安全法下的涉外數(shù)據(jù)保護(hù)和涉外個(gè)人信息保護(hù)(上)
2021-10-21
- 引 言 -
2021年是數(shù)據(jù)保護(hù)的重要年份�,有兩部數(shù)據(jù)保護(hù)相關(guān)法律通過并實(shí)施。
《中華人民共和國數(shù)據(jù)安全法》
《中華人民共和國數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)于2021年6月10日經(jīng)第十三屆全國人大常委會(huì)第二十九次會(huì)議審議通過�����,并于2021年9月1日起施行���。
《中華人民共和國個(gè)人信息保護(hù)法》
《中華人民共和國個(gè)人信息保護(hù)法》(下稱《個(gè)人信息保護(hù)法》)于2021年8月20日經(jīng)第十三屆全國人大常委會(huì)第三十次會(huì)議審議通過���,并將于2021年11月1日起施行。
這兩部法律從不同的角度加強(qiáng)對數(shù)據(jù)和信息的保護(hù)�����,有不同的側(cè)重�,并且與已經(jīng)實(shí)施的《中華人民共和國國家安全法》(下稱《國家安全法》)和《中華人民共和國網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)形成多位一體。在“安全”的大前提下�,對“網(wǎng)絡(luò)”���、“數(shù)據(jù)”和“個(gè)人信息”進(jìn)行立法和規(guī)制,從而形成有機(jī)的整體��。
在網(wǎng)絡(luò)互聯(lián)互通的大背景下���,與數(shù)據(jù)和個(gè)人信息相關(guān)的安全問題已經(jīng)成為國際問題����,相關(guān)法律必然涉及不同國家之間的協(xié)作�����。
筆者將通過兩篇文章闡述網(wǎng)絡(luò)����、數(shù)據(jù)和個(gè)人信息的特點(diǎn)和關(guān)聯(lián)性,以及《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》中的涉外安全相關(guān)的規(guī)定�����。本文將重點(diǎn)解讀《數(shù)據(jù)安全法》的相關(guān)要點(diǎn)���。
- 探 討 -
一���、網(wǎng)絡(luò)��、數(shù)據(jù)和個(gè)人信息相互關(guān)聯(lián)���、并且與安全息息相關(guān)
在網(wǎng)絡(luò)技術(shù)席卷全球的背景下,數(shù)字技術(shù)和實(shí)體經(jīng)濟(jì)已經(jīng)相互深度融合�����,數(shù)據(jù)產(chǎn)業(yè)的規(guī)模不斷擴(kuò)大�,數(shù)據(jù)的經(jīng)濟(jì)價(jià)值也相應(yīng)地極大提升����,成為企業(yè)競爭優(yōu)勢的重要組成部分。
網(wǎng)絡(luò)的發(fā)展催生出海量數(shù)據(jù)���。數(shù)據(jù)是對個(gè)人信息�、企業(yè)信息��、公共信息等信息的記錄���,是信息的載體�����。數(shù)據(jù)會(huì)自動(dòng)生成并且具有非消耗性[1]���。
網(wǎng)絡(luò)的互聯(lián)互通����,又使得數(shù)據(jù)和信息就像知識產(chǎn)權(quán)一樣�,具有流動(dòng)性和可復(fù)制性[1]。相關(guān)立法活動(dòng)就是要對數(shù)據(jù)的人格利益和財(cái)產(chǎn)權(quán)益進(jìn)行規(guī)定�。
在2007年的電影《Live Free or Die Hard》(虎膽龍威4)中,已經(jīng)展示了網(wǎng)絡(luò)中的數(shù)據(jù)和信息的安全被黑客攻擊而不能保障的情況下可能引發(fā)的安全隱患����,包括大規(guī)模的交通癱瘓、通信癱瘓�、金融崩潰、電力危機(jī)等嚴(yán)重問題���。
在數(shù)據(jù)日益增多的今天�,這種安全隱患在逐漸擴(kuò)大���。因此���,出于安全考慮��,對網(wǎng)絡(luò)�����、數(shù)據(jù)和個(gè)人信息保護(hù)的緊迫性日益凸顯�����。
二�����、國際范圍內(nèi)的數(shù)據(jù)保護(hù)的法律和案例
國際上,數(shù)據(jù)安全事件和個(gè)人信息泄露的事件已經(jīng)多次發(fā)生�。
2019年3月
委內(nèi)瑞拉發(fā)生全國范圍內(nèi)的大規(guī)模停電,諸多地區(qū)的供水和通信網(wǎng)絡(luò)受到影響�,原因就是其最重要的水電站遭到黑客攻擊。
2018年4月
扎克伯格因Facebook泄露8700萬人數(shù)據(jù)而出席美國參眾兩院聽證會(huì)��,原因在于英國的Cambridge Analytica在2016年獲得了數(shù)千萬名Facebook用戶數(shù)據(jù)����,并且有針對性地在Facebook平臺(tái)上投放廣告來影響美國總統(tǒng)大選���,該案最終以50億美元的罰款告終。
歐盟于2016年審議通過《通用數(shù)據(jù)保護(hù)條例》�����,并于2018年正式實(shí)施��,在管轄方面以“屬人”�����、“屬地”�、“保護(hù)性管轄”和“國際公法”等多個(gè)管轄原則相結(jié)合,被認(rèn)為是最嚴(yán)格的數(shù)據(jù)保護(hù)法令����。
2021年7月16日,因?yàn)閬嗰R遜的歐洲核心部門對個(gè)人數(shù)據(jù)的處理不符合歐盟《通用數(shù)據(jù)保護(hù)條例》��,違反了歐盟的數(shù)據(jù)保護(hù)法�����,盧森堡數(shù)據(jù)保護(hù)委員會(huì)對亞馬遜開出了7.46億歐元的罰單。
此外����,美國在2018年3月推出了《澄清境外數(shù)據(jù)合法使用法案》,從而為跨境數(shù)據(jù)調(diào)取提供了法律依據(jù)�,其中規(guī)定在美國政府提出要求時(shí),任何在云上存儲(chǔ)數(shù)據(jù)的美國公司都要將數(shù)據(jù)轉(zhuǎn)交給美國政府�����,并且所述美國公司被擴(kuò)展為包括位于美國境外但被美國法院認(rèn)為“與美國有足夠聯(lián)系且受美國管轄”的外國公司�。到目前為止已有近100個(gè)國家制定了數(shù)據(jù)安全保護(hù)的法律法規(guī)。
根據(jù)案例可以看出���,數(shù)據(jù)已經(jīng)成為各個(gè)國家的基礎(chǔ)性戰(zhàn)略資源����,沒有數(shù)據(jù)安全就沒有國家安全���,并且數(shù)據(jù)安全的案例是在不同國家之間交織。
各類數(shù)據(jù)的收集主體多樣化�,處理活動(dòng)復(fù)雜,國家的安全更關(guān)注域外主體帶來的安全風(fēng)險(xiǎn)��。歐美國家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界,直接影響到第三方國家的主權(quán)問題�����,需要反制措施[2]����。
因此,網(wǎng)絡(luò)的互通性和數(shù)據(jù)的可復(fù)制性已經(jīng)使得安全成為國際范圍內(nèi)的問題���,而不是單純一個(gè)國家內(nèi)部的問題���。
三、《數(shù)據(jù)安全法》的解讀
《數(shù)據(jù)安全法》一共分為七章����,五十五條。體系結(jié)構(gòu)包括:總則����、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度��、數(shù)據(jù)安全保護(hù)義務(wù)����、政務(wù)數(shù)據(jù)安全與開放����、法律責(zé)任��、附則���。
《數(shù)據(jù)安全法》第2��、11���、24、25�����、26���、31����、36�、46、48條涉及境外的數(shù)據(jù)處理或保護(hù)�,這些規(guī)定適應(yīng)于全球的數(shù)據(jù)發(fā)展利用情況和法律規(guī)范。
關(guān)于數(shù)據(jù)管轄
在《數(shù)據(jù)安全法》第2條中明確了更為廣泛的境外司法管轄���,指出了在境外開展的數(shù)據(jù)處理活動(dòng)損害了中國相關(guān)利益的情況下�����,中國具有管轄權(quán)��,這符合數(shù)據(jù)的可復(fù)制性和網(wǎng)絡(luò)的互通性的客觀情況����。
相對于美國和歐盟�����,中國以保護(hù)性管轄為標(biāo)準(zhǔn)來確定管轄權(quán)�,是相對窄的擴(kuò)展。
例如�,美國的《澄清境外數(shù)據(jù)合法使用法案》將美國企業(yè)擴(kuò)展成其在網(wǎng)絡(luò)空間的“領(lǐng)土”,極大地?cái)U(kuò)張了美國的數(shù)據(jù)主權(quán)����。
在歐盟的《通用數(shù)據(jù)保護(hù)條例》中基于歐盟國家的公民來擴(kuò)張其數(shù)據(jù)主權(quán)�����,其規(guī)定任何一個(gè)互聯(lián)網(wǎng)公司�,即使在歐盟沒有辦事機(jī)構(gòu)�,只要互聯(lián)網(wǎng)公司的用戶中有歐盟國家的公民,就需要遵守該條例的規(guī)定���。盡管有管轄上的擴(kuò)展���,中國的《數(shù)據(jù)安全法》在數(shù)據(jù)領(lǐng)域還是持開放態(tài)度,積極推進(jìn)國際合作和標(biāo)準(zhǔn)制定�,促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)[3]�。
關(guān)于我國數(shù)據(jù)的出境
《數(shù)據(jù)安全法》第36條明確規(guī)定,我國根據(jù)國際法和平等互惠原則來向外國司法/執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國境內(nèi)的數(shù)據(jù)���,并且境內(nèi)的組織���、個(gè)人只有在經(jīng)我國主管機(jī)關(guān)批準(zhǔn)之后,才能向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國境內(nèi)的數(shù)據(jù)�����。
《數(shù)據(jù)安全法》第48條規(guī)定了未經(jīng)主管機(jī)關(guān)批準(zhǔn)而向外國司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的懲罰措施,該懲罰不但針對提供數(shù)據(jù)的組織還針對其直接負(fù)責(zé)人��。
在從境外收到跨境調(diào)取數(shù)據(jù)的司法/執(zhí)法命令時(shí)��,例如在美國政府根據(jù)《澄清境外數(shù)據(jù)合法使用法案》調(diào)取中國數(shù)據(jù)時(shí)����,如果我國主管機(jī)關(guān)經(jīng)審查發(fā)現(xiàn)可能威脅我國數(shù)據(jù)主權(quán)和安全����,則我國境內(nèi)的組織和個(gè)人可以根據(jù)該36條拒絕向境外(例如美國政府)提供存儲(chǔ)于我國境內(nèi)的數(shù)據(jù)。
面對不同國家的法律沖突�����,可以根據(jù)司法禮讓的原則來最終判斷��。
在華北制藥出口到美國的維生素C的反壟斷案件中���,華北制藥基于中國法律規(guī)定的橫向統(tǒng)一定價(jià)行為在美國的一審中被認(rèn)定壟斷�,但最后美國聯(lián)邦最高法院根據(jù)司法禮讓原則認(rèn)定不構(gòu)成壟斷����。
此外�,《數(shù)據(jù)安全法》第25條明確了對“與維護(hù)國家安全和利益”��、以及“履行國際義務(wù)相關(guān)”的數(shù)據(jù)出口實(shí)施出口管制���,進(jìn)一步完善了我國數(shù)據(jù)出境的監(jiān)管制度框架���。
關(guān)于數(shù)據(jù)安全審查和開發(fā)利用方面的對等原則
《數(shù)據(jù)安全法》第24條明確我國建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查����,進(jìn)一步加強(qiáng)了“安全”大前提下的數(shù)據(jù)處理。其它國家已經(jīng)在進(jìn)行相關(guān)執(zhí)法��。
例如����,美國在2020年8月6日簽署兩項(xiàng)行政命令,宣布將在 45 天后禁止任何美國個(gè)人及企業(yè)與TikTok(抖音的國際版)母公司字節(jié)跳動(dòng)進(jìn)行任何交易����,禁止美國個(gè)人及企業(yè)與微信進(jìn)行任何交易,并在2020年8月14日�����,要求字節(jié)跳動(dòng)公司在 90 天之內(nèi)出售或剝離該公司在美國的 TikTok 業(yè)務(wù)。
這些行政命令就是美國以數(shù)據(jù)安全審核結(jié)果的名義發(fā)出的����。
在《數(shù)據(jù)安全法》第26條規(guī)定了我國在數(shù)據(jù)相關(guān)投資、貿(mào)易中遭遇外國或地區(qū)的歧視性禁止或限制時(shí)�����,可以對等采取措施�����。對等原則是國際貿(mào)易中常用的原則�����。
《數(shù)據(jù)安全法》第31和46條涉及重要數(shù)據(jù)的輸出��,與《網(wǎng)絡(luò)安全法》有重疊����,將在下一部分闡述�����。
四、《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》的簡要區(qū)別和在涉外數(shù)據(jù)方面的規(guī)定差別
《網(wǎng)絡(luò)安全法》著重于網(wǎng)絡(luò)安全���,在第76條規(guī)定了各個(gè)名詞的含義����,包括網(wǎng)絡(luò)�、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)和個(gè)人信息等���,其中網(wǎng)絡(luò)數(shù)據(jù)是指通過網(wǎng)絡(luò)收集����、存儲(chǔ)��、傳輸����、處理產(chǎn)生的各種電子數(shù)據(jù)。
《數(shù)據(jù)安全法》更強(qiáng)調(diào)數(shù)據(jù)本身的安全�����,并且在第3條規(guī)定了數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄,不限于電子數(shù)據(jù)��。根據(jù)定義可以看出����,二者有重疊也有差異。
《網(wǎng)絡(luò)安全法》不僅僅包括數(shù)據(jù)的內(nèi)容��,還包括網(wǎng)絡(luò)設(shè)施的一些問題���,例如網(wǎng)絡(luò)空間的安全和網(wǎng)絡(luò)設(shè)施的安全。
關(guān)于管轄范圍
《網(wǎng)絡(luò)安全法》第2條規(guī)定了屬地管轄原則���,是針對中國境內(nèi)的系統(tǒng)。
《數(shù)據(jù)安全法》在第2條則規(guī)定了更為廣泛的域外管轄效力�,包括屬地管轄原則和保護(hù)性管轄原則二者,并且保護(hù)更多的數(shù)據(jù)種類和數(shù)據(jù)活動(dòng)��。
關(guān)于我國數(shù)據(jù)的出境
《數(shù)據(jù)安全法》補(bǔ)充和完善了數(shù)據(jù)出境管理要求�����,在第31條對重要數(shù)據(jù)出境監(jiān)管作出規(guī)定:對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)��,繼續(xù)適用《網(wǎng)絡(luò)安全法》第37條有關(guān)數(shù)據(jù)出境安全管理要求,即應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估�����;對其他數(shù)據(jù)處理者在境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)增設(shè)出境安全管理��,并授權(quán)國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定相應(yīng)的出境安全管理辦法�。
可以看出,兩部法律對數(shù)據(jù)出境安全的管理���,都是由國家網(wǎng)信部門和國務(wù)院有關(guān)部門進(jìn)行����,細(xì)則后續(xù)會(huì)出臺(tái)����。
對于違反規(guī)定的數(shù)據(jù)出境行為,《數(shù)據(jù)安全法》的處罰力度明顯加大���,如下表所示�����,黑色加粗字是兩部法律的區(qū)別所在�����。
在下篇恒都法研系列文章中�,我們將會(huì)對《個(gè)人信息保護(hù)法》進(jìn)行分析,敬請期待�����。
[1] 馮曉青�,數(shù)據(jù)財(cái)產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造,《政法論叢》�����,2021年8月�����。
[2] 時(shí)建中�,我國網(wǎng)絡(luò)與數(shù)據(jù)安全及個(gè)人信息保護(hù)法律制度����,2021年8月31日。
[3] 《數(shù)據(jù)安全法》第11條�,“國家積極開展數(shù)據(jù)安全治理�����、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作�,參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定�����,促進(jìn)數(shù)據(jù)跨境安全���、自由流動(dòng)”��。
