文│ 北京航空航天大学法学院副教授、博士生导师 裴炜
尽管网络信息技术不断促进全球各地互通互联,但各国或地区不但没有放弃地域维度的管控思路,数据治理的地域化反而借由数据本地化等立法有所强化。
一、各国或地区关于数据本地化立法现状
关于何为数据本地化,目前存在多种定义。从广义上理解,数据本地化可以视为任何对数据跨境流动加以限制的制度。全球互联网治理委员会(Global Commission on InternetGovernance)在其 2015 年的报告《数据本地化规则对金融服务的影响》(Addressing the Impact of Data Location Regulation inFinancial Services)中,将数据本地化概括为四种类型:一是数据出境的地域限制,即要求数据必须于某一国家或区域境内存储和处理;二是数据位置的地域限制,即允许数据副本出境处理,但在本国或本区域内必须存有副本;三是基于许可制的数据出境限制,即要求数据出境需经有权机关许可;四是基于标准体系的数据出境限制,即要求数据出境必须采取标准化的步骤以确保数据安全和隐私保护。其中,前两种类型会直接限制数据跨境流动,是当前世界数据本地化立法的主要类型。
无论是以上何种类型,均包含对数据出境的限制。经济合作与发展组织(OECD)在其 2019 年的调查报告《贸易与跨境数据流动》(Trade and Cross-Border Data Flows)中,将数据跨境流动的管制强度由弱到强分为四个层级:第一层级是对数据跨境流动不设任何法律限制,该层级多出现于最不发达国家;第二层级是不对数据跨境做事前限制,但设置事后审查和追责机制;第三层级是规定数据出境条件和情形,并对数据接收国设置资质限制,例如欧盟《通用数据保护条例》(GDPR)采用的就是这种思路;第四层级是最高限制层级,即数据能否跨境流动需要经过个案审查。
各国或地区要求本地化的数据类型,大致可以分为两类:一类针对公民个人信息,例如澳大利亚《由个人控制的电子健康记录法》(PCEHR Act)针对公民健康类数据,而俄罗斯和马来西亚则要求存储本国公民的各类个人数据;另一类则涉及非个人数据,例如德国《电子通信法》(TKG)对原始数据的本地存储进行规定,印度《国家数据分享和准入政策》(NDSAP)则要求所有通过使用公共基金收集的数据均存储于本国境内,而我国《网络安全法》基于保障网络数据安全的考量,明确要求在境内存储“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。
除本地化存储要求外,各国的一些配套措施也在不同程度上推进数据本地化,例如越南的《互联网服务和在线信息管理、提供和使用条例》(Decreeon the Management,Provision and Use of InternetServices and Online Information)要求信息收集网站、社交网站、移动通信网络服务提供者、在线游戏服务提供者等,至少将一个服务器设置在越南境内;法国也曾建议对收集、管理和商业应用本国境内人员个人数据的行为征税,其中,数据的异地存储有可能因为不完全合规而被征收更高的税额。
数据跨境流动的限制必然伴随复杂的安全评估和审查程序。例如,根据欧盟 GDPR 规定,在向欧盟境外第三国传输数据时需要经过两个步骤的审查:其一是数据传输行为本身是否有合法授权和依据;其二是数据接收国是否符合欧盟委员会的相关安全性要求。我国于 2019 年颁布的《个人信息出境安全评估办法(征求意见稿)》也有类似机制,要求将需要进行出境前安全评估的个人信息扩展至各类网络运营者在境内运营过程中收集的信息,而不仅限于关键信息基础设施运营者。该征求意见稿一方面明确禁止特定情形下的个人信息出境,另一方面则搭建起个人信息安全评估出境的一般性流程。
类似的安全评估和风险评估要求同样体现在我国的《数据安全法(草案)》和《个人信息保护法(草案)》中。2021 年 4 月的《数据安全法(草案)》二次审议稿要求建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查;同时,重要数据处理者应当定期开展风险评估,并向有关主管部门报送风险评估报告;此外,境外司法或执法机构要求调取中国境内数据时,非经中国主管机关批准,不得提供。2021 年 4 月的《个人信息保护法(草案二次审议稿)》第三章,从跨境数据流动角度规定了个人信息保护相关规则,重申了《网络安全法》关于关键信息基础设施运营者处理个人信息的境内存储规则,亦对其本地化要求进行了扩充,即将境内存储要求扩展至处理个人信息达到国家规定数量的其他个人信息处理者;同时,第三章也就其他情形下的个人信息出境设置了限制性条件;此外,国家机关处理的个人信息原则上也应当在中国境内存储。这些规定总体上呈现出以强化数据本地化来提升数据控制和保护的立法思路。
二、数据本地化的立法动因与挑战
数据本地化这种强调数据地域属性的做法,源于国家主权、数据安全、个人信息保护等多种因素。根据经合组织于 2020 年发布的报告《数据本地化趋势和挑战:基于隐私指南的考量》(DataLocalization Trends and Challenges:Considerationsfor the Review of the Privacy Guidelines),数据本地化的立法动因主要集中在九个方面:一是保障网络安全;二是防范外国网络间谍;三是协助执法机关和国家安全机关获取数据;四是减少网络犯罪并服务于其侦查;五是保护个人数据;六是提升网络事件响应能力;七是形成地缘政治优势;八是确保政府获取特定类型数据;九是形成经济竞争优势。
尽管存在上述动因,但需要注意到的是,数据本地化与全球信息网络化大潮之间仍然存在兼容问题。
首先,数据本地化与互联网基本架构和新兴信息技术之间存在技术冲突。在信息网络技术的支撑下,数据本身呈现出去地域化的特征,数据的全球高速流动和分散存储是现代互联网的内在属性,云计算正是这一属性的典型例证。数据存储于何地,以何种方式存储,是以数据高效流动和使用为决定因素,这与当前各国数据本地化立法的出发点存在分歧。从这个角度看,数据本地化也不可避免地与数字经济发展产生冲突。
其次,数据本地化可能造成不同地域之间新的法律冲突。不同国家和地区对本地化的数据类型和范围要求不尽相同,对数据的分类也存在较大差异,这种差异将直接反映在网络信息业者的合规义务以及可能由此产生的合规冲突之上。应对合规要求以及化解合规冲突需要网络信息企业建立起相应的内部合规机制,而该机制的有效运行又依赖于相应的专业人员和技术支撑,此时,合规义务不可避免地会转化为企业的合规成本,从而加重企业的运营负担。考虑到网络信息业者自身经营能力差异,这种合规负担对于中小微互联网企业发展的影响尤为严重。
再次,在数据全球分布和流动成为网络信息产业的基本要求和核心生命力的背景下,数据本地化制度不可避免地会提高网络信息业者的经营成本,一方面体,现在网络信息业者需要通过建立当地数据存储中心以符合本地化要求,另一方面,也体现在可能形成新的数据和网络安全风险。这些成本不可避免地会转嫁至消费者端,一定程度上可能迫使网络信息业者避免在某些国家或地区开展业务,并可能进一步阻碍新技术和新产品在全球范围内的扩展。
最后,即便以强化数据治理为由,数据本地化亦有可能损及网络空间治理的实际效能。以网络犯罪为例,数据本地化的重要正当性事由之一,在于强化本国侦查机关的数据取证能力,但该事由并非必然成立。一方面,数据本地化制度大多并非针对所有数据,因此,无法确保与具体刑事案件证据材料需求相匹配。另一方面,犯罪分子通常会采取多种方式,利用刑事诉讼的地域管辖权限制,将相关数据转移至境外,从而人为造成取证困难。更重要的是,在跨境数据取证需求普遍化的当下,数据本地化制度对他国取证形成的限制会借由对等和互惠原则传递至本国,反噬本国侦查机关的跨境取证能力。
数据本地化所呈现出的多重弊端也反映在一些国家或地区对该制度的犹疑摇摆态度之上。以欧盟为例,欧盟曾于 2013 年提出强化对云计算的管理,对欧盟境内的数据出境设置更高的门槛,并重新审视欧盟与美国之间关于数据跨境流动的“安全港”规则。欧洲法院在 2020 年的施雷姆斯二号案(Schrems II)中,进一步宣布隐私盾协议无效。
然而,促进形成单一数据市场又是欧盟的一贯目标。在其 2018 年 6 月形成的欧美内部政治协议中,欧盟单一数字市场副主席安德鲁斯·安西普(AndrusAnsip)明确表示,“数据本地化是典型的保护主义,它与单一市场不相兼容。在实现人员、货物、服务和资金自由流动后,通过此项协议支持非个人数据的自由流动,以促进技术和商业模式创新。”在此背景下,2018 年《欧盟非个人数据自由流动框架条例 》(Regulation on A Framework for the Free Flowof Non-Personal Data in the European Union),明确要求除非基于公共安全考量,否则禁止针对非个人数据的本地化要求。
三、数据本地化立法的发展趋势
从当前世界主要国家和地区的数据政策和立法发展状况看,以数据本地化为代表的网络和数据的地域性分割趋势非但不会削弱,反而可能在复杂的国际形势下被进一步强化。同时,不同国家或地区对数据本地化的态度往往与所涉视角紧密相关:一方面,针对商业贸易和网络信息产业发展而言,去本地化要求是较为普遍的观点,例如,于 2020 年7 月生效的《美墨加三国协议》(USMCA)也从促进区域贸易的角度,对数据本地化持否定态度;另一方面,从数据主权、国家和公共安全以及个人信息保护角度看,加强本地化要求又成为重要手段之一,例如,欧盟 GDPR 即反映出此类思路。但是,这些方面的考量因素并非彼此独立,而是在网络信息时代相互交织,共同作用于各个领域的网络和数据治理规则。
在互联互通的网络全球化时代,建构开放、包容的命运共同体更为关键,如何在尊重国家主权和保障公民基本权利的前提下,推动网络空间国际治理整体能力的提升,促进数据资源发挥最大效能,是网络信息时代提出的重大命题。
围绕数据本地化的立法争议正是这一重大命题的集中体现。化解该争议、最大限度推动国际共识和规范的形成,需要建立在数据跨境流动的场景化的基础之上,针对不同类型的数据在不同场景下的流动特征,设置不同层级的跨境传输限制规则。
首先,在网络空间治理层面,需要正视数据本地化制度对数据跨境流动在客观上造成的阻碍。从网络信息技术发展的内在属性出发,立法者应当以推动数据合理、高效流动为基本原则,数据本地化规则作为例外情形适用。这一原则需要国际层面的共同推动,促进本地化基本原则和规则体系国际共识的形成。
其次,在需要适用本地化数据治理的情形下,应当进一步区分不同场景,其核心在于,一方面,就不同场景背后所保护的具体权益进行分类、分层,另一方面,对该场景下数据跨境的具体特征加以明晰。特别是需要区分商业场景与社会公共治理场景,以及区分数据跨境传输的常态化场景和个案化场景。
再次,在区分数据本地化适用场景的前提下,应当就本地化措施本身进行细化和阶层化,避免一刀切式地采用最为严格的出境限制。具体而言,这种阶层化包含以下两个层面的含义:一是就本地化规则区分严格境内存储、副本境内存储等不同层级;二是就数据出境规则设置审批制、备案制、标准制等不同层级。这意味着,一方面,需要针对特定场景下特定本地化层级的立法设置依据比例原则进行评估,另一方面,需要针对具体的数据跨境活动建立起数据出境的个案影响评估机制。
最后,数据本地化规则不能脱离数据治理体系单独建设,需要将本地化要求放置在网络空间治理的整体框架下,将数据本地化要求与网络安全、个人信息保护、网络空间管辖权等相关领域立法相配合,突破部门法的分割视野,形成数据治理领域法的协同建设。
(本文刊登于《中国信息安全》杂志2021年第5期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。