引言

2019年11月18日,美国国会共和党参议员,参议院司法委员会犯罪、恐怖主义与国土安全小组主席Josh Hawley向参议院提交第2889号提案——《2019国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)[1](“《提案》”),再次引发了各方关于数据保护、跨境传输等方面话题的热议。尽管目前《提案》仅处于提交参议院的阶段,在其正式通过生效前,还至少需要参议院通过、众议院通过并最终由总统签署,但《提案》基于安全目的的规则设置凸显了“数据主权”的理念,值得所有企业警惕,并提前布局做出应对方案。

  1. 《提案》的目的和主要内容

一言以蔽之,为阻止用户数据向中国和其他可能威胁美国国家安全的国家传输[2],《提案》界定了特别关注国家(Country of Concern,“COC”,包含中国、俄罗斯等)[3]和特别关注科技公司(Covered Technology Company,“CTC”)[4]。《提案》对涉及COC及CTC的用户数据(User Data,其中用户包含拥有美国国籍、持有美国护照的citizen,以及拥有居民身份residency的自然人)[5]收集、使用、存储和传输进行了重点关注,也相应提出了一些普适的通用要求。具体而言:

一方面,《提案》的严格规定很可能脱胎于对美国国家安全的高度关注,但同时,《提案》一定程度上也在规制思路和要求等方面映射出其他主要司法辖区数据立法的影子,显露出其与“数据主权”浪潮之间同样密不可分的联系。不难看出,《提案》从美国公民和居民的用户数据角度切入,对于跨国开展业务的CTC(尤其是涉及COC国家的企业),建立了明确的数据回传美国和本地化存储要求,同时对于用户数据的输出进行了严格管制,一旦严格实施很可能切断向COC传输美国公民和居民的用户数据的路径。此外,尤为值得关注的是,《提案》中明确提出了定向广告人脸识别技术相关的数据使用限制,定向广告是目前大数据主要商业应用之一,而人脸识别技术则是个人真实身份标识的重要获取方法,如按照其中规定严格执行,相关企业甚至整个行业将面临巨大的变革。

  1. 安全与法律秩序的重构:“数据主权”浪潮

事实上,“数据主权”或者说数据资源控制立法的浪潮,早已不是新鲜话题。随着大数据、云计划、物联网以及移动互联网等新一代信息技术的普及推广,个人数据的安全保护以及数据资源的开发利用已迅速在主要司法辖区之间铺开,不同国家/地区对于数据安全和数据资源的高度重视不约而同地具化成为数据本地化和跨境数据传输等法律规则。

以《提案》为例,其表达出对美国公民或居民的用户数据控制意愿,一定程度上延续了美国《澄清域外合法使用数据法案》(CLOUD Act)中肯定美国执法机关对美国企业“控制”的境内外数据均享有“主权”[15]的思路。类似的,欧盟《通用数据保护条例》(GDPR)也以普遍适用(即包含所有针对欧盟用户提供产品和服务的企业)的同等保护水平从安全角度建立了个人数据外流的管控体系,俄罗斯、印度等国家/地区也纷纷通过本地化等规则、以期确立对数据的控制。与其他司法辖区类似,中国《网络安全法》及《数据安全管理办法(征求意见稿)》中也从网络安全和数据安全等角度提出了部分数据本地化和出境安全评估的要求,反映出对数据管控的考量和关注。

综合而言,从立法技术上看,目前各司法辖区主要通过两种路径确立对数据的控制:

  • 以地域为主的控制,即对司法辖区内收集、产生的数据提出控制要求,例如印度中央银行要求位于印度的支付企业在印度本地存储数据;
  • 以本地公民和/或居民为主的控制,即对收集本司法辖区公民和/或居民数据的企业或组织进行控制,例如《提案》等。

同时采取两类路径“双管齐下”无疑将得到更好的数据管控收效,但也引发了秩序重构的紧迫必要性。以美国CLOUD Act和欧盟GDPR为例,对于在美国设立的而在欧盟境内存储用户数据的企业(例如CLOUD Act立法背景下的微软公司),按照美国CLOUD Act规定,美国国内司法部门将有权向其调取境外存储的数据证据;相对的,GDPR则对个人数据从欧盟输出进行了严格的限制,除非满足充分性认定、保障措施、国际协议等前提条件,个人数据将难以对外传输。为此,该等企业一旦面临美国国内司法部门的调取要求,将需要在美国和欧盟两类法律体系之间进行协调和应对。

如前所述,一定程度上,这样的法律秩序重构将无法避免短期内的冲突与矛盾,尤其是当全球化的跨国企业尚未能在数字经济时代发展出完善的全球性合规应对实践时。事实上,欧盟数据保护委员会也在2019年7月10日的报告中指出,“美国的CLOUD Act并不能够为GDPR框架下将个人数据传输给美国提供充足的法律基础……GDPR或其他欧盟成员国法律下控制个人数据的服务提供者很可能会面临美国法与GDPR之间的法律冲突。”[16]

  1. 构建全球数据管理体系的应对思路与常见模式

在这样的时代背景下,面对重新构建过程中的法律秩序,全球化的跨国企业既然不能改变政治和立法走向,势必需要迅速进化、适应这一“浪潮”,构建合理、合规而业务高效的全球数据管理体系,进而实现业务发展与合规义务的平衡。

首先被提出的是成本较高的解决方案——本地化,无论是微软进入中国云服务的成功经验,还是在华运营20年的SAP于今年提出的“中国加速计划”都是本地化的典型案例。一定程度上,部分或完全的本地化能够不同程度地避免了不同司法辖区规则的协调,但高昂的基础设施建设成本、核心研发力量的分散化挑战、数据融合的阻碍、企业内部数据安全制度无法统一等弊端和限制也实质上限制了本地化方案的适用性。

为此,从体系建设成本、业务与数据的关联、数据安全和监管政策要求等多个角度出发,实践中开始逐渐形成不同的全球数据管理体系构建思路。目前而言,根据我们对实践的了解,常见的三类全球数据管理体系如下表所示:

此外,在构建全球数据管理体系的过程中,企业不仅需要针对个人数据与用户数据进行仔细考量,其他类别的数据同样可能引发合规关注和问题,比如技术出口管制等,需要企业切实进行合理评估,我们将在今后的文章中进一步介绍。当然,随着不同司法辖区之间的法律秩序逐步重构完成,具体法律体系之间的义务协调也随之推进,例如美国与英国已就CLOUD Act项下合作达成协议[17]。相应的,企业构建全球数据管理体系的思路和模式仍处于不断发展和丰富过程之中。

  1. 合规建议

综上所述,在“数据主权”的浪潮下,无论是自建IDC还是选择合格供应商构建全球数据管理体系,我们建议各类型企业均应当采取更为审慎和主动的态度回顾自身业务,并相应及时采取细致和全面的应对措施。

首先,为确保全球数据管理体系的构建思路具有坚实、可靠的事实基础,企业需要对自身业务中的数据需求、技术需求和合规要求进行完整明确、层次清晰的事实梳理:

  • 全面盘点自身业务开展过程及所形成的数据管理体系中可能涉及的数据类型,并合理进行分类分级;
  • 审视各类业务场景中的数据需求和合规要求,评估相关法律风险,尤其是针对存在数据跨境、产品/服务跨境、业务主体跨境等情况的业务场景;
  • 基于事实梳理的情况,建立并不断完善网络安全与数据合规体系,以公开、透明、经得起检验的合规措施自证。

其次,对于不同类型、规模、行业的企业而言,在前述通用的应对思路基础上,还需要进一步根据自身情况相应进行更具针对性的策略选择。

  • 对于大型跨国企业而言,由于自身可能直接落入到各司法辖区有关本地化和跨境限制等规则的义务主体范围中,我们相应建议:
  1. 在事实梳理过程中,除上述要点外,此类企业还应着重强调不同司法辖区业务之间的业务关联性和数据融合、打通的必要性,为后续决策提供基础;
  2. 在风险评估和决策阶段,此类企业需要重点、优先、及时解决顶层架构问题,合理决策,确定数据管理体系的构建方向;尽量避免不同国家/地区业务条线和主体之间“各自为战”、“野蛮生长”;以银行金融业为例,对于业务特性中天然具有跨境基因的行业,从总部/总行层面务必应对全球发展情况进行统筹规划方案,可以考虑核心业务系统采用单极体系节约成本,部分边缘系统和数据本地化部署提升访问效率和避免过度的数据跨境传输等;
  3. 最后,对于大型企业而言,巨大的规模导致了“缓慢的转身”,而信息时代瞬息万变的不止是市场,还有技术发展和监管要求;为此,跨国企业应重点注意避免僵化和依赖特定的某一类体系构建思路,根据业务发展、立法发展和技术发展等实际情况,提前规划、预留空间,并适时果断切换与迭代,采取最为适宜而合理的全球数据体系;举例而言,曾经被普遍认同和采用的全球统一CRM系统和DMP平台,对于跨国企业的员工、客户管理和数据资源积累起到了举足轻重的作用,然而在现有立法背景下,这些单极化体系的合理性、必要性都将值得所有企业再度思考。
  • 对于其他类型的企业(例如本地化的企业)而言,一方面可能因未达到特定的监管标准(例如未构成中国《网络安全法》下关键信息基础设施运营者)而不受本地化规则或跨境限制的影响;但另一方面,这些企业也同样可能因与大型跨国企业建立合作关系等原因受到目前立法潮流的影响;为此,即便自身业务中并不明确落入本地化、跨境限制等规则之中,企业也需要在合理开展数据盘点和业务盘点的基础上,构建对外提供产品/服务过程中的合规风险管控防火墙,例如业务协议的完善与更新、与合作方之间的数据权益明确分配等。

最后,从外部影响的反馈上看,企业还应当紧跟立法和执法趋势,根据实际情况调整应对策略;同时,对于可能产生重大影响的立法思路和草案(例如《提案》),通过立法意见、听证会、公开媒体等多种可行渠道表达来自于企业的意见,以争取更为有利的规则趋势