「 道可特法视界第1670篇原创文章 」
引言:国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。各地政府通过建设智慧城市平台体系,有效拉进与企业、居民之间的距离,进而提升政府管理效率、全面落实民生保障、精准助力产业发展。伴随着智慧城市的数量不断增加、规模不断壮大,覆盖领域及应用场景不断丰富,更多的技术基础设施和数据被互联互通,进而受到网络安全威胁的风险也逐渐增加。当前,大数据企业作为智慧城市平台项目不可或缺的参与主体,应注意完善合规体系及做好风险防范工作。
智慧城市平台的相关主体大致可分为两类,一是平台设施的建设者,二是平台设施的运营者。通常城市数据大部分由政府部门掌控,在当前的形势背景下,政府愈发重视大数据产业发展,因此各地智慧城市项目应运而生。基于政府职能特点,智慧城市项目由政府部门发起并主导,同时当前智慧城市建设与发展的重要技术支撑平台是“云计算+大数据+人工智能”,因此政府部门通常需要与拥有此类先进技术的企业进行合作,政府作为企业的“客户”提出建设智慧城市的需求,由企业提供城市平台的建设及服务。根据贵阳日报传媒集团发起并已实现专业化运营的大数据产业第一媒体《数据观》对知名大数据企业“软通智慧”公司进行的访谈报道记载“以往的智慧城市项目,在完成建设和交付后项目人员就会撤离,但实际上于政府而言,他们更希望项目完成后,企业能持续做一些专业化的运营服务,并作为龙头企业吸引和整合更多的生态资源来本地发展,最终带动整个城市或区域的产业发展。除此以外,企业要尝试与政府间形成新的合作关系,即从传统的管理与被管理、服务与被服务关系转变为利益共享、风险共担的新型合作伙伴关系,企业要适应未来城市的发展,在智慧城市建设上把握整体局势,从顶层设计到产业规划,从平台建设到资源整合,从技术服务到创新应用,最后到整体运营和服务,形成端到端的智慧城市一体化服务”。2022年5月24日,国家工业信息安全发展研究中心、中国产业互联网发展联盟、工业大数据分析与集成应用工信部重点实验室、人民网财经研究院、联想集团联合发布《依托智慧服务 共创新型智慧城市——2022智慧城市白皮书》(以下简称《智慧城市白皮书》),《智慧城市白皮书》通过梳理智慧城市的发展脉络,总结当前智慧城市发展的新变化,以典型应用场景为例,发掘智慧城市新内涵,提出了一系列未来智慧城市建设的新理念、新架构、新建议。根据《智慧城市白皮书》内容,在技术实施层,智慧城市需要的不再仅是独立的硬件设备或者软件应用,而是包括物联网设备、智能应用在内的“端-边-云 -网-智”体系化技术架构:1.“端”即智能终端,负责采集、存储、传递数据,是智慧城市面向城市主体的智能化单元。随着物联网的普及与互联网的广泛应用,“端” 所产生的海量“数据”正与信息化时代所产生的大量数据汇合,成为智能化时代的数据新油井。“端”既包括面向消费者的AR/VR、智能门锁、智能显示器等各种新型智能终端,也包括硬件、软件、服务一体的商用物联网方案。
2.“边”即边缘计算,智能化时代海量数据的爆发式计算需求与应用低时延、灵活部署要求使得计算力下沉成为必然,边缘计算应运而生。在智慧城市中,边缘计算不仅能实现对不同的厂商、不同规格、不同协议的智能设备端就近统一管理,还能通过预制的模型算法赋能于终端设备,实现端设备的智能化管理。“边”包括能提供丰富的边缘计算的硬件设施、人工智能支持的边缘计算平台等。
3.“云”即云计算,基于网络实现异质设备间数据运算与共享的设备服务。“云”打破了传统城市时间与空间的约束,通过资源按需分配、按量计费控制成本、提高城市敏捷性,是智慧城市建设必不可少的一环。基于“云计算”搭建智能运维中心、城市服务中心与城市能源管理中心,实现城市的智能服务、运营、管理与“双碳”监控。
4.“网”即以5G为代表的数据传输的网络,是推动端、边、云协同工作的粘合剂。“网”连接众多终端设备,基于“端边”传输特性,动态提供与之匹配的网络资源,催化更多计算在边缘进行,以达到“边”“广连接、低时延”的特性;此外,随着网络基础设施走向软件化、虚拟化,“云网融合”将催使网络按需被快速灵活搭建,为更高效实用的智慧城市应用场景拓展可能。
5.“智”即行业智能解决方案,基于“端、边、网、云”基础架构,借助海量数据、分布式算力与先进的算法模型,面向园区、交通、医疗、金融等城市典型生产、生活场景,搭建支持不同层级间分析互动的智能化方案。在数据智能驱动产业变革的智能化时代,利用咨询设计、系统集成、支持部署、运维代运营等技术服务,未来政务、民生、产业及城市运营等都将在“智能化解决方案”中产生颠覆性变化,智慧城市建设也将为智慧储能、新能源改造等低碳产业发展架桥铺路。
因此,在智慧城市项目中,对于大部分企业而言,其即为“智慧城市平台设施”的供应商、建设者,也可能接受政府部门委托提供“智慧城市平台设施”运营服务,进而成为“智慧城市平台设施”的运营者。
01. 从网路安全及关键信息基础设施保护层面
1. 国家提供基本网络安全保障及标准指引
《网络安全法》第五条规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”,为智慧城市平台外部环境安全提供保障。第十五条规定“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准”,为智慧城市平台的架构建设、产品规格、运营服务提供标准。2. 参与主体可分为“网络运营者”和“网络产品或者服务的提供者”两类其中《网络安全法》第七十六条对“网络运营者”的定义为“网络的所有者、管理者和网络服务提供者”。就智慧城市平台项目而言,政府往往为智慧城市平台的所有者、管理者,并利用平台为市民提供服务。在企业仅提供平台设施建设的场景中,企业作为平台组成部分的产品或技术服务的提供者,并不必然承担“网络运营者”的责任。政府、企业,应根据具体场景中各自承担的任务、角色,来按照《网络安全法》的规定履行相应义务。3. 所有主体均应根据法律法规及强制性要求开展业务《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。智慧平台的设施建设者、平台运营者均应严格按照法律法规及强制性要求,落实在智慧城市项目的每个环节中。4. 平台设施建设者提供的网络产品、服务应当符合相关国家标准的强制性要求《网络安全法》第二十二条、第二十三条,对网络产品、服务本身,以及对网络产品、服务的提供者的要求进行了规定,包括不得设置恶意程序,发现存在安全缺陷、漏洞等风险应当立即采取补救措施,持续提供安全维护等。对于智慧平台的设施建设者而言,应该参照该条的规定执行。5. 平台设施的运营者负有进行安全审查、签订保密协议、风险评估等义务《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第三十六条规定,关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。《网络安全法》第六十条对网络产品、服务的提供者就“设置恶意程序;对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告;擅自终止为其产品、服务提供安全维护”的行为进行了规定,“由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款”。《网络安全法》第五十二条规定“违反本法规定,给他人造成损害的,依法承担民事责任;违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。国务院《关键信息基础设施安全保护条例》第四十七条规定,关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。1. 作为国家机关的智慧城市平台运营者应同样遵守《数据安全法》及《个人信息保护法》的要求除数据分级分类等基本要求外,在数据收集、使用方面,《数据安全法》第三十八条规定,国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。同样,《个人信息保护法》第三十四条规定,国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度;第三十五条规定,国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。智慧城市平台项目的应用,可将政府各部门依法收集的数据进行汇总,同时提高数据收集的效率,并通过算法进行智能分析,有效消除“信息孤岛”问题。但政府部门对信息收集范围、程序均不能突破其履行法定职责的范围及法律规定的程序、义务。2. 作为国家机关的智慧城市平台运营者作为委托方,应对被委托方进行监督1)企业接受委托建设维护智慧城市平台、处理政务数据需经批准程序《数据安全法》第四十条规定,国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。2)企业接受委托处理个人信息时,应接受政府监督并遵守合同约定《个人信息保护法》第二十一条规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。《数据安全法》第六章、《个人信息保护法》第七章中均规定了在开展数据处理活动中,各主体的法律责任,其中包含具体行政处罚措施,以及对他人造成损害时依法承担民事责任、构成犯罪者依法追究刑事责任等。一方面,目前而言,大数据企业在建设智慧城市平台所需的人工智能、物联网、大数据、区块链等技术领域占据明显优势,企业也成为了当前智慧城市平台项目不可或缺的参与主体。另一方面,随着企业技术的加入及深度应用,智慧城市可有效拉进政府、企业、城市居民之间的距离,促进“民、企、政”融合协调发展,智慧城市的数量也将不断增加、规模将不断壮大,覆盖领域及应用场景将不断丰富。同时也意味着更多的技术基础设施和数据被互联互通,进而受到网络安全威胁的风险也逐渐增加。然而,政府部门希望企业作为“一体化数据智能服务提供商”提供全方位方案及服务。因此部分企业智慧城市平台项目中,不单单承担平台设施建设者的角色,其在提供产品设备以及信息系统、程序算法等服务的同时,还可能利用自有资源提供“云存储”“云计算”等,甚至直接为政府部门提供平台运营服务,进而导致智慧城市平台项目参与主体之间分工的界限不明等问题。对于参与智慧城市平台项目的相关企业而言,建设关系国家安全的关键信息基础设施、接触和处理关系国家安全的重要数据,一旦发生重大安全事件或重大责任事故,企业将陷入较高的法律风险之中。企业在智慧城市项目中面临“分工及责任边界不清”等问题时,建议企业主动以“运营者”的标准在企业内部进行管理及风险防范。建议企业除对自身所接触、涉及的信息系统、数据进行依法保护外,还应对其他参与主体所怠于完善或履行的事项,在企业可合法操作、管理的范围内进行主动协助及防护。企业应对上游供应商严格落实监督责任,除对供应商进行资格审查外,还应对所采购的产品、服务等进行全方位测试,避免出现安全隐患。同时通过双方书面合同约定,规避采购方自身风险。企业应对下游客户提供全面规范引导,主动帮助客户发现操作、使用等环节的问题。必要时可通过人员培训、系统密码强度要求、操作权限设置等方式避免因客户方人员过失等出现安全漏洞及风险隐患。《网络安全法》《数据安全法》《个人信息保护法》等对责任主体民事责任的承担进行了规定,根据《民法典》第一千一百六十五条规定,行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。当在相关事件发生后,企业作为深度参与主体,若企业无法证明自身不存在过错,或将被主张承担侵权责任。因此建议企业结合自身业务特点,要求参与员工在工作中树立存档、留痕意识,尽量避免因证据灭失导致承担责任的情形。白小莉北京市道可特律师事务所高级合伙人
业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规手机:18612296630
邮箱:baixiaoli@dtlawyers.com.cn
相关阅读
道可特研究 |《“智慧城市”参与主体法律责任研究》(上)