国际在线报道:近年来,随着云计算、大数据技术的快速发展,数据跨境转移变得更加轻而易举,数据跨境流动的安全问题日益凸显。目前,全球云计算领域处于优势地位的是以美国为首的发达国家的跨国企业。大量经济运行、社会服务乃至国家安全相关的数据向这些企业集中,大规模的数据跨境存储在全球各地的数据中心,存在较大的安全风险。同时,美国爱国者法案扩张了美国政府获取数据的权力和范围,“棱镜事件”给各国也敲醒了警钟,跨境数据流动议题也成为各国关注的热点,近年来一些国家也纷纷通过立法来加强跨境数据流动的管理。
一、 跨境数据流动的基本概念
跨境数据流动一开始是从个人数据保护立法中开始提及,各国在个人数据保护法中对个人数据向第三国转移进行管理。云计算出现以后,大规模的政府数据、商业数据和个人数据通过云服务来存储和处理,并且数据的跨境更加频繁,各国开始重新审视跨境数据流动制度,并重点关注政府和公共部门数据的跨境管理。目前国际上对跨境数据流动并没有一个明确的定义和界定。联合国跨国公司中心对跨境数据流动(Transborder Data Flow)的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。OECD对跨境数据流动的定义是个人数据跨越国界流动。澳大利亚在联邦个人隐私原则中对“数据的国际流动”进行了规定,要求机构向海外组织或信息主体以外的某人传送信息应该受到一定的制约。从国际组织以及其他国家对跨境数据流动的管理制度来看,跨境数据流动有两类理解:一种是数据跨越国界传输和处理;另一种是数据即使没有跨越国界,但被第三国的主体能够访问。
二、 国外跨境数据流动管理的主要模式
国际上关于跨境数据流动的管理并未形成统一框架,综合来看,国外对不同类型的数据采取不同的管理模式。主要采取分级分类管理的模式,根据禁止程度分为三大类:
一是重要的数据禁止跨境流动。一些国家开始认识到重要数据本地化存储的重要性。然而,各个国家对于重要数据的范围规定不同。例如在美国,并没有法律规定要求数据禁止跨境流动,但是在美国的外资安全审查机制中,对于国外网络运营商通常会要求其与电信小组签署安全协定,要求其国内通信基础设施应位于美国境内,将通信数据、交易数据、用户信息等仅存储在美国境内。印度的电信许可协议中要求各类电信企业(包括互联网服务提供商),不允许将用户账户信息、用户个人信息(除了外国用户的漫游信息)转移至境外,否则可能面临吊销许可证的后果。意大利、匈牙利等国在当地的法律法规中,禁止将政府数据存储于国外的Iaas服务提供商。印尼在立法 中要求提供公共服务的电子系统运营商必须在印尼国内建立数据中心,交易数据必须存储在境内。澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》规定,为政府部门开发的云服务,属于安全分类的数据不能储存在任何离岸公共云数据库中,应存储在拥有较高级别安全协议的私有云或社区云的数据库中。韩国《信息通信网络的促进利用与信息保护法》规定政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动。
二是政府和公共部门的一般数据和相关行业技术数据有条件的限制跨境流动。一些国家针对政府和公共部门的一般数据跨境实施了限制条件,例如要进行安全风险评估。澳大利亚《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》将政府信息分级,其中对于非保密的信息,要求政府机构要进安全风险评估之后才能实施外包。加拿大财政委员会要求每一个政府机构对数据处理合同进行评估以识别任何与美国爱国者法案相关的潜在风险,评估风险层级,并且采取修正措施来解决安全风险问题。
美国对军用和民用相关行业的技术数据的跨境实施实施许可管理。依据其《出口管理条例》(EAR)和《国际军火交易条例》(ITAR)分别对非军用和军用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时,必须获得法律规定的出口许可证。其中,美国法律对数据出口的管理范围非常宽泛,即使是向美国境内的外国公民传递数据,也被视为是出口。
三是普通的个人数据允许跨境流动,但要满足安全管理要求。普通的个人数据在国际上普遍倡导自由跨境流动,但许多国家为了确保个人数据安全,通过问责制、合同干预等不同形式来进行管理。
问责制的管理模式,即对数据控制者(收集数据并决定数据处理目的和方式的主体)的数据安全管理责任作出规定,要求其承担在数据跨境的整个过程中的安全管理责任,包括对数据主体的通知、对外包商的资质审查和监督。例如,加拿大《个人信息保护和电子文件法》规定,传输个人信息时,拥有或保管个人信息的机构应当对个人信息负责,包括已经转移到第三方机构的情形。
数据处理合同干预的管理模式,即由政府对跨境数据处理合同条款中应当包含的安全管理内容进行规定。例如,在欧盟,由数据保护主管部门制定标准格式合同条款,在条款中依据数据保护法的原则纳入数据保护的要求,企业之间签订的跨境数据流动处理合同如果包含了格式合同的条款,则不需经数据保护主管部门的同意即可实现跨境数据流动。澳大利亚的《隐私保护原则》中对数据出口者和海外数据接收者之间签订合同中应当包含的内容进行了原则性规定。