从《网络安全审查办法》透视数据主权与国家安全
2021-10-21王洪宇
□ 文 王洪宇
0 引言
2021年7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》(以下简称“《修订草案》”)。一方面,《修订草案》继续以“国家安全”为立足点,网络安全审查的适用门槛仍限于“影响或者可能影响国家安全”的情形;另一方面,《修订草案》扩大了网络安全审查的适用范围,从关键信息基础设施运营者的采购活动与供应链安全,扩大至同时包含一般数据处理者在数据处理活动中的数据安全,数据权纳入了网络安全的审视范畴,以保障国家安全。同时大数据时代的数据跨境传输等合规问题引起广泛的关注,数据权的归属和国家安全的关联不容忽视,需要进一步规范互联网企业的信息安全问题。
1 概述
1.1 大数据的概念和特征
大数据是近年来新兴的一个概念,其承载着较大的信息量,是PB级以上的数据集合,需要通过新的网络科技来储存和处理新产生的数据。具体特征如下:
规模性:大数据是一定量级的数据集合,规模在不断扩张中。一般会产生大数据的途径是采集器终端采集和网络用户自主提交,除此之外还有通过卫星进行收集的特殊数据。
关联性:数据之间不是割裂的,而是相互关联的,存在一定的规律性,大数据处理就是基于不断变化的流式数据,找到某种取值上的规律,这正是大数据的价值所在,大数据可以辅助认知系统各个成分的因果关系。
共享性:大数据是否具有对世性或称绝对性,是从法律和权属的角度去认识大数据。大数据突破了传统的公与私的界限,个人产生的信息并非以占有为前提,数据具有共享性和公共性。
战略性:从宏观政策层面来看,能产生价值的大数据也是一种资源,其与自然资源一样具有一定的战略性。大数据网罗着政治、经济、军事、文化等多个方面的社会信息,关系着一个国家科技和社会发展,这些信息是主权国家控制其国内社会的基础,甚至关涉到国与国之间的外交。
1.2 数据权
一般意义上数据权可从主体上来区分,国家拥有数据主权,而公民拥有数据权利。只有在数据主权法定框架下,公民才可自由行使数据权利。数据主权又可以根据功能权限划分为数据管辖权和数据所有权,管辖权是指一国对内可以管理和利用数据,而数据所有权是指一国对外有排他性的权利。公民的数据权利是对从自身采集的数据进行利用的权利,对包含生命财产和隐私权的数据保护。
1.3 数据主权与信息主权
国家主权是对外具有独立权和对内具有最高统治权,具有权威性和排他性的特征。数据主权和信息主权都是从国家主权的概念演变而来。信息主权是一个国家对于制造、传播和交易信息等活动管辖的权力,且在一定管辖区域内。
数据主权与信息主权的主要区别在于“数据”与“信息”的区别。数据是按一定规则排列组合的物理符号,即人们熟知的数字、文字、代码和图像等,而信息则需要将数据进一步的处理和加工。学者汪晓风认为:“如果把数据理解为矿产资源,信息就是采掘出来的原材料,进一步加工就成了产品,即知识。那么数据主权相当于国家对自然资源和领土的所有权。”
2 数据跨境流动的挑战
数据的跨境流动会涉及不同国家(地区)和主体,各个国家对于数据管辖有自己的主张,使得数据主权难以确定。目前国际社会上并没有统一的数据权属和主权划分的制度或规定,这种管辖权的重叠会对于各国公民的隐私权和国家安全带来挑战。
2.1 国家安全挑战
随着网络科技的发展,数据的价值愈发受到关注。数据产业存在国际社会上发展不平衡的现象,发达国家拥有更多的数据话语权,可能会助长数据霸权的产生,甚至加剧全球经济的失衡状态,数据关乎一个国家的主权和安全。不断发展的大数据和人工智能可以对跨境传输的数据进行分析,再对其他国家的用户进行画像,包括生活习惯、健康状况、职业选择偏好等,进一步还可以了解社会、国防和科技动态,分析而来的信息成为情报收集的来源,威胁其他国家的国家安全。在面对全球数据流动的趋势制定相关规则规范以保护国家主权时,国家安全问题成为不可忽视的问题。
2.2 个人隐私保护挑战
除了宏观上对于国家主权和安全的挑战,数据跨境传输时直接涉及到的是从公民个人身上采集的数据,关乎个人隐私权的问题。互联网企业会通过订单信息、联系方式和联系地址等多方面获得个人数据,这些数据如果没有采取一定的手段进行储存和保护,就很容易泄露或者被他方窃取,更甚者互联网企业会滥用收集的用户信息,对用户的个人隐私带来较大的威胁。
不可否认,数据的跨境传输可以方便个人获得更方便的金融服务和获得更优质的资产配置,企业也通过大数据分析等工具确定产业布局和营销投放,促进了互联网企业的快速发展。但是重视经济效益的同时也不能忽视个人隐私权的保护,效率与公平需要兼顾,这是各国践行竞争法的理论基础和原则所在。个人、企业、非政府组织和政府机构目前在大数据问题上的法律权责不明确,跨境数据的传输需要有进一步的监管和制度,逐步形成统一的国际法保障体系,使互联网领域的发展不偏离健康的航道,不僭越法律界限。
3 欧盟经验
大数据已成为国家创新战略、国家安全战略、国家产业发展战略以及国家信息网络安全战略的交叉领域。2016年4月,欧洲议会出台了《一般数据保护条例》(以下简称GDPR)值得参考和借鉴,其对内扩大数据主体的权利,对外提高对于数据输出的审查标准,以规范数据传输和主权问题。
3.1 扩大数据主体的权利
GDPR第四十四条规定,掌握和收集用户数据的一方再向没有或无法对于数据进行完备保护的区域传输数据时,用户的“明确同意”是前置条件。除了保障了用户的知悉和处置自身权益的“明确同意”,用户还拥有拒绝权,即用户可以拒绝企业以直销营销目的的收集数据信息的行为,且不会受到一些豁免原则的约束,即便是基于较为合理的历史或科学研究而进行数据收集的情形,用户同样拥有拒绝权。
3.2 提高跨境数据输出的审查标准
除了对内设计的对于个人数据权利的高度保护规则,欧盟同时做好了对外在数据跨境传输的规则上的严格限制和规范,具体而言,欧盟的数据跨境传输在一般情况下需要考虑以下因素:
3.2.1 拓展“白名单”制度的范畴
在欧盟1995年颁布的《数据保护令》中,提出如果属于“充分性决议”则可以对此不限制数据跨境运输。“充分性决议”是指在向其他国家传输数据时确保了个人数据隐私可得到充分保护的,判断的依据是“白名单”。GDPR在此基础上进一步增加了其他特定区域和国际组织的充分性保护认定,扩大了正面清单的认定范围。
3.2.2 确立“适当保障的传输”标准
在“白名单”之外,不代表就无法进行跨境数据传输,如果在实质审核下数据的控制者已为个人的数据隐私提供了适当的保障,并且在消极情况下产生数据的主体可获得数据权利的有效救济和申请强制执行的权利,则其也可以进行跨境的数据传输活动。
3.2.3 针对跨国企业的“约束性企业规则”
跨国企业内部的自我约束和规制的规定,即跨国企业需要对于自身数据在跨境传输中涉及的隐私权等数据权利进行保护,同时数据所有者可以以此为依据主张权利和寻求救济。该规则要求企业至少需要明确企业内部数据传输的种类、内部结构、保护措施,以及相关主体的权利、义务和责任,数据所有者监督方式和寻求救济的途径等。
4 我国应对措施
欧盟保护数据权的措施主要是围绕着数据权利,数据权利相较数据权来说更加微观和具象一些,保护好国家公民的数据权利,集合而成也是对于国家数据主权的一种保障。数据权的保护在保护国家主权和安全的宏观立场下,须加强国际交流合作,增强企业社会责任感和自我约束,以及更加具体的制度规则作为支撑。
4.1 建立数据分类审核制度
对于跨境数据需要进行评估和监管,我国的《网络安全法》第三十七条虽然也规定建立健全跨境数据传输评估制度,但是还没有相关细则的配合,重要数据的厘定以及具体在跨境运输中的评估方法无章可循。数据本身具有多元性,其来源不同,也有不同的性质,在个体数据权利、公共利益和国家安全的属性上不尽相同,所以需要根据不同数据的特征进行区分。在对数据中包含的社会公共利益和国家主权安全评定时因没有隐私等数据权利具象,而不易判断,但是这两种利益的影响深远,所以在设计相关法律制度规则时应该进一步明确哪些数据涉及社会公共利益和国家安全,以列举和原则性规定相结合的方式区分个人数据、行业数据、商业数据和国家安全数据等,根据不同安全梯度予数据跨境传输以不同程度的限制和监管,以来维护社会的稳定和安全。
4.2 明确数据权内容
在对各种数据进行分类之后,需要进一步明确数据权的具体内容,有明确的法律规范和工具进行指引。对于损坏数据跨境传输中相关权益行为进行惩罚时才可做到有法可依。可以参考欧盟GDPR规定具体的删除权、算法可解释权和可携带权等等,以明确保护的个人数据具体包含哪些内容和权限,才能进一步寻求权利救济,司法机关和执法机关在行使职权和解释法律的时候会更加有序,促进对于跨境数据传输的监管和规范,保障数据跨境流动的合法有序进行。
4.3 完善数据出境过程中相关主体的风险管理责任
在明确法律规范的权利内容后,还需要明确消极后果作为兜底,即需要明确数据跨境传输过程中各主体的责任。其中涉及到的主体从宏观到微观,有政府机构、自律组织、企业、公众。政府需要在宏观的层面统筹数据跨境传输的风险管理审核,做到审慎监管,行业自律组织作为中介机构更加了解行业特征,起到政府和企业桥梁的作用,其可以在政府的政策和法律框架下指定具体的指引和规则,进一步细化相关制度。企业自身要建立保护数据权的自查自纠机制,明确企业运营过程中具体的操作规范,减少不当操作或者系统故障造成的数据泄露或失真。对于数据主权的保护主要体现在数据出境业务中,如果企业是跨国集体或者从事数据出境业务,尤为需要加强数据合规的管理,确保企业自身在数据的收集、处理和传输等过程中均合法合规,最终形成政府宏观调控、行业自律组织监管和企业自查自纠的完整的数据跨境传输的风险管理系统和结构。除此之外,还可以充分调动市场其他参与主体进行第三方监督的积极性,主动参与到对于国家数据主权和公众数据权利的保护和规范建设中,各司其职,各尽其责,给互联网行业的发展提供良好的法治化环境,在促进新兴行业发展的同时,时刻把握数据话语权,守住包括数据权在内的国家主权的底线。
5 结束语
随着数据时代的到来,数据主权也成为国家主权的外延,守住国家数据主权,把握数据话语权成为新时代不可回避的议题。数据权包含数据主权和数据权利,数据主权体现数据的战略性,保障国家独立自主和不受干涉地促进互联网行业的繁荣,国家愈发重视数据主权、网络安全和国家主权的保护,这三者关系也是逐步递进的。需要进一步明确国家数据战略,细化相关法律法规和制度规范,明确数据权的权责关系,建立健全数据安全保障和审查系统,提供行之有效的监督和权利救济途径。同时还需要提高对于数据的核心控制力,在顺应全球数据自由流通下,有条件地允许跨境数据传输,在保护国家数据主权和国家安全的前提下,促进国际间的交流互通,推进国际数据保护规范的商议和建立健全相应的合作规制。