周若涵：数据安全风险对国家安全的挑战及法律应对

周若涵：数据安全风险对国家安全的挑战及法律应对 原创 周若涵 上海市法学会 东方法学 收录于话题#上海法学研究 315 个内容 #原创首发 657 个内容 #法学 561 个内容 #核心期刊 505 个内容

周若涵

上海海事大学法学院硕士研究生

要目

一、数据安全风险给国家安全带来的挑战

二、域外数据安全风险法律治理之经验

三、数据安全风险法律治理之完善

数据霸权主义、网络攻击、数据跨境流动均会对数据主权及安全产生威胁，进而危及国家安全。通过对美国、欧盟、俄罗斯、澳大利亚等国家加强对个人数据权的保障以及制定一系列政策性文件和法律法规以应对数据霸权及网络攻击、通过“数据出口限制”和“数据本地化”的方式对数据出境进行限制以及通过CLOUD法案和GDPR延伸数据跨境管辖权的经验借鉴，提出加强对个人数据的立法保护及大力发展信息科技以应对数据霸权，完善立法及加强事先预防和应急处置以应对网络攻击，完善对数据的出境管控、加强国际交流协作、适当延伸域外管辖权以应对数据跨境流动带来的数据安全威胁等建议。

由于信息科技的迅速发展，数据不仅蕴含着丰富的商业价值，亦作为国家的基础性战略资源与国家的安全和利益息息相关，数据安全本身也是国家安全基本内容中网络安全的组成部分。国家安全法第25条“国家建设网络与信息安全保障体系……实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控……”亦明确了维护数据安全是保障国家安全的应有之义。正值国家安全法出台五周年之际，认真审视数据安全风险给国家安全带来的挑战、补充完善数据安全风险的法律治理自然必不可少。

一、数据安全风险给国家安全带来的挑战

数据霸权主义危及国家安全

美国在经济、军事、科技、文化等领域的绝对优势力量奠定了其全球霸主地位，并且美国称霸世界的全球战略在今后较长的一段时间内还将持续，因而推行数据霸权主义是其强化全球主导地位的必然选择。美国拥有着众多信息科技领域的行业巨头，掌握着世界先进的信息科技，这给美国实行数据霸权提供了技术支撑。如在美国棱镜门事件中，美国国家安全局直接进入Facebook、谷歌、微软等互联网公司的中心服务器收集各国用户数据，严重侵害了他国公民和国家的利益。此外，美国还利用间谍软件对他国实施监控，据《纽约时报》2014年的报道可知，美国国家安全局已在全球近10万台计算机中植入软件，使美国能够对这些计算机实施监控，并作为美国开展网络攻击的早期预警系统。

由于受到“9·11”恐怖袭击事件的影响，美国出台爱国者法案以防止国际恐怖主义的发生，但该法案也为美国收集他国数据提供了法律支撑。如爱国者法案第215条规定，为获取不涉及美国人员的外国情报信息，或出于防止国际恐怖主义或者从事情报活动的目的，联邦调查局局长或其指派者可申请调查令以对相关机构存储的用户信息进行调查，并且任何人不得向其他人透露调查情况。这就意味着无论调查的信息主体是否为美国公民，只要其在美国互联网公司提供的云服务器中存储数据，美国政府便有权对该数据进行调查。《爱国者法》等立法规定给数据霸权主义的推行打开了方便之门，也给我国国家安全带来重大隐患。

网络攻击给国家安全带来重大隐患

《2018年中国互联网网络安全报告》中指出，通过恶意程序感染、网页篡改、网站后门等传统攻击手段侵犯网络安全的问题得到了有效控制，但关键信息基础设施、云平台等面临的安全风险仍较为突出，APT攻击、分布式拒绝攻击等问题较为严重，具体而言，涉及政府、医疗、教育、制造业等重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标，传媒、电信等国家服务性行业面临越来越多的APT攻击风险，涉及国计民生的存储于云平台中的大量信息愈发成为攻击者攫取经济利益的目标等。由此可见，网络攻击不仅会使个人及企业的数据遭到泄露或被篡改，使得个人隐私权受到侵犯或者商业机密遭窃，同时也会使得国家重要行业的大量数据面临被攻击的威胁，从而危及国家安全。

关键信息基础设施涉及大体量的重要数据，是数据安全风险来源的重点领域。根据网络安全法第31条可知，关键信息基础设施是指提供公共通信和信息服务、能源、水利、金融、交通、公共服务等重要行业运行的信息系统或工业控制系统，因此其一旦遭到网络攻击便可能严重危及国家安全、国计民生以及公共利益。如2014年12月，韩国两座核电站的内部文件再一次因黑客攻击遭到泄露，之前泄露的文件包括核电站约1万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图等，韩国官方认为这是“一起非常严重的国家安全事件，原本不应该发生”。2017年12月，Xenotime黑客组织操纵首款专门针对安全仪表系统的Trisis恶意软件，利用施耐德Triconex安全仪表控制系统零日漏洞攻击中东一家石油天然气工厂，致该工厂停运。由于具有特殊目的的黑客组织不断地对我国关键信息基础设施实施网络攻击，如APT攻击活动持续活跃，我国关键信息基础设施受到的威胁不断增加，这使我国的国家安全、社会稳定持续面临安全风险。

数据跨境流动引发数据主权威胁

随着互联网技术以及信息全球化的发展，数据跨境流动愈加频繁。并且由于数字经济的快速发展，几乎所有的跨境贸易都需借助数据的跨境流动来满足基本的商业需要，因而数据跨境流动对推动经济发展方面的作用日益显著，但其所带来的新问题也不得不引起我们的重视。由于数据产业发展水平的差异，数据产业竞争力较弱的国家是数据的主要提供者，而较强的国家则是数据产品与服务的主要提供者，因此在不对数据的流动施加限制的情况下，数据自然会向产业竞争力较强国流动，若产业能力较弱国拒绝数据跨境流动，其数字经济的发展将受到损害，但若允许则将造成数据资源的流失，其数据主权将会受到侵害，进而引发国家安全威胁。

二、域外数据安全风险法律治理之经验

应对数据霸权主义的域外经验

由于关系公民人格权和隐私权保护的个人数据是组成“数据”整体的基本单位和主要类型，并且大数据时代的个人数据权并非是对世权，其产生本身就具有公共性和共享性，对其的保护不仅仅与个体权利的保护相关，也是维护国家数据安全、反制数据霸权的重要前提。因此，为制止美国爱国者法案对欧盟数据主权的侵害，欧盟通过加强对个人数据权的维护来达到抵制数据霸权的效果。2016年欧盟颁布了一般数据保护条例（GDPR），通过加强数据主体对数据的控制权以及数据控制者的义务，构建一套“高人权保护”的法律标准（如GDPR赋予了数据主体访问权、更正权、限制处理权、知情权、反对权等权利），并且将这套“欧盟标准”推广到其他国家和地区的方式，来防止美国和他国利用数据优势地位威胁欧盟的主权独立和国家安全。

应对网络攻击的域外经验

为做好网络信息安全的防护工作，美国制定了一系列政策性文件以及法律法规。如2003年美国出台《保障网络空间安全的国家战略》，其主要目标为阻止针对美国关键基础设施的网络攻击、降低面对网络攻击时国家的脆弱性、当网络攻击发生时将损失降到最低并将恢复时间缩到最短；2011年，美国发布《网络空间国际战略》，其中提出美国将综合运用网络空间的技术手段和实体世界的物理杀伤手段来应对虚拟数字世界的信息攻击；2012年10月，奥巴马签署《美国网络行动政策》，明确网络空间是与陆海空天并列的第五大作战领域，将网络攻击视为战争行为，在法律上赋予美军进行非传统战争的权力。

俄罗斯是遭受网络攻击最为严重的国家之一，因而其对网络信息安全的保障工作相当重视，自1999年《俄罗斯网络立法构想》将信息安全纳入国家安全管理范围始，俄罗斯又陆续起草、修订并公布了《信息安全学说》《信息权法》《俄罗斯网络立法构想》《俄罗斯联邦信息和信息化领域立法发展构想》《俄罗斯联邦因特网发展和利用国家政策法》等一系列纲领性文件和法律。2013年1月，普京签署第31号总统令，授权俄联邦安全局建立监测、防范和消除计算机信息隐患的国家计算机信息安全机制，具体内容包括分析预测信息安全形势，评估国家关键信息基础设施抵抗网络攻击的防护水平，研究制定保护关键信息基础设施抵抗网络攻击的方法等。2014年1月，俄罗斯联邦委员会公布《俄罗斯联邦网络安全战略构想》（讨论稿）（简称《战略构想》），其中将发展国家网络攻击防护和网络威胁预警系统确定为保障网络安全的优先事项，并明确了完善对计算机攻击的监测预警和消除、建立网络安全事故案件相应中心等网络安全保障方向。2017年俄罗斯制订并通过了《俄罗斯联邦关键信息基础设施安全法》，其中确立了预防计算机攻击优先的安全保障原则，明确了关键信息基础设施主体协助联邦行政机关职责人员监测、预防和处置计算机攻击等义务，以及按规定程序从联邦行政机关获得计算机攻击的设备和方法、预防和监测计算机攻击办法的信息的权利，以保障关键设施面临计算机攻击时的稳定运行。

域外对数据跨境流动的规制经验

1.加强对数据的出境管控

为防止数据资源的流失危及数据主权，各国一般通过“数据出口限制”和“数据本地化”的方式对数据的跨境出口进行限制。实行“数据出口限制”的国家及国际组织主要有美国、欧盟。美国出口管理条例（简称EAR）第734.3条规定“存储于电子形式或媒介（如计算机软盘或CDROM）中的加密源代码仍受EAR的约束”，第734.17条规定通过电子公告牌、互联网文件传输协议和万维网网站等通信设施进行境外传输的加密源代码和目标代码“软件”受到出口管制。欧盟2018年生效的一般数据保护条例第5章亦对数据的出口实行管制，只允许个人数据流入欧盟认可的能提供“充分保护”或“适当保障措施”的国家或地区。

实行“数据本地化”的国家有俄罗斯、澳大利亚等。俄罗斯作为强制要求实现数据本地化的代表，其国家通讯委员会的操作规则要求电子通讯和网络提供商配备数据留存设备以实现数据的收集操作，并且数据应在服务器上保留12小时以上。澳大利亚2012年出台的个人信息电子健康记录控制法对个人医疗记录的本地化作出强制规定，其中第77条要求系统运营商、已注册的资源库运营者、已注册的门户网站经营者、或已注册的合同服务提供者，在个人电子健康记录管理系统中保存记录或访问与这些记录相关的信息时，不得在澳大利亚境外保存或持有记录，或对与记录相关的信息进行加工或处理，也不得致使或允许从事上述行为。

2.延伸跨境数据管辖权

为更进一步维护和强化数据主权，部分国家和地区积极将其对数据的管辖权向境外延伸。如2018年3月美国紧急通过了《澄清域外合法使用数据法案》（简称CLOUD法案），其中规定：“电子通信服务或远程计算机服务的提供者均应遵守本章规定的义务，在其拥有、保管或控制范围内保存、备份、披露有线或电子通信内容，以及与用户有关的任何记录或其他信息，无论通信、记录或其他信息是否存储在美国境内。”为保护数据主权安全、保障美国对本国数据的域外控制能力，同时为充分利用数据以保护公共安全、打击包括恐怖主义在内的重大犯罪，CLOUD法案在数据主权的效力边界上采用“数据控制者标准”，对执法机构调取数据的范围进行了域外扩展。

欧盟GDPR第3条“地域范围”规定，“本条例适用于在本联盟中设立的控制者或处理者在活动范围内对个人数据的处理行为，而不论该处理行为是否在本联盟进行。本条例适用于与以下事项有关的非在本联盟设立的控制者或处理者处理联盟内数据主体的个人数据的行为：向联盟中的数据主体提供货物或服务，无论数据主体是否需要付款；或对数据主体在联盟内发生的行为进行的监控……”GDPR拓宽了欧盟数据主权的效力范围，即使是设立在欧盟境外的机构，只要其处理数据的行为符合法律所规定的涉及欧盟境内数据主体个人数据的情形，也将受到欧盟的管辖。

三、数据安全风险法律治理之完善

完善应对数据霸权的法律措施

为有效应对来自美国及其他国家的数据霸权威胁，一方面我国可借鉴欧盟经验，加强对个人数据保护的顶层设计。我国2016年出台的网络安全法仅仅对“个人信息”的保护进行了规定，如第41条第2款规定：“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息……”然而“个人信息”与“个人数据”并不相同，数据是“以适合交流、解释或处理的形式化方式重新解释信息的表示”，即信息的形式化方式体现，在电子空间中是“按照一定规则排列组成的人工符号”，而信息则是“通过机器人为读取的意义”，二者构成同一事物的不同侧面，且在权利主体、权利标的、权利性质和权利内容上均存在差别。因此我国目前在立法层面上缺乏专门针对“个人数据”保护的规定，需对现行法律进行修改或者出台与个人数据保护相关的法律法规，强化对个人数据的法律保障，以制止数据霸权对我国数据主权的侵入。

另一方面，美国得以推行数据霸权的一个重要原因便是其本国先进的信息科技为其提供了技术支撑，并且美国还拥有着众多掌握他国大量云数据的行业巨头。因此为防止数据霸权的侵害，我国需在立法层面上重视对信息科技人才的培养，加大对信息科技产业的扶持力度，鼓励本土云服务产业的发展，健全反监控防御机制，消减数据霸权对我国数据主权和国家安全的威胁。

完善应对网络攻击的法律举措

1.首先，我国现行网络安全法在第5条、第21条、第25条、第26条、第62条、第75条中对防范网络攻击、制定及时处置网络攻击的应急预案、向社会发布网络攻击信息以及违反规定的法律后果等事项作出较为全面的规定，然而自网络安全法发布以来，我国发生的网络攻击事件仍然层出不穷，数据安全不能持续得到保障，这意味着针对网络攻击的法律治理仍存在欠缺。为加大对网络攻击的防范力度，我国一是需细化防范网络攻击的法律规定，制定出台针对防范网络攻击的实施细则或条例；二是借鉴俄罗斯网络安全保障经验，对设立针对网络攻击进行实时监测和风险评估的专门机关、建立网络攻击事故中心等事项进行立法规定，以加强对网络攻击行为的事先预防和应急处置；三是通过立法对加大针对网络攻击技术研究的资金投入进行明确，有助于通过对APT等攻击手段的特点和规律的研究建立完备的防御攻击系统。

2.加强对关键信息基础设施遭受网络攻击的防范力度。目前，我国立法层面上对关键信息基础设施的规制主要集中在网络安全法第31至39条中，其中关于运营者需每年至少进行一次检测评估、设置专门安全管理机构和安全管理负责人、国家网信部门应当统筹协调有关部门对关键信息基础设施采取安全风险抽查检测、定期组织应急演练、促进相关机构之间的网络安全信息共享等安全保护措施等的规定对于加强对关键信息基础设施遭受网络攻击的防范力度具有明显的进步意义，但其中对关键信息基础设施的具体范围、监测预警及信息通报、应急处置、监督管理等事项尚有待细化完善。令人振奋的是，国家互联网信息办公室于2017年7月10日发布了关键信息基础设施安全保护条例（征求意见稿），对防范关键信息基础设施网络攻击等安全保护问题作出详细规定，其中第4条对负责关键信息基础设施安全保护监督职责的主体进行了明确；第8条对防范来自境外的网络攻击及其他安全威胁的规定与网络安全法第5条规定保持一致；第16条将“攻击关键信息基础设施”明确列入禁止任何个人和组织从事的行为；第22条明确运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人；第23条明确运营者采取技术措施以防范关键信息基础设施受到网络攻击的义务；第3章专设一章对关键信息基础设施的范围进行列举，并对其识别认定的操作办法进行了明确；第6章专设一章对“监测预警、应急处置和检测评估”进行了详细规定。可以看出，关键信息基础设施安全保护条例（征求意见稿）凝聚了业内专家及学者的多年来的有益探索和智慧，若能顺利出台将会对关键信息基础设施的安全保护发挥重大作用。尽管如此，我们仍可对征求意见稿作出进一步的完善，如制定数据安全事件的分级标准，并依级别的不同分别建立对应级别的网络攻击应急处理机制；有关部门开展对关键信息基础设施的防范网络攻击安全风险以及运营者履行安全保护义务的情况进行抽查检测后，根据检测评估的结果实施奖惩措施等。

完善跨境数据流动的规制体系

1.完善对数据的出境管控

我国网络安全法第37条对关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据的跨境流动作出限制性规定，要求原则上应在境内存储，因业务需要确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。这一规定一定程度上能够限制关键信息基础设施运营者所收集和产生的大量个人信息和重要数据流入境外，从而保障国家的数据安全，但仍然存在许多不足。一是该规定将数据留存主体限定为关键信息基础设施运营者，将留存内容限定为其在境内收集和产生的个人信息和重要数据，对跨境流动数据的限制范围过窄，且“重要数据”概念模糊；二是仅仅以本地化存储手段对数据出境进行控制尚不能够充盈对数据的支配权，未必能有效防止数据主权和国家安全受到威胁，因为若掌握大量数据的公司将数据转卖至我国境内的外资公司或机构，则可以在不违反网络安全法的情况下危及我国国家安全。

2017年4月11日，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，对个人信息和重要数据出境安全评估的原则、内容、主管部门以及数据不得出境的情形等事项作出详细规定，并且征求意见稿扩大了数据出境安全评估的范围，不再局限为关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据，对于一般数据，网络运营者应在数据出境前自行组织进行安全评估，第9条则通过具体列举的方式规定对于可能影响国家安全和社会公共利益的数据，网络运营者应报请行业主管或监管部门组织安全评估。这相比于网络安全法的规定自然是更加有利于对出境数据实行安全管控，但也存在一些弊端和疏漏。一是除了第9条规定的由行业主管或监管部门组织安全评估的数据，以及第11条规定的绝对禁止出境的数据外，其他数据需由网络运营者自行进行安全评估，而这在企业跨境经营日益频繁的今天，无疑会加大企业的经营成本、降低运营效率，且企业如何开展安全评估更是一道难题；二是从第2条可知，该办法对数据出境管控的手段仍局限在本地化存储；三是第17条对“重要数据”作出解释说明，即“与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南”，但目前《重要数据识别指南》仍未正式出台。2019年5月28日国家互联网信息办公室发布的数据安全管理办法（征求意见稿）中将“重要数据”界定为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等”，且排除了“企业生产经营和内部管理信息、个人信息”，相比之下，数据安全管理办法（征求意见稿）通过不完全列举的方式对重要数据范围的界定更为清晰，但仍不够明确和全面。幸而，2017年8月30日信息安全标委会发布的《信息安全技术数据出境安全评估指南》征求意见稿的附录A中终于出现了《重要数据识别指南》，其对26个行业中的重要数据进行了列举，并用兜底条款对其他行业重要数据的判断和识别提供依据，此外其中还说明了行业主管部门可根据行业发展、评估实践及时更新指南，因此在正式的《重要数据识别指南》出台前，其可为主管部门及网络运营者提供较为清晰的指引。

为加强对数据主权和国家安全的保障，丰富完善对数据跨境流动的管控措施，首先，行业主管监管机关应鼓励行业自律，加强对网络运营者的数据安全教育培训，提升其数据安全意识和责任意识。其次，政府应加强与实施跨境业务企业的合作，建立政府部门、安全机构与龙头企业间的信息共享机制，及时共享数据泄露情报，便于快速追踪锁定行为来源。其三，对于数据未出境，但网络运营者将数据转卖至我国境内的外资公司或机构的行为，网络安全法及现有征求意见稿中均未对此种行为作出规制，然而其危害性与违法将数据带出境的行为同样严重，因此立法上需对此进行明确，防止因法律的疏漏导致侵害国家主权及安全行为的发生。最后，由于网络安全法对违反第37条规定，在境外存储网络数据或者向境外提供网络数据的法律责任仅规定了行政处罚，为加强对违法向境外或境内外资公司或机构提供数据行为的法律威慑力度，可在刑法中增设相应的独立罪名，对情节严重者直接追究其刑事责任，从而有效防范危害国家数据主权及安全的行为。

2.加强国际交流协作

在经济和信息全球化的时代，数据跨境流动的法律规制离不开国际交流协作以及国际共识的达成，这亦有利于安全、开放的国际网络空间的形成。在数据跨境流动国际规则的制定上，我国应积极参与并争取作国际规则的制定者而非被动接受者，在参与国际规则的制定时，一方面既要考虑为中国互联网企业争取更为宽松和有利的数据流动监管环境，因此需避免他国的制度还击，不宜对数据出境施加过于严格的限制；另一方面又要考虑维护本国利益，在关系国家安全和数据主权的根本问题上不能让步，驳斥数据强国提出的激进方案，谋求公平公正、符合大多数国家数据利益国际规则的达成。

3.适当延伸数据域外管辖权

为增强对本国域外数据的管控、强化对我国数据主权的保护，同时方便执法机构跨境调取数据以打击重大犯罪，我国可以在兼顾他国利益和国际规则的同时适当延长对数据的域外管辖权，以增强数据保护的域外效力，当然这需要在立法层面上对此设定明确的标准和程序性要求，保障域外管辖权的延伸严格在法律界定的范围内进行。

原标题：《周若涵：数据安全风险对国家安全的挑战及法律应对》

阅读原文