首页 观点正文

数据跨境流动 风险应重视

  随着全球化、信息化与网络化的融合,数据安全问题不再仅与国内数据安全管理有关,跨境数据流动带来的信息数据风险也与日俱增。目前,各国关于跨境个人数据最有效的监管途径就是建立个人数据留存制度,构筑技术性与制度性并重的数据防火墙,切实防止数据流失、泄露和滥用。

  作为互联网时代的后起国家,我国个人数据留存制度的建立仍未被提上议程,不仅在国家战略层面未明确个人数据留存制度,《关于加强网络信息保护的决定》《网络安全法》等法律法规也未做出相应规定。随着全面推进依法治国的深入与国际网络安全规则的日臻完善,确立个人数据留存制度的必要性和紧迫性日益凸显。

  首先,在战略层面,应在国家网络安全战略中涵盖个人数据留存的内容。我国于2016年12月发布《国家网络空间安全战略》,以维护我国在网络空间的主权、安全、发展利益。但是该战略仅在概括层面上规定“建立大数据安全管理制度”,其侧重点在于关键信息基础设施及其数据的保护,并未对个人数据留存作出具体明确的规定。个人数据的内容构成复杂,除了直接的人身、财产信息关乎个人安全,还包括种族、基因等敏感信息,是国家战略的重要内容。

  对此,可以分两步予以完善:第一步,在发布有关互联网的国家战略时,规定个人数据向境外传输的应在境内予以留存,明确我国对个人数据留存制度的鲜明立场;第二步,制定国家数据安全战略,规定个人数据留存应遵循主权原则、依法留存原则、程序原则和合理原则,同时对留存主体、方法与路径问题做出规定,为个人数据留存具体制度的出台提供方向指引。

  其次,在立法层面,应在法律文件中具体规定个人数据留存制度。目前,不少国家对这一问题已经出台了具体法律规定。俄罗斯2015年生效的《个人数据保护法》就规定俄罗斯公民的个人信息数据只能存于俄境内的服务器中,以实现数据本地化。欧盟2016年生效的《一般数据保护条例》在其第30条也对数据留存问题作了具体规定。我国应在借鉴他国有益经验的基础上,以维护国家网络主权为核心,在两个层面对数据留存做出立法规定:第一,制定个人信息保护法,设置专门条款,明确专门的监管部门并就其监管责任、相关义务作出明确规定;第二,出台有关个人数据留存的专门行政法规或部门规章,构建个人数据留存的完整制度体系。

  再次,在执法层面,应建立个人数据留存监管机制。目前我国互联网监管呈现“九龙治水”的状况,对个人数据的监管乏力,无法有效落实个人数据留存制度,应理顺现有立法体制和模式,切实建立并强化个人数据留存管理监督机制。第一,明确个人数据留存的管理机构。应整合现有管理体制,确立个人数据留存协同管理模式,统一领导、统一执法,使管理主体明确化、具体化。第二,设立数据留存监督执法权,并使这些权力的具体内容公开化、程序化,使监督执法落到实处。第三,建立健全数据留存管理制度。应根据个人数据留存工作的性质特点,建立独立的数据留存管理制度,规定管理模式、管理要求、管理流程等问题,推动个人数据留存工作的制度化、法治化。

  (作者单位:武汉大学法学院)

 

责任编辑:陈近梅

分享: