2018年5月的某个清晨,一名男子正在悠闲地慢跑,他从停车场出发,穿过森林,在另一头的白色平房前停下。他手腕上的黑色Polar穿戴器记录下了跑步速度、轨迹以及消耗的卡路里。
这名男子是美军核武器基地的高级官员,在之前几个小时的锻炼中,他无意间用脚“丈量”了一个秘密军事基地。Polar腕表里,其姓名、照片、行动路线等信息,在本人同意之下,被软件记录得一清二楚。
此后,有公开组织调查了2014年以来,6000多名Polar用户的健身资料,还原出超过200个“机密地区”的坐标:包括48处核武器储存所、18个情报机构、6处无人机基地、2处核电厂、2处皇室人员住所等。
最终,该软件被多方禁用,被迫关闭定位共享。这便是2018年轰动全球的“一款健身APP引发的血案”。
一款不起眼的软件尚且牵连着如此重要的秘密,其他各类应用所收集的数据更是触动了各国最敏感的神经。一场围绕数据,尤其是勾连着国家安全、经济利益的跨境数据监管博弈赛,早已在全世界拉开序幕:
美国仰仗先发的互联网实力,奉行“谁开采,谁利用”原则,在2018年颁布《澄清海外合法使用数据法》,直接将数据管辖权从“属地原则”变成了“数据控制”管辖范围——只要美国企业对用户数据具有实际控制或管辖权,无论用户是否在境内,美国企业都有义务按规定保存、备份甚至向美国政府披露用户数据。
“斯诺登事件”爆发后,欧盟不满Facebook、谷歌等跨国公司屡次侵犯公民隐私的行为,于2018年颁布“史上最严数据保护法”——《通用数据保护条例》,将个人数据保护提到了最优先级位置。
比欧盟更激进的是印度、俄罗斯,它们掀起“数据本地化运动”,自2015年起通过立法竖起高墙,严格限制数据的跨境传输。
与这些国家立法动作相比,我国出手并不算早——2021年6月10日,历时三年的《数据安全法》才被表决通过,于9月1日正式实施;8月20日,《个人信息保护法》出台,将于11月1日起实施。
至此,连同2017年6月正式实施的《网络安全法》,三部法律构成的数据保护“三驾马车”才悉数登场,形成网络空间治理与数据保护的法律大框架。针对跨境数据监管,我国第一次有了系统性规范。
三部法律齐头并进,将给我国数据跨境监管带来怎样的变化?在全球数据资源争夺赛中,我国如何博得主动权?
数据竞争:一个不公平的战场
TikTok的头顶至今仍然悬着一把叫“国家安全”的利剑,随时可能掉落。三个月前,拜登签署行政命令,取消对TikTok、微信以及其他8款APP的交易禁令。但同时,美国政府留了后手。一项新的行政命令被颁布,授权对美国以外的应用程序展开广泛审查,以确定是否对美国安全构成威胁。
不出预料,这项新的行政命令特别强调了中国是主要对手之一,对美国构成了“不可接受”的风险。
根据美国的《2018年外国投资风险审查现代化法案》,凡涉及维护或收集美国公民敏感个人数据的任何投资交易,都必须接受美国外国投资委员会的调查。拜登签署新行政命令的法律依据即来自于此。
然而,该行政命令没有指明中方对美构成的“不可接受”的风险是什么,也没有说明调查的具体内容。明眼人都看得出,美国是在以安全为借口,企图打压他国企业的发展。
在特朗普时期,这一招便屡试不爽。美国1977年颁布的《国际紧急经济权力法》中有条特殊规定,一旦总统认为国家利益受到侵害,便有权宣布进入“紧急状态”,可动用该法案对特定国家、组织和个人实行制裁。
这成了特朗普对他国企业的攻击武器。例如,他曾引用《国际紧急经济权力法》签署两项行政命令,禁止受美国司法管辖的任何人或企业与TikTok母公司字节跳动交易,同时也禁止与腾讯进行任何有关微信的交易。
强压之下,TikTok与甲骨文签订“不平等条约”,允许甲骨文取得对TikTok源代码和更新后完整代码的访问权限。换言之,TikTok全球业务系统给甲骨文留了一道“后门”。
《国际紧急经济权力法》并不是唯一的武器。在“国家安全”的口袋里,美国装了一箩筐行政命令,来严防中国企业。
“清洁网络计划”算一个。美国曾拉拢各国成立“清洁网络联盟”,在运营商、应用程序、应用商店、云端及电缆等5个领域对抗所谓的“中国威胁”。
实体清单是另一个典型。2019年,大疆被列入该清单,“罪名”是“正在向中国政府提供美国主要基础设施和执法机构的数据”。而在拜登上台后,又有59家企业受到制裁,借口是“从事中国境外监控”。
极限施压与制裁背后,美国“霸权”心思昭然若揭。复旦大学国际关系与公共事务学院国际政治系教授沈逸提出了一个十分贴切的词汇来形容——“数字霸权”。
“在二战后的第三次科技革命中,美国在资源配置、技术标准、内容生成等方面都在全球处于垄断地位,其对于网络资源分配以及产业链关键环节的主导权,构成了美国数字霸权的基础。”沈逸表示。
相比中国,欧洲受到的“数字霸权”迫害更为深刻。
2015年,欧洲法庭上出现了令人震惊的一幕对话:
法官在法庭上发问:“如果我担心自己的数据被美国当局掌握,你能给出什么建议?”欧盟委员会律师回答:“如果我有Facebook账户的话,可能会考虑关闭自己的Facebook账户。”
Facebook这层窗户纸是被奥地利学生施雷姆斯捅破的。此前他向Facebook发送邮件,要求对方提供自己的信息资料。经过数月交涉,他得到了超过1200页的PDF文件,里面包含了大量三年来他已经删除的、本不应被Facebook获取的个人信息。
真相被赤裸裸地揭开:欧美持续了15年的《安全港协议》——曾允许两者以“合法方式”传输数据的合作协议,因为其无法对欧洲公民数据达到充分保护水平,只能被宣判无效。
令《安全港协议》失效的依据,正是美国早在2001年颁布的《爱国者法案》。
按照《爱国者法案》的要求,服务商必须把存储在美国境内的任何数据交给FBI监控,无论这些数据是否属于美国人。也就是说,大量欧洲公民使用Facebook,由于他们数据存储于美国云端,FBI便有权监控。这与《安全港协议》的数据保护条款违背,令后者沦为一纸空文。
更讽刺的是,2018年,美国又通过了《澄清域外合法使用数据法案》,将FBI获取数据的权限,从“存储于美国的数据”扩展至“在美服务商所掌握的数据”,也即,即便用户数据存储于他国,只要服务商是微软、Facebook等美国公司,这些公司就有义务向美国提交用户数据。这令欧美后来签订的数据传输协议《隐私盾协议》再次被判无效。
在数据资源的全球竞争中,美国屡次调用“法律武器”,令游戏变得不公平。一场数据主权捍卫战迫在眉睫。
“三驾马车”掀起数据安全反击战
在《数据安全法》和《个人信息保护法》之前,我国保卫数据安全更多是依靠各行各业的规范和条例。
零散在各行业的规范性文件记录了数据跨境的相关规定。例如,2005年出台的《计算机信息系统安全保护条例》,对计算机系统安全、国际联网备案等方面做了详细规定;2013年《征信业管理条例》,严格管控征信机构向境外提供数据的情形。
根据文康-君益诚律师联盟马清泉律师的说法,这些行业条例由工信部等部门制定,具备“试水”的性质。“在立法条件还不成熟时,先通过条例管理办法试水,在这个过程中发现问题、获得反馈,为后续立法作支撑。”
《网络安全法》即是《计算机信息系统安全保护条例》等规范性文件多年试水之后,第一个针对网络信息监管的法律。苹果公司,则是在该法律出台后第一个被规范的境外公司。
果粉们应该还记得这样一封邮件:“自2018年2月28日起,与您的 Apple ID相关联的 iCloud 服务将转由‘云上贵州’运营……”
这是苹果在国内建立iCloud数据中心的通知,发送时间为2017年7月,仅仅在《中华人民共和国网络安全法》颁布一个月之后。在这之后,iCloud账户操作密钥不再存储于美国,我国监管机构要进入用户iCloud账户获取信息,也无须通过美国法庭申请。
依据规定,在可能影响国家安全的情形下,“关键信息基础设施运营者”采购网络产品和服务,需经过国家安全审查。与此同时,其在国内收集和产生的重要数据应当在境内存储。然而,对于何为“关键信息基础设施运营者”,网安法并没有给出明确规定。苹果更像是法律刚出台时监管部门抓出的典型。
“最新两部法律颁布后,‘三驾马车’对跨境数据监管形成更完善的监管框架,以后诸如苹果这一类事件有了更明确的法律抓手,以前模糊的地带也变得更清晰。”马清泉告诉甲子光年。
例如,《数据安全法》已经明确将“重要数据”及其处理者纳入监管范围。针对重要数据,各部门将出台具体目录,实行分类、分级保护。在这种“自上而下”的体系下,数据监管有清晰标准可依,不再是“抓典型”。
汽车领域已经响应了这样的变化。今年8月,在汽车自动驾驶事故频发、行车数据调查纠纷不断时,工信部出台了《汽车数据安全管理若干规定》,将依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律规定对违法事项处罚。
“规定”之于“三驾马车”,相当于子集与母集,“规定”将“三驾马车”中相关规则进一步细化至汽车行业中。依据规定,特斯拉宣布在中国建设数据中心,其在我国收集的个人信息种类、情境、目的、保存地点等,都由我国部门严格审查。
除了对境外公司加强“入境”监管,最新法律框架下,本土公司数据“出境”,也将面临更严格的审核。两个月前,在所有“滴滴企业版”相关APP被网信办下架后,国家网信办会同其他六部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
拥有大量敏感数据的本土互联网企业赴美上市难度将增加。“互联网企业将来要赴美上市,数据必须经过我国网信部门严格审核批准。”马清泉告诉甲子光年。
支撑这个判断的依据是,SEC要求赴美上市企业提供完整审计底稿,而这不被我国新法规允许。中美双方监管冲突,挤压了企业的实操空间。
法律带来的变化,不仅是给监管层以强有力的抓手,更有令人振奋的反击条款。《数据安全法》与《个人信息保护法》中均有类似的描述:任何国家或地区在数据利用开发、个人信息保护等方面对我国采取歧视性禁止、限制或类似措施,我国可根据实际情况对等采取措施。
“这意味着,如果美国公司对TikTok等中国互联网企业发起制裁,我国也可将境内运营的美国互联网企业列入‘黑名单’,如果网信办认为其侵害了国内用户隐私的话。”马清泉告诉甲子光年。
既有实践的经验
让我们先来看看各国数据保护的法律蓝本——欧盟GDPR实施三年多面临的争议。
首先是执法上的“厚此薄彼”。
如果留意GDPR开罚单的记录,不难发现,名单上大多是谷歌、微软、Facebook、亚马逊这些“老面孔”——“谷歌5700万美元罚单”“Facebook 2.7亿美元罚单”“亚马逊8.87亿美元罚单”……有数据统计,2019年谷歌独占GDPR罚款总额的90%。
除了这些互联网巨头公司,其他企业甚少受处罚,即便被罚款,亦十分轻微。而事实是,相较于巨头,绝大多数欧美互联网企业没有针对跨境的“风险合规”部门,这不难推断,免于罚款的企业,其数据处理并非都符合GDPR标准。
由此,GDPR中“统一规则和执法统一”的规定被诟病为一则具文,欧盟执法被批评没有统一标准。
这背后涉及到了法律执行的难处——据欧盟内部统计,GDPR实施一年来,监管机构接收处理的行政案件达27万件。德国报告指出,数据保护部门快要被这些案件压垮了,大量的案件已经严重妨碍正常运作。因此在处理案件上很难事无巨细。
也就是说,尽管法律有明确标准,但实际执法并不是一回事。出于成本收益考量,政府实际是“选择性执法”。
这种权衡极度考验政府的判断力。如果执法只是“杀鸡儆猴”,则伤害了法律的权威,例如,谷歌、亚马逊曾多次上诉,对欧盟罚单表示“不服”,而这反过来又增加了执法成本;如果执法过于强调公平,则大量中小企业将遭到沉重打击。毕竟,欧盟的一次罚款,可能就会使其濒临破产的边缘。
我国也必然会面临同样的难题。在《数据保护法》与《个人信息保护法》中,对跨境数据罚款亦有统一规则。如何在“大公司”与“小公司”之间把握执法力度,将成为法律实际落地中面临的严峻考验。
更大的难题来自于“发展”与“规范”之间的权衡,这也是所有法律逃不开的命题。
美国创新中心报告指出,GDPR过度介入微软等云服务商与欧盟企业的合作,导致欧盟在AI方面的开发和使用处于劣势状态。不仅美国AI企业无法施展,本土欧盟企业也在严监管之下难以发展AI技术。
从2018年5月至2019年8月,在欧洲平台投放广告的需求量下降了25%至40%,许多美国企业已经停止其在欧洲网站上的所有程序化广告,这令不少欧盟企业的发展大受打击。
此问题在中国同样值得警惕。在软件领域,仍有不少国外企业占据重要市场地位。如何让它们发挥“鲶鱼作用”,通过适度竞争帮助本土企业发展,法律所扮演的“度量衡”角色至关重要。
国家、企业、个人:三方的平衡点在哪?
在经典经济学视角下,穿过一条条繁琐的法律规则,如果我们站在更宏观的视角,法律不过是各方利益的平衡器。其最终目的是平衡社会利益与成本,达到资源配置效率最大化。具体到数据跨境的情境中,相关法律是三方利益均衡的结果:国家安全利益、企业经营利益、个人隐私保护利益。
美国的选择是国家安全与企业利益高于个人隐私保护利益。2020年全球互联网公司市值前30强中,美国占据18席,苹果、微软、亚马逊、谷歌独占前四席位。
根据社会学家库尔德里和梅西亚斯提出的理念,在一个社会中,从事信息基础设施建设,能够将社会与经济行为“翻译”成数字与信息的企业分为三种,一是移动通讯行业的硬件制造商,二是互联网平台运营者,三是专门从事数据业务的运营商。
对应到全球,不难发现,三类企业均由美国垄断。硬件领域有苹果、微软,互联网平台是Facebook、Twitter的天下,数据运营商则有甲骨文等企业,每一个都曾占据市场半壁江山。
背靠强大的信息实力,美国首要利益诉求便是巩固数字霸权,利用权力支配全球产业链。
与之对应的,作为“弱势”的一方,欧盟的利益天平明显偏向于个人隐私保护。GDPR对数据保护的严厉程度,几乎超过世界上任何一部法律。
欧洲拥有5亿消费者,是全球最大的互联网市场之一,却“惨败”于互联网竞争中:2020年全球市值前30的互联网企业中,欧洲仅占4席;2019年欧洲政策研究中心统计的云服务分布情况,西方国家94%的数据都存储在美国公司的服务器上。
面对美国从硬件到软件,从数据到算法的全方位“渗透”,欧洲强调个人隐私,多少有些无奈。
按照沈逸教授的说法,GDPR的利益权衡有两重考量:一是约束Google、 Facebook、Twitter这样的国际巨头,“打别人家的孩子,自己不心疼”;二是保护本土数字产业发展。
回到中国,随着中美关系摩擦日益增多,国家利益、企业利益、个人利益三者权衡,比以往任何时候都考验监管层的智慧和能力。
利益的天平正在逐渐倾斜。在过去20年里,中国互联网行业经过“野蛮生长”,走出一批全球领先企业,阿里、腾讯、字节跳动、京东等巨头均位于全球互联网公司市值排行榜前列。
但同时,赴美上市的滴滴、被大数据杀熟的消费者、被出卖人脸信息的用户、被算法支配的外卖骑手等事件接连爆发,屡屡触及隐私保护的底线,为中国数据治理创造了跃迁的巨大契机。
个人隐私利益诉求提升,这是国内发展的现状。另一方面,当面对外部势力时,国家安全高于一切。
比欧洲幸运的是,中国无论在硬件基础设施、互联网平台还是数据运营商领域,都有比前者强得多的积累和实力。
《数字中国发展报告》显示,2020年,我国数字经济总量跃居世界第二,数字经济核心产业增加值占GDP比重达到7.8%。在5G、人工智能、高性能计算、量子计算等领域,我国成为全球最大的专利申请来源国,位列“全球创新指数”第14位。
但要实现内生发展,还需适当的“防御”手段。
印度是最好的“反面教材”。印度软件公司Infosys前CEO曾表示,“中国企业无法打进美国,而有些美国企业又在中国被种种法律法规所禁。结果最后,它们就都来印度了。”
放任国外企业进入的后果便是,印度本土数字产业始终难发展。2016年起,印度网民发起了一波又一波“拯救互联网”运动,印度企业家也纷纷加入“Indiatech”组织,反抗Facebook等企业。压力之下,印度政府修改了电商、金融等领域多条法令,对亚马逊等巨头下达禁令,这才平息了本土利益集团的怒火。
“很难想象如果我们当年放任Facebook、Twitter等企业进入,还会不会有中国互联网企业发展空间。”马清泉说。
2017年,《经济学人》在封面文章中写下,数据将取代石油,成为新时代最重要的资源。
回顾过去100年的“石油时代”,围绕石油这一世界上最重要的能源,战争此起彼伏,世界政治秩序和经济格局也都建立在石油之上。反观数据这一“新时代的石油”,它也必将成为今后各国竞相争夺的最有价值的资源,也或许将再一次决定世界经济格局,乃至政治秩序。
以法律为工具、以数字产业实力作保障的数据资源争夺战正在打响,中国早已入局。