翼城旭日辉煌网络科技工作室

文 | 中國人民大學未來法治研究院研究員喻文光

6月10日，數據安全法獲表決通過(guò)。數字政府作爲數字中國、數字經濟的重要(yào / yāo)基礎，已成爲提升國家(jiā)治理能(néng)力現代化的重要(yào / yāo)戰略舉措和推進服務型政府建設的有力抓手。當前，“一網通辦”“跨省通辦”、政務“秒批”“秒辦”、身份證“網證”、“城市大腦”等試點示範措施，有力促進了政府和社會(huì)治理的高效化、精準化和智能(néng)化。但不容忽視的是，數字政府系統作爲超級數據平台，面臨巨大的安全威脅和風險，如(rú)黑客對(duì)政府網站的攻擊、金融數據被不法分子竊取、個人敏感信息大規模洩露等。可(kě)以說，數據安全是數字政府的生(shēng)命線，個人信息保護是數字經濟的底線。國家(jiā)作爲數據安全和個人信息權益的守護者，在數據安全法頒布後(hòu)，仍需從以下(xià)幾個方面夯實數字政府建設的基石。

構建一體多翼治理體系

建設數字政府、提升國家(jiā)治理效能(néng)，需要(yào / yāo)遵循“以人民爲中心”的理念，強化頂層設計，綜合運用(yòng)法律、制度、标準、技術等多元治理工具。

法治軌道上運行(háng / xíng)的數字政府負有雙重責任：一方面，政府必須依法行(háng / xíng)政，不能(néng)無限制收集數據和個人信息，遵守“合法、正當、必要(yào / yāo)”原則，同時履行(háng / xíng)安全保障義務。另一方面，政府要(yào / yāo)積極履行(háng / xíng)監管職能(néng)，維護數字經濟中數據共享流通秩序和數據安全，保障個人信息權益。刑法修正案、網絡安全法、民法典已經對(duì)數據和個人信息處理的基本規則，權利歸屬、安全義務和法律責任作出部分規定，剛剛頒布的數據安全法和正在制定的個人信息保護法的規定更爲全面具體。

因此，首先要(yào / yāo)建立全方位、動态保護管理制度，全面防範風險。按照數據安全法的要(yào / yāo)求，建立數據分類分級保護制度，确定重要(yào / yāo)數據目錄，加強對(duì)重要(yào / yāo)數據的保護，尤其(qí)要(yào / yāo)對(duì)關系國家(jiā)安全、國民經濟命脈、重要(yào / yāo)民生(shēng)、重大公共利益等方面的數據實行(háng / xíng)更嚴格的管理制度；落實網絡安全法、《信息安全技術網絡安全等級保護基本要(yào / yāo)求》的規定，進一步細化數字政府中的雲、網、平台、數據、系統等關鍵信息基礎設施和政務數據的安全保障制度；完善數據流動管理制度，尤其(qí)是數據出境安全評估制度；改進數據安全監測預警與應急機制；構建個人信息處理的風險評估和合規審計制度；建立個人信息保護負責人制度等。

其(qí)次，發(fā／fà)揮技術标準對(duì)數字治理、數據安全和個人信息保護的基礎性、規範化和引領性作用(yòng)，推進數據安全标準體系和個人信息保護标準規範的建立，尤其(qí)是要(yào / yāo)針對(duì)敏感個人信息以及人臉識别、人工智能(néng)等新技術、新應用(yòng)，及時制定專門的個人信息保護标準。

最後(hòu)，通過(guò)自(zì)主研發(fā／fà)的核心技術爲政務數據和個人信息上鎖。加大研發(fā／fà)和創新力度，掌握大數據安全治理的核心技術，建立相對(duì)獨立的安全防護系統，發(fā／fà)展具有自(zì)主知識産權的數據安全産業，爲數字政府建設和個人信息保護提供安全可(kě)靠的技術支撐。

建立多元高效、激勵相容、職責明确的監管機制

數據安全和個人信息保護的法定義務以及具體制度需要(yào / yāo)外部監管制度來保障落實。因此，不僅要(yào / yāo)建立事(shì)前預防、事(shì)中監督和事(shì)後(hòu)處理的全流程高效監管制度，而(ér)且需要(yào / yāo)綜合運用(yòng)風險管理、行(háng / xíng)政調查、行(háng / xíng)政處罰和刑事(shì)制裁等多元監管手段，加大對(duì)違法行(háng / xíng)爲的處罰力度，強化處罰的威懾作用(yòng)。同時也要(yào / yāo)探索設計鼓勵義務主體主動守法合規的激勵相容機制，實現從單向的外部監督向權利控制與激勵機制并行(háng / xíng)的多元治理機制轉變。

對(duì)于(yú)負有監管職責的政府部門而(ér)言，則應當明确主體職權，确保監管責任落實到位。根據網絡安全法、數據安全法以及個人信息保護法的二審稿，數據安全和個人信息保護在中央層面，分别由中央國家(jiā)安全領導機構和國家(jiā)網信辦負責統籌協調，而(ér)具體的監督管理工作則由分散于(yú)各領域、各行(háng / xíng)業的監管部門在各自(zì)職權範圍内負責，這與數據處理的數字化場景性、跨區域性、空間不确定性等特征不甚相符。如(rú)何廓清各監管部門之間的職責界限，如(rú)何協調屬地管轄沖突，仍有待探索。在無法改變現有行(háng / xíng)政監管機構設置的情形下(xià)，新頒布的數據安全法明确建立的工作協調機制具有重大意義。合理高效的工作協調機制有利于(yú)加強中央和各級監管機構對(duì)數據安全和個人信息保護工作的統籌協調、協作監管。

通過(guò)行(háng / xíng)政公益訴訟築起司法防線

若手機App大量違規收集并不當使用(yòng)用(yòng)戶信息，醫療機構、快遞企業或者校外培訓機構大量洩露個人信息，而(ér)負有個人信息保護職責的行(háng / xíng)政機關怠于(yú)履行(háng / xíng)監管職責，個人若針對(duì)侵權主體提起民事(shì)訴訟或針對(duì)行(háng / xíng)政機關提起行(háng / xíng)政複議及行(háng / xíng)政訴訟，維權成本和難度都很大，無法有效實現法律救濟，此時行(háng / xíng)政公益訴訟将大有用(yòng)武之地。

檢察機關已經将個人信息保護納入檢察公益訴訟新領域。截至目前，全國已有19個省份通過(guò)地方人大決定的形式明确要(yào / yāo)求檢察機關積極穩妥開展個人信息保護領域公益訴訟。今年(nián)4月22日最高檢發(fā／fà)布的11件個人信息保護公益訴訟典型案例中，有6例行(háng / xíng)政公益訴訟案件，既涉及行(háng / xíng)政機關在履行(háng / xíng)政府信息公開職能(néng)時洩露不應公開的公民個人信息的情形，也包括在前述典型場景下(xià)，通信管理機關、公安機關、網信辦、市場監管局、郵政局和教育局等行(háng / xíng)政機關未履行(háng / xíng)個人信息保護和安全監管職責被督促履職的情形。檢察機關還可(kě)通過(guò)制發(fā／fà)訴前檢察建議和社會(huì)治理類檢察建議，依法督促行(háng / xíng)政機關履職整改，推動信息處理主體加強安全保護措施，堵塞漏洞、防控風險。

雖然行(háng / xíng)政訴訟法第25條可(kě)以爲檢察機關的實踐探索提供法律依據，但更爲妥适的做法是立法者在個人信息保護法中分設民事(shì)公益訴訟條款和行(háng / xíng)政公益訴訟條款，将這一有效的司法救濟方式明确規定在個人信息保護的基本法中。

在數字政府建設中維護網絡和數據安全，保護個人信息權益是政府、企業、社會(huì)組織、公民共同的責任，需要(yào / yāo)各方主體協同共治，共築安全防線。同時，在數字政府建設中，大數據、雲計算、區塊鏈等數字技術的運用(yòng)，推動了單一化的、以政府爲主的傳統治理模式向企業、社會(huì)、公民全方位參與的多元主體協同共治模式轉變。而(ér)數據安全保障和個人信息保護的複雜性、專業性和高風險性使其(qí)單靠政府一方的力量難以實現，需要(yào / yāo)監管部門、互聯網企業、網絡平台、數據和信息處理主體、行(háng / xíng)業自(zì)律組織、公民個人共同參與，形成“共建共治共享”的治理機制，實現數字政府的長治久安。

（來源：光明日報）