在科技革命和产业变革的时代背景下,5G作为信息通信技术迭代的新一代产物,对 实现万物互联和推动数字经济具有重要意义。然而,在给经济和社会带来深刻变革的同时,5G也面临着不同场景下的数据安全挑战。数 据是基础性、战略性资源,事关国家安全、经济发展、社会治理和人民生活。为应对其 中的安全问题,我国立法持续跟进。《网络 安全法》《数据安全法(草案)》等的不断 出台,构建起数据战略的法治化基础,也为 5G数据安全提供法制保障。个人信息是数据 中反映个人特征的内容,其安全不容忽视。作为一部保障个人信息安全的法律,《个人 信息保护法(草案 >》(以下简称《草案》)于2020年10月公布,规定了个人信息保护
的行为规范、权利规范和治理规范等内容,
丰富并完善了数据安全的保护体系,成为保
障5G数据安全的重要依据。
场戛E分下昀5G輝瑪幸全排珙
5G相较前代移动通信技术而言进步巨大,速度、功耗、时延全面提升,因此基于 5G的应用也将更为广泛。根据应用业务和信 息交互对象等区别,可将5G划分为三大应用 场景:增强型移动宽带(e M B B)、
大规模
机器类通信(m M TC)、超可靠低延迟通信 (URLLC)。不同的应用场景划分将移动通 信带入了场景定制的时代,各种不同的5G数 据安全挑战也随之出现。
增强型移动宽带(eM BB)场景下的数
据安全挑战
5G的e M B B场景是前代移动通信技术
中个人用户业务的进一步延伸,也最先满足 商用需求,其提供大带宽高速率的移动通信
服务,实现对超高清音频、视频、增强现实
与虚拟现实技术(A R/V R)等应用的支持。
在此场景下,既存的通信信息和移动终端等
方面的数据安全问题将继续存在,且更高通 信速率会让数据安全威胁扩散得更加快速与
广泛。同时,此应用场景的对象为个人用户,
中国电傕让
37
对个人信息的收集更加直接,汇聚的个人信 息将经过系统快速分析发挥个性化推荐等作 用,对个人信息的依赖将令其面对更多的安 全威胁。
超可靠低延迟通信(u R L L C )场景的数 据安全挑战
u R L L C 场景下,5G 将以高可靠和低时
延的特性为垂直产业应用提供支持,在汽车 应用、工业制造等方面发挥作用。在此场景 下,5G 所关联的交通、能源等行业在国家生 产建设中占据举足轻重的地位,一旦发生数 据安全问题,将威胁国家重要基础设施。此外, 该场景下个人信息的种类增多,不再局限于 狭义的个人身份信息,而是包括大量的工作 信息、生物信息和行踪信息等,这些信息的 提取比从前更方便,且对保密性和隐私性要 求更高。
大规模机器类通信(m M T C )场景的数 据安全挑战
m M T C 场景是5G 针对物联网的解决方
案,意在打破人与物连接的时空限制,凭借 低功耗、大连接等优势推动万物互联时代的
到来。在此场景下,数据在云端和物联网终 端传输,实现连接的无缝融合,但终端防御 能力或难以应对针对性的攻击,且开放的应 用环境和庞大的设备数量将招致更多攻击, 从而带来数据安全问题。传统的设备或工具 都将因5G 的推动而变得智能化,但数量巨 大的终端在方便生产生活的同时也在大量收 集并储存个人信息,碎片化的个人信息更易 于收集,对其的整合利用将给数据处理者带 来利益,而信息利益将引发数据泄露和滥用 的风险。
《草案》视角下5G 数据安全挑战
白勺涵
在数字化与经济社会深度融合的背景下, 数据安全充满挑战,对其进行立法保护的重 要性与急迫性更为凸显。2020年10月,《草 案》公开征求意见,明确个人信息的行为规范、 权利规范和治理规范,为个人信息安全提供 更为有力的法律保障。
38
中国电信此
CHINA TELECOMMUNICATIONS
个人敏感信息
TRADE
立法目的方面
随着信息网络的应用普及,个人信息的 收集与使用更加广泛,这导致针对个人信息 的违法行为在类型和数量上不断增多,个人 信息的安全保障成为备受关注的重点问题。《草案》应时而生,目的即在于以“严密的制度、严格的标准、严厉的责任”保护个人信息权 益,规范个人信息处理活动,维护网络空间 良好生态,回应社会对保护个人信息安全的 需求。但在强调个人信息安全的同时,还需 统筹好个人信息保护与数字经济发展的关系,不能忽视数据的合理利用和有序流动。当前,以数据为生产要素的数字经济成为科技革命 与产业变革的核心力量,《草案》以追求个 人信息保护和利用的平衡为目的,通过立法 建立权责明确、保护有效、利用规范的制度 规则,既充分保护信息主体的合法利益,也 重视个人信息的合法利用问题,以此推动数 字经济持续健康发展。5G环境下数据安全的 目标追求同样要契合《草案》的要求,既要 加强个人信息保护以维护信息主体的权益,又充分且合规地推动个人信息的流动与利用,以数据为基础发挥5G功能和价值。
行为规范方面
《草案》健全和完善了个人信息的处理 规则与跨境提供规则。个人信息处理规则方 面的主要内容有:首先,明确“个人信息”以及“个人信息的处理”的范围和定义(第 四条),将个人信息的界定从《网络安
全法X民 法典》所采用的“识别说”拓展到“关联说”,并在范围内排除匿名化处理后的信息。其次,确立个人信息处理应遵循的要求,包括合法 性和正当性(第五条)、目的性和必要性(第 六条)、公幵性和透明性(第七条),上述 要求贯穿于个人信息处理的全过程、各环节。再次,确立“告知一同意”原则在个人信息 处理中的核心地位,要求个人信息的处理应当充分告知并取得个人同意,且个人有权撤
回其同意,重要事项发生变更还需重新获得
同意等(第十三条至第十九条)。最后,对
敏感个人信息作出界定,并作出更为严格的
限制,需要满足特定的目的性和必要性,且
“告知一同意”要求更高(第二+九条至第
三十二条)。
在个人信息跨境提供规则方面的主要内
容有:明确了个人信息处理者跨境数据流转
的规范要求(第三十八条),对跨境提供个
人信息的“告知一同意”提出更严格的要求(第
三+九条),因国际司法协助或者行政执法
协助需要向提供个人信息的,需经有关
主管部门批准(第四十一条),对针对我国
采取不合理措施的国家和地区可以采取相应
的措施(第四十二条至第四十三条)。
《草案》中的行为规范对5G数据安全
保障有指引和规范作用。第一,虽然“告知一
同意”是个人信息使用的核心原则,但狭义
适用下不利于网络环境下信息的利用,因此
《草案》在“取得个人同意”的基础上拓展
出其他几种合法情形,这有助于满足5G场景
下数据依赖性的现实发展需求。第二,《草
案》将个人生物特征、医疗健康、金融账户、
个人行踪等信息列为敏感个人信息,而此类
信息在5G物联中频繁使用,因此需要满足《草
案》中对敏感个人信息规定的更为严格的规
范要求。第三,5G的高速率特点使得数据跨
境更为便捷,应用呈现国际化趋势,但为确
保我国境内个人信息不会由于跨境数据的流
转而出现泄露风险,应当做好储存、提供等
方面的安全保障工作。
权利规范方面
《草案》明确了个人信息处理活动中个
人的权利和个人信息处理者的义务。在个人
的权利方面,首先,个人对信息处理享有知
情权和决定权(第四十四条),这是“告知一
中■电信业39
同意”原则的具体化,是个人信息处理的前
提条件。其次,个人享有对其个人信息的查
阅和复制权(第四十五条)、更正和补充权
(第四+六条),这与《民法典》中规定一
致,并相应地对个人信息处理者提出义务要
求,即提供查阅复制的方便并在核实后进行
更正补充。再次,个人对信息享有删除权(第
四+七条),在满足条件后可主动要求信息
处理者删除其个人信息,个人信息处理者在
符合相应情形时也需要承担主动删除义务。
最后,个人享有对其个人信息的解释权(第
四十八条),个人信息解释权在《草案》中
首次提出,为避免信息处理中偏差与误解,
个人可要求信息处理者就处理规则进行解释。
在个人信息处理者的义务方面,除去上述 满足个人权利所需承担的告知'帮助、解释等
义务外,信息处理者还需承担对个人信息的安
全保障义务(第五十条〉,通过建立完备的管
理制度、对个人信息进行分级分类管理、运用
相应技术手段等措施保障个人信息安全。此外,
个人信息处理者的义务还包括指定个人信息保
护负责人、设立专门机构或者指定代表、委托
专业机构开展审计工作、事先风险评估等要求
(第五H—条到第五十五条)。
5G发展的初衷是以人为本,其在应用中 会涉及大量的个人信息,因此必须注重对个
人信息权益的保障,采取相应举措来保证个
体权利的实现。例如,为保障个人复制查阅
权需要及时制定相应规则,明确并公布个人
查阅和复制的方式和流程。
落实数据处理者的具体义务和责任同样 是5G领域关注的焦点问题,也是做好数据合
规工作的重要部分。处理者需要主动承担《草
案》中明确的义务,尤其在涉及私密个人信
息时,5G网络需要就业务作出释明,明确个
人信息的感知方式和处理规则,以此打消个
人的疑虑。
40中a电信u
CHINA TELECOMMUNICATIONS TRADE
治理规范方面
保护个人信息安全需要多个领域和部门 的协作分工,为此《草案》明确了履行个人 信息保护职责的部门。其中,网信部门负责 统筹协调,而国务院有关部门与县级以上政 府有关部门负责具体落实(第五十六条)。上述部门履行个人信息保护职责的范围包括 开展宣传、指导监督、处理投诉、调查违法 等,国家网信部门和国务院有关部门还可制 定个人信息保护有关规则和标准(第五十七 至五+八条)。在职能范围之内,个人信息 保护部门可采取询问当事人、查阅复制资料、现场检查、查封扣押等相应措施(第五十九 条),如可能存有重大风险还可约谈相关个 人信息处理者(第六+条),以有效落实保 护个人信息安全的职责。同时,《草案
》规
定了个人信息处理者违法后的法律责任(第 六+二条),采取比《网络安全法》更为严 厉的处罚力度,提高了个人信息处理者的违 法成本。此外,《草案》还规定了国家机关 不履行个人信息保护义务的法律责任、侵害 个人信息权益的民事赔偿、个人信息公益诉 讼制度等内容。
5G在政策和市场推动下快速发展,其涉 及数据数量更为庞大,违规利用将造成极大 风险,因此相应监管主体应当充分发挥职能,确保相关措施落实到位。同时,要根据《草 案》让个人信息处理者切实承担起违法责任,以此打击5G环境下的违法行为,保障个人信 息安全,为5G构造良好生态环境。
《草案》视角下5G数据安全保障 白勺完善
做好《草案》的立法衔接
《草案》在起草说明中就已明确要处理 好与有关法律的关系,做好与《网络安全法》《民法典》《数据安全法(草案)》等的衔接。作为全面规范网络空间安全管理方面问题的 综合性立法,《网络安全法》已为数据安全 保障奠定基础。依据《网络安全法》,国家 互联网信息办公室发布的《数据安全管理办 法(征求意见稿)》,为数据安全构建具体 制度。《民法典》在人格权编中列入个人信 息保护内容,确立个人信息民事权益保护机 制,《草案》以此为基础,丰富对个人信息 权益的保护。相较于《草案》
对个人信息的 保护,《数据安全法(草案)》从总体国家 安全观角度,对国家利益、公共利益和个人、组织合法数据权益给予全面保护。上述立法 在数据安全方面都进行了规范,但侧重点并 不相同。在衔接方面,若出现内容冲突,则采用“新法优于旧法”等原则加以解决。对
于已确立的网络和数据安全监管措施等内容,
由于旧法已有规范,《草案》作为新法无需
再作出规定。通过不断细化立法衔接,为5G
数据安全构建更为完备的法律保障体系。
完善数据安全法律保护和技术保护的配
合
在法律法规提供5G数据安全保护之前,
作为移动通信技术的5G自身也具有保障数
据安全的技术能力。数据脱敏技术对5G中
的数据进行处理,既实现敏感隐私信息的可
靠保护,又满足5G对敏感信息的合规利用。
数据防泄露技术通过数据库加密、数据库防
火墙、深度内容识别技术等实现对数据内容
的识别、加密、阻断等功能,实现对数据信
息尤其是敏感信息的界定和保护。网络切片
技术是5G及未来通信网络中的一项关键技
术,以按需组网的方式,面向多连接与多样
化业务,适应多种网络环境需求,实现5G
对各类垂直应用的支持,以适应不同场景下
的数据安全保障需要。边缘计算技术的应用
程序在边缘侧发起,从而产生更快的网络服
务响应。在5G物联网的场景下,满足终端
计算不断增长的需求,使得控制和处理过程
在本地边缘计算层完成,在提升处理效率与
减轻云端负荷的同时,减少数据的传输或存
储,从而实现对数据安全的保障。在立法不
断完善数据安全保障体系的趋势下,要充分
利用上述技术保护措施,明确技术性标准,
通过二者的配合充实与完善5G环境下的数
据安全保护措施。SD
作者单位:国家计算机网络与信息安全管理中心江苏分中心、华南
理工大学、中国电信江苏公司
本文系江苏省社科应用研究精品工程课题《江苏省突发公共事件应
急治理中的大数据应用研究》(20S Y B-025)阶段性研究成果。
中国电倌让41
发布评论