我的位置 态势感知  >  安全态势

原创 | 加强东盟数字服务可信任性,保护消费者信息权益

来源:关键基础设施安全应急响应中心 时间:2021-06-29 阅读次数:

​作者 | 董宏伟 王琪

引言:近年来,为提高区域数字经济水平,东盟不断加快部署步伐。依托《东盟经济共同体蓝图2025》和《东盟信息通信技术总体规划2020》,东盟于2016年出台《东盟个人数据保护框架》;基于《东盟经济共同体蓝图2025》和《东盟个人数据保护框架》,东盟又于2018年颁布《东盟数字数据治理框架》。2021年1月22日,第一届东盟数字部长会议一举出台三大举措:用以承继《东盟数字总体规划2020》的五年阶段性规划《东盟数字总体规划2025》(后简称为《规划2025》)、作为《东盟数字数据治理框架》重要组成部分的《东盟数据管理框架》以及旨在对标亚太经合组织(APEC)跨境隐私保护系统(CBPR)与欧盟《通用数据保护条例》(GDPR)的《东盟跨境数据流动示范合同条款》。
叠床架屋的各类文件层级不同,各有侧重,但共同点在于对一议题的强调:增加东盟区域数字服务可信赖性,保护消费者个人信息安全。由于《规划2025》上承《东盟信息通信技术总体规划2020》,与《东盟个人数据保护框架》存在交叉,又与《东盟数据管理框架》同时出台,因此,《规划2025》在发展数字服务这一问题上,体现出强烈的政策综合性与体系感。
一、背景:上承前五年规划,应对新数据挑战

《规划2025》将可靠、优质、关键的数字服务视为目标成功的关键指标,并将“提供可靠数字服务,预防消费者权益受损”作为规划的第三项预期行动(后简称为“数字服务行动”)。

数字服务行动与欧盟发布的《欧盟数据治理法案》(DGA)的意趣相同,都旨在提高数字服务的可信赖性,以激活数字服务市场,促进区域经济发展。但东盟与欧盟的数字发展水平的差异使得二者在构建制度时会选取不同的侧重点。《规划2025》坦言:“在数字化转型时期提供信任是困难的”。它必须在优化公共政策的同时不损害区域创新和创业,补齐数字技术的发展短板。反观《欧盟数据治理法案》,则更少强调基础技术方面的问题。

同时,东盟前期的相关政策也会对《规划2025》中的措施构建产生影响。例如,《东盟信息通信技术总体规划2020》确定的两项重要举措——加强东盟信息安全与网络突发事件应急协作能力,以及在该方面取得的既有成果——应当分别作为《规划2025》在数字服务方面的目标与继续努力的基础。

但是,尽管《规划2025》应当承继《东盟信息通信技术总体规划2020》在数字服务发展方面尚未完成的任务,我们必须注意到5年内数字经济领域的重大变化,尤其是互联网架构和互联网技术方面的发展。这些变化与发展使得东盟在未来五年中将面临互联网传输方式、跨境合作、争端解决和纠正等方面的新挑战。数字服务行动正是在旧秩序与新挑战并存的情况下被提出的。

二、应对:定指标,建框架,强监管,建机构

数字服务项下有五个子项目,分别聚焦数字服务发展的不同面向:

一是确定东盟地区先进数字技术指标。如上所述,东盟重视区域内数字技术的发展。为此,其设想确定索引和衡量制度用以衡量和改进数字技术的安全与性能。理想的指标有如IXP——当代数据流交付和交换的关键技术等。五年计划中,《规划2025》设想于第三年完成部署常规、公开、可靠的关键安全技术指标测量,于第五年利用指标指导部署安全技术的其他区域项目工作。

二是在金融、医疗保健、教育和行政四个部门制定数字服务信任和安全框架,包括为每个行业建立数据保护、网络安全和安全对策方面的最优解决方案。数字服务的应用场景是极其广泛的,东盟之所以选择上述四个部门优先进行数字服务信任安全框架的搭构是因为这四个部门在使用通信技术方面最具创新性。

三是加强数据保护和有害数据活动方面的立法与监管。在现有东盟倡议的基础上,数字服务行动将从三个方面拓展该任务:第一,监管巨头数字服务平台,建立跨东盟立场;第二,就东盟云数据进行示范立法,内容涵盖隐私保护、访问规则等方面;第三,协调成员国立法,促进跨境数据传输。

四是全面建立东盟区域计算机应急小组。根据2025年东盟发展战略的可行性工作,为东盟建立一个区域计算机应急小组可以提高区域内应急水平。

五是特别强调对消费者个人信息的保护,希望实现消费者权利和保护的趋同。消费者的意见是衡量数字服务的可信任性的重要指标。作为一个区域规划,《规划2025》更致力于推进消费者权益保护的区域统一,使区域消费者确信产品是安全的,其权利在其他成员国得到承认,从而促进跨境贸易。

三、评估:排除资本影响,采取经验性衡量指标

数字服务的可信任度是难以衡量的,因其并非纯然客观指标,而易受社会资本与消费者主观情绪的影响。《规划2025》认为,虽然很难直接衡量信任,但可以采用其他经验性的指标。

例如对于先进数字技术指标,《规划2025》建议评估标准是与DNSSEC签署的DNS区域、每个国家的IXP数目以及该区域现有证书主管部门的数量等可量化的指标。而对于制定数字服务信任和安全框架这一项目,应该通过进度来评估行动效果。

专题回顾

1.《东盟数据总体规划2025》概览
2. 新冠肺炎疫情下的《东盟数字总体规划2025》
3新冠肺炎疫情下的《东盟数字总体规划2025》之二

4.《东盟数字总体规划2025》与基础设施建设

 

 

转载请注明来源:关键基础设施安全应急响应中心

8条评论