与经济发展并重。
要实现在保障数据安全的同时,积极促进数据合法开发和利用,需解决数据流通的确权问题,包括建立数据产权制度,健全数据要素权益保护制度,探索数据资产化有效路径,建立数据要素市场的激励机制,激活、提升数据要素价值。
此外,对企业而言,要充分利用商用密码等技术措施保障数据全生命周期安全,把安全保护贯穿数据处理各阶段,防范和化解法律风险和安全风险。我认为这是一种成本低、效果好、促利用的保护方式。
南都:去年,广东在全国率先试点首席数据官制度,对推动企业、政府机构的网络安全、数据安全工作有何意义?
黄道丽:总体来看,这是广东省为推动数据要素市场化配置改革作出的战略性安排。从法律角度看,我认为该制度最重要的是强势呼应了数据安全法中数据安全负责人的概念。不仅明确回答了一个职责角色“应该做”的问题,还告诉社会和公众,广东已经在思考和实践“做什么”以及“怎么做”。
本次广东的先行先试是从公共事务层面进行设计,特色鲜明地提出“一票否决权”,可以从数据安全角度考虑行使决策,其影响力明显提高。具体来看,此举也对首席数据官的行业认知、技术理解和法律适用等方面提出了很高要求。首席数据官不仅是一般企业意义上的面向业务、对内负责的角色,也是政府意义上面向公共服务的高级人员配置。这一中观层面的制度设计会为企业等微观层面的数据安全管理机构、负责人的人员设置,以及更宏观层面的数据安全监管机构工作的落地提供更富实践意义的参考。
D
大陆已基本建立合法披露制度框架
南都:近年来病毒软件恶意勒索企业赎金的案例不断增多。你认为是否需要出台相应政策强制或鼓励企业做好网络安全工作?
黄道丽:企业需从多方面开展网络安全工作,如构筑安全底层屏障,提升勒索攻击风险发现能力,强化数据安全保障能力等。此外,在发生勒索攻击事件后,企业应及时向公安机关等有关主管部门报告,并立即开展应急处置,保护现场和证据。
据我了解,受大规模勒索攻击事件频发的影响,勒索攻击的防治打击已成关注重点,预防性立法与指导性文件发布已逐渐提上日程。
南都:有观点认为,目前大陆对网络安全漏洞合法披露的要求较为宏观。你怎么看?
黄道丽:网络安全漏洞披露是网络空间治理的关键一环,其重要性首先体现在网络安全漏洞的危害性经互联网迅速传播被放大后,不规范或非法披露会损害用户、企业和公共利益,甚至威胁包括关键信息基础设施安全等在内的国家安全;此外,合法披露、报告和利用能及时预警和有效管控网络安全风险,推动网络安全相关产业的创新,为执法活动和提升国家安全反制能力提供重要的技术保障。
事实上,大陆网络安全漏洞合法披露制度框架已基本建立。网络安全法从禁止性规范和指引性规范的角度构建整体制度;数据安全法则对数据处理者漏洞风险补救、处置、告知和报告义务进行了明确规定。《关键信息基础设施安全保护条例》专门强化对关键信息基础设施实施漏洞探测、渗透性测试等活动的约束,网络安全监管机构正协同加大涉关键信息基础设施安全漏洞的管理。
在配套法规方面,去年工信部、网信办、公安部联合发布的《网络产品安全漏洞管理规定》明确监管机构职责和分工,构建多部门多平台共享机制,细化披露和共享规定,为网络产品提供者、网络运营者和网络产品安全漏洞收集平台提供更有针对性、可操作性的规范。去年年底,阿里云计算有限公司因未及时通报严重安全漏洞而遭通报就是相关法律法规要求落地的一个例证。
在法律贯彻执行过程中,应探索数字经济背景下的弹性和柔性监管模式,避免对数据流通过度、严苛监管,为新技术、新应用、新业态创造宽严适度的发展环境,坚持数据安全与经济发展并重。——黄道丽
出品:
南方都市报
南都大数据研究院
京沪新闻中心
统筹:邹莹 凌慧珊
采写:南都记者 樊文扬