一、數(shù)據(jù)成為獨立于網(wǎng)絡(luò)的安全保護對象
《網(wǎng)絡(luò)安全法》立足于技術(shù)層面的安全保障。其核心的立法目標(biāo)是“防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力”。該部法律主要內(nèi)容是對網(wǎng)絡(luò)運營者施加基本的安全保障義務(wù),并對關(guān)鍵信息基礎(chǔ)設(shè)施運營者施加增強式的安全保障義務(wù)。在此階段,數(shù)據(jù)的安全從屬于網(wǎng)絡(luò)的安全;網(wǎng)絡(luò)和系統(tǒng)作為數(shù)據(jù)的載體、容器或邊界,其安全保護就構(gòu)成數(shù)據(jù)安全工作的主要內(nèi)容。
隨著信息技術(shù)和人類生產(chǎn)生活交匯融合,各類數(shù)據(jù)迅猛增長、海量聚集,對經(jīng)濟發(fā)展、社會治理、人民生活都產(chǎn)生了重大而深刻的影響。數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題。特別是,2018年的劍橋分析事件,震驚中外,暴露出網(wǎng)絡(luò)和系統(tǒng)本身的安全,并不足以防范安全風(fēng)險。臉書公司在網(wǎng)絡(luò)始終處于“穩(wěn)定可靠運行的狀態(tài)”時,出于商業(yè)決策主動對第三方程序開放寬松的API數(shù)據(jù)接口,最終導(dǎo)致8700萬人的個人信息通過第三方程序流轉(zhuǎn)至劍橋分析公司,并被違法用于影響政治選舉,進而危及國家和政治的安全。數(shù)據(jù)應(yīng)當(dāng)作為獨立于網(wǎng)絡(luò)的安全保護工作對象,這樣的需求被不容忽視地凸顯出來。因此,《數(shù)據(jù)安全法》定位為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律,提出了國家數(shù)據(jù)安全管理制度、組織和個人的數(shù)據(jù)安全保護義務(wù)、支持和促進數(shù)據(jù)安全與發(fā)展的措施,以及政務(wù)數(shù)據(jù)安全與開放等內(nèi)容。
在信息化時代,個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。特別是APP違法違規(guī)收集使用個人信息,均是在網(wǎng)絡(luò)和系統(tǒng)“穩(wěn)定可靠運行”時發(fā)生的侵害個人合法權(quán)益的事件。中國的社會各方面廣泛呼吁出臺專門的個人信息保護法。因此,《個人信息保護法》在借鑒國外先進立法的基礎(chǔ)上,提出了個人信息處理的規(guī)則、個人信息跨境提供的規(guī)則,明確了個人信息處理活動中個人的權(quán)利和處理者義務(wù),確定了履行個人信息保護職責(zé)的部門及其職責(zé)等內(nèi)容。
二、數(shù)據(jù)成為國際政經(jīng)博弈的焦點
在《外交事務(wù)》雜志2021年發(fā)表的文章《數(shù)據(jù)即是權(quán)力》(data is power)中,兩位美國作者直言:“與全球經(jīng)濟的其他要素相比,數(shù)據(jù)與權(quán)力更緊密地交織在一起。作為創(chuàng)新的一個日益必要的投入,國際貿(mào)易的一個迅速擴大的元素,企業(yè)成功的一個重要因素,以及國家安全的一個重要層面,數(shù)據(jù)為所有擁有它的人提供了難以置信的優(yōu)勢。尋求反競爭優(yōu)勢(anticompetitive advantages)的國家和公司試圖控制數(shù)據(jù)”。
以美國為例。從業(yè)務(wù)層面的數(shù)據(jù)跨境流動來說,美國一直推行亞太經(jīng)濟合作組織(APEC)項下的跨境隱私規(guī)則體系(Cross Border Privacy Rules, 以下簡稱CBPRs)。從2011年以來,美國成功地將其重要盟友(墨西哥、日本、加拿大、新加坡等經(jīng)濟體)納入該體系,并在2020年8月首次提出將該體系“從APEC框架獨立出來”,以在更大的范圍內(nèi)吸引更多的國家和地區(qū)加入。這套制度的實質(zhì)是通過提供較低保護水平的數(shù)據(jù)跨境流動機制,“剝奪”加入其中的國家或地區(qū)按照自主意愿管控數(shù)據(jù)跨境的權(quán)力,然后借由美國產(chǎn)業(yè)界超強的實力,最終實現(xiàn)數(shù)據(jù)向美國企業(yè)和美國本土的匯聚集中。
數(shù)據(jù)一旦為美國公司所掌握,則美國的外國投資審查制度(CFIUS)嚴格審查能夠賦予外國組織或個人訪問“敏感個人數(shù)據(jù)”的并購或投資;另一方面,通過特朗普當(dāng)政時期的“清潔網(wǎng)絡(luò)計劃”,拜登政府最新簽署的“關(guān)于保護美國人的敏感數(shù)據(jù)不受外國敵對勢力侵害的行政命令”,以及美商務(wù)部建立的《確保信息和通信技術(shù)及服務(wù)(ICTS)供應(yīng)鏈安全》暫行最終規(guī)則等措施,將來自“外國敵手”所擁有或控制、或受其管轄或指揮的人所設(shè)計、開發(fā)、制造或提供的某些聯(lián)網(wǎng)軟件應(yīng)用程序和設(shè)備排除在美國的供應(yīng)鏈之外,進一步避免了美國數(shù)據(jù)(包括美國公司所掌握的來自美國境外的數(shù)據(jù))的“不當(dāng)流出”。
從執(zhí)法和司法目的跨境調(diào)取數(shù)據(jù)來說,美國的法院程序和2018年通過的《云法》都在強化對受美國法管轄的實體和個人的數(shù)據(jù)跨境調(diào)取能力。特別是《云法》沒有修改原先的《存儲通信法》(Stored Communication Act)中禁止受美國法管轄的實體和個人向境外政府提供關(guān)于通信內(nèi)容數(shù)據(jù)的規(guī)定,而是進一步利用該規(guī)定,確立了與美國政府簽署了協(xié)定的“適格國家”,才能夠直接向美國的公司調(diào)取數(shù)據(jù)。另一方面,《外國公司問責(zé)法案》及其配套規(guī)則,以“禁止證券交易”為威脅,強硬施加對存儲于境外的審計底稿的調(diào)取權(quán)力。
上述法律和政策方面的“組合拳”客觀上達成的效果是:一是掌握。對數(shù)據(jù)(低保護水平)自由流動的倡導(dǎo),使得美國企業(yè)能夠在業(yè)務(wù)層面盡可能多和便利地掌握全球數(shù)據(jù),并可以將其“帶回”美國總部(或者美國公司自主選擇的地點)進行分析。二是排除。美國排除了“外國敵手”的信息技術(shù)產(chǎn)品通過參與美國企業(yè)業(yè)務(wù)運營而掌握數(shù)據(jù)的可能性,并嚴格審查和限制外國的個人或公司通過并購和投資獲得美國數(shù)據(jù)的行為。三是調(diào)取和限制。只要是美國公司所控制(control)、擁有(possess)、監(jiān)護(custody)的數(shù)據(jù),無論是否存儲在美國境內(nèi),都受美國司法和執(zhí)法流程的覆蓋,只要有現(xiàn)實需求就應(yīng)當(dāng)向美國當(dāng)局提供;而外國政府如果需要向美國公司調(diào)取較為敏感的內(nèi)容數(shù)據(jù),只能通過美國政府的司法協(xié)助或者成為《云法》項下的“適格國家”。
通過上述三方面的舉動,美國事實上將自己的企業(yè)打造成在網(wǎng)絡(luò)空間的疆土。適用于數(shù)據(jù)的法律和政策工具隨著美國企業(yè)走向全球,最終實現(xiàn)了其整體的數(shù)據(jù)戰(zhàn)略——盡可能地掌握和控制全球數(shù)據(jù),以此固化其在全球政治、經(jīng)濟方面的地位和權(quán)力。
三、數(shù)據(jù)成為網(wǎng)絡(luò)安全審查的重點工作內(nèi)容
在對數(shù)據(jù)安全認識的逐步深化及國際博弈的巨大壓力之下,網(wǎng)絡(luò)安全審查制度將數(shù)據(jù)安全涵蓋其中,恰逢其時。針對數(shù)據(jù)安全,網(wǎng)絡(luò)安全審查制度重點關(guān)注以下兩類風(fēng)險:“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險”,以及“上市存在關(guān)鍵信息基礎(chǔ)設(shè)施,核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被外國政府影響、控制、惡意利用的風(fēng)險,以及網(wǎng)絡(luò)信息安全風(fēng)險”。
前者主要關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施所采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件,非法收集、存儲、利用、向境外提供關(guān)鍵信息基礎(chǔ)設(shè)施所處理的“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息”的風(fēng)險。換言之,網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者除了其對外宣稱和向用戶展示的“規(guī)定動作”之外,不應(yīng)偷偷地進行關(guān)于數(shù)據(jù)的“自選動作”,更不應(yīng)該損害其用戶對自己信息的自主權(quán)、支配權(quán)。后者是指因赴境外或國外上市而導(dǎo)致被外國法律管轄,進而引發(fā)外國政府能夠通過執(zhí)法、司法方面的法律規(guī)定和權(quán)力,對境內(nèi)網(wǎng)絡(luò)平臺運營者所掌握的“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息”施加“影響”、主張“控制”,并隨之“惡意利用”,導(dǎo)致我國主權(quán)、安全、發(fā)展利益受損的風(fēng)險。“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者”,因在此方面的數(shù)據(jù)安全風(fēng)險突出,新版的網(wǎng)絡(luò)安全審查辦法強制其“赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”。由此可以看到,網(wǎng)絡(luò)安全審查制度對上述兩類數(shù)據(jù)安全風(fēng)險的關(guān)注,恰好對應(yīng)了前文分析的數(shù)據(jù)安全認識深化和國際博弈壓力。
新一輪數(shù)據(jù)治理中,國家不僅僅作為制度供給者,也作為獨立的利益主體登場,全球數(shù)據(jù)治理立法均充分考量國家的利益訴求,各國的數(shù)據(jù)戰(zhàn)略都服務(wù)于大數(shù)據(jù)時代的綜合國力競爭,既包括維護國家安全利益的防御性訴求,也包括促進本國數(shù)字經(jīng)濟全球競爭,并通過規(guī)則治理搶占全球數(shù)據(jù)規(guī)則話語權(quán)。因此,從前述內(nèi)外因素來看,我國《數(shù)據(jù)安全法》《個人信息保護法》,乃至于新版的《網(wǎng)絡(luò)安全審查辦法》并非局限于技術(shù)安全問題,而是在更加寬泛的意義上理解數(shù)據(jù)安全,核心目的都在于保障作為基礎(chǔ)性戰(zhàn)略資源的數(shù)據(jù),能夠在將來被管好、用好,服務(wù)于我國的主權(quán)、安全和發(fā)展利益。
作者:洪延青 北京理工大學(xué)法學(xué)院教授
來源:“網(wǎng)信中國”微信公眾號