电子政务专栏

 
设为首页 | 收藏本站

数据合规已上升到国家安全战略高度

数据合规已上升到国家安全战略高度


普睿哲

做一个具有宏观思考力的涉外律师

▲数据作为数字经济时代最核心、最具价值的生产要素,正在加速成为全球经济增长的新动力、新引擎。可以说,数据正逐渐成为21世纪的石油。[1]


▲数据是5G、人工智能、云计算、区块链等前沿技术的基础。可以说,谁掌握足够多的数据,谁就可能在未来技术竞争中领先。


▲据国际数据公司(IDC)预测,2025年全球数据量将高达175ZB。其中,中国数据量预计2025年将增至48.6ZB,占全球数据圈的27.8%,将成为全球最大的数据圈。[2]


▲随着数据呈指数级增长,数据安全的重要性不断突显,已经触及国家安全这一新标杆。


▲接下来该怎么办,会止步不前吗?当然不会。数字经济是世界经济的未来,是中国经济增长的关键动力,“统筹安全与发展”的大方向不会变。只要进行有效的数据合规管理,在新标杆上依然可以推升数字经济新高度。


一、全球数据合规门槛正在迅速抬升


2021年6月10日,十三届全国人大常委会通过《数据安全法》,将数据安全提升到国家安全高度,明确规定“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。“


7月2日,滴滴被查,原由是“防范国家数据安全风险”,随后滴滴APP全面下架。


7月10日,国家网信办发布了关于《网络安全审查办法(修订草案征求意见稿)》公开征集意见的通知,规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。


标志性事件历来是时代的分水岭。上述事件表明,互联网企业野蛮生长的时代已经过去,上升到国家安全战略高度的数据合规时代已经到来。


对数据进行国家安全审查,中国其实是后来者,欧美国家动手比我们早得多。


早在2018年,美国特朗普政府便以国家安全为由打压华为,并游说全球盟友禁用华为5G设备。随后抖音、微信的遭遇也是出于国家安全考虑。


2015年10月6日,欧盟法院判决,美欧之间的“安全港原则”无效。5000多家美国公司无法再依赖“安全港原则”进行跨大西洋的数据传输。


2020年7月,欧盟法院裁决,欧美之间用以取代“安全港协议”的“隐私盾”协议无效。


2020年9月,爱尔兰数据委员会要求Facebook停止向美传送用户数据。如不遵守,将面临高达28亿美元的罚款。


美欧之间在数据安全领域信任不断倒退,看似个人用户安全保护问题,实则是国家安全问题。起因是2013年被曝光的“棱镜门”事件。这是美国国家安全局开展的一项几乎覆盖全球的监视计划,就连欧洲盟友也不放过,引起欧洲国家强烈不满,称之为“背信行为”。


二、“国家安全风险”并非空穴来风


(一)数据是国家的战略情报,占据数据优势的一方可以进行“降维”打击。通过调取社交软件上的用户信息,可以迅速对个人进行精准画像和精准定位;通过对一国经济数据的分析,可以瞬间击溃该国的金融系统;通过对道路信息的加工处理,可以引导导弹对关键设施进行精确打击;通过对国民基因和健康数据的分析,可以轻松发动一场一边倒的生物战。数字经济时代,谁控制了数据,谁就将控制整个世界。掌握数据优势的一方可以看到对手所有的底牌,随时能够发动一场胜券在握的“降维”战争。


(二)全世界的数据正在流向美国,“数据依附”严重侵蚀国家主权。根据市场调研机构 Synergy Research 的统计,截至2020 年,全球主要的 20 家云和互联网服务公司运营的超大规模数据中心数量为 597 个,其中美国的数据中心数量远超其他国家,占比高达 40%,中国虽然位列第二但占比仅有 10%。[3]自己的数据储存在别国的服务器上或云端,相当于把命运交到了别人手上。


(三)黑客组织攻势日趋强大,国家关键数据几乎处于“不设防”状态。数据资产有别于其他有形资产,尽管事关国家安全,但大多存放在各互联网公司的服务器上,这与传统国家安全领域中的“重兵把守”有本质区别,也给黑客攻击留下了巨大空间。2021年5月初,美国科洛尼尔管道运输公司遭勒索软件攻击,一条输油干线被迫关停数日,导致美国多个州和地区一度面临燃油供应危机。据悉,这种攻击已经达到国家攻击级别,不但能够控制用户电脑,还能盗取服务器上的数据。如果这些攻击由具有国家支持背景的组织发动,那么后果将不堪设想。而且这种可能性并非不存在。2010年左右,美国就曾利用“震网”病毒攻击伊朗核设施。


三、互联网企业需要密切关注五大趋势


(一)数据正在成为大国博弈的焦点


当前,科技竞争是中美博弈的重头戏。2021年,美国国会接连推出多部旨在确保美国科技优势的法案,如《美国创新与竞争法案》,投上千亿巨资发展5G、人工智能等新技术。这些技术的基础是数据和算法,其实都是靠数据“喂”出来的。此外,美国通过《外国公司问责法案》加强对在美上市公司的控制,以审查名义获取中国公司大量数据。面对严峻形势,中国也加强了防守,通过立法堵塞数据漏洞,严格审查赴美上市的互联网公司,一场围绕数据展开的攻防正在逐步展开。


(二)国家安全审查将成为互联网企业“走出去”“请进来”不可逾越的第一道防线


此处的“走出去”主要指赴境外上市。基于以上分析,结合当前形势,可以肯定,赴美上市前景十分渺茫。与此同时,外资控股或外资比重过高也是互联网企业无法回避的重大问题。我们耳熟能详的很多互联网巨头到底是中国企业还是外国企业?战略资产控制在外国人手中,肯定与国家安全原则不符。股权比重到底多少才安全,可能需要未来立法中进一步明确。


(三)大数据的国家权属将进一步突显


那些存储在企业服务器、云端的大数据,不可能成为企业的“私有资产”,也不可能继续处于基本“不设防”或“散落民间”的状态,其获取、处理、使用、分级、交易、保护等必然走上规范化、法制化轨道,原本相对模糊的数据权属也必将向国家利益和公共利益倾斜。


(四)互联网企业的国际化拓展之路可能遭遇西方歧视打压


互联网企业是吸食全球数据的“巨兽”,其海外拓展必然引起西方国家警觉。一方面,西方国家通过“白名单”和自贸区等安排,形成条块分割的“数据自贸区”,排斥中国企业加入,势必影响中国企业的海外竞争;另一方面,西方国家正在主导数据安全领域的国际话语权和规则制定权,动辄以国家安全为由对我APP发出禁令的行动将更加频繁,我互联网公司的海外维权因此任重道远。


(五)数据跨境流动将成为未来合规管理的重点


数据跨境流动直接牵动国家安全神经,是数据安全领域最敏感、最复杂的部分。当前,欧盟通过《一般数据保护条例》,对数据跨境流动树起了高墙,同时也留出了“充分保护决议”“标准合同条款”“约束性企业规则”“特定情形”这四条通路。美国以“云法案”为骨干,建立起“广进少出”的数据跨境流动规则体系,同时通过《美墨加三国协定》,建立起区域数据自由流动体系。我国在数据跨境流动方面始终坚持“本地存储”和“安全评估”两条刚性原则,统筹安全与发展。可以说,在数据经济巨大红利面前,各国(方)都没有把路堵死,“安全可控”是各国(方)的共同目标,只是把握的尺度有所不同,需要企业精准把握。就如同原本宽阔的河面突然变窄,再加上落差变化,必然形成湍流。中流击水,既是挑战,更是机遇。

设为首页 | 收藏本站