以科技为动力的现代化发展,使人类社会迈入了风险社会。从现代化进程的自反性角度来看,风险是现代化的副产品。1现代化风险主要是“人为制造的不确定性”。2信息化安全风险正是随着信息和通信技术(ICT)发展,而产生的一种人为制造的现代化风险。人类社会信息化历经1.0数字化和2.0网络化两次发展浪潮,已经迈入了3.0智能化阶段。3目前,“人机物”三元融合,数字化、网络化、智能化融合发展,海量数据正在不断积累、集聚和融合,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,数据安全风险已成为事关各国国家安全与经济社会发展的重大问题。

数字经济时代的数据安全风险,对既有的安全范式和法律制度带来了极大挑战,维护数据安全亟需范式革新和立法保障。从世界范围来看,各国对此正处于探索之中,尚未出现成型的范式和专门的综合立法。我国目前已经形成了《中华人民共和国数据安全法(草案)》(下称“《草案》”),这是全球数据安全综合立法的首创性探索。本文就是在此背景下,针对新型数据安全风险和威胁,在梳理传统信息安全和网络安全范式的基础上,提出以数据风险管控为中心的数据安全范式,进而提出范式革新下数据安全立法的基本思路和核心制度,以期能够对数字经济时代的数据安全立法提供有益参考。

一 传统信息安全和网络安全范式下的数据安全

从技术发展的阶段来看,人类社会所面临的信息化安全风险从通信过程被窃听的威胁,逐渐演变为计算机被攻击、信息系统被攻击的风险。与此同时,安全观念也在不断演变和发展,从最初关注通信安全,逐渐发展到强调信息系统及其数据的安全。这种安全观念演变直接影响了信息化安全风险规制模式的转变。本文将认识和应对信息化安全风险的不同观念和规制模式称之为“范式”。4归纳目前的规制模式,可以概括为传统信息安全范式和网络安全范式。为深刻认识和应对数字经济时代的数据安全挑战,有必要厘清这两种范式的核心概念和基本要素,并明确其与数据安全的关系。

(一)信息安全范式与数据安全

20世纪80年代,随着个人计算机大规模普及应用,人类社会信息化进入了1.0数字化阶段。在这一阶段,从关注计算机安全逐步发展到强调数字化信息的安全,传统信息安全范式随之产生。1998年5月,美国克林顿政府颁布《第63号总统决策指令》,5相较于20世纪80年代美国《计算机安全法》,6该指令将之前侧重的计算机安全扩展到信息安全。2002年12月,美国颁布《联邦信息安全管理法》,将“信息安全”界定为“保护信息和信息系统不受未经授权的获取、使用、披露、破坏、修改或者销毁”,以确保信息的完整性、保密性和可用性。7保密性是指“维护信息获取和披露的授权限制,包括保护个人隐私和专有信息的方法”;完整性是指“防止不当的信息修改或破坏,包括确保信息的不可否认性和真实性”;可用性是指“确保信息的及时以及可靠的获取与使用”。8由该定义可知,信息的可用性可以涵盖信息的可靠性。

可以发现,传统信息安全范式在定义信息安全时主要侧重信息自身安全,包括了三个基本要素:保密性、完整性和可用性。需要指出的是,我国关于信息安全的理解,一直以来既强调信息自身安全,又强调信息内容安全。9信息内容安全是指信息的内容和传播,应该符合一国的价值观、意识形态和法律法规,不得损害国家安全和社会稳定。2015年1月,中国与俄罗斯等国向联合国提交新版《信息安全国际行为准则》,就强调“不利用信息通信技术和信息通信网络干涉他国内政,破坏他国政治、经济和社会稳定”等。10笔者认为可以将信息内容安全的基本要素称为“正当性”。本文将信息自身安全称为“狭义的信息安全”,将信息自身安全与信息内容安全统称为“广义的信息安全”。

在信息技术环境下,“狭义的信息安全”往往与“数据自身安全”不加区分的使用。根据ISO/IEC信息技术国际标准的定义,数据是指“为便于交流、解释或处理,对信息的可再解释的形式化表示”,信息是指“关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定场景中具有特定的意义”。11我国国家标准借鉴该国际标准定义,作出了类似的界定。12可以发现,数据本身不强调对于人的意义,但信息则强调可以被人所认知和解读的意义。在信息和网络技术环境下,数据就是比特形式的数字化符号,而这种数字化符号则用于表示信息。此时,数据就是信息的载体,信息就是数据的内涵。因此,狭义的信息安全即信息自身安全,就是指作为信息载体的数据的自身安全。

(二)网络安全范式与数据安全

20世纪90年代中期,计算机和信息系统网络化发展迅速,人类社会信息化进入了2.0网络化阶段。在这一阶段,金融、交通、电信等基础设施运营日益依靠网络信息系统。然而网络信息系统及其数据可能遭受攻击和破坏,从而引发了网络安全问题。

对于网络安全风险而言,只关注信息自身安全的传统信息安全范式已经不足以应对,随之出现了以网络信息系统安全为中心的网络安全范式。20世纪90年代后期以来,美国出台了一系列关于“关键基础设施”“网络安全”的政策和立法。13欧盟从2001年开始制定专门立法以确保“网络和信息安全(NIS)”,其是指“网络或信息系统在一定的可信度下抵御突发事件、非法或恶意行为的能力,这些行为会危害该系统存储或传输的数据的可用性、真实性、完整性和保密性,危害依靠该网络或系统提供或获得的有关服务”。142016年7月,欧盟通过的《促进欧盟共同高水平网络与信息系统安全的措施之指令》(下称“网络与信息系统安全指令”)也基本沿用了这一定义。15我国《网络安全法》规定:“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。由此可以看出,网络安全就是要确保网络信息系统及其数据的安全。

对于网络信息系统中的数据而言,传统信息自身安全的“完整性、保密性、可用性”三要素仍然适用,“网络数据安全”就是网络空间的狭义信息安全。在网络空间,网络信息安全除了网络数据自身安全之外,也包括网络数据所承载信息的内容安全,仍然适用前述信息内容安全的“正当性”要素。网络信息安全就是网络环境下的广义信息安全。但对于“网络信息系统”而言,传统信息安全三要素不足以适应其安全性要求。有学者将网络空间安全分为设备层安全、系统层安全、数据层安全、应用层安全。16本文将设备层安全和系统层安全统称为网络系统安全。对于网络系统安全,虽然保密性和完整性要求仍然适用,但从目前立法来看,更加强调“稳定可靠运行”和“持续提供服务”。

笔者认为可以将这些安全要求概括为“可靠性”和“坚韧性”。可靠性(Reliability)是指“预期行为和结果保持一致的特性”,17强调特定系统、产品或元件在一定条件下执行指定功能的能力或可能性,是传统信息安全“可用性”要素中“可靠使用”内涵在网络环境下的凸显。可靠性要素要求确保构成系统的硬件和软件的供应链安全。坚韧性(Resilience)是指“在面对影响网络正常运行的多样挑战时,该网络提供或者维持一种可接受水平的服务的能力”。18这就要求网络系统足以应对黑客攻击、洪水、火灾等意外事件,即使被攻击也能及时恢复正常运行。“坚韧性”这个要素很少见于传统信息安全领域,一般只用于网络系统安全,尤其是关键信息基础设施保护领域 19。

综上,网络安全包括网络信息安全与网络系统安全,前者的基本要素是保密性、完整性、可用性和正当性;后者的基本要素是保密性、完整性、可靠性和坚韧性。鉴于传统信息安全范式立法对数据和信息系统有了一定的保护,网络安全范式立法从世界范围来看,无论是美国的“关键基础设施”,欧盟的“基本服务运营者”,还是我国的“关键信息基础设施”,核心都是保护事关国家安全、公共安全的关键信息基础设施安全。

（本文为文章摘录版，如需引用，参阅原文）

文章来源：《环球法律评论》2021年第1期