针对以上问题,围绕“数据开放与数据安全”,对公安部第三研究所网络安全法律研究中心主任黄道丽博士进行了访谈。
嘉宾简介
黄道丽,公安部第三研究所副研究员,二级警督,现任公安部第三研究所网络安全法律研究中心主任。从事网络安全政策法律业务实践和交叉学科研究10余年,主持国家科技部、上海市科委、中国工程院、公安部等国家和省部级项目近10项,主编参编《网络安全法适用指南》《互联网内容安全管理》等著作教材10余部,发表论文30余篇,获得党政密码科技进步奖三等奖1次,个人三等功1次;兼任上海市网络安全和信息化专家咨询组专家,浙江省网络治理法律顾问,中国信息安全法律大会专家委员会秘书长,中国法学会网络与信息法学会理事,华东政法大学兼职教授,《信息安全与通信保密》执行编委。
访谈原文
1、2019年至今,从世界范围来看,有哪些典型的数据安全(数据泄露、滥用)事件?
2、这些事件对于各国的网络安全和数据安全法律法规的发展有何影响?
3、这些影响对于中国的网络和数据安全的法律法规的后续发展有何借鉴意义?
4、您如何看待中国目前的数据产业政策体系?
5、中国目前的网络和数据安全的法规政策体系是否存在一些与数据产业政策法规间的重大博弈?您认为这些博弈的未来趋势如何?
6、从国际上来看,各国的网络和数据安全政策有哪些明显的发展趋势?
黄道丽:当前各国高度重视数据安全政策体系的构建,主要围绕个人数据保护、数据本地化与跨境传输、执法数据的跨境调取等,并呈现以下趋势:
7、从平衡数据开放与安全来看,有哪些地方值得中国借鉴?
8、在中国目前的个人信息保护制度下,要实现数据产业的发展和创新,都面临哪些问题?
黄道丽:当前我国的个人信息保护法律体系正在不断发展完善中,也取得了不少成果,如《网络安全法》、《消费者权益保护法》等。监管机构也依法开展了不同领域覆盖广泛的执法行动,执法力度空前。但以数据法律权属、数据法律性质为代表的诸多基础性的问题还没有解决。《个人信息保护法》目前还处于人大制定阶段,部分已经确立的规则也未能在安全和产业发展之间找到一个很好的平衡点,使得当前的规范体系还不能为平衡安全与数据产业发展提供有效支撑。比如,无论是《网络安全法》,还是近期通过的《民法典》,都非常强调用户同意,但在很多场景下,用户同意并不能真正的实现。而过分强调用户同意,可能会导致企业合规成本大幅增加,从而阻碍产业的发展,抑或用户同意流于形式,损害个人信息安全。目前面临的问题包括:个人信息在内的数据如何合法获取,加工后的数据权益分配,数据如何合法流转,如何有效实施匿名化、脱敏技术达到立法所认定的效果等。
9、从制度上来看,这些问题的解决之道在哪里?目前是否在政策上有一些趋势?
黄道丽:从个人来看,基础性法律问题还是需要解决,如加强数据权利的本质、内涵、外延、客体、分类的研究,为数据权利保护提供底层支撑。针对维护国家核心利益和国家安全需要,明确对个人信息、基因、生物、医疗、地理等类别数据实施重点保护。在充分调研的基础上,加速《个人信息保护法》和《数据安全法》的制定进度,确保基本立法的体系化、基线要求的强制化、行业要求的差异化。建立覆盖数据主权维护、数据权利确认、生命周期保护、供应链条监管、跨境传输审查、境外要素(资本、技术、产品、人员、服务)审查、数据主体监管、数据滥用禁制等数据权利法律制度。