研究成果
当前位置: 首页->科研学术->研究成果->正文

专访数据法治研究院院长时建中:数据安全是最基本的安全

时间:2021年07月10日 08:00    来源:中新经纬    作者:admin    阅读:

中新经纬客户端79日电 (付玉梅 常涛)在数字全球化趋势下,中国企业数据势必面临着跨境流通问题,安全始终是悬在头上的一把剑。7日上午,中央纪委国家监委网站发文指出,互联网企业的数据安全问题也可能从不同方面影响国家安全。

没有数据安全就没有国家安全。中国政法大学副校长、数据法治研究院院长时建中在接受中新经纬客户端专访时多次强调这句话。时建中认为,企业必须在数据安全和商业利益之间作出取舍。

中国政法大学副校长、数据法治研究院院长时建中


在数字时代,数据安全是最基本的安全

中新经纬:多家中概股企业接受网络安全审查,数据安全备受关注。何为数据安全?对于这些企业来说,哪些数据在数据安全保护之列?

时建中:首先要明确一点,围绕数据安全,中国相继颁布了《国家安全法》《网络安全法》以及《数据安全法》,基本形成了较为完整、全面的安全法律体系。何为数据安全,在《数据安全法》中有明确定义,就是指通过采取必要措施,确保数据处于有效保护、合法利用的状态,进而具备保障秩序安全能力。

哪些企业数据在数据安全保护之列,实际上回到了数据分类上。《数据安全法》中有明确规定,要对数据进行分类分级管理,依据的就是数据在社会经济发展过程中的重要程度。


中新经纬:为何要重视数据安全?有何深刻内涵?

时建中:我们已经进入了数字时代,无论是个人还是企业,这些法律主体的身份都已经被数字化了。不仅如此,市场主体、消费者和政府部门广泛地利用数字技术和网络处理经济事务、社会事务和政府政务等,实际上,企业、个人乃至政府部门的行为在数字化。

数字化就意味着会产生大量数据,涉及到企业商业信息、个人信息和公共信息。在数字时代,数据安全是最基本的安全。没有数据安全,就没有国家安全。

我们回过头来看三部有关数据安全的法律,实际上是一脉相承的。法律地位最高的是《国家安全法》。网络和信息技术迅猛发展,已经深度融入我国经济社会的各个方面,网络安全已成为关系国家安全和发展,关系人民群众切身利益的重大问题,成为国家安全的重要体现,所以制定了《网络安全法》。基于网络和数字技术产生的数据,不仅是信息载体而且是关键生产要素,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,所以又制定了《数据安全法》。

所以,维护数据安全,不仅有助于维护了信息安全、财产安全,而且也维护了国家安全。数据的重要性,要求我们一定要坚持总体国家安全观来维护数据安全。总之,维护国家安全,必须维护网络安全。但没有数据安全,维护网络安全也就失去了意义。


中新经纬:目前,美国对在美上市企业有一定的信息披露要求,这势必涉及中国企业数据出境问题。美国是如何要求的?中国目前有哪些法律做了要求和规范?

时建中:首先,所有国家的证券市场对上市公司都有一个最基本的信息披露要求。但无法回避的一个问题是,在数字时代,尤其是对高科技公司来说,几乎所有的信息都表现为数据载体,最有商业价值的信息和资产就是数据,最重要的信息就是数据信息。

所以,科技公司上市信息披露就会涉及数据法治方面的强制性要求,进而涉及到数据跨境方面的法律冲突。其他国家依照本国法律,要求在本国证券市场上市的公司披露相关信息。但是,在中国,《网络安全法》就对数据出境作出严格要求,在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当按照相关办法进行安全评估。

也就是说,一家中国的企业如果去美国上市,既要遵守美国关于信息披露的相关规定,又不得违反中国的网络安全法律规定。

一旦出现冲突,常规的做法是不同司法辖区通过监管合作来解决相关的问题。如果无法达成双边的监管合作协议,就要看有没有各方共同参与、适用的一些国际规则。如果也没有国际规则,每个国家都有权力依照自己的法律来行使一些相应的管辖权。

若从国际经济体系的合作理念来看,即国家之间到底是要坚持多边主义进行合作,还是说要奉行单边主义进行打压,显然有很大的差异和影响。中国一直在以自身实际行动诠释多边主义的理念。


中新经纬:中国企业赴海外上市会受到哪些影响?要如何平衡数据安全合规与业务发展,遵守哪些边界?

时建中:中国企业赴海外上市一定要进行足够的风险评估。中国企业首先有义务遵守中国的法律规定,不能置中国法律的管辖权和权威性于不顾,突破中国法律的界限。

企业数据若不受限制地出境,影响是多方面的。首先,它涉及到大量的个人数据,关乎个人隐私。其次,在数字化时代,任何企业都不可能孤立存在,会与其他企业发生交往,相关数据也牵连到合作企业的商业信息甚至商业秘密。还有前面所讲的,一些数据已经超出了个人隐私和商业秘密的范畴,关系国家安全。

当不同司法辖区的法律发生冲突,企业确实陷入两难之境,但是,中国企业有义务遵守中国关于数据安全的强制性法律规定,这实际上也是在数据安全和商业利益之间的选择。


规范数据处理活动,就是为了保障数据安全

中新经纬:《数据安全法》即将于91日施行,要落到实处,面临哪些难点?

时建中:首先,我们应该树立数据安全意识,特别是在数字化时代,哪怕不了解这部法律的具体规定,也必须要树立数据安全的概念,这是第一点。

第二,坦白说,现在企业在数据安全合规方面的能力还不足。因为对企业来说,数据合规的专业性较强,成本较高。

第三,尽管我国现在建立起了关于数据安全的基本法律制度框架,但是在数据处理的具体规则上,我们还有很多不足,需要进一步完善。例如,《数据安全法》提到的数据处理行为,包括收集、存储、使用、加工等等,相应的规则都不够清晰。比如,近一年多工网络监管部门多次通报了许多App违规收集、使用个人信息,这些乱象正在逐步整改。

第四,数据安全的监管、执法体制还需要进一步强化协同。现在的情况是分部门、分地区来监管,各个部门和地区之间会出现大量的交叉重叠,甚至形成多头监管的局面。因此,形成高效明确的协同监管机制很重要。


中新经纬:随着大型互联网平台企业的日益壮大。在约束企业行为方面,各国是如何进行的?

时建中:对一个高科技企业来说,搭建商业模式需要大量的数据、精准的算法和强大的算力。如果连数据都没有的话,数字平台商业模式无从搭建,更不要提商业模式的创新。数据垄断是平台企业获得和维持市场势力的前提。

对此,世界上以美国、欧盟和中国为代表的三大司法辖区都给予高度关注,但是,由于这三大司法辖区的数字经济发展基础和表现不同,在数据监管方面也有许多差异,不能简单移植。

以欧盟为例,2018年生效的欧盟通用数据保护条例(General Data Protection Regulation,简称GDPR),管辖之广与处罚之重,都在全球内开创了先河。但应注意到,欧盟目前没有一家具有全球竞争力的高科技公司。所以,这部法律指向的主要是其他国家在欧盟从事经营活动的高科技企业。

而类似上述的法律条例,不可能率先出现在高科技巨头林立的美国。美国最近一段时间的反垄断执法立场和态度也非常不确定,一度把反垄断之锤高高举起,又轻轻放下。而且,美国国会、监管机构和法院的态度又不尽一致。尽管如此,持续保持美国高科技企业在全球的竞争力,一直是美国的基本战略或者国策。

中国的情况比较特殊,在商业模式创新方面的能力还是比较强的,但是,支撑商业模式的底层基础技术、关键技术的创新能力还有很多不足。面临这样的全球竞争格局,中国应该采取什么样的监管策略,值得认真思考。

数据是平台经济的关键要素,数据跨境流动对诸多方面的安全都有影响。总之,数据安全与有效运用并不矛盾,不可偏废。规范数据处理活动,就是为了保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。