在习总书记关于网络强国的重要思想的指引下,我国网络空间安全立法不断推进,目前已经形成了包括《网络安全法》《数据安全法》和《个人信息保护法》等三部基本法律为纲的治理框架。三法相继生效,事实上标志着我国的网络安全工作,从技术安全、内容安全,完成了对新维度的拓展——数据安全。在此背景下,网络安全审查制度也经历了持续、显著的革新:从2017年的创设时关注“关系国家安全的网络和信息系统采购的重要网络产品和服务”,到2020年修订时聚焦“关键信息基础设施供应链安全”,再到2021年修订时将“数据安全”作为重要内容涵盖其中。网络安全审查的历史性新阶段,既来自于对网络安全认识的内生性演进,也同时孕育于深刻且激烈的国际战略竞争压力。本文将针对网络安全审查制度中的关于数据安全的相关内容开展分析。
《网络安全法》立足于技术层面的安全保障。其核心的立法目标是“防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。该部法律主要内容是对网络运营者施加基本的安全保障义务,并对关键信息基础设施运营者施加增强式的安全保障义务。在此阶段,数据的安全从属于网络的安全;网络和系统作为数据的载体、容器或边界,其安全保护就构成数据安全工作的主要内容。
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。特别是,2018年的剑桥分析事件,震惊中外,暴露出网络和系统本身的安全,并不足以防范安全风险。脸书公司在网络始终处于“稳定可靠运行的状态”时,出于商业决策主动对第三方程序开放宽松的API数据接口,最终导致8700万人的个人信息通过第三方程序流转至剑桥分析公司,并被违法用于影响政治选举,进而危及国家和政治的安全。数据应当作为独立于网络的安全保护工作对象,这样的需求被不容忽视地凸显出来。因此,《数据安全法》定位为数据安全领域的基础性法律,提出了国家数据安全管理制度、组织和个人的数据安全保护义务、支持和促进数据安全与发展的措施,以及政务数据安全与开放等内容。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。特别是APP违法违规收集使用个人信息,均是在网络和系统“稳定可靠运行”时发生的侵害个人合法权益的事件。中国的社会各方面广泛呼吁出台专门的个人信息保护法。因此,《个人信息保护法》在借鉴国外先进立法的基础上,提出了个人信息处理的规则、个人信息跨境提供的规则,明确了个人信息处理活动中个人的权利和处理者义务,确定了履行个人信息保护职责的部门及其职责等内容。
在《外交事务》杂志2021年发表的文章《数据即是权力》(data is power)中,两位美国作者直言:“与全球经济的其他要素相比,数据与权力更紧密地交织在一起。作为创新的一个日益必要的投入,国际贸易的一个迅速扩大的元素,企业成功的一个重要因素,以及国家安全的一个重要层面,数据为所有拥有它的人提供了难以置信的优势。寻求反竞争优势(anticompetitive advantages)的国家和公司试图控制数据”。
以美国为例。从业务层面的数据跨境流动来说,美国一直推行亚太经济合作组织(APEC)项下的跨境隐私规则体系(Cross Border Privacy Rules, 以下简称CBPRs)。从2011年以来,美国成功地将其重要盟友(墨西哥、日本、加拿大、新加坡等经济体)纳入该体系,并在2020年8月首次提出将该体系“从APEC框架独立出来”,以在更大的范围内吸引更多的国家和地区加入。这套制度的实质是通过提供较低保护水平的数据跨境流动机制,“剥夺”加入其中的国家或地区按照自主意愿管控数据跨境的权力,然后借由美国产业界超强的实力,最终实现数据向美国企业和美国本土的汇聚集中。
数据一旦为美国公司所掌握,则美国的外国投资审查制度(CFIUS)严格审查能够赋予外国组织或个人访问“敏感个人数据”的并购或投资;另一方面,通过特朗普当政时期的“清洁网络计划”,拜登政府最新签署的“关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令”,以及美商务部建立的《确保信息和通信技术及服务(ICTS)供应链安全》暂行最终规则等措施,将来自“外国敌手”所拥有或控制、或受其管辖或指挥的人所设计、开发、制造或提供的某些联网软件应用程序和设备排除在美国的供应链之外,进一步避免了美国数据(包括美国公司所掌握的来自美国境外的数据)的“不当流出”。
从执法和司法目的跨境调取数据来说,美国的法院程序和2018年通过的《云法》都在强化对受美国法管辖的实体和个人的数据跨境调取能力。特别是《云法》没有修改原先的《存储通信法》(Stored Communication Act)中禁止受美国法管辖的实体和个人向境外政府提供关于通信内容数据的规定,而是进一步利用该规定,确立了与美国政府签署了协定的“适格国家”,才能够直接向美国的公司调取数据。另一方面,《外国公司问责法案》及其配套规则,以“禁止证券交易”为威胁,强硬施加对存储于境外的审计底稿的调取权力。
上述法律和政策方面的“组合拳”客观上达成的效果是:一是掌握。对数据(低保护水平)自由流动的倡导,使得美国企业能够在业务层面尽可能多和便利地掌握全球数据,并可以将其“带回”美国总部(或者美国公司自主选择的地点)进行分析。二是排除。美国排除了“外国敌手”的信息技术产品通过参与美国企业业务运营而掌握数据的可能性,并严格审查和限制外国的个人或公司通过并购和投资获得美国数据的行为。三是调取和限制。只要是美国公司所控制(control)、拥有(possess)、监护(custody)的数据,无论是否存储在美国境内,都受美国司法和执法流程的覆盖,只要有现实需求就应当向美国当局提供;而外国政府如果需要向美国公司调取较为敏感的内容数据,只能通过美国政府的司法协助或者成为《云法》项下的“适格国家”。
通过上述三方面的举动,美国事实上将自己的企业打造成在网络空间的疆土。适用于数据的法律和政策工具随着美国企业走向全球,最终实现了其整体的数据战略——尽可能地掌握和控制全球数据,以此固化其在全球政治、经济方面的地位和权力。
在对数据安全认识的逐步深化及国际博弈的巨大压力之下,网络安全审查制度将数据安全涵盖其中,恰逢其时。针对数据安全,网络安全审查制度重点关注以下两类风险:“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”,以及“上市存在关键信息基础设施,核心数据、重要数据或大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”。
前者主要关注关键信息基础设施所采购的网络产品和服务提供者利用提供产品和服务的便利条件,非法收集、存储、利用、向境外提供关键信息基础设施所处理的“核心数据、重要数据或大量个人信息”的风险。换言之,网络产品和服务提供者除了其对外宣称和向用户展示的“规定动作”之外,不应偷偷地进行关于数据的“自选动作”,更不应该损害其用户对自己信息的自主权、支配权。后者是指因赴境外或国外上市而导致被外国法律管辖,进而引发外国政府能够通过执法、司法方面的法律规定和权力,对境内网络平台运营者所掌握的“核心数据、重要数据或大量个人信息”施加“影响”、主张“控制”,并随之“恶意利用”,导致我国主权、安全、发展利益受损的风险。“掌握超过100万用户个人信息的网络平台运营者”,因在此方面的数据安全风险突出,新版的网络安全审查办法强制其“赴国外上市,必须向网络安全审查办公室申报网络安全审查”。由此可以看到,网络安全审查制度对上述两类数据安全风险的关注,恰好对应了前文分析的数据安全认识深化和国际博弈压力。
新一轮数据治理中,国家不仅仅作为制度供给者,也作为独立的利益主体登场,全球数据治理立法均充分考量国家的利益诉求,各国的数据战略都服务于大数据时代的综合国力竞争,既包括维护国家安全利益的防御性诉求,也包括促进本国数字经济全球竞争,并通过规则治理抢占全球数据规则话语权。因此,从前述内外因素来看,我国《数据安全法》《个人信息保护法》,乃至于新版的《网络安全审查办法》并非局限于技术安全问题,而是在更加宽泛的意义上理解数据安全,核心目的都在于保障作为基础性战略资源的数据,能够在将来被管好、用好,服务于我国的主权、安全和发展利益。(作者:洪延青,北京理工大学法学院教授)