你读懂了吗?数据安全的逻辑关键字

虽然《数据安全法》要到9月1日才正式实施,但是“滴滴”的下架、被审查和七部门入驻,让数据安全的话题热度不减。而借着“滴滴”事件的话题性,各种介绍《数据安全法》、《网络安全审查办法》的文章也扑面而来,且不约而同地聚焦安全审查流程、“关键信息基础设施”等实体概念。

但,阅读这些文章的时候,我仍然不止一次地问自己,数据安全审查的逻辑到底是什么?安全当然是目的,但数据安全审查的过程到底在保障什么、优先什么、取舍什么,以及凭借什么?对这些问题,我没有确信的答案,写下这篇文章也仅仅是为了进一步求教于“大方之家”。

一、总体安全观:直待凌云始道高

“滴滴”事件以来,似乎形成了一个共识,那就是负责数据安全的部门是国家互联网信息办公室,也就是所谓的“网信办”,而设于网信办之内的网络安全审查办公室具体负责数据安全的审查。但不得不说,这种认识是错误的,或者说,小看了数据安全及《数据安全法》的位阶与功能。

关于数据安全制度的基本价值观,《数据安全法》给出的答案是“维护数据安全,应当坚持总体国家安全观”[1]。“应当坚持总体国家安全观”看似是政治文件措辞,但在2015年7月1日通过并立即实施的《国家安全法》中便已经出现:“国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。”[2]

所以,数据安全工作本质上是国家安全工作的一部分,或者说是在细分领域的安全治理延伸,《数据安全法》及包括审查规定在内的配套规范,其上位法显然也应当是《国家安全法》。

说到这里,真正负责数据安全工作的部门其实已经呼之欲出了,那就是“中央国家安全领导机构”,这在《国家安全法》和《数据安全法》第五条也都已经明确,而这个机构就是现实中“中央国家安全委员会”。此外,值得注意的是,在中央层面针对网络安全还设有“中央网络安全和信息化委员会”。而从前面两个委员会的负责人是谁,就不难看出“数据安全”工作的整体位阶了。

正因为如此,《数据安全法》明确“依法作出的安全审查决定为最终决定。”[3]这是真正的字少事大。

二、分级分类:只缘身在此山中

那么目前在“滴滴”审查公告中落款的“国家网络安全审查办公室”、“国家互联网信息办公室”在数据安全审查中到底是什么角色呢?

如果说“中央国家安全领导机构”是真正的幕后大佬,那在数据安全领域替大佬代言,具体台前排兵布阵、点将出战的就是这两个办公室,也就是《数据安全法》第六条中的“负责统筹协调”。实战中的正式队形就是七部门入驻滴滴公告中的“国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等”。

事实上,这种“统筹协调”是与置于《数据安全法》第三章“数据安全制度”首位的 “分级分类”制度密切相关的。关于数据分级分类,目前看到的大部分文章都将其简单归结为一般数据、重要数据和核心数据。但,这并不是对数据的唯一“分类”,而且更大意义上应当属于对数据的“分级”。

同时值得说明的是,“重要数据”目录也并非网信办制定或统筹制定,而是由“国家数据安全工作协调机制”统筹协调有关部门制定[4],而前述“国家数据安全工作协调机制”是由“中央国家安全领导机构”建立[5],这也再一次说明网信办及审查办公室仅仅是执行的“统筹”单位,而不负责安全制度的顶层或基础制度设计。

那么,《数据安全法》对数据究竟有几种分类呢?从法律的表述来看,除一般数据、重要数据和核心数据[6]之外,至少还包括:

1.境内处理数据和境外处理数据[7];

2.以地区、部门为划分标准进行的数据分类,就部门而言至少包括:1)工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门监管的数据;2)公安机关、国家安全机关依职权监管的数据;3)网信部门负责统筹监管的数据;[8]

3.以主体身份为标准划分的个人和组织数据[9];

4.数据出境环境下,以是否来自关键信息基础设施为标准划分的不同数据[10];

5.以是否为外国司法或执法机关请求为标准划分的不同数据[11]。

总结来看,个人认为分类分级最大的逻辑是“场景”,就是结合具体场景,确定数据安全工作管啥、谁管、谁优先的问题。比如常态下,只有重要数据以上级别的数据才需要确定固定安全负责人及安全机制[12]、定期进行风险评估[13]、出境申报审批[14],又比如个人数据权益劣后于整体安全考量,即便是应境外司法或执法机构要求,个人也不得擅自向境外交付数据,且并不区分此时的数据属于一般数据还是重要数据以上的数据[15]。

由此也可以看出,这种服务于特定场景的分级分类,并非各行其是或“不识庐山真面目”,而是自始至终秉持整体安全观。

三、保障、促进和鼓励:吹尽狂沙始到金

虽然有那么多审查、监管,看似一片肃杀,但《数据安全法》却还有促进、鼓励和保障我国数字经济发展的另一面,而这一面可以从“内外”两个方面来理解。

从内部数字经济培育来看,虽然“安全”是《数据安全法》毫无疑问的第一高频词汇,但“促进”和“保障”也分别出现了9次和7次,反观“监管”仅出现了6次、“审查”仅出现了3次。

作为基本盘的“保障”,除反复强调“安全保障”外,《数据安全法》还强调了“保障数据依法有序自由流动”[16]、“以数据安全保障数据开发利用和产业发展”[17]。

关于“促进”,《数据安全法》分别强调了“促进数据开发利用”[18]、“促进以数据为关键要素的数字经济发展”[19]、“促进数据跨境安全、自由流动”[20],并“坚持以数据开发利用和产业发展促进数据安全”[21],在此基本原则下,还要“促进数据安全检测评估、认证等服务的发展”[22]、“促进人才交流”[23]。

所以,我国对数据的基本态度是动起来、用起来,而不是管起来、关起来。至于对外“数据”交流交往,《数据安全法》还加上了一点“对等”。因为,目前我们切切实实面对的是欧美在数据领域的长臂管辖和单方面的数据出境限制,背后的目的是为保护或者巩固其数据产业,谋求政策性竞争优势。

以欧盟的《通用数据保护条例(GDPR)》为例,其实质上仅调整个人数据,并不包括信息以外的数据,但该法可调整的行为主体却包括:

1.在欧盟境内有实体的控制者或处理者,在其活动范围内对个人数据的处理,无论该处理行为是否在欧盟境内进行;

2.处理欧盟境内数据主体的个人数据的行为,即使控制者和处理者没有在欧盟境内设立,只要其处理行为发生在向欧盟境内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或是对数据主体发生在欧盟境内的行为进行监控的;

3.虽在欧盟境外设立,但基于国际公法仍适用成员国法律的控制着的个人数据处理行为。

此外,欧盟法律针对数据向域外流动,以是否达到欧盟的“充分保护”要求为标准,设置了白名单,截止目前列入白名单的国家仅有安道尔、阿根廷、加拿大(仅限商业组织)、以色列、日本、新西兰、瑞士、乌拉圭等极少数国家,白名单之外的国家需要输入来自欧盟的数据,则需要履行繁杂而冗长的手续。作为当前互联网产业最为发达的中美两国,并不在名单中,美国和欧盟单独订立的隐私盾、安全港等数据跨境协定,也先后被废除。

美国在长臂管辖和限制数据出境方面也不遑多让。

美国一方面通过《澄清域外合法使用数据法案》(即CLOUD法案),赋权自己要求注册于美国或总部在美国的公司,根据美国国内法和执法司法程序,向美国提交这些公司拥有(possession)、保管(custody)或控制(control)的数据,无论该数据是否存储在国内。

而在限制数据出境上,美国主要通过《数据管理条例》(EAR)对其境内数据的跨境输出进行规制。EAR规定任何从美国本土出口的技术数据,包括以电子方式,如传真、国际电话、邮件等,出口到非美国的服务器,无论这一数据是否真的出境,可认定为出口,需要取得美方出具的许可证。任何时候,只要在国际服务器中发现了某一用于出口的资料文件中包含有源于美国的技术数据,那么,就视为技术数据的出口。

更有甚者,美国外资投资委员会(CFIUS)可以安全为由审查叫停外国投资,如在特朗普发布的对TikTok的行政禁令中,CFIUS通过调查指出TikTok通过收集和利用美国个人信息,以及具有影响力的运营,对美国数据安全构成了风险,应当采取措施阻止字节跳动访问美国用户的数据,从而开启了以国家安全为由限制向特定国家的数据流动树立了先例。

面对如此咄咄逼人、张牙舞爪的境外数据制度攻势,《数据安全法》旗帜鲜明地表态对等原则,即“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”[24]同时强调在产生实质损害下的有限长臂管辖原则,“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”[25]。

《数据安全法》怒目金刚和菩萨低眉的两面,在今后将更多地以哪一面示人?未来太远,我无法预知,但在7月20日外交部例行新闻发布会上,针对美国近日再次纠集其部分盟友“组团”抹黑中国搞“网络攻击”,外交部发言人赵立坚7月20日表示,此举无中生有,颠倒黑白。

作者:陈斌寅,上海邦信阳中建中汇律师事务所

[1] 《数据安全法》第四条

[2] 《国家安全法》第三条

[3] 《数据安全法》第二十四条第二款

[4] 《数据安全法》第二十一条第一款

[5] 《数据安全法》第五条

[6] 《数据安全法》第二十一条

[7] 《数据安全法》第二条

[8] 《数据安全法》第六条

[9] 《数据安全法》第七条

[10] 《数据安全法》第三十一条

[11] 《数据安全法》第三十六条

[12] 《数据安全法》第二十七条

[13] 《数据安全法》第三十条

[14] 《数据安全法》第三十一条

[15] 《数据安全法》第三十六条

[16] 《数据安全法》第七条

[17] 《数据安全法》第十三条

[18] 《数据安全法》第一条

[19] 《数据安全法》第七条

[20] 《数据安全法》第十一条

[21] 《数据安全法》第十三条

[22] 《数据安全法》第十八条

[23] 《数据安全法》第二十条

[24] 《数据安全法》第二十六条

[25] 《数据安全法》第二条

原创文章,作者:TikTok,如若转载,请注明出处:https://www.vrle.cn/33343.html

(0)
上一篇 2022年11月23日 上午4:03
下一篇 2022年11月23日 上午4:04

相关推荐