数字经济飞速发展,为全球数据治理带来了巨大挑战。各国的立法、监管、治理实践,从推进数字经济发展、维护数据主权、保护个人隐私、数据安全、网络安全等各个方面着手,共同塑造着全新的全球数据治理体系。
2022年4月21日,美中贸易全国委员会(USCBC)在北京发布题为《美国公司如何接近中国的数据、隐私和网络安全制度》的报告(以下简称报告)。美中贸易全国委员会在新闻通稿中表示,在中国的美国商界现在必须应对日益复杂的监管环境,其中包括新的和不断增长的要求,如数据本地化、政府对某些跨境数据流的审查,以及硬件和软件采购的规范性网络安全要求等。美国公司认识到中国和全球对数据、隐私和网络安全保障的合理需求,希望在寻求遵守这些保障措施的同时,又不妨碍长期在华互惠互利和数字驱动的增长。
美中贸易全国委员会是一家非政府、非营利机构,代表了在中国经商的260多家美国会员公司。据说该报告是在访谈了分布在信息通信技术、酒店、医疗保健、能源、服装、制造、运输、金融服务和汽车等行业的30多家会员公司基础上完成的,具有一定的代表性。
报告对构成中国数据、隐私保护以及网络安全监管的制度设计(法律法规、技术和实施标准等)进行了系统梳理,重点对作为其眼中监管主要框架的四项中国法律制度进行了分析,包括由全国人大立法,分别于2017年6月起生效的《网络安全法》、2021年9月起生效的《数据安全法》、2021年11月起生效的《个人信息保护法》以及由公安部在2018年8月发布的、俗称“等保2.0”的《网络安全等级保护条例(草案)》。
报告认为,过去五年,中国建立了较庞大的数据、隐私保护和网络安全监管规则体系,希望保护个人信息并加强国家安全。世界上其他许多国家数据监管也都趋严,但中国监管环境的约束程度无疑更加独特。对于在中国运营的跨国公司来说,新的法律、法规和标准尤其具有挑战性,因为它们的业务和运营更多地依赖灵活的数据跨境流动。报告揭示了访谈对象们目前对中国数据、隐私保护和网络安全监管的主要看法和“被监管痛点”(原文表述为“面临的一系列数据、隐私保护和网络安全监管方面的挑战”),以及它们打算采取的一些应对措施。报告最后还对中国数据、隐私保护和网络安全监管制度的前景进行了展望,并站在会员企业利益代言人的角度提出了相关建议和呼吁。
报告提出一些担忧,但面对中国超出许多人想象的法治建设速度,外企在华可享受的立法空白红利空间只会越来越小,未来外企应主动去理解、去调整,早点走出过去的舒适区,从自己的超额利润中拿出一部分作为网络安全成本支出,以适应中国相关的监管要求。
一、美企对数据和隐私保护制度有六方面关注和担忧
1、58%的公司认为,对跨境数据流动的限制不同程度地损害了外国企业在中国的运营和竞争力,因为这些企业采用的是全球设施、统一运营的模式,需要数据的无缝链接。譬如通过网络对中国境内产品进行远程调试和支持服务等,调试过程中就需要中国工程师和外国工程师之间持续而自由的数据传输。不过,报告也认为与完全的禁止数据出境相比,中国规定数据在通过政府安全审查下可以出境,这倒是给外企提供了一种次优的选择,尽管成员们认为安全审查的理由、范围、频率和具体要求仍然不明确,而且它们还担忧这些安全审查可能会影响企业专有数据的隐私。
2、与数据出境限制问题相伴生,54%的公司担心数据本地化要求会显著增加它们在中国的运营成本,同时从其全球 IT 基础设施中断开与公司中国业务的联结。因为跨国公司都将其数据基础架构作为全球集成共享资源,利用全球数据网络进行创新并提供服务,而数据本地化要求可能会导致它们需要在中国境内复制一个境外数据基础架构,譬如重复投资建设国内数据中心和研发中心,以及需要额外来为这些中心配备各种业务和行政支持人员,预计会较大幅度增加企业计算成本。另外,它们担心完全存储在一个司法管辖区内的数据更容易受到黑客攻击,这种做法会导致IT系统弹性下降,可能对公司管理网络安全风险的能力产生负面影响。
3、担心中国对收集的一定数量个人信息采取与重要数据相同的限制和控制,这一趋势可能会影响拥有大量个人信息的公司,尤其是面向消费者的公司。报告以酒店业为例来说明对于处理大量个人信息的行业来说,将较大增加合规负担和带来较大守法挑战。“长期以来,酒店一直面临着向中国当地公安局登记客人数据的要求。根据有关个人信息的新规定,由于处理的个人信息量大,他们现在面临监管机构对其数据活动的额外审查。因此,几乎所有大型酒店都受到或将要受到个人信息量阈值(例如2021年11月发布的《网络数据安全条例》草案中划定的100万组个人信息数量标准)的约束,这些阈值规定了与重要数据要求相当的义务。这些义务包括投资酒店昂贵的硬件,采取新的安全审计活动,以及雇用额外的数据治理人员。”
4、56%的会员公司强调中国数据和隐私制度某些方面的模糊性是一个问题。譬如政策制定者尚未为“重要数据”提供最终的工作定义,也没有澄清跨境数据传输规则或个人信息的一致数量阈值,自愿性标准通常被监管者作为强制性标准强制执行等。另外,纠正违法行为的时间(一般为15天),对需要在多个时区协调工作的全球企业来说,按时达到这个要求也比较困难。
5、认为中国隐私立法与其他市场标准(譬如欧盟的《通用数据保护条例》)之间最大的差异之一是要求“单独同意”。中国《个人信息保护法》需要单独的同意,这实际上意味着公司每次将个人信息用于不同目的时都必须获得用户的同意,如果中国用户在企业完成合同义务之前撤回同意意见,目前尚不清楚这些服务是否仍然可以在中国提供。例如,如果消费者使用与第三方分包的银行服务来提供安全或验证服务,则消费者可以选择拒绝第三方在交易过程中访问其数据,从而阻止交易被处理。目前,企业表示,它们尚未看到与第三方供应商相关的严格隐私执法,但他们担心一旦发布向海外传输个人信息的标准合同,此类交易就会中断。
6、在接受采访的成员中,那些在特定行业,譬如汽车、酒店、医疗保健和金融服务领域工作的企业表示,新的数据和隐私规则带来了一系列独特的挑战,这些挑战超出了他们与监管机构的传统交往经验,进一步使它们在网络安全和数据合规性方面工作复杂化。汽车行业公司反映,“重要数据”范围非常广泛并难以驾驭,会影响其运营以及它们与供应商的关系;医疗保健行业公司反映,除了《个人信息保护法》规定的新义务外,中国科技部和国家卫健委的单独规则还要求对跨境传输人类遗传资源数据进行审批,这些数据是在一些制药和医疗器械临床试验中收集到的。这包括向外国方(如美国食品和药物管理局)或类似的外国监管机构的数据转移,即使传输的目的是用于常规报告。额外的审批和对常规流程的限制相结合,可能会严重限制外国医药公司在中国进行临床试验的能力,使他们无法在中国提供某些新的诊断或药品。金融服务企业反映,它们在中国执行反洗钱和反恐融资义务相关尽职调查时获得的所有客户身份信息和交易信息,如被禁止跨境传输,将不符合境外其他市场的法律要求。
二、对等保2.0制度存在五个方面关注和担忧
一是由于认为作为外国公司获得中国某些安全资质是困难的,而且安全认证本身也很麻烦,因而担心等保2.0会成为外国信息通信技术企业在中国业务准入的障碍,譬如美国的云服务商。
二是因为3级及以上系统要求进行例行安全审计和系统检查评估,担心不得不向政府授权的测评人员提供有关其系统/基础设施设计的详细信息。
三是对一些等保测评机构的专业性和公正性表示怀疑,担心一些等保测评机构会推动公司购买它们自己的专有软件或硬件作为认证通过条件,以及担心测评机构能否保护企业与他们共享的专有信息。
四是等保2.0 要求具有 3 级及以上系统的公司对系统进行本地维护,担心这会限制跨国公司利用全球资源进行远程支持服务。
五是担心公安部门用于评估等保2.0合规性的评分系统经常变化,且缺乏公开透明。
三、在华美企目前采取了四项应对措施
在华美国公司根据其在中国的风险承受能力、组织和业务结构以及市场知名度,以下列不同的方式应对上述数据、隐私和网络安全挑战:
1、修改政府事务策略:许多公司正在与地方监管机构合作,以解决数据、隐私和网络安全问题。它们觉得,与公司所在地方政府的互动可能会更清楚地了解中央政府政策的具体执行尺度,因为这些地方政策制定者更有能力为公司数据治理战略和做法提供非正式的绿灯。一些企业还表示,他们正在优先加强与中国一些新开发区政府部门的沟通联系,因为他们认为,这些新区的数据治理实践可能有更多的创新空间和宣传带动意义,譬如海南自由贸易区和上海临港自由贸易区都是中国非常重要的创新地带。
2、镜像公司数据:许多公司已经或正在采取镜像其数据的第一步,以初步了解公司哪些数据将受到数据分类方案和跨境安全审查下的合规性要求的约束。
3、调整结构和制定新计划:为了减轻对中国数据、隐私和网络安全制度的担忧,一些公司在当地团队中投入了更多资源,以审查合规性并评估其客户、供应商、合作伙伴或客户是否会受到最严格的限制。
4、评估数据存储实践:企业也在评估其数据存储实践,选择完全或部分本地化,或继续与监管机构沟通,以了解这些步骤是否必要。监管机构已经要求能源和金融服务行业的本地化,因此一些公司认为更广泛地执行数据本地化要求是不可避免的。
报告最后总结说,中国的数据、隐私和网络安全制度正在实时展开并且格局越来越清晰。在最坏的情况下,现行中国关于数据、隐私和网络安全监管的部分政策法律要求和监管执法问题,可能导致“在中国,为中国”的数据孤岛,使部分全球业务基本上无法通过其他市场的总部或办事处进入中国。这不仅会阻碍外国企业的运营和竞争力,还会限制中国企业走向全球的能力。它可能会扼杀外国和中国公司的创新方式,限制某些先进产品在中国上市,并改变公司进行研发的方式,所有这些都可能最终影响公司的投资决策。此外,合规负担的上升可能会对外国公司产生不均衡的影响,特别是规模较小的公司将无法跟上中国日益深远的合规要求步调。报告最后期待随着中国努力发展其数字经济,应采取一种更实际地平衡商业现实与合理安全关切的方法,以带来更大的经济利益和更强有力的安全保护。
四、推进数字经济发展 一起向未来
首先,这个报告的立场是可以理解的,某种程度上值得我们借鉴学习。作为代表美国在华投资经商的260多家会员公司的民间机构,美中贸易全国委员会的使命是扩大美中商务联系,使全体会员从中受益,进而在更广阔的层面上使美国经济获益。
该委员会提倡与中国进行建设性的商务联系——共同致力于消除中美双边贸易投资壁垒,并为双方营造一个规范、可预测的、透明的商务环境——这也是中方所希望看到的,因此,美中贸易全国委员会与美国另一个民间外交组织——美中关系全国委员会都历来为中美两国政府所重视。美中贸易全国委员会长期密切关注中美双边的政策法律环境变化,认真研究这些变化可能给会员企业在华投资经商成本、效率、安全、便利方面带来的影响,因此它既呼吁中方改进数据、隐私和网络安全监管政策,也呼吁美国尽快降低征收中国对美出口关税水平,它还不时安排中美双方重要官员与会员企业代表见面沟通——总之是一切为了会员企业利益鼓与呼,间接上也起到了中美经贸关系裂痕民间“勾缝剂”的作用。随着中国海外投资贸易的发展,我们也应该加强在主要投资目的国的中国商会建设,让那些中国商会积极扮演走出去企业抱团发展的推手和群体利益代言人角色,发挥其在中国政府和使领馆之外的独特作用。
其次,这个报告的某些观点是公正的,某些问题也是客观存在,需要我们对有关立法和监管实践加以改进完善。譬如,报告承认在数据是重要商业资源的时代,所有国家都在寻求促进经济活力、经济增长与对数据、隐私和网络安全保护之间的平衡,中国也不例外;承认解决这一双平衡问题是非常复杂的,肯定自2017年中国《网络安全法》生效以来,中国各个政府部门监管机构在短时间内付出了巨大努力,使得监管格局越来越清晰;承认世界上也有11个国家限制数据出境,中国限制制度数量最多,但并没有完全封死数据跨境流动,通过安全审查后数据可以出境,这为企业提供了一种次优选择。
报告中所提出的一些担忧和希望不完全是在华美国企业的反映,应该说部分中国企业也存在类似呼声,盖因中国的数据安全法律框架在过去一年(2021)才初步形成,许多配套的法规政策还来不及出台;安全监管方面也是“急用先行”,以先打击国内非常突出的违法违规收集个人信息和数据泄露滥用问题为重点,还没有形成较好的数据出境管理、数据安全评估监管案例可供市场参考;我国现行跨境数据流动管理体系总体上以国家安全和执法便利需要为主,对促进数字企业全球化发展、扩大数字服务贸易等考虑可能还有不足等。
下一步比较迫切的是各行业各部门需要结合需求,配套制定相关法规政策,为落实法律要求提供细化指引。一是重点推进数据分类分级、数据出境管理、数据安全评估等关键制度实施细则。二是研究制定重要数据识别、保护要求、风险评估等配套指引,完善重要数据全流程安全保障体系。
第三、当前,我们正处在国际数字经济格局博弈与规则确立的关键时期,数据合作与竞争共存、机遇与风险兼具。全球各主要经济体数字经济治理战略的差异化是客观事实,中国兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与数据产业发展利益,并支持可以基于公共政策目标或者国家安全利益而采取相应的限制数据流动的本地化措施,引起了数字经济发展领先国家同时也是数字红利收入分配偏高国家在华企业的不适,这毫不令人感到意外。
早在2016年8月,在中国《网络安全法》呼之欲出的当口,美中贸易全国委员会等46家来自美洲、欧洲、亚洲和大洋洲等地区的国际企业团体就联名致函中方,认为该法增加了贸易壁垒,强烈要求依据国际贸易法规修正新网络安全法。本次美中贸易全国委员会的报告,又反映其会员企业对近期中国数据、隐私保护和网络监管环境产生诸多不适感和不安感。
其实,中国的法治建设速度是超出许多人想象的,可享受的立法空白红利空间只会越来越小,外企应主动去理解、去调整,早点走出过去的舒适区,从自己的超额利润中拿出一部分作为网络安全成本支出,以适应中国相关的监管要求。就像几年前,当欧盟法院对谷歌做出“被遗忘权”判决时,虽然这让谷歌随后因改变隐私政策而承受了一定的人力成本增加,不过这对保护欧盟个人的信息权利,却起到了至关重要的作用。事实上,在华美企抱怨归抱怨,也有不少采取了调整适应行动,例如在数据的本地化方面,报告透露许多会员企业已经或计划将在中国收集的数据和个人信息本地化。本地化方法包括在中国建立本地数据基础设施,或将在中国收集的数据交给当地的合作伙伴或云服务提供商存储。一些会员企业还指出,他们正在优先考虑将一些特定数据本地化,这些数据被视为对公司正常运营或产品管理是最重要的,其中包括员工记录、客户奖励计划、售后跟踪和产品故障排除等数据类型。
报告也认为,如今,数据本地化趋势在其他国家市场也随处可见,包括印度和越南。报告中当然也还存在不少对中国数据、隐私保护和网络安全监管制度误读的地方,例如会员企业担心自己的数据被监管机构不当利用,担心等级保护测评机构会将“带货”作为测评通过条件,其实监管机构和等保测评机构也都是被监督的对象,都有相应的规则去管理和处罚它们。至于有些法律法规需要更细化的指引,这只是稍微需要点等待时间的问题,例如报告中反映的个人数据出境限制模糊性问题,就在5月5日,为指导个人信息处理者规范开展个人信息跨境处理活动,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——个人信息跨境处理活动认证技术规范》,面向社会公开征求意见。可以说,在大战略确定前提下,一切实施标准、操作规范都会稳步出台,届时包括外企在内的机构和个人都有机会和渠道表达自己的意见。
关于作者
傅强 虎符智库特约作者,多年从事高技术领域投资与企业管理,目前就职于中国航天科技集团。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。