“每个社会的法律在实质上都面临同样的问题,但各种不同的法律制度以极不相同的方法解决这些问题,虽然最终的结果是相同的。”虽然单行的《数据安全法》为我国首创,但大数据技术及其应用带来的挑战为全球所关注,各国在回应数据治理时,尽管制度形式上各有不同,但实质内容却存在具有可比性的共通之处。正所谓“他山之石,可以攻玉”,本部分试图基于比较法视野出发,对全球范围内相关立法、政策等进行研究分析,寻求数据安全立法的制度共识。在比较对象上,主要选取欧盟和美国相关立法,前者基于独特的隐私文化成为全球当之无愧的数据治理制度大本营,后者则是全球数据科技前沿和产业大本营,对全球政治、经济环境也有重要影响,一定程度上二者也是在彼此博弈中型塑了各自的数据治理方案。在具体比较思路上,将具体结合前述数据安全法立法逻辑的三个层次分别进行,既可以验证我国数据安全法立法逻辑的科学性,也可以从具体层次上更具针对性地比较、取舍和甄别,进而为完善我国数据安全法提供智识建议。
对于技术意义上数据自身安全的保护,欧美均将它作为底层安全问题,散见在有关个人信息保护、网络安全相关立法中,但二者在立法模式上存在差异。不论是个人信息保护还是网络安全立法,美国在联邦层面上始终未能推进统一立法。对个人信息保护而言,美国主要采取行业分散立法模式,针对金融信息、医疗健康信息、儿童个人信息等行业分别进行立法,并由联邦贸易委员会依据消费者权益保护职权负责其他领域中个人信息保护的监管执法。对网络安全,美国一直保持清醒的认识,联邦层面有50多部法律直接或间接与网络安全相关。欧盟则整体上倾向于统一立法模式,有关个人信息保护立法集中体现在《通用数据保护条例》(General Data Protection Regulation,英文简称“GDPR”),有关网络安全立法集中体现在《促进欧盟共同高水平网络与信息系统安全的措施之指令》(以下简称《网络与信息安全指令》)。
从立法具体内容来看,欧美对于技术意义上数据自身安全的保护,也集中在“保密性、完整性、可用性”的保障:如美国《联邦信息安全管理法》明确“信息安全”在于“保护信息和信息系统不受未经授权的获取、使用、披露、破坏、修改或销毁”;欧盟《网络与信息安全指令》中对于“网络与信息安全”的界定也基本相似,旨在防御“危害系统存储或传输的数据的可用性、真实性、完整性和保密性,危害依靠该网络或系统提供或获得有关服务”的行为。
从规制要求上看,对于技术意义上数据自身安全,美国要求运营者等采取合理(reasonable)的措施或设计,避免可合理预见的安全风险,欧盟也采取了与之相似的“合适性”(appropriate)的概念,作为评价监管对象是否履行安全保护义务的主要评价标准;在具体实现路径上,欧美均从风险管理视角设计安全保护策略的基本框架,落脚于监管对象内部的管理流程、模式,审视其内部安全风险管理流程在应对安全风险时,是否满足“合理性”“合适性”考量。美国学者认为美国立法中对于“合理性”的要求可以从监管对象是否准确辨识数据类型并评估可预见的威胁或风险、是否采取应对威胁或风险的合理策略与措施、是否在发生数据泄露事件后及时采取补救措施、是否经常评估并更新信息安全保护策略和措施等6个核心方面加以判断。与此类似,欧盟在《网络与信息安全指令》中也要求监管对象“参考最先进的技术发展,且与风险相称的安全水平”,采取合适技术和组织措施。
简言之,虽然欧美对技术意义上数据自身安全的保护也强调传统CIA三性的保障,在立法思路上倡导“以管理为基础的规制”,相对动态地确定“合理性”“合适性”等模糊概念的具体内涵,避免因技术进步、信息不对称、行业间高度异质等而频繁修订安全保护义务的规定。
在控制层面,以数据跨境流动为典型,大西洋两岸一直持续巨大的分歧:欧盟基于独特的隐私文化,一直以个人数据保护为由限制数据跨境流动,具有极大的制度辐射力和国际话语权;而美国作为互联网技术和产业大国,一直在国际社会中积极倡导数据自由流动,诟病欧盟构建贸易壁垒。同时,欧美也在某种程度上分享着共识:数据跨境流动制度本身在法律之外,更多的是经济、政治博弈的投射。
自上世纪七十年代开始,欧盟在成员国层面率先开启限制数据跨境转移的立法;八十年代,欧共体层面推进了《OECD指南》和《108号公约》,认可并协调成员国立法;九十年代,欧共体成功推进《服务贸易总协定》(GATS),认可隐私保护例外条款,将个人数据保护立法转变为合法限制国际贸易的措施,欧洲议会和欧盟理事会也在1995年通过《个人数据保护指令》;2009年,为回应大数据崛起的新环境,欧盟启动个人数据保护框架改革工作,最终于2016年通过GDPR,以“条例”取代并升级“指令”,强化“充分性认定”和“充分性保障”机制,实现对数据跨境流动的限制,并借助于广泛的域外适用和高昂违法处罚,强势引领全球进入第三代高标准的个人数据保护立法。简言之,欧盟的数据跨境流动制度,在于要求和评估境外数据接收方国家或地区必须达到与欧盟相同的“充分性”保护水平,从而实现对数据跨境流动的限制。
在GDPR框架下,符合充分性认定是进行跨境传输最具确定性和最为便利的方式,GDPR第45条以开放性列举的方式明确进行充分性认定所需考虑的主要因素,包括第三国或国际组织的法治和基本人权保护程度、是否具有独立有效的数据保护监管机构等。但实践中欧盟官方对充分性的认定,更多是采取了战略性态度,“充分性保护认定的标准往往与政治因素相结合”。欧盟委员会在《全球化世界中交换和保护个人数据的通信》中指出,欧盟应当抓住时机推动世界范围内不同数据保护法律体系的相互兼容,从而达到推广欧盟数据保护价值和促进数据流动的目的,而“充分性认定”被欧盟委员会视为是推动世界向欧盟看齐的最重要抓手。由此,事实上欧盟委员会对充分性认定的评估存在较大的自由裁量空间,“更多的是一种政治或政策考量,甚至可能成为欧盟与其他地区、国家谈判或利益交换的一种合法工具”,在大数据环境下继续强化欧盟对于全球数据治理的话语权。
美国一直试图推进国际层面上认可数据跨境自由流动,近年来一直借助于在亚太地区的影响力,推动以亚太经济合作组织的隐私框架(APEC Privacy Framework,以下简称APEC隐私框架)为基础构建的跨境隐私规则体系(Cross Border Privacy Rules,以下简称CBPR),实现数据跨境自由流动的诉求。CBPR体系以AEPC隐私框架中的个人数据原则作为数据跨境流动为标准,之所以能够实现美国对于数据跨境自由流动的诉求,原因在于CBPR体系所要求的个人数据保护水平实质上是“美国在国际协议中所能接受的最大限度的隐私保护水平”,而加入CBPR便意味着其他经济体需要放弃本国较高水平的个人数据保护要求,向CBPR体系靠拢,进而实现个人数据向美国的自由流动。
与此同时,美国也通过国内法对其内部数据流动作出限制,只不过与欧盟不同,美国对于跨境数据流动的限制并不主要借助于个人数据跨境流动实现,而是诉诸于“国家安全”,并通过出口管制、外资投资国家安全审查等制度实现。2018年8月13日,美国《出口管制改革法案》(Export Control Reform Act, ECRA)与《外国投资风险管理现代化法案》(Foreign Investment Risk Review Modernization, FIRRMA)作为《国防授权法案》的一部分,由特朗普总统签署生效。对于前者,早在1969年《出口管理法》(Export Administration Act, EAA)中对“数据和技术信息”施加出口限制,此次修订的重要变化在于引入“新兴和基础技术”的概念,出口管制的范围不再限于1979年EAA侧重军事方面影响的“关键技术”,而扩张及于任何可能威胁国家安全的技术,并且存在对“视同出口”的限制。对于后者,此次修订的重要变化在于扩张美国外国投资委员会(CFIUS)的审查范围,与“关键信息基础设施”“关键技术”“美国公民个人敏感数据”相关企业的投资均纳入到审查范围,同时明确将“交易是否有可能直接或间接地暴露美国公民的个人身份信息、基因信息或其他敏感信息”纳入CFIUS的审查考量因素。整体上来看,通过出口管制、外资投资国家安全审查等制度及其改革,美国大体实现了对特定数据接触“主体”的控制,尤其特定数据被所谓“特别关注国家”获取。此外,美国在2009年后还针对涉及国家安全的信息管理建立了“受控非密信息”(Controlled Unclassified Information, CUI)制度,在登记、分类的基础上,要求CUI的持有者采取安全保护措施,并控制其传输和使用。
对于利用层面,美欧一直以来在着眼于释放数据利用的价值,推进数据开放,既强调政府对数据的开放,也倡导政府利用企业数据满足执法和公共管理诉求等。
2009年起,随着《开放政府指令》(US Open Government Directive)等一系列法案的实施,美国在全球范围内掀起了开放政府数据的浪潮。2019年1月,美国通过《开放政府数据法案》(Open, Public, Electronic and Necessary Government Data Act),总结和确认政府数据开放已有政策和实践经验并上升为联邦立法,明确政府数据开放相关的报告、评估、问责等制度,与《数字问责和透明法案》《地理空间数据法案》一并构建美国数据开放的法律体系。实施层面,在《联邦数据战略与2020行动计划》中明确将数据安全作为各政府机构的关键性行动,纳入美国联邦政府未来十年的数据愿景之中,将数据安全保障视为政府信息安全的重要组成部分,强调采取合理的数据安全措施,如提供安全的数据访问机制,实现有效的管理、维护和利用。此外,受控非密信息管理体系也为需要保护或控制传播的政府数据提供了相应的安全控制措施。
不同于美国默认开放的思路,欧盟采取相对保守的策略,围绕着公共服务需求,从公共部门信息再利用出发,逐步推动私人部门的数据再利用。就公共部门信息再利用而言,2003年,欧盟出台《公共部门信息再利用指令》(PSI),为公共部门信息再利用构建整体框架和最低规则;2010年,欧盟委员会提出“开放数据战略”(Open Data Strategy),提议对该指令进行修订,以应对大数据技术发展变化并解决中小企业和初创公司在公共数据利用方面的障碍。2019年1月,欧洲议会、欧盟理事会和欧委会的谈判代表就修订后的《开放数据和公共部门信息指令》达成一致意见,修订后的新指令将有利于推动欧盟公共部门数据的可获取和再利用。就私人部门数据利用而言,2013年欧盟发布了“数据供应链倡议”,试图建立“公私伙伴关系”(public-private partnership, PPP),希望将公共部门和私人部门动员起来,打造欧盟内部密切结合的数据生态系统,并提出B2G(business to government)和B2B(business to business)两种私人部门数据再利用模式;2018年,欧盟发布《非个人数据自由流动条例》,旨在统一欧盟境内的非个人数据的流动规则,促进企业间数据流动,进而推进欧盟数字单一市场的良性竞争环境。2020年2月,欧盟发布《欧洲数据战略》,描述了欧盟在未来五年推进数字经济的政策措施,开启欧盟“单一数据市场”的进程,明确加大数据开放,建立改善公共服务、应对环境恶化和气候变化等公共利益数据的优先访问机制,力图达到数据赋能社会和公民福祉的目的。
同时,在利用层面,美欧最为强势的动作在于通过国内法授权本国执法机构出于执法目的跨境调取存储在他国的数据(以下简称“执法跨境调取数据”)。全球化、数字化使得执法跨境调取数据成为必要,各国在执法过程中均面临电子证据存储在境外的难题。整体上,全球范围内主要国家仍然遵循传统的属地管辖原则,主要通过国际法框架下的司法协助、警务合作等双多边方式解决,但存在着门槛高、依赖于国家间机构协调合作、效率低下等弊端。
“Microsoft Corp.v. United States”一案在全球范围内引发讨论,并最终促成美国快速通过《澄清合法使用境外数据法》(Clarifying Lawful Overseas Use of Data Act, CLOUD Act,以下简称“云法案”)。该案中,联邦执法官员为进行贩毒品调查,试图获取存储在微软爱尔兰数据中心的电子邮件账户信息。对于执法调取数据的问题,此前1986年《存储通信法案》(Stored Communication Act, SCA)仅明确了执法机构能够强制个人或企业披露存储在境内的数据,因而就能否调取境外数据,微软与美国政府各执一词:微软认为FBI不能通过搜查令在外国领土上实施搜查和扣押行为;FBI认为不论数据是否存储在美国,美国均可基于对微软的管辖权而获得由微软控制的数据。事实上,就境外存储数据的管辖权问题,不论是微软主张的“数据存储地标准”还是FBI主张的“数据控制者标准”,各有利弊。为了避免美国最高法院在“阻碍政府正当执法”亦或“损害美国企业全球运营”的两难困境中作出选择,2018年2月,部分参议员提交云法案提案,针对性地改革SCA,不仅授权美国执法部门可依据“数据控制者”标准调取美国服务提供者所拥有、掌管或控制的通信、记录或其他信息,借助于庞大的全球互联网产业背景,将美国政府的数据调取之手方便地延伸到他国之境;同时也明确了外国执法部门调取存储在美国境内数据的具体机制,通过“适格外国政府”的认定,明确仅在符合美国式人权和隐私保护基线等特定条件并给予美国政府对等待遇时,才允许适格外国政府直接向美国服务提供者调取数据。
美国通过云法案最大化美国利益的同时,也催生了欧盟的对等策略。2018年4月,云法案生效不足一个月,欧盟也对外推出“欧盟版云法案立法计划”——《欧洲议会和欧盟理事会关于刑事犯罪电子证据的调取令和保全令规定的提案》(以下简称“电子证据立法建议”),希望借此增加欧盟筹码,并“与美国当局达成互惠”。从具体内容来看,欧盟也认可“数据控制者标准”,但碍于没有庞大的跨国企业,欧盟将政策的落脚点置于整个欧盟市场,所有面向欧盟市场的服务提供者均属于应当配合执法机构数据调取命令的义务主体;同时,对于全球运营的数据控制者,只要其在欧盟境内的分支机构相关活动场景与境外的数据处理活动之间存在“紧密联系”,即便真正进行数据处理的控制者并非在欧盟境内,也应接受欧盟管辖。由此,欧盟执法机构数据调取的范围,也远远超出了地理意义上的欧盟辖区。
美欧虽然没有采取我国这样的一部综合性数据立法的形式,主要通过分散式单行法的方式,但也同样抓准了数据安全立法“安全”“控制”“利用”三个层次需求,并沿着这三个层次形成了各自的数据战略。
美国占据技术先发优势,有着强大的产业基础和服务贸易量,全球运营的美国企业成为美国数据立法的重要关切和杠杆因素,并据此实现管辖范围的扩张。在安全层面,美国立法强调给予企业决定安全控制措施的空间,并大力倡导国际标准,反对中国自主制定网络安全国家标准,由此减少美国企业全球运营的合规成本。在控制层面,美国表面上一贯主张跨境自由流动,反对在国际贸易中的隐私保护例外条款,但对于本国境内数据,美国并非全无控制,而是借助于国家安全例外实现对特定类型数据出境的控制,并在近期通过国内法案现代化改革,进一步强化扩张及于“新兴和基础技术”“公民个人敏感数据”,限制其被特定外国企业、个人获取,以便在大数据背景下能够切实保障国家安全并遏制包括我国在内的等重点关注国家崛起。在利用层面,美国在推进政府信息公开、数据开放的过程中积累了丰富的制度经验,在推进政府数据开放的同时,也通过受控非密信息制度实现了政府数据传输和使用的控制;在企业数据利用维度,美国通过云法案明确执法机构可以调取企业数据,并且以“数据控制者”为标准明确执法跨境数据调取权限,实际上将全球运营的美国企业打造成自己在网络空间中的领土延伸,美国企业无论在境内外获取的数据,美国执法机构均可以通过国内法的法律程序实现调取,极大地便利了美国执法行动,而外国政府调取美国企业数据则需要符合美国国内法要求的“适格外国政府”等限定条件。
从欧盟来看,不论是“单一数字市场”还是“欧洲数据空间”,一直以来欧盟试图通过全面清晰的规则治理和监管塑造欧洲数字未来,型塑“开放且主权”的欧洲数据大陆。当前,欧盟的互联网产业发展相对落后于美国和我国,产业能力、基础设施、代表性企业相对有限,欧盟企业事实上处于数据弱势地位,欧盟在数字经济中的份额也与其自身的经济体量存在较大差距。但互联网产业中数据多由消费者使用产生,由此欧盟便转换视角,以整个欧盟市场作为政策施力点,要求所有面向欧盟提供产品或服务的实体,均应当接受欧盟的管辖,既实现对掌握欧盟数据跨国公司的规制,也通过面向欧盟提供产品或服务的实体,实现欧盟管辖范围的扩张,事实上扩张了欧盟对全球网络空间中数据的掌控能力。从安全层面来看,欧盟与美国相似,从风险管理视角设计安全保护策略的基本框架,并通过网络和信息安全局(ENISA)发布有关网络和信息安全最低措施的技术指南,以协调成员国和运营者采取相应可靠的信息安全措施。在控制层面,欧盟建立统一的个人数据和非个人数据保护框架,在欧盟内部协调多个成员国之间存在数据监管不一致的问题,从制度层面扫清数据在欧盟境内自由流动的障碍,同时也通过设定高标准的个人数据保护要求,重建数字经济发展的信任前提,回应欧洲独特的隐私文化保护诉求;在欧盟外部,欧盟也借助于“充分性机制”,实现“内外有别”,以彼此信任为基础允许数据跨境流动,从而使得任何接收欧盟数据的组织均应当提供与欧盟具有实质相当性的数据保护水平,事实上将其高标准的数据保护要求投射至欧盟之外,同时欧盟也通过将面向欧盟市场提供产品或服务的服务提供者作为规制对象,扩张了欧盟数据相关立法的管辖范围,极大增强了欧盟对于传输至境外的数据的控制力。在利用层面,欧盟从公共部门数据再利用逐渐推进私人部门数据再利用,并提出B2G模式,强调私人部门为公共部门提供数据收集、分析和处理等服务,帮助公共部门提高城市规划、疫情防控、道路和交通管理、环境保护、市场监控和消费者保护方面的能力。同时欧盟也试图与美国“达成互惠”,积极推进执法调取数据立法,同样以“面向欧盟市场提供产品或服务的提供者”为义务主体,并将数据控制者及其分支机构做紧密联系,明确其应当配合欧盟执法机构的数据调取命令,无论数据是否存储在欧盟境内,使得前述服务提供者在欧盟市场运营的数据能够最终服务于欧盟监管。
浙公网安备 33010502006954号 
