隨著大數(shù)據(jù)時代的到來,網(wǎng)絡(luò)數(shù)據(jù)資源的價值和面臨的風險不斷提升,數(shù)據(jù)保護已成為全球性難題。企業(yè),特別是電信和互聯(lián)網(wǎng)企業(yè)擁有海量網(wǎng)絡(luò)數(shù)據(jù)資源和相對豐富的保護經(jīng)驗,在數(shù)據(jù)安全領(lǐng)域的重要性不斷凸顯,企業(yè)的態(tài)度不僅直接關(guān)系到國家已有數(shù)據(jù)安全政策能否有效實施,還能對國家的數(shù)據(jù)安全頂層設(shè)計產(chǎn)生一定影響。近期,歐美數(shù)據(jù)安全的立法變動頻繁,網(wǎng)絡(luò)數(shù)據(jù)安全保護政企博弈日益激烈,企業(yè)與政府的立場分歧不斷顯現(xiàn)。
一、近期歐美數(shù)據(jù)安全相關(guān)法案
2015年10月以來,歐美各國的數(shù)據(jù)安全立法變動頻繁且多數(shù)以企業(yè)為最主要的規(guī)制對象,主要立法變更如下:
(一)歐盟架空“安全港協(xié)議”,限制美企業(yè)數(shù)據(jù)收集行為
2015年10月6日,歐盟法院在對“Maximillian Schrems v. 數(shù)據(jù)保護委員會”[1]案做出的判決中,認定每個歐盟成員國都有權(quán)判定第三方國家數(shù)據(jù)保護的充分程度,并決定其公民用戶信息是否可向該國進行傳輸。這一判決事實上架空了歐美于2000年簽署的“安全港協(xié)議”,在歐盟和美國重新簽訂通用的數(shù)據(jù)跨境流動協(xié)議之前,美國網(wǎng)絡(luò)科技公司無法再將獲取的歐洲公民用戶信息傳輸至美國進行存儲或分析。雖然歐美雙方的網(wǎng)絡(luò)數(shù)據(jù)跨境流動和共享行為并不會就此完全中斷,但短期內(nèi)美互聯(lián)網(wǎng)企業(yè)在歐洲收集用戶數(shù)據(jù)需要分別與各成員國簽訂協(xié)議,業(yè)務(wù)成本和面臨的法律適用挑戰(zhàn)將顯著提升,共計將有超過4500家美互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)受到影響。
(二)美國立法為企業(yè)增設(shè)配合政府網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控義務(wù)
2015年12月18日,美國國會正式通過了《網(wǎng)絡(luò)信息安全共享法》(以下簡稱CISA法案)。這部曾廣受爭議,被認為將大幅度提升政府網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控權(quán)的法案即將正式生效。該法案旨在簡化政企用戶信息共享流程,要求企業(yè)在必要時能根據(jù)國土安全部的需求迅速將用戶信息與其進行共享。當用戶控告企業(yè)的此類行為侵犯公民隱私權(quán)時,企業(yè)擁有不受追訴的豁免權(quán)。這種共享的適用范圍包括:安全威脅情報、網(wǎng)絡(luò)攻擊信息、恐怖行動信息或是被政府部門認為可能來自間諜或敵對勢力的信息。該法案看似賦予了企業(yè)用戶信息共享免責的權(quán)利,事實上卻為政府加強對企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)資源控制開辟了合法途徑。
(三)英國新《調(diào)查權(quán)法》草案限制企業(yè)對數(shù)據(jù)的加密存儲
2015年11月4日,英國政府發(fā)布了新版《調(diào)查權(quán)法》草案,擴大了部分政府機關(guān)獲取民眾網(wǎng)絡(luò)與媒體信息的權(quán)利,并禁止互聯(lián)網(wǎng)企業(yè)對數(shù)據(jù)“過度加密”。該法案規(guī)定一旦警方或情報部門獲得國會或法院授權(quán),要求互聯(lián)網(wǎng)企業(yè)提供特定破譯信息,企業(yè)必須予以配合。同時,互聯(lián)網(wǎng)企業(yè)必須保存用戶一年內(nèi)的網(wǎng)頁瀏覽記錄以供有關(guān)部門查閱,上述機構(gòu)還可以通過安裝軟件、拍攝和錄音等手段獲取企業(yè)掌握的信息。英國內(nèi)政部強調(diào)該草案的出臺是為了應對日益增多的恐怖活動和網(wǎng)絡(luò)犯罪,并不禁止企業(yè)對其掌握數(shù)據(jù)進行加密,也不會擴大政府對公民隱私的監(jiān)聽,但目前多數(shù)企業(yè)和民眾都對該法案持反對態(tài)度,英《每日電訊報》也預測該法案將在議會遭遇較強阻力。
除上述三項立法活動外,2015年12月15日,歐盟委員會、歐洲議會、歐盟理事會就出臺新的“歐盟數(shù)據(jù)保護總規(guī)”(以下簡稱“總規(guī)”)達成一致,新總規(guī)主要內(nèi)容包括:為解決“安全港協(xié)議”架空后歐洲數(shù)據(jù)跨境流動規(guī)則碎片化現(xiàn)狀,出臺歐盟統(tǒng)一的跨境數(shù)據(jù)流動法規(guī);為遏制互聯(lián)網(wǎng)企業(yè)對數(shù)據(jù)的控制(包括過度加密),引入用戶“數(shù)據(jù)可攜權(quán)”[2]等。
二、立法活動背后政企博弈的體現(xiàn)
以上歐美數(shù)據(jù)安全立法活動有的得到了企業(yè)默認或支持,有的則招致了激烈反對。企業(yè)對于法案的態(tài)度主要取決于法案的具體內(nèi)容及推行后可能對企業(yè)運營造成的影響。一旦政企利益訴求產(chǎn)生分歧,二者之間的博弈將顯性化,具體體現(xiàn)在以下幾個方面:
(一)歐美等國將企業(yè)作為強化網(wǎng)絡(luò)數(shù)據(jù)保護的首要抓手,立法變動對企業(yè)日常運營的影響不斷加深。不論是“安全港協(xié)議”還是CISA法案,都與企業(yè)的日常運營活動緊密相關(guān),并且與這兩部法案相關(guān)的立法活動不再將政府、研究機構(gòu)等納入規(guī)制對象,而是主要聚焦于企業(yè)。這些法案相比于以往的數(shù)據(jù)安全宏觀立法,對企業(yè)的影響更為常態(tài)和直接。美國在制定CISA法案時無視歐盟乃至本國企業(yè)反對,堅持要求企業(yè)實時掌控系統(tǒng)日常運營承載的數(shù)據(jù)并不斷擴大政企間的用戶信息共享。“安全港協(xié)議”的失效導致美國企業(yè)在歐洲的運營成本直線上升,短期內(nèi)美國企業(yè)在歐收集用戶數(shù)據(jù)時,需遵循更為嚴格的“當事人同意原則”[3]。而新“總規(guī)”生效后,“當事人同意”將升級為明示并可撤銷的,適用條件更為受限,適用對象也將從互聯(lián)網(wǎng)企業(yè)擴展到各類IT廠商,預計未來外國企業(yè)在歐洲經(jīng)營的數(shù)據(jù)保護成本將繼續(xù)提升。
(二)政企的數(shù)據(jù)保護立場分歧日漸增多,雙方安全需求差異不斷顯性化。近期數(shù)據(jù)安全立法變動過程中,企業(yè)與政府立場相左的情形不斷增加。從政府角度,對于數(shù)據(jù)保護的規(guī)劃統(tǒng)籌日趨成熟,通過立法貫徹施政理念的態(tài)度日益強勢。以美國為例,其數(shù)據(jù)保護軟硬實力領(lǐng)先全球,別國的監(jiān)聽與數(shù)據(jù)竊取行為對美危害有限,比起數(shù)據(jù)主權(quán)和隱私權(quán)保護,美國利用大數(shù)據(jù)分析技術(shù)和政企安全信息共享應對網(wǎng)絡(luò)安全威脅的需求更為迫切,因此CISA法案“減損隱私權(quán)以保障網(wǎng)絡(luò)數(shù)據(jù)安全”的傾向非常明顯,并在該法案的多次修改中均未改變。從企業(yè)角度,歐美企業(yè),特別是互聯(lián)網(wǎng)巨頭,在數(shù)據(jù)安全立法時的發(fā)聲日益積極。如推特、蘋果等公司,在CISA法案制定的過程中,多次明確表示了對該法案的強烈反對,認為該法案是“安全壓倒人權(quán)”,會導致用戶對企業(yè)的不信任,縱容政府對商業(yè)秘密甚至經(jīng)營自由的不當干涉。
(三)“維護公民權(quán)益”成為數(shù)據(jù)保護立法的重要原則和順利推行的關(guān)鍵。英國政府一再解釋新版《調(diào)查權(quán)法》草案的最終目的是維護公眾安全,與用戶信息保護并行不悖;歐盟明確表示否定“安全港協(xié)議”是因為美國政府對歐盟用戶信息的獲取和使用權(quán)限明顯侵犯了歐盟憲章中個人數(shù)據(jù)保護的基本人權(quán);微軟、谷歌等美國企業(yè)將“維護公民隱私權(quán)”作為反對政府立場的中堅理由;歐盟新“總規(guī)”增設(shè)數(shù)據(jù)可攜權(quán),也是為了推動企業(yè)解決網(wǎng)絡(luò)數(shù)據(jù)存儲格式不統(tǒng)一等問題,滿足用戶將個人信息在不同應用間自由傳輸、存儲等需求。隨著大數(shù)據(jù)挖掘技術(shù)的不斷演進,用戶信息的潛在價值不斷拓展,用戶信息保護的基本人權(quán)屬性不斷增加,公眾對用戶信息的安全需求也水漲船高,可以預見,一部數(shù)據(jù)安全立法如果沒有兼顧公眾利益、沒有行之有效的用戶信息保護方案,將在推行實施方面困難重重。從歐盟新“總規(guī)”的立法趨勢來看,未來法定公民新型數(shù)據(jù)權(quán)將不斷增多。
三、外國近期動向?qū)ξ覈慕梃b
國外近期數(shù)據(jù)安全立法過程中的政企博弈行為對我國數(shù)據(jù)安全管理工作具有重要參考價值和積極借鑒意義。為有效應對大數(shù)據(jù)時代下的安全挑戰(zhàn),我國應遵循大數(shù)據(jù)發(fā)展與安全保障并重原則,有效利用企業(yè)的先進技術(shù)和實踐經(jīng)驗,充分發(fā)揮企業(yè)在數(shù)據(jù)安全保障方面的積極作用,加快謀劃和構(gòu)建適合我國國情的數(shù)據(jù)安全管理體系。
(一)加快數(shù)據(jù)安全法制建設(shè),強化對互聯(lián)網(wǎng)企業(yè)的安全監(jiān)管。我國企業(yè)的數(shù)據(jù)保護軟硬實力與國外相比差距較大,單靠企業(yè)自身難以滿足國家、社會和公眾的數(shù)據(jù)安全保障需求,亟需政府加以引導和監(jiān)督。因此,建議政府根據(jù)國家安全和公民隱私保護的需求,加快完善數(shù)據(jù)保護法律體系,加緊制定數(shù)據(jù)安全監(jiān)管的指導性文件。落實網(wǎng)絡(luò)數(shù)據(jù)分級分類保護原則,實施用戶信息等重要數(shù)據(jù)資源的境內(nèi)存儲,出臺針對數(shù)據(jù)跨境流動和開放共享合作場景的具體規(guī)則。指導并督促企業(yè)落實數(shù)據(jù)保護相關(guān)法律制度和安全責任,將數(shù)據(jù)安全作為互聯(lián)網(wǎng)企業(yè)監(jiān)管的重要抓手,更好的實現(xiàn)用戶信息等重要數(shù)據(jù)的妥善存儲和合理利用。建立健全企業(yè)用戶個人信息泄露社會公告制度。考慮引入“數(shù)據(jù)可攜帶權(quán)”,緩解用戶在不同企業(yè)的產(chǎn)品或服務(wù)間自由提取、轉(zhuǎn)移、存儲自身信息所面臨的障礙。
(二)推動建立數(shù)據(jù)安全信用體系,創(chuàng)新數(shù)據(jù)安全管理模式。隨著企業(yè)數(shù)據(jù)安全利益訴求的不斷明確,僅通過政府強制措施規(guī)制企業(yè)行為的收效日益受限,還可能激發(fā)企業(yè)和政府在數(shù)據(jù)保護領(lǐng)域的矛盾,提升企業(yè)數(shù)據(jù)保護自律性、創(chuàng)新數(shù)據(jù)安全管理模式的必要性不斷凸顯。建議政府推動建立網(wǎng)絡(luò)數(shù)據(jù)安全信用體系,鼓勵企業(yè)向社會做出數(shù)據(jù)安全保護的公開信用承諾。對于違背信用承諾的企業(yè),向社會公示其失信行為。在市場監(jiān)管和公共服務(wù)過程中,根據(jù)數(shù)據(jù)信用記錄對企業(yè)進行差別監(jiān)管,同等條件下,對數(shù)據(jù)信用記錄良好者實行優(yōu)先辦理、簡化程序等“綠色通道”支持激勵政策。在涉及網(wǎng)絡(luò)數(shù)據(jù)開放共享的政府采購等招投標過程中,優(yōu)先選擇數(shù)據(jù)安全信用狀況較好的市場主體。
(三)強化政企數(shù)據(jù)保護合作,積極應對國際形勢變化。國外日趨激烈的政企博弈從側(cè)面說明了政企間數(shù)據(jù)保護的交流、合作在不斷深化。我國政府和企業(yè)也應進一步加強有關(guān)數(shù)據(jù)保護的合作。一方面,政府應充分借助企業(yè)的技術(shù)優(yōu)勢和數(shù)據(jù)保護一線經(jīng)驗,不斷落實和優(yōu)化數(shù)據(jù)保護頂層設(shè)計和政策規(guī)劃,聯(lián)合企業(yè)積極開展數(shù)據(jù)加密、防泄漏等專用保護技術(shù)的研發(fā)攻關(guān);另一方面,企業(yè)應緊跟政府數(shù)據(jù)安全政策,配合政府開展安全威脅情報、網(wǎng)絡(luò)反恐等數(shù)據(jù)資源的共享,積極參與國際數(shù)據(jù)跨境流動或用戶信息保護等熱點領(lǐng)域的安全規(guī)則制定;對內(nèi)強化政企聯(lián)動,對外注重統(tǒng)一發(fā)聲,共同應對歐美不斷收緊的數(shù)據(jù)保護政策,切實保護我國公民和企業(yè)的合法權(quán)益。
[1]“Maximillian Schrems v. 數(shù)據(jù)保護委員會”案:奧地利公民Maximillian Schrems曾對Facebook歐盟總部提起訴訟,認為美國國家安全局NSA的大規(guī)模監(jiān)聽計劃侵犯了他的隱私權(quán)利。Facebook歐盟總部所在地的愛爾蘭數(shù)據(jù)保護委員會以“安全港協(xié)議”的相關(guān)規(guī)定為依據(jù),駁回了Schrems的請求。Schrems隨后上訴,本案被提交至歐盟法院,歐盟法院在本案的判決中賦予了歐盟各成員國決定本國數(shù)據(jù)是否向外傳輸?shù)臋?quán)利,并宣布了“安全港協(xié)議”無效。
[2] "數(shù)據(jù)可攜權(quán)",是指用戶可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者。例如facebook的用戶可以將其帳號中的照片以及其他資料轉(zhuǎn)移到其他社交網(wǎng)絡(luò)服務(wù)提供商。該權(quán)利不僅適用于社交網(wǎng)絡(luò)服務(wù),還包括云計算、網(wǎng)絡(luò)服務(wù)以及手機應用等自動數(shù)據(jù)處理系統(tǒng)。信息控制者不僅無權(quán)干涉信息主體的此項權(quán)利,還需要配合用戶提供數(shù)據(jù)文本。
[3] 歐盟的數(shù)據(jù)保護指令規(guī)定,對于企業(yè)收集用戶信息的行為,當事人必須自愿而清晰的表示同意。相比之下,美國的“同意原則”以“默示”為前提,實際貫徹落實遠不如歐洲嚴格。