中新经纬客户端7月9日电 (付玉梅 常涛)“对企业来说,要承担数据安全义务,坚守数据安全底线,这没有‘平衡’的余地,绝不能含糊。”中国信通院云大所副所长魏凯近日在接受中新经纬客户端专访时强调。
作为中国信通院最早从事大数据研究的人员,魏凯此前牵头组建了信通院大数据研究团队。他曾参与了国家《促进大数据发展行动纲要》等文件起草,并作为起草组牵头人负责工业和信息化部《大数据产业发展规划(2016-2020)》的研究工作。
近日,国家网信办连续发布了对多家互联网企业实施网络安全审查的公告。在魏凯看来,所有企业要把数据安全要求落实到位,难度不小。首先是数据治理基础薄弱,很多企业连自己数据资产的家底都说不清楚,更别说分级分类、保障安全,还有数据的动态性高、数据安全涉及面广。企业要逐步完善数据安全治理体系,探索数据安全合规发展之路。
以下为中新经纬客户端与魏凯的访谈对话。
中新经纬:企业如何平衡数据安全合规与业务发展?应遵守哪些边界?
魏凯:今年6月份通过的《中华人民共和国数据安全法》(以下简称《数据安全法》)提出,“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。但对企业来说,要承担数据安全义务,坚守数据安全底线,这没有“平衡”的余地,绝不能含糊。企业要把数据安全作为前提,触犯法律红线,代价高昂,甚至会导致灾难性后果。
那么总体要求是什么呢?可以从正反两方面的要求来看:从正面要求来看,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任;从反面的禁止性要求来看,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
中新经纬:9月1日,《数据安全法》即将施行,这对构建中国数据安全治理体系有何重要意义?能解决什么问题?
魏凯:在数字经济迅猛发展的背景下,《数据安全法》作为数据安全领域最高位阶的专门法,与《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障国家安全在各行业、各领域保障的有法可依,对国家数据战略的实施、对数字经济的健康发展意义深远。
《数据安全法》从监管体系、法律义务和法律责任等方面,规定了数据安全治理的基本制度。
在监管体系方面,《数据安全法》明确了“一轴两翼多级”的监管体系,“一轴”指国家安全机关,“两翼”指公安机关和网信部门,“多级”在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。因此有助于理清不同行政机关的监管职责,强化数据安全的全流程、多层级监管。
在法律义务方面,《数据安全法》分别为国家机关、一般市场参与者、重要数据的处理者、关键信息基础设施的运营者、数据交易中介等主体明确了数据安全合规义务,相关主体可以依照法律设定的义务完善数据合规制度,规范业务和技术流程。
在法律责任方面,《数据安全法》的每次修订均不断加大对违法行为的处罚力度,采用责令改正、警告、罚款、暂停相关业务、停业整顿、吊销许可证或营业执照等多层次的处罚手段应对实践中的数据违规行为,大大增强了《数据安全法》的适用性和威慑力。
中新经纬:随着大型互联网平台企业的日益壮大,其数据垄断问题愈加严重。在约束企业行为方面,各国是如何进行的?监管与惩罚力度如何?
魏凯:首先数据垄断和数据使用威胁国家安全是两个不同维度的话题。企业对数据的垄断,主要体现在利用市场支配地位,阻碍相关市场其他参与者的自由竞争上。即便垄断,也并不必然影响到国家安全。与国家安全更为紧密相关的,是关键基础设施运营者所掌握的重要数据的安全风险,以及这些重要数据的跨境流动所带来的安全隐患。
相应的,治理大平台的数据垄断,与防范因数据问题影响国家安全,各国采取的措施、适用的法律法规是不同的。从反垄断来说,谷歌等巨头这几年在欧盟和美国这方面的官司不断。据报道,谷歌在欧盟等待上诉的反垄断罚款总额约为143亿欧元。
中新经纬:要做到对数据全生命周期进行安全监督,促进数据有序流通,国际上有哪些较好的参考经验?中国应从哪些方面进一步加强?
魏凯:我们必须承认,要让所有企业要把数据安全要求落实到位,难度不小。原因主要在于三个方面。一是数据治理基础薄弱,很多企业连自己数据资产的家底都说不清楚,更别说分级分类、保障安全了。二是数据的动态性高,要在数据不断流动、融合、应用的动态过程中去落实安全要求。三是数据安全涉及面广,横跨企业多个部门、系统,增加了安全防护的复杂性。
落实数据安全责任,还需要借鉴欧美经验,构建多元共治的协同治理体系。立法机构和监管部门层面,要加快制定数据安全细则,进一步明确企业的具体责任和合规路径。
行业组织层面,要在法律法规指引下,加快标准制定步伐,把数据安全方面的法律要求转化为可实施可操作可检测的技术要求,推动行业自律和信息披露。
企业层面,首先要在战略上要重视数据安全,在战术上优先从重要性高、风险隐患大的业务出发,将国家法律法规要求映射到企业内部的合规制度建设中,结合相关标准、行业最佳实践、最新技术方案和业务的实际需求,逐步完善数据安全治理体系,探索数据安全合规发展之路。(中新经纬APP)
( HN666)
加载中,请稍侯......