試論網(wǎng)絡(luò)數(shù)據(jù)本地化立法的正當(dāng)性

王 玥

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

?

試論網(wǎng)絡(luò)數(shù)據(jù)本地化立法的正當(dāng)性

王 玥

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

數(shù)據(jù)本地化立法是針對(duì)跨境數(shù)據(jù)流動(dòng)給網(wǎng)絡(luò)安全帶來的潛在威脅，通過立法的手段禁止、限制本國(guó)數(shù)據(jù)向別國(guó)傳輸，其正當(dāng)性存在廣泛爭(zhēng)議；溫納的信息技術(shù)政治哲學(xué)思想為數(shù)據(jù)本地化立法正當(dāng)性提供了哲學(xué)基礎(chǔ)，從總體國(guó)家安全觀理念出發(fā)，數(shù)據(jù)本地化立法由于在保障國(guó)民安全、政治安全、便利執(zhí)法和促進(jìn)經(jīng)濟(jì)發(fā)展的重要作用，具有正當(dāng)性的現(xiàn)實(shí)基礎(chǔ)；數(shù)據(jù)本地化立法的國(guó)際經(jīng)驗(yàn)告誡我們，只有立足中國(guó)面臨的現(xiàn)實(shí)基礎(chǔ)，才能做出最適合的數(shù)據(jù)本地化立法模式選擇；中國(guó)目前網(wǎng)絡(luò)數(shù)據(jù)安全形勢(shì)復(fù)雜，在網(wǎng)絡(luò)安全法中進(jìn)行數(shù)據(jù)本地化建設(shè)時(shí)應(yīng)當(dāng)堅(jiān)持安全與發(fā)展并重的立法原則，針對(duì)不同數(shù)據(jù)的安全性要求差異，妥善規(guī)定數(shù)據(jù)本地化的標(biāo)準(zhǔn)，并審慎確定數(shù)據(jù)本地化義務(wù)主體范圍。

數(shù)據(jù)本地化；網(wǎng)絡(luò)安全法；總體國(guó)家安全觀；立法；正當(dāng)性

正當(dāng)性是對(duì)事物與規(guī)律或者規(guī)范之間聯(lián)系做出的肯定性判斷。即該事物是合乎規(guī)律、規(guī)范的就是具有正當(dāng)性的[1]。某項(xiàng)立法的正當(dāng)性則是以特定歷史條件下對(duì)該立法以可普遍化的價(jià)值體系作為標(biāo)準(zhǔn)作出的肯定性判斷。立法的正當(dāng)性，是法律除了國(guó)家強(qiáng)制力之外的合理性證據(jù)，是民眾遵守法律的理性基礎(chǔ)[2]。

數(shù)據(jù)本地化立法已經(jīng)成為一個(gè)無法回避的問題。在云計(jì)算和大數(shù)據(jù)的環(huán)境下，數(shù)據(jù)的跨境流動(dòng)已經(jīng)成為常態(tài)。因此，甚至有機(jī)構(gòu)斷言“數(shù)據(jù)正在成為新的貨幣。”[3]2013年“棱鏡門”被披露之后，全球范圍內(nèi)掀起了一股“數(shù)據(jù)本地化”(Data Localization)的浪潮，包括俄羅斯、澳大利亞、巴西、印度、歐盟等國(guó)家和地區(qū)紛紛出臺(tái)不同的立法和政策，限制本國(guó)全部或某些數(shù)據(jù)向境外傳輸。2015年7月，我國(guó)《網(wǎng)絡(luò)安全法(草案)》公布，其中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的公民個(gè)人信息等重要數(shù)據(jù)做出了本地化的要求。然而，數(shù)據(jù)本地化立法在世界范圍內(nèi)迅速引起了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛爭(zhēng)議。有學(xué)者提出數(shù)據(jù)本地化立法正在成為一種新型的貿(mào)易壁壘——“數(shù)字民族主義”(Data Nationalism)，與互聯(lián)網(wǎng)數(shù)據(jù)自由流動(dòng)的客觀現(xiàn)實(shí)相違背，威脅數(shù)據(jù)安全，阻礙技術(shù)的進(jìn)步，盡管會(huì)為局部帶來短期經(jīng)濟(jì)利益，但對(duì)整個(gè)經(jīng)濟(jì)體系會(huì)造成顯著危害[4]。歐洲國(guó)際政治經(jīng)濟(jì)研究中心也發(fā)布報(bào)告估算指出，數(shù)據(jù)本地化立法將對(duì)GDP增長(zhǎng)率產(chǎn)生負(fù)面影響[5]。近年來，數(shù)據(jù)本地化立法問題也成為各種貿(mào)易談判的主要焦點(diǎn)。2014年，歐美貿(mào)易談判在經(jīng)過激烈交鋒后，公布的聲明中明確指出，如果國(guó)家隱私法律不能適用于儲(chǔ)存于境外的數(shù)據(jù)時(shí)，就應(yīng)禁止數(shù)據(jù)跨境自由流動(dòng)[6]。在跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴協(xié)定(TPP)談判在澳大利亞引發(fā)“政府可否允許公司將個(gè)人銀行及醫(yī)療信息儲(chǔ)存在境外，及此類敏感信息是否應(yīng)被允許自由跨境流動(dòng)”的大規(guī)模辯論[6]。因此，數(shù)據(jù)本地化立法是否具有正當(dāng)性，是否真的有利于我國(guó)的網(wǎng)絡(luò)安全保護(hù)，以及我國(guó)應(yīng)當(dāng)如何實(shí)現(xiàn)網(wǎng)絡(luò)安全法中的數(shù)據(jù)本地化要求等，這些已經(jīng)成為學(xué)術(shù)界和產(chǎn)業(yè)界亟待厘清的焦點(diǎn)問題。

一、數(shù)據(jù)本地化立法正當(dāng)性的哲學(xué)基礎(chǔ)：溫納的信息技術(shù)政治分析框架

技術(shù)是人類改造世界的方法。技術(shù)從本質(zhì)上來說具有保障和推動(dòng)人類生存和發(fā)展的價(jià)值，然而理論界長(zhǎng)期以來存在著對(duì)技術(shù)中立論的認(rèn)同。認(rèn)為“技術(shù)在本質(zhì)上是價(jià)值中立的；不應(yīng)將技術(shù)與技術(shù)的應(yīng)用聯(lián)系起來，由技術(shù)發(fā)展所帶來的一系列社會(huì)負(fù)面后果，只應(yīng)當(dāng)從主體的角度，從社會(huì)關(guān)系、社會(huì)制度的角度尋找其產(chǎn)生的原因，科技并不需要為這種后果承擔(dān)任何責(zé)任?！盵7]法學(xué)界多數(shù)學(xué)者也認(rèn)同技術(shù)中立性論，認(rèn)為技術(shù)的自然屬性決定了其本質(zhì)上只是一種工具和手段，法律在進(jìn)行評(píng)價(jià)時(shí)應(yīng)堅(jiān)持技術(shù)中立的原則*版權(quán)法上的間接侵權(quán)責(zé)任認(rèn)定和技術(shù)保護(hù)措施相關(guān)制度都直接引入了技術(shù)中立原則。。按照技術(shù)中立理念進(jìn)行分析，上述數(shù)據(jù)本地化立法明顯缺乏正當(dāng)性。因?yàn)樗赡軙?huì)對(duì)以云計(jì)算、大數(shù)據(jù)等技術(shù)為基礎(chǔ)的新技術(shù)發(fā)展造成的巨大障礙，構(gòu)成了對(duì)技術(shù)的歧視性對(duì)待，干擾了新技術(shù)應(yīng)用的進(jìn)程。

然而，隨著技術(shù)的進(jìn)步和科技哲學(xué)的發(fā)展，技術(shù)中立論在當(dāng)代開始受到質(zhì)疑和挑戰(zhàn)。越來越多的學(xué)者意識(shí)到技術(shù)中立論僅僅關(guān)注了技術(shù)的內(nèi)在價(jià)值，而忽略了技術(shù)的社會(huì)價(jià)值。面對(duì)技術(shù)所帶來的一系列負(fù)面影響，如戰(zhàn)爭(zhēng)、環(huán)境破壞等，學(xué)界強(qiáng)調(diào)技術(shù)對(duì)人和社會(huì)所具有的塑造意義的技術(shù)的價(jià)值負(fù)載論開始成為主流思潮。這些學(xué)者認(rèn)為，技術(shù)具有與社會(huì)的互動(dòng)整合中形成的社會(huì)價(jià)值，而技術(shù)的消極作用是由人與社會(huì)、人與自然關(guān)系的扭曲所導(dǎo)致的技術(shù)異化[7]50。因此，技術(shù)在當(dāng)代負(fù)載著各種體制化的、意識(shí)形態(tài)化的價(jià)值。其中，蘭登·溫納(Langdon Winner)是這一思潮的代表學(xué)者。他是美國(guó)當(dāng)代著名的技術(shù)哲學(xué)家，較為深入地探討了信息技術(shù)對(duì)社會(huì)的政治影響問題。他的這些理論為我們研究數(shù)據(jù)本地化問題的正當(dāng)性提供了有益的哲學(xué)基礎(chǔ)。

在溫納的信息技術(shù)政治理論中，信息在當(dāng)今社會(huì)已經(jīng)成為人們的日常需要和迫切需要。然而，信息技術(shù)本身卻無法帶來社會(huì)平等和促進(jìn)民主，反而可能帶來社會(huì)政治的變化，導(dǎo)致對(duì)社會(huì)的監(jiān)控、權(quán)力的失衡以及國(guó)家權(quán)力下降等諸多問題[8]。溫納認(rèn)為，信息技術(shù)的發(fā)展將對(duì)人們的隱私造成威脅，信息化在給人們帶來便利的同時(shí)將以人們失去自由為代價(jià)。因?yàn)楫?dāng)人們進(jìn)行網(wǎng)絡(luò)購(gòu)物、電子匯兌和電子郵件時(shí)，這些活動(dòng)可能被監(jiān)控。造成如此狀態(tài)的原因并不必然是由人們對(duì)信息技術(shù)的誤用引起的，而是信息技術(shù)本身就存在著這樣的風(fēng)險(xiǎn)[8]58。

跨境數(shù)據(jù)流動(dòng)(Transborder Data Flows，TDF)這一術(shù)語最早是在1980年經(jīng)濟(jì)發(fā)展與合作組織(OECD)《保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流動(dòng)框架》(以下簡(jiǎn)稱《框架》)中提出的[9]?！犊蚣堋分忻鞔_指出，跨境數(shù)據(jù)流動(dòng)是指數(shù)據(jù)跨越國(guó)境進(jìn)行流動(dòng)?？缇硵?shù)據(jù)流動(dòng)隨著國(guó)際貿(mào)易的發(fā)展和信息技術(shù)的進(jìn)步而產(chǎn)生，并隨著科技進(jìn)步和全球經(jīng)濟(jì)一體化趨勢(shì)的不斷加強(qiáng)。而云計(jì)算、大數(shù)據(jù)等新一代網(wǎng)絡(luò)信息技術(shù)的產(chǎn)生和廣泛應(yīng)用加快了大范圍大規(guī)模數(shù)據(jù)跨境流動(dòng)的趨勢(shì)。盡管它帶來了巨大的經(jīng)濟(jì)效益，但是使數(shù)據(jù)占有和使用相分離的狀態(tài)成為常態(tài)，數(shù)據(jù)主體對(duì)于數(shù)據(jù)的控制力進(jìn)一步削弱。在傳統(tǒng)互聯(lián)網(wǎng)信息服務(wù)模式中，數(shù)據(jù)一般存儲(chǔ)在明確的服務(wù)器上；但在云環(huán)境下，云服務(wù)商可能在不同地區(qū)擁有或管理多臺(tái)服務(wù)器，路由器和其他的數(shù)據(jù)存儲(chǔ)設(shè)備。這些設(shè)備可能位于世界各地的多個(gè)系統(tǒng)和國(guó)家，云計(jì)算的動(dòng)態(tài)存儲(chǔ)特性使得傳統(tǒng)的物理訪問控制策略受到限制。大數(shù)據(jù)技術(shù)使得數(shù)據(jù)主體對(duì)自身數(shù)據(jù)控制權(quán)的削弱最主要表現(xiàn)在他們?cè)诮邮招畔⑸系牟粚?duì)稱，數(shù)據(jù)主體不了解自己的數(shù)據(jù)何時(shí)、何地被何人用于何種目的進(jìn)行了何種處理。因此，一旦數(shù)據(jù)被存儲(chǔ)或傳輸?shù)皆浦校⒂么髷?shù)據(jù)手段進(jìn)行處理，即使在該技術(shù)不誤用的情況下，無論是國(guó)家還是個(gè)人用戶都無法控制或者追蹤敏感數(shù)據(jù)的傳輸路徑和目的地，從而對(duì)現(xiàn)有以地理界限為基礎(chǔ)的網(wǎng)絡(luò)安全保護(hù)和監(jiān)管模式提出了新的挑戰(zhàn)。而“棱鏡門”更直接映證了溫納理論中，相對(duì)于普通大眾來說，跨國(guó)公司、公共官僚機(jī)構(gòu)、情報(bào)機(jī)構(gòu)等從信息技術(shù)的發(fā)展中獲益較多的觀點(diǎn)。

如果我們要提高技術(shù)的正面作用并最大程度的消減其負(fù)面作用，則需要用先進(jìn)、正確的理念來對(duì)待技術(shù)，用該理念下的法律制度去規(guī)制技術(shù)。而數(shù)據(jù)本地化立法是針對(duì)跨境數(shù)據(jù)流動(dòng)給網(wǎng)絡(luò)安全帶來的潛在威脅，以最大限度的減少本國(guó)數(shù)據(jù)遭受外國(guó)情報(bào)部門監(jiān)聽的可能性，并不同程度地將數(shù)據(jù)安全保護(hù)、隱私保護(hù)和執(zhí)法便利需求納入考量的基礎(chǔ)上，通過立法的手段禁止、限制本國(guó)數(shù)據(jù)向別國(guó)傳輸。因此，筆者認(rèn)為，為了應(yīng)對(duì)新的信息技術(shù)帶來的挑戰(zhàn)而產(chǎn)生的數(shù)據(jù)本地化立法在哲學(xué)基礎(chǔ)上具有其正當(dāng)性。

二、數(shù)據(jù)本地化立法正當(dāng)性的現(xiàn)實(shí)基礎(chǔ)：總體國(guó)家安全觀的必然要求

總體國(guó)家安全觀的基本內(nèi)涵是以人民安全為宗旨，以政治安全為根本，以經(jīng)濟(jì)安全為基礎(chǔ)，以軍事、文化、社會(huì)安全為保障，以促進(jìn)國(guó)際安全為依托，走出一條中國(guó)特色國(guó)家安全道路。貫徹落實(shí)總體國(guó)家安全觀，必須既重視外部安全，又重視內(nèi)部安全; 既重視國(guó)土安全，又重視國(guó)民安全; 既重視傳統(tǒng)安全，又重視非傳統(tǒng)安全; 既重視發(fā)展問題，又重視安全問題; 既重視自身安全，又重視共同安全[10]。

總體安全觀謀求的是集政治安全、國(guó)土安全、軍事安全、經(jīng)濟(jì)安全、文化安全、社會(huì)安全、科技安全、信息安全、生態(tài)安全、資源安全、核安全等于一體的國(guó)家安全體系。美國(guó)“9.11”恐怖襲擊事件后，國(guó)家關(guān)鍵基礎(chǔ)設(shè)施在國(guó)家安全中的基礎(chǔ)性作用不斷凸顯，逐步成為保障社會(huì)穩(wěn)定和持續(xù)運(yùn)轉(zhuǎn)的重要支撐。然而，隨著網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展，傳統(tǒng)的物理基礎(chǔ)設(shè)施與信息系統(tǒng)的融合程度不斷加深，使得網(wǎng)絡(luò)環(huán)境所帶來的不安全因素對(duì)關(guān)鍵基礎(chǔ)設(shè)施部門的信息系統(tǒng)構(gòu)成極大威脅。這些信息網(wǎng)絡(luò)不僅將國(guó)家關(guān)鍵基礎(chǔ)設(shè)施內(nèi)部的各個(gè)組成部分聯(lián)結(jié)在一起，而且支持國(guó)家關(guān)鍵基礎(chǔ)設(shè)施之間的通信和互動(dòng)，構(gòu)成了國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施?！罢鹁W(wǎng)”病毒、“Duqu”病毒和“火焰”病毒攻擊事件的相繼出現(xiàn)，充分印證了源自互聯(lián)網(wǎng)的惡意程序正在向工業(yè)控制系統(tǒng)、能源、交通、金融、電力等關(guān)鍵領(lǐng)域的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施快速蔓延。如果我們不加以妥善的治理，不僅嚴(yán)重影響到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)正常運(yùn)行，還將對(duì)國(guó)家總體安全造成前所未有的威脅。目前，世界正在逐漸步入大數(shù)據(jù)時(shí)代，數(shù)據(jù)作為信息化的產(chǎn)物，已經(jīng)有了超越信息技術(shù)本身，成為一種新的戰(zhàn)略資源[11]。一旦數(shù)據(jù)被競(jìng)爭(zhēng)對(duì)手掌握，那么主體自身的安全和利益就隨時(shí)面臨風(fēng)險(xiǎn)。因此，數(shù)據(jù)安全成為了大數(shù)據(jù)時(shí)代國(guó)家安全最核心的環(huán)節(jié)之一。

安全觀是對(duì)安全最基本的認(rèn)識(shí)。一國(guó)的安全觀也是一國(guó)安全保障工作的基本出發(fā)點(diǎn)。在新形勢(shì)下，數(shù)據(jù)安全保障作為國(guó)家安全工作的重要組成部分，必須體現(xiàn)、符合總體國(guó)家安全觀才具有正當(dāng)性。因而，以總體國(guó)家安全觀作為理念進(jìn)行衡量，筆者認(rèn)為數(shù)據(jù)本地化立法的正當(dāng)性具有以下四個(gè)方面的現(xiàn)實(shí)基礎(chǔ)：

(一)數(shù)據(jù)本地化立法是保障國(guó)民安全的必然要求

總體國(guó)家安全觀指出，要重視國(guó)民安全，把人民安全作為國(guó)家安全的宗旨，所有的安全問題，歸根到底是由國(guó)民來感受、決定和評(píng)價(jià)的，任何不安全最直接影響的首先是廣大的民眾。網(wǎng)絡(luò)和大數(shù)據(jù)時(shí)代保護(hù)國(guó)民安全必須要保障國(guó)民的數(shù)據(jù)安全。

個(gè)人信息等數(shù)據(jù)安全關(guān)乎個(gè)人的人格尊嚴(yán)、生活安寧和財(cái)產(chǎn)安全，是國(guó)民安全的核心構(gòu)成要件。在信息時(shí)代，由于個(gè)人信息傳輸?shù)谋憷?，及其具有的巨大?jīng)濟(jì)價(jià)值，如果不對(duì)公民個(gè)人信息加以充分保護(hù)，個(gè)人信息會(huì)徹底物化淪為 “商品”，導(dǎo)致國(guó)民的人格尊嚴(yán)受損。此外，個(gè)人信息還因其具有的經(jīng)濟(jì)利益而具有財(cái)產(chǎn)權(quán)屬性，而且是信息時(shí)代的主要財(cái)產(chǎn)。目前，以云計(jì)算為代表的新一代網(wǎng)絡(luò)信息技術(shù)正在被廣泛的應(yīng)用在社會(huì)生活的各個(gè)方面。云計(jì)算是一種通過網(wǎng)絡(luò)以便捷、按需的形式從共享的可配置的計(jì)算資源池(這些資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù))中獲得服務(wù)的業(yè)務(wù)模式[12]，越來越多的公民個(gè)人信息等重要數(shù)據(jù)將會(huì)使用云計(jì)算服務(wù)。然而，在云計(jì)算技術(shù)本身的特點(diǎn)要求數(shù)據(jù)進(jìn)行頻繁的跨境傳輸和存儲(chǔ)，進(jìn)而會(huì)對(duì)數(shù)據(jù)的整個(gè)生命周期都產(chǎn)生安全風(fēng)險(xiǎn)，可能嚴(yán)重危及國(guó)民的數(shù)據(jù)安全。在數(shù)據(jù)存儲(chǔ)中，云計(jì)算的虛擬性使得云服務(wù)中的數(shù)據(jù)流動(dòng)相較于傳統(tǒng)IT服務(wù)而言更為靈活和難于控制，用戶無法知道數(shù)據(jù)確切的存放位置。在多數(shù)據(jù)中心的情況下，云服務(wù)商也極有可能無法獲知某一特定時(shí)刻數(shù)據(jù)存儲(chǔ)的具體位置，這可能對(duì)用戶的個(gè)人信息安全造成更多的風(fēng)險(xiǎn)，數(shù)據(jù)的安全性便會(huì)受到威脅。

為了消減云計(jì)算等新技術(shù)中數(shù)據(jù)跨境存儲(chǔ)帶來的安全風(fēng)險(xiǎn)，保護(hù)國(guó)民的個(gè)人信息安全，進(jìn)行數(shù)據(jù)本地化立法是保障國(guó)民安全的必然要求，具有其正當(dāng)性。

(二)數(shù)據(jù)本地化立法是保障政治安全的關(guān)鍵環(huán)節(jié)

總體國(guó)家安全觀指出，中國(guó)總體安全突出政治安全，把政治安全作為中國(guó)總體安全的根本。政治安全是指國(guó)家政治體系免受各種侵襲、干擾、威脅和危害，具有較高政治合法性且治理良好的狀態(tài)，以及能夠有效維持這種狀態(tài)的能力[13]。而國(guó)外的監(jiān)聽嚴(yán)重威脅中國(guó)的政治安全。

減少外國(guó)監(jiān)聽的威脅是許多國(guó)家進(jìn)行那個(gè)數(shù)據(jù)本地化立法的最直接原因。2013 年6 月“棱鏡門”事件爆發(fā)，英國(guó)《衛(wèi)報(bào)》和美國(guó)《華盛頓郵報(bào)》根據(jù)美國(guó)防務(wù)承包商博思艾倫咨詢公司前雇員愛德華·斯諾登提供的材料，披露了美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局于2007 年啟動(dòng)的代號(hào)為“棱鏡”的秘密監(jiān)控項(xiàng)目。美國(guó)通過該項(xiàng)目，國(guó)家情報(bào)機(jī)關(guān)可以直接進(jìn)入包括微軟、雅虎、谷歌、蘋果等在內(nèi)的9家美國(guó)大型跨國(guó)IT企業(yè)的中心服務(wù)器里挖掘音頻和視頻聊天、照片、電子郵件、文件和連接日志[14-16]。如果“棱鏡門”披露的內(nèi)容是真實(shí)的，那么美國(guó)情報(bào)機(jī)構(gòu)通過儲(chǔ)存在美國(guó)境內(nèi)的數(shù)據(jù)，大范圍、長(zhǎng)期地、系統(tǒng)性地監(jiān)聽外國(guó)機(jī)構(gòu)、國(guó)際組織以及個(gè)人的郵箱、手機(jī)等通訊工具，其行為嚴(yán)重侵犯和威脅了他國(guó)國(guó)家信息安全。

國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施當(dāng)中，包括提供我國(guó)公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、交通、水利、金融等重要行業(yè)，供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，軍事網(wǎng)絡(luò)，設(shè)區(qū)的市級(jí)以上國(guó)家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò)，用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)，其包含的數(shù)據(jù)遭到外國(guó)監(jiān)聽關(guān)系到國(guó)家安全、社會(huì)穩(wěn)定和公民的基本權(quán)利保障。關(guān)鍵信息基礎(chǔ)設(shè)施與社會(huì)公眾的生活息息相關(guān)，社會(huì)公眾對(duì)于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的依賴性要強(qiáng)于以往任何一個(gè)時(shí)代，如果任何關(guān)鍵基礎(chǔ)設(shè)施因信息安全問題導(dǎo)致無法正常運(yùn)轉(zhuǎn)時(shí)，國(guó)家安全就會(huì)受到損害、社會(huì)動(dòng)蕩、個(gè)人的生存權(quán)與發(fā)展權(quán)無法得到保障。因此，一旦國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵數(shù)據(jù)傳輸出境進(jìn)行存儲(chǔ)并受到監(jiān)聽，整個(gè)國(guó)家的“命門”會(huì)被完全掌握在他國(guó)手中，導(dǎo)致各種社會(huì)風(fēng)險(xiǎn)和矛盾，危害國(guó)家政治體系的良好運(yùn)行狀態(tài)，嚴(yán)重威脅政治安全。

通過數(shù)據(jù)本地化立法，將重要數(shù)據(jù)限制在本國(guó)境內(nèi)，提升國(guó)家政府對(duì)于數(shù)據(jù)的控制力，是減少外國(guó)監(jiān)聽實(shí)施機(jī)會(huì)的關(guān)鍵環(huán)節(jié)，對(duì)于保障政治安全具有重要作用，具有其正當(dāng)性。

(三)數(shù)據(jù)本地化立法是便利網(wǎng)絡(luò)安全執(zhí)法的重要手段

總體國(guó)家安全觀指出，安全是國(guó)家的命脈，國(guó)家的安全需求和安全觀都是隨著時(shí)代發(fā)展而發(fā)展的。面對(duì)目前網(wǎng)絡(luò)安全事件頻發(fā)的現(xiàn)狀，加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法的需求迫在眉睫，而數(shù)據(jù)跨境存儲(chǔ)給網(wǎng)絡(luò)執(zhí)法和電子取證帶來巨大的障礙。

網(wǎng)絡(luò)執(zhí)法是有關(guān)機(jī)關(guān)為了維護(hù)網(wǎng)絡(luò)健康發(fā)展、打擊網(wǎng)絡(luò)犯罪和保障網(wǎng)絡(luò)安全而進(jìn)行的執(zhí)法活動(dòng)。電子取證是指對(duì)取證人員按照符合法律規(guī)范的方式，對(duì)能夠成為合法、可靠、可信的且存在于計(jì)算機(jī)、相關(guān)外設(shè)和網(wǎng)絡(luò)中的電子證據(jù)的識(shí)別、獲取、傳輸、保存、分析和提交數(shù)字證據(jù)的過程[17]。傳統(tǒng)執(zhí)法和電子取證模式下，執(zhí)法和取證機(jī)構(gòu)往往可以通過執(zhí)法行為對(duì)于單臺(tái)機(jī)器進(jìn)行分析和取得電子證據(jù)。然而，在云計(jì)算等數(shù)據(jù)頻繁跨境存儲(chǔ)的模式下，導(dǎo)致傳統(tǒng)的物理邊界逐漸模糊，網(wǎng)絡(luò)執(zhí)法和電子取證工作將遭遇技術(shù)和法律上的困境。

在技術(shù)上，執(zhí)法機(jī)關(guān)在進(jìn)行檢查監(jiān)督和收集電子證據(jù)時(shí)，由于云計(jì)算通過對(duì)硬件之上的軟件進(jìn)行虛擬化，從而簡(jiǎn)化對(duì)資源以及對(duì)資源管理的訪問，資源和用戶的資料都以虛擬的形式存儲(chǔ)于云端。云環(huán)境下的數(shù)據(jù)采集是在可能的數(shù)據(jù)源中鑒別、標(biāo)識(shí)、記錄和獲取電子數(shù)據(jù)。由于云中的數(shù)據(jù)不再是保存在一個(gè)確定的物理節(jié)點(diǎn)上，而是由云服務(wù)商動(dòng)態(tài)提供存儲(chǔ)空間，數(shù)據(jù)可能分布在不同的國(guó)家或地區(qū)，導(dǎo)致執(zhí)法檢查和采集完整的證據(jù)變得困難。在法律上，如果執(zhí)法對(duì)象或者證據(jù)被存儲(chǔ)在境外的數(shù)據(jù)中心，根據(jù)管轄權(quán)原則，執(zhí)法機(jī)關(guān)在取證過程中需要司法協(xié)助，這種遠(yuǎn)程取證不能保證證據(jù)的完整性和可用性，并可能由于與當(dāng)?shù)胤傻臎_突而導(dǎo)致證據(jù)效力的瑕疵。

數(shù)據(jù)本地化立法是新技術(shù)背景下便利執(zhí)法的重要手段，減少執(zhí)法機(jī)構(gòu)獲取犯罪信息的障礙，幫助及時(shí)、準(zhǔn)確的進(jìn)行電子取證，具有其正當(dāng)性。

(四)數(shù)據(jù)本地化立法是國(guó)內(nèi)信息產(chǎn)業(yè)發(fā)展的有效助力

經(jīng)濟(jì)利益是一個(gè)國(guó)家和民族賴以生存和發(fā)展的基礎(chǔ)，是最重要的國(guó)家利益。經(jīng)濟(jì)增長(zhǎng)已成為世界各國(guó)最大的需求，經(jīng)濟(jì)的發(fā)展不僅構(gòu)成國(guó)家綜合國(guó)力的基礎(chǔ)，也是國(guó)家安全的核心內(nèi)容和根本所在[18]。

信息時(shí)代的經(jīng)濟(jì)是以數(shù)據(jù)為主要資源而發(fā)展的，信息技術(shù)是其主要手段，數(shù)據(jù)資源是其最重要的資源。因此，數(shù)據(jù)作為一種新穎而關(guān)鍵的資源將在社會(huì)生產(chǎn)和經(jīng)濟(jì)發(fā)展中起主導(dǎo)性和決定性的作用[19]。世界各國(guó)都已認(rèn)識(shí)到這一問題的重要性，促進(jìn)經(jīng)濟(jì)發(fā)展與網(wǎng)絡(luò)安全相聯(lián)系已經(jīng)成為各國(guó)的共識(shí)。2011年,英國(guó)在網(wǎng)絡(luò)安全戰(zhàn)略中就闡述了其將如何通過構(gòu)建一個(gè)更加可信和可恢復(fù)的數(shù)字環(huán)境來支持經(jīng)濟(jì)繁榮、維護(hù)國(guó)家安全、維護(hù)市民的生活方式，并對(duì)于網(wǎng)絡(luò)安全和經(jīng)濟(jì)的關(guān)系做了重新的界定，把網(wǎng)絡(luò)空間戰(zhàn)略的作用從確保網(wǎng)絡(luò)空間安全在于保護(hù)經(jīng)濟(jì)運(yùn)行的安全，轉(zhuǎn)向在確保經(jīng)濟(jì)運(yùn)行安全的基礎(chǔ)上促進(jìn)產(chǎn)業(yè)發(fā)展來帶動(dòng)經(jīng)濟(jì)的發(fā)展[20]。

近年來，基于業(yè)界的持續(xù)高度關(guān)注，云計(jì)算等新技術(shù)成為了信息產(chǎn)業(yè)發(fā)展最迅速的領(lǐng)域。據(jù)《云計(jì)算發(fā)展白皮書(2015版)》披露，2014年，我國(guó)公有云市場(chǎng)規(guī)模達(dá)到68億元，而云計(jì)算的發(fā)展也帶動(dòng)和促進(jìn)了上下游電子產(chǎn)品制造業(yè)、軟件和信息服務(wù)業(yè)的快速發(fā)展。預(yù)計(jì)到2015年，我國(guó)云計(jì)算上下游產(chǎn)業(yè)規(guī)模將超過3 500億元*參見中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院,工業(yè)和信息化部賽迪智庫.云計(jì)算發(fā)展白皮書(2015版)，第8頁。。目前，云計(jì)算技術(shù)在國(guó)內(nèi)的應(yīng)用涉及金融、能源、交通、科技、教育、制造、醫(yī)療、物流、電子商務(wù)等眾多領(lǐng)域。政府、企業(yè)、高校、研究機(jī)構(gòu)、媒體在內(nèi)的多方主體都已加入到云計(jì)算發(fā)展的產(chǎn)業(yè)鏈條當(dāng)中，積極推動(dòng)云計(jì)算產(chǎn)業(yè)在國(guó)內(nèi)的快速發(fā)展和廣泛應(yīng)用。而數(shù)據(jù)本地化立法的要求，如在境內(nèi)設(shè)立數(shù)據(jù)中心等，能夠起到促進(jìn)國(guó)內(nèi)信息產(chǎn)業(yè)基礎(chǔ)設(shè)施建設(shè)投資，并在一定程度上限制外國(guó)企業(yè)競(jìng)爭(zhēng)的作用，可以促進(jìn)本國(guó)相關(guān)產(chǎn)業(yè)的發(fā)展。

總體國(guó)家安全觀指出，從安全與發(fā)展的關(guān)系來看，發(fā)展是安全的基礎(chǔ)，要既重視發(fā)展問題，又重視安全問題。因而，數(shù)據(jù)本地化立法可以成為國(guó)內(nèi)信息產(chǎn)業(yè)發(fā)展的有效助力，具有其正當(dāng)性。

三、數(shù)據(jù)本地化立法的國(guó)際實(shí)踐基礎(chǔ)：國(guó)際立法經(jīng)驗(yàn)

近年來，我國(guó)的網(wǎng)絡(luò)安全立法越來越注重吸收國(guó)際經(jīng)驗(yàn)。許多國(guó)家進(jìn)行了數(shù)據(jù)本地化立法實(shí)踐，通過禁止數(shù)據(jù)離境、強(qiáng)制備份數(shù)據(jù)、建立數(shù)據(jù)中心等制度，達(dá)到保障數(shù)據(jù)安全和避免外國(guó)監(jiān)聽等目的。目前，國(guó)際上的數(shù)據(jù)本地化立法主要有以下三種不同模式：

(一)禁止數(shù)據(jù)離境模式

俄羅斯和澳大利亞實(shí)行禁止數(shù)據(jù)離境的模式，保護(hù)數(shù)據(jù)安全。

俄羅斯立法針對(duì)俄羅斯公民的電子通訊和社交網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行本地化。2013年，俄羅斯議會(huì)下議院副議長(zhǎng)，信息政策、技術(shù)與通訊委員會(huì)成員，謝爾蓋·哲倫森雅克(Sergei Zheleznyak),曾呼吁俄羅斯強(qiáng)化自身“數(shù)據(jù)主權(quán)”，通過“法律規(guī)定郵件和社交網(wǎng)絡(luò)公司將俄羅斯客戶數(shù)據(jù)保存位于國(guó)內(nèi)的服務(wù)器上?！盵21]俄羅斯通訊委員會(huì)起草相關(guān)規(guī)則，強(qiáng)制電子通訊和網(wǎng)絡(luò)提供商安裝數(shù)據(jù)留存設(shè)備，該設(shè)備允許收集數(shù)據(jù)并在服務(wù)器上保留至少12小時(shí)。

澳大利亞則對(duì)醫(yī)療信息做出了本地化要求。2012年，澳大利亞頒布了《個(gè)人電子健康記錄控制法》*Australia Personally Controlled Electronic Health Records Act 2012.，該法第77條規(guī)定了“禁止將記錄轉(zhuǎn)移至澳大利亞境外”，其具體規(guī)定為：

(1)系統(tǒng)運(yùn)營(yíng)商，已注冊(cè)的資源庫運(yùn)營(yíng)者，已注冊(cè)的門戶網(wǎng)站經(jīng)營(yíng)者，或已注冊(cè)的合同服務(wù)提供者，在個(gè)人電子健康記錄管理系統(tǒng)中保存記錄(無論保存記錄是否存在其他目的)或訪問與這些記錄相關(guān)的信息，不得：

(a)在澳大利亞境外保存或持有記錄；或

(b)在澳大利亞境外對(duì)與記錄相關(guān)的信息進(jìn)行加工或處理；或

(c)導(dǎo)致或允許他人；

(i)在澳大利亞境外保存或持有記錄；或

(ii) 在澳大利亞境外對(duì)與記錄相關(guān)的信息進(jìn)行加工或處理。

經(jīng)注冊(cè)的門戶運(yùn)營(yíng)商或合同服務(wù)提供者但是以運(yùn)行管理系統(tǒng)為目的，經(jīng)系統(tǒng)操作員授權(quán)，可以在澳大利亞境外保存和持有記錄，但是該記錄不得包含與用戶或“個(gè)人電子健康記錄管理系統(tǒng)”參與者相關(guān)的個(gè)人信息，不得包含任何個(gè)人或?qū)嶓w的識(shí)別信息，同時(shí)不得在境外加工和處理上述信息。

此種模式的優(yōu)勢(shì)十分明顯，對(duì)需要本地化的數(shù)據(jù)范圍界定明確，非常利于執(zhí)法機(jī)構(gòu)的操作。但是，由于互聯(lián)網(wǎng)本身具的特性，絕對(duì)禁止全部數(shù)據(jù)離境是不可能實(shí)現(xiàn)的，此種模式的適用范圍比較狹窄，通常僅可限于國(guó)家安全信息、涉及公共利益的信息、某些敏感的公民個(gè)人信息等。

(二)附條件禁止數(shù)據(jù)離境模式

有些國(guó)家和地區(qū)選擇附條件禁止數(shù)據(jù)離境的立法模式，而根據(jù)立法目的的不同，有兩種不同的限制條件。

第一種限制條件，其主要目的是為了保證數(shù)據(jù)離境后的安全性。此種模式立法要求在向別國(guó)進(jìn)行數(shù)據(jù)傳輸前進(jìn)行安全評(píng)估，只有在數(shù)據(jù)傳輸國(guó)具備充足安全保護(hù)措施的情況下才能進(jìn)行數(shù)據(jù)傳輸，而評(píng)估的標(biāo)準(zhǔn)通常與本國(guó)國(guó)內(nèi)標(biāo)準(zhǔn)相齊平。歐盟9546EC數(shù)據(jù)保護(hù)條例指令*Council Directive 95/46,art.56 1995 O.J.(L 281) 23,11 (EC).在承認(rèn)數(shù)據(jù)跨境自由流動(dòng)的積極意義的同時(shí)，旨在加強(qiáng)歐盟范圍內(nèi)數(shù)據(jù)保護(hù)的水平。其中第26條第4款確定了可適用的委員會(huì)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款。如果數(shù)據(jù)能夠得到當(dāng)?shù)胤杀Ｗo(hù)或合同約束，才可以允許數(shù)據(jù)被發(fā)送到歐盟(或歐洲自由貿(mào)易協(xié)會(huì)的國(guó)家)之外的國(guó)家或地區(qū)*截止到目前，歐盟委員會(huì)確定了12個(gè)有足夠的保護(hù)的地區(qū)，包括：安道爾、阿根廷、澳大利亞、加拿大、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士和烏拉圭。。2012年，歐盟發(fā)布了《一般數(shù)據(jù)保護(hù)規(guī)則》 的提案。該提案基于9546EC指令的基本要求，在第五章中專章規(guī)定了向第三國(guó)或國(guó)際組織傳輸個(gè)人數(shù)據(jù)的要求，規(guī)定基于95/46/EC指令第25條的要求，委員會(huì)應(yīng)當(dāng)作出數(shù)據(jù)保護(hù)評(píng)估充分性決定應(yīng)當(dāng)遵守的標(biāo)準(zhǔn)、條件和程序，并可以對(duì)位于第三國(guó)境內(nèi)的處理部門及其保護(hù)水平進(jìn)行評(píng)估。而在向第三國(guó)傳輸數(shù)據(jù)時(shí)，如果委員會(huì)沒有做出充分性的決定，則應(yīng)當(dāng)提供適當(dāng)?shù)谋Ｗo(hù)措施，特別是數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款，企業(yè)約束規(guī)則和合同條款。作為新的組成部分，數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款也應(yīng)當(dāng)被監(jiān)管機(jī)構(gòu)采用，其有效性也應(yīng)該得到委員會(huì)的明確。企業(yè)的約束條款目前已經(jīng)在法律文件當(dāng)中明確提及。合同條款的選擇給控制則和處理者提供了一定的靈活性，但必須獲得監(jiān)管機(jī)構(gòu)的實(shí)現(xiàn)授權(quán)。2013年10月，歐盟議會(huì)、司法部和內(nèi)政事務(wù)委員會(huì)投票決定推進(jìn)《一般數(shù)據(jù)保護(hù)規(guī)則》的適用，以此來促進(jìn)歐盟數(shù)據(jù)保護(hù)法律的要求，在“棱鏡門”事件披露后，作為歐盟重要成員國(guó)的德國(guó)宣布停止批準(zhǔn)國(guó)際數(shù)據(jù)傳輸，直到可以保證外國(guó)國(guó)家情報(bào)服務(wù)機(jī)構(gòu)遵守?cái)?shù)據(jù)保護(hù)法的基本原則。

第二種限制條件則要求數(shù)據(jù)離境需要獲得數(shù)據(jù)主體的同意。2011年，韓國(guó)修改通過的《個(gè)人信息保護(hù)法》第17條第3款規(guī)定：當(dāng)個(gè)人信息處理要將個(gè)人信息傳輸?shù)骄惩獾谌綍r(shí)，需要通知并獲得信息主體的同意。同時(shí)要求應(yīng)當(dāng)向信息主體提供關(guān)于數(shù)據(jù)輸送的詳細(xì)信息，包括個(gè)人信息的接收者；接收者使用個(gè)人信息的目的；將提供的個(gè)人信息的詳細(xì)內(nèi)容；所謂接收者要保存?zhèn)€人信息的期間及用法；信息主體有拒絕權(quán)利的事實(shí)；拒絕個(gè)人信息輸送所帶來的損失*Personal Information Protection Act,Law No.10465,South Korea.。

此種模式是從數(shù)據(jù)的安全性和數(shù)據(jù)主體的自決權(quán)出發(fā)作出的規(guī)定，是最有利于數(shù)據(jù)安全和主體權(quán)利實(shí)現(xiàn)的立法模式。但是，由于對(duì)安全性的標(biāo)準(zhǔn)、主體同意的方式、條件和范圍等難于做出確切規(guī)定，在法律遵從和執(zhí)行方面會(huì)面臨困境。

(三)境內(nèi)數(shù)據(jù)中心模式

一些國(guó)家則采用立法要求建立境內(nèi)數(shù)據(jù)中心模式保證執(zhí)法需求，但并不完全限制數(shù)據(jù)出境，但數(shù)據(jù)出境前必須在境內(nèi)的數(shù)據(jù)中心進(jìn)行數(shù)據(jù)備份。

印度尼西亞《電子系統(tǒng)和交易操作條例2012》第82條規(guī)定：“出于對(duì)國(guó)民數(shù)據(jù)的執(zhí)法、保護(hù)和行使國(guó)家主權(quán)的目的，公共服務(wù)的電子系統(tǒng)經(jīng)營(yíng)者有義務(wù)將數(shù)據(jù)中心和容災(zāi)備份中心設(shè)置在印度尼西亞境內(nèi)?！?Regulation Concerning Electronic System and Transaction Operation,Law No.82 of 2012,Indonesia.印度在2008年孟買恐怖襲擊事件發(fā)生后，基于國(guó)家安全的考慮，要求黑莓公司將通信數(shù)據(jù)中心建在印度境內(nèi)。2012年，黑莓公司同意在印度孟買建立一個(gè)合法的且印度代理機(jī)構(gòu)有權(quán)使用的服務(wù)器。通過對(duì)該服務(wù)器的使用，印度代理機(jī)構(gòu)可以獲得個(gè)人黑莓賬號(hào)[4]731。

在此模式中，主要的考量因素是對(duì)國(guó)內(nèi)執(zhí)法需求的滿足和相關(guān)產(chǎn)業(yè)的促進(jìn)，缺乏對(duì)于重要數(shù)據(jù)作為戰(zhàn)略資源進(jìn)行保護(hù)的視角，忽視了避免外國(guó)監(jiān)聽的重要需求。

此外，除了上述三種國(guó)家立法經(jīng)驗(yàn)外，還有“征收數(shù)據(jù)出口稅立法模式”的構(gòu)想，這種模式目前僅處于建議階段，還未正式有國(guó)家付諸立法。2013年，在國(guó)家創(chuàng)新計(jì)劃中，法國(guó)政府希望“建立一個(gè)數(shù)字主權(quán)化的法國(guó)”，旨在阻止向法國(guó)境外的國(guó)家轉(zhuǎn)移數(shù)據(jù)。其中針對(duì) “向法國(guó)境內(nèi)用戶進(jìn)行個(gè)人數(shù)據(jù)收集、管理和商業(yè)利用等活動(dòng)”征稅很可能得到執(zhí)行。根據(jù)這個(gè)建議，該稅率水平將取決于其他國(guó)家對(duì)隱私的保護(hù)承諾，在完全承諾的情況下，稅率可能為零。因此，該稅費(fèi)也被認(rèn)為是“數(shù)據(jù)出口稅”。此模式將數(shù)據(jù)離境視為數(shù)據(jù)出口行為，通過對(duì)數(shù)據(jù)出口征稅來降低數(shù)據(jù)離境的可能。此模式主要傾向于考量數(shù)據(jù)的經(jīng)濟(jì)價(jià)值，而忽視了數(shù)據(jù)本地化在避免外國(guó)監(jiān)聽、公民權(quán)利保護(hù)、協(xié)助執(zhí)法等方面的重要作用。

通過以上分析可以看到，以上三種數(shù)據(jù)本地化立法模式的范圍、方式和標(biāo)準(zhǔn)各異，這都是由于各國(guó)立法的出發(fā)點(diǎn)不同所致。正如國(guó)家總體安全觀所指出的，我們要走出一條有中國(guó)特色的國(guó)家安全道路，因此，只有立足我國(guó)面臨的現(xiàn)實(shí)基礎(chǔ)，才能做出最適合的數(shù)據(jù)本地化立法模式選擇。

四、我國(guó)網(wǎng)絡(luò)安全法數(shù)據(jù)本地化建設(shè)應(yīng)注意的問題

目前，我國(guó)涉及到數(shù)據(jù)本地化要求主要出于對(duì)國(guó)家安全*如2010年修訂的《中華人民共和國(guó)保守國(guó)家秘密法》第四十八條第四款規(guī)定，“違反本法規(guī)定，郵寄、托運(yùn)國(guó)家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國(guó)家秘密載體出境的，依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任。”、政府信息安全*如2012年《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》規(guī)定，為政府機(jī)關(guān)提供服務(wù)的數(shù)據(jù)中心、云計(jì)算服務(wù)平臺(tái)等要設(shè)在境內(nèi)。和個(gè)人信息安全*如2011年，《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》第六條規(guī)定，在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息。該通知定義的個(gè)人金融信息范圍非常廣泛，包括個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人賬戶信息、個(gè)人信用信息、個(gè)人金融交易信息、衍生信息、在與個(gè)人建立業(yè)務(wù)關(guān)系過程中獲取、保存的其他個(gè)人信息。又如2013年《征信業(yè)管理?xiàng)l例》第二十四條規(guī)定，征信機(jī)構(gòu)在中國(guó)境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行。征信機(jī)構(gòu)向境外組織或者個(gè)人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國(guó)務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定。而2013年2月1日正式實(shí)施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第5.4.5規(guī)定，未經(jīng)個(gè)人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個(gè)人信息管理者不得將個(gè)人信息轉(zhuǎn)移給境外個(gè)人信息獲得者，包括位于境外的個(gè)人或境外注冊(cè)的組織和機(jī)構(gòu)。方面的考慮。但是，這些要求多以政策形式出現(xiàn)，立法較少，缺乏對(duì)網(wǎng)絡(luò)安全問題的通盤考慮。為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全和外國(guó)監(jiān)聽風(fēng)險(xiǎn)，避免數(shù)據(jù)的跨境存儲(chǔ)給我國(guó)網(wǎng)絡(luò)安全執(zhí)法帶來極大的不便，并促進(jìn)我國(guó)信息產(chǎn)業(yè)的發(fā)展，我國(guó)需要在網(wǎng)絡(luò)安全法中建立數(shù)據(jù)本地化制度。

2015年7月，我國(guó)公布的《網(wǎng)絡(luò)安全法(草案)》已經(jīng)開始做出數(shù)據(jù)本地化立法的嘗試，《草案》第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ)其運(yùn)營(yíng)過程中收集和產(chǎn)生的公民個(gè)人信息等重要數(shù)據(jù)；因業(yè)務(wù)需要，確需在境外存儲(chǔ)或者向境外的組織或者個(gè)人提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

但這一數(shù)據(jù)本地化制度的立法嘗試存在以下三個(gè)不足。第一，第三十一條本身存在歧義，按照立法意圖，對(duì)于關(guān)系國(guó)家安全和社會(huì)公共利益的重要數(shù)據(jù)是禁止傳輸出境的，而按照現(xiàn)行文本進(jìn)行解釋，則國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在滿足重要數(shù)據(jù)的本地化存儲(chǔ)后，是可以向境外傳輸該數(shù)據(jù)的，因此，導(dǎo)致該規(guī)定很容易進(jìn)行規(guī)避。第二，將數(shù)據(jù)本地化的要求限制在公民個(gè)人信息，范圍過于狹窄。第三，結(jié)合《草案》第二十五條對(duì)于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的范圍界定來看，包含了“用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)”。這會(huì)使得數(shù)量眾多的國(guó)內(nèi)外IT企業(yè)的商業(yè)數(shù)據(jù)被包括在內(nèi)，范圍并不恰當(dāng)，在執(zhí)行過程中會(huì)受到極大阻力。

筆者認(rèn)為，結(jié)合草案的不足，我國(guó)網(wǎng)絡(luò)安全法中的數(shù)據(jù)本地化建設(shè)中應(yīng)當(dāng)注意以下三個(gè)問題：

(一)堅(jiān)持安全與發(fā)展并重的立法原則

《草案》總則部分明確提出了網(wǎng)絡(luò)安全與信息化發(fā)展并重示本法的基本原則，數(shù)據(jù)本地化制度的建設(shè)也應(yīng)當(dāng)堅(jiān)持這一原則。范圍和標(biāo)準(zhǔn)失當(dāng)?shù)臄?shù)據(jù)本地化立法可能妨礙信息技術(shù)發(fā)展，存在潛在的安全風(fēng)險(xiǎn)。首先，互聯(lián)網(wǎng)本身具有數(shù)據(jù)流動(dòng)的需求，一旦數(shù)據(jù)本地化立法的范圍過大或者標(biāo)準(zhǔn)過于嚴(yán)格，可能會(huì)對(duì)以云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的新技術(shù)發(fā)展造成障礙，成為新型的貿(mào)易保護(hù)主義措施，進(jìn)而對(duì)整個(gè)經(jīng)濟(jì)體系會(huì)造成顯著危害。因此，歐盟盡管嚴(yán)格限制數(shù)據(jù)的跨境傳輸，但仍然強(qiáng)調(diào)數(shù)據(jù)流動(dòng)對(duì)于歐盟經(jīng)濟(jì)至關(guān)重要，考慮到與美國(guó)存在大量數(shù)據(jù)交換的事實(shí)，與美國(guó)協(xié)商了特殊的安全港協(xié)議，規(guī)定在遵守?cái)?shù)據(jù)保護(hù)標(biāo)準(zhǔn)和在聯(lián)邦貿(mào)易委員會(huì)的監(jiān)督下，允許數(shù)據(jù)出口到美國(guó)。其次，不恰當(dāng)?shù)臄?shù)據(jù)本地化立法本身也可能危及數(shù)據(jù)安全，形成“頭獎(jiǎng)效應(yīng)”(即一旦攻破則獲得頭獎(jiǎng)，因此成為眾矢之的)[4]717。大量有價(jià)值的數(shù)據(jù)被確定存儲(chǔ)于本國(guó)境內(nèi)的某幾個(gè)數(shù)據(jù)中心，會(huì)成為網(wǎng)絡(luò)犯罪的攻擊的首選目標(biāo)，如果該國(guó)的數(shù)據(jù)保護(hù)水平和標(biāo)準(zhǔn)本身不高，則可能出現(xiàn)數(shù)據(jù)本地化立法所造成數(shù)據(jù)泄露風(fēng)險(xiǎn)遠(yuǎn)高于數(shù)據(jù)跨境[22]。

因此，我國(guó)的數(shù)據(jù)本地化立法必須堅(jiān)持安全與發(fā)展并重的原則，妥善規(guī)定數(shù)據(jù)本地化的范圍和標(biāo)準(zhǔn)，盡最大可能消減其可能對(duì)經(jīng)濟(jì)發(fā)展和技術(shù)利用產(chǎn)生的阻礙作用，建立適合我國(guó)國(guó)情的數(shù)據(jù)本地化立法。

(二)對(duì)不同數(shù)據(jù)的本地化要求進(jìn)行評(píng)估

鑒于不同數(shù)據(jù)類型對(duì)于數(shù)據(jù)安全性的要求不同，應(yīng)當(dāng)結(jié)合國(guó)際目前數(shù)據(jù)本地化立法經(jīng)驗(yàn)，對(duì)于不同數(shù)據(jù)應(yīng)當(dāng)進(jìn)行評(píng)估，采取相應(yīng)的本地化立法模式。對(duì)于涉及國(guó)家安全和公共利益的數(shù)據(jù)，主要是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)數(shù)據(jù)，可以采取嚴(yán)格禁止數(shù)據(jù)離境的模式，要求相關(guān)服務(wù)提供商將數(shù)據(jù)中心、云服務(wù)平臺(tái)建在境內(nèi)；而對(duì)于商業(yè)數(shù)據(jù)，可以采用安全性評(píng)估模式，只有通過安全評(píng)估不會(huì)降低數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，才允許傳輸；針對(duì)個(gè)人數(shù)據(jù)，則可以采取數(shù)據(jù)主體同意模式，要求在傳輸處境前必須將詳細(xì)的傳輸信息告知數(shù)據(jù)主體并取得數(shù)據(jù)主體的明確同意。

(三)審慎確定數(shù)據(jù)本地化義務(wù)主體范圍

針對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)對(duì)象的認(rèn)定，應(yīng)當(dāng)建立國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)清單，確認(rèn)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的具體對(duì)象，對(duì)相關(guān)設(shè)施的認(rèn)定標(biāo)準(zhǔn)應(yīng)當(dāng)審慎制定。在認(rèn)定國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施之前，首先需要對(duì)其信息安全保護(hù)進(jìn)行重要性分析，主要從該基礎(chǔ)設(shè)施的信息系統(tǒng)支撐本單位各類職能、業(yè)務(wù)運(yùn)轉(zhuǎn)以及支撐其他單位或行業(yè)提供服務(wù)的角度分析，即本單位完成主要社會(huì)功能/職能履行和業(yè)務(wù)正常運(yùn)轉(zhuǎn)對(duì)該基礎(chǔ)設(shè)施信息系統(tǒng)的依賴程度；該基礎(chǔ)設(shè)施信息系統(tǒng)提供的服務(wù)對(duì)于其他單位或行業(yè)來講的重要程度，即其他單位或行業(yè)的信息系統(tǒng)對(duì)該基礎(chǔ)設(shè)施信息系統(tǒng)的依賴程度。通過雙向的依賴性分析，可以判斷該基礎(chǔ)設(shè)施信息安全保護(hù)的重要程度，據(jù)此認(rèn)定其是否可被納入國(guó)家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)立法的適用范圍。

五、結(jié)語

在當(dāng)今世界嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，數(shù)據(jù)本地化立法是保障網(wǎng)絡(luò)數(shù)據(jù)安全和避免外國(guó)監(jiān)聽的有效途徑，對(duì)于維護(hù)國(guó)家安全和個(gè)人隱私具有積極意義具有正當(dāng)性，所以數(shù)據(jù)本地化立法的需求在全球范圍內(nèi)呈增長(zhǎng)趨勢(shì)。然而，數(shù)據(jù)本地化立法具有其潛在風(fēng)險(xiǎn)，不恰當(dāng)?shù)臄?shù)據(jù)本地化立法可能對(duì)經(jīng)濟(jì)發(fā)展和技術(shù)進(jìn)步造成阻礙。因此，我國(guó)的數(shù)據(jù)本地化立法規(guī)定應(yīng)當(dāng)慎重，在堅(jiān)持安全與發(fā)展并重的原則下，恰當(dāng)規(guī)定數(shù)據(jù)本地化立法的范圍和標(biāo)準(zhǔn)，盡快建立符合我國(guó)發(fā)展目標(biāo)的數(shù)據(jù)本地化制度，平衡國(guó)家安全與技術(shù)利用之間的沖突，切實(shí)保障網(wǎng)絡(luò)數(shù)據(jù)安全和國(guó)家利益。

[1] 蔣開富.正當(dāng)性的語義學(xué)與語用學(xué)分析[J].廣西社會(huì)科學(xué),2005(5):149-150.

[2] 胡波.“法的正當(dāng)性”語義考辨[J].甘肅政法學(xué)院學(xué)報(bào),2009(7):22-27.

[3] 埃森哲技術(shù)研究院.埃森哲2015技術(shù)展望“數(shù)字化商業(yè)時(shí)代：開疆拓土”[EB/OL].[2015-09-14].https://www.accenture.com/t20150527T211737__w__/cn-zh/_acnmedia/Accenture/Conversion-Assets/DotCom/Documents/Local/zh-cn/PDF_4/Accenture-Insight-Technology-Vision-2015-CN.pdf#zoom=50.

[5] EUROPEAN CENTRE FOR INTERNATIONAL POLITICAL ECONOMY.The Cost of Data Localization:Friendly Fire on Economic Recovery[EB/OL].[2015-09-14].http://www.ecipe.org/app/uploads/2014/12/OCC32014__1.pdf.

[6] 盧朵寶.美國(guó)為何害怕數(shù)字貿(mào)易壁壘[EB/OL].[2014-11-10][2015-09-24].http://www.ennweekly.com/2014/1110/14649.html .

[7] 林堅(jiān),黃婷.科學(xué)技術(shù)的價(jià)值負(fù)載與社會(huì)責(zé)任[J].中國(guó)人民大學(xué)學(xué)報(bào),2006(2):47-53.

[8] 衛(wèi)才勝.政治視角的西方信息技術(shù)哲學(xué)——論溫納的信息技術(shù)政治思想[J].河南社會(huì)科學(xué),2011年,19(3):66-68.

[9] OECD.OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[EB/OL].[2015-09-14].http://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm.

[10] 習(xí)近平.堅(jiān)持總體國(guó)家安全觀 走中國(guó)特色國(guó)家安全道路[EB/OL].[2014-04-15][2015-09-14].http://news.xinhuanet.com/2014-04/15/c_1110253910.htm.

[11] 曹磊.網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究[J].國(guó)際觀察,2013(1):53-58.

[12] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY.The NIST Definition of Cloud Computing[EB/OL].[2015-08-31].http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[13] 舒剛,虞崇勝.政治安全:安全和國(guó)家安全研究議程的新拓展[J].探索,2015(4):100-106.

[14] GLENN GREENWALD.US Orders Phone Firm to Hand Over Data on Millions of Calls:Top Secret Court Ruling Demands ′Ongoing，Dily′ Data from Verizon[N]．The Guardian，2013-06-06( 1) .

[15] GLENN GREENWALD，EWEB MAC ASKILL．Revealed:How US Secretly Collects Private Data from AOL，Apple，F(xiàn)acebook，Google，Microsoft，Paltalk，Skype，Yahoo and You Tube:Files Prove Existence of Undercover Operation Codenamed Prism[N]．The Guardian，2013-06-07( 1) ．

[16] ELLEN NAKASHIMA．Report:Verizon Giving Call Data to NSA[N]．The Washington Post，2013-06-06( A01).

[17] 戴瑩.電子證據(jù)及其相關(guān)概念辨析[J].中國(guó)刑事法雜志,201(3):73-77.

[18] 李志敏.知識(shí)經(jīng)濟(jì)發(fā)展和國(guó)家安全觀的整約與重構(gòu)[J].甘肅社會(huì)科學(xué)，2001(4)：7-9.

[19] 巨乃岐,邢潤(rùn)川.試論信息安全與信息時(shí)代的國(guó)家安全觀[J].天中學(xué)刊,2005,20(1):21-26.

[20] UK CABINET OFFICE.The UK Cyber Security Strategy——Protecting and promoting the UK in a digital world[EB/OL].[2015-09-14].https://www.gov.uk/government/publications/cyber-security-strategy.

[21] ANDREW E KRAMER.N.S.A.Leakers Revive Push in Russia to Control Net[N],N.Y.TIMES.2013-07-14.

[22] PATRICK S.RYAN,SARAH FALVEY,RONAK MERCHANT.When the Cloud Goes Local:The Global Problem with Data Localization[J].Computer,2013,46(12):54-59.

(責(zé)任編輯：馮 蓉)

Analysis on the Justification of Cyber Data Localization Legislation

WANG Yue

(School of Law,Xi′an Jiaotong University,Xi′an 710049,China)

Data localization legislation is putting up barriers to the free flow of data across borders via legislation.So far it is controversial.Winner′s theory provides the philosophical foundation for the justification of data localization.From the perspective of overall national security,data localization legislation would be critical to citizen security,political security,law enforcement and economic development.Meanwhile,given the experience of several nations,the best legislative mode of data localization should be tailored with China′s own situation.China is in a complicated cyber security situation,when the regulations on data localization is underway,we should try to equalize security and development,and choose the appropriate subject of obligation,scope and mode of data localization.

data localization; cyber security law; overall national security outlook; legislation; justification

10.15896/j.xjtuskxb.201601007

2015-11-20

國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目(15ZDA047)；國(guó)家社會(huì)科學(xué)基金青年項(xiàng)目(14CFX030)；陜西省社會(huì)科學(xué)基金項(xiàng)目(13F060)；陜西省軟科學(xué)項(xiàng)目(2014KRM73)

王玥(1983- ) ，女，西安交通大學(xué)法學(xué)院講師。

D920.0

A

1008-245X(2016)01-0054-08