2018 年 5 月 25 日歐盟“通用數(shù)據(jù)保護(hù)條例”(GDPR)正式執(zhí)行之時(shí)�,全球已有近 90 個(gè)國家和地區(qū)制定了個(gè)人信息保護(hù)的相關(guān)法律法規(guī)��。GDPR 簡(jiǎn)言之就是對(duì)數(shù)據(jù)收集者的操作規(guī)范以及用戶對(duì)自己數(shù)據(jù)完全自主的權(quán)利�����。據(jù) Gartner 統(tǒng)計(jì)��,全球數(shù)字企業(yè)呈北美����、西歐��、亞太三足鼎立之勢(shì)�,占比分別為 41.29%�����、27% 和 22.7%��,“監(jiān)管合規(guī)”和“數(shù)據(jù)隱私”將成為推動(dòng)全球數(shù)字企業(yè)安全支出的主要促進(jìn)因素并加速三方博弈���。
戰(zhàn)略之政策博弈:
美歐“隱私盾”擴(kuò)展至數(shù)字貿(mào)易適用
數(shù)字時(shí)代���,數(shù)據(jù)即生產(chǎn)資料,美國的制網(wǎng)權(quán)令其收獲了海量的數(shù)字紅利�����,反觀之�,歐盟多年來既沒有培育出大的互聯(lián)網(wǎng)企業(yè),近年來還受到美國的數(shù)字監(jiān)控�,同時(shí)網(wǎng)絡(luò)恐怖主義和網(wǎng)絡(luò)民粹亦造成歐洲互聯(lián)網(wǎng)之殤,歐盟一直謀求在網(wǎng)絡(luò)空間進(jìn)行反制,網(wǎng)絡(luò)政策一直是其戰(zhàn)略抓手�。從1995 年歐盟頒布的“數(shù)據(jù)保護(hù)指令”到 2016 年“通用數(shù)據(jù)保護(hù)條例”(GDPR)的出臺(tái),30 年來歐盟一直運(yùn)籌數(shù)據(jù)管控權(quán)力�����。而美歐之間����,既有盟友之誼,又有窺伺之嫌�,在商業(yè)利益和數(shù)據(jù)主權(quán)利益之間,歐美亦從“安全港協(xié)定”發(fā)展到“隱私盾協(xié)定”����,數(shù)據(jù)主權(quán)之上歐盟步步為營�����,美國為了獲得數(shù)字紅利一直讓步于歐盟���。時(shí)至 5 月 25日����,美國 Google 和 Facebook 公司分別收到歐盟39 億歐元和 37 億歐元罰款的訴訟,同時(shí)歐盟的GDPR 切斷了“避風(fēng)港”原則的適用��,徹底堵上了美國科技巨頭尋求異地審判的漏洞���,可謂“一招制敵”��。對(duì)此��,美國商務(wù)部長(zhǎng)羅斯抱怨 GDPR使美國公司在保護(hù)消費(fèi)者隱私方面的責(zé)任發(fā)生了重大變化�,羅斯表示:“GDPR 的實(shí)施很可能會(huì)中斷大西洋兩岸的合作�,并給貿(mào)易造成不必要的障礙,不僅對(duì)美國�����,對(duì)歐盟之外的所有國家都是如此����。并且,我們對(duì)遵守規(guī)定的要求沒有明確的理解�。” 而英國牛津大學(xué)經(jīng)濟(jì)學(xué)家喬治馬格納斯卻說“如果特朗普認(rèn)為歐盟在貿(mào)易限制問題上會(huì)屈服或不反擊,他將犯下重大錯(cuò)誤�。”歐盟內(nèi)部對(duì) GDPR 的溢美之詞也十分高調(diào),“歐盟擅長(zhǎng)的事是��,歐盟是一個(gè)成熟的監(jiān)管聯(lián)盟,它非常熟練的并且善于制定貿(mào)易策略���,與其對(duì)手斗爭(zhēng)�。”
戰(zhàn)略之技術(shù)博弈:
GDPR 對(duì)網(wǎng)絡(luò)犯罪執(zhí)法會(huì)否產(chǎn)生負(fù)面影響
美國掌控全球互聯(lián)網(wǎng)基礎(chǔ)資源和核心技術(shù)��,其網(wǎng)絡(luò)監(jiān)控觸角遍及全球���,然而卻時(shí)常將自己偽裝成受害者��,通過炒作制造對(duì)他國不利的國際輿論環(huán)境��,“誰阻礙美國利益���,美國就拿網(wǎng)絡(luò)安全對(duì)誰說事兒”已經(jīng)成為其普世價(jià)值。由于對(duì) GDPR 不滿���,美國率先強(qiáng)調(diào)網(wǎng)絡(luò)安全,祭出互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu) (ICANN) 的安全問題�。ICANN 負(fù)責(zé)維護(hù)全球域名注冊(cè)公共數(shù)據(jù)庫(WHOIS),如要獲得認(rèn)證�����,域名注冊(cè)商(如Google Domains)必須收集用戶的聯(lián)系信息,包括姓名�、電子郵件和郵寄地址等。據(jù) Lawfare 報(bào)道�,GDPR 對(duì)收集、處理或保存歐洲居民個(gè)人數(shù)據(jù)的公司規(guī)定了義務(wù)��,包括與數(shù)據(jù)保留��、公眾數(shù)據(jù)訪問��、國際數(shù)據(jù)傳輸和數(shù)據(jù)安全相關(guān)的約束和要求�,WHOIS 目前與歐洲的新隱私法 GDPR 相沖突。報(bào)道稱 ICANN 于 3 月 18 日提出臨時(shí) GDPR 合規(guī)安排后��,歐盟數(shù)據(jù)隱私委員會(huì)稱����,擬議安排過于模糊,無法達(dá)到上述標(biāo)準(zhǔn)����。這意味著包括像 GoogleDomains 這樣的注冊(cè)商,也需要獲得訪問權(quán)���,否則將面臨來自歐盟的巨額罰款�。Lawfare 文章發(fā)布以后,美國商務(wù)部部長(zhǎng)助理戴維·雷德 (DavidRedl) 在國家安全電信咨詢委員會(huì)(NSTAC)上呼吁歐盟推遲對(duì)“WHOIS”目錄實(shí)施 GDPR�����,他說 :“失去對(duì) WHOIS 信息的訪問權(quán)將會(huì)對(duì)網(wǎng)絡(luò)犯罪����、網(wǎng)絡(luò)安全以及全球知識(shí)產(chǎn)權(quán)保護(hù)活動(dòng)的執(zhí)法產(chǎn)生負(fù)面影響。”前白宮網(wǎng)絡(luò)安全協(xié)調(diào)員羅伯·喬伊斯 (Rob Joyce) 在 Twitter 上發(fā)文稱:“GDPR 將削弱在互聯(lián)網(wǎng)上識(shí)別惡意域名的關(guān)鍵工具��,網(wǎng)絡(luò)罪犯正在為 GDPR 的到來彈冠相慶”���。關(guān)鍵基礎(chǔ)設(shè)施技術(shù)研究所 (ICIT) 高級(jí)研究員詹姆斯·斯科特 (James Scott) 則認(rèn)為����,GDPR 規(guī)則“可能會(huì)妨礙安全研究人員和執(zhí)法人員”����,這些信息可能仍然可以通過搜查令或者執(zhí)法的要求得到,但添加的匿名化層將嚴(yán)重延遲“惡意行為者的識(shí)別”���。雖然以網(wǎng)絡(luò)安全為由十分牽強(qiáng),但三位網(wǎng)絡(luò)安全官員的言論確實(shí)吸引了業(yè)界不少關(guān)注����,制造了一定的負(fù)面輿論聲音���,IBM 安全部門副總裁凱勒布·巴羅(Caleb Barlow)就警告稱,隱私法“很可能會(huì)產(chǎn)生消極后果���,這與其原先的意圖背道而馳”��。面對(duì)高高在上的政府官員和業(yè)界精英����,佐治亞理工學(xué)院教授兼獨(dú)立研究人員互聯(lián)網(wǎng)治理項(xiàng)目創(chuàng)始人米爾頓穆勒毫不客氣地指出�,網(wǎng)絡(luò)犯罪高漲的原因“完全虛假”,“沒有證據(jù)表明世界上大多數(shù)的網(wǎng)絡(luò)犯罪都是由 WHOIS 阻止或減輕�����。”因?yàn)槭聦?shí)上�,一些網(wǎng)絡(luò)犯罪正是由 WHOIS 促成的,因?yàn)閴娜艘部梢宰粉欉@些信息�。同時(shí)穆勒表示,WHOIS 目錄已經(jīng)被商業(yè)實(shí)體“利用”了多年�,其中一些實(shí)體對(duì)數(shù)據(jù)進(jìn)行二次銷售,而權(quán)威的政權(quán)則被廣泛監(jiān)視��,直指美國管理 ICANN 的弊端。對(duì)此���,ICANN 全球域名部門的總裁 Akram Atallah 做出了折中的回應(yīng)��,他說“有惡意組織曾試圖令歐盟強(qiáng)制執(zhí)行 GDPR 的時(shí)間延遲���,但卻未能成功”,“ICANN 正致力于一項(xiàng)‘認(rèn)證’授予訪問權(quán)過程�����,但無法預(yù)測(cè)在 ICANN 中政府和私人利益相關(guān)者之間達(dá)成共識(shí)需要多長(zhǎng)時(shí)間”��。相信在 GDPR 的實(shí)施過程中����,雙方還將互潑污水,齷齪不斷���。
戰(zhàn)略之焦點(diǎn)博弈:
國際話語權(quán)與規(guī)則制定權(quán)是競(jìng)合焦點(diǎn)
在數(shù)字經(jīng)濟(jì)中����,數(shù)據(jù)是整個(gè)系統(tǒng)的命脈,必須有適當(dāng)?shù)牧⒎ê捅O(jiān)管框架來支持個(gè)人數(shù)據(jù)的跨境流動(dòng)����。美國因?yàn)槠浒l(fā)達(dá)的 IT 產(chǎn)業(yè)而具有先發(fā)優(yōu)勢(shì)��,致力于制定讓這種優(yōu)勢(shì)最大化的數(shù)據(jù)跨境規(guī)則���,如《澄清域外合法使用數(shù)據(jù)法》(CLOUD Act)就于今年快速獲得通過并于 3 月 23 日正式生效���,此外,美國還積極推行亞太經(jīng)合組織(APEC)的“跨境隱私保護(hù)規(guī)則”(CBPR)體制����;而歐盟已經(jīng)通過了單一數(shù)字市場(chǎng)戰(zhàn)略,GDPR 作為其中的一部分����,擴(kuò)大了域外適用范圍,有望在數(shù)據(jù)跨境監(jiān)管方面奪回全球領(lǐng)先地位���。然而�,一方面�����,如歐盟 GDPR一般嚴(yán)苛的跨境數(shù)據(jù)流動(dòng)限制,其他國家出于對(duì)等原則也可能采取相似的跨境流動(dòng)限制����,輿論認(rèn)為其可能會(huì)造成市場(chǎng)孤立或者受限;另一方面�����,如美國由貿(mào)易利益驅(qū)動(dòng)的跨境數(shù)據(jù)流動(dòng)規(guī)則����,前提是其 IT 產(chǎn)業(yè)的先發(fā)優(yōu)勢(shì),但其通過雙��、多邊討論以及地區(qū)性論壇�����,就跨境流動(dòng)問題展開對(duì)話的方式又具有靈活性特點(diǎn)����,促成美國企業(yè)掌握全球數(shù)據(jù)。我國在 2017 年實(shí)施了《網(wǎng)絡(luò)安全法》�,第三十七條明確了數(shù)據(jù)跨境流動(dòng)的基本規(guī)則以及安全審查制度,同時(shí)我國也加快了探索個(gè)人數(shù)據(jù)保護(hù)和跨境數(shù)據(jù)流動(dòng)的相關(guān)管理規(guī)定及細(xì)則,網(wǎng)信辦于 2017 年就《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》正式向社會(huì)公開征求意見�,2018 年 5 月 1 日開始實(shí)施的 GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》也是我們?cè)凇毒W(wǎng)絡(luò)安全法》基礎(chǔ)之上對(duì)規(guī)則的進(jìn)一步細(xì)化,為數(shù)字企業(yè)全球流動(dòng)提供了基本參考與標(biāo)準(zhǔn)保障�����。目前數(shù)字貿(mào)易規(guī)則正從國家主體邊域到數(shù)字主體國籍邊域延伸�,在中歐貿(mào)易磋商����、中美雙邊投資協(xié)定(BIT)談判中,面對(duì)歐盟的“強(qiáng)監(jiān)管”�����,我國跨境企業(yè)正在進(jìn)行一系列的合規(guī)準(zhǔn)備���,國際國內(nèi)催生了大量面向 GDPR 安全合規(guī)的服務(wù)公司��;面對(duì)美國的“強(qiáng)貿(mào)易”����,美國一直認(rèn)為信息應(yīng)該無條件的自由流動(dòng)���,而我國主張自由流動(dòng)的前提是安全�,必須確保個(gè)人隱私等重要權(quán)利得到保護(hù)。特別是美國一直以來以我國違反 WTO 為由不斷施壓��,以美國外國投資委員會(huì)(CFIUS)國家安全審查為“殺手锏”���,將華為�、中興的網(wǎng)絡(luò)設(shè)備徹底逼出美國市場(chǎng)��,在跨境數(shù)據(jù)流動(dòng)博弈中���,我們能否巧妙設(shè)計(jì)規(guī)則����,占據(jù)戰(zhàn)略高地�,拭目以待。
(本文刊登于《中國信息安全》雜志2018年第6期)
在線咨詢
在線咨詢
0371-63319761
