隨著數字信息技術的進步,全球數字經濟持續不斷地發展,數字購物、數字會議、數字娛樂、數字醫療、遠程學習等數字經濟形式已逐漸成為人們工作和生活的一部分,人們從來沒有像今天這樣感受到數字經濟所帶來的變化。目前,大約有 40% 以上的聯合國成員國都制定了發展數字經濟的國家戰略,15% 以上的成員國出臺了國家人工智能戰略。面對數字經濟的巨大紅利,上海合作組織(以下簡稱“上合組織”)成員國都將數字經濟納入國家發展戰略,并表現出發展目標包容性強、發展節奏積極有序和國際合作務實的政策取向。數字經濟合作順理成章地成為上合組織新興的合作領域。2020 年 11 月 10 日發布的《上海合作組織成員國元首理事會關于數字經濟領域合作的聲明》,為上合組織成員國發展數字經濟合作打下了良好的政策基礎。但是,良好的合作預期并不意味著有良好的合作結果,落實上合組織元首峰會確定的政策目標還需要創造很多合作條件,其中,數據安全合作是關鍵。
一、加強數據安全已是全球大勢
在數字化時代,人們一方面享受技術進步帶來的便捷,同時也面臨技術進步帶來的挑戰,其中,數據安全問題非常突出,并從國內政治外溢到國際政治。在國際政治中,保護“公民隱私權”是數據安全的重要內容之一,因為幾乎所有國家的憲法都把保護“公民隱私權”定為國家責任。2020 年 11 月16 日,美國國會兩黨合作的中美科技關系工作小組發布題為《應對中國的挑戰:美國技術競爭新戰略》(Meeting the China Challenge:A New American Strategyfor Technology Competition)的政策報告。該報告提出,針對全球數字系統和供應鏈的發展,美國需要制定針對性的風險管理措施,以應對當下和未來的安全威脅。
針對潛在的數據安全風險,國家通常會通過技術手段提升數據安全水平,而數字信息技術發達的政治實體都選擇加強立法提高數據安全水平。2016 年 4月 27 日,歐盟通過《通用數據保護條例》(GDPR)。該條例適用于與歐洲做生意的所有實體(不論實體位置何在);處理個人數據的業務流程必須構建數據保護措施;個人數據必須使用假名或匿名進行存儲,并且使用盡可能高的隱私設置;避免公開未經明確同意的數據;任何個人數據除非在法規規定的合法基礎上完成,否則數據控制者或處理者需從數據所有者那里獲得明確的選擇同意;數據所有者有權隨時撤銷此權限等。在啟動脫歐程序后,英國于 2018年 5 月 23 日通過了《數據保護法》(Data ProtectionAct),規定只有基于合法和合法理由的個人和公司才能處理個人信息,并且不能共享。美國重視個人隱私,在出臺具體的數字保護法之前,已設立了 11 部與之相關的法律,包括各州出臺的相關隱私保護法案等。更多的國家已經開始做數據保護立法的前期準備,通過隱私權執法機構(PEA)、私營部門律師事務所、社會組織、學者和其他參與者的合作和建議,通過法律規定將數據收集限制于特定人群、時間和使用目的。
但是,由于全球數據系統和供應鏈的互聯互通程度越來越密切,完全孤立的數據流通是不可能的。更重要的是,上合組織發展數字經濟也不可能與全球數字經濟割離。因此,全球數據安全問題也將折射到上合組織成員國發展數字經濟的過程。
二、數據安全合作是發展數字經濟的必要條件
數字經濟的發展加快了應用程序的開發速度,數字企業通過應用程序時刻捕捉消費者的在線行為,各種網絡犯罪分子也尋找自己的機會。根據美國聯邦調查局統計,2020 年接到涉嫌網絡犯罪的舉報 791790 起,比 2019 年增長了 37%,損失超過 42 億美元。與此同時,互聯網企業識別網絡漏洞的時間沒有顯著提高。根據云計算公司 Iomart 的研究,2019 年,互聯網企業識別漏洞的平均時間為 206 天,解決該問題則需要 73 天。因此,保護數據安全是發展數字經濟的必要前提。同理,上合組織數字經濟合作離不開保護數據安全。討論上合組織成員國保護數據安全的行為需要從兩個要素看:一是數字經濟基礎設施的發展現狀;二是網絡安全政策。通過上述兩個要素,既可以認識上合組織成員國尋求數據安全、發展數字經濟的基礎條件,也可以認識差異性及合作的難度。
(一)上合組織成員國數字基礎設施現狀
一是移動用戶比例高,主流數字平臺以美資企業為主。上合組織成員國移動用戶占人口總數比例為76%、互聯網用戶占總人口的比例為 40%。除我國的社交媒體外,臉書、推特、英斯(Instagram)、色拉布(SNAPCHAT)、領英等,都是上合組織成員國互聯網用戶喜歡訪問的社交數字平臺,約占上述成員國互聯網用戶的 60% 以上。
二是數字價值鏈差異大。我國處于數字價值鏈的中高水平,印度、俄羅斯、哈薩克斯坦、巴基斯坦處于中等水平,烏茲別克斯坦、吉爾吉斯斯坦、塔吉克斯坦處于中低水平。不過,烏茲別克斯坦發展潛力巨大。2021 年 2 月,烏茲別克斯坦總理宣布將在2023 年前投入 25 億美元發展數字基礎設施,并計劃在 2022 年底把互聯網速度提高到 10Mbps。塔吉克斯坦建設數字基礎設施,存在困難。目前,塔吉克斯坦 70% 的人生活在山區,只有 30% 的家庭能夠享受寬帶服務,35% 家庭能夠用移動設備訪問互聯網。
三是有利于數字經濟發展的政策環境有待提高。根據德國貝塔斯曼基金會的經濟質量指數,上合組織成員國經濟質量從高到低依次為中國、印度、俄羅斯、哈薩克斯坦、烏茲別克斯坦、吉爾吉斯斯坦、巴基斯坦和塔吉克斯坦。與數字經濟發達國家相比,上合組織成員國發展數字經濟的政策環境總體偏低。
(二)上合組織成員國的數據安全政策基于不同的國情,上合組織成員國選了不同路徑加強數據安全。
中國積極立法保障數據安全。具體做法是:促進數據開發利用;保護公民和組織的合法權益;維護國家主權、安全和發展利益。
印度數據安全政策的目標是為公民、企業和政府建立安全、有彈性的網絡空間,并建立可以監視和應對威脅的機制;開發適合本國數據安全需要的技術,并建設熟練掌握網絡安全的人才隊伍。
俄羅斯數據安全政策的目標是確保個人、社會和國家免受內外信息威脅,確保憲法對人權、公民權利及自由、國家主權、領土完整、經濟的可持續發展、國防安全等。具體措施包括:開發和推進電子貨幣、電子支付、電子商務的國家安全系統;開發國家認證的信息保護措施;提高信息從業人員的能力;國家對信息收集、存儲、處理和傳輸系統進行保護性控制;保證信息的可靠性、完整性和安全性;改進監管部門的法律;捍衛國內信息安全等。
哈薩克斯坦數據安全政策的目標是建設防止網絡攻擊和網絡威脅的哈薩克斯坦網絡盾;填補立法的空白;提高及合理分配國家機構的能力;為政府、信息企業和互聯網用戶之間的關系立法;建立專業的網絡中心;對信息和通信基礎設施進行分類;建立網絡安全響應機制等。
巴基斯坦數據安全政策的目標是減輕網絡威脅,提高國家網絡安全水平和能力;建立良好的協調機制、安全標準和政策法規。具體措施包括:建立網絡安全生態體系;建立保護信息和分享機制,能監控、檢測、保護和響應所有級別的、對國家信息基礎設施的威脅;通過授權保護國家關鍵信息基礎設施架構;增強政府信息系統的安全性;為公共和私營部門實體建立信息安全框架;確保信息通信產品、系統和服務的完整性;通過技術和合作運營發展公私合作的關系;提高大眾的網絡安全意識;培養網絡安全從業人員,發展網絡安全從業人員技能。
吉爾吉斯斯坦數據安全政策的目標是分步驟提高數據安全水平。在 2019 年至 2023 年期間,吉爾吉斯斯坦數據安全的重點是保護公民、企業和機構免受黑客和網絡間諜的攻擊。具體措施包括:建立維護數據安全的組織機構;完善打擊網絡犯罪的法律和措施;建立國家信息安全體系;為國家關鍵信息基礎設施建立安全系統;促進網絡安全領域技術的標準化和國際合作;提高人們應對網絡安全的能力。
塔吉克斯坦數據安全政策的目標是在數據收集、處理、存儲和個人數據方面加強法律保護。具體內容是:個人數據收集、處理和保護需遵守的原則:保護人權;過程的合法性;司法介入;公開和透明;個人數據的機密性;數據收集主體、所有者和經營者的權利平等;確保個人、社會和國家安全。
烏茲別克斯坦數據安全政策的目標是保護數據的機密性、完整性和可訪問性。具體措施包括:制訂階段性的國家網絡安全戰略;統一信息安全標準;進行網絡安全培訓;提高國家機構和公民對虛假信息的辨識能力;在學校課程中引入信息政策和網絡安全的內容。
三、推動上合組織成員國數字經濟發展
毋庸置疑,數據安全對上合組織成員國開展數字經濟合作非常重要。目前,上合組織在 2020 年 11 月召開的莫斯科峰會上就數據安全合作達成兩項共識,一是制定《上海合作組織成員國保障國際信息安全合作計劃》,二是發表《關于保障國際信息安全領域合作的聲明》。以發展數字經濟為目標,上合組織成員國數據安全合作需要優先做好以下工作。
(一)發展有利于數字經濟的區域性數據安全公共產品
根據上合組織發展數字經濟和信息安全合作共識,結合數字信息技術發達國家創新合作經驗,上合組織需在機制上實現合力。具體做法包括:建立上合組織數字經濟合作委員會下設立數據安全合作工作組,從而確保數據安全有穩定的工作機制;要規范成員國的數字貿易原則、便利數字貿易、消除數字貿易壁壘、維護企業合法的數字權等。
(二)需啟動成員國跨境數據立法建設
在收集、使用、保護不同類型的數據上有法可依,推動商簽“上海合作組織成員國數據保護協定”。要協商區域數字數據執法合作,打擊網絡犯罪、防止武器化數據技術擴散,推動商簽“上海合作組織數字數據執法合作構想”。
(三)重視數字安全技術研發和人才培養
上海合作組織大學已成立 13 年,是成員國高校間非實體合作網絡,旨在加強成員國之間教育合作與交流,為上合組織各領域全面合作提供人力資源保障。要重視利用這一合作機制,鼓勵成員國高校聯合研發所需數字安全技術和培養數字安全人才。
