国外跨境数据流动管理制度及对我国的启示
近年来,随着云计算、大数据技术的快速发展,数据跨境转移变得更加轻而易举,数据跨境流动的安全问题日益凸显。目前,全球云计算领域处于优势地位的是以美国为首的发达国家的跨国企业。大量经济运行、社会服务乃至国家安全相关的数据向这些企业集中,大规模的数据跨境存储在全球各地的数据中心,存在较大的安全风险。同时,美国爱国者法案扩张了美国政府获取数据的权力和范围,“棱镜事件”给各国也敲醒了警钟,跨境数据流动议题也成为各国关注的热点,近年来一些国家也纷纷通过立法来加强跨境数据流动的管理。
一、 跨境数据流动的基本概念
跨境数据流动一开始是从个人数据保护立法中开始提及,各国在个人数据保护法中对个人数据向第三国转移进行管理。云计算出现以后,大规模的政府数据、商业数据和个人数据通过云服务来存储和处理,并且数据的跨境更加频繁,各国开始重新审视跨境数据流动制度,并重点关注政府和公共部门数据的跨境管理。目前国际上对跨境数据流动并没有一个明确的定义和界定。联合国跨国公司中心对跨境数据流动(Transborder Data Flow)的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。OECD对跨境数据流动的定义是个人数据跨越国界流动。澳大利亚在联邦个人隐私原则中对“数据的国际流动”进行了规定,要求机构向海外组织或信息主体以外的某人传送信息应该受到一定的制约。从国际组织以及其他国家对跨境数据流动的管理制度来看,跨境数据流动有两类理解:一种是数据跨越国界传输和处理;另一种是数据即使没有跨越国界,但被第三国的主体能够访问。
二、 国外跨境数据流动管理的主要模式
国际上关于跨境数据流动的管理并未形成统一框架,综合来看,国外对不同类型的数据采取不同的管理模式。主要采取分级分类管理的模式,根据禁止程度分为三大类:
一是重要的数据禁止跨境流动。一些国家开始认识到重要数据本地化存储的重要性。然而,各个国家对于重要数据的范围规定不同。例如在美国,并没有法律规定要求数据禁止跨境流动,但是在美国的外资安全审查机制中,对于国外网络运营商通常会要求其与电信小组签署安全协定,要求其国内通信基础设施应位于美国境内,将通信数据、交易数据、用户信息等仅存储在美国境内。印度的电信许可协议中要求各类电信企业(包括互联网服务提供商),不允许将用户账户信息、用户个人信息(除了外国用户的漫游信息)转移至境外,否则可能面临吊销许可证的后果。意大利、匈牙利等国在当地的法律法规中,禁止将政府数据存储于国外的Iaas服务提供商。印尼在立法 中要求提供公共服务的电子系统运营商必须在印尼国内建立数据中心,交易数据必须存储在境内。澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》规定,为政府部门开发的云服务,属于安全分类的数据不能储存在任何离岸公共云数据库中,应存储在拥有较高级别安全协议的私有云或社区云的数据库中。韩国《信息通信网络的促进利用与信息保护法》规定政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动。
二是政府和公共部门的一般数据和相关行业技术数据有条件的限制跨境流动。一些国家针对政府和公共部门的一般数据跨境实施了限制条件,例如要进行安全风险评估。澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》将政府信息分级,其中对于非保密的信息,要求政府机构要进安全风险评估之后才能实施外包。加拿大财政委员会要求每一个政府机构对数据处理合同进行评估以识别任何与美国爱国者法案相关的潜在风险,评估风险层级,并且采取修正措施来解决安全风险问题。
美国对军用和民用相关行业的技术数据的跨境实施实施许可管理。依据其《出口管理条例》(EAR)和《国际军火交易条例》(ITAR)分别对非军用和军用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时,必须获得法律规定的出口许可证。其中,美国法律对数据出口的管理范围非常宽泛,即使是向美国境内的外国公民传递数据,也被视为是出口。
三是普通的个人数据允许跨境流动,但要满足安全管理要求。普通的个人数据在国际上普遍倡导自由跨境流动,但许多国家为了确保个人数据安全,通过问责制、合同干预等不同形式来进行管理。
问责制的管理模式,即对数据控制者(收集数据并决定数据处理目的和方式的主体)的数据安全管理责任作出规定,要求其承担在数据跨境的整个过程中的安全管理责任,包括对数据主体的通知、对外包商的资质审查和监督。例如,加拿大《个人信息保护和电子文件法》规定,传输个人信息时,拥有或保管个人信息的机构应当对个人信息负责,包括已经转移到第三方机构的情形。
数据处理合同干预的管理模式,即由政府对跨境数据处理合同条款中应当包含的安全管理内容进行规定。例如,在欧盟,由数据保护主管部门制定标准格式合同条款,在条款中依据数据保护法的原则纳入数据保护的要求,企业之间签订的跨境数据流动处理合同如果包含了格式合同的条款,则不需经数据保护主管部门的同意即可实现跨境数据流动。澳大利亚的《隐私保护原则》中对数据出口者和海外数据接收者之间签订合同中应当包含的内容进行了原则性规定。
三、 国外跨境数据流动管理最新趋势
一在管理范围上突出关注政府和公共部门数据的跨境流动管理。一些国家已经开始针对政府和公共部门的数据跨境流动制定专门的管理制度。例如,澳大利亚制定了《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》,对政府数据进行分级管理,并对政府数据的离岸存储及其风险管理作出了明确规定。加拿大负责管理联邦政府部门个人信息保护工作的财政委员会颁布了《关于解决美国爱国者法案和跨境数据流动问题的联邦战略》,针对由美国爱国者法案引起的数据保护安全问题以及跨境数据流动安全的管理问题,向加拿大160个联邦政府提出了相关数据安全管理建议。
二在管理对象上重点加强对跨境服务提供的监管。数据的跨境流动主要依托于服务在网络上的跨境提供。作为服务贸易的四种模式之一,各WTO成员国最初对电信业务的跨境提供并没有做特别限制。这主要是因为WTO制度构建于上个世纪,而互联网到上世纪90年代才刚刚步入商业化阶段,跨境服务的安全风险尚不足为虑。但近年来,随着云计算等新业务的发展给跨境贸易带来前所未有的机遇,以及其在经济社会各领域的广泛应用,各国逐步意识到云计算发展所伴随的安全风险。为此,主要国家在新签署的自由贸易协定或双边投资协定中,对电信新业务、甚至所有新业务的跨境服务承诺都变得极为谨慎,美国、加拿大、日本、瑞士等国家在负面清单中均保留了对跨境服务采取管理措施的权力。
三在管理机制上着力推进跨境执法合作,增进各国用户对跨境数据流动的信任。由于各国对跨境数据流动的管理制度各不相同,这在一定程度上限制了跨境贸易的发展,因此一些国际组织试图在国际层面建立协调机制。目前,在亚太地区的APEC机制下建立了跨境隐私执法协作机制(Cross-border Privacy Enforcement Arrangement (CPEA)),旨在促进APEC经济体的数据保护管理机构之间的信息共享和跨境隐私执法协作。CPEA的成员包括来自美国、加拿大、日本、韩国、新西兰、澳大利亚等国家的数据保护机构。OECD成员国也建立了一个全球隐私执法网络(Global Privacy Enforcement Network (GPEN)),旨在解决跨境隐私执法的挑战,加强跨境隐私联合执法合作,参与的国家包括加拿大、美国、法国、新西兰、意大利、以色列、澳大利亚、爱尔兰、西班牙、英国、荷兰和德国等。
四、 对我国的启示
随着美国亚马逊、微软等公司通过跨境提供服务、境内提供技术支持等方式陆续进入我国云服务市场,跨境数据流动管理已成为一个现实议题,潜在的国家信息安全和用户信息安全风险值得关注。从国外经验来看,我国可以从以下几个方面来构建跨境数据流动管理制度体系。
一是在法律中明确跨境数据流动的概念和管理模式。
目前,我国的网络安全和保密相关的法律禁止涉及国家秘密和国家安全的数据跨境,对于一般的个人数据和企业数据,除了在《征信管理条例》中第24条规定“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”以外,其他行业的法律规定基本没有对数据限制跨境的要求。因此,有必要在网络安全法中对跨境数据流动的概念进行规定,对跨境数据流动实行分类管理,明确政府可以采取的管理手段以及相关各方主体的安全保护责任。
二是建立跨境数据流动多元化的管理手段。
从国外来看,在立法的授权下,跨境数据流动的管理是依靠多重管理手段。那么在我国,可以建立的管理手段包括:
对跨境数据流动进行分级分类管理。对政府和公共部门、企业及个人数据进行分级分类:涉及国家秘密、国家安全以及经济安全的数据严格禁止跨境,必须在境内的数据中心存储和处理;对政府和公共部门掌握的其他数据实施跨境数据流动的条件限制。对普通的个人数据通过落实数据控制主体的安全责任及合同监管实施保护。
跨境数据流动格式合同管理。由政府相关部门制定跨境数据流动的标准格式合同,明确数据转移各方的安全保护责任,建立对跨境数据流动合同的监督机制。
跨境数据流动安全风险评估。对涉及政府、重要行业的数据跨境转移,要建立事前和事中的安全风险评估机制。建立政府和公共部门数据处理服务商的安全认证制度,安全风险较高的数据只能由符合资质的服务商处理。
跨境数据流动安全协议控制。外资企业提供服务更有可能带来数据的跨境流动。在立法尚不完善的情况下,借鉴国外安全审查机制及签订安全协议的方式,通过协议对外资的数据安全管理人员、数据存储地址、数据处理方式、服务的范围等内容提出特殊要求,实现对外资企业的跨境数据流动管理。同时,加紧研究跨境提供服务模式的监管制度,通过对服务资质进行限制,对数据跨境流动提出要求,建立对跨境提供服务的事前、事中、事后的全生命周期管理,保护数据安全。(石月 中国信息通信研究院)