日前,国家安全机关破获一起为境外刺探、非法提供高铁数据的重要案件。上海某科技公司为谋取利益,持续采集、传递数据给某境外公司。
这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。而在此之前,国家安全部门就有公布三起危害重要数据安全案例:
① 境外间谍情报机关精心谋划针对某航空公司进行网络攻击
2020年1月,某航空公司向国家安全机关报告,该公司信息系统出现异常,怀疑遭到网络攻击。国家安全机关立即进行技术检查,确认相关信息系统遭到网络武器攻击,多台重要服务器和网络设备被植入特种木马程序,部分乘客出行记录等数据被窃取。在进一步排查中发现,另有多家航空公司信息系统遭到同一类型网络攻击和数据窃取。经深入调查,确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施,攻击中利用了多个技术漏洞,并利用多个国家和地区的网络设备进行跳转,以隐匿行踪。
② 某境外咨询调查公司秘密搜集窃取我国航运数据
2021年5月,国家安全机关工作发现,某境外咨询调查公司通过网络、电话等方式,频繁联系我国大型航运企业、代理服务公司的管理人员,以高额报酬聘请行业咨询专家之名,与境内数十名人员建立“合作”,指使其广泛搜集提供我国航运基础数据、特定船只载物信息等。进一步调查掌握,相关境外咨询调查公司与所在国家间谍情报机关关系密切,承接了大量情报搜集和分析业务,通过我境内人员所获的航运数据,都提供给该国间谍情报机关。
③ 李某私自架设气象观测设备,采集并向境外传送我气象数据
2021年3月,国家安全机关工作发现,我国某重要军事基地周边建有一可疑气象观测设备,具备采集精确位置信息和多类型气象数据的功能,所采集数据直接传送至境外。调查掌握,有关气象观测设备由李某网上购买并私自架设,类似设备已向全国多地售出100余套,部分被架设在我重要区域周边,有关设备所采集数据被传送到境外某气象观测组织的网站。该境外气象观测组织实际上由某国政府部门以科研之名发起成立,而该部门的一项重要任务就是搜集分析全球气象数据信息,为其军方提供服务。
2021年9月1日正式施行的《中华人民共和国数据安全法》除了在数据分类分级保护、政务数据的利用、数据安全审查制度等方面作出规定外,还对数据出境和跨境传输方面作出了明确的规定。
一、确立数据安全的宗旨,明确域外效力
《数据安全法》第二条第二款规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”
这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》必要的域外适用效力。
这一规定以“后果论”为标准,域外的数据活动给我国国家、社会、公民利益带来损害的,相关组织或个人应被追究法律责任,确立了我国的对数据管辖权的“长臂管辖”,进一步明确了维护国家数据安全的决心。
站在企业合规的角度,以中国公民为数据处理对象,或者数据处理活动对中国可能产生实际影响的境外主体,都需要履行《数据安全法》的安全义务,为跨国企业面向中国提供服务、开展数据活动提供了依据。
二、确立数据跨境的必要,促进数据跨境的安全和自由流动
《数据安全法》第十一条规定:“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”
这条规定体现了我国对数据跨境传输的基本准则。国家积极利用数据可以跨国流通这一特性,大力发展数据相关产业,但需以“安全”作为前置要求,体现了我国对数据跨境传输在安全上的重视程度。
综合全球来看,数据已经成为一种全新的国际竞争领域。2020年,我国向国际社会公开呼吁全面客观看待数据安全问题,维护全球信息技术产品和服务的供应链开放、安全、稳定,并发出《全球数据安全倡议》。如今随着《数据安全法》的出台,进一步提升了我国对于数据主权的竞争优势。
三、确立了关键基础设施运营者的数据出口管制
《数据安全法》第二十五条规定:“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。”
目前我国在物品、技术等领域均有严格的出口管制制度,以《对外贸易法》、《技术进出口管理条例》等规定规制。在技术领域,2020年我国更新了《中国禁止出口限制出口技术目录》,以清单管理的方式,将大数据分析等有关技术列入目录。
但在数据领域,我国的出口管制还不完善,除了《网络安全法》第三十七条规定了“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估……”,其他领域的数据出口管制并未有明确规定。
在个人信息保护领域,《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》均未生效,未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认,《数据安全法》目前为将来的配套措施出台留下了空间。
四、确立重要数据出境安全管理制度
《数据安全法》第三十一条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,应当适用《网络安全法》第三十七条提出的“一般情形+例外规定”,即“关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定”。可见作为关键信息基础设施领域,数据的境内存储是基本原则,出境是例外,并且数据的出境安全评估是必须实行的一项工作。
对于其他数据处理者在境内运营中收集和产生的重要数据,目前可参考的相关规定是2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景。
虽然《数据安全法》没有明确规定对非关键信息基础设施运营者进行数据跨境传输的具体要求,但其首次在法律层面明确了相关要求将由国家网信部门会同国务院有关部门通过部门规章予以规定,为后续制定、出台相关具体部门规章和条例提供了法律依据和立法展望。但在此之前,有跨境数据传输需要的企业可参照参照《个人信息和重要数据出境安全评估办法》(征求意见稿)》以及《信息安全技术数据出境安全评估指南(草案)》进行数据跨境传输的合规审查。
五、严格规制面向境外司法或者执法机构的数据出境活动
《数据安全法》第三十六条规定:“……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
随着经济全球化及中国经济发展,尤其是中国互联网企业出海,越来越多的行政执法、司法活动中涉及针对中国境内数据的获取。对于企业来讲,遇到境外执法、司法活动,要求提供中国存储的数据时,应报请中华人民共和国主管机关批准,不能私自直接提供。
这一条款制定的背景,是当今数据竞争的⽇益激烈,各国都在试图扩⼤数据⽅⾯的管辖权。2018年3月,在微软爱尔兰数据案之后,美国国会通过《澄清海外合法使用数据法》(ClarifyingLawful Overseas Use of Data Act(CLOUD),简称“云法案”),其中第103(a)(1)条规定“电子通信服务提供商和远程计算服务提供商应当依据本章规定,保存、备份或披露其拥有、监管或控制的用户通讯数据、记录及其他信息,无论该等通讯数据、记录及其他信息储存于美国境内或境外”,从而为美国数据领域的“长臂管辖”规则提供了基础,使得执法部⻔可依据搜查令直接调取境外数据。同样在欧洲,2019年11月,欧洲数据保护委员会(EDPB)对GDPR第三条进⾏统⼀解释,并发布了GDPR地域适⽤的指南,明确了符合“营业机构”标准或“⽬标指向”标准其中之⼀的数据处理者和控制者,均需要遵守GDPR的规定,确立了欧洲在数据领域的“长臂管辖”。
在这一背景下,我国《数据安全法》的规定充分体现了我国维护数据主权和国家安全的决心。关于数据出境对责任人的处罚,《数据安全法》明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也是企业在对抗境外执法或司法机构可能的数据调取要求时的抗辩理由之一。
但该条仅规定了跨境司法或执法机构协助数据传输的原则性要求,未明确企业如何申请获得相关批准,因而需要主管部门后续出台实施细则进一步明确具体审批要求。我们也将持续关注相关法律制度的更新和完善情况,并在后续的专业文章中予以探讨。