信息化时代的大数据,带来人类社会生活、工作与思维的巨变,成为知识经济社会的重要生产要素。与此同时,全球化的数据洪流给国家之间原来封闭的疆界和国家安全带来的冲击也是前所未有的。正如大数据专家维克托·迈尔-舍恩伯格所言,大数据时代是“已经发生的未来”,而在这个“已经发生的未来”里,没有旁观者。中国作为一个数据大国,在积极分享数据红利的同时,不能忽视数据利用的负外部性和数据开放运动背后暗藏的“陷阱”,应审慎构建数据保护制度体系,筑造数据边疆,防范威胁总体国家安全的数据风险。
大数据背后的安全问题
在20世纪70年代末期,人们已经注意到跨境数据流通对国家主权的影响。1978年,在78国代表团参加的政府间信息局国际会议发布的报告中指出,跨境数据流通将置国家于危险境地。如今随着云计算与大数据技术不断渗透到医疗、科技、教育、体育、商业、经济等领域,全球化的数据洪流正向我们奔涌而来,近四十年前的这个预言正在应验。大数据让世界更加透明,拥有越多的数据,就意味着可以更精准地认识世界、预测未来,许多以往难解的社会问题也能迎刃而解。但大数据给我们带来数据红利的同时,也给国家安全带来严重挑战。
发展数据经济与维护国家安全是一枚硬币的两面。作为世界上网民最多的国家,虽然中国在数据生成量上有优势,但在数据收集、控制和处理方面,与信息强国相比反而处于劣势。其原因有二,一是我们的数据在生成之后很大一部分是由国外运营商提供的软硬件荷载,目前云计算、大数据技术及其相关服务主要由美国大型跨国公司掌握与提供,海量数据基本存储在运营商的服务器上,其数据存放呈现跨国界、去国家化的状态。技术差距导致我国在终端、软件、网络、服务器、集成电路、芯片等IT基础设施建设上采用了诸多国外技术、国外品牌。从市场覆盖率即可看出,IBM的服务器、微软的操作系统、思科的通信网络和英特尔的芯片等在中国市场都占绝对优势,美国IT界的所谓“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)在中国的信息网络体系可谓长驱直入、层层渗透、广泛覆盖。其二是目前国内用来采集大数据的平台、工具和分析系统,亦多为国外公司提供。毋庸讳言,大数据虽然是创造新价值的源泉,但承载个人隐私、企业商业秘密和国家机密的数据若为竞争对手所控制,其后果将不堪设想。
随着人类活动从物理世界拓展到虚拟空间,国家主权的特征和国家安全的内涵需要重新定义或者诠释。根据2015年新颁布的《国家安全法》,国家安全工作应当统筹传统安全和非传统安全。在大数据时代,数据主权指向的是非传统安全,它不同于领土、领空、领海主权所指向的传统安全,其特殊之处在于没有界限分明的有形物理边界,但各国博弈的数据疆域虽然无形却客观存在。数据安全关系到国家主权和总体国家安全,在大数据生态系统中,集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全于一体的国家安全体系都是以“数据”为内核。由于数据具有“无形性”和“流动性”特点,再加上功能强大、样本齐全的大数据分析系统的作用,那些未加控制的全球化数据洪流完全有可能置上述各类安全于不确定的风险中,一旦被人利用,其结果将威胁总体国家安全。
从技术比拼到制度博弈
在数据红利的驱动下,2012年美国政府率先发布大数据研究和发展计划,欧盟、英国、韩国、日本和中国等主要国家和地区随后也竞相发布大数据国家战略和行动计划,纷纷助推“数据经济”的发展。然而,在我们耳畔还萦绕着大数据传道者历数大数据创造诸多传奇的同时,数据空间正成为行骗者、偷窃者和恶意攻击者的新乐园,他们以数据为利器,行恶与遁逃都悄无声息。2013年“棱镜门”事件曝光美国监测范围之广超乎世人想象。事实上,斯诺登所披露的监测活动相对于全球无时无刻都在发生的数据滥用和泄露而言,仅仅是冰山一角,但该事件给其他主权国家敲响了数据安全的警钟,并在全球引发数据立法领域的“蝴蝶效应”。
国家安全领域的攻防态势正从技术比拼扩展到制度博弈。一直有着对数据进行强保护传统的欧盟,在全球率先建立以《一般数据保护条例》为核心的数据保护法律体系,正是其对美国数据霸权的有力回应。与1995年《数据保护指令》相比,《一般数据保护条例》的主要变化体现在,数据主体权利的扩张、义务主体义务的增加、数据国际转移规则的调整以及机构设置的变更四个方面。2015年9月生效的俄罗斯《个人数据保护法》规定,任何本国或外国公司采集、处理和存储俄罗斯公民个人数据,必须使用俄罗斯境内的服务器。在大数据时代,中国与欧盟、俄罗斯等同处数据控制的劣势,亟待通过制度设计进行防守,弥补技术劣势,通过制度暗战,筑造无形的数据边疆,捍卫虚拟空间的国家安全。
筑造国家数据边疆
现阶段,构建完善数据保护制度体系,对我们来说是个巨大的挑战。不管是学界研究,还是各国政府关于数据保护的立法实践,似乎都在有意无意地应验《大数据时代》中的一个观点:在大数据时代,对原有规范的修修补补已满足不了需要,也不足以抑制大数据带来的风险,我们需要全新的制度规范,而不是修改原有规范的适用范围。这就要求我们审慎构建数据保护制度体系,筑造国家数据边疆。
我国新颁布的《国家安全法》首次提出“网络空间主权”,规定了要实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。在我国形成一套完备的数据保护规则体系的进程中,首要任务是要确定维护国家安全的数据保护规则内核。其一是关乎国家安全的数据适用禁易规则,降低数据风险系数,以“负面清单”的形式规定禁止涉及国防军事、党政机密等方面数据的采集、存储、处理、使用和交易。其二是数据采集和存储本地化,严控数据跨境流动。比如,俄罗斯数据保护新规即规定公民数据只能存于境内服务器。其三是采用数据长臂管辖原则,延伸数据管控范围。比如,欧盟的《一般数据保护条例》规定,法律管辖范围不是严格按照国家或地域区分,而是按照数据的分布来认定。这样,不仅从本源上适用“禁易规则”来直接防范国安数据利用的潜在风险,而且通过“本地化约束”尽可能地适用传统主权管辖权来加强对数据的管控,即便数据流出到本国境外,无法适用属地原则、属人原则、保护原则和普遍原则,依然可以适用国内立法确定的“长臂管辖”来实现对数据的司法管辖权。