查看原文
其他

构建数据跨境流动安全评估框架:实现发展与安全的平衡

2017-02-13 洪延青 网安寻路人

按:随着《网络产品和服务安全审查办法(征求意见稿)》公开征求意见,《网络安全法》进入了2.0阶段——各项配套规定开始逐渐成型。除安全审查之外,数据境内存储及跨境流动的安全评估也是《网络安全法》中非常引人注目的新制度。本文从平衡发展与安全的角度出发,提出了该制度的框架。



摘要:数据本地化存储极富争议,反对者认为其构成贸易壁垒,甚至还将破坏互联网全球互联互通的特性。支持者指出世界范围内有不少国家都做出数据本地化存储的规定,其中不乏发达国家。为弥合分歧,本文从中外数据本地化存储实践中,抽象出描述数据本地化存储的严苛度模型,并以目的和手段之间的适当性和必要性为指针,构建出一套“数据本地化存储合理界限理论”。文章从该理论出发,检视《网络安全法》相关规定并给出基本评价。最后,文章以“数据本地化存储合理界限理论”为主体,提出数据跨境安全评估办法的总体框架。  


关键词:数据本地化存储、适当性、必要性、数据跨境安全评估



数据本地化存储(data localization),与数据跨境流动相对,指的是一国政府制定政策或规则,限制数据流出国境。在我国现行法律体系中,数据本地化存储要求并非没有先例。国务院2013年发布的《征信业管理条例》、卫计委2014年发布的《人口健康信息管理办法(试行)》、中国人民银行2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、国家新闻出版广电总局和工业和信息化部2016年发布的《网络出版服务管理规定》等,都对数据本地化提出了明确要求。与上述限于具体部门或行业的规定不同,《网络安全法》因其“网络空间基本法”的地位,统筹性地对数据本地化做出了一般性规定,受到国内外各界的广泛关注。


2016年8月11日英国《金融时报》报道,美、日、欧40余个行业组织发起“自2010年以来向中国领导层的最大交涉”,呼吁中国政府修订新的网络安全法等,“他们的担忧集中于中国新法规的某些内容,包括迫使境外公司将数据存储在中国境内”,并“警告这些法律法规对经济增长构成保护主义威胁,将进一步使中国孤立于全球数字经济以外”。此外,2015年和2016年连续两年,美中贸易全国委员会对成员企业的调查和访谈均发现,中国政府的数据本地化存储要求是让在华经营的美企最为担忧的事项。

在互联网时代,数据天然地跨国界流动,数据因流动而获得价值,数据流能引领技术流、资金流、人才流,已经成为基本共识,数据本地化存储要求似乎与之背道而驰。反对数据本地化的人不仅将其看成贸易壁垒,甚至上升到破坏互联网全球互联互通的特性,进而推翻现有世界秩序的高度。但实际上除中国外,国际上还有不少国家都或多或少地做出了数据本地化的要求。数据本地化一定是实现了什么价值,否则为何采取本地化措施的既有发达国家,也有发展中国家,且地域上遍布各个大洲?如果数据本地化确实起到了某些作用,又应该如何确保其不矫枉过正?换言之,数据本地化存储的合理界限在哪里?对这些问题的追问,构成了本文的主要内容。


本文结构如下:第一部分将归纳中外现有的数据本地化存储规定和实践。第二部分介绍国际上对数据本地化存储的主要反对意见【公号系列文章一】。


从第三部分开始将是本文的独创性贡献所在:第三部分将提出描述数据本地化存储的严苛度模型,以此作为度量各个国家本地化实践的标尺,由此指出数据本地化措施存在一种光谱式的渐进,严苛程度各不相同【公号系列文章二】。


第四部分将讨论数据本地化存储所实现的目的;第五部分将提出目的与手段之间在适当性和必要性的应然关系【公号系列文章三】


第六部分将从“数据本地化存储的合理界限理论”出发,检视《网络安全法》第37条的数据本地化存储规定,并给出基本评价;因第37条要求“国家网信部门会同国务院有关部门制定[数据跨境安全评估]的办法”,文章最后一部分将以“数据本地化存储的合理界限理论”为主体,提出数据跨境安全评估办法的总体框架,为立法提供支撑或参考。 【公号系列文章四】 


一、数据本地化存储的中外实践


1、中国现行规定和立法建议


我国现行主要的数据本地化存储的规定,主要分布在金融、卫生医疗、交通领域(见下表)。目前,金融行业中另外一项数据本地化立法草案是中国保险监督管理委员会2015年10月的《保险机构信息化监管规定(征求意见稿)》。其中第三十一条规定,“数据来源于中华人民共和国境内的,数据中心的物理位置应当位于境内”。第五十八条还规定,“外资保险机构信息系统所载数据移至中华人民共和国境外的,应当符合我国有关法律法规。”


规定名称

具体要求

国务院2013年《征信业管理条例》

第二十四条 征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。

国务院2015年《地图管理条例》

第三十四条 互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并制定互联网地图数据安全管理制度和保障措施。

卫计委 2014年《人口健康信息管理办法(试行)》

第十条不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。

中国人民银行2011年《关于银行业金融机构做好个人金融信息保护工作的通知》

六、在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。

国家新闻出版广电总局,工业和信息化部2016年《网络出版服务管理规定》

第八条 图书、音像、电子、报纸、期刊出版单位从事网络出版服务,应当具备以下条件:

(三)有从事网络出版服务所需的必要的技术设备,相关服务器和存储设备必须存放在中华人民共和国境内。

中国保险监督管理委员会2011年《保险公司开业验收指引》

“三、开业验收标准”中的“(九)信息化建设符合中国保监会要求”规定:“业务数据、财务数据等重要数据应存放在中国境内,具有独立的数据存储设备以及相应的安全防护和异地备份措施。”

交通部、工信部、公安部、商务部、工商总局、质检总局、国家网信办2016年《网络预约出租汽车经营服务管理暂行办法》

第二十七条网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。


在电信行业,据在华经营的外企反映,实践中申请ICP备案或许可,工信部们会要求组织机构在中国境内设置服务器,因此也在事实上构成数据本地化存储的要求。


近期,最受关注当属《网络安全法》对数据本地化存储的规定。第37条要求:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这是我国第一次跨行业对数据本地化存储做出统一规定。


2. 域外数据本地化要求概述


据统计,目前全球有超过60个国家做出数据本地化存储的要求如下图所示,这些国家遍布各个大洲,既有加拿大、澳大利亚、欧盟等发达国家和地区,也包括俄罗斯、尼日利亚、印度等发展中国家。图中颜色越深,则显示数据本地化存储的要求越严格。


该图转引自:AlbrightStonebridge Group, Data Localization: A Challenge to Global Commerce and theFree Flow of Information, Sep. 2015, P5. 


现有的数据本地化存储规定,大多数是在2000年后做出的。从下图可以发现很有趣的一点:数据本地化存储的兴起,恰恰与以互联网为代表的信息技术发展同步。在单PC机时代,数据直接存储在电脑的硬盘上。在网络技术发展的早期,组织机构中的多个桌面终端连接一台服务器,数据统一存储在自有的服务器上。在这两个阶段,数据占有者能很好地控制数据的流向、存储地点、访问、处理等,对数据的控制能力最为完整。


云计算的普及,削弱了数据占有者的控制能力。一般来说,大型云服务商在不同国家和地区都设立了数据中心;组织机构租用云服务,虽然仍控制着对数据的访问和处理,但在通常情况下已经不能控制也无法得知数据的物理存储位置了。与前两阶段相比,数据占有者与数据之间多出了一个“中间人”——云服务提供商。数据占有者要实现对数据的控制,取决于这位“中间人”是否忠实地承担自己代理人的角色。


该图转引自:Martina Francesca Ferracane, DataLocalization Trends, European Centre for International Political Economy,Presentation in Beijing, 19 JULY 2016


大数据技术的发展,则在另外一个层面大大增强了数据占有者对数据控制的需求。一旦海量数据对外界披露,无论是主动的共享开放,还是信息系统被攻破而导致的数据被动泄露,都可能被恶意使用,例如敌对势力将海量数据与其他数据集组合,用各种算法进行数据挖掘等,分析掌握了能威胁国家安全的信息。


可以看到,一方面,数据占有者控制数据的能力在削弱,中间环节在增多,另一方面,对数据加强控制的需求在不断增长。因此,在一定程度上,数据本地化存储体现了数据占有者面对上述两难时的一种反应。


二、对数据本地化存储的反对意见


首先在经济方面。有不少论者提出,数据本地化存储与现今全球经济中信息、资本、技术、人才高速流动的现实格格不入,将会严重影响效率,并减缓产业发展、技术进步等。欧洲国际政治经济研究中心(ECIPE)发布的一系列研究报告提出,采用数据本地化存储措施会对一国实际GDP(Real GDP)造成损失,如本地化将导致欧盟损失0.48%的GDP,印度0.25%,中国0.55%等。有学者对俄罗斯数据本地化存储措施进行专题研究得出结论:俄罗斯的GDP将因此降低0.27%。还有论者指出,一些国家采用数据本地化存储规定,目的在于打击美国IT巨头的竞争优势,扶持国内产业和企业,提高国内就业,实际上构成了一种严重的数字贸易壁垒。


其次在互联网技术现实方面。有论者指出,强制数据存储于境内,违背互联网设计的初衷,进而可能破坏开放、互通的互联网架构。互联网治理全球委员会(Global Commission on Internet Governance)2016年6月发布的最终报告《统一的互联网》(One Internet)指出,数据在互联网上传输遵循效率原则,并不考虑国境因素,而人为施加地域限制,将会“动摇互联网基础架构的稳定性”。还有论者指出,数据本地化存储的要求,本质上与信息技术发展的逻辑相冲突,例如云计算、大数据、物联网(the Internet of Things)。以大数据为例,强制数据本地化存储,就意味着数据不能离开本地,而只能将所有域外的数据传输至本地,才能实现组合,同时如果其他国家或地区也设定了类似的数据本地化要求,则得以汇聚在一起的数据总量将会降低,大数据能发挥的效用也将随之减少。


再次是互联网治理乃至世界秩序方面。有论者指出,强制数据存储在本地,是国家不顾技术现实和世界潮流,强行将数据纳入主权管控之下,这一点中国、俄罗斯等金砖国家表现得尤为积极。这些国家试图打造具有体现金砖国家特色的互联网,将会最终导致互联网的分裂,即巴尔干化。还有很多论者进一步将数据本地化存储作为网络主权的具体表现形式之一,进而对网络主权与以“多利益攸关方模式”(multi-stakeholder model)为代表的全球互联网治理之间的冲突,当成中俄与美西方争夺世界秩序领导权的缩影之一。

 



见Chander,Anupam and Uyen P. Le, 2015, “Data Nationalism”, Emory Law Journal, v. 64,pp.677-739. P.680. 特此说明:本文中“数据本地化存储”和“数据本地化”混用,不加区分。此外,本文将“数据”和“信息”两个概念混用。或许可以认为数据是信息的载体,信息则是数据呈现的有实际意义的内容,但大多数国家立法并不严格区分数据和信息。

详见下文论述。

见《网络安全法》第37条。

英国《金融时报》中文网:“中国网络安全规则将阻碍增长”,2016年8月11日。

 The US-China Business Council, Technology Securityand IT in China: Benchmarking and Best Practices, July 2016. 报告全文见

 “习近平:努力把我国建设成为网络强国”,

详见下文论述。

详见下文论述。

应当首先说明的是,本文讨论范围中所指的数据,并不包含党政军及国有企事业单位的数据,而主要指私人主体包括个人、企业、社团等非公组织和机构产生、存储、处理的数据。前者往往因为“公有”属性而被要求本地化存储,本就是许多国家的惯例,而且并非争议的焦点。例如,美国国防部要求其云服务提供商需要在本地存储国防部的数据。见DoD Interim Rule on Network Penetration Reportingand Contracting for Cloud Services.

对《保险机构信息化监管规定(征求意见稿)》公开征求意见,

《征信业管理条例》,

  《地图管理条例》,

《人口健康信息管理办法(试行)》,

《关于银行业金融机构做好个人金融信息保护工作的通知》,

《网络出版服务管理规定》,

 “关于印发《保险公司开业验收指引》的通知”,

《网络预约出租汽车经营服务管理暂行办法》,

 The US-China Business Council, Technology Securityand IT in China: Benchmarking and Best Practices, July 2016. 报告全文见

 Matthias Bauer, Martina F. Ferracane, and Erik vander Marel, 2016, Tracing the Economic Impact of Regulations on the Free Flow ofData and Data Localization, Global Commission on Internet Governance PaperSeries, P2. 

下文将会详细描述主要国家的数据本地化存储措施。

按照AlbrightStonebridge Group的报告,淡灰色的国家表示尚未发现有本地化规定。

 Albright Stonebridge Group的报告对数据本地化存储严格程度的评估主要是主观层面。本文将在第三部分提出一个模型,客观地描绘数据本地化存储的严苛程度。

.

 Martina Francesca Ferracane, How data localizationwipes out the security of your data, June 2016, 

该图的纵坐标代表采取数据本地化措施的国家数量。

见国家标准《信息安全技术云计算服务安全指南》(GB/T 31167-2014)中4.2对云计算服务模式的介绍。

内部研讨会,PPT可向编辑部提供。

如王玥:《试论网络数据本地化立法的正当性》,载于《西安交通大学学报(社会科学版)》2016年第1期。

 Matthias Bauer, Martina F. Ferracane, and Erik vander Marel, 2016, Tracing the Economic Impact of Regulations on the Free Flow ofData and Data Localization, Global Commission on Internet Governance PaperSeries, P10. 其他研究报告见Bauer, Matthias et al, 2013, “The Economic Importance of Getting DataProtection Right: Protecting Privacy, Transmitting Data, Moving Commerce.”,以及Bauer, Matthias et al, 2014, “TheCosts of Data Localization: Friendly Fire on Economic Recovery.” ECIPE OccasionPaper no. 3/2014,

 Lee-Makiyama, Hosuk,2015, “Data localization requirement in Russia.”

见Lee-Makiyama,Hosuk, 2013, “European leaders show leave data flows open.” http://以及Aaronson, Susan and Maxim, Rob, 2013, “Data Protection and DigitalTrade in the Wake of NSA Revelations.” 

 AmCham China, 2015, “Protecting Data Flows in theUS-China Bilateral Investment Treaty.”  US Chamber of Commerce: “Safeguard Cross-borderdata flows.”, 19 May 2015, Office of the United States Trade Representative,2015, “Trans-Pacific Partnership: Summary of US Objectives.” 

 Global Commission on Internet Governance: OneInternet, June 21, 2016, P36,

同上,P55.

 Anupam Chander and Uyen P. Le, 2014, Breaking theWeb: Data Localization vs. the Global Internet, UC Davis Legal Studies ResearchPaper No. 378, 

 Richard Bennett, “Surge in data localization lawsspells trouble for Internet users”, May 10, 2016, 

 Dana Polatin-Reuben andJoss Wright, 2014, An Internet with BRICS Characteristics: Data Sovereignty andthe Balkanisation of the Internet, 4th USENIX Workshop on Free and OpenCommunications on the Internet (FOCI 2014), 

关于中俄与美西方在国际互联网治理方面理念、实践上的冲突,见鲁传颖:《网络空间治理与多利益攸关方理论》,时事出版社2016年出版。



未完待续......


注:本文全文约26000字,发表于《信息安全与通讯保密》2017年第2期。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存