《網絡安全法》中數據留存法律制度的解構與建議

編者按：信息時代，數據已經成為影響國計民生的國家重要資源，關乎國家網絡空間主權、安全和發展利益。全球化背景下，數據留存法律制度的重心開始從本國留存向數據跨境監管過渡，《網絡安全法》作為國家網絡空間治理的總體規范，有必要充分認清中國網絡數據留存的現實問題和具體需求，進一步明晰數據留存主體，明確監管部門，規定數據境內外存儲與傳輸的法律義務，為牽引和指導國家網絡安全法律制度建設提供根本遵循，為在網絡空間實現國家數據管轄權提供法律保障。

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》。2015年7月6日至2015年8月5日，該草案在中國人大網上全文公布，並向社會公開征求意見。在此次草案中，其中涉及的公民個人信息跨境限制規定具備數據存留的基本功能，體現了國家立法在數據跨境態勢下的應對思考，對國家信息安全法律制度建設必將產生深遠影響。

從各國網絡安全相關立法的實踐看，基於執法需求的數據留存是保障國家網絡安全的重要制度，隨著信息技術全球化的普及，大數據、雲計算應用更加廣泛，數據留存體現的數據本地化要求與數據跨境常態性的客觀現實產生沖突，執法機構在數據留存過程中的潛在風險也招致越來越多的非議。為此，數據留存法律制度的重心開始從本國留存數據過渡到對數據跨境的監管，並逐步體現出反映網絡主權和全面管轄權的新特點。

習近平總書記在網絡安全和信息化工作座談會上的講話中強調，大國網絡安全博弈，不單是技術博弈，還是理念博弈、話語權博弈。我們提出了全球互聯網發展治理的“四項原則”、“五點主張”，特別是我們倡導尊重網絡主權、構建網絡空間命運共同體，贏得了世界絕大多數國家贊同。這一內容與較為敏感的數據存留法律制度的構建極為契合，我國《網絡安全法》應當對此作出回應。

一、數據留存法律制度重心的轉移

法律意義上的數據留存通常與各國執法部門需要密切相關，其概念在1990年被提出，1995年獲得法律認可。根據歐盟Directive 2006/24/EC的規定，數據留存是指為了維護國家安全、國防事務、公共安全而要求公共信息網絡或公共信息通信服務提供者將通信流量數據和位置數據存留一定時間，以協助執法機關進行嚴重犯罪與恐怖主義犯罪調查時參考使用。19世紀初，世界各國連續發生恐怖襲擊慘案，例如美國世貿中心爆炸案、孟買大劫難爆炸案、法航客機劫持案、東京地鐵沙林毒氣事件等。各國執法部門在調查這類嚴重刑事犯罪案件中，由於缺乏相關的通信數據支持，導致無法對犯罪嫌疑人進行溯源，全面還原恐怖案件情況，並防范暴力恐怖案件的發生。2005年11月，美國恐怖襲擊委員會（通常指美國9•11委員會）副主席李•漢密爾頓在國會作証指出，聯邦機構無法掌控和分享有關可疑恐怖分子活動及其信息是政府最大的失敗，並導致了9•11恐怖襲擊。在這一背景下，數據留存制度逐步引起各國立法的關注，此時的制度重心受國家反恐現實需要的影響，片面強調數據的本地留存。

但隨著全球化的普及，大數據、雲計算應用更加廣泛，跨國公司異地調用數據用於自身業務需要越來越普遍，跨境數據安全的問題開始暴露出來。2010年5月14日，谷歌公司發表道歉聲明，承認過去4年中，基於跨國公司的數據留存義務，收集通過公共無線網絡傳播的個人在線活動信息，另外還在推廣“街景”服務時收集個人數據。2013年，美國斯諾登事件曝光美國國家安全局（NSA）和聯邦調查局（FBI）直接進入美國網際網路公司的中心服務器裡挖掘數據、收集情報，包括微軟、雅虎、谷歌、蘋果等在內的9家國際網絡巨頭皆參與其中。斯諾登事件給全球各國帶來了深刻的反思，反恐執法工作和保障數據安全之間的矛盾成為數據留存法律制度必須要解決的問題。2015年，歐盟信息安全港事件再次爆發，借此事件，歐盟進一步加強了流入美國境內的歐洲用戶數據的保護，也標志著數據留存法律制度的重心開始從本國留存數據過渡到對數據跨境的監管。

二、數據跨境監管中數據留存法律制度的新特征

數據留存法律制度重心的轉變體現了新技術應用背景下，執法需求與數據安全之間的博弈過程，在各國將數據留存制度重心調整為數據跨境監管之后，其制度本身也開始逐步具有新特征。首先數據留存法律制度強力體現數據主權性質。數據主權是指一國對其政權管轄地域范圍內個人、企業和相關組織所產生的文字、圖片、音視頻、代碼、程序等全部數據在產生、收集、傳輸、存儲、分析、使用等過程擁有的最高管轄權。隨著科技水平的不斷提高，人類已經有能力從海量的數據中通過數據挖掘和雲計算等高科技手段得到海量數據中蘊藏著的社會動態、市場變化、經濟規律、國家安全威脅征兆、戰場態勢和軍事行動等重要情報信息。基於此，數據主權對國家安全具有重要意義，是支撐國家發展的重要戰略資源。2013年斯諾登事件后，中國、俄羅斯、歐盟等國家已經開始制定對策，以應對數據主權保護。

其次，數據留存法律制度注重全面的管轄權。盡管當前全球互聯網正在被所謂“無邊界數據”理論困擾，傳統國家管轄權理論受到挑戰。但數據價值的提升和對外國監控的恐慌，反而迫使各國在思考數據留存的立法問題時不約而同地注重全面管轄權的實現。但目前，我國《網絡安全法》草案對管轄權的問題還存在模糊性。例如，我國草案的規定體現為對本土數據的屬地管轄權，即草案規定，在中華人民共和國境內建設、運營、維護和使用網絡，以及網絡安全的管理，適用本法。但對跨境數據，沒有規定用戶的國籍管理，在國際法上尚存在理論缺陷。例如，中國的用戶在美國的通信數據，如何要求美國的服務商提供相應的安全保障。

再次，數據監管方式體現多樣性。從各國監管模式來看，體現數據留存功能的數據監管大致包括四種方式。第一種是國內公司注冊制，例如美國要求在本土注冊的所有網絡服務商將通信數據回傳到國內。據此，谷歌、蘋果等跨國公司必須將其他國家公民的用戶數據傳到美國﹔第二種是本地數據留存制度，例如，目前巴西和俄羅斯政府已經通過立法，要求境外的互聯網公司在其境內開展互聯網業務必須使用其境內的數據中心，通過對數據中心的管理實現對數據的可控、可管﹔第三種是公司本地化制度，例如加拿大、澳大利亞等國家紛紛出台政策，積極發展本國通信企業，鼓勵國外通信服務替代產品，通過通信服務本土化，來掌控本國數據的流向﹔第四種是歐盟安全港制度，歐盟一直與美國就數據所屬及流向問題爭論不休。每一次爭論，必將提高境外數據安全保護的等級，並借此推行較為嚴厲的數據保護措施。雖然近期推出了隱私盾的協議，仍然不能挽回本土用戶數據回傳美國境內的命運。

三、我國數據留存法律制度解構

1.關於留存主體。我國規定的數據留存主體是關鍵信息基礎設施運營者，與各國立法規定相比，主體范圍明顯過小。例如，歐盟規定的數據留存主體通常是指通信設備制造商、信息服務提供商，主要負責數據的安全保存和及時銷毀。美國《愛國者法案》規定的數據留存主體包括所有通信服務企業，范圍要大於傳統信息網絡服務企業。

2.關於留存內容。我國規定的留存內容主要包括個人信息等數據。根據草案第六十五條第五款的規定，公民個人信息是指以電子或者其他方式記錄的公民的姓名、出生日期、身份証件號碼、個人生物識別信息、職業、住址、電話號碼等個人身份信息，以及其他能夠單獨或者與其他信息結合能夠識別公民個人身份的各種信息，這與其他國家的數據留存內容存在較大差異。美國、歐盟等信息發達國家規定的留存數據通常是與通信有關的數據，但不包括內容數據，范圍要大於用戶基本數據。例如，《歐盟數據留存指令》規定的數據留存種類主要包括通信的發出地，通信的目的地，數據、時間和通信持續時間，通信類型，用戶的通信設備，移動通信設備的位置等。

3.關於留存監管方式。我國目前主要採取事前監管的方式，《網絡安全法》草案第三十一條規定，因業務需要，確需在境外存儲或者向境外的組織或者個人提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估，這是一種事前監管的方式。而美國、歐盟等國家對數據留存的安全監管貫穿於數據整個生命周期，包括服務商數據的採集，存儲，提供以及銷毀，以及專門執法機關通信監控系統的建設與使用。

4.關於留存義務。從目前各國關於數據留存的義務規定分析，大致分為兩種模式，一種是強制留存，一種是運營商根據自身服務需要，征求用戶同意后留存的業務數據。第一種強調為執法部門服務，第二種強調服務商加強網絡安全，防止用戶數據被濫用，或數據泄露。從內容上看，我國立法上採用的是第二種，缺少第一種規定。

5.關於留存數據的跨境。《網絡安全法》草案規定，我國公民個人數據應保留在境內，與其他國家的規定有很大差異。美國強調凡在美國注冊的通信服務商數據應回傳到境內。並稱之為維護數據自由流動的需要。歐盟應用安全屏障協議，在滿足多種安全措施后，才可能流向第三國。加拿大、澳大利亞等國家傾向於支持本國通信服務商、限制外國服務商的政策，從制度上保障數據保留在本土。對於執法機關的跨境數據需求，一般認為很難達到效率上的要求。

四、我國數據留存法律制度的現存問題及建議

從上述制度解構可以發現，《網絡安全法》草案中規定的數據留存法律制度主要存在以下問題。一是數據留存主體限於關鍵基礎設施運營者，范圍較窄，且本身對象的概念較為模糊，不甚准確﹔二是數據留存內容限於公民，不涵蓋政府機關、法人等部門，覆蓋不全﹔三是留存義務僅限於服務商主動留存數據，不包括執法機關要求服務商法定留存的情況，監管有遺漏﹔四是監管方式較為單一，在執法實踐中可能存在不當、不到位情況，且有可能與現行國際貿易制度存在沖突。

在國家間互聯網控制權並不對等的客觀現實下，數據留存法律制度應當能夠最大化保障中國國家數據主權。同時需要考慮以下現實問題，即防止中國政府、組織機構的人員信息遭泄露和被國外勢力利用，防止國企的商業機密和經營決策遭到竊取。阻止國外勢力以顛覆意識形態為目的的信息入侵，依法對通過互聯網進入國內和進行傳播的數字產品進行審查。阻止不良信息傳播，控制互聯網經濟犯罪、防止通過互聯網宣揚暴力犯罪，維持社會穩定。防止公民個人隱私的泄露和被非法使用，加強行業監管、徹查隱私泄露源頭，提高公民防范意識。保護企業的合法經營行為，保障商業信息安全和企業知識產權不受侵害，為經濟結構調整和經濟高速發展保駕護航。通過國家立法，保障司法的調查權、取証權和處罰權，從法律層面對公民權利和國家安全進行規范。

為此，建議在《網絡安全法》中制定如下內容。其一是將數據留存主體調整為通信服務提供者，與反恐怖主義法保持一致﹔其二是明確監管部門，規定網信部門會同有關部門制定數據留存相關辦法及有關技術標准﹔其三是規定向境外存儲或傳輸國內用戶數據的通信服務提供者應當備案，並履行法律規定的義務﹔其四是規定數據留存通信服務者要根據國家反恐怖工作需要，向執法機關提供技術接口等規定。

（來源：中國信息安全）