chanong 1、数据成为独立于网络的安全保护对象
《网络安全法》立足于技术层面的安全保护。 其核心立法目标是“防止网络受到攻击、入侵、干扰、破坏、非法使用和事故,保持网络稳定可靠的运行状态,保证网络数据的完整性、保密性和可用性”。 该法的主要内容是对网络运营者规定基本安全保障义务,对关键信息基础设施运营者规定强化安全保障义务。 现阶段,数据安全从属于网络安全; 网络和系统作为数据的载体、容器或边界,其安全保护构成数据安全工作的主要内容。
随着信息技术与人类生产生活的融合,各类数据快速增长、海量积累,对经济发展、社会治理和人民生活产生重大而深刻的影响。 数据安全已成为关系国家安全和经济社会发展的重大问题。 尤其是2018年的剑桥分析事件震惊了中国和世界,暴露出网络和系统本身的安全不足以防范安全风险。 当网络始终处于“稳定可靠的运行状态”时,出于商业决策主动向第三方程序开放松散的API数据接口,最终导致8700万人的个人信息被转移到剑桥通过第三方程序进行 。 并被非法用来影响政治选举,从而危害国家和政治安全。 数据应该被视为独立于网络的安全保护对象,这一需求不容忽视。 因此,《数据安全法》定位为数据安全领域的基础法,提出了国家数据安全管理制度、组织和个人的数据安全保护义务、支持和促进数据安全和发展的措施,以及如政府数据安全、开放等内容。
信息时代,个人信息保护已成为广大公众最直接、最现实的利益之一。 其中,APP非法收集、使用个人信息,是在网络和系统“稳定可靠”运行的情况下发生的侵犯个人合法权益的事件。 中国社会各方面广泛呼吁出台专门的个人信息保护法。 因此,《个人信息保护法》借鉴国外先进立法,提出了个人信息处理和跨境提供个人信息的规则,明确了个人信息处理活动中个人的权利和处理者的义务,并确定了以下部门:履行个人信息保护责任及其职责等
2、数据成为国际政治经济博弈焦点
在2021年《外交》杂志发表的《数据就是力量》文章中,两位美国作家直言:“与全球经济的其他要素相比,数据与力量的结合更加紧密。作为创新日益必要的输入,数据是国际贸易中迅速扩张的要素、企业成功的重要因素以及国家安全的重要方面,它为所有拥有数据的人提供了令人难以置信的优势。 寻求反竞争 利用 ( ) 的国家和公司试图控制数据”。
以美国为例。 在业务层面的跨境数据流动方面,美国一直在执行亚太经济合作组织(APEC)框架下的跨境隐私规则(Cross Rules,以下简称CBPR)。 2011年以来,美国成功将其重要盟友(墨西哥、日本、加拿大、新加坡等经济体)纳入该体系,并于2020年8月首次提出该体系“独立于APEC框架” ”以吸引更多国家和地区加入。 这一制度的本质是通过提供保护程度较低的跨境数据流动机制,“剥夺”参与国家或地区按照自己的意愿控制跨境数据的权力,然后利用超强实力美国工业界最终实现的目标 数据正在向美国企业和美国大陆汇总。
一旦数据落入美国公司手中,美国外国投资审查系统(CFIUS)将严格审查能够让外国组织或个人接触“敏感个人数据”的并购或投资; 另一方面,通过特朗普政府“网络计划”期间的“清理过程”、拜登政府最新的《保护美国人敏感数据免受敌对外国势力侵害的行政命令》、《保护信息和通信技术安全》美国商务部制定的临时最终规则和其他措施,将某些由拥有或控制的人设计、开发、制造或提供的互联网连接软件应用程序和设备排除在美国供应链之外,或在“外国对手”的管辖或指挥下,进一步避免美国数据(包括美国企业持有的美国境外数据)“不当流出”。
在执法和司法用途的跨境数据检索方面,美国法院程序和2018年通过的“云法”正在加强受美国法律管辖的实体和个人的跨境数据检索能力。 特别是,《云法》没有修改《存储通信法》(法案)原有禁止受美国法律管辖的实体和个人向海外政府提供通信内容数据的规定。 相反,它进一步利用这一条款与美国建立关系。 只有政府签署该协议的“符合条件的国家”才能直接访问美国公司的数据。 另一方面,《外国公司责任法》及其配套规则则以“禁止证券交易”为威胁,强行强行收回存储在境外的审计文件的权力。
上述“法律与政策结合”取得的客观效果是:一是掌握。 倡导数据自由流动(低保护级别),让美国企业在业务层面能够尽可能多、便捷地获取全球数据,并可以“带回”美国总部(或美国某个地点)公司自己选择)进行分析。 二是排斥。 美国排除“外国对手”的信息技术产品通过参与美国公司业务运营获取数据的可能性,严格审查和限制外国个人或公司通过并购、投资等方式获取美国数据。 三是准入与限制。 只要数据由美国公司控制()、拥有()或监管(),无论是否存储在美国,都受到美国司法和执法程序的管辖,并应提供给美国当局只要有实际需求; 而外国政府如果需要从美国公司获取更为敏感的内容数据,只能获得美国政府的司法协助,或者成为《云法》下的“合格国家”。
通过上述三项行动,美国实际上已将自己的企业打造成网络空间的领地。 适用于数据的法律和政策工具 美国企业走出去,最终实现的是其总体数据战略——尽可能掌握和控制全球数据,从而巩固其在全球政治和经济中的地位和权力。
3、数据成为网络安全审查重点
随着人们对数据安全认识的逐步深入和国际竞争的巨大压力,网络安全审查制度涵盖数据安全,恰逢其时。 在数据安全方面,网络安全审查制度重点关注以下两类风险:“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损、非法使用、非法导出境外的风险”,以及“上市中存在关键信息基础设施、核心数据、重要数据或大量个人信息被外国政府影响、控制和恶意利用的风险以及网络信息安全风险”。
前者重点是关键信息基础设施采购的网络产品和服务提供者利用提供产品和服务的便利条件,非法收集、存储、利用、提供境外“核心数据、重要数据或者大量”核心数据,关键信息基础设施处理的重要数据或大量数据存在“个人信息”风险。换言之,网络产品和服务提供者除了向外界声明并向用户展示的“规定行为”外,不得秘密执行后者是指因在境外或境外上市而受到外国法律的管辖,进而引发外国政府利用法律手段对数据进行“选择性行为”,也不应损害用户对其自身信息的自主权。执法司法事务中控制“国内网络平台运营者持有的核心数据、重要数据或者大量数据”的规定和权力,“个人信息”施加“影响”,主张“控制”,随后“恶意使用” ,导致我国主权、安全、发展利益受损的风险。 “拥有100万以上用户个人信息的互联网平台运营者”在这方面的数据安全风险突出。 新版网络安全审查办法强制要求他们“到境外公开,必须报网络安全审查办公室接受网络安全审查”。 由此可见,网络安全审查制度对上述两类数据安全风险的关注,与上文分析的数据安全认识的加深和国际竞争压力相对应。
在新一轮数据治理中,国家不仅以系统提供者的身份出现,而且以独立的利益相关者的身份出现。 全球数据治理立法充分考虑国家利益。 各国的数据战略服务于大数据时代的综合国力竞争。 这既包括维护国家安全利益的防御性诉求,也包括促进国家数字经济的全球竞争,通过规则治理抢占全球数据规则的话语权。 因此,从前述内外部因素来看,我国的数据安全法、个人信息保护法乃至新版《网络安全审查办法》并不局限于技术安全问题,而是从更广泛的意义上理解数据安全。 。 核心目的是确保数据作为基础性战略资源,未来能够得到很好的管理和利用,服务于我国主权、安全和发展利益。 (作者:洪彦庆,北京理工大学法学院教授)
微信扫一扫打赏
支付宝扫一扫打赏
