安全法下的涉外數(shù)據(jù)保護(hù)和涉外個(gè)人信息保護(hù)(上)
2021-10-21
- 引 言 -
2021年是數(shù)據(jù)保護(hù)的重要年份���,有兩部數(shù)據(jù)保護(hù)相關(guān)法律通過(guò)并實(shí)施。
《中華人民共和國(guó)數(shù)據(jù)安全法》
《中華人民共和國(guó)數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)于2021年6月10日經(jīng)第十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議審議通過(guò)����,并于2021年9月1日起施行。
《中華人民共和國(guó)個(gè)人信息保護(hù)法》
《中華人民共和國(guó)個(gè)人信息保護(hù)法》(下稱《個(gè)人信息保護(hù)法》)于2021年8月20日經(jīng)第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過(guò)�����,并將于2021年11月1日起施行�����。
這兩部法律從不同的角度加強(qiáng)對(duì)數(shù)據(jù)和信息的保護(hù)�����,有不同的側(cè)重���,并且與已經(jīng)實(shí)施的《中華人民共和國(guó)國(guó)家安全法》(下稱《國(guó)家安全法》)和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)形成多位一體�����。在“安全”的大前提下�����,對(duì)“網(wǎng)絡(luò)”��、“數(shù)據(jù)”和“個(gè)人信息”進(jìn)行立法和規(guī)制��,從而形成有機(jī)的整體����。
在網(wǎng)絡(luò)互聯(lián)互通的大背景下��,與數(shù)據(jù)和個(gè)人信息相關(guān)的安全問(wèn)題已經(jīng)成為國(guó)際問(wèn)題����,相關(guān)法律必然涉及不同國(guó)家之間的協(xié)作。
筆者將通過(guò)兩篇文章闡述網(wǎng)絡(luò)���、數(shù)據(jù)和個(gè)人信息的特點(diǎn)和關(guān)聯(lián)性��,以及《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》中的涉外安全相關(guān)的規(guī)定���。本文將重點(diǎn)解讀《數(shù)據(jù)安全法》的相關(guān)要點(diǎn)����。
- 探 討 -
一�����、網(wǎng)絡(luò)���、數(shù)據(jù)和個(gè)人信息相互關(guān)聯(lián)���、并且與安全息息相關(guān)
在網(wǎng)絡(luò)技術(shù)席卷全球的背景下,數(shù)字技術(shù)和實(shí)體經(jīng)濟(jì)已經(jīng)相互深度融合���,數(shù)據(jù)產(chǎn)業(yè)的規(guī)模不斷擴(kuò)大�����,數(shù)據(jù)的經(jīng)濟(jì)價(jià)值也相應(yīng)地極大提升�����,成為企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)的重要組成部分��。
網(wǎng)絡(luò)的發(fā)展催生出海量數(shù)據(jù)�����。數(shù)據(jù)是對(duì)個(gè)人信息����、企業(yè)信息、公共信息等信息的記錄�����,是信息的載體�����。數(shù)據(jù)會(huì)自動(dòng)生成并且具有非消耗性[1]����。
網(wǎng)絡(luò)的互聯(lián)互通���,又使得數(shù)據(jù)和信息就像知識(shí)產(chǎn)權(quán)一樣����,具有流動(dòng)性和可復(fù)制性[1]。相關(guān)立法活動(dòng)就是要對(duì)數(shù)據(jù)的人格利益和財(cái)產(chǎn)權(quán)益進(jìn)行規(guī)定�����。
在2007年的電影《Live Free or Die Hard》(虎膽龍威4)中����,已經(jīng)展示了網(wǎng)絡(luò)中的數(shù)據(jù)和信息的安全被黑客攻擊而不能保障的情況下可能引發(fā)的安全隱患,包括大規(guī)模的交通癱瘓��、通信癱瘓�、金融崩潰、電力危機(jī)等嚴(yán)重問(wèn)題���。
在數(shù)據(jù)日益增多的今天��,這種安全隱患在逐漸擴(kuò)大����。因此���,出于安全考慮�����,對(duì)網(wǎng)絡(luò)���、數(shù)據(jù)和個(gè)人信息保護(hù)的緊迫性日益凸顯�����。
二����、國(guó)際范圍內(nèi)的數(shù)據(jù)保護(hù)的法律和案例
國(guó)際上�����,數(shù)據(jù)安全事件和個(gè)人信息泄露的事件已經(jīng)多次發(fā)生����。
2019年3月
委內(nèi)瑞拉發(fā)生全國(guó)范圍內(nèi)的大規(guī)模停電,諸多地區(qū)的供水和通信網(wǎng)絡(luò)受到影響����,原因就是其最重要的水電站遭到黑客攻擊���。
2018年4月
扎克伯格因Facebook泄露8700萬(wàn)人數(shù)據(jù)而出席美國(guó)參眾兩院聽(tīng)證會(huì)����,原因在于英國(guó)的Cambridge Analytica在2016年獲得了數(shù)千萬(wàn)名Facebook用戶數(shù)據(jù),并且有針對(duì)性地在Facebook平臺(tái)上投放廣告來(lái)影響美國(guó)總統(tǒng)大選���,該案最終以50億美元的罰款告終��。
歐盟于2016年審議通過(guò)《通用數(shù)據(jù)保護(hù)條例》�����,并于2018年正式實(shí)施����,在管轄方面以“屬人”���、“屬地”����、“保護(hù)性管轄”和“國(guó)際公法”等多個(gè)管轄原則相結(jié)合��,被認(rèn)為是最嚴(yán)格的數(shù)據(jù)保護(hù)法令。
2021年7月16日�,因?yàn)閬嗰R遜的歐洲核心部門對(duì)個(gè)人數(shù)據(jù)的處理不符合歐盟《通用數(shù)據(jù)保護(hù)條例》,違反了歐盟的數(shù)據(jù)保護(hù)法���,盧森堡數(shù)據(jù)保護(hù)委員會(huì)對(duì)亞馬遜開(kāi)出了7.46億歐元的罰單���。
此外,美國(guó)在2018年3月推出了《澄清境外數(shù)據(jù)合法使用法案》�����,從而為跨境數(shù)據(jù)調(diào)取提供了法律依據(jù)��,其中規(guī)定在美國(guó)政府提出要求時(shí)�����,任何在云上存儲(chǔ)數(shù)據(jù)的美國(guó)公司都要將數(shù)據(jù)轉(zhuǎn)交給美國(guó)政府���,并且所述美國(guó)公司被擴(kuò)展為包括位于美國(guó)境外但被美國(guó)法院認(rèn)為“與美國(guó)有足夠聯(lián)系且受美國(guó)管轄”的外國(guó)公司�����。到目前為止已有近100個(gè)國(guó)家制定了數(shù)據(jù)安全保護(hù)的法律法規(guī)��。
根據(jù)案例可以看出��,數(shù)據(jù)已經(jīng)成為各個(gè)國(guó)家的基礎(chǔ)性戰(zhàn)略資源�,沒(méi)有數(shù)據(jù)安全就沒(méi)有國(guó)家安全�����,并且數(shù)據(jù)安全的案例是在不同國(guó)家之間交織�����。
各類數(shù)據(jù)的收集主體多樣化�����,處理活動(dòng)復(fù)雜�����,國(guó)家的安全更關(guān)注域外主體帶來(lái)的安全風(fēng)險(xiǎn)����。歐美國(guó)家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界,直接影響到第三方國(guó)家的主權(quán)問(wèn)題����,需要反制措施[2]�����。
因此�,網(wǎng)絡(luò)的互通性和數(shù)據(jù)的可復(fù)制性已經(jīng)使得安全成為國(guó)際范圍內(nèi)的問(wèn)題���,而不是單純一個(gè)國(guó)家內(nèi)部的問(wèn)題��。
三��、《數(shù)據(jù)安全法》的解讀
《數(shù)據(jù)安全法》一共分為七章�,五十五條����。體系結(jié)構(gòu)包括:總則、數(shù)據(jù)安全與發(fā)展��、數(shù)據(jù)安全制度�、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放���、法律責(zé)任��、附則�����。
《數(shù)據(jù)安全法》第2����、11��、24���、25�����、26�����、31��、36�、46��、48條涉及境外的數(shù)據(jù)處理或保護(hù),這些規(guī)定適應(yīng)于全球的數(shù)據(jù)發(fā)展利用情況和法律規(guī)范���。
關(guān)于數(shù)據(jù)管轄
在《數(shù)據(jù)安全法》第2條中明確了更為廣泛的境外司法管轄�,指出了在境外開(kāi)展的數(shù)據(jù)處理活動(dòng)損害了中國(guó)相關(guān)利益的情況下���,中國(guó)具有管轄權(quán)�,這符合數(shù)據(jù)的可復(fù)制性和網(wǎng)絡(luò)的互通性的客觀情況��。
相對(duì)于美國(guó)和歐盟�,中國(guó)以保護(hù)性管轄為標(biāo)準(zhǔn)來(lái)確定管轄權(quán),是相對(duì)窄的擴(kuò)展��。
例如��,美國(guó)的《澄清境外數(shù)據(jù)合法使用法案》將美國(guó)企業(yè)擴(kuò)展成其在網(wǎng)絡(luò)空間的“領(lǐng)土”����,極大地?cái)U(kuò)張了美國(guó)的數(shù)據(jù)主權(quán)。
在歐盟的《通用數(shù)據(jù)保護(hù)條例》中基于歐盟國(guó)家的公民來(lái)擴(kuò)張其數(shù)據(jù)主權(quán)����,其規(guī)定任何一個(gè)互聯(lián)網(wǎng)公司,即使在歐盟沒(méi)有辦事機(jī)構(gòu)����,只要互聯(lián)網(wǎng)公司的用戶中有歐盟國(guó)家的公民��,就需要遵守該條例的規(guī)定�����。盡管有管轄上的擴(kuò)展��,中國(guó)的《數(shù)據(jù)安全法》在數(shù)據(jù)領(lǐng)域還是持開(kāi)放態(tài)度���,積極推進(jìn)國(guó)際合作和標(biāo)準(zhǔn)制定�,促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)[3]��。
關(guān)于我國(guó)數(shù)據(jù)的出境
《數(shù)據(jù)安全法》第36條明確規(guī)定��,我國(guó)根據(jù)國(guó)際法和平等互惠原則來(lái)向外國(guó)司法/執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的數(shù)據(jù)�����,并且境內(nèi)的組織�����、個(gè)人只有在經(jīng)我國(guó)主管機(jī)關(guān)批準(zhǔn)之后,才能向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的數(shù)據(jù)����。
《數(shù)據(jù)安全法》第48條規(guī)定了未經(jīng)主管機(jī)關(guān)批準(zhǔn)而向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的懲罰措施,該懲罰不但針對(duì)提供數(shù)據(jù)的組織還針對(duì)其直接負(fù)責(zé)人����。
在從境外收到跨境調(diào)取數(shù)據(jù)的司法/執(zhí)法命令時(shí),例如在美國(guó)政府根據(jù)《澄清境外數(shù)據(jù)合法使用法案》調(diào)取中國(guó)數(shù)據(jù)時(shí)�����,如果我國(guó)主管機(jī)關(guān)經(jīng)審查發(fā)現(xiàn)可能威脅我國(guó)數(shù)據(jù)主權(quán)和安全����,則我國(guó)境內(nèi)的組織和個(gè)人可以根據(jù)該36條拒絕向境外(例如美國(guó)政府)提供存儲(chǔ)于我國(guó)境內(nèi)的數(shù)據(jù)。
面對(duì)不同國(guó)家的法律沖突�,可以根據(jù)司法禮讓的原則來(lái)最終判斷。
在華北制藥出口到美國(guó)的維生素C的反壟斷案件中�����,華北制藥基于中國(guó)法律規(guī)定的橫向統(tǒng)一定價(jià)行為在美國(guó)的一審中被認(rèn)定壟斷�����,但最后美國(guó)聯(lián)邦最高法院根據(jù)司法禮讓原則認(rèn)定不構(gòu)成壟斷。
此外�����,《數(shù)據(jù)安全法》第25條明確了對(duì)“與維護(hù)國(guó)家安全和利益”����、以及“履行國(guó)際義務(wù)相關(guān)”的數(shù)據(jù)出口實(shí)施出口管制,進(jìn)一步完善了我國(guó)數(shù)據(jù)出境的監(jiān)管制度框架�。
關(guān)于數(shù)據(jù)安全審查和開(kāi)發(fā)利用方面的對(duì)等原則
《數(shù)據(jù)安全法》第24條明確我國(guó)建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查��,進(jìn)一步加強(qiáng)了“安全”大前提下的數(shù)據(jù)處理����。其它國(guó)家已經(jīng)在進(jìn)行相關(guān)執(zhí)法���。
例如�����,美國(guó)在2020年8月6日簽署兩項(xiàng)行政命令����,宣布將在 45 天后禁止任何美國(guó)個(gè)人及企業(yè)與TikTok(抖音的國(guó)際版)母公司字節(jié)跳動(dòng)進(jìn)行任何交易,禁止美國(guó)個(gè)人及企業(yè)與微信進(jìn)行任何交易�����,并在2020年8月14日����,要求字節(jié)跳動(dòng)公司在 90 天之內(nèi)出售或剝離該公司在美國(guó)的 TikTok 業(yè)務(wù)。
這些行政命令就是美國(guó)以數(shù)據(jù)安全審核結(jié)果的名義發(fā)出的����。
在《數(shù)據(jù)安全法》第26條規(guī)定了我國(guó)在數(shù)據(jù)相關(guān)投資、貿(mào)易中遭遇外國(guó)或地區(qū)的歧視性禁止或限制時(shí)�,可以對(duì)等采取措施。對(duì)等原則是國(guó)際貿(mào)易中常用的原則�����。
《數(shù)據(jù)安全法》第31和46條涉及重要數(shù)據(jù)的輸出�����,與《網(wǎng)絡(luò)安全法》有重疊��,將在下一部分闡述。
四����、《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》的簡(jiǎn)要區(qū)別和在涉外數(shù)據(jù)方面的規(guī)定差別
《網(wǎng)絡(luò)安全法》著重于網(wǎng)絡(luò)安全,在第76條規(guī)定了各個(gè)名詞的含義���,包括網(wǎng)絡(luò)����、網(wǎng)絡(luò)安全����、網(wǎng)絡(luò)數(shù)據(jù)和個(gè)人信息等,其中網(wǎng)絡(luò)數(shù)據(jù)是指通過(guò)網(wǎng)絡(luò)收集�、存儲(chǔ)、傳輸����、處理產(chǎn)生的各種電子數(shù)據(jù)。
《數(shù)據(jù)安全法》更強(qiáng)調(diào)數(shù)據(jù)本身的安全����,并且在第3條規(guī)定了數(shù)據(jù)是指任何以電子或者其他方式對(duì)信息的記錄��,不限于電子數(shù)據(jù)。根據(jù)定義可以看出�����,二者有重疊也有差異����。
《網(wǎng)絡(luò)安全法》不僅僅包括數(shù)據(jù)的內(nèi)容,還包括網(wǎng)絡(luò)設(shè)施的一些問(wèn)題�,例如網(wǎng)絡(luò)空間的安全和網(wǎng)絡(luò)設(shè)施的安全。
關(guān)于管轄范圍
《網(wǎng)絡(luò)安全法》第2條規(guī)定了屬地管轄原則���,是針對(duì)中國(guó)境內(nèi)的系統(tǒng)����。
《數(shù)據(jù)安全法》在第2條則規(guī)定了更為廣泛的域外管轄效力�����,包括屬地管轄原則和保護(hù)性管轄原則二者��,并且保護(hù)更多的數(shù)據(jù)種類和數(shù)據(jù)活動(dòng)����。
關(guān)于我國(guó)數(shù)據(jù)的出境
《數(shù)據(jù)安全法》補(bǔ)充和完善了數(shù)據(jù)出境管理要求�,在第31條對(duì)重要數(shù)據(jù)出境監(jiān)管作出規(guī)定:對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)�,繼續(xù)適用《網(wǎng)絡(luò)安全法》第37條有關(guān)數(shù)據(jù)出境安全管理要求,即應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估�;對(duì)其他數(shù)據(jù)處理者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)增設(shè)出境安全管理,并授權(quán)國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定相應(yīng)的出境安全管理辦法��。
可以看出����,兩部法律對(duì)數(shù)據(jù)出境安全的管理,都是由國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門進(jìn)行�,細(xì)則后續(xù)會(huì)出臺(tái)。
對(duì)于違反規(guī)定的數(shù)據(jù)出境行為�����,《數(shù)據(jù)安全法》的處罰力度明顯加大�����,如下表所示���,黑色加粗字是兩部法律的區(qū)別所在�。
在下篇恒都法研系列文章中�����,我們將會(huì)對(duì)《個(gè)人信息保護(hù)法》進(jìn)行分析����,敬請(qǐng)期待。
[1] 馮曉青����,數(shù)據(jù)財(cái)產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造,《政法論叢》����,2021年8月。
[2] 時(shí)建中��,我國(guó)網(wǎng)絡(luò)與數(shù)據(jù)安全及個(gè)人信息保護(hù)法律制度���,2021年8月31日����。
[3] 《數(shù)據(jù)安全法》第11條����,“國(guó)家積極開(kāi)展數(shù)據(jù)安全治理�、數(shù)據(jù)開(kāi)發(fā)利用等領(lǐng)域的國(guó)際交流與合作���,參與數(shù)據(jù)安全相關(guān)國(guó)際規(guī)則和標(biāo)準(zhǔn)的制定����,促進(jìn)數(shù)據(jù)跨境安全�、自由流動(dòng)”。
