以下是現(xiàn)場速記。
國家信息中心總工程師 李新友
李新友:謝謝!能到這個會場上來與大家做一個交流,我感到很榮幸。給安排的時間比較充裕,是25分鐘,所以我在這之前我說幾句閑話。
這個會讓我感覺有幾點跟平時我參加會議不一樣的地方,我把我的感受與大家交流一下:
第一個是這個會場選的非常的好,風景秀麗的香格里拉,我去過四川的香格里拉,這個是第二個香格里拉,也有可能是第一個香格里拉,我非常愿意來。
第二個參加會議的代表,很少有政府的官員,可能我是個例外,作為事業(yè)單位的一個CTO,大部分參會的人都是企業(yè)的精英、央企的CIO。
第三個不一樣的地方,我站在這兒好像有點不太入流。大家都是CIO,結果我是個CTO,我爭取下次能把身份變一下,變成一個CIO。
我今天交流的題目是《數(shù)據(jù)安全法》,國家最近出了一個《數(shù)據(jù)安全法草案》征求意見稿。中國信息安全法律大會,浙江委員會對這個《數(shù)據(jù)安全法》組織專家們做了一次研討,形成了一些專家的意見。我今天講的這個報告是信息安全法律大會浙江委員會的成果,如果是講得大家覺得是對的地方,那就是他們的貢獻,如果有錯的地方,大家覺得不合適的地方,那是我個人的責任,我跟大家交流一下。
因為搞數(shù)字轉型是一個大勢所趨的方向,剛才兩位老總做致辭的時候,大家可能都已經(jīng)感覺到了。搞數(shù)字轉型離不開安全,為了數(shù)字轉型,國家發(fā)改委原來高技術司有一個處叫信息化處,現(xiàn)在改成了數(shù)字經(jīng)濟發(fā)展處,所以說數(shù)字轉型是個非常重要的事兒,在這個數(shù)字轉型過程中數(shù)據(jù)安全是非常大的事兒。
講三點:
第一,《數(shù)據(jù)安全法》出臺以及意義。
第二,專家對《數(shù)據(jù)安全法草案》整體的意見。
第三,講具體條款。
大家知道前幾年剛剛出了網(wǎng)絡安全法,為什么現(xiàn)在急著要出一個數(shù)據(jù)安全法,這兩個法之間有什么不一樣的地方?之間有什么銜接的地方?這個是非常重要的。
一個是數(shù)字經(jīng)濟,數(shù)字轉型已經(jīng)成為全球轉型發(fā)展的核心資源,強動力和主流的業(yè)態(tài),這個大家是不可否認的。數(shù)據(jù)的重要性日益凸顯,數(shù)據(jù)安全問題愈發(fā)突出。這里可以給大家說一下,比如說政府數(shù)據(jù)要進行公開、數(shù)據(jù)要進行共享、數(shù)據(jù)要進行交易,數(shù)據(jù)要進行跨境流動,所以在數(shù)據(jù)的生命周期里都對產(chǎn)生數(shù)據(jù)安全的問題。在國內數(shù)字化轉型蓬勃發(fā)展,所以需要對安全要進行加強。
另外國外前年歐盟也發(fā)布了一般數(shù)據(jù)保護法叫GDPR,它的觸角已經(jīng)到域外國家了。我們必須應對,今年7月,大家對《數(shù)據(jù)安全法草案》征求意見。這里的主要內容有幾章,我不去講了,主要講的是數(shù)據(jù)安全的發(fā)展和數(shù)據(jù)安全的制度還有數(shù)據(jù)安全保護的義務等等這樣一些東西。
這個《數(shù)據(jù)安全法》出臺,它的意義主要表現(xiàn)在這么幾個方面:
第一,是體現(xiàn)了在國家整體的安全觀的指導下,國家數(shù)據(jù)安全治理的整體的思路。
第二,它通盤考慮了安全和發(fā)展這兩個關系。
第三,確立了國家數(shù)據(jù)分級分類、數(shù)據(jù)安全審查等制度。
第四,推出了重要數(shù)據(jù)保護目錄、數(shù)據(jù)出口管制和反制。
第五,執(zhí)法機構數(shù)據(jù)跨境調取報告。
先講一下專家的總體演講,有這么幾點很重要:
一個,《數(shù)據(jù)安全法》跟《網(wǎng)絡安全法》銜接問題,有了《網(wǎng)絡安全法》為什么要搞《數(shù)據(jù)安全法》?
第二,怎么突出數(shù)據(jù)的安全,而不是講別的東西,把重點集中在數(shù)據(jù)安全這一塊,這個也是專家們對兩個安全法草案意見在里邊。一個是銜接的問題,跟《網(wǎng)絡安全法》的銜接。到現(xiàn)在為止,我們理解有三個因素非常重要,這個概念上有幾個混淆的地方,一個是網(wǎng)絡安全,網(wǎng)絡安全它的邊界在哪兒?再一個是系統(tǒng)安全,系統(tǒng)安全邊界和數(shù)據(jù)安全,三者之間的安全關系在什么地方。原來我們一直在講信息安全,突然有一天就變成了網(wǎng)絡安全,一直大家都在討論網(wǎng)絡安全的東西,好像網(wǎng)絡安全把所有的安全都給包含進去了,現(xiàn)在又搞數(shù)據(jù)安全,這個數(shù)據(jù)安全跟網(wǎng)絡安全有什么關系?這個值得大家去討論。尤其制定法律的時候,一定要把它的內涵和它的外延,尤其它的邊界要搞清楚,這是很重要的事情。
比如《數(shù)據(jù)安全法》有數(shù)據(jù)安全的檢測、評估、認證,《網(wǎng)絡安全法》也有網(wǎng)絡安全的檢測、評估,《數(shù)據(jù)安全法草案》里面有數(shù)據(jù)的分級分類,《網(wǎng)絡安全法》也有網(wǎng)絡安全的數(shù)據(jù)等級保護,《數(shù)據(jù)安全法草案》搞數(shù)據(jù)監(jiān)測預警,《網(wǎng)絡安全法》有網(wǎng)絡安全的監(jiān)測預警,等等這樣的東西都是重復的。
如果作為一個企業(yè)來講,今天搞網(wǎng)絡安全審查,明天搞數(shù)據(jù)安全審查,我這個企業(yè)怎么去應付它?所以說《數(shù)據(jù)安全法》跟《網(wǎng)絡安全法》之間的銜接是一個非常重要的事情,這是專家爭議的一個焦點。
第二個,跟這個出口管制法的爭議。出口管制法還沒出來,它到了第二稿了。出口管制里也有數(shù)據(jù)安全的問題。在《數(shù)據(jù)安全法草案》里也有數(shù)據(jù)出口管制的問題。大家記住,我們一直在講數(shù)據(jù)跨境的流動,但是實際上有些重要數(shù)據(jù),特別一些敏感的數(shù)據(jù),它要出口的話,它是有受到管制的。就跟一些高新技術產(chǎn)品和技術要出口受到管制一樣,我們要管制我們的東西不能出去。像國外的一些國家也會管制他們的技術不給我們來用,我們買也買不到,就是有錢也買不到,是一樣的。這個里面《數(shù)據(jù)安全法》和出口管制法他們之間的銜接有一個很重要的一點是什么?就是最下面一行,叫做“避免出現(xiàn)真空”,這是一個很重要的事情,重復的可以協(xié)調,最怕出現(xiàn)數(shù)據(jù)真空,《數(shù)據(jù)安全法》不去管出口管制里面的細節(jié),出口管制法也不去管數(shù)據(jù)出口的一些內容,所以這樣有些數(shù)據(jù)鉆法律空缺把數(shù)據(jù)搞出去了。
第三個,聚焦數(shù)據(jù)安全。這里面寫的是“要立足安全保障,兼顧發(fā)展需求”。專家真正意見,《數(shù)據(jù)安全法》不要過分強調發(fā)展的問題,把安全搞好了,發(fā)展是另外一些法律去管,《數(shù)據(jù)安全法》要全力以赴做數(shù)據(jù)安全的問題,不要把太多的精力、條款放到發(fā)展上,就是這么一片紅字,不宜在立法上直接的規(guī)定很多促進發(fā)展的條款,怎樣促進發(fā)展跟《數(shù)據(jù)安全法》關系不是特別大。
再一個要立足基礎性的立法。數(shù)據(jù)安全法,是一個基礎性的法律。你就必須要在概念上面在法律的范圍方面,在一些大的框架原則方面要把它講清楚,不要拘泥于一些細節(jié)上的東西,細節(jié)上的東西可以放到法律的下一個法去進行。所以要給一些后續(xù)的行政的法規(guī)、地方法規(guī)還有部門的規(guī)章制度要留一些空間。這個理由都很充分,因為數(shù)字化的發(fā)展、數(shù)字經(jīng)濟轉型這個速度太快了,發(fā)展速度快,所以安全風險也是在不斷的出現(xiàn),所以風險也是在不斷的演變,所以我們怎樣去應對這些風險?不能用法把它框得太死了。
第二個,國際形勢和經(jīng)濟形勢都不是特別穩(wěn)定。
再一個,現(xiàn)在制定《數(shù)據(jù)安全法》,我們國家是沒有經(jīng)驗和范例,所以很敏感。這一塊是希望把一些敏感的東西給它原則化。
這個還是剛才說的要聚焦核心的問題,這里面要重點的解決下面我的幾個問題,專家們都認為應該把這些問題作為《數(shù)據(jù)安全法》的重點。比如說域外效率的反制,剛才說的歐洲一般數(shù)據(jù)安全保護,它把手伸到中國來了,中國企業(yè)也要受到它的法律管制,我們的《數(shù)據(jù)安全法》怎樣去做反制措施,保護我們的企業(yè)。
再一個境外機構要跨境調取數(shù)據(jù),我們怎么處理?數(shù)據(jù)跨境流動它的安全怎樣保障?還有一些重要的數(shù)據(jù),尤其是政府的一些重要數(shù)據(jù)、敏感數(shù)據(jù),怎樣去分級分類保護?還有數(shù)據(jù)開發(fā)利用的時候,數(shù)據(jù)開發(fā)利用也是非常重要的事情,原來只是想保護數(shù)據(jù)的收集、存儲、流動這樣一些過程中的安全,但是現(xiàn)在十個數(shù)據(jù)可能看著不安全,但是把十個數(shù)據(jù)綜合在一起進行大數(shù)據(jù)分析以后,它就變得非常的重要了,變成非常敏感的信息了,這個數(shù)據(jù)開發(fā)利用它的安全怎樣保障?《數(shù)據(jù)安全法》也應該能夠體現(xiàn)出來。
作為數(shù)據(jù)的要素引發(fā)的,比如各種各樣的制度建設,大家也覺得是非常重要的一件事情,在數(shù)據(jù)安全里各項制度的界定。比如數(shù)據(jù)交易、共享、開發(fā)利用等各種各樣的制度怎樣去做也非常重要。
剛才講的都是專家們認為比較重要的幾個原則性的東西,怎樣去跟《網(wǎng)絡安全法》銜接?怎樣去跟《出口管制法》去銜接?跟其他的法律銜接?怎樣聚焦數(shù)據(jù)安全,怎樣考慮數(shù)據(jù)的動態(tài)的安全?等等這樣東西都是專家們比較重視的一些條款。
下面我把《數(shù)據(jù)安全法》一些細節(jié),專家的意見給大家羅列一下。
一個,監(jiān)管制度的設置。《數(shù)據(jù)安全法》里有很多個地方描繪的都是相關部門、相關什么、什么,相關的監(jiān)管機構,這樣的說法,專家們認為是比較籠統(tǒng)的,不合適的,必須要厘清監(jiān)管的機構。里面一個特別敏感的說法,就是中央國家安全機構和國家網(wǎng)信部門,這樣兩個部門,到底該做什么?里面有些重復,尤其是統(tǒng)籌、協(xié)調這兩個字,到底是由中央網(wǎng)信辦去統(tǒng)籌協(xié)調還是由國家網(wǎng)信辦去統(tǒng)籌協(xié)調?這件事情專家們覺得應該在法律上厘清,法要分清誰該干什么,誰的責任。
第二個,數(shù)據(jù)的分級分類制度?!毒W(wǎng)絡安全法》有分級分類制度,《數(shù)據(jù)安全法》也是有分級分類的制度,這些制度大家希望要進一步的去厘清怎么樣去做分級分類的方法,怎么樣去定級等等這樣一些事情都是很重要的。
再一個,重點的數(shù)據(jù)保護認定。剛才不是說了數(shù)據(jù)分級分類,剛才說《網(wǎng)絡安全法》里分級分類制度有一個網(wǎng)絡等保的做法,現(xiàn)在已經(jīng)到了2.0?!稊?shù)據(jù)安全法》分級分類怎么搞?大家有想法。既然分級分類了,那么重要的數(shù)據(jù)分到重要那一級數(shù)據(jù)的地方,怎樣去認定它?這里面有一個概念界定的地方。什么叫重要的數(shù)據(jù)?就是誰來認定?如果出現(xiàn)了有異議的話,怎么樣去處理等等這樣一些東西,在安全法里面還是比較欠缺的。我現(xiàn)在講的跟上面的文字是不太一樣的,大家可以邊看文字邊聽我講。
這個是檢測評估這一塊,也是同樣的道理。數(shù)據(jù)要搞安全的檢測評估,現(xiàn)在我們國家已經(jīng)建立了一套完整的網(wǎng)絡安全檢測評估體系,有很多第三方的網(wǎng)絡安全檢測評估機構,這些機構都是經(jīng)過認定的一些機構,現(xiàn)在要再考慮數(shù)據(jù)評估,怎樣去進行協(xié)調?
再一個是數(shù)據(jù)安全審查,這是比較敏感的話題。國外的政府、機構還有企業(yè)都對咱們的網(wǎng)絡安全審查這件事情都有非議,但是我們不能不搞審查。如果沒有安全審查,不光是數(shù)據(jù)安全的問題、網(wǎng)絡安全的問題,也有可能會影響到我們國家安全的問題。所以安全審查這個制度必須要建立,但是作為數(shù)據(jù)安全審查,怎樣去跟國家的安全法、網(wǎng)絡安全法還有外商投資法還有網(wǎng)絡安全審查辦法等等這樣一些法律法規(guī),怎樣建立起一個完整的體系起來?是非常重要的。所以這里面就建議要通盤的考慮。
再一個是數(shù)據(jù)交易的制度。數(shù)據(jù)作為一種生產(chǎn)要素,它將來會產(chǎn)生交易的。以前數(shù)據(jù)我們可能就是要來就可以了,以后可能要花錢去買。在這個數(shù)據(jù)的交易過程中,就會產(chǎn)生安全的問題。我們國家出現(xiàn)好幾起了,有些掌握重要數(shù)據(jù)的部門,把自己的數(shù)據(jù)給交易出去了,給國家造成了損失,這是很重要的一件事情。所以這里面就是數(shù)據(jù)交易這一塊,專家們也提出了想法。
現(xiàn)在草案只是太原則,數(shù)據(jù)交易這件事情本身是跟網(wǎng)絡安全,和剛才我提到的系統(tǒng)安全、信息安全這些不太一樣的地方是特殊的東西。這就應該在《數(shù)據(jù)安全法》里面重點的去寫它的,但是我們發(fā)現(xiàn)《數(shù)據(jù)安全法》在這里面反而只寫了一個原則性的東西,反而沒有把數(shù)據(jù)交易里面的一些重要的方面、要素提出來,這里專家建議,數(shù)據(jù)交易這一塊應該要建立幾個可操作性的、符合數(shù)據(jù)交易發(fā)展現(xiàn)狀的一個數(shù)據(jù)交易的規(guī)則,這是非常重要的一件事情。
這里面是專家發(fā)現(xiàn)文字里面矛盾的地方。
比如說許可證的事兒,在前面兩個條文里面沒有提到,數(shù)據(jù)交易的許可的事兒,后面的這個里面要吊銷許可證,所以這個就出現(xiàn)沖突了,這是小事兒。
再一個,數(shù)據(jù)的跨境流動。數(shù)據(jù)的交易、數(shù)據(jù)的輸出許可、數(shù)據(jù)的流動、數(shù)據(jù)的共享,像這些東西跟網(wǎng)絡安全都不一樣,所以在《數(shù)據(jù)安全法》必須要對這一塊要重點的來講。所以數(shù)據(jù)跨境流動這一部分也是很重要的一件事情,也是希望有一個跟其他的法案要進行銜接、要做一個具體的規(guī)定等等這樣的問題。
這個是數(shù)據(jù)出口管制這一塊,要跟《出口管制法》要進行銜接。
境外數(shù)據(jù)調取應對。到目前為止,我們關心的都是境外數(shù)據(jù)調取都是境外的執(zhí)法機構調取我們的數(shù)據(jù),比如要破案。但專家認為將來可能會發(fā)生很多的場景,不光是境外執(zhí)法機構會調取我們的數(shù)據(jù),還有一些機構可能也會調取我們的數(shù)據(jù)。所以這一塊,把執(zhí)法兩個字應該去掉。
再一個是電子政務的數(shù)據(jù),在《數(shù)據(jù)安全法》里面專門有一章提到這個事情。因為政務數(shù)據(jù)比較敏感,所以這里面有建議的是要建立嚴格的監(jiān)管機制還有對數(shù)據(jù)分析要考慮到《數(shù)據(jù)安全法》里面去。
再一個數(shù)據(jù)安全事件的處置,這里面的專家感覺到在這個處置事情里面少了一樣東西,外部攻擊也作為一個因素放進去。
最后,約談的機制。你們出了問題以后,我估計在座有些企業(yè)可能都被網(wǎng)信辦約談過。這里面提到的約談不能夠太隨便,約談要有比較高級的部門來約談,不能夠誰都想約談你,把企業(yè)搞得不知道怎么去應對了。
最后,還有一些是補充的條款。覺得《網(wǎng)絡安全法》里面欠缺的,這里有兩個東西:一個,大數(shù)據(jù)的問題。剛才已經(jīng)提到了。第二個是基礎概念界定的缺失,這個剛才我也提到了,就是數(shù)據(jù)安全。相對于《網(wǎng)絡安全法》,《數(shù)據(jù)安全法》還是有它自己獨特的地方,所以不是說因為我們有了《網(wǎng)絡安全法》就不需要《數(shù)據(jù)安全法》了,所以說怎樣在《數(shù)據(jù)安全法》里面把跟《網(wǎng)絡安全法》里面有重復的東西,怎樣做好銜接?把我自己獨特的東西給它做出來,這是《數(shù)據(jù)安全法》里必須要做的一件事情,所以在《數(shù)據(jù)安全法》里面像跨境流動、共享、數(shù)據(jù)出口的許可,怎樣去反制別人的安全法等等這樣的東西可能在《數(shù)據(jù)安全法》里面體現(xiàn)出來。
我今天就講這些,感謝大家!不道之處,請批評指正!