專(zhuān)家解讀｜與時(shí)俱進(jìn) 筑牢國家安全的審查防線(xiàn)

　　一、數據成為獨立于網(wǎng)絡(luò )的安全保護對象

　　《網(wǎng)絡(luò )安全法》立足于技術(shù)層面的安全保障。其核心的立法目標是“防范對網(wǎng)絡(luò )的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò )處于穩定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò )數據的完整性、保密性、可用性的能力”。該部法律主要內容是對網(wǎng)絡(luò )運營(yíng)者施加基本的安全保障義務(wù)，并對關(guān)鍵信息基礎設施運營(yíng)者施加增強式的安全保障義務(wù)。在此階段，數據的安全從屬于網(wǎng)絡(luò )的安全；網(wǎng)絡(luò )和系統作為數據的載體、容器或邊界，其安全保護就構成數據安全工作的主要內容。

　　隨著(zhù)信息技術(shù)和人類(lèi)生產(chǎn)生活交匯融合，各類(lèi)數據迅猛增長(cháng)、海量聚集，對經(jīng)濟發(fā)展、社會(huì )治理、人民生活都產(chǎn)生了重大而深刻的影響。數據安全已成為事關(guān)國家安全與經(jīng)濟社會(huì )發(fā)展的重大問(wèn)題。特別是，2018年的劍橋分析事件，震驚中外，暴露出網(wǎng)絡(luò )和系統本身的安全，并不足以防范安全風(fēng)險。臉書(shū)公司在網(wǎng)絡(luò )始終處于“穩定可靠運行的狀態(tài)”時(shí)，出于商業(yè)決策主動(dòng)對第三方程序開(kāi)放寬松的API數據接口，最終導致8700萬(wàn)人的個(gè)人信息通過(guò)第三方程序流轉至劍橋分析公司，并被違法用于影響政治選舉，進(jìn)而危及國家和政治的安全。數據應當作為獨立于網(wǎng)絡(luò )的安全保護工作對象，這樣的需求被不容忽視地凸顯出來(lái)。因此，《數據安全法》定位為數據安全領(lǐng)域的基礎性法律，提出了國家數據安全管理制度、組織和個(gè)人的數據安全保護義務(wù)、支持和促進(jìn)數據安全與發(fā)展的措施，以及政務(wù)數據安全與開(kāi)放等內容。

　　在信息化時(shí)代，個(gè)人信息保護已成為廣大人民群眾最關(guān)心最直接最現實(shí)的利益問(wèn)題之一。特別是APP違法違規收集使用個(gè)人信息，均是在網(wǎng)絡(luò )和系統“穩定可靠運行”時(shí)發(fā)生的侵害個(gè)人合法權益的事件。中國的社會(huì )各方面廣泛呼吁出臺專(zhuān)門(mén)的個(gè)人信息保護法。因此，《個(gè)人信息保護法》在借鑒國外先進(jìn)立法的基礎上，提出了個(gè)人信息處理的規則、個(gè)人信息跨境提供的規則，明確了個(gè)人信息處理活動(dòng)中個(gè)人的權利和處理者義務(wù)，確定了履行個(gè)人信息保護職責的部門(mén)及其職責等內容。

　　二、數據成為國際政經(jīng)博弈的焦點(diǎn)

　　在《外交事務(wù)》雜志2021年發(fā)表的文章《數據即是權力》（data is power）中，兩位美國作者直言：“與全球經(jīng)濟的其他要素相比，數據與權力更緊密地交織在一起。作為創(chuàng )新的一個(gè)日益必要的投入，國際貿易的一個(gè)迅速擴大的元素，企業(yè)成功的一個(gè)重要因素，以及國家安全的一個(gè)重要層面，數據為所有擁有它的人提供了難以置信的優(yōu)勢。尋求反競爭優(yōu)勢（anticompetitive advantages）的國家和公司試圖控制數據”。

　　以美國為例。從業(yè)務(wù)層面的數據跨境流動(dòng)來(lái)說(shuō)，美國一直推行亞太經(jīng)濟合作組織（APEC）項下的跨境隱私規則體系（Cross Border Privacy Rules, 以下簡(jiǎn)稱(chēng)CBPRs）。從2011年以來(lái)，美國成功地將其重要盟友（墨西哥、日本、加拿大、新加坡等經(jīng)濟體）納入該體系，并在2020年8月首次提出將該體系“從APEC框架獨立出來(lái)”，以在更大的范圍內吸引更多的國家和地區加入。這套制度的實(shí)質(zhì)是通過(guò)提供較低保護水平的數據跨境流動(dòng)機制，“剝奪”加入其中的國家或地區按照自主意愿管控數據跨境的權力，然后借由美國產(chǎn)業(yè)界超強的實(shí)力，最終實(shí)現數據向美國企業(yè)和美國本土的匯聚集中。

　　數據一旦為美國公司所掌握，則美國的外國投資審查制度（CFIUS）嚴格審查能夠賦予外國組織或個(gè)人訪(fǎng)問(wèn)“敏感個(gè)人數據”的并購或投資；另一方面，通過(guò)特朗普當政時(shí)期的“清潔網(wǎng)絡(luò )計劃”，拜登政府最新簽署的“關(guān)于保護美國人的敏感數據不受外國敵對勢力侵害的行政命令”，以及美商務(wù)部建立的《確保信息和通信技術(shù)及服務(wù)(ICTS)供應鏈安全》暫行最終規則等措施，將來(lái)自“外國敵手”所擁有或控制、或受其管轄或指揮的人所設計、開(kāi)發(fā)、制造或提供的某些聯(lián)網(wǎng)軟件應用程序和設備排除在美國的供應鏈之外，進(jìn)一步避免了美國數據（包括美國公司所掌握的來(lái)自美國境外的數據）的“不當流出”。

　　從執法和司法目的跨境調取數據來(lái)說(shuō)，美國的法院程序和2018年通過(guò)的《云法》都在強化對受美國法管轄的實(shí)體和個(gè)人的數據跨境調取能力。特別是《云法》沒(méi)有修改原先的《存儲通信法》（Stored Communication Act）中禁止受美國法管轄的實(shí)體和個(gè)人向境外政府提供關(guān)于通信內容數據的規定，而是進(jìn)一步利用該規定，確立了與美國政府簽署了協(xié)定的“適格國家”，才能夠直接向美國的公司調取數據。另一方面，《外國公司問(wèn)責法案》及其配套規則，以“禁止證券交易”為威脅，強硬施加對存儲于境外的審計底稿的調取權力。

　　上述法律和政策方面的“組合拳”客觀(guān)上達成的效果是：一是掌握。對數據（低保護水平）自由流動(dòng)的倡導，使得美國企業(yè)能夠在業(yè)務(wù)層面盡可能多和便利地掌握全球數據，并可以將其“帶回”美國總部（或者美國公司自主選擇的地點(diǎn)）進(jìn)行分析。二是排除。美國排除了“外國敵手”的信息技術(shù)產(chǎn)品通過(guò)參與美國企業(yè)業(yè)務(wù)運營(yíng)而掌握數據的可能性，并嚴格審查和限制外國的個(gè)人或公司通過(guò)并購和投資獲得美國數據的行為。三是調取和限制。只要是美國公司所控制（control）、擁有（possess）、監護（custody）的數據，無(wú)論是否存儲在美國境內，都受美國司法和執法流程的覆蓋，只要有現實(shí)需求就應當向美國當局提供；而外國政府如果需要向美國公司調取較為敏感的內容數據，只能通過(guò)美國政府的司法協(xié)助或者成為《云法》項下的“適格國家”。

　　通過(guò)上述三方面的舉動(dòng)，美國事實(shí)上將自己的企業(yè)打造成在網(wǎng)絡(luò )空間的疆土。適用于數據的法律和政策工具隨著(zhù)美國企業(yè)走向全球，最終實(shí)現了其整體的數據戰略——盡可能地掌握和控制全球數據，以此固化其在全球政治、經(jīng)濟方面的地位和權力。

　　三、數據成為網(wǎng)絡(luò )安全審查的重點(diǎn)工作內容

　　在對數據安全認識的逐步深化及國際博弈的巨大壓力之下，網(wǎng)絡(luò )安全審查制度將數據安全涵蓋其中，恰逢其時(shí)。針對數據安全，網(wǎng)絡(luò )安全審查制度重點(diǎn)關(guān)注以下兩類(lèi)風(fēng)險：“核心數據、重要數據或大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險”，以及“上市存在關(guān)鍵信息基礎設施，核心數據、重要數據或大量個(gè)人信息被外國政府影響、控制、惡意利用的風(fēng)險，以及網(wǎng)絡(luò )信息安全風(fēng)險”。

　　前者主要關(guān)注關(guān)鍵信息基礎設施所采購的網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件，非法收集、存儲、利用、向境外提供關(guān)鍵信息基礎設施所處理的“核心數據、重要數據或大量個(gè)人信息”的風(fēng)險。換言之，網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者除了其對外宣稱(chēng)和向用戶(hù)展示的“規定動(dòng)作”之外，不應偷偷地進(jìn)行關(guān)于數據的“自選動(dòng)作”，更不應該損害其用戶(hù)對自己信息的自主權、支配權。后者是指因赴境外或國外上市而導致被外國法律管轄，進(jìn)而引發(fā)外國政府能夠通過(guò)執法、司法方面的法律規定和權力，對境內網(wǎng)絡(luò )平臺運營(yíng)者所掌握的“核心數據、重要數據或大量個(gè)人信息”施加“影響”、主張“控制”，并隨之“惡意利用”，導致我國主權、安全、發(fā)展利益受損的風(fēng)險。“掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的網(wǎng)絡(luò )平臺運營(yíng)者”，因在此方面的數據安全風(fēng)險突出，新版的網(wǎng)絡(luò )安全審查辦法強制其“赴國外上市，必須向網(wǎng)絡(luò )安全審查辦公室申報網(wǎng)絡(luò )安全審查”。由此可以看到，網(wǎng)絡(luò )安全審查制度對上述兩類(lèi)數據安全風(fēng)險的關(guān)注，恰好對應了前文分析的數據安全認識深化和國際博弈壓力。

　　新一輪數據治理中，國家不僅僅作為制度供給者，也作為獨立的利益主體登場(chǎng)，全球數據治理立法均充分考量國家的利益訴求，各國的數據戰略都服務(wù)于大數據時(shí)代的綜合國力競爭，既包括維護國家安全利益的防御性訴求，也包括促進(jìn)本國數字經(jīng)濟全球競爭，并通過(guò)規則治理?yè)屨既�球數據規則話(huà)語(yǔ)權。因此，從前述內外因素來(lái)看，我國《數據安全法》《個(gè)人信息保護法》，乃至于新版的《網(wǎng)絡(luò )安全審查辦法》并非局限于技術(shù)安全問(wèn)題，而是在更加寬泛的意義上理解數據安全，核心目的都在于保障作為基礎性戰略資源的數據，能夠在將來(lái)被管好、用好，服務(wù)于我國的主權、安全和發(fā)展利益。

作者：洪延青　北京理工大學(xué)法學(xué)院教授

來(lái)源：“網(wǎng)信中國”微信公眾號