中央政法委机关报法制日报社主办

您所在的位置:首页  > 特别推荐

全球数据博弈视野下的数据安全法草案

2020-07-23 07:52:00 来源:法制日报·法治周末

必须通过国内立法、多边条约和全球标准,改变各国的行为选择,将零和博弈转为正和博弈,最终建立一个安全、自由、公正的全球数据治理新秩序

 

许可

在美国《澄清域外合法使用数据法》和欧盟《一般数据保护条例》(GDPR)背景下纳入全国人大立法计划的数据安全法,自始便烙下了全球博弈的深刻印记。

过去两年间,个人权利、国家权力、企业势力和国际竞争力在无影无形的数据上聚合激荡,数据的跨境流动和跨境投资业已成为全球经济、政治和国际关系的“风暴之眼”。旧规则不敷适用,新秩序远未成型。就此而言,作为数据基本法之一的数据安全法草案恰逢其时。

纵观草案,第2条、第10条、第22条、第23条、第32条、第33条从不同维度初步确立了我国针对数据跨境流通和投资基本框架,其中的微言大义以及可能的不足,有待我们认真检视。

基本原则:数据安全自由流动

草案在总则部分第10条“国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动”,与第5条“保障数据依法有序自由流动”相互印证,共同树立了“数据安全自由跨境流动”的基本原则。这里的“自由流动”彰显出在“逆全球化”和“民粹主义”兴起的潮流下,中国旗帜鲜明地坚持了对外开放与国际合作的立场,而“安全流动”则凸显出对“安全”的高度关切。可问题是:此处的“数据安全”究竟是什么意思?

首先,“安全”必然包括“数据自身安全”,也就是网络安全法项下的数据保密性、完整性、可用性。6月,世界经济论坛发布《跨境数据流动路线图:面向未来的准备与数据新经济的合作》白皮书,将该层意义的“数据安全”作为数据跨境流动政策的优先考虑,其进一步指出:为实现数据保密性,数据跨境流动协议中应嵌入“反窥探条款”,即除了特定情况外,禁止包括政府在内的第三方访问数据。

其次,“安全”包括“数据自主可控”,即国家对“重要数据”实际支配权力,避免被其他组织或国家非法操纵、监控和干扰。该层意义的“安全”对数据流动的限制,可见于美国《出口管理条例》《国际武器贸易条例》下的信息出口控制以及更为广泛的“受控非密信息”制度。

最后,在总体安全观的视野下,“安全”也指向了防控和管理因数据处理、使用引致的国家主权、公共利益和集体安全的威胁。需要说明的是,与欧盟以数据主体的“个体权利”作为数据跨境流动限制不同,草案主要立足于群体权利。不过,“总体”一词也表明,该层意义的安全是宽泛和模糊的。

事实上,在这个日趋复杂的风险社会中,威胁的弥散性和连锁反应往往导致安全问题漫漶无边。如果不能妥当划定安全的边界,自由与安全的天平必然向“安全”大大倾斜,以至戕害了数据自由流动的目标。

显性规则:出口管制、数据调取与封阻法令

在具体规则设定上,草案第23条、第2条、第33条分别就出口管制、数据调取以及封阻法令作出了规定。其中,草案第23条“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”与我国出口管制法草案相衔接,确定了对两用物项、军品、核及其他与履行防扩散等国际义务和维护国家安全相关货物、技术、服务的数据的出口管制。

草案第2条第2款“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”延续并革新了网络安全法第75条“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任”的域外保护性管辖权,在拓展保护权益的同时降低了触发门槛(删除“严重后果”)。为实现该等管辖权,与欧盟GDPR58条类似,我国执法机关当然享有对境外信息和数据的调取权力。

草案第33条“境外执法机构要求调取存储于中华人民共和国境内数据的,有关组织、个人应当向有关主管机关报告获得批准后方可提供”与《国际刑事司法协助法》第4条,构成了应对外国长臂管辖的“封阻法令”。

尽管存在上述条款,草案依然有着显著缺陷,那就是并未对数据出境管制作出一般性规定。网络安全法第37条确立了关键信息设施的个人信息和重要数据的本地化存储制度。这一条款不但适用范围有限,更重要是,它不能取代数据出境管控制度。简言之,以物理本地存储为基础的“数据本地化”不必然导致数据无法出境,而限制出境的数据也不尽然是必须本地化存储的数据。从国际经验观察,出境管制的数据类型和正当化事由更多元、更灵活、更复杂,数据安全法理应从数据基本法的高度作出总括性规定。

隐形规则:数据安全审查和数据对等措施

除上述规则外,草案还有一些看似与数据跨境流动没有直接关联,却可通过对跨境数据活动、投资和贸易的限制,间接影响数据跨境流动的规则,笔者称之为“隐形规则”。

例如,草案第22条“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查”项下的“数据安全审查”制度。近日,印度对59款中国App的封禁,向我们展示了该制度的潜在威力。629日深夜,印度电子和信息技术部声称,相关APP以未经授权的方式窃取和秘密传输用户数据到印度以外服务器,有损“印度主权和完整、印度国防、国家安全和公共秩序”,根据《信息技术法案》第69A条“禁止访问规则”予以封禁。

再如,草案第24条“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施”与对外贸易法第7条一脉相承,确立了国际法对等原则在数据领域的适用。

当前,数据安全政治化的不良趋势日益凸显,中国科技企业的海外投资和贸易频频遭遇歧视性待遇。714日,英国政府禁止移动运营商购买华为5G设备就是典型的例证。而在宽泛的意义上,欧盟GDPR不啻于一种国际经济新型壁垒,正如美国商务部长罗斯指出:GDPR对美国和欧盟以外的所有国家制造不必要的贸易壁垒,导致美国企业丧失数据的访问权,扰乱欧美之间在金融监管、医学研究、应急管理协调以及重要商业方面的合作。

面对激烈的全球数据博弈,“以牙还牙,以眼还眼”的古老法则诚然不错,但其实质不过是“伤敌一千,自损八百”的差均衡。如欲破解当前的“囚徒困境”,还必须通过国内立法、多边条约和全球标准,改变各国的行为选择,将零和博弈转为正和博弈,最终建立一个安全、自由、公正的全球数据治理新秩序。我们期待着数据安全法能够对此贡献出中国方案与中国智慧!

(作者系对外经济贸易大学互联网法治研究中心执行主任)


责编:王硕

联系我们 | 诚聘英才 | 广告征订 | 本站公告 | 法律声明 | 报纸订阅

版权所有 Copyrights © 2014-2019 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

京ICP备10019071号-1 京报出证字第0143号

京公网安备 11010502038778号