数据安全法的颁布,为解决数据安全问题提供了明确法律依据。对于司法领域而言,数据安全保护问题也应引起高度重视,但是,目前数据安全法对此问题的规定较为简略。事实上,随着司法信息化的推进,大数据、人工智能等新型技术在司法中的运用使得其所使用的数据呈现海量增长,这些数据不但与公民的隐私息息相关,甚至与国家安全、公共利益密切相关,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能会对国家安全、公共利益或者个人、组织的合法权益造成严重危害,因此司法领域的数据安全需要引起高度重视。
为保护司法领域的数据安全,笔者建议从以下几个方面采取相应数据安全保护措施:
第一,建立司法数据分类分级制度。数据安全法第21条规定确立了数据分类分级制度,这一规定同样适用于司法领域。基于国家安全利益对数据保密程度的要求,司法数据可以分为涉密数据和非涉密数据,其中涉密数据一旦泄露可能会危害国家安全,因此,应当按照保守国家秘密法中密级划分的规定,对司法数据进行绝密数据、机密数据和秘密数据的分类分级,并根据保守国家秘密法和保守国家秘密法实施条例等法律规定,按照不同密级采取相应的保密措施,保障司法数据安全。此外,从保护公民数据权利的角度出发,还可以将司法数据区分为一般数据和敏感数据。其中,敏感数据是指一旦泄露、非法提供或滥用可能会给公民的名誉、身心健康甚至人身安全带来严重威胁的数据,例如,生物识别数据、医疗健康数据、金融账户数据等。对于敏感数据,应当采取较之一般数据更为严格的监管和保护措施,防止其被篡改、破坏、泄露或非法获取、非法利用,保障公民的隐私、财产和人身安全。
第二,重视作为数据主体的公民在司法数据安全保护中的作用。一方面,作为数据主体的公民既是司法数据的来源者,又是司法数据安全保护的参与者,应当认可数据主体对数据在一定程度上的控制。例如,在案件办理允许的情况下,可以就司法机关收集使用数据的情况向数据主体进行告知,以保障其法定阅卷权。另一方面,作为数据主体的公民也是司法数据安全保护中对公权力进行监督的监督者和制约者。数据主体在获得告知、行使权利的过程中,必然影响司法机关收集使用数据的行为方式,从而对公权力形成必要的监督和制约。这种监督和制约有利于防止权力滥用、保护司法数据安全,也是宪法赋予的公民监督权在司法数据安全保护领域的体现,应当予以尊重。
第三,强化司法机关的数据安全保障职责。司法机关是司法数据的主要控制者和处理者,根据权力与职责相对应的原理,应当对其科以司法数据安全保护的职责,而这正是司法数据安全保护的关键。首先,司法机关应履行数据处理前的数据安全审查和评估职责。事前的数据安全审查和评估对于保护司法数据安全具有预防功能,司法机关应参照司法数据分类分级制度,在对相关数据进行收集、存储、使用、加工、传输、提供、公开等处理之前,考虑和审查数据的性质和数据处理的方式、内容、范围、目的等,并评估相应处理可能给数据主体带来的影响,从而有效防范司法数据被非法处理的风险。其次,司法机关应承担数据处理过程中的数据安全监测和预警职责。例如,在数据处理过程中,对特殊数据进行加密或匿名化处理,对数据访问和处理权限设置限制性的安全保护措施,对数据处理的各个阶段规定严格的流程规范并对关键节点进行日志记录,对数据库等数据存储系统进行定期与不定期相结合的安全测试等等,从而实现司法数据的事中安全。再次,司法机关还应负有数据安全事故发生后的报告和应急处置职责。一旦发生司法数据被破坏、泄露或非法使用等安全事故时,司法机关应当在第一时间履行报告和应急处置两方面职责。所谓报告职责,即要求司法机关在数据安全事故发生后,立即按照法律规定向专门的数据安全监管机构报告,并在必要时告知数据主体以保障其人身和财产安全。所谓应急处置职责,则是指司法机关在发生数据安全事故的情况下,尽快采取应急补救措施,例如,关闭系统访问权限、暂缓数据处理行为、进行病毒查杀、实施数据隔离等,以降低数据安全事故的不利影响。
第四,设置专门的司法数据安全监管机构。设置独立、专门的数据监管机构,能够有效监管数据处理行为,对于数据安全保护工作的展开具有重要意义。
(作者为北京外国语大学智慧司法与数字法治研究中心主任、教授)