学术咨询服务正当时学报期刊咨询网是专业的学术咨询服务平台!
发布时间:2019-09-02 17:13所属平台:学报论文发表浏览: 次
摘要:中国《网络安全法》规定,关键信息基础设施的运营者收集和产生的重要数据和个人信息须本地化存储以及其跨境流动须经安全评估,这不仅符合中国在《服务贸易总协定》中作出的关于市场准入与国民待遇的承诺,也符合其中的例外原则,而且这更是国际上具有普
摘要:中国《网络安全法》规定,“关键信息基础设施的运营者”收集和产生的“重要数据和个人信息”须本地化存储以及其跨境流动须经安全评估,这不仅符合中国在《服务贸易总协定》中作出的关于市场准入与国民待遇的承诺,也符合其中的例外原则,而且这更是国际上具有普遍性的做法。
美国对于中国《网络安全法》的指责是从其数据霸权的地位出发的,是服务于其政治经济目的的。对于中国来说,统筹国际国内两个大局及其世贸组织成员国的身份,要求中国与世界各国一道在制定系列配套法律以及执法过程中平衡好维护数据主权与促进国际自由贸易两个方面,努力促进安全与发展目标的达成和人类福祉的提升。
关键词:数据主权;数据本地化存储;《网络安全法》;世贸组织;《服务贸易总协定》
自中国《网络安全法》颁布以来,2018年,欧盟《一般数据保护条例》也正式实施,其他一些国家如印度、越南等,也在维护数据主权以及数据本地化存储立法方面做了一些工作。基于国家或共同体安全和保护个人信息的考虑,对数据存储和跨境流动作出相应规范,已成为世界各国各地区的普遍做法。但是在经济全球化的背景下,在世界贸易组织的框架中,不可避免会存在对该政策可能会影响国际服务贸易的疑虑。
如2017年,美国向WTO贸易服务委员会成员国控告中国,声称中国的《网络安全法》及其一系列配套政策的有关规定将会阻碍数据跨境流动,从而影响到世贸组织框架下的服务贸易和在华外企业务的开展。其关切主要在于“网络运营者”定义的宽泛性、“重要数据”与“个人信息”传输限制的严苛性与牵涉社会部门的广泛性、隐私保护义务的繁重性与不必要性、安全评估标准与关键信息基础设施定义的宽泛性与模糊性等。
基于此,美国要求中国承担服务贸易总协定规定的市场准入和国民待遇等方面的义务并暂缓发布和实施最终措施。其实早在2016年8月[1]以及2017年5月就分别有数十家外国团体和国际商业机构对中国的《网络安全法(草案)》提出集体关切和质疑。所以,在世贸组织的背景下对中国数据本地化存储的要求做一番评析是必要的。
一、数据本地化存储的要求与数据主权
数据本地化存储的要求是在大数据时代随着一国安全形势的变化而产生的,是国家数据主权的体现。网络技术领域“云”概念的应用突破了对计算机硬件存储器的需要,无数终端数据脱离硬件设备直接上传存储在国界线之上的“云”中,传统意义上以国界线为终点的国家主权的行使在此失效,国家实质上丧失了对本质属于国内的数据的控制权[2],造成国家主权部分———所谓“数据主权”———缺失。这种状况显示出互联网技术特征的原罪,这就是数据的所有权、使用权以及数据存储的分离,从而使权利/权力识别和有效行使面临困境[3]。
从单纯强调互联网主权,到意识到信息的重要性,再到网络空间主权,最后到强调大数据的重要地位,计算机网络领域的主权概念在我国的建立和发展是一个渐进的过程。2010年,国务院新闻办公室发布《中国互联网状况白皮书》,明确宣示中国境内的互联网属于我国主权管辖范围;2014年,习近平主席在巴西国会发表演讲,提出“国家信息主权”的概念,强调国家信息主权权益不应受到侵犯。
随着大数据概念的提出和技术应用,“数据主权”的说法出现在国务院文件中,2015年,国务院发布了《促进大数据发展行动纲要》,促进大数据发展正式成为国家的行动方略。而在学术界,有学者将数据主权限定为网络空间中的国家主权[4],但该观点明显忽视了大数据时代数据的来源不仅仅来自互联网,空间技术、卫星传播等也可以成为数据产生和流动的路径,所以仅仅以网络空间框定数据主权的涵义较为片面;另外有学者主张,数据主权是一国独立自主对本国数据进行管理和利用的权利[4],该观点沿用传统主权理论,避开了对数据主权管辖范围的讨论,但又把主权限定在对数据进行管理和利用的内容上,忽视了与之相关的技术、设备等[5]。
实际上,还有学者对数据主权作广义和狭义的两种理解,认为广义的数据主权包括国家数据主权和个人数据主权,两者相互依存,互为实现的前提和支撑[6]。狭义的数据主权则不包括个人数据主权,即用户对其数据的自决权和自我控制权[7],仅仅指国家数据主权。
但大部分学者也能同意数据主权指一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力[8]这样一个定义,并且回归主权的本义从对内控制权和对外独立性两个层次来理解[8],即数据主权是国家最高权力在数据领域的具化,具有独立性、自主性和排他性的特征。在本国数据领域践行传统国家主权理论以确保国家对本国数据拥有独立自主开发、管理和处置的最高权力[9]是应有之义。
二、中国涉及本地化存储要求的国内立法之主要内容及其立法目的
(一)中国涉及本地化存储要求的国内立法之主要内容
《网络安全法》是在网络技术高速发展与网络立法规制碎片化双重作用下产生了一些新的社会问题的背景下出台的。相关立法不健全、规范层级低、政出多门、以行政指令为主,网络管理的工作重点依旧停留在对网络公司的管理和对涉黄违法信息的监控,对于一些新的问题,比如跨国网络犯罪和信息窃密则没有涉及[10]。
关于我国的数据本地化立法,在国家安全层面上,《国家安全法》要求对关键基础设施和重要领域信息系统及数据实现安全可控。据此精神于2016年7月颁布的《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”从而针对个人信息和重要数据确立了以境内存储为原则、安全评估后向境外提供为例外的跨境数据传输制度。
当前,与之相配套的一系列法律法规标准已经制定出来或正在制定当中,如《个人信息和重要数据出境安全评估办法》《信息安全技术数据出境安全评估指南》《关键信息基础设施安全保护条例》和《网络关键设备和网络安全专用产品目录》等,增强了《网络安全法》的可操作性。
此前,在我国一些特定行业的立法中也有关于数据本地化存储要求的先例。2011年央行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、保监委发布的《保险公司开业验收指引》、2013年国务院《征信业管理条例》、2014年国家卫计委发布的《人口健康信息管理办法(试行)》、2015年国务院《地图管理条例》、2016年发布的《网络预约出租汽车经营服务管理暂行办法》、广电总局与工信部2016年发布的《网络出版服务管理规定》等都不同程度地提出了服务器和设施本地化的要求,有的则明确禁止在本国收集的数据出境。
认真分析《网络安全法》可以看出,中国的数据本地化存储要求可以说是刚柔相济:对于个人信息和重要数据,不存在只要达到既定的保护标准就可以跨境流动的数据目的国,这是其刚性的一面;同时又有所变通,“因业务需要,确需向境外提供的”,可以通过安全评估跨境流动,这是其柔性的一面。从另一个角度看,要求数据目的国建立高标准的保护措施不会比要求通过安全评估更具歧视性。
所以,基于数据跨境流动的贸易服务的提供在我国《网络安全法》框架下仍是可以实现的,只不过涉及“重要数据”与“个人信息”的须经过安全评估。同时,欧盟于2018年10月正式通过了《非个人数据自由流动条例》,该条例针对非个人数据明确指出数据本地化规则的弊端,要求确保在欧盟成员国实施数据自由流动[11],其灵活性、区别对待的精神与中国《网络安全法》的精神是一致的。
(二)中国数据本地化存储要求的立法目的
入世之后,我国按照世贸组织的系列规则不断深入对外开放,各领域对外交流与合作不断加深。一方面,这是顺应全球化趋势与促进国际贸易发展的要求,是统筹国际国内两个大局的体现;而另一方面,在对外开放的过程中,在信息技术水平相对不高并且尚未建立相关完善的法律保障体系的情况下,也必然导致整个经济社会面临各种不确定性的挑战。
1.维护国家安全
针对某国公私部门的网络攻击与一国防范敌对势力窃取本国涉密信息的技术发展自网络诞生至今一直是依存伴生的,二者是一种此消彼长的关系,是网络领域国际竞争的表现。国家互联网应急中心的监测数据显示,2018年,我国境内有23462个网站遭到篡改,其中有799个政府网站;针对境内网站的仿冒页面数量为55180个;约944万个终端遭到病毒感染,其中约616万个IP地址对应的主机被木马或僵尸程序控制服务器控制,境外木马或僵尸程序控制服务器主要分布在美国、日本,控制境内主机数量居前列的主要是美国、中国香港、加拿大等国家和地区①。
一些针对工业控制领域发动的网络攻击事件也频频发生,如美国纽约鲍曼水坝防洪控制系统遭受攻击、乌克兰电网因恶意程序“黑暗势力”的变种攻击发生供电故障等。而且中国还是高级持续性威胁(APT)组织的主要攻击对象,大部分APT组织都对我国境内目标发动了攻击,涉及到多家政府部门、高校以及能源、航空、电信等重要信息系统部门[12]。
同时,网络上暴力、黄色、反动等信息以及谣言、非法宗教宣传等也会造成极大危害。可以说,只要国家间利益冲突的现象存在,甚至只要有国家存在,针对他国的公私部门进行网络攻击以及从意识形态进行文化宣传以获取秘密信息、危害他国国家安全的现象就会不断发生。《促进大数据发展行动纲要》指出:“数据已成为国家基础性战略资源。”国家安全的内涵和外延以技术水平为界限被大大展开,一个国家、一个企业的利益和前途很大程度上可以用其数据汲取能力和数据保护水平来定义和阐述。
从商业利益到政治利益,从政治经济到社会文化,数据保护是这个时代国家安全战的前线,对某些关键数据的保护是必不可少的。在这种背景下,国家实际上承担起巨大的网络防务压力,这需要我国在不断提高网络科技水平的同时,通过各种途径规制对外开放背景下危害国家安全的各种因素。事实上,我国在不受黑客影响的量子通信技术方面已经取得了突破。
2.保护个人数据
保护个人信息对于数据本地化存储的要求实际上是从用户隐私角度出发对国内外相关主体无实质歧视的同一规定,主要目的是保护公民权不受侵犯与防止用户经济损失,甚至保护其生命安全。近年来,国内外个人数据信息泄露事件逐年增多,对公民隐私权、财产权甚至生命权造成极大危害,在政治、经济、社会层面造成极端不良影响。
2016年,美国总统大选“邮件门”严重影响了希拉里的选情;雅虎因先后两次泄露涉及约15亿的个人账户信息导致威瑞森收购雅虎计划搁置,在2017年最终完成收购后,威瑞森又表示所有30亿雅虎用户的个人信息被泄露。2016年,我国免疫规划系统网络被恶意入侵,致使20万儿童的信息被泄露并被公开售卖;信息泄露导致精准诈骗案件频发,如“徐玉玉案”等。
根据公安部“净网2018”专项行动统计,仅2018年一年,公安部门就侦破公民个人信息被窃取买卖案件5000余起,抓获犯罪嫌疑人1.3万余名,侦破黑客攻击窃取数据案件2000余起,抓获犯罪嫌疑人2000余名。要求境外贸易服务提供者对个人信息进行本地化存储同样也是出于对人权的尊重,与此同时并非完全禁止个人信息及数据跨境流动,安全评估是尊重人权的应有之义。
三、中国数据本地化存储要求的合法性分析———是否符合基于WTO协议承担的相关义务
(一)中国的数据本地化存储要求与《服务贸易总协定》中所承诺的义务中国依据《服务贸易总协定》(GATS)及《入世议定书》履行了在服务贸易领域给予WTO其他成员方国民待遇、市场准入的义务,在有关国内立法方面也作出某些承诺。
1.国内法规《服务贸易总协定》第6条第1款规定,每一成员应保证所有影响服务贸易的普遍适用的措施以合理、客观和公正的方式实施。其实,我国对于重要数据与个人信息本地化存储以及跨境流动须经安全评估的要求的实施是否符合合理、客观、公正的要求是一个程序问题,这不仅在表述上可以推出,而且在WTO贸易争端解决机制框架内的判例也可佐证。
在“美国:影响赌博和博彩服务的跨境提供的措施案”中,专家组认为《服务贸易总协定》第6条第1款并非指向有关措施的实质内容,而主要针对的是其实施程序。同时,有学者认为,根据以往判例,投诉一个WTO成员的行为不公正或不合理是一种严重的指控,所以投诉方根据《服务贸易总协定》第6条第1款对中国提出的指控,应当进行与这一指控相一致的充分举证,来证明中国本地化存储政策要求的实施方式的确使其公司在市场竞争中受到了不利影响;而从中国政府的角度看,如果能够证明该要求的实施方式与世界上大多数或者相当一部分国家类似,无疑有助于避免被视为不合理、不客观、不公正[13],这一点将在本文第四部分详述。
2.市场准入《服务贸易总协定》第16条规定,对于市场准入,每一成员对任何其他成员的服务和服务提供者给予的待遇,不得低于其在具体承诺减让表中同意和列明的条款、限制和条件,不得就服务提供者的数量、服务交易或资产总值等六个方面维持或采取任何限制性措施。在减让表中,在《服务贸易总协定》所规定的四种服务提供方式下,增值电信服务包括电子邮件、电子数据交换等七项内容。
中国对需要本地化存储的“关键信息基础设施的运营者”收集和产生的“个人信息和重要数据”的跨境流动要求进行安全评估,没有低于减让表中的对于任何一种服务提供方式下任何一项业务内容的承诺,反而会因严格的数据类别限定使某些外国企业的服务贸易过程更加规范化,实际上这项要求并没有对市场准入义务的承诺造成任何不利影响。
四、中国的数据本地化存储要求的合理性分析———当前的国际实践及趋势
虽然中国国内法被某些国家指责违反有关国际条约、协议,就像美国指责中国《网络安全法》将会阻碍数据跨境流动,由此影响以之为基础的特别是外国企业的服务贸易的提供一样,但在本文第三部分已经证明我国关于数据本地化存储的政策要求首先是符合基于WTO协议承担的相关义务的,具有合法性。再者,从国际实践看,我们的做法也是合理的,外国的质疑是可以澄清甚至可以被反质疑的。
五、世贸组织背景下数据本地化存储与自由贸易的协调
(一)数据本地化的困境与数据主权的对抗
虽然本文从国内立法本身的内容与配套措施的完备、世贸组织框架内对承诺的国民待遇与市场准入等义务的遵守、国际上类似立法的普遍性、反对数据霸权等角度,论证了“关键信息基础设施的运营者”收集和产生的“个人信息和重要数据”须本地存储以及其跨境流动须经安全评估的政策要求的合法性与合理性,但数据本地化的实践仍面临着双重困境:正如前文所述,数据天然无国界,可以在全球范围内自由使用,云技术的出现则更加方便了数据的跨境操作,同时电子商务跨境业务的发展也催生了跨境收集和处理用户信息的极大需求,所以基于规范数据流动的制度设计也必须界定明确、设计严密以便于执行[14],即个人信息与重要数据的明确界定、以何种具体方式获得数据主体的同意等必须明确化。
此外,过于强调本国的数据主权将会导致对抗状态[5]。首先,强调数据主权绝对独立将导致多重管辖权冲突。在大数据时代,数据流动牵涉到多方跨境主体,流动范围遍及全球。由于数据是完整的、不可分割的,只要数据一跨境便会导致国家管辖权的重叠,并由此产生主权冲突。在此情形下,法律多重适用将导致服务商趋易避难,逃避较为严格的数据保护国内规制,从而影响本国数据安全;其次,如果政府倾向于对数据实施绝对的单边控制,这实际上将侵犯公民个人权利;最后,产生物极必反的效果。
(二)世贸组织背景下数据本地化存储与自由贸易的协调
有不少外国学者认为,数据本地化存储抑制了数据流动的天性,破坏了开放互通的互联网架构,与全球化世界中各种要素高速流动的需要和现实背道而驰,将会严重影响产业发展和技术进步。有研究指出,数据本地化存储的措施将造成一国GDP的损失,如对欧盟、印度、中国、俄罗斯的GDP将分别降低0.48%、0.25%、0.55%、0.27%[21]。
我们可以注意到,这些研究报告中经过合理建模所量化出来的“精确”的结果是一种纯技术层面的考量,没有注意到如果完全放任一国内的所有信息或者数据跨境流动,不仅在技术水平不高、法制不健全的国家或地区可能引发违法犯罪现象,而且也是对公民权利尤其是隐私权的肆意践踏。
就像在经济领域市场政府两只手要相互搭配一样,世贸组织框架下全球范围内的数据流动也要找到自由贸易与数据主权的那一个平衡点,其主要思路是:基于网络空间的双重属性,在坚持网络主权、数据主权的前提下求同存异、争取共识,对不同种类数据区别对待,以谋求自由贸易的推进,人类福祉的提高。毋庸置疑,网络空间作为一种特殊空间,兼有现实性和虚拟性的双重特点,因而也是兼具主权与公域的双重属性[22]。
同理,对于各种数据,一方面,数据是虚拟的,不存在于一个有明确界限的空间之内,由跨越国境的各有关主体共享。虽然数据关系到所有国家和地区的利益,但任何政府都无法实现对其单独、绝对的控制。但另一方面,数据也具有主权属性。一国政府有权对产生和流经其管辖范围的数据行使主权,对管辖范围外的数据甚至可以依据国际法对其进行管辖。
同时,围绕数据本地化存储与数据跨境流动议题也就是“数据主权”进行反复交锋则形成了两大阵营,一方是美国数据霸权,另一方是通过各种形式保护本国数据的国家。两大阵营在短期内完全消除分歧是不现实的,这其实是由美国处于信息技术水平绝对领先地位决定的。因此,当前比较现实的策略是在坚持网络主权与数据主权的前提下求同存异、争取共识,循序渐进地向构建多边共赢的国际网络治理模式推进,在世贸组织框架下做好适当安排,进行区别对待,关注成员国对国家安全、公民隐私与经济发展的三重关切,努力搭建一个公平合理的世界经济舞台,共同致力于人类福祉的提升。
六、结语
包括数据主权在内的网络主权,在中国现在所处的发展阶段承担着促进国家发展和维护国家安全的双重目的[23],此外也是捍卫公民权利的着力点。针对国际上的疑虑,就《网络安全法》本身来说,它至少有2个配套国家战略、6个配套规章和规范性文件、2个配套立法草案、15个配套国家标准草案和3个国家标准立项,通过这些配套法律法规标准的细化,《网络安全法》的可操作性将会增强、争议性将会消减。
参考文献:
[1]米强.中国网络安全规则将阻碍增长[EB/OL].(2016-08-12)[2019-03-10].
[2]DEFILIPPIP,MCCARTHYS.CloudComputing.CentralizationandDataSovereignty[J].EuropeanJournalofLawandTechnology,2012(2):15.
[3]PETERSONZ,GONDREEM,BEVERLYR.APositionPaperonDataSovereignty:TheImportanceofGeolocatingDataintheCloud[C]//Proceedingofthe8thUSENIXconferenceonnetworkedsystemsdesignandimplementation.Boston,MA:USENIX,2011.
[4]曹磊.网络空间的数据权研究[J].国际观察,2013(1):56.
相关论文范文阅读:网络安全中数据加密技术的应用
21世纪是人类信息通讯技术飞速发展的黄金时期,也是网络信息安全面临多重威胁的矛盾时期。网络信息传输因其及时性、宽领域、大容量的特点,被广泛应用于人类生产生活中的各领域、各方面,但在方便人们生活的同时,面临一些不法分子利用黑客技术侵扰计算机网络系统窃取个人隐私等问题,急需引进一整套安全可靠的网络数据加密技术,用以保障网络用户信息安全和通信安全。
转载请注明来源。原文地址:http://www.xuebaoqk.com/xblw/4530.html
《世贸组织背景下中国数据本地化存储要求的评析》学报期刊咨询网
专业提供学报论文发表平台
学术咨询服务正当时
