制定数据监管相关政策法规须提上日程
2018-02-27钟新龙
钟新龙
近期,美国国会通过了CLOUD云法案,欧洲议会也宣布将实施欧盟通用的《一般数据保护法案》(即GDPR法案)。CLOUD云法案与GDPR法案,都明确了数据保护法规的适用范围和对象,并就数据主权和数据管辖权作出了清晰界定。解读两法案,对我国制定并完善数据主权和数据监管权相关的法律法规和政策,保障数据安全监管的核心掌控力,具有参考借鉴意义。
一、美国CLOUD云法案和欧盟GDPR法案解读
法案的主要内容:美国CLOUD云法案明确规定美国政府对于在美国境内的数据拥有管辖权,并对美国公民或美国企业在境外的数据也拥有合法监管权。欧盟GDPR法案规定数据管辖权的范围适用在欧盟地区注册的企业,或者是非欧盟注册但在欧盟营运、搜集、处理或利用欧盟民众个人数据的企业或组织。其次,对于企业和个人的数据隐私安全的权利和义务做出了具体操作规定。
法案带来的深刻影响:一是延伸了传统意义上的监管范围,体现了强烈的国家利益色彩。将数据监管的适用范围从境内扩大到了境外,极大程度地维护了国家的数据主权与信息安全。二是IT企业在经营跨国业务时或将面临新的壁垒,在美国或欧盟建设和运营数据中心时会出现一系列新的障碍,造成企业合规成本的大幅提高。三是两个法案均对数据跨境纠纷处理预留了一定的缓冲空间,对于新形势下的数据监管国际标准的争夺埋下了伏笔。
二、法案对我国数据安全保护和监管的启示
数据管辖权应纳入国家安全的核心范畴。明确数据管辖权的范围体现了国家意志对数据管辖权的高度重视。当前,数据安全已愈发成为国家安全战略中的重要组成部分,维护国家对数据监管的合理性与合法性,是保障国家安全不可或缺的关键战略之一。
数据监管法的制定应基于国际视野。在全球数字经济发展大潮下,数据的跨境流动、交易、管辖等方面是数据监管的主要聚焦点。可以预见,未来涉及跨境数据监管与国际执法纠纷将层出不穷,国际监管标准的制定有望成为解决国际数据纠纷的重要手段。
数据监管法的执行应考虑平衡掣肘。一方面,數据监管的执法尺度需要从商业市场的实际角度出发,做到谨慎拿捏。欧美法案中对企业和个人用户的数据权利进行了明确划分,这种设计思想包含了对国家监管权利、企业正当利益、个人隐私保护等多方的平衡考虑,符合市场长远发展的需求。另一方面,预留执法的变通机制对于具体的例外情况预留充分的讨论空间,对于特定事件和场景留有商榷余地,后续在制定、执行有关数据法律时应充分考虑变通机制的问题。
三、对策建议
加快修缮适合我国国情的数据监管与数据安全保护法律条例。一是立足“网络强国”战略要求,以维护国家根本利益和保护我国公民隐私为基本出发点,以全面保障我国战略安全为宗旨,对数据权属、数据跨境监管与国际执法等领域进一步规范法律适用场景并细化判决条例。二是建立长效的政策法规预研机制。在提高制定法律的接洽性、延续性、完整性与及时性的同时,重点关注在全球化趋势下,国外政策变更对我国国家利益造成的潜在损害,以及我国跨国企业在国际竞争中将面临的市场风险,以备在法律条文中及时给予明确性、针对性的保护。大力开展对特定执法场景与事件的专题研究,以增加法律制定与执行的灵活变通性。三是加强法律条例宣贯与政策解读。重点面向涉及跨国数据业务的软件与信息技术服务业企业,加快国内外数据法律宣传与解读,让企业及时了解最新的数据政策与隐藏风险,从而为企业的经营策略制定提供关键性参考。
加快构建我国的数据监管与安全评估体系。一是借鉴美国、欧盟的经验,同时依照修缮后的相关法律条例,尽快完成对我国境内数据中心的全面监管,确立相应的数据监管与隐私保护的操作细则,做到对中国境内数据中心的数据查必有因,查必依法,查必凭则。二是加快建立对国内数据中心的安全评级机制。全面肃清网络安全隐患,重点防范涉及国家机密与公民隐私的相关数据的非正常外流风险,并及时对违法犯罪行为给予严厉打击。三是按照国家、企业、个人等维度对数据权属关系进行明确拆分,让行政监管“不失其道”又恰到好处。在保证国家安全的根本前提下,进一步规范化、透明化、健康化市场竞争环境。明确企业运营红线,减少中小数据服务企业准入壁垒与竞争压力,在充分维护我国公民的个人数据隐私安全的同时,不断提升市场活力。
在国际舞台上发出强有力的“中国声音”。 一是牢牢把握“一带一路”的历史机遇,充分参与国际对话,加强与国际组织的协调沟通,积极履行大国责任,向国际社会表达我国维护数据主权完整、保护公民隐私的基本态度与坚定决心,以及共同致力营造公平、健康、安全的国际网络空间的美好愿景。二是积极参与推动个人隐私保护、数据跨境监管、数据国际执法等领域的国际标准制定,鼓励国内产业界、学术界、法律界通力合作,共同在国际舞台贡献“中国智慧”,不断增强我国在上述领域的话语权。三是加强国际司法合作。大力推进我国网络安全、数据保护的法律条例与国际通用准则的衔接性,最大程度减少我国在数据跨境执法时面临的障碍,并为他国在我国境内的数据执法提供应有便利。