數據安全是數字政府的生命線
【資政場】
6月10日,數據安全法獲表決通過。數字政府作為數字中國、數字經濟的重要基礎,已成為提升國家治理能力現代化的重要戰略舉措和推進服務型政府建設的有力抓手。當前,“一網通辦”“跨省通辦”、政務“秒批”“秒辦”、身份證“網證”、“城市大腦”等試點示範措施,有力促進了政府和社會治理的高效化、精準化和智慧化。但不容忽視的是,數字政府系統作為超級數據平臺,面臨巨大的安全威脅和風險,如駭客對政府網站的攻擊、金融數據被不法分子竊取、個人敏感資訊大規模洩露等。可以説,數據安全是數字政府的生命線,個人資訊保護是數字經濟的底線。國家作為數據安全和個人資訊權益的守護者,在數據安全法頒布後,仍需從以下幾個方面夯實數字政府建設的基石。
構建一體多翼治理體系
建設數字政府、提升國家治理效能,需要遵循“以人民為中心”的理念,強化頂層設計,綜合運用法律、制度、標準、技術等多元治理工具。
法治軌道上運作的數字政府負有雙重責任:一方面,政府必須依法行政,不能無限制收集數據和個人資訊,遵守“合法、正當、必要”原則,同時履行安全保障義務。另一方面,政府要積極履行監管職能,維護數字經濟中數據共用流通秩序和數據安全,保障個人資訊權益。刑法修正案、網路安全法、民法典已經對數據和個人資訊處理的基本規則,權利歸屬、安全義務和法律責任作出部分規定,剛剛頒布的數據安全法和正在制定的個人資訊保護法的規定更為全面具體。
因此,首先要建立全方位、動態保護管理制度,全面防範風險。按照數據安全法的要求,建立數據分類分級保護制度,確定重要數據目錄,加強對重要數據的保護,尤其要對關係國家安全、國民經濟命脈、重要民生、重大公共利益等方面的數據實行更嚴格的管理制度;落實網路安全法、《資訊安全技術 網路安全等級保護基本要求》的規定,進一步細化數字政府中的雲、網、平臺、數據、系統等關鍵資訊基礎設施和政務數據的安全保障制度;完善數據流動管理制度,尤其是數據出境安全評估制度;改進數據安全監測預警與應急機制;構建個人資訊處理的風險評估和合規審計制度;建立個人資訊保護負責人制度等。
其次,發揮技術標準對數字治理、數據安全和個人資訊保護的基礎性、規範化和引領性作用,推進數據安全標準體系和個人資訊保護標準規範的建立,尤其是要針對敏感個人資訊以及人臉識別、人工智慧等新技術、新應用,及時制定專門的個人資訊保護標準。
最後,通過自主研發的核心技術為政務數據和個人資訊上鎖。加大研發和創新力度,掌握大數據安全治理的核心技術,建立相對獨立的安全防護系統,發展具有自主智慧財産權的數據安全産業,為數字政府建設和個人資訊保護提供安全可靠的技術支撐。
建立多元高效、激勵相容、職責明確的監管機制
數據安全和個人資訊保護的法定義務以及具體制度需要外部監管制度來保障落實。因此,不僅要建立事前預防、事中監督和事後處理的全流程高效監管制度,而且需要綜合運用風險管理、行政調查、行政處罰和刑事制裁等多元監管手段,加大對違法行為的處罰力度,強化處罰的威懾作用。同時也要探索設計鼓勵義務主體主動守法合規的激勵相容機制,實現從單向的外部監督向權利控制與激勵機制並行的多元治理機制轉變。
對於負有監管職責的政府部門而言,則應當明確主體職權,確保監管責任落實到位。根據網路安全法、數據安全法以及個人資訊保護法的二審稿,數據安全和個人資訊保護在中央層面,分別由中央國家安全領導機構和國家網信辦負責統籌協調,而具體的監督管理工作則由分散于各領域、各行業的監管部門在各自職權範圍內負責,這與數據處理的數字化場景性、跨區域性、空間不確定性等特徵不甚相符。如何廓清各監管部門之間的職責界限,如何協調屬地管轄衝突,仍有待探索。在無法改變現有行政監管機構設置的情形下,新頒布的數據安全法明確建立的工作協調機制具有重大意義。合理高效的工作協調機制有利於加強中央和各級監管機構對數據安全和個人資訊保護工作的統籌協調、協作監管。
通過行政公益訴訟築起司法防線
若手機App大量違規收集並不當使用用戶資訊,醫療機構、快遞企業或者校外培訓機構大量洩露個人資訊,而負有個人資訊保護職責的行政機關怠于履行監管職責,個人若針對侵權主體提起民事訴訟或針對行政機關提起行政復議及行政訴訟,維權成本和難度都很大,無法有效實現法律救濟,此時行政公益訴訟將大有用武之地。
檢察機關已經將個人資訊保護納入檢察公益訴訟新領域。截至目前,全國已有19個省份通過地方人大決定的形式明確要求檢察機關積極穩妥開展個人資訊保護領域公益訴訟。今年4月22日最高檢發佈的11件個人資訊保護公益訴訟典型案例中,有6例行政公益訴訟案件,既涉及行政機關在履行政府資訊公開職能時洩露不應公開的公民個人資訊的情形,也包括在前述典型場景下,通信管理機關、公安機關、網信辦、市場監管局、郵政局和教育局等行政機關未履行個人資訊保護和安全監管職責被督促履職的情形。檢察機關還可通過制發訴前檢察建議和社會治理類檢察建議,依法督促行政機關履職整改,推動資訊處理主體加強安全保護措施,堵塞漏洞、防控風險。
雖然行政訴訟法第25條可以為檢察機關的實踐探索提供法律依據,但更為妥適的做法是立法者在個人資訊保護法中分設民事公益訴訟條款和行政公益訴訟條款,將這一有效的司法救濟方式明確規定在個人資訊保護的基本法中。
在數字政府建設中維護網路和數據安全,保護個人資訊權益是政府、企業、社會組織、公民共同的責任,需要各方主體協同共治,共築安全防線。同時,在數字政府建設中,大數據、雲計算、區塊鏈等數字技術的運用,推動了單一化的、以政府為主的傳統治理模式向企業、社會、公民全方位參與的多元主體協同共治模式轉變。而數據安全保障和個人資訊保護的複雜性、專業性和高風險性使其單靠政府一方的力量難以實現,需要監管部門、網際網路企業、網路平臺、數據和資訊處理主體、行業自律組織、公民個人共同參與,形成“共建共治共用”的治理機制,實現數字政府的長治久安。
(作者:喻文光,係中國人民大學未來法治研究院研究員)
