对《数据安全法》的理解和认识：立法思路

笔者按：

对昨天已经在网络上传播开的《数据安全法（草案）》，很难视而不见，但也许还不到对具体条文进行阐释、评议的时机。因此，本文着重考察《数据安全法》的立法思路。

以下这篇旧文，实际上总结了公号君与阿里数据安全研究院于2018年9月举办的“闭门会：数据跨境流动政策分析”中到场的外国嘉宾的观点【详见：敬请关注“闭门会-数据跨境流通”，以及“闭门会：数据跨境流动政策分析” 总结】。

这篇从未发表的文章，具体勾勒出美、欧目前在数据安全上的主要发展和趋势。公号君认为可以此借鉴，观察我国《数据安全法（草案）》的立法思路是否对美欧的数据安全战略作出了因应，因此对这篇旧文进行了扩充，供大家参考。

本文尝试用一个框架来理解近期美西方对数据安全的基本战略，并以此作为考察我国《数据安全法》立法思路的基本框架。

首先，框架中“安全”是指政府提出保障数据完整性、保密性、可用性的强制性要求；该层次中所提出的技术和管理要求，具有跨国通用性，可用国际（或国家）标准实现接轨和互操作性。

在美西方相关正式立法中，经常采取的措辞是“在考虑所持有的数据的本质属性、最先进的安全保护措施以及实施成本的前提下，个人信息控制者应采取与其面临的安全风险相称的技术和管理措施”（GDPR）；“‘基础性’网络和信息系统的运营者应开展风险评估，并采取与所面临风险‘相称’（appropriate to）或‘成比例’（proportionate to）的安全措施”（欧盟《网络和信息安全指令》，NIS Directive）。美国的正式立法则主要使用“合理性标准”（reasonableness）。这样的立法技术避免在法律中对安全控制措施作出细致、具体的规定，避免技术进步、威胁演化而导致的法条过时。【见洪延青. “以管理为基础的规制”——对网络运营者安全保护义务的重构[J]. 环球法律评论, 2016, 38(04): 20-40.】

其次，框架中“控制”的要求是指政府对数据的收集、使用、流转（包括共享、转让、出境）、删除、销毁等环节提出除安全以外的强制性要求。此方面常见的是个人信息保护方面的立法。例如GDPR提出的数据处理基本原则包括合法、公平、透明、最小化、目的限定、准确等，并非指前文所指的完整性、保密性、可用性，而是针对个人信息这一特殊类型的数据，提出的限制性要求。再如美国联邦对受控非涉密信息（controlled unclassified information，CUI）的要求，安全仅仅是其中一部分内容，立法更多地对如何认定、审批、维护CUI提出了强制性要求。

再次，框架中“占有”的要求是指政府对私营部门所收集、产生的数据强制获取的要求。例如金融行业中，要求系统性重要银行定期向监管部门报送运营数据，以确定该金融机构的风险水平；网络安全领域中，要求报送网络威胁情报以形成领域、行业乃至全国范围内的态势感知体系（虽然在美西方，这方面的要求主要以自愿性要求为主，但在我国《网络安全法》中以强制性要求出现）。当然，占有层面的另外一层含义还包括，政府对于原本就为其所占有的数据（例如政务数据）如何处理的问题。

在对上述框架做了基本简介后，现在用该框架来理解美西方近来在数据方面的主要战略或立场，以及所采取的措施。

一、对美国的分析

1、安全层面

美国主要倡导采用国际标准（包括NIST制定的网络安全框架），反对我国自主制定的网络安全国家标准。强调应给企业更多地决定安全控制措施的空间，而非通过立法把具体控制措施固定下来。

2、控制层面

美国对个人信息保护主要采取部门立法（如金融、医疗、儿童等）的方式，由FTC对部门立法之外的领域进行监管。由于“剑桥分析”、“俄罗斯在互联网平台上发动的信息战”等事件，目前联邦层面正在探讨是否效仿欧盟采取统一立法模式。【相关动态见：数据保护官沙龙编译的《美国联邦隐私立法重要文件编译第一辑》（文件截止2018年10月7日）。对美国联邦立法尝试的持续追踪，请见本文文末部分“美国联邦隐私保护立法草案研究”系列中的各篇文章。】

近期，美国通过立法对外资投资国家安全审查（CFIUS）和出口管制两项制度作了重大改革。美国智库CSIS研究员Samm Sack女士在杭州会议上直言，CFIUS改革主要起因正是中国对美国企业开展的“强制技术转移”。改革后的CFIUS委员会将拥有更大审查权限。从数据方面来看，如果外国实体对“持有或收集美国公民的个人敏感数据且这些数据可被用于威胁国家安全的”美国公司投资，同时投资能够使外国实体参与到美国商业实体重大决策（美国公民个人敏感信息的使用、开发、获取、保护或披露），则需要通过国家安全审查。

在出口管制的改革中，出口除传统上的出境外，还包括“在美国境内向外国人披露、转移技术或源代码”，此外还新增了要求是美国政府应圈定“新兴和基础技术”并实施出口控制。法律规定，“新兴和基础技术”的基本特征是：对美国国家安全至关重要，且不属于Defense Production Act of 1950中规定的关键技术。Samm Sack女士认为目前这两项改革中关键定义都未得到厘清，届时很可能“见人下菜碟”，为方便对个案审查而扩大解释。

从这两项改革来看，美国实际上和我国一样，有着类似于重要数据的概念，例如前文所述的CUI，以及CFIUS和出口管制中的美国公民的个人敏感数据和所谓的“新兴和基础技术”。对于这样的数据，美国不希望除美国实体以外的政府、组织、个人指染，即美国企业可以自由使用甚至带到境外，但是外国人碰不得。无疑，这强化了对特定类型数据的控制要求，以致于Samm Sack女士提出，美国是否在走向数据本地化？【更多情况见本文文末部分——“美国个人数据与域外国家安全审查系列文章”中的文章。】

3、占有层面

最显著的表现是美国通过的云法案（Cloud Act）。通过云法案，美国政府实现了，无论通信、记录或其他信息是否存储在美国境内，通信服务提供者均应当按照美国的法律流程的要求，保存、备份、披露通信内容、记录或其他信息，只要上述信息为该提供者所拥有（possess）、监护（custody）或控制（control）。

在杭州会议上，云法案的幕后智囊Daskal教授介绍了，云法案只适用于在美国有实际存在（如办公室、人员等）的通信服务提供商。假设：美国通信服务提供商收到美政府的数据调取令，而数据恰好存储在中国境内且该数据为该公司所控制、监护，则美国公司应当将数据从中国取回，并提供给美国政府。

如果中国有相关立法要求数据只能留存本地或出境前应开展安全评估，美国公司应美政府要求将数据从中国传输至美国将引起中美法律冲突的话，理论上美国公司有两种抗辩途径，一个是云法案提供的抗辩机制（前提是中国政府是所谓的适格外国政府），另一个是普通法上的抗辩机制。前者由于中国政府不符合云法案提出的标准不可行，后者在美国判例法中，美国法官在处理法律冲突问题，往往站在国内法的角度，从而强制美国公司冒着违反第三国法律的风险，将数据提交至美国。【本公号对美国云法有系列文章做了跟踪和分析。】

4、总结

从控制层面，美国强化了美国企业对外输出特定类型数据（主要包括美国公民个人敏感数据和“新兴和基础技术”）的控制。

在占有层面，政府为执法需要，能够调取美国通信服务提供商（包括在美国有实际存在的外国服务提供商）存储在全球的数据。

客观上，美国政府将美国企业打造成自己在网络空间中的领土延伸。外国向从美国企业获得有价值的数据资源（包括技术资料），美国政府要审查、管控。而美国企业无论在境内外获取的数据内容，只要美国政府通过适当的法律程序，就能够及时调取。

二、对欧盟的分析

1、安全层面

对于纯粹的数据安全，欧盟的态度和美国大体一致，对企业施加的安全要求主要基于风险路径（risk-based），强调组织建立风险管理的内部流程，能够时刻评估自己面临的安全风险，采取适当的安全措施，避免硬性规定安全控制措施。其也强调安全监管应基于通行的国际标准。

2、控制层面

最突出的体现是欧盟为建立数字单一市场所做的努力。就数据来说，主要包含两方面：一是针对个人数据的《通用数据保护条例》（GDPR），二是针对非个人数据的“非个人数据自由流动框架”的立法建议。

GDPR对个人数据提出了高水平的保护要求。除纯粹的数据安全之外，还包括个人数据主体广泛的权利（例如查询权、更正权、删除权、限制自动化决策权利、可携带权等），避免个人数据处理对个人合法权益的风险。对于非个人数据，立法建议提出数据应能在欧盟境内不同的服务商之间自由转移，各成员国不得提出本地化的要求等。

此外，GDPR要求，即便组织不在境内，但只要“其面向欧盟境内的个人提供商品或服务（无论是否发生支付行为），或监控欧盟境内个人的行为”，该组织就要接受欧盟GDPR的管辖。

另外，欧盟对于个人数据出境做了严格管控，要求接收数据的第三国或地区提供足够的保护水平。判断保护水平是否足够，很重要的手段之一就是欧盟官方对第三国或地区所做的充分性认定，即如果欧盟委员会认定，某个国家提供了与欧盟“实质上相当”的数据保护水平，则个人数据从欧盟流动到该国家，无需任何事先的许可和额外的安全保护措施。

欧盟官方对于充分性认定，采取了战略性的态度。2017年1月，欧盟委员会在一份名为《在一个全球化的世界中交换和保护个人数据》的通信中指出，虽然目前，各个国家对个人数据保护的路径、立法发展存在差异，但近年来展现出一种趋同——普遍接纳了一些重要的数据保护基本原则。显然，不同的数据保护体系能够更好地相互兼容是件好事，有助于数据的全球自由流动。因此欧盟应得抓住时机，通过推动法律体系趋同，达到推广欧盟数据保护价值和促进数据流动的目的。而推动世界向欧盟看齐的最重要抓手是用好“充分性认定”。

在该份通信中，欧盟委员会指出在亚洲开展“充分性认定”对话时，首选日本和韩国，并根据印度在数据保护中的立法进步情况，视情决定是否和印度开展对话。目前，日本已经完成与欧盟的充分性认定谈判，韩国则有望在明年完成谈判。据参加杭州会议且分别参与到各自国家充分性认定谈判的Miyashita教授和Park教授介绍，日本和韩国为了符合GDPR的高标准，分别对国内的立法进行了修改。在私下交谈中，两位教授还表示，欧盟之所以选择日本和韩国，还希望通过这两个国家与东盟国家大量的经贸往来，影响东盟成员国向GDPR模式靠拢。

GDPR和“非个人数据自由流动框架”，本质上是政府强制要求企业对数据承担了除安全以外的义务，体现了政府对管辖区域内数据所施加的控制。就个人数据而言，欧盟还要求接收数据的组织或该组织所在的第三国和地区，提供和GDPR实质上相当的保护水平，否则数据不得出境。这样的要求，事实上将欧盟对境内数据所施加的控制，投射至境外。

3、占有层面

2018年4月17日，欧盟对外公布了“电子证据立法建议”，推出了欧盟版本的云法案。该建议要求，第一，如果面向欧盟提供服务，服务提供者应当在欧盟境内设立法定代表，以接收调取证据的法令。第二，如果证据调查令指向的是存储在欧盟境外的数据，则在满足两个条件的情况下，服务提供者应当向发出命令的欧盟成员国提供：1）发出调取证据命令的司法机关对刑事侦查具有管辖权限；2）服务提供者确实向欧盟居民提供服务（无论是否在欧盟境内设立了分支机构）。

如果导致了法律冲突怎么办？欧盟指出，在立法中会考虑这样的情况，但最终决定是否应该提供证据的还应该是欧盟成员国的法院。因此，欧盟提供了与美国类似的抗辩途径，允许服务提供者提出撤销调取命令的动议，由成员国法院作出礼让分析（comity analysis）。

4、总结

从控制层面，欧盟建立了其境内28个成员国应统一适用的法律框架，促进个人和非个人数据在欧盟境内自由流动，同时提升对个人数据的保护水平。而对于数据传输至欧盟境外的情形，欧盟将自己的控制要求投射至境外，确保个人对传输至境外的数据保持很强的控制能力。

在占有层面，欧盟效仿美国，要求面向欧盟提供服务的实体，无论数据是否存储在欧盟境内，均应依照调取令，向欧盟执法机构提供数据。

总的来看，由于欧盟没有发达的互联网行业和企业，因此对于组织不在欧盟境内的情况，采取了三类措施：一是境外组织有意识地针对欧盟提供服务，即应该接受欧盟管辖，二是要求上述境外组织在欧盟内部设立法定代表，以接收数据调取命令。三是如果接收了来自欧盟的个人数据，组织应该提供与GDPR“实质上相当”的数据保护水平。上述三种做法，相当于在网络空间中变相地延伸了欧盟自己的领土，超过真实的欧盟地理领土。欧盟以此扩大了自己对全球网络空间中数据的掌控能力。

三、对《数据安全法（草案）》的结构性分析

从上文分析可看出，无论是美国还是欧盟，围绕着数据的法律、政策发展，基本上是沿着“安全—控制—占有”这三层主线展开。很自然，我们要问，我国的《数据安全法（草案）》是否在这三个层面回应了美欧发展的态势。首先看立法说明中“关于制定本法的必要性”。

以下，公号君将部分重点条款归类于这三个层面。

综上，在公号君看来，《数据安全法（草案）》立法思路大体上也是沿着“安全—控制—占有”这三层主线展开。但该法是否覆盖了三个层面上主要的风险，以及具体条文是否科学严谨，留待后文评述。（洪延青）

声明：本文来自网安寻路人，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。