许可:《数据安全法(草案)》的三大近忧和两大远虑
原标题:许可:《数据安全法(草案)》的三大近忧和两大远虑
文 | 许可 (对外经济贸易大学互联网法治研究中心执行主任)
在世界越来越像电影《黑客帝国》的今天,数据早已经成为企业资产、国家资源和我们每个人的存在形式之一。因而毫不奇怪,《数据安全法(草案)》甫出,就引发坊间热议。如何看待这部七章五十一条的法律草案?我想,答案肯定是瑕瑜互见。而在面向公众征求意见的重要关口,我们不妨略过立法亮点部分,且谈谈其中可能的近忧与远虑。
数据安全法的近忧
所谓“近忧”,即因草案中那些具有约束力的操作性条款中的瑕疵,而引发的担忧。作为以强制性规范为主要内容的法规,该等条款多有,在此仅举出三例。
其一,草案第27条规定:“发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。”该条源于《网络安全法》第42条第2款“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”,看似并无不妥。但事实上,数据安全事件的范围远比个人信息泄露、毁损、丢失的情况更广,大量的安全事件更可能关乎国家安全和社会利益,而非个人权益。将用户和政府机关作为同等顺位的被通知人,不但可能轻重失衡、贻误时机,而且还将给数据处理者带来通知重负,而用户也可能因频繁的通知,丧失对真正风险的警惕。考虑到安全事件集中处理的效率,建议将网信部门作为安全事件报告的第一接收人,若用户可能因之受损,则有权在合理期限内获得通知。
其二,草案第33条规定:“境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。”该条旨在应对包括《美国澄清境外合法使用数据法案》(CLOUD Act)项下的数据跨境调取措施,合理正当。然而,魔鬼都在细节中。比如,这里的“执法机构”是否包括司法机关?这里的数据是否包括“非电子形式的数据”(第3条)?更严重的问题是到底何为“存储于中国境内的数据”?是否包括存储在位于中国的云服务器上的他国数据?显然,这些问题的回答影响重大。事实上,国家网信办《个人信息出境安全评估办法(征求意见稿)》第2条已经说明其规制的对象限于“中华人民共和国境内运营中收集的个人信息”,而《信息安全技术数据出境安全评估指南》(征求意见稿)进一步明确:境外数据经由中华人民共和国中转,未经任何变动或加工处理的情形不属于数据出境。为此,建议将“存储于中国境内的数据”改为“在中国境内收集的电子数据”,以免误解。
其三,草案第41条规定:“有关主管部门在履行数据安全监管职责中,发现数据活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈。有关组织和个人应当按照要求采取措施,进行整改,消除隐患。”《互联网新闻信息服务单位约谈工作规定》项下的约谈制度,就此在数据安全领域得以确立。作为一种富有柔性色彩的规制工具,约谈在一定程度上修正了当前的行政执法困境,而从惩罚强制到劝服建议的转变,也有助于提升监管实效。但毋庸讳言,实践中,约谈也暴露出强制化、随意化、过度化的痼疾。为此,《食品安全法》《大气污染防治法》等法律均将约谈限定由省级以上行政机关行使,草案亦应萧规曹随,将“有关主管部门”修改为“有关省级以上主管部门”。
数据安全法的远虑
每个人都囿于诺贝尔经济学奖得主理查德·塞勒所发现的“现时偏见”(present bias)——更重视眼前的风险,而忽略未来的成本。因此,除了近忧,我们还需要认真对待草案可能的远虑。所谓“远虑”,就是对草案中那些虽然当下无法执行但未来会产生重大影响的条款的忧虑。该等条款集中体现在第三章“数据安全制度”中。种种“国家建立某某机制”的表述固然不会即时发挥约束力,但其表明了国家立场和宣誓,不但有着强烈的信号功能,也有着授权立法和计划立法的实质效果。因而,对于其中可能的问题,不能不慎思明辨。
例如,草案第19条第2款规定:“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。”该款虽未明确“重要数据”的内涵和外延,但其从程序角度确立了“重要数据”的认定主体。但这一规定是否恰当?鉴于“重要数据”一般具有攸关国家安全的高度敏感性和自身特有的流动性,若将其交由各地自行决定,不仅可能不当扩大或缩小重要数据范围,还可能导致数据跨地区流动和处理,引发法律规避。为此,不妨汲取《保守国家秘密法》和《保守国家秘密法实施办法》的经验教训,限制重要数据认定权授予、设置严格认定程序、强化认定结果监督。为此,建议由中央国家机关划定重要数据的类型,各地区在上述划定范围内有权确定本地区重要数据目录,在不同地区出现冲突的情况下,可上报中央网信部门决定。
再如,草案第22条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。”数据安全审查制度并无先例可循,其出台应慎之又慎。与我国网络安全审查和外商投资安全审查的审查对象不同,数据活动囊括了数据的收集、存储、加工、使用、提供、交易、公开等各种行为,是普遍化和常态化的商业行为,不加区分地纳入国家审查范围,必然面临选择性执法,甚或排挤外国企业的质疑。不仅如此,数据安全审查往往是事后而非事前启动,这将极大破坏经济活动和法律环境的可预期性,近期,印度政府封禁中国59家APP便是一个典型的反面例证。
而免于司法审查的“最终决定”必将进一步增加外界的疑虑。可以预料,一旦法律通过,这一制度必将遭受《情报法》第七条“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密”和《网络安全法》第37条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”同样的命运,成为西方批评中国网络立法进而反制海外中国企业的关键证据,尽管我们皆知相关条款或者没有新设义务,或者迄今仍未实施。殷鉴不远,对于此类既充满争议,又不可能立刻发挥效力的制度,建议立法应藏锋敛锷,万不可授人以柄。
在《<数据安全法(草案)>起草说明》中,立法者将数据安全法视为数据领域的基础性法律。鉴于数据在数字经济中的核心地位,这部法律未尝不是中国社会的基础性法律。正因如此,数据安全法的制定不但需要政治决断,而且需要广泛而深入的研究、讨论和反思,方不致令数字时代的社会经济成为无本之木、无源之水。
(文章仅代表作者观点。责编邮箱:yanguihua@jiemian.com)