日前,國家安全機關破獲一起為境外刺探、非法提供高鐵數據的重要案件。上海某科技公司為謀取利益,持續采集、傳遞數據給某境外公司。
這起案件是《數據安全法》實施以來,首例涉案數據被鑒定為情報的案件,也是我國首例涉及高鐵運行安全的危害國家安全類案件。而在此之前,國家安全部門就有公布三起危害重要數據安全案例:
① 境外間諜情報機關精心謀劃針對某航空公司進行網絡攻擊
2020年1月,某航空公司向國家安全機關報告,該公司信息系統出現異常,懷疑遭到網絡攻擊。國家安全機關立即進行技術檢查,確認相關信息系統遭到網絡武器攻擊,多臺重要服務器和網絡設備被植入特種木馬程序,部分乘客出行記錄等數據被竊取。在進一步排查中發現,另有多家航空公司信息系統遭到同一類型網絡攻擊和數據竊取。經深入調查,確認相關攻擊活動是由某境外間諜情報機關精心謀劃、秘密實施,攻擊中利用了多個技術漏洞,并利用多個國家和地區的網絡設備進行跳轉,以隱匿行蹤。
② 某境外咨詢調查公司秘密搜集竊取我國航運數據
2021年5月,國家安全機關工作發現,某境外咨詢調查公司通過網絡、電話等方式,頻繁聯系我國大型航運企業、代理服務公司的管理人員,以高額報酬聘請行業咨詢專家之名,與境內數十名人員建立“合作”,指使其廣泛搜集提供我國航運基礎數據、特定船只載物信息等。進一步調查掌握,相關境外咨詢調查公司與所在國家間諜情報機關關系密切,承接了大量情報搜集和分析業務,通過我境內人員所獲的航運數據,都提供給該國間諜情報機關。
③ 李某私自架設氣象觀測設備,采集并向境外傳送我氣象數據
2021年3月,國家安全機關工作發現,我國某重要軍事基地周邊建有一可疑氣象觀測設備,具備采集精確位置信息和多類型氣象數據的功能,所采集數據直接傳送至境外。調查掌握,有關氣象觀測設備由李某網上購買并私自架設,類似設備已向全國多地售出100余套,部分被架設在我重要區域周邊,有關設備所采集數據被傳送到境外某氣象觀測組織的網站。該境外氣象觀測組織實際上由某國政府部門以科研之名發起成立,而該部門的一項重要任務就是搜集分析全球氣象數據信息,為其軍方提供服務。
2021年9月1日正式施行的《中華人民共和國數據安全法》除了在數據分類分級保護、政務數據的利用、數據安全審查制度等方面作出規定外,還對數據出境和跨境傳輸方面作出了明確的規定。
一、確立數據安全的宗旨,明確域外效力
《數據安全法》第二條第二款規定:“在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。”
這一規定體現了維護國家安全和數據主權的立法宗旨,賦予《數據安全法》必要的域外適用效力。
這一規定以“后果論”為標準,域外的數據活動給我國國家、社會、公民利益帶來損害的,相關組織或個人應被追究法律責任,確立了我國的對數據管轄權的“長臂管轄”,進一步明確了維護國家數據安全的決心。
站在企業合規的角度,以中國公民為數據處理對象,或者數據處理活動對中國可能產生實際影響的境外主體,都需要履行《數據安全法》的安全義務,為跨國企業面向中國提供服務、開展數據活動提供了依據。
二、確立數據跨境的必要,促進數據跨境的安全和自由流動
《數據安全法》第十一條規定:“國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。”
這條規定體現了我國對數據跨境傳輸的基本準則。國家積極利用數據可以跨國流通這一特性,大力發展數據相關產業,但需以“安全”作為前置要求,體現了我國對數據跨境傳輸在安全上的重視程度。
綜合全球來看,數據已經成為一種全新的國際競爭領域。2020年,我國向國際社會公開呼吁全面客觀看待數據安全問題,維護全球信息技術產品和服務的供應鏈開放、安全、穩定,并發出《全球數據安全倡議》。如今隨著《數據安全法》的出臺,進一步提升了我國對于數據主權的競爭優勢。
三、確立了關鍵基礎設施運營者的數據出口管制
《數據安全法》第二十五條規定:“國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。”
目前我國在物品、技術等領域均有嚴格的出口管制制度,以《對外貿易法》、《技術進出口管理條例》等規定規制。在技術領域,2020年我國更新了《中國禁止出口限制出口技術目錄》,以清單管理的方式,將大數據分析等有關技術列入目錄。
但在數據領域,我國的出口管制還不完善,除了《網絡安全法》第三十七條規定了“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估……”,其他領域的數據出口管制并未有明確規定。
在個人信息保護領域,《個人信息和重要數據出境安全評估辦法(征求意見稿)》、《個人信息出境安全評估辦法(征求意見稿)》、《信息安全技術數據出境安全評估指南(征求意見稿)》均未生效,未來國家出口管制管理部門是否會將相關技術以及數據直接納入出口管制范疇仍有待觀察確認,《數據安全法》目前為將來的配套措施出臺留下了空間。
四、確立重要數據出境安全管理制度
《數據安全法》第三十一條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
這一條款明確了關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數據的出境安全管理,應當適用《網絡安全法》第三十七條提出的“一般情形+例外規定”,即“關鍵信息基礎設施的運營者因業務需要,確需向境外提供重要數據的,一般情況下應由國家網信部門會同國務院有關部門制定的辦法進行安全評估,法律、行政法規另有規定的則從其規定”。可見作為關鍵信息基礎設施領域,數據的境內存儲是基本原則,出境是例外,并且數據的出境安全評估是必須實行的一項工作。
對于其他數據處理者在境內運營中收集和產生的重要數據,目前可參考的相關規定是2017年的《個人信息和重要數據出境安全評估辦法(征求意見稿)》,其中第九條規定了六類重要數據出境時網絡運營者應提交行業主管部門或監管部門進行安全評估的場景。
雖然《數據安全法》沒有明確規定對非關鍵信息基礎設施運營者進行數據跨境傳輸的具體要求,但其首次在法律層面明確了相關要求將由國家網信部門會同國務院有關部門通過部門規章予以規定,為后續制定、出臺相關具體部門規章和條例提供了法律依據和立法展望。但在此之前,有跨境數據傳輸需要的企業可參照參照《個人信息和重要數據出境安全評估辦法》(征求意見稿)》以及《信息安全技術數據出境安全評估指南(草案)》進行數據跨境傳輸的合規審查。
五、嚴格規制面向境外司法或者執法機構的數據出境活動
《數據安全法》第三十六條規定:“……非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”
隨著經濟全球化及中國經濟發展,尤其是中國互聯網企業出海,越來越多的行政執法、司法活動中涉及針對中國境內數據的獲取。對于企業來講,遇到境外執法、司法活動,要求提供中國存儲的數據時,應報請中華人民共和國主管機關批準,不能私自直接提供。
這一條款制定的背景,是當今數據競爭的?益激烈,各國都在試圖擴?數據??的管轄權。2018年3月,在微軟愛爾蘭數據案之后,美國國會通過《澄清海外合法使用數據法》(ClarifyingLawful Overseas Use of Data Act(CLOUD),簡稱“云法案”),其中第103(a)(1)條規定“電子通信服務提供商和遠程計算服務提供商應當依據本章規定,保存、備份或披露其擁有、監管或控制的用戶通訊數據、記錄及其他信息,無論該等通訊數據、記錄及其他信息儲存于美國境內或境外”,從而為美國數據領域的“長臂管轄”規則提供了基礎,使得執法部?可依據搜查令直接調取境外數據。同樣在歐洲,2019年11月,歐洲數據保護委員會(EDPB)對GDPR第三條進?統?解釋,并發布了GDPR地域適?的指南,明確了符合“營業機構”標準或“?標指向”標準其中之?的數據處理者和控制者,均需要遵守GDPR的規定,確立了歐洲在數據領域的“長臂管轄”。
在這一背景下,我國《數據安全法》的規定充分體現了我國維護數據主權和國家安全的決心。關于數據出境對責任人的處罰,《數據安全法》明確了未經主管機關批準向境外的司法或者執法機構提供數據的法律責任,包括對企業和直接負責的主管人員的罰款、責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等。這一明確的法律責任形式,不僅意味著第三十六條的規定是企業應嚴格履行的一項數據合規義務,也是企業在對抗境外執法或司法機構可能的數據調取要求時的抗辯理由之一。
但該條僅規定了跨境司法或執法機構協助數據傳輸的原則性要求,未明確企業如何申請獲得相關批準,因而需要主管部門后續出臺實施細則進一步明確具體審批要求。我們也將持續關注相關法律制度的更新和完善情況,并在后續的專業文章中予以探討。
