動態(tài)與觀點
- 引 言 -
2021年是數(shù)據(jù)保護的重要年份,有兩部數(shù)據(jù)保護相關(guān)法律通過并實施。
《中華人民共和國數(shù)據(jù)安全法》
《中華人民共和國數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)于2021年6月10日經(jīng)第十三屆全國人大常委會第二十九次會議審議通過,并于2021年9月1日起施行。
《中華人民共和國個人信息保護法》
《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)于2021年8月20日經(jīng)第十三屆全國人大常委會第三十次會議審議通過,并將于2021年11月1日起施行。
這兩部法律從不同的角度加強對數(shù)據(jù)和信息的保護,有不同的側(cè)重,并且與已經(jīng)實施的《中華人民共和國國家安全法》(下稱《國家安全法》)和《中華人民共和國網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)形成多位一體。在“安全”的大前提下,對“網(wǎng)絡(luò)”、“數(shù)據(jù)”和“個人信息”進行立法和規(guī)制,從而形成有機的整體。
在網(wǎng)絡(luò)互聯(lián)互通的大背景下,與數(shù)據(jù)和個人信息相關(guān)的安全問題已經(jīng)成為國際問題,相關(guān)法律必然涉及不同國家之間的協(xié)作。
筆者將通過兩篇文章闡述網(wǎng)絡(luò)、數(shù)據(jù)和個人信息的特點和關(guān)聯(lián)性,以及《數(shù)據(jù)安全法》和《個人信息保護法》中的涉外安全相關(guān)的規(guī)定。本文將重點解讀《數(shù)據(jù)安全法》的相關(guān)要點。
- 探 討 -
一、網(wǎng)絡(luò)、數(shù)據(jù)和個人信息相互關(guān)聯(lián)、并且與安全息息相關(guān)
在網(wǎng)絡(luò)技術(shù)席卷全球的背景下,數(shù)字技術(shù)和實體經(jīng)濟已經(jīng)相互深度融合,數(shù)據(jù)產(chǎn)業(yè)的規(guī)模不斷擴大,數(shù)據(jù)的經(jīng)濟價值也相應(yīng)地極大提升,成為企業(yè)競爭優(yōu)勢的重要組成部分。
網(wǎng)絡(luò)的發(fā)展催生出海量數(shù)據(jù)。數(shù)據(jù)是對個人信息、企業(yè)信息、公共信息等信息的記錄,是信息的載體。數(shù)據(jù)會自動生成并且具有非消耗性[1]。
網(wǎng)絡(luò)的互聯(lián)互通,又使得數(shù)據(jù)和信息就像知識產(chǎn)權(quán)一樣,具有流動性和可復(fù)制性[1]。相關(guān)立法活動就是要對數(shù)據(jù)的人格利益和財產(chǎn)權(quán)益進行規(guī)定。
在2007年的電影《Live Free or Die Hard》(虎膽龍威4)中,已經(jīng)展示了網(wǎng)絡(luò)中的數(shù)據(jù)和信息的安全被黑客攻擊而不能保障的情況下可能引發(fā)的安全隱患,包括大規(guī)模的交通癱瘓、通信癱瘓、金融崩潰、電力危機等嚴(yán)重問題。
在數(shù)據(jù)日益增多的今天,這種安全隱患在逐漸擴大。因此,出于安全考慮,對網(wǎng)絡(luò)、數(shù)據(jù)和個人信息保護的緊迫性日益凸顯。
二、國際范圍內(nèi)的數(shù)據(jù)保護的法律和案例
國際上,數(shù)據(jù)安全事件和個人信息泄露的事件已經(jīng)多次發(fā)生。
2019年3月
委內(nèi)瑞拉發(fā)生全國范圍內(nèi)的大規(guī)模停電,諸多地區(qū)的供水和通信網(wǎng)絡(luò)受到影響,原因就是其最重要的水電站遭到黑客攻擊。
2018年4月
扎克伯格因Facebook泄露8700萬人數(shù)據(jù)而出席美國參眾兩院聽證會,原因在于英國的Cambridge Analytica在2016年獲得了數(shù)千萬名Facebook用戶數(shù)據(jù),并且有針對性地在Facebook平臺上投放廣告來影響美國總統(tǒng)大選,該案最終以50億美元的罰款告終。
歐盟于2016年審議通過《通用數(shù)據(jù)保護條例》,并于2018年正式實施,在管轄方面以“屬人”、“屬地”、“保護性管轄”和“國際公法”等多個管轄原則相結(jié)合,被認(rèn)為是最嚴(yán)格的數(shù)據(jù)保護法令。
2021年7月16日,因為亞馬遜的歐洲核心部門對個人數(shù)據(jù)的處理不符合歐盟《通用數(shù)據(jù)保護條例》,違反了歐盟的數(shù)據(jù)保護法,盧森堡數(shù)據(jù)保護委員會對亞馬遜開出了7.46億歐元的罰單。
此外,美國在2018年3月推出了《澄清境外數(shù)據(jù)合法使用法案》,從而為跨境數(shù)據(jù)調(diào)取提供了法律依據(jù),其中規(guī)定在美國政府提出要求時,任何在云上存儲數(shù)據(jù)的美國公司都要將數(shù)據(jù)轉(zhuǎn)交給美國政府,并且所述美國公司被擴展為包括位于美國境外但被美國法院認(rèn)為“與美國有足夠聯(lián)系且受美國管轄”的外國公司。到目前為止已有近100個國家制定了數(shù)據(jù)安全保護的法律法規(guī)。
根據(jù)案例可以看出,數(shù)據(jù)已經(jīng)成為各個國家的基礎(chǔ)性戰(zhàn)略資源,沒有數(shù)據(jù)安全就沒有國家安全,并且數(shù)據(jù)安全的案例是在不同國家之間交織。
各類數(shù)據(jù)的收集主體多樣化,處理活動復(fù)雜,國家的安全更關(guān)注域外主體帶來的安全風(fēng)險。歐美國家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界,直接影響到第三方國家的主權(quán)問題,需要反制措施[2]。
因此,網(wǎng)絡(luò)的互通性和數(shù)據(jù)的可復(fù)制性已經(jīng)使得安全成為國際范圍內(nèi)的問題,而不是單純一個國家內(nèi)部的問題。
三、《數(shù)據(jù)安全法》的解讀
《數(shù)據(jù)安全法》一共分為七章,五十五條。體系結(jié)構(gòu)包括:總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放、法律責(zé)任、附則。
《數(shù)據(jù)安全法》第2、11、24、25、26、31、36、46、48條涉及境外的數(shù)據(jù)處理或保護,這些規(guī)定適應(yīng)于全球的數(shù)據(jù)發(fā)展利用情況和法律規(guī)范。
關(guān)于數(shù)據(jù)管轄
在《數(shù)據(jù)安全法》第2條中明確了更為廣泛的境外司法管轄,指出了在境外開展的數(shù)據(jù)處理活動損害了中國相關(guān)利益的情況下,中國具有管轄權(quán),這符合數(shù)據(jù)的可復(fù)制性和網(wǎng)絡(luò)的互通性的客觀情況。
相對于美國和歐盟,中國以保護性管轄為標(biāo)準(zhǔn)來確定管轄權(quán),是相對窄的擴展。
例如,美國的《澄清境外數(shù)據(jù)合法使用法案》將美國企業(yè)擴展成其在網(wǎng)絡(luò)空間的“領(lǐng)土”,極大地擴張了美國的數(shù)據(jù)主權(quán)。
在歐盟的《通用數(shù)據(jù)保護條例》中基于歐盟國家的公民來擴張其數(shù)據(jù)主權(quán),其規(guī)定任何一個互聯(lián)網(wǎng)公司,即使在歐盟沒有辦事機構(gòu),只要互聯(lián)網(wǎng)公司的用戶中有歐盟國家的公民,就需要遵守該條例的規(guī)定。盡管有管轄上的擴展,中國的《數(shù)據(jù)安全法》在數(shù)據(jù)領(lǐng)域還是持開放態(tài)度,積極推進國際合作和標(biāo)準(zhǔn)制定,促進數(shù)據(jù)跨境安全、自由流動[3]。
關(guān)于我國數(shù)據(jù)的出境
《數(shù)據(jù)安全法》第36條明確規(guī)定,我國根據(jù)國際法和平等互惠原則來向外國司法/執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù),并且境內(nèi)的組織、個人只有在經(jīng)我國主管機關(guān)批準(zhǔn)之后,才能向外國司法或者執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù)。
《數(shù)據(jù)安全法》第48條規(guī)定了未經(jīng)主管機關(guān)批準(zhǔn)而向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)的懲罰措施,該懲罰不但針對提供數(shù)據(jù)的組織還針對其直接負(fù)責(zé)人。
在從境外收到跨境調(diào)取數(shù)據(jù)的司法/執(zhí)法命令時,例如在美國政府根據(jù)《澄清境外數(shù)據(jù)合法使用法案》調(diào)取中國數(shù)據(jù)時,如果我國主管機關(guān)經(jīng)審查發(fā)現(xiàn)可能威脅我國數(shù)據(jù)主權(quán)和安全,則我國境內(nèi)的組織和個人可以根據(jù)該36條拒絕向境外(例如美國政府)提供存儲于我國境內(nèi)的數(shù)據(jù)。
面對不同國家的法律沖突,可以根據(jù)司法禮讓的原則來最終判斷。
在華北制藥出口到美國的維生素C的反壟斷案件中,華北制藥基于中國法律規(guī)定的橫向統(tǒng)一定價行為在美國的一審中被認(rèn)定壟斷,但最后美國聯(lián)邦最高法院根據(jù)司法禮讓原則認(rèn)定不構(gòu)成壟斷。
此外,《數(shù)據(jù)安全法》第25條明確了對“與維護國家安全和利益”、以及“履行國際義務(wù)相關(guān)”的數(shù)據(jù)出口實施出口管制,進一步完善了我國數(shù)據(jù)出境的監(jiān)管制度框架。
關(guān)于數(shù)據(jù)安全審查和開發(fā)利用方面的對等原則
《數(shù)據(jù)安全法》第24條明確我國建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查,進一步加強了“安全”大前提下的數(shù)據(jù)處理。其它國家已經(jīng)在進行相關(guān)執(zhí)法。
例如,美國在2020年8月6日簽署兩項行政命令,宣布將在 45 天后禁止任何美國個人及企業(yè)與TikTok(抖音的國際版)母公司字節(jié)跳動進行任何交易,禁止美國個人及企業(yè)與微信進行任何交易,并在2020年8月14日,要求字節(jié)跳動公司在 90 天之內(nèi)出售或剝離該公司在美國的 TikTok 業(yè)務(wù)。
這些行政命令就是美國以數(shù)據(jù)安全審核結(jié)果的名義發(fā)出的。
在《數(shù)據(jù)安全法》第26條規(guī)定了我國在數(shù)據(jù)相關(guān)投資、貿(mào)易中遭遇外國或地區(qū)的歧視性禁止或限制時,可以對等采取措施。對等原則是國際貿(mào)易中常用的原則。
《數(shù)據(jù)安全法》第31和46條涉及重要數(shù)據(jù)的輸出,與《網(wǎng)絡(luò)安全法》有重疊,將在下一部分闡述。
四、《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》的簡要區(qū)別和在涉外數(shù)據(jù)方面的規(guī)定差別
《網(wǎng)絡(luò)安全法》著重于網(wǎng)絡(luò)安全,在第76條規(guī)定了各個名詞的含義,包括網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)和個人信息等,其中網(wǎng)絡(luò)數(shù)據(jù)是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理產(chǎn)生的各種電子數(shù)據(jù)。
《數(shù)據(jù)安全法》更強調(diào)數(shù)據(jù)本身的安全,并且在第3條規(guī)定了數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄,不限于電子數(shù)據(jù)。根據(jù)定義可以看出,二者有重疊也有差異。
《網(wǎng)絡(luò)安全法》不僅僅包括數(shù)據(jù)的內(nèi)容,還包括網(wǎng)絡(luò)設(shè)施的一些問題,例如網(wǎng)絡(luò)空間的安全和網(wǎng)絡(luò)設(shè)施的安全。
關(guān)于管轄范圍
《網(wǎng)絡(luò)安全法》第2條規(guī)定了屬地管轄原則,是針對中國境內(nèi)的系統(tǒng)。
《數(shù)據(jù)安全法》在第2條則規(guī)定了更為廣泛的域外管轄效力,包括屬地管轄原則和保護性管轄原則二者,并且保護更多的數(shù)據(jù)種類和數(shù)據(jù)活動。
關(guān)于我國數(shù)據(jù)的出境
《數(shù)據(jù)安全法》補充和完善了數(shù)據(jù)出境管理要求,在第31條對重要數(shù)據(jù)出境監(jiān)管作出規(guī)定:對于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù),繼續(xù)適用《網(wǎng)絡(luò)安全法》第37條有關(guān)數(shù)據(jù)出境安全管理要求,即應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估;對其他數(shù)據(jù)處理者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)增設(shè)出境安全管理,并授權(quán)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定相應(yīng)的出境安全管理辦法。
可以看出,兩部法律對數(shù)據(jù)出境安全的管理,都是由國家網(wǎng)信部門和國務(wù)院有關(guān)部門進行,細(xì)則后續(xù)會出臺。
對于違反規(guī)定的數(shù)據(jù)出境行為,《數(shù)據(jù)安全法》的處罰力度明顯加大,如下表所示,黑色加粗字是兩部法律的區(qū)別所在。
在下篇恒都法研系列文章中,我們將會對《個人信息保護法》進行分析,敬請期待。
[1] 馮曉青,數(shù)據(jù)財產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造,《政法論叢》,2021年8月。
[2] 時建中,我國網(wǎng)絡(luò)與數(shù)據(jù)安全及個人信息保護法律制度,2021年8月31日。
[3] 《數(shù)據(jù)安全法》第11條,“國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作,參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定,促進數(shù)據(jù)跨境安全、自由流動”。