专家解读滴滴事件背后数据出境存在重大风险

　　数据是一个国家的新型基础性资源，跨境数据流动是一类涉及国家数据安全的、规模最大的、范围最广的数据流动行为，任何主体对数据的非法干预都可能构成对国家核心利益的侵害。
　　全文2763字，阅读约需6分钟
　　特约撰稿/张新宝（中国人民大学法学院教授）、洪延青（北京理工大学法学院教授）
　　中国互联网平台，正在迎来一场监管风暴。继＂滴滴出行＂App（以下简称＂滴滴＂）被下架之后，＂运满满＂、＂货车帮＂、＂BOSS直聘＂日前也被调查。审查期间，基于防范风险扩大的考量，以上APP均已停止新用户注册。7月9日，国家网信办再发通知下架＂滴滴企业＂等25款App，理由是存在严重违法违规收集个人信息问题。数据安全与个人信息保护，是这场监管风暴的核心关键词，更是当前国家间实力博弈的重要战场。
　　此前报道：独家 | 高艳东：国家安全是数据保护的王牌法则
　　图片来源：中国网信网
　　＂滴滴＂背后的数据安全问题
　　据滴滴IPO（首次公开募股）招股书显示，滴滴目前用户总量近5亿，国内出行业务日均交易量达2500万次，掌握日活跃量1.5亿用户的行程、订单等信息，甚至还有车内录音等数据。这些信息不仅涉及用户个人，还包含道路、交通等外部敏感内容，给数据安全带来重大隐患。
　　行程数据加上特定时序，可以刻画出一个自然人的身份、经济、社交等各方面的画像，维度丰富，数据丰盈。2015年《滴滴研究院：通过大数据监测国家各部委出行规律，公安部最忙中纪委最低调》一文就对国家核心部门的人员出行规律进行了公布，包括中央纪委、公安部，国土资源部、外交部、教育部、商务部等等，报告基于实时生成的移动出行大数据，得出了各部委的流量。滴滴出行掌握的交通数据中，有部分信息属于绝密级别，亦有许多属于长期秘密。
　　各部委的出行数据特点。（新华社新媒体中心联合滴滴媒体研究院 发布）
　　数据出境潜在的三大风险
　　随着经济全球化进程的不断加速，＂互联网+＂、云计算等业务的高速发展，由此产生的数据出境显著激增，在促进国家信息技术创新和数字经济产业发展的同时，也伴随着国家安全、产业安全以及个人隐私权益等问题。近年来，＂斯诺登事件＂、＂棱镜门事件＂、＂Google爱尔兰案＂等网络与数据安全事件频繁发生。
　　2013年6月，曾在美国中情局、国安局供职的斯诺登将美国国安局关于PRISM监听项目的秘密文档透露给了英国《卫报》和美国《华盛顿邮报》，随即遭美国政府通缉。
　　数据蕴含利益的多样性和交织性，涉及个人、社会和国家，这给一国的数据跨境监管政策带来了挑战。滴滴主要在中国经营，所有数据首先存储在本地。但是，在美国上市将不可避免地涉及数据出境问题，面临潜在风险。
　　首先是国家安全挑战。滴滴掌握的交通大数据信息包含真实坐标的地理道路数据，道路交通流量，人口产业聚集区，人员流动轨迹等，这些数据可以使隐藏在数据中的人类行为模式被识别出来，通过自由的数据跨境流动，利用大数据分析，他国可能对我国的社会状况进行精准画像，并有针对性地开展情报收集和政策研判等工作，威胁我国国家安全。
　　其次是个人隐私保护挑战。在部分商业场景下如跨境资产配置中，个人数据出境是获得便捷优质金融服务的前置条件。然而，数据跨境流动与个人信息保护相伴相生，如果缺乏针对＂跨境数据自由流动＂的合理监管，将无法有效保障个人的隐私安全。
　　最后是经济发展挑战。数据集合是大数据分析的前提和对象，通过大数据分析，企业可以有的放矢地调整产能，有针对性地开展市场营销和产品投放，进行产品性能提升，可为企业带来商业价值和利益。这部分重要数据的出境可能会给本国企业、经济发展带来挑战。
　　数据出境监管属于国际惯例
　　数据出境监管不仅是当前国内执法机构主要关注的重点领域，也是国际惯例。
　　就个人信息出境管理而言，一是部分国家对数据出境单独规定。欧盟、新加坡、澳大利亚、俄罗斯、亚太经合组织等均在数据保护相关法律、规则中对个人信息出境流动做出明确规定，与个人信息境内流动区分管理。如欧盟《数据通用保护条例》对个人信息出境从建立数据保护机构、第三国数据保护水平评估、数据主体权益保障等方面提出具体要求。二是使用个人信息向第三方转移通用规则。美国、日本、加拿大等国在法律中没有出境管理专用规则，与个人信息向第三方转移同样管理。如日本《个人信息保护法》规定除非满足特殊情况，个人数据控制者事先未获得数据主体的同意的，不得将其个人数据向第三者提供。
　　日本《个人信息保护法》于2005年4月1日起施行。随着信息技术的急速发展与利用，该法于2015年进行了大幅修正，2017年5月30日起施行。
　　数据监管依赖多边国际合作
　　我国《网络安全法》早已实施，《数据安全法》将于今年9月1日正式生效，《个人信息保护法》现亦在制订中，正式颁布后会有更加具体的法律规定适用于数据出境监管和个人信息保护。
　　数据是一个国家的新型基础性资源，跨境数据流动是一类涉及国家数据安全的、规模最大的、范围最广的数据流动行为，任何主体对数据的非法干预都可能构成对国家核心利益的侵害。而当前数据的收集、存储、使用、传输等行为已经遍及全球，超越了国家及地域的界限，使得数据跨境流动安全已非一国或一个地区的内部力量就能彻底解决的问题。合理的数据跨境解决方案需要国际社会、各个国家的共同努力和积极参与，寻求多方合作、实现共同发展是未来数据安全保护的实现路径。
　　相关法律规定：
　　1.《国家安全法》
　　第五十九条：国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。
　　2.《中华人民共和国网络安全法》
　　第三十七条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内储存。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。
　　第四十一条： 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。
　　3.《网络安全审查办法》
　　第二条：关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。
　　4. 《关键信息基础设施安全保护条例（征求意见稿）》
　　第二十九条：运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。
　　5.《个人信息和重要数据出境安全评估办法（征求意见稿）》
　　第二条：网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。
　　6.《个人信息出境安全评估办法（征求意见稿）》
　　第二条第一款：网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息（以下称个人信息出境），应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。
　　来源：《民主与法制》社融媒体出品
　　所载版权归原作者所有，如有问题请联系我们。
　　本文由＂135编辑器＂提供技术支
　　《民主与法制》社融媒体出品
　　编辑：宋鑫鑫
　　审读：韩美玲
　　审核：廖卫华
　　投稿、合作邮箱：332633477@qq.com
　　《民主与法制》社是中国法学会主管的中央级新闻事业单位，拥有《民主与法制》杂志、《民主与法制时报》等传统媒体，以及民主与法制网、微博、微信公众号、短视频等新媒体矩阵。