安全法下的涉外數(shù)據(jù)保護和涉外個人信息保護(上)
2021-10-21
- 引 言 -
2021年是數(shù)據(jù)保護的重要年份���,有兩部數(shù)據(jù)保護相關法律通過并實施�����。
《中華人民共和國數(shù)據(jù)安全法》
《中華人民共和國數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)于2021年6月10日經第十三屆全國人大常委會第二十九次會議審議通過��,并于2021年9月1日起施行�。
《中華人民共和國個人信息保護法》
《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)于2021年8月20日經第十三屆全國人大常委會第三十次會議審議通過,并將于2021年11月1日起施行����。
這兩部法律從不同的角度加強對數(shù)據(jù)和信息的保護,有不同的側重��,并且與已經實施的《中華人民共和國國家安全法》(下稱《國家安全法》)和《中華人民共和國網絡安全法》(下稱《網絡安全法》)形成多位一體����。在“安全”的大前提下,對“網絡”��、“數(shù)據(jù)”和“個人信息”進行立法和規(guī)制��,從而形成有機的整體���。
在網絡互聯(lián)互通的大背景下�����,與數(shù)據(jù)和個人信息相關的安全問題已經成為國際問題���,相關法律必然涉及不同國家之間的協(xié)作。
筆者將通過兩篇文章闡述網絡、數(shù)據(jù)和個人信息的特點和關聯(lián)性����,以及《數(shù)據(jù)安全法》和《個人信息保護法》中的涉外安全相關的規(guī)定。本文將重點解讀《數(shù)據(jù)安全法》的相關要點���。
- 探 討 -
一、網絡���、數(shù)據(jù)和個人信息相互關聯(lián)����、并且與安全息息相關
在網絡技術席卷全球的背景下����,數(shù)字技術和實體經濟已經相互深度融合,數(shù)據(jù)產業(yè)的規(guī)模不斷擴大��,數(shù)據(jù)的經濟價值也相應地極大提升����,成為企業(yè)競爭優(yōu)勢的重要組成部分。
網絡的發(fā)展催生出海量數(shù)據(jù)���。數(shù)據(jù)是對個人信息�、企業(yè)信息、公共信息等信息的記錄��,是信息的載體�����。數(shù)據(jù)會自動生成并且具有非消耗性[1]�����。
網絡的互聯(lián)互通����,又使得數(shù)據(jù)和信息就像知識產權一樣,具有流動性和可復制性[1]�。相關立法活動就是要對數(shù)據(jù)的人格利益和財產權益進行規(guī)定。
在2007年的電影《Live Free or Die Hard》(虎膽龍威4)中�����,已經展示了網絡中的數(shù)據(jù)和信息的安全被黑客攻擊而不能保障的情況下可能引發(fā)的安全隱患�����,包括大規(guī)模的交通癱瘓、通信癱瘓����、金融崩潰、電力危機等嚴重問題���。
在數(shù)據(jù)日益增多的今天��,這種安全隱患在逐漸擴大。因此�����,出于安全考慮��,對網絡�、數(shù)據(jù)和個人信息保護的緊迫性日益凸顯。
二��、國際范圍內的數(shù)據(jù)保護的法律和案例
國際上��,數(shù)據(jù)安全事件和個人信息泄露的事件已經多次發(fā)生��。
2019年3月
委內瑞拉發(fā)生全國范圍內的大規(guī)模停電�,諸多地區(qū)的供水和通信網絡受到影響,原因就是其最重要的水電站遭到黑客攻擊。
2018年4月
扎克伯格因Facebook泄露8700萬人數(shù)據(jù)而出席美國參眾兩院聽證會��,原因在于英國的Cambridge Analytica在2016年獲得了數(shù)千萬名Facebook用戶數(shù)據(jù)���,并且有針對性地在Facebook平臺上投放廣告來影響美國總統(tǒng)大選����,該案最終以50億美元的罰款告終��。
歐盟于2016年審議通過《通用數(shù)據(jù)保護條例》�����,并于2018年正式實施��,在管轄方面以“屬人”���、“屬地”�����、“保護性管轄”和“國際公法”等多個管轄原則相結合���,被認為是最嚴格的數(shù)據(jù)保護法令���。
2021年7月16日,因為亞馬遜的歐洲核心部門對個人數(shù)據(jù)的處理不符合歐盟《通用數(shù)據(jù)保護條例》�����,違反了歐盟的數(shù)據(jù)保護法�,盧森堡數(shù)據(jù)保護委員會對亞馬遜開出了7.46億歐元的罰單。
此外�,美國在2018年3月推出了《澄清境外數(shù)據(jù)合法使用法案》,從而為跨境數(shù)據(jù)調取提供了法律依據(jù)���,其中規(guī)定在美國政府提出要求時,任何在云上存儲數(shù)據(jù)的美國公司都要將數(shù)據(jù)轉交給美國政府�,并且所述美國公司被擴展為包括位于美國境外但被美國法院認為“與美國有足夠聯(lián)系且受美國管轄”的外國公司。到目前為止已有近100個國家制定了數(shù)據(jù)安全保護的法律法規(guī)��。
根據(jù)案例可以看出���,數(shù)據(jù)已經成為各個國家的基礎性戰(zhàn)略資源��,沒有數(shù)據(jù)安全就沒有國家安全�����,并且數(shù)據(jù)安全的案例是在不同國家之間交織���。
各類數(shù)據(jù)的收集主體多樣化�����,處理活動復雜��,國家的安全更關注域外主體帶來的安全風險�。歐美國家將數(shù)據(jù)主權從物理邊界轉向技術邊界�����,直接影響到第三方國家的主權問題�����,需要反制措施[2]�����。
因此�����,網絡的互通性和數(shù)據(jù)的可復制性已經使得安全成為國際范圍內的問題,而不是單純一個國家內部的問題�����。
三����、《數(shù)據(jù)安全法》的解讀
《數(shù)據(jù)安全法》一共分為七章,五十五條���。體系結構包括:總則�����、數(shù)據(jù)安全與發(fā)展���、數(shù)據(jù)安全制度�、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放�、法律責任、附則��。
《數(shù)據(jù)安全法》第2�����、11、24��、25���、26��、31����、36�����、46�、48條涉及境外的數(shù)據(jù)處理或保護,這些規(guī)定適應于全球的數(shù)據(jù)發(fā)展利用情況和法律規(guī)范�����。
關于數(shù)據(jù)管轄
在《數(shù)據(jù)安全法》第2條中明確了更為廣泛的境外司法管轄�,指出了在境外開展的數(shù)據(jù)處理活動損害了中國相關利益的情況下,中國具有管轄權��,這符合數(shù)據(jù)的可復制性和網絡的互通性的客觀情況。
相對于美國和歐盟����,中國以保護性管轄為標準來確定管轄權,是相對窄的擴展����。
例如,美國的《澄清境外數(shù)據(jù)合法使用法案》將美國企業(yè)擴展成其在網絡空間的“領土”�,極大地擴張了美國的數(shù)據(jù)主權。
在歐盟的《通用數(shù)據(jù)保護條例》中基于歐盟國家的公民來擴張其數(shù)據(jù)主權�,其規(guī)定任何一個互聯(lián)網公司,即使在歐盟沒有辦事機構�,只要互聯(lián)網公司的用戶中有歐盟國家的公民,就需要遵守該條例的規(guī)定����。盡管有管轄上的擴展,中國的《數(shù)據(jù)安全法》在數(shù)據(jù)領域還是持開放態(tài)度����,積極推進國際合作和標準制定�����,促進數(shù)據(jù)跨境安全、自由流動[3]��。
關于我國數(shù)據(jù)的出境
《數(shù)據(jù)安全法》第36條明確規(guī)定����,我國根據(jù)國際法和平等互惠原則來向外國司法/執(zhí)法機構提供存儲于我國境內的數(shù)據(jù),并且境內的組織��、個人只有在經我國主管機關批準之后��,才能向外國司法或者執(zhí)法機構提供存儲于我國境內的數(shù)據(jù)����。
《數(shù)據(jù)安全法》第48條規(guī)定了未經主管機關批準而向外國司法或者執(zhí)法機構提供數(shù)據(jù)的懲罰措施,該懲罰不但針對提供數(shù)據(jù)的組織還針對其直接負責人����。
在從境外收到跨境調取數(shù)據(jù)的司法/執(zhí)法命令時,例如在美國政府根據(jù)《澄清境外數(shù)據(jù)合法使用法案》調取中國數(shù)據(jù)時��,如果我國主管機關經審查發(fā)現(xiàn)可能威脅我國數(shù)據(jù)主權和安全���,則我國境內的組織和個人可以根據(jù)該36條拒絕向境外(例如美國政府)提供存儲于我國境內的數(shù)據(jù)���。
面對不同國家的法律沖突���,可以根據(jù)司法禮讓的原則來最終判斷。
在華北制藥出口到美國的維生素C的反壟斷案件中��,華北制藥基于中國法律規(guī)定的橫向統(tǒng)一定價行為在美國的一審中被認定壟斷�,但最后美國聯(lián)邦最高法院根據(jù)司法禮讓原則認定不構成壟斷。
此外���,《數(shù)據(jù)安全法》第25條明確了對“與維護國家安全和利益”���、以及“履行國際義務相關”的數(shù)據(jù)出口實施出口管制,進一步完善了我國數(shù)據(jù)出境的監(jiān)管制度框架�。
關于數(shù)據(jù)安全審查和開發(fā)利用方面的對等原則
《數(shù)據(jù)安全法》第24條明確我國建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查��,進一步加強了“安全”大前提下的數(shù)據(jù)處理����。其它國家已經在進行相關執(zhí)法。
例如���,美國在2020年8月6日簽署兩項行政命令�,宣布將在 45 天后禁止任何美國個人及企業(yè)與TikTok(抖音的國際版)母公司字節(jié)跳動進行任何交易,禁止美國個人及企業(yè)與微信進行任何交易��,并在2020年8月14日�,要求字節(jié)跳動公司在 90 天之內出售或剝離該公司在美國的 TikTok 業(yè)務����。
這些行政命令就是美國以數(shù)據(jù)安全審核結果的名義發(fā)出的。
在《數(shù)據(jù)安全法》第26條規(guī)定了我國在數(shù)據(jù)相關投資��、貿易中遭遇外國或地區(qū)的歧視性禁止或限制時�,可以對等采取措施。對等原則是國際貿易中常用的原則���。
《數(shù)據(jù)安全法》第31和46條涉及重要數(shù)據(jù)的輸出���,與《網絡安全法》有重疊,將在下一部分闡述�。
四、《數(shù)據(jù)安全法》與《網絡安全法》的簡要區(qū)別和在涉外數(shù)據(jù)方面的規(guī)定差別
《網絡安全法》著重于網絡安全����,在第76條規(guī)定了各個名詞的含義,包括網絡����、網絡安全����、網絡數(shù)據(jù)和個人信息等����,其中網絡數(shù)據(jù)是指通過網絡收集、存儲�、傳輸、處理產生的各種電子數(shù)據(jù)�。
《數(shù)據(jù)安全法》更強調數(shù)據(jù)本身的安全,并且在第3條規(guī)定了數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄���,不限于電子數(shù)據(jù)�。根據(jù)定義可以看出��,二者有重疊也有差異���。
《網絡安全法》不僅僅包括數(shù)據(jù)的內容���,還包括網絡設施的一些問題,例如網絡空間的安全和網絡設施的安全�。
關于管轄范圍
《網絡安全法》第2條規(guī)定了屬地管轄原則����,是針對中國境內的系統(tǒng)��。
《數(shù)據(jù)安全法》在第2條則規(guī)定了更為廣泛的域外管轄效力�����,包括屬地管轄原則和保護性管轄原則二者�����,并且保護更多的數(shù)據(jù)種類和數(shù)據(jù)活動��。
關于我國數(shù)據(jù)的出境
《數(shù)據(jù)安全法》補充和完善了數(shù)據(jù)出境管理要求��,在第31條對重要數(shù)據(jù)出境監(jiān)管作出規(guī)定:對于關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數(shù)據(jù)����,繼續(xù)適用《網絡安全法》第37條有關數(shù)據(jù)出境安全管理要求����,即應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;對其他數(shù)據(jù)處理者在境內運營中收集和產生的重要數(shù)據(jù)增設出境安全管理�,并授權國家網信部門會同國務院有關部門制定相應的出境安全管理辦法�。
可以看出�,兩部法律對數(shù)據(jù)出境安全的管理,都是由國家網信部門和國務院有關部門進行�����,細則后續(xù)會出臺����。
對于違反規(guī)定的數(shù)據(jù)出境行為,《數(shù)據(jù)安全法》的處罰力度明顯加大���,如下表所示����,黑色加粗字是兩部法律的區(qū)別所在����。
在下篇恒都法研系列文章中,我們將會對《個人信息保護法》進行分析�,敬請期待。
[1] 馮曉青��,數(shù)據(jù)財產化法律規(guī)制的理論闡釋與構造�����,《政法論叢》,2021年8月����。
[2] 時建中,我國網絡與數(shù)據(jù)安全及個人信息保護法律制度��,2021年8月31日���。
[3] 《數(shù)據(jù)安全法》第11條,“國家積極開展數(shù)據(jù)安全治理�、數(shù)據(jù)開發(fā)利用等領域的國際交流與合作,參與數(shù)據(jù)安全相關國際規(guī)則和標準的制定���,促進數(shù)據(jù)跨境安全��、自由流動”�。
