“在法律貫徹執行過程中，應探索數字經濟背景下的彈性和柔性監管模式，避免對數據流通過度、嚴苛監管，為新技術、新應用、新業態創造寬嚴適度的發展環境，堅持數據安全與經濟發展并重。”在2022年廣東省網絡安全宣傳周舉辦之際，長期從事網絡安全法治研究的公安部第三研究所網絡安全法律研究中心主任黃道麗接受南都專訪時說。

　　據悉，今年廣東省網絡安全宣傳周由省委網信辦牽頭會同省委宣傳部、省委編辦、省教育廳、省公安廳、省國資委、省廣電局、省政務服務數據管理局、省總工會、團省委、省婦聯、省通信管理局、人民銀行廣州分行主辦，廣東省互聯網業聯合會、南方都市報、N視頻聯合承辦，持續到9月11日。

　　A

　　數據安全成為新立法增長點

　　南都:你從事網絡安全法律研究已近20年，據你觀察，我國乃至全球對網絡安全的重視程度和方向有哪些明顯變化?

　　黃道麗:有四個方面的變化。一是更多國家開始重視網絡安全政策法律，且由網絡安全、數據安全、個人信息保護、關鍵信息基礎設施保護、信息內容治理轉向更加精細劃分的領域。比如個人信息保護細分為規范人臉識別技術使用、敏感信息保護、特殊人群的個人信息保護等。

　　二是數據安全成為個人信息保護后新的立法增長點，圍繞數據的國際政策立法爭奪激烈，數據跨境流動、跨境數據調取等規則持續調整細化。

　　三是疫情帶來的網絡安全問題引發廣泛關注，各國政府推動政策立法，利用人工智能算法、加密技術加強安全防護，積極應對疫情帶來的數據濫用、在線內容安全等問題。

　　四是對新技術的利用及其衍生安全問題給予前所未有的關注和支持。5G、人工智能、加密貨幣以及近兩年大熱的元宇宙技術等進入政策法律視野，進一步體現了各國對新技術利用與規范的迅速反映。

　　B

　　強化平臺網絡安全管理義務

　　南都:自2018年以來，公安部連續5年組織全國公安機關開展“凈網”專項行動，嚴厲打擊網絡違法犯罪，而提供各類網絡服務的平臺企業往往在網絡犯罪案件中扮演重要角色。如何才能深化企業網絡安全管理義務，加強網絡平臺源頭治理?

　　黃道麗:我建議從三方面入手:首先是從立法層面加快推進《網絡犯罪防治法》等法律法規，強化平臺網絡安全管理和網絡犯罪防治義務。立足源頭防治，明確平臺責任和義務，完善網絡犯罪執法協作機制，能進一步提升新時代依法管網、依法治網的能力水平。

　　其次是從制度建設層面完善實名制具體措施，遏制網絡犯罪生態源頭。我建議，在立法上明確利用虛假信息冒用他人身份、大量買賣實名注冊賬號、規避實名制等行為的違法性及相應法律責任。

　　再者是從執法層面加強行政執法力度，切實推動平臺履行法律責任。網信、公安等監管部門應加大執法力度，包括專項監督檢查和常態化的行政執法活動，督促平臺落實網絡安全法、數據安全法、個人信息保護法等法律法規規定的信息內容管理、數據安全和個人信息保護等義務。

　　C

　　廣東首席數據官制度強勢呼應數據安全法

　　南都:讓數據安全地流通、交易，才能激活、釋放數據的價值。如何在保障數據安全的同時，最大化提升數據應用價值?

　　黃道麗:在我國的網絡和數據安全法律法規中，已經對促進數據合法利用作出了充分考量，為產業創新預留了空間。在法律貫徹執行的過程中，應探索數字經濟背景下的彈性和柔性監管模式，避免對數據流通過度、嚴苛監管，為新技術、新應用、新業態創造寬嚴適度的發展環境，堅持數據安全與經濟發展并重。

　　要實現在保障數據安全的同時，積極促進數據合法開發和利用，需解決數據流通的確權問題，包括建立數據產權制度，健全數據要素權益保護制度，探索數據資產化有效路徑，建立數據要素市場的激勵機制，激活、提升數據要素價值。

　　此外，對企業而言，要充分利用商用密碼等技術措施保障數據全生命周期安全，把安全保護貫穿數據處理各階段，防范和化解法律風險和安全風險。我認為這是一種成本低、效果好、促利用的保護方式。

　　南都:去年，廣東在全國率先試點首席數據官制度，對推動企業、政府機構的網絡安全、數據安全工作有何意義?

　　黃道麗:總體來看，這是廣東省為推動數據要素市場化配置改革作出的戰略性安排。從法律角度看，我認為該制度最重要的是強勢呼應了數據安全法中數據安全負責人的概念。不僅明確回答了一個職責角色“應該做”的問題，還告訴社會和公眾，廣東已經在思考和實踐“做什么”以及“怎么做”。

　　本次廣東的先行先試是從公共事務層面進行設計，特色鮮明地提出“一票否決權”，可以從數據安全角度考慮行使決策，其影響力明顯提高。具體來看，此舉也對首席數據官的行業認知、技術理解和法律適用等方面提出了很高要求。首席數據官不僅是一般企業意義上的面向業務、對內負責的角色，也是政府意義上面向公共服務的高級人員配置。這一中觀層面的制度設計會為企業等微觀層面的數據安全管理機構、負責人的人員設置，以及更宏觀層面的數據安全監管機構工作的落地提供更富實踐意義的參考。

　　D

　　我國已基本建立合法披露制度框架

　　南都:近年來病毒軟件惡意勒索企業贖金的案例不斷增多。你認為是否需要出臺相應政策強制或鼓勵企業做好網絡安全工作?

　　黃道麗:企業需從多方面開展網絡安全工作，如構筑安全底層屏障，提升勒索攻擊風險發現能力，強化數據安全保障能力等。此外，在發生勒索攻擊事件后，企業應及時向公安機關等有關主管部門報告，并立即開展應急處置，保護現場和證據。

　　據我了解，受大規模勒索攻擊事件頻發的影響，勒索攻擊的防治打擊已成關注重點，預防性立法與指導性文件發布已逐漸提上日程。

　　南都:有觀點認為，目前我國對網絡安全漏洞合法披露的要求較為宏觀。你怎么看?

　　黃道麗:網絡安全漏洞披露是網絡空間治理的關鍵一環，其重要性首先體現在網絡安全漏洞的危害性經互聯網迅速傳播被放大后，不規范或非法披露會損害用戶、企業和公共利益，甚至威脅包括關鍵信息基礎設施安全等在內的國家安全；此外，合法披露、報告和利用能及時預警和有效管控網絡安全風險，推動網絡安全相關產業的創新，為執法活動和提升國家安全反制能力提供重要的技術保障。

　　事實上，我國網絡安全漏洞合法披露制度框架已基本建立。網絡安全法從禁止性規范和指引性規范的角度構建整體制度；數據安全法則對數據處理者漏洞風險補救、處置、告知和報告義務進行了明確規定?！蛾P鍵信息基礎設施安全保護條例》專門強化對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動的約束，網絡安全監管機構正協同加大涉關鍵信息基礎設施安全漏洞的管理。

　　在配套法規方面，去年工信部、網信辦、公安部聯合發布的《網絡產品安全漏洞管理規定》明確監管機構職責和分工，構建多部門多平臺共享機制，細化披露和共享規定，為網絡產品提供者、網絡運營者和網絡產品安全漏洞收集平臺提供更有針對性、可操作性的規范。去年年底，阿里云計算有限公司因未及時通報嚴重安全漏洞而遭通報就是相關法律法規要求落地的一個例證。

　　在法律貫徹執行過程中，應探索數字經濟背景下的彈性和柔性監管模式，避免對數據流通過度、嚴苛監管，為新技術、新應用、新業態創造寬嚴適度的發展環境，堅持數據安全與經濟發展并重。——黃道麗

　　出品:

　　南方都市報

　　南都大數據研究院

　　京滬新聞中心

　　統籌:鄒瑩　凌慧珊

　　采寫:南都記者　樊文揚