内容摘要:我国《数据安全法》采取综合立法模式,形成我国对数据安全的原创性制度实践。《数据安全法》拓展了传统数据安全的含义,其立法逻辑隐含了“安全—控制—利用”三个层次,以适应数据开发和利用所伴随的安全风险加剧的现实。从域外经验来看,美欧等数字经济发达国家或地区近年来通过多个单行立法的形式,同样沿着“安全—控制—利用”的三层结构,构建了各自独特的数据战略。相比之下,目前的《数据安全法》的实施和落地,无论在战略层面和具体制度构建层面都存在不足,应当对此予以针对性优化。
关键词:数据安全法;数据战略;安全;控制;利用
一、引言
党的十八届五中全会正式提出实施国家大数据战略以来,立足我国国情和现实需要,国家全面推进大数据在社会治理、经济运行、民生服务、创新驱动、产业发展等方面的发展与应用,我国进入加快建设数据强国的新阶段,数据对经济发展、社会治理、人民生活产生了重大而深刻的影响。党的十九届四中全会明确将数据作为新的生产要素。与此同时,数据安全问题也成为全社会在数字化转型过程中必须面对的基础性问题。
2021年6月10日,《中华人民共和国数据安全法》正式通过,并于2021年9月1日正式生效。到目前为止,基于《数据安全法》做出的执法相较于《个人信息保护法》《网络安全法》而言较少。这与《数据安全法》实施的滞后以及立法伊始围绕着《数据安全法》定位所存在的许多探讨甚至是争议存在密切关联。
一方面,我国作为成文法国家,存在着法律体系定位的先在约束,立法者在制定新的法律时,首先解决新的法律与其他法律之间的关系问题,确保“‘下一个’立法如何更好地‘嵌入’既有体系”。在制定《数据安全法》之前我国已经通过了《网络安全法》,其中不乏对数据或者网络数据安全的明确规定,加之《个人信息保护法》出台,由此形成了《网络安全法》《数据安全法》《个人信息保护法》三法并行的独特架构。如何协调三法之间的关系并明确各自分工和适用,关系《数据安全法》的科学性;另一方面,从全球的立法经验和文本现象来看,《网络安全法》和《个人信息保护法》都能在域外找到直接对应的规则,但《数据安全法》属于我国首创的制度实践,与美欧等代表性国家和地区通过内嵌于网络安全维护、个人信息保护、出口管制、跨境执法调取等领域分散式立法不同,由此也造成域外对《数据安全法》理解的模糊和困难。在数字经济全球化、地缘政治斗争深化的背景下,作为具有中国原创性的制度实践,向国际社会阐释、澄清数据安全法的功能和制度构建,既可以避免国际社会对我国数据安全立法的误解,也有助于我国在国际范围内寻求数据安全保障的治理共识。目前学界对于数据安全法的立法定位问题,多从外在体系定位的角度加以探讨,包括《数据安全法》与《网络安全法》《个人信息保护法》乃至《国家安全法》的关系问题,或者从法律体系关系出发,探讨《数据安全法》在整个安全法体系内部的定位,或者对该法作为数据安全领域的基础性法律的立法定位加以解读。
一部法律不仅存在外部相对独立性的体系定位问题,也存在如何按照规范对象或领域的客观规律,在内部进行逻辑排列以自成一体的体系化问题,此即通过统一的概念和规范间逻辑的排列组合体系化内部规则。《数据安全法》如何寻找自身独特的治理结构和内容,其作用于数据治理的立法逻辑如何搭建,均构成我国数据安全立法的基础性又事关全局的问题,明晰这些问题无疑将有助于在共识的基础上更深入地推进我国《数据安全法》的实施工作。本文尝试在内在体系视角下,通过“原旨化”的方式厘清《数据安全法》立法逻辑,提出《数据安全法》“安全—控制—利用”的内在逻辑,并结合美欧数据安全保障的相关立法实践经验,为我国《数据安全法》在实施方面的优化提出建议。
二、我国数据安全立法逻辑的体系结构
在《数据安全法》纳入立法规划之前,《网络安全法》为数据安全保护的集大成者,数据安全作为网络安全的重要内容,在《网络安全法》中得到初步体系化构建。但《网络安全法》出台后,国内外形势发生了较大变化。全球范围内数据泄露事件频发,Facebook剑桥分析事件、微软诉美国司法部等事件,也纷纷揭示出新时期数据治理的复杂性,在传统数据安全之外,还囊括了数据滥用、融合共享、跨境流动、跨境执法调取等问题,并在最高层面上诉诸于数据主权话语,数据安全指涉对象逐渐层次化,数据安全呈现为内涵逐渐丰富的过程。
与《数据安全法(草案)》同期发布的《关于〈数据安全法(草案)〉的说明》(以下简称《(草案)说明》)对于理解我国《数据安全法》中“数据安全”的内在逻辑是重要抓手。《(草案)说明》对于该法制定的必要性、主要内容等进行了清晰的说明,背后蕴含着起草者对立法的整体性解释和对立法重点内容的“原旨”化解释。因此,本文将尝试结合《数据安全法(草案)》文本和《(草案)说明》,通过“原旨化”的方式抽象提炼出理解数据安全法内在立法逻辑的要素结构。
《数据安全法(草案)》对立法必要性进行了四点说明,分别是:通过立法加强数据安全保护,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益;通过立法建立健全各项制度措施,切实加强数据安全保护,维护公民、组织的合法权益;通过立法规范数据活动,完善数据安全治理体系,以安全保发展、以发展促安全;为适应电子政务发展的需要,提升政府决策、管理、服务的科学性和效率,通过立法明确政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。由此可见,传统意义上的数据安全也仅仅是该法立法目的的局部而非全貌。《数据安全法》试图达成的数据安全规范体系,显然超出了传统意义上的数据安全,在内涵上更加丰富。有鉴于此,本文试图将数据安全法所谓的“安全”拆分为三个层次加以理解,其内在立法逻辑在于围绕数据的安全、控制、利用三个层次展开。
(一)安全
所谓“安全”是指国家构建数据安全制度,明确数据安全保护义务,实现技术意义上的数据安全,也是《数据安全法》最基本的层次。在信息科学领域,数据作为信息存储、传输和处理的方式,往往与信息等同使用,数据安全也就等同于信息安全。国际标准化组织(ISO)将信息安全定义为“通常是指保护信息的保密性、完整性和可用性,以实现用户对可用信息的需求”,也即所谓“CIA”三性:保密性(confidentiality)是指“维护信息获取和披露的授权限制,包括保护个人隐私和专有信息的方法”;完整性(integrity)是指“防止不当的信息修改或破坏,包括确保信息的不可否认性和真实性”;可用性(availability)是指“确保信息的及时以及可靠的获取与使用”。
从技术意义来看,《数据安全法》立法目标在于“建立健全各项制度措施”“完善数据安全治理体系”,对应的是国家面向公民、组织所负有的数据安全积极保护义务,明确国家对社会生活中的各类数据活动的安全提供制度性保障,确保能够在安全秩序下开展。《数据安全法》多处条文和制度也对应了国家数据安全保护义务的制度性保障面向,如第22条明确提及国家建立数据安全风险评估、报告、信息共享、检测预警机制等各项制度;第23条明确国家建立数据安全应急处置机制等。此种技术意义上的数据安全,从我国最早的计算机领域立法《计算机信息系统安全保护条例》直至《网络安全法》均有所体现,但这并不意味着“数据自身安全”不可构成《数据安全法》的规制重心,相反,对于技术意义上的数据安全,《数据安全法》仍有可提升和突破的空间,回应在数据价值释放的动态过程中如何保障数据自身安全的问题,实现以安全促发展。
(二)控制
所谓“控制”是基于数据作为国家基础性战略资源的视角,从维护国家主权、安全和发展利益的高度,明确国家能够对一定范围内数据的收集、使用、流动、删除、销毁等环节提出自主控制和支配的强制性要求。“信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源”,但对于作为国家基础信息资源的数据,并不仅仅为国家所掌握。互联网商业化的繁荣也造就了一批几乎具有国民级体量的科技巨头,他们在数字技术和数据体量的掌控力并不亚于国家,凭借所掌握的数据资源和技术而事实上拥有“准数据权力”。“棱镜计划”曝光后,全球更加警醒于主权国家之间技术与信息的不对称,在大数据和人工智能技术的帮助下,国家秘密与非国家秘密之间的界限不断模糊,大量非国家秘密的数据可以聚合分析出影响国家安全的涉密信息,损害国家利益。对于此类在国家经济社会发展具有重要性、有可能危害国家安全或公共利益的数据,国家作为主权者,理应自主享有对本国数据进行管理和利用的权力,防范本国数据被对国家或势力恶意使用而造成对国家安全的威胁。
《网络安全法》立法之时,碍于立法背景和时机的限定,错失了从“基础性战略资源”的高度对数据安全进行全方位、制度化顶层设计的机会。如何应对大数据技术对国家、社会可能构成的安全威胁,无疑是《数据安全法》与此前数据安全相关法律法规的立法重心的分野所在。虽然《数据安全法》没有像《网络安全法》一样,明确提出“维护数据主权”的主张,但无疑也关注到这一问题,从维护国家主权的高度明确数据安全保障要求,如重要数据保护、数据国家安全审查制度、数据出口管制要求、境外执法机构数据调取的“封阻法令”均是从国家对本国数据进行控制和支配的角度提出的制度性构想。
(三)利用
所谓“利用”是指公共部门基于公共行政或执法必要性等调取私营部门所持有的数据,以及鉴于数据对于经济生产、公共管理、商务智能等决策支持作用,通过立法推进和便利化公共部门已有数据的再次利用,实现对数据驱动的制度支持,既包括推进政务数据共享,也包括政务数据开放以便利全社会实现数据的增值性利用。一方面,随着网络成为人们生活、生产的新空间,由网络信息服务提供者等企业所掌控的数据能够极大地便利政府推进公共管理、公共服务,尤其当传统犯罪活动也借助于信息技术产品或服务日渐呈现网络化后,通过网络信息服务提供者调取数据也成为公安机关、国家安全机关重要的取证方式,企业相应的协助执法义务成为国际通行做法。但目前对于企业的数据协助义务或者政府的执法调取权限零散规定在《反恐怖主义法》《情报法》《网络安全法》《电子商务法》《个人信息保护法》中,《数据安全法》第35条、第38条试图对此作出统一的授权性规定。另一方面,推进政务数据开放也能有效服务经济社会发展,但随着政务数据开放范围、领域、应用场景的不断丰富拓展,如何平衡政府数据开放过程中的数据安全问题也不容忽视:政务数据共享开放平台汇聚大量数据容易成为攻击目标等,因而需要确保政务数据共享开放各环节中数据不被非法复制、传播、篡改、甚至泄露,也需要考虑如何防范大数据环境下开放的政务数据被用作公开源情报威胁国家安全等非传统数据安全问题。虽然从2019年开始,全国各地陆续推出有关政务数据开放的相关管理办法,但仍有待于数据安全法实现国家层面的整体推进。对此《数据安全法》中第5章专章规定了“政务数据安全与开放”相关内容。
三、域外数据安全法治逻辑与我国立法的结构耦合
“每个社会的法律在实质上都面临同样的问题,但各种不同的法律制度以极不相同的方法解决这些问题,虽然最终的结果是相同的。”虽然单行的《数据安全法》为我国首创,但大数据技术及其应用带来的挑战为全球所关注,各国在回应数据治理时,尽管制度形式上各有不同,但实质内容却存在具有可比性的共通之处。正所谓“他山之石,可以攻玉”,本部分试图基于比较法视野出发,对全球范围内相关立法、政策等进行研究分析,寻求数据安全立法的制度共识。在比较对象上,主要选取欧盟和美国相关立法,前者基于独特的隐私文化成为全球当之无愧的数据治理制度大本营,后者则是全球数据科技前沿和产业大本营,对全球政治、经济环境也有重要影响,一定程度上二者也是在彼此博弈中型塑了各自的数据治理方案。在具体比较思路上,将具体结合前述数据安全法立法逻辑的三个层次分别进行,既可以验证我国数据安全法立法逻辑的科学性,也可以从具体层次上更具针对性地比较、取舍和甄别,进而为完善我国数据安全法提供智识建议。
(一)安全
对于技术意义上数据自身安全的保护,欧美均将它作为底层安全问题,散见在有关个人信息保护、网络安全相关立法中,但二者在立法模式上存在差异。不论是个人信息保护还是网络安全立法,美国在联邦层面上始终未能推进统一立法。对个人信息保护而言,美国主要采取行业分散立法模式,针对金融信息、医疗健康信息、儿童个人信息等行业分别进行立法,并由联邦贸易委员会依据消费者权益保护职权负责其他领域中个人信息保护的监管执法。对网络安全,美国一直保持清醒的认识,联邦层面有50多部法律直接或间接与网络安全相关。欧盟则整体上倾向于统一立法模式,有关个人信息保护立法集中体现在《通用数据保护条例》(General Data Protection Regulation,英文简称“GDPR”),有关网络安全立法集中体现在《促进欧盟共同高水平网络与信息系统安全的措施之指令》(以下简称《网络与信息安全指令》)。
从立法具体内容来看,欧美对于技术意义上数据自身安全的保护,也集中在“保密性、完整性、可用性”的保障:如美国《联邦信息安全管理法》明确“信息安全”在于“保护信息和信息系统不受未经授权的获取、使用、披露、破坏、修改或销毁”;欧盟《网络与信息安全指令》中对于“网络与信息安全”的界定也基本相似,旨在防御“危害系统存储或传输的数据的可用性、真实性、完整性和保密性,危害依靠该网络或系统提供或获得有关服务”的行为。
从规制要求上看,对于技术意义上数据自身安全,美国要求运营者等采取合理(reasonable)的措施或设计,避免可合理预见的安全风险,欧盟也采取了与之相似的“合适性”(appropriate)的概念,作为评价监管对象是否履行安全保护义务的主要评价标准;在具体实现路径上,欧美均从风险管理视角设计安全保护策略的基本框架,落脚于监管对象内部的管理流程、模式,审视其内部安全风险管理流程在应对安全风险时,是否满足“合理性”“合适性”考量。美国学者认为美国立法中对于“合理性”的要求可以从监管对象是否准确辨识数据类型并评估可预见的威胁或风险、是否采取应对威胁或风险的合理策略与措施、是否在发生数据泄露事件后及时采取补救措施、是否经常评估并更新信息安全保护策略和措施等6个核心方面加以判断。与此类似,欧盟在《网络与信息安全指令》中也要求监管对象“参考最先进的技术发展,且与风险相称的安全水平”,采取合适技术和组织措施。
简言之,虽然欧美对技术意义上数据自身安全的保护也强调传统CIA三性的保障,在立法思路上倡导“以管理为基础的规制”,相对动态地确定“合理性”“合适性”等模糊概念的具体内涵,避免因技术进步、信息不对称、行业间高度异质等而频繁修订安全保护义务的规定。
(二)控制
在控制层面,以数据跨境流动为典型,大西洋两岸一直持续巨大的分歧:欧盟基于独特的隐私文化,一直以个人数据保护为由限制数据跨境流动,具有极大的制度辐射力和国际话语权;而美国作为互联网技术和产业大国,一直在国际社会中积极倡导数据自由流动,诟病欧盟构建贸易壁垒。同时,欧美也在某种程度上分享着共识:数据跨境流动制度本身在法律之外,更多的是经济、政治博弈的投射。
自上世纪七十年代开始,欧盟在成员国层面率先开启限制数据跨境转移的立法;八十年代,欧共体层面推进了《OECD指南》和《108号公约》,认可并协调成员国立法;九十年代,欧共体成功推进《服务贸易总协定》(GATS),认可隐私保护例外条款,将个人数据保护立法转变为合法限制国际贸易的措施,欧洲议会和欧盟理事会也在1995年通过《个人数据保护指令》;2009年,为回应大数据崛起的新环境,欧盟启动个人数据保护框架改革工作,最终于2016年通过GDPR,以“条例”取代并升级“指令”,强化“充分性认定”和“充分性保障”机制,实现对数据跨境流动的限制,并借助于广泛的域外适用和高昂违法处罚,强势引领全球进入第三代高标准的个人数据保护立法。简言之,欧盟的数据跨境流动制度,在于要求和评估境外数据接收方国家或地区必须达到与欧盟相同的“充分性”保护水平,从而实现对数据跨境流动的限制。
在GDPR框架下,符合充分性认定是进行跨境传输最具确定性和最为便利的方式,GDPR第45条以开放性列举的方式明确进行充分性认定所需考虑的主要因素,包括第三国或国际组织的法治和基本人权保护程度、是否具有独立有效的数据保护监管机构等。但实践中欧盟官方对充分性的认定,更多是采取了战略性态度,“充分性保护认定的标准往往与政治因素相结合”。欧盟委员会在《全球化世界中交换和保护个人数据的通信》中指出,欧盟应当抓住时机推动世界范围内不同数据保护法律体系的相互兼容,从而达到推广欧盟数据保护价值和促进数据流动的目的,而“充分性认定”被欧盟委员会视为是推动世界向欧盟看齐的最重要抓手。由此,事实上欧盟委员会对充分性认定的评估存在较大的自由裁量空间,“更多的是一种政治或政策考量,甚至可能成为欧盟与其他地区、国家谈判或利益交换的一种合法工具”,在大数据环境下继续强化欧盟对于全球数据治理的话语权。
美国一直试图推进国际层面上认可数据跨境自由流动,近年来一直借助于在亚太地区的影响力,推动以亚太经济合作组织的隐私框架(APEC Privacy Framework,以下简称APEC隐私框架)为基础构建的跨境隐私规则体系(Cross Border Privacy Rules,以下简称CBPR),实现数据跨境自由流动的诉求。CBPR体系以AEPC隐私框架中的个人数据原则作为数据跨境流动为标准,之所以能够实现美国对于数据跨境自由流动的诉求,原因在于CBPR体系所要求的个人数据保护水平实质上是“美国在国际协议中所能接受的最大限度的隐私保护水平”,而加入CBPR便意味着其他经济体需要放弃本国较高水平的个人数据保护要求,向CBPR体系靠拢,进而实现个人数据向美国的自由流动。
与此同时,美国也通过国内法对其内部数据流动作出限制,只不过与欧盟不同,美国对于跨境数据流动的限制并不主要借助于个人数据跨境流动实现,而是诉诸于“国家安全”,并通过出口管制、外资投资国家安全审查等制度实现。2018年8月13日,美国《出口管制改革法案》(Export Control Reform Act, ECRA)与《外国投资风险管理现代化法案》(Foreign Investment Risk Review Modernization, FIRRMA)作为《国防授权法案》的一部分,由特朗普总统签署生效。对于前者,早在1969年《出口管理法》(Export Administration Act, EAA)中对“数据和技术信息”施加出口限制,此次修订的重要变化在于引入“新兴和基础技术”的概念,出口管制的范围不再限于1979年EAA侧重军事方面影响的“关键技术”,而扩张及于任何可能威胁国家安全的技术,并且存在对“视同出口”的限制。对于后者,此次修订的重要变化在于扩张美国外国投资委员会(CFIUS)的审查范围,与“关键信息基础设施”“关键技术”“美国公民个人敏感数据”相关企业的投资均纳入到审查范围,同时明确将“交易是否有可能直接或间接地暴露美国公民的个人身份信息、基因信息或其他敏感信息”纳入CFIUS的审查考量因素。整体上来看,通过出口管制、外资投资国家安全审查等制度及其改革,美国大体实现了对特定数据接触“主体”的控制,尤其特定数据被所谓“特别关注国家”获取。此外,美国在2009年后还针对涉及国家安全的信息管理建立了“受控非密信息”(Controlled Unclassified Information, CUI)制度,在登记、分类的基础上,要求CUI的持有者采取安全保护措施,并控制其传输和使用。
(三)利用
对于利用层面,美欧一直以来在着眼于释放数据利用的价值,推进数据开放,既强调政府对数据的开放,也倡导政府利用企业数据满足执法和公共管理诉求等。
2009年起,随着《开放政府指令》(US Open Government Directive)等一系列法案的实施,美国在全球范围内掀起了开放政府数据的浪潮。2019年1月,美国通过《开放政府数据法案》(Open, Public, Electronic and Necessary Government Data Act),总结和确认政府数据开放已有政策和实践经验并上升为联邦立法,明确政府数据开放相关的报告、评估、问责等制度,与《数字问责和透明法案》《地理空间数据法案》一并构建美国数据开放的法律体系。实施层面,在《联邦数据战略与2020行动计划》中明确将数据安全作为各政府机构的关键性行动,纳入美国联邦政府未来十年的数据愿景之中,将数据安全保障视为政府信息安全的重要组成部分,强调采取合理的数据安全措施,如提供安全的数据访问机制,实现有效的管理、维护和利用。此外,受控非密信息管理体系也为需要保护或控制传播的政府数据提供了相应的安全控制措施。
不同于美国默认开放的思路,欧盟采取相对保守的策略,围绕着公共服务需求,从公共部门信息再利用出发,逐步推动私人部门的数据再利用。就公共部门信息再利用而言,2003年,欧盟出台《公共部门信息再利用指令》(PSI),为公共部门信息再利用构建整体框架和最低规则;2010年,欧盟委员会提出“开放数据战略”(Open Data Strategy),提议对该指令进行修订,以应对大数据技术发展变化并解决中小企业和初创公司在公共数据利用方面的障碍。2019年1月,欧洲议会、欧盟理事会和欧委会的谈判代表就修订后的《开放数据和公共部门信息指令》达成一致意见,修订后的新指令将有利于推动欧盟公共部门数据的可获取和再利用。就私人部门数据利用而言,2013年欧盟发布了“数据供应链倡议”,试图建立“公私伙伴关系”(public-private partnership, PPP),希望将公共部门和私人部门动员起来,打造欧盟内部密切结合的数据生态系统,并提出B2G(business to government)和B2B(business to business)两种私人部门数据再利用模式;2018年,欧盟发布《非个人数据自由流动条例》,旨在统一欧盟境内的非个人数据的流动规则,促进企业间数据流动,进而推进欧盟数字单一市场的良性竞争环境。2020年2月,欧盟发布《欧洲数据战略》,描述了欧盟在未来五年推进数字经济的政策措施,开启欧盟“单一数据市场”的进程,明确加大数据开放,建立改善公共服务、应对环境恶化和气候变化等公共利益数据的优先访问机制,力图达到数据赋能社会和公民福祉的目的。
同时,在利用层面,美欧最为强势的动作在于通过国内法授权本国执法机构出于执法目的跨境调取存储在他国的数据(以下简称“执法跨境调取数据”)。全球化、数字化使得执法跨境调取数据成为必要,各国在执法过程中均面临电子证据存储在境外的难题。整体上,全球范围内主要国家仍然遵循传统的属地管辖原则,主要通过国际法框架下的司法协助、警务合作等双多边方式解决,但存在着门槛高、依赖于国家间机构协调合作、效率低下等弊端。
“Microsoft Corp.v. United States”一案在全球范围内引发讨论,并最终促成美国快速通过《澄清合法使用境外数据法》(Clarifying Lawful Overseas Use of Data Act, CLOUD Act,以下简称“云法案”)。该案中,联邦执法官员为进行贩毒品调查,试图获取存储在微软爱尔兰数据中心的电子邮件账户信息。对于执法调取数据的问题,此前1986年《存储通信法案》(Stored Communication Act, SCA)仅明确了执法机构能够强制个人或企业披露存储在境内的数据,因而就能否调取境外数据,微软与美国政府各执一词:微软认为FBI不能通过搜查令在外国领土上实施搜查和扣押行为;FBI认为不论数据是否存储在美国,美国均可基于对微软的管辖权而获得由微软控制的数据。事实上,就境外存储数据的管辖权问题,不论是微软主张的“数据存储地标准”还是FBI主张的“数据控制者标准”,各有利弊。为了避免美国最高法院在“阻碍政府正当执法”亦或“损害美国企业全球运营”的两难困境中作出选择,2018年2月,部分参议员提交云法案提案,针对性地改革SCA,不仅授权美国执法部门可依据“数据控制者”标准调取美国服务提供者所拥有、掌管或控制的通信、记录或其他信息,借助于庞大的全球互联网产业背景,将美国政府的数据调取之手方便地延伸到他国之境;同时也明确了外国执法部门调取存储在美国境内数据的具体机制,通过“适格外国政府”的认定,明确仅在符合美国式人权和隐私保护基线等特定条件并给予美国政府对等待遇时,才允许适格外国政府直接向美国服务提供者调取数据。
美国通过云法案最大化美国利益的同时,也催生了欧盟的对等策略。2018年4月,云法案生效不足一个月,欧盟也对外推出“欧盟版云法案立法计划”——《欧洲议会和欧盟理事会关于刑事犯罪电子证据的调取令和保全令规定的提案》(以下简称“电子证据立法建议”),希望借此增加欧盟筹码,并“与美国当局达成互惠”。从具体内容来看,欧盟也认可“数据控制者标准”,但碍于没有庞大的跨国企业,欧盟将政策的落脚点置于整个欧盟市场,所有面向欧盟市场的服务提供者均属于应当配合执法机构数据调取命令的义务主体;同时,对于全球运营的数据控制者,只要其在欧盟境内的分支机构相关活动场景与境外的数据处理活动之间存在“紧密联系”,即便真正进行数据处理的控制者并非在欧盟境内,也应接受欧盟管辖。由此,欧盟执法机构数据调取的范围,也远远超出了地理意义上的欧盟辖区。
(四)美欧数据立法战略总结
美欧虽然没有采取我国这样的一部综合性数据立法的形式,主要通过分散式单行法的方式,但也同样抓准了数据安全立法“安全”“控制”“利用”三个层次需求,并沿着这三个层次形成了各自的数据战略。
美国占据技术先发优势,有着强大的产业基础和服务贸易量,全球运营的美国企业成为美国数据立法的重要关切和杠杆因素,并据此实现管辖范围的扩张。在安全层面,美国立法强调给予企业决定安全控制措施的空间,并大力倡导国际标准,反对中国自主制定网络安全国家标准,由此减少美国企业全球运营的合规成本。在控制层面,美国表面上一贯主张跨境自由流动,反对在国际贸易中的隐私保护例外条款,但对于本国境内数据,美国并非全无控制,而是借助于国家安全例外实现对特定类型数据出境的控制,并在近期通过国内法案现代化改革,进一步强化扩张及于“新兴和基础技术”“公民个人敏感数据”,限制其被特定外国企业、个人获取,以便在大数据背景下能够切实保障国家安全并遏制包括我国在内的等重点关注国家崛起。在利用层面,美国在推进政府信息公开、数据开放的过程中积累了丰富的制度经验,在推进政府数据开放的同时,也通过受控非密信息制度实现了政府数据传输和使用的控制;在企业数据利用维度,美国通过云法案明确执法机构可以调取企业数据,并且以“数据控制者”为标准明确执法跨境数据调取权限,实际上将全球运营的美国企业打造成自己在网络空间中的领土延伸,美国企业无论在境内外获取的数据,美国执法机构均可以通过国内法的法律程序实现调取,极大地便利了美国执法行动,而外国政府调取美国企业数据则需要符合美国国内法要求的“适格外国政府”等限定条件。
从欧盟来看,不论是“单一数字市场”还是“欧洲数据空间”,一直以来欧盟试图通过全面清晰的规则治理和监管塑造欧洲数字未来,型塑“开放且主权”的欧洲数据大陆。当前,欧盟的互联网产业发展相对落后于美国和我国,产业能力、基础设施、代表性企业相对有限,欧盟企业事实上处于数据弱势地位,欧盟在数字经济中的份额也与其自身的经济体量存在较大差距。但互联网产业中数据多由消费者使用产生,由此欧盟便转换视角,以整个欧盟市场作为政策施力点,要求所有面向欧盟提供产品或服务的实体,均应当接受欧盟的管辖,既实现对掌握欧盟数据跨国公司的规制,也通过面向欧盟提供产品或服务的实体,实现欧盟管辖范围的扩张,事实上扩张了欧盟对全球网络空间中数据的掌控能力。从安全层面来看,欧盟与美国相似,从风险管理视角设计安全保护策略的基本框架,并通过网络和信息安全局(ENISA)发布有关网络和信息安全最低措施的技术指南,以协调成员国和运营者采取相应可靠的信息安全措施。在控制层面,欧盟建立统一的个人数据和非个人数据保护框架,在欧盟内部协调多个成员国之间存在数据监管不一致的问题,从制度层面扫清数据在欧盟境内自由流动的障碍,同时也通过设定高标准的个人数据保护要求,重建数字经济发展的信任前提,回应欧洲独特的隐私文化保护诉求;在欧盟外部,欧盟也借助于“充分性机制”,实现“内外有别”,以彼此信任为基础允许数据跨境流动,从而使得任何接收欧盟数据的组织均应当提供与欧盟具有实质相当性的数据保护水平,事实上将其高标准的数据保护要求投射至欧盟之外,同时欧盟也通过将面向欧盟市场提供产品或服务的服务提供者作为规制对象,扩张了欧盟数据相关立法的管辖范围,极大增强了欧盟对于传输至境外的数据的控制力。在利用层面,欧盟从公共部门数据再利用逐渐推进私人部门数据再利用,并提出B2G模式,强调私人部门为公共部门提供数据收集、分析和处理等服务,帮助公共部门提高城市规划、疫情防控、道路和交通管理、环境保护、市场监控和消费者保护方面的能力。同时欧盟也试图与美国“达成互惠”,积极推进执法调取数据立法,同样以“面向欧盟市场提供产品或服务的提供者”为义务主体,并将数据控制者及其分支机构做紧密联系,明确其应当配合欧盟执法机构的数据调取命令,无论数据是否存储在欧盟境内,使得前述服务提供者在欧盟市场运营的数据能够最终服务于欧盟监管。
四、我国《数据安全法》的实施建议
我国《数据安全法》主要是一部授权性法律,意在对标域外主要国家和地区对数据的立法和规制措施,赋予我国相关主管监管部门权限,开展后续的数据安全管理和监督工作。但目前为止,除了国家互联网信息办公室制定的《数据出境安全评估办法》之外,鲜见其他部委利用《数据安全法》赋予的授权。
(一)基于数据战略的实施建议
从美欧的比较观察来看,美欧虽然没有综合性的数据立法,但看似分散式的立法背后,实际蕴藏着各自的数据战略意图,立足自身的经济、政治、法律传统等因素出发,力求取得利益最佳平衡点。相较之下,我国《数据安全法》虽然也关照当前数据治理的多元立法需求,但整体上偏重于对于欧美立法的形式性借鉴和制度性应对,在前瞻性和实质性的数据战略谋划方面略显不足,尚未能形成较为明确的数据战略和系统的制度安排。这些恰恰是基于《数据安全法》的后续法规或规章立法时应着力解决的问题。
以数据跨境流动为例,其方案选择事关国家安全和数字经济发展的平衡尺度,也关涉国内国外两个大局的统筹,无疑是数据治理的焦点所在,也最能洞察数据战略意图。回归到我国《数据安全法》在具体制度层面通过重要数据出境安全评估、数据安全国家审查、数据出口管制、外商投资限制、跨境执法调取数据的阻断立法等方面,实现对数据跨境流动的全面控制。因此,从制度广度而言,《数据安全法》对数据跨境监管完成了一般商业场景、特殊商业场景以及执法场景的全场景覆盖:一般商业场景中遵循数据出境安全评估制度,特殊商业场景中的数据跨境执行出口管制、国家安全审查;应境外执法机构要求提供数据须履行境内主管机关批准程序。如此的制度设计更多的是设立了框架、流程、工具,但缺乏对数据跨境流动的方向性的态度或立场。反观美国和欧盟,此方面的战略意图在立法中直接凸显——或者借助于全球运营的企业、或者借助于不容忽视的内部市场,极大地增强了国家对(境内外)数据的掌控和利用能力。
由是观之,新一轮全球范围内的数据战略竞争中,国家不仅仅作为制度供给者,也作为独立的利益主体登场,全球数据治理立法均充分考量国家的利益诉求,各国的数据战略都服务于大数据时代的综合国力竞争,既包括维护国家安全利益的防御性诉求,也包括促进本国数字经济全球竞争,并通过规则治理抢占全球数据规则话语权。在欧美各自结合自身特点形成数据战略的前提下,我国如何形成符合我国自身安全、发展利益的数据战略,是决定数据安全法内在品质的关键性标准所在。由此,在战略层面,《数据安全法》的实施应当将以数据主权为核心的国家数据能力,作为我国数据战略竞争的基本考量要素之一。数据主权是国家对其政权管辖区域范围内个人、企业和相关组织所产生的数据拥有的最高权力,除保障国家对其管辖区域内数据的控制性权力外,还应包括增强国家(包括其管辖的组织和个人)对(境内外)数据的掌握程度和处理利用能力。
对于《数据安全法》的实施而言,维护我国的数据主权,还同时考虑如何让我国企业能够在全球范围内掌握、利用更多的数据。当前我国数字经济虽然取得了举世瞩目的成就,规模和实力仅次于美国,但与美国全球化运营的互联网企业而言,我国众多的网信企业更多的是依赖于日渐饱和的国内市场,国际化进展却不尽人意。我国数字经济产业仍处于上升期,未来网信企业出海存在广阔空间,而过于强调公权力控制及面向美欧的应对式数据跨境流动监管,事实上将会对我国网信企业出海造成阻碍。背后的原因是正常商业合作中数据流不出去,自然会联动地影响数据流进来,进而导致我国网信企业无法做到全球运营一盘棋。
所以,《数据安全法》在后续实施时,各相关主管监管部门应当充分利用《数据安全法》的授权,在国家统一建立的数据分类分级的基础上,明确每类数据出境所面临的主要安全风险,配以相应的出境管控措施,做到精细化的治理,并定期更新数据的分类分级目录,动态性地应对内外部数据安全风险变化。
(二)基于立法逻辑的实施建议
我国《数据安全法》并非局限于数据安全问题,而是在更加宽泛的意义上理解安全,意图通过《数据安全法》一部法律完成欧美等国家或地区多部法律协力完成的综合治理目标,本身的立法难度较高;同时,在数字经济全球化背景下,数据安全立法也为国际社会所关注,因此既要避免相关制度设计被别有用心者借口攻击我国法治形象,也应尽可能提升我国数据立法制度的竞争力,本身的立法要求也更高,在上述标尺衡量下看,该法存在构建性不足的问题。
从安全的层次看,《数据安全法》对于数据流转中的安全风险制度设计提出了原则性的要求,但对数据流动过程中的安全风险并没有提出针对性的措施。其中第4章“数据安全保护义务”第22条、第23条、第27条至第29条对“数据”提出的安全要求,基本上也对网络适用,与此前《网络安全法》中相关义务的规定高度相似。换句话说,将上述条文中的“数据”替换成“网络”,并不会造成理解或解释方面的困难。但数据安全不同于网络安全,网络相对静止,其所有者、管理者、运营者的责任区分较为明确;数据具有高流动性和可复制性,通过传输或复制广泛流转之后,数据的控制者、使用者同时增多。因此,数据流转中的安全如何保障,是数据安全立法需要专门设计的内容,《数据安全法》的实施应进一步考虑保障数据流动链条中所有参与主体较为一致的安全保障水平,并明确数据流动链条中上下游参与各方的安全责任划分问题。
从控制层面来看,《数据安全法》考虑到数据泄露的初始风险乃至数据被不当分析利用可能造成的风险,而在传统国家秘密之外,提出了重要数据保护的基本框架,具体内容包括:认定主体及目录制度、安全负责人、定期风险评估、出境管理。但从平衡重要数据安全保障和流转利用的角度来看,《数据安全法》在实施方面,还存在着优化空间:其一,授权部门、各地进行重要数据的认定时,缺乏一定门槛的限定,实践中很可能出现认定标准不一,导致过度保护或疏于保护等问题,应将认定权限限于各行业主管部门。其二,应当明确重要数据在境内和境外流转应遵循的基本原则,确定重要数据流转时应采取的安全控制措施,从而实现重要数据安全和开发利用之间的平衡。其三,《数据安全法》后续的实施还需要明确重要数据认定程序、期限、异议、监督等基本事项,或者参考《网络安全法》明确授权主管部门制定专门性的安全保护条例,避免《数据安全法》中重要数据保护基本框架(如安全负责人、专项风险评估等)得不到细化甚至于落地无力的局面。
从利用层面来看,目前《数据安全法》中关于利用的内容主要是关于政务数据安全与开放、公安机关和国家安全机关因依法维护国家安全或者侦查犯罪的需要而调取数据的规定,以及封阻来自于域外的调取数据要求,但相应内容大量使用了“依照法律、行政法规规定”“按照国家有关规定”等措辞,将相应的制度规范要求指向数据安全法之外的其他法律、行政法规,但又没有交代清楚具体依照哪部法律、行政法规的规定,有违法律规范应当明确、具体的特性要求。对于政务数据安全与开放的问题,我国各地政府推进的政务数据安全和开放的立法行动可为参照,数据安全法可以求同存异,以提取公因式的方式将其中的一些制度上升为一般性制度和普遍性要求。对于执法调取数据的规定,一定程度上存在对我国“数据后门”的误解。因此,即便我国数据安全法拒绝欧美“扩张式”的执法跨境调取数据立法,而坚守我国的“防守”模式,也应当明确具体的调取主体、调取程序、异议机制等具体内容。
《数据安全法》构建了关于数据的基本制度框架,各相关主管监管部门应当在“国家数据安全工作协调机制”的统筹指导下,将《数据安全法》的原则和精神与各行业和领域情况充分结合,细化、充实“安全”“控制”“利用”这三个层面的制度设计,最终形成“统分协调”的数据制度。
五、结语
人类才刚刚进入数据爆炸时代,伴随着对数据开发和利用的拓展,对数据安全风险的认识也逐渐深化。为了在新的发展阶段切实保障国家安全,《数据安全法》应运而生,不仅系统性应对数据安全领域的内生性风险,同时应对愈演愈烈的国家间数据竞争,有着强烈的现实针对性和必要性。总体来看,我国《数据安全法》试图高屋建瓴地构建基本的数据安全治理框架,在给数据安全治理的未来新发展留出空间的同时,却需要通过扎实、细致、系统的实施和落地,才能完全发挥战略意图。在《数据安全法》进入实施环节的当下,我国应尽快地凝练并提出符合自身主权、安全、发展利益的数据战略,以此为基点,围绕数据“安全——控制——利用”的三层脉络,进一步完善重点制度设计。