摘 要:数据安全治理的目的是建立和维护一个可信赖的数据生态系统,对于数字经济发展、数字社会建设都具有重要的基础保障作用,已经成为社会治理的重要组成部分。北京市数据安全治理相关法规制度不断完善,规范治理体系不断加强,在法规、政策、机制、平台等方面取得明显成效,呈现出统筹发展与安全、支撑五子联动、注重国际合作等特点。未来北京数据安全治理仍面临新技术挑战和新业态风险、数据跨境流动安全难题、数据安全治理协同困境等挑战,需要不断健全数据安全治理基础制度体系,强化数据安全技术创新、提升数据安全意识、强化跨部门协作机制、推进国际合作和行业自律,加强人才培养。
关键词:数据安全 治理 北京实践
数字经济的蓬勃发展深刻改变了经济社会发展方式,数据作为新生产要素日益成为城市发展的基础性战略资源。数据的高效利用要以数据安全为保障,良好的数据安全治理推动数据价值的有效释放。北京数字经济发展位于全国前列,在数据开放流动、应用场景示范、核心技术保障、安全监管治理等重点领域持续发力。作为首善之都,数据有序流动的治理机制重要性更加凸显。探索数据安全治理的北京实践,总结发展经验和提升潜力,有助于推动北京加快数字经济高质量发展和全球数字经济标杆城市建设。
一、数据安全治理内涵及其在社会治理中的重要地位
(一)内涵及相关理论分析
学界对数据安全治理的内涵有两种视角,一种视角是从微观角度出发,将数据安全治理定义为保障数据在微观主体内采集、存储、传输、使用、共享等各个环节中的安全性的治理。随着大数据应用加快,企业数据应用相关的安全问题受到更多的关注,如2018 年Gartner提出了“数据安全治理”(DSG)框架,认为数据安全治理目的是建立和维护一个可信赖的数据生态系统,以保护数据免受潜在威胁和风险。数据安全治理的实践路径可以界定为“规划-建设-运营-优化”,通过数据安全平台管理安全运行数据(程伟等,2023)。在这一视角下,数据安全治理主要是数据安全保障的制度框架和数据处理措施,包括规范流程、质量标准、定义所有权和责任等方面,推动组织数据管理的有效性,应对各种数据安全风险。
另一种视角从宏观的总体国家安全观出发,沿袭网络安全-信息安全-数据安全的包络关系展开。数据安全治理是公共安全治理的关键组成部分(许可,2019),国家之间数据跨境流动成为突出的国家安全问题(石静霞、张舵,2018),对于数据的保护强化了国家安全的立场(杨蓉,2021),将数据安全治理分为个人数据保护、数据跨境流动监管、数据市场治理、数据内容管理四个细分领域(邵晶晶、韩晓峰,2021)。从这一视角来看,数据安全治理是指在国家整体数据安全战略指导下,依法依规整合多方主体共同参与、协同实施的一系列活动的集合。其涉及包括国家、行业、机构、企业及个人等多元实体,通过健全相关法律法规、政策标准,创新数据安全关键技术,构建形成全社会共同维护数据安全、促进数据开发利用和产业发展的良好环境。
本文认为,数据安全治理是一个连续谱系,涵盖从微观到宏观的不同层面。由于数据本身存在内部流动和外部流动的差异,随着数据流动的范围和频率加快,不同层级之间的数据安全维度也存在交叉的领域,因此将数据安全治理的内涵分为微观企业-中观产业-宏观国家三个层面的连续体。在企业层面,主要包括数据在采集、存储、传输、使用、共享等各个环节中的安全治理;在产业层面,主要包括数据要素市场的安全治理、数据安全相关的技术治理;在国家层面,主要包括数据跨境流动的安全治理、数据基础设施安全治理。
图1:数据安全治理的内涵界定
(二)新时代数据安全治理是社会治理的重要组成
1. 国际数据治理成为国家治理和全球治理的重要议题
随着全球数字化的发展,数据成为重要的经济和社会资源。大量的数据被生成、收集和共享,加之跨境数据流动需求的增加,数据在不同国家和地区之间的传输和存储增加了数据安全的风险。全球各个国家和地区对数据的传输和使用提出了更高的要求,制定了更严格的隐私保护法规和数据管理政策。如欧盟的《通用数据保护条例》和加州《消费者隐私法》都要求企业更加透明地处理个人数据。有效的国际数据治理有助于促进数据流动和全球数字经济的发展。
2. 数字中国建设对数据安全治理提出更高要求
数字中国建设通过创新科技和数字技术的应用,推动我国经济的转型升级、提高社会治理水平、增强国家竞争力。数字中国建设在推动数字化发展的同时,对数据安全治理提出了严格的要求,包括数据分类和分级保护、数据主权和国家安全、数据共享和开放、数据安全技术创新以及数据安全治理国际合作等方面。这些要求旨在保护数据安全、推动数据的合理使用和共享,并加强国家和个人的信息安全保护。IDC预测2025年全球数据量将高达175ZB,其中我国数据量将增至48.6ZB,占全球数据量的27.8%,将成为全球最大的数据圈。随着数字中国建设进程的推进,我国的数据安全治理需求也将持续增加。
3. 北京全球数字经济标杆城市及数据专区建设需要数据安全治理保障
北京市正在积极推进建设全球数字经济标杆城市,公共数据开放、数据专区建设、大数据交易所等加快数据资源集聚和要素化进程。2022年全市数据要素市场规模达到350亿元,占全国数据要素比重达到39%。截至2023年10月,北京国际大数据交易所累计实现数据交易额15.57亿元,开展数据资产登记、评估和入表试点,建设了金融、交通等大数据专区,还将持续探索人工智能、工业等数据专区建设。随着北京加快建设全球数字经济标杆城市,数据安全治理需求也将更加迫切。
二、北京数据安全治理发展沿革及概况
(一)发展沿革
整体来看,北京数据安全治理经历了初期建立、法制完善和治理加强三个阶段。在建立初期阶段,2007年12月北京市出台了《北京市信息化促进条例》,此时数据安全本身还并没有成为一个单独的类别,更多是渗透在信息化领域的安全保障中。在法律制度完善阶段,2017年和2018年相继印发了《北京市政务信息资源管理办法(试行)》和《北京市公共信用信息管理办法》,明确了政务信息资源管理和公共数据管理的机制。这一阶段北京市加大了对重要行业和领域数据安全的管理,加快数据安全防护体系的建立。在规范治理加强阶段,国家层面颁布《数据安全法》、《个保法》修订、《网络数据安全管理条例(征求意见稿)》陆续出台,对数据安全制度、安全保护义务和管理措施等进行了详细的规定。在此背景下,北京市一方面落实上位法要求,加强数据安全法律的本地化落地;另一方面针对北京数字经济发展、自贸区建设等重点领域强化数据安全治理。2021年发布的《北京市公共数据管理办法》明确了公共数据安全管理制度;2022年施行的《中国(北京)自由贸易试验区条例》提出探索制定数据隐私保护、跨境数据流动管理等重点领域规则,分级分类推动数据安全有序流动;2023年施行的《北京市数字经济促进条例》明确提出支持数据安全技术和软硬件产品的研发应用,鼓励数据安全服务业发展,鼓励公共机构等单位提高数据安全投入水平。通过出台了一系列的法律法规和管理制度,逐步强化了数据安全的管理和保护制度。
表1:国家和北京层面出台的涉及数据安全相关法规和政策文件
(二)发展概况
1. 立法先行夯实基础
北京市在数据安全方面制定了一系列法律法规来管理和保护数据的安全性。《北京市信息安全保护条例》是较早出台的地方性信息安全法规之一,对信息安全的管理和保护提出了规定。《中国(北京)自由贸易试验区条例》提出探索制定数据隐私保护、跨境数据流动管理等重点领域规则,分级分类推动数据安全有序流动。《北京市数字经济促进条例》明确提出支持数据安全技术和软硬件产品的研发应用,鼓励数据安全服务业发展,鼓励公共机构等单位提高数据安全投入水平。
2. 政策体系点面结合
数字经济的快速发展背景下,北京市出台了一系列促发展、强规范的政策文件。
一类是针对数据方面的专门性政策。《北京市大数据和云计算发展行动计划 (2016-2020年)》明确了数据安全保障体系和制度标准建设。《北京市教育数据资源管理办法(试行)》通过明确教育数据资源共享的机制和技术接口,提升教育数据安全。《北京市公共数据管理办法》创新性地提出了公共数据的界定,对公共数据的采集、汇聚、共享、开放等活动进行了规范。《北京市数据知识产权登记管理办法(试行)》加强数据知识产权登记监控、保密和全流程数据安全管理。《关于更好发挥数据要素作用进一步加快发展数字经济的实施意见》明确了数据安全的主体责任,在数据安全有序跨境流通、数据安全服务业、数据分类分级保护、数据安全技术体系建设等方面进行了明确的规定。《北京市公共数据专区授权运营管理办法(试行)》明确数据专区数据安全的管理机制。
另一类是重点发展领域强化数据安全治理的政策。《北京市全面深化服务贸易创新发展试点实施方案》以数据出境评估为先导,推进数据安全保护能力认证体系建设。《北京市“十四五”时期智慧城市发展行动纲要》提出建立健全与智慧城市发展相匹配的数据安全治理体系,强化对数据专区的安全管控,完善数据安全监测发现和应急处置体系。《北京市关于加快建设全球数字经济标杆城市的实施方案》明确构建保障数据安全的系统能力、发展数据安全服务业、完善数据分类分级安全保护制度和数据安全技术体系等。《北京市“十四五"时期现代服务业发展规划》支持企业完善数据安全管理制度、加强数据全生命周期的合规管理,支持自贸试验区完善数据安全检测、异常分析和追溯能力。《中国(北京)自由贸易试验区投资自由便利专项提升方案》聚焦智能网联汽车领域数据安全治理的顶层设计,在金融安全、数据安全等领域形成北京示范。《北京市促进通用人工智能创新发展的若干措施》针对创新主体加强网络和数据安全管理,鼓励创新主体开展数据安全管理认证及个人信息保护认证,落实数据跨境传输安全管理制度,全面提升网络安全和数据安全防护能力。
表2:北京市发布的涉及数据安全治理的地方性规范文件和政策
3. 运行机制日益健全
北京在数据利用和安全保护方面形成了一些运行机制,以加强数据管理和保护。一是数据分类和分级保护机制,北京市在重点领域(如公共数据、自动驾驶数据等)探索建立数据分类和分级保护机制,根据数据的敏感程度和风险等级,对数据进行分类和分级保护。二是数据安全责任制,加强数据安全治理和协调,要求各相关单位建立健全数据安全责任制,明确数据安全管理的责任和义务。三是数据安全风险评估和监测机制,建立了数据安全风险评估和监测机制,对重要行业和关键信息基础设施进行风险评估和监测。加强对关键信息基础设施、重要行业和大型企业数据安全的监测、评估和管理,指导抖音、快手、美团等30家企业建立首席数据官制。通过建立金融机构信息系统安全风险评估机制,提高了金融数据的安全性。四是数据安全事件应急响应机制,对数据安全事件进行及时响应和处置,最大限度地减少数据安全事件的影响和损失。五是数据资源开放与共享机制,建立了全市公共数据资源开放平台和数据交换共享机制,促进政府决策的透明和公开,提供更多数据资源支持社会创新和经济发展。
4. 实践探索不断深化
北京市在数据安全领域积极探索和推动,不断完善数据相关的政策和管理措施,促进数据的安全、流动和合理利用,尤其在自动驾驶、数据反不正当竞争司法等领域形成了北京经验。
示范区自动驾驶数据分类分级安全治理加快探索。北京市高级别自动驾驶示范区前瞻性搭建产业数据安全保障体系,率先发布数据安全管理办法和数据分类分级细则,并联合成立数据治理创新中心,持续为产业安全发展提供创新治理经验。示范区发布《2023北京市高级别自动驾驶示范区数据分类分级白皮书2.0》,制定了系统的数据安全分类分级标准,明确数据采集、存储、使用等数据全生命周期的各重要环节安全等级保障要求。牵头搭建业内首个统筹数据安全专业平台,发挥数据治理体系建设协助支撑作用,安全能力建设不断强化,多方面展开示范区安全能力建设,全方位提升数据安全保障。车路云一体化数据安全治理实践为全国智能网联汽车测试示范区提供数据治理的标准化指南,推动车路云一体化数据发挥更大价值,支撑示范区数字经济发展。
图2:北京自动驾驶示范区数据安全管理体系
在数据安全司法判例方面形成了一批典型案例。北京知识产权法院形成了一批数据反不正当竞争的典型案例指导北京乃至全国的数据安全治理实践。案例涉及国内外知名数字企业,涉案行为发生在数据的收集、应用、处理、交易等各个环节。包括抖音短视频抓取案、汽车消费者投诉信息抓取案、游戏账号租赁平台案、“省钱招”流量截取案、高校毕业生就业数据非法使用案、侵犯数据商业秘密纠纷案、微博舆情数据抓取案、饭友app数据抓取案、视频账号分时租赁案、房源信息抓取案等。通过加强数据安全案例的审理和总结、提炼裁判规则等方式,探索与技术发展相匹配的数据安全治理模式,对北京乃至全国的数据反不正当相关竞争纠纷提供指引,引导数字市场主体有序、诚信竞争,促进数字经济规范健康发展。
表3:北京知识产权法院涉数据反不正当竞争部分典型案例
资料来源:北京知识产权法院涉数据反不正当竞争十大典型案例-北京知识产权法院 (bjcourt.gov.cn)
三、北京数据安全治理的成效与特点
(一)北京数据安全治理成效
构建了一系列数据安全治理首创政策。北京市加强了数据安全制度建设,制定了相关的法律法规和政策文件,逐步推动数据安全管理规范化和法治化。《北京市数字经济促进条例》为数据安全提供明确的法律依据和指导。发布《北京市首席数据官制度试点工作方案》,在全市政府机关内全面推进首席数据官制度建设,13个市级部门、各级区政府和经开区率先试点设立,2023年3月全国首批企业首席数据官素养能力培训班在京举办,在全国范围产生示范效应,加速企业首席数据官人才队伍培养。
形成了一批数据安全治理服务平台。形成了北京数据基础制度先行区、海淀区国家网络安全教育技术产业融合发展试验区、大兴临空经济区数据安全与治理公共服务平台、证券期货业网络和数据安全实验室等数据安全治理的公共平台和创新试验田。北京数据基础制度先行区以台湖区域为核心的68平方公里范围作为承载地,探索建设有利于数据安全保护、有效利用、合规流通的产权制度和市场体系。海淀区正式获评国家网络安全教育技术产业融合发展试验区,整合网络和数据安全优质资源,建立融合创新机制,打造人才培养、技术创新、公共服务和产业发展的试验区海淀新模式。大兴临空区积极推动数据安全治理与数字贸易产业发展,以协同创新中心为核心开展技术攻关,探索切实可行的数据合规出境实施路径。证券期货业网络和数据安全实验室聚焦数据安全、供应链安全,探索发挥行业一流专业科技合力,加强行业网络和数据安全专业支撑,为资本市场平稳运行保驾护航。
培育了一批数据安全相关企业集群。北京市注重发展数据安全产业,支持优秀企业和科研机构在数据安全领域的研发和创新。通过引导投资、培育创新企业、推动技术研发,加快数据安全产业发展,提高数据安全保护的能力和水平。积极推动数据安全创新和产业发展,支持科研机构和企业在数据安全领域的研发和创新,构建数据安全产业生态,提升数据安全的技术保障和应用能力。全市网络安全企业数量均居全国首位,积聚了近千家网络安全企业和全国半数营收规模前十的企业,网络安全产业规模占全国的四成左右。
(二)北京数据安全治理特点
统筹发展和安全。北京市将数据安全治理作为推进数据驱动发展的重要保障,统筹数据发展与安全,注重在实现数据开放、共享的同时保障数据的安全性。倡导多元化的数据安全治理模式,形成包括政府主导、企业自律、市场监管和公众监督在内的多元治理格局,共同维护数据安全。通过技术创新、法律法规、监管措施等手段,全面加强数据安全的保护和管理。
支撑五子联动。北京市在数据安全治理中紧密围绕全球数字经济标杆城市和“两区”建设战略,旨在提升北京市在国际舞台上的数字经济领导力和竞争力。在数据安全治理中不断进行政策创新,针对新兴技术和业务模式的数据安全问题,及时制定相应的政策和规范,以适应快速变化的数据环境和需求。结合五子联动的应用场景,积极探索推动数据安全治理试点项目,通过在特定领域和区域进行实践并逐步推广。
注重国际合作。借鉴国际先进经验和做法,促进数据安全治理的国际化和规范化。建立高标准数据安全体系、制定相关规范,推进国际合作,开展数据跨境流入安全管理先行先试,参与国际数据安全标准的制定和交流。北京国际大数据交易所在全国率先以服务数据跨境场景为着力点,试点开展跨境数据合规托管工作,并建成北京数据托管服务平台,通过数据托管服务平台为某跨国公司在国内产生的数据进行托管存储和脱敏处理的首个试点项目成功落地。
四、北京数据安全治理的挑战与未来策略
(一)北京数据安全治理面临的挑战
1. 新技术挑战和新业态风险增大
人工智能与量子计算等新技术应用带动海量数据流动,引发的安全影响也愈发严峻。北京市作为创新科技的中心,人工智能、云计算、大数据等的广泛应用,隐私泄露、数据篡改、恶意攻击等风险随之增加。对于这些新兴技术的安全风险防控,需要不断跟进技术发展,进行相关规范和标准的制定,以确保技术的安全应用。
2.数据跨境流动安全难题
如何在数据跨境流动中保障国家安全、保护用户隐私和满足业务需求之间达到平衡是全球性的问题。作为全球化城市,北京市的数据安全治理也需要与国际接轨,加强与其他国家和地区的数据安全合作与交流。同时推动数据安全标准化和认证,确保数据流动的安全性和可信度。
3.数据安全治理协同困境
数据安全治理是系统性工程,需要立法部门、政策制定部门、监管部门引导和组织数据处理相关单位相互协作,合力应对数字经济时代的数据安全风险和挑战。随着技术的创新,数据安全的治理更加需要多部门合作,实现有效的跨部门和跨行业协同合作,提升数据安全保护的整体效能。
(二)北京数据安全治理发展方向与策略
数据安全治理与发展要强化顶层谋划力、统筹协调力、风险防范力、国际影响力,不断健全数据安全治理基础制度体系,强化数据安全技术创新、提升数据安全意识、强化跨部门协作机制、推进国际合作和行业自律,为筑牢全球数字经济标杆城市安全根基提供坚实保障。
一是完善制度建设,强化协作机制。进一步加强数据安全相关法律法规的制定,出台专门的数据条例,完善各类应用场景下的数据分类分级标准,健全的数据安全治理制度。加强数据安全审查机制,加大对违法违规行为的打击力度。加强跨部门协调,优化跨网信、经信、公安以及金融、卫生等行业机构等部门的数据安全治理协同机制,形成一体化的数据安全治理体系,提高数据安全保障的整体效能。
二是推进技术创新,提升防控能力。积极推动数据安全技术的研发和创新,持续提升数字安全技术实力,建立数字安全合规技术和产品体系,强化数字安全标准研制,推动制定区块链、隐私计算等数字安全核心技术攻关,支持多方安全计算、可信计算等新技术在金融科技、数据流动、安全保护等场景应用,加快安全技术的自主可控和新型数据安全技术产品创新研发、融合应用、试点落地。加强对重要数据基础设施和关键信息系统的监管,提升数据安全的防控能力。
三是加强国际合作,提升规则影响力。建立国际数据流通枢纽的规则体系。积极参与国际数据安全标准的制定和认证,拓展国际数据安全交流与合作的渠道,在优势领域逐步建立数据流动规则的主导权。依托《“一带一路”数字经济国际合作北京倡议》,加快形成具有地区影响力的国际规则,探索结合双边和多边机制、灵活对接跨境数据流动规则的全球数据安全治理模式。
四是推动行业自律,强化人才培养。鼓励企业制定和遵守数据安全的自律行为准则和规范,加强行业自律组织的建设与管理。加强公众和企业的数据安全意识和培训,推动数据安全知识的普及和教育。培育和引进数据安全领域的创新企业和人才,加强复合型数据安全人才的培养和发展,从政策、教育和市场等方面提供多层次的支持,为数据安全行业的人才培养和发展提供更强有力的保障。
文章来源:北京蓝皮书《北京社会治理发展报告(2023~2024年)》
