随着大数据时代的到来,网络数据资源的价值和面临的风险不断提升,电信和互联网企业数据安全领域的重要性不断凸显,企业的态度将对国家的数据安全顶层设计产生一定的影响。近期,欧美数据安全立法变动频繁,网络数据安全保护政企博弈日益激烈,企业与政府立场分歧不断显现。
欧美数据安全法案变更
2015年10月以来,欧美各国的数据安全立法变动频繁且多数以企业为最主要的规制对象,主要立法变更如下:
——欧盟架空“安全港协议”限制美国企业数据收集行为
2015年10月6日,欧盟法院认定各欧盟成员国都有权判定第三方国家数据保护的充分程度,并决定其公民用户信息是否可向该国进行传输,从而架空了欧美于2000年签署的“安全港协议”。随后,欧盟与美国在2016年2月29日公布新数据传输协议“隐私盾协定”,规定个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。这一变动使美国企业在欧洲收集用户个人数据的业务和法律适用成本显著提高。
——美国立法为企业增设配合政府网络数据监控义务
2015年12月18日,美国国会正式通过了《网络信息安全共享法》(以下简称CISA法案)。该法案要求企业在必要时能根据国土安全部的需求迅速将用户信息与其进行共享。当用户控告企业的此类行为侵犯公民隐私权时,企业拥有不受追诉的豁免权。该法案看似赋予了企业用户信息共享免责的权利,事实上却为政府加强对企业的网络数据资源控制开辟了合法途径。
——英国新《调查权法》草案限制企业对数据的加密存储
2015年11月4日,英国政府发布了新版《调查权法》草案,扩大了部分政府机关获取民众网络与媒体信息的权利,要求互联网企业必须保存用户一年内的网页浏览记录以供有关部门查阅。英国内政部强调该草案的出台是为了应对日益增多的恐怖活动和网络犯罪,并不禁止企业对其掌握数据进行加密,也不会扩大政府对公民隐私的监听,但目前多数企业和民众都对该法案持反对态度。
此外,欧盟于2015年12月15日就新“数据保护总规”(以下简称“总规”)达成一致,新总规主要内容包括:出台欧盟统一的跨境数据流动法规,增设用户“数据可携权” 等。
立法活动背后体现政企博弈
欧美企业对于数据安全法案的态度主要取决于其内容及推行后可能产生的影响。一旦政企利益诉求产生分歧,二者之间的博弈将显性化,具体体现为以下三点:
一是欧美等国将企业作为强化网络数据保护的首要抓手,立法变动对企业日常运营的影响不断加深。不论是“隐私盾协定”还是CISA法案,都与企业的日常运营活动紧密相关,对企业有着更为常态和直接的影响。欧盟通过“隐私盾协定”赋予了公民在美国提起数据权受损投诉的权利,使得美国企业在收集欧洲用户信息时的谨慎程度直线上升。美国在制定CISA法案时无视欧盟乃至本国企业反对,坚持要求企业实时掌控系统日常运营承载的数据并不断扩大政企间的用户信息共享。
二是政企的数据保护立场分歧日渐增多,双方安全需求差异不断显性化。从政府角度,对数据保护的规划统筹日趋成熟,通过立法贯彻施政理念的态度日益强势。以美国为例,其利用大数据分析技术和政企安全信息共享应对网络安全威胁的需求非常迫切,因此CISA法案“减损隐私权以保障网络数据安全”。从企业角度,欧美企业,特别是互联网巨头,在数据安全立法时的发声日益积极。如推特、苹果等公司,在CISA法案制定的过程中,多次明确表示了对该法案的强烈反对。
三是“维护公民权益”成为数据保护立法的重要原则和顺利推行的关键。英国政府一再解释新版《调查权法》草案的最终目的与用户信息保护互不矛盾;微软、谷歌等美国企业将“维护公民隐私权”作为反对政府立场的中坚理由。随着大数据时代用户信息的潜在价值不断拓展,用户信息保护的基本人权属性不断增加,公众对用户信息的安全需求也水涨船高,一部数据安全立法如果没有兼顾公众利益、没有行之有效的用户信息保护方案,将在推行实施方面困难重重。
国外动向对我国的借鉴
从欧美数据安全立法过程中的政企博弈行为来看,为有效应对大数据时代下的安全挑战,我国应遵循大数据发展与安全保障并重原则,充分发挥企业在数据安全保障方面的积极作用,加快谋划和构建适合我国国情的数据安全管理体系。