数字安全治理体系的完善路径

　　数字技术在提高社会生产力、优化资源配置的同时，也带来一些新问题、新挑战。促进数据合法合规开发利用，必须建立健全数据安全风险评估、检测认证等机制，进一步完善数字安全治理体系，强化社会治理能力，提升数据安全管理水平。

　　近日，国家互联网信息办公室发布《数字中国发展报告（2021年）》（以下简称《报告》），总结了党的十九大以来数字中国建设取得的显著成就和2021年的重要进展与成效，评估了2021年各地区数字化发展水平，并对2022年数字中国建设进行了展望。《报告》指出，数字化发展治理体系尚需健全，垄断与不正当竞争、数据安全、隐私保护、技术伦理等问题风险依然存在。

　　新一轮科技革命和产业革命深入发展，各领域数字化转型持续加速，数字技术以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程。但数字技术在提高社会生产力、优化资源配置的同时，也带来一些新问题、新挑战。因此，有必要进一步完善数字安全治理体系，强化社会治理能力。

　　提升数据安全管理水平

　　近年来，随着大数据技术的快速发展与应用，数据对经济发展、社会治理、人民生活产生了重大且深远的影响。与之相伴的是，数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。中国互联网络信息中心发布的第49次《中国互联网络发展状况统计报告》显示，截至2021年12月，22.1%的网民表示遭遇过个人信息泄露。为促进数据在规范中开发利用，必须建立健全数据安全风险评估、检测认证等机制，提升数据安全管理水平。

　　加强数据安全风险评估。数据安全风险评估以发现数据风险为主要目的，围绕被评估数据对象进行资产识别、威胁识别、脆弱性识别以及已有安全措施识别，综合开展风险分析和风险评价，找出其在特定环境下所面临的风险。《中华人民共和国数据安全法》第三十条明确提出，“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。”对于企业而言，风险评估可以在风险预防与风险处理两方面保障数据安全。一方面，数据安全评估可以促进企业开展数据分类分级，明确需要保护的重要数据、核心数据，帮助发现可能导致重要数据泄露、篡改的安全隐患；另一方面，当数据安全发生风险时，根据事先评估结果选择控制、转嫁、接受风险等处置方式，帮助企业降低重要数据遭遇风险可能造成的恶劣影响。因此，应进一步推进数据安全风险评估标准及实施指南建设，加快建设和完善数据安全风险评估体系。

　　推进数据安全认证制度实施。认证作为国际通行的市场监督管理手段，在全球数据安全治理中被普遍推行。如欧盟《通用数据保护条例》对数据保护认证作了专门规定。我国数据安全认证工作的指导性文件《数据安全管理认证实施规则》也于今年6月实施。数据安全认证通过第三方机构评定数据处理活动的安全性。相关认证机构可通过设定多元灵活的标准满足不同群体对数据的安全需求，有助于避免“一刀切”式的管理弊端、促进数据经济发展。与此同时，安全认证可以为中小微企业或新型数字产业提供信誉担保，激励数据处理者自觉遵守认证标准，提升数据安全保障水平。当前，数据安全认证体制日渐完成，第三方认证机构可以在实践中发挥重要作用，进一步推进数据安全认证制度落地实施，加强网络数据安全保护。

　　强化个人信息保护

　　通常情况下，个人信息以数据形式客观存在，因此，个人信息保护应建立在数据安全基础之上。但鉴于个人信息与权利主体的密切联系，其人格属性使个人信息保护又不同于传统数据安全。如数据安全以抵御外来攻击为保护目标，而个人信息保护主要协调个人信息处理者与信息主体之间的关系。目前，我国已基本建立以《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规为依据的规范治理体系，并组织开展App违法违规收集使用个人信息专项治理。但实践中移动App个人信息采集乱象仍时有发生。如据国家计算机网络应急技术处理协调中心等部门2021年发布的《App违法违规收集使用个人信息监测分析》显示，启动弹窗索要无关权限、违反知情同意要求、未明示敏感数据收集、隐私政策存在“一揽子”同意等违规问题仍较为突出。因此，强化移动互联网应用程序对个人信息的保护、加强网络数据安全保护仍十分重要。

　　强化运营商个人信息保护能力建设。首先，加强对平台运营商的法治教育与法治宣传。加大法治宣传力度，有助于App运营商将依法经营理念嵌入到业务工作全流程、各环节。其次，鼓励符合个人信息保护规范的模范运营商发挥示范引领作用，积极推出符合个人信息保护的优秀解决方案。既为广大运营商提供实践范本，又可以在优秀方案推行过程中强化个人信息保护意识，促进运营商间就信息保护问题展开良性互动交流。最后，促进形成个人信息保护行业自律机制。作为个人信息保护行业的关键主体，强化运营商个人信息保护能力，既可以带动行业整体提高个人信息保护水平，又可以促进全社会共同维护个人信息安全，推动运营商自查自纠、自觉合法收集个人信息。

　　加强App信息收集程序多维度监管。在App运行过程中，发挥关键环节审核把关作用，筑牢用户个人信息安全防线。比如，应用商店等为App下载提供使用端口的平台，作为连接运营商与用户的重要关口，严格落实审核责任，发现违规行为主体，将其纳入不良经营名单，从源头上切断运营商违规处理个人信息的行为。职能部门加强统筹监管，保障个人信息全流程规制。事前，设置App市场准入标准，完善关键信息报备，以便后期监督检查；事中，充分发挥执法监督作用，综合研判违法违规行为，及时予以有效行政处罚；事后，加强监督与救济，做好重要数据跟踪执法。完善投诉举报渠道，为各类社会主体参与个人信息保护工作提供渠道与机会。

　　此外，应加强数字平台反垄断监管，健全技术规则治理体系，建立全方位、多层次、立体化的数据安全监管体系；健全规范有序的数字化发展治理体系，营造开放、健康、安全的数字经济发展生态，保障数字中国持续健康发展。

　　（作者单位：南开大学·中国社会科学院大学21世纪马克思主义研究院）