论坛分享 | 中外数据安全立法脉络梳理:变与不变
The following article is from 嘶吼专业版 Author Wylly
编者按:
我国是唯一提出数据安全基础性法律的国家
最近各种数据安全和个人信息保护方面立法纷至沓来,拿我国来说,《数据安全法》、《个人信息保护法》大概率明年会通过。除了《网安法》、《电商法》外,该领域又多了两部基础性法律。在和国际上的数据安全相关法律做比较分析时,我们发现没有任何一个国家专门提出“数据安全法”这几个字,我国是唯一一个提出了数据安全基础性法律的国家,这种现象背后体现了什么呢?
安全界定外延扩展 《数据安全法》在安全、控制和占有三个层面均有规定
应对美欧在安全、控制和占有三个层面的动作,我国用《数据安全法》立法做统一完整概括
现阶段塞在安全底下的概念越来越多,以《数据安全法》来说,很多不是传统的要求。传统安全讲求完整性、保密性、可用性,比如《网络安全法》第十条规定,网络运营商首要责任是保护网络数据的完整性、保密性、可用性。
完整性、保密性、可用性基本概念出现在法条里面,即立法接受了对安全的界定,中间出现控制的要求。所谓“控制”是除了“三性”以外,政府部门通过立法对数据处理的动作以外提出的额外要求。所谓“占用”则规定私营部门产生数据后,政府部门要通过法律手段、政策手段去进行占有,以及对政府部门已经占有的数据后续的开放利用的具体规定。
《数据安全法》已经在三个层面上有所规定,把这三个层面塞在《数据安全法》里面,当成广义安全的话题,已经超出了原本对安全概念的认识,现在对安全的概念认识越来越宽泛。从这三个层面看主要的国家:美国、欧盟、中国,都在数据方面做了很多的规定和动作。通过《数据安全法》立法希望达到的目的是应对美、欧这三个层面提出的各种动作,中国来不及立单行法,所以统一用《数据安全法》立法做完整的概括。
中外在安全、控制和占有三个层面立法脉络梳理
安全层面,中外立法本质诉求基本一致
安全层面,总体上欧盟、美国和中国政府诉求基本一致,主要保证数据不要泄漏、不要被黑客拿走。只不过中国立法技术和美国、欧洲不同,美国和欧洲是用双边、多边商贸谈判里面经常用的词——“基于风险的路径” 做概括,无非对传统真正的技术上安全的法条都是用风险式的写法,规定的是风险管理的思路,来应对不断变化的外部环境。欧盟用“合适的”,美国经常用“合理的”,都不会像我们的法律那样把细致的安全措施写得非常清楚。虽然立法技术不同,但本质诉求是一致的,标准层面我们用的词汇、话语体系基本也是一致的,只不过双边谈判的时候外国政府会经常说,就应该用风险式路径给企业裁量度,不要像等保一样把具体动作写的很清楚。这是中、美、欧三方政策上的辩论点,但本质上的诉求是一致的。
控制层面,不同法域、不同传统和不同基础背景下中、美、欧的选择不尽相同
控制层面,控制的要求是指政府对数据的收集、使用、流转(包括共享、转让、出境)、删除、销毁等环节提出除安全以外的强制性要求。对于信息和数据不同的法域给了不同的权利。
欧盟:GDPR,是用一部单行法来作为覆盖各行各业的个人信息处理行为,欧盟认为这是个人人权,既然作为人,不同的社会不同场景中所受的保护水平应该一致,无论是政府拿到个人数据、还是企业拿到数据都用同一套规则。但美国就不一样,觉得政府要拿个人信息要积极的防范,但是企业拿个人信息是市场平等主体间的选择。这样的设计是控制上的不同设计理念,欧洲人做这样的选择有其经济上的诉求,但也有其政治、经济、文化的考量。欧洲人觉得未来是万物互联,即便未来所有的东西都会被记录、被存储、被处理,作为一个人还是应该对自己的数据拥有完整的控制权。也是在这样的理念下,欧洲人有对自己信息完整的一套权利。在中国我们保障了三个基本权利——查询、更正、删除,GDPR设计里面给了一系列的权利,这是控制层面不同法域、不同传统、不同基础做的选择。
美国:公权力部门和私营部门两套制度:侧重防范政府无合法理由过度收集个人数据。规制私营部门时采用部门法路径:对一些重点领域有专门性的个人信息保护立法,如金融、医疗、儿童等,联邦贸易委员会兜底做市场主体间相互侵权的规范。美国最近关注外商投资审查,如果北京一家做酒店软件管理的公司买了美国酒店顾客登记系统的软件也被认为涉及国家安全事项,要求剥离原来的投资。改革的法案2018年通过,2020年出台实施条例——涉及敏感的个人数据,外国对美国投资涉及11类、超过一百万人都要进行国家安全审查的事项,按照美国政商两届的认识,认为中国公司触碰到这些事情都是国家安全的事项,这也并不是传统上的完整性、保密性、可用性要解决的问题,而是什么主体可以触碰到这些数据的问题。
中国:《个人信息保护法》也是在建立过程中,如果某些国家地区在个人信息采取歧视性做法是可以将这些国家和地区拉入黑名单,我们的数据不要流入这些国家和地区,这些也出现在《个人信息保护法》里面,我国是通过这样的法律对美、欧的动作做了应对。
占有层面,美欧之间形成对立,我国形成立法牵制并应对
占有层面,主要指政府什么情况下可以调取企业的数据。欧洲认为美国政府调取企业数据违反了对人权的保护,认为美国政治法律环境不足以确保数据流到美国之后欧洲人数据隐私的保护。美国认为欧洲占有层面也很多双标的做法。
三个框架引领下的几个观察
一是安全的概念外延拓展,占有、控制纳入所谓安全范畴内,对数据控制能力需求提升。作为企业,个人认为可以考虑在占有和控制方面开发出新的工具,如跨境流动。数据跨境流动不全是CIA三性的问题,地点不决定数据的安全、数据能力才是。创新公司可以在跨境流动的评估、发现、记录方面做出更多贡献,以满足越来越多控制方面的需求。
二是越来越多的企业“出海”,面对美、欧认为我国政治法律环境非常“恶劣”的情况下,数据从国外流到境内都是非常难以实现的。商务部正在推动自贸区数据跨境流动试点,无非想在这个大环境下通过小区域的尝试,尽可能让数据回到中国,中国也开放一些数据流出去,双向流动控制的层面希望大家相互有所妥协布局,这对技术能力的要求又提出新的课题。
今天是基于数据的小议题,但中、美、欧产生了巨大的分歧,如果从美国的“清洁网络”、欧盟的《数字服务法》、《数字市场法》以及欧洲提出的“技术主权”来看,不同的议题每一个里面都在产生中、美、欧巨大博弈。中美关系是今年的关键词,关键词下无论是具体的应用和内容、算法、协议、人工智能、ICT设计等都在产生类似的博弈,这个时代属于巨变的时代,过去的经验不一定很好的适用,因为各个层面原来依赖于技术社群的治理、依赖于国际商贸规则越来越不管用。作为业界从业者,需要不断学习各个层面发生的翻天覆地的变化。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
传染病疫情防控与个人信息保护系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
美国方面的个人信息保护立法:
中国个人信息保护立法系列文章
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
人脸识别系列文章:
数据跨境流动的文章如下: