随着《数据安全法》的制定和大型平台企业海外上市引发的数据安全热议,数据安全审查正备受关注。今年9月1日开始实施的《数据安全法》第二十四条要求建立数据安全审查制度、第三十一条要求建立重要数据安全出境管理制度,近期滴滴海外上市等焦点事件使数据安全评估与审查的需求更为迫切。然而,与网络安全相比,数据安全评估与审查更为复杂,跨境流动场景下的数据安全问题尤为棘手。
数据安全的双重向度
数据安全较之网络安全包含更为丰富的维度。网络安全主要考虑的是“为”的向度,即网络行为是否正常、能否避免或阻止对网络的各种破坏或入侵行为;数据安全不仅要考虑“为”的向度(行为向度),还要考虑“知”的向度(信息向度),即数据中所隐含的信息是否会被应知范围以外的主体获悉。数据跨境流动尤其需要更多地考虑“知”的向度。数据安全的双重向度决定了数据安全审查需要什么样的机制和标准。行为向度上的审查标准和机制基本上可以借鉴网络安全审查实践,依据《数据安全法》第二十七条第一款的规定,在网络安全等级保护制度的基础上履行数据安全保护义务。信息向度上的审查却是全新的挑战。
数据安全在信息向度上承受的风险,除可能直接来自敏感数据或秘密数据等具备特殊属性的数据外,主要来自于两个方面:相关性分析和因果推断。相关性分析能够基于过往数据及已公开的重要公共事件或敏感信息的相关性,从现有数据推断出发生某种情况的可能性;因果推断则能进一步结合因果模型从时序数据中推测出事实的发生机理,从而估计出隐藏得更深的关键信息。尽管此种推测有时只能获得通过格兰杰因果测试的相关性结论而非真正的因果关系,也会给数据流动与利用造成安全上的隐患。因此,数据安全的一个重要维度是衍生数据的安全性(与所谓“数据分析安全”密切相关),此种安全性几乎完全立足于信息向度。影响衍生数据安全性的关键是统计分析及因果推断的技术发展。即便完全满足网络安全等级保护及数据分类分级保护的标准,基于深入的相关性分析及因果推断,在占有足够体量及维度的低敏感度数据基础上,分析者依然有可能获得背后潜藏的特殊敏感信息,而且其分析能力还会随因果推断等研究日益深入而不断发展。
信息向度的现实挑战
数据跨境流动安全的重要风险源是网络平台,平台数据的巨大体量和丰富维度对数据安全审查造成了显著的挑战。早在2016年,腾讯存储的数据体量就超过了1000PB,如今,多家大型平台企业的数据总量都已迈入EB级别,数据安全审查的工作负担与日俱增。不仅如此,数据安全的威胁还不完全来自于平台数据本身。许多公开来源数据本身就有一定安全风险,而当仅依靠平台数据本身无法推理出关键信息时,平台数据与公开来源数据的结合推断更有可能对关键信息的安全造成较大威胁。要从EB级别的平台数据中发现所有潜在风险已非易事,再结合同样体量巨大的公开来源数据进行精准的安全性判断就更为困难。
数据安全保护的要求比网络安全保护更严苛,后者可以在所有技术性防护措施失效时紧急切断网络或屏蔽特定范围的访问,通过强行脱离攻击而获得恢复秩序的时间和空间;相比之下,数据一旦开始流动出去就意味着根本上脱离控制,数据安全保护者已经失去了兜底性的保护手段。获得数据的组织和个人可以随时开展数据挖掘、数据分析乃至破解加密措施等活动,甚至可以等待数学原理的突破和信息技术的发展再择机随时进行研究破解。因此,数据安全审查必须提前充分估测数据流出后一段时期内是否可能发生“知”的风险;同时,信息向度上的风险考量又需要避免过犹不及,对正常的经济交往乃至科技发展造成过度的不利影响。
数据安全保护的制度回应
一是数据样本的有效留存机制。在未来企业对数据安全审查工作机制日益了解的条件下,除非勒令企业停业并立即查封或全面接管,将难以保证防止企业捏造、篡改或销毁关键数据及操作日志以躲避审查,但此种做法显然不符合比例原则,非十分迫切且必要之前提不可为之。如果能够确保真实、有效地定期(常态)或在特定条件下即时(按需)留存某一时间截面的数据样本,可以重点针对截面数据进行数据安全审查,既保证充分的分析与研判时间及工作条件,又尽可能避免过度干扰企业的正常运营。不过,由于平台企业数据体量巨大,真实有效地留存如此大体量的数据样本不仅难度与成本较高,也难以保证其真实性。为避免企业建“阴阳数据源”而不留存或不完全留存真实的截面数据样本,可以在当前数据安全能力成熟度标准中有关“数据副本”要求的基础上,灵活综合运用建设数据安全管理平台、派驻数据安全员、实施监控审计、保存操作日志且摘要上链、进行“双随机一公开”突击检查、应用监管沙盒等措施,结合相关行政及刑事处罚的设定和实施,形成针对性的监管方案。
二是基于信息向度的数据安全标准。目前,数据安全有关标准中常见的数据处理安全要求包括身份鉴别、访问控制、授权管理、数据脱敏、数据加密、数据防泄漏等,实际上均侧重于行为向度。当前数据安全测评领域较为依赖的两个标准——《数据安全能力成熟度模型》(DSMM,最新版本为GB/T 37988-2019)和《数据管理能力成熟度评估模型》(DCMM,最新版本为GB/T36073-2018)亦均侧重于行为向度的安全问题。DCMM的大量评价指标中虽然有衍生数据安全的相关部分,但对衍生数据安全性的考虑并不突出。在DSMM中,仅在数据处理安全部分中相当有限地考虑数据分析安全问题(在整个评估模型中占比相当有限),一旦企业自身有意放松控制或在操作日志上造假,此种数据分析安全要求也难以起到实质性作用,而由行政机关时时处处严密监控企业的数据处理活动亦不现实。不过,DSMM中结果数据扫描及阻断措施、数据分析过程的安全风险监控平台、完整记录访问日志、细粒度的数据权限访问控制等现有安全机制,仍然可以对保障数据分析安全、确保数据正当使用等起到一定积极作用。未来编制及修订数据安全方面各项国家标准时,应基于相关性分析及因果推断已被证明可行的最前沿实践,充分考虑信息向度的数据安全要求,可以将数据分析安全提炼并丰富为一项单独的标准,采取“基本要求+条件性附加模块”的方式,对不同类型企业的数据处理活动进行针对性的精准监管。包含信息向度的数据安全标准的制定和持续更新,既可以持续吸收统计分析及因果推断的最新技术进展,又可以为企业数据合规持续提供精准的技术性指引,有效平衡数据安全保护和数据开发利用的需要,防止滥用数据安全的名义干预正常的数据处理活动。
三是包含关键推理数据的重要数据及数据分类分级目录。尽管《数据安全法》提及了“重要数据”,但其目录尚未正式形成,应当及时制定重要数据目录或清单。“重要数据”不仅应当包括本身记录敏感信息的数据,也应包括关键推理数据。所谓关键推理数据,是指能在统计分析或因果推理中对推断出涉及国家安全、社会重大公共利益或大范围个人隐私的重要敏感信息具有较大潜在威胁性的数据。对此,应当基于已依法公开的各种重要敏感信息,及时估算和验证不同类型数据(尤其是时序数据)与重要敏感信息的相关性,以及其在能够推导出重要敏感信息的因果模型中的作用,并将此类数据根据数据安全保护的现实需要有选择地纳入重要数据目录的保护范围。同理,对于在若干重要因果模型或相关性分析中被确认能起到较大作用的关键推理数据,也应在数据分类分级目录中作相应的处理。
(作者系中国人民公安大学数据法学研究院院长、副教授)
