大数据本地存留与跨境流动问题研究
2015-08-07李兆雄
张 衠 李兆雄
大数据本地存留与跨境流动问题研究
张 衠 李兆雄
互联网的创新应用和深度普及推动了海量数据的产生、存储和流动,人们在享受泛在而丰富的信息服务的同时,面临着数据安全风险。出于保护个人数据和维护国家安全的需要,世界各主要国家和地区对数据保护和利用的重视日益凸显,并开始采用法律规范数据的存留、流动和利用。相关研究表明,2011年有76个国家设立了数据保护法规,至2013年9月又增至101个国家,至少20多个国家将数据保护法案纳入了宪法范畴之内,围绕大数据的本地存留与跨境流动立法进程正在加速。
数据存留(Data Retention)是指互联网公司或通信服务商等出于商业目的或维护国家安全或公共安全等需要,将用户的内容数据、流量数据和位置数据进行存留的行为。
一般而言,数据存留的类型涉及的主要是流量数据、定位数据以及与个人信息紧密相关的基本数据,而并不能涉及通信的内容。以欧盟制定的《数据存留指令》为例,固定留存的数据包括六种类别:第一,识别通信源头的数据;第二,识别通信地点的数据;第三,识别通信日期、时间和通信时间长短的数据;第四,识别通信类型的数据;第五,识别用户所使用的通信设备及可能使用设备的数据;第六,识别移动通信位置的数据。数据存留涉及两方主体:一方是数据存留主体,即互联网公司或通信服务提供者;另一方是数据访问主体,即执法机关,而双方的关系表现为数据访问主体在侦查严重犯罪时有权对通信相关数据进行查询和调取,而通信服务提供者有义务定期保存和及时销毁数据,并在数据存留期间确保数据被合法访问。
数据存留的本意在于更好地提供用户服务或维护国家利益和安全,但随着“棱镜门”事件的披露,数据存留的两方主体本身都暴露出了极大的问题。人们一方面对某些国家执法机构的肆意滥用数据深表不满,另一方面也对负责数据托管和处理的第三方机构疑虑重重。早先对互联网预示着打破国家边界束缚、促进信息、新商业模式乃至民主传播的憧憬已经被更广泛地缘政治内国家间的不信任所取代。因此,数据存留领域也呈现出了新的变化趋势,新的安全管理边界正在形成。
近年的变化
近年来,数据的本地存留和跨境传输受到了来自监管者、媒体和个人密切的关注和审视。尤其是,2013年斯诺登事件引发了近年来有关机密数据跨境访问和传输的法律、政治、伦理和商业层面的激烈辩论。这些辩论对各个国家和地区数据隐私法规产生了重要影响,其中三个显著结果就是有的国家(如俄罗斯、澳大利亚)高调颁布了新的数据存留条例;有的国家则呼吁调整原有的数据存留条例;有的国家(地区)甚至宣布推翻原先的数据存留条例。总之,都在进一步严格数据存留和跨境流动要求,数据本地化管理日趋明显。
1.重点转向约束跨境数据存留
数据存留条例在许多国家的法律中并未给出明确的定义。但从广义上来看,除了上述的基本含义和要求之外,大多还包括重要的一条,就是禁止机构将个人数据传输到本国或本地区之外(除非符合一定的法律规范)存留。而恰恰这一点正在成为目前关注的焦点。随着数据不断被海外数据中心摄取,各国对其内部成员数据保护的关注日益加大。欧盟内部有些国家开始呼吁废弃《美-欧安全港框架》;有些国家甚至走得更远,呼吁建立“只有欧洲”的网络。而其他国家也开始准备引入欧盟风格的数据存留条例。
个人数据存留与跨境的立法条例最早可追溯至经合组织1980 年发布的 《关于保护隐私与个人数据跨国界流动的准则》。欧盟的《数据保护指令》则是数据存留条例的一个最典型例子,该指令禁止组织向欧盟成员国以外的数据接收者传输个人数据,除非可以确保对个人数据的充分保护,比如签署所谓的标准合同条款,通过《美-欧安全港框架》的自我认证或者执行组织内部数据传输须遵守的企业约束规则。加拿大、澳大利亚、以色列和韩国等国家都拥有类似的数据存留要求。
根据Fieldfisher隐私和信息法律小组的对欧洲、北美、南美、亚洲、非洲和大洋洲6个地区47个国家的数据存留和传输条例的调查梳理,47个国家中有44个国家具备有效的数据存留条例,占总数的94%,这足以证明遵从这些要求是全球性趋势,尽管这对商界尤其是敏感数据企业提出了巨大的挑战。
其中有少数国家目前还未拥有数据存留条例。南非尽管拥有涵盖隐私权的宪法和部门立法,但目前仍未有具体的数据隐私立法,政府虽在2013年制订了《个人信息保护法案(4)》,但仍未正式实施;新西兰1993年的《隐私权法案》并不包含对个人数据国际传输的禁止。但该国法律委员会已经建议引入与国际信息披露和个人信息外包相关的正式问责制法案。这可被视为未来引进数据存留条例的先兆,将会与其他拥有数据存留条例的国家趋于一致。除此之外,也可以期望更多的国家在未来可预见的时期内会推出和执行这样的条例。
另外,47个国家中有42个国家拥有数据保护监管机构,占比为89%,它们有权对未能履行数据存留条例的个人或组织进行制裁。美国、印度、以色列、南非和新西兰是当前监管机构缺乏此类制裁权力的仅有5个国家。
在现有的数据存留条例中,允许个人数据向境外传输都是附带一定条件。这样的法律要求是极其宽泛的,会根据被传输个人数据的类型及其用途而有所不同。而常见的包括:数据传输已取得数据当事人的同意(俄罗斯甚至要求个人数据跨境传输需要数据当事人的书面同意);数据传输是数据控制者和数据当事人之间执行合同的必备条件;数据传输为执法的必要条件(关于在国外执法机构要求时是否应该同意全球数据传输的辩论仍在持续)。
在数据存留领域,企业约束规则(BCRs)也正在受到关注。BCRs的概念最初是欧盟第29条工作小组提出的,最初的目的是允许跨国公司、国际组织和企业集团进行跨境企业内部的个人数据传输。但发展至今,它不仅可以被看作是企业采用的内部数据管理政策框架,在企业内部通过合同、政策和纪律来对员工进行约束,以保护所收集的数据并遵守一定的数据隐私规范;而且同样也可以在企业外部通过组织之间的协定或类似法律机制的使用来对集团公司进行约束。BCRs尽管是欧盟原创的解决方案,但得到了更为广泛的国际认可。越来越多的监管者和立法者将BCRs视为符合全球组织内部个人数据国际传输要求的等量有效机制,认为BCRs提供了一个适用于全球企业进行国际化信息传输的共同标准且符合各国的数据存留条例。比如在Fieldfisher调查的47个国家中,有42个(89%)国家直接或间接认同BCRs是本地数据存留要求的有效解决方案。
具体说来,欧盟 2010 年发布《关于欧盟个人数据保护的综合措施》,提出要明晰、简化跨境数据流通的规则。欧盟委员会2013 年对《欧-美安全港框架》的审查结果认定,美国政府不恰当地迫使美国企业提供欧洲用户的数据。若美国不改变对待欧盟公民在线数据的方式, 美国公司将可能失去对欧洲隐私法规的10年期豁免权。
新加坡2012年《个人信息保护法》第26条规定,对于跨境传输的数据,机构应当按该法律规定建立个人信息保护标准,确保被传输的数据得到与新加坡法律相等的保护,否则不得进行跨境传输。
香港2012 年修订的 《个人资料(私隐)条例》第33条也同样对跨境个人数据保护有类似规定。虽然该规定尚未正式实施,但私隐专员公署2014年12月发布《保障个人资料:跨境数据转移指引》,为第 33 条的实施作好准备,加强跨境资料转移的私隐保障。
俄罗斯国家杜马2014年7月通过的一项最新法律规定,从2016年9月1日起,所有收集俄罗斯公民信息的互联网公司都应当将这些数据存储在俄罗斯境内。
巴西总统迪尔玛·罗塞夫在得知美国国安局在监听自己之后就开始考虑推出一项法令,要求将巴西人的个人数据存储在国内。马来西亚也制订了类似的法规,而印度也正在推行数据保护主义。
德国在美国国安局监听了总理安格拉·默克尔的电话事件,也开始讨论类似的计划,名为“申根路由”。
脸谱创办人马克·扎克伯格将此形容成一场互联网割据运动——一种可能会摧毁网络本身的长期努力。其基本思想是,一国公民的个人数据应该存储在设在本国境内的服务器中。对于这一思想的支持者来说,这是一种保护形式,有助于公民使用本地的IT服务。信息技术与创新基金会的丹尼尔·卡斯特罗(Daniel Castro)称数据民族主义是一种正在生成的现象,就是各国都希望将某些类型的信息存储在设在本国境内的服务器中。按照戴维斯加州大学阿努潘·钱德尔(AnupamChander)等人的说法,已经采取措施落实数据本地化要求的国家包括澳大利亚、法国、韩国、印度、印尼、哈萨克斯坦、马来西亚和越南。
更有专家预言未来将会有一个巴西互联网、一个欧洲互联网、一个伊朗互联网以及一个埃及互联网——所有这些互联网都有不同的内容规定、交易规则,或许还有截然不同的标准和操作规程。而且全球互联网的这种不断分裂是不可避免的。标准化的互联网是过去的事物,而不是未来的事物,未来将是一种联邦式互联网,而不是一种统一式互联网。”
总的来说,由于数据国际输出的监管敏感度日益增长,个人数据的跨境传输将很有可能置于数据保护机构更为严密的审查之下。而那些针对数据国际传输业务的有效解决方案的企业(尤其是美国的企业)将会发现,在实行数据存留条例的国家内,交易的达成会越来越困难。欧盟的消费者有可能放弃《美-欧安全港框架》而坚持要求另外的解决方案,如标准合同条款或者BCRs。
2.限制和取消数据存留
现有的数据存留条例一般都明确规定了的数据的存留期限和使用范围,但时限长短不一,短的为期6个月,长的为期24个月;范围也大小不同,只指所谓的“严重犯罪”鉴于保护个人隐私的时代潮流,数据存留领域的总体发展趋势是存留期限在不断缩短或者直至取消,而适用范围也在逐渐明确和收缩,以防被滥用的风险。
香港2012 年修订的 《个人资料 (私隐) 条例》规定,“须采取所有切实可行的步骤, 以确保个人资料的保存时间不超过将其保存以贯彻该数据被使用于或会被使用于的目的 (包括任何直接有关的目的) 所需的时间。”该条例不再规定用户数据的存留时间;新加坡2013 年 1 月正式生效的《个人信息保护法》“个人信息存留” 条款规定, 个人信息不能永久存留。如果保留的个人信息“被合理认为已无法达到收集信息时的目的, 并且无须因法律或商业目的而保留信息”,则该等载有个人信息的文件须被销毁或做匿名处理,即删除涉及到特定个人的个人信息。机构按照该法的规定进行披露或使用个人的个人信息,则该等个人信息必须在披露或使用后保留至少一年,以便个人有合理时间可以取得或修正该等信息。该规定虽然设有数据存留期限,但严格限制了适用范围,即已经被披露或适用的个人信息。至于其他个人信息仍然按照不超过合理目的原则, 由市场主体根据与用户的协议确定保留期限。
最为典型的则是,欧盟最高法院欧洲法院2014年4月8日宣布2006年开始实施的《数据存留指令》无效,理由是该条例严重侵犯了个人生活隐私与个人信息保护两项基本权利。
3.两大趋势的成因
无论是严格限制个人数据跨境存留还是宣告数据存留条例无效,两者看似背道而驰,实则殊途同归,都是为了保护个人隐私和杜绝个人数据滥用。从现有的资料来看,造成这种情形的主要原因在于三个方面:
第一,存留数据被肆意滥用。
数据存留和跨境传输确实为各国打击刑事犯罪和维护国家安全方面提供的巨大的帮助,但监管不严和执法不力同样也会因此而给个人乃至国家带来安全危害。“棱镜门”事件表明,美国执法机构正是利用了美国企业掌握大量跨境数据源的便利而实施了远远超出处置严重犯罪的维护国家安全的范围的个人实时监控和数据调取,并且不受监管约束。在这种缺乏约束和自制的情况下,一些国家约束数据跨境存留和传输也实属无奈之举。
至于欧洲法院宣布《数据存留指令》无效,一方面是因为欧盟国家对公民隐私权的保护是极为重视的,而且一些政府(比如英国、德国、捷克)至今仍不愿将该指令按时转化为国内法,而指令对保护个人数据及尊重私人生活的基本权利所造成的广泛和严重干涉并不能被充分限制在绝对必要的情形下;另一方面也是因为数据存留指令使得欧盟立法机构突破了比例性原则的限制。根据欧盟理事会《网络犯罪公约》的规定,互联网服务提供商只能针对那些涉及严重犯罪的个人进行数据存留,而执法机关在调查严重犯罪时才能提取某些犯罪嫌疑人或证人的通信数据。但事实上,数据存留指令并没有设立任何机制来确保执法机构所获数据只用于预防、侦查或刑事起诉那些严重侵犯基本权利的犯罪目的,且没有在欧盟范围内就“严重犯罪”确立一个统一的标准,极易发生行为人规避犯罪的情形。
第二,数据存留缺乏切实保障措施
现有的数据存留条例都针对个人数据存留和保护的规定。比如欧盟的数据存留指令规定:成员国应确保公共电信服务商、通信服务或公共通信网络提供者在存储数据的质量、安全和保护的等级上遵守数据存储的数据安全原则;采取适当的技术措施和组织措施保护数据,以避免数据被意外或非法损毁、意外灭失或更改,或未经许可或非法存储、处理、获取或披露;采取适当的技术措施和组织保护措施数据,以确保数据仅能由专门的经授权的人员获取;除已获取保存的数据外,其他数据应该在届满期限后被销毁。
但现有的数据存留条例一般都是框架性文件,而非实质性的规定,并没有提供足够的切实保障措施,也不涉及技术标准,所以难以确保数据的有效保护和不被泄露,或避免非法访问和使用数据。更糟糕的是还存在“网开一面”的情形,比如,欧盟的数据存留指令允许服务提供商在决定适用安全级别时考虑经济因素(实施安全措施所产生的费用),同时也无需保证在存留期满后数据即被永久销毁。但另一方面,随着信息与网络技术的突飞猛进,针对信息系统的攻击也日益增多,存留的数据极易被捕获、泄露,极有可能造成个人信息不受保护的真空状态。
第三,执行缺乏透明度
此外,大多数据存留条例并未规定设立一个有效的事先审查机制,因此使得存留数据的范围过于宽泛。而执法机关在实际执法过程中一旦疏于鉴别,对个人数据类型或目标数据未作可用性分析,由此使得许多与犯罪活动无关的个人信息也被执法机构获取和存留,让用户的个人数据信息遭到极大的侵犯。比如,指令没有规定国家执法机构可以访问、使用数据的实质性和程序性条件。对数据的访问并不受制于法院或独立行政机构的事先审查。此外,数据存留指令并未要求数据必须在欧盟境内存留,因此不能完全符合控制对独立机构的保护和安全要求。
美国的态度
美国是少数不具备数据存留条例的国家之一,这也是美国在数据领域的实力和地位使然。一方面,这似乎可以凸显彰显美国信奉个人自由和市场经济的主张,另一方面却又不妨碍它凭借美国企业在信息产业中的强大实力和地位在个人数据领域的为所欲为。可以说,美国安全部门和执法部门是数据存留、传输和利用方面的最大赢家,可以肆意侵入数据中心并利用相关数据。
而美国的商界则对其他国家限制数据跨境存留和传输深感忧虑,并利用各种场合从经济发展的角度宣扬自己的立场。美国商界认为信息时代的到来在全球范围内解放了生产力,促进了经济增长。无所不在的数据正在为提升GDP、创造工作位和推动创新做出积极贡献。不同规模与行业的公司每天都需要无缝数据流开展基本业务运营。而各国司法机构以相关法规来限制数据流通、解决国家安全问题、保护公民个人信息的做法——数据本地化——极有可能形成有害的全球贸易壁垒,并对关键的商业领域造成严重影响,从而无形中限制商业活动和经济增长——而且同时并不能提供行之有效的额外保护:将数据存储于单一地点反而会使数据更容易遭受黑客攻击、不可预见的灾难性损失或其他常见风险;数据安全并不单纯取决于数据的实际存留或处理地点,而在于数据的处理、加密、存储与维护方法。威胁不仅来自国外,同样也可能来自国内。
美国商界反复强调,数据本地化的不利影响可能远远超出理论上的预期安全利益。从理论上讲,数据本地化可以支持特定的安全规定,但无疑将对商业与经济发展造成如下不利影响:
一是对经济增长产生影响。数据本地化政策有可能影响经济增长。以中国为例,美国商界援引了欧洲国际政治经济研究中心(ECIPE)的一项研究,表明中国的数据本地化政策如果得到全面实施,将使中国的GDP减少1.1%;入境外国直接投资减少 1.8%;出口下降 1.7%。原因是外国公司的成本会增加,它们不能再使用现有的 IT 供应商和基础设施,也阻断了国内公司与全球市场潜在客户的联系。而由此产生的成本将被转嫁给客户,给整个经济造成了一连串的生产力损失。据ECIPE预计,因价格上涨以及需求得不到满足,中国公民将因此承受高达 630亿美元的实际经济损失。
二是对贸易和投资产生影响。数据本地化将妨碍贸易与投资的发展。要求将数据存储于境内,意味着企业今后要在多个国家建立成本不菲的数据中心,对在国外寻求发展、却无力承担本地化成本的中小企业带来沉重负担。实施数据本地化的国家最终可能会发现自己被排除在国际网络体系之外。数据本地化也将影响到正在努力吸引海外投资的本国公司。例如,本国企业不得输出有助于吸引外国投资的特定信息。而寻求在海外投资的本国企业(即“走出去”的企业)也将受到限制信息外流法规的影响。
三是对创新产生影响。数据本地化会削弱企业做出明智商业决策的能力,此外也将严重影响多种创新信息产业与应用,如物联网、云计算、大数据等,依靠这些先进技术的产业也将受到牵连。大数据从本质上要求公司拥有用于发掘全新洞见的大量信息集。而数据本地化却造成了分散而冗余的基础设施,对要求能够快速适应变化的大数据分析带来了严峻挑战。阻断数据流通,特别是将本国数据完全隔离于其他国家之外,不仅会使企业得出错误结论,还将导致企业无法有效开展数据驱动的创新。
美国商界强调,跨境数据流通在维持日常业务运营和推动产业突破发展方面具有强大的革命性力量。所以应该借鉴有些司法体系体现责任原则的做法,即采取的政策既满足了安全要求,又避免了强制要求公司使用本地基础设施或禁止数据跨境流通。根据这一原则,数据传输组织必须制定规章制度以切实开展数据保护或加入能够实现数据保护的系统,而不是一味要求企业遵守硬性法规。比如,在澳大利亚,机构可以将特定信息传送给境外接收者,前提是传输机构必须采取合理措施确保数据在境外得到保护,且保护方式与境内的保护方式相似;在新加坡,机构也可以将特定数据传送至境外,前提是传输机构必须采取特定措施,制定与境内法规相当的保护标准,以保护传输至境外的数据;在菲律宾,数据可传输至国外,但传输数据的机构应采取合理措施,确保个人信息在境外获得与境内数据保护法相当的保护等级。
对我国的启示
针对国际大趋势,我国近年来也逐步出台了一些内容涉及数据存留和跨境传播的全国性和行业性法规。比如,2013的《信息安全技术——公共及商用服务信息系统个人信息保护指南》规定,未经用户明示同意或政府批准,禁止将数据传输至境外实体;2013年的《行业信用信息管理办法》和《征信业管理条例》要求在中国境内收集的所有信用信息均应在境内整理、存储及处理。信用报告机构须在中国境内建立备份数据库,不得通过互联网或存储媒介传输在中国境外收集的信息;2014的《反恐怖主义法》明确规定,在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备和境内用户数据留存在中华人民共和国境内。拒不留存的不得在中华人民共和国境内提供服务;2014年的《关于促进云计算创新发展培育信息产业新业态的意见》强调了管理跨境数据流通的重要性和必要性;2014的《人口健康信息管理办法(试行)》禁止在境外数据中心存储个人健康信息。
这些尝试已经引起了外界的关注和反响。中国美国商会在近期的报告中提出要在中美《双边投资协定》中加入关于限制数据本地化和维护跨境传输的内容。为此,中国在推出有关数据存留和跨境传输的规则方面应该借鉴国际上的一些经验和教训。
首先,要细化个人数据存留和跨境传输的规则。我国已经出台一系列相关法规表明了我国政府保护公民个人数据安全和维护国家利益的坚定立场,但数据的存留和跨境传输事关国际经济往来和文化交流等重要事项,仅仅从某个角度粗线条地提出一些简单要求,必将影响我国跨境互联网经济的健康有序发展。因此,应该细化实施细则,审慎和全面考虑有关个人数据存留期限和适用范围。在数据存留期限上,应该设定一个符合实际情况和有针对性的适当期间,2014年出台的《网络交易管理办法》规定交易平台的交易数据保存时间不少于两年,这一时限甚至突破了国际上早期普遍采用的两年保存期的上限;在适用范围上,义务的设定应该应当充分考虑细分市场的承受能力,不能不论性质、层次、规模、内容地一概而论,要尽量避免加重那些对用户数据并无直接利用需求的中小企业尤其是初创行业的数据存储和维护负担,力求实现安全需求与经济增长的平衡发展。
其次,要强化防范意识和机制。我国网民人数庞大,在线活动频繁,在世界上屈指可数。在实现了数据境内存留之后,大量的数据将驻留在境内,这难免会引起黑客和不法组织的窥视,极有可能成为网络攻击的关键目标。从国际经验上看,存储大量数据的机构也往往会成为恶意网络攻击的首选目标,而目前我国在网络安全上仍面临关键设备不自主、审查制度不缜密、监管系统不完善等问题。因此,必须未雨绸缪,提升防范意识,加紧信息基础设施的建设,同时在资金、技术、组织、监管的支撑下构建一套全面而完整的防范和处置机制,筑起一道牢固的防渗透长城。
最后,要进一步加快推进信息产业的发展。信息产业的发展事关未来的经济发展和国家安全。我国已经是一个网络大国,但目前仍主要体现在用户人数的规模上,在产业技术、实力和能力上与大国地位并不匹配。说到底,我国出台数据境内存留相关法规也是迫不得已,决非长久之计。未来,网络强国必定会走市场和开放之路,而这必须以强大的信息产业作为必然前提和坚强后盾。因此,现阶段必须在将信息产业列为支柱产业的同时,在国家统一规划和领导下重点扶植培育一批网络信息企业,通过产学研互动和提高成果转化速率,迅速提升我国信息产业开发具备自主知识产权的设施的实力,形成提供完整的产品、设备以及具体层面解决方案的能力。
(作者单位:上海社会科学院信息研究所)
