【风险处置义务】
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
【释义】
本条是明确了开展数据活动时应采取的风险管理及安全事件处理措施。
《民法典》《网络安全法》《个人信息保护法》《数据安全管理办法(征求意见稿)》中也有类似的条文,横向比较这些条文,不难发现,信息、网络产品(网络服务)、数据都是数字时代的产物,一方面,信息、网络、数据使得社会透明度更高,大大降低了个人的私密性,同时也滋生了一些新型违法犯罪;另一方面,数字时代社会运行不仅包括现实生活,还包括网络虚拟生活,必然加大社会治理的难度。因此,必须营造信息、网络、数据安全氛围,提前化解风险,加强信息、网络、数据法治建设。
该条与《数据安全法(一审稿)》第27条相比,增加了“应当立即采取处置措施”的规定。之所以增加此规定,是因为数据具有大量、高速、易变性、低价值密度、真实性的特点,在数据处理活动中,一旦泄露重要数据(如未公开的政府信息、人类基因组、健康、人口、矿产资源等)则直接关系到国家、经济、社会和公共安全,所以需要采取相应的措施,尽可能地减少损失。(https://www.daowen.com)
大数据采集、存储、分析及可视化技术的运用,使得对来源分散、数量巨大、格式众多的大数据分析成为可能,通过大规模的机器学习和深度学习等方式方法,对海量数据进行处理、分析和挖掘,提炼出数据中所包含的有价值的知识和信息,从而使数据具有“智能”,并且还可以通过建立模型寻求现有问题的解决方案以及实现预测等。
开展数据处理活动中极易发生数据安全缺陷、漏洞等分风险,集中凸显在以下几个方面:一是数据的战略性资源的地位日益显现,个人数据信息被过度采集。大数据、人工智能、云计算、物联网等领域存在着严重的数据安全隐患,个人信息数据被采集、读取和应用。一旦采集个人数据信息的企业的服务器遭到黑客的攻击,进而导致数据的泄露,很可能会危害用户的财产、隐私以及个人安全。二是相当数量的互联网企业欠缺数据信息的保护意识,存在很大的网络安全隐患。很多企业通过大数据分析用户的个人信息,其目的是期待获得更大的利益。这些企业在采集、分析、储存、调用、计算数据的过程中缺乏技术保护,更遑论投入相应的技术来保障大数据信息的安全。三是数据信息的交易泛滥。在一些非法网站中,交易用户数据的行为屡见不鲜。不法分子通过不正当的手段获取用户信息,然后通过非法网站上贩卖信息来牟取暴利,也可能通过这些用户的隐私数据来敲诈勒索用户[29]。
面对数据智能化技术可能带来的风险,并不代表我们一定要反对技术进步才可避免,我们可以通过完善法律漏洞来实现人与技术的和谐发展。因为没有政府的法律管制,所有技术的发展将会杂乱无章,没有规则而带来的挫伤又是十分的深刻[30]。
开展数据处理活动的风险监测,其目的在于对数据处理活动的总体质量情况进行比较分析,发现数据处理活动中的质量安全风险、数据安全缺陷、漏洞出现的概率、高风险指标分类、溯源情况等方面的实际情况[31]。对于已经出现的风险,管理者需要采取一些措施,减少甚至消灭风险事件的发生,或降低风险事件发生时的损失。
【关联规定】
《中华人民共和国民法典》第1038条,《中华人民共和国网络安全法》第22条、第25条、第42条,《中华人民共和国个人信息保护法》第57条,《数据安全管理办法(征求意见稿)》第35条
(撰稿人:刘建)