从中国乃至全球视角展望2025 年乃至更长时期内,网络空间政策法律或将呈现以下趋势:
国家间、区域间的竞争与合作仍会一如既往地持续并存,经济和科技领域的博弈可能进一步加深技术代差和全球割裂。拜登政府临卸任之际,频繁在 AI、芯片等尖端科技领域出台对中国的限制措施。而欧盟、加拿大、英国等以单一市场、环保能源、个人数据和国家安全等为由,频繁制造国际数字贸易的壁垒和障碍。《瓦森纳协定》、EAR 等旧有的规则仍在继续堆叠施压,新的更严厉的框架则可能正在串联和形成中。随着中美科技竞争加剧,新上任的特朗普政府大概率会延续拜登政府“小院高墙”政策。由于美国、欧盟、中国等大国关系直接牵动全球格局,中国、美国及欧盟等重要经济体将继续呈现竞争与合作并存的态势,另一方面,随着“全球南方”国家在世界舞台上的影响力日益显著,以及“早期”企业出海的风险传递,又必然推动着出海向更深、更远之处拓延,企业出海既有机遇又必然面临更多障碍和围栏。
2025 年是中国提出“一带一路”倡议第二个十年的开局之年,中国一方面可能继续通过对内规则优化、对外推动适配和加入CPTPP等重要多边、双边协定等方式开拓和提供更广阔的营商空间和贸易环境;另一方面,也会进一步强化产业数字化转型和产能升级,并通过与沿线国家合作,将合作理念上升为进出口监管政策法律和规则层面,通过传导跨境合规理念和规则,为贸易发展和企业出海提供逆风而上的合规驱动力量。对于企业而言,尽管境内和跨境的多重监管将成为一种普遍,但通过将合规需要视为是第一准则,借助和利用网络空间合规的高效赋能,在国际竞争中积极探索寻求破局之道,企业的经营能力亦将有更大提升。
关基安全已经成为全球各国网络安全保护中的一项长期性重点任务。随着人工智能等新技术的引入,供应链、数据安全等风险的日益凸显,除安全评估、风险监测等传统风险防御手段稳步推进以外,关基安全保护工作也将呈现新的特点。一是如何基于人工智能、量子计算等颠覆性技术当前发展及未来潜能,准确预判、提前布局关基安全防御能力,使关基安全保护工作能够平稳、从容地适应信息技术的发展变化将成为各国考虑的因素之一。美国国土安全部在《美国关键基础设施安全弹性战略指南和国家优先事项(2024—2025 年)》中表示将把人工智能纳入战略考量,指出人工智能作为变革性技术在关键基础设施保护中的潜力与挑战,警惕人工智能技术滥用对关键基础设施带来的风险;同时,强调量子计算对现有密码体系构成的安全风险,DHS 将与NIST 合作制定指南文件,帮助关键基础设施实体应对量子计算带来的密码和数据安全挑战。国土安全部发布的《2023-2027 财年战略计划》中也将评估和应对不断发展的网络和新兴技术风险列为“保障网络空间和关键基础设施安全”的四项具体任务之一。因此从供应链的新风险识别上,传统的 ICT 供应链安全内容将不可避免的重塑,以应对颠覆性技术带来的“降维”攻击。
二是在传统运行安全的基础上,供应链安全将更多成为关基安全保护工作的切入点。面对复杂多变的国际形势,以及供应链逐渐成为个别国家博弈的手段,如何确保关基供应链安全,充分借助网络安全审查、网络安全专用产品和关键设备检测认证、国产化、网络产品和服务提供者管理等制度工具,同步提升关基运营者对自身供应链的安全管理能力、网络产品和服务提供者融入关基供应链中的安全保护水平,识别开源、人工智能等供应链环节的新“盲点”,确保从关基核心业务的持续性视角审视和保持将供应链安全成为关注点。
数据要素流通共享利用将愈加常态化,数据产业、生态将持续构建、完善。在此背景下,数据安全政策立法将呈现以下趋势:一是提高数据领域动态安全保障能力将成为数据安全规则补足、完善的重要方向。作为数字经济时代的重要资源,数据要素安全直接影响数据价值释放。数据为发展赋能将成为各国数据法治的强烈政策导向,数据流转安全问题随着数据要素开发利用将愈加突出。数据流通利用安全规则将是下一个阶段数据安全规则补足、完善的重要方向。国内,在高质量发展成为全面建设社会主义现代化国家首要任务的背景下,无论是规则制定还是执法监管,均不可脱离产业发展实际或发展水平、发展需求谈安全。这就要求要结合发展形势关注发展中的安全问题,提升监管重点、方式与安全形势的匹配性。例如高度关注数据要素流转、加工、分析、融合、汇聚关联等安全风险。
二是适应和服务于数据产业发展,数据法治将从“安全”治理扩展至“生态”治理。数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等数据产业将进一步蓬勃发展。数据安全问题不再是单点问题,而是会上下游传导,向其他主体辐射影响。随之而来的数据安全治理不再是对数据本身的治理,而是对整个数据产业链、生态链的治理。国内,发展数据产业是深化数据要素市场化配置改革、构建以数据为关键要素的数字经济的重要举措。在此背景下,数据生态治理这一特点将在接下来数据要素发展中体现得尤为明显。 三是数据跨境传输规则将仍是数据安全法治的重要变量。全球主要经济体对数据治理规则制定的主导权争夺进一步激化,数据治理模式竞争性特点进一步凸显。作为全球数据治理的重要议题,数据跨境流动受地缘政治影响程度也将进一步扩大。主要经济体在数据跨境流动方面的规制分歧在相当长一段时间内难以弥合,利益相关方在数据跨境流动方面的价值共同体建设将持续加强,数据跨境流动未来将面临仍将面临诸多复杂性与不确定性。从《网络安全法》到《数据安全法》《个人信息保护法》再到后续《数据出境安全评估办法》《促进和规范数据跨境流动规定》《网络数据安全管理条例》的出台,中国数据出境规则、机制逐渐发展、调整和完善,可以说当前数据跨境监管框架基本搭建完成,但数据跨境仍然存在诸多细化问题需要进一步研究和解决,包括重要数据的识别判定、自贸区负面清单制度探索尺度等等,这些都是面向各类数字贸易新协定时亟需解决的迫切问题。
四是数据基础制度探索依然是包括数据安全在内的数据法治的重要任务。长期以来,数据权益问题是影响数据供应及数据利用的重要因素。从全球范围来看,当前仍未有一个成熟的解决方案。加强顶层设计、总体谋划,抓好数据产权、流通交易、收益分配、安全治理等政策制定,加快构建适应数据要素特征、符合市场规律、契合发展需要的基础制度已成为完善数据要素市场制度规则的重要要求。近年中国在培育发展数据要素市场实践基础上探索出了数据资源持有权、数据加工使用权、数据产品经营权等分置机制,但仍存在诸多基础性问题有待解决,也直接影响数据安全治理。后续数据基础制度探索依然是包括数据安全在内的数据法治的重要任务,在既有的立法规制掣肘的情况下,通过典型司法案例和适当的弹性释法将可能成为有效地回应市场关切和展现示范效应的手段。
全球个人信息保护将延续制度规则不断细化、完善与调整的趋势,尤其是针对特殊类型、特殊场景、特殊主体个人信息保护的规则进一步明确。针对个人信息保护基础和重要制度落实的监管力度持续加大。同时,以人工智能为代表的新技术对个人信息与隐私保护规则的冲击进一步凸显。 一是个人信息保护制度深化落实,个人信息保护治理效能稳健提升。未来,各国监管机构持续推进个人信息保护制度落地,部分相对原则性的规范得到澄清,个人信息保护规则在具体场景、领域的适用标准得到进一步明确,探索个人信息治理效能的稳健提升是应有走向。就中国个人信息保护工作而言,作为评价相关主体个人信息处理活动遵守法律、行政法规情况的重要制度,且网安标委已经组织开展《数据安全技术 个人信息保护合规审计要求》试点工作,个人信息保护合规审计制度落地实施在即。而对于《网络数据安全管理条例》规定的个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等制度间如何实现衔接,是监管机构下一步需要重点回应的问题。企业方面,系统化推进个人信息保护制度要求融入业务活动,尤其是在技术层面探索安全模型以降低个人信息安全风险,将落实个人信息保护义务内化为个人信息安全保护能力是实现合规的必然趋势
二是人工智能技术与个人信息、隐私保护规则之间的冲突或将获得回应。人工智能模型训练对自动化采集大量个人信息的需求与知情同意规则之间的冲突,以及处理目的非预设性、处理结果的难预知性也与个人信息保护的最小必要原则、目的限制原则、存储限制原则之间的冲突,愈来愈成为人工智能从“能用”迈向“好用”过程中无法回避的问题。中国《网络数据安全管理条例》规定使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息的,应当进行删除或者进行匿名化处理,删除或者匿名化处理从技术上难以实现的,应当停止除存储和采取必要的安全保护措施之外的处理,可以理解为对上述问题的初步回应。未来,随着人工智能迈入新的发展阶段,人工智能技术对个人信息保护规则的冲击进一步加强,将有更多国家及地区在立法层面关注这一问题,考虑如何避免过度关注个人信息保护形式要求,针对人工智能需求特点探索实质化保护方案,不排除美国、中国等对个人信息保护制度进行重构。
