安全视角下的大数据治理与合规应对

大数据时代，数据不仅成为重要的商业资源和生产要素，更是国家基础性战略资源。

与此同时，新技术和新应用的迭代更新也不断催生出新风险，数据安全风险日益升级，成为建设产业健康生态、保障社会公共安全和国家安全的制约因素。大数据安全已然成为超越个体，关涉国家安全的核心环节。本文将从安全视角出发，剖析大数据治理的安全面向，介绍国内外大数据治理态势，同时分析当前我国互联网企业大数据合规所面临的挑战，为企业合规提供法律、管理和技术层面的综合建议。

一、大数据治理的安全面向

从工业社会到信息社会，社会生产力、生产关系发生了重大变迁。其中一个重要特点在于，网络成为重要的生产工具，数据成为重要的生产资料。传统的信息安全理论重点关注数据作为资料的保密性、完整性和可用性（即“三性”）等静态安全。其受到的主要威胁在于数据泄露、篡改、灭失所导致的“三性”破坏。随着信息化和信息技术的进一步发展，信息社会从小数据时代进入到更高级的形态大数据时代。在此阶段，数据质量和价值通过共享、交易等流通方式价值得到更大程度的实现和提升，数据动态利用逐渐走向常态化、多元化，个人信息的权属问题和重要数据的识别问题成为这一阶段的主要争议，引发了从个人信息保护到企业数据保护、不正当竞争、著作权、网络（空间）安全等一系列法律问题。2018年，美国Facebook数据事件扭转了大众对大数据风险的传统认知，大数据风险的话题不再仅是个人和企业层面的保护问题，更是深入涉及政治权力的攫取，直接影响社会稳定和国家政治安全。

总的来说，数据从静态安全到动态利用安全的转变使得数据安全不再只是确保数据本身的保密性、完整性和可用性，更承载着个人、企业、国家等多方主体的利益诉求，关涉个人权益保障、企业知识产权保护、市场秩序维持、产业健康生态建立、社会公共安全乃至国家安全维护等诸多数据治理问题。

二、安全视野下的大数据治理态势

近年来，国际社会进入了大数据安全立法的快速发展期，国内层面，我国也正加紧推进和完善相应的制度建设，加强对数据生态的监管和治理。

（一）国际态势：规则体系日趋复杂

个人数据保护领域，20世纪70年代始，以欧美为代表的西方发达国家就已经开始个人数据保护的立法实践。目前，全球已有100多个国家颁布了个人数据保护或隐私法，40多个国家已出台了相应的草案。近年来，随着信息技术的发展，全球领域又掀起了个人数据保护立法改革浪潮。2018年，以欧盟正式施行的《通用数据保护条例》（General Data Protection Regulation，简称“GDPR”）和美国加州颁布的突破性立法《加州消费者隐私法》为代表，全球个人数据保护整体水平日益提升，监管力度日趋增强。

数据本地化和跨境传输领域，当前无论是基于执法便利还是基于保障国家安全的考量，数据本地化和跨境传输已经成为全球数据监管的一大重点。除信息化水平较低的非洲外，绝大多数国家均已实施了不同程度的数据本地化政策。具体来看，欧盟通过GDPR及隐私盾协议等建立了以个人数据保护为基础的数据跨境传输体系。根据GDPR的规定，一般情形下，个人数据仅能向经欧盟委员会认定为“为个人数据提供充分保护”的第三国传输。美国方面，对外，美国坚决反对数据本地化，主张数据在全球市场的自由流动。对内，美国也针对部分数据实施本地化要求。2015年，美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据。2016年，美国国家税务局发布规定要求税务信息系统应当位于美国境内。

执法数据跨境调取领域，犯罪数据全球化存储趋势导致执法部门跨境获取数据的需求日益增加。执法数据的跨境调取直接关系一国的数据主权、司法主权，成为各国制衡与博弈的新焦点。2018年3月，美国总统特朗普签署了《合法使用境外数据明确法》（Clarify Lawful Overseas Use of Data Act，又称“CLOUD法”）。该法适用长臂管辖原则，明确美国执法机构有权直接调取美国境外数据。在美国现行的司法协助程序之外，该法提出了“执行协议”模式，允许与美国签订协议的国家直接向美国境内的企业调取数据。2018年4月，为应对CLOUD法对本区域人权保障以及司法主权等带来的冲击，欧盟委员会表示拟制定新法，以便执法及司法当局获取电子证据。与CLOUD法类似，欧盟将不以数据存储位置作为管辖权的决定因素，只要满足相关条件，欧盟成员国的执法或司法当局可直接要求在欧盟境内的服务提供商提交电子证据。

整体来看，各国立法规范逐步增多，监管效力不断增强。各国的立法目标不仅在于个体权益的保障，更是关涉国家主权、国家利益在国际空间的博弈和角逐。为争夺数据话语权，扩张本国法律的适用范围，积极推行符合本国利益诉求的国际社会数据规则体系成为当前国际的立法趋势。

（二）国内态势：管理体系逐步完善

目前，我国大数据安全领域顶层制度设计已经基本完成，配套制度正在不断推进，相关执法实践也逐步走向常态化，诉讼案例逐渐丰富。整体来看，我国的大数据安全管理体系正在逐步完善。

立法层面，近年来，我国不断通过修改现行法律或颁布新规定等举措加强对网络安全生态的治理，内容覆盖个人信息保护、数据跨境与本地传输等领域。个人信息保护方面，自2003年国务院信息化办公室部署个人信息保护法立法研究工作，到2018年十三届全国人大常委会将《个人信息保护法》正式列入立法规划，我国对于个人信息保护立法研究已经历经了15年。在这期间，我国《全国人大常委会关于加强网络信息保护的决定》《消费者权益保护法》《刑法》等法律法规中均对个人信息保护做出了规定。2017年，个人信息保护列入了《民法总则》《网络安全法》。整体来看，我国个人信息保护立法层级逐步提升，体系逐渐完善，保护力度逐渐向国际看齐。数据本地化与跨境传输方面，我国《网络安全法》正式从立法层面确立了关键信息基础设施中的个人数据和重要数据的本地化存储和跨境传输原则，并正在推动《个人信息和重要数据出境安全评估办法》《信息安全技术数据出境安全评估指南》等诸多配套规范以提高该规定的可操作性。

执法层面，网络安全法实施后，相关执法全面铺开，处罚案例相继涌现。除常规性执法外，主管部门还开展了多项专项行动和执法检查。2017年底全国人大常委会开展对网络安全法及《全国人民代表大会常务委员会关于加强网络信息保护的决定》的“一法一决定”执法检查；2018年公安部部署了打击整治网络违法犯罪“净网2018”专项行动；司法层面，民事诉讼方面，我国先后出现了朱烨诉百度隐私权侵权案、周盛春诉阿里巴巴案、任甲玉诉百度案等。刑事诉讼方面，《刑法修正案（九）》施行以来，各级公检法机关依据修改后的刑法规定，严肃惩处侵犯公民个人信息犯罪，案件数量显著增长。

三、安全视野下的大数据合规挑战

无论是国内还是国际领域，大数据安全的监管态势均呈现出不断增强的趋势。在此背景下，大数据安全成为企业合规的重要内容。

（一）新技术冲击传统合规体系

（编辑：ASP站长网）