數據安全:我國的數據跨境流動
1. 我國關于數據本地化存儲的規定
數據本地化存儲與數據跨境流動相對,是指一國政府制定政策或規則,限制數據流出國境。在我國現行法律體系中,對數據本地化存儲的要求并非沒有先例。2013年國務院發布的《征信業管理條例》、2014年衛計委發布的《人口健康信息管理辦法(試行)》、2011年中國人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》、2016年國家新聞出版廣電總局與工業和信息化部發布的《網絡出版服務管理規定》等都對數據本地化提出了明確的要求。與上述限于具體部門或行業的規定不同,《網絡安全法》統籌性地對數據本地化做出了一般性規定,受到國內外各界的廣泛關注。
2017年6月開始實施的《網絡安全法》規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”這是我國第一次跨行業對數據本地化存儲做出統一規定。
除此之外,我國現行的數據本地化存儲的規定主要分布在金融、衛生、醫療及交通領域,如表1所示。
表1 數據本地化存儲的相關現行規定
目前,金融行業中另一項數據本地化立法草案是中國保險監督管理委員會在2015年10月發布的《保險機構信息化監管規定(征求意見稿)》。其中,第31條規定:“數據來源于中華人民共和國境內的,數據中心的物理位置應當位于境內。”第58條還規定:“外資保險機構信息系統所載數據移至中華人民共和國境外的,應當符合我國有關法律法規。”
在電信行業,據在華經營的外企反映,其在申請ICP備案或許可時,工信部門會要求該組織機構在中國境內設置服務器。這也在事實上構成數據本地化存儲的要求。
2. 由基因信息出境的案例說起
2018年10月24日,科技部公布了對華大基因等6家公司及機構的行政處罰。原因包括華大基因旗下的華大科技與華山醫院“未經許可與英國牛津大學開展中國人類遺傳資源國際合作研究”,以及“華大科技未經許可將14萬中國人基因大數據信息從網上傳遞出境”。
這是科技部首次公開涉及基因違法出境的行政處罰,但是基因數據跨境現象在我國已屢見不鮮。根據國家互聯網應急中心的報告,自2017年5月起,我國共發現基因數據跨境傳輸925余次,涉及境內358萬個IP地址,覆蓋境內31個省(市、區)。我國基因數據流向境外6個大洲的229個國家和地區,涉及境外IP地址近62萬個。該中心還發現了疑似發生基因數據出境行為的境內單位有4300多家,其中生物技術企業、高等院校和科研院所、醫療機構分別占比72%、19%、9%。
目前,我國適用“基因信息違法出境”事件的相關法律法規有《人類遺傳資源管理暫行辦法》《專利法》《網絡安全法》和《個人信息和重要數據出境安全評估辦法(征求意見稿)》。其中,《人類遺傳資源管理暫行辦法》規定,“凡涉及我國人類遺傳資源的國際合作項目,須由中方合作單位辦理報批手續。中央所屬單位按隸屬關系報國務院有關部門,地方所屬單位及無上級主管部門或隸屬關系的單位報該單位所在地的地方主管部門,審查同意后,向中國人類遺傳資源管理辦公室提出申請,經審核批準后方可正式簽約”。《專利法》規定,“對違反法律、行政法規的規定獲取或者利用遺傳資源,并依賴該遺傳資源完成的發明創造,不授予專利權”。《網絡安全法》規定,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定”。人類遺傳資源既屬于個人信息,又是國家重要數據,其存儲和安全評估應當遵守該條款的規定。《個人信息和重要數據出境安全評估辦法(征求意見稿)》規定,“個人信息出境,應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區,并經其同意”“行業主管或監管部門負責本行業數據出境安全評估工作,定期組織開展本行業數據出境安全檢查”“網絡運營者應在數據出境前,自行組織對數據出境進行安全評估,并對評估結果負責”。
這四部法律和規范分別從不同角度對遺傳資源開發、利用機構的行為以及數據出境行為進行了規定。但是,從目前公開報道的有關對該事件的處理來看,似乎除了行政處罰以外未涉及其他。這體現了當前我國在數據跨境流動監管和執法方面的滯后與薄弱。事實上,基因作為不可更改、獨一無二的生物特征,其數據跨境流動帶來的危害不容小覷。早在2016年,《全球威脅評估報告》就已經將“基因編輯”列入“大規模殺傷性與擴散性武器”威脅清單中。所謂基因武器就是用DNA重組技術將本不致病的細菌變得可以致病,將可以用藥物預防和治療的疾病變得難以救治,甚至可以專為某特定種族研發只對其致命的病毒。每個種族都有自己特定的基因。有研究表明,人類DNA中99.7%~99.9%都是相同的,剩下的0.1%~0.3%的不同才是區分各個種族的關鍵。而每個種族基因中都會有特定的缺陷。在生物技術快速發展的今天,利用基因重組、基因芯片、細胞工程等技術來擴大某一基因缺陷并非危言聳聽。因此,對于基因信息出境的行為,相關部門應該引起警惕,企業也應該提高認識,加強自律。
