动态与观点
- 引 言 -
2021年是数据保护的重要年份,有两部数据保护相关法律通过并实施。
《中华人民共和国数据安全法》
《中华人民共和国数据安全法》(下称《数据安全法》)于2021年6月10日经第十三届全国人大常委会第二十九次会议审议通过,并于2021年9月1日起施行。
《中华人民共和国个人信息保护法》
《中华人民共和国个人信息保护法》(下称《个人信息保护法》)于2021年8月20日经第十三届全国人大常委会第三十次会议审议通过,并将于2021年11月1日起施行。
这两部法律从不同的角度加强对数据和信息的保护,有不同的侧重,并且与已经实施的《中华人民共和国国家安全法》(下称《国家安全法》)和《中华人民共和国网络安全法》(下称《网络安全法》)形成多位一体。在“安全”的大前提下,对“网络”、“数据”和“个人信息”进行立法和规制,从而形成有机的整体。
在网络互联互通的大背景下,与数据和个人信息相关的安全问题已经成为国际问题,相关法律必然涉及不同国家之间的协作。
笔者将通过两篇文章阐述网络、数据和个人信息的特点和关联性,以及《数据安全法》和《个人信息保护法》中的涉外安全相关的规定。本文将重点解读《数据安全法》的相关要点。
- 探 讨 -
一、网络、数据和个人信息相互关联、并且与安全息息相关
在网络技术席卷全球的背景下,数字技术和实体经济已经相互深度融合,数据产业的规模不断扩大,数据的经济价值也相应地极大提升,成为企业竞争优势的重要组成部分。
网络的发展催生出海量数据。数据是对个人信息、企业信息、公共信息等信息的记录,是信息的载体。数据会自动生成并且具有非消耗性[1]。
网络的互联互通,又使得数据和信息就像知识产权一样,具有流动性和可复制性[1]。相关立法活动就是要对数据的人格利益和财产权益进行规定。
在2007年的电影《Live Free or Die Hard》(虎胆龙威4)中,已经展示了网络中的数据和信息的安全被黑客攻击而不能保障的情况下可能引发的安全隐患,包括大规模的交通瘫痪、通信瘫痪、金融崩溃、电力危机等严重问题。
在数据日益增多的今天,这种安全隐患在逐渐扩大。因此,出于安全考虑,对网络、数据和个人信息保护的紧迫性日益凸显。
二、国际范围内的数据保护的法律和案例
国际上,数据安全事件和个人信息泄露的事件已经多次发生。
2019年3月
委内瑞拉发生全国范围内的大规模停电,诸多地区的供水和通信网络受到影响,原因就是其最重要的水电站遭到黑客攻击。
2018年4月
扎克伯格因Facebook泄露8700万人数据而出席美国参众两院听证会,原因在于英国的Cambridge Analytica在2016年获得了数千万名Facebook用户数据,并且有针对性地在Facebook平台上投放广告来影响美国总统大选,该案最终以50亿美元的罚款告终。
欧盟于2016年审议通过《通用数据保护条例》,并于2018年正式实施,在管辖方面以“属人”、“属地”、“保护性管辖”和“国际公法”等多个管辖原则相结合,被认为是最严格的数据保护法令。
2021年7月16日,因为亚马逊的欧洲核心部门对个人数据的处理不符合欧盟《通用数据保护条例》,违反了欧盟的数据保护法,卢森堡数据保护委员会对亚马逊开出了7.46亿欧元的罚单。
此外,美国在2018年3月推出了《澄清境外数据合法使用法案》,从而为跨境数据调取提供了法律依据,其中规定在美国政府提出要求时,任何在云上存储数据的美国公司都要将数据转交给美国政府,并且所述美国公司被扩展为包括位于美国境外但被美国法院认为“与美国有足够联系且受美国管辖”的外国公司。到目前为止已有近100个国家制定了数据安全保护的法律法规。
根据案例可以看出,数据已经成为各个国家的基础性战略资源,没有数据安全就没有国家安全,并且数据安全的案例是在不同国家之间交织。
各类数据的收集主体多样化,处理活动复杂,国家的安全更关注域外主体带来的安全风险。欧美国家将数据主权从物理边界转向技术边界,直接影响到第三方国家的主权问题,需要反制措施[2]。
因此,网络的互通性和数据的可复制性已经使得安全成为国际范围内的问题,而不是单纯一个国家内部的问题。
三、《数据安全法》的解读
《数据安全法》一共分为七章,五十五条。体系结构包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。
《数据安全法》第2、11、24、25、26、31、36、46、48条涉及境外的数据处理或保护,这些规定适应于全球的数据发展利用情况和法律规范。
关于数据管辖
在《数据安全法》第2条中明确了更为广泛的境外司法管辖,指出了在境外开展的数据处理活动损害了中国相关利益的情况下,中国具有管辖权,这符合数据的可复制性和网络的互通性的客观情况。
相对于美国和欧盟,中国以保护性管辖为标准来确定管辖权,是相对窄的扩展。
例如,美国的《澄清境外数据合法使用法案》将美国企业扩展成其在网络空间的“领土”,极大地扩张了美国的数据主权。
在欧盟的《通用数据保护条例》中基于欧盟国家的公民来扩张其数据主权,其规定任何一个互联网公司,即使在欧盟没有办事机构,只要互联网公司的用户中有欧盟国家的公民,就需要遵守该条例的规定。尽管有管辖上的扩展,中国的《数据安全法》在数据领域还是持开放态度,积极推进国际合作和标准制定,促进数据跨境安全、自由流动[3]。
关于我国数据的出境
《数据安全法》第36条明确规定,我国根据国际法和平等互惠原则来向外国司法/执法机构提供存储于我国境内的数据,并且境内的组织、个人只有在经我国主管机关批准之后,才能向外国司法或者执法机构提供存储于我国境内的数据。
《数据安全法》第48条规定了未经主管机关批准而向外国司法或者执法机构提供数据的惩罚措施,该惩罚不但针对提供数据的组织还针对其直接负责人。
在从境外收到跨境调取数据的司法/执法命令时,例如在美国政府根据《澄清境外数据合法使用法案》调取中国数据时,如果我国主管机关经审查发现可能威胁我国数据主权和安全,则我国境内的组织和个人可以根据该36条拒绝向境外(例如美国政府)提供存储于我国境内的数据。
面对不同国家的法律冲突,可以根据司法礼让的原则来最终判断。
在华北制药出口到美国的维生素C的反垄断案件中,华北制药基于中国法律规定的横向统一定价行为在美国的一审中被认定垄断,但最后美国联邦最高法院根据司法礼让原则认定不构成垄断。
此外,《数据安全法》第25条明确了对“与维护国家安全和利益”、以及“履行国际义务相关”的数据出口实施出口管制,进一步完善了我国数据出境的监管制度框架。
关于数据安全审查和开发利用方面的对等原则
《数据安全法》第24条明确我国建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,进一步加强了“安全”大前提下的数据处理。其它国家已经在进行相关执法。
例如,美国在2020年8月6日签署两项行政命令,宣布将在 45 天后禁止任何美国个人及企业与TikTok(抖音的国际版)母公司字节跳动进行任何交易,禁止美国个人及企业与微信进行任何交易,并在2020年8月14日,要求字节跳动公司在 90 天之内出售或剥离该公司在美国的 TikTok 业务。
这些行政命令就是美国以数据安全审核结果的名义发出的。
在《数据安全法》第26条规定了我国在数据相关投资、贸易中遭遇外国或地区的歧视性禁止或限制时,可以对等采取措施。对等原则是国际贸易中常用的原则。
《数据安全法》第31和46条涉及重要数据的输出,与《网络安全法》有重叠,将在下一部分阐述。
四、《数据安全法》与《网络安全法》的简要区别和在涉外数据方面的规定差别
《网络安全法》着重于网络安全,在第76条规定了各个名词的含义,包括网络、网络安全、网络数据和个人信息等,其中网络数据是指通过网络收集、存储、传输、处理产生的各种电子数据。
《数据安全法》更强调数据本身的安全,并且在第3条规定了数据是指任何以电子或者其他方式对信息的记录,不限于电子数据。根据定义可以看出,二者有重叠也有差异。
《网络安全法》不仅仅包括数据的内容,还包括网络设施的一些问题,例如网络空间的安全和网络设施的安全。
关于管辖范围
《网络安全法》第2条规定了属地管辖原则,是针对中国境内的系统。
《数据安全法》在第2条则规定了更为广泛的域外管辖效力,包括属地管辖原则和保护性管辖原则二者,并且保护更多的数据种类和数据活动。
关于我国数据的出境
《数据安全法》补充和完善了数据出境管理要求,在第31条对重要数据出境监管作出规定:对于关键信息基础设施的运营者在境内运营中收集和产生的重要数据,继续适用《网络安全法》第37条有关数据出境安全管理要求,即应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;对其他数据处理者在境内运营中收集和产生的重要数据增设出境安全管理,并授权国家网信部门会同国务院有关部门制定相应的出境安全管理办法。
可以看出,两部法律对数据出境安全的管理,都是由国家网信部门和国务院有关部门进行,细则后续会出台。
对于违反规定的数据出境行为,《数据安全法》的处罚力度明显加大,如下表所示,黑色加粗字是两部法律的区别所在。
在下篇恒都法研系列文章中,我们将会对《个人信息保护法》进行分析,敬请期待。
[1] 冯晓青,数据财产化法律规制的理论阐释与构造,《政法论丛》,2021年8月。
[2] 时建中,我国网络与数据安全及个人信息保护法律制度,2021年8月31日。
[3] 《数据安全法》第11条,“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动”。
