江苏龙网

  1. 主页 > 生活百科 > >

立法缺失、技术壁垒…数据合规新航道,法律工作者能做些什么( 三 )


 
- 4 -
与其他利益相关方积极合作
任何机构开展网络安全与数据保护工作,法律都只是诸多动因之一,法律风险更像是网络安全事件的“次生灾难”,GDPR的高额罚款与《网络安全法》的停业整顿固然吓人,但网络安全事件本身就足够吓人 。
因此法律在数据合规领域并非万能,有着自己的边界,但法律工作者不仅需要处理好自己这“一亩三分地”,也需要与邻居打好交道 。
在数据合规工作中,有太多的利益相关方:
 

立法缺失、技术壁垒…数据合规新航道,法律工作者能做些什么

文章插图
 
(《麦肯锡的数字业务与安全策略》,机械工业出版社2016年版,p.XII)
法律工作者需要与IT人员、信息安全人员、开发人员、市场人员等诸多利益相关方进行广泛的沟通 。沟通的基础除了法律、市场、还有技术 。很多合规措施,需要落实到技术方案中 。法律工作者如果希望从这样的沟通中获取有效信息,那么就需要对网络空间内的技术有着深刻的理解 。
关于网络法最极端的说法是“代码就是法律”,虽然很多学者并不赞同,但技术的重要性可见一斑 。在数据合规领域,无法绕开非对称加密、匿名、假名、联邦计算、边缘计算、SDK这些乍听上去“不明觉厉”的技术名词,但这些名词要么意味着解决方案,要么意味着需要“痛击”的隐患 。
在物理空间中,用非法律的手段解决法律问题早已司空见惯,比如加高的围墙、换装防盗门有时比物权理论更能有效保护我们的家园,在香烟上印刷吸烟警示图片比抓捕违法吸烟者更能实现控烟的目的 。技术的进步给了维护权利更多方案,比如防盗门比木门更能保护住家的安全,128位的加密比64位的加密更能保护数据的安全 。
最为重要的,是法律工作者需要明白技术能够帮我们解决什么样的法律问题 。可用的边缘计算、差分隐私、联邦计算等新兴技术能够在多大程度帮我们解决风险 。简而言之,是法律工作者需要对自己武器库中的武器有所了解 。
除了需要对技术本身的理解,大量信息安全领域的管理经验也是值得重点借鉴的内容 。在网络安全与数据保护领域,需要大量借鉴信安标委制定的国家标准 。这些国家标准,往往是由信息安全领域的单位起草,内容会频繁借鉴信息安全领域的方法论 。
比如戴明环(PDCA,plan-do-check-act)的理念被广泛运用于信息安全管理,体现于大量国际标准、国家标准中 。信息安全作为一个专门领域有着数十年的积累,形成了大量的方法论、工具与模型 。这些模型没有理由被忽视 。
 
- 5 -
尝试深入数据前沿工作
我几年前就开始建议法律人去学点编程 。学习编程未必是要去和程序员抢工作(如果能抢到当然更好),只是因为动手实验是掌握一个领域必不可少的途径,未尝闻不做实验也能学好物理化学的 。
当法律工作者写过数据库,知道数据如何访问、添加、删除,一定会对合同中该怎么描述数据处理有更深的认识;当法律工作者了解TCP协议为什么是“三次握手”,一定会对网络架构如何决定责任的划分有更深的认识;当法律工作者用Wireshark看过网络传输的数据包,也一定会对如何发现电子证据有新的想法 。
但学习编程、学习技术总是知易行难 。如果能够获得一两个认证,也是极有说服力的 。比如中国信息安全测评中心组织的注册信息安全专业人员(CISP)资格证就很适合法律工作者,五天的脱产培训可以系统地学习信息安全的理念 。
此外,国际隐私专业人员协会(iapp)的CIPM和CIPT认证也在隐私保护方面极有帮助,可以系统性地学习如何构建隐私保护体系以及落实通过设计保护隐私(Privacy by Design) 。在数据合规领域,国内已经不断地有法律工作者获得此类认证,未来是否会成为数据合规法律工作者的标配也未可知 。
数据是一项新型资源,某种程度上比石油更有价值(尤其是考虑到当前的油价……),数据合规是因此而生的一项新兴业务,具有蓬勃的生命力 。在我们大步迈入数字文明之时,数据合规自然也成为值得探索的新的边疆 。.
 
【立法缺失、技术壁垒…数据合规新航道,法律工作者能做些什么】


推荐阅读


上一篇:卖房子不要轻易将房子委托给中介,这些流程你一定要知道!

下一篇:车贷还清汽车就属于自己了?别忘记做几件事,不然汽车还不属于你