许可 | 数据安全法:来路与前途
原刊发于FT中文网
在数据化生存的今天,《数据安全法(草案)》自然为观瞻所系。但只要是认真阅读草案的读者,都会被一个又一个问题困扰:草案的立法目的究竟是什么?一部以安全为名的法律为何大段加入数据发展和交易?为何最攸关国家安全的“重要数据”反而惜墨如金?第四章“政府数据开放”是否属于乱入?要破解这些难解之谜,我们不妨学习一下侦探家技法,回头细看其间的马迹蛛丝、草蛇灰线,以窥数据安全法的未来走向。
数据安全法的缘起:外部冲击
2018年9月,《数据安全法》和《个人信息保护法》同时列入全国人大常委会委“条件比较成熟、任期内拟提请审议”的69部法律草案之中。如果说对于后者,人们的反应是它进入正式立法流程为何如此之缓?那么对于前者,人们的反应却是它为何如此之快?《个人信息保护法》由2003年国务院信息化工作办公室启动研究以来,已经过去了15年。与之相比,《数据安全法》完全称得上“横空出世”。然则,《数据安全法》从何而来呢?要想回答这一问题,就必须从中国以外找答案。
事实上,在全球数据治理的视野里,2018年绝不平凡。3月,美国出台《澄清域外合法使用数据法》(Cloud Act);4月,扎克伯格因Facebook8700万人的数据被不当用于美国总统大选,出席美国参众两院听证会;5月,号称史上最严个人信息保护法的欧盟《一般数据保护条例》(GDPR)正式实施。这三次重大事件从不同维度向中国揭示了数据的重大意义。
Facebook数据丑闻告诉我们:数据关乎国家政治。2013年,美国对冲基金公司文艺复兴科技(Renaissance Technologies)的联席CEO、特朗普竞选总统的主要金主之一罗伯特·默瑟(Robert Mercer)创建了政策咨询公司——“剑桥分析”(Cambridge Analytica),特朗普的高级顾问、白宫首席战略师斯蒂芬·班农(Steve Bannon)担任了剑桥分析公司美国总部的副总裁。该公司旨在从海量数据出发,洞察目标对象的心理特征,针对性地向听众投放宣传材料,从而改变他们的行为。经过中间人的牵线搭桥,亚历山大·科根(Aleksandr Kogan)与剑桥分析正式开展合作,在Facebook上开发了一款性格测试应用“this is your digital life”,并通过随机发放2到5美元红包的方式大力推广。在收集数千万Facebook用户数据后,剑桥分析将其运用到2016年美国总统大选中,为特朗普打造针对性广告,试图潜移默化地影响选民。由此,个人数据和美国头等大事这两个风马牛不相及的事物联系了起来。
Cloud Act告诉我们:数据关乎国家主权。该法源于美国政府诉微软(United States v. Microsoft Corp)一案。美国司法部为调查某毒品走私犯罪,向纽约南区联邦地方法院请求核发搜查令(warrant),要求微软提供某电子邮件帐户使用者的通讯信息,但因该通讯信息的服务器存放地为爱尔兰都柏林,微软拒绝提供,主张美国法官无权对境外存储的数据核发搜查令。2014年5月,联邦地方法院判定,因微软对境外数据拥有控制权。随后,微软公司上诉至美国联邦法院第二巡回法院。该法院推翻了下级法院的判决。其理由是:核发搜查令的依据——美国《存储通讯法》(Stored Communication Act)第2703条,并未允许法院以搜查令的方式,要求境内网络服务提供商提交存于境外服务器上的数据,这一行为将带来侵害他国主权之危险。2018年2月6日,美国4位参议员提交Cloud Act草案,塞入等待批准的《2018年综合拨款提案》,短短一个月后,经特朗普签字生效。该法改变了《存储通信法》的模糊规定,旗帜鲜明地采取了“数据控制者标准”,将数据主权从物理层边界延伸到技术上的“控制边界”。
GDPR告诉我们:数据关乎全球博弈。在数字经济的世界版图上,欧洲无疑是落后者。但伴随着GDPR的生效,它以一种新的方式改变这一格局。首先,欧盟通过GDPR扩张其境外管辖权,不论数据控制者、处理者及其处理行为在欧盟之内还是之外,但凡处理的是欧盟境内居民的数据,均适用欧盟法律。其次,欧盟以基本权利保障为由,禁止个人数据流入未获得“充分性认定”的国家。最后,欧盟藉此向全球扩张其制度理念,并为世界个人信息保护法竖立新的标准。就如欧盟数据保护委员会所宣称的那样:“从智利到日本,从巴西到韩国,从阿根廷到肯尼亚,我们看到新的隐私法正在浮现。”
不难理解,在上述背景下诞生的中国《数据安全法》自始便有了对外维护数据主权,对内保障国家安全的重大使命。
数据安全法的发展:内部需求
正如费正清的“冲击—回应”模式被柯文的“中国中心观”所修正一样,数据安全法的宗旨在起草过程中,也在随着中国自身需求的变化而变化,其最大的改变就是——数据经济价值的再发现。
人们对于数据价值的认识是一个不断演进的过程。从中国信通院《中国数字产业发展白皮书》历年表述中,便可见一斑:自2017年数字产业化和产业数字化的“两化”框架,到2020年数据价值化、数字产业化、产业数字化、数字化治理的“四化”框架,数据业已成为重塑生产力的核心。当前,传统经济模式失速、国际环境复杂严峻、国内任务艰巨繁重,以数据为关键生产要素的数字经济成为增长的新动能、就业的新空间,“数据”价值由此倍增。
不仅于此,欧盟和美国竞相出台的数据战略,凸显出各国政府正在数据利用中发挥着越来越重要的作用。2019 年12 月,美国白宫行政管理和预算办公室(OMB)发布《联邦数据战略与2020 年行动计划》,“数据作为战略资源开发(Leveraging Data as a Strategic Asset)”成为其核心目标。2020年2月,欧盟推出《欧盟数据战略》,通过构建统一的数据获取和利用规则、加大数据领域投资、打造核心行业和公共利益领域的统一数据空间、加强数据专业人才建设等一揽子措施,推动欧盟单一数据市场的建立。
自2019年以来,中央的一系列文件充分反映了上述变化。党的十九届四中全会首次将数据纳入可参与分配的生产要素之中,提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。2020年4月和5月,中共中央、国务院先后发布《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》等,提出“加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护,发挥数据资源价值”等新要求。
《数据安全法(草案)》
与时俱进还是回归初心?
以上两种迥然不同的背景塑造了现在的《数据安全法(草案)》。在立法目的上,草案第一条便开宗明义,将“保障数据安全,促进数据开放利用”作为二元目标;在立法定位上,草案从纳入立法计划之初《国家安全法》的特别法转向《<数据安全法(草案)>起草说明》中的“数据领域的基础性法律”。然而,由于立法思路转折过于剧烈,草案未能在规则和制度层面将“安全与利用”“保障与促进”有效融合,反而呈现出彼此割裂的“两张皮”格局。草案一系列难解之谜,因此衍生。
这种结构性的冲突,首先体现在“法律概念”上。例如,草案第3条第1款将数据界定为“任何以电子或者非电子形式对信息的记录”,若从国家安全的角度,这种尽可能扩大规制对象的表述可以理解(可同样有失严谨),而从促进利用的角度,“非电子化数据”毫无意义。再如,草案第3条第2款明确“数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为”,其中将“交易”纳入,以回应数据要素市场制度。可“交易”并非法律术语,其究竟是转让、共享还是许可使用?徒增歧义。
这种冲突又体现在“监管体制”上。草案第六条、第七条确立了“中央国家安全领导机构”作为数据安全工作最高决策机构,工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门、公安机关、国家安全机关,国家网信部门以及各地区、各部门各负其责的监管体制。暂且不谈其中的“九龙治水”问题,仅就“中央国家安全领导机构”而言,其角色和职责已不合时宜。根据《国家安全法》第5条,中央国家安全领导机构负责国家安全工作的决策和议事协调,而当草案立足点从狭义国家安全转向一般数据安全后,两者便存在抵牾。
此外,这种冲突还体现于“权利设定”。在国家、企业、个人的三元主体架构下,涉及个人信息的数据活动交由未来的《个人信息保护法》处理,国家政务数据单章规定,而企业数据却不见踪影,这与欧盟将“非个人数据”作为数字战略关键抓手的思路形成鲜明对比。放宽视野看,正如草案第9条所言,数据安全需要企业和政府的协同治理,而治理绝不只是对企业单纯苛加义务和责任,更是权利的赋予。只有企业就其数据享有可预期的正当权利,才有充分的激励投资数据安全、提升数据价值,进而与他方开展数据交易。
最后,这种冲突体现在“权力制约”上。维护国家安全的行政行为和市场、文化、社会治安领域的监管措施在权力行使程序、权力介入阶段、自由裁量限制等方面有着重大差异。就前者而言,草案第22条项下免于行政复议和司法审查的“数据安全审查决定”是典型代表,就后者而言,基于草案第25条、27条、28条、29条等作出行政处罚均属之。遗憾的是,草案并未明确区分这两种性质不同的权利,在实践中可能导致国家安全行为不当扩张,使依法行政原则空洞化。
面对种种矛盾,草案究竟该如何破解?究其实质,试图在一部法律中容纳如此多元的法律价值,几乎是不可能完成的任务。正所谓“有舍方有得”,未来的数据安全法不妨回归初心,以《国家安全法》为根,以“重要数据”为基,强化国家关键数据资源保护能力。如此,不但降低了立法难度,有利于与《网络安全法》衔接,而且有丰富的域外经验可资借鉴,有利于国际交流和相互理解,而上述窒碍亦由此冰释消解。