正文

【网安智库】数据主权法律实践与对策建议研究

admin
admin V管理员 /0 评论 /345 阅读
0723
此篇文章发布距今已超过789天,您需要注意文章的内容或图片是否可用!
引 言数据已成为国家基础性战略资源,也对人民生产生活、社会经济发展和政府管理等方面产生越来越重要的影响。因此,任何主体对数据的非法干预都可能构成对一国核心利益的侵害。基于国家安全、公民隐私、政府执法和产业发展的需要,数据主权原则应运而生,并且成为各国关注的焦点。近年以来,紧跟国际立法趋势,我国坚持国家网络主权基本原则,围绕数据安全管理努力构建相关法律制度,积极维护我国数据主权。2016 年11 月全国人大常委会通过的《网络安全法》再次明确了“维护网络空间主权”原则,同时确立了关键信息基础设施数据跨境流动的一般规则,进一步完善了我国数据主权制度。目前,与数据主权相关的法律问题在实践中已经出现,如何落实《网络安全法》的相关要求,维护我国数据主权,也成为当前大数据时代我国需要思考的重要命题。对于数据主权的概念,目前并没有统一的表述或界定。有学者认为,数据主权是指国家对其政权管辖地域内的数据享有的生成、传播、管理、控制、利用和保护的权力,它是国家主权在信息化、数字化和全球化发展趋势下新的表现形式。也有学者认为,数据主权是一国最高权力在本国数据领域的外化,其以独立性、自主性和排他性为根本特征。虽然对数据主权的界定各有不同,但在数据主权性质的认定上基本没有分歧。目前的普遍共识认为,数据主权是大数据时代背景下国家主权新的表现形式,也是国家主权的重要组成部分。数据主权源于国家主权也得到了联合国的认可。第七十届联合国大会《关于从国际安全的角度看信息和电信领域的发展政府专家组的报告》(Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security)指出,国家主权原则以及与主权相关的传统国际法规则在国家开展的信息通信技术(简称ICT)活动中同样适用,国家在其领土范围内对ICT 基础设施具有管辖权。有专家指出,在当前技术发展和安全风险尚不明确的情况下,主张并行使数据主权是实现后续数据管理目标的前提条件,也对维护国家安全、方便政府执法、保护公民隐私和促进本国产业发展方面具有重要的作用。随着全球数据经济的快速发展,各国围绕全球数据资源的竞争更加激烈,数据主权的提出具有现实意义。我国《促进大数据发展行动纲要》也指出,要充分利用我国的数据规模优势,增强网络空间数据主权保护能力。数据主权的国际立法趋势和政策动向现阶段,数据主权的相关法律政策主要是围绕数据的管理和控制而展开,而各国在数据主权方面的主张和实践集中表现在其对跨境数据流动管理的诉求。从国际上来看,越来越多的国家和地区围绕数据管理,从法律上开始构建其数据主权相关制度,并呈现出三种发展趋势。趋势一:对重要数据的跨境出口施加限制,以维护本国数据安全数据分级分类管理是国际社会的主要做法之一,美国、韩国等国家通过数据出口限制的方式对对重要数据进行管理。美国《出口管理条例》(The Export Administrative Regulations,简称EAR)对部分重要数据的出口进行许可管制,要求必须取得相关部门颁发的许可证才可以出口。EAR 第734 条规定出口管制条例的范围,其中734.2(b)(2)界定了技术和软件的出口,其中包括通过互联网方式可由美国境外访问。此外,韩国《信息通信网络的利用促进与信息保护等相关法》(Act on Promotion of Information and Communication Network Utilization and Information Protection, etc.)中规定,政府为防止国内产业、经济及科学技术等重要信息泄露国外,可令信息通信服务提供商或利用人采取必要措施。其中,重要信息的范围包括:(1)保障国家安全相关安全保护信息及主要政策相关信息;(2)国内开发的尖端技术或机器相关内容的信息。政府可责令信息通信服务提供商采取下列各项措施以限制重要数据出境:(1)建立和安装防止非法利用信息通信网的制度以及技术设备;(2)防止非法破坏或非法制作信息的制度、技术上的措施;(3)防止信息通信服务提供商泄露履行职务过程中了解到的信息措施。趋势二:通过对个人数据本地化存储的立法调整,强化对数据的控制据美国学者Chander Anupam 教授统计,目前有超过二十多个国家和地区在跨境数据流动管理中提出了本地存储的要求,并且呈逐步上升的态势。包括俄罗斯、澳大利亚在内的越来越多的国家通过对立法的动态调整来强化对数据的控制。俄罗斯作为强行实施数据留存本地化的典型代表,通过两次修改立法的活动确立了严格的数据本地化留存的制度。俄罗斯数据管理的法律框架主要由《关于信息、信息技术和信息保护法》(第149 号法令) 和《俄罗斯联邦个人数据法》(第152 号法令)构成。2014 年5 月7 日,俄罗斯联发布联邦97 号法令 对《关于信息、信息技术和信息保护法》进行了修改,增加了互联网信息传播组织者的境内留存义务; 同年7 月,总统普京签署联邦242 号法令,对两部数据管理法律同时做了修改,增加了信息拥有者、信息系统运营方数据境内留存的义务。 通过两次法律的修改,俄罗斯在国内立法中确立了数据本地存储的基本规则。此外,澳大利亚也于2012 年颁布了《个人信息电子健康记录控制法》,对医疗信息的存储做出了本地化的要求,该法第77 条规定禁止将医疗信息记录转移至澳大利亚境外。趋势三:延伸对数据的域外管辖权当前,部分国家和地区已经在司法和立法实践中主张对本国公民及法人在境外数据的管辖权。例如在美国政府向微软索取域外数据的案件中,美国试图将国内立法对数据的管辖权延伸到域外适用。在“9.11 事件”之后美国出台《爱国者法案》,其第215 条曾规定,为从事情报活动和打击国际恐怖主义,即使没有嫌疑,政府部门也可以要求网络和电信服务商、图书馆、银行等机构按要求提供用户信息,同时禁止他们向用户透露其信息已经被调查和搜集。根据该条款的规定,只要在美国互联网公司提供的云服务器中存储数据,无论是不是美国公民,美国政府就有权对该数据进搜集和处理。虽然2015 年6 月1 日《爱国者法案》第215 条正式失效,但随后出台的《美国自由法案》规定,如果出于“保障国家安全”和“打击恐怖主义”两个目的,国家安全局、中央情报局、联邦调查局等机构在向联邦司法部下属的外国情报监控法庭(FISC)申请对嫌疑人进行监控并得到允许之后,仍可以实施电话监控、搜集和留存。再如,根据欧盟2016 年通过的《个人数据保护通用条例》(简称《条例》)第三条“地域范围”之规定,本法适用于对欧盟内的数据主体的个人数据处理,即使控制者和处理者没有设立在欧盟内,只要其处理行为发生在向欧盟内的数据主体提供商品或服务的过程中(无论此项商品或服务是否需要数据主体支付对价);或是对数据主体发生在欧盟内的行为进行的监控行为。《条例》将于2018 年取代1995 年通过的《个人数据保护指令》,将《个人数据保护指令》中的属地主义扩大到了属人主义,即使是设立在欧盟境外的企业,只要其涉及处理了欧盟境内个人的数据活动,也将受到《条例》的约束。我国数据主权的基本立场与实践我国数据主权的演化过程网络背景下的主权概念在我国有一个演化的过程,从互联网主权到信息主权再到网络空间主权,再到数据主权,在不同时期的立法和政策文件中都有所提及。2010 年6 月,国务院新闻办公室发布的《中国互联网状况白皮书》中明确指出,“互联网是国家重要基础设施,中华人民共和国境内的互联网属于中国主权管辖范围,中国的互联网主权应受到尊重和维护”。2014 年7 月,习近平主席在巴西国会发表《弘扬传统友好 共谱合作新篇》的演讲中提出“国家信息主权”,强调国家信息主权权益不应受到侵犯。而随着大数据产业和技术的发展,“数据主权”首次出现在国务院文件中。2015 年8 月,国务院发布的《促进大数据发展行动纲要》中也强调:“充分利用我国的数据规模优势……增强网络空间数据主权保护能力,维护国家安全,有效提升国家竞争力。”我国立法围绕数据安全管理开展了有益探索近年以来,紧跟国际立法趋势,我国坚持国家网络主权基本原则,围绕数据安全管理努力构建相关法律制度,积极维护我国数据主权。首先,我国立法提出了国家网络空间主权原则。2015 年7 月通过的《国家安全法》第二十五条首次提出网络空间主权的概念,要求维护国家网络空间主权、安全和发展利益。2016 年11 月全国人大常委会通过《网络安全法》,再次明确了要“维护网络空间主权”。业内专家认为,这表明我国坚定主张网络空间活动应受主权原则支配,我国将坚定不移地在主权范围内管控好网络和信息安全。其次,我国立法明确了国家在网络信息领域的域外管辖。《网络安全法》在重申国家网络空间主权外,也确立了域外管辖适用的情况。主要体现在三个方面:一是为保护关键信息设施等的安全,国家有权采取措施监测、防御、处置来源于境内外的网络安全风险和威胁。二是国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现来源于境外的我国法律法规禁止发布或者传输的信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。三是境外的机构、组织、个人从事危害我国关键信息基础设施的活动,造成严重后果的,可以采取冻结财产或者其他必要的制裁措施,依法对其追究法律责任。第三,我国明确了跨境数据流动的一般规则和国家网络安全审查制度。为应对日益严峻的国际跨境数据流动风险,我国《网络安全法》对关键信息基础设施的运行安全做了严格要求。一方面,《网络安全法》规定了关键信息基础设施产品和服务的安全审查制度;另一方面,要求关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据,原则上应当在境内存储,确需出境的在进行安全评估后可以出境。第四,我国现有部分行业法律法规对其行业领域的数据跨境流动规定了管理要求。例如,《保守国家秘密法》规定任何组织和个人不得邮寄、托运国家秘密载体出境,未经有关主管部门批准,不得携带、传递国家秘密载体出境;《网络出版服务管理规定》要求从事网络出版服务所需的必要的技术设备,相关服务器和存储设备必须存放在中华人民共和国境内。此外,国务院对地图数据、中国人民银行对征信数据和个人金融信息数据、国家卫生和计划生育委员会对人口健康信息数据以及交通部工信部等七部委网络约车数据等都要求在中国境内存储。数据主权行使面临的问题和挑战目前,数据主权的立法政策实践已经在多国存在,但整体来看,国际社会对数据主权原则的普遍共识还尚未达成。一方面,从不同国家观点来看,俄罗斯、欧盟、美国出于国家利益考量,对数据主权概念也持不同的看法。俄罗斯出于国家安全的考虑积极主张行使数据主权;以欧盟及其成员国为代表的国家出于对公民个人数据的严格保护,对数据主权概念也相对推崇,在新通过的《一般数据保护条例》更是扩大了条例的使用范围。但以美国为代表的国家则更加注重大数据所带来的商业利益,倡导数据跨境自由流动。另一方面,数据主权的概念对于数据控制了不同的国家来说意义不同。相比而言,数据控制能力处于弱势的国家更加认可国家数据主权概念,希望通过国际沟通协作加强本国对于数据管理和利用的权利;而数据控制能力较为强势的国家本身并不担心数据被掠夺和利用,是否强调主权概念并无太大意义。与此同时,数据主权作为一项新的国家权利,目前也面临着数据霸权、数据安全等方面的挑战。以美国为代表的发达国家建立了相对完善的数据管理法律体系,利用行业巨头先进的技术能力,形成了覆盖上中下游的产业布局,掌握了数据管理的关键节点,实际形成了对于他国的数据霸权。“棱镜门”事件中,美国利用国家安全局等情报部门直接获取微软、思科等行业巨头的庞大数据资源,严重侵害了其他国家的国家利益。中国信息通信研究院发布的《云计算白皮书(2016 年)》显示,作为云计算的先行者,目前北美地区仍然占据着市场的主导地位,2015 年美国云计算市场占据全球 56.5% 的市场份额;从服务商来看,亚马逊 AWS 2015 年收入近 79 亿美元,增速超过 50%,服务规模超过全球IaaS 领域第二到第十五名厂商总和的十倍。构建数据主权法律制度,保障国家数据主权行使目前,我国无论是网络规模、用户规模,还是应用规模都是全球第一网络大国,同时也是世界上最大的数据生产国。我国拥有7 亿网民,移动电话用户规模已经突破13 亿,双双位居世界第一。2015 年移动互联网用户月均接入流量达到390M,同比增长90%;手机上网流量达到37.6 亿G,同比增长110%。要充分利用我国数据体量优势,推动构建国际规则,加快落实《网络安全法》的规定,完善围绕数据主权相关法律法规,为我国数据主权的行使提供有力支持和保障。推动达成数据主权共识,构建数据保护国际规则我国在第二届乌镇世界互联网大会上提出,国际互联网治理应坚持以尊重“网络主权”为首的四项基本原则。建议未来在推动国际互联网治理体系改革时,将维护各国数据主权作为尊重国家网络主权的切入点。在联合国框架下,利用信息社会世界高峰会议(WSIS)等场合,提升我国国际规则制定能力,促进国际社会达成数据主权普遍共识,推动构建数据保护国际规则。对数据主权的概念、性质、范畴等做出统一阐释,并在数据保护相关国际标准中,体现尊重和维护数据主权的思想,努力使相关标准成为保护数据主权的有效手段和最佳实践。加快网络数据管理立法,完善跨境数据流动管理国际社会上,俄罗斯、欧盟、巴西、澳大利亚、加拿大等经济体都已通过立法手段强化数据跨境流动管理,力图将本国公民数据限制在境内存储。顺应国际趋势,我国在《网络安全法》中要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,但具体操作实践规则仍有待细化。建议在《网络安全法》的基础上研究制定《网络数据管理条例》,建立数据分级分类管理、跨境数流动风险评估等配套管理制度,进一步完善我国跨境数据流动管理规则。强化关键信息基础设施立法保护,提高网络安全防护能力关键信息基础设施是国家数据主权行使的物质载体,也是事关国家安全、国计民生、公共利益的重要领域。目前,“保护国家关键基础设施,保护最重要的信息系统,使其免受网络威胁”已经成为美国白宫网络安全战略的五个重点任务之首。 建议我国加快出台《电信法》,提升我国信息通信基础设施管理和保护的立法层级。抓紧制定《网络安全法》配套法律法规,加快研究起草《关键信息基础设施保护条例》,明确关键信息基础设施的基本制度和重大问题。加强关键基础设施保护技术手段研究,建立关键基础设施安全监控平台,提高数据安全防护能力。发展壮大本国产业实力,积极应对网络数据安全风险习近平总书记指出,“当今世界,网络信息技术日新月异,虽然我国网络信息技术和网络安全保障取得了不小成绩,但同世界先进水平相比还有很大差距。” 美国利用其行业巨头企业形成了覆盖上中下游的产业布局,为应对发达国家数据霸权带来的网络数据安全风险,我国应进一步发展壮大本国信息通信产业。建议加快推进互联网数据中心等网络基础设施建设,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。继续加大研发国产芯片、底层元器件的经费投入,支持自主标准的通信网络标准推广,建立覆盖全产业链的生态体系。作者 >>>何 波,中国信息通信研究院互联网法律研究中心研究员。(本文选自《信息安全与通信保密》2017年第五期)网 络 强 国 建 设 的 思 想 库 —— 安 全 产 业 发 展 的 情 报 站 —— 创 新 企 业 腾 飞 的 动 力 源···························································投稿网址:http://www.txjszz.com  合作热线:010-88203306 原文始发于微信公众号(信息安全与通信保密杂志社):【网安智库】数据主权法律实践与对策建议研究
宙飒天下