中评社北京10月6日电/网评:订立香港《数据安全法》的必要性
来源:大公网 作者:陈履言
当今世界,数据安全是国家安全的核心组成部分。今年6月,全国人大常委会通过《数据安全法》,以“重要数据”为核心搭建安全监管制度;在刚过去的周一,新加坡国会通过《防止外来干预法》,以加强政府预防、侦测和打击外国干预力量通过“敌意资讯运动”以及“本土代理人”干涉新加坡政治。这实际上是另一种数据安全法例。加强对核心数据以及网络平台的监管,已是世界大势所趋。对于网络安全“不设防”的香港来说,尽快订立《数据安全法》更具有紧迫性。
现行法例涵盖范围不足
媒体日前报道,政府正研究订立“网络安全法”,旨在从宏观层面保障网络资讯系统安全,包括重要基础设施如政府机构、金融机构、电讯设施等,研究方向包括考虑要求营运者或供应商制定网络资讯数据资料保障准则,防范网络受袭或资料外泄,应变计划、事故呈报机制,确保设施不受干扰或破坏等。这一出发点是非常正确,但从报道的内容来看,相关法例所监管的范围仍未足以涵盖维护安全所需。
事实上,香港至今仍没有一套专门保障大数据、核心数据,以及对网络服务供应商及社交平台提供者的监管制度。<nextpage>
第一,在核心数据层面,尽管有诸如保安局制定的《保安规例》,以及在此规例下制定的《政府资讯科技保安政策及指引》(《政策指引》)两项法例,但保障层次仍然属于非常低的层次。例如,《保安规例》要求政府部门将其管有的资料作出适当保密分类,以及就其分类采取相应措施,确保这些资料在储存及业务运作过程中得到充分保护;《政策指引》要求各部门必须为其资讯系统及数据保安定期作出独立的保安风险评估和审计,以便强化保安措施。
由上可见,两项法例所要求的仅仅是政府部门,且是“防守”性质,对私营机构涉及的核心数据的保障,以及对外来攻击渗透盗取等行为,幷没有明确的监管,也就是说缺乏有效的法律阻吓作用。个人数据被盗用以危害国家安全,尽管目前的《刑事罪行条例》有所涉及,但显然还有更多的内容没有涵盖。
第二,在网络平台的监管上,香港目前没有直接的监管制度。有两件事例,值得回顾。去年香港国安法颁布实施后,美国几个互联络巨头声称,不会再配合特区警方要求。Google甚至通知香港警方,指当局需要透过美国的《司法互助条约》提出任何数据请求。事实上,美国有关过程繁琐,而且要由美国司法部处理,可能需时数星期甚至数个月,安排等同拒绝特区警方。
今年六月,《2021年个人资料(私隐)(修订)条例草案》通过,法例讨论期间,有媒体报道,总部位于新加坡,代表美国科技巨头的一间“互联网联盟”警告称,新规则将“对正当程序造成严重影响,幷危及言论和通讯自由”。幷称:“科技公司避免遭受这些制裁的唯一方法是避免在香港投资和提供服务,香港企业和消费者的利益因此被剥夺,同时也在创造新的贸易壁垒。”云云。
上述两例说明了什么?说明美国的互联网巨头在香港一方面获得了巨大的经济利益,甚至可以操控相关平台的使用规则,但另一方面又不愿意履行相应责任。这种情况幷没有因国安法实施而有所改变。国安法更为宏观,如果有更具针对性的监管法例,上述互联网巨头就不可能如此“硬气”。<nextpage>
数据安全关乎国家安全
以新加坡《防止外来干预法》(Foreign Interference Countermeasures Act)为例,其核心是要允许新加坡当局强制网络、社群媒体服务供应商及网站营运商,提供用户的资讯、阻挡内容幷移除意见。当中5个重点监管的做法,可以作为日后香港立法的参考:1、创建和使用不真实的账户来误导用户关于他们的身份和可信度。这些账户后续会被用于刺激社会不安和撕裂社会群体(例如仇外和种族主义);2、在社交媒体平台上使用机械人或投放广告,人为地推增消息触及(Reach)的人;3、结合使用不真实的账户和机械人来制造一种人为的感觉,即公众对某个立场或情绪是强烈地支持或反对;4、煽动其他用户就特定目标发布“网络怪论”,进行骚扰或恐吓;5、通过创建账户或页面幷发布时尚和生活方式等良性主题来培养公众追随者,然后使用相同的账户或页面推出政治讯息。
值得注意的是,新加坡该法例有一个“独特”的安排,也就是幷非由法庭,而由一名法官主持一个“独立审理委员会”,来处理对该国内政部相关决定所提出的上诉,而且,这个审理委员会的决定将是最终裁决。这一安排,也值得未来特区参考。
日后特区政府应从数据分类分级制度、数据安全标准体系建设,以及投资贸易歧视性措施的对等措施着眼研究,目标是要建立一个常态化、全流程的数据安全保护制度,以及有效的数据安全事件的应急反应制度。
说到底,数据安全、网络平台的安全,关乎国家安全,也关乎香港的繁荣稳定。订立《数据安全法》,具有重要性和迫切性。 |