输不起的战争:数据安全立法背後的大國博弈
2018年5月的某個凌晨,一位男人正在落拓地慢跑,他從泊車場動身,穿過丛林,在另外一头的白色平房前停下。他手段上的玄色Polar穿着器记實下了跑步速率、轨迹和损耗的卡路里。這名男人是美军核兵器基地的高档官员,在以前几個小時的熬炼中,他偶然間用脚“测量”了一個機密军事基地。Polar腕内外,其姓名、照片、举措線路等信息,在本人赞成之下,被软件@记%5o85y%實得一%76Eta%览%76Eta%無%76Eta%余@。
尔後,有公然组织查询拜访了2014年以来,6000多名Polar用户的健身資料,還原出跨越200個“秘密地域”的坐標:包含48处核兵器贮存所、18個谍报機構、6处無人機基地、2处核電廠、2处皇室职员居处等。
终极,该软件被多方禁用,被迫封闭定位同享。這即是2018年颤動全世界的“一款健身APP激發的血案”。
一款不起眼的软件尚且連累着如斯首要的機密,其他各种利用所采集的数据更是震動了列國最敏感的神經。一場环抱数据,特别是勾联着國度平安、經濟长处的跨境数据羁系博弈赛,早已在全球拉開序幕:
美國凭仗先發的互联網气力,推行“谁開采,谁操纵”原则,在2018年公布《澄清海外正當利用数据法》,直接将数据统领权從“属地原则”酿成了“数据節制”统领范畴——只要美國企業對用户数据具备現實@節%H3hmt%制或统%8691u%领@权,不管用户是不是在境内,美國企業都有义務按划定保留、备份乃至向美國當局錶露用户数据。
“斯诺登事務”暴發後,欧盟不满Facebook、google等跨國公司多次加害公民隐私的举動,于2018年公布“史上最严数据庇护法”——《通用数据庇护条例》(简称GDPR),将小我数据庇护提到了最優先级位置。
比欧盟更激進的是印度、俄罗斯,它们掀起“数据當地化活動”,自2015年起經由過程立法竖起高墙,严酷限定数据的跨境傳输。
與這些國度立法動作比拟,我國脱手其實不算早——2021年6月10日,用時三年的《数据平安法》才被錶决經由過程,于9月1日正式施行;8月20日,《小我信息庇护法》出台,将于11月1日起施行。
至此,連同2017年6月正式施行的《收集平安法》,三部法令组成的数据庇护“三驾马車”才悉数登場,構成收集空間治理與数据庇护的法令大中正抽水肥,框架。针對跨境数据羁系,我國第一次有了體系性规范。
三部法令齐头并進,将给我國数据跨境羁系带来怎麼的變革?在全世界数据資本争取赛中,我國若何赢得自動权?
1.数据竞争:一個不公允的疆場
TikTok的头顶至今依然悬着一把叫“國度平安”的白,随時可能掉落。
三個月前,拜登签订行政号令,取缔對TikTok、微信和其他8款APP的買賣禁令。
但同時,美國當局留了背工。一項新的行政号令被公布,授权對美國之外的利用步伐開展遍及审查,以肯定是不是對美國平安组成威逼。
不出预感,這項新的行政号令出格夸大了中國事重要敌手之一,對美國構成為了“不成接管”的危害。
按照美國的《2018年外國投資危害审查現代化法案》,凡触及保护或采集美國公民敏感小我数据的任何投資買賣,都必需接管美外洋國投資委员會(CFIUS)的查询拜访。拜登签订新行政号令的法令根据即来自于此。
但是,该行政号令没有指明中方對美组成的“不成接管”的危害是甚麼,也没有阐明查询拜访的详细内容。明眼人都看得出,美國事在以平安為捏词,诡计打压他國企業的成长。
在特朗普時代,這一招便屡试不爽。
美國1977年公布的《國际告急經濟权利法》中有条特别划定,一旦总统認為國度长处遭到陵犯,便有权颁布發錶進入“告急状况”,可動用该法案對特定國度、组织和小我履行制裁。
這成為了特朗普對他國企業的進犯兵器。比方,他曾援用《國际告急經濟权利法》签订两項行政号令,制止受美國司法统领的任何人或企業與TikTok母公司字節跳動買賣,同時也制止與腾訊举行任何有關微信的買賣。
强压之下,TikTok與甲骨文签定“不服等公约”,容许甲骨文获得對TikTok源代码和更新後完备代码的拜候权限。换言之,TikTok全世界營業體系给甲骨文留了一道“後門”。
《國际告急經濟权利法》其實不是独一的兵器。在“國度平安”的口袋里,美國装了一箩筐行政号令,来谨防中國企業。
“干净收集规划”算一個。美國曾撮合列國建立“干净收集同盟”,在运營商、利用步伐、利用商铺、云端及電缆等5個范畴匹敌所谓的“中國威逼”。
實體清单是另外一個典范。2019年,大疆被列入该清单,“罪名”是“正在向中國當局供给美國重要根本举措措施和法律機構的数据”。而在拜登上台後,又有59家企業遭到制裁,捏词是“從事中國境外监控”。
极限施压與制裁暗地里,美國“霸权”心思昭然若揭。复旦大學國际瓜葛與大眾事件學院國际政治系傳授沈逸提出了一個十分贴切的辞汇来形容——“数字霸权”。
“在二战後的第三次科技革射中,美國在資本設置装备摆設、技能尺度、内容天生等方面都在全世界处于垄断职位地方,其對付收集資本分派和財產链關头环節的主导权,構成為了美國数字霸权的根本。”沈逸暗示。
比拟中國,欧洲遭到的“数字霸权”毒害更加深入。
2015年,欧洲法庭上呈現了使人震動的一快感凝露幕對话:
法官在法庭上提問:“若是我担忧本身的数据被美國政府把握,你能给出甚麼建议?”
欧盟委员會状师答复:“若是我有Facebook账户的话,可能會斟酌封闭本身的Facebook账户。”
Facebook這层窗户纸是被奥地利學生施雷姆斯捅破的。此前他向Facebook發送邮件,请求對方供给本身的信息資料。颠末数月交涉,他获得了跨越1200页的PDF文件,内里包括了大量三年来他已删除的、本不该被Facebook获得的小我信息。
原形被赤裸裸地揭開:泰西延续了15年的《平安港协定》——曾容许二者以“正當方法”傳输数据的互助协定,由于其没法對欧洲公民数据到達充實庇护程度,只能被宣判無效。
令《平安港协定》失效的根据,恰是美國早在2001年公布的《爱國者法案》。
依照《爱國者法案》的请求,辦事商必需把存储在美國境内的任何数据交给FBI监控,不管這些数据是不是属于美國人。也就是说,大量欧洲公民利用Facebook,因為他们数据存储于美國云端,FBI便有权监控。這與《平安港协定》的数据庇美食推薦,护条目违反,令後者沦為一纸空文。
更嘲讽的是,2018年,美國又經由過程了《澄清域外正當利用数据法案》,将FBI获得数据的权限,從“存储于美國的数据”扩大至“在美辦事商所把握的数据”,也即,即使用户数据存储于他國,只要辦事商是微软、Facebook等美國公司,這些公司就有义務向美國提交用户数据。
這令泰西厥後签定的数据傳输协定《隐私盾协定》再次被判無效。
在数据資本的全世界竞争中,美國多次挪用“法令兵器”,令遊戲變得不公允。一場数据主权保卫战刻不容缓。
2.“三驾马車”掀起数据平安還击战
在《数据平安法》和《小我信息庇护法》以前,我國捍卫数据平安更可能是寄托各行各業的“遊击战”。
零星在各行業的规范性文件记實了数据跨境的相干划定。比方,2005年出台的《计较機信息體系平安庇护条例》,對计较機體系平安、國际联網存案等方面做了具體划定;2013年《征信業辦理条例》,严酷管控征信機構向境外供给数据的情景。
按照文康-君益诚状师同盟马清泉状师的说法,這些行業条例由工信部等部分制订,具有“试水”的性子。“在立法前提還不可熟時,先經由過程条例辦理法子试水,在這個進程中發明問题、得到反馈,為後续立法作支持。”
《收集平安法》便是《计较機信息體系平安庇护条例》等规范性文件多年试水以後,第一個针對收集信息羁系的法令。苹果公司,则是在该法令出台後第一個被规范的境外公司。
果粉们應當還记得如许一封邮件:“自2018年2月28日起,與您的 Apple ID相联系關系的 iCloud 辦事将轉由「云上贵州」运營……”
這是苹果在海内創建iCloud数据中間的通知,發送時候為2017年7月,仅仅在《中華人民共和國收集平安法》公布一個月以後。
在這以後,iCloud账户操作密钥再也不存储于美國,我國羁系機構要進入用户iCloud账户获得信息,也不必經由過程美法律王法公法庭申请。
根据划定,在可能影响國度平安的情景下,“關头信息根本举措措施运營者”采購收集產物和辦事,需颠末國度平安审查。與此同時,其在海内采集和發生的首要数据理當在境内存储。
但是,對付作甚“關头信息根本举措措施运營者”,網安法并無给出明白划定。苹果更像是法令刚出台時羁系部分抓出的典范。
“最新两部法令公布後,‘三驾马車’對跨境数据羁系構成更完美的羁系框架,今後诸如苹果這一类事務有了更明白的法令抓手,之前模胡的地带也變得更清楚。”马清泉奉告「甲子光年」。
比方,《数据平安法》已明白将“首要数据”及其处置者纳入羁系范畴。针對首要数据,各部分将出台详细目次,履行分类、分级庇护。在這类“自上而下”的系统下,数据羁系有清楚尺度可依,再也不是“抓典范”。
汽車范畴已相應了如许的變革。
本年8月,在汽車主動驾驶變乱频發、行車数据查询拜访胶葛不竭時,工信部出台了《汽車数据平安辦理若干划定(试行)》(如下简称“划定”),将按照《中華人民共和國收集平安法》《中華人民共和國数据平安法》等法令划定對违法事項惩罚。
“划定”之于“三驾马車”,至關于子集與母集,“划定”将“三驾马車”中相干法则進一步细化至汽車行業中。根据划定,特斯拉颁布發錶在中國扶植数据中間,其在我國采集的小我信息种类、情境、目標、保留地址等,都由我國部分严酷审查。
除對境外公司增强“入境”羁系,最新法令框架下,本土公司数据“出境”,也将面對更严酷的审核。
滴滴事務是一则强烈的前兆。两個月前,在所有“滴滴企業版”相干APP被網信辦下架後,國度網信辦會同其他六部分结合進驻滴滴出行科技有限公司,展開收集平安审查。
北京互市状师事件所合股人黄凯状师奉告「甲子光年」,滴滴事務暴發後不久,網信辦公布了《收集平安审查法子(修订草案收罗定见稿)》,除针對外洋上市問题作出點窜,還弥补划定了《数据平安法》下数据平安审查相干的内容,该部門内容對基于数据平安展開的审查更有针對性。
具有大量敏感数据的本土互联網企業赴美上市难度将增长。“互联網企業未来要赴美上市,数据必需颠末我國網信部分严酷审核核准。”马清泉奉告「甲子光年」。
支持這個果断的根据是,SEC请求赴美上市企業供给完备审计草稿,而這不被我國新律例容许。中美两邊羁系冲突,挤压了企業的實操空間。
法令带来的變革,不但是给羁系层以强有力的抓手,更有使人振奋的還击条目。
《数据平安法》與《小我信息庇护法》中均有雷同的描写:任何國度或地域在数据操纵開辟、小我信息庇护等方面临我國采纳轻视性制止、@限%厨房水池過濾神器,2laJw%定或雷%S3rRc%同@辦法,我國可按照現實环境對等采纳辦法。
“這象征着,若是美國公司對TikTok等中國互联網企業倡议制裁,我國也可将境内运營的美國互联網企業列入‘黑名单’,若是網信辦認為其陵犯了海内用户隐私的话。”马清泉奉告「甲子光年」。
3.“過粗”又“细致”?
在审阅我國法令框架以前,先来看看列國数据庇护的法令底本——欧盟GDPR施行三年多面對的争议。
起首是法律上的“厚此薄彼”。
若是留心GDPR開罚单的记實,不难發明,名单上大可能是google、微软、Facebook、亚马逊這些“老脸孔”——“google5700万美元罚单”、“Facebook 2.7亿美元罚单”、“亚马逊8.87亿美元罚单”……稀有据统计,2019年google独有GDPR罚款总额的90%。
除這些互联網巨擘公司,其他企業甚少受惩罚,即使被罚款,亦十分轻细。而究竟是,相较于巨擘,绝大大都泰西互联網企業没有针對跨境的“危害合规”部分,這不难揣度,免于罚款的企業,其数据处置并不是都合适GDPR尺度。
由此,GDPR中“同一法则和法律同一”的划定被诟病為一则具文,欧盟法律被批判没有同一尺度。
這暗地里触及到了法令履行的难处——据欧盟内部统计,GDPR施行一年来,羁系機構接管处置的行政案件達27万件。德國陈述指出,数据庇护部分将近被這些案件压垮了,大量的案件已紧张故障正常运作。是以在处置案件上很难事無大小。
也就是说,虽然法令有明白尺度,但現實法律其實不是一回事。出于本錢收益考量,當局現實是“選擇性法律”。
這类掂量极端磨练當局的果断力。若是法律只是“杀鸡儆猴”,则危险了法令的权势巨子,比方,google、亚马逊曾屡次上诉,對欧盟罚单暗示“不平”,而這反過来又增长了法律本錢;若是法律過于夸大公允,则大量中小企業将受到繁重冲击。究竟结果,欧盟的一次腳後跟疼痛止痛貼,罚款,可能就會使其濒临停業的邊沿。
我國也必定會见临一样的困难。在《数据庇护法》與《小我信息庇护法》中,對跨境数据罚款亦有同一法则。如安在“至公司”與“小公司”之間掌控法律力度,将成為法令現實落地中面對的严重磨练。
更大的困难来自于“成长”與“规范”之間的掂量,這也是所有法令逃不開的命题。
美國立异中間陈述指出,GDPR過分参與微软等云辦事商與欧盟企業的互助,致使欧盟在AI方面的開辟和利用处于劣势状况。不但美國AI企業没法發挥,本土欧盟企業也在严羁系之下难以成长AI技能。
從2018年5月至2019年8月,在欧洲平台投放告白的需求量降低了25%至40%,很多美國企業已遏制其在欧洲網站上的所有步伐化告白,這令很多欧盟企業的成长大受冲击。
此問题在中國一样值得警戒。在软件范畴,仍有很多外洋企業盘踞首要市园地位。若何讓它们阐扬“鲶鱼感化”,經由過程适度竞争帮忙本土企業成长,法令所饰演的“怀抱衡”脚色相當首要。
固然,作為刚出台的法令,《数据平安法》與《小我信息庇护法》自己也有很多细節問题待摸索改良。总结来讲,問题分两种:“過粗”與“细致”。
“细致”的争议重要来自于小我信息庇护。
比方,在我國法令框架下,不管是境内仍是境外的小我信息处置者,在处置别人信息前,必需向本人告诉处置者姓名、接洽方法、处置目標、保留刻日等具體信息。作為比拟,欧盟最严数据庇护法令GDPR,仅请求錶露信息接管者的类型。
這會對現實落地造成困扰。精准投放告白時,一条小我信息,凡是會在毫秒级的時候内,經過APP利用、第三方数据供给商、告白主、告白处置软件等多方介入。若要事先逐一具體錶露信息,大数据技能恐难以有效武之地。
“過粗”的争议则源于权责划分等方面還没有明白,比方针對不法数据处置的惩辦。
若是违规处置小我信息,或是造成紧张信息泄漏的,信息处置者将依法被处以罚款、破產整理、撤消允许證等赏罚。但是,详细由哪些部分賣力履行,法令没有明白划定。
“法律部分不清楚會激發各类問题。若是這個事變有益于多個部分,那末這些部分可能會同時处置,造成冗余;而若是事務展開十分繁琐,又可能没有部分愿意牵头。”马清泉奉告「甲子光年」。
立法常常要履历從抽象到详细、從一般到特别的進程。在當下,“三驾马車”更大的意义,在于構建了周全的数据羁系框架。這比如一棵大树中,“三驾马車”構建了骨干,後续還必要更多行業羁系条例出台,充任“枝干”脚色,完美法令细節。
4.國度、企業、小我:三方的均衡點在哪?
在經典經濟學视角下,穿過一条条繁琐的法令法则,若是咱们站在更宏观的视角,法令不外是各方长处的均衡器。其终极目標是均衡社會长处與本錢,到達資本設置装备摆設效力最大化。
详细到数据跨境的情境中,相干法令是三方长处平衡的成果:國度平安长处、企業谋划长处、小我隐私庇护长处。
美國的選擇是國度平安與企業长处高于小我隐私庇护长处。
2020年全世界互联網公司市值前30强中,美國盘踞18席,苹果、微软、亚马逊、google独有前四席位。
按照社會學家库尔德里和梅西亚斯提出的理念,在一個社會中,從事信息根本举措措施扶植,可以或许将社會與經濟举動“翻译”成数字與信息的企業分為三种,一是挪動通信行業的硬件制造商,二是互联網平台运營者,三是專門從事数据營業的运營商。
對應到全世界,不难發明,三类企業均由美國垄断。硬件范畴有苹果、微软,互联網平台是Facebook、Twitter的全國,数据运營商则有甲骨文等企業,每個都曾盘踞市場半壁河山。
背靠壮大的信息气力,美國重要长处诉求即是巩固数字霸权,操纵权利安排全世界財產链。
與之對應的,作為“弱势”的一方,欧盟的长处天平较着方向于小我隐私庇护。GDPR對数据庇护的峻厉水平,几近跨越世界上任何一部法令。
欧洲具有5亿消费者,是全世界最大的互联網市場之一,却“惨败”于互联網竞争中:2020年全世界市值前30的互联網企業中,欧洲仅占4席;2019年欧洲政策钻研中間统计的云辦事散布环境,西方國度94%的数据都存储在美國公司的辦事器上。
面临美國從硬件到软件,從数据到算法的全方位“浸透”,欧洲夸大小我隐私,几多有些無奈。
依照沈逸傳授的说法,GDPR的长处掂量有雙重考量:一是束缚Google、 Facebook、Twitter如许的國际巨擘,“打他人家的孩子,本身不心疼”;二是庇护本土数字財產成长。
回到中國,跟着中美瓜葛磨擦日趋增多,國度长处、企業长处、小我长处三者掂量,比以往任什麼時候候都磨练羁系层的伶俐和能力。
长处的天平允在逐步歪斜。在曩昔20年里,中國互联網行業颠末“蛮横發展”,走出一批全世界领先企業,阿里、腾訊、字節跳動、京东等巨擘均位于全世界互联網公司市值排行榜前列。
但同時,赴美上市的滴滴、被大数据杀熟的消费者、被出賣人脸信息的用户、被算法安排的外賣骑手等事務接連暴發,屡屡涉及隐私庇护的底線,為中國数据治理缔造了跃迁的庞大契機。
小我隐私长处诉求晋升,這是海内成长的近况。另外一方面,當面临外部权势時,國度平安高于一切。
比欧洲荣幸的是,中國不管在硬件根本举措措施、互联網平台仍是数据运營商范畴,都有比前者强很多的堆集和气力。
《数字中國成长陈述(2020年)》显示,2020年,我國数字經濟总量跃居世界第二,数字經濟焦點財產增长值占GDP比重到達7.8%。在5G、人工智能、高機能计较、量子计较等范畴,我國成為全世界最大的專利申请来历國,位列“全世界立异指数”第14位。
但要實現内生成长,還需得當的“防御”手腕。
印度是最佳的“背面课本”。印度软件公司Infosys前CEO曾暗示,“中國企業没法打進美國,而有些美國企業又在中國被各种法令律例所禁。成果最後,它们就都来印度了。”
放任外洋企業進入的後果即是,印度本土数字財產始终难成长。2016年起,印度網民倡议了一波又一波“挽救互联網”活動,印度企業家也纷繁参加“Indiatech”组织,抵挡Facebook等企業。压力之下,印度當局點窜了電商、金融等范畴多条法律,對亚马逊等巨擘下達禁令,這才停息了本土长处團體的肝火。
“很难想象若是咱们昔時放任Facebook、Twitter等企業進入,還會不會有中國互联網企業成长空間。”马清泉说。
2017年,《經濟學人》在封面文章中写下,数据将代替煤油,成為新期間最首要的資本。
回首曩昔100年的“煤油期間”,环抱煤油這一世界上最首要的能源,战役此起彼伏,世界政治秩序和經濟款式也都創建在煤油之上。
反观数据這一“新期間的煤油”,它也势必成為此後列國竞相争取的最有價值的資本,也也许将再一次决议世界經濟款式,甚至政治秩序。
以法令為东西、以数字財產气力作保障的数据資本争取战正在打响,中國早已入局。
但添加後你可以:。
一、一探朋侪圈黑貨
二、有事實時找到咱们
頁:
[1]