论数据安全的等保合规范式转型
2022-11-27杨力
●杨 力
互联网时代几乎所有个人或组织都在产生数据,数据记录国家点滴,刻画国家在多个维度上的全景实时变化。“许多看似无关的多维异构数据在比对、关联和有效融合后,仍可以推断出具有穿透力、威慑力的致命信息,严重威胁国家安全和社会稳定。”〔1〕杨力:《论数据交易的立法倾斜性》,载《政治与法律》2021年第6期,第2页。不少国家依托在全球的跨国商业或研发机构,肆意搜集数据,监控数据传输,控制数据流向,操纵网上内容。〔2〕参见徐汉明、张新平:《网络社会治理的法治模式》,载《中国社会科学》2018年第2期,第49页。斯洛登披露“棱镜门”、Google境外操纵利比亚大选、美国中情局“Vault 7”计划等标志性事件,〔3〕美国中情局(CIA)的秘密黑客项目“Vault 7”涉及美、俄、德政府和苹果、谷歌、微软等多家公司,致力于以MacOS、Windows、Linux等操作系统,iOS、Android等移动应用,以及嵌入式系统、物联网设备等为研究对象,以合作或购买获取平台安全漏洞,精准针对漏洞研发黑客攻击工具。参见王丹娜:《维基解密爆料美国中情局文件事件综述》,载《中国信息安全》2017年第5期,第86页。更是挑战所有国家神经,改变对数据风险的传统认知,折射数据安全正在经受的全球性严峻考验。习近平总书记指出,“要以政治安全为根本,统筹外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全。”〔4〕习近平:《决胜全面建成小康社会 夺取新时代中国特色社会主义伟大胜利》,人民出版社2017年版,第24页。面对泛全球化的数据安全问题,国家迫切需要建立等保合规体系。根据国家标准的有关规定,数据安全的等保合规是指依据数据和数据载体在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益造成的侵害程度,国家相关部门、业务和系统的等保义务主体分等级予以保护和响应的制度体系。〔5〕参见国家标准化管理委员会2019年5月13日新修订的《信息安全技术:网络安全等级保护基本要求》(GB/T22239—2019),又被称为“等保2.0”。
一、数据安全“等保合规”的正本清源
网络是分散式终端的神经元连接,更是产生、运作和管理数据的“人”的连接和操控。“人”以代码方式的“技术驯服”及关系转化,〔6〕参见何明升:《中国网络治理的定位及现实途径》,载《中国社会科学》2016年第7期,第114页。使数据流动超越地域,参与主体不确定,影响波及面大,防控难以及时响应。长期以来,数据安全识别和应对具有被动性、跟进式的明显特征。随着国外科技公司在中国境内的领域性数据应用日益广泛,破解这一局面的紧迫性不断增强。一方面,国外科技公司覆盖更多的国民经济重点行业,“包括公共事业、电信业、石油和天然气、教育、中小型商业、资本市场、银行业、保险业、高端媒体分析、装备制造、医疗保障、消费品、生命科学、零售等”。〔7〕王成刚:《高技术跨国公司组织创新影响因素与路径研究》,载《科技和产业》2020年第5期,第82页。与之相应,数据安全难以局限于单一化法律部门的考量,须根据立法格局辩证创新,以大安全视角实现制度精细化。另一方面,国外科技公司在中国业务几乎涉及数据产业链所有环节,不仅有该产业链后端的数据应用产品研发,而且触及芯片、服务器等存储、算力底层硬件设备,建模、补丁和更新的操作系统,以及全流程办公或商业软件的研发与运维。〔8〕参见许可:《数据爬取的正当性及边界》,载《中国法学》2021年第2期,第173页。其间,技术创新附随的技术风险、操作风险,甚至诱发系统性风险的可能,使监管者须予以有力回应,面向网络和数据,构建分布式的等级监管、实时性的风险识别、科学化的合规体系。
为此国家设立了数据安全的等保合规制度,该制度最早规定在2007年的《信息安全等级保护管理办法》,之后被《网络安全法》(以下简称《网安法》)加以固化,它规定了国家实施网络安全等级保护制度,尤其重点保护关键信息基础设施。近年来,国家在硬件和系统的国产化替代上先后推动“安可”“信创”工程。但是,网络安全不等于数据安全,数据依附于网络,两者却在内涵、目标、实施机制等方面存在巨大差异。网络安全受到侵害,不一定危及数据安全;数据安全受到侵害,也可能并不危及网络安全。〔9〕See Foulks, J. A. German IT Security Law, Vol.6, Journal of Law & Cyber Warfare, 2018(2), p. 165-190.相较网络设施和运营安全,数据安全长期居于从属地位。《网安法》制定时尚未专门指向数据本身安全,因此数据安全被纳入了网络安全。随着《数据安全法》(以下简称《数安法》)出台,已形成了数据安全“单独立法”局面,专门研究数据安全的等保合规成为题中应有之义。
从本质上,数据安全等保合规的目标是以数据的完整性、保密性、可用性为原则,以安全等级保护为依据,重点禁止未经授权的访问、使用、披露、破坏、渗透、修改或销毁。其中,科学合理地设置安全等级保护的分级标准始终是该领域的核心议题。目前等保制度分为五级,其中“三级”以上等保涉及国家安全、社会秩序和公共利益;这些领域也是国外科技公司在数据安全上的主要锁定区域。国外科技公司影响数据安全的重点领域包括:(1)公共事务领域,涉及空天地海一体化数据,气象、水利、地理数据,领海、经济专属区、人工岛数据,航路、航道、航线等数据,多维社交平台数据,实时更新新闻、舆情数据,超大、重点城市治理数据等。〔10〕参见李华、范鑫鑫等:《空天地一体化网络安全防护技术分析》,载《中国电子科学研究院学报》2014年第6期,第593页。(2)国民经济领域,涵盖国民经济统计数据,区域经济与规划治理数据,产业升级转型的结构调整数据,物资储备和物流运输数据,大宗资本流动、外汇管制与金融安全数据,稀缺战略资源与环境规划数据等。〔11〕参见赵彦云:《宏观经济统计分析发展的基本问题》,载《经济理论与经济管理》2013年第5期,第23页。(3)社会治理领域,覆盖车联网、物联网、人流峰值等实时流动性数据,流行疾病预测与卫生防控大数据,移动终端的热点轨迹数据;电商平台不断更新的消费者偏好数据等。以上数据安全风险分为两类:一是敏感数据。需要在已有严格管制基础上,更多使用“隔离带”“主权线”“安全阀”“制度墙”等多功能工具,完成立体化严密布控。二是非敏感数据。需要全面实时有效甄别,防止多样数据在完成集成比对、小样本集校验、概率模拟与决策、人机推理验证后,直接或间接产生潜在的数据安全风险。
国外科技公司产生的数据安全问题,导致了等保合规的领域性门槛提高、制度专业性增强、体系防控难度加大,以往针对网络设定的等保合规规范,不能完全适应和应对数据安全评估。同时,等保合规又不能一味以数据安全为由“一刀切”,而是在数据安全严控底线的基础上,同时支持供应数据产品产生社会经济效益。对此,国家按照“急用先行、分类推进、成熟一批、发布一批”的原则加以建设和完善,既要强调国外科技公司数据安全的较高级别等保合规,又要推动“要素级别”的数据被更大幅度、更深层次应用,甚至不少难题在世界范围内也属于“无人区”。因此基于数字化转型背景,需要在促进与规制的双重视角上深入探讨数据安全的等保合规。
二、国外等保理论和实践前沿的梳理
国外科技公司因其地位和业务特殊性,已成为国内外数据安全的等保制度重点对象。围绕这一问题的研究,理论上出现了“数据主权模式”〔12〕K. Singi, S. Choudhury, etc, Data Sovereignty Governance Framework, ICSE 20: 42nd International Conference on Software Engineering, june 27, 2020.“利益相关方治理”〔13〕Working Group on Internet Governance, Report from the Working Group on Internet Governance, Document WSIS-II/PC-3/DOC/5-E, August 2005, p. 3.“数据安全层级化”〔14〕R. Boncea, C. Cirnu, Cloud for Europe Project: New Solutions for Addressing Cloud Security Issues, Proceedings of the 15th International Conference on Quality and Dependability, September 15, 2016.“互联网协商民主”〔15〕E. Sorensen, J. Torfing, Theories of Democratic Network Governance, Public Administration, 2008(3), p. 859-862.“数据社群主义”〔16〕D. Bunders, Kriszitina Varró, Problematizing Data-Driven Urban Practices: Insights from five Dutch Smart Cities, Cities, 2019(4),p.215-243.等不同立场,但聚焦于数据安全的等保研究都指向以下三大问题。
第一个问题,是坚持数据本地化还是跨境流动。数据跨境流动包括跨越国界的数据传输和处理,或者数据在境内但被第三国主体访问。这个问题的分歧与国家数字化能力相关。一方面,数字化强国依赖其在全球布局的国外科技公司,以场景应用牵引数据的跨境流动,试图产生有利于本国数字化发展的“虹吸效应”。在此基础上,等保制度表现为包括技术标准在内的软法更多、硬法较少;〔17〕See X. Sun, Critical Security Issues in Cloud Computing: A Survey, 2018 IEEE 4th International Conference on Big Data Security on Cloud (Big Data Security), IEEE International Conference on High Performance and Smart Computing, (HPSC) and IEEE International Conference on Intelligent Data and Security (IDS), 2018, p. 216-221.合规管辖限于本国领土;跨境流动的数据也以清单式列举为主。比如,美国坚决反对数据本地化,主张数据在全球市场的自由流动。〔18〕美国也针对本土的部分数据实施了本地化要求。比如,美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据;美国国家税务局也发布规定要求税务信息系统应当位于美国境内。目前影响最大的就是美国本土国安局“棱镜”计划,卷入了微软、雅虎、谷歌、苹果等科技巨头,美国军方的“情报界伙伴计划”〔19〕高庆德:《美国情报界“一体化”的理论与实践》,载《情报杂志》2012年第3期,第67页。更是主导了Google、AT&T、兰德公司、黑水国际等数以千计的科技公司。们借助在全球业务,要么“收集电邮、照片、即时消息、视频、文件传输、存储数据、语音聊天、视频会议、登录时间、社交资料等数据”,〔20〕熊刚、时金桥、郭莉:《棱镜计划幕后的技术分析》,载《保护科学技术》2013年第7期,第13页。要么加入母国安全攻击计划,窥探、渗透和侵入他国计算机信息系统。
另一方面,数字化弱国沉淀数据的能力相对较弱,更多强调数据主权的底线,严格防止数据的跨境“净流出”。因此,等保合规上的硬法偏多;数据立法管辖更多不限于领土内,而以营业地或控制地为原则,且实行“海外长臂管辖”;跨境流动数据也采取概括式定义,目的是让本国拥有数据安全的更大话语权。根据这一逻辑,不少国家开始实行数据本地化与高标准限制跨境传输立法。作为等保合规的数据本地化典型代表,俄罗斯“对跨境数据流动管理,已从自由放任转向严格限制”。〔21〕K. Anna, K. Nikolay, “Survey on Big Data Analytics in Public Sector of Russian Federation”, Vol. 55, Procedia Computer Science, April, 2015, p. 905, 911.该国第97、242号法令确立了数据本地化的基本规则,明确国外科技公司收集、处理数据的数据库必须位于境内,且规定数据处理者应向监管机构报告数据库所在地。同时,近年来欧盟为降低数据跨境传输的安全风险,废止了欧美之间运行多年的《安全港协议》,即使以妥协后的《隐私盾协议》代之,也加强了国外科技公司等在域外获取或访问欧盟数据的限制。〔22〕M. Cuquet, A. Fensel, The Societal Impact of Big Data: A Research Roadmap for Europe, Vol.54, Technology in Society, August 2018, p.74-86.
与之密切相关的第二个问题,是执法数据的跨境调取。数据主权主义认为,数据是“国家对其政权管辖地域范围内个人、企业和组织产生数据拥有的最高权力”。〔23〕Tsosie, Rebecca, Tribal Data Governance and Informational Privacy: Constructing Indigenous Data Sovereignty, Vol.80,Montana Law Review, 2019(2), p. 229-267.然而,世界各国对数据主权范围没有达成共识,〔24〕See Native Nations Institute at the University of Arizona, US Indigenous Data Sovereignty Network, https://perma.cc/3W4HC5CR (last visit on Jan. 10, 2019); Stephanie Rainie, Desie Rodriguez-Lonebear, and Andrew Martinez, Policy Brief: Data Governance for Native Nation Rebuilding (Native Nations Institute, 2017), posted on website.导致执法管辖在国际留下不少空白,〔25〕See Tahu Kukutai,John Taylor eds, Indigenous Data Sovereignty: Toward an Agenda, Australian National University Press,2016, xxi, xxi-xxii.国外科技公司可以通过数据转移,绕开数据安全规制,这加剧了数据管控的复杂性。
为了调取境外等保违规数据,提升本国执法能力,欧美各国在立法上动作频频。2018年,美国出台《合法使用境外数据明确法》(Cloud法),旨在解决美国政府如何合法获取境外数据,以及外国政府如何合法获取美国境内数据问题。〔26〕参见胡文华:《美国〈合法使用境外数据明确法〉对中国的影响及应对》,载《信息安全与通信保密》2019年第7期,第31页。针对前者,该法允许美国执法机构直接调取美国境外数据,除非被执行人有效抗辩且被美国法院认可;针对后者,为缓解国际数据本地化立法趋势给美国利益的冲击及现行司法协助体系压力,美国提出“执行协议”,即与美签订协议的外国政府可直接向美国境内企业发出数据调取令。随后,为应对Cloud法对司法主权等冲击,欧盟提出制定新法以便执法及司法当局获取电子证据,〔27〕See Open Communique from the Indigenous Data Sovereignty Summit, Canberra, ACT, to All Individuals Involved in Data and Data Infrastructure in Australia, Indigenous Data Sovereignty (June 20, 2018), https://perma.cc/8VPR-9TTL.且与Cloud法类似,主张不以数据存储位置决定管辖。
此外,围绕数据安全的等保合规关注的第三个问题,指向数据非法内容监管。国外科技公司对数据内容的不当利用,已成为各国等保合规重点。立法可以分为两种模式:实体性审查和透明度审查。实体性审查对象又可细分为三类:一是公然挑衅他国主权和领土完整,影响一国的政治民主进程。比如,万豪、美敦力、巴宝莉等公然把藏港台列为“国家”,网络军火商Hackling Team与多国合作实施网络攻击窃密等。〔28〕See Wallace Coあey, Rebecca Tsosie, Rethinking the Tribal Sovereignty Doctrine: Cultural Sovereignty and the Collective Future of Indian Nations, Vol.12, Stan. L. & Pol’Y Rev, 2011, p. 191.二是隐蔽制造社会内在矛盾,国外科技公司通过互联网,向他国输入非法内容数据,借助舆情热点事件煽动焦虑情绪、恐怖主义、极端主义、淫秽色情等,妄图引爆社会冲突。如罗斯柴尔德家族和共济会的阴谋命题、YouTube网站的ElsaGate视频。〔29〕Ming-Jen Lin, More Police, Less Crime: Evidence from US State Data, Vol.29, International Review of Law and Economics,2009(2), p. 73-80.三是借助数字产品推行“文化殖民”,〔30〕Desi Rodriguez-Lonebear, Building a Data Revolution in Indian Country, in Indigenous Data Sovereignty: Toward Agenda (Tahu Kukutai & John Taylor eds.), 2016, p. 253.影响国家文化主权,改写他国社会准则。对此,不少国家和地区出台规定,要求在线平台积极检测、有效移除在线非法内容,并采取措施预防再现。此外,透明度审查主要要求提升平台信息发布的透明度,特别是政治广告的透明度,以限制政治广告的市场目标选择,还要求提高算法的透明度,以应对虚假信息的传播等。比如,为了回应Facebook事件,欧盟发布《在线虚假信息的应对:欧洲方法》,德国专门颁布《网络执法法》等。
以上对国外等保理论和实践的梳理,目的是针对跨境的数据流通利用、执法调取和内容审查三个问题,体现国家之间在数据安全等保合规上的差别立场及其归因。根据德姆塞茨(Demsetz)的制度经济学理论,“在某一资源价值增值的背景下,人们对资源利用所产生的制度成本容忍边界,会根据主体间的竞争实力、资源占用量、受益程度有所不同。”〔31〕Harold Demsetz, Toward a Theory of Property Rights, Vol.57, Am. Econ. Rev., 1967, p. 347-352.这就决定了讨论等保理论不是简单从“安全”出发的非此即彼判断,毕竟过度的数据安全会限制数据使用的效率,让制度本身的正当性存疑。因此,需要从本质上进一步探索数据安全在制度成本上的“被容忍度”。随着数据价值和容忍的制度成本提升,需要引入在不同主体之间更为精细化的等保制度,建立起精细的权利及限制的利益平衡。
三、数据安全等保制度的法理依据
接下来的问题是,数据安全在制度成本上的“被容忍度”界定标准,以及主体之间设计精细化平衡的等保范式,都有赖于先在法理上建立基础认知。数据安全的等保制度既要强调对国外科技公司较高级别的等保合规,又要推动数据被更大幅度、更深层次应用,核心是数据权利主体、数据管理者、数据利用者之间的权义合理分配;在此基础上,除了参照国际上对国外科技公司的等保理论共识和实践,还要在借鉴国际基本规则、国家主权控制、行业自律指引三者之间公约数平衡,形成高弹性、低耦合、模型化的等保制度。根据这一立场,建立数据安全等保制度的法理依据主要包括以下五个方面。
第一,从主权单边规制到基于比例原则的竞争性规制。从全球范围看,数据安全存在跨境数据自由流动、数据保护自主权、良好的数据保护“三难选择”,〔32〕黄宁、李杨:《“三难选择”下跨境数据流动限制的演进与成因》,载《清华大学学报(哲社版)》2017年第5期,第179页。其根本原因在于国外科技公司的数据安全等保既是国内问题也是国际问题。一方面,极端的数据本地化国内立法通过限制出口数据类型、实施歧视性标准,会对国际投资、贸易和技术研发产生不利影响。〔33〕See ECIPE, The Cost of Data Localisation: Friendly Fire on Economic Recovery, ECIPE Occasional Paper, 2014(2), p. 2.另一方面,国际规制试图提供数据安全统一标准,目标是解决国内数据立法差异造成的跨境流动、执法管辖和内容审查障碍。〔34〕参见[德]库勒:《欧洲数据保护法:公司遵守与管制》,旷野、杨会永等译,法律出版社2008年版,第354页。其中,又存在两种竞争性规制方式:美国主导的OCED指南、APEC框架、FTAs谈判,以国际组织或协定为基础,数据保护自主权主要依赖行业自律机制,致力于数据的跨国自由流动和执法调取,要求数据转出机构为转移后的数据保护负责;欧盟以地域为基础,把源于成员国的国内立法融合形成GDPR,以法令形式确立数据保护自主权,全面主张对数据控制者的义务和数据产生者的权利,要求数据流入方提供充分、类似和对等保障,严格限制向欧盟外转移数据,尤为关注隐私保护和非法内容审查。欧美两种规制方式尝试以BCRs、CBPRs等实现局部融合,但从未形成统一、约束力较强的数据安全共识。基于现实主义考量,行政法的“比例原则”需要介入竞争性规制。它强调数据安全等保制度不是以主权单边规制下的“确定性指令”,以一种“全有或全无”方式被适用,而是体系化考虑其他对立面的存在,追求目的(数据安全)和手段(制度成本)之间的合比例性要求,从而建立具有“分量”的向度,强调在数据安全“被容忍度”判断上制度与效果之间的关联性、可适用性和预见可能性。
第二,从完全契约的防御到基于不完全契约的等保平衡。诚然,既要实现跨境数据流动,又有良好的数据保护,理想方案是让国家放弃数据保护自主权,以国际共识或协定产生约束力。但正如以上分析,即使当前具有较大影响力的跨境数据安全等保规制也都限于区域范围,没有出现主导性的多边规制,各国对数据安全的等保合规目标差异,使更大范围的权力让渡十分困难。那么,既然终极意义的防御型数据安全共识尚难达成,等保制度设计可以转向“不完全契约”。〔35〕Sanford J. Grossman and Oliver D. Hart, The Costs and Benefits of Ownership: A Theory of Vertical and Lateral Integration,Vol.94, Journal of Political Economy,1986(4), p. 691-719.其基本含义是,当国外科技公司与东道国达成数据安全的“完全契约”代价过大时,可以更多体现“不完全契约”特征,也就是把等保制度的“被容忍度”界定标准和主体之间的等保平衡重点,从设计数据安全等保制度之前能够预见和实施的规则,转向现有等保制度未覆盖到的数据安全风险剩余控制权讨论。根据这一逻辑,基于国家的数据保护自主权,围绕“跨境数据流动”与“良好的数据保护”之间的竞争权衡过程,除了已确定在容忍度范畴内的数据安全风险,寻找那些不能预先确定的数据安全平衡点在等保制度里变得尤为重要。事实上,“目标平衡点的选择、竞争主体的力量对比和规制本身的客观规律共同决定了竞争的结果,从而影响规制的演进方向”。〔36〕黄宁、李杨:《“三难选择”下跨境数据流动限制的演进与成因》,载《清华大学学报(哲社版)》2017年第5期,第176页。
第三,从硬法偏多的强干预到现代软法的引导性干预。国内《网安法》对关键信息基础设施的运营者、《数安法》对其他数据处理者在境内收集和产生的重要数据分别进行规制,但法理基础不受限于“法律控制模式”,〔37〕S. Bambauer-Sachse, S. Mangold, Do Consumers Still Believe What is Said in Online Product Review? A Persuasion Knowledge Approach, Vol.20, Journal of Retailing & Consumer Services, April 2013, p. 373-381.而是主张需要“在分级分类基础上建立数据安全认证、风险评估和危机应对等制度”。〔38〕翟志勇:《数据主权时代的法理新秩序》,载《读书》2021年第6期,第99页。目前,尽管国内一系列数据安全法律法规趋于完善,但硬法偏多,推动法律实施的“工具箱”里的手段仍不够丰富,尤其在面对国外科技公司的数据流通利用、执法调取和内容审查等问题时,涉及竞争性规则、不完全契约的等保平衡分寸拿捏较难,导致不少执法者会“选择性忽略”,直到后果较为严重。因此,除了构建数据安全的等保制度基础性法律,亟须借助“技术标准”对数据全生命周期加以规定,开发技术标准高度的敏捷性、迭代的灵活性、探索的前导性、自适应的流畅性、软法的规则性等独特功能。
第四,从法律框架性规定到设定重点议题的兜底效应。无疑法律的效力位阶更高,在等保制度上发挥着“议题设定”(agenda setting)的支撑引领作用。〔39〕See M. Roberts, M. Mccombs, Agenda Setting and Political Advertising: Origins of the News Agenda, Vol.11, Political Communication,1994(3), p. 249-262.国外科技公司引起的数据安全等保合规涉及多元博弈等难题,对于境内的国外科技公司,东道国的等保合规标准精准、高效,数据安全尚在可控范围,但境外或跨境的国外科技公司潜在风险难以估量,且受到更为复杂的因素影响。比如,针对等保合规的数据本地化和安全出境评估,国内出台过的一系列法规、规章提出了明确要求,〔40〕国务院2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》、国务院2013年《征信业管理条例》、卫计委2014年《人口健康信息管理办法(试行)》、中央网信办2014年《关于加强党政部门云计算服务网络安全管理的意见》、国务院2016年《地图管理条例》、国家新闻出版广电总局及工业和信息化部2016年《网络出版服务管理规定》等,都对数据本地化提出过明确要求。《网安法》《数安法》又对此作出规定。但是,国际上的数据本地化反对者将之当成投资和贸易壁垒,甚至上升到破坏全球互联互通的高度,认为此类规定严重阻碍数据自由流动。〔41〕See Jonah Hill, The Growth of Data Localization Post-Snowden: Analysis and Recommendations for U.S. Policymakers and Business Leaders, SSRN Electronic Journal, 2014, p. 19-23.因此,中国正在讨论的数据安全出境评估办法,以及仍然未见实质性进展的配套技术标准,已成为当下推动基本法律实施的突出问题,同时也导致美国Cloud法出台后,面对“执法”数据跨境的洗牌式全新规则,国内难以提出有针对性的“跨境执法数据”的监管应对之策。
第五,从上位法的体系性协调到寻找共识性法律原则。国家需要在数据安全的细分领域建立分类分级、安全审查、跨境管制、评估反馈的等保合规标准。它作为法律法规的触角,将抽象、概括的条款转化为操作性、技术性、场景性更强的技术规范。当然,围绕“上位法”的等保标准制定,更易引起各方参与主体的关注和支持,且不会让其沦为争夺数据话语权的角斗场,造成数据安全的“公地悲剧”。但在缺少国际共识的情况下,针对多元、博弈、权衡和分裂的国外科技公司,只是围绕《网安法》《数安法》以及民法、行政法的“上位法”进行体系性协调是一个难题,因此,通过对法律法规之间寻找共识的“法律原则”,可以为等保合规标准的细化提供铺垫。与数据安全等保的软法标准、法律法规相比,法律原则的抽象层次更高,它将标准、法律与跨境数据安全的竞争性权衡勾连起来成为“中间桥梁”,提供了更加抽象的政策讨论空间,指引对案例和标准的讨论。涉及数据安全的等保制度的原则包括知情原则、同意原则、比例原则、合法必要和正当原则、公开透明原则、最小化采集原则、保密原则、其他信息控制权等。
四、等保合规数标治理的实践效力
根据制度供给的主体来源,数据安全的等保标准(以下简称“等保数标”)分为三类:政府颁布的强制性标准、标准制定组织的行业或地方标准、其他非正式标准,它们之间产生了等保数标的效力层级化。国际上对等保数标的本体研究,主要包括通用标准的政府干预、行业标准的市场供给、数标供给的激励政策、标准对技术创新的影响力分析等。国外体制的一个显著变化是:政府在等保数标的制定上具有“稳健”“节制”的明显特征,同时,行业性、团体性、区域性的非官方标准数据正在迅速积累,且发挥了越来越重要的功能。
国内在等保数标生态上呈现较强的“举国体制”特征,政府部门牵头制定国家标准和行业标准,为迅速实现数字化转型起到重要保障作用。针对国外科技公司数据安全风险“蝴蝶效应”,尤其对于三级以上等保,政府介入通用性、基础性的等保数标具有“正外部性”,不能纯粹依靠市场机制提供。与此同时,行业性、场景化的等保数标可以更多探索采取“自下而上”的机制,这可以促进数据有效管理、建立数据开放市场、节约数据流通成本、提高数据加工质量。当然,非政府干预标准也存在弊端,比如,等保数标制定的利益相关方参与不充分、不透明,缺乏科学论证,会较难产生现实效力;同时,缺陷标准一旦发挥事实效力,又会阻碍市场准入、竞争中立和执法介入。因此,可以在等保数标的制定程序里采取引入利益相关方等方式,对等保数标的制定参与组织加以协调,在数标制定过程中反复权衡考虑质量、产出、交易均衡、第三方意见等因素,为各方参与者的成本和评估进行建模。〔42〕See Farrell J, Simcoe T, Four Paths to Compatibility, in Peitz M, Waldfogel J, editors, The Oxford Handbook of the Digital Economy, New York: Oxford University Press, 2012, p. 34-58.
在此基础上,进一步厘清国内存在的强制性标准与法律法规关系尤为重要,也是等保数标治理在法源研究上的核心问题。比较经典的标准定性观点认为,“强制性标准就是技术法规的主要表现形式。”〔43〕文松山:《再论技术法规与强制性标准》,载《中国标准化》1996年第4期,第9页。从本质上讲,等保数标应与法律上的“强制性”具有依附性。尤其考虑到国外科技公司掌握国内海量业务数据的现状,以及高附加值的穿透性渗透、丰富关联点的数据派生等,推动制定等保数标与技术法规之间需要协调一致、同步进行、从粗到细和逐步过渡,探索建立技术法规与等保数标相结合的新型体制。
事实上,等保数标的效力界定也经过了一个变化过程。早期研究认为,技术标准与法律规范在效力上存在“功能等价性”。〔44〕宋华琳:《当代中国技术标准法律制度的确立与演进》,载《学习与探索》2009年第5期,第18页。换言之,即使等保数标不完全具有授权依据、订立程序、公布与否、文本形式等法律的外观,但法律条文会援引数标,裁判中也会用数标对事实界定,让等保产生合规意义上的事实拘束力。但是,近年来的研究开始关注等保数标的原因分析,提出了数据安全等保的“合规性”本身需要法律提供程序规范,法律甚至可能赋予等保合规强制执行力,让违规主体直接受到法律制裁。这表明等保数标与法律合规在效力上存在天然的依存性,为使之形成外在于法律系统的自给自足体系提供了坚实基础。
但是,国内基于“合规性”探讨等保数标的效力渊源仍处于起步阶段,这也让当下标准制定“举国体制”成为必然。其根本原因在于数据安全“等保合规理论”支撑不足,尤其对等保数标的基本概念、作用机制及与法律规范的互动,现实中仍表现为相互割裂和缺乏对话。
那么,接下来又如何进一步解决这一问题?“要素级别”的数据更大程度开发和流通势在必行,国家也在深入研究围绕数据安全的等保分级分类,尤其已在公共数据、行业数据上进行了局部探索。然而,数据一旦涉及开发和流通,会持续出现许多数据安全认知的有限理性、数据临界风险的非线性、数据算法的不透明性等“元问题”,尤其对更为复杂的跨境数据流动、执法调取和非法内容审查等会变得更为敏感。它们使数据安全在数据占有者、使用者和国家利益之间的内在特性不同于一般的民商事或行政契约,而是更多表现为一系列“契约的不完全性”。面对数据这样一个甚至改变了经济学“边际效益递减”规律、数量几何级增长、未知空间巨大、柔韧性又很强的全新领域,单纯以法律规则实现数据的法定性、稳定性和预见性不切实际;同时,试图在立法控制下建立一个法律与标准融合的宏观全局模式,目前也还不具备这种能力或可能性。因此,更多引入具有灵活、弹性和持续迭代特点的等保数标方式,敲定那些在数据安全竞争性规制上的“剩余控制权”归属,才是破解难题的关键。
当然,竞争性规制以场景、行业、地方试点为切入口,自下而上逐步建立的数据安全等保合规体系,需要充分吸收和考虑“洛沦兹曲线”的影响,毕竟其初始参数及其微小的差别会决定性影响最终结果。它主要包括紧密衔接“上位法”,等保数标制定程序合理合法,发挥类似法律规范的强制性约束力,同时释放多元主体参与技术门槛高、专业性较强的等保数标制定的能动性。
在此基础上,一是逐步建立数标治理的效力权威性,借助于数标提高《网安法》《数安法》的执法效果,包括避免执法的主动性而不是中规中矩,释放《数安法》、网络安全审查办法等实施之初的黄金时间段价值、增加对“重点”企业的上限执法等;二是强化数标治理的执法方式创新,不是法律机械套用违法场景,而是既强调对已有问题的精准应对,又要监管机关虚构场景和创造问题,防止保守、僵化导致的执法高代价;三是评估、利用境外数标治理经验,国外科技公司的数据风险会传导转化对国家产生影响,同时,任何国家的数标治理经验都必须进行适合本国的改造和调整,包括体系化层次性的等保数标系统构建、数标指引的叠加关联分析、DOA数联网的中台建设、语义分析知识图谱、多主体联邦学习、场景式深度转化应用等。
五、等保合规的集成数据治理模式
根据以上分析,面对国外机构在数据上的“影子风险”对国家安全影响和程度加深,以及国际探索和践行的比较经验,为了迅速解决国内在数据安全上的突出问题,需要建立更高水平、更为有效的等保数标体系。下一步重点要顶层设计、敲定红线、软硬兼顾,在此基础上,推动制度配套、风险评级、有序合作、分类管理、技术为盾、失信关注、违法严惩等多角度立体治理,构建起全覆盖、全链条的数据治理模式。
首先,等保数标的“软法化”。当超越了标准与法律合一或分离的二元对立,通过对等保数标的规范性与效力分析,可以发现标准的规范性与法律的规范性存在本质区别:等保数标的法定效力不来自于标准本身,而来自法律规定。所以,标准根本上体现的是“软法”的理念和属性。
采取这种“硬法—软法”的分析框架,有利于廓清等保数标与数据安全立法之间的内在逻辑。毕竟在数据定位不清、数据治理过于原则、数据运营缺乏统一性、法律保障措施不足的情形下,以“软法”的等保数标方式为切入口,可以灵活、弹性地探索数据权益的层次划分、个人信息的精细化保护、“红旗规则”与“避风港原则”适用、重要数据的目录管理机制、数据中心的知识图谱索引、数据资产评估、数据生产要素统计核算、区域数据质量管理、数字认证等问题。可以说,数据安全立法与等保数标作为硬法与软法,体现为在立法上平行推进、在执法上协同运用的法治范式,它们理论上共同构成了现代数字治理格局。
当然,等保数标事项即使符合了强制性标准,被作为法律事实或证据在执法中加以援引,也并非一定能作为法定的抗辩事由。为了解决执法中的这一问题,达到一定等级以上的数据强制性标准须经立法程序转化为技术法规,才能作为“准据法”,获得在数据领域中的法律确定性。虽然强制性标准不完全等同于技术法规,不直接属于法律法规范畴,但调整技术法规体系或用技术法规代替一些强制性标准并不可行。国内数据领域的强制性标准与技术法规共同存在具有合理性,能够良性发展。可以说,将等保数标纳入“软法”视角,一定程度上终结了关于强制性标准到底是不是技术法规的争议,使关于等保数标的讨论从基本概念推进到技术标准的功能和影响层面。
其次,等保应用的“场景化”。技术标准是不是法,“软法”理论已做出回答,技术标准作为软法区别于硬法。但是,技术标准作为软法的作用机制,缺少令人满意的答案。毕竟多数等保数标并不具有强制约束力,那么数据处理者何以要遵守技术标准,对此需要借助数标作用机理作出解释。现有研究主要从法教义学角度讨论技术标准如何经由法律条文、司法审判或合同条款援引产生法律效力,更多停留在“纸面上的法”,缺乏在实践层次上的“数标建模”分析,限制了软法理论支撑等保数标研究的实用性。
根据这一倾向,目前以等保合规为对象的数据安全研究,主要聚焦于抽象意义上的技术标准与法律之间关系讨论,较少关注等保数标的技术性、场景性、实用性特征,导致论证的逻辑链条缺漏、论证强度不足,结论具有一定武断性。但是,规模化数据的治理和流通,除了通用性、基础性领域,正从以往的“数据供应”向“数据需求”转型,“场景再造”是高水平、精细化等保数标制定的起点和牵引力。它要求以场景为切入点,充分考虑技术标准在约束力类型、行业领域、实施主体等维度上的复杂性,实现业务引领的等保数标精细化分类。
最后,等保分级的“类型化”。数据所涵盖的数据类型具有多样性、广泛性的特点,无法“一刀切”规制。因此,分级分类是对数据收集、存储、加工、使用、提供、交易、公开等行为进行精细化、差异化管理的前提。但是,分级分类标准的制定需要立足于技术标准法治体系的大框架。从“上位法”的视角对数据的分级分类,需要综合参考一系列法律或规范性文件,大幅提升整全性与灵活性、闭合性与开放性之间的高度拟合度。包括国家标准《信息系统安全等级保护定级指南》、各地方政府数据分类分级指南、《网安法》《数安法》等。需要考虑不同领域数据共性,如敏感度、数据规模、隐私保护、使用价值等分级维度,设计一套通用性的数据分级分类标准框架;充分考虑到不同应用可能对数据分类的个性,保持标准框架的开放性。
在此基础上,建立数据的“法律与技术一体化”治理方案、面向规模化的数据安全生命周期,以“技术标准”“法律规范”为双要素的等保合规方案。其特征包括:(1)相对确定性。这种稳定性和确定性可以让数据主体对照等保,完成投入研发、内控审计、外部认证、流程再造。毕竟朝令夕改的规则和标准难以提供明确的合规指引,其所产生的实际效力会有存疑。因此,规则和标准的制定需重视其相对确定性。(2)较大柔韧性。数据科技发展之快不断更迭着对数据的认知和治理,这也意味着数据规则和标准体系的构建必须具有足够大的弹性,避免其一经制定便被时代抛在身后的问题。(3)内容实质性。区别于规则,等保数标需要避免流于抽象原则和权利的列举,或只是对法律规则的照本宣科,而是要体现在执法上的强操作性,否则便失去了技术标准的存在意义,所以,必须在标准规范中规定更具有实质性内容的举措。
六、结语
毫无疑问,针对不少境外、跨境的国外科技公司在不同程度上挖掘和获取规模海量、授权模糊、边界不清的多种大数据,由于国家监管信息和执行力度有限,产生的违法非法使用数据风险往往难以估量,直接或间接威胁我国的社会稳定和政治安全,所以构建数据安全的等保合规体系变得尤为迫切。面对这种数据影响安全的深刻痕迹,以及国际探索践行的比较经验,我国需要迅速解决在数据监管上的短板,把等保合规推向建设更高水平、更为有效的全景式数据安全等保合规体系。在宏观上,高起点构建全覆盖、全链条的系统集成数据安全等保合规模式。重点是以顶层设计、敲定红线、软硬兼顾为原则,定位于分类建立领域性的数据安全动态风险识别和预警标准,实施更为精准的等保分级管理。在此基础上,以硬法和软法协同、核心技术自主原创、守法激励和失信惩戒、监管分工和综合执法清单、国家安全渎职问责机制等方式,逐步实现数据安全等保合规的立体化治理。在微观上,逐步建立一系列促进与规制之间的高水平科学治理模式。包括在个人信息保护上借助于“红旗规则”“避风港原则”,探索数据安全的等保合规责任豁免机制;构建数据出境安全评价指标体系,以加强安全保障为要素强调数据本地化和有序跨境流动;通过关键性数据甄别例行比对、应对在线虚假信息传播、提高算法可解释性、发布在线非内容处理指南等,以提升透明度为导向加强内容监管审核。
