【数据安全管理制度】
国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
【释义】
本条确立了国家机关在本法下应当承担的三项保障政务数据安全的职责:建立健全数据安全管理制度、落实数据安全保护责任和保障政务数据安全。
本条的制定,呼应的是大数据时代背景下,政务数据安全已成为事关国家安全与经济社会发展的重大问题。我国现行的网络安全领域的“基本法”是2017年6月实施的《网络安全法》。该法主要从网络关键基础设施安全、网络运营环境安全、网络信息安全和监测预警与应急处置等方面制定条文,规范重心置于网络安全而非数据安全,对此有学者曾总结:“《网络安全法》对数据的安全保护,主要着眼于两方面:一是要求各类组织切实承担起保障数据安全的责任,即保密性、完整性、可控性。二是保障个人对其个人信息的安全可控。但对于国家层面的数据保护,可以说《网络安全法》仅规定了关键信息基础设施上的重要数据应当留存本地。”[28]“数据安全”并非《网络安全法》的关键词,其行文间多见“网络信息”的表述,而且主要是从规制网络运营者的视角去构建具体制度的,对国家机关的规定只体现在对信息不当传输的监管上,如第四章第50条“国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输”。[29]第76条第2项对“网络安全”进行定义时,立法者将数据置入视野中,认为“保障网络数据的完整性、保密性、可用性的能力”属于网络安全的范畴,但是,数据安全应当包括“自身安全”“自主可控”和“宏观安全”三个层面:其一,“数据自身安全”(data security),即通过身份认证、访问控制、安全管理审计、平台基线配置等大数据平台安全技术,以及数据防泄露、业务数据风险管理、结构化和非结构化数据保护等安全制度,确保数据的保密性、完整性、可用性,即《网络安全法》第76条第2项最后一句话;其二,“数据自主可控”(data safety),即国家对重要数据实际支配权力,避免被其他组织或国家非法操纵、监控、窃取和干扰;其三,“数据宏观安全”(data harmony),即防控和管理因数据处理、使用引致的国家主权、公共利益和群体安全的威胁。[30]由此可见,《网络安全法》的规定只涉及数据的第一个内涵,制度供给并不充分,且没有专门关注政务数据安全问题。
结合我国政务数据实践来看,暴露出的安全风险在于:一是政务数据在使用和流动过程中缺乏严格技术规范,各部门在实际操作时往往凭经验采取措施,也缺少监督机制和监管手段;二是数据平台建设和运维安全保障不足,政务数据平台建设和运维由政府部门组织实施,企业进行承建、开发、管理。信息基础设施合作治理规则的缺失和安全规定的粗疏导致存在数据安全隐患,对政务数据汇聚共享的持续性、稳定性产生威胁;三是缺少对数据泄露、篡改等问题的救济机制[31],如果敏感的政务数据被敌对国家或势力恶意使用(malicious use of big data),面向何种对象范围,通过何种途径进行救济还需进一步规定。总之,相较于“自身安全”层面,政务数据的安全风险更多地体现在“自主可控”和“宏观安全”上,而《网络安全法》欠缺清晰的规制思路。本法“适应电子政务发展的需要,建立政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用”[32],更加注重政务数据安全,国家机关作为公权力行使主体和收集、使用政务数据的主体,应作为保障政务数据安全的首要主体,明确其在这一过程中的功能定位和职责所在,本条率先作出立法尝试,意义重大。
对于本条的具体内容,应当重点理解以下几个方面。
第一,本条的适用对象是国家机关。和本法第37条相同,“国家机关”并不单指行政机关,司法机关、检察机关、立法机关等均属于国家机关范畴。值得注意的是,为整合政府数据资源,推动政务数据的汇聚共享,引导、管理和促进数字经济的发展,各地纷纷设立了大数据管理机构[33];在社会信用体系建设中,一些地方政府还建立跨部门的失信者“联合惩戒平台”,打破信息孤岛,实现了数据互联互通[34],此类大数据管理机构和政务数据共享平台,亦应属于本条所指“国家机关”。
第二,建立健全数据安全管理制度,应当主要聚焦的是政务数据安全管理。如前所述,政务数据安全风险一直广泛存在,而我国现行的立法实践和监管实践仍较为匮乏,建立健全数据安全管理制度,则应当以风险导向意识为重,针对政务数据收集、处理、利用、共享的场景及可能引发的风险施以有力措施和明确责任。考虑到政务数据的敏感性,应当将规制重点落于对政务数据安全风险的预防和救济之上,尤其是防范政务数据失去“自主可控”和“宏观安全”,否则将对国家安全和社会秩序造成重大影响。
第三,落实数据安全保护责任,意味着保障政务安全的责任主体是国家机关,通过本条之规定,将进一步落实权责一致的行政理念。在我国,政府既是政务数据的直接管理者,也是落实国家数据安全实施的重要执行和监督主体[35],但实际上,行政管理中有权无责、有责无权等权责分离的现象仍有发生,不仅使正在兴起的行政问责的制度功能难以有效发挥,更使依法行政中合法行政、程序正当、合理行政、诚实守信等内容的实现失去有力的保障。[36]有学者将“权责统一”划分为宏观的权责统一、中观的权责统一和微观的权责统一,其中宏观的权责统一包含政治责任、经济责任和社会责任三个方面[37],社会责任包括维护外部安全、维护内部安全、维护社会信用等内容,这些次级责任对应着政府的各种具体职能部门的职能,形成政府责任与政府职能之间的平面联结[38],依据此类划分,数据安全保护责任兼具对内和对外的双重面向,属于宏观的权责统一中的社会责任。
【关联规定】
本法第37条,《中华人民共和国网络安全法》第76条
(撰稿人:何傲翾)