版面导航
放大
缩小
默认
法治论坛
以标准化助力数据安全治理
李谦
□ 李谦
古人云:“不以规矩,不能成方圆”。规矩无处不在、无时不有,万事万物皆有规矩。古人说规矩,当下则称标准。标准不仅是一种要求、一种制度,同时也是一种目标、一种动力。习近平总书记在致第三十九届国际标准化组织大会的贺信中指出:“标准助推创新发展,标准引领时代进步”。2021年,中共中央、国务院印发《国家标准化发展纲要》,为数据安全治理擘画了一幅标准化发展的宏伟蓝图。国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》,提出要加强数据安全通用标准建设。以上举措充分说明,在数字技术深刻塑造新质生产力发展、深度融合经济社会发展的今天,以标准化助力数据安全治理,正是加强数据安全通用标准建设的重要时代议题。《中共中央关于进一步全面深化改革、推进中国式现代化的决定》明确提出,“提升数据安全治理监管能力”。发展和完善标准化制度有利于全面提升数据安全治理监管能力。
不断完善数据安全标准体系建设
数据安全标准体系建设是一项综合性工程。为强化顶层设计,加强数据安全战略规划和标准前瞻研究,2024年4月7日,全国网络安全标准化技术委员会适时印发《全国网络安全标准化技术委员会2024年度工作要点》,要求加快研制数据安全保护要求、数据交易服务安全等标准。
数据安全标准体系建设中,不仅增加了治理手段、夯实了治理基础,也增添了治理对象,当缺乏科学严谨的态度时,则会带来一些现实的问题。如相关单位片面追求制定标准的数量,随意拆分标准,将本应属于一项数据安全标准的内容拆分为多项数据安全标准,导致标准体系配套不够协调。
为应对数据安全标准体系建设中产生的问题,在全生命周期数据安全治理层面,一方面,相关单位应聚焦数据收集、传输、分析、存储、共享、删除、销毁等处理环节,在此过程中,要不断提高数据安全标准制定的系统性、整体性、协同性。另一方面,相关单位应完善数据安全风险评估标准的制定程序,保障数据安全风险防控的协同一致,避免出现“风险评估碎片化”的弊端,应在掌握数据安全风险评估原理及方法的基础上,构建识别、阻断、处置一体化防控机制。在场景化数据安全治理层面,应全面分析各行业、各领域数据安全风险特征及其表现,进一步完善自然资源、医疗卫生、金融服务等诸多领域的数据安全标准,推动形成国家标准、行业标准、地方标准、团体标准、企业标准治理的合力,从而纾解数据安全标准体系建设“最后一公里”难题。在数据要素市场安全层面,应研究制定并完善隐私计算、多方融合计算、边缘计算、机器学习等标准,要健全人工智能产品研发和场景应用的数据安全标准体系,从而不断夯实以标准化助力数据安全治理的新基石。
切实重视数据安全标准实施成效
2024年3月18日,国家市场监督管理总局会同中央网信办、国家发展改革委等18部门联合印发《贯彻实施〈国家标准化发展纲要〉行动计划(2024—2025年)》,明确要求加强标准推广应用、强化标准实施监督。2024年4月12日,国家市场监督管理总局发布《关于加强标准制定与实施监督工作的指导意见(征求意见稿)》,进一步要求扎扎实实开展标准实施效果评估。当前,一些地方已实施数据安全标准,成效正在逐步显现。例如,一些地方通过建立地方性法规、政府规章引用标准制度和政策实施配套标准制度,补强了地方性法规、政府规章和政策文件对于数据安全治理的适配性;此外,还通过加强标准化保障,进一步规范了数据安全风险的敏捷防控等。
在数据安全标准实施过程中,产生了部分理解标准不够到位、适用标准不够精准等问题,难以全面解码数据安全标准实施的“制度基因”。
为破解以上问题,相关单位应积极开展数据安全标准主题宣传培训活动,激励数据安全推荐性标准的宣传推广。此外,应充分运用智慧融媒,宣传数据安全标准的优秀创新实践案例,弘扬先进,锚定数据安全治理新标杆。应确立动态、覆盖全生命周期的数据安全管理制度,不仅要保障数据本地化存储安全,而且要筑牢数据跨境流动安全防线,使数据跨境流动既便利又安全。政府应重视有关政务数据安全的国家标准实施,分门别类建立数据安全强制性标准实施情况统计分析报告制度。在此要求的基础上,政务数据主管部门就要善用督查检查“反向激励”,并定期开展常态化检查,比如,要及时通报相关单位对于数据安全标准实施情况,并通过监管约谈制度,不断提升标准实施成效。政法机关应在执法、司法过程中准确适用数据安全标准,大力探索强制性标准与推荐性标准的区分适用方案,并逐步强化标准在执法、司法过程中的说理机制。此外,还应对违反强制性标准的行为予以行政查处和司法裁判,进一步细化数据安全领域执法、司法的规则和程序,从而切实彰显以标准化助力数据安全治理的新效能。
持续增强数据安全标准国际话语权
2024年3月27日,国家市场监督管理总局(国家标准委)发布《中国标准化发展年度报告(2023年)》,表明中国标准化国际合作水平持续提升。中国在政务数据安全、公共数据安全、数据出境安全等标准体系建设上取得的成绩,也备受多国瞩目。尤其近年来在iso/ iec jtc1 sc27国际标准研制工作中,中国主导的数据安全标准,更是赢得国际社会广泛高度赞誉。
在数据安全标准“走出去”过程中,一些新问题值得关注,如中国牵头制定数据安全国际标准的数量,与中国的数据安全产业规模和地位不够匹配。
为回应以上新问题,相关单位应拟定中国数据安全标准外文版编译计划,绘就出数据安全标准制定与实施的生动图景,从而凝聚融合数据安全产业发展、行业特色、制度实践的中国元素。更为关键的是,相关单位应更主动参加国际标准化组织(iso)、国际电工委员会(iec)、国际电信联盟(itu)等组织的标准制定工作,在此过程中,要充分发挥中国数据安全标准工作组的重要作用,源源不断提交承载中国数字文化的原创性数据安全标准,向世界贡献中国智慧。除此之外,还应深化国际合作,加强同世界各国、各地区、各组织就数据安全标准制定、实施和协调对接的交流合作,通过每一次交流合作,有力传播数据安全治理的中国好声音,从而持续拓展以标准化助力数据安全治理的新视野。
(作者单位:南京师范大学中国法治现代化研究院)
放大
缩小
默认