构建数据跨境流动安全评估框架:实现发展与安全的平衡(二)
按:随着《网络产品和服务安全审查办法(征求意见稿)》公开征求意见,《网络安全法》进入了2.0阶段——各项配套规定开始逐渐成型。除安全审查之外,数据境内存储及跨境流动的安全评估也是《网络安全法》中非常引人注目的新制度。本系列文章从平衡发展与安全的角度出发,提出了该制度的框架。此文为系列文章之二,点击此处阅读【系列文章之一】。
三、构建“数据本地化存储合理界限理论”之一——数据本地化存储严苛度模型
由前两节可知:一方面,随着信息技术的进步,数据本地化存储似乎正得到越来越多国家的青睐;另一方面,国际舆论和大量的学术研究却又极力反对本地化措施。正是置于这种实践和认识之间巨大的错位之中,我国《网络安全法》的有关规定备受争议。
如何弥合现实中行为和认知之间的差距?本系列文章提出以下建议:首先,无论是学者,还是决策者,都应当看到数据本地化存储措施是一个光谱式的存在,两端的本地化措施严苛程度截然不同;认识到这一点后,不仅学者在研究时能够避免泛泛而谈,决策者在选择政策工具时也能够更加准确、精细,而且双方在讨论时能够做到真正的聚焦。
其次是需要仔细探讨数据本地化存储能够实现哪些目标。就目的和手段之间的关系来说,这一点尤为重要。目的是判断手段适当性和必要性[1]的根本依据。目的一旦确定,就能据此选择严苛程度不同的数据本地化存储措施作为实现目的的手段。
换言之,本系列文章希望通过讨论手段(数据本地化措施严苛程度)、目的(数据本地化措施能够实现的目标),以及目的和手段之间的适当性和必要性关联,为数据本地化存储提供一套合理性的评价标准,并以此标准检视现实中采用的本地化措施,最终实现依法治理数据化本地化存储,给其设定合理界限,在政府管制与信息自由之间,在多元价值碰撞时,实现一种平衡。这也是本系列文章余下内容的主旨。
具体到本节对手段的讨论。目前,已有文献大都未对数据本地化存储严苛程度进行准确描述[2]。本文从各国现行措施中抽象出四个维度作为构建严苛度模型的指标:本地化存储的实施主体、本地存储彻底程度、本地化存储覆盖的数据范围、本地化存储的豁免条件。
之所以抽象出这四个指标,首先是因为从逻辑上来说,任何本地化措施都必然包含这四个维度。其次,不同国家在这四个维度做出不同的选择,就构成了不同严苛程度的数据本地化措施。本文将在第六节详细分析我国《网络安全法》在这四个维度上做出的具体选择。
1、本地化存储的实施主体
按照学者曹磊的看法,数据权利有两类主体——国家和公民。国家拥有数据主权,因此能“独立自主对本国数据进行管理和利用”。[3]而“数据权利的主体是公民,是相对应公民数据采集义务而形成的对数据利用的权力,这种对数据的利用又是建立在数据主权之下的。只有在数据主权法定框架下,公民才可自由行使数据权利。”[4]
现在对上述分析框架稍作修正:在宏观层面,国家依主权,划定其有权管辖的数据范围,并设定对数据管理和利用的法定框架。例如一国制定个人信息保护方面的法律,在法律中分别设定数据主体(亦即普通个人)、数据控制者(亦即收集、使用、披露个人信息的组织、机构、个人)及其他相关方的权利和义务。在微观层面,数据主体、数据控制者及其他相关方在国家设定的法定框架下,根据国家赋予的各自权利义务互动、协商,在不同场景中形成一项项具体的数据处理安排。聚焦到数据本地化存储,具体场景中,数据是否在本地存储或传输到境外,由数据主体、数据控制者及其他相关方自主协商决定,国家并不直接介入。如下图所示。
举个例子,2011年生效的韩国“个人信息保护法”(The Personal Information Protection Act)在第17条第3款规定,“个人信息向境外第三方传输前,应取得数据主体的同意”。[5]在这个例子中,韩国行使数据主权的方式是制定“个人信息保护法案”;对数据是否本地化存储,韩国这个主权国家的基本态度是:数据流向境外不应与对数据的其他处理同等对待,所以数据控制者在向境外传输数据前要单独向数据主体告知,但数据是否只能留存于韩国境内应由数据主体自行决定;于是“个人信息保护法”赋予数据主体自主控制其个人信息是否流向境外的权利,而数据控制者应遵照数据主体的意思表达。
换句话说,在数据本地化存储方面,韩国行使数据主权的方式是将数据跨境流动当成单独的风险点,同时尊重数据主体对此表达的意愿,并以个人权利的方式,赋予数据主体相对于数据控制者的优势地位。类似的还有印度通信技术部于2011年颁布的“信息技术法案”隐私方面实施细则。细则规定,如获得数据主体的同意,其个人信息可向境外传输。[6]
欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)关于数据跨境流动的制度设计,同样体现了数据主权不直接介入具体的数据处理安排这个特点。综合第五章“向第三国或国际组织传输个人数据”的规定可得出如下结论:欧盟这个数据主权主体对数据跨境流动的基本原则和前提是欧盟境外的数据接收方应提供与GDPR相同的数据保护水平。落实上述原则和前提的方式有两类:第一,欧盟委员会(EU Commission)认定第三国的立法、数据保护制度等是否能够提供与GDPR相同的数据保护水平。第二,如欧盟委员会尚未做出上述认定,欧盟境外的数据接收方还可主动采用适当的保护措施,例如有约束力的公司内部规则(Binding Corporate Rules),确保在境外提供与GDPR相同的数据保护水平。[7]在此我们看到,欧盟委员会认定的是第三国整体的数据保护水平是否充分,此外GDPR还允许数据控制者主动采用充分的数据保护措施,为数据跨境流动扫清障碍。两类情况中,数据主权均不直接介入具体场景中的数据跨境。
类似的,加拿大在“跨境处理个人数据指南(Guidelines for Processing Personal Data AcrossBorders)中要求,数据输出者应为跨境流通的数据安全负责,确保传输至境外第三方的个人数据得到充足保护。具体来说,数据输出者应当以契约或其他方式,确保:1)防止第三方在处理数据过程中,出现未经授权使用或揭露的情形;2)确认第三方具有完善的数据保护政策或流程;3)定期稽核第三方处理或储存个人数据的安全性。[8]也就是说,加拿大通过立法对数据输出者施加了确保数据在境外安全的义务,以此体现国家对数据跨境流动的基本态度。
在数据本地化存储方面,国家在行使数据主权时还可突破上述的宏观和微观的界分,直接以公权力主体的身份介入到数据主体、数据控制者及其他相关方自主形成的数据处理安排之中。如下图所示。
例如,澳大利亚2012年生效的“个人控制电子健康记录法案”(Personally Controlled Electronic Health Records Act2012)在第77条规定,涉及个人信息的健康记录只能留存于澳大利亚境内,否则将予以处罚。[9]与上述韩国“退居幕后”不同,澳大利亚这个主权国家直接“走到前台”,在具体的数据处理安排中与数据主体和数据控制者形成三方关系,强制要求数据在境内留存。
再如,我国台湾地区2012年生效的《个人资料保护法》第21条规定,“非公务机关为国际传输个人资料,而有下列情形之一者”,主管机关应予以限制:“一、涉及国家重大利益。二、国际条约或协议有特别规定。三、接受国对于个人资料之保护未有完善之法规,致有损当事人权益之虞。四、以迂回方法向第三国(地区)传输个人资料规避本法。”[10]可见在上述四种情形中,台湾地区的公权力机关将直接介入具体场景中数据跨境流动安排。[11]
如前文所述,在数据本地化存储实施主体方面存在两个模式。第一种模式,本文称之为“主权内化于私权”,国家淡入背景之中而不直接介入,而是将数据主权的意志通过明示数据流动基本原则、界定行为主体权利和义务等方式,使位于前台的数据主体、数据控制者及其他相关方以“戴着镣铐跳舞”的方式,自主达成具体场景中的数据跨境流动安排。这种模式中,由于数据主权意志已有体现,公权力往往只需在事中、事后,根据既定的数据流动基本原则对私人主体自主达成的数据跨境流动安排给予核验即可。
第二种模式中,本文称之为“主权直接参与”,国家数据主权以公权力的形式直接介入,与数据主体、数据控制者及其他相关方共同作为具体场景中的数据跨境流动安排的行为主体。此时,公权力作为国家数据主权的主要代言人,往往在事前要根据具体场景中的数据跨境流动给予审批或评估,做出个案裁量,深度参与最终达成的跨境流动安排。
可见,两种模式中,数据主权均不缺位,但实现其意志的方式不同,介入的深度和时间点不同,公权力拥有的裁量空间也有所不同。
2、本地存储彻底程度
具体来说,本地化彻底程度包括以下三个层次:第一层,仅要求境内存储数据的副本(copy),与此同时数据可在境外存储、处理、访问。例如,印度尼西亚通信部要求组织机构应在境内建立数据灾备中心。[12]再如,俄罗斯2015年9月生效的第242-FZ号联邦法律,要求对俄罗斯“公民个人数据的收集、记录、整理、积累、存储、更新、修改和检索均应使用俄联邦境内的服务器”。[13]从字面上看,俄罗斯要求对俄公民个人数据的存储、处理、访问都应在俄罗斯境内进行,但在该法律生效前,俄罗斯通信和大众传媒部于2015年8月针对该法律发布了一个无约束力的澄清(clarification)。根据俄通信和大众传媒部对第242-FZ号联邦法律的解释,只要组织机构在俄境内存有数据副本(甚至于纸质副本即可),则个人数据可自由传输至境外。[14]在中国,前文所述的《网络出版服务管理规定》和《保险公司开业验收指引》中关于数据本地化存储的规定,也可解读允许境外存有境内留存数据的副本。
第二层,进一步要求数据只能在境内存储,此时对数据的处理也只能在境内进行,但允许从境外访问数据,例如允许从境外访问数据的部分字段而非整体。如我国《征信业管理条例》,要求“在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”,对来自境外的访问并没有明令禁止。
第三层最为严格,要求数据的存储、处理、访问都必须在境内进行。前文提到的澳大利亚“个人控制电子健康记录法案”第77条规定:1)不得在记录携带至澳大利亚境外,也不允许在澳大利亚境外持有记录;2)不得在澳大利亚境外处理关于记录的各种信息。[15]其中,“不允许在澳大利亚境外持有记录”也就禁止来自于境外的访问。另一个例子是中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》要求“除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”其中的“提供”包括来自境外的访问请求。[16]
3、本地化存储覆盖的数据范围
就笔者掌握的资料来看,尚未有国家要求所有电子化数据都在本地化存储。多数国家选择在有限的范围内划定需本地化存储的数据,常见的有以下几类:
a. 个人数据(或个人信息)。这也是最常见的受本地化存储要求的数据类型。
b. 行业内的重要数据。如医疗健康行业(如澳大利亚)、银行业(如中国)、保险业(如中国)、征信业(如中国)、交通(如中国)、电子支付业(如土耳其[17])、地图数据(如韩国[18])、网络信息服务(如越南[19])等。
4、本地化存储的豁免条件
许多国家在要求数据本地化存储的同时,明确列出了豁免条件。因此,满足豁免条件的难易程度,也是数据本地化存储严苛度的一个重要指标。综合分析,豁免条件主要存在以下几种情形:
a. 数据主体明示同意即可。如前文所述的韩国、印度,以及巴西[20]等国家。
b. 境外的数据接收方应能提供与本国相当的数据保护水平。此种情形最典型的例子是前文提到的欧盟的《通用数据保护条例》、加拿大的“跨境处理个人数据指导”等。这也是目前个人数据跨境传输方面最常见的豁免条件。据笔者不完全统计,目前至少有欧盟的28个成员国、澳大利亚[21]、我国香港地区[22]、阿根廷[23]、以色列[24]、日本[25]、新西兰[26]、新加坡[27]等采用这样的豁免条件。
c. 公权力机关自由裁量。此种情形中,公权力机关的裁量对数据是否可跨境流动起决定性作用,甚至可超越既定基本原则的规定。例如,马来西亚2013年生效的《个人数据保护法》(Personal Data Protection Act)第129条规定,公民个人数据传输至境外的基本原则是数据接收方所在国家应能提供与本地相当的数据保护水平,但该法第46条规定,主管部门的部长可豁免某单个数据主体或某类数据主体受《个人数据保护法》规定的原则或条款的保护,还可在豁免的同时附加任何条件。[28]因此,主管部门的部长就特定数据境外传输享有非常大的自由裁量权。
类似的还有新加坡,其2014年全部生效的《个人数据保护法》(Personal Data Protection Act),在第 26 条原则上要求境外数据接收方应提供与本地相当的数据保护水平,但同时赋予新加坡的“个人数据保护委员会”(PersonalData Protection Commission)广泛的自由裁量权。委员会可根据机构的申请,以书面的形式免除机构遵守数据跨境的合规义务,还可按其判断附加任何条件。[29]
我国也有类似赋予公权力机关自由裁量的例子。前文提到的中国人民银行2011年《关于银行业金融机构做好个人金融信息保护工作的通知》中规定“除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。而中国人民银行上海分行在其《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(上海银发〔2011〕110号)中对上述规定做出了解释:“为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。”[30]可见,对豁免情况的解释权,不仅在人民银行本身,也包括人行授权下的上海分行。
[1]详见下一节论述。
[2]少有的例外见吴沈括,《数据跨境流动与数据主权研究》,载于《新疆师范大学学报(哲学社会科学版)》2016年第5期,第112至119页。该文将本地化存储概括为刚性禁止流动模式、柔性禁止流动模式、本地备份流动模式。笔者认为吴教授的归纳以定性为主,相比之下,本文提出的严苛程度指标体系更为全面。
[3]曹磊:《网络空间的数据权研究》,载于《国际观察》2013年第1期,第56页。
[4]同上。
[5]韩国“个人信息保护法”的英文版,见http://www.koreanlii.or.kr/w/images/0/0e/KoreanDPAct2011.pdf
[6] Chander, Anupam and Uyen P. Le, 2015, “DataNationalism”, Emory Law Journal, v. 64, pp.677-739. P.694.
[7]欧盟《通用数据保护条例》全文见http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC
[8]加拿大“跨境处理个人数据指南”全文,见https://www.priv.gc.ca/information/guide/2009/gl_dab_090127_e.asp
[9]澳大利亚“个人受控电子健康记录法”全文,见https://www.legislation.gov.au/Details/C2012A00063
[10]我国台湾地区《个人资料保护法》全文,见http://www.6law.idv.tw/6law/law/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E4%BF%9D%E8%AD%B7%E6%B3%95.htm
[11]我国台湾地区《个人资料保护法》第22条还规定:“主管机关或直辖市、县(市)政府为执行数据文件安全维护、业务终止数据处理方法、国际传输限制或其他例行性业务检查而认有必要或有违反本法规定之虞时,得派员携带执行职务证明文件,进入检查,并得命相关人员为必要之说明、配合措施或提供相关证明资料”;“主管机关或直辖市、县(市)政府为前项检查时,对于得没入或可为证据之个人资料或其档案,得扣留或复制之。对于应扣留或复制之物,得要求其所有人、持有人或保管人提出或交付;无正当理由拒绝提出、交付或抗拒扣留或复制者,得采取对该非公务机关权益损害最少之方法强制为之”。由此,在我国台湾地区,公权力可介入具体数据跨境传输安排的程度可见一斑。
[12] Chander, Anupam and Uyen P. Le, 2015, “DataNationalism”, Emory Law Journal, v. 64, pp.677-739. P.699.
[13]俄罗斯第242-FZ号联邦法律英文全文,见https://pd.rkn.gov.ru/authority/p146/p191/
[14]关于俄罗斯通信和大众传媒部针对第242-FZ号联邦法律发布的一个无约束力澄清的综述,见http://www.law360.com/articles/698895/3-things-to-know-about-russia-s-new-data-localization-law
[15]澳大利亚“个人控制电子健康记录法”全文,见https://www.legislation.gov.au/Details/C2012A00063
[16]支持这样理解的证据,见中国人民银行上海分行《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(上海银发〔2011〕110号)中对“四、关于银行业金融机构向境外提供个人金融信息的问题”的解答:《通知》第六条规定:“除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”为客户办理业务所必需,且经客户书面授权或同意,境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的,可不认为违规。银行业金融机构应当保证其境外总行、母行或分行、子行为所获得的个人金融信息保密。该文件全文,请查询“北大法宝”数据库,http://www.pkulaw.cn
[17]见土耳其“Law on Payment and Security Settlement Systems, Payment Services andElectronic Money Institutions”第23条。全文见https://www.bddk.org.tr/websitesi/english/Legislation/129166493kanun_ing.pdf
[18] Chander, Anupam and Uyen P. Le, 2015, “DataNationalism”, Emory Law Journal, v. 64, pp.677-739. P.704.
[19]越南“Decree No. 72/2013/ND-CP of July 15, 2013, on the management, provisionand use of Internet services andonline information”,Article 24. 全文见https://www.vnnic.vn/sites/default/files/vanban/Decree%20No72-2013-ND-CP.PDF
[20] DLA Piper, 2016, Data Protection Laws of theWorld. P53.https://www.dlapiperdataprotection.com/#handbook/world-map-section
[21]见The Federal Privacy Act 1988 and its Australian Privacy Principles,特别是“Australian Privacy Principle 8 — cross-borderdisclosure of personal information”,https://www.oaic.gov.au/individuals/privacy-fact-sheets/general/privacy-fact-sheet-17-australian-privacy-principles#australian-privacy-principle-8-cross-border-disclosure-of-personal-information
[22] The Office of the Privacy Commissioner forPersonal Data of Hong Kong, 2014, “Guidance on Personal Data Protection inCross-border Data Transfer”,https://www.pcpd.org.hk/english/news_events/media_statements/press_20141229.html有必要指出,目前香港个人数据保护法律中的规范跨境数据转移的章节至今未生效。
[23] DLA Piper, 2016, Data Protection Laws of theWorld. P21.
[24]同上,P212。
[25]同上,P229。
[26]同上,P327。
[27]同上,P404。
[28]马来西亚《个人数据保护法》全文,见www.pdp.gov.my/images/LAWS_OF_MALAYSIA_PDPA.pdf
[29]新加坡《个人数据保护法》全文,见https://www.pdpc.gov.sg/legislation-and-guidelines/legislation
[30]中国人民银行上海分行《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》全文见“北大法宝”数据库,http://www.pkulaw.cn
未完待续......
注:本文全文约26000字,发表于《信息安全与通讯保密》2017年第2期。