隨著(zhù)大數據時(shí)代的到來(lái),網(wǎng)絡(luò )數據資源的價(jià)值和面臨的風(fēng)險不斷提升,數據保護已成為全球性難題。企業(yè),特別是電信和互聯(lián)網(wǎng)企業(yè)擁有海量網(wǎng)絡(luò )數據資源和相對豐富的保護經(jīng)驗,在數據安全領(lǐng)域的重要性不斷凸顯,企業(yè)的態(tài)度不僅直接關(guān)系到國家已有數據安全政策能否有效實(shí)施,還能對國家的數據安全頂層設計產(chǎn)生一定影響。近期,歐美數據安全的立法變動(dòng)頻繁,網(wǎng)絡(luò )數據安全保護政企博弈日益激烈,企業(yè)與政府的立場(chǎng)分歧不斷顯現。
一、近期歐美數據安全相關(guān)法案
2015年10月以來(lái),歐美各國的數據安全立法變動(dòng)頻繁且多數以企業(yè)為最主要的規制對象,主要立法變更如下:
(一)歐盟架空“安全港協(xié)議”,限制美企業(yè)數據收集行為
2015年10月6日,歐盟法院在對“Maximillian Schrems v. 數據保護委員會(huì )”[1]案做出的判決中,認定每個(gè)歐盟成員國都有權判定第三方國家數據保護的充分程度,并決定其公民用戶(hù)信息是否可向該國進(jìn)行傳輸。這一判決事實(shí)上架空了歐美于2000年簽署的“安全港協(xié)議”,在歐盟和美國重新簽訂通用的數據跨境流動(dòng)協(xié)議之前,美國網(wǎng)絡(luò )科技公司無(wú)法再將獲取的歐洲公民用戶(hù)信息傳輸至美國進(jìn)行存儲或分析。雖然歐美雙方的網(wǎng)絡(luò )數據跨境流動(dòng)和共享行為并不會(huì )就此完全中斷,但短期內美互聯(lián)網(wǎng)企業(yè)在歐洲收集用戶(hù)數據需要分別與各成員國簽訂協(xié)議,業(yè)務(wù)成本和面臨的法律適用挑戰將顯著(zhù)提升,共計將有超過(guò)4500家美互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)受到影響。
(二)美國立法為企業(yè)增設配合政府網(wǎng)絡(luò )數據監控義務(wù)
2015年12月18日,美國國會(huì )正式通過(guò)了《網(wǎng)絡(luò )信息安全共享法》(以下簡(jiǎn)稱(chēng)CISA法案)。這部曾廣受爭議,被認為將大幅度提升政府網(wǎng)絡(luò )數據監控權的法案即將正式生效。該法案旨在簡(jiǎn)化政企用戶(hù)信息共享流程,要求企業(yè)在必要時(shí)能根據國土安全部的需求迅速將用戶(hù)信息與其進(jìn)行共享。當用戶(hù)控告企業(yè)的此類(lèi)行為侵犯公民隱私權時(shí),企業(yè)擁有不受追訴的豁免權。這種共享的適用范圍包括:安全威脅情報、網(wǎng)絡(luò )攻擊信息、恐怖行動(dòng)信息或是被政府部門(mén)認為可能來(lái)自間諜或敵對勢力的信息。該法案看似賦予了企業(yè)用戶(hù)信息共享免責的權利,事實(shí)上卻為政府加強對企業(yè)的網(wǎng)絡(luò )數據資源控制開(kāi)辟了合法途徑。
(三)英國新《調查權法》草案限制企業(yè)對數據的加密存儲
2015年11月4日,英國政府發(fā)布了新版《調查權法》草案,擴大了部分政府機關(guān)獲取民眾網(wǎng)絡(luò )與媒體信息的權利,并禁止互聯(lián)網(wǎng)企業(yè)對數據“過(guò)度加密”。該法案規定一旦警方或情報部門(mén)獲得國會(huì )或法院授權,要求互聯(lián)網(wǎng)企業(yè)提供特定破譯信息,企業(yè)必須予以配合。同時(shí),互聯(lián)網(wǎng)企業(yè)必須保存用戶(hù)一年內的網(wǎng)頁(yè)瀏覽記錄以供有關(guān)部門(mén)查閱,上述機構還可以通過(guò)安裝軟件、拍攝和錄音等手段獲取企業(yè)掌握的信息。英國內政部強調該草案的出臺是為了應對日益增多的恐怖活動(dòng)和網(wǎng)絡(luò )犯罪,并不禁止企業(yè)對其掌握數據進(jìn)行加密,也不會(huì )擴大政府對公民隱私的監聽(tīng),但目前多數企業(yè)和民眾都對該法案持反對態(tài)度,英《每日電訊報》也預測該法案將在議會(huì )遭遇較強阻力。
除上述三項立法活動(dòng)外,2015年12月15日,歐盟委員會(huì )、歐洲議會(huì )、歐盟理事會(huì )就出臺新的“歐盟數據保護總規”(以下簡(jiǎn)稱(chēng)“總規”)達成一致,新總規主要內容包括:為解決“安全港協(xié)議”架空后歐洲數據跨境流動(dòng)規則碎片化現狀,出臺歐盟統一的跨境數據流動(dòng)法規;為遏制互聯(lián)網(wǎng)企業(yè)對數據的控制(包括過(guò)度加密),引入用戶(hù)“數據可攜權”[2]等。
二、立法活動(dòng)背后政企博弈的體現
以上歐美數據安全立法活動(dòng)有的得到了企業(yè)默認或支持,有的則招致了激烈反對。企業(yè)對于法案的態(tài)度主要取決于法案的具體內容及推行后可能對企業(yè)運營(yíng)造成的影響。一旦政企利益訴求產(chǎn)生分歧,二者之間的博弈將顯性化,具體體現在以下幾個(gè)方面:
(一)歐美等國將企業(yè)作為強化網(wǎng)絡(luò )數據保護的首要抓手,立法變動(dòng)對企業(yè)日常運營(yíng)的影響不斷加深。不論是“安全港協(xié)議”還是CISA法案,都與企業(yè)的日常運營(yíng)活動(dòng)緊密相關(guān),并且與這兩部法案相關(guān)的立法活動(dòng)不再將政府、研究機構等納入規制對象,而是主要聚焦于企業(yè)。這些法案相比于以往的數據安全宏觀(guān)立法,對企業(yè)的影響更為常態(tài)和直接。美國在制定CISA法案時(shí)無(wú)視歐盟乃至本國企業(yè)反對,堅持要求企業(yè)實(shí)時(shí)掌控系統日常運營(yíng)承載的數據并不斷擴大政企間的用戶(hù)信息共享。“安全港協(xié)議”的失效導致美國企業(yè)在歐洲的運營(yíng)成本直線(xiàn)上升,短期內美國企業(yè)在歐收集用戶(hù)數據時(shí),需遵循更為嚴格的“當事人同意原則”[3]。而新“總規”生效后,“當事人同意”將升級為明示并可撤銷(xiāo)的,適用條件更為受限,適用對象也將從互聯(lián)網(wǎng)企業(yè)擴展到各類(lèi)IT廠(chǎng)商,預計未來(lái)外國企業(yè)在歐洲經(jīng)營(yíng)的數據保護成本將繼續提升。
(二)政企的數據保護立場(chǎng)分歧日漸增多,雙方安全需求差異不斷顯性化。近期數據安全立法變動(dòng)過(guò)程中,企業(yè)與政府立場(chǎng)相左的情形不斷增加。從政府角度,對于數據保護的規劃統籌日趨成熟,通過(guò)立法貫徹施政理念的態(tài)度日益強勢。以美國為例,其數據保護軟硬實(shí)力領(lǐng)先全球,別國的監聽(tīng)與數據竊取行為對美危害有限,比起數據主權和隱私權保護,美國利用大數據分析技術(shù)和政企安全信息共享應對網(wǎng)絡(luò )安全威脅的需求更為迫切,因此CISA法案“減損隱私權以保障網(wǎng)絡(luò )數據安全”的傾向非常明顯,并在該法案的多次修改中均未改變。從企業(yè)角度,歐美企業(yè),特別是互聯(lián)網(wǎng)巨頭,在數據安全立法時(shí)的發(fā)聲日益積極。如推特、蘋(píng)果等公司,在CISA法案制定的過(guò)程中,多次明確表示了對該法案的強烈反對,認為該法案是“安全壓倒人權”,會(huì )導致用戶(hù)對企業(yè)的不信任,縱容政府對商業(yè)秘密甚至經(jīng)營(yíng)自由的不當干涉。
(三)“維護公民權益”成為數據保護立法的重要原則和順利推行的關(guān)鍵。英國政府一再解釋新版《調查權法》草案的最終目的是維護公眾安全,與用戶(hù)信息保護并行不悖;歐盟明確表示否定“安全港協(xié)議”是因為美國政府對歐盟用戶(hù)信息的獲取和使用權限明顯侵犯了歐盟憲章中個(gè)人數據保護的基本人權;微軟、谷歌等美國企業(yè)將“維護公民隱私權”作為反對政府立場(chǎng)的中堅理由;歐盟新“總規”增設數據可攜權,也是為了推動(dòng)企業(yè)解決網(wǎng)絡(luò )數據存儲格式不統一等問(wèn)題,滿(mǎn)足用戶(hù)將個(gè)人信息在不同應用間自由傳輸、存儲等需求。隨著(zhù)大數據挖掘技術(shù)的不斷演進(jìn),用戶(hù)信息的潛在價(jià)值不斷拓展,用戶(hù)信息保護的基本人權屬性不斷增加,公眾對用戶(hù)信息的安全需求也水漲船高,可以預見(jiàn),一部數據安全立法如果沒(méi)有兼顧公眾利益、沒(méi)有行之有效的用戶(hù)信息保護方案,將在推行實(shí)施方面困難重重。從歐盟新“總規”的立法趨勢來(lái)看,未來(lái)法定公民新型數據權將不斷增多。
三、外國近期動(dòng)向對我國的借鑒
國外近期數據安全立法過(guò)程中的政企博弈行為對我國數據安全管理工作具有重要參考價(jià)值和積極借鑒意義。為有效應對大數據時(shí)代下的安全挑戰,我國應遵循大數據發(fā)展與安全保障并重原則,有效利用企業(yè)的先進(jìn)技術(shù)和實(shí)踐經(jīng)驗,充分發(fā)揮企業(yè)在數據安全保障方面的積極作用,加快謀劃和構建適合我國國情的數據安全管理體系。
(一)加快數據安全法制建設,強化對互聯(lián)網(wǎng)企業(yè)的安全監管。我國企業(yè)的數據保護軟硬實(shí)力與國外相比差距較大,單靠企業(yè)自身難以滿(mǎn)足國家、社會(huì )和公眾的數據安全保障需求,亟需政府加以引導和監督。因此,建議政府根據國家安全和公民隱私保護的需求,加快完善數據保護法律體系,加緊制定數據安全監管的指導性文件。落實(shí)網(wǎng)絡(luò )數據分級分類(lèi)保護原則,實(shí)施用戶(hù)信息等重要數據資源的境內存儲,出臺針對數據跨境流動(dòng)和開(kāi)放共享合作場(chǎng)景的具體規則。指導并督促企業(yè)落實(shí)數據保護相關(guān)法律制度和安全責任,將數據安全作為互聯(lián)網(wǎng)企業(yè)監管的重要抓手,更好的實(shí)現用戶(hù)信息等重要數據的妥善存儲和合理利用。建立健全企業(yè)用戶(hù)個(gè)人信息泄露社會(huì )公告制度。考慮引入“數據可攜帶權”,緩解用戶(hù)在不同企業(yè)的產(chǎn)品或服務(wù)間自由提取、轉移、存儲自身信息所面臨的障礙。
(二)推動(dòng)建立數據安全信用體系,創(chuàng )新數據安全管理模式。隨著(zhù)企業(yè)數據安全利益訴求的不斷明確,僅通過(guò)政府強制措施規制企業(yè)行為的收效日益受限,還可能激發(fā)企業(yè)和政府在數據保護領(lǐng)域的矛盾,提升企業(yè)數據保護自律性、創(chuàng )新數據安全管理模式的必要性不斷凸顯。建議政府推動(dòng)建立網(wǎng)絡(luò )數據安全信用體系,鼓勵企業(yè)向社會(huì )做出數據安全保護的公開(kāi)信用承諾。對于違背信用承諾的企業(yè),向社會(huì )公示其失信行為。在市場(chǎng)監管和公共服務(wù)過(guò)程中,根據數據信用記錄對企業(yè)進(jìn)行差別監管,同等條件下,對數據信用記錄良好者實(shí)行優(yōu)先辦理、簡(jiǎn)化程序等“綠色通道”支持激勵政策。在涉及網(wǎng)絡(luò )數據開(kāi)放共享的政府采購等招投標過(guò)程中,優(yōu)先選擇數據安全信用狀況較好的市場(chǎng)主體。
(三)強化政企數據保護合作,積極應對國際形勢變化。國外日趨激烈的政企博弈從側面說(shuō)明了政企間數據保護的交流、合作在不斷深化。我國政府和企業(yè)也應進(jìn)一步加強有關(guān)數據保護的合作。一方面,政府應充分借助企業(yè)的技術(shù)優(yōu)勢和數據保護一線(xiàn)經(jīng)驗,不斷落實(shí)和優(yōu)化數據保護頂層設計和政策規劃,聯(lián)合企業(yè)積極開(kāi)展數據加密、防泄漏等專(zhuān)用保護技術(shù)的研發(fā)攻關(guān);另一方面,企業(yè)應緊跟政府數據安全政策,配合政府開(kāi)展安全威脅情報、網(wǎng)絡(luò )反恐等數據資源的共享,積極參與國際數據跨境流動(dòng)或用戶(hù)信息保護等熱點(diǎn)領(lǐng)域的安全規則制定;對內強化政企聯(lián)動(dòng),對外注重統一發(fā)聲,共同應對歐美不斷收緊的數據保護政策,切實(shí)保護我國公民和企業(yè)的合法權益。
[1]“Maximillian Schrems v. 數據保護委員會(huì )”案:奧地利公民Maximillian Schrems曾對Facebook歐盟總部提起訴訟,認為美國國家安全局NSA的大規模監聽(tīng)計劃侵犯了他的隱私權利。Facebook歐盟總部所在地的愛(ài)爾蘭數據保護委員會(huì )以“安全港協(xié)議”的相關(guān)規定為依據,駁回了Schrems的請求。Schrems隨后上訴,本案被提交至歐盟法院,歐盟法院在本案的判決中賦予了歐盟各成員國決定本國數據是否向外傳輸的權利,并宣布了“安全港協(xié)議”無(wú)效。
[2] "數據可攜權",是指用戶(hù)可以無(wú)障礙的將其個(gè)人數據以及其他數據資料從一個(gè)信息服務(wù)提供者處轉移至另外一個(gè)信息服務(wù)提供者。例如facebook的用戶(hù)可以將其帳號中的照片以及其他資料轉移到其他社交網(wǎng)絡(luò )服務(wù)提供商。該權利不僅適用于社交網(wǎng)絡(luò )服務(wù),還包括云計算、網(wǎng)絡(luò )服務(wù)以及手機應用等自動(dòng)數據處理系統。信息控制者不僅無(wú)權干涉信息主體的此項權利,還需要配合用戶(hù)提供數據文本。
[3] 歐盟的數據保護指令規定,對于企業(yè)收集用戶(hù)信息的行為,當事人必須自愿而清晰的表示同意。相比之下,美國的“同意原則”以“默示”為前提,實(shí)際貫徹落實(shí)遠不如歐洲嚴格。
