數據跨境流動應堅持三個“不危害”原則
由于數據跨境流動跨越國別,涉及國際法、國際規則及他國的法律管轄,因此較國內的數據開放共享更為復雜。數據跨境流動至少應堅持以下三個“不危害”原則。
不危害國家安全利益
利用先進的大數據分析技術,往往能通過跨境流動的數據分析出與國家政治、經濟、社會等各個領域息息相關的重要信息,一旦這些關鍵數據流動到境外,很有可能會影響數據主體國家的安全。以經濟安全為例,有些大型跨國公司在某國開展業務,如果將數據傳回本國,就可通過分析回傳到主服務器上的某國居民消費數據,分析出該國居民的消費趨勢,甚至預測出該國的經濟發展走勢,這對于該國的經濟發展來說不失為一種安全威脅。事實上,互聯網企業在發展海外業務時,往往需要在海外收集或產生大量數據,并將其傳回本國的處理器或總部進行分析,而這些數據有可能會觸及數據來源國的國家安全利益。目前,很多國家出于安全考慮,都加大了對數據跨境流動的監管力度。因此,不危害國家安全利益應該成為數據跨境流動堅持的首要原則。
不危害企業商業利益
除了不能危害國家安全外,數據的跨境流動也不能危害企業的商業利益。尤其在經濟邁向全球化的今天,跨國合作已成為企業在日益激烈的國際競爭中謀求發展的重要形式之一。通過跨國合作的研發模式,不僅能夠使資源、資金等得到充分利用,還有助于合作雙方互相借鑒對方先進的管理與技術經驗,激發創新思維,為企業創造發展的新空間。跨國合作必然離不開數據的跨境流動,倘若流動出境的數據涉及企業的基礎核心技術、資金來源、財務緊張程度及行業市場規模等重要信息,那么數據接收方或其他經手者就可通過這些企業信息蓄意破壞或擾亂數據來源企業的生產業務,或通過分析這些核心數據得到不公正的優勢,生產與該企業相類似或更優良的產品,以搶占國際市場,因而對數據來源企業造成巨大的財產損失,甚至影響數據來源企業所在國家的國際競爭優勢。
不危害個人信息
2018年,蘋果公司被曝在沒有告知用戶并獲得許可的情況下私自通過iPad和iPhone手機收集用戶的行蹤信息,用于建立用戶位置信息數據庫,并將境內用戶信息傳遞到境外數據庫上。事件一經曝光,立即將跨境數據中的個人信息保護問題置于風口浪尖。如今,無論是注冊App賬號,還是使用云存儲軟件,或者是購置新移動設備等,都離不開對個人信息的設置以及收集使用授權。常見的個人信息包括用戶姓名、性別、身份證號碼以及通信地址,個別網站或設備還會要求用戶提供出生日期、工作單位等詳細信息。而且,用戶在使用電子設備或瀏覽網頁時,一些服務器還會自動生成該用戶的行為數據,如常瀏覽的信息類型、日常上網的時間及位置信息等。這些數據看起來似乎微不足道,但蘊藏著巨大的價值。如果放任其流動出境,極有可能對本國公民的個人信息帶來侵害。例如,通過分析用戶的位置信息,可以得到其活動軌跡,進而推斷出職業,因而嚴重侵害用戶的隱私;現在一些銀行允許客戶通過上傳他們的護照掃描件來開設賬戶,這些證件資料也就很可能會被攻擊者用來開設銀行賬戶,并以受害者的名義獲得貸款。數據跨境流動可能對數據主體的隱私或財產帶來威脅,因此,不危害個人信息也應作為數據跨境流動須遵循的原則之一。
完善跨境數據流動的法律體系
數據跨境流動應遵循“不危害國家安全利益、不危害企業商業利益、不危害個人信息”三個原則。基于此,我國應在現有法律制度的基礎上,進一步完善數據跨境流動的法律體系。
一是在《網絡安全法》確立的網絡安全管理框架下,制定跨境流動的個人信息及重要數據保護法,以保障數據跨境流動中數據主體的合法權利。
二是建立數據跨境流動的配套法律體系。政府與大型成熟跨境企業聯合,共同研究行業級的數據跨境流動安全管理規范,在電子商務、云服務、金融等重要領域率先出臺行業數據跨境流動標準,細化各行業數據跨境流動的法律法規,提高行業監管的可操作性,明確數據收集、使用、加工、傳輸全生命周期的具體措施,加強事前風險研判與監測。
三是積極參與國際平臺關于數據跨境流動規則的探討和磋商。數據跨境流動是國家之間的問題,我國應利用多邊、雙邊機制推進發展中國家數據跨境流動機制的建設,以增強在數據跨境流動領域的國際話語權。
加強數據跨境流動監管
一是保障國家安全,嚴格監管重點領域的數據跨境流動。對通信、能源、交通、水利、金融、公共服務及電子政務等關鍵信息基礎設施和重點領域的數據跨境流動提出嚴格的監管要求,控制總量數據和核心數據流出。
二是制定數據分類分級監管體系,對數據跨境流動實施分級分類管理。分行業明確重要數據的范疇,可借鑒國際經驗,針對金融等涉及關鍵基礎設施的重點領域進行數據跨境流動限制,設立數據跨境流動監管機構,對企業數據跨境流動進行實時的風險評估和梯度管理,為企業數據跨境流動提供必要的指導。
三是加大數據跨境流動管理方面的研究,以應對可能面臨的數據跨境流動問題。政府可聯合企業、高校、科研機構等組建專業的研究團隊,對數據跨境流動監管問題進行全面深入的研究。
督促企業落實數據跨境流動的安全主體責任
一是建立企業內部數據跨境流動管理制度。在數據分級分類管理、約束合作方、保護數據主體隱私等方面形成企業內部數據規則體系,明確數據采集、運輸、存儲、使用等各環節的具體安全管理要求,落實對跨境數據的安全保護責任。可由行業龍頭型企業主導建立跨境數據保護制度和標準,并向全行業推廣實施。龍頭型企業也可以借鑒國外經驗,建立數據跨境流動“透明度報告”制度,為我國企業的數據跨境流動提供指導。
二是企業加強跨境數據安全監測。對存儲在境內的數據定期開展安全檢查,對涉及出境的數據在出境前依照相關規定進行風險評估和安全審查。同時,加大對基于大數據的關鍵安全技術研發的投入,研究基于大數據的網絡攻擊追蹤方法,提升數據安全保護技術水平。
三是提升企業對數據跨境流動的安全保護責任意識。企業通過開展宣傳活動以及內部培訓,確保相關人員明晰跨境數據保護的相關法律法規、管理機制、具體管理要求以及相關懲罰措施,承擔起對數據的保護責任。
