数据安全的双重向度及制度回应
◇苏宇
随着《数据安全法》的制定和大型平台企业海外上市引发的数据安全热议,数据安全审查正备受关注。今年9月1日开始实施的《数据安全法》第二十四条要求建立数据安全审查制度、第三十一条要求建立重要数据安全出境管理制度,近期滴滴海外上市等焦点事件使数据安全评估与审查的需求更为迫切。然而,与网络安全相比,数据安全评估与审查更为复杂,跨境流动场景下的数据安全问题尤为棘手。
数据安全的双重向度
数据安全较之网络安全包含更为丰富的维度。网络安全主要考虑的是为”的向度,即网络行为是否正常、能否避免或阻止对网络的各种破坏或入侵行为;数据安全不仅要考虑“为”的向度(行为向度),还要考虑“知”的向度信息向度),即数据中所隐含的信息是否会被应知范围以外的主体获悉。数据跨境流动尤其需要更多地考虑“知”的向度。数据安全的双重向度决定了数据安全审查需要什么样的机制和标准。行为向度上的审查标准和机制基本上可以借鉴网络安全审查实践,依据《数据安全法》第二十七条第一款的规定,在网络安全等级保护制度的基础上履行数据安全保护义务。信息向度上的审查却是全新的挑战。