導語：公共大數據信息安全立法分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：公共大數據作為涉及公共利益的數據信息，在采集、加工、使用、存儲的每個環節都會產生信息安全漏洞，需要立法防范。目前國外公共大數據立法主要分為側重于保護個人數據和隱私、促進本國政府數據信息公開和共享、以國家主體數據流跨境保護為主三種類型。國內公共大數據立法主要分為：以促進經濟發展為主的國家總體戰略規劃、以服務于地方經濟發展的地方性法規、為推進政務服務改革提供法治保障的省級政府規章和涵蓋公共大數據立法功能的網絡安全法四種。國內外公共大數據立法主要側重數據保護和數據開放的矛盾、公共數據的開放和個人隱私數據的保護、信息保護相關法律的發展，缺乏“公共安全”“公共福利”意識。公共大數據安全立法應依據公共福利、信息安全、公共產權和科學民主四大原則。

關鍵詞：公共大數據；立法；信息安全；公共福利

公共數據信息的增長和大規模應用暴露了一系列的公共屬性的管理問題，社會對于大數據立法的需求日益增長。公共大數據資源立法管理應跟上社會變化并統籌全局，然而除個別省份出臺了地方行政法規，至今仍沒有全國統一的專門法。從當前文獻來看，就信息安全方面的研究主要側重點是公共領域大數據的應用和公民個人大數據的隱私權保護。地方立法表現在促進大數據經濟發展、大數據應用等方面，對于公共大數據的資源采集、信息安全、資產保值、市場監管尚無深入探討。為完善大數據環境下國有資產保護與國家安全的目的，本文試圖從公共大數據角度，探討公共信息資源相關方面的立法原則、基本關系和合理性問題。

一、公共大數據立法現狀

（一）國外公共大數據立法現狀。國外公共大數據立法的理念主要是建立個人數據保護法律和政府信息公開體系，立法主要有3種類型：1.側重于保護個人數據和隱私的法律法規自有公共信息管理涉及個人信息泄露事件以來，歐美等國家紛紛出臺了相關法律。最近出臺的關于數據信息保護的法規具體包括：英國《2017年數據保護法案（草案）》更新和強化數字經濟和大數據時代的個人數據保護，取代了《1998年數據保護法》。歐美信息保護大國，如德國2002年頒布了《聯邦數據保護法》，法國有《數字共和國》以及最早的歐盟《一般數據保護條例》，還有一些國家直接用保護個人信息作為法律名稱，如加拿大的《個人信息保護法案》、新加坡的《個人數據保護法》、韓國的《個人信息保護法》。其中對全球的數據信息安全立法思想產生最為深遠影響的，當屬歐盟的《個人數據保護指令》（1995）。2.促進本國政府數據信息公開和共享的法律法規如以美國為代表的國家，制定《信息自由法》用以限制公權力利用信息不對稱的優勢對個人信息權利的侵害。在《信息自由法》的基礎上發展而來的一系列法律，如1991年的《全球變化研究數據政策》，2009年又進一步出臺《開放政府指令》，到2012年時，美國已經將國家安全考慮在內，《美國信息共享與安全國家戰略》也最終頒布。在英國，2000年實施的《信息自由法案》明確了政府數據信息有向社會開放的義務，而公民則有獲取政府持有的信息的權利。2013年為適應大數據時代的新變化，該法案增加了涉及政府對于那些可以二次利用的數據集進行公開，以及公開的許可機制和相關標準等的規定。3.以國家主體數據流跨境保護為主的法律法規歐盟《1995年數據保護指令》對計算機處理個人數據作出規定，禁止向歐盟以外的其他國家和地區轉移含有個人信息的數據。只有當其他國家或地區通過相關國內法或國際承諾，保障公民個人數據安全時，才允許將歐盟境內的個人信息轉移、存儲到境外國家進行處理。目前，瑞士、加拿大、新西蘭等一些發達國家獲得了歐盟的數據轉移許可證。2013年俄羅斯醞釀修正關于互聯網信息交流的一系列法律，第二年聯邦第99號《關于信息、信息技術和信息保護法》，該法對境內信息出境和境外保存作出了相關限制和要求。加拿大《個人信息保護和電子文件法》規定進行個人信息的轉移和傳輸應當對個人信息負責，包括跨境傳輸。印度的電信許可協議中要求各類電信企業，不允許將用戶賬戶信息、用戶個人信息轉移至境外。韓國的《信息通信網絡的促進利用與信息保護法》規定數據擁有者和使用者，有防止任何重要數據信息通過互聯網或物理途徑流向國外的責任，主要包括有關工業技術、科學技術、經濟統計等數據。此外，澳大利亞、意大利、匈牙利、印尼等國也立法要求數據信息存儲在境內。通過以上分析可以看出，國外雖然很早就立法保護個人信息，保障公共信息開放獲取，也制定了跨境數據交流的保護制度，但至今仍沒有任何一部專門針對大數據信息安全問題的立法。（二）國內關于公共大數據立法的現狀。公共大數據信息安全方面的立法在我國至今仍處在探索階段，從我國的立法情況看，大致可以分為戰略規劃、經濟促進立法、電子政務公開帶動立法和網絡安全法替代大數據安全法四種。1.以促進發展為主的國家總體戰略規劃。2015年8月，國務院頒布了《促進大數據發展行動綱要》（以下簡稱《綱要》）。該《綱要》分為4部分：發展形勢與重要意義、主要任務、指導思想與總體目標、政策機制?！毒V要》意在推動和解決進一步深入發展信息化的問題，主要包括：經濟活動中各類數據和信息的孤立、不統一，同一時空對象所屬的各類數據和信息的割裂和遺忘，政府政務數據信息開放、共享程度低等體制制約的弊端，數據和信息服務水平不高。《綱要》全文主旨是發展，對安全問題提出建議也同樣以促進經濟發展為目的，如“強化安全保障，提高管理水平，促進健康發展”部分提出，“建設國家網絡安全信息匯聚共享和關聯分析平臺，促進網絡安全相關數據融合和資源合理分配”“增強網絡空間安全防護和安全事件識別能力”。唯一涉及公共信息安全的是“切實加強對涉及國家利益、公共安全、商業秘密、個人隱私、軍工科研生產等信息的保護”，并未就安全立法提出要求。這類戰略指導性文件將推動公共大數據立法的發展，具有引領作用。2.服務于地方經濟發展的地方性法規。2016年3月，貴州省正式頒布實施了全國第一部專門的大數據地方性法規，《貴州省大數據發展應用促進條例》。此前2016年2月，貴州剛剛被定位為中國第一個大數據綜合試驗區，為國家級。該試驗區計劃承擔多項任務，包括數據資源共享開放、產業聚集、數據流通、制度創新等。在此背景下制定的地方性條例的主要目的是服務于地方經濟發展，其缺陷主要是，一是體現出地方性特點，二是對安全保護的考慮略顯欠缺。如當遇到重大的大數據安全事故之時，必須立即啟動緊急方案，“及時采取補救措施……并按照規定向有關主管部門報告”?！胺欠ú杉N售涉及商業秘密或者個人隱私數據……沒收違法所得”并處以罰款。尤其是遇到“非法采集、銷售涉及國家利益、公共安全和軍工科研生產等數據的，按照有關法律法規的規定處罰”，顯得相關懲罰力度不足。從各種開放和促進數據共享的規定來看，該條例是一部標準的扶持大數據行業發展的條例，安全保護方面的規定較少。但隨著大數據經濟的發展，公共大數據管理上的問題會日益凸顯，必將催生新的管理制度，從這個角度看，這對大數據立法有益。3.為推進政務服務改革提供法治保障的省級政府規章。2017年5月，《浙江省公共數據和電子政務管理辦法》頒布，這是公共數據和電子政務相關領域的第一部省級政府規章，立法目的是為浙江利用大數據信息技術深入推進各項政務服務改革提供法治保障，其中僅有一條提及信息安全，“公共管理和服務機構與公民、法人以及其他組織開展公共數據合作時，應當征得……主管部門的同意……”?？v觀該規章，著重推進政府互聯網公共服務能力、加強公共數據和電子政務建設，該規章為浙江大數據政務提供法治保障，無疑是為國家實施大數據電子政務戰略提供了一種建議。該規章的出臺也將帶動全國公共大數據安全立法。4.涵蓋公共大數據立法相關功能的網絡安全法。2017年6月《中華人民共和國網絡安全法》正式實施，該法主要從互聯網基礎設施安全、網絡運營環境安全、國家網絡空間主權等方面制定，是我國第一部網絡安全法律，其中也提到了網絡信息安全，但僅僅以管理網絡運營者的角度去維護個人信息安全和加強信息不當傳輸的監管，如第四章第五十條“國家網信部門和有關部門依法履行網絡信息安全監督管理職責，發現法律、行政法規禁止或者傳輸的信息的，應當要求網絡運營者停止傳輸……”，全法未見專門就公共大數據信息安全的規定。但總體上看，在網絡信息傳輸安全方面，涵蓋了公共大數據安全的一小部分功能。

二、國內外大數據立法的特點和不足

（一）國內外公共大數據法律法規的特點。1.圍繞數據保護和數據開放兩種相互矛盾的立法精神發展。一方面，從“公民權利”“自由經濟”角度出發，立法往往從個人隱私的保護、企業商業機密的保護的角度出發限制數據開放；而另一方面，為限制政府信息優勢過于強大，實現公民知情權利，要求公開政府信息，主張數據公開。這兩種法律精神之間形成相互矛盾的現象，而在同一國不同法律條文上也往往表現出這一點。2.注重公共數據的開放和個人隱私數據的保護。世界上不少國家，如美國、英國、德國都有關于“公共信息開放”和“個人信息保護”的專門立法。這主要是由西方國家重視限制政府權力、保護公民個人隱私的民主立法傳統發展而來的。從這些法律上看，無疑是重視公共信息的開放，而沒有強調公共信息保護；重視個人隱私數據的保護，而沒有強調社會公共體大數據開發的價值。3.公共大數據信息安全立法由信息保護相關法律發展而來。歐美一些民主發達國家信息安全意識強，立法起源較早，如美國早在1966年就制定了正式的信息立法——《信息自由法》。大數據信息相關法律則是在這類信息保護法的基礎上發展起來的。無論是歐洲、北美國家，還是澳大利亞和韓國等，都在國內原有的個人信息保護立法的基礎上，對舊法進行了修正，完善本國大數據方面的相關法律制度，以適應新環境。（二）國內外公共大數據安全立法的不足。1.大數據立法缺乏“公共”意識。目前國際上尚無公共大數據保護專門的立法。目前歐美國家主要從政府和公民個人二元對立的角度來立法，缺乏既含有政府，又含有公民二元統一的“公共”意識，即不能站在維護公共利益的立場來看待大數據相關立法。這又涉及大數據的產權問題，具有公共屬性的大數據財產、處置、保護、保密等。2.公共大數據信息“安全”意識不足。隨著大數據技術的發展，舊有的政府信息公開法強調各政府部門數據開放，而無法意識到數據大規模處理將給整體社會帶來的威脅。大數據信息安全問題由此暴露出來。如，美國20世紀頒布的《信息自由法》規定政府信息具有普遍公開性，那些不得公開的信息則屬例外。政府機構在決定信息是否公開的問題上，沒有完全的自主權。除了那些要求被保護的信息，如牽涉到國家的安全、公民的隱私、商業機密的信息，為了讓人民監督政府，其余所有的政府信息均須無保留地公開。大數據技術的發展完全可以通過技術手段使用不同的數據源交叉驗證來獲取一部分未經披露的保密信息。3.強調大數據經濟開發而采取扶持政策，忽略其公共福利屬性。從“大政府”“全球化大社會”角度出發，國家經濟發展需要強有力的整合來促進大數據應用和發展。通過立法將數據上升為國家的戰略資源，重視公共大數據經濟開發與發展扶持，通過數據的開發和利用，促進經濟增長，同時，企業尤其是跨國互聯網企業也正在加快用大數據技術采集信息的速度。這無疑加深了“數字鴻溝”，進一步導致信息資源應用、信息可及等方面的不平等。通過上述分析可以看出，國外更注重個人隱私保護和政府信息公開，國內則更傾向于經濟發展所需的扶持大數據開發政策，對于政府和企業掌握的公共信息大數據安全問題均無專門立法，也無特殊的規定。中外立法實踐主要集中在政府數據開放、個人數據保護、數據跨境流動和數據流通與交易四個方面，大數據信息安全方面的立法意識與實踐仍顯不足。立法思想意識方面主要表現在缺乏安全保護意識、公共集體意識和公共福利意識。

三、公共大數據安全立法的原則

公共大數據不但可以促進社會新的經濟增長，同時也在不斷威脅社會的公共安全，應從公共福利安全、國家安全和公共財產安全等方面考慮，對公共大數據信息的生產和加工、存儲和傳輸、應用和流通加強管理，從源頭上發現潛在威脅，用立法手段保障社會公共安全。（一）公共福利原則。公共大數據信息具有公共福利性質，公共性主要表現在：一是其具有共享性，二是其具有消費的無損耗性。共享性決定了其基本屬于公共物品范疇，具有信息消費的非排他性，表現在使用過程的公共性、消費支付的公共性和信息使用的普遍性三個方面。信息收益也具有非競爭性，公民有權獲取公開的公共大數據信息資源。公共大數據信息資源的開發和利用效益應該由全體公眾所共有共享，而不應將其分割歸屬不同的獨立的個人和單位?，F實情況下公共性的展現往往需要一定條件：一是“公共池塘物品”（非競爭性不充分的公共大數據信息資源）往往受信息獲取的物理條件所限，數據共享帶寬局限，訪問擁堵；二是“俱樂部物品”（非排他性不完全的公共信息資源）有一些公共大數據信息資源，但是在特定的條件下會出現排他性和競爭性問題，如，歸會員公有的會員制俱樂部物品或部分產權公有的公共物品，比如各高校采購的大數據信息通過局域網限制訪問[1]。為此應該通過立法保障公共大數據信息的公共福利性質，維護大數據資源獲取的公共性，才能實現其公共福利屬性，立法可參照公共信息管理相關法律以及公共圖書館法的立法原則。按照平等、公平、開放、共享的原則向全社會公眾提供公共服務。對信息獲取困難的弱勢群體，應積極創造軟硬兩種條件，提供適合他們的大數據信息、無障礙信息獲取設備和服務等，以彌補“數字鴻溝”帶來的社會不公平現象。政府應設立切實可用的公共大數據信息查詢終端為公眾提供查詢服務。要領會《促進大數據發展行動綱要》的精神構建全社會大數據信息統一管理標準，支持大數據信息開發和保存技術研究，推動公共大數據信息總量增長、技術進步。（二）信息安全原則。公共大數據立法應遵循安全原則。隨著信息公開法的制定和完善，政府數據信息呈現逐漸開放的態勢，大型企事業部門的數據不斷公開，使得通過多渠道“拼圖”方式獲取國家整體的政治、經濟、軍事和社會信息成為可能，這將給國家的軍事安全、經濟安全和社會安全帶來威脅。第一，國家安全方面。在大數據背景下，國家主權內涵擴展到了信息主權領域，從物理到虛擬，大數據的跨境流通安全、數據保密安全已成為國家主權、國土安全、軍事安全、情報安全和網絡安全綜合監管的重點。因此，數據安全就是國家安全的一個標志。在大數據信息主權的權利方面，國家行使本國的公共大數據信息主權，獨立自主地管理和保護本國的大數據信息，應排除外國及其企業機構對我國大數據信息進行的采集和加工，對危害國家利益的數據的采集和加工。網絡安全形勢復雜而嚴峻，應立法保障國家關鍵數據安全，應對涉及國家安全的公共數據竊取、數據攻擊行為加大打擊力度，增強人民和國家的公共大數據安全意識。第二，經濟安全方面。大數據威脅經濟安全，大型電商公司掌握并不斷積累著全社會日用商品的流轉數據，此類公司已具備或正在形成威脅社會經濟安全的能力，如果其擁有的大數據應用能力被用于違背公共福利的原則，為個人或某個單位、某群體所利用破壞社會經濟秩序，會造成經濟動蕩或某層次、行業、領域、時間段或區域的經濟壟斷，并引發嚴重的社會問題并威脅國家安全。隱私數據可能與公共安全密切相關，甚至是涉及國家安全的，例如健康數據可以將藥品銷售大數據與流行病疫情聯系起來、將藥品商業活動與經濟安全聯系起來。因此，不能一刀切禁止或開放隱私數據。企業大數據威脅到了國家安全，應加強監管。企業應當清楚地說明收集數據的來源、依據和用途，其數據結果是否與第三方分享等。企業是市場經濟的主體，企業公共大數據信息直接關涉到國家市場經濟的整體與局部安全。因此，大數據立法的安全原則應在保障市場經濟安全方面有所體現。第三，社會安全方面。大數據挖掘可以使社會關系網絡地圖、個人興趣愛好、隱私緋聞、生理缺陷和心理障礙信息都可以被采集。這些大數據信息的泄露可以影響社會穩定，引發不和諧。在21世紀，大數據網絡無處不在，個人在數據資源獲取方面處于弱勢，外部主體在個人數據的收集、挖掘、記錄、流轉、交易、存儲、運用等環節中處于優勢地位。大數據信息濫用會引發對個人人身權和財產權的侵犯，從而破壞社會安全。數據優勢方可以通過解釋、篡改、截取、夸大、隱瞞大數據結果的方式引發社會矛盾沖突。因此，社會安全是大數據信息安全立法的一項重要原則。總之，對公共大數據信息與技術立法監管是公共信息安全的需要，直接影響國家的政治、經濟、文化、社會、國防、生態等領域，如果喪失了對大數據信息的控制權和話語權，勢必危害國家信息主權。數據開放，對誰開放？如何開放？什么時間開放？由誰開放？這些問題解決不好就會影響到信息安全。2014年英國擬定了一項重要的法律——《歐盟一般性數據保護條例》，其中有許多內容專門涉及大數據，如對于數據匿名、數據脫敏、數據刪除、數據清洗等，規定了企業大數據泄露事故的責任，明確按照其全球營業額的4%罰款[2]。因此，公共大數據立法應當確立大數據信息安全原則，保障國家、社會和人民的信息安全。（三）公共產權原則。公共大數據信息屬于典型的公共物品，同國防設施、交通設施、防洪工事、國家制度、精神文化一樣具有公共物品性質。大數據也是一種公共資產，明晰數據所有權，有利于維護公共福利和公共安全?！靶畔⒓瓤梢宰鳛槲镔|生產和再生產的手段而成為配置性資源，也參與社會時空的組織而成為權威性資源”[3]。公共大數據可以理解為數據公共資源，即沒有任何主體指向的數據。比如，天氣預報、政府經濟運行報告等對國家的續存有重要意義。對政府來說，公共大數據是“國有資產”，應防止數據流失、加強數據監管。政府各部門和下屬單位經過多年的存儲加工和生產，均有各自系統內的大數據資源，涉及經濟、市場、氣候、交通等多個方面，這些大數據資源約占全國大數據總量的80%以上[4]。這些數據經過加工處理綜合分析利用，對于公眾領域可以用來指導金融行業風險防控、農業生產預測、智慧城市建設等，提高社會公共服務的水準。而對于私營企業領域可以直接轉化成資產。因此立法規范公共大數據信息不被極個別企業或個人獲取，確保公共信息資產總價值也是立法的一個重要原則。非政府性質大數據財產，也應納入國家監管范圍。相關研究表明，2011年全球數據總量約有1.8ZB，而到2020年將會迅猛增長到44ZB（44萬億GB），而在大數據應用環境中可能會使用約16兆字節，人們相信到2025年數據的總量將高達180ZB[5]。未來音視頻、圖片、文本等非結構化數據約占75%，而其中的絕大多數數據并非由政府產生和控制，而是互聯網、物聯網企業[6]。大數據信息資源不同于一般的物質資源，其共享與使用具有非排他性。掌控公共大數據的企業應當為保護國家數據財產安全負責，也應按大數據公共產權原則將其納入社會責任監管的一部分。公共大數據產權歸集體所有。數據所有權是對相關數據的支配、處置和獲益等的權利，立法應明確數據所有權，以及所有權所涉及的地方、國家、國際安全責任范圍。這些權利大致包括知情權、同意權、糾錯權、共享權、質疑權、司法救濟權和受援權。數據資產保值應立足問責制的管理模式，即數據控制者（采集大數據并決定大數據加工方式和目的的主體）對數據安全管理的責任，要求其負責公共大數據信息財產產權的安全，包括對公眾的報備、公開，接受監管部門的審查和監督。（四）科學民主原則。公共大數據立法應遵循科學、公平、平等、公正和民主原則。第一，科學正確地使用數據是實現大數據效用的關鍵，技術是實現公共大數據生產的有力保障。立法扶持具有公共事業性質的大數據科學研究與技術進步，鼓勵社會和企業探索大數據科學，對政府、企業和個人三方公共大數據信息應用環節的科學性相互監督，相互審查，相互驗證，以確保數據與現實世界的關聯性和數據的準確性。此外，數據科學性和解釋權歸集體所有。第二，立法的目的是為了實現公平，公共大數據安全立法同樣應遵守公平原則。社會任何成員都對社會整體利益享有平等的權利并履行相應的義務。而在不公平的社會規則下，社會成員的權利和義務往往失衡，這是與人類公德心相違背的。立法應當平衡公共大數據資源利用的優勢與劣勢，維護數據資源可獲取的平等權。第三，公共大數據信息安全立法還應遵循民主和平等原則。平等是社會民主的主要表現之一。法律負有廣泛的社會責任，即保證所有社會成員不受歧視，在公共大數據信息資源獲取權利上享受同等對待，不分種族、信仰、族裔、地區和貧富，實現徹底的平等。平等原則，要求大數據信息安全立法的實踐與應用各環節中，所有參與者在法律上具有平等的地位，除被剝奪共享大數據資源權利外的每個社會成員的合法權益都應得到法律的保護。2009年以來，歐美一些國家紛紛掀起“數據民主”運動。英國提出“數據權利”（RighttoData）的概念，認為信息獲取是信息社會公民一項基本的權利。四、結語當代人類社會已經進入大數據時代，伴隨著數據數量的不斷增長和價值的提高，大數據也給公共安全、社會公平和正義帶來了威脅。加強公共領域大數據立法、保障公眾安全、促進社會發展顯得十分迫切和重要。世界各國在大數據立法方面有所探索，主要表現為從原有信息自由法、政府信息公開法延伸出來，或從個人隱私信息保護、跨境數據流動立法方面有所突破，而中國的《網絡安全法》和一些地方性政府政策探索了大數據立法。然而，對公共大數據安全領域的探索仍顯不足。公共大數據立法實踐應按照公共福利原則、信息安全原則、公共產權公有原則和科學民主原則來操作。

作者:田維琳 單位:北京科技大學