本文來自明朝萬達(dá)
日前,國家安全機關(guān)破獲了一起為境外刺探并非法提供高鐵數(shù)據(jù)的重要案件。上海某科技公司為謀取利益,持續(xù)采集、傳遞數(shù)據(jù)給某境外公司。
這起案件是《數(shù)據(jù)安全法》實施以來,首例涉案數(shù)據(jù)被鑒定為情報的案件,也是我國首例涉及高鐵運行安全的危害國家安全類案件。而在此之前,國家安全部門就有公布三起危害重要數(shù)據(jù)安全案例:
①境外間諜情報機關(guān)精心謀劃針對某航空公司進(jìn)行網(wǎng)絡(luò)攻擊
2020年1月,某航空公司向國家安全機關(guān)報告,該公司信息系統(tǒng)出現(xiàn)異常,懷疑遭到網(wǎng)絡(luò)攻擊。國家安全機關(guān)立即進(jìn)行技術(shù)檢查,確認(rèn)相關(guān)信息系統(tǒng)遭到網(wǎng)絡(luò)武器攻擊,多臺重要服務(wù)器和網(wǎng)絡(luò)設(shè)備被植入特種木馬程序,部分乘客出行記錄等數(shù)據(jù)被竊取。在進(jìn)一步排查中發(fā)現(xiàn),另有多家航空公司信息系統(tǒng)遭到同一類型網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取。經(jīng)深入調(diào)查,確認(rèn)相關(guān)攻擊活動是由某境外間諜情報機關(guān)精心謀劃、秘密實施,攻擊中利用了多個技術(shù)漏洞,并利用多個國家和地區(qū)的網(wǎng)絡(luò)設(shè)備進(jìn)行跳轉(zhuǎn),以隱匿行蹤。
②某境外咨詢調(diào)查公司秘密搜集竊取我國航運數(shù)據(jù)
2021年5月,國家安全機關(guān)工作發(fā)現(xiàn),某境外咨詢調(diào)查公司通過網(wǎng)絡(luò)、電話等方式,頻繁聯(lián)系我國大型航運企業(yè)、代理服務(wù)公司的管理人員,以高額報酬聘請行業(yè)咨詢專家之名,與境內(nèi)數(shù)十名人員建立“合作”,指使其廣泛搜集提供我國航運基礎(chǔ)數(shù)據(jù)、特定船只載物信息等。進(jìn)一步調(diào)查掌握,相關(guān)境外咨詢調(diào)查公司與所在國家間諜情報機關(guān)關(guān)系密切,承接了大量情報搜集和分析業(yè)務(wù),通過我境內(nèi)人員所獲的航運數(shù)據(jù),都提供給該國間諜情報機關(guān)。
③李某私自架設(shè)氣象觀測設(shè)備,采集并向境外傳送我氣象數(shù)據(jù)
2021年3月,國家安全機關(guān)工作發(fā)現(xiàn),我國某重要軍事基地周邊建有一可疑氣象觀測設(shè)備,具備采集精確位置信息和多類型氣象數(shù)據(jù)的功能,所采集數(shù)據(jù)直接傳送至境外。調(diào)查掌握,有關(guān)氣象觀測設(shè)備由李某網(wǎng)上購買并私自架設(shè),類似設(shè)備已向全國多地售出100余套,部分被架設(shè)在我重要區(qū)域周邊,有關(guān)設(shè)備所采集數(shù)據(jù)被傳送到境外某氣象觀測組織的網(wǎng)站。該境外氣象觀測組織實際上由某國政府部門以科研之名發(fā)起成立,而該部門的一項重要任務(wù)就是搜集分析全球氣象數(shù)據(jù)信息,為其軍方提供服務(wù)。
2021年9月1日正式施行的《中華人民共和國數(shù)據(jù)安全法》除了在數(shù)據(jù)分類分級保護(hù)、政務(wù)數(shù)據(jù)的利用、數(shù)據(jù)安全審查制度等方面作出規(guī)定外,還在數(shù)據(jù)出境和跨境傳輸方面作出了明確的規(guī)定。
一、確立數(shù)據(jù)安全的宗旨,明確域外效力
《數(shù)據(jù)安全法》第二條第二款規(guī)定:
“在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的,依法追究法律責(zé)任。”
這一規(guī)定體現(xiàn)了維護(hù)國家安全和數(shù)據(jù)主權(quán)的立法宗旨,賦予《數(shù)據(jù)安全法》必要的域外適用效力。
這一規(guī)定以“后果論”為標(biāo)準(zhǔn),如域外的數(shù)據(jù)活動給我國國家、社會、公民利益帶來損害的,相關(guān)組織或個人應(yīng)被追究法律責(zé)任,確立了我國的對數(shù)據(jù)管轄權(quán)的“長臂管轄”,進(jìn)一步明確了維護(hù)國家數(shù)據(jù)安全的決心。
站在企業(yè)合規(guī)的角度,以中國公民為數(shù)據(jù)處理對象,或者數(shù)據(jù)處理活動對中國可能產(chǎn)生實際影響的境外主體,都需要履行《數(shù)據(jù)安全法》的安全義務(wù),為跨國企業(yè)面向中國提供服務(wù)、開展數(shù)據(jù)活動提供了依據(jù)。
二、確立數(shù)據(jù)跨境的必要,促進(jìn)數(shù)據(jù)跨境的安全和自由流動
《數(shù)據(jù)安全法》第十一條規(guī)定:
“國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作,參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定,促進(jìn)數(shù)據(jù)跨境安全、自由流動。”
這條規(guī)定體現(xiàn)了我國對數(shù)據(jù)跨境傳輸?shù)幕緶?zhǔn)則。國家積極利用數(shù)據(jù)可以跨國流通這一特性,大力發(fā)展數(shù)據(jù)相關(guān)產(chǎn)業(yè),但需以“安全”作為前置要求,體現(xiàn)了我國對數(shù)據(jù)跨境傳輸在安全上的重視程度。
綜合全球來看,數(shù)據(jù)已經(jīng)成為一種全新的國際競爭領(lǐng)域。2020年,我國向國際社會公開呼吁全面客觀看待數(shù)據(jù)安全問題,維護(hù)全球信息技術(shù)產(chǎn)品和服務(wù)的供應(yīng)鏈開放、安全、穩(wěn)定,并發(fā)出《全球數(shù)據(jù)安全倡議》。如今隨著《數(shù)據(jù)安全法》的出臺,進(jìn)一步提升了我國對于數(shù)據(jù)主權(quán)的競爭優(yōu)勢。
三、確立了關(guān)鍵基礎(chǔ)設(shè)施運營者的數(shù)據(jù)出口管制
《數(shù)據(jù)安全法》第二十五條規(guī)定:
“國家對與維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。”
目前我國在物品、技術(shù)等領(lǐng)域均有嚴(yán)格的出口管制制度,以《對外貿(mào)易法》、《技術(shù)進(jìn)出口管理條例》等規(guī)定規(guī)制。在技術(shù)領(lǐng)域,2020年我國更新了《中國禁止出口限制出口技術(shù)目錄》,以清單管理的方式,將大數(shù)據(jù)分析等有關(guān)技術(shù)列入目錄。
但在數(shù)據(jù)領(lǐng)域,我國的出口管制還不完善,除了《網(wǎng)絡(luò)安全法》第三十七條規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估……”,其他領(lǐng)域的數(shù)據(jù)出口管制并未有明確規(guī)定。
在個人信息保護(hù)領(lǐng)域,《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》、《個人信息出境安全評估辦法(征求意見稿)》、《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(征求意見稿)》均未生效,未來國家出口管制管理部門是否會將相關(guān)技術(shù)以及數(shù)據(jù)直接納入出口管制范疇仍有待觀察確認(rèn),《數(shù)據(jù)安全法》目前為將來的配套措施出臺留下了空間。
四、確立重要數(shù)據(jù)出境安全管理制度
《數(shù)據(jù)安全法》第三十一條規(guī)定:
“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。”
這一條款明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,應(yīng)當(dāng)適用《網(wǎng)絡(luò)安全法》第三十七條提出的“一般情形+例外規(guī)定”,即“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者因業(yè)務(wù)需要,確需向境外提供重要數(shù)據(jù)的,一般情況下應(yīng)由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估,法律、行政法規(guī)另有規(guī)定的則從其規(guī)定”??梢娮鳛殛P(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域,數(shù)據(jù)的境內(nèi)存儲是基本原則,出境是例外,并且數(shù)據(jù)的出境安全評估是必須實行的一項工作。
對于其他數(shù)據(jù)處理者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù),目前可參考的相關(guān)規(guī)定是2017年的《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,其中第九條規(guī)定了六類重要數(shù)據(jù)出境時網(wǎng)絡(luò)運營者應(yīng)提交行業(yè)主管部門或監(jiān)管部門進(jìn)行安全評估的場景。
雖然《數(shù)據(jù)安全法》沒有明確規(guī)定對非關(guān)鍵信息基礎(chǔ)設(shè)施運營者進(jìn)行數(shù)據(jù)跨境傳輸?shù)木唧w要求,但其首次在法律層面明確了相關(guān)要求將由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門通過部門規(guī)章予以規(guī)定,為后續(xù)制定、出臺相關(guān)具體部門規(guī)章和條例提供了法律依據(jù)和立法展望。但在此之前,有跨境數(shù)據(jù)傳輸需要的企業(yè)可參照參照《個人信息和重要數(shù)據(jù)出境安全評估辦法》(征求意見稿)》以及《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(草案)》進(jìn)行數(shù)據(jù)跨境傳輸?shù)暮弦?guī)審查。
五、嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機構(gòu)的數(shù)據(jù)出境活動
《數(shù)據(jù)安全法》第三十六條規(guī)定:
“……非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn),境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。”
隨著經(jīng)濟全球化及中國經(jīng)濟發(fā)展,尤其是中國互聯(lián)網(wǎng)企業(yè)出海,越來越多的行政執(zhí)法、司法活動中涉及針對中國境內(nèi)數(shù)據(jù)的獲取。對于企業(yè)來講,遇到境外執(zhí)法、司法活動,要求提供中國存儲的數(shù)據(jù)時,應(yīng)報請中華人民共和國主管機關(guān)批準(zhǔn),不能私自直接提供。
這一條款制定的背景,是當(dāng)今數(shù)據(jù)競爭?益激烈,各國都在試圖擴?數(shù)據(jù)??的管轄權(quán)。2018年3月,在微軟愛爾蘭數(shù)據(jù)案之后,美國國會通過《澄清海外合法使用數(shù)據(jù)法》(ClarifyingLawful Overseas Use of Data Act(CLOUD),簡稱“云法案”),其中第103(a)(1)條規(guī)定“電子通信服務(wù)提供商和遠(yuǎn)程計算服務(wù)提供商應(yīng)當(dāng)依據(jù)本章規(guī)定,保存、備份或披露其擁有、監(jiān)管或控制的用戶通訊數(shù)據(jù)、記錄及其他信息,無論該等通訊數(shù)據(jù)、記錄及其他信息儲存于美國境內(nèi)或境外”,從而為美國數(shù)據(jù)領(lǐng)域的“長臂管轄”規(guī)則提供了基礎(chǔ),使得執(zhí)法部?可依據(jù)搜查令直接調(diào)取境外數(shù)據(jù)。同樣在歐洲,2019年11月,歐洲數(shù)據(jù)保護(hù)委員會(EDPB)對GDPR第三條進(jìn)?統(tǒng)?解釋,并發(fā)布了GDPR地域適?的指南,明確了符合“營業(yè)機構(gòu)”標(biāo)準(zhǔn)或“?標(biāo)指向”標(biāo)準(zhǔn)其中之?的數(shù)據(jù)處理者和控制者,均需要遵守GDPR的規(guī)定,確立了歐洲在數(shù)據(jù)領(lǐng)域的“長臂管轄”。
在這一背景下,我國《數(shù)據(jù)安全法》的規(guī)定充分體現(xiàn)了我國維護(hù)數(shù)據(jù)主權(quán)和國家安全的決心。關(guān)于數(shù)據(jù)出境對責(zé)任人的處罰,《數(shù)據(jù)安全法》明確了未經(jīng)主管機關(guān)批準(zhǔn)向境外的司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)的法律責(zé)任,包括對企業(yè)和直接負(fù)責(zé)的主管人員的罰款、責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。這一明確的法律責(zé)任形式,不僅意味著第三十六條的規(guī)定是企業(yè)應(yīng)嚴(yán)格履行的一項數(shù)據(jù)合規(guī)義務(wù),也是企業(yè)在對抗境外執(zhí)法或司法機構(gòu)可能的數(shù)據(jù)調(diào)取要求時的抗辯理由之一。
但該條僅規(guī)定了跨境司法或執(zhí)法機構(gòu)協(xié)助數(shù)據(jù)傳輸?shù)脑瓌t性要求,未明確企業(yè)如何申請獲得相關(guān)批準(zhǔn),因而需要主管部門后續(xù)出臺實施細(xì)則進(jìn)一步明確具體審批要求。我們也將持續(xù)關(guān)注相關(guān)法律制度的更新和完善情況,并在后續(xù)的專業(yè)文章中予以探討。
總結(jié)
《數(shù)據(jù)安全法》作為我國數(shù)據(jù)領(lǐng)域內(nèi)的一部基礎(chǔ)法律,為我國數(shù)字市場發(fā)展提供基礎(chǔ)制度保障,規(guī)范了數(shù)據(jù)安全的行業(yè)監(jiān)管實踐,為我國企業(yè)“出海”保駕護(hù)航,也加強了企業(yè)未來數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求,為我國企業(yè)“走出去”創(chuàng)造了更有利的法律和規(guī)則條件。