中國即將於明年實施旨在保障數據安全《數據安全法》。該法對中國境外組織、個人開展數據活動,損害中國國家安全的,將追究法律責任。觀察人士指出,該法一旦實施,這個被認為是“域外效力”的條款,將給外國公司帶來挑戰。
在全球步入5G網絡信息時代之際,數據安全的重要性愈來愈提到各國政府的議事日程和優先順序上。
繼2017年6月1日實施《網絡安全法》之後,中國政府日前又出台了《數據安全法(草案)》。草案總則開宗明義說,該法旨在保障數據安全,促進數據開發利用、保護公民、組織的合法權益、維護國家主權、安全和發展利益。
域外效力的影響
該草案第二條規定, 中國境外的組織、個人開展數據活動,損害中國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
觀察人士認為,近年來,數據控制已經成為一個地緣政治的熱點。草案第二條是最令人擔憂的部分,因為這將把數據安全的法律責任延伸到中國大陸以外的地區,包括香港,或世界其他地方。該條所說中國“境外的組織、個人開展數據活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的”,涵蓋面極廣,而這個“包羅萬象”的條文,可以被中國用作政治工具。
美國首都華盛頓的智庫“戰略與國際問題研究中心”(CSIS)高級副總裁兼科技政策項目主任詹姆斯·劉易斯(James Andrew Lewis)說,草案的公佈顯示,中國當局要對數據安全進行監管,無論數據在中國境內還是在境外。
他說:“我覺得值得關注的是,該草案給予中國當局監管數據管控者的能力,無論他們在中國境內或境外,因此具有域外效力(extra-territorial effect)。中國當局能審查境內外的外國公司。”
劉易斯說,這部法律草案所涉及的“域外效力”對中國境外的美國企業,如臉書、谷歌等作用不大,因為中國當局不讓他們進入中國市場,但是對在華經營的其他美國則產生直接影響。
他說:“但是其它一些美國公司,如蘋果,微軟等,他們在中國有生意。由於中國監管機構對他們有一些影響力,因此域外效力就顯得很重要了。如果你對臉書說,中國要對你採取行動,他們會毫不在乎,因為他們不在華經營,但是如果換成是蘋果或其他公司,那麼問題就來了。”
網絡安全和技術專家劉易斯說,數據安全是每個國家都在努力解決的問題。中國出台數據安全法,是步歐盟的後塵。
2018年5月25日,在28個歐盟國家實施的歐盟“通用數據保護條例”(General Data Protection Regulation,簡稱GDPR)正式生效。該條例旨在“統一歐盟範圍內的監管,讓公民重新掌控自己的個人數據,同時簡化國際業務的監管環境”。
劉易斯說,提到數據安全,人們自然想起Tik Tok。這是一個非常受歡迎,涉及個人數據,受第三國控制的應用程序。對於Tik Tok的數據如何監管?這是中國要解決的問題。這種類似的問題也是美國和歐洲必須要應對的。
合法化和威懾力
多倫多大學全球事務學院政治系副教授、中國問題專家琳內特·王(Dr.Lynette Ong)說,這部法律草案對外國公司當然具有威懾力,就像港版國安法一樣。她說,人們在發表任何言論或做出任何行動之前,不得不要考慮其言行可能帶來的後果,因而事先就要進行自我審查。她表示,對中國當局來說,出台相關法律,實質上就是將他們過去一直在做的事情合法化而已。
她說:“實際上,這部法律的效用是把他們的行動合法化。比如事後要採取什麼行動,通過制定相關法律把這些行動合法化。但這並不意味著,沒有這部法律,他們就不會採取任何行動。如果有任何境外組織的行動損害中國利益的話,他們同樣會採取行動,即使沒有這個法律。”
在中國出台《數據安全法》(草案)之際,基於保護美國的國家安全和公民個人數據安全的原因,美國特朗普政府8月6日決定禁止TikTok和WeChat在美國運營。
那麼,該草案的出台與美國決定要禁止TikTok和WeChat是否有直接關聯?對此,“戰略與國際問題研究中心”高級副總裁劉易斯說,他並不認為這是中國對美國禁止一些中國企業在美運營做出的回應。
他說,數據安全問題,是各大經濟體都致力於要解決的問題,包括美國、歐盟、印度等。他們都在想辦法保護其公民的數據,監管域外的國家。這是個全球性的問題,每個國家都在採取舉措加以應對。
進退維谷的“合作”
《數據安全法》(草案)第四章“數據安全保護義務”項下的第三十二條規定,公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當予以配合。
中國問題專家琳內特·王教授說,這項法律規定可能會讓一家外國公司的首席執行官感到擔憂。
她說:“如果我是個數據公司的首席執行官,可能會顧慮重重,考慮是不是要繼續中國繼續運營下去。我覺得,搞數據的企業,對此特別敏感,因為他們的顧客對數據安全有非常高的要求。所以,這一點如果不能夠達到一定的標準的話,可能就會徹底退出中國大陸。但這其實對中國大陸的經濟會產生一定影響的。”
網絡安全專家劉易斯說,這項法律規定,對在華經營的美國來說,的確是個要應對的問題,但他們必須要遵守。他說,這讓他們處於一種尷尬的處境,但這種尷尬的處境他們過去曾經歷過。他說,在華經營的美國企業,有時候必須要跟中國當局合作,但這種配合有時候會讓美國企業在其他地方遇到麻煩。
他說:“我的建議是,你不會願意置身於一個既有歐洲規定、美國規定,中國規定,又有印度規定的世界中,這會讓企業無所適從。因此,企業要尋找鼓勵經濟體間共同標準的途徑。但是我要告訴美國公司的是,你必須要遵守法律,但同時不要忘了自己的公眾形象,並且推動政府拿出一些共識來。”
美國企業迫於中國當局的壓力予以配合,在此之前已經有先例。 2007年11月6日,美國國會眾議院外交事務委員會就雅虎公司在中國記者師濤被中國政府判刑入獄過程中所扮演的角色再次舉行聽證會。
雅虎公司被指責為獲取商業好處而屈從於中國政府網絡新聞檢查的壓力,向中國當局提供了原湖南長沙當代商報的編輯部主任師濤的個人電郵資料,導致師濤在2005年被當局以“非法向境外提供國家機密罪”判刑10年。 2004年,師濤通過個人雅虎電郵把一份涉及六四內容的文件摘抄給一家海外民運網站。
老調重彈的中國倡議
為了配合數據安全法草案的出台,中國國務委員兼外長王毅9月8日在全球數字治理研討會上發起了《全球數據安全倡議》,提出“不得強制要求本國企業將境外產生、獲取的數據存儲在本國境內”,要“尊重他國主權、司法管轄權和對數據的管理權,不得直接向企業或個人調取位於他國的數據”,“信息技術產品和服務供應企業不應在產品和服務中設置後門,非法獲取用戶數據”,以及“ 反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據”等8項倡議。
在此之前的8月5日,美國國務卿蓬佩奧在國務院舉行新聞發布會上宣布,為使美國的數字網絡不受中國共產黨的影響,美國提出涉及五個領域的“清潔網絡”倡議,包括清潔運營商、清潔商店、清潔應用、清潔雲儲存以及清潔電纜。
“戰略與國際問題研究中心”高級副總裁兼科技政策項目主任劉易斯說,王毅發起了《全球數據安全倡議》是對美國一個月前公佈的“清潔網絡”倡議所做的反應。不過,他表示,大多數分析人士認為,中國的這個倡議沒有什麼說服力,因為中國並沒有提出什麼新的想法,其中一些說法是重複2015年的內容,是新瓶裝舊酒。因此,這個倡議不會得到國際社會的積極響應。
中國的《數據安全法》(草案)還對不履行該法而開展數據活動的組織和個人做出了處罰規定。草案規定,對不履行數據安全保護義務,或未採取必要安全措施,且拒不改正而造成重大數據洩露等嚴重後果的,最高處100萬元以下罰款,並吊銷相關業務許可證或營業執照。
預計,這部《數據安全法》明年將在中國人大會議上討論通過後生效。
