国晔

被誉为“三大上位法”的《网络安全法》《数据安全法》和《个人信息保护法》陆续出台之后，随着《网络数据安全管理条例》征求意见结束，如今数据监管大潮真的来了。

2021年7月2日，网络安全审查办公室发布对“滴滴出行”启动网络安全审查的公告，时隔仅3天，再次宣布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查，审查期间停止新用户注册。

7月16日，国家网信办会同公安部、国家安全部等7部门联合进驻滴滴出行科技有限公司，开展网络安全审查。

11月20日，国务院副总理刘鹤在“5G+工业互联网”大会上强调：“数据正在成为关键生产要素，各地方、各行业要探索建立符合数据要素特点的制度体系和流通平台，同时加快构建政府监管和行业自律相结合的治理新模式。”

数据对于国家安全与发展的意义不言而喻。

数据：趋势和焦点

近年来，随着数字经济在国家经济中所占的比重越来越大，数据安全成为全球共同关注和亟待解决的问题。

2020年，在全球范围内，发达国家数字经济规模达到243722亿美元，发展中国家数字经济规模为82331亿美元。2020年，发达国家数字经济占GDP比重为54.3%，发展中国家数字经济GDP占比27.6%。

中国数字经济发展势头更为迅猛。2020年，中国数字经济规模已达到39.2万亿元人民币，占GDP的38.6%，居世界第二位，已成为中国经济增长的重要引擎。

数字经济繁荣的背后，有着庞大的数据做支撑，一旦发生泄露，将会对国家安全、国计民生、公共利益造成难以估量的损失。因此，防范数据安全风险、完善数据安全治理和监管机制的重要性日益凸显。

建立在数据基座上的互联网行业无疑是监管重点。近20多年来，互联网行业以惊人速度生长，深刻影响着社交、出行、娱乐、零售等社会经济领域，涌现出腾讯、阿里巴巴、字节跳动等万亿元市值大平台和大量“独角兽”企业。它们不但积累了海量数据，还能进行数据基础上的用户行为分析等。

此类互联网企业的数据安全问题可能从不同方面影响国家安全。前文提到的“滴滴出行”“货车帮”公司，不但掌握大量用户个人隐私数据，而且拥有国内众多的交通线路、人口分布等与关键基础设施有关的重要数据。

不止在这些重点行业，与关键基础设施信息相关的各行各业，都应关注并承担保障数据安全的责任。国家互联网信息办公室相关负责人指出，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域也应依据相关办法申报网络安全审查。

失控：泄密与滥用

随着数据应用场景和参与主体日益多样化，数据安全的外延不断扩展，数据泄露危机加重。

在中国政法大学数据法治研究院于2021年12月8日发布的《2021全国网民网络安全感满意度调查“个人信息保护和数据安全”专题报告》中，41.25%的受访人群表示遭遇“比较多”甚至“非常多”信息泄露。近八成网民接到各类中介的推销电话;超六成网民收到垃圾邮件;近六成网民收到相关性推销短信;约九成网民在日常上网时收到过精准广告。

对于个人信息数据可能泄露的途径，60.12%的受访群体表示遭遇过App收集与功能无关的个人信息;57.78%的受访群体遭遇过App频繁索要无关权限;50.25%的受访群体遭遇过App强制索取无关权限，不授权就閃退;50.02%的受访群体遭遇过App默认捆绑功能并一揽子同意。

曾担任意大利数据保护机构秘书长、数据保护监督主管的Giovanni Buttarelli表示：“如今，网络社会中的公司拥有前所未有规模的个人完整数据，而个人则对自己的数字足迹失去控制。行业追求个人数据的最大化变现，出于商业或政治目的而被定位、画像和评估的程度，已经超越人们的控制和认知。”

数据泄露已成为全球范围内的普遍性问题，各地数据泄露事件频发。

以2020年为例，在国内，曝出中国电信超2亿条用户信息被卖、微博5.38亿用户数据在暗网出售等;在国外，近50万台服务器、路由器和IoT设备密码被泄露、2.67亿个Facebook帐户信息在暗网出售、印尼电商巨头Tokopedia9000万账号信息在暗网售卖、巴西卫生部官网2.43亿个人信息被泄露……

数据泄露带来了严重损失，IBMSecurity的《2021数据泄露成本报告》指出，受访企业的平均每起数据泄露事件成本为424万美元，创下了这个系列报告17年历史以来的新高。

除此之外，还有更多无法估量的损失。

数据泄露的一个主要原因是，违规收集数据、滥用个人信息情形严重。根据艾媒咨询发布的《2020年中国手机App隐私权限测评报告》，目前我国多数手机App存在强制超范围收集用户信息的情况。97%的App默认调用相机权限，35%的App默认调用读取联系人权限。

另一方面，数据市场不正当竞争频发。近年来，围绕数据收集、开发等引发多起企业间纠纷，典型案例如领英（LinkedIn）与hiOLabs3关于用户数据使用争议、新浪微博与脉脉用户数据使用争议等。

全球：监管在升级

数据安全问题已经成为全球性问题。各国政府逐渐意识到，数据已成为与国家安全和国际竞争力紧密关联的一大要素，对数据安全的认知也已从传统的个人隐私保护上升到维护国家安全的高度，制定出台国家数据战略。

欧盟发布《欧洲数据保护监管局战略计划（2020-2024）：塑造更安全的数字未来》指出，社会和经济对数据和技术的依赖性增强，放大了数字生态系统包括市场力量集中、信息不对称、虚假信息、操纵、数据泄露等既数据泄露已成为全球范围内的普遍性问题国有问题;

美国发布《联邦数据战略与2020年行动计划》，确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则;

澳大利亚政府发布了《2020年网络安全战略》，概述了其确保个人、关键基础设施提供商和企业在线安全的方法。

此外，还包括强化数据及个人信息保护相关立法以及数据安全标准指南。

国外数据安全保护机构设置也正不断完善，加强数据安全保护治理。得益于近几年的努力，各国推动企业数据安全保护的政策初见成效，例如，Facebook通过开源差分隐私库加强对人工智能训练样本隐私性的保护;苹果公司通过模糊定位技术限制第三方App获取用户精确地理位置信息等。

国外对于数据安全的治理正不断趋严，对大型互联网公司的数据监测、治理、执法力度持续加大。如2019年Facebook因为用户隐私问题被罚款50亿美元;法国、加拿大等国家也纷纷对Twitter、谷歌等企业开出高额罚单，对于滥用数据优势侵害消费者隐私或进行非法数据贩卖行为进行了严厉惩罚。

中国：完善并发力

当前，数据的价值已经得到了社会的认可和重视，数据已和其他要素一起，融入了我国经济价值创造体系，成为数字经济时代的基础性资源、战略性资源和重要生产力。

我国正在逐渐完善有关数据安全的相关法律政策。2015年颁布的《国家安全法》将数据安全纳入国家安全的范畴。2016年发布、2017年正式实施的《网络安全法》引入了网络数据的概念，建立了关键信息基础设施安全保护制度，确立了关键信息基础设施重要数据跨境传输规则。

2020年6月，国家网信办、发展改革委、工信部等12部委联合发布《网络安全审查辦法》，推动建立国家网络安全审查工作机制，以确保关键信息基础设施供应链安全，维护国家安全。国家对滴滴出行等平台的网络安全审查，正是依据《中华人民共和国网络安全法》《网络安全审查办法》等进行的网络安全审查程序。

2020年8月，《数据安全法（草案）》公开发布，从法律层面清晰定义了数据活动、数据安全，提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务、承担社会责任等。《数据安全法》于2021年9月1日正式实施，根本目的是提升国家数据安全的保障能力和数字经济的治理能力。

在2021年之前，涉及数据合规的法律法规、规章制度和国家标准已有100余部。2021年，随着《数据安全法》和《个人信息保护法》的颁布实施，我国已形成了数据安全保护基本法律框架，围绕基本法制定的配套法规制度与相关国家规定也在加快制定出台，包括数据跨境流动、个人信息保护、新技术新应用数据安全等多个方面。同时，我国出台的法律政策的行业覆盖面也越来越广，数据监管法规不断细化，越来越成为国家治理的一个重要组成部分。

编辑/王盈