随着《网络安全法》的实施,我国网络安全工作的基本框架、网络安全工作的重点任务和要求得到明确。而具体到数据安全保护,《网络安全法》第37条非常有特色地规定了个人信息和重要数据的出境安全评估制度。如何理解这一制度创新,其落实对建设我国数据资源保护体系具有怎样的重要意义?对此,《网络传播》专访了北京大学互联网发展研究中心高级顾问洪延青。

  《网络传播》:《网络安全法》首次确立个人信息及重要数据出境的安全评估制度,这是出于什么考量?

  洪延青:“数据已成为国家基础性战略资源”,这是指导我国未来经济社会发展的两份基础性文件——《促进大数据发展行动纲要》和“十三五规划纲要”的共同认识。事实上,在国务院和各部门的发文中,有资格被称为“基础性战略资源”的只有数据(或大数据)和档案。但是,国家对数据资源显然尚未形成一套科学完备的、与其重要性相匹配的保护体系。数据出境安全评估,作为《网络安全法》在国家层面保护数据安全的重要一环,迈出了我国建立全方位、多层次的数据资源保护体系的关键一步。

  《网络传播》:《网络安全法》中的数据安全保护体系是怎样构建的?

  洪延青:《网络安全法》有关数据安全保护的条文,根据其保护维度不同,大概可划分为三个层次。首先,保障数据完整性、保密性和可用性,亦即传统信息安全所称的CIA三性,在《网络安全法》的总则部分第10条就予以明确。其次,在个人信息保护方面,注重保障个人对自己信息的自主权和支配权,且条条有创新,与现行国际规则及欧美个人信息保护方面的立法实现了理念上、原则上的全面接轨。最后,国家层面的数据保护,对于网络安全信息这一类重要数据,包括私营部门掌握的网络安全信息,《网络安全法》赋予了国家有关部门收集、分析的权力。

  《网络传播》:怎么定义“重要数据”?建设我国数据资源保护体系的重要意义是什么?

  洪延青:重要数据的重要性,针对的是整体层面的利益保护,即保护国家安全、国计民生、公共利益。因此,只要网络运营者的数据不涉及整体层面利益,就不属于“重要数据”的范畴。换句话说,不论是个人数据还是企业数据,只要有可能危及整体层面的利益,也会被认定为“重要数据”。“重要数据”这个概念的提出,实质上是在大数据时代下维护国家安全、社会公众利益的客观要求,也是国家层面的数据安全保护对大数据时代特点的一种自然反应。在大数据时代,数据的收集、汇聚、流转等大量地发生在公共部门之外,许多企业掌握着海量的数据资源。这些数据,已经具备了影响国家、公共利益的可能性。对国家来说,这样规模的人口基础数据一旦泄露,很可能对国家安全造成严重危害。

  《网络传播》:数据出境控制措施的国际趋势是什么?

  洪延青:从地域范围来说,据统计,目前全球有超过60个国家和地区提出了数据出境控制的要求,当然,各国实施的出境控制所适用的数据范围、控制程度各有不同;从时间维度来看,现有的数据本地化存储规定,大多数是在2000年后做出的。数据本地化存储的兴起,恰恰与互联网、分布式系统、云计算、大数据等信息技术发展同步。(洪延青:北京大学互联网发展研究中心高级顾问)