发展上合组织数字经济:基于数据安全合作的视角
2021-09-22
来源: 中国信息安全
随着数字信息技术的进步,全球数字经济持续不断地发展,数字购物、数字会议、数字娱乐、数字医疗、远程学习等数字经济形式已逐渐成为人们工作和生活的一部分,人们从来没有像今天这样感受到数字经济所带来的变化。目前,大约有 40% 以上的联合国成员国都制定了发展数字经济的国家战略,15% 以上的成员国出台了国家人工智能战略。面对数字经济的巨大红利,上海合作组织(以下简称“上合组织”)成员国都将数字经济纳入国家发展战略,并表现出发展目标包容性强、发展节奏积极有序和国际合作务实的政策取向。数字经济合作顺理成章地成为上合组织新兴的合作领域。2020 年 11 月 10 日发布的《上海合作组织成员国元首理事会关于数字经济领域合作的声明》,为上合组织成员国发展数字经济合作打下了良好的政策基础。但是,良好的合作预期并不意味着有良好的合作结果,落实上合组织元首峰会确定的政策目标还需要创造很多合作条件,其中,数据安全合作是关键。
一、加强数据安全已是全球大势
在数字化时代,人们一方面享受技术进步带来的便捷,同时也面临技术进步带来的挑战,其中,数据安全问题非常突出,并从国内政治外溢到国际政治。在国际政治中,保护“公民隐私权”是数据安全的重要内容之一,因为几乎所有国家的宪法都把保护“公民隐私权”定为国家责任。2020 年 11 月16 日,美国国会两党合作的中美科技关系工作小组发布题为《应对中国的挑战:美国技术竞争新战略》(Meeting the China Challenge:A New American Strategyfor Technology Competition)的政策报告。该报告提出,针对全球数字系统和供应链的发展,美国需要制定针对性的风险管理措施,以应对当下和未来的安全威胁。
针对潜在的数据安全风险,国家通常会通过技术手段提升数据安全水平,而数字信息技术发达的政治实体都选择加强立法提高数据安全水平。2016 年 4月 27 日,欧盟通过《通用数据保护条例》(GDPR)。该条例适用于与欧洲做生意的所有实体(不论实体位置何在);处理个人数据的业务流程必须构建数据保护措施;个人数据必须使用假名或匿名进行存储,并且使用尽可能高的隐私设置;避免公开未经明确同意的数据;任何个人数据除非在法规规定的合法基础上完成,否则数据控制者或处理者需从数据所有者那里获得明确的选择同意;数据所有者有权随时撤销此权限等。在启动脱欧程序后,英国于 2018年 5 月 23 日通过了《数据保护法》(Data ProtectionAct),规定只有基于合法和合法理由的个人和公司才能处理个人信息,并且不能共享。美国重视个人隐私,在出台具体的数字保护法之前,已设立了 11 部与之相关的法律,包括各州出台的相关隐私保护法案等。更多的国家已经开始做数据保护立法的前期准备,通过隐私权执法机构(PEA)、私营部门律师事务所、社会组织、学者和其他参与者的合作和建议,通过法律规定将数据收集限制于特定人群、时间和使用目的。
但是,由于全球数据系统和供应链的互联互通程度越来越密切,完全孤立的数据流通是不可能的。更重要的是,上合组织发展数字经济也不可能与全球数字经济割离。因此,全球数据安全问题也将折射到上合组织成员国发展数字经济的过程。
二、数据安全合作是发展数字经济的必要条件
数字经济的发展加快了应用程序的开发速度,数字企业通过应用程序时刻捕捉消费者的在线行为,各种网络犯罪分子也寻找自己的机会。根据美国联邦调查局统计,2020 年接到涉嫌网络犯罪的举报 791790 起,比 2019 年增长了 37%,损失超过 42 亿美元。与此同时,互联网企业识别网络漏洞的时间没有显著提高。根据云计算公司 Iomart 的研究,2019 年,互联网企业识别漏洞的平均时间为 206 天,解决该问题则需要 73 天。因此,保护数据安全是发展数字经济的必要前提。同理,上合组织数字经济合作离不开保护数据安全。讨论上合组织成员国保护数据安全的行为需要从两个要素看:一是数字经济基础设施的发展现状;二是网络安全政策。通过上述两个要素,既可以认识上合组织成员国寻求数据安全、发展数字经济的基础条件,也可以认识差异性及合作的难度。
(一)上合组织成员国数字基础设施现状
一是移动用户比例高,主流数字平台以美资企业为主。上合组织成员国移动用户占人口总数比例为76%、互联网用户占总人口的比例为 40%。除我国的社交媒体外,脸书、推特、英斯(Instagram)、色拉布(SNAPCHAT)、领英等,都是上合组织成员国互联网用户喜欢访问的社交数字平台,约占上述成员国互联网用户的 60% 以上。
二是数字价值链差异大。我国处于数字价值链的中高水平,印度、俄罗斯、哈萨克斯坦、巴基斯坦处于中等水平,乌兹别克斯坦、吉尔吉斯斯坦、塔吉克斯坦处于中低水平。不过,乌兹别克斯坦发展潜力巨大。2021 年 2 月,乌兹别克斯坦总理宣布将在2023 年前投入 25 亿美元发展数字基础设施,并计划在 2022 年底把互联网速度提高到 10Mbps。塔吉克斯坦建设数字基础设施,存在困难。目前,塔吉克斯坦 70% 的人生活在山区,只有 30% 的家庭能够享受宽带服务,35% 家庭能够用移动设备访问互联网。
三是有利于数字经济发展的政策环境有待提高。根据德国贝塔斯曼基金会的经济质量指数,上合组织成员国经济质量从高到低依次为中国、印度、俄罗斯、哈萨克斯坦、乌兹别克斯坦、吉尔吉斯斯坦、巴基斯坦和塔吉克斯坦。与数字经济发达国家相比,上合组织成员国发展数字经济的政策环境总体偏低。
(二)上合组织成员国的数据安全政策基于不同的国情,上合组织成员国选了不同路径加强数据安全。
中国积极立法保障数据安全。具体做法是:促进数据开发利用;保护公民和组织的合法权益;维护国家主权、安全和发展利益。
印度数据安全政策的目标是为公民、企业和政府建立安全、有弹性的网络空间,并建立可以监视和应对威胁的机制;开发适合本国数据安全需要的技术,并建设熟练掌握网络安全的人才队伍。
俄罗斯数据安全政策的目标是确保个人、社会和国家免受内外信息威胁,确保宪法对人权、公民权利及自由、国家主权、领土完整、经济的可持续发展、国防安全等。具体措施包括:开发和推进电子货币、电子支付、电子商务的国家安全系统;开发国家认证的信息保护措施;提高信息从业人员的能力;国家对信息收集、存储、处理和传输系统进行保护性控制;保证信息的可靠性、完整性和安全性;改进监管部门的法律;捍卫国内信息安全等。
哈萨克斯坦数据安全政策的目标是建设防止网络攻击和网络威胁的哈萨克斯坦网络盾;填补立法的空白;提高及合理分配国家机构的能力;为政府、信息企业和互联网用户之间的关系立法;建立专业的网络中心;对信息和通信基础设施进行分类;建立网络安全响应机制等。
巴基斯坦数据安全政策的目标是减轻网络威胁,提高国家网络安全水平和能力;建立良好的协调机制、安全标准和政策法规。具体措施包括:建立网络安全生态体系;建立保护信息和分享机制,能监控、检测、保护和响应所有级别的、对国家信息基础设施的威胁;通过授权保护国家关键信息基础设施架构;增强政府信息系统的安全性;为公共和私营部门实体建立信息安全框架;确保信息通信产品、系统和服务的完整性;通过技术和合作运营发展公私合作的关系;提高大众的网络安全意识;培养网络安全从业人员,发展网络安全从业人员技能。
吉尔吉斯斯坦数据安全政策的目标是分步骤提高数据安全水平。在 2019 年至 2023 年期间,吉尔吉斯斯坦数据安全的重点是保护公民、企业和机构免受黑客和网络间谍的攻击。具体措施包括:建立维护数据安全的组织机构;完善打击网络犯罪的法律和措施;建立国家信息安全体系;为国家关键信息基础设施建立安全系统;促进网络安全领域技术的标准化和国际合作;提高人们应对网络安全的能力。
塔吉克斯坦数据安全政策的目标是在数据收集、处理、存储和个人数据方面加强法律保护。具体内容是:个人数据收集、处理和保护需遵守的原则:保护人权;过程的合法性;司法介入;公开和透明;个人数据的机密性;数据收集主体、所有者和经营者的权利平等;确保个人、社会和国家安全。
乌兹别克斯坦数据安全政策的目标是保护数据的机密性、完整性和可访问性。具体措施包括:制订阶段性的国家网络安全战略;统一信息安全标准;进行网络安全培训;提高国家机构和公民对虚假信息的辨识能力;在学校课程中引入信息政策和网络安全的内容。
三、推动上合组织成员国数字经济发展
毋庸置疑,数据安全对上合组织成员国开展数字经济合作非常重要。目前,上合组织在 2020 年 11 月召开的莫斯科峰会上就数据安全合作达成两项共识,一是制定《上海合作组织成员国保障国际信息安全合作计划》,二是发表《关于保障国际信息安全领域合作的声明》。以发展数字经济为目标,上合组织成员国数据安全合作需要优先做好以下工作。
(一)发展有利于数字经济的区域性数据安全公共产品
根据上合组织发展数字经济和信息安全合作共识,结合数字信息技术发达国家创新合作经验,上合组织需在机制上实现合力。具体做法包括:建立上合组织数字经济合作委员会下设立数据安全合作工作组,从而确保数据安全有稳定的工作机制;要规范成员国的数字贸易原则、便利数字贸易、消除数字贸易壁垒、维护企业合法的数字权等。
(二)需启动成员国跨境数据立法建设
在收集、使用、保护不同类型的数据上有法可依,推动商签“上海合作组织成员国数据保护协定”。要协商区域数字数据执法合作,打击网络犯罪、防止武器化数据技术扩散,推动商签“上海合作组织数字数据执法合作构想”。
(三)重视数字安全技术研发和人才培养
上海合作组织大学已成立 13 年,是成员国高校间非实体合作网络,旨在加强成员国之间教育合作与交流,为上合组织各领域全面合作提供人力资源保障。要重视利用这一合作机制,鼓励成员国高校联合研发所需数字安全技术和培养数字安全人才。