当前位置: 主页 > 活动新闻 > 数据主权是“守势”还是“攻势”?

数据主权是“守势”还是“攻势”?

更新时间:2018-12-17 09:19
浏览次数:
数据主权之于《数据安全法》,就如网络主权之于《网络安全法》,它不但是我们坚守的国家立场,也是处理数据安全的根本指针。尽管早在2015年8月,国务院《促进大数据发展行动纲要》已经提出“增强网络空间数据主权保护能力”,但数据主权的制度设计却始终没有成型。而要落实数据主权,首当其冲的问题是:《数据安全法》究竟优先选择“守势”还是“攻势”? 
 
所谓“守势”,即强调对数据出境的管控。国际上一般通过数据出口限制和数据本地化两种方式加以限制。前者如美国《出口管理条例》(TheExportAdministrativeRegulations)和《国际军火交易条例》(InternationalTrafficinArmsRegulations)对部分重要数据的出口进行许可管制,后者如俄罗斯《关于信息、信息技术和信息保护法》和《个人数据法》严格要求互联网信息服务组织传播者、信息拥有者以及运营商将数据留存于俄罗斯境内。 
 
所谓“攻势”,即强调数据的跨境调取。从当前的国际趋势上看,网络强国均积极谋求跨境的数据管辖权。例如,美国《澄清境外数据合法使用法案》一改之前的“数据存储地标准”,转而采用“数据控制者标准”,规定无论通信、记录或其他信息是否存储在美国境内,其控制者均有义务遵循美国的强制性命令向其提供。无独有偶,欧盟《一般数据保护条例》的长臂管辖权亦将管辖权延伸到欧盟边境之外。 
 
中国更看重“守”还是“攻”?一方面,我们当然要重视“守”。《网络安全法》第三十七条确立了“关键信息基础设施运营者”的数据出境安全评估制度,但范围显然过窄,为此,中央网信办起草的《个人信息和重要数据出境安全评估办法》,将出境安全评估的适用范围拓展到“重要数据”。鉴于《个人信息和重要数据出境安全评估办法》只是部门规章,缺乏明确的上位法依据,亟待通过《数据安全法》补足其合法性。同时,面对美国和欧盟的数据跨境调取,2018年10月,中国《国际刑事司法协助法》出台,规定“非经中华人民共和国主管机关同意,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”不过,该规定仅限于刑事领域,《数据安全法》有必要作出更细致、更全面的规定。另一方面,我们还要重视“攻”。随着中国企业全球化布局和一路一带的深入,我们的数据安全也面临着“攻守易型”,《数据安全法》应因势而变,亟待从传统上的“属地管辖”转向“保护管辖”,即以保护中国境内的自然人、企业和国家利益为宗旨,不论数据处理行为在中国之内还是之外,只要侵犯到上述利益,《数据安全法》均予以适用。 
 
毫无疑问,攻守交替间,容易产生“以子之矛,攻之之盾”的矛盾。而这恰恰需要立法者的智慧,以期在具体场景下折中调和,有取有舍。 
 
数据安全的国际博弈才刚刚开始。面对英国电信集团(BTGroup)将华为设备从现有3G、4G网络核心网中移出的举动,华为公司12月6日回应说:网络安全问题不应该被“泛政治化”。可实际上,包括数据安全在内的网络安全问题绝不可能是政治无涉的。故此,与其说要摆脱政治,毋宁说要在相互冲突的诉求中寻找妥协与共识,通过法律规则和有效对话,最终建立公正、合理的全球网络空间新秩序。
相关推荐