大数据时代,美国高度重视数据资源的战略价值,相继出台国家战略,落实配套措施,系统推动本国大数据发展。通过加强数据安全保护,完善个人信息和数据相关立法,保障网络整体及国家安全、国家数据权益及公民私权。与此同时,数据安全问题日益凸显,已成为各国政府广泛关注的热点问题。美国近期采取了若干措施,在数据治理领域陆续出台或更新了相关立法,呈现了一些新的趋势和特点。
一是保持原有政策的延续性,更新规定固守霸权主义的监视及收集数据情报的制度设计。美国的《外国情报监视法案》(FISA)允许情报机构收集关于美国国际恐怖分子、武器扩散者及其他重要外国情报人员目标的重要情报信息,该法案原本2017年12月31日到期。2018年1月,特朗普签署了《外国情报监视法案修正案》(FISA Amendments Act)第702条的更新授权,延续美国国家安全局(NSA)的互联网监视计划,同意授权NSA监听外籍人士以及收集与之相关的数据情报,最新版的更新授权将于2023年12月到期,特朗普还在官方声明中表示相较这份有时限的法案他更希望它是永久的。
二是体现国内法域外适用的趋势,以应对新形势下跨境调取数据的执法需要,制度设计处处体现美国优先。《澄清境外数据的合法使用法案》(CLOUD法案)的提出源于微软与美国联邦调查局(FBI)关于跨境调取数据的官司。由于原有立法未明确境外数据的执法,该法案使得对执法机构跨境调取数据的立法的呼声渐强,仅历时一个多月于今年3月走完了立法进程。该法案提高了美国执法机构对境外存储数据的执法权限,同时允许“适格外国政府”执法机构调取美国存储数据。但是按照法案的要求,中国等多数发展中国家难以满足“适格标准”,体现在美国将自身利益放置在首位,试图主导跨境调取数据游戏规则的制定权,使得执法长臂伸向他国网络空间,损害他国的网络空间的司法主权和国家安全。
三是受到近期欧盟立法的影响,美国州层面立法进一步加强消费者隐私保护,联邦层面则将数据作为执法的优先项,且呼吁全面数据安全立法。在欧盟《通用数据保护条例》(GDPR)正式实施一个月之后,美国加州于今年6月出台了《2018年加州消费者隐私法案》(CCPA),该法案强化了数据主体对个人信息的控制,也规范了企业收集处理数据的方式,在概念、权利制度的内容受到GDPR的影响,规定的趋于严格,或将被美国其他州及域外所借鉴。此外,在联邦层面,2018年7月18日联邦贸易委员会(FTC)发布了在众议院能源和贸易小组委员会的作证文本。根据证词,消费者隐私和数据安全将继续成为FTC的执法优先事项。证词还指出,FTC主要执行的《FTC法》第5条的规定无法解决市场上的所有隐私和数据安全问题,重申了FTC长期以来代表两党对全面数据安全立法的呼吁,希望通过立法规定民事处罚弥补消费者受到的损害。
结合上述动向分析,美国的数据治理的立法及执法将会更加严格,此外有依据国内法域外管辖的趋势。美国的相关做法会损害我国网络空间的司法主权和国家安全、加大我国企业走出去的法律风险,还侵害了我国用户的个人隐私。为此,政府及企业层面有必要研究跟进,切实维护国家利益和企业利益。
在政府层面,美国数据领域的国内法域外管辖,威胁到我国的司法主权,同时任意被美国调取和掌握数据将对国家安全和经济安全产生不利影响。国家对本国个人及实体的数据权利有着保障的责任,数据安全也事关网络安全和国家安全。我国应参照美欧近期立法的趋势,前瞻地考虑到应对未来国际执法及贸易纠纷中调取数据的情形,并且完善数据管理法律规制,建立与国际接轨的数据治理体系。
在企业层面,我国众多科技企业采用全球化运营模式,但“走出去”中的风险防范意识淡薄。而目前美欧等主要经济体在数据治理方面日趋严苛,稍有不慎就会面临跨境执法和高额处罚。尤其是跨境开展商业活动的企业应当树立数据安全和隐私保护意识,对照美国的最新立法及执法重点谨慎履行合规义务,进一步完善内部数据安全管理机制,明确数据跨境流动相关要求,注意规避各类经营法律风险。
