(相关资料图)
8月4日下午,由中国社会科学院大学互联网法治研究中心主办的社科大互联网法治论坛第56期、洞察数据系列论坛第7期“数据安全合规监管与治理”学术研讨会举办,多位学界、实务界专家参与研讨并作主题发言。会议由中国社会科学院大学互联网法治研究中心执行主任刘晓春主持。
百度数据管理与安全合规办公室的徐全全、孙硕作为行业代表,基于百度的数据合规实践情况,对现行法律法规中有关数据分级分类的要求、重要数据识别义务的设置情况、本企业的数据管理架构、数据安全技术能力建设情况等进行了介绍,就数据分级分类的方式思路、重要数据如何认定、如何开展个人信息保护影响评估等实务界较为关注和尚在争议的问题提出了思考与实践的难点。
北京大学法学院副院长薛军教授在主题发言中指出,目前我国数据分级分类制度设计需回应的目标本身尚不清晰。《个人信息保护法》侧重经济保护意义上的“个人信息由本人控制”,而《数据安全法》可能侧重数据收集和处理活动中因数据出境而带来的国家安全风险或抽象的国家形象、管理秩序等,由于这种制度目标的模糊性,数据安全领域划定明确的界线较为困难。因此面向网络安全的数据分级分类首先需要明确分类目的,并对“不安全场景”加以明晰。
中国社会科学院法学研究所的支振锋研究员从技术发展塑造社会形态的机制出发,指出当前互联网的行业监管制度构建总体上依托的仍然是工业时代国家和市场两分、国家和社会两分的架构,而不是国家、市场、社会深度融合的信息时代架构。信息时代的融合特性使得“国家安全”概念泛在于社会生活的各个方面,同时也要求国家在立法层面回应公众对个人信息安全的忧虑。互联网企业同时集成了国家安全和个人信息两方面的风险,因此数据安全合规尤其具有基础设施属性。通过互联网实务的推动,那些立法上宽泛并且衔接得不够严谨的规范完全可以以国家标准的形式统一起来,因此像百度这样的互联网企业,应当尽可能合作形成共识和行业惯例,以此作为推动标准化规范的依据。
北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括从重要数据与国家的关系角度展开讨论,指出了数据分级和类型化过程中工具自动化以及场景识别的难题,并基于目前数据权属研判机制尚不明确的现状,建议参考域外数据分级分类的前沿实践探索企业牵头的数据合规路径,依托监管互动机制的提升实现企业与监管部门间关于数据合规标准方面的有效互动,并在企业之间沟通协调形成行业惯例,依托产业的集体行动推动整个数据安全产业的规范化和标准化。
中国政法大学数字法治研究院的张凌寒教授在主题发言中指出,从不同的法律规范可以看出学界和监管部门之间就数据如何界定数据分级分类这一问题尚存观点分歧。重要数据的范畴如何划定,个人信息是否应属重要数据,一方面涉及信息本身的量级,另一方面也与相关信息是否与国家安全相关有联系。行业实践中可先从数据种类的界分入手,分级分类标准逐层细化,实现由粗疏到精细的制度建构。她表示,百度公司在数据安全与隐私合规上做了大量的努力,同时,也看到企业在数据保护上的探索与实践,更精细化的管理可以更高效地解决相关问题。
国家互联网应急技术处理协调中心的高级工程师张震则从实务视角出发,指出国家从数据合规相关法律法规体系到执法落地的实际操作,都是一套具整体性的、自上而下的合规要求。企业方面有必要明确在数据的采集、输入、处理、存储、流转、输出各部分中哪些环节需要发力,而不是片面地从数据输出的角度讨论数据安全。个人信息保护影响评估也需要明确一套系统且规范的工作流程,确保在数据处理的每一个环节上都实现合规。他特别提到,业务逻辑是数据合规的基础,因此保障数据安全其实需要对企业自身业务全流程的结构化思维的掌控。
中国社会科学院大学互联网法治研究中心执行主任刘晓春区分了行政监管的日常测评和特定情形这两种典型的合规监管场景,并谈到了司法程序对数据安全的评估考察和合规监管。她指出司法更关注个人信息的保护,如敏感个人信息的单独同意等,因此互联网行业在用户界面的合规与后台内部的合规各自具有其重要性。在监管场景下,企业需要形成一套面向合规的、能够同时满足监管和交易需求的框架机制,包括制定组织规章、设立人员机构、确定操作流程等。她指出,在全社会数字化转型快速发展的今天,尤其是新型产业的快速发展,例如智慧城市、智慧工厂以及智能汽车等前沿领域,百度作为行业代表在开发创新科技的同时,在数据安全与隐私保护实践领域中同时作出前沿探索并付出重要努力,这有助于推动整体行业数据安全建设向前发展,在探索和发展新兴业务领域时,兼顾技术发展与数据安全,符合政策的指引方向,也更容易获得市场认可。
主题发言后,专家们针对实现数据安全需要回应的风险类型、数据调取与数据留证、企业内部的数据隔离和分级管理路径等问题展开深入讨论。