【網安智庫】在發展與安全的平衡中構建數據跨境流動安全評估框架

引言

數據本地化存儲（data localization），與數據跨境流動相對，指的是一國政府制定政策或規則，限制數據流出國境。在現行法律體系中，數據本地化存儲要求並非沒有先例。國務院2013 年發布的《徵信業管理條例》、衛計委2014 年發布的《人口健康信息管理辦法（試行）》、人民銀行2011 年發布的《關於銀行業金融機構做好個人金融信息保護工作的通知》、國家新聞出版廣電總局和工業和信息化部2016 年發布的《網路出版服務管理規定》等，都對數據本地化提出了明確要求。與上述限於具體部門或行業的規定不同，《網路安全法》因其「網路空間基本法」的地位，統籌性地對數據本地化做出了一般性規定，受到國內外各界的廣泛關注。

2016 年8 月11 日英國《金融時報》報道，美、日、歐40 余個行業組織發起「自2010 年以來向領導層的最大交涉」，呼籲政府修訂新的網路安全法等，「他們的擔憂集中於新法規的某些內容，包括迫使境外公司將數據存儲在境內」，並「警告這些法律法規對經濟增長構成保護主義威脅，將進一步使孤立於全球數字經濟以外」。此外，2015 年和2016 年連續兩年，美中貿易全國委員會對成員企業的調查和訪談均發現，政府的數據本地化存儲要求是讓在華經營的美企最為擔憂的事項。

在互聯網時代，數據天然地跨國界流動，數據因流動而獲得價值，數據流能引領技術流、資金流、人才流，已經成為基本共識，數據本地化存儲要求似乎與之背道而馳。反對數據本地化的人不僅將其看成貿易壁壘，甚至上升到破壞互聯網全球互聯互通的特性，進而推翻現有世界秩序的高度。但實際上除外，國際上還有不少國家都或多或少地做出了數據本地化的要求。數據本地化一定是實現了什麼價值，否則為何採取本地化措施的既有發達國家，也有發展家，且地域上遍布各個大洲？如果數據本地化確實起到了某些作用，又應該如何確保其不矯枉過正？換言之，數據本地化存儲的合理界限在哪裡？對這些問題的追問，構成了本文的主要內容。

本文結構如下：第一部分將歸納中外現有的數據本地化存儲規定和實踐。第二部分介紹國際上對數據本地化存儲的主要反對意見。從第三部分開始將是本文的獨創性貢獻所在：第三部分將提出描述數據本地化存儲的嚴苛度模型，以此作為度量各個國家本地化實踐的標尺，由此指出數據本地化措施存在一種光譜式的漸進，嚴苛程度各不相同；第四部分將討論數據本地化存儲所實現的目的；第五部分將提出目的與手段之間在適當性和必要性的應然關係；第六部分將從「數據本地化存儲的合理界限理論」出發，檢視《網路安全法》第37 條的數據本地化存儲規定，並給出基本評價；因第37條要求「國家網信部門會同國務院有關部門制定[數據跨境安全評估] 的辦法」，文章最後一部分將以「數據本地化存儲的合理界限理論」為主體，提出數據跨境安全評估辦法的總體框架，為立法提供支撐或參考。

對數據本地化存儲的反對意見

構建「數據本地化存儲合理界限理論」之一——數據本地化存儲嚴苛度模型

構建「數據本地化存儲合理界限理論」之二——數據本地化存儲所實現的目標

檢視《網路安全法》的數據本地化存儲規定

結語——對數據跨境流動安全評估的立法建議

......

作者 >>>

洪延青，博士，主要研究方向為網路安全法律和政策，數據安全和個人信息保護。

（本文節選自《信息安全與通信保密》2017年第二期）