網路安全

中共嚴控數據出境之影響與意涵
瀏覽數
712
2022.09.05
作者
擷取
網路安全與決策推演研究所 曾敏禎 政策分析員

關鍵字:中共網路政策
(本評析內容及建議,屬作者意見,不代表財團法人國防安全研究院立場)


中共「網信辦」(國家互聯網信息辦公室)自9月1日起施行《數據出境安全評估辦法》(以下簡稱《辦法》),重點圍繞《第4條》,明確應當申報數據出境安全評估的四種情形:一是數據處理者向境外提供重要數據;二是「關鍵資訊基礎設施的運營者」和處理百萬人以上個人信息的數據處理者向境外提供個人信息;三是自2021年1月1日起累計向境外提供十萬人個人信息或者一萬人敏感個人信息的數據處理者向境外提供個人信息;四是國家網信部門規定的其他需要申報數據出境安全評估情形。[1]

打造數據出境城牆避免衍生國安風險


中國數據出境安全評估制度的開端始於2017年施行的《網絡安全法》第37條,規定起初僅針對「關鍵資訊基礎設施的運營者」的重要數據和個人訊息需進行安全評估,並未明確其他主體。[2] 接續2021年6月通過的《數據安全法》第31條開始將對象進一步規定至「其他數據處理者」,[3] 同年8月通過的《個人信息保護法》第40條擴大規定至「達到國家網信部門規定數量的個人信息處理者」也需進行安全評估,[4] 藉由對象範圍的逐層擴增,構建中國的數據出境流動規則體系,至此上述三大攸關基礎性數據出境安全評估制度的立法全面建立。

揆諸《第5條》中明確指出數據出境及境外接收方處理數據目的、範圍、方式等合法性、正當性、必要性,《第8條》亦明確出境數據規模、範圍、種類、敏感程度,出境中和出境後遭篡改、破壞、洩漏、丟失、轉移或被非法獲取、非法利用等風險,凸顯中國要求數據出境相關方做到「事前評估」、「事中監督」和「事後負責」全週期數據出境申報要求。而違反《第18條》規定的企業將面臨嚴峻罰款,其額度為5,000萬元人民幣以下或企業年收入5%以下,情節嚴重可吊銷企業執照和∕或追究刑事責任。[5] 上述法條已然對外豎起名為「保護數據」壁壘,勢將使掌握大量數據如阿里、京東、百度等網路巨頭,對赴海外投資上市持更加保守謹慎態度。

布局數據本土化政策將成企業緊箍咒


回顧中國叫車服務巨擘「滴滴出行」(Didi)2021年6月赴美上市,引起中國對重要數據和公民個人訊息的出境安全風險高度警惕,繼而施壓「滴滴出行」從美股退市,後2022年7月中共以「重要數據和個人信息出境導致國家安全受到威脅」為由,對「滴滴出行」處以80.26 億人民幣罰款(約360.05億台幣),[6] 該事件極大推動中國數據出境立法進程,《辦法》已然確立數據出境管理規則、合規評估和合規整頓工作,均宣告中國嚴峻的數據監管治理時代來臨。結合此次《第8條》明確數據出境安全評估重點關注數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來風險,並列舉七大評估因素,[7]亦被外界解讀為具針對性的「滴滴條款」。

綜觀《第12條》國家網信部門針對情況複雜或者需要補充更正,可適當延長並告知數據處理者預計延長時間,而《第14條》數據出境安全評估結果有效期僅為兩年,另《第20條》規定《辦法》施行後6個月內完成整頓,上述法條對業務依賴於境外數據處理或集中存儲企業而言,代表冗長評估程序和高昂潛在時間成本,加上《辦法》並未對安全評估設置審查上限,亦賦予當局無限縮的審查權力,故跨國企業若從長遠角度考量,在中國境內建立數據中心,將數據存儲和伺服器地址本土化,成為在中國開展業務無法規避的昂貴選項。而中國亦透過強化數據本土化策略,警告境內外企業勿妄動擅用數據,確保重要數據和個人訊息仍統一由當局掌控存取權限。

形成全球性數據出境標準前景不甚樂觀


近年隨著數據權利意識在世界範圍高漲,各國紛紛針對數據出境發布相關戰略政策,如美國政府頒布《釐清境外合法利用數據法》(Clarifying Lawful Overseas Use of Data Act, CLOUD Act),允許美國執法機構向法院申請存取美國業者境外數據合法權力,但業者同樣可根據境外國家隱私法令挑戰這些搜索令;[8]歐盟則頒布《歐盟通用資料保護規則》(EU General Data Protection Regulation, GDPR),致力推動其成員國內部資料自由流動,對外要求其他國家只有在具有與歐盟同等保護水準條件下,才允許將數據傳輸出境;[9]而俄羅斯數據本土化立法《Federal Law No. 242-FZ》主要要求數據可在境外傳輸和處理,但必須在本國境內伺服器上儲存和處理公民個人資訊。[10]

2019年召開的20國集團(G20)大阪峰會,已將數據治理和數據流通作為重點議題之一,[11] 2021年聯合國貿易和發展會議發布《數字經濟報告》認為國際社會應採取新的治理方針,致力減少數據出境流動障礙。[12] 然隨著數據被視為攸關國家安全的新戰略資源,目前愈來愈多的國家圍繞數據治理問題展開整體部署,均意圖強化掌控「數據主權」與「數據出境流通規則」。鑒於數據出境流動涉及國家利益、產業利益、風險控制的動態平衡,其中尤以制定「數據出境流通規則」被認為係爭奪國際話語權的首要目標,在美歐與中俄等數據治理觀念分歧及利益訴求迥異下,建立適用於全球的數據流動規制顯得困難重重。

行動版選單開關