《数据》杂志 | 浅析《网络安全法》修改对数据合规与隐私计算的影响
浅析《网络安全法》修改对数据合规与隐私计算的影响
姚明、曾钰涵、李博、袁志烨 | 洞见科技
【摘要】中华人民共和国国家互联网信息办公室(以下简称“国家网信办”)于 2022 年 9 月公开征求《关于修改〈中华人民共和国网络安全法〉(以下简称<网安法>)的决定(征求意见稿)》(以下简称《意见稿》)意见的通知。这是《网安法》实施五年后的首次修改,旨在与新实施的法律衔接,聚焦对网络安全法律责任制度的修改、调整及完善。
隐私计算技术作为一种网络数据计算安全保护的措施,为保障数据安全流通与用户信息隐私的实现提供了更安全可靠的技术实现路径。本次《网安法》修改或将进一步推动隐私计算技术成为《网安法》及相关信息安全标准的技术供给,并在未来发挥更大的作用与价值。
继 2017 年《网安法》实施至《网安法》首次征求修改意见,我国对网络安全与数据治理的立法经验日趋成熟,我国现有对网络安全与数据治理的合规体系框架如下:
以《网络安全法》《数据安全法》《个人信息保护法》为主线搭建的网络安全与数据治理的合规体系框架已逐步形成,基于对网络数据处理行为的顶层法律规定,国家网信办等相关主管部门陆续出台了越来越多网络安全与数据治理规定,逐步建立健全网络信息安全与数据处理的合规管理制度。为了进一步推进网络安全与数据治理进程,国家、地方、行业等各界纷纷出台关于个人信息、网络数据、行业数据安全管理及处理行为的标准规范、指南,构成了自上而下、从内而外的合规体系框架。
《意见稿》对网络安全与数据治理合规体系予以完善
本次《意见稿》主要针对《网安法》中涉及的网络运行安全、用户个人信息保护、关键信息基础设施安全、网络信息安全及禁止行为等法律责任条款建议予以完善。此举将有利于进一步完善网络安全与数据治理合规体系,并避免法律规定适用冲突。
从法律责任归类出发,重新将《网安法》的主要网络安全义务对应至法律责任,形成逻辑性更强的法律责任框架体系。
总体而言,《意见稿》对应《网安法》的法定义务(网络运行安全一般规定、关键信息基础设施安全保护义务、网络信息安全保护义务、个人信息保护义务、禁止行为)规定,采用统一归类方式将同类违法行为的法律责任予以整合,使全文所涉法律义务与责任上下衔接更紧密、更具逻辑性,形成了以网络安全运行、关键信息基础设施安全、网络信息安全、个人信息保护为主的法律责任基本制度框架体系。
此外,《意见稿》建议将违反《网安法》第 23 条、第 28 条、第 49 条未明确列入或仅部分体现在法律责任中的情形,分别归类并明确相应处罚责任,其中,第 23 条针对网络关键设备和网络安全专用产品符合国家标准强制性要求以及售前/使用前须经安全认证或检测的规定,与网信部门出台的《网络关键设备和网络安全专用产品目录(第一批)》及实施的网络关键设备安全检测机制相衔接,为网络关键设备和网络安全专用产品合规整治提供行政法层面的处罚依据;第 28 条是为公安机关、国家安全机关维护国家安全和侦查犯罪活动提供技术支持和协助义务;第 49 条是要求网络运营者建立网络信息安全投诉、举报制度等,并对网信部门和有关部门依法实施的监督检查予以配合的义务。此三条均是为了便于网信部门及相关部门行使网络安全维护职责而特别加入的法律责任。
在充分采纳《个人信息保护法》《数据安全法》的立法经验和整合现有法律的共性规定的同时,增加了对网络运营者违法行为的处罚情形、种类并提高了行政处罚幅度。
与《网安法》现有规定相比,《意见稿》将现有两级行政处罚标准统一修改至三级,针对违法行为“情节特别严重”的企业,将行政处罚金额统一提升至 100 万元以上 5000 万元以下或者上一年度营业额 5%以下罚款的标准。同时引入“通报批评”及“直接负责人的从业禁止”作为行政处罚措施。
但是,《意见稿》第 4 条建议将《网安法》第 66 条修改为“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚”。而目前《数据安全法》《关键信息基础设施安全保护条例》等法律法规尚未明确具体处罚规则,为此还待完善。
从《意见稿》的修改趋势观察,《网安法》有关网络安全保护义务的法律责任处罚力度将全面提升,意味着网络运营者应注意加强梳理网络安全与数据治理的合规体系及履行对应实际业务的各项义务,并应积极采用网络安全保护措施,以适应主管部门趋严的合规监管。
《网安法》修改对隐私计算技术的影响
《意见稿》对完善现有网络安全与数据治理合规体系具有重要意义,将进一步推进网络信息安全技术革新。隐私计算是当前网络数据计算安全保护的核心技术之一,《网络法》修改及网络安全与数据治理合规体系的建立健全,将为隐私计算技术带来更多的积极影响:
一方面,网络安全与数据处理行为的规范及趋严的问责制度,将进一步促进隐私计算技术对网络数据处理合规要求的技术供给。
借鉴国外数据保护的立法经验,我国《网安法》第 20 条有关网络安全等级保护制度中要求网络运营者应履行“采取数据分类、重要数据备份和加密等措施”的安全保护义务;第 42 条第 2 款规定“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失”;《数据安全法》第 3 条也强调了“采取必要措施”保护数据安全的要求;另外,《个人信息保护法》第 51 条对个人信息处理者进一步提出应“采取相应的加密、去标识化等安全技术措施”。《意见稿》明确了违反《网安法》第 20 条、第 42 条的法律责任且加大了对单位违法行为的处罚幅度,此举将促使网络运营者、网络数据处理者加强对用户数据采取安全措施的重视程度并尽快优化和更新加密、去标识化的技术措施。
根据中国信息通信研究院发布的《隐私计算白皮书(2021 年)》,隐私计算(Privacy-Preserving Computation)的定义是“在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,保证数据在流通和融合过程中的可用不可见”,隐私计算技术集合包括多方安全计算、联邦学习、可信执行环境等多个技术子集,本质上都是避免原始数据泄露的安全保护措施,实现数据计算过程结果的隐私保护;与传统的加密、去标识化单一技术相比,隐私计算因融合了密码学、统计学等交叉学科,为解决复杂数据处理过程中的隐私保护问题提供了更高效、更安全的解决方案。
与此同时,隐私计算对信息安全保护的技术供给能力已得到数据处理相关国家或行业标准的认定与推荐。如 GB/T37964-2019《信息安全技术个人信息去标识化指南》第 5.4.2 款预处理中规定“增加或扰乱数据,改变数据集的真实性”“同态加密”“同态加密共享”“差分隐私模型”等去标识化合规技术手段等。
《意见稿》对《网安法》及其网络安全与数据治理体系的问责制度完善,势必推动网络运营者、网络数据处理者对安全技术措施予以更新迭代,进而加快隐私计算的合规技术供给。
另一方面,随着合规引导下网络运营者(网络数据处理者)对隐私计算技术的应用探索加强,该类技术将在协同数据安全共享方面,充分发挥数据安全保障和促进数据安全流通的效能,为数据智能的应用提供更多合规创新案例。
隐私计算作为促进数据安全流通的技术措施,同样在国家及地方的数据合规流通政策中得到肯定与支持。如中国人民银行 2021 年 12 月发布的《金融科技发展规划(2022-2025 年)》指出“应用多方安全计算、联邦学习等隐私计算技术探索建立跨主体数据安全共享隐私计算平台”;科技部、教育部、工业和信息化部、交通运输部、农业农村部、国家卫生健康委员会 2022 年 7 月 29 日联合发布的《关于加快场景创新以人工智能高质量发展的指导意见》在“聚集人工智能场景数据资源”中明确强调“采用区块链、隐私计算等新技术,在确保数据安全的前提下,为人工智能典型应用场景提供数据开放服务”。
网络运营者、网络数据处理者以及隐私计算厂商正在积极寻求应用合规与商业利益的平衡。目前隐私计算技术已逐渐在互联网相关领域多个场景中得到应用,例如:
在互联网广告投放场景,隐私计算技术主要用于实现目标客户的精准推荐和新客户拓展,在保护用户隐私及实现数据方用户信息可用不可见的前提下,安全拓宽数据样本量及数据维度,帮助网络运营者实现潜在客户高效触达,提升模型预测能力,利用模型预测效果匹配吸引投放平台的目标客户群,提高客户转化率,优化精准营销效果,从技术上为互联网广告提供了安全保障与数据合规利用并行的解决方案。
在金融领域的网络风控场景,通过隐私计算技术能够实现金融机构自身数据网络与外部机构数据网络的安全融合,在各方原始数据不出域的前提下,联合建立数字化风险信用评级模型,实现实时预测,提升风控质量。在信息核验时,通过隐私计算能够实现多方黑名单数据在内外部网络间的安全共享,对电诈、洗钱、骗贷等行为的黑名单用户进行匿踪识别,保障数据方在不能获知查询的具体内容的前提下,提升客户背景调查的安全可信程度,以技术信任的方式实现在金融网络与外部互联网中数据价值的合规应用与用户隐私的安全保护。
结语
在《网安法》修改及相关法律法规对网络安全保护要求趋严的背景下,隐私计算技术将得到更广泛的应用,为网络数据安全保护与数据价值合规应用提供更适配的供给与协同,网络运营者、网络数据处理者将积极探索将隐私计算技术与其应用场景密切结合的安全合规路径,避免因网络安全措施不当或缺失而导致的违法违规风险。
诚然,隐私计算作为一种中立的技术方案,并不能为网络数据处理的所有合规要求提供技术供给,网络运营者、网络数据处理者以及隐私计算技术厂商仍应遵循合规规定,在隐私计算应用场景中全局考虑、设计合规流程和解决方案,注重隐私计算技术与其他合规要求的协同。
作者简介:
姚明
洞见科技创始人、董事长
清华大学、大连理工大学公开课特聘导师
曾钰涵
洞见科技法务合规负责人
北京大学法律硕士
李博
洞见科技合伙人、副总裁
北京大学硕士,高级工程师
袁志烨
洞见科技技术市场负责人
福布斯中国 2020 年“30 岁以下精英”
附《数据》杂志封面 &正文页:
评论