专家解读 | 贯彻落实数据安全法 促进跨境数据安全流动
2021-11-26
来源: 中国信息安全
《数据安全法》中关于跨境数据流动的第二条、第十一条、第二十五条、第二十六条、第三十一条、第三十六条和第四十六条、第四十八条等条款,对境内外数据处理活动、数据领域国际交流合作、数据出口管制、国别数据对等开放、数据出境安全管理、数据监管国际合作等都做出规定。从全球看,跨境数据流动监管仍未形成共识。无处不在的数据流动,引发人们关于个人隐私保护、消费者权利保护以及网络安全的担忧。中国政府有关业务主管部门在认真贯彻落实《数据安全法》的同时,应积极推动世界贸易组织(WTO)数据监管规则框架改革。
一、跨境数据流动国际监管现状
WTO 现有规则框架未能对全球范围内的数据流动做出有效规范。目前,较受认可的国际规则是WTO 前身即关税及贸易总协定(GATT)乌拉圭回合谈判达成的于 1995 年 1 月生效的《服务贸易总协定》(GATS)对数据限制措施的约束。GATS 的基本原则是支持构建开放的数据流动环境,并没有限制各经济体通过合理的方式进行数据监管。将互联网时代之前的 GATS 规则应用到当下数据监管存在争议:一方面,跨境数据流动不仅涉及服务贸易,也涉及货物贸易,应用 GATS 加以规范势必将服务贸易与货物贸易割裂;另一方面,数字服务的交叉性为判定一国的数据流动限制措施是否违反国民待遇和市场准入承诺造成困难。
WTO 规则框架对数据保护的局限,导致各国纷纷出台数据安全保护法案。2018 年生效的欧盟《通用数据保护条例》(GDPR),因其严苛的规定、高昂的罚款、广泛的适用范围而被认为是当今世界对个人数据保护水平最高的法案。根据 GDPR 的充分保护原则,欧盟将对第三国的数据保护水平进行评估,只有获得充分决定的认证国家才能与欧盟进行数据自由流动。然而,非透明的评估程序使获得欧盟充分决定的认证困难重重,目前仅有日本、新西兰、瑞士等 12 个国家或地区通过认证。由于美国数据保护水平未达到欧盟要求,欧盟仍将美国排除在充分决定的认证之外。美国是跨境数据流动的坚定支持者,对跨境数据流动的监管相对较为宽松。具有代表性的是为促进美欧贸易合作于 2000 年达成的《信息安全港框架协议》(Safe Harbor Framework)及 2016 年达成的《隐私盾协议》(Privacy Shield)。美国国会于2018年通过的《澄清境外合法使用数据法案》(CLOUDAct)使执法机构更容易访问存储在国外的数据。美国参议院于 2021 年 6 月通过的《创新与竞争法案》(USICA),将允许对不利于美国的不合理数字贸易措施进行调查,对歧视性数字贸易进行审查。日本基于制造业优势主推可信数据自由流动倡议,支撑其“社会 5.0”理念框架下的数据驱动型经济战略。日本与欧盟在互联网领域利益趋同。2019 年 1 月,日本率先通过欧盟的充分决定认证并与其构建世界上最大的数据安全传输区域。
跨境数据流动规则还被纳入区域贸易协定中。1980 年,经济合作与发展组织(OECD)发布的《隐私保护与个人数据跨境流动的指南》(GuidelinesGoverning the Protection of Privacy and Transborder Flowsof Personal Data)是第一套国际范畴商定的隐私规则,为后来多国及国际组织跨境数据流动规则制定提供了重要参考。《全面与进步跨太平洋伙伴关系协定》(CPTPP)消除了数据流动的实质性阻碍,允许出于商业需要的数据跨境传输,禁止数据本地化要求。以美国为主导的区域跨境数据流动规则,积极推广亚太经济合作组织(APEC)的跨境隐私规则(CBPR)体系。于 2019 年达成的美墨加协定(USMCA)充分反映了美国支持跨境数据自由流动的主张,主要规则囊括非歧视性待遇、开放政府数据及计算设施非强制本地化等,且将 CBPR 体系作为个人信息保护条款的参考。
中国高度重视数据安全保护及数据产业发展。中国对跨境数据流动持审慎态度,于 2017 年施行的《网络安全法》规定在中国境内收集和产生的个人信息和重要数据应当在境内存储,将“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。随着数字化水平的深入,中国不断以开放、合作的态度推进跨境数据合法合规流动,以符合自由贸易趋势。2020 年 9 月,中国提出《全球数据安全倡议》,呼吁各国共同保障重要数据及个人信息安全,妥善处理跨境数据流动问题。于 2021 年 6 月通过的《数据安全法》对数据监管责任、数据保护路径及法律责任做出明确规定。《数据安全法》表明了中国进一步促进数据跨境安全、自由流动的意愿,鼓励数据在依法有序的前提下自由流动,并积极参与数据安全相关国际规则和标准的制定。
二、跨境数据流动的违法违规表现
由于目前尚未形成较为全面的数据流动监管体系,导致跨境数据流动中的违法违规事件屡有发生。在中国,跨境数据流动引发违法违规的表现包括非法获取计算机系统数据、数据产品市场的不正当竞争、侵犯知识产权以及侵犯个人隐私权四类情况。
一是个别企业非法获取他人计算机系统数据。数据作为新生产要素在市场经济中发挥着愈发重要的作用,在数据流转与跨境流动过程中,企业数据资源爆炸式增长,存储的数据“原材料”和系统安全面临风险。非法获取计算机系统数据是相对较为频发的数据侵权行为,这类案例数量呈逐年增长态势。境内外不法分子通过“爬虫”技术等方式入侵其他公司服务器非法获取数据资源,危害计算机信息系统安全,形成互联网黑灰产业链条。
二是数据产品市场的不正当竞争行为。在保护用户个人隐私信息安全的前提下,数据产品开发者可依法进行数据资源开发与利用。跨境数据广泛流动过程中更容易被窃取、盗用、转售谋利,扰乱数据产品市场秩序,破坏公平竞争的市场环境。随着数据流动范围扩大、流动速度加快,尤其是跨境数据的流动涉东道国的相关法律法规,导致数据产品市场竞争复杂化,亟须规范与维护全球公平竞争环境。
三是数据领域知识产权侵权问题。数字时代的知识产权保护范围进一步拓宽,涌现出“计算机软件使用中的商业秘密保护”“源代码保护”及“数字内容版权保护”等新领域。尚未完善的数字知识产权保护体系难以适应跨境数据自由流动的要求,引发商标、专利、著作权及地理标志等知识产权侵权行为频发。例如,2011 年的某网络科技有限公司擅自通过信息网络向公众提供国外公司作品和录音录像制品案,2018 年的某数码科技有限公司侵犯他人软件源代码的著作权案。数字时代的知识产权依托数据而存在,跨境数据流动加速给知识产权侵权行为带来可乘之机。
四是数据领域侵犯个人隐私权现象。保护用户个人信息是推进跨境数据流动的前提。企业应依法保护个人隐私权,依法对个人数据进行合理化商业使用。调研发现,部分企业逾越数据合理使用界限,侵犯用户个人隐私数据并将其商业化使用或实施网络诈骗。
还有些企业在境外开展经营活动时,包括一些互联网公司在境外发行证券与上市等,违反了国内相关数据保护和信息安全管理规定,片面追求商业利益,没有压实关于网络安全、数据安全甚至国家安全的主体责任。
三、促进跨境数据安全合理高效有序流动的政策建议
针对跨境数据流动中的违法违规行为,呼唤世界各国加强国际监管合作。中国政府应督促企业依法合规经营,积极参与国际跨境数据流动规则制定,推进 WTO 构建公平合理安全有序的跨境数据监管规则框架。
(一)督促企业依法收集、存储、使用及加工数据
《数据安全法》的颁布为中国数据安全流动保驾护航。有关主管部门需要督促企业进一步约束自己的行为,依法依规开展各项业务,鼓励企业创新,促进数据产业发展。一是严格遵守与数据相关的法律法规。企业应严格遵守数据安全法,保护用户的个人隐私权。禁止通过不正当手段窃取、倒卖数据等违法违规行为,维护公平竞争的市场秩序。当企业的正当权益受到侵害时,应按照数据安全法等法律法规捍卫自身合法权益。二是鼓励创新数据产品及数据安全保护技术。企业要创新数据产品形式,将碎片化、粗放的数据进行提炼、整合及分析,提升数据资源的使用价值,更好地为经济社会服务。企业要创新计算机系统安全保护措施,提高数据保护技术,增强抵御他人非法获取计算机信息系统数据的能力。三是积极应对国际数据产品市场竞争中的风险与挑战。随着跨境数据流动范围的不断拓宽,国内、国际市场界限逐渐模糊,越来越多的数据争端发生在本国企业与外国企业之间。企业应培养国际视野,提升国际竞争力,在融入国际市场竞争过程中遵守东道国及国际法律法规。
(二)积极参与国际跨境数据流动规则制定
新冠肺炎疫情凸显跨境数据流动的重要性,《数据安全法》进一步完善了国内数据监管框架。中国应以 2020 年 9 月提出的《全球数据安全倡议》为基础,多层次、多渠道参与国际规则制定,同各方携手创建数字治理国际规则。一是积极参与全球统一的数据监管规则制定。中国应引导 GATS 的改进,加速构建促进个人信息保护、数据有序流动和保护公共利益相协调的新型数字贸易规则。代表广大发展中国家利益,向 WTO 提交有利于发展中国家数据产业发展的提案,帮助发展中国家弥合数字鸿沟,为互联网基础设施较为薄弱的国家提供技术支持。二是加强与美欧日等经济体在跨境数据流动领域的对话。美欧日跨境数据流动规则制定领域起步较早,拥有一定主导地位。由于各国关切错位,形成统一规则有较大难度。中国应加强国际合作,求同存异,推动与美欧日等经济体跨境数据流动对话。借鉴欧盟与美国缔结的《隐私盾协议》,与欧盟开展有关数据跨境流动的双边协议谈判。三是构建跨境数据安全流动合作区域。2020 年,中国参与签署的《区域全面经济伙伴关系协定》(RCEP)已包含跨境数据流动相关议题,支持出于商业目的的跨境数据流动。中国应以 RECP 及“一带一路”倡议为契机,加强区域规则磋商及国际监管合作,构建更大范围的跨境数据安全流动合作区域。
(三)推进 WTO 构建跨境数据流动监管规则框架
构建国际统一的跨境数据流动规则框架有助于畅通数据流通渠道,激发数据产业发展活力。WTO应保障各成员国出于合理目的进行数据监管的权力,促进全球数字市场的数据流动、数字创新和良性竞争。一是完善国际数据监管规则体系。WTO 应积极推动与促成数据保护与监管的统一规则,提高隐私保护水平及扩大数据责任方,通过开展反垄断调查等方式妥善解决数据垄断与强制授权问题。协调与平衡各方利益,鼓励发展中国家完善国内互联网基础设施建设及数据保护法律体系,积极参与到全球数据开放与竞争之中。二是规范数据产品市场行为。WTO应倡导构建公平竞争的国际数据产品市场环境,抵制通过不正当手段窃取他人数据产品获利的行为。激发数据产品开发者创新数据产品的热情与动力,维护公平竞争的市场环境。三是加强数字知识产权的保护。WTO 应强化数字知识产权保护意识,防止跨境数据流动监管不力对数字知识产权的保护产生负面影响。提高《与贸易有关的知识产权协议》(TRIPS)在数字时代的适用性,避免跨境数据流动损害数字知识产权产业发展。四是保障各成员国合理范围的数据主权。WTO 应防范数据安全管理被少数具有技术优势和垄断能力的国家操纵,应照顾到广大成员国的利益与关切。WTO 需以非歧视性和合理性为原则,保障成员国对数据流动的司法管辖权和安全管理权,承认各国自主决定征收所得税的权力。