欧盟对数据的战略性“玩法”
【评《网络安全法》对数据安全保护之得与失】这篇文章提出的核心观点是,《网络安全法》对数据安全和个人数据保护给予了足够的关注,但从“数据作为国家基础性战略资源”这个层面来看,该法仅仅是“隔靴搔痒”,缺乏对保护“国家基础性战略资源”的清醒意识,也就遑论制度设计上做到通盘考虑。
要知道,在国务院和各部门的发文中,够得上“基础性战略资源”的只有数据(或大数据)和档案。冠以“战略资源”的有土地、草原、稀土、石油、天然气、粮食、水、森林、矿产、煤炭等。从字面上来看,加上“基础性”这样的限定,显然意味着更加重要。与我国对档案、土地、稀土、石油、森林等资源的现行管理体制相比,相信不用专业知识也能直观地看到,《网络安全法》对数据保护的制度设计尚未形成全面、完整的体系。
那其他国家或区域,是否把“数据作为基础性战略资源”?如果是,他们又是怎么保护的?由于2月底马上要去比利时参加第三次中欧数字经济和网络安全专家工作组【此前的发言PPT见此】,因此今天就和大家讨论一下欧盟的情况。
2017年1月10日,欧盟委员会对外发布了一份通报,在此摘录部分内容以管中窥豹,看看人家欧盟是“怎么玩数据”的。
该份通报是欧盟委员会(European Commission)对欧洲议会(European Parliment)和欧盟理事会(European Council)发的,意在表明自己对“在一个全球化的世界中交换和保护个人数据”(Exchanging and Protecting Personal Data in a Globalised World,亦即该份通报的标题)的基本看法。总结和摘录如下:
看法一:得抓住时机,让世界向欧盟看齐
欧盟委员会提出,虽然各个国家对个人数据保护的路径、立法发展存在差异,但近年来展现出一种趋同——普遍接纳了一些重要的数据保护基本原则。显然,不同的数据保护体系能够更好地相互兼容是件好事,有助于数据的全球自由流动。
于是,欧盟委员会提出,欧盟应抓住这样的机会,通过推动法律体系趋同,达到推广欧盟数据保护价值和促进数据流动的目的。(The EU should seize this opportunity to promote its data protection values and facilitate data flows by encouraging convergence of legal systems. )
看法二:欧盟的个人数据保护体系和改革理应是世界的标杆
理由1:以《通用数据保护条例》(GDPR)为代表的个人数据保护改革,赋予个人数据主体更多的自主控制权,是在数字经济中增强消费者信任的正道。
理由2:GDPR以条例的形式,统一在欧盟境内适用,降低了公司在不同成员国内的合规成本。
理由3:欧盟成功地结合了最高水平的个人数据保护和开放的国际数据流动,有潜力成为能够同时提供自由流动和信任的数据服务中心。(It has the potential to become a hub for data services which require both free flows and trust)
看法三:个人数据保护是不容谈判的
在通报中,欧盟委员会多次用了强硬的措辞。例如,隐私不是可以交易的商品(Privacy is not a commodity to be traded)。尊重隐私,是稳定、安全、竞争性的全球商业流动的前提条件之一(Respecting privacy is a condition for stable, secure and competitive global commercial flows.)。在数字时代,高水平的数据保护,应当与国际贸易携手发展(In the digital era, promoting high standards of data protection and facilitating international trade must thus necessarily go hand in hand. )。
当然,欧盟也不是不做生意了:“虽然在贸易协定中,个人数据保护是不容谈判的,但欧盟的数据保护体系提供了一系列不同的工具,可以在保障高水平保护的同时满足不同场景下数据流动的需求。(Whereas the protection of personal data is nonnegotiablein trade agreements, the EU regime on international data transfers, as outlined above, provides a broad and varied toolkit to enable data flows in different situations while ensuring a high level of protection.)
看法四:推动世界向欧盟看齐的最重要抓手是用好“充分性认定”
先介绍下“充分性认定”:如果欧盟委员会认定,某个国家提供了与欧盟“实质上相当”的数据保护水平,则个人数据从欧盟流动到该国家,无需任何事先的许可和额外的安全保护措施。GDPR第45条罗列了做出充分性认定时应当考虑的因素:
a) 法治状况、对人权和基本自由的尊重、相关一般性和部门性立法(包括公共安全、国防、国家安全、刑法、公共部门获取个人数据的权力)、法律执行情况、数据保护规则、职业规范、安全措施、数据从该国或国际组织做后续传输时该国或国际组织制定的应遵守的规则、案例法、数据主体行使权利的有效性和可执行性、为数据主体提供的行政和司法救济渠道的有效性。
b) 是否设立了一个或多个独立、有效的数据保护监管机构,国际组织是否受一个或多个独立、有效的数据保护监管机构的管辖;该监管机构应具有足够的执法权力,以帮助数据主体行使其权利,并与欧盟成员国的监管机构合作。
c) 该国或国际组织的国际义务,特别是个人数据保护方面。
欧盟委员会在通报中指出,一旦对某个国家给予了“充分性认定”,数据流动到该国就相当于数据在欧盟内部流动,该国也就获得了进入欧盟单一市场的特权(As a result, transfers to the country in question will be assimilated to intra-EU transmissions of data, thereby providing privileged access to the EU single market)
注意到欧盟委员会在上述语句中的用词——privileged access,也就是特权。既然是特权,也就不是随便能够获得的。欧盟委员会在通报中勾勒出,是否启动对某个国家的“充分性认定”进程,要考虑以下四个方面(the Commission considers that the following criteria should be taken into account when assessing with which third countries a dialogue on adequacy should be pursued):
(i) the extent of the EU's (actual or potential) commercial relations with a given third country, including the existence of a free trade agreement or ongoing negotiations; 即该国与欧盟的商贸关系
(ii) the extent of personal data flows from the EU, reflecting geographical and/or cultural ties; 即该国与欧盟的数据流动情况
(iii) the pioneering role the third country plays in the field of privacy and data protection that could serve as a model for other countries in its region; and 即该国在其所在区域中是否是隐私和数据保护的领头羊
(iv) the overall political relationship with the third country in question, in particular with respect to the promotion of common values and shared objectives at international level. 即该国与欧盟的政治关系,特别是是否秉持共同的价值和目标
基于上述考虑,2017年开展“充分性认定”对话时,欧盟在东亚首选日本和韩国,并根据印度在数据保护中的立法进步情况,视情决定是否和印度开展对话。(Based on these considerations, the Commission will actively engage with key trading partners in East and South-East Asia, starting from Japan and Korea in 2017, and, depending on progress towards the modernisation of its data protection laws, with India)。
总结和摘录至此,其实不用我再啰嗦总结,大家也应当能看到欧盟是如何发挥“欧盟公民个人数据”的战略性作用:想要获得数据,只能向我靠拢,首先是法律制度和保护水平,更得是基本价值观和总体政治关系;综合来看,先是日本、韩国、印度,中国还暂不考虑。
那么,有鉴于此,在将来落实《网络安全法》第37条要求的数据跨境安全评估时【另见本公号系列文章1、2、3、4】,我们又能从中获得什么“有益”的启示呢?