（原標(biāo)題：Web3技術(shù)之?dāng)?shù)據(jù)合規(guī)重要性）

近年來，隨著《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律的日臻完善，網(wǎng)絡(luò)運(yùn)行和數(shù)據(jù)要素的安全合規(guī)已經(jīng)逐漸成為各大企業(yè)合規(guī)關(guān)注的重點，特別是對于數(shù)據(jù)驅(qū)動型的Web3行業(yè)來說，保障各類數(shù)據(jù)安全更是重中之重。那么，面對日趨嚴(yán)格的監(jiān)管形勢，Web3行業(yè)，應(yīng)當(dāng)怎樣將數(shù)據(jù)合規(guī)做細(xì)做扎實，是一個需要長期研究的課題。在數(shù)據(jù)合規(guī)中，除了依據(jù)前文各項法律法規(guī)外，還得依據(jù)與之相配套的技術(shù)標(biāo)準(zhǔn)。

當(dāng)今，網(wǎng)絡(luò)安全法治化與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化是保障網(wǎng)絡(luò)安全的兩種重要手段。既要堅持促進(jìn)發(fā)展和依法管理相統(tǒng)一，又要大力培育人工智能、物聯(lián)網(wǎng)、下一代通信網(wǎng)絡(luò)等新技術(shù)新應(yīng)用。颯姐團(tuán)隊認(rèn)為，從摒棄單純事后懲治的刑事立法理念來說，企業(yè)建立合規(guī)的技術(shù)安全標(biāo)準(zhǔn)化程序是突出“預(yù)防、控制與懲治相結(jié)合”的好思路，以達(dá)到預(yù)防、控制、合理分配安全風(fēng)險的目的。今天颯姐團(tuán)隊就來與大家深度談一談，企業(yè)技術(shù)安全標(biāo)準(zhǔn)對自身網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)建設(shè)的重要支撐性作用。

一、 何為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)？

在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等涉及數(shù)據(jù)安全的框架性法律和行政法規(guī)中，均引入了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的概念，設(shè)置了涉及技術(shù)標(biāo)準(zhǔn)的專門條款，“援引”了技術(shù)標(biāo)準(zhǔn)和認(rèn)證認(rèn)可，將網(wǎng)絡(luò)和數(shù)據(jù)安全標(biāo)準(zhǔn)治理機(jī)制貫穿其中。

由于網(wǎng)絡(luò)的科技性和專業(yè)性，技術(shù)標(biāo)準(zhǔn)與行政法規(guī)、部門規(guī)章等法的形式一直互動交替發(fā)展，共同發(fā)揮著保障網(wǎng)絡(luò)安全的重要作用。以網(wǎng)絡(luò)安全等級保護(hù)發(fā)展歷程為例，1994年國務(wù)院頒布《計算機(jī)信息系統(tǒng)安全保護(hù)條例》，首次在行政法規(guī)中提到“國家標(biāo)準(zhǔn)”；1999年國家強(qiáng)制性標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB 17859—1999）出臺，并以此擴(kuò)展出一系列網(wǎng)絡(luò)安全技術(shù)國家推薦性標(biāo)準(zhǔn)；2007年《信息安全等級保護(hù)管理辦法》出臺并引入一批技術(shù)標(biāo)準(zhǔn)；2017 年《網(wǎng)絡(luò)安全法》正式實行，以法律形式正式確立了網(wǎng)絡(luò)安全等級保護(hù)制度，是多年來我國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化與法治化融合的結(jié)晶。

其實，不僅是我國《網(wǎng)絡(luò)安全法》中引入了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系及合格評定等概念，各國在網(wǎng)絡(luò)安全立法中早已普遍重視標(biāo)準(zhǔn)化成果的應(yīng)用。這種法律援引標(biāo)準(zhǔn)化成果的現(xiàn)象已經(jīng)被很多學(xué)者關(guān)注，學(xué)界認(rèn)識到標(biāo)準(zhǔn)化在網(wǎng)絡(luò)安全法治發(fā)展中具有重要作用。

在沒有技術(shù)法規(guī)概念的國情下，企業(yè)在技術(shù)的實操性與法律的抽象性方面存在模糊性，主要表現(xiàn)在技術(shù)的更新率與法律的滯后性之間存在矛盾，這一問題在實踐中導(dǎo)致網(wǎng)絡(luò)安全法適用的有效性降低。颯姐團(tuán)隊認(rèn)為，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是按照標(biāo)準(zhǔn)制定程序經(jīng)過一系列標(biāo)準(zhǔn)化活動的產(chǎn)物，具有天然技術(shù)規(guī)范優(yōu)勢，因此，現(xiàn)階段通常以網(wǎng)絡(luò)安全標(biāo)準(zhǔn)之長，補(bǔ)法律之短。那么，我們下面就從網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)的特征出發(fā)，與大家一起探討企業(yè)如何在當(dāng)前環(huán)境下，共筑我國網(wǎng)絡(luò)安全的大堤。

二、 技術(shù)標(biāo)準(zhǔn)更具專業(yè)性

網(wǎng)絡(luò)安全本身就是一個以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)發(fā)展起來的專業(yè)領(lǐng)域，該領(lǐng)域法律問題的徹底解決自然離不開網(wǎng)絡(luò)安全技術(shù)措施的設(shè)置。安全不僅是指一種沒有任何危險的目標(biāo)（safety），更是指一種受技術(shù)措施保護(hù)的狀態(tài)(security)。

對于什么樣的操作流程、技術(shù)措施是可以抵御網(wǎng)絡(luò)安全威脅的，需要有一定的客觀衡量尺度，根據(jù)當(dāng)前科技發(fā)達(dá)水平來度量在當(dāng)前一段時間內(nèi)至少達(dá)到什么程度的防范水平。這是不具專業(yè)知識的立法人員難以判斷的。例如，《網(wǎng)絡(luò)安全法》作為一部網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，提出了網(wǎng)絡(luò)安全主權(quán)戰(zhàn)略、體系制度、監(jiān)管職責(zé)、義務(wù)責(zé)任等法律框架，其基礎(chǔ)性法律的功能是調(diào)整網(wǎng)絡(luò)安全法律關(guān)系和設(shè)置權(quán)力與責(zé)任、權(quán)利與義務(wù)等，而不在于解決具體技術(shù)問題；至于“建設(shè)一個什么樣的網(wǎng)絡(luò)才是安全的”，這個問題法律給不了直接答案。

與之相對的，技術(shù)標(biāo)準(zhǔn)在規(guī)范科技問題方面更具有專業(yè)權(quán)威性。技術(shù)標(biāo)準(zhǔn)是由網(wǎng)絡(luò)安全領(lǐng)域的專家起草，在科學(xué)論證的基礎(chǔ)上，依據(jù)一定的程序經(jīng)協(xié)商一致而制定的技術(shù)規(guī)范文件。國際上，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要由國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1 SC27、美國NIST 、歐洲網(wǎng)絡(luò)與信息安全局（ENISA）等專門機(jī)構(gòu)制定。在我國，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱信安標(biāo)委），是專門從事信息安全標(biāo)準(zhǔn)化的工作組織，委員會分別由國內(nèi)相關(guān)部門、研究所、企事業(yè)單位及高等院校等代表組成。技術(shù)專家比一般立法者更有技術(shù)話語權(quán)，這使技術(shù)標(biāo)準(zhǔn)在規(guī)范的科學(xué)性、客觀性上更有專業(yè)權(quán)威。

三、技術(shù)標(biāo)準(zhǔn)更具實操性

“網(wǎng)絡(luò)安全首先是一個技術(shù)問題。從技術(shù)上講，網(wǎng)絡(luò)安全是一個立體的、多方位、多層次的系統(tǒng)，覆蓋了信息網(wǎng)絡(luò)中的物理環(huán)境、通信平臺、網(wǎng)絡(luò)平臺、主機(jī)平臺和應(yīng)用平臺等多個系統(tǒng)單元?！本W(wǎng)絡(luò)安全與否是一門專門學(xué)科研究領(lǐng)域，有專門的語言代碼、運(yùn)算法則、發(fā)展規(guī)律和管理規(guī)則。而法律條文記錄不了技術(shù)語言。例如：《網(wǎng)絡(luò)安全法》第二十一條規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)……”，法律規(guī)范規(guī)定網(wǎng)絡(luò)安全義務(wù)可以是這樣抽象而概括的法律概念，也可以是“制定內(nèi)部安全管理制度和操作規(guī)程”“采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施”等概念性規(guī)定。但至于技術(shù)措施到底有哪些，法律難以也無法規(guī)定全部。

又如，《數(shù)據(jù)安全法》提出了數(shù)據(jù)分類分級保護(hù)的制度，要求對國家核心數(shù)據(jù)、重要數(shù)據(jù)實行更加嚴(yán)格的保護(hù)措施。但是如何落地，還需要技術(shù)標(biāo)準(zhǔn)提供更明確的操作方法。上個月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》發(fā)布了征求意見稿，給出了數(shù)據(jù)分類分級的基本原則、分級框架、具體方法等。

保障網(wǎng)絡(luò)安全需要明確的操作措施，要有明確的安全策略、系統(tǒng)的技術(shù)方案、具體的管理流程、嚴(yán)格的操作規(guī)范和規(guī)章制度。技術(shù)標(biāo)準(zhǔn)提供了明晰而易操作的工作規(guī)范和管理規(guī)則，以保障用戶使用的便捷性。相較于法律規(guī)范，標(biāo)準(zhǔn)規(guī)范更具備實施上的可操作性。

四、技術(shù)標(biāo)準(zhǔn)更具進(jìn)步性

網(wǎng)絡(luò)安全是相對的，并隨時代技術(shù)發(fā)展而不斷變化。網(wǎng)絡(luò)攻防技術(shù)的發(fā)展總是“道高一尺魔高一丈”。要想保障安全，必須時刻保持在技術(shù)的前沿。法律規(guī)范具有穩(wěn)定性，即制定出來后在一段時間內(nèi)保持穩(wěn)定，不可朝令夕改。面對日新月異的互聯(lián)網(wǎng)技術(shù)，法律的穩(wěn)定性容易隨時代與技術(shù)的發(fā)展表現(xiàn)為不適應(yīng)性。與之相對，技術(shù)標(biāo)準(zhǔn)通常隨技術(shù)發(fā)展而不斷修訂，這種相對靈活性使其更容易適應(yīng)社會對技術(shù)安全的要求。

國際上，ISO/IEC JTC1 SC27，國際電工委員會（IEC），NIST等有影響力的標(biāo)準(zhǔn)化組織，特別是“NIST對網(wǎng)絡(luò)安全技術(shù)的跟蹤尤其對新興技術(shù)存在的風(fēng)險、漏洞和保護(hù)要求的認(rèn)知不斷提高，使其標(biāo)準(zhǔn)研制能力、標(biāo)準(zhǔn)研制質(zhì)量、標(biāo)準(zhǔn)體系建設(shè)長期處于世界領(lǐng)先水平”。《標(biāo)準(zhǔn)化法》規(guī)定了我國技術(shù)標(biāo)準(zhǔn)的復(fù)審制度，復(fù)審周期不超過5年。經(jīng)過復(fù)審，對不適應(yīng)經(jīng)濟(jì)社會發(fā)展需要和技術(shù)進(jìn)步的標(biāo)準(zhǔn)應(yīng)當(dāng)及時修訂或廢止。因此，技術(shù)標(biāo)準(zhǔn)在適應(yīng)技術(shù)進(jìn)步上更具優(yōu)勢。

綜上，雖然網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是不同于網(wǎng)絡(luò)安全法律法規(guī)的技術(shù)規(guī)范體系，兩者在各自領(lǐng)域中發(fā)揮著規(guī)范作用，但又密切聯(lián)系，當(dāng)把網(wǎng)絡(luò)安全作為同一規(guī)范對象和目標(biāo)追求時，兩者存在契合之處，可以彌補(bǔ)純粹法律條文的局限性，借以將法律規(guī)范效應(yīng)延伸至技術(shù)領(lǐng)域。因此，各企業(yè)在進(jìn)行網(wǎng)絡(luò)和數(shù)據(jù)安全合規(guī)時，要嚴(yán)格按照法律規(guī)范，并結(jié)合最新技術(shù)標(biāo)準(zhǔn)，運(yùn)用法律、管理和技術(shù)方面的措施，搭建具有綜合性、前瞻性的合規(guī)體系。

寫在最后

事實上，Web3企業(yè)學(xué)習(xí)和了解網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，無論是從微觀上建立自身網(wǎng)絡(luò)安全管理體系，還是從宏觀上共建我國網(wǎng)絡(luò)安全制度，都有著莫大的意義。

首先對于Web3企業(yè)自身來說，數(shù)據(jù)已經(jīng)成為當(dāng)今世界商業(yè)市場中最重要的生產(chǎn)要素之一，因此數(shù)據(jù)合規(guī)建設(shè)的優(yōu)劣關(guān)乎Web3在中國的未來，不僅是對于刑事紅線的規(guī)避，更是可以促進(jìn)全行業(yè)的向好發(fā)展。其次，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的建設(shè)具有技術(shù)屬性，純靠企業(yè)、政府或立法機(jī)構(gòu)都難以以自身力量構(gòu)建整個體系，因此企業(yè)在自身建設(shè)網(wǎng)絡(luò)安全體系的過程，也是推進(jìn)中國數(shù)據(jù)合規(guī)整體框架的進(jìn)程。

本文系未央網(wǎng)專欄作者:肖颯 發(fā)表，內(nèi)容屬作者個人觀點，不代表網(wǎng)站觀點，未經(jīng)許可嚴(yán)禁轉(zhuǎn)載，違者必究！

免責(zé)聲明：信息網(wǎng)轉(zhuǎn)載此文目的在于傳遞更多信息，不代表本站的觀點和立場。文章內(nèi)容僅供參考，不構(gòu)成投資建議。如果您發(fā)現(xiàn)網(wǎng)站上有侵犯您的知識產(chǎn)權(quán)的作品，請與我們?nèi)〉寐?lián)系，我們會及時修改或刪除。

Tags：[db:TAG標(biāo)簽](1450377)

轉(zhuǎn)載請標(biāo)注：信息網(wǎng)——Web3技術(shù)之?dāng)?shù)據(jù)合規(guī)重要性