信息化觀察網(wǎng)

本文來自明朝萬達(dá)

日前，國家安全機關(guān)破獲了一起為境外刺探并非法提供高鐵數(shù)據(jù)的重要案件。上海某科技公司為謀取利益，持續(xù)采集、傳遞數(shù)據(jù)給某境外公司。

這起案件是《數(shù)據(jù)安全法》實施以來，首例涉案數(shù)據(jù)被鑒定為情報的案件，也是我國首例涉及高鐵運行安全的危害國家安全類案件。而在此之前，國家安全部門就有公布三起危害重要數(shù)據(jù)安全案例：

①境外間諜情報機關(guān)精心謀劃針對某航空公司進(jìn)行網(wǎng)絡(luò)攻擊

2020年1月，某航空公司向國家安全機關(guān)報告，該公司信息系統(tǒng)出現(xiàn)異常，懷疑遭到網(wǎng)絡(luò)攻擊。國家安全機關(guān)立即進(jìn)行技術(shù)檢查，確認(rèn)相關(guān)信息系統(tǒng)遭到網(wǎng)絡(luò)武器攻擊，多臺重要服務(wù)器和網(wǎng)絡(luò)設(shè)備被植入特種木馬程序，部分乘客出行記錄等數(shù)據(jù)被竊取。在進(jìn)一步排查中發(fā)現(xiàn)，另有多家航空公司信息系統(tǒng)遭到同一類型網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取。經(jīng)深入調(diào)查，確認(rèn)相關(guān)攻擊活動是由某境外間諜情報機關(guān)精心謀劃、秘密實施，攻擊中利用了多個技術(shù)漏洞，并利用多個國家和地區(qū)的網(wǎng)絡(luò)設(shè)備進(jìn)行跳轉(zhuǎn)，以隱匿行蹤。

②某境外咨詢調(diào)查公司秘密搜集竊取我國航運數(shù)據(jù)

2021年5月，國家安全機關(guān)工作發(fā)現(xiàn)，某境外咨詢調(diào)查公司通過網(wǎng)絡(luò)、電話等方式，頻繁聯(lián)系我國大型航運企業(yè)、代理服務(wù)公司的管理人員，以高額報酬聘請行業(yè)咨詢專家之名，與境內(nèi)數(shù)十名人員建立“合作”，指使其廣泛搜集提供我國航運基礎(chǔ)數(shù)據(jù)、特定船只載物信息等。進(jìn)一步調(diào)查掌握，相關(guān)境外咨詢調(diào)查公司與所在國家間諜情報機關(guān)關(guān)系密切，承接了大量情報搜集和分析業(yè)務(wù)，通過我境內(nèi)人員所獲的航運數(shù)據(jù)，都提供給該國間諜情報機關(guān)。

③李某私自架設(shè)氣象觀測設(shè)備，采集并向境外傳送我氣象數(shù)據(jù)

2021年3月，國家安全機關(guān)工作發(fā)現(xiàn)，我國某重要軍事基地周邊建有一可疑氣象觀測設(shè)備，具備采集精確位置信息和多類型氣象數(shù)據(jù)的功能，所采集數(shù)據(jù)直接傳送至境外。調(diào)查掌握，有關(guān)氣象觀測設(shè)備由李某網(wǎng)上購買并私自架設(shè)，類似設(shè)備已向全國多地售出100余套，部分被架設(shè)在我重要區(qū)域周邊，有關(guān)設(shè)備所采集數(shù)據(jù)被傳送到境外某氣象觀測組織的網(wǎng)站。該境外氣象觀測組織實際上由某國政府部門以科研之名發(fā)起成立，而該部門的一項重要任務(wù)就是搜集分析全球氣象數(shù)據(jù)信息，為其軍方提供服務(wù)。

2021年9月1日正式施行的《中華人民共和國數(shù)據(jù)安全法》除了在數(shù)據(jù)分類分級保護、政務(wù)數(shù)據(jù)的利用、數(shù)據(jù)安全審查制度等方面作出規(guī)定外，還在數(shù)據(jù)出境和跨境傳輸方面作出了明確的規(guī)定。

一、確立數(shù)據(jù)安全的宗旨，明確域外效力

《數(shù)據(jù)安全法》第二條第二款規(guī)定：

“在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任。”

這一規(guī)定體現(xiàn)了維護國家安全和數(shù)據(jù)主權(quán)的立法宗旨，賦予《數(shù)據(jù)安全法》必要的域外適用效力。

這一規(guī)定以“后果論”為標(biāo)準(zhǔn)，如域外的數(shù)據(jù)活動給我國國家、社會、公民利益帶來損害的，相關(guān)組織或個人應(yīng)被追究法律責(zé)任，確立了我國的對數(shù)據(jù)管轄權(quán)的“長臂管轄”，進(jìn)一步明確了維護國家數(shù)據(jù)安全的決心。

站在企業(yè)合規(guī)的角度，以中國公民為數(shù)據(jù)處理對象，或者數(shù)據(jù)處理活動對中國可能產(chǎn)生實際影響的境外主體，都需要履行《數(shù)據(jù)安全法》的安全義務(wù)，為跨國企業(yè)面向中國提供服務(wù)、開展數(shù)據(jù)活動提供了依據(jù)。

二、確立數(shù)據(jù)跨境的必要，促進(jìn)數(shù)據(jù)跨境的安全和自由流動

《數(shù)據(jù)安全法》第十一條規(guī)定：

“國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動。”

這條規(guī)定體現(xiàn)了我國對數(shù)據(jù)跨境傳輸?shù)幕緶?zhǔn)則。國家積極利用數(shù)據(jù)可以跨國流通這一特性，大力發(fā)展數(shù)據(jù)相關(guān)產(chǎn)業(yè)，但需以“安全”作為前置要求，體現(xiàn)了我國對數(shù)據(jù)跨境傳輸在安全上的重視程度。

綜合全球來看，數(shù)據(jù)已經(jīng)成為一種全新的國際競爭領(lǐng)域。2020年，我國向國際社會公開呼吁全面客觀看待數(shù)據(jù)安全問題，維護全球信息技術(shù)產(chǎn)品和服務(wù)的供應(yīng)鏈開放、安全、穩(wěn)定，并發(fā)出《全球數(shù)據(jù)安全倡議》。如今隨著《數(shù)據(jù)安全法》的出臺，進(jìn)一步提升了我國對于數(shù)據(jù)主權(quán)的競爭優(yōu)勢。

三、確立了關(guān)鍵基礎(chǔ)設(shè)施運營者的數(shù)據(jù)出口管制

《數(shù)據(jù)安全法》第二十五條規(guī)定：

“國家對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。”

目前我國在物品、技術(shù)等領(lǐng)域均有嚴(yán)格的出口管制制度，以《對外貿(mào)易法》、《技術(shù)進(jìn)出口管理條例》等規(guī)定規(guī)制。在技術(shù)領(lǐng)域，2020年我國更新了《中國禁止出口限制出口技術(shù)目錄》，以清單管理的方式，將大數(shù)據(jù)分析等有關(guān)技術(shù)列入目錄。

但在數(shù)據(jù)領(lǐng)域，我國的出口管制還不完善，除了《網(wǎng)絡(luò)安全法》第三十七條規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估……”，其他領(lǐng)域的數(shù)據(jù)出口管制并未有明確規(guī)定。

在個人信息保護領(lǐng)域，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》、《個人信息出境安全評估辦法（征求意見稿）》、《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》均未生效，未來國家出口管制管理部門是否會將相關(guān)技術(shù)以及數(shù)據(jù)直接納入出口管制范疇仍有待觀察確認(rèn)，《數(shù)據(jù)安全法》目前為將來的配套措施出臺留下了空間。

四、確立重要數(shù)據(jù)出境安全管理制度

《數(shù)據(jù)安全法》第三十一條規(guī)定：

“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。”

這一條款明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，應(yīng)當(dāng)適用《網(wǎng)絡(luò)安全法》第三十七條提出的“一般情形+例外規(guī)定”，即“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者因業(yè)務(wù)需要，確需向境外提供重要數(shù)據(jù)的，一般情況下應(yīng)由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估，法律、行政法規(guī)另有規(guī)定的則從其規(guī)定”?？梢娮鳛殛P(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，數(shù)據(jù)的境內(nèi)存儲是基本原則，出境是例外，并且數(shù)據(jù)的出境安全評估是必須實行的一項工作。

對于其他數(shù)據(jù)處理者在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)，目前可參考的相關(guān)規(guī)定是2017年的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，其中第九條規(guī)定了六類重要數(shù)據(jù)出境時網(wǎng)絡(luò)運營者應(yīng)提交行業(yè)主管部門或監(jiān)管部門進(jìn)行安全評估的場景。

雖然《數(shù)據(jù)安全法》沒有明確規(guī)定對非關(guān)鍵信息基礎(chǔ)設(shè)施運營者進(jìn)行數(shù)據(jù)跨境傳輸?shù)木唧w要求，但其首次在法律層面明確了相關(guān)要求將由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門通過部門規(guī)章予以規(guī)定，為后續(xù)制定、出臺相關(guān)具體部門規(guī)章和條例提供了法律依據(jù)和立法展望。但在此之前，有跨境數(shù)據(jù)傳輸需要的企業(yè)可參照參照《個人信息和重要數(shù)據(jù)出境安全評估辦法》（征求意見稿）》以及《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》進(jìn)行數(shù)據(jù)跨境傳輸?shù)暮弦?guī)審查。

五、嚴(yán)格規(guī)制面向境外司法或者執(zhí)法機構(gòu)的數(shù)據(jù)出境活動

《數(shù)據(jù)安全法》第三十六條規(guī)定：

“……非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。”

隨著經(jīng)濟全球化及中國經(jīng)濟發(fā)展，尤其是中國互聯(lián)網(wǎng)企業(yè)出海，越來越多的行政執(zhí)法、司法活動中涉及針對中國境內(nèi)數(shù)據(jù)的獲取。對于企業(yè)來講，遇到境外執(zhí)法、司法活動，要求提供中國存儲的數(shù)據(jù)時，應(yīng)報請中華人民共和國主管機關(guān)批準(zhǔn)，不能私自直接提供。

這一條款制定的背景，是當(dāng)今數(shù)據(jù)競爭?益激烈，各國都在試圖擴?數(shù)據(jù)??的管轄權(quán)。2018年3月，在微軟愛爾蘭數(shù)據(jù)案之后，美國國會通過《澄清海外合法使用數(shù)據(jù)法》（ClarifyingLawful Overseas Use of Data Act（CLOUD），簡稱“云法案”），其中第103(a)(1)條規(guī)定“電子通信服務(wù)提供商和遠(yuǎn)程計算服務(wù)提供商應(yīng)當(dāng)依據(jù)本章規(guī)定，保存、備份或披露其擁有、監(jiān)管或控制的用戶通訊數(shù)據(jù)、記錄及其他信息，無論該等通訊數(shù)據(jù)、記錄及其他信息儲存于美國境內(nèi)或境外”，從而為美國數(shù)據(jù)領(lǐng)域的“長臂管轄”規(guī)則提供了基礎(chǔ)，使得執(zhí)法部?可依據(jù)搜查令直接調(diào)取境外數(shù)據(jù)。同樣在歐洲，2019年11月，歐洲數(shù)據(jù)保護委員會（EDPB）對GDPR第三條進(jìn)?統(tǒng)?解釋，并發(fā)布了GDPR地域適?的指南，明確了符合“營業(yè)機構(gòu)”標(biāo)準(zhǔn)或“?標(biāo)指向”標(biāo)準(zhǔn)其中之?的數(shù)據(jù)處理者和控制者，均需要遵守GDPR的規(guī)定，確立了歐洲在數(shù)據(jù)領(lǐng)域的“長臂管轄”。

在這一背景下，我國《數(shù)據(jù)安全法》的規(guī)定充分體現(xiàn)了我國維護數(shù)據(jù)主權(quán)和國家安全的決心。關(guān)于數(shù)據(jù)出境對責(zé)任人的處罰，《數(shù)據(jù)安全法》明確了未經(jīng)主管機關(guān)批準(zhǔn)向境外的司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)的法律責(zé)任，包括對企業(yè)和直接負(fù)責(zé)的主管人員的罰款、責(zé)令企業(yè)暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。這一明確的法律責(zé)任形式，不僅意味著第三十六條的規(guī)定是企業(yè)應(yīng)嚴(yán)格履行的一項數(shù)據(jù)合規(guī)義務(wù)，也是企業(yè)在對抗境外執(zhí)法或司法機構(gòu)可能的數(shù)據(jù)調(diào)取要求時的抗辯理由之一。

但該條僅規(guī)定了跨境司法或執(zhí)法機構(gòu)協(xié)助數(shù)據(jù)傳輸?shù)脑瓌t性要求，未明確企業(yè)如何申請獲得相關(guān)批準(zhǔn)，因而需要主管部門后續(xù)出臺實施細(xì)則進(jìn)一步明確具體審批要求。我們也將持續(xù)關(guān)注相關(guān)法律制度的更新和完善情況，并在后續(xù)的專業(yè)文章中予以探討。

總結(jié)

《數(shù)據(jù)安全法》作為我國數(shù)據(jù)領(lǐng)域內(nèi)的一部基礎(chǔ)法律，為我國數(shù)字市場發(fā)展提供基礎(chǔ)制度保障，規(guī)范了數(shù)據(jù)安全的行業(yè)監(jiān)管實踐，為我國企業(yè)“出海”保駕護航，也加強了企業(yè)未來數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求，為我國企業(yè)“走出去”創(chuàng)造了更有利的法律和規(guī)則條件。