【网络安全】数据安全:数据跨境流动

科技工作者之家 2021-08-31

大数据时代,数据成为人类社会生存和发展的基础性战略资源,深刻影响着国防军事能力、经济运行机制、社会生活方式及国家治理能力,国家之间、企业之间对数据资源的争夺日益激烈。各国政府和企业对数据资源的价值与意义已经形成共识,新一轮大国竞争在很大程度上是通过大数据增强全球影响力和主导权。


1. 美国方案:服务于贸易的宽松政策


受贸易利益驱动,美国推行宽松的数据跨境流动政策,在确保国家安全利益的前提下最大程度地促进数据自由流动。同时,美国建立了个案式的事后监管机制,对联邦政府的重要数据采取较为严格的管理措施,在投资、采购等方面及环节予以限制,提出数据本地化要求。例如,《国防部采购条例补编》要求“不得将为联邦提供云计算的服务器设于本土大陆之外”,即除非有官方另行授权,云计算服务提供商需要确保其服务器位于50个州、哥伦比亚特区或偏远地区的美国境内。当承包商被允许在美国境外保存政府数据时,缔约官员应向承包商提供书面通知。此外,美国通过安全审查等方式满足特定情形下的本地化需求。例如,在外国投资安全审查中,美国通过与外国投资者签订协议的方式控制数据流动。


在国际上,美国通过TPP等在全球宣扬数据自由流动理念,防止其他国家对数据的严格控制。具体条款主要在第14章——电子商务。TPP第14章第11条要求:出于商业所需时,各方应当允许数据(包括个人信息)的跨境流动;但是,各方为实现正当的公共政策目标,可采取限制措施,只要这样的措施不构成恣意、无正当理由的歧视,以及超过实现政策目标所需。第13条要求:各方不应当将使用境内的计算设施作为在其境内开展商业活动的条件之一;但是,各方为实现正当的公共政策目标,可采取限制措施,只要这样的措施不构成恣意、无正当理由的歧视,以及超过实现政策目标所需。其中提到的“计算设施”显然包括数据中心。把上述两条内容合起来解释,就是如果没有正当的公共政策目标,不得限制数据跨境流动,而且不得强制在本地存储数据的副本。


2017年1月23日,美国总统特朗普签署了上任后的第一份行政命令,正式宣布美国退出TPP。奥巴马执政期间,美国在数据流动方面的政策主张是希望能够建立保数据自由流动的国际经贸规则。特朗普退出TPP的举动引发了业界对美国是否坚持奥巴马时代的数据跨境流动政策的猜测,一些公司甚至已经考虑重新修订个人数据保护制度以适应未来的趋势。然而,退出TPP是否意味着美国有限制数据跨境自由流动的趋势,仍有待观察。


2. 欧盟方案:寻求个人信息保护与数据自由流动的平衡


欧洲委员会(Council of Europe)是世界范围内最早对个人数据跨境流动进行规制的区域性组织之一,建立了较完善的数据流动规则。先后通过了108号公约、108号公约附加议定书、95指令,GDPR最终确立了欧盟数据跨境流动管理方案。


108号公约是首个关于数据保护的有法律约束力的国际公约,也是欧洲首个针对数据跨境流动进行规定的法律文件。公约原则上促进数据自由流动,禁止仅因保护本国公民个人隐私而对个人数据的跨境流动进行限制。只有在两种例外情况下可以限制:一是在因个人数据自身性质而需要特别保护的情况下,数据进口方必须达到与出口方同等的保护水平;二是数据进口成员国为了规避数据保护监管,将其引入的个人数据转移至另一非成员国,出口成员国可以禁止数据输出。


欧洲委员会于2001年通过了《108号公约关于监管机构及跨境数据流动的附加议定书》。相比108号公约,该附加议定书对个人数据跨境流动的保护理念发生了重大变化,原则上不得将个人数据转移给任何非成员国或组织,除非该国或组织能够对将要转移的数据提供适当的保护,或以保护数据主体的合法权益、公共利益为目的。


欧盟意识到抓住数字经济发展机遇至关重要,提出要打破数字经济壁垒,建设内部单一的数字市场。但是,欧盟现有的一些法律制度对此构成了阻碍,各国数据保护水平的差异不仅影响了数据保护的实施效果,也阻碍了数据在欧盟内部的自由流动。因此,95指令在个人数据跨境流动中对个人数据进行全方位保护,建立了较高的统一数据保护标准。为平衡个人数据保护和数据自由流动的矛盾,95指令设立了一套内外有别的规制制度。对于个人数据在欧盟内部成员国之间跨境流动的情况,兼顾保护个人数据和促进个人数据自由流动,95指令既要求成员国达到充分性保护要求,确保个人数据在跨境流动中的基本权利,又要求成员国不得以保护个人数据权利为借口限制个人数据跨境自由流动;而对于个人数据从欧盟成员国向第三国流动的情况,原则上禁止成员国作为数据输出国向未达到欧盟个人数据保护水平的第三国进行数据转移,除非涉及国家安全、公共利益等例外情形,并通过“适当的合同条款”等变通方式来增强制度的灵活性。


近年来,各国对数据的依赖程度快速上升,争夺日益激烈,维护数据主权成为国家主权的重要内容。2013年,斯诺登披露,包括谷歌和微软等在内的科技、金融及制造业企业都与美国NSA、CIA和FBI等情报机构保持着紧密的合作关系,向其提供个人敏感信息。因此,欧盟急需完善原有95指令规定的数据跨境流动的相关规则,以有效维护数据主权。GDPR在95指令模式的基础上进一步完善了跨境数据管理举措,数据控制方和处理方都要遵守欧盟数据保护规则,对内通过统一制度标准确保所有成员国遵守数据保护规则,对外禁止个人数据流向不符合95指令标准的第三国。同时,欧盟在一定程度上兼顾数据的自由流动,采取了一系列消除限制数据跨境流动的一切不合理障碍的措施,如“适当的合同条款”和“约束性企业规则”,以克服同一法律规制的局限性,增强了制度的灵活性。欧盟数据跨境流动的主要方式说明如表1所示。

表1  欧盟数据跨境流动的主要方式


虽然欧盟数据跨境流动的要求严格,但其针对不同场景设置了多种方式。


第一,白名单机制。欧盟公民的个人数据只能向那些已经达到欧盟数据保护要求的国家和地区流动,如果欧盟委员会已确认第三国或国际组织可以提供充分的保护,则可向其转移个人数据,不要求任何特定授权。审查标准参照欧盟数据保护要求,主要考虑相关法律规定及其落实情况,对人权和基本自由的尊重、相关的普通法和行业法,是否存在独立监督机构以确保数据保护规定的遵守及其执行等隐私。此外,第三国应承诺其提供了与欧盟同等程度的数据保护,包括具有独立且有效的数据保护监管、行政和司法救济机制,以及与成员国数据保护机构的合作机制。欧盟对通过审查的国家进行定期评审,评审至少每四年进行一次。目前,除了欧盟成员国以外,只有加拿大、阿根廷、瑞士等少数国家达到标准。


第二,采用欧盟委员会通过的标准数据保护条款或经监督机构认可的合同条款。如果进口方所属国未达到欧盟数据保护要求,数据出口方和进口方可以通过采用标准合同条款达成协议,确保离开欧盟的个人数据以欧盟的数据保护标准进行处理。实施这项机制,应确保第三国符合数据保护要求,并维护数据主体对欧盟境内所作数据处理享有的适当权利。


对于适当的合同条款内容,欧盟委员会于2001年、2002年和2004年颁布了三个标准合同文本,针对欧盟境内的数据控制者和境外的数据控制者之间、欧盟境内的数据控制者和境外的数据处理者之间的个人数据跨境流动进行规制。标准合同文本的出现,为不同制度下的个人数据跨境流动所涉及的复杂法律问题提供了有效的解决方案,在充分保护个人数据权利的前提下促进个人数据在各国之间的自由流动,并且为国际贸易中涉及的个人数据跨境流动提供了一个相对宽松且安全的替代性解决方案。不仅如此,适用标准合同文本对个人数据跨境流动进行保护,还可以降低数据转移成本,促进个人数据跨境流动规则的融合与统一。


第三,制定具有约束力的企业规章制度。如果企业自身的规章制度中对个人数据流动的保障措施达到了欧盟数据保护的充分性标准,欧盟数据保护机构可以授权其处理欧盟的个人数据。以这种方式得到授权的企业必须通过欧盟数据监管机构的审核。一是申请欧盟境内数据监管机构作为其主管机构。企业自行拟定关于约束自身的数据跨境流动和个人数据保护规则草案,申请欧盟境内某一成员国中有资质的数据监管机构作为其主管机构,经同意后向其提交规则草案。二是通过欧盟数据监管机构审核。申请企业在主管机构的指导下修改规则草案,并在完成后提交给其他成员国数据监管机构以征求意见。主管机构根据反馈意见确定规则草案的最终版本,提交其他成员国的监管机构进行确认后,约束性企业规则获批生效,报送欧盟数据保护工作组进行备案。三是执行严格的监督机制。申请企业定期对其落实情况进行内部审核,并由经认证的审核机构实施外部监督,将相关的内外审核情况向数据管理机构进行报备。数据管理机构也可以自行或指定独立机构对企业的数据保护情况进行审核。同时,申请企业应提供合理的配套争议解决机制,并在必要时请求数据管理机构介入此类程序。


第四,为保护公共利益、个人合法权益等例外情况。为了数据主体的生命安全,保障公共利益、法律权利及合同执行等,可以向非欧盟成员国传输数据,但这些例外情况受到了严格的限制。一是为公共利益进行的数据跨境流动,例如,竞争监管部门、税务机关或海关之间,金融监管部门之间,社会保障服务机构之间,或为了公共卫生进行的国际数据交换。二是如果某一权益事关数据主体或其他人的切身利益,包括人身安全,即使数据主体不具备给予同意的能力,也可进行数据传送。三是为了完成《日内瓦公约》规定的任务或遵守适用于武装冲突的国际人道法的规定,可向国际人权组织传送此等个人资料。四是数据控制者合法权益优先。针对控制方所追求的重大迫切的合法权益优于数据主体的权益与自由,且控制方已对数据传送涉及的所有情况做出评估时,可进行仅涉及有限数据主体的、不重复的数据传送。


第五,经批准的认证机制、封印或标识,包括获得批准的认证机制,以及第三国控制方或处理方为应用相应保障措施而做出的、有约束力且可强制执行的承诺。鼓励建立数据保护认证机制和数据保护印章标记,证明控制方和处理方的数据处理操作遵守欧盟数据保护要求。认证应为自愿认证,并可通过透明的流程获得。此类情形主要适用于公共机构之间的数据转移活动。行为准则与认证机制是引入的新型的合规机制,以最大化发挥第三方监督与市场自律作用。


第六,成员国对某些特殊情况可以另做具体规定。授权成员国对在特殊情形下进行数据传送的可能性做出具体的规定。一是数据主体已给予明确同意,而数据传送又是偶尔为之,且对于合同或法律索偿来说是必要的。二是欧盟或成员国法律因公共利益而要求进行数据传送,或依法建立的登记册会提供信息供公众或拥有合法权益的人士查阅。


此外,如果政府当局或组织之间具有法律效力且可强制执行的文件,也可不经授权而进行跨境流动。同时,经过根据主管监督机构的授权,在以下两种情况也可提供保障措施:一是控制方或处理方与第三国或国际组织的接收者之间的合约条款;二是政府当局或组织之间行政管理安排的规定,包括可强制执行的有效数据主体权利。


根据欧盟95指令和GDPR,只有当第三方国家通过欧盟认可达到为个人数据提供充分保护的要求时,才允许将欧盟公民个人信息转移、存储到该国进行处理。而美国采取行业分散保护机制,并不符合欧盟的要求。但鉴于与美国频繁的贸易往来,对个人数据的跨境流动需求极大,欧盟与美国通过国际协定折中解决制度间障碍,设立了美欧之间的数据流通特殊“管道”。


管道之一:“安全港”协定


由于美国互联网产业的迅速发展,跨境收集、转移、处理个人数据的需求日益增大。为了满足欧盟对数据安全充分性保护的要求,便于美国互联网企业开拓欧洲市场,双方于2000年达成了“安全港”协定。“安全港”协定是指美国商务部建立一个公共目录,联邦交易委员会和美国交通运输部管辖下的任何组织加入“安全港”协定,并公开承诺遵守“安全港”协定的要求,就可以将欧盟公民个人信息转移到美国境内进行处理。加入“安全港”协定必须采取以下措施之一:参加符合“安全港”协定原则的自律性隐私权保护项目;制定符合“安全港”协定原则的自律政策;遵守有关保护个人隐私权的法律规范。机构采取上述三项措施之一,并以“安全港”协定成员的身份从事电子商务,自愿做出承诺遵守“安全港”协定的七条隐私保护原则,这些机构就被假定达到了“充分保护”的要求,可以继续接受、传输来自欧盟的个人数据。


“安全港”协定为美国企业确立了七大隐私原则:通知原则,即企业必须通知收集使用个人信息的目的;选择原则,即企业收集个人信息必须征求个人信息主体同意;向前传递责任原则,即与第三方签订协议以明确个人信息用于特定、有限用途,并且第三方也能提供同等水平的保护;安全原则,即采取合理的预防措施,防止个人信息滥用、丢失、暴露;目的限制原则,即个人信息必须与使用的目的相关,企业必须有合理的步骤确保数据是可靠的、准确的、完整的和有时效的;接入原则,即个人必须有渠道接触到企业持有的其个人信息,个人有权更正、删除个人信息;追索、责任和实施原则,即有效的隐私保护必须包括确保遵守的机制,提供可用的、可负担的、独立的追索机制。


2013年,美国监控丑闻曝光,欧盟成员国数据保护机构开始质疑“安全港”协定的合法性。2015年10月,欧盟法院判决“安全港”协定无效,主要包括两个原因。一是美国政府当局并不受“安全港”协定制约,国家安全、执法诉求等凌驾于“安全港”协定之上,不加区分地实施大规模监控、数据拦截, NSA、FBI等联邦机构就极有可能非法获取转移到美国的欧盟公民个人数据。二是“安全港”协定没能达到95指令对个人数据充分保护的要求,无法阻止企业将数据文件泄露给未授权方,实际上限制了各成员国数据保护机构的独立监管职能。


管道之二:“隐私盾”协议


跨大西洋的数据流动因美欧之间网络经济上的紧密联系而成为不可逆的趋势,在美欧“安全港”协定废除后,双方谈判加速。2016年2月2日,双方已经达成新协定“欧盟-美国隐私盾”(EU-SU Privacy Shield),即“隐私盾”协议。“隐私盾”协议实质上是欧洲委员会和多个美国高级官员之间的行政协议,主要包括三个部分,分别是“隐私盾”原则,有关美国商务部具体举措和仲裁事项的两个附件,以及来自联邦贸易委员会、运输部、国家情报总监办公室、国务院、司法部的五封信。协议主要要求接受欧盟个人数据的美国企业必须满足相应的隐私保护特权,可以通过两种方式获得权限:一是选择与美国商务部达成一个含有示范条款的合同协议,采用包含“隐私盾”协议的企业规则;二是选择与单独的欧洲公民达成明晰的知情同意书。相比“安全港”协定,“隐私盾”协议更好地体现了欧盟95指令关于数据处理者与数据控制者的义务履行以及数据主体权利的规定,并特别强调了监管措施的执行,主要表现如下。


第一,企业承担更严格的数据保护义务。“隐私盾”协议补充更新了“安全港”协定的七原则,做出了更详细的规定,为数据主体提供了更具体的法律依据,使其能与个人数据保持更紧密的联系,随时知悉个人数据被处理的真实情况。


第二,监督机制更有力。首先,企业通过自主认证“自愿加入”后,必须公示其“入盾承诺”及相应的隐私政策,力图减少此前“安全港”协定企业缺少公众隐私保护政策或在政策中没有提及协议内容的现象。其次,企业在“入盾”后还需完成定期自证审查,并接受联邦贸易委员会、运输部等部门的调查与监督。再次,当企业未完成定期验证时,商务部将撤销其“入盾”的资格,企业也将归还或删除相应的数据。美国商务部定期更新公布“入盾”名单,将此前曾“入盾”但现在已经退出的企业的名单公之于众,并告知公众这些企业已经不再是盾内企业,企业也不能采取模棱两可的态度给公众造成它仍在盾内的假象,否则将面临关于从事欺骗性营业活动的指控。


第三,规范对象更广泛。规范对象不仅包括名单内企业,还包括退出名单的企业及第三方。首先,名单内企业必须遵守“隐私盾”协议规定,已经退出“隐私盾”协议名单的企业如果继续存储根据协议获得的个人数据,也必须就对应的个人数据履行“隐私盾”协议规定的义务。其次,按照“隐私盾”协议的“责任转移原则”,名单内企业将个人数据传送给第三方时必须通知数据主体,由数据主体选择是否可传送,还必须与第三方签订合同,以确保这些个人数据被用在有限且特定的地方,享受至少同等水平的保护措施。此外,名单内企业必须采取合理的措施,阻止第三方对传输的个人数据从事任何未经授权的行为。


第四,为欧洲公民提供了更多救济途径。欧洲公民在认为其个人数据受到侵害时,可以采取以下途径进行求助:向企业进行投诉,企业应当在45日内给予答复;向本国的数据保护机构投诉,该机构可与美国商务部、联邦贸易委员会合作进行调查和处理;求助于免费的替代性纠纷解决机制(ADR),名单内企业都必须加入这项机制,必须在其公开的个人数据保护章程中写明独立的纠纷解决机构,而且必须提供这一机构的网页链接,商务部将对此进行监督检查;如果以上方式都无法解决问题,可以求助于隐私保护专家组进行仲裁,专家组可以对名单内企业做出约束性裁决,以确保每个投诉都能完善解决。“隐私盾”协议首次让欧洲人有一种途径能对美国代理商访问其根据该协议传输的数据提出投诉,这使公民隐私保护的有效性得到了大大提高。


3. 对我国的启示


随着我国数字经济的繁荣发展,我国越来越多的企业正在“走出去”。国家“一带一路”倡议促进了跨境电子贸易的繁荣,数据跨境流动日益频繁,对数据跨境流动规则的需求也更迫切。为了确保安全和发展的平衡,我国应在充分考虑国家安全因素的前提下,借鉴欧美的规则模式,与国际接轨。


第一,建立重要数据分级分类管理制度。欧美有关数据跨境流动的统一规定主要集中在个人信息,对关系国家安全、社会公共利益的重要数据跨境流动的限制,主要根据具体行业数据的特性,在投资、采购及传输等各个环节予以体现,确保对数据流动的限制处在合理范围内。我国应借鉴国际经验,对重要数据和个人信息的跨境流动进行区分管理,而对于重要数据应采取分级分类管理措施,并进行分业管理,根据数据特性及出境影响采取多样化的控制措施。例如,对于涉及国家秘密、国家安全以及经济安全的数据,严格禁止跨境,必须在境内的数据中心存储和处理;对于政府和公共部门掌握的其他数据,实施数据跨境流动的条件限制;对于普通的个人信息,通过落实数据控制主体的安全责任及合同监管实施保护。


第二,针对不同场景设置多样化的数据跨境流动机制。从国外来看,数据跨境流动的管理并非一刀切的模式,而是根据不同情形建立多元化的管理手段。欧盟不断在数据流动与确保个人信息安全之间寻找平衡,GDPR确认了白名单、标准合同、风险评估、协议控制等多种方式。美国为了确保互联网企业在欧盟市场的顺利运作,也通过与欧盟签订协议的方式遵循欧盟的相关要求。目前,我国的管理思路还集中在采用风险评估这种单一手段。一方面,评估工作量大,实施有难度;另一方面,加剧企业负担,导致数据流动的滞后性,阻碍数字经济的发展。此外,我国还容易被西方国家扣上“贸易壁垒”的帽子,对我国企业“走出去”产生消极影响。在政策制定中,我国可根据企业数据跨境流动的场景、需求、目的,增加标准合同、协议控制等方式,为企业创造良好的政策环境。


第三,推动建立数据跨境流动行业自律制度。从美欧数据跨境流动监管的演化来看,美国的行业自律制度在美欧数据跨境流动中发挥了积极的作用。近年来,随着我国企业在国际上开展的业务逐渐增多,这些企业面临国外政府和隐私保护部门对其个人数据和隐私保护水平的严格监管,行业协会组织应积极发挥行业自律作用。尤其是开展国际业务的跨国企业集团,更应该推动建立我国的行业自律制度,引入国际知名的信息安全管理标准。


第四,强化国际合作,积极参与制定国际规则。随着数字经济的快速发展,全球化趋势日益明显,国际合作将是数据跨境流动监管的必然途径。开展数据跨境流动互认等合作,也是确保国外消费者信任我国企业个人信息保护能力的最佳方法。我国应积极参与APEC跨境隐私规则(CBPRs)等得到一定国际认可的区域数据保护体系,提高本国的数据跨境流动规则。同时,在全球尚未形成统一的数据跨境流动规则的情况下,我国与“一带一路”沿线国家展开双边谈判,与日本、印度、韩国等其他国家加强沟通,提出中国主张,力争在法律、监管和技术等方面更多参与建立新时期数据跨境传输的国际标准和相关规则,保障数据跨境流动规定的公平。

来源:计算机与网络安全


来源:gh_c593f21141e2 鹤岗科普

原文链接:http://mp.weixin.qq.com/s?__biz=MzUxNDUzOTk5Mw==&mid=2247519137&idx=8&sn=50f1d9a4f856b07cfaf1fd0ab7e5ef6b

版权声明:除非特别注明,本站所载内容来源于互联网、微信公众号等公开渠道,不代表本站观点,仅供参考、交流、公益传播之目的。转载的稿件版权归原作者或机构所有,如有侵权,请联系删除。

电话:(010)86409582

邮箱:kejie@scimall.org.cn