中評社北京10月6日電/網評:訂立香港《數據安全法》的必要性
來源:大公網 作者:陳履言
當今世界,數據安全是國家安全的核心組成部分。今年6月,全國人大常委會通過《數據安全法》,以“重要數據”為核心搭建安全監管制度;在剛過去的周一,新加坡國會通過《防止外來幹預法》,以加強政府預防、偵測和打擊外國幹預力量通過“敵意資訊運動”以及“本土代理人”幹涉新加坡政治。這實際上是另一種數據安全法例。加強對核心數據以及網絡平台的監管,已是世界大勢所趨。對於網絡安全“不設防”的香港來說,盡快訂立《數據安全法》更具有緊迫性。
現行法例涵蓋範圍不足
媒體日前報道,政府正研究訂立“網絡安全法”,旨在從宏觀層面保障網絡資訊系統安全,包括重要基礎設施如政府機構、金融機構、電訊設施等,研究方向包括考慮要求營運者或供應商制定網絡資訊數據資料保障准則,防範網絡受襲或資料外洩,應變計劃、事故呈報機制,確保設施不受幹擾或破壞等。這一出發點是非常正確,但從報道的內容來看,相關法例所監管的範圍仍未足以涵蓋維護安全所需。
事實上,香港至今仍沒有一套專門保障大數據、核心數據,以及對網絡服務供應商及社交平台提供者的監管制度。<nextpage>
第一,在核心數據層面,盡管有諸如保安局制定的《保安規例》,以及在此規例下制定的《政府資訊科技保安政策及指引》(《政策指引》)兩項法例,但保障層次仍然屬於非常低的層次。例如,《保安規例》要求政府部門將其管有的資料作出適當保密分類,以及就其分類采取相應措施,確保這些資料在儲存及業務運作過程中得到充分保護;《政策指引》要求各部門必須為其資訊系統及數據保安定期作出獨立的保安風險評估和審計,以便強化保安措施。
由上可見,兩項法例所要求的僅僅是政府部門,且是“防守”性質,對私營機構涉及的核心數據的保障,以及對外來攻擊滲透盜取等行為,并沒有明確的監管,也就是說缺乏有效的法律阻嚇作用。個人數據被盜用以危害國家安全,盡管目前的《刑事罪行條例》有所涉及,但顯然還有更多的內容沒有涵蓋。
第二,在網絡平台的監管上,香港目前沒有直接的監管制度。有兩件事例,值得回顧。去年香港國安法頒布實施後,美國幾個互聯絡巨頭聲稱,不會再配合特區警方要求。Google甚至通知香港警方,指當局需要透過美國的《司法互助條約》提出任何數據請求。事實上,美國有關過程繁瑣,而且要由美國司法部處理,可能需時數星期甚至數個月,安排等同拒絕特區警方。
今年六月,《2021年個人資料(私隱)(修訂)條例草案》通過,法例討論期間,有媒體報道,總部位於新加坡,代表美國科技巨頭的一間“互聯網聯盟”警告稱,新規則將“對正當程序造成嚴重影響,并危及言論和通訊自由”。并稱:“科技公司避免遭受這些制裁的唯一方法是避免在香港投資和提供服務,香港企業和消費者的利益因此被剝奪,同時也在創造新的貿易壁壘。”雲雲。
上述兩例說明了什麼?說明美國的互聯網巨頭在香港一方面獲得了巨大的經濟利益,甚至可以操控相關平台的使用規則,但另一方面又不願意履行相應責任。這種情況并沒有因國安法實施而有所改變。國安法更為宏觀,如果有更具針對性的監管法例,上述互聯網巨頭就不可能如此“硬氣”。<nextpage>
數據安全關乎國家安全
以新加坡《防止外來幹預法》(Foreign Interference Countermeasures Act)為例,其核心是要允許新加坡當局強制網絡、社群媒體服務供應商及網站營運商,提供用戶的資訊、阻擋內容并移除意見。當中5個重點監管的做法,可以作為日後香港立法的參考:1、創建和使用不真實的賬戶來誤導用戶關於他們的身份和可信度。這些賬戶後續會被用於刺激社會不安和撕裂社會群體(例如仇外和種族主義);2、在社交媒體平台上使用機械人或投放廣告,人為地推增消息觸及(Reach)的人;3、結合使用不真實的賬戶和機械人來制造一種人為的感覺,即公衆對某個立場或情緒是強烈地支持或反對;4、煽動其他用戶就特定目標發布“網絡怪論”,進行騷擾或恐嚇;5、通過創建賬戶或頁面并發布時尚和生活方式等良性主題來培養公衆追隨者,然後使用相同的賬戶或頁面推出政治訊息。
值得注意的是,新加坡該法例有一個“獨特”的安排,也就是并非由法庭,而由一名法官主持一個“獨立審理委員會”,來處理對該國內政部相關決定所提出的上訴,而且,這個審理委員會的決定將是最終裁決。這一安排,也值得未來特區參考。
日後特區政府應從數據分類分級制度、數據安全標准體系建設,以及投資貿易歧視性措施的對等措施著眼研究,目標是要建立一個常態化、全流程的數據安全保護制度,以及有效的數據安全事件的應急反應制度。
說到底,數據安全、網絡平台的安全,關乎國家安全,也關乎香港的繁榮穩定。訂立《數據安全法》,具有重要性和迫切性。 |