2019/11/28

“数据主权”浪潮下企业如何构建全球数据管理体系 ——兼评美国《国家安全与个人数据保护法》提案

引言

2019年11月18日,美国国会共和党参议员,参议院司法委员会犯罪、恐怖主义与国土安全小组主席Josh Hawley向参议院提交第2889号提案——《2019国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)[1] (“《提案》”),再次引发了各方关于数据保护、跨境传输等方面话题的热议。尽管目前《提案》仅处于提交参议院的阶段,在其正式通过生效前,还至少需要参议院通过、众议院通过并最终由总统签署,但《提案》基于安全目的的规则设置凸显了“数据主权”的理念,值得所有企业警惕,并提前布局做出应对方案。

1. 《提案》的目的和主要内容

一言以蔽之,为阻止用户数据向中国和其他可能威胁美国国家安全的国家传输 [2],《提案》界定了特别关注国家(Country of Concern,“COC”,包含中国、俄罗斯等)[3] 和特别关注科技公司(Covered Technology Company,“CTC”) 。[4]《提案》对涉及COC及CTC的用户数据(User Data,其中用户包含拥有美国国籍、持有美国护照的citizen,以及拥有居民身份residency的自然人) [5]收集、使用、存储和传输进行了重点关注,也相应提出了一些普适的通用要求。具体而言:

重点条款

针对CTC

通用要求

重点解读

数据收集

最小化原则

仅能收集为运营网站、服务或应用所必需的最小限度的用户数据[6]

N/A

借鉴了主流数据保护立法的思路,对CTC收集使用用户数据提出了较高的要求,可能对CTC的数据使用目的等产生限制,一定程度上可能提升CTC的运营成本、限制技术发展的空间

数据使用

次要用途限制

禁止将收集的用户数据用于次要用途,含定向广告、不必要的共享、以及发展人脸面部识别技术[7]

用户权利

访问权、删除权[8]

报告义务

定期(至少每年)向相关部门进行报告[9]

数据传输

禁止向COC直接或间接传输任何用户数据或可能用于破译该数据的信息(如加密密钥)[10]

对CTC而言,即便是在美国境外收集的美国公民或居民的用户数据将可能无法本地化存储,涉及COC国家的用户数据及相应密钥的传输也将可能受到严格限制

数据存储

不得在位于美国境外(或任何与美国订立司法协助协议的国家)的服务器或存储设备上存储任何美国公民或居民的用户数据或可能用于破译该数据的信息[11]

禁止在COC境内的服务器或存储设备上存储在美国境内收集的个人用户数据或可能用于破解该数据的信息[12]

例外情形

(1)CTC为提供与COC无关的、司法或军事协助的目的收集、使用、保留、存储或共享用户数据;和(2)共享内容传输的情形(即用户生产内容的目的即是与其他用户共享,如社交媒体信息、电子邮件信息)[13]

罚则

刑事责任(5年以下监禁)及民事责任[14]

 不难看出,《提案》从美国公民和居民的用户数据角度切入,对于跨国开展业务的CTC(尤其是涉及COC国家的企业),建立了明确的数据回传美国和本地化存储要求,同时对于用户数据的输出进行了严格管制,一旦严格实施很可能切断向COC传输美国公民和居民的用户数据的路径。此外,尤为值得关注的是,《提案》中明确提出了定向广告和人脸识别技术相关的数据使用限制,定向广告是目前大数据主要商业应用之一,而人脸识别技术则是个人真实身份标识的重要获取方法,如按照其中规定严格执行,相关企业甚至整个行业将面临巨大的变革。

一方面,《提案》的严格规定很可能脱胎于对美国国家安全的高度关注,但同时,《提案》一定程度上也在规制思路和要求等方面映射出其他主要司法辖区数据立法的影子,显露出其与“数据主权”浪潮之间同样密不可分的联系。

2. 安全与法律秩序的重构:“数据主权”浪潮

事实上,“数据主权”或者说数据资源控制立法的浪潮,早已不是新鲜话题。随着大数据、云计划、物联网以及移动互联网等新一代信息技术的普及推广,个人数据的安全保护以及数据资源的开发利用已迅速在主要司法辖区之间铺开,不同国家/地区对于数据安全和数据资源的高度重视不约而同地具化成为数据本地化和跨境数据传输等法律规则。

以《提案》为例,其表达出对美国公民或居民的用户数据控制意愿,一定程度上延续了美国《澄清域外合法使用数据法案》(CLOUD Act)中肯定美国执法机关对美国企业“控制”的境内外数据均享有“主权” 的思路[15]。类似的,欧盟《通用数据保护条例》(GDPR)也以普遍适用(即包含所有针对欧盟用户提供产品和服务的企业)的同等保护水平从安全角度建立了个人数据外流的管控体系,俄罗斯、印度等国家/地区也纷纷通过本地化等规则、以期确立对数据的控制。与其他司法辖区类似,中国《网络安全法》及《数据安全管理办法(征求意见稿)》中也从网络安全和数据安全等角度提出了部分数据本地化和出境安全评估的要求,反映出对数据管控的考量和关注。

综合而言,从立法技术上看,目前各司法辖区主要通过两种路径确立对数据的控制:

1) 以地域为主的控制,即对司法辖区内收集、产生的数据提出控制要求,例如印度中央银行要求位于印度的支付企业在印度本地存储数据;

2) 以本地公民和/或居民为主的控制,即对收集本司法辖区公民和/或居民数据的企业或组织进行控制,例如《提案》等。

同时采取两类路径“双管齐下”无疑将得到更好的数据管控收效,但也引发了秩序重构的紧迫必要性。以美国CLOUD Act和欧盟GDPR为例,对于在美国设立的而在欧盟境内存储用户数据的企业(例如CLOUD Act立法背景下的微软公司),按照美国CLOUD Act规定,美国国内司法部门将有权向其调取境外存储的数据证据;相对的,GDPR则对个人数据从欧盟输出进行了严格的限制,除非满足充分性认定、保障措施、国际协议等前提条件,个人数据将难以对外传输。为此,该等企业一旦面临美国国内司法部门的调取要求,将需要在美国和欧盟两类法律体系之间进行协调和应对。

如前所述,一定程度上,这样的法律秩序重构将无法避免短期内的冲突与矛盾,尤其是当全球化的跨国企业尚未能在数字经济时代发展出完善的全球性合规应对实践时。事实上,欧盟数据保护委员会也在2019年7月10日的报告中指出,“美国的CLOUD Act并不能够为GDPR框架下将个人数据传输给美国提供充足的法律基础……GDPR或其他欧盟成员国法律下控制个人数据的服务提供者很可能会面临美国法与GDPR之间的法律冲突。[16]” 

3. 构建全球数据管理体系的应对思路与常见模式

在这样的时代背景下,面对重新构建过程中的法律秩序,全球化的跨国企业既然不能改变政治和立法走向,势必需要迅速进化、适应这一“浪潮”,构建合理、合规而业务高效的全球数据管理体系,进而实现业务发展与合规义务的平衡。

首先被提出的是成本较高的解决方案——本地化,无论是微软进入中国云服务的成功经验,还是在华运营20年的SAP于今年提出的“中国加速计划”都是本地化的典型案例。一定程度上,部分或完全的本地化能够不同程度地避免了不同司法辖区规则的协调,但高昂的基础设施建设成本、核心研发力量的分散化挑战、数据融合的阻碍、企业内部数据安全制度无法统一等弊端和限制也实质上限制了本地化方案的适用性。

为此,从体系建设成本、业务与数据的关联、数据安全和监管政策要求等多个角度出发,实践中开始逐渐形成不同的全球数据管理体系构建思路。目前而言,根据我们对实践的了解,常见的三类全球数据管理体系如下表所示:

数据管理体系

单极中心化体系

多极区域化体系

分散本地化体系

构建形式

构建全球单个巨型数据中心及单一控制主体,以最大化数据融合效应并降低成本

按照需求,分别构建多个区域数据中心和控制主体;该等体系下存在不同的实现方式,例如全域数据建立多极中心,部分数据区域化部署等

分散程度最高的本地化数据中心和控制主体方案,相对纯粹的本地化

主要优势

ü  基础设施建设成本低;

ü  数据融合效应强,利于数据价值的有效开发;

ü  利于建立统一的管控和安全措施;

ü  中心化体系节约对接和交互成本

ü  特定区域内数据流通顺畅;

ü  部分形成数据融合效应;

ü  一定程度上协调不同司法辖区的法定义务;

ü  区域中心交互速度较快,实时性有所保障

ü  有效避免数据跨境限制,分散履行当地法定义务;

ü  数据实时性强,对业务支持弹性大;

ü  分布式存储,能够避免数据泄露等负面事件影响的扩散

潜在不足

û  不同法律体系下法定义务协调成本高;

û  可能面临较多跨境规则的限制;

û  数据的实时性面临挑战

û  仍部分受数据跨境规则限制;

û  相较于单极中心化体系的建设成本更高;

û  区域之间的数据流转受限;

û  区域的划定和数据控制主体选择需要综合考虑

û  体系建设的成本最高;

û  数据分散、较难形成聚合效应;

û  不同地区的数据安全标准难以统一管控;

û  高精尖科技、商业秘密等敏感信息难以管控

常见典型示例

以重基础设施、研发成本投入为典型特点的行业/企业,如航空领域电子客票处理服务领域、AI技术开发、银行金融业等

适用性相对较强,兼顾建设成本和业务实时性等需求的场景,如云计算平台等

具有极强的数据交互实时性要求或高度监管等特别考虑的行业/企业,如自动驾驶服务(测绘与地图严格监管要求)、音视频服务(交互实时性要求与监管要求)等

 当然,随着不同司法辖区之间的法律秩序逐步重构完成,具体法律体系之间的义务协调也随之推进,例如美国与英国已就CLOUD Act项下合作达成协议[17] 。相应的,企业构建全球数据管理体系的思路和模式仍处于不断发展和丰富过程之中。

此外,在构建全球数据管理体系的过程中,企业不仅需要针对个人数据与用户数据进行仔细考量,其他类别的数据同样可能引发合规关注和问题,比如技术出口管制等,需要企业切实进行合理评估,我们将在今后的文章中进一步介绍。

4. 合规建议

综上所述,在“数据主权”的浪潮下,无论是自建IDC还是选择合格供应商构建全球数据管理体系,我们建议各类型企业均应当采取更为审慎和主动的态度回顾自身业务,并相应及时采取细致和全面的应对措施。

首先,为确保全球数据管理体系的构建思路具有坚实、可靠的事实基础,企业需要对自身业务中的数据需求、技术需求和合规要求进行完整明确、层次清晰的事实梳理:

1) 全面盘点自身业务开展过程及所形成的数据管理体系中可能涉及的数据类型,并合理进行分类分级;

2) 审视各类业务场景中的数据需求和合规要求,评估相关法律风险,尤其是针对存在数据跨境、产品/服务跨境、业务主体跨境等情况的业务场景;

3) 基于事实梳理的情况,建立并不断完善网络安全与数据合规体系,以公开、透明、经得起检验的合规措施自证。

其次,对于不同类型、规模、行业的企业而言,在前述通用的应对思路基础上,还需要进一步根据自身情况相应进行更具针对性的策略选择。

1) 对于大型跨国企业而言,由于自身可能直接落入到各司法辖区有关本地化和跨境限制等规则的义务主体范围中,我们相应建议:

a) 在事实梳理过程中,除上述要点外,此类企业还应着重强调不同司法辖区业务之间的业务关联性和数据融合、打通的必要性,为后续决策提供基础;

b) 在风险评估和决策阶段,此类企业需要重点、优先、及时解决顶层架构问题,合理决策,确定数据管理体系的构建方向;尽量避免不同国家/地区业务条线和主体之间“各自为战”、“野蛮生长”;以银行金融业为例,对于业务特性中天然具有跨境基因的行业,从总部/总行层面务必应对全球发展情况进行统筹规划方案,可以考虑核心业务系统采用单极体系节约成本,部分边缘系统和数据本地化部署提升访问效率和避免过度的数据跨境传输等;

c) 最后,对于大型企业而言,巨大的规模导致了“缓慢的转身”,而信息时代瞬息万变的不止是市场,还有技术发展和监管要求;为此,跨国企业应重点注意避免僵化和依赖特定的某一类体系构建思路,根据业务发展、立法发展和技术发展等实际情况,提前规划、预留空间,并适时果断切换与迭代,采取最为适宜而合理的全球数据体系;举例而言,曾经被普遍认同和采用的全球统一CRM系统和DMP平台,对于跨国企业的员工、客户管理和数据资源积累起到了举足轻重的作用,然而在现有立法背景下,这些单极化体系的合理性、必要性都将值得所有企业再度思考。

2) 对于其他类型的企业(例如本地化的企业)而言,一方面可能因未达到特定的监管标准(例如未构成中国《网络安全法》下关键信息基础设施运营者)而不受本地化规则或跨境限制的影响;但另一方面,这些企业也同样可能因与大型跨国企业建立合作关系等原因受到目前立法潮流的影响;为此,即便自身业务中并不明确落入本地化、跨境限制等规则之中,企业也需要在合理开展数据盘点和业务盘点的基础上,构建对外提供产品/服务过程中的合规风险管控防火墙,例如业务协议的完善与更新、与合作方之间的数据权益明确分配等。

最后,从外部影响的反馈上看,企业还应当紧跟立法和执法趋势,根据实际情况调整应对策略;同时,对于可能产生重大影响的立法思路和草案(例如《提案》),通过立法意见、听证会、公开媒体等多种可行渠道表达来自于企业的意见,以争取更为有利的规则趋势。

点击“下载”  查看美国《国家安全与个人数据保护法(提案)》全文。


[1] S.2889-National Security and Personal Data Protection Act of 2019,参见https://www.congress.gov/bill/116th-congress/senate-bill/2889/text?q=%7B%22search%22%3A%5B%22National+Security+and+Personal+Data%22%5D%7D&r=1&s=2,2019-11-26.

[2] “cuts off the flow of sensitive data to China and countries that similarly threaten America’s national security”, Senator Hawley Introduces Bill to Address National Security Concerns Raised by Big Tech’s Partnerships with Beijing, https://www.hawley.senate.gov/senator-hawley-introduces-bill-address-national-security-concerns-raised-big-techs-partnerships, 2019-11-18, 2019-11-26.

[3] 参见《提案》Sec.2 (2)中规定,即“中国、俄罗斯以及其他经国务卿认定可能对数据隐私保护和数据安全造成的国家”。

[4] 参见《提案》Sec.2 (3)中规定,即在州际贸易和涉外贸易中提供基于数据的在线服务(如网站、互联网应用)或提供基于数据的在线服务并可能影响州际贸易或涉外贸易的,且(A)在COC注册成立的公司及其子公司,或(B)由COC国民或COC公司持有多数或控制股权权益的公司及其子公司,或(C)其他需要遵守COC的法律规定、并使得COC获得美国公民或居民的用户数据且无法提供与美国宪法和法律相当程度的自由和隐私保护的公司。

[5] 参见《提案》Sec.2 (6)中规定,即由任何一家提供数据为基础的服务的企业(如网站或互联网应用)获得的,任何标识、关联、描述、可产生联系或可合理连接到一个美国公民或美国居民的信息,而无论该等信息是直接向该等企业提交的、由该等企业自行观测所衍生的还是从其他第三方用任何方式取得的。

[6] 参见《提案》Sec.3 (a) (1).

[7] 参见《提案》Sec.3 (a) (2).

[8] 参见《提案》Sec.3 (a) (3).

[9] 参见《提案》Sec.3 (a) (6).

[10] 参见《提案》Sec.3 (a) (4)及Sec.4 (a) (1).

[11] 参见《提案》Sec.3 (a) (5).

[12] 参见《提案》Sec.4 (a) (2).

[13] 参见《提案》Sec.3 (b).

[14] 参见《提案》Sec.5 (b), (c)和(d).

[15] 上海社会科学院互联网研究中心:《全球数据跨境流动政策与中国战略研究报告》,https://www.secrss.com/articles/13274, 2019-08-28,2019-11-26。

[16] Lauren Morris: Cloud Acts Conflicts with GDPR, EDPB says, https://globaldatareview.com/international-transfers/cloud-act-conflicts-gdpr-edpb-says, 2019-7-15, 2019-11-26

[17] 参见https://www.justice.gov/opa/pr/us-and-uk-sign-landmark-cross-border-data-access-agreement-combat-criminals-and-terrorists, October 3, 2019.


Share on LinkedIn Share on Facebook Share on Twitter
    您可能感兴趣

    8月3日,国家网信办、全国“扫黄打非”办等8部门联合召开工作部署会,通报了网络直播行业专项整治和规范管理工作进展。

    06 August 2020

    《中华人民共和国反垄断法》(“《反垄断法》”)于2008年起实行,实施12年来在维护市场竞争秩序方面卓有成效。

    2020/08/06

    通过本文您可以了解到《视频直播购物运营和服务基本规范》与《网络直播营销行为规范》的异同点以及下一步监管趋势,针对该异同点及今后监管趋势,从事直播带货行业的各平台和机构的相关合规建议。

    2020/07/31

    在现今私募股权投融资市场上,国资背景的私募股权基金已经作为私募股权投资市场上一支不可或缺的力量,出现在各拟融资企业的潜在投资方清单之中。

    2020/07/31

    本网站使用Cookie来增强您的体验并帮助我们改善网站。请参阅我们的隐私政策以获取更多信息。如果您继续浏览网站而不更改设置,我们将假设您愿意收到这些Cookie。您可以随时更改Cookie设置

    有关我们使用哪些类型Cookie的更多信息,请参阅我们的Cookie使用政策