在寒冷的冬日,回首2018年的全球数据安全大势,一种“凛冬已至”的感觉油然而生。从年初Facebook 8700万名用户数据被不法用于政治目的,到年底万豪酒店喜达屋系统中高达5亿个人数据被窃,从年初旨在跨境调取数据的美国《海外数据使用权明确法》(Clarifying Lawful Overseas Use of Data Act),到年中以长臂管辖为特色的欧盟《一般数据保护条例》,数据的安全风险和政治挑战层出不穷。恰恰在此背景下, 中国在2018年纳入立法计划的《数据安全法》才有了别样意义。在此《数据安全法》起草的重要关口,我们不妨借箸代筹,就其定位、宗旨、立场等核心议题略做构想。
“大数据安全法”还是“小数据安全法”?《数据安全法》的体系定位是立法的前提性问题。从调整对象和立法目的观察,《数据安全法》可以采取两条不同的进路:
一是“大数据安全法”的定位,即将数据全体,尤其是“大数据”作为调整对象,以数据生命周期为线索,就数据存储、访问、验证、保护和使用建立一系列程序、标准、角色,明确政府、企业、个人相应的职责、义务、权利,实现对数据安全的全方位规定。
二是“小数据安全法”的定位,即仅将“与国家安全、经济发展,以及社会公共利益密切相关的关键(重要)数据”作为调整对象,聚焦于“关键(重要)数据”的风险预防和管理。显然,这一思路与国家顶层设计更为契合。如果立足于《数据安全法》的上位法《国家安全法》,那么毫无疑问,如何管控危害国家安全和社会公众安全的数据风险,才是《 数据安全法 》的职责所在。同时,将调整范围限制在“关键(重要)数据”上,不但可以降低立法工作难度,有利于与《网络安全法》和未来的《个人信息保护法》等法律衔接,而且有丰富的域外经验可资借鉴,有利于国际交流和相互理解。
在“小数据安全法”的架构下,如何界定“关键(重要)数据”是立法的难点问题。现有《个人信息和重要数据出境安全评估办法》(征求意见稿)《信息安全技术 数据出境安全评估指南》(草案)对“关键(重要)数据”重在性质上认定,将可能危害国家安全、国防利益、国际关系、国家经济秩序和金融安全、国家财产、个人合法权益、国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施安全的数据均囊括其中。这固然纤悉无遗,但却有失操作性和明确性,给政府执法和企业守法造成困难。对此,美国“受控非秘信息”(Controlled Unclassified Information)制度提供了他山之石。其通过严密的登记制度,详细列出了农业、受控技术信息、关键基础设施、应急管理、出口控制、金融、地理产品信息、信息系统漏洞信息、情报、国际协议、执法、核、隐私、采购与收购、专有商业信息、安全法案信息、统计、税收等17项门类。中国《数据安全法》可汲取其经验,结合中国行业及其主管部门的意见,进一步厘清具体外延,同时保留一定的灵活性,以适应时代和科技的发展。
“安全第一”还是“发展第一”?正如中国《网络安全法》第1条和第3条分别体现出 安全和发展两大价值取向 , 《数据安全法》同样需要平衡数据安全和数据流通利用两大价值。 这是因为, 作为数字经济的核心生产要素,数据正成为科技创新的突破点,经济转型和创新发展的新引擎,以及社会治理的有效工具。 对企业来说,数据是21世纪的石油;对于个人而言,数据是其生活的再现;对政府来说,数据是基础性的战略资源。 因此,《数据安全法》必须认真对待数据流通利用问题。
网络信息技术是自创生的系统,这意味着从根本上,数据安全问题要通过数据技术的发展来化解。由此可以理解,英国2011年《网络安全战略》特别提出:化威胁为机遇,通过培育网络安全商业机会,推动技术进步,促进英国在网络空间树立网络安全竞争优势。中国《国家网络空间安全战略》与之殊路同归。基于机遇大于挑战的形势把握,该战略把发展放到了和安全同等的位置上,并将 “贯彻创新、协调、绿色、开放、共享的发展理念”作为首要战略目标。
事实上,网络安全和发展并重的观念已成为国家共识。2014年2月27日, 习近平在中央网络安全和信息化领导小组第一次会议上指出:网络安全和信息化是一体之两翼、驱动之双轮,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。 2016年4月25日,习近平在全国网络安全和信息化工作会议上进一步指出: 网络安全是动态的而不是静态的,开放的而不是封闭的,相对的而不是绝对的,因此一定避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。 为此,《数据安全法》应秉持平衡的理念,以“安全是发展的保障,发展是安全的目的”为立法宗旨,通过政府、企业、公众、社会组织共同参与,共筑数据安全防线。
数据主权是“守势”还是“攻势”?数据主权之于《数据安全法》,就如网络主权之于《网络安全法》,它不但是我们坚守的国家立场,也是处理数据安全的根本指针。尽管早在2015年8月,国务院《促进大数据发展行动纲要》已经提出“增强网络空间数据主权保护能力”,但数据主权的制度设计却始终没有成型。而要落实数据主权,首当其冲的问题是:《数据安全法》究竟优先选择“守势”还是“攻势”?
所谓“守势”,即强调对数据出境的管控。国际上一般通过数据出口限制和数据本地化两种方式加以限制。前者如美国《出口管理条例》(The Export Administrative Regulations)和《国际军火交易条例》(International Traffic in Arms Regulations)对部分重要数据的出口进行许可管制,后者如俄罗斯《关于信息、信息技术和信息保护法》和《个人数据法》严格要求互联网信息服务组织传播者、信息拥有者以及运营商将数据留存于俄罗斯境内。
所谓“攻势”,即强调数据的跨境调取。从当前的国际趋势上看,网络强国均积极谋求跨境的数据管辖权。例如,美国《澄清境外数据合法使用法案》一改之前的“数据存储地标准”,转而采用“数据控制者标准”,规定无论通信、记录或其他信息是否存储在美国境内,其控制者均有义务遵循美国的强制性命令向其提供。无独有偶,欧盟《一般数据保护条例》的长臂管辖权亦将管辖权延伸到欧盟边境之外。
中国更看重“守”还是“攻”?一方面,我们当然要重视“守”。《网络安全法》第三十七条确立了“关键信息基础设施运营者”的数据出境安全评估制度,但范围显然过窄,为此,中央网信办起草的《个人信息和重要数据出境安全评估办法》,将出境安全评估的适用范围拓展到“重要数据”。鉴于《个人信息和重要数据出境安全评估办法》只是部门规章,缺乏明确的上位法依据,亟待通过《数据安全法》补足其合法性。同时,面对美国和欧盟的数据跨境调取,2018年10月,中国《国际刑事司法协助法》出台,规定“非经中华人民共和国主管机关同意,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”不过,该规定仅限于刑事领域,《数据安全法》有必要作出更细致、更全面的规定。另一方面,我们还要重视“攻”。随着中国企业全球化布局和一路一带的深入,我们的数据安全也面临着“攻守易型”,《数据安全法》应因势而变,亟待从传统上的“属地管辖”转向“保护管辖”,即以保护中国境内的自然人、企业和国家利益为宗旨,不论数据处理行为在中国之内还是之外,只要侵犯到上述利益,《数据安全法》均予以适用。
毫无疑问,攻守交替间,容易产生“以子之矛,攻之之盾”的矛盾。而这恰恰需要立法者的智慧,以期在具体场景下折中调和,有取有舍。
数据安全的国际博弈才刚刚开始。面对英国电信集团(BT Group)将华为设备从现有3G、4G网络核心网中移出的举动,华为公司12月6日回应说:网络安全问题不应该被“泛政治化”。可实际上,包括数据安全在内的网络安全问题绝不可能是政治无涉的。故此,与其说要摆脱政治,毋宁说要在相互冲突的诉求中寻找妥协与共识,通过法律规则和有效对话,最终建立公正、合理的全球网络空间新秩序。(本文作者许可,系对外经济贸易大学数字经济与法律创新研究中心执行主任)
