我国数据安全治理发展趋势、...与国外数据安全治理经验借鉴_吕明元.pdf

科技管理研究Science and Technology Management Research2023 No.22023 年第 2 期doi:10.3969/j.issn.1000-7695.2023.2.003我国数据安全治理发展趋势、问题与国外数据安全治理经验借鉴吕明元，弓亚男（天津商业大学，天津300134）摘要：我国的数据安全治理处于起步阶段，为此分析总结国外相关措施，为我国数据安全治理提供经验借鉴。从政策、法律、制度、行业等方面分析我国数据安全治理进展，剖析目前在数字基础设施建设、数据保护法律体系、数据安全监管、国家数据主权方面存在的问题；进而分析美国、德国、日本、韩国的数据安全治理措施，总结得出其主要经验包括加强政府规划引导和数据安全顶层设计、强化法律规范建立数据安全保护体系、加强行业和企业数据安全管理、规范数据安全治理规则与标准等。据此提出“十四五”时期完善我国数据安全治理工作的建议：加强数字基础设施建设；完善数据安全治理的法律体系；设立数据保护专职机构；在企业层面强化数据安全机制；重视数据人才培育。关键词：数据安全；数据治理；国外经验中图分类号：F49；G301 文献标志码：A 文章编号：1000-7695（2023）2-0021-07Development Trends and Problems of Data Security Governance in China and Foreign Data Security Governance Experience for ReferenceLyu Mingyuan,Gong Yanan（Tianjin University of Commerce,Tianjin 300134,China）Abstract:The data security governance in China is in its infancy stage,so this paper analyzes and summarizes the relevant foreign measures to provide experience for Chinas data security governance.It analyzes the progress of Chinas data security governance from the aspects of policy,law,system and industry,and analyzes the current existing problems in the construction of digital infrastructure,the legal system of data protection,data security supervision and national data sovereignty.And then,it analyzes the data security governance measures of the United States,Germany,Japan and the Republic of Korea,concludes that their main experiences include strengthening government planning guidance and top-level design of data security,strengthening laws and regulations to establish data security protection system,strengthening the data security management of industries and enterprises,standardizing the rules and standards of data security governance,etc.According to the above finds,it puts forward some suggestions to improve the data security governance of China during the 14th Five-Year Plan period:strengthening the construction of digital infrastructural facilities;improving the legal system of data security governance;setting up a data protection agency;strengthening data security mechanisms at the enterprise level;attaching importance to the cultivation of data talents.Key words:data security;data governance;foreign experience收稿日期：2022-04-23，修回日期：2022-09-11基金项目：国家社会科学基金重点项目“大数据与制造业融合机制创新下我国制造业绿色转型的路径与对策研究”（20AJY007）随着我国数字经济的迅速发展，数据安全已成为国家安全的重要领域。中华人民共和国数据安全法自 2021 年 9 月正式实施；2021 年 11 月中共中央政治局会议上习近平总书记主持审议了国家安全战略(20212025 年)，强调加快提升数据安全的治理能力；2022 年 6 月中央全面深化改革委员会审议通过关于构建数据基础制度更好发挥数据要素作用的意见。数据安全已经上升到了国家战略层面，构成数据基础制度的核心要义之一。我国的数据安全治理处于起步阶段，目前针对产业、企业层面数据安全的保护措施未得到细致规定与落实，如何借鉴国外经验，尽快建立较为成熟的数据安全22吕明元等：我国数据安全治理发展趋势、问题与国外数据安全治理经验借鉴治理体系，推动我国数据安全治理逐步完善，成为当务之急。1研究述评数据安全领域的国内研究早年往往集中于某一细分领域，对国家整体数据安全治理的研究较少。其中，李雪迎等1根据相关法规构建临床研究数据安全等级划分策略；张利华等2对微电网数据安全进行研究；黄如花等3从政策、法律等方面总结了我国政府数据开放过程中的经验和存在的问题，提出政府开放数据的安全保护对策。近年来，部分学者开始从国家、企业、个人层面对我国数据安全治理展开研究，如董木欣等4认为数据风险是国有企业数字化转型的制约条件，深化数据安全治理对国有企业转型升级具有重要意义，并从国家、社会和企业层面提出了治理路径；崔平等5立足于我国当下在数据贡献确算、数据确权和数据安全方面的困难，提出要协调政府与市场作用，确定数据为二元主体共同持有，建立多元共治的数据安全治理体系。同时有部分学者开展了中外数据安全治理的比较研究，如刘春年等6将中外数据安全政策进行了比较，认为我国数据安全政策存在覆盖面不够、政策要素比例不平衡、激励较轻等问题；阙天舒等7立足于全球视野，认为数据安全治理存在规则分散、机制作用力不够、治理力度弱等问题，提出我国在参与全球数据安全治理中的可选路径。近几年来，主要发达国家相继发布了大数据相关的战略决策，在国外的相关研究中，部分学者分析了各国已发布的数据安全政策、法律对某一对象的影响，如 Martin 等8研究了欧盟出台的通用数据保护条例对创新创业的影响，其中 3 个公司的反馈为刺激创新，3 个公司为限制创新，Momen 等9研究表明通用数据保护条例实施后应用程序隐私的保护情况得到了改善；也有学者对不同国家的数据安全保护模式进行了比较，如 Custers 等10以 8个欧盟成员国为研究对象，从5个方面进行综合比较，结论为由于各国法律执行力、可用预算、文化制度差异，导致了各国数据保护机构执行力的差异。综上，目前国内的数据安全研究或着重分析某一领域、某类数据的安全治理工作，内容大多偏向法学、情报学，或在进行中外比较时多从单一的政策、法律角度对数据安全治理进行研究，缺乏通过借鉴国外经验提出针对我国数据安全治理的可行性对策的研究；国外的研究往往着眼于单一国家的范围，并未进行多个国家的线性梳理及总结。目前还没有研究从经济学角度对国内外数据安全治理进行分析、总结国外数据安全治理的方法与经验，为我国数据安全治理提供借鉴。鉴于此，本研究分析我国数据安全的治理现状及现存问题，并以美国、德国、日本、韩国作为研究对象，从政府、法律、行业、企业等方面对其相关实践进行经验总结，以期为我国尽快建立较为成熟的数据安全治理体系、推动数据安全治理逐步完善提供一些参考。2我国数据安全治理现状及存在的问题2.1数据安全治理进展（1）制度政策和基础设施方面推进数据安全建设。2016 年 8 月，中共中央网络安全和信息化委员会办公室发布关于加强国家网络安全标准化工作的若干意见，在发展高端制造业和促进大数据发展行动纲要等国家战略的要求下，推进关键信息基础设施保护、大数据安全、网络安全等领域的标准研究和制定工作。2017 年网络安全法正式实施，网络运行安全和关键信息基础设施安全、网络安全等级保护制度等工作逐步加强。2021 年 3 月，国家互联网信息办公室联合四部门共同发布常见类型移动互联网应用程序必要个人信息范围规定，对过度利用个人信息的现象进行整治。2021 年 4 月，关键信息基础设施安全保护条例出台，我国大力推进以 5G、人工智能、工业互联网、数据中心为代表的新型基础设施建设，为实现数据安全奠定基础。除国家层面出台的政策文件外，各省区市也在积极探索数据安全保护政策，如贵阳市大数据安全管理条例（2018 年）、海南省大数据开发应用条例（2019 年）、天津市数据安全管理办法（暂行）（2019 年）和深圳经济特区数据条例（征求意见稿）（2021 年）等。（2）法律上逐步形成数据安全保护体系。2021年 数据安全法 和 个人信息保护法 的相继出台，填补了我国在数据安全立法上的空白，与网络安全法民法典 共同构成数据安全保护基本框架。数据安全法首次明确数据权益，规定国家保护个人、组织与数据有关的权益，承认了数据的权益性特征。个人信息保护法规范了个人信息收集过程，对个人信息所有者的权益给予了法律上的强制保护。目前，中国没有设立专门的数据保护机构，对危害数据安全的行为主要由有关主管部门责令改正、给予警告，如国家互联网信息办公室负责与互联网安全相关的监督工作，工业和信息化部下属网络安全监管局和各省级电信管理部门、公安部、各级市场监管局等相关部门负责其管辖范围内的数据安全监督工作。吕明元等：我国数据安全治理发展趋势、问题与国外数据安全治理经验借鉴23（3）完善数据安全治理制度与机制。一是建立数据分类分级保护制度，以数据在经济社会发展中的重要程度和遭到披露会造成的危害程度为衡量标准，对数据实行分类分级保护。对重要数据建立重要数据目录；对关系到国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据，实行更加严格的管理制度。二是建立数据安全风险评估、报告、信息共享、监测预警机制，建立数据安全审查制度和数据安全应急处置机制。三是强调政务数据的安全与保护。制定政务数据开放目录，建设政务数据开放平台，在保障政务数据安全的前提下推动政务数据开放利用。（4）特定行业中数据安全得到保障。近几年各行业出台了一系列数据安全相关的标准，如：中国人民银行等制定了个人金融信息保护技术规范（2020年）、金融数据安全 数据生命周期安全规范（2021 年）；中国银保监会发布了中国银保监会监管数据安全管理办法（试行）（2021 年）；国家互联网信息办公室起草了汽车数据安全管理若干规定（征求意见稿）（2021 年）；工信部印发了 电信和互联网行业数据安全标准体系建