网络安全和跨境数据流动管理的重要性

数据安全是网络安全的重要内容。当前,世界各国高度重视网络安全问题,特别是伴随着信息通信技术不断发展,云计算、大数据、物联网等新业务的层出不穷,加之“棱镜”事件、恐怖形势严峻等的影响,各国对网络安全更加关注。

一方面,各国制定网络安全法律、出台网络安全相关战略,从顶层设计角度,确立网络安全管理体制、关键信息基础设施保护、数据安全管理、信息安全管理等各项制度。如日本于2013年年中出台了《网络安全基本法》,美国于2015年年底出台了《网络安全法案》,欧盟于2016年7月通过了《网络和信息系统安全指令》(DINs),韩国制定了《国家网络安全管理规定》,并于2017年1月提出了《国家网络安全法案》,新加坡于2017年7月公布了《网络安全法案》。

另一方面,各国都将保障数据安全作为维护网络安全的核心,通过立法、战略、标准等,确保数据安全。如欧盟《一般数据保护条例》(GDPR)力求全面提升个人数据保护力度,引入数据可携权、被遗忘权,并特别针对大数据背景下的数据分析、画像活动加以严格管理^[22]。2017年8月7日,英国数字、文化媒体和体育部发布了一份名为《新的数据保护法案：我们的改革》的报告,提出将通过一部新的数据保护法案(new data protection law)以更新和强化数字经济时代的个人数据保护^[23]。在各国数据安全管理的立法、战略或政策文件中,跨境数据流动管理又是一项重要的内容。欧盟在《一般数据保护条例》(GDPR)中明确规定跨境数据流动的条件。韩国在《个人信息保护法》《信息通信网络的利用促进和信息保护等相关法》中规定个人信息跨境提供或转移的具体要求。加拿大财政委员会的《隐私保护政策》对个人信息跨境流动的条件作了规定。澳大利亚《国家隐私原则(National Privacy Principle,NPP)》对用户信息向海外接收者披露的要求作出了明确。

只有平衡好安全与发展的关系才能更好促进数据有序跨境流动,应该注意到以下三个方面。

第一,数据跨境自由流动的风险。在信息社会语境下,数据是信息技术与网络空间得以存在与发展所不可获缺的物质性基础要素。一方面,信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源,由此意味着任何主体对数据的非法干预都可能构成对国家核心利益的侵害。另一方面,数据的生命在于流动,互联网产业的良性发展、信息与知识的传播更新等无不依赖于数据的自由流动,全球化的深入发展则进一步凸显了数据跨境流动的频繁性和重要性^[24]。

数据任意地跨境流动将产生一系列问题。在国家层面,跨境数据流动影响一国的经济主权、文化主权和数据主权,进而影响国家安全。一是跨境数据发达的国家凭借其高新科技实力,通过各种媒介和途径,实现对各类数据的收集、分析、存储、开发、处理等。发展中国家则因其处于弱势地位,其本国各类数据,尤其是原始数据就极易为发达国家获得,并被发达国家分析掌握,对于有价值的数据,其甚至需要向发达国家购买,从而本国的经济状况极易为发达国家所掌握,在经济发展和国际经济交往中失去主动权。二是技术发达的国家可以通过数据任意地跨境流动,向世界各地传输其文化价值观念,开展文化扩张,技术落后的国家则无能为力,极易受到发达国家的文化侵略和打压,从而丧失本国文化发展的自主权^[25]。三是在信息化、数字化和全球化发展的大背景下,数据强国对其他国家形成权力不平等之势,通过数据跨境流动,某些国家推行数据垄断和数据霸权,滥用国家权力,冲击他国数据主权和国家安全。

在个人层面,数据任意地跨境流动将使得个人或组织的有关权利受到威胁。一是个人信息或个人数据关乎个人的基本权利,个人数据任意进行跨境流动使得另一方未经许可、极其轻易地取得这些数据,而对个人来说,因个人数据而享有的基本权利和相关权利则将受到侵犯,这些权利包括个人的隐私权、知识产权等。二是与企业相关的数据如果不加规制地任意跨境流动,将可能对企业的商业秘密造成侵害。三是跨境数据流动的特性,使得上述侵害范围扩大,只要与个人权利有关的数据,均可成为侵害的对象,且由于存在跨国性,侵害的影响也具有广泛性。同时,这类侵权行为,由于在信息通信环境下,存在取证困难等问题,使得救济的难度也更大^[26]。(www.xing528.com)

可见,跨境数据流动既有正面的意义也有负面的影响,各国既需要利用跨境数据流动促进国家间经贸往来,发展本国经济,推进全球化进程,也不能放任数据随意跨境流动而侵害个人权益,危及国家安全。因此,实现跨境数据流动,应当平衡好发展和安全的关系,保障数据有序流动。

第二,保障网络安全是促进跨境数据流动的前提。跨境数据流动中平衡好发展和安全的关系,就是要做到数据跨境流动应当是安全有序流动,不得侵犯个人权利和危害国家安全。这就需要在确保网络安全的前提下进行跨境数据流动。

当前,通过对跨境数据流动行为加以规制,保障网络安全是世界各国的通行做法。实践也证明只有有效规制跨境数据流动行为,保护数据安全,保障网络安全,才能更好实现跨境数据流动为各国所用,为人类造福。具体而言,各国区分不同种类数据,分类施策,制定了相应的管理规定。一是对于个人数据的跨境流动,大多数国家均设定了条件,主要包括：(1)接收数据的第三方国家满足一定的数据保护水平;(2)告知数据主体相关信息并获得同意;(3)签订符合标准的数据流动合同,告知数据保护机构;(4)跨国公司制定符合标准的规则可以在公司内部流动;(5)符合有关协议要求等。二是对于其他类型的数据则区分情形,根据本国实情作出不同的要求,如在澳大利亚,政府有权对一些重要数据进行审查,否则不得转移。三是在网络安全措施上各国存在差别,除了上述审查外,还有评估、认证等手段,且有一些国家对数据的本地化提出了要求。

我国《网络安全法》要求关键信息基础设施的运营者在我国境内收集产生的个人信息和重要数据应当在境内存储;对于确需出境的数据,法律作了制度上的安排,即经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。这一要求就是在于促进数据依法有序自由跨境流动,充分保障个人信息安全和国家网络安全^[27]。

第三,保障网络安全并不是完全限制数据跨境流动。在保障网络安全的前提下,对跨境数据流动加以规制,并不意味着完全限制数据跨境流动。各国跨境数据流动管理实践表明,以保障网络安全为基本要求实现跨境数据流动,需要根据国情现实情况,区分数据为不同类型,如政府数据、技术数据、商业数据和个人数据,采取绝对禁止流动、一定程度上的限制流动和无限制流动等不同的规制措施,跨境数据流动归根到底是数据安全、有条件、有秩序的跨境流动。也就是说,对事关国家经济、社会安全、个人基本权利的重要数据、个人数据等特定数据的跨境流动进行规制,保障网络安全;而对不妨害国家安全和个人利益、不影响网络安全的数据则予以放开,促进其自由流动。如对于企业的一些商业数据,倡导在符合企业协议,经一定的评估认证的条件下,即可进行自由流动。国际双、多边自由贸易协定电子商务条款下,以美国为首的西方国家积极主张这类数据除必要的公共政策目标等少数情形外,应促进其跨境自由流动。欧盟委员会则正在推动新的立法,减少限制,除成员国法律要求出于国家安全原因外,确保数据在欧盟内部国家之间的自由流动^[28]。