今年,我国第一部关于数据安全的法律《中华人民共和国数据安全法》正式实施,加之部分企业被实施网络安全审查的热点事件,让舆论对数据安全的探讨,逐渐由个人或企业范畴上升到国家安全层面。伴随一系列顶层设计革新,我国数据安全治理步入法治化、系统化轨道。在此背景下,人民网舆情数据中心聚焦当前数据安全治理困境,结合近期舆情热点进行深层次分析,举办“数据安全治理新趋势、新风险、新对策”专题闭门研讨会,探索在坚持发展与规范并重的原则下,如何更好把握数据安全与经济发展之间动态平衡,为进一步提升数据安全治理能力和水平提供新思路,以期在数据安全治理中实现“政府监管、企业自治、行业自律、社会监督”的社会共治格局。人民网舆情数据中心主任舆情分析师周林林代表课题组分享研究成果《数据安全治理新趋势、新风险、新对策》。
思辨数据安全治理之困
◆法律衔接与嵌套区分不明确,或将带来“重复管理”“长臂管辖”风险
有法可依是数据安全治理法治化的前提,但不同法律法规对数据安全领域规范的侧重点亦有所不同,舆论注意到,倘若各政策法规之间不能有效衔接贯通,会给监管执行增加难度。全国人大常委会委员刘海星认为,数据安全法与个人信息保护法要统筹起来,但目前这两部法律某些方面衔接不够。比如,个人信息处理者的安全保护义务与数据安全管理制度缺乏衔接,两部法律应该就此进行更好统筹,避免出现交叉、重复管理等问题。数据安全监管并非只是要求责任主体满足其中的某一个法律法规,舆论期待相关部门在依法监管的过程中能够做好衔接工作,在统筹互补中寻求最优解。
舆论对法律法规衔接产生的担忧,不仅体现在国家层面的立法中,也体现在地方数据立规中。北京大学法学院教授张平表示,部分企业担心,现在各地方都在制定数据条例,但这些条例适用的地域范围不是很清晰。比如,地方条例里都有关于执法的内容,对于某一个地方的行政监管部门来说,是按照数据流转的属地原则实施监管,还是按照数据企业的归属原则加以监管,这涉及地方管辖权的问题,如果各个地方的行政监管边界不清晰,容易导致所谓的“长臂管辖”。
◆高热“数据分类分级”执行风险犹存,应重视完善细则
数据分类分级是数据安全治理的重要环节,为精细化监管提供了依据,舆论对其意义高度肯定,讨论热度颇高。但不可否认,数据分级分类也是当前治理中的痛点和难点。有舆论对本轮数据监管中“高光”内容进行深度分析,赞赏的同时也指出落地执行可能存在的隐忧,监管部门相关措施落地时还需回应舆论关切。
首先,分级分类具体标准仍有待统一。有媒体提到,企业经常会有跨地区、多领域的经营,按照分类分级的灵活设定,企业数据需要按照多套不同的标准进行合规,这样可能会让企业无所适从。其次,相关配套细则有待完善加强。微信公众号“零壹财经”认为,针对数据安全相关法律法规引入境外执法机关调取境内数据的报告制度、部分数据出口管制制度、外国歧视性措施的反制措施等制度,需要进一步细化相关制度和联动机制。除了政策之外,相关标准和指南将作为法律法规和具体实践的重要桥梁,有望解决基本概念厘清、配套制度建立以及相关举措细则确定等问题。
◆企业合规成本负担加重,行业或面临局部洗牌风险
数据监管侧如何平衡安全与发展,对相关行业影响重大。舆论看好数据安全监管是行业高速发展转向高质量发展的必由之路,但也不避讳地表示,短期内企业合规成本将增加,甚至带来行业局部洗牌的风险。
从合规成本投入的方面来看,舆论认为,对企业发展而言,短期内会增加数据使用合规的压力,企业需要投入更多的资金、人力等成本,包括一些技术能力层面的建设,整改时间成本也会影响到企业短期内的发展。
从具体行业影响来看,国研新经济研究院创始院长、CiNE首席研究员朱克力在相关专题研讨会上表示,数据安全法的出台对于不同的行业,影响程度不一样。其中,受影响最大的可能会是金融行业。短期内,金融行业或将出现一些被处罚的案例。长远看,这有利于保护公众的金融数据安全,而且可能会降低金融机构因数据安全带来的潜在风险和损失。当然,也不排除会引起一次金融行业的局部洗牌。
◆数据安全成为互联网行业高风险点
舆论认为,数据安全俨然已成为互联网行业高风险点,尤其是互联网企业的经营业绩或将受到监管处罚的影响。中国传媒大学人类命运共同体研究院副院长王四新在接受《南方都市报》采访时说,网络安全合规与否将直接关系到企业的融资、业务模式以及能否上市等重大经营活动,也会对企业产生根本性的影响。有业内人士提醒,相关审查可能会导致公司股价下跌,企业能够实现IPO预期的战略构想存在不确定性。面对舆论担忧,中共中央政治局委员、国务院副总理刘鹤在2021中国国际数字经济博览会开幕式致辞中表示,支持民营经济发展的方针政策没有变,现在没有改变,将来也不会改变。
探寻社会共治之道
◆明确严管信号,回应社情民意,及时厘清认知误区着实必要
不可避免,数据合法合规治理的过程会给企业带来阵痛,舆论场上也出现了个别担忧情绪。监管部门需要倾听社情民意,厘清认知误区,从而让政策法规在不断完善中更好地下达,达到多方共赢的效果。
解铃还须系铃人,政府与企业的双向动态沟通不可或缺。企业是数据安全治理的责任主体,监管部门需要与其加强沟通,不妨多邀请不同领域企业,以问题清单的形式阶段性反馈数据合规存在的问题,进而让后续监管的完善和细化更有针对性。“合规并非打击”,数据安全治理并不是只针对新经济平台,更不是针对某一企业。政府需要向社会传递“发展与规范并重”的态度。相关部门可通过官方发布会、主流媒体、自媒体等多渠道厘清误区。值得一提的是,中央财办分管日常工作的副主任韩文秀在新闻发布会上曾表示,整治规范互联网平台的政策一视同仁,针对的是违法违规行为,绝不是针对民营企业和外资企业。这一发声一定程度上对于舆论误解起到了纠偏作用,这也说明,适时表明官方立场,对减少误解、增进认知着实必要。
◆提升纵横双向联合思维,共同构建社会共治新格局
数据安全涉及的领域广泛,尤其是近几年新业态新模式快速更迭,想要冲破“问题总是跑在监管前面”的困境,不能仅依靠政府,还需要平台、行业、公众共同参与,构建风险共治的数据安全治理模式。目前,全国层面的监管标准正在逐渐完善,但舆论反馈是否能够“精准落地”还需要看各地执行情况。
监管部门需不断提升纵横双向联合的思维,纵向实现中央到地方的数据安全监测监管协同,充分考虑地方已有的管理和特点,有的放矢地开展工作。譬如此前深圳出台《深圳经济特区数据条例》,在地方数字立法方面的有益探索获得舆论的高度肯定,具有借鉴参考意义。但需要注意的是,数据安全治理也要结合各地数字经济发展实际情况,不可一概而论、一拥而上,各地政府在数据立法探索方面需统筹兼顾普遍性与特殊性原则。
横向除了现有的政府多部门协同合作监管外,政府还需要引导企业承担主体责任,激发其协同治理的积极性。如工信部网络安全管理局委托中国互联网协会组织召开重点互联网企业贯彻落实数据安全法座谈会,邀请阿里、腾讯、美团等12家企业参会,要求各企业强化大型互联网企业责任担当的同时,鼓励企业积极参与数据安全标准研制、关键技术研发等工作,被舆论认为,对构建协同共治的行业数据安全监管体系起到积极示范作用。
另外,舆论担忧大规模的审查,可能会带来监管技术、人力不足等问题,政府可通过吸纳相关领域专家、研究机构、技术公司、行业组织协会等专业力量,借用第三方进行辅助,与监管“国家队”优势互补,进而推动“政府监管、企业自治、行业自律、社会监督”的社会共治格局,提升数据安全治理能力和水平。