近日,网络安全审查成为公众关注的焦点。网络安全审查始于滴滴,后续又蔓延到其他APP。
7月2日,网络安全审查办公室发布关于对“滴滴出行”启动网络安全审查的公告。依据公告,审查期间“滴滴出行”停止新用户注册。不过在上周日,离第一份公告仅过去2天,7月4日有关“滴滴出行”的另一份公告再次发布,通知应用商店下架“滴滴出行”App。这份公告内容显示“根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。”在市场猜测“滴滴出行”因何违规时,7月5日,网络安全审查办公室再度公布了对包括网络货运平台企业启动网络安全审查的公告。这三家APP与7月2日的滴滴出行一样,将会被进行网络安全审查,停止新用户注册。6月30日,滴滴正式在美国上市,在7月2日的公告公布后,滴滴开盘即下跌10.98%,随后跌幅收窄,股价最终报收15.53美元/股,跌幅达5.3%。“运满满”“货车帮”APP的公司满帮在6月22日赴美上市,BOSS直聘也于6月11日在美国成功上市。目前看来,这三家企业可能会受到45个工作日的调查。《网络安全审查办法》公布于2020年4月,其中第十条规定“网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。”网络安全审查适用于的行业众多,物流领域中的水陆空运输、邮政均处在适用范围内。根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。在香港证券交易所刚刚递交招股书的顺丰同城也在风险因素中表示,“很多法律法规仍在不断发展中,不遵守该等法律法规或管理与该等法律法规相关的成本增加可能会对我们的业务、财务状况及经营业绩造成重大不利影响。”其中网络安全及隐私法就包括在内。公司可能会受到处罚、罚款、我们开展业务的牌照或许可证被暂停或撤销、行政诉讼及其他诉讼。京东物流的招股书的风险因素中表示中国监管机构越来越注重数据安全和数据保护领域的监管。相关的《数据安全法》将于今年9月1日生效.美国2020年通过的《外国公司担责法案》(以下简称为“HFCAA法案”)。HFCAA法案规定,所有赴美上市的企业必须接受PCAOB(美国公众公司会计监督委员会)对会计底稿的审查,否则将被强制退市。2020年,正式生效的新《证券法》第一百七十七条明确规定:未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。也就是说,现在想去美国IPO,你要允许美国审计你底稿,不允许你就违法了;但同时,如果没有经过国务院有关部门同意,就把底稿交了出去,你在中国同样违法了。那么第一个问题就来了:滴滴赴美IPO到底有没有经过国务院有关部门同意呢?一般公司成功上市后,都是媒体稿子漫天飞的节奏,但滴滴如此“低调”,不由得让人产生些怀疑。第二个疑问是,HFCAA法案规定,赴美上市公司须向美国证券交易委员会提供文件,以证明和确认其不被外国政府拥有或不受外国政府控制。问题是如何证明呢?假如漂亮国让你交出本国“街道数据”来证明政府管不了你,合不合理?我觉得想一下也是合理的。HFCAA法案是由特朗普签署生效的,目标就是针对中国,条款非常苛刻,甚至还要求上市公司:。国家《基础地理信息公开表示内容的规定》中明确规定:快速路、高架路、引道、街道和内部道路的铺设材料、最大纵坡、最小曲率半径不可公开。“最大纵坡、最小曲率半径”这些数据一般公司还真搞不定,能搞定的只有那些申请到“全国高精地图测绘牌照”的企业。因为关乎国家地理安全,长久以来,国家对企业高精地图的测绘审批极为严格。据“盖世汽车”数据,从2001—2019近20年间只有20家企业拿到了资格。很不幸,20家企业中滴滴的大名早在2017年就赫然在列了。高精地图的绝对精度一般都会在亚米级,以高德地图为例,绝对精度可以达到10厘米以内,而且横向的相对精度往往还要更高。高精地图不仅有高精度的坐标,同时还有准确的道路形状,并且每个车道的坡度、曲率、航向、高程,侧倾的数据也都包含在内。如果滴滴真把这些国家规定不能公开的数据交了出去,虽然我也不明确具体会产生怎样严重的后果,但说“不用大惊小怪”是不是有点太扯了呢?随便搜搜往年新闻,因为非法测绘我们武警都把枪指在日本人头上了,这事好像没有那么轻松、简单吧?关于手机APP违规手机个人信息的问题,正处在严监管态势。自今年5月以来,国家互联网信息办公室总计公布了4次总计351起App违法违规手机使用个人信息情况的通报,涉及抖音、今日头条、快手等知名App。3月12日,随着《常见类型移动互联网应用程序必要个人信息范围规定》的发布,App收集个人信息有了具体管理细则。(1)网络约车类必要个人信息包括:注册用户移动电话号码;乘车人出发地、到达地、位置信息、行踪轨迹;支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。(2)餐饮外卖类必要个人信息包括:注册用户移动电话号码;收货人姓名(名称)、地址、联系电话;支付时间、支付金额、支付渠道等支付信息。(3)邮件快件寄递类必要个人信息包括:寄件人姓名、证件类型和号码等身份信息;寄件人地址、联系电话;收件人姓名(名称)、地址、联系电话;寄递物品的名称、性质、数量。目前,国内数字物流平台企业被查直接受到影响的是正处在美股上市前夕的网络货运平台福佑卡车,以及筹谋上市的同城货运平台企业快狗打车等,如何保证网络安全数据安全,收集用户个人信息尺度的问题。在餐饮外卖领域,美团、饿了么、顺丰同城、闪送等企业也将面临个人用户信息收集的监管,邮件快件寄递领域,顺丰、京东物流、三通一达、中国邮政也将重点考虑合规问题,并采取措施防止用户信息泄露。物流行业领域各企业应切实做到合法合规发展,守护网络安全和数据安全,合法收集个人信息,做好保护用户信息的工作。最近有关数据跨境流动的法律规制问题已经成为中美、中印之间监管的焦点问题。2020年8月6日,特朗普政府以TikTok和Wechat涉嫌将美国用户包括联邦工作人员的个人信息如网络位置信息、浏览和搜索信息等未经许可地传输给中国政府,进而可能损害美国国家安全为由禁止了上述两款产品在美国的使用。美、印两国政府的上述单边主义措施,实际反映了数据跨境自由流动与保护国家安全之间的紧张冲突。 以阿里巴巴、腾讯、字节跳动等为代表的互联网公司已经建成了具有国际领先水平的大数据存储与处理平台,在跨境网络支付、跨境电子商务、信息网络服务等应用领域的发展必然涉及数据的跨境双向流动。 为此,在数据跨境流动的问题上,我国既有对等反制数据流向美国和印度的法律工具需求,又有强烈的经济发展现实法律保障需求。我国目前尚无真正意义上的专门的数据管理法规。在数据跨境流动上,我国《网络安全法》关于数据本地存储的规定仍比较笼统,未对个人信息、重要数据的范围、数据出境安全评估的标准和程序等进行规定。而其他关于数据跨境传输的规范则散见于有关特定行业或特定类型数据的部门性法律和法规中,如《中华人民共和国数据安全法(草案)》《中华人民共和国保守国家秘密法》《征信业管理条例》《人类遗传资源管理条例》《人口健康信息管理办法(试行)》等,不当加重了数据出境的合规负担,难以满足快速增长的多样化数据出境需求。此外,跨境数据流动涉及部门多、链条长,国家之间或国家与地区之间监管协调难度较大,具有数据跨境需求的公司或者缺乏具体法律操作指引而不敢、不会共享数据,或者随意对外传输数据损害了国家安全、社会利益、数据主体权益。为适应对外经贸发展需要,实现数据风险防范和各方利益的有效保障,我国应当建立数据有序跨境流动的管控机制。在已有的数据跨境流动法律实践中,美国、墨西哥、加拿大三国新近签署的《美墨加协定》(USMCA) 在TPP的基础上针对数据的跨境流动作出了进一步的补充、修改和完善,从数据本地存储与处理、消费者个人信息保护、网络安全挑战合作、互联网平台民事责任等方面构筑起便利数据跨境流动的桥梁;美国与欧盟达成的《欧盟-美国隐私盾协议》(EU-U. S. Privacy Shield) 构建了两大发达经济体之间数据跨境流动的畅通渠道;欧盟《通用数据保护条例》(GDPR) 为数据跨境流动提供了制度示范,值得我国借鉴。然而,USMCA、“隐私盾”、GDPR等倡导的数据跨境流动背后暗含着美国和欧盟等各自不同的深层次利益诉求。我国在跨境数据流动法律规则的构建上,既要吸收现有法律成果,又要结合自身的产业发展情况和风险防范能力,在数据的共享和控制之间达至平衡。
数据跨境流动关乎国家利益、产业利益、风险控制三者之间的动态平衡。宽松的数据跨境流动规则有利于产业数字化发展,但会增加风险控制难度,对发展中国家来说可能损害其国家利益,对发达国家来说则有助于其通过数据实施全球经济控制。严格的数据跨境流动规则不利于产业数字化发展,但会降低风险控制难度,对发展中国家来说可以避免发达国家的数据霸权。但总的来说,无论是宽松还是严格的数据跨境流动规则,均会在国家安全、个人隐私保护、商业利益保护等方面带来挑战。“棱镜门”已经证实美国通过侵入他国网络系统,非法获取他国境内的数据并进行跨境转移,对他国的国家安全造成了侵害和威胁。此外,基于商业目的的数据跨境流动也引起了国家安全的担忧。典型的例证是,华为公司在对外扩张5G业务的过程中,遭到了以美国为首发达国家的严格业务审查,美国甚至以国家安全问题禁止华为参与本国的5G建设。究其原因,华为作为跨国通讯科技公司,在业务开展过程中需要收集大量的用户数据,部分数据需要出境传输至公司总部或研发中心所在国进行数据处理或分析,这引发了美国等的国家安全担忧。此外,微软等跨国公司也被欧盟质疑参与了美国的监视项目。总体上讲,数据跨境流动带来的国家安全威胁担忧并非没有道理。在世界各国数字产业发展严重失衡的情况下,数据由发展中国家不断积聚到发达国家,可能助长数据霸权的形成,并进一步演化为单边主义的又一重要武器,加剧全球经济发展的失衡状态,深化发展中国家对发达国家的经济依附。此外,大数据、人工智能等技术的不断进步,使隐藏在数据中的人类行为模式被识别出来,包括食物喜好、生活习惯、健康状况、职业选择偏好等等。 在数据的跨境流动中,不可避免的涉及个人隐私保护问题。例如跨境电子商务中,消费者通过网络订购货物或服务,订单信息、收货地址、联系方式等个人信息以数据化的形式出境被境外电商获取。如果境外数据接收方不能提供充分的个人隐私保护措施或者滥用个人数据,就可能侵犯个人隐私权利,进而带来个人隐私保护挑战。典型的例证是,Facebook不但存储美国公民的数据还搜集存储其他国家公民的数据,全球数以亿计的用户数据遭到泄露,并被非法用于政治选举分析等。 政府国际组织如APEC倡导的《跨境隐私保护规则》(CBPR) 也并未成为国际社会普遍采纳的通行准则,因此个人隐私的跨境保护成为数据跨境流动的一大挑战。对于商业数据的采集、形成及基于商业数据的行业研判,尤其数字化产品本身如计算机软件、影音等往往是数据控制企业智力和劳动的体现。从功能上讲,数据集合是大数据分析的前提和对象,通过大数据分析,企业可以有的放矢地调整产能,有针对性地开展市场营销和产品投放,可为企业带来商业价值和利益。对商业数据集合法律定性的模糊将给企业的合法商业利益保护带来挑战。总之,数据在内容上既可能表现为个人隐私,也可能体现为商业利益又可能涉及国家安全和公共利益。 发展中国家、欠发达国家更关注数字基础设施、数字化技能等电子商务基础设施的发展,并希望通过数据本地化存储来促进本国数字产业的发展。从产业分布上看,2019年全球市值最高的100家企业中美国占了54家,在互联网领域,美国企业具有巨大的先发和主导优势,在社交媒体、搜索引擎、电子商务、云计算等领域都处于全球主导地位。宽松的数据跨境流动规则,有助于美国维持其在数字经济上的领先地位,符合其经济利益。根据麦肯锡测算,我国数字经济规模,稳居全球数字经济的第二大市场,但宽带数据流动量却仅位居全球第八,仅为美国的20%,与庞大的数据经济体量相比,我国数据流动规模过小。跨境数据流动已经成为全球主要经济体之间商业贸易和通信不可或缺的重要环节。 《保守国家秘密法》要求防止含有国家秘密的数据流出中国;《征信管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工,应当在中国境内进行;《地图管理条例》规定互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并制定互联网地图数据安全管理制度和保障措施。此外,中国人民银行对个人金融信息数据,国家卫计委对涉及人口健康信息数据,交通运输部、工信部等7部委《网络预约出租汽车经营服务管理暂行办法》对网约车所采集的个人信息和生成的业务数据等都要求在中国境内存储。作为对比,美国尽管也未进行专门的数据立法,但其在数据跨境流动上却拥有足够的制度工具以实现风险控制。有学者就认为支撑美国跨境数据自由流动主张的背后,除了经济利益考量还有实现有效法律管控的自信。这主要表现在如下几方面:第一,互联网企业先发优势带来的天然的数据本地化存储及全球数据管理权。麦肯锡报告称,美国在信息和通讯技术、媒体和金融行业的数字化程度远超其他国家,赋予美国对全球数据的巨大控制权或管理权,而无需担心会有大规模数据由本国转移到国外。第二,美国政府对关键部门、行业和领域的数据跨境流动实施了分散、隐蔽但有效的管控。例如,2018年发布的《外国投资风险审查现代化法》明确将涉及收集美国公民敏感个人数据的外国投资(包括非控制性投资)纳入审查范围,防止外国企业涉足处理美国公民敏感个人数据的美国企业。又如在电信领域,外资运营商通常被要求签署网络安全协议,以确保执法侦听、政府通信和阻止恐怖主义等管理要求得以实施。同时安全协议要求通信数据包括呼叫识别信息、与用户位置或身份相关的信息、电话号码、用户账单记录等都应仅在美国境内存储。第三,对国际规则具有高度的主导权、话语权和解释权。美国作为国际贸易规则的主导者,对国际规则具有很强的话语权和解释权,可以灵活利用规则赋予的空间维护本国利益,甚至在贸易摩擦等极端情形下直接藐视规则。例如,灵活运用“安全例外”和“一般例外”原则,对跨境数据流动以国家安全为由行使相关管理措施。第四,美国通过国内立法赋予本国执法机构对境外数据实施长臂管辖的广泛权力。而在经贸领域,在欧盟推动下WTO框架下的《贸易总协定》(GATS)第14条明确成员国可以隐私保护为由限制个人数据的跨境流动,在一定程度上为成员国限制数据跨境流动提供了依据。美国推动TPP、USMCA则试图在WTO外形成区域性的数据自由流动圈。此外,欧盟内部通过GDPR基本实现了数据在欧盟成员国间自由流动,同时对欧盟以外的国家和地区又形成了以充分性保护等为基准的丰富的数据跨境流动渠道。我国未加入APEC下的CBPR体系,未参加TPP等多边经贸谈判,也未与欧盟达成关于数据保护的双边协议,总体上还处于完善国内数据保护法规的阶段,对外规则融入不足。《网络安全法》是基于国家网络安全视角提出的,针对数据跨境采取了更为直接和严格的干预手段,缺乏弹性,难以满足数据多样化的数据出境需求。(1)个人数据。对于一般个人数据如身高、体重等和敏感个人数据如种族、征信信息、财产信息和住宿信息等,允许跨境流动,但要履行通知-同意的程序;一国的关键个人数据已经超出了个人隐私的范畴而具有国家安全层面的意义,应当仅能存储在本国的服务器/数据中心,原则上禁止离境。(2) 商业数据。事关国计民生的某些产业发展状况可能通过商业数据跨境流动的方式为他国或第三方获悉,不但可能损害商业数据中包含的商业秘密、知识产权或诱发不正当竞争,还可能侵害一国的国家利益和公共利益,(3) 特种行业数据。涉及个人敏感信息。因此,针对电信、金融、石油、电力等关键行业数据跨境流动应采取审慎的安全风险评估制度,并进一步明确安全风险评估的管理机构、评估机构的资格认定、评估标准、程序,评估结果管理等具体内容。应根据数据流动的特征采取流量路由等必要措施对数据的走向、总量进行必要控制,在威胁国家安全等情况下甚至阻断数据的传播。数据的跨境流动属于数据运用的一种,基于前述个人隐私侵犯风险、企业财产权利受损风险,数据主体等权利的缺失将使受害人无法获得周延的权利救济,也使行政执法或司法裁判陷于无法可依的境地。在政府层面由专门机构统筹负责数据跨境流动的审核,应通过设立或由专门机构统筹协调不同行业主管部门的审核职能,以阻塞监管漏洞,同时代表我国统一处理数据跨境流动的对外合作事务,以保证政策的完整性和连续性。鼓励行业协会及其他自律组织参与安全评估,为此可以通过自律组织依据本行业的具体特点制定探索性政策、指南的方式,对法律规定的跨境数据流动的基本原则及主要制度作进一步细化,为企业和机构提供合规性操作指引。进一步落实数字控制主体的数据保护自查责任。从国际经验看,澳大利亚采取了“创始人”(生成数据的人)的制度,利用数据保护性标识督促数据控制主体履行数据保护义务。从我国的监管实践看,除了涉及国家利益、公共利益的特定行业数据、个人数据绝对禁止出境外,对于其他个人数据和商业数据,网信办《个人信息和重要数据出境安全评估办法(征求意见稿)》、国家信息安全标准化委员会《信息安全技术数据出境安全评估指南(征求意见稿)》设定了较为严格的事前“许可”监管机制,包括履行“通知-同意”程序、安全自评估、行业主管部门评估等。为了满足数据日常化、规模化的跨境需求,在不涉及国家安全和公共利益的数据跨境流动上,应为“合理有序的数据流动”提供尽可能丰富的合法渠道。(1) 建立白名单机制。从本质上来讲,白名单机制是一国认为他国的数据保护水平达到本国的最低要求,进而认为本国数据流入他国会得到充分的保护,而不至于损害数据主体合法权益。(2)充分性保障措施。从实践看,充分性保障措施主要包括标准合同条款、具有约束力的集团企业规则、经批准的认证机制等。数据跨境流动对以科技驱动的现代经贸发展的重要意义促使欧、美等发达国家着力推动建立数据跨境流动的新秩序。在数据出境监管上,应当构建数据控制主体和数据处理主体自查自纠、行业协会自律监管指导、国家专门机关统筹协调监管三位一体的组织格局;在个人隐私和商业秘密等的保护上,要利用相关加密技术对出境数据进行预处理,并加强数据传输网络的安全防范能力,以防止数据的不当泄露;在法律层面上,应完善数据主体权利和相关主体责任,丰富数据合法出境渠道,实现数据有序可控流动。
