在習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想的指引下,我國(guó)網(wǎng)絡(luò)空間安全立法不斷推進(jìn),目前已經(jīng)形成了包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等三部基本法律為綱的治理框架���。三法相繼生效����,事實(shí)上標(biāo)志著我國(guó)的網(wǎng)絡(luò)安全工作,從技術(shù)安全�����、內(nèi)容安全�,完成了對(duì)新維度的拓展——數(shù)據(jù)安全��。在此背景下����,網(wǎng)絡(luò)安全審查制度也經(jīng)歷了持續(xù)、顯著的革新:從2017年的創(chuàng)設(shè)時(shí)關(guān)注“關(guān)系國(guó)家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購(gòu)的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)”��,到2020年修訂時(shí)聚焦“關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全”����,再到2021年修訂時(shí)將“數(shù)據(jù)安全”作為重要內(nèi)容涵蓋其中���。網(wǎng)絡(luò)安全審查的歷史性新階段,既來(lái)自于對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)的內(nèi)生性演進(jìn)���,也同時(shí)孕育于深刻且激烈的國(guó)際戰(zhàn)略競(jìng)爭(zhēng)壓力�。本文將針對(duì)網(wǎng)絡(luò)安全審查制度中的關(guān)于數(shù)據(jù)安全的相關(guān)內(nèi)容開展分析��。
一����、數(shù)據(jù)成為獨(dú)立于網(wǎng)絡(luò)的安全保護(hù)對(duì)象
《網(wǎng)絡(luò)安全法》立足于技術(shù)層面的安全保障。其核心的立法目標(biāo)是“防范對(duì)網(wǎng)絡(luò)的攻擊���、侵入��、干擾��、破壞和非法使用以及意外事故���,使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài),以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性����、保密性�、可用性的能力”��。該部法律主要內(nèi)容是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者施加基本的安全保障義務(wù)����,并對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者施加增強(qiáng)式的安全保障義務(wù)。在此階段�����,數(shù)據(jù)的安全從屬于網(wǎng)絡(luò)的安全��;網(wǎng)絡(luò)和系統(tǒng)作為數(shù)據(jù)的載體���、容器或邊界,其安全保護(hù)就構(gòu)成數(shù)據(jù)安全工作的主要內(nèi)容��。
隨著信息技術(shù)和人類生產(chǎn)生活交匯融合�,各類數(shù)據(jù)迅猛增長(zhǎng)、海量聚集�����,對(duì)經(jīng)濟(jì)發(fā)展��、社會(huì)治理、人民生活都產(chǎn)生了重大而深刻的影響�����。數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大問題��。特別是�����,2018年的劍橋分析事件�����,震驚中外���,暴露出網(wǎng)絡(luò)和系統(tǒng)本身的安全����,并不足以防范安全風(fēng)險(xiǎn)�。臉書公司在網(wǎng)絡(luò)始終處于“穩(wěn)定可靠運(yùn)行的狀態(tài)”時(shí),出于商業(yè)決策主動(dòng)對(duì)第三方程序開放寬松的API數(shù)據(jù)接口���,最終導(dǎo)致8700萬(wàn)人的個(gè)人信息通過第三方程序流轉(zhuǎn)至劍橋分析公司����,并被違法用于影響政治選舉,進(jìn)而危及國(guó)家和政治的安全�。數(shù)據(jù)應(yīng)當(dāng)作為獨(dú)立于網(wǎng)絡(luò)的安全保護(hù)工作對(duì)象,這樣的需求被不容忽視地凸顯出來(lái)�����。因此��,《數(shù)據(jù)安全法》定位為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律�����,提出了國(guó)家數(shù)據(jù)安全管理制度�����、組織和個(gè)人的數(shù)據(jù)安全保護(hù)義務(wù)�、支持和促進(jìn)數(shù)據(jù)安全與發(fā)展的措施����,以及政務(wù)數(shù)據(jù)安全與開放等內(nèi)容。
在信息化時(shí)代,個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問題之一����。特別是APP違法違規(guī)收集使用個(gè)人信息,均是在網(wǎng)絡(luò)和系統(tǒng)“穩(wěn)定可靠運(yùn)行”時(shí)發(fā)生的侵害個(gè)人合法權(quán)益的事件��。中國(guó)的社會(huì)各方面廣泛呼吁出臺(tái)專門的個(gè)人信息保護(hù)法�����。因此���,《個(gè)人信息保護(hù)法》在借鑒國(guó)外先進(jìn)立法的基礎(chǔ)上���,提出了個(gè)人信息處理的規(guī)則、個(gè)人信息跨境提供的規(guī)則����,明確了個(gè)人信息處理活動(dòng)中個(gè)人的權(quán)利和處理者義務(wù),確定了履行個(gè)人信息保護(hù)職責(zé)的部門及其職責(zé)等內(nèi)容�。
二、數(shù)據(jù)成為國(guó)際政經(jīng)博弈的焦點(diǎn)
在《外交事務(wù)》雜志2021年發(fā)表的文章《數(shù)據(jù)即是權(quán)力》(data is power)中����,兩位美國(guó)作者直言:“與全球經(jīng)濟(jì)的其他要素相比���,數(shù)據(jù)與權(quán)力更緊密地交織在一起。作為創(chuàng)新的一個(gè)日益必要的投入��,國(guó)際貿(mào)易的一個(gè)迅速擴(kuò)大的元素�����,企業(yè)成功的一個(gè)重要因素����,以及國(guó)家安全的一個(gè)重要層面,數(shù)據(jù)為所有擁有它的人提供了難以置信的優(yōu)勢(shì)�。尋求反競(jìng)爭(zhēng)優(yōu)勢(shì)(anticompetitive advantages)的國(guó)家和公司試圖控制數(shù)據(jù)”。
以美國(guó)為例��。從業(yè)務(wù)層面的數(shù)據(jù)跨境流動(dòng)來(lái)說(shuō)����,美國(guó)一直推行亞太經(jīng)濟(jì)合作組織(APEC)項(xiàng)下的跨境隱私規(guī)則體系(Cross Border Privacy Rules, 以下簡(jiǎn)稱CBPRs)。從2011年以來(lái)���,美國(guó)成功地將其重要盟友(墨西哥���、日本、加拿大��、新加坡等經(jīng)濟(jì)體)納入該體系�����,并在2020年8月首次提出將該體系“從APEC框架獨(dú)立出來(lái)”��,以在更大的范圍內(nèi)吸引更多的國(guó)家和地區(qū)加入��。這套制度的實(shí)質(zhì)是通過提供較低保護(hù)水平的數(shù)據(jù)跨境流動(dòng)機(jī)制����,“剝奪”加入其中的國(guó)家或地區(qū)按照自主意愿管控?cái)?shù)據(jù)跨境的權(quán)力,然后借由美國(guó)產(chǎn)業(yè)界超強(qiáng)的實(shí)力���,最終實(shí)現(xiàn)數(shù)據(jù)向美國(guó)企業(yè)和美國(guó)本土的匯聚集中��。
數(shù)據(jù)一旦為美國(guó)公司所掌握����,則美國(guó)的外國(guó)投資審查制度(CFIUS)嚴(yán)格審查能夠賦予外國(guó)組織或個(gè)人訪問“敏感個(gè)人數(shù)據(jù)”的并購(gòu)或投資��;另一方面�����,通過特朗普當(dāng)政時(shí)期的“清潔網(wǎng)絡(luò)計(jì)劃”,拜登政府最新簽署的“關(guān)于保護(hù)美國(guó)人的敏感數(shù)據(jù)不受外國(guó)敵對(duì)勢(shì)力侵害的行政命令”�,以及美商務(wù)部建立的《確保信息和通信技術(shù)及服務(wù)(ICTS)供應(yīng)鏈安全》暫行最終規(guī)則等措施,將來(lái)自“外國(guó)敵手”所擁有或控制����、或受其管轄或指揮的人所設(shè)計(jì)、開發(fā)���、制造或提供的某些聯(lián)網(wǎng)軟件應(yīng)用程序和設(shè)備排除在美國(guó)的供應(yīng)鏈之外�,進(jìn)一步避免了美國(guó)數(shù)據(jù)(包括美國(guó)公司所掌握的來(lái)自美國(guó)境外的數(shù)據(jù))的“不當(dāng)流出”����。
從執(zhí)法和司法目的跨境調(diào)取數(shù)據(jù)來(lái)說(shuō),美國(guó)的法院程序和2018年通過的《云法》都在強(qiáng)化對(duì)受美國(guó)法管轄的實(shí)體和個(gè)人的數(shù)據(jù)跨境調(diào)取能力��。特別是《云法》沒有修改原先的《存儲(chǔ)通信法》(Stored Communication Act)中禁止受美國(guó)法管轄的實(shí)體和個(gè)人向境外政府提供關(guān)于通信內(nèi)容數(shù)據(jù)的規(guī)定����,而是進(jìn)一步利用該規(guī)定,確立了與美國(guó)政府簽署了協(xié)定的“適格國(guó)家”��,才能夠直接向美國(guó)的公司調(diào)取數(shù)據(jù)����。另一方面����,《外國(guó)公司問責(zé)法案》及其配套規(guī)則���,以“禁止證券交易”為威脅,強(qiáng)硬施加對(duì)存儲(chǔ)于境外的審計(jì)底稿的調(diào)取權(quán)力����。
上述法律和政策方面的“組合拳”客觀上達(dá)成的效果是:一是掌握。對(duì)數(shù)據(jù)(低保護(hù)水平)自由流動(dòng)的倡導(dǎo)�,使得美國(guó)企業(yè)能夠在業(yè)務(wù)層面盡可能多和便利地掌握全球數(shù)據(jù),并可以將其“帶回”美國(guó)總部(或者美國(guó)公司自主選擇的地點(diǎn))進(jìn)行分析�。二是排除。美國(guó)排除了“外國(guó)敵手”的信息技術(shù)產(chǎn)品通過參與美國(guó)企業(yè)業(yè)務(wù)運(yùn)營(yíng)而掌握數(shù)據(jù)的可能性�,并嚴(yán)格審查和限制外國(guó)的個(gè)人或公司通過并購(gòu)和投資獲得美國(guó)數(shù)據(jù)的行為。三是調(diào)取和限制��。只要是美國(guó)公司所控制(control)���、擁有(possess)���、監(jiān)護(hù)(custody)的數(shù)據(jù)����,無(wú)論是否存儲(chǔ)在美國(guó)境內(nèi)��,都受美國(guó)司法和執(zhí)法流程的覆蓋��,只要有現(xiàn)實(shí)需求就應(yīng)當(dāng)向美國(guó)當(dāng)局提供����;而外國(guó)政府如果需要向美國(guó)公司調(diào)取較為敏感的內(nèi)容數(shù)據(jù),只能通過美國(guó)政府的司法協(xié)助或者成為《云法》項(xiàng)下的“適格國(guó)家”�。
通過上述三方面的舉動(dòng),美國(guó)事實(shí)上將自己的企業(yè)打造成在網(wǎng)絡(luò)空間的疆土��。適用于數(shù)據(jù)的法律和政策工具隨著美國(guó)企業(yè)走向全球�����,最終實(shí)現(xiàn)了其整體的數(shù)據(jù)戰(zhàn)略——盡可能地掌握和控制全球數(shù)據(jù)��,以此固化其在全球政治��、經(jīng)濟(jì)方面的地位和權(quán)力��。
三、數(shù)據(jù)成為網(wǎng)絡(luò)安全審查的重點(diǎn)工作內(nèi)容
在對(duì)數(shù)據(jù)安全認(rèn)識(shí)的逐步深化及國(guó)際博弈的巨大壓力之下���,網(wǎng)絡(luò)安全審查制度將數(shù)據(jù)安全涵蓋其中����,恰逢其時(shí)��。針對(duì)數(shù)據(jù)安全�����,網(wǎng)絡(luò)安全審查制度重點(diǎn)關(guān)注以下兩類風(fēng)險(xiǎn):“核心數(shù)據(jù)���、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露�、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)”��,以及“上市存在關(guān)鍵信息基礎(chǔ)設(shè)施����,核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被外國(guó)政府影響�����、控制、惡意利用的風(fēng)險(xiǎn)��,以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)”��。
前者主要關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施所采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件�����,非法收集��、存儲(chǔ)����、利用、向境外提供關(guān)鍵信息基礎(chǔ)設(shè)施所處理的“核心數(shù)據(jù)���、重要數(shù)據(jù)或大量個(gè)人信息”的風(fēng)險(xiǎn)���。換言之,網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者除了其對(duì)外宣稱和向用戶展示的“規(guī)定動(dòng)作”之外�����,不應(yīng)偷偷地進(jìn)行關(guān)于數(shù)據(jù)的“自選動(dòng)作”,更不應(yīng)該損害其用戶對(duì)自己信息的自主權(quán)��、支配權(quán)�。后者是指因赴境外或國(guó)外上市而導(dǎo)致被外國(guó)法律管轄,進(jìn)而引發(fā)外國(guó)政府能夠通過執(zhí)法�、司法方面的法律規(guī)定和權(quán)力,對(duì)境內(nèi)網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者所掌握的“核心數(shù)據(jù)�、重要數(shù)據(jù)或大量個(gè)人信息”施加“影響”、主張“控制”��,并隨之“惡意利用”�,導(dǎo)致我國(guó)主權(quán)��、安全�、發(fā)展利益受損的風(fēng)險(xiǎn)。“掌握超過100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者”�����,因在此方面的數(shù)據(jù)安全風(fēng)險(xiǎn)突出���,新版的網(wǎng)絡(luò)安全審查辦法強(qiáng)制其“赴國(guó)外上市���,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”。由此可以看到,網(wǎng)絡(luò)安全審查制度對(duì)上述兩類數(shù)據(jù)安全風(fēng)險(xiǎn)的關(guān)注���,恰好對(duì)應(yīng)了前文分析的數(shù)據(jù)安全認(rèn)識(shí)深化和國(guó)際博弈壓力��。
新一輪數(shù)據(jù)治理中��,國(guó)家不僅僅作為制度供給者�����,也作為獨(dú)立的利益主體登場(chǎng)�,全球數(shù)據(jù)治理立法均充分考量國(guó)家的利益訴求��,各國(guó)的數(shù)據(jù)戰(zhàn)略都服務(wù)于大數(shù)據(jù)時(shí)代的綜合國(guó)力競(jìng)爭(zhēng)����,既包括維護(hù)國(guó)家安全利益的防御性訴求,也包括促進(jìn)本國(guó)數(shù)字經(jīng)濟(jì)全球競(jìng)爭(zhēng)���,并通過規(guī)則治理?yè)屨既驍?shù)據(jù)規(guī)則話語(yǔ)權(quán)��。因此���,從前述內(nèi)外因素來(lái)看�,我國(guó)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》�����,乃至于新版的《網(wǎng)絡(luò)安全審查辦法》并非局限于技術(shù)安全問題�����,而是在更加寬泛的意義上理解數(shù)據(jù)安全���,核心目的都在于保障作為基礎(chǔ)性戰(zhàn)略資源的數(shù)據(jù)��,能夠在將來(lái)被管好�、用好�,服務(wù)于我國(guó)的主權(quán)、安全和發(fā)展利益���。
作者:洪延青 北京理工大學(xué)法學(xué)院教授
來(lái)源:“網(wǎng)信中國(guó)”微信公眾號(hào)