- 相关推荐
公共大数据信息安全立法分析论文
摘要:公共大数据作为涉及公共利益的数据信息,在采集、加工、使用、存储的每个环节都会产生信息安全漏洞,需要立法防范。目前国外公共大数据立法主要分为侧重于保护个人数据和隐私、促进本国政府数据信息公开和共享、以国家主体数据流跨境保护为主三种类型。国内公共大数据立法主要分为:以促进经济发展为主的国家总体战略规划、以服务于地方经济发展的地方性法规、为推进政务服务改革提供法治保障的省级政府规章和涵盖公共大数据立法功能的网络安全法四种。国内外公共大数据立法主要侧重数据保护和数据开放的矛盾、公共数据的开放和个人隐私数据的保护、信息保护相关法律的发展,缺乏“公共安全”“公共福利”意识。公共大数据安全立法应依据公共福利、信息安全、公共产权和科学民主四大原则。
关键词:公共大数据;立法;信息安全;公共福利
公共数据信息的增长和大规模应用暴露了一系列的公共属性的管理问题,社会对于大数据立法的需求日益增长。公共大数据资源立法管理应跟上社会变化并统筹全局,然而除个别省份出台了地方行政法规,至今仍没有全国统一的专门法。从当前文献来看,就信息安全方面的研究主要侧重点是公共领域大数据的应用和公民个人大数据的隐私权保护。地方立法表现在促进大数据经济发展、大数据应用等方面,对于公共大数据的资源采集、信息安全、资产保值、市场监管尚无深入探讨。为完善大数据环境下国有资产保护与国家安全的目的,本文试图从公共大数据角度,探讨公共信息资源相关方面的立法原则、基本关系和合理性问题。
一、公共大数据立法现状
(一)国外公共大数据立法现状。国外公共大数据立法的理念主要是建立个人数据保护法律和政府信息公开体系,立法主要有3种类型:1.侧重于保护个人数据和隐私的法律法规自有公共信息管理涉及个人信息泄露事件以来,欧美等国家纷纷出台了相关法律。最近出台的关于数据信息保护的法规具体包括:英国《2017年数据保护法案(草案)》更新和强化数字经济和大数据时代的个人数据保护,取代了《1998年数据保护法》。欧美信息保护大国,如德国2002年颁布了《联邦数据保护法》,法国有《数字共和国》以及最早的欧盟《一般数据保护条例》,还有一些国家直接用保护个人信息作为法律名称,如加拿大的《个人信息保护法案》、新加坡的《个人数据保护法》、韩国的《个人信息保护法》。其中对全球的数据信息安全立法思想产生最为深远影响的,当属欧盟的《个人数据保护指令》(1995)。2.促进本国政府数据信息公开和共享的法律法规如以美国为代表的国家,制定《信息自由法》用以限制公权力利用信息不对称的优势对个人信息权利的侵害。在《信息自由法》的基础上发展而来的一系列法律,如1991年的《全球变化研究数据政策》,2009年又进一步出台《开放政府指令》,到2012年时,美国已经将国家安全考虑在内,《美国信息共享与安全国家战略》也最终颁布。在英国,2000年实施的《信息自由法案》明确了政府数据信息有向社会开放的义务,而公民则有获取政府持有的信息的权利。2013年为适应大数据时代的新变化,该法案增加了涉及政府对于那些可以二次利用的数据集进行公开,以及公开的许可机制和相关标准等的规定。3.以国家主体数据流跨境保护为主的法律法规欧盟《1995年数据保护指令》对计算机处理个人数据作出规定,禁止向欧盟以外的其他国家和地区转移含有个人信息的数据。只有当其他国家或地区通过相关国内法或国际承诺,保障公民个人数据安全时,才允许将欧盟境内的个人信息转移、存储到境外国家进行处理。目前,瑞士、加拿大、新西兰等一些发达国家获得了欧盟的数据转移许可证。2013年俄罗斯酝酿修正关于互联网信息交流的一系列法律,第二年发布联邦第99号《关于信息、信息技术和信息保护法》,该法对境内信息出境和境外保存作出了相关限制和要求。加拿大《个人信息保护和电子文件法》规定进行个人信息的转移和传输应当对个人信息负责,包括跨境传输。印度的电信许可协议中要求各类电信企业,不允许将用户账户信息、用户个人信息转移至境外。韩国的《信息通信网络的促进利用与信息保护法》规定数据拥有者和使用者,有防止任何重要数据信息通过互联网或物理途径流向国外的责任,主要包括有关工业技术、科学技术、经济统计等数据。此外,澳大利亚、意大利、匈牙利、印尼等国也立法要求数据信息存储在境内。通过以上分析可以看出,国外虽然很早就立法保护个人信息,保障公共信息开放获取,也制定了跨境数据交流的保护制度,但至今仍没有任何一部专门针对大数据信息安全问题的立法。
(二)国内关于公共大数据立法的现状。公共大数据信息安全方面的立法在我国至今仍处在探索阶段,从我国的立法情况看,大致可以分为战略规划、经济促进立法、电子政务公开带动立法和网络安全法替代大数据安全法四种。
1.以促进发展为主的国家总体战略规划。2015年8月,国务院颁布了《促进大数据发展行动纲要》(以下简称《纲要》)。该《纲要》分为4部分:发展形势与重要意义、主要任务、指导思想与总体目标、政策机制。《纲要》意在推动和解决进一步深入发展信息化的问题,主要包括:经济活动中各类数据和信息的孤立、不统一,同一时空对象所属的各类数据和信息的割裂和遗忘,政府政务数据信息开放、共享程度低等体制制约的弊端,数据和信息服务水平不高。《纲要》全文主旨是发展,对安全问题提出建议也同样以促进经济发展为目的,如“强化安全保障,提高管理水平,促进健康发展”部分提出,“建设国家网络安全信息汇聚共享和关联分析平台,促进网络安全相关数据融合和资源合理分配”“增强网络空间安全防护和安全事件识别能力”。唯一涉及公共信息安全的是“切实加强对涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的保护”,并未就安全立法提出要求。这类战略指导性文件将推动公共大数据立法的发展,具有引领作用。
2.服务于地方经济发展的地方性法规。2016年3月,贵州省正式颁布实施了全国第一部专门的大数据地方性法规,《贵州省大数据发展应用促进条例》。此前2016年2月,贵州刚刚被定位为中国第一个大数据综合试验区,为国家级。该试验区计划承担多项任务,包括数据资源共享开放、产业聚集、数据流通、制度创新等。在此背景下制定的地方性条例的主要目的是服务于地方经济发展,其缺陷主要是,一是体现出地方性特点,二是对安全保护的考虑略显欠缺。如当遇到重大的大数据安全事故之时,必须立即启动紧急方案,“及时采取补救措施……并按照规定向有关主管部门报告”。“非法采集、销售涉及商业秘密或者个人隐私数据……没收违法所得”并处以罚款。尤其是遇到“非法采集、销售涉及国家利益、公共安全和军工科研生产等数据的,按照有关法律法规的规定处罚”,显得相关惩罚力度不足。从各种开放和促进数据共享的规定来看,该条例是一部标准的扶持大数据行业发展的条例,安全保护方面的规定较少。但随着大数据经济的发展,公共大数据管理上的问题会日益凸显,必将催生新的管理制度,从这个角度看,这对大数据立法有益。
3.为推进政务服务改革提供法治保障的省级政府规章。2017年5月,《浙江省公共数据和电子政务管理办法》颁布,这是公共数据和电子政务相关领域的第一部省级政府规章,立法目的是为浙江利用大数据信息技术深入推进各项政务服务改革提供法治保障,其中仅有一条提及信息安全,“公共管理和服务机构与公民、法人以及其他组织开展公共数据合作时,应当征得……主管部门的同意……”。纵观该规章,着重推进政府互联网公共服务能力、加强公共数据和电子政务建设,该规章为浙江大数据政务提供法治保障,无疑是为国家实施大数据电子政务战略提供了一种建议。该规章的出台也将带动全国公共大数据安全立法。
4.涵盖公共大数据立法相关功能的网络安全法。2017年6月《中华人民共和国网络安全法》正式实施,该法主要从互联网基础设施安全、网络运营环境安全、国家网络空间主权等方面制定,是我国第一部网络安全法律,其中也提到了网络信息安全,但仅仅以管理网络运营者的角度去维护个人信息安全和加强信息不当传输的监管,如第四章第五十条“国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输……”,全法未见专门就公共大数据信息安全的规定。但总体上看,在网络信息传输安全方面,涵盖了公共大数据安全的一小部分功能。
二、国内外大数据立法的特点和不足
(一)国内外公共大数据法律法规的特点。1.围绕数据保护和数据开放两种相互矛盾的立法精神发展。一方面,从“公民权利”“自由经济”角度出发,立法往往从个人隐私的保护、企业商业机密的保护的角度出发限制数据开放;而另一方面,为限制政府信息优势过于强大,实现公民知情权利,要求公开政府信息,主张数据公开。这两种法律精神之间形成相互矛盾的现象,而在同一国不同法律条文上也往往表现出这一点。2.注重公共数据的开放和个人隐私数据的保护。世界上不少国家,如美国、英国、德国都有关于“公共信息开放”和“个人信息保护”的专门立法。这主要是由西方国家重视限制政府权力、保护公民个人隐私的民主立法传统发展而来的。从这些法律上看,无疑是重视公共信息的开放,而没有强调公共信息保护;重视个人隐私数据的保护,而没有强调社会公共体大数据开发的价值。3.公共大数据信息安全立法由信息保护相关法律发展而来。欧美一些民主发达国家信息安全意识强,立法起源较早,如美国早在1966年就制定了正式的信息立法——《信息自由法》。大数据信息相关法律则是在这类信息保护法的基础上发展起来的。无论是欧洲、北美国家,还是澳大利亚和韩国等,都在国内原有的个人信息保护立法的基础上,对旧法进行了修正,完善本国大数据方面的相关法律制度,以适应新环境。
(二)国内外公共大数据安全立法的不足。
1.大数据立法缺乏“公共”意识。目前国际上尚无公共大数据保护专门的立法。目前欧美国家主要从政府和公民个人二元对立的角度来立法,缺乏既含有政府,又含有公民二元统一的“公共”意识,即不能站在维护公共利益的立场来看待大数据相关立法。这又涉及大数据的产权问题,具有公共属性的大数据财产、处置、保护、保密等。
2.公共大数据信息“安全”意识不足。随着大数据技术的发展,旧有的政府信息公开法强调各政府部门数据开放,而无法意识到数据大规模处理将给整体社会带来的威胁。大数据信息安全问题由此暴露出来。如,美国20世纪颁布的《信息自由法》规定政府信息具有普遍公开性,那些不得公开的信息则属例外。政府机构在决定信息是否公开的问题上,没有完全的自主权。除了那些要求被保护的信息,如牵涉到国家的安全、公民的隐私、商业机密的信息,为了让人民监督政府,其余所有的政府信息均须无保留地公开。大数据技术的发展完全可以通过技术手段使用不同的数据源交叉验证来获取一部分未经披露的保密信息。
3.强调大数据经济开发而采取扶持政策,忽略其公共福利属性。从“大政府”“全球化大社会”角度出发,国家经济发展需要强有力的整合来促进大数据应用和发展。通过立法将数据上升为国家的战略资源,重视公共大数据经济开发与发展扶持,通过数据的开发和利用,促进经济增长,同时,企业尤其是跨国互联网企业也正在加快用大数据技术采集信息的速度。这无疑加深了“数字鸿沟”,进一步导致信息资源应用、信息可及等方面的不平等。通过上述分析可以看出,国外更注重个人隐私保护和政府信息公开,国内则更倾向于经济发展所需的扶持大数据开发政策,对于政府和企业掌握的公共信息大数据安全问题均无专门立法,也无特殊的规定。中外立法实践主要集中在政府数据开放、个人数据保护、数据跨境流动和数据流通与交易四个方面,大数据信息安全方面的立法意识与实践仍显不足。立法思想意识方面主要表现在缺乏安全保护意识、公共集体意识和公共福利意识。
三、公共大数据安全立法的原则
公共大数据不但可以促进社会新的经济增长,同时也在不断威胁社会的公共安全,应从公共福利安全、国家安全和公共财产安全等方面考虑,对公共大数据信息的生产和加工、存储和传输、应用和流通加强管理,从源头上发现潜在威胁,用立法手段保障社会公共安全。
(一)公共福利原则。公共大数据信息具有公共福利性质,公共性主要表现在:一是其具有共享性,二是其具有消费的无损耗性。共享性决定了其基本属于公共物品范畴,具有信息消费的非排他性,表现在使用过程的公共性、消费支付的公共性和信息使用的普遍性三个方面。信息收益也具有非竞争性,公民有权获取公开的公共大数据信息资源。公共大数据信息资源的开发和利用效益应该由全体公众所共有共享,而不应将其分割归属不同的独立的个人和单位。
现实情况下公共性的展现往往需要一定条件:一是“公共池塘物品”(非竞争性不充分的公共大数据信息资源)往往受信息获取的物理条件所限,数据共享带宽局限,访问拥堵;二是“俱乐部物品”(非排他性不完全的公共信息资源)有一些公共大数据信息资源,但是在特定的条件下会出现排他性和竞争性问题,如,归会员公有的会员制俱乐部物品或部分产权公有的公共物品,比如各高校采购的大数据信息通过局域网限制访问[1]。为此应该通过立法保障公共大数据信息的公共福利性质,维护大数据资源获取的公共性,才能实现其公共福利属性,立法可参照公共信息管理相关法律以及公共图书馆法的立法原则。按照平等、公平、开放、共享的原则向全社会公众提供公共服务。对信息获取困难的弱势群体,应积极创造软硬两种条件,提供适合他们的大数据信息、无障碍信息获取设备和服务等,以弥补“数字鸿沟”带来的社会不公平现象。政府应设立切实可用的公共大数据信息查询终端为公众提供查询服务。要领会《促进大数据发展行动纲要》的精神构建全社会大数据信息统一管理标准,支持大数据信息开发和保存技术研究,推动公共大数据信息总量增长、技术进步。
(二)信息安全原则。公共大数据立法应遵循安全原则。随着信息公开法的制定和完善,政府数据信息呈现逐渐开放的态势,大型企事业部门的数据不断公开,使得通过多渠道“拼图”方式获取国家整体的政治、经济、军事和社会信息成为可能,这将给国家的军事安全、经济安全和社会安全带来威胁。
第一,国家安全方面。在大数据背景下,国家主权内涵扩展到了信息主权领域,从物理到虚拟,大数据的跨境流通安全、数据保密安全已成为国家主权、国土安全、军事安全、情报安全和网络安全综合监管的重点。因此,数据安全就是国家安全的一个标志。在大数据信息主权的权利方面,国家行使本国的公共大数据信息主权,独立自主地管理和保护本国的大数据信息,应排除外国及其企业机构对我国大数据信息进行的采集和加工,对危害国家利益的数据的采集和加工。网络安全形势复杂而严峻,应立法保障国家关键数据安全,应对涉及国家安全的公共数据窃取、数据攻击行为加大打击力度,增强人民和国家的公共大数据安全意识。
第二,经济安全方面。大数据威胁经济安全,大型电商公司掌握并不断积累着全社会日用商品的流转数据,此类公司已具备或正在形成威胁社会经济安全的能力,如果其拥有的大数据应用能力被用于违背公共福利的原则,为个人或某个单位、某群体所利用破坏社会经济秩序,会造成经济动荡或某层次、行业、领域、时间段或区域的经济垄断,并引发严重的社会问题并威胁国家安全。隐私数据可能与公共安全密切相关,甚至是涉及国家安全的,例如健康数据可以将药品销售大数据与流行病疫情联系起来、将药品商业活动与经济安全联系起来。因此,不能一刀切禁止或开放隐私数据。企业大数据威胁到了国家安全,应加强监管。企业应当清楚地说明收集数据的来源、依据和用途,其数据结果是否与第三方分享等。企业是市场经济的主体,企业公共大数据信息直接关涉到国家市场经济的整体与局部安全。因此,大数据立法的安全原则应在保障市场经济安全方面有所体现。
第三,社会安全方面。大数据挖掘可以使社会关系网络地图、个人兴趣爱好、隐私绯闻、生理缺陷和心理障碍信息都可以被采集。这些大数据信息的泄露可以影响社会稳定,引发不和谐。在21世纪,大数据网络无处不在,个人在数据资源获取方面处于弱势,外部主体在个人数据的收集、挖掘、记录、流转、交易、存储、运用等环节中处于优势地位。大数据信息滥用会引发对个人人身权和财产权的侵犯,从而破坏社会安全。数据优势方可以通过解释、篡改、截取、夸大、隐瞒大数据结果的方式引发社会矛盾冲突。因此,社会安全是大数据信息安全立法的一项重要原则。总之,对公共大数据信息与技术立法监管是公共信息安全的需要,直接影响国家的政治、经济、文化、社会、国防、生态等领域,如果丧失了对大数据信息的控制权和话语权,势必危害国家信息主权。数据开放,对谁开放?如何开放?什么时间开放?由谁开放?这些问题解决不好就会影响到信息安全。2014年英国拟定了一项重要的法律——《欧盟一般性数据保护条例》,其中有许多内容专门涉及大数据,如对于数据匿名、数据脱敏、数据删除、数据清洗等,规定了企业大数据泄露事故的责任,明确按照其全球营业额的4%罚款[2]。因此,公共大数据立法应当确立大数据信息安全原则,保障国家、社会和人民的信息安全。
(三)公共产权原则。公共大数据信息属于典型的公共物品,同国防设施、交通设施、防洪工事、国家制度、精神文化一样具有公共物品性质。大数据也是一种公共资产,明晰数据所有权,有利于维护公共福利和公共安全。“信息既可以作为物质生产和再生产的手段而成为配置性资源,也参与社会时空的组织而成为权威性资源”[3]。公共大数据可以理解为数据公共资源,即没有任何主体指向的数据。比如,天气预报、政府经济运行报告等对国家的续存有重要意义。对政府来说,公共大数据是“国有资产”,应防止数据流失、加强数据监管。政府各部门和下属单位经过多年的存储加工和生产,均有各自系统内的大数据资源,涉及经济、市场、气候、交通等多个方面,这些大数据资源约占全国大数据总量的80%以上[4]。这些数据经过加工处理综合分析利用,对于公众领域可以用来指导金融行业风险防控、农业生产预测、智慧城市建设等,提高社会公共服务的水准。而对于私营企业领域可以直接转化成资产。因此立法规范公共大数据信息不被极个别企业或个人获取,确保公共信息资产总价值也是立法的一个重要原则。非政府性质大数据财产,也应纳入国家监管范围。相关研究表明,2011年全球数据总量约有1.8ZB,而到2020年将会迅猛增长到44ZB(44万亿GB),而在大数据应用环境中可能会使用约16兆字节,人们相信到2025年数据的总量将高达180ZB[5]。未来音视频、图片、文本等非结构化数据约占75%,而其中的绝大多数数据并非由政府产生和控制,而是互联网、物联网企业[6]。大数据信息资源不同于一般的物质资源,其共享与使用具有非排他性。掌控公共大数据的企业应当为保护国家数据财产安全负责,也应按大数据公共产权原则将其纳入社会责任监管的一部分。公共大数据产权归集体所有。数据所有权是对相关数据的支配、处置和获益等的权利,立法应明确数据所有权,以及所有权所涉及的地方、国家、国际安全责任范围。这些权利大致包括知情权、同意权、纠错权、共享权、质疑权、司法救济权和受援权。数据资产保值应立足问责制的管理模式,即数据控制者(采集大数据并决定大数据加工方式和目的的主体)对数据安全管理的责任,要求其负责公共大数据信息财产产权的安全,包括对公众的报备、公开,接受监管部门的审查和监督。
(四)科学民主原则。公共大数据立法应遵循科学、公平、平等、公正和民主原则。第一,科学正确地使用数据是实现大数据效用的关键,技术是实现公共大数据生产的有力保障。立法扶持具有公共事业性质的大数据科学研究与技术进步,鼓励社会和企业探索大数据科学,对政府、企业和个人三方公共大数据信息应用环节的科学性相互监督,相互审查,相互验证,以确保数据与现实世界的关联性和数据的准确性。此外,数据科学性和解释权归集体所有。第二,立法的目的是为了实现公平,公共大数据安全立法同样应遵守公平原则。社会任何成员都对社会整体利益享有平等的权利并履行相应的义务。而在不公平的社会规则下,社会成员的权利和义务往往失衡,这是与人类公德心相违背的。立法应当平衡公共大数据资源利用的优势与劣势,维护数据资源可获取的平等权。第三,公共大数据信息安全立法还应遵循民主和平等原则。平等是社会民主的主要表现之一。法律负有广泛的社会责任,即保证所有社会成员不受歧视,在公共大数据信息资源获取权利上享受同等对待,不分种族、信仰、族裔、地区和贫富,实现彻底的平等。平等原则,要求大数据信息安全立法的实践与应用各环节中,所有参与者在法律上具有平等的地位,除被剥夺共享大数据资源权利外的每个社会成员的合法权益都应得到法律的保护。2009年以来,欧美一些国家纷纷掀起“数据民主”运动。英国提出“数据权利”(RighttoData)的概念,认为信息获取是信息社会公民一项基本的权利。
四、结语当代人类社会已经进入大数据时代,伴随着数据数量的不断增长和价值的提高,大数据也给公共安全、社会公平和正义带来了威胁。加强公共领域大数据立法、保障公众安全、促进社会发展显得十分迫切和重要。世界各国在大数据立法方面有所探索,主要表现为从原有信息自由法、政府信息公开法延伸出来,或从个人隐私信息保护、跨境数据流动立法方面有所突破,而中国的《网络安全法》和一些地方性政府政策探索了大数据立法。然而,对公共大数据安全领域的探索仍显不足。公共大数据立法实践应按照公共福利原则、信息安全原则、公共产权公有原则和科学民主原则来操作。
【公共大数据信息安全立法分析论文】相关文章:
分析电子商务中的数据安全论文04-26
信息安全工程分析论文10-11
大数据时代银行信息安全保护探究论文10-11
大数据信息安全风险框架及策略论文10-11
大坝安全预警信息管理的分析论文10-12
大数据时代信息安全问题探讨论文10-10
实验数据的计量经济分析挑战与机遇论文10-10
Hadoop物联网数据挖掘的算法分析论文10-10
大数据信息安全风险框架与应对策略论文10-11
大数据下计算机信息安全技术探析论文10-11