当期荐读 2022年第6期 | 英国国家数据安全治理:制度、机构及启示
图 | Internet
张涛1 崔文波1 刘硕1 蔡庆平1 马海群2
1. 黑龙江大学信息管理学院,哈尔滨,150080;
2. 黑龙江大学信息资源管理研究中心,哈尔滨,150080
摘 要
本文从两个方面梳理英国国家数据安全治理的举措,一是将英国国家数据安全治理制度体系分为个人数据安全、政府数据安全、网络数据安全、数据伦理安全和人工智能数据安全五个部分;二是对英国国家数据安全治理机构权责进行梳理并分析其特征。英国国家数据安全治理经过多年的制度演进和机构变迁,制度演进方面由外及里,较早提出监管沙盒治理机制,注重个人数据安全与人权,脱离欧盟后很多相关制度仍适用;机构方面呈现出“一中心一张网”的治理特征。最后,针对我国数据安全治理现状提出四个方面建议:完善“一中心一张网”的数据安全治理机构体系、构建多利益主体间数据伦理协作机制、建立监管沙盒机制有效防控数据安全风险、完善数据跨境流动安全的制度体系。
关键词
英国 数据安全 数据治理 制度体系 数据伦理
向上滑动阅览
01
引 言
随着全球数字化转型,数据资源已经成为数字时代的“软黄金”,数据成为最宝贵的资产已经是不争的事实,数据的价值正在推动全球市场及经济的变革,作为国家基础性战略资源的数据与国家安全和利益息息相关,对数据资源的开发、利用、保护成为了全球关注的焦点。世界各国先后发布各类数据政策以促进数字经济发展,改善社会公共服务水平,提升政府现代化治理能力。数据为管理与服务带来便捷的同时,其安全形势并不乐观,自2013年6月“棱镜门”事件暴发后,全球数据安全的神经紧绷,各国政府逐渐意识到数据安全问题已经影响到社会稳定乃至国家安全[1]。长期以来英国一直延续欧盟的数据安全保护政策,但自英国脱欧之后,能否确保用户数据安全一直令社会各界担忧。作为网络强国的英国也遭受着各类安全攻击,大规模的网络攻击活动已经严重威胁到了国家安全。英国较早地意识到数据安全的重要性,1984年颁布的《数据保护法》(Data Protection Act)明确提出个人数据隐私保护的原则,1998年英国议会根据欧盟《个人数据保护指令》(Data Protection Directive)的要求颁布了新版《数据保护法》,在此之后英国又陆续起草、修订并公布了《个人数据保护指令》《国家网络安全战略》《网络和信息系统安全法规》《自由保护法》等一系列纲领性法律和政策,如图1所示。由此可见,英国从国家层面对数据安全已经形成了一整套治理经验,因此对英国国家数据安全治理研究具有重要现实意义。
图1 英国国家数据安全治理制度发展进路图
国内外学者围绕英国数据治理形成了一系列研究成果,在国内,李重照等[2]从政策与机构两条主线对英国政府数据治理进行研究;谭必勇等[3]通过研究英国政府数据治理体系的经验总结出走向善治的经验;杨学成等[4]对英国开放数据研究所(Open Data Institute,ODI)数据开放背景下多主体协同的机理进行分析,提出数据共治模型;陈美[5]基于英国政府开放数据的隐私风险评估与防控的经验,提出了我国建设的策略;石贤泽[6]认为英欧新数据保护关系将呈现出欧盟外部差异一体化特点。在国外,Chan等[7]针对英国正在采用的隐私原则进行分析,并从对公众信任指导方针、行为准则和监管工具方面进行研究;Butler[8]针对《欧盟通用数据保护条例》和英国《数据保护法案》解释了个人和公共机构义务间的差异。Ortega Gimenez[9]探讨了英国脱欧、国际关系、个人数据保护的内在联系及其应对策略;Pleger等[10]通过对英国和德国的数据分析发现,公民对数据保护和数据安全的理解是政府充分解决公民对电子政务举措担忧的先决条件;Choromidou[11]讨论了在《欧盟-英国贸易与合作协议》《欧盟-英国退出协议》《通用数据保护条例》框架下,从欧盟到英国个人数据保护和数据传输相关的法律情况。
基于以上研究综述,国内外学者主要聚焦于数据治理、数据共治、数据保护层面的研究,尤其是近两年英国脱欧后对数据隐私保护的影响关注较多,而对英国国家数据安全治理系统和深入的研究较为欠缺,尤其是通过梳理英国数据安全制度和机构对我国数据安全治理启示的研究成果较少。因此,本研究将从英国国家数据安全治理制度体系和机构权责两个方面入手,对英国国家数据安全治理思路进行研究,总结其主要经验,以此希望对我国构建符合中国国情的数据安全治理机制和治理体系提供参考。
02
英国国家数据安全治理制度体系
自20世纪80年代以来,英国历届政府和议会颁布了一系列的法律、法规和条例等,形成了较为系统的数据安全治理制度体系。自2013年计划脱欧到2020年正式脱欧,英国半数以上数据治理政策是基于欧盟各项指令制定的,经过几十年的相互交流和密集合作,英国和欧盟的数据保护现在已经通过渗透而实现了内在联系。虽然欧盟制定的制度仍适用于英国,但随着英国正式脱欧,制度演进逐渐趋于英国自身。本文将英国国家数据安全治理制度体系分为个人数据安全、政府数据安全、网络数据安全、数据伦理安全、人工智能数据安全五个部分,如图2所示。
图2 英国国家数据安全治理制度体系
2.1
个人数据安全:贯穿英国国家数据安全治理始终
个人数据安全是国家数据安全的前提与基础,英国遵循了欧盟数据处理全流程控制与个人赋权的方式开展个人数据保护,以新版《数据保护法》和欧盟《通用数据保护条例》确定了个人数据保护的总体思路,其个人数据保护制度具有颁布时间早、关键法迭代快、覆盖面广等特点。
早在1981年欧洲议会通过了世界上首部涵盖个人数据保护相关规定的“欧洲公约”—《有关个人数据自动化处理之个人保护公约》[12]。基于这一国际公约,1984年英国议会颁布首部《数据保护法》,明确提出个人数据隐私保护的原则,禁止未经注册持有个人相关数据,并设立数据保护登记官和数据保护法庭实施监管[13]。1998年英国议会根据欧盟《个人数据保护指令》的要求重新修订了《数据保护法》,明确个人数据具有的权利和自由,同时设立信息专员作为数据保护的独立专员,监督数据使用方按规定使用个人数据,保护个人数据隐私,维护公民的权利[14]。2003年根据欧盟指令,英国议会通过《隐私与电子通信条例》(Privacy and Electronic Communications Regulations,PECR),条例要求电子通信服务商保护终端用户信息,并由信息专员负责监督PECR执行[15]。2016年欧盟通过著名的《通用数据保护条例》(General Data Protection Regulation,GDPR),标志着欧盟建立了统一数据保护机制,创建了严格的个人数据和隐私保护框架,旨在保护个人及个人信息的权力和自由,同时在数据跨境流动方面明确了四条主要途径,分别是基于充分保护协议、标准数据保护条款、约束性企业原则及特定情形下进行数据跨境传输[16]。GDPR对英国数据安全治理有着重要影响,至今英国还在沿用GDPR中的相关条款。2018年5月英国通过新版《数据保护法》,是对GDPR的具体实施,旨在使法案更适用于数据量不断增长的数字时代,为英国企业和组织提供支持,同时为英国正式脱欧做好准备。该法案从个人和组织层面对个人和组织数据保护的权利和义务作出了更明确的规定。个人层面,通过授予公民对个人数据的相关权利,加强公民个人隐私保护;组织层面,完善与数据保护相关的机制,辅助组织正确合法地使用数据[17]。2020年8月英国发布的《适龄设计规范》(Age Appropriate Design Code,AADC),是一项针对未成年人的数据保护条款,对互联网企业涉及儿童数据处理的各个方面进行了细致的规定。AADC是全球首部该类型的法规,反映了未成年人数据保护改革的全球发展趋势[18]。2022年2月,英国国务卿向议会提交国际数据传输协议(International Data Tranfer Agreement, IDTA)、欧盟委员会国际数据传输标准合同条款(Standard Contratual Clauses,SCCs)的国际数据传输附录(SCCs附录)及一份规定过渡条款的文件,规定出口商将能够使用IDTA作为传输机制,在将个人数据从英国传输到英国充分性法规未涵盖的国家时,为个人数据提供适当的保护措施[19]。2022年6月,英国政府公布改革《英国数据保护法》的计划,主要包括减轻合规负担、保护消费者、实现ICO现代化、实现数据的创新使用及增强国际贸易能力五个方面,旨在利用英国脱欧的优势,创建一个数据保护框架,使用一种更灵活、以结果为中心的方法来减轻企业的负担,同时还引入了更明确的个人数据使用规则[20]。
2.2
政府数据安全:赢得公共信任和简化监管环境
政府数据开放是开展国家数据治理的重要组成部分,在确保数据安全,保护公众隐私的前提下推进政府数据开放,有利于赢得公共信任和简化监管环境。
英国自2000年已开始关注政府数据开放领域,对公民在数据利用方面赋权,提出和颁布了一系列的法律、政策及倡议。2000年颁布的《信息自由法》(Freedom of Information Act)[21]和2004年颁布的《自由保护法》(Protection of Freedom)[22]作为该领域的基础法律,明确规定公共机构有公开特定信息的义务,公民享有向公共部门索取和访问公共部门信息的权利,并延伸和修订了《数据保护法》和《公共记录法》(Public Records Act)[23]的相关内容。此后,英国政府开始大力推进数据开放,旨在保护数据安全的前提下推动政府的数字化转型。2009年英国政府发布“让公共数据公开”的倡导计划,启动了date.gov.uk数据网站的设计。同年12月发布《迈向第一线:更智能的政府》(Putting the Frontline First: Smarter Government),将开放数据和加强政府透明度作为国家首要战略,确保跨地区的数据能够有效联接,保障政府数据安全[24]。2010年成立内阁办公室公共部门透明度委员会(Public Sector Transparency Board),以帮助提高整个政府的透明度,并于2012年6月发布《公共数据原则》(Public Data Principles),规定公共数据将以可重用、机器可读的形式发布,并希望公共数据政策和实践由使用数据的公众和企业明确推动[25]。2011年到2016年间,英国内阁办公室颁布了三份《国家行动计划》(National Action Plans)[26],旨在通过开放政府数据,促进经济增长,改善公共服务,提高政府透明度。2013年英国先后出台《开放数据宪章》[27]《抓住数据机遇:英国数据能力策略》[28]《开放政府合作组织英国国家行动计划2013—2015》[29],充分体现英国政府对于政府数据开放安全治理的重视。
2.3
网络数据安全:保障国家数据安全的重要防线
随着技术的交汇融合促使数据海量增长,网络攻击、数据泄露等安全事件频发,确保网络数据安全是保障国家数据安全的重要防线。根据联合国《2021年数字经济报告指出》,受新冠疫情影响2022年当年全球互联网协议流量将超过2016年前互联网流量总和。因此,加强网络数据安全建设是新时期英国脱欧后面临的又一重大挑战。
英国政府分别于2009年、2011年和2016年颁布三部《国家网络安全战略》(National Cyber Security Strategy),以促进产业发展,维护网络安全。特别是在2013年的“棱镜门事件”及大型企业频繁遭受网络攻击及数据泄漏事件大的背景下,2016年英国政府发布的《国家网络安全战略2016-2021》,将网络安全提升至国家安全重点领域,投资19亿英镑,支持英国建立大量基础设施,加强网络安全能力[2],形成较为完备的网络安全战略框架,以一种监督的定位视角,实现“防御-震慑-发展”并重的网络数据安全体系。2010年10 月英国政府发布《战略防御与安全评估:保护不确定时代的英国安全》,将网络攻击与恐怖主义、紧急民事(重大事故和自然灾害)、军事危机等并列为英国国家安全面临的一级威胁(最高威胁),并决定在未来四年实施“国家网络安全计划”(National Cyber Security Pragramme,NCSP),用以支持国家网络安全战略的实施[30]。2018年英国政府为配合欧盟颁布的《网络和信息系统安全指令》(The Directive on Security of Network and Information Systems),颁布了《网络和信息系统安全法规》,法规明确规定网络提供商的法律义务是保护信息系统的可用性和关键服务的连续性[31]。2022年1月内阁办公室发布《政府网络安全战略:2022年至2030年》阐释了政府将确保所有公共部门组织能够抵御网络威胁及核心政府职能能够抵御网络攻击[32]。
2.4
数据伦理安全:凸显自动化技术发展的核心理念和要求
数据伦理是指在收集、管理或使用数据时,为保护公民自由、最大限度的降低个人和社会的数据使用风险、实现公共利益最大化等目的,进行适当判断和问责的依据[33]。但随着进入大数据和人工智能时代,数据伦理复杂度和难度呈指数增长,如何在整个数据生命周期内作出符合伦理的决策并进行责任追究,是自动化技术发展亟需解决的问题。艾萨克·阿西莫夫曾在他的科幻小说里描述了规范机器人行为的三定律,包括不能伤害人类、服从人类命令和保护自己。
英国在数据伦理安全方面开展风险评估治理机制的同时,一直将人的自主权及人格尊严作为自动化技术发展的核心理念和要求。自2016年针对数据伦理安全密集颁布了一系列的制度,2016年9月英国标准协会(Bristish Standards Institution,BSI)在阿西莫夫三定律的基础上,发布一套更为复杂、成熟和与时俱进的机器人伦理指南,即《机器人和机器系统的伦理设计与应用指南》,这是业界第一个关于机器人伦理设计的公开标准,主要针对机器人设计的研究者和制造商,指导他们如何对一个机器人做出道德风险评估,保证人类生产出来的智能机器人能够融入人类社会现有的道德规范;同时该指南还明确了机器人制造商的责任是负责考虑机器人欺诈问题、机器人成瘾现象,以及自主学习系统越俎代庖行为等问题[34]。2016年10月英国下议院科学和技术委员会(Science and Technology Council,STC)发布《机器人技术和人工智能》(Robotics and Artificial Intelligence)的报告,阐述人工智能创新发展带来的潜在伦理道德与监管挑战,侧重说明英国将规范机器人技术与人工智能系统的发展,以及如何应对其带来的伦理道德、法律及社会问题[35-36]。2020年11月英国数据伦理与创新中心(Centre for Data Ethics and Innovation,CDEI)发布其审查算法决策偏差的报告,CDEI专注于审查在个人的重大决策中使用算法,该审查重点关注在警务、地方政府、金融服务和招聘四个部门中使用算法决策,并提出跨领域的建议,如组织应积极使用数据来识别和减轻偏见,确保他们了解算法工具的功能和局限性,以实现算法向善[37]。
2.5
人工智能数据安全:英国国家数据安全治理发展新方向
随着数据爆炸式增长,智能算法不断优化,计算能力持续提升不断驱动人工智能加速发展[38],而人工智能发展过程中带来的数据安全风险,如决策风险、失实风险等是英国未来一段时期国家数据安全治理新方向。
英国政府通过制定人工智能发展标准和监管原则,确保人工智能数据安全。2015年11月英国率先提出了“监管沙盒”概念,同时金融行为监管局(Financial Conduct Authority,FCA)发布了《监管沙盒报告》,旨在为企业创新和监管之间,提供一个灵活的、受控的合作环境,允许企业用真实的消费者在市场上测试创新,以此实现在保护创新的同时又不会削弱消费者保护,降低风险的不确定性。人工智能技术的创新发展涉及大量的数据信息,数据信息使用需要符合隐私安全等相应的制度,而人工智能技术的难监管性和监管机构的能力有限使得两者之间失衡。为处理人工智能技术创新发展与数据隐私安全的矛盾,英国官方采取“监管沙盒”机制充当创新与监管之间的桥梁和合作空间。英国的“监管沙盒”在各个领域得到应用与发展,包括绿色金融、基于区块链的支付服务、监管科技主张、数字身份等,实现了人工智能技术创新发展与数据隐私保护之间的协同。2016年11月英国政府科学办公室(GO-Science)发布《人工智能:未来决策的机会与影响》报告,阐述人工智能对个人隐私、就业的影响,并指出人工智能在政府层面大规模使用的潜在可能性[39]。2017年10月英国政府发布《在英国发展人工智能》报告,对当前人工智能的应用、市场和政策支持进行分析,从数据获取、人才培养、研究转化、行业发展四方面提出促进英国人工智能产业发展的重要行动建议,该报告被纳入英国政府2017年《政府行业策略指导》白皮书中,成为英国人工智能发展的重要指引[40]。2018年4月英国议会发布《英国人工智能发展的计划、能力与志向》(AI in the UK: Ready, Willing and Able?)[41],报告概述了人工智能不应用于削弱个人、家庭、社区的数据权力或隐私等五项人工智能道德的核心原则。英国作为人工智能发展的世界领先者之一,希望增加自己的影响力,率先制定相关的标准,尤其提出要把类似的“机器人三原则”加入人工智能的发展,体现出英国政府对人工智能数据安全的关注,随后政府又发布了《对上议院人工智能委员会报告的回应》[42]。2020年9月英国政府发布《人工智能研究与开发合作宣言》后,同年,英国数据伦理与创新中心发布了《人工智能晴雨表》,针对英国人工智能和数据使用相关的机遇、风险和治理挑战进行了分析[43]。2021年11月英国内阁办公室中央数字和数据办公室(The Central Digital and Data Office,CDDO)发布《算法透明度标准》(Algorithmic Transparency Standard),该标准旨在为政府和公共服务部门提供有关利用算法工具支持决策的具体指导,要求算法工具要保持适当的透明度,特别是在可能对个人产生法律或经济影响的情况下[44]。其中《算法透明度数据标准》作为《算法透明度标准》的一部份,规定了一种收集政府如何使用算法工具信息的标准化方式[45]。2022年7月,英国数字文化传媒体育部发布了新的人工智能规则提议《建立一种支持创新的人工智能监管方法》(Establishing a Pro-innovation Approach to Regulating AI),该方法强调监管的合比例性,并基于人工智能的特征提了一个促进创新的监管框架[46]。
2.6
英国国家数据安全治理制度体系特征
英国国家数据安全治理制度体系具有以关键法为核心制度、重视个人数据安全与人权、制度涉及领域广、制度演进由外及里等较为典型的特征。
(1)以关键法为核心制度,形成较为健全的数据安全治理制度体系。《数据保护法》和《信息自由法》贯穿国家数据安全治理始终,随着技术的发展和数据的增长两部关键法与时俱进,不断进行修订,其在英国国家数据安全治理制度体系起着核心作用。
(2)重视个人数据安全与人权。在英国国家数据安全治理方面对于个人数据安全和个人权益保护受欧盟治理制度影响较深,其认为只有确保个人数据安全和赋予公民足够的法制权力,才能更好地保护国家数据安全。因此,英国在出台的《数据保护法》《数据保护监管行动政策》等制度中均突出个人数据安全和公民权利。
(3)制度涉及领域广。英国国家数据安全治理涉及电子通信、数字经济、政务开放、个人数据安全等领域,如《通信法》《电子通讯法》《数字经济法》《公共部门信息再利用条例》《开放数据宪章》《政府开放标准指南》等。除此之外,英国在2021年发布全球首部未成年人数据保护法《适龄设计规范》,其主要为欧盟《通用数据保护条例》适用儿童使用数字服务场景时设立标准和提供解释,各类组织需遵守该准则,并证明其服务遵守《数据保护法》,公平、有效地使用儿童数据。
(4)制度演进由外及里。英国数据安全治理由欧盟的个人数据保护演进而来,形成的数据安全治理理念和体系深受欧盟影响,如重视个人数据保护与人权、网络安全治理、警惕人工智能技术发展带来的风险等,总体来说,当下英国数据安全治理仍处于脱欧过渡期,很多英国脱欧前欧盟发布的相关制度仍适用于英国,如《通用数据保护条例》《隐私和电子通信条例》等。整体上英国国家数据安全治理演进过程为:从遵循欧盟数据安全相关指令,到起草适用于本国的法律法规,再到及时根据国际环境变化、国家现实需求与时俱进地更新制度以适应大数据、人工智能时代的转变。
03
英国国家数据安全治理机构权责
经过对英国国家数据安全治理制度体系的研究发现,英国已形成与数据安全治理制度相匹配的组织机构体系,并梳理出紧密联系、协同共治、一体运行的“一中心一张网”的组织机构特征。
3.1
机构权责分析
英国国家数据安全治理的关键机构有两层。核心层包括英国首相、英国议会、内阁办公室,治理层包括数字文化传媒体育部、政府通信总部、数据战略委员会、司法部和政府法务部及其下设或赞助机构,如图3所示。
图3 英国国家数据安全治理机构权责图
3.1.1 核心层
(1)首相(Prime Minister,PM)。PM是英国政府领导人,对政府的政策和决定负最终责任。主要职责包括:作为下议院的主要政府官员、监督公务员和政府机构的运作、选择政府成员[47]。
(2)内阁办公室(Cabinet Office,CO)。辅助首相和内阁运作,并监督各机构,在数据安全治理方面主要职责包括:①确保数据安全治理制度的有效制定、协调和实施;②支持国家安全委员会和联合情报组织,协调政府应对危机并管理英国网络安全;③推动政府数据发布,使政府工作方式更加透明;④建立卓越的公务员制度,加强数字技术和政府间数据管理和使用,提高其数字能力和效力[48]。
(3)英国议会(UK Parliament,UKP)。UKP有下议院和上议院。下议院国会议员(Members of Parliament,MP)考虑并提出新法律,通过在下议院或委员会中向部长们询问有关问题来审查政府政策;上议院在审查法案、质疑政府行动和调查公共政策方面发挥着至关重要的作用。简言之,英国议会代表英国公民检查和挑战政府的工作,制定有效的法律,并就当前的重大问题进行辩论或决策[49]。
3.1.2 治理层
(1)政府数字服务局(Government Digital Service,GDS)。GDS隶属于内阁办公室,接受来自数据指导组、隐私和消费者咨询组及政府数字服务咨询委员会的指导和支持,负责协调所有政府部门及民间组织、私营部门、工作小组、多边机构作为执行机构以推进政府数据开放[50]。
(2)数字文化传媒体育部(Department for Digital, Culture, Media and Sport, DCMS)。DCMS是一个部长级政府部门,是英国国家数据安全治理的主要机构之一,负责牵头政府数据战略、政策、安全和数字身份识别[51]。其下设或管理、赞助的机构有信息专员办公室、国家档案馆、英国数据伦理与创新中心、人工智能办公室、英国互联网安全委员会。
①信息专员办公室(Information Commis-sioner’ s Office,ICO)。ICO作为英国独立的数据保护机构在数据安全治理中发挥重要作用,旨在维护符合公共利益的信息权利,促进公共机构的开放和保护个人的数据隐私。ICO联合通信数据授权办公室和商业、能源与工业战略部共同开展数据保护工作,并加强与其他数字监管机构的联系,在《信息自由法》《隐私和电子通信条例》《环境信息条例》《公共部门再利用信息指令》《数据保护法》《通用数据保护条例》等法案或条例中均规定了ICO的具体职责,即确保法案能够并行使用及有效实施,并由管理委员会协助信息专员在长期战略基础上履行其法定职责[52]。
②国家档案馆(The National Archives,TNA)。TNA是由公共档案馆(Public Record Office,1838年)、历史手稿委员会(Historical Manuscripts Commission,1869年)、英国文书局(HM Stationery Office,HMSO,1786年)和公共部门信息办公室(2005年)合并组建的非部长级部门。主要职责包括记录和管理公共部门信息,帮助政府和公共机构更有效地管理和使用信息;促进公共部门信息的再利用,规范信息交易;运维英国成文法在线数据库(legislation.gov.uk),及时发布所有主体法和次级法资料。其下设的国家记录和档案咨询委员会是一个独立的机构,在审议保留或关闭记录申请方面的工作注重公开性和客观性,就与获取公共记录有关的问题向DCMS负责人提供建议,并代表公众利益决定哪些记录应该开放或关闭[53]。
③英国数据伦理与创新中心(Centre for Data Ethics and Innovation, CDEI)。CDEI是一个政府专家机构,致力于确保公民能够可靠地使用数据和人工智能,并使公民在管理数据和数据驱动技术方面拥有发言权,如建立有效的人工智能保障生态系统,帮助公共部门以一种命令和保持公众信任的方式使用数据和人工智能等,CDEI得到了世界领先专家咨询委员会的支持和英国各地的组织合作[54]。
④人工智能办公室(Office for AI,OAI)。OAI负责监督国家人工智能战略的实施,推动负责任和创新的采用人工智能技术。该办公室负责执行政府的《人工智能部门协议》,并与人工智能理事会合作,进一步制定英国人工智能战略[55]。
⑤英国互联网安全委员会(UK Council for Internet Safety,UKCIS)。UKCIS是一个自愿的、非法定的合作论坛,由DCMS的一个小型秘书处团队提供支持,政府、技术和第三方机构通过该论坛共同努力,确保英国成为世界上最安全的上网场所[56]。
(3)政府通信总部(Government Communications Headquarters,GCHQ)。GCHQ是英国的情报、安全和网络机构,也是当下英国应对Covid-19的重要组成机构,负责保障国家网络安全,致力于运用专业知识和经验维护国家安全和通信安全,保护国家关键基础设施网络、数据和系统免受网络攻击,确保网络连接和基础设施的安全[57]。其下设国家网络安全中心(National Cyber Security Centre,NCSC),NCSC通过技术改进和向公民、组织提供建议,保护英国的关键服务免受网络攻击,以提高英国互联网的基础性安全[58]。
(4)数据战略委员会(Data Strategy Board,DSB)。2011年《关于开放数据措施进一步细节的秋季声明》提出,设立数据战略委员会(DSB)和公共数据组(Public Data Group,PDG)[59]。在数据治理方面,DSB主要职责是向内阁大臣提供发布公共数据的建议,为英国公众部门提供数据和服务,提交PDG的开放数据,使所有用户更容易访问数据。其下设开放数据小组,由政府、企业、学术界和市民等多方代表组成,通过搜集开放数据用户的意见和诉求,向DSB及其他公共服务组织提供开放数据集。PDG主要职责是将政府机构和数据聚合在一个组织内,通过协调一致的路径和方法促进公共数据的存取[60]。
(5)司法部(Ministry of Justice,MOJ)。MOJ是司法系统的核心,负责司法系统的法院监狱、缓刑服务、考勤中心。在数据安全治理方面作为监督机构负责保护正义原则、监督中央政府对法案的执行情况、提供法案实施指南并协调各部门间的信息共享等[61]。
(6)政府法务部(Government Legal Department,GLD)。GLD是政府的法律顾问机构,主要职责是为中央政府提供法律服务,为政府政策的制定、设计和实施提供法律咨询,起草诸如《隐私与电子通信条例》《环境信息条例》等法规[62]。
3.2
机构权责特征
经过多年的发展,英国国家数据安全治理已经显现出紧密联系、协同共治、一体运行的“一中心一张网”的组织机构特征。
(1)一中心是指以内阁办公室为中心直接服务于首相的行政机构及英国议会共同组成的核心治理机构。内阁办公室作为首相领导和监督治理机构运行的行政机构,确保数据安全治理制度的有效制定、协调和实施等;英国议会由上议院和下议院组成,是英国最高的立法机关,享有立法权,并对首相及其领导的内阁进行监督。
(2)一张网是指以核心治理机构为中心,形成了上下联动、左右协调、多方参与的完整治理机构。主要包括四个部分:①数字文化传媒体育部及其下设或资助支持的机构。数字文化传媒体育部经过不断的发展,特别是英国信息专员办公室和国家档案馆两个机构的加入,使其职权不断扩大,逐渐成为数据安全治理的核心机构。②网络信息安全治理机构。以政府通信总部及其下设机构国家网络安全中心为主要治理机构,确保国家及各公共组织在面对突发事件下如Covid-19有能力保护数据,保障国家在现实世界和在网络中的安全。③数据治理的司法机构。以司法部为主要机构,负责进行数据层面部分政策制定;政府法务部作为辅助机构,负责向内阁、司法部、数字文化传媒体育部等政府机构提供法律服务。④数据安全治理建议机构。以数据战略委员会及其下设机构开放数据小组为主要机构,对发布公共数据类政策提供建议。
04
对我国推进数据安全治理的启示
英国形成了以规章制度为保障、以组织机构为主体的数据安全治理框架结构,在一定程度上与我国数据安全治理的做法有相似之处,我国围绕《数据安全法》《个人信息保护法》《网络安全法》的数据安全治理政策,形成以“三法”为中心的数据安全治理制度顶层设计,并逐步通过发布数据安全相关制度来细化“三法”的配套规章。全球合作背景下我国不但应有大国担当,而且还应吸取经验[63],进一步加强数据安全方面的国际交流与合作,积极参与国际数据安全治理规则体系的制定,逐渐强化全球数据安全规则制定权和国际话语权[64],为推进互联网全球治理法治化贡献中国智慧,提供中国方案。因此,本文借鉴英国国家数据安全治理的主要做法,从治理机构、数据伦理、监管沙盒、数据跨境流动四个方面对我国数据安全治理提出建议。
4.1
完善“一中心一张网”的数据安全治理机构体系
由于英国实行的是内阁制,英国国家数据安全治理核心治理机构直接服务于首相,因此在数据安全治理过程中,显现出紧密联系、协同共治、一体运行的“一中心一张网”治理机构特征,以此来共同推动国家数据安全治理制度的制定和实施。英国国家数据安全治理机构具有分工明确、协同合作的特点,分工明确体现在英国数据安全治理机构权责结构清晰,网络信息安全、数据伦理与创新、人工智能等各领域治理机构职责分工明确,数据治理制度从建议、提出、审议到监督实施,每一职能部门各司其职、相互支持和注重协调沟通,共同推进英国国家数据安全治理工作流程中各环节有条不紊的实施;协同合作体现在大数据、深度学习算法等技术快速发展使得数据海量、多模、异构,传统的单一数据治理模式已无法应对风险的复杂多变,鉴于数据安全治理是一项具有综合性和复杂性特征的工作,英国的数据安全治理机构以核心层为领导中心,建立了多边机构参与的协调合作机制,提高了数据治理工作的效率。基于此,我国可适当借鉴英国国家数据安全治理组织机构职能,进一步完善具有中国特色的“一中心一张网”的治理体系。具体以国家网信办为数据安全治理的核心机构,发挥各地区、各行业、各领域中网信工作机构的职能,并且充分调动第三方数据安全监管机构积极性,形成上下联动、左右协调、协同参与的完整治理机构,最有效地发挥治理体系互联互动、各司其职的作用。
4.2
构建多利益主体间数据伦理协作机制
数智时代数据伦理问题已逐渐凸显,数据伦理给传统的法律规范、伦理道德带来了挑战,传统的隐私保护方式难适应当前复杂多变的环境。在不同发展阶段,各主体数据需求不同,对大数据伦理问题的认知也不同。英国在数据伦理风险治理方面认为人是技术使用的主体,也是引发伦理问题的关键,英国纳菲尔德生物伦理委员会主席M.Jonathan教授也表示,大多数违规都是人为的,而不是技术[65]。为此,英国政府单独设立数据伦理与创新中心,有力支持政府开展并实施数据战略,在确保数据驱动型技术和人工智能对社会有益的同时,使人类对数据和技术拥有足够的信任度。英国数据伦理与创新中心将和英国内阁办公室种族差异中心联合应对刑事司法、金融服务、招聘和地方政府管理中算法决策应用的潜在歧视与偏见问题。基于此,我国在面对数据伦理问题时不能采取“一刀切”的形式,重点关注多利益主体数据伦理内容与机构协作机制的建立:①经济发展与数据伦理相平衡。根据我国的实际情况,在经济发展和生产经营中,应明确平台收集消费者基础信息、消费行为信息等具体的边界,将道德和社会责任考虑在内,完善各领域数据伦理规范和应用标准。②加强数据伦理机构间协作。数据伦理安全问题呈现出治理的复杂性和交互性,我国应设立专门机构研究数据伦理问题,同时细化机构的工作职能,并加强部门间的协同,提高治理效率。
4.3
建立监管沙盒机制有效防控数据安全风险
为应对人工智能、区块链等新技术带来的数据安全风险,英国对“监管沙盒”机制的探索与应用,为我国建立符合我国国情的数据安全监管制度提供了参考。2019年1月国务院批复同意北京市在依法合规的前提下探索“监管沙盒”机制;2019年12月中国人民银行批复北京市率先在全国开展金融科技创新监管试点,探索构建中国版的“监管沙盒”。这些探索均在金融监管领域试行,我国应结合大数据创新发展趋势和数据安全治理实际情况建立“监管沙盒”机制,以寻求创新发展和安全风险间的平衡。同时还要明确实行“监管沙盒”的目的是实现防范与化解数据安全风险,因此应避免使其成为规避监管并进行监管套利的工具。根据我国目前数据安全治理机构权责,可由国家网信办牵头,会同工信部、市场监管总局等相关部委,以部门规章的形式制定、出台“监管沙盒”制度。对测试项目的豁免仅限于现行的数据安全相关的管理办法,不得与《网络安全法》《数据安全法》《个人信息保护法》等国家法律和行政法规等上位法相抵触。这方面可适当借鉴英国“监管沙盒”模式,仅放宽业务规范而不放宽机构准入,以鼓励相关机构和企业进行业务创新。通过构建各领域数据安全治理“监管沙盒”机制,全面降低数据安全风险发生的机率,提升数据安全治理的效能。
4.4
完善数据跨境流动安全的制度体系
数据跨境流动的敏感性、安全性使其成为数据安全治理的重点与难点。英国政府在《欧盟通用数据保护条例》数据跨境流动要求大框架下,基于国际形势变化和国家数据安全治理思路,积极开展国家数据安全治理的探索,如向议会提交国际数据传输协议(IDTA)等政策,这些政策规定出口商将能够使用IDTA作为数据传输机制,确保数据跨境交易的安全。这一点我国与英国类似,我国作为全球规模最大的数字服务市场,需要规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。由于数据交易和流动内容既包括政府、医疗、金融等多种类型数据,还包括数据存储能力、通信能力、算法、算力等系统性的解决方案,因此,国家网信办发布的《数据出境安全评估办法》中明确指出坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。未来一个阶段以《数据出境安全评估办法》为中心,我国应加强在各行业、各领域建立完善的数据跨境流动风险评估监管制度,实行领域数据分级分类风险评估,构建领域数据跨境交易和流通安全一类一策的制度体系,同时注重所属部门管辖领域职权范围内制定制度时的协调,确保制度能够并行使用。
05
结 束 语
英国国家数据安全治理主要以保护国家安全为主要目标,经过多年的发展,数据安全治理基本步入法制化轨道,经历了从个人数据安全、政府数据安全、网络数据安全、数据伦理安全、人工智能数据安全的演进过程。自20世纪80年代《数据保护法案》中较早地提及数据安全概念后,英国就开始关注数据安全问题,在此后的发展过程中英国紧紧围绕服务于国家安全的总体目标来对数据安全进行治理,注重个人数据安全与人权,提出沙盒监管治理机制,制度演进由外及里,脱离欧盟后相关制度仍适用,机构呈现出“一中心一张网”的治理特征。基于此特征,本文从治理机构、数据伦理、监管沙盒和数据跨境流动四个方面提出对我国数据安全治理的启示。2022年英国首次公布《数据改革法案》,旨在简化数据保护相关立法,届时英国数据保护机制或将趋向简化和宽松。脱欧后的英国正逐步形成一个科学合理的数据安全治理体系,为其抵御全球数据安全威胁、防范各类数据安全事件及实施数据安全策略提供了坚实的技术支撑和可靠的制度保障。
参 考 文 献
[1] 封帅.人工智能时代的国际关系:走向变革且不平等的世界[J].外交评论(外交学院学报),2018,35(1):128-156.
[2] 李重照,黄璜.英国政府数据治理的政策与治理结构[J].电子政务,2019(1):20-31.
[3] 谭必勇,刘芮.英国政府数据治理体系及其对我国的启示:走向“善治”[J].信息资源管理学报,2020,10(5):55-65.
[4] 杨学成,许紫媛.从数据治理到数据共治——以英国开放数据研究所为案例的质性研究[J].管理评论,2020,32(12):307-319.
[5] 陈美.政府开放数据的隐私风险评估与防控:英国的经验[J].中国行政管理,2020(5):153-159.
[6] 石贤泽.英国脱欧与英欧数据保护关系的新构建[J].欧洲研究,2019,37(2):71-94,6-7.
[7] Chan T, Di Iorio C T, De Lusignan S, et al. UK national data guardian for health and care[J]. Journal of Innovation in Health Informatics, 2016, 23(3): 627-632.
[8] Butler O. Obligations imposed on private parties by the GDPR and UK data protection law: Blurring the public-private divide[J]. European Public Law, 2018, 24(3): 555-572.
[9] Ortega Gimenez A. Brexit, international private relations and personal data protection:What now? Will the UK cease to be a‘safe country’ ? [J]. Anuario Espanol de Derecho Internacional Privado, 2019-2020: 43-65.
[10]Pleger L E, Guirguis K, Mertes A. Making public concerns tangible: An empirical study of German and UK citizens’perception of data protection and data security[J]. Computers in Human Behavior, 2021.122:106830.
[11]Choromidou A.EU data protection under the TCA:The UK adequacy decision and the twin GDPRs[J]. International Data Privacy Law, 2021, 11(4): 388-401.
[12]Convention for the protection of individuals with regard to automatic processing of personal data[EB/OL] .[2022-07-25]. https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.
[13]Data protection act[EB/OL]. [2022-07-25]. https://www.legislation.gov.uk/uksi/1985/1055/pdfs/uksi_19851055_en.pdf.
[14]Data protection directive[EB/OL]. [2022-07-25]. https://www.legislation.gov.uk/ukpga/1998/29/contents.
[15]Privacy and electronic communications regulations[EB/OL]. [2022-07-25]. https://www.legislation.gov.uk/uksi/2003/2426/contents.
[16]European commission. The General data protection regulation[EB/OL]. [2022-07-25]. https://www.ppai.org/media/2941/gdpr.pdf.
[17]Data protection act 2018[EB/OL].[2022-07-25].https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted.
[18]Age appropriate design:A code of practice for online services[EB/OL]. [2022-07-25]. https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services.
[19]International data transfer agreement and guidance[EB/OL]. [2022-07-25]. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance.
[20]New data laws to boost British business, protect consumers and seize the benefits of Brexit[EB/OL]. [2022-07-25]. https://www.gov.uk/government/news/new-data-laws-to-boost-british-business-protect-consumers-and-seize-the-benefits-of-brexit.
[21]Freedom of information act[EB/OL]. [2022-07-25]. https://www.legislation.gov.uk/ukpga/2000/36/contents.
[22]Protection of freedoms[EB/OL].[2022-07-25].https://www.legislation.gov.uk/ukpga/2012/9/contents/enacted.
[23]Public records act[EB/OL]. [2022-07-25]. https://www.legislation.gov.uk/uksi/2001/4058/contents/made.
[24]Putting the frontline first:Smarter government[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/228889/7753.pdf.
[25]Public sector transparency board: Public data principles[EB/OL]. [2022-07-25]. https://www.gov.uk/government/groups/public-sector-transparency-board.
[26]National action plans[EB/OL]. [2022-07-25]. https://www.gov.uk/government/publications/uk-national-action-plan-for-open-government-2021-2023/uk-national-action-plan-for-open-government-2021-2023.
[27]G8open data charter[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/207772/Open_Data_Charter.pdf.
[28]Seizing the data opportunity:A strategy for UK data capability[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/254136/bis-13-1250-strategy-for-uk-data-capability-v4.pdf.
[29]Open government partnership national action plan 2013-15 final report[EB/OL]. [2022-07-25]. https://www.gov.uk/government/publications/open-government-partnership-national-action-plan-2013-15.
[30]Strategic defence security review[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/62482/strategic-defence-security-review.pdf.
[31]NIS Regulations: UK digital service providers operating in the EU[EB/OL]. [2022-07-25]. https://www.gov.uk/guidance/nis-regulations-uk-digital-service-providers-operating-in-the-eu.
[32]Government Cyber Security Strategy: 2022 to 2030[EB/OL].[2022-07-25].https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1049825/government-cyber-security-strategy.pdf.
[33]Federal data strategy&data ethics framework[EB/OL]. [2022-07-25]. https://strategy.data.gov/assets/docs/data-ethics-framework-action-14-draft-2020-sep-2.pdf.
[34]BSI Group guidelines look at ethics as part of robotic system design[EB/OL].[2022-07-25]. https://techxplore.com/pdf393829563.pdf.
[35]Robotics, automation and artificial intelligence (RAAI)[EB/OL].[2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/592423/Robotics_automation_and_artificial_intelligence_-_cst_letter.pdf.
[36]Robotics automation and artificial intelligence[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/592420/Robotics_automation_and_artificial_intelligence_-_pm_response.pdf.
[37]CDEI publishes review into bias in algorithmic decision-making[EB/OL]. [2022-07-25]. https://www.gov.uk/government/publications/cdei-publishes-review-into-bias-in-algorithmic-decision-making.
[38]张涛,马海群.智能情报分析中算法风险及其规制研究[J].图书情报工作,2021,65(12):47-56.
[39]Artificial intelligence:Opportunities and implications for the future of decision maki-ng[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/566075/gs-16-19-artificial-intelligence-ai-report.pdf.
[40]Growing the artificial intelligence industry in the UK[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/652097/Growing_the_artificial_intelligence_industry_in_the_UK.pdf.
[41]AI in the UK: Ready, willing and able?[EB/OL]. [2022-07-25]. https://publications.parliament.uk/pa/ld201719/ldselect/ldai/100/100.pdf.
[42]Government response to House of Lords Artificial Intelligence Select Committee’ s report on AI in the UK: Ready, willing and able?[EB/OL]. [2022-07-25]. https://www.parliament.uk/globalassets/documents/lords-committees/Artificial-Intelligence/AI-Government-Response2.pdf.
[43]CDEI aIbarometer[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/894170/CDEI_AI_Barometer.pdf.
[44]Algorithmic transparency standard[EB/OL]. [2022-07-25]. https://www.gov.uk/government/collections/algorithmic-transparency-standard.
[45]Algorithmic transparency data standard[EB/OL]. [2022-07-25]. https://www.gov.uk/government/publications/algorithmic-transparency-data-standard.
[46]Establishing a pro-innovation approach to regulating AI[EB/OL]. [2022-07-25]. https://www.gov.uk/government/publications/establishing-a-pro-innovation-approach-to-regulating-ai/establishing-a-pro-innovation-approach-to-regulating-ai-policy-statement.
[47]Prime minister[EB/OL]. [2022-07-25]. https://www.gov.uk/government/ministers/prime-minister.
[48]Cabinet office[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/cabinet-office.
[49]UK parliament [EB/OL]. [2022-07-25]. https://www.parliament.uk.
[50]Government digital service[EB/OL].[2022-07-25]. https://www.gov.uk/government/organisations/government-digital-service.
[51]Department for digital, culture, media & sport[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/department-for-digital-culture-media-sport.
[52]Information commissioner’ s office[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/information-commissioner-s-office.
[53]The national archives[EB/OL]. [2022-07-25]. https://www.nationalarchives.gov.uk/about/our-role.
[54]Centre for data ethics and innovation[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/centre-for-data-ethics-and-innovation.
[55]Office for artificial intelligence[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/office-for-artificial-intelligence.
[56]UKcouncil for internet safety[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/uk-council-for-internet-safety/about#objectives.
[57]Government communications headquarters[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/government-communications-headquarters.
[58]The national cyber security centre [EB/OL]. [2022-07-25]. https://www.ncsc.gov.uk/section/about-ncsc/what-we-dohttps://www.gchq.gov.uk/information/welcome-to-gchq.
[59]Further detail on open data measures in the autumn statement 2011[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/61959/Further_detail_on_Open_Data_measures_in_the_Autumn_Statement_2011.pdf.
[60]Terms of reference for the data strategy board & the public data group[EB/OL]. [2022-07-25]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/32384/12-673-terms-reference-data-strategy-board-and-public-data-group.pdf.
[61]Ministry of justice[EB/OL]. [2022-07-25]. https://www.gov.uk/government/organisations/ministry-of-justice.
[62]Government legal department[EB/OL].[2022-07-25]. https://www.gov.uk/government/organisations/government-legal-department/about.
[63]Li S. The impact of global warming on Russia’ s ecological environment[J]. Social Sciences in China, 2021, 42(4): 194-208.
[64]陈兵.完善数据安全治理应从三方面入手[J].国家治理,2020(36):43-48.
[65]The big data dilemma[EB/OL]. [2022-07-25]. https://www.gov.uk/government/publications/industrial-strategy-building-a-britain-fit-for-the-future.
(收稿日期:2022-06-10)
作者简介
张涛,博士生,副教授,硕士生导师,研究方向为政策文本计算与数据分析;
崔文波,硕士生,研究方向为数据分析与知识发现;
刘硕,本科生,研究方向为政策文本研究;蔡庆平,博士生,讲师,研究方向为数据挖掘与分析;
马海群(通讯作者),博士,教授,博士生导师,研究方向为信息政策与法律,Email:mahaiqun@sina.com.cn。
*原文载于《信息资源管理学报》2022年第6期,欢迎个人转发,公众号转载请联系后台。
* 引用格式
张涛,马海群,刘硕,等.英国国家数据安全治理:制度、机构及启示[J].信息资源管理学报,2022,12(6):44-57.
往期 · 推荐
当期荐读 2022年第6期 | 我国数据要素市场建设的发展现状与发展趋势研究
当期荐读 2022年第6期 | 国外政府数据资产管理的主要做法与基本经验
▲点击访问信息资源管理学报小程序
制版编辑 | 王伊杨
审核 | 于阿媛
长按识别二维码关注我们
信息资源管理学报
微信号
xxzyglxb
分享、在看与点赞
只要你点,我们就是朋友😊