文 | 南京師范大學中國法治現代化研究院 李謙黨的二十屆三中全會通過的《中共中央關于進一步全面深化改革、推進中國式現代化的決定》提出,加快建立數據產權歸屬認定�、市場交易�����、權益分配���、利益保護制度��,提升數據安全治理監管能力����,建立高效便利安全的數據跨境流動機制���。提升數據安全治理監管能力�����,有助于防范和化解各類數據安全風險��,對于推動高水平數據安全,實現經濟社會高質量發展具有重要意義。對于如何提升數據安全治理監管能力�,筆者認為,可以從系統完善規范、高效應用技術、嚴格實施程序三個著力點加以展開。
系統完善規范
立法者在不同規范中確立提升數據安全治理監管能力的條款����。在數據安全相關法規��、規章中��,確立可以準確識別數據安全風險的原則性條款,例如,立法者可以設置全鏈路識別數據安全風險的原則性條款����。在數據安全相關規范性文件、政策文件中��,確立能夠敏捷回應數據安全風險的規則性�����、政策性條款���,促進監管者及時靈活應對各領域人工智能�、大模型使用中的新型數據安全風險。在數據安全相關技術標準中,立法者可以確立人機協同防控數據安全風險的標準規定等。
可建立數據安全風險跨領域��、跨區域��、跨部門綜合監管體制機制��。 其一,強化數據安全風險跨領域的協同監管。如,科學研究中的數據流動到相應產業領域,可能會出現數據安全風險屬性和等級的較大變化,此時����,應重視這種數據安全風險跨領域的協同監管��。 其二,強化數據安全風險跨區域的協同監管。目前,實踐中����,不同區域的數據安全風險監管標準存在不統一的情形����,亟待進一步完善�。 其三,強化數據安全風險跨部門協同監管����。相關職能部門可建立跨部門協作機制,定期召開數據安全治理監管的聯席會議����,共同討論和解決數據安全問題�����。通過多方合作,可以避免各部門之間的監管盲區�����,形成合力����。 相關職能部門可以開展數據安全治理規范化指導和培訓工作。 其一����,完善關于開展數據安全治理規范化指導和培訓工作的立法規定�����。通過在不同法律規范中設立原則性條款、規則性條款��、技術性條款等方式��,確立開展數據安全治理規范化指導和培訓工作的立法基礎�����。 其二,作為數據安全治理監管的一項要求���,可通過行政督查促進監管部門依法履職。提升數據安全治理監管能力���,重視監管部門對企業數據安全治理的規范化指導和培訓工作�����。各級政府要運用好行政督查職能�����,督查監管有關部門履行職責情況。 其三,形成并適時修正數據安全治理規范化指導和培訓手冊。應在復雜多變的數據安全風險中,尋找治理監管良方���,加快研制數據安全治理規范化指導和培訓手冊�,并適時進行修訂����,不斷提升數據安全治理監管能力。
高效應用技術
全社會支持科技創新�����,面向新質生產力發展推進高效技術應用��。適當向新質生產力發展領域數據安全產業�����、產品傾斜政策激勵,對企業投入數據安全產品��、技術實行稅收優惠政策�,鼓勵和引導企業、科研院校(所)加強數據安全技術研發和創新應用����。同時,搭建各行業�、各領域數據安全治理智能模塊��,有效利用聯邦學習技術、安全多方計算、區塊鏈等技術����,形成“原始數據不出本地”����,在交換處理結果時實現“數據可用不可見”����。在人工智能賦能各行各業過程中,重點關注大模型使用中的虛假信息、數據安全風險等現實問題����,以技術治理克服技術性風險�。
監管者應運用多種技術手段�����,保障數據安全風險防控及時性��、有效性。監管者實施數據安全監管,應要求加強對敏感數據的加密處理及對數據訪問的控制?,F代加密技術�����,如對稱加密和非對稱加密,能夠有效地保護數據在存儲和傳輸過程中的動態安全。通過嚴格的數據訪問控制策略����,可以確保只有經過授權的用戶才能訪問特定的數據���。此外,監管者還應建立完善的數據泄露檢測機制���,如使用智能技術檢測數據泄露。同時�����,完善數據泄露應急管理的技術措施����,確保一旦發生泄露事件能夠迅速應對并將損失降到最低。
嚴格實施程序
監管者應開展數據分類與評估���,做好數據安全風險評估。監管者可以根據監管事項的基本特征�����,及時對可能發生的數據安全風險進行評估,盡早實施富有成效的治理監管舉措�����。
出臺數據安全標準����,劃定監管基本準線 。按照數據分類結果和評估情況,有關職能單位可以出臺數據安全標準��,為數據收集�����、傳輸����、存儲���、使用等全流程風險監管提供標尺���??蓞⒖紝<乙庖娕c行業案例����,確保政策和標準的科學性與實用性。同時����,通過設立知識分享平臺���,鼓勵各監管部門相互學習與交流����,提高數據安全標準實施的精準性�。 完善數據安全審計,保障數據安全治理成效����。除企業內部自發組織審計外�,監管者可聘請外部第三方審計機構開展數據安全審計�����,對平臺企業數據分類分級制度����、訪問權限制度��、數據全生命周期制度、數據安全風險評估制度、數據安全應急響應制度等進行審計。在此過程中,可通過自動化報表生成工具�,簡化審計過程�,提高審計的效率和準確性�。 實施數據安全事故響應與恢復機制,盡可能降低數據泄露等行為造成的損害。企業或者平臺發生數據安全事件后���,監管者應迅速啟動事故響應機制,采取行之有效的應急處置措施,盡最大努力消除安全隱患��,督促平臺或企業恢復數據安全狀態���。監管者可以請專業機構予以協助��,確保在重大數據安全事件發生時能夠迅速介入并提供專業支持��。 通報處理結果和改進意見,為優化數據安全治理提供指導。監管者應當通報數據安全風險處理結果及數據安全治理改進意見,提醒和教育相應數據處理者和數據控制者�����,通過這一舉措�����,進一步強化監管者在數據安全風險防控領域的社會監督作用�����。比如:推行“常規定期+專項活期”通報制度���,準確�、及時給數據處理者和數據控制者提供數據安全治理改進意見����。
(來源:民主與法制時報)
