7月4日,国家互联网信息办公室(以下简称“网信办”)发布通报称,“滴滴出行”App存在严重违法违规使用个人信息问题,依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。消息一出,迅速刷爆了微信朋友圈。此举是继7月2日网络安全办公室依据《网络安全法》对“滴滴出行”宣布进行网络安全审查措施的升级版。7月5日,网络安全办公会又公告对“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查。一时间,“个人信息”、“网络安全”、“信息(数据)保护”在国内成了热议的话题。其实,这些早已是热议话题,只不过之前只是立法上和学术上的,而这次体现在执法上。《网络安全法》规制什么?其起草的背景又是什么?有哪些配套的法律?国际趋势又是什么?本文将结合上述问题,对数据保护的前世今生做一个综述。
财产,似乎司空见惯,比如房子、车子。但当人们试图对“财产”定义时,却发现很难用精准的语句揭示其本质。历史经验告诉我们,财产总是与归属联系在一起的,即财产权。比如,“你的房子”、“我的车子”。随着“房子”这种普通财产的越发丰富以及与之相配套的产权制度建立与完善,以知识产权代表的新型财产权打破了人们原有的财产观,也冲击了原有的财产权制度。但最终人们还是找到了一种制度---知识产权制度,来对知识产权的占有、使用、收益进行了规制。
如今,不但有各国国内法律专门规定普通财产权和知识产权,比如我国的《民法典》物权编、专利法、商标法、著作权法等。还有国际条约围绕这两种产权建立了一套国际秩序。比如,就货物贸易而言,有关贸总协定(GATT),有《联合国国际货物销售合同公约》(CISG),来规制货物的跨境流动。就知识产权贸易而言,有《与贸易有关的知识产权协定》(TRIPs),来规制带有知识产权货物的跨境流动。
可是到了数据,尤其是大数据时,人们好像很难用“你的数据”、“我的数据”这样具有明确归属属性的语言对数据进行描述了。如果说数据库这种数据的集合还可以用著作权的语言对其进行描述,那么以自然人用户提交个人数据而形成的数以亿计“大数据”就很难准确界定“你的”和“我的”了。但人们已经形成一个共识,这些大数据能够为数据收集者带来经济效益,已经越发成为现代企业的一项资产。
可就是这么一个让我们享受其益的大数据,越发让人感到恐惧和不安,因为人们还没想到一个特别有效的方法对其进行规制,尤其是对数据的跨境流动进行规制。但如果不加以规制,从个人隐私到国家安全都会受到极大的威胁。
尽管困难,各国各地区还是对数据的搜集和使用,尤其是对个人数据的收集和使用,纷纷立法。这当中尤其以欧盟的《通用数据保护条例》(GDPR)和美国《加州消费者隐私法案》(CCPA)为代表。GDPR是欧盟委员会制定的有关个人数据保护方便的法律,该法于2018年5月25日开始施行。GDPR为个人数据处理者处理个人数据设设定了七项原则,即合法、公平和透明原则,目的限制原则,最少数据原则,准确原则,存储限制原则,完整保密原则,责任承担原则。[1]合法、公平和透明原则中的合法指的是处理数据有合法性基础(比如同意、合同、法律规定、公共利益等),公平是指充分考虑数据处理可能对个人带来什么影响以及用充分理由说明不利影响在合理范围之内,透明是指数据处理者遵守知情权的义务。目的限制原则是指一开始就要向数据主体明确收集数据的目的,并把该目的明确在隐私政策中列出,除非与最初目的一致、经过数据主体另外单独同意或者明确的法律规定,数据处理者不得将数据用于新的目的。最少数据原则是指足以实现数据处理目的,与数据处理相关和不收集处理目的不需要的数据。准确原则是指要采取合理措施确保收集的个人数据是正确的、不具误导性的,并实时更新个人数据,如果法院个人信息不正确,需要及时改正或者删除个人数据。存储限制原则是指不超过必要的存储时间,制定政策设定标准的存储时间,如果不再需要,个人有权从系统中删除自己的数据。完整保密原则是指配有适当的安全措施保护个人数据的安全。[2]
GDPR还规定,个人拥有知情、接触、纠正、要求删除等权利。当然,GDPR也为数据处理设置了“国家安全”例外,即为了国家安全考虑,可以不遵守上述原则。最后,GDPR一个重要特点就是适用范围广,即采属地管辖、属人管辖和保护管辖。属地管辖即数据处理行为在欧盟发生的,属人管辖即数据处理者或控制者在欧盟境内的,保护管辖即向欧盟居民提供相关产品或服务,或者处理欧盟居民数据的,都受GPPR管辖。
在如此背景下,国内的华为和小米均根据GDPR要求任命数据保护官,负责数据管理。可谓国内数据合规的先行者。
美国对个人数据的保护是通过各种行业的隐私权法案实现的。2020年7月1日施行的CCPA也不例外,只不过这次的隐私权法案是一部综合的隐私权法案,适用于各行各业。CCPA适用于年营业额超过2500万美金的企业、有涉及5万人的个人信息的企业或者一半以上收入来源于出售个人数据的企业。如果企业违反CCPA,每条记录罚款7500美金,当然,有30天的改正期。另外,还有可能遭到民众的集体诉讼而承担民事赔偿。[3]另外,根据国际隐私专业人士协会的报告,阿根廷、巴西、新加坡、日本、巴西、阿联酋、法国、印度等国也纷纷针对个人数据保护立法。[4]一时间,对个人数据的保护已成国际“潮流”。纵观各国立法,可以发现各国对数据保护的立法,偏重于对个人信息的保护,但总体较为原则。企业如果要进行数据合规管理,仍然需要根据法律的原则性条款,制定符合企业实际的具体的合规方案。
中国的数据保护立法则体现出多方多元治理和体现国家安全的特征。对“滴滴出行”进行安全审查依据的《国家安全法》和《网络安全法》正体现了数据保护融入国家安全的特征。《国家安全法》第二十五条规定,要实现“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”和“维护国家网络空间主权”。《国家安全法》第六十条还规定了安全审查主体是中央国家机关各部门。[5]《网络安全法》第一条开宗明义地指出立法宗旨是“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。”该条把网络安全上升到国家主权地位。同时,该法第四章第40-50条规定了网络运营者在收集、使用个人信息时的义务以及个人对网络运营者享有的权利。《网络安全法》规定的监督管理部门是“国家网信部门和有关部门”[6]其中,“有关部门”就为数据保护的多元治理埋下了伏笔。在此基础上,各部门起草、出台了各项法规和规定,确定监管部门,落实监管责任。这些法规和规定包括《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息行为认定方法》、《网络安全审查办法》、和《网络安全漏洞管理规定(征求意见稿)》等。另外,《个人信息保护法》(草案二次审议稿)也已出台。从草案条文看,对个人信息保护提出了从收集、处理、存储等全流程的保护要求。将于今年9月1日施行的《数据安全法》更是单独把数据与国家安全、社会发展、个人和组织的合法权益绑定在一起,对数据保护提出了更系统、更严格的要求。可以说,一张覆盖全国、全行业的数据保护法网正在形成。正是基于上述国际背景和国内背景,对“滴滴出行”的安全审查和暂时下架,也是意料之中的,而且以后可能会越来越多。
数据作为新型的财产权益越发挑战着国内和国际秩序,各国在纷纷应对时,中国也提出了多元的应对方案。国际社会现在面临的新课题是如何在处理货物、服务和知识产权跨境流动经验基础上,制定出一套符合数据流动规律的数据跨境流动规则。但不管怎样,企业应该行动起来了,因为这事关企业的未来。
[1]https://gdpr-info.eu/art-5-gdpr/,最后访问日期:2021年7月6日。
[2]https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/principles/lawfulness-fairness-and-transparency/,最后访问日期:2021年7月6日。
[3]https://www.csoonline.com/article/3292578/california-consumer-privacy-act-what-you-need-to-know-to-be-compliant.html,最后访问日期:2021年7月6日。
[4]https://iapp.org/media/pdf/resource_center/global_legislative_predictions_2020.pdf
[5]“中央国家机关各部门依照法律、行政法规行使国家安全审查职责,依法作出国家安全审查决定或者提出安全审查意见并监督执行。”
[6]《网络安全法》第五十条、五十一条。
