中国推进网络数据安全法,在华外国企业进退维谷

在北京举行的全球移动互联网大会上一幅电子数据显示的中国地图。(2018年7月11日)

随着全球步入5G时代,越来越多的国家把数据安全提到议事日程之上。中国9月底召开了“2020数据安全高峰论坛”,以落实推进“网络安全法”和“数据安全法(草案)”的法规政策。这是中国政府进一步加强网络和数据安全的最新举措。不过,“数据安全法(草案)”中一项被认为具有“域外效力”的条款,因涵盖面过大而引起广泛关注和争议。观察人士指出,该法律一旦实施,将给在中国的外国公司带来挑战。

您的浏览器不支持HTML5

中国推进网络数据安全法,在华外国企业进退维谷

域外效力的影响

中国政府今年7月出台的《数据安全法(草案)》说,该法旨在保障数据安全,促进数据开发利用、保护公民、组织的合法权益、维护国家主权、安全和发展利益。草案第二条规定,中国政府有权追究境外组织或个人进行危害中国国家安全和公共利益、损害中国公民或组织合法权益的数据活动的责任,但未具体说明如何以及由哪个部门对这些组织或个人执行这项法律。预计,《数据安全法》(草案)将于明年中国人大会议上讨论通过后生效。

观察人士指出,草案第二条把数据安全的法律责任延伸到中国大陆以外的世界其他地方,涵盖面过大,有可能被中国政府用来实现其政治目的的工具。

美国首都华盛顿的智库“战略与国际问题研究中心”(CSIS)的高级副总裁兼科技政策项目主任詹姆斯·刘易斯(James Andrew Lewis)对美国之音说,中国当局的目的是要对中国境内和境外的数据安全都进行监管。

他说:“我觉得值得关注的是,该草案给予中国当局监管数据管控者的能力,无论他们在中国境内或境外,因此具有域外效力(extra-territorial effect)。中国当局能审查境内外的外国公司。”

合法化和威慑力

多伦多大学全球事务学院政治系副教授、中国问题专家琳内特·王(Dr.Lynette Ong)说,这部法律草案对外国公司当然具有威慑力,就像港版国安法一样。她说,人们在发表任何言论或做出任何行动之前,不得不要考虑其言行可能带来的后果,因而事先就要进行自我审查。她表示,对中国当局来说,出台相关法律,实质上就是将他们过去一直在做的事情合法化而已。

她说:“实际上,这部法律的效用是把他们的行动合法化。比如事后要采取什么行动,通过制定相关法律把这些行动合法化。但这并不意味着,没有这部法律,他们就不会采取任何行动。如果有任何境外组织的行动损害中国利益的话,他们同样会采取行动,即使没有这个法律。”

“战略与国际问题研究中心”高级副总裁刘易斯说,数据安全问题,是各大经济体都致力于要解决的问题,包括美国、欧盟、印度等。他们都在想办法保护其公民的数据,监管域外的国家。这是个全球性的问题,每个国家都在采取举措加以应对。

在华外国企业受影响

刘易斯说,这部法律草案所涉及的“域外效力”对中国境外的美国企业,如脸书、谷歌等作用不大,因为中国当局不让他们进入中国市场,但是对在华经营的其他美国企业则产生直接影响。

他说:“其它一些美国公司,如苹果,微软等,他们在中国有生意。由于中国监管机构对他们有一些影响力,因此域外效力就显得很重要了。如果你对脸书说,中国要对你采取行动,他们会毫不在乎,因为他们不在华经营,但是如果换成是苹果或其他公司,那么问题就来了。”

网络安全和技术专家刘易斯说,数据安全是每个国家都在努力解决的问题。中国出台数据安全法,是步欧盟的后尘。

2018年5月25日,在28个欧盟国家实施的欧盟“通用数据保护条例”(General Data Protection Regulation,简称GDPR)正式生效。该条例旨在“统一欧盟范围内的监管,让公民重新掌控自己的个人数据,同时简化国际业务的监管环境”。

进退维谷的“合作”

另外,《数据安全法》(草案)第四章第三十二条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

中国问题专家琳内特·王教授说,这项法律规定可能会让一家外国公司的首席执行官感到担忧。

她说:“如果我是个数据公司的首席执行官,可能会顾虑重重,考虑是不是要继续中国继续运营下去。我觉得,搞数据的企业,对此特别敏感,因为他们的顾客对数据安全有非常高的要求。所以,这一点如果不能够达到一定的标准的话,可能就会彻底退出中国大陆。但这其实对中国大陆的经济会产生一定影响的。”

网络安全专家刘易斯说,在华经营的美国企业,有时候必须要跟中国当局合作,但这种配合有时候会让美国企业在其他地方遇到麻烦。

他说:“我的建议是,你不会愿意置身于一个既有欧洲规定、美国规定,中国规定,又有印度规定的世界中,这会让企业无所适从。因此,企业要寻找鼓励经济体间共同标准的途径。但是我要告诉美国公司的是,你必须要遵守法律,但同时不要忘了自己的公众形象,并且推动政府拿出一些共识来。”

美国企业迫于中国当局的压力予以配合,在此之前已经有先例。2007年11月6日,美国国会众议院外交事务委员会就雅虎公司在中国记者师涛被中国政府判刑入狱过程中所扮演的角色再次举行听证会。

雅虎公司被指责为获取商业好处而屈从于中国政府网络新闻检查的压力,向中国当局提供了原湖南长沙当代商报的编辑部主任师涛的个人电邮资料,导致师涛在2005年被当局以“非法向境外提供国家机密罪”判刑10年。2004年,师涛通过个人雅虎电邮把一份涉及六四内容的文件摘抄给一家海外民运网站。

老调重弹的中国倡议

“战略与国际问题研究中心”高级副总裁兼科技政策项目主任刘易斯说,中国国务委员兼外长王毅发起《全球数据安全倡议》是对美国一个月前公布的“清洁网络”倡议所做的反应。

8月5日,美国国务卿蓬佩奥曾在国务院举行新闻发布会上宣布,为使美国的数字网络不受中国共产党的影响,美国提出涉及五个领域的“清洁网络”倡议,包括清洁运营商、清洁商店、清洁应用、清洁云储存以及清洁电缆。

王毅9月8日在全球数字治理研讨会上提出8项《全球数据安全倡议》,其中 包括“尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据”等。但是,观察人士批评说,具有讽刺意味的是,这个倡议与《数据安全法》(草案)第三十二条中有关组织、个人应当配合中国司法机关因调查需要调取数据的规定相违背。

中国的《数据安全法》(草案)还对不履行该法而开展数据活动的组织和个人做出了处罚规定。草案规定,对不履行数据安全保护义务,或未采取必要安全措施,且拒不改正而造成重大数据泄露等严重后果的,最高处100万元以下罚款,并吊销相关业务许可证或营业执照。

请同时参阅: 中国网络安全审查办法或将限制外国产品和服务进入