维多利亚官方网站【中国】有限公司官网


观点 | 提升数据安全治理监管能力的三个着力点

发布时间:2024-10-21   来源:民主与法制时报  浏览次数:18
文 | 南京师范大学中国法治现代化研究院 李谦党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出,加快建立数据产权归属认定、市场交易、权益分配、利益保护制度,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。提升数据安全治理监管能力,有助于防范和化解各类数据安全风险,对于推动高水平数据安全,实现经济社会高质量发展具有重要意义。对于如何提升数据安全治理监管能力,笔者认为,可以从系统完善规范、高效应用技术、严格实施程序三个着力点加以展开。


系统完善规范

立法者在不同规范中确立提升数据安全治理监管能力的条款。在数据安全相关法规、规章中,确立可以准确识别数据安全风险的原则性条款,例如,立法者可以设置全链路识别数据安全风险的原则性条款。在数据安全相关规范性文件、政策文件中,确立能够敏捷回应数据安全风险的规则性、政策性条款,促进监管者及时灵活应对各领域人工智能、大模型使用中的新型数据安全风险。在数据安全相关技术标准中,立法者可以确立人机协同防控数据安全风险的标准规定等。

可建立数据安全风险跨领域、跨区域、跨部门综合监管体制机制。 其一,强化数据安全风险跨领域的协同监管。如,科学研究中的数据流动到相应产业领域,可能会出现数据安全风险属性和等级的较大变化,此时,应重视这种数据安全风险跨领域的协同监管。 其二,强化数据安全风险跨区域的协同监管。目前,实践中,不同区域的数据安全风险监管标准存在不统一的情形,亟待进一步完善。 其三,强化数据安全风险跨部门协同监管。相关职能部门可建立跨部门协作机制,定期召开数据安全治理监管的联席会议,共同讨论和解决数据安全问题。通过多方合作,可以避免各部门之间的监管盲区,形成合力。 相关职能部门可以开展数据安全治理规范化指导和培训工作。 其一,完善关于开展数据安全治理规范化指导和培训工作的立法规定。通过在不同法律规范中设立原则性条款、规则性条款、技术性条款等方式,确立开展数据安全治理规范化指导和培训工作的立法基础。 其二,作为数据安全治理监管的一项要求,可通过行政督查促进监管部门依法履职。提升数据安全治理监管能力,重视监管部门对企业数据安全治理的规范化指导和培训工作。各级政府要运用好行政督查职能,督查监管有关部门履行职责情况。 其三,形成并适时修正数据安全治理规范化指导和培训手册。应在复杂多变的数据安全风险中,寻找治理监管良方,加快研制数据安全治理规范化指导和培训手册,并适时进行修订,不断提升数据安全治理监管能力。


高效应用技术

全社会支持科技创新,面向新质生产力发展推进高效技术应用。适当向新质生产力发展领域数据安全产业、产品倾斜政策激励,对企业投入数据安全产品、技术实行税收优惠政策,鼓励和引导企业、科研院校(所)加强数据安全技术研发和创新应用。同时,搭建各行业、各领域数据安全治理智能模块,有效利用联邦学习技术、安全多方计算、区块链等技术,形成“原始数据不出本地”,在交换处理结果时实现“数据可用不可见”。在人工智能赋能各行各业过程中,重点关注大模型使用中的虚假信息、数据安全风险等现实问题,以技术治理克服技术性风险。

监管者应运用多种技术手段,保障数据安全风险防控及时性、有效性。监管者实施数据安全监管,应要求加强对敏感数据的加密处理及对数据访问的控制。现代加密技术,如对称加密和非对称加密,能够有效地保护数据在存储和传输过程中的动态安全。通过严格的数据访问控制策略,可以确保只有经过授权的用户才能访问特定的数据。此外,监管者还应建立完善的数据泄露检测机制,如使用智能技术检测数据泄露。同时,完善数据泄露应急管理的技术措施,确保一旦发生泄露事件能够迅速应对并将损失降到最低。


严格实施程序

监管者应开展数据分类与评估,做好数据安全风险评估。监管者可以根据监管事项的基本特征,及时对可能发生的数据安全风险进行评估,尽早实施富有成效的治理监管举措。

出台数据安全标准,划定监管基本准线 按照数据分类结果和评估情况,有关职能单位可以出台数据安全标准,为数据收集、传输、存储、使用等全流程风险监管提供标尺。可参考专家意见与行业案例,确保政策和标准的科学性与实用性。同时,通过设立知识分享平台,鼓励各监管部门相互学习与交流,提高数据安全标准实施的精准性。 完善数据安全审计,保障数据安全治理成效。除企业内部自发组织审计外,监管者可聘请外部第三方审计机构开展数据安全审计,对平台企业数据分类分级制度、访问权限制度、数据全生命周期制度、数据安全风险评估制度、数据安全应急响应制度等进行审计。在此过程中,可通过自动化报表生成工具,简化审计过程,提高审计的效率和准确性。 实施数据安全事故响应与恢复机制,尽可能降低数据泄露等行为造成的损害。企业或者平台发生数据安全事件后,监管者应迅速启动事故响应机制,采取行之有效的应急处置措施,尽最大努力消除安全隐患,督促平台或企业恢复数据安全状态。监管者可以请专业机构予以协助,确保在重大数据安全事件发生时能够迅速介入并提供专业支持。 通报处理结果和改进意见,为优化数据安全治理提供指导。监管者应当通报数据安全风险处理结果及数据安全治理改进意见,提醒和教育相应数据处理者和数据控制者,通过这一举措,进一步强化监管者在数据安全风险防控领域的社会监督作用。比如:推行“常规定期+专项活期”通报制度,准确、及时给数据处理者和数据控制者提供数据安全治理改进意见。

(来源:民主与法制时报)

Baidu
sogou