大數據時代,美國高度重視數據資源的戰略價值,相繼出臺國家戰略,落實配套措施,系統推動本國大數據發展。通過加強數據安全保護,完善個人信息和數據相關立法,保障網絡整體及國家安全、國家數據權益及公民私權。與此同時,數據安全問題日益凸顯,已成為各國政府廣泛關注的熱點問題。美國近期採取了若干措施,在數據治理領域陸續出臺或更新了相關立法,呈現了一些新的趨勢和特點。
一是保持原有政策的延續性,更新規定固守霸權主義的監視及收集數據情報的制度設計。美國的《外國情報監視法案》(FISA)允許情報機構收集關於美國國際恐怖分子、武器擴散者及其他重要外國情報人員目標的重要情報信息,該法案原本2017年12月31日到期。2018年1月,特朗普簽署了《外國情報監視法案修正案》(FISA Amendments Act)第702條的更新授權,延續美國國家安全局(NSA)的互聯網監視計劃,同意授權NSA監聽外籍人士以及收集與之相關的數據情報。最新版的更新授權將於2023年12月到期,特朗普還在官方聲明中表示相較這份有時限的法案,他更希望它是永久的。
二是體現國內法域外適用的趨勢,以應對新形勢下跨境調取數據的執法需要,制度設計處處體現美國優先。《澄清境外數據的合法使用法案》(CLOUD法案)的提出源於微軟與美國聯邦調查局(FBI)關於跨境調取數據的官司。由於原有立法未明確境外數據的執法,該法案使得對執法機構跨境調取數據的立法的呼聲漸強,僅歷時一個多月於今年3月走完了立法進程。該法案提高了美國執法機構對境外存儲數據的執法權限,同時允許“適格外國政府”執法機構調取美國存儲數據。但是按照法案的要求,中國等多數發展中國家難以滿足“適格標準”,體現在美國將自身利益放置在首位,試圖主導跨境調取數據遊戲規則的制定權,使得執法長臂伸向他國網絡空間,損害他國的網絡空間的司法主權和國家安全。
三是受到近期歐盟立法的影響,美國州層面立法進一步加強消費者隱私保護,聯邦層面則將數據作為執法的優先項,且呼籲全面數據安全立法。在歐盟《通用數據保護條例》(GDPR)正式實施一個月之後,美國加州於今年6月出臺了《2018年加州消費者隱私法案》(CCPA),該法案強化了數據主體對個人信息的控制,也規範了企業收集處理數據的方式,在概念、權利制度內容方面受到GDPR的影響,規定得趨於嚴格,或將被美國其他州及域外所借鑑。此外,在聯邦層面,2018年7月18日聯邦貿易委員會(FTC)發佈了在眾議院能源和貿易小組委員會的作證文本。根據證詞,消費者隱私和數據安全將繼續成為FTC的執法優先事項。證詞還指出,FTC主要執行的《FTC法》第5條的規定無法解決市場上的所有隱私和數據安全問題,重申了FTC長期以來代表兩黨對全面數據安全立法的呼籲,希望通過立法規定民事處罰彌補消費者受到的損害。
結合上述動向分析,美國的數據治理的立法及執法將會更加嚴格,此外有依據國內法域外管轄的趨勢。美國的相關做法會損害我國網絡空間的司法主權和國家安全、加大我國企業走出去的法律風險,還侵害了我國用戶的個人隱私。為此,政府及企業層面有必要研究跟進,切實維護國家利益和企業利益。
在政府層面,美國數據領域的國內法域外管轄,威脅到我國的司法主權,同時任意被美國調取和掌握數據將對國家安全和經濟安全產生不利影響。國家對本國個人及實體的數據權利有著保障的責任,數據安全也事關網絡安全和國家安全。我國應參照美歐近期立法的趨勢,前瞻地考慮到應對未來國際執法及貿易糾紛中調取數據的情形,並且完善數據管理法律規制,建立與國際接軌的數據治理體系。
在企業層面,我國眾多科技企業採用全球化運營模式,但“走出去”中的風險防範意識淡薄。而目前美歐等主要經濟體在數據治理方面日趨嚴苛,稍有不慎就會面臨跨境執法和高額處罰。尤其是跨境開展商業活動的企業應當樹立數據安全和隱私保護意識,對照美國的最新立法及執法重點謹慎履行合規義務,進一步完善內部數據安全管理機制,明確數據跨境流動相關要求,注意規避各類經營法律風險。
沈達,中國信息通信研究院政策與經濟研究所工程師,主要從事信息通信、互聯網法律政策研究工作。
聯繫方式:[email protected]
閱讀更多 中國信息通信研究院 的文章
