随着大数据时代的到来,网络数据资源的价值和面临的风险不断提升,数据保护已成为全球性难题。企业,特别是电信和互联网企业拥有海量网络数据资源和相对丰富的保护经验,在数据安全领域的重要性不断凸显,企业的态度不仅直接关系到国家已有数据安全政策能否有效实施,还能对国家的数据安全顶层设计产生一定影响。近期,欧美数据安全的立法变动频繁,网络数据安全保护政企博弈日益激烈,企业与政府的立场分歧不断显现。
一、近期欧美数据安全相关法案
2015年10月以来,欧美各国的数据安全立法变动频繁且多数以企业为最主要的规制对象,主要立法变更如下:
(一)欧盟架空“安全港协议”,限制美企业数据收集行为
2015年10月6日,欧盟法院在对“Maximillian Schrems v. 数据保护委员会”[1]案做出的判决中,认定每个欧盟成员国都有权判定第三方国家数据保护的充分程度,并决定其公民用户信息是否可向该国进行传输。这一判决事实上架空了欧美于2000年签署的“安全港协议”,在欧盟和美国重新签订通用的数据跨境流动协议之前,美国网络科技公司无法再将获取的欧洲公民用户信息传输至美国进行存储或分析。虽然欧美双方的网络数据跨境流动和共享行为并不会就此完全中断,但短期内美互联网企业在欧洲收集用户数据需要分别与各成员国签订协议,业务成本和面临的法律适用挑战将显著提升,共计将有超过4500家美互联网企业的业务受到影响。
(二)美国立法为企业增设配合政府网络数据监控义务
2015年12月18日,美国国会正式通过了《网络信息安全共享法》(以下简称CISA法案)。这部曾广受争议,被认为将大幅度提升政府网络数据监控权的法案即将正式生效。该法案旨在简化政企用户信息共享流程,要求企业在必要时能根据国土安全部的需求迅速将用户信息与其进行共享。当用户控告企业的此类行为侵犯公民隐私权时,企业拥有不受追诉的豁免权。这种共享的适用范围包括:安全威胁情报、网络攻击信息、恐怖行动信息或是被政府部门认为可能来自间谍或敌对势力的信息。该法案看似赋予了企业用户信息共享免责的权利,事实上却为政府加强对企业的网络数据资源控制开辟了合法途径。
(三)英国新《调查权法》草案限制企业对数据的加密存储
2015年11月4日,英国政府发布了新版《调查权法》草案,扩大了部分政府机关获取民众网络与媒体信息的权利,并禁止互联网企业对数据“过度加密”。该法案规定一旦警方或情报部门获得国会或法院授权,要求互联网企业提供特定破译信息,企业必须予以配合。同时,互联网企业必须保存用户一年内的网页浏览记录以供有关部门查阅,上述机构还可以通过安装软件、拍摄和录音等手段获取企业掌握的信息。英国内政部强调该草案的出台是为了应对日益增多的恐怖活动和网络犯罪,并不禁止企业对其掌握数据进行加密,也不会扩大政府对公民隐私的监听,但目前多数企业和民众都对该法案持反对态度,英《每日电讯报》也预测该法案将在议会遭遇较强阻力。
除上述三项立法活动外,2015年12月15日,欧盟委员会、欧洲议会、欧盟理事会就出台新的“欧盟数据保护总规”(以下简称“总规”)达成一致,新总规主要内容包括:为解决“安全港协议”架空后欧洲数据跨境流动规则碎片化现状,出台欧盟统一的跨境数据流动法规;为遏制互联网企业对数据的控制(包括过度加密),引入用户“数据可携权”[2]等。
二、立法活动背后政企博弈的体现
以上欧美数据安全立法活动有的得到了企业默认或支持,有的则招致了激烈反对。企业对于法案的态度主要取决于法案的具体内容及推行后可能对企业运营造成的影响。一旦政企利益诉求产生分歧,二者之间的博弈将显性化,具体体现在以下几个方面:
(一)欧美等国将企业作为强化网络数据保护的首要抓手,立法变动对企业日常运营的影响不断加深。不论是“安全港协议”还是CISA法案,都与企业的日常运营活动紧密相关,并且与这两部法案相关的立法活动不再将政府、研究机构等纳入规制对象,而是主要聚焦于企业。这些法案相比于以往的数据安全宏观立法,对企业的影响更为常态和直接。美国在制定CISA法案时无视欧盟乃至本国企业反对,坚持要求企业实时掌控系统日常运营承载的数据并不断扩大政企间的用户信息共享。“安全港协议”的失效导致美国企业在欧洲的运营成本直线上升,短期内美国企业在欧收集用户数据时,需遵循更为严格的“当事人同意原则”[3]。而新“总规”生效后,“当事人同意”将升级为明示并可撤销的,适用条件更为受限,适用对象也将从互联网企业扩展到各类IT厂商,预计未来外国企业在欧洲经营的数据保护成本将继续提升。
(二)政企的数据保护立场分歧日渐增多,双方安全需求差异不断显性化。近期数据安全立法变动过程中,企业与政府立场相左的情形不断增加。从政府角度,对于数据保护的规划统筹日趋成熟,通过立法贯彻施政理念的态度日益强势。以美国为例,其数据保护软硬实力领先全球,别国的监听与数据窃取行为对美危害有限,比起数据主权和隐私权保护,美国利用大数据分析技术和政企安全信息共享应对网络安全威胁的需求更为迫切,因此CISA法案“减损隐私权以保障网络数据安全”的倾向非常明显,并在该法案的多次修改中均未改变。从企业角度,欧美企业,特别是互联网巨头,在数据安全立法时的发声日益积极。如推特、苹果等公司,在CISA法案制定的过程中,多次明确表示了对该法案的强烈反对,认为该法案是“安全压倒人权”,会导致用户对企业的不信任,纵容政府对商业秘密甚至经营自由的不当干涉。
(三)“维护公民权益”成为数据保护立法的重要原则和顺利推行的关键。英国政府一再解释新版《调查权法》草案的最终目的是维护公众安全,与用户信息保护并行不悖;欧盟明确表示否定“安全港协议”是因为美国政府对欧盟用户信息的获取和使用权限明显侵犯了欧盟宪章中个人数据保护的基本人权;微软、谷歌等美国企业将“维护公民隐私权”作为反对政府立场的中坚理由;欧盟新“总规”增设数据可携权,也是为了推动企业解决网络数据存储格式不统一等问题,满足用户将个人信息在不同应用间自由传输、存储等需求。随着大数据挖掘技术的不断演进,用户信息的潜在价值不断拓展,用户信息保护的基本人权属性不断增加,公众对用户信息的安全需求也水涨船高,可以预见,一部数据安全立法如果没有兼顾公众利益、没有行之有效的用户信息保护方案,将在推行实施方面困难重重。从欧盟新“总规”的立法趋势来看,未来法定公民新型数据权将不断增多。
三、外国近期动向对我国的借鉴
国外近期数据安全立法过程中的政企博弈行为对我国数据安全管理工作具有重要参考价值和积极借鉴意义。为有效应对大数据时代下的安全挑战,我国应遵循大数据发展与安全保障并重原则,有效利用企业的先进技术和实践经验,充分发挥企业在数据安全保障方面的积极作用,加快谋划和构建适合我国国情的数据安全管理体系。
(一)加快数据安全法制建设,强化对互联网企业的安全监管。我国企业的数据保护软硬实力与国外相比差距较大,单靠企业自身难以满足国家、社会和公众的数据安全保障需求,亟需政府加以引导和监督。因此,建议政府根据国家安全和公民隐私保护的需求,加快完善数据保护法律体系,加紧制定数据安全监管的指导性文件。落实网络数据分级分类保护原则,实施用户信息等重要数据资源的境内存储,出台针对数据跨境流动和开放共享合作场景的具体规则。指导并督促企业落实数据保护相关法律制度和安全责任,将数据安全作为互联网企业监管的重要抓手,更好的实现用户信息等重要数据的妥善存储和合理利用。建立健全企业用户个人信息泄露社会公告制度。考虑引入“数据可携带权”,缓解用户在不同企业的产品或服务间自由提取、转移、存储自身信息所面临的障碍。
(二)推动建立数据安全信用体系,创新数据安全管理模式。随着企业数据安全利益诉求的不断明确,仅通过政府强制措施规制企业行为的收效日益受限,还可能激发企业和政府在数据保护领域的矛盾,提升企业数据保护自律性、创新数据安全管理模式的必要性不断凸显。建议政府推动建立网络数据安全信用体系,鼓励企业向社会做出数据安全保护的公开信用承诺。对于违背信用承诺的企业,向社会公示其失信行为。在市场监管和公共服务过程中,根据数据信用记录对企业进行差别监管,同等条件下,对数据信用记录良好者实行优先办理、简化程序等“绿色通道”支持激励政策。在涉及网络数据开放共享的政府采购等招投标过程中,优先选择数据安全信用状况较好的市场主体。
(三)强化政企数据保护合作,积极应对国际形势变化。国外日趋激烈的政企博弈从侧面说明了政企间数据保护的交流、合作在不断深化。我国政府和企业也应进一步加强有关数据保护的合作。一方面,政府应充分借助企业的技术优势和数据保护一线经验,不断落实和优化数据保护顶层设计和政策规划,联合企业积极开展数据加密、防泄漏等专用保护技术的研发攻关;另一方面,企业应紧跟政府数据安全政策,配合政府开展安全威胁情报、网络反恐等数据资源的共享,积极参与国际数据跨境流动或用户信息保护等热点领域的安全规则制定;对内强化政企联动,对外注重统一发声,共同应对欧美不断收紧的数据保护政策,切实保护我国公民和企业的合法权益。
[1]“Maximillian Schrems v. 数据保护委员会”案:奥地利公民Maximillian Schrems曾对Facebook欧盟总部提起诉讼,认为美国国家安全局NSA的大规模监听计划侵犯了他的隐私权利。Facebook欧盟总部所在地的爱尔兰数据保护委员会以“安全港协议”的相关规定为依据,驳回了Schrems的请求。Schrems随后上诉,本案被提交至欧盟法院,欧盟法院在本案的判决中赋予了欧盟各成员国决定本国数据是否向外传输的权利,并宣布了“安全港协议”无效。
[2] "数据可携权",是指用户可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者。例如facebook的用户可以将其帐号中的照片以及其他资料转移到其他社交网络服务提供商。该权利不仅适用于社交网络服务,还包括云计算、网络服务以及手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利,还需要配合用户提供数据文本。
[3] 欧盟的数据保护指令规定,对于企业收集用户信息的行为,当事人必须自愿而清晰的表示同意。相比之下,美国的“同意原则”以“默示”为前提,实际贯彻落实远不如欧洲严格。
