“滴滴”事件背后的數據監管與國家安全
作者:何興馳 2021-07-08一、問題的提出:滴滴出行與國家安全?
2021年6月30日,“滴滴出行”于美國悄然上市。 7月2日,中國網絡安全審查辦公室(以下簡稱“網信辦”)發布通告:為防范國家數據安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對“滴滴出行”實施網絡安全審查。為配合網絡安全審查工作,防范風險擴大,審查期間“滴滴出行”停止新用戶注冊。 兩天之后的7月4日,網信辦再次以“存在嚴重違法違規收集使用個人信息問題”為由,依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架“滴滴出行”App,要求滴滴出行科技有限公司嚴格按照法律要求,參照國家有關標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。 從滴滴上市的招股說明書中可以看到,滴滴創始人、董事長兼CEO程維持股7%;滴滴聯合創始人、總裁柳青持股1.7%;而日本軟銀愿景基金(Soft bank Vision Fund Entity)持股高達21.5%;Uber持股12.8%……如果從股權和投票權上分析,滴滴創始人、董事長兼CEO程維雖然持股7%,但是擁有15.4%的投票權;滴滴聯合創始人、總裁柳青持股1.7%,投票權6.7%。另外,滴滴所有董事和高級管理人員持股比例合計10.5%,投票權20.1%。但因為公司的話語權最終由股權決定,因此不難看出滴滴出行上市后,日本軟銀因持股高達21.5%,投票權21.5%,而高居大股東之首。相比之下,國內機構的持股比例就小的多。所以,外資在滴滴出行中享有絕對的控股權,即滴滴上市后成為了一家由外資控股的中國公司。 那么,為什么滴滴會牽涉到《國安法》與《網絡安全法》之中呢?也許,2020年“tiktok訴特朗普政府”[1]一案可以為這一問題打開思路。 二、類案分析:從TIKTOK案件看數據監管與國家安全 (一)案件背景 2020年8月6日,美國特朗普政府根據《國際緊急經濟權力法》(以下簡稱IEEPA)對TikTok及其母公司ByteDance實施制裁,禁止美國公司與其進行一切“交易”,與此同時,特朗普總統援引他在美國外國投資委員會(以下簡稱CFIUS)法定框架下的權力,分別下令TikTok的母公司ByteDance在90天內剝離TikTok的股份。針對該份行政令,TikTok和ByteDance于2020年8月24日牽頭向美國加利福尼亞州巡回法院提起訴訟,認為IEEPA命令違反了憲法以及IEEPA的法定限制,因此應該被禁止。 (二)TIKTOK公司的法律意見 在長達39頁的訴狀中,針對國家安全問題,TIKTOK的辯稱主要集中在以下2點: 1、根據IEEPA,威脅國家安全的行為僅限定在兩種情況之中:恐怖主義和大規模殺傷性武器的擴散(terrorism and proliferation of weapons of mass destruction)[2]。TIKTOK是一家美國公司,且沒有上述兩種行為。 2、特朗普政府猜測該應用程序可能會被中國政府操縱。但是,美國政府很清楚,TIKTOK已經采取了非常規措施來保護其美國用戶數據的隱私與安全:第一,TikTok的結構是為了幫助保護美國用戶數據的隱私和安全。這些保護措施始于TikTok收集用戶數據的做法。TikTok根據其隱私政策收集其用戶的有限數據。對于收集的用戶數據,TikTok優先考慮其安全存儲。訴訟時在美國提供的TikTok版本(即主要受被告美國政府的非法禁令影響的版本,也是申訴關注的版本)將所有美國用戶數據存儲在美國和新加坡的服務器上,通過軟件控制將其與其他ByteDance產品和服務相關的數據隔離。TikTok沒有在中國存儲任何美國用戶數據。第二,在存儲時,美國用戶數據使用行業標準的密鑰管理服務(“KMS”)加密算法進行加密,且該算法由TikTok的美國安全團隊管理。第三,TikTok公司和ByteDance都沒有向中國政府提供TikTok的用戶數據,中國政府也從未要求提供TikTok用戶的數據或對TikTok內容進行審核。 (三)針對TIKTOK公司辯稱的法律分析 TIKTOK雖然從公司性質以及技術處理上論述了其保護美國公民數據的全面性,但其始終沒有從正面回應一個問題,即總部Bytedance位于中國,因此受中國的司法管轄,包括國內法律框架,并且毫無疑問,它有法定義務與中國政府合作。 通過上述分析不難發現,TIKTOK訴特朗普政府一案的實質在于,位于美國的TIKTOK與位于中國的總公司字節跳動分享其所收集的數據當然不存在問題,但美國政府擔心的是,一旦中國政府強制要求字節跳動將其子公司TIKTOK所收集的美國用戶數據交由政府,字節跳動是否有權利說“不”,而答案明顯是否定的。而當下的“滴滴“事件,難道不是該案件時隔一年后的再現嗎?不同的是,這次擔心數據泄露的是中國政府。于是不難理解,為何此次“滴滴”事件會涉及到《國家安全法》的相關條文。 三、數據安全為何如此重要? 美國政府在TIKTOK案件中的單邊主義措施,實際反映了數據跨境自由流動與保護國家安全之間的緊張沖突。 美國“棱鏡門”事件已經從反面證實了數據的跨境流動關乎國家利益、產業利益與風險控制三者之間的動態平衡。寬松的數據跨境流動規則有利于產業數字化發展,但會增加風險控制難度,對發展中國家來說可能損害其國家利益,對發達國家來說則有助于其通過數據實施全球經濟控制。嚴格的數據跨境流動規則不利于產業數字化發展,但會降低風險控制難度,對發展中國家來說可以避免發達國家的數據霸權。但總的來說,無論是寬松還是嚴格的數據跨境流動規則,均會在國家安全、個人隱私保護、商業利益保護等方面帶來挑戰。 數據跨境流動帶來的國家安全威脅擔憂并非沒有道理。在世界各國數字產業發展嚴重失衡的情況下,數據由發展中國家不斷積聚到發達國家,可能助長數據霸權的形成,并進一步演化為單邊主義的又一重要武器,加劇全球經濟發展的失衡狀態,深化發展中國家對發達國家的經濟依附。[3]此外,大數據、人工智能等技術的不斷進步,使隱藏在數據中的人類行為模式被識別出來,包括食物喜好、生活習慣、健康狀況、職業選擇偏好等等。通過自由的數據跨境流動,利用大數據分析,一國可能對他國的社會狀況進行精準畫像,并有針對性地開展情報收集和研判等工作,威脅他國國家安全。為此,發展中國家必然對本國領土內的互聯網設備、數據收集、傳輸、使用采取限制或禁止的態度,以保護國家主權的不受侵害,而國家安全挑戰亦將成為發展中國家包括我國制定數據跨境流動規則的重要考量因素。 在“一帶一路”倡議之下,我國與“一帶一路”沿線國家經貿交往日益增多,貨物貿易、服務貿易流程與內容的電子化和數據化已經成為不可逆轉的趨勢。為此,在數據跨境流動的問題上,我國既有對等反制數據流向美國的法律工具需求,又有強烈的經濟發展現實法律保障需求。 四、數據跨境流動規則的框架性構建 在我國數據跨境流動規則的構建方面,有學者提出應結合我國產業發展情況、法律現狀與風險管控能力以及與國際規則互動情況,在借鑒國際組織及歐盟、美國等發達國家在數據跨境流動國際合作中的有益工具如CBPR體系“隱私盾”、GDPR下的“企業約束規則”(BCR規則)的基礎之上穩步推進。[4]筆者贊同此種觀點,但認為此種方式仍然有進一步細化的空間。 如前文所述,數據跨境流動規則關涉到數字貿易的順利開展。嚴格的數據跨境流動規則將會對數字貿易的開展起到抑制作用;但寬松的數據跨境流動規則在便利數字貿易的開展的同時,又可能造成數據泄露或數據濫用。因此,我國在構建和完善數據跨境流動監管規則時,應著重從三個維度進行考量:一是我國數字貿易產業的發展狀況;二是我國現有的數據跨境流動的監管規則;三是我國參與相關國際合作的情況,并在三者之間形成動態平衡。 (一)考量我國數字貿易產業發展情況 一國對待數據跨境流動的立場與本國的數字貿易發展狀況息息相關。通常來講,數字貿易產業先發國家為了進一步便利本國企業的世界擴張,傾向于主張數據的跨境自由流動;而數字貿易產業發展較弱的國家,則無強烈的數據跨境自由流動的現實需要。[5]實踐中主要國家的立場選擇也佐證了上述論述。 但我國卻存在數字貿易發展與數據跨境流動規模不相匹配的狀況。從國內產業發展看,阿里巴巴、騰訊、平安、華為等科技公司已經在跨境電商、跨境支付、跨境金融普惠、信息服務等數字貿易領域形成了領先優勢,從理論上講,數據流動規模應當相應匹配數字貿易的發展。但根據麥肯錫測算,我國數字經濟規模在穩居全球數字經濟第二大市場的情況下,網絡中數據流動量卻僅位居全球第八位,僅為美國的20%。與龐大的數據經濟體量相比,我國數據流動規模過小。[3]為此,需要考量我國數字貿易產業發展狀況與跨境數據流動的規模不成比例的現狀,我國在構建和完善數據跨境流動法律規則時,應當在謹慎管控風險的基礎上,適當放松對數據跨境流動的限制。 (二)考量我國目前的數據出境管控規則 總體而言,我國對數據跨境流動持較為審慎的態度。例如,《網絡安全法》第三十七條要求個人信息和重要數據原則上不能出境,只有業務確有需要,且經過安全評估后才能出境。而在涉及具體行業或領域數據的出境方面,我國也有相應法律規范進行了嚴格限制。例如,征信機構要求在中國境內采集的信息應當在中國境內進行處理;互聯網地圖服務單位應當將存放地圖數據的服務器設在中華人民共和國境內等,且在監管數據出境的安排上,主要也是由各行業主管機關負責對本行業內企業數據跨境傳輸進行監管。與此同時,在法律規范層面對數據的跨境流動也實行嚴格管理,包括數據本地化要求、安全評估等有助于為各監管部門加強數據出境的風險管控能力。但也應當看到我國目前數據出境監管制度存在著不足。首先,規定過于原則,存在制度漏洞,未明確“個人數據”“重要數據”“業務確有必要”的具體情形以及安全審查的具體要求和流程,缺乏可操作性。而對其他數據是否應當執行安全審查卻并未做出回應。其次,《網絡安全法》中的個人數據和重要數據與其他行業數據存在交叉,在監管的體系安排上就可能出現“多龍治水”的局面,或者形成監管重疊或者形成監管漏洞,缺乏監管協調機制。最后,原則上一刀切的措施不允許個人數據和重要數據出境,不利于我國數字貿易的發展,也不符合數字經濟全球化的進程趨勢。 要解決這一問題,建立新型的數據分類審核制度、落實數據控制主體則變得至關重要。可根據是否能夠識別特定個人、占有主體的不同,將數據分為個人數據、商業數據以及特種行業數據三大類別。[7]由行政監管履行監管總職責;行業協會、專業服務機構參與安全評估;同時落實數據保護的自查責任。 (三)考量我國與國際規則的互動情況 在經貿領域,我國新近加入的《區域全面經濟伙伴關系》(RCEP)通過電子商務一章對數字貿易中涉及的數據跨境流動問題做出了回應。具體包括:(1)線上個人信息保護。要求在制定保護個人信息的法律框架時,每一締約方應當考慮相關國際組織或機構的國際標準、原則、指南和準則;每一締約方應當公布個人如何尋求救濟,以及企業如何遵守法律要求的相關信息;締約方應當鼓勵法人通過互聯網等方式公布其與個人信息保護相關的政策和程序;締約方應當在可能的范圍內合作,以保護從一締約方轉移來的個人信息。(2)網絡安全。包括加強主管部門的能力建設,交流最佳實踐,開展國際合作。(3)原則上允許電子商務下數據的跨境流動,除非為了實現合法的公共政策目標或為了保護國家安全利益。 在數字貿易背景下,我國也在積極就數據跨境流動的議題與其他國家達成合作,但同時堅守自己的立場選擇,有選擇性地開展數據跨境流動監管合作的談判。就已經達成的RCEP而言,我國下一步會按照協定中有關數據跨境流動的具體規則內容進行國內法的構建和完善。但是,應當明確的是,目前我國與其他國家或地區達成的有關數據跨境流動的協定相對較少。為了積極應對數據貿易全球化的趨勢,在國際規則層面,我國應當加強對USMCA、CPTPP、GDPR等中有關數據跨境流動規則的研究,在國內立法層面積極完善我國的數據保護規則,為后續參與國際數字貿易磋商提供國內法依托。 五、結語 我國在構建數據跨境流動規則的過程中應當處理好國家安全維護、數據主體權益保障、經濟貿易發展需要之間的利益平衡關系。在信息通信技術與經貿全球化深度耦合背景下,應當承認數據的跨境流動是絕對的,而對數據流動的限制是相對的。我國目前缺少專門的法律規范以推動數據跨境流動的有序進行,既不利于我國數字貿易的全球化開展,也不利于國家安全和個人隱私等的有效維護。 為此我國亟需制定數據跨境流動的法律規則,以適應全球貿易的數字化趨勢。在數據跨境流動法律規則的制定上,我國應當依據不同數據類型體現的國家安全、公共利益、數據主體利益的不同對數據流動進行分類規制,并在法律層面明晰各類數據的范圍。同時,落實數據監管的責任主體,鼓勵行業協會、專業服務機構參與安全評估。 注釋 [1]Robert Chesney. Will TikTok Win Its Lawsuit Against Trump? https://www.lawfareblog.com/will-tiktok-win-its-lawsuit-against-trump. 最后訪問日期:2021年7月7日。 [2]See 47 U.S. Code § 230 - Protection for private blocking and screening of offensive material. [3]參見竺彩華《:市場、國家與國際經貿規則體系重構》,載《外交評論(外交學院學報)》2019年第5期。 [4]馬其家,李曉楠.論我國數據跨境流動監管規則的構建[J].法治研究,2021(01):91-101. [5]同上注。 [6]麥肯錫全球研究院:《中國與世界:理解變化中的經濟聯系》,https://www.mckinsey.com.cn/wp-content/uploads/2019/12/中國與世界%EF%BC%9A理解變化中的經濟聯系-中文全文-Final.pdf。 [7]根據GDPR定義,個人數據是指已識別到的或可被識別的自然人(“數據主體”)的所有信息,這也被稱為個人數據的“可識別標準”;商業數據是指一個產業,其價值鏈上各個重要環節的歷史信息和即時信息的集合,其內容包括商業企業內部數據、分銷渠道數據、消費市場數據等,具有重要的經濟價值;對特種行業數據則一般針對電信、金融、石油、電力等關鍵行業數據而言。
