《网络安全法》中数据留存法律制度的解构与建议

编者按：信息时代，数据已经成为影响国计民生的国家重要资源，关乎国家网络空间主权、安全和发展利益。全球化背景下，数据留存法律制度的重心开始从本国留存向数据跨境监管过渡，《网络安全法》作为国家网络空间治理的总体规范，有必要充分认清中国网络数据留存的现实问题和具体需求，进一步明晰数据留存主体，明确监管部门，规定数据境内外存储与传输的法律义务，为牵引和指导国家网络安全法律制度建设提供根本遵循，为在网络空间实现国家数据管辖权提供法律保障。

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。2015年7月6日至2015年8月5日，该草案在中国人大网上全文公布，并向社会公开征求意见。在此次草案中，其中涉及的公民个人信息跨境限制规定具备数据存留的基本功能，体现了国家立法在数据跨境态势下的应对思考，对国家信息安全法律制度建设必将产生深远影响。

从各国网络安全相关立法的实践看，基于执法需求的数据留存是保障国家网络安全的重要制度，随着信息技术全球化的普及，大数据、云计算应用更加广泛，数据留存体现的数据本地化要求与数据跨境常态性的客观现实产生冲突，执法机构在数据留存过程中的潜在风险也招致越来越多的非议。为此，数据留存法律制度的重心开始从本国留存数据过渡到对数据跨境的监管，并逐步体现出反映网络主权和全面管辖权的新特点。

习近平总书记在网络安全和信息化工作座谈会上的讲话中强调，大国网络安全博弈，不单是技术博弈，还是理念博弈、话语权博弈。我们提出了全球互联网发展治理的“四项原则”、“五点主张”，特别是我们倡导尊重网络主权、构建网络空间命运共同体，赢得了世界绝大多数国家赞同。这一内容与较为敏感的数据存留法律制度的构建极为契合，我国《网络安全法》应当对此作出回应。

一、数据留存法律制度重心的转移

法律意义上的数据留存通常与各国执法部门需要密切相关，其概念在1990年被提出，1995年获得法律认可。根据欧盟Directive 2006/24/EC的规定，数据留存是指为了维护国家安全、国防事务、公共安全而要求公共信息网络或公共信息通信服务提供者将通信流量数据和位置数据存留一定时间，以协助执法机关进行严重犯罪与恐怖主义犯罪调查时参考使用。19世纪初，世界各国连续发生恐怖袭击惨案，例如美国世贸中心爆炸案、孟买大劫难爆炸案、法航客机劫持案、东京地铁沙林毒气事件等。各国执法部门在调查这类严重刑事犯罪案件中，由于缺乏相关的通信数据支持，导致无法对犯罪嫌疑人进行溯源，全面还原恐怖案件情况，并防范暴力恐怖案件的发生。2005年11月，美国恐怖袭击委员会（通常指美国9?11委员会）副主席李?汉密尔顿在国会作证指出，联邦机构无法掌控和分享有关可疑恐怖分子活动及其信息是政府最大的失败，并导致了9?11恐怖袭击。在这一背景下，数据留存制度逐步引起各国立法的关注，此时的制度重心受国家反恐现实需要的影响，片面强调数据的本地留存。

但随着全球化的普及，大数据、云计算应用更加广泛，跨国公司异地调用数据用于自身业务需要越来越普遍，跨境数据安全的问题开始暴露出来。2010年5月14日，谷歌公司发表道歉声明，承认过去4年中，基于跨国公司的数据留存义务，收集通过公共无线网络传播的个人在线活动信息，另外还在推广“街景”服务时收集个人数据。2013年，美国斯诺登事件曝光美国国家安全局（NSA）和联邦调查局（FBI）直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。斯诺登事件给全球各国带来了深刻的反思，反恐执法工作和保障数据安全之间的矛盾成为数据留存法律制度必须要解决的问题。2015年，欧盟信息安全港事件再次爆发，借此事件，欧盟进一步加强了流入美国境内的欧洲用户数据的保护，也标志着数据留存法律制度的重心开始从本国留存数据过渡到对数据跨境的监管。

二、数据跨境监管中数据留存法律制度的新特征

数据留存法律制度重心的转变体现了新技术应用背景下，执法需求与数据安全之间的博弈过程，在各国将数据留存制度重心调整为数据跨境监管之后，其制度本身也开始逐步具有新特征。首先数据留存法律制度强力体现数据主权性质。数据主权是指一国对其政权管辖地域范围内个人、企业和相关组织所产生的文字、图片、音视频、代码、程序等全部数据在产生、收集、传输、存储、分析、使用等过程拥有的最高管辖权。随着科技水平的不断提高，人类已经有能力从海量的数据中通过数据挖掘和云计算等高科技手段得到海量数据中蕴藏着的社会动态、市场变化、经济规律、国家安全威胁征兆、战场态势和军事行动等重要情报信息。基于此，数据主权对国家安全具有重要意义，是支撑国家发展的重要战略资源。2013年斯诺登事件后，中国、俄罗斯、欧盟等国家已经开始制定对策，以应对数据主权保护。

其次，数据留存法律制度注重全面的管辖权。尽管当前全球互联网正在被所谓“无边界数据”理论困扰，传统国家管辖权理论受到挑战。但数据价值的提升和对外国监控的恐慌，反而迫使各国在思考数据留存的立法问题时不约而同地注重全面管辖权的实现。但目前，我国《网络安全法》草案对管辖权的问题还存在模糊性。例如，我国草案的规定体现为对本土数据的属地管辖权，即草案规定，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的管理，适用本法。但对跨境数据，没有规定用户的国籍管理，在国际法上尚存在理论缺陷。例如，中国的用户在美国的通信数据，如何要求美国的服务商提供相应的安全保障。

再次，数据监管方式体现多样性。从各国监管模式来看，体现数据留存功能的数据监管大致包括四种方式。第一种是国内公司注册制，例如美国要求在本土注册的所有网络服务商将通信数据回传到国内。据此，谷歌、苹果等跨国公司必须将其他国家公民的用户数据传到美国；第二种是本地数据留存制度，例如，目前巴西和俄罗斯政府已经通过立法，要求境外的互联网公司在其境内开展互联网业务必须使用其境内的数据中心，通过对数据中心的管理实现对数据的可控、可管；第三种是公司本地化制度，例如加拿大、澳大利亚等国家纷纷出台政策，积极发展本国通信企业，鼓励国外通信服务替代产品，通过通信服务本土化，来掌控本国数据的流向；第四种是欧盟安全港制度，欧盟一直与美国就数据所属及流向问题争论不休。每一次争论，必将提高境外数据安全保护的等级，并借此推行较为严厉的数据保护措施。虽然近期推出了隐私盾的协议，仍然不能挽回本土用户数据回传美国境内的命运。

三、我国数据留存法律制度解构

1.关于留存主体。我国规定的数据留存主体是关键信息基础设施运营者，与各国立法规定相比，主体范围明显过小。例如，欧盟规定的数据留存主体通常是指通信设备制造商、信息服务提供商，主要负责数据的安全保存和及时销毁。美国《爱国者法案》规定的数据留存主体包括所有通信服务企业，范围要大于传统信息网络服务企业。

2.关于留存内容。我国规定的留存内容主要包括个人信息等数据。根据草案第六十五条第五款的规定，公民个人信息是指以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息，以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息，这与其他国家的数据留存内容存在较大差异。美国、欧盟等信息发达国家规定的留存数据通常是与通信有关的数据，但不包括内容数据，范围要大于用户基本数据。例如，《欧盟数据留存指令》规定的数据留存种类主要包括通信的发出地，通信的目的地，数据、时间和通信持续时间，通信类型，用户的通信设备，移动通信设备的位置等。

3.关于留存监管方式。我国目前主要采取事前监管的方式，《网络安全法》草案第三十一条规定，因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，这是一种事前监管的方式。而美国、欧盟等国家对数据留存的安全监管贯穿于数据整个生命周期，包括服务商数据的采集，存储，提供以及销毁，以及专门执法机关通信监控系统的建设与使用。

4.关于留存义务。从目前各国关于数据留存的义务规定分析，大致分为两种模式，一种是强制留存，一种是运营商根据自身服务需要，征求用户同意后留存的业务数据。第一种强调为执法部门服务，第二种强调服务商加强网络安全，防止用户数据被滥用，或数据泄露。从内容上看，我国立法上采用的是第二种，缺少第一种规定。

5.关于留存数据的跨境。《网络安全法》草案规定，我国公民个人数据应保留在境内，与其他国家的规定有很大差异。美国强调凡在美国注册的通信服务商数据应回传到境内。并称之为维护数据自由流动的需要。欧盟应用安全屏障协议，在满足多种安全措施后，才可能流向第三国。加拿大、澳大利亚等国家倾向于支持本国通信服务商、限制外国服务商的政策，从制度上保障数据保留在本土。对于执法机关的跨境数据需求，一般认为很难达到效率上的要求。

四、我国数据留存法律制度的现存问题及建议

从上述制度解构可以发现，《网络安全法》草案中规定的数据留存法律制度主要存在以下问题。一是数据留存主体限于关键基础设施运营者，范围较窄，且本身对象的概念较为模糊，不甚准确；二是数据留存内容限于公民，不涵盖政府机关、法人等部门，覆盖不全；三是留存义务仅限于服务商主动留存数据，不包括执法机关要求服务商法定留存的情况，监管有遗漏；四是监管方式较为单一，在执法实践中可能存在不当、不到位情况，且有可能与现行国际贸易制度存在冲突。

在国家间互联网控制权并不对等的客观现实下，数据留存法律制度应当能够最大化保障中国国家数据主权。同时需要考虑以下现实问题，即防止中国政府、组织机构的人员信息遭泄露和被国外势力利用，防止国企的商业机密和经营决策遭到窃取。阻止国外势力以颠覆意识形态为目的的信息入侵，依法对通过互联网进入国内和进行传播的数字产品进行审查。阻止不良信息传播，控制互联网经济犯罪、防止通过互联网宣扬暴力犯罪，维持社会稳定。防止公民个人隐私的泄露和被非法使用，加强行业监管、彻查隐私泄露源头，提高公民防范意识。保护企业的合法经营行为，保障商业信息安全和企业知识产权不受侵害，为经济结构调整和经济高速发展保驾护航。通过国家立法，保障司法的调查权、取证权和处罚权，从法律层面对公民权利和国家安全进行规范。

为此，建议在《网络安全法》中制定如下内容。其一是将数据留存主体调整为通信服务提供者，与反恐怖主义法保持一致；其二是明确监管部门，规定网信部门会同有关部门制定数据留存相关办法及有关技术标准；其三是规定向境外存储或传输国内用户数据的通信服务提供者应当备案，并履行法律规定的义务；其四是规定数据留存通信服务者要根据国家反恐怖工作需要，向执法机关提供技术接口等规定。

（来源：中国信息安全）