以习近平总书记网络力量重要思想为指导,规划治理框架。三部法律相继生效,这实际上标志着我国网络安全工作完成了一个新维度的拓展——数据安全,从技术安全到内容安全。在此背景下,网络安全审查制度也进行了持续的重大创新:从2017年创建以来,重点关注“网络和信息系统采购的与国家安全有关的重要网络产品和服务”,并于2017年修订2020年重点关注“从网络和信息系统采购的涉及国家安全的重要网络产品和服务”。
一、数据成为独立于网络的安全保护对象
《网络安全法》以技术层面的安全保护为基础。其核心立法目标是“防止对网络的攻击、入侵、干扰、破坏和非法使用以及事故,保持网络处于稳定可靠运行的状态,确保网络的完整性、机密性和可用性。网络数据。” 该法的主要内容是对网络运营者规定基本安全义务,对关键信息基础设施运营者规定强化安全义务。在这个阶段,数据的安全性从属于网络的安全性;网络和系统作为数据的载体、容器或边界,构成了数据安全工作的主要内容。
随着信息技术与人类生产生活的融合,各类数据的快速增长和海量积累,对经济发展、社会治理和人民生活产生了重大而深刻的影响。数据安全已成为事关国家安全和经济社会发展的重大问题。尤其是2018年的剑桥分析事件震惊中外,暴露出网络和系统本身的安全性不足以防范安全风险。当网络始终处于“稳定可靠运行”时,Facebook出于业务决策,主动向第三方程序开放了一个松散的API数据接口,最终导致 8700 万人的个人信息通过第三方程序转移到 Cambridge Analytica。它被非法用来影响政治选举,从而危害国家和政治安全。数据应该是独立于网络之外的安全保护工作的对象,这一需求不容忽视。因此,《数据安全法》定位为数据安全领域的基本法,提出了国家数据安全管理制度、组织和个人的数据安全保护义务、支持和促进数据安全与发展的措施,以及政府数据的安全性和开放性等。从而危及国家和政治安全。数据应该是独立于网络之外的安全保护工作的对象,这一需求不容忽视。因此,《数据安全法》定位为数据安全领域的基本法,提出了国家数据安全管理制度、组织和个人的数据安全保护义务、支持和促进数据安全与发展的措施,以及政府数据的安全性和开放性等。从而危及国家和政治安全。数据应该是独立于网络之外的安全保护工作的对象,这一需求不容忽视。因此,《数据安全法》定位为数据安全领域的基本法,提出了国家数据安全管理制度、组织和个人的数据安全保护义务、支持和促进数据安全与发展的措施,以及政府数据的安全性和开放性等。
在信息时代,个人信息保护已成为广大公众最直接、最现实的利益之一。尤其是APP非法收集、使用个人信息,是在网络和系统“稳定可靠运行”时侵犯个人合法权益的事件。中国社会各界广泛呼吁出台专门的个人信息保护法。为此,《个人信息保护法》在借鉴国外先进立法的基础上,提出了个人信息处理和个人信息跨境提供的规则,明确了个人在个人信息处理活动中的权利和处理者的义务,
二、数据成为国际政经博弈焦点
在《外交事务》杂志 2021 年的文章《数据就是力量》中,两位美国作者直言不讳地说:“数据和权力比全球经济的其他要素更紧密地交织在一起。作为创新日益必要的投入,国际经济的快速扩张要素“贸易是商业成功的一个重要因素,也是国家安全的一个重要方面,数据为所有拥有它的人在寻求反竞争方面提供了难以置信的优势。具有反竞争优势的国家和公司试图控制数据。”
以美国为例。在业务层面的跨境数据流动方面,美国一直在执行亚太经合组织(APEC)下的跨境隐私规则(CBPRs)。2011年以来,美国成功将其重要盟友(墨西哥、日本、加拿大、新加坡等经济体)纳入体系,并于2020年8月首次提出体系“独立于APEC框架” more 大范围吸引更多国家和地区加入。该制度的实质是通过提供一种保护级别较低的数据跨境流动机制,“剥夺”加入该制度的国家或地区按照自己的意愿对数据跨境进行管控的权力,以及然后利用美国的超强实力 行业最终实现这一目标。数据集中在美国企业和美国各州的聚合中。
一旦数据为美国公司所拥有,美国的外国投资审查系统 (CFIUS) 将严格审查可能使外国组织或个人访问“敏感个人数据”的并购或投资;CyberPlan”,拜登政府最新的“关于保护美国人敏感数据免受外国敌对势力侵害的行政令”,以及美国商务部制定的“确保信息和通信技术和服务(ICTS)供应链的安全措施”例如临时最终规则将某些由“外国对手”拥有或控制或在其管辖或指导下的人设计、开发、制造或提供的某些连接软件应用程序和设备排除在美国供应链之外,
在执法和司法用途的跨境数据检索方面,美国法院程序和2018年通过的《云法》正在加强受美国法律管辖的实体和个人的跨境数据检索能力。特别是,《云法》并未修改原《存储通信法》(Stored Communication Act)禁止美国管辖范围内的实体和个人向外国政府提供通信内容的数据,而是进一步利用这一规定建立只有与美国政府签署协议的“合格国家”才能直接访问美国公司的数据。另一方面,《外国公司责任法案》及其配套规则,在“
上述法律政策“组合拳”客观上达到以下效果:一是掌握。倡导数据自由流动(保护水平低),使美国公司能够在运营层面尽可能多、方便地访问全球数据,并将其“带回”美国总部(或某个地点)美国公司自己选择的)进行分析。二是排斥。美方已排除“外国对手”的信息技术产品通过参与美国公司的业务运营获取数据的可能性,并严格审查和限制外国个人或公司通过并购和投资获取美国数据。三是准入和限制。只要数据可控,由美国公司拥有或保管,无论是否存储在美国,均在美国司法和执法程序的范围内,只要有实际需要,应提供给美国当局;如果外国政府需要从美国公司获取敏感内容数据,只能获得美国政府的司法协助或成为云法下的“合格国家”。
通过以上三个行动,美国实际上已经将自己的企业打入了网络空间的版图。适用于数据的法律和政策工具 随着美国公司走向全球,他们终于实现了他们的整体数据战略——尽可能地掌握和控制全球数据,从而巩固其在全球政治和经济中的地位和权力。
三、数据成为网络安全审查的重点
在对数据安全认识的逐渐深入和国际赛事的巨大压力下,网络安全审查体系适时涵盖数据安全。在数据安全方面,网络安全审查制度重点关注以下两类风险:“核心数据、重要数据或大量个人信息被窃取、泄露、损坏、非法使用、非法出境的风险”, “上市中存在关键信息基础设施,核心数据、重要数据或大量个人信息被外国政府影响、控制和恶意使用的风险,以及网络信息安全风险。”
前者主要针对关键信息基础设施采购的网络产品和服务提供者,利用提供产品和服务的便利,非法收集、存储、利用、提供境外“核心数据、重要数据或处理后的大量数据”通过关键信息基础设施”。换言之,网络产品和服务提供者除了向用户声明和展示的“规定行为”外,不应暗中对数据进行“可选行为”,更不能损害其用户对数据的自主权。自己的信息,支配地位。后者是指因在境外或境外上市而受外国法律管辖,进而导致外国政府利用执法和司法的法律规定和权力控制国内网络平台运营商持有的“核心数据、重要数据或大量数据”。个人信息”施加“影响”,鼓吹“控制”,进而“恶意使用”个人信息来源,造成我国主权、安全、发展利益受损的风险。“持有1人以上个人信息的网络平台经营者亿用户”,由于该领域数据安全风险突出,新版网络安全审查办法强制要求其“在境外上市个人信息来源,必须报网络安全审查办公室进行网络安全审查”。
在新一轮数据治理中,国家不仅充当系统提供者,还充当独立的利益相关者。全球数据治理立法充分考虑国家利益,各国数据战略服务于大数据时代综合国力竞争。它不仅包括维护国家安全利益的防御性诉求,还包括推动本国数字经济的全球竞争,通过规则治理来夺取全球数据规则的话语权。因此,从前述内外部因素来看,我国《数据安全法》、《个人信息保护法》乃至新版《网络安全审查办法》不限于技术安全问题,而是更广泛地理解数据安全。其核心目的是确保数据作为基础性战略资源在未来得到妥善管理和利用,服务于我国主权、安全和发展利益。(作者:洪彦青,北京理工大学法学院教授)
