摘要

近年来,随着信息技术的迅速发展,跨境数据流动呈现爆发式增长态势。然而,从 2013 年斯诺登事件到 2018 年 Facebook 数据泄露丑闻,数据泄露事件日益严重和频繁。越来越多的国家因此开始对跨境数据流动实行规制,而越南则通过《网络安全法》中的数据本地化储存条款对跨境数据流动进行了较为严格的监管。本文结合当前越南互联网治理的现状,从安全和主权的角度分析了数据本地化储存规则对越南的重要意义。在反思越南数据本地化储存引起的正负面效应的基础上,从公民、跨国公司、全球数字经济三个层面出发,探讨数据本地化储存立法对各国的启示意义。

前言

近年来,信息技术和互联网的飞速发展和普及,带动了跨境数据流动(Trans-border Data Flows 或 Cross-border Data Flows)规模的急剧扩大及频率的迅速加快。麦肯锡全球研究院(MGI)的报告显示,2014 年的全球跨境数据流动的体量是 2005 年的 45 倍,预计到 2019 年还会增长9 倍。如此巨大的流量蕴含着惊人的经济价值。

仅 2014 年,全球跨境数据流动便产生了 2.8 万亿美元的经济效益。然而,与传统的资本等的全球流动不同,除管理上的困难外,跨境数据流动还带来了对个人隐私甚至国家安全的威胁。以 2013 年“棱镜门”事件为节点,跨境数据流动对网络安全的潜在威胁在主权国家之间掀起了一股数据本地化储存(Data Localization)的立法浪潮,俄罗斯、中国、印度等国家和地区相继出台了相关法律法规和政策,就本国产生的相关数据向境外的传输作出限制。

2019 年 1 月 1 日正式生效的越南《网络安全法》中同样纳入了数据本地化储存条款。该法第四章第二十六条第 3 款规定:“在越南网络空间提供电信网、互联网业务和其他网络增值服务的国内外企业,若有收集、开发、分析、处理个人通信数据、业务使用者关系数据和业务使用者在越南产生的数据的活动,要在政府规定的时间内在越南储存这些数据。本款规定的国内外企业要在越南设立分支机构或代表处。”

数据本地化储存的基本内涵

1.1 基本概念

数据本地化储存又称数据驻留(Data Residency),通常指主权国家通过制定相关法律法规或政策,要求跨国公司在一国境内收集、处理和 / 或储存该国公民或居民的有关数据,限制数据流出境外。作为对跨境数据流动的一种规制,我们必须厘清数据本地化储存和跨境数据流动二者之间的关系。

跨境数据流动的概念最早可以追溯到 1980年,经济发展与合作组织(OECD)在《隐私保护与个人跨境数据流动准则》中将个人跨境数据流动界定为“个人数据跨越国界的移动”。如今,跨境数据流动涉及的数据类型虽仍以个人数据为主,但其内涵已经大大扩展,除个人隐私数据外,还包括商业数据、关键信息基础设施上产生的个人数据和政府数据等。一国对跨境数据流动进行管理的重要性也由此从个人隐私保护层面上升到了经济乃至国家安全层面。

当前,各国对于跨境数据流动的规制手段主要分为两种。第一种旨在在保障数据自由流动的基础上,通过相关法律条例明确原则和标准保护个人隐私和数据安全。此类规制以欧盟《一般数据保护条例(GDPR)》和美欧之间达成的《欧美隐私盾(EU-U.S. Privacy Shield)》协议为代表。第二种便是数据本地化储存。在实践中,各国的数据本地化储存法规所指向的数据类型不尽相同,限制程度亦有所差别。例如,澳大利亚要求对健康记录相关数据进行本地化储存,我国《网络安全法》第三十七条则规定运营商将关键信息基础设施上产生的个人信息和重要数据储存在境内。另一方面,相对这些仅要求对特定数据类型进行本地化储存的国家,部分国家则实行了全面严格的数据本地化储存法规。例如,俄罗斯《俄罗斯联邦信息、信息化和信息保护法》规定,俄罗斯公民的个人信息需储存在该国境内的服务器中。两类规制的主要区别是,前者会在综合评估数据接收国的数据保护水平的基础上确保跨境数据流动,对个人数据的保护往往依赖于政府监督下的企业自我管理,政府基于执法或国家安全目的获取个人数据时往往受到严格的监督和限制;而后者则往往严格禁止跨境数据流动,且通常情况下,政府在对这类数据的监管上拥有较大权限。当前,美欧等采取第一类规制的国家和地区与俄罗斯等采取第二类规制的国家形成了两大对抗阵营,而分歧背后的焦点是,前者力图确保跨境数据流动,最大程度支持全球数字经济的发展,认为后者所实施的数据本地化储存法规则会割裂全球互联网以及造成跨国互联网企业合规成本的增加,从而损害全球数字经济的发展。

1.2 对越南数据本地化储存条款的解析

如果从储存主体、储存内容和监管方式三个方面来对越南《网络安全法》的数据本地化储存条款进行剖析,在该条款中,数据本地化储存主体是提供电信网、互联网业务和其他网络增值业务的国内外企业;数据本地化储存所涉及的内容是个人数据 , 服务使用者关系数据和越南服务使用者产生的数据;本地化储存数据的监管方式是通过要求国外互联网企业在越南设立分支机构或代表处,按时储存数据,并配合政府工作。

从储存主体看,该条款所指向的储存主体基本覆盖了个人和关键信息基础设施的运营商;从储存内容看,该条款指向的是越南境内产生的各种类型的个人信息和相关数据,覆盖面相当广泛;从对数据的监管方式看,越南政府有着相当大的监管权限。总体看来,越南的数据本地化储存条款相当严格。

越南数据本地化储存立法的必要性

2.1 现实社会基础

早在 2013 年,越南便对跨境数据流动做出了规制。当时,随着“棱镜门”事件的发酵,越南政府颁布法令,要求所有互联网服务运营商至少在越南境内设立一个自己的数据中心。而越南之所以在《网络安全法》中将对跨境数据流动的规制进一步升级为数据本地化储存条款,与其国内的网络治理现状密不可分。近年来,越南的互联网发展呈现出以下三大特征:第一,自身互联网市场规模和发展潜力巨大。这主要体现在以下三个方面:一,互联网市场规模庞大。越南总人口约为 9600 万人,互联网用户达 6400 万,其中有约 5500 万的活跃社交媒体用户和约 5000 万的活跃移动社交用户,三者的渗透率分别高达 67%、57% 和 52%;二,互联网用户增长率惊人。2017 年 1 月至 2018 年1 月,越南的互联网用户、活跃社交媒体用户和活跃移动社交用户分别增长了 28%、20% 和22%。三,数字经济发展前景巨大。2018 年,越南包括数字媒体、电子商务、网约车服务、在线旅游规划等在内的数字经济总估值约 90 亿美元,预计到 2025 年将达到 330 亿美元。第二,互联网安全形势严峻。一方面,网络犯罪活动猖獗。当前,越南网络犯罪的数量和复杂性都在上升,包括电信诈骗、网络博彩等在内网络犯罪对越南社会造成了巨大的经济损失。越南公安部的调查显示,2014 年至 2018 年,参与网络博彩的账户数达 4300 万,产生了共约10 万亿越南盾的非法获利。另一方面,越南还频繁遭受网络攻击。越南计算机应急响应小组(VNCERT)的统计数据显示,2018 年截至第三季度末,越南共记录到 8319 起网络攻击事件,其中恶意软件攻击 1575 起,deface 案件(指黑客通过侵入网站服务器,篡改网站或网页的外观)4829 起,网络钓鱼攻击 1915 起。

第三,网络舆论面临治理困境。互联网的高度普及在改变越南人民生活方式的同时,也对民众的思想造成了极大的冲击。由于疏于引导,面对信息爆炸的互联网,不少网民缺乏辨别是非的能力,易于受到煽动蛊惑,这一度导致了越南网络谣言的扩散和网络舆论的极化。同时,越南境内外的反动势力通过宣传越南共产党的负面形象,配合难辨真伪的信息进行反越共和反社会主义的舆论宣传,这使得越南互联网充斥着歪曲历史、颠覆和仇恨言论。网络舆论的发酵,对越南的网络环境产生了负面效应,并由此影响了越南的社会和政治稳定。因此,虽然越南有着高互联网覆盖率,网络安全名却很不理想。在国际电信联盟(ITU)发布的《2017 年全球网络安全指数》报告中,越南的全球网络安全指数(GCI)得分 0.245,在全球 195 个国家中排名 100,处于模仿阶段。在这样的背景下,2018 年 6 月 12 日,越南国会高票通过了《网络安全法》,而作为核心之一的数据本地化储存条款要求外国互联网公司在越南设立办事处,配合当局工作,同时将越南用户资料储存在越南当地。

2.2 数据本地化储存立法对越南的必要性

结合上述背景,我们可以从以下三方面出发,分析数据本地化储存法规对越南的必要性。

2.2.1 从安全角度出发,数据本地化储存为公民个人信息安全和国家安全提供必要的保护

数据本地化储存的直接目的便是确保公民个人的信息安全。个人信息安全是指公民身份、财产、健康等个人信息的安全状况,是国民安全的重要组成部分。对越南来说,公民个人信息面临着两方面的威胁:一方面,高网络犯罪率下,包括网络钓鱼、诈骗等在内的网络犯罪活动威胁着公民个人信息安全。越南《网络安全法》第三章第十七条明确声明,严厉打击此类网络犯罪活动。另一方面,相对于此类不成规模、随机而零散的个人信息泄露风险,大数据时代的互联网公司往往采用规模更大、指向性更强和更加系统的数据收集处理方式,这对公民个人信息安全构成了潜在威胁。当前,国外互联网公司在越南的搜索引擎、手机应用和社交软件等方面占据了相当大的市场份额。以搜索引擎为例,统计数据显示,2018 年 2 月至2019 年 2 月,Google 在越南的市场份额一度维持在 94% 左右。 由于用户个人信息、搜索记录、社交软件使用偏好、广告点击情况等都是大数据的信息收集来源,而企业或机构仅仅能够提供商业信用,因此很难保证这些行为主体不会利用用户信息对社会造成潜在威胁,更不必说掌握这些信息的是外国企业或机构。这里需要提到大数据时代另一项逐渐成熟和发展起来的技术——云计算。云计算的技术特点是需要将数据频繁地跨境传输并储存在境外的服务器上。此外,在云环境中,即使是企业或机构,也无法获悉数据的储存和备份的确切位置,这更加剧了用户个人信息安全的不确定性。近年来,越南的云计算市场相当繁荣,并保持着强劲的增长势头。据统计,2016 年,越南的云计算市场规模达约 1.6 亿美元,较 2010 年增长了65%。①因此,有必要对云计算服务进行有效监管。基于上述理由,要求互联网公司将用户个人信息数据储存在越南境内是正当的,是对公民个人信息的保护。

随着跨境数据流动内涵的扩展,跨境数据流动对国家安全的影响日益重要。作为一种较为严格的规制,通常,数据本地化储存可以在防止国外秘密监控和保护国家关键信息基础设施两方面维护国家安全。以 2013 年“棱镜门”事件为导火索,许多国家实施数据本地化储存的最直接目的便是防止国外秘密监控。按照斯诺登披露的文件,棱镜计划使得美国政府部门得以直接接入 Google、Facebook 等 9 家国际网络巨头的中心服务器。由此,美国国家安全局得以接触全球大量用户个人信息(包括聊天记录、社交网络资料、文件传输等),并对特定目标及其联系人实施全面监控。若一国境内的数据被他国或其他行为主体大规模、系统性地收集和监测,长期以往必将严重威胁本国的信息安全。由于上述公司大多在越南占有相当大的市场份额,因此,从国家安全角度要求这些国外互联网公司将用户数据储存在本地是必要的。另一方面,越南《网络安全法》同样体现了对本国关键信息基础设施的重视。第二章第十条明确界定了国家安全重要通信系统的概念指“当发生事故、遭到侵入、被控制、发生错误、陷入中断、停滞、瘫痪、遭受进攻或破坏时,能对网络安全造成严重侵犯的通信系统”,它包括军事、安全、外交、机要通讯系统在内的 8大类别。在物联网时代,关键信息基础设施可以说是社会运行和发展的生命线。一旦相关数据信息传出境外被他国或其他行为主体掌握,这些关键信息基础设施便会受到潜在的威胁,从而可能对社会的正常运转造成影响,甚至导致社会动荡,最终危害国家安全。要求数据本地化储存,正是对这些关键基础设施的保护,最终是对国家安全的保护。

2.2.2 从网络治理的角度出发,数据本地化储存将提高越南打击网络犯罪的能力

司法管辖权是国家权力的重要组成部分,是国家主权的重要体现。因此,传统上跨境执法活动在尊重国家主权的基础上开展,一国的跨境执法往往需要相关国家的司法协助。然而,电子证据的出现对这一传统观念构成了挑战。跨境电子取证不需要越过传统意义上的地理疆界,主要依赖计算机技术手段对储存在境外服务器上的犯罪证据进行搜集和处理,因而在跨境电子取证的过程中,国家主权的概念变得“模棱两可”。同时,电子跨境取证有可能与所在国的相关法律法规发生冲突,并且无法保证所获取证据的时效性和完整性,从而影响证据效力。因此,不少主权国家实施数据本地化储存相关法规,另一方面则对他国的电子取证的请求坚持要求审核批准或司法协助。以我国为例,《网络安全法》第三十七条要求将关键信息基础设施上产生的数据储存在中国境内,同时《中华人民共和国国际刑事司法协助法》第四条则规定:“中华人民共和国和外国按照平等互惠原则开展国际刑事司法协助……非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”通过数据本地化储存及相关配套法规的实施,一国可以有效维护国家主权,避免与他国的法律法规相冲突,同时提高电子取证的效力。因此,数据本地化储存对于境内外网络犯罪猖獗的越南而言,无疑是提高打击网络犯罪能力的有效助力。

2.2.3 从网络空间主权的角度出发,数据本地化储存维护了越南的数据主权

网络主权是国家主权在网络空间中的自然延伸。越南《网络安全法》同样体现了对网络主权的重视。第一章第七条第 1 款强调:“网络安全国际合作要在互相尊重独立、主权、领土完整、互不干涉内政、平等互利的原则上进行。”另一方面,数据主权则是网络主权的核心构成要件。数据主权(Data Sovereignty)的概念通常指数据受其所在国法律和治理结构的约束。这一概念与数据安全、云计算和技术主权密切相关。在云计算时代,各国通过的对跨境数据流动进行控制和本地化储存的各类法律法规,正是数据主权的反映。网络主权和数据主权与国家的总体安全休戚相关,若在一国忽视数据主权的情况下贸然发展数字产业,尽管可能会实现高速发展,实则危机四伏,将国家的命脉经由跨国公司之手交给他国掌握。因此,一国在发展数字经济时,应当把确保数据主权置于优先地位。保障数据主权,除了需要在技术层面强化技术保护手段和管理模式外,在政策层面,更需要加强对跨境数据流动的监管。数据本地化储存法规使得越南能够从有效确保其数据主权,对境内产生的数据进行有效运营和管理利用,最终维护本国的政治、经济、社会和军事安全。

越南数据本地化储存立法的启示意义

3.1 围绕越南数据本地化储存条款的争议

自《网络安全法》通过以来,有关该法案的争议便在越南国内外持续发酵,而焦点之一便是数据本地化储存条款。试将各方支持或反对该条款的主要理由总结如下:

越南官方和部分学者支持《网络安全法》,认为随着该法律的实施,越南政府可以通过数据本地化储存条款合法获取和利用越南境内产生的用户数据,从而加强对本国互联网的监管,有效根除“敌对和反动势力”利用互联网在越南国内挑起的暴力和异议,维持社会和政治稳定;同时也有助于有效打击网络犯罪和改善越南遭受网络攻击的状况,保卫国家安全。而对于该法律特别是数据本地化储存条款所指向的 Google 和 Facebook 等主要互联网科技巨头,越南政府则对其接受越南《网络安全法》持乐观态度,认为上述公司不太可能因为法律的颁布而放弃越南庞大而富有潜力的互联网市场。

反对的声音则主要集中于公民合法权利和数字经济两方面。一方面,民众和部分国际组织担忧越南当局对用户数据的监管对公民的隐私权和表达自由权所造成的潜在侵害,从而再也无法在 Facebook 等社交网络平台自由表达观点。越南国内爆发了多场针对《网络安全法》游行示威活动,而大赦国际等国际组织也发声批评。另一方面,数据本地化储存条款也可能对越南数字经济的发展和创新造成负面效应。

自《网络安全法》通过以来,Google 等跨国互联网公司向越南政府展开了积极游说,而重点便是《网络安全法》严格实行将不利于外国数字资本进入越南。根据数据本地化储存条款的要求,外国互联网公司须在越南当地储存用户数据,同时在越南境内设分支机构或代表处。由此,企业的合规成本可能上升,这些公司在越南境内的员工则将直接面临越南政府的监管压力,其在越南境内的战略规划也有可能受到影响,而以上因素都有可能导致经济效益的下降,造成不利于数字经济的投资环境,同时也可能会损害越南本国互联网企业在越南境内外的发展机遇,最终使越南疏离于全球数字经济网络。

3.2 中越数据本地化储存条款的比较和启示意义

越南《网络安全法》是在研究了我国等各国《网络安全法》的基础上起草的,因而与我国的《网络安全法》存在相似之处,但又有本质不同。就数据本地化储存条款而言,中越两国的条款存在以下两点主要不同:第一,我国仅要求将境内关键信息基础设施上产生的个人信息和重要数据进行本地化储存,而越南则要求将境内产生的所有个人数据储存在越南当地;第二,我国允许数据有条件地输出境外,并颁布了相应的配套法规②,而越南则严格禁止数据出境。

与越南相比,我国的数据本地化储存条款在切合实际国情的基础上,能够兼顾跨国公司的合理诉求,自实施以来,获得了以 Apple 为代表的跨国公司的积极响应与配合。因此无论从立法还是实践上看,我国的数据本地化储存条款都更加成熟。然而,越南的数据本地化储存立法反映了越来越多的国家通过立法对跨国互联网公司加强监管的大趋势,具有一定的典型性,其所产生的正负面效应也有启示意义。

首先,从民众层面出发,尽管网络表达自由不等于言论无尺度,对于网络谣言、仇恨言论、极化舆论、歪曲历史和颠覆言论等的监管是必要的,然而,过于严格的政府监管可能会导致民众合理的表达自由和隐私权受到侵害。因此,建立权责分明的政府监管部门是必要的。一方面,政府可以通过颁布配套法规和健全执法监督机制等形式明确在处理本地化数据时的职责和权限;另一方面还应当积极对网络舆论进行正确引导和宣传,增强网民“去伪存真”“明辨是非”的能力。这样既有利于对网络谣言、极化舆论等进行疏导,又可以调动网民积极参与网络舆论监管的积极性,也有利于推动良好网络道德风气的形成。

其次,从企业层面出发,跨国互联网公司要在实施数据本地化储存的国家开展业务,既需要以市场为导向,也需要符合当地的运营合规要求,同时还需保护自身的合法权益。因此,企业的运维要从经济、法律、资金、技术等多个维度出发,在综合评估包括市场规模和发展潜力、资质合规、互联网个人信息保护合规、业务控制能力、运营成本、以及知识产权保护等的基础上进行。另一方面,政府需要加大调研力度,加强与跨国公司的沟通,在制定政策时兼顾其合理诉求,帮助企业降低合规成本,创造有利的数字投资环境。

最后,从全球数字经济层面出发,在全球数字经济和数字贸易高速发展的宏观背景下,跨境数据流动的重要性不言而喻。但是,各国在实践中,因基本国情、发展状况等的差异,对跨境数据流动采取了不同程度的限制措施,这反映在政策层面便是不同的跨境数据流动规则,而规则的差异性往往会导致贸易壁垒,这便是美国等国家所担心的“割裂”全球数字经济。然而,国家主权和网络安全始终应是一国发展数字经济的前提,国家有必要对跨境数据流动进行监管。因此在全球层面上,各国的数据本地化储存努力并不是要去“割裂”全球数字经济,而是要在构建完善的国际跨境数据流动监管机制的基础上推动全球数字经济。未来中国、越南等国应当致力于在联合国框架下,在各国普遍承认的网络安全原则和国际贸易准则的基础上,推动公正、合理、统一的跨境数据流动规则的形成。

结语

尽管越南的《网络安全法》及其数据本地化储存条款存在诸多争议和改进空间,但它第一次以国家立法的形式明确了对本国境内产生的数据的保护,维护了国家网络安全和网络空间主权,提高了越南的互联网治理能力,因此该条款的存在是必要的。作为新颁布的法律,相信在实践中,越南会通过对该法律条款的修改及配套措施等,协调政府、人民和跨国互联网公司的利益;同时积极推动统一的全球跨境数据流动规制的形成,最终在保障国家安全的同时,促进本国和全球数字经济的发展。

(为便于排版,已省去原文注释)

作者:洪昇,上海国际问题研究院硕士研究生主要研究方向为国际关系理论等

(本文选自《信息安全与通信保密》2019年第七期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。