“数据主权”浪潮下企业如何构建全球数据管理体系——兼评美国《国家安全与个人数据保护法》提案
引言
2019年11月18日,美国国会共和党参议员,参议院司法委员会犯罪、恐怖主义与国土安全小组主席Josh Hawley向参议院提交第2889号提案——《2019国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)[1](“《提案》”),再次引发了各方关于数据保护、跨境传输等方面话题的热议。尽管目前《提案》仅处于提交参议院的阶段,在其正式通过生效前,还至少需要参议院通过、众议院通过并最终由总统签署,但《提案》基于安全目的的规则设置凸显了“数据主权”的理念,值得所有企业警惕,并提前布局做出应对方案。
1.《提案》的目的和主要内容
一言以蔽之,为阻止用户数据向中国和其他可能威胁美国国家安全的国家传输[2],《提案》界定了特别关注国家(Country of Concern,“COC”,包含中国、俄罗斯等)[3]和特别关注科技公司(Covered Technology Company,“CTC”)[4]。《提案》对涉及COC及CTC的用户数据(User Data,其中用户包含拥有美国国籍、持有美国护照的citizen,以及拥有居民身份residency的自然人)[5]收集、使用、存储和传输进行了重点关注,也相应提出了一些普适的通用要求。具体而言:
不难看出,《提案》从美国公民和居民的用户数据角度切入,对于跨国开展业务的CTC(尤其是涉及COC国家的企业),建立了明确的数据回传美国和本地化存储要求,同时对于用户数据的输出进行了严格管制,一旦严格实施很可能切断向COC传输美国公民和居民的用户数据的路径。此外,尤为值得关注的是,《提案》中明确提出了定向广告和人脸识别技术相关的数据使用限制,定向广告是目前大数据主要商业应用之一,而人脸识别技术则是个人真实身份标识的重要获取方法,如按照其中规定严格执行,相关企业甚至整个行业将面临巨大的变革。
一方面,《提案》的严格规定很可能脱胎于对美国国家安全的高度关注,但同时,《提案》一定程度上也在规制思路和要求等方面映射出其他主要司法辖区数据立法的影子,显露出其与“数据主权”浪潮之间同样密不可分的联系。2. 安全与法律秩序的重构:“数据主权”浪潮
事实上,“数据主权”或者说数据资源控制立法的浪潮,早已不是新鲜话题。随着大数据、云计划、物联网以及移动互联网等新一代信息技术的普及推广,个人数据的安全保护以及数据资源的开发利用已迅速在主要司法辖区之间铺开,不同国家/地区对于数据安全和数据资源的高度重视不约而同地具化成为数据本地化和跨境数据传输等法律规则。
以《提案》为例,其显露出对美国公民或居民的用户数据的强烈控制意图,延续了美国《澄清域外合法使用数据法案》(CLOUD Act)中肯定美国执法机关对美国企业“控制”的境内外数据均享有“主权”[15]的思路。类似的,欧盟《通用数据保护条例》(GDPR)也以普遍适用(即包含所有针对欧盟用户提供产品和服务的企业)的同等保护水平从安全角度建立了个人数据外流的管控体系,俄罗斯、印度等国家/地区也纷纷通过本地化等规则、以期确立对数据的控制。与其他司法辖区类似,中国《网络安全法》及《数据安全管理办法(征求意见稿)》中也从网络安全和数据安全等角度提出了部分数据本地化和出境安全评估的要求,反映出对数据管控的考量和关注。 综合而言,从立法技术上看,目前各司法辖区主要通过两种路径确立对数据的控制:以地域为主的控制,即对司法辖区内收集、产生的数据提出控制要求,例如印度中央银行要求位于印度的支付企业在印度本地存储数据; 以本地公民和/或居民为主的控制,即对收集本司法辖区公民和/或居民数据的企业或组织进行控制,例如《提案》等。
3. 构建全球数据管理体系的应对思路与常见模式
在这样的时代背景下,面对重新构建过程中的法律秩序,全球化的跨国企业既然不能改变政治和立法走向,势必需要迅速进化、适应这一“浪潮”,构建合理、合规而业务高效的全球数据管理体系,进而实现业务发展与合规义务的平衡。
首先被提出的是成本较高的解决方案——本地化,无论是微软进入中国云服务的成功经验,还是在华运营20年的SAP于今年提出的“中国加速计划”都是本地化的典型案例。一定程度上,部分或完全的本地化能够不同程度地避免了不同司法辖区规则的协调,但高昂的基础设施建设成本、核心研发力量的分散化挑战、数据融合的阻碍、企业内部数据安全制度无法统一等弊端和限制也实质上限制了本地化方案的适用性。 为此,从体系建设成本、业务与数据的关联、数据安全和监管政策要求等多个角度出发,实践中开始逐渐形成不同的全球数据管理体系构建思路。目前而言,根据我们对实践的了解,常见的三类全球数据管理体系如下表所示:当然,随着不同司法辖区之间的法律秩序逐步重构完成,具体法律体系之间的义务协调也随之推进,例如美国与英国已就CLOUD Act项下合作达成协议[17]。相应的,企业构建全球数据管理体系的思路和模式仍处于不断发展和丰富过程之中。
此外,在构建全球数据管理体系的过程中,企业不仅需要针对个人数据与用户数据进行仔细考量,其他类别的数据同样可能引发合规关注和问题,比如技术出口管制等,需要企业切实进行合理评估,我们将在今后的文章中进一步介绍。4. 合规建议
综上所述,在“数据主权”的浪潮下,无论是自建IDC还是选择合格供应商构建全球数据管理体系,我们建议各类型企业均应当采取更为审慎和主动的态度回顾自身业务,并相应及时采取细致和全面的应对措施。
首先,为确保全球数据管理体系的构建思路具有坚实、可靠的事实基础,企业需要对自身业务中的数据需求、技术需求和合规要求进行完整明确、层次清晰的事实梳理:全面盘点自身业务开展过程及所形成的数据管理体系中可能涉及的数据类型,并合理进行分类分级; 审视各类业务场景中的数据需求和合规要求,评估相关法律风险,尤其是针对存在数据跨境、产品/服务跨境、业务主体跨境等情况的业务场景; 基于事实梳理的情况,建立并不断完善网络安全与数据合规体系,以公开、透明、经得起检验的合规措施自证。
在事实梳理过程中,除上述要点外,此类企业还应着重强调不同司法辖区业务之间的业务关联性和数据融合、打通的必要性,为后续决策提供基础; 在风险评估和决策阶段,此类企业需要重点、优先、及时解决顶层架构问题,合理决策,确定数据管理体系的构建方向;尽量避免不同国家/地区业务条线和主体之间“各自为战”、“野蛮生长”;以银行金融业为例,对于业务特性中天然具有跨境基因的行业,从总部/总行层面务必应对全球发展情况进行统筹规划方案,可以考虑核心业务系统采用单极体系节约成本,部分边缘系统和数据本地化部署提升访问效率和避免过度的数据跨境传输等; 最后,对于大型企业而言,巨大的规模导致了“缓慢的转身”,而信息时代瞬息万变的不止是市场,还有技术发展和监管要求;为此,跨国企业应重点注意避免僵化和依赖特定的某一类体系构建思路,根据业务发展、立法发展和技术发展等实际情况,提前规划、预留空间,并适时果断切换与迭代,采取最为适宜而合理的全球数据体系;举例而言,曾经被普遍认同和采用的全球统一CRM系统和DMP平台,对于跨国企业的员工、客户管理和数据资源积累起到了举足轻重的作用,然而在现有立法背景下,这些单极化体系的合理性、必要性都将值得所有企业再度思考。
最后,从外部影响的反馈上看,企业还应当紧跟立法和执法趋势,根据实际情况调整应对策略;同时,对于可能产生重大影响的立法思路和草案(例如《提案》),通过立法意见、听证会、公开媒体等多种可行渠道表达来自于企业的意见,以争取更为有利的规则趋势。
扫描下方👇二维码,查看美国《国家安全与个人数据保护法(提案)》全文。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师是合规业务部负责人,宁律师的主要执业领域为网络安全与数据合规。宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师曾多次协助客户进行自查并完善网络安全和数据合规体系,为客户提供网络安全和数据合规培训等。项目涉及金融支付与清算、保险、网约车平台、消费电子、互联网广告、日化等行业。
付昊
律师助理
合规业务部
张乐健
律师助理
合规业务部
[1] S.2889-National Security and Personal Data Protection Act of 2019,参见https://www.congress.gov/bill/116th-congress/senate-bill/2889/text?q=%7B%22search%22%3A%5B%22National+Security+and+Personal+Data%22%5D%7D&r=1&s=2,2019-11-26.
[2] “cuts off the flow of sensitive data to China and countries that similarly threaten America’s national security”, Senator Hawley Introduces Bill to Address National Security Concerns Raised by Big Tech’s Partnerships with Beijing, https://www.hawley.senate.gov/senator-hawley-introduces-bill-address-national-security-concerns-raised-big-techs-partnerships, 2019-11-18, 2019-11-26.
[3] 参见《提案》Sec.2 (2)中规定,即“中国、俄罗斯以及其他经国务卿认定可能对数据隐私保护和数据安全造成的国家”。
[4] 参见《提案》Sec.2 (3)中规定,即在州际贸易和涉外贸易中提供基于数据的在线服务(如网站、互联网应用)或提供基于数据的在线服务并可能影响州际贸易或涉外贸易的,且(A)在COC注册成立的公司及其子公司,或(B)由COC国民或COC公司持有多数或控制股权权益的公司及其子公司,或(C)其他需要遵守COC的法律规定、并使得COC获得美国公民或居民的用户数据且无法提供与美国宪法和法律相当程度的自由和隐私保护的公司。
[5] 参见《提案》Sec.2 (6)中规定,即由任何一家提供数据为基础的服务的企业(如网站或互联网应用)获得的,任何标识、关联、描述、可产生联系或可合理连接到一个美国公民或美国居民的信息,而无论该等信息是直接向该等企业提交的、由该等企业自行观测所衍生的还是从其他第三方用任何方式取得的。
[6] 参见《提案》Sec.3 (a) (1).
[7] 参见《提案》Sec.3 (a) (2).
[8] 参见《提案》Sec.3 (a) (3).
[9] 参见《提案》Sec.3 (a) (6).
[10] 参见《提案》Sec.3 (a) (4)及Sec.4 (a) (1).
[11] 参见《提案》Sec.3 (a) (5).
[12] 参见《提案》Sec.4 (a) (2).
[13] 参见《提案》Sec.3 (b).
[14] 参见《提案》Sec.5 (b), (c)和(d).
[15] 上海社会科学院互联网研究中心:《全球数据跨境流动政策与中国战略研究报告》,https://www.secrss.com/articles/13274, 2019-08-28,2019-11-26。
[16] Lauren Morris: Cloud Acts Conflicts with GDPR, EDPB says, https://globaldatareview.com/international-transfers/cloud-act-conflicts-gdpr-edpb-says, 2019-7-15, 2019-11-26
[17] 参见https://www.justice.gov/opa/pr/us-and-uk-sign-landmark-cross-border-data-access-agreement-combat-criminals-and-terrorists, October 3, 2019.
感谢关注金杜研究院