热点 | 后GDPR之战略博弈

2018 年 5 月 25 日欧盟“通用数据保护条例”（GDPR）正式执行之时，全球已有近 90 个国家和地区制定了个人信息保护的相关法律法规。GDPR 简言之就是对数据收集者的操作规范以及用户对自己数据完全自主的权利。据 Gartner 统计，全球数字企业呈北美、西欧、亚太三足鼎立之势，占比分别为 41.29%、27% 和 22.7%，“监管合规”和“数据隐私”将成为推动全球数字企业安全支出的主要促进因素并加速三方博弈。

战略之政策博弈：

美欧“隐私盾”扩展至数字贸易适用

数字时代，数据即生产资料，美国的制网权令其收获了海量的数字红利，反观之，欧盟多年来既没有培育出大的互联网企业，近年来还受到美国的数字监控，同时网络恐怖主义和网络民粹亦造成欧洲互联网之殇，欧盟一直谋求在网络空间进行反制，网络政策一直是其战略抓手。从1995 年欧盟颁布的“数据保护指令”到 2016 年“通用数据保护条例”（GDPR）的出台，30 年来欧盟一直运筹数据管控权力。而美欧之间，既有盟友之谊，又有窥伺之嫌，在商业利益和数据主权利益之间，欧美亦从“安全港协定”发展到“隐私盾协定”，数据主权之上欧盟步步为营，美国为了获得数字红利一直让步于欧盟。时至 5 月 25日，美国 Google 和 Facebook 公司分别收到欧盟39 亿欧元和 37 亿欧元罚款的诉讼，同时欧盟的GDPR 切断了“避风港”原则的适用，彻底堵上了美国科技巨头寻求异地审判的漏洞，可谓“一招制敌”。对此，美国商务部长罗斯抱怨 GDPR使美国公司在保护消费者隐私方面的责任发生了重大变化，罗斯表示：“GDPR 的实施很可能会中断大西洋两岸的合作，并给贸易造成不必要的障碍，不仅对美国，对欧盟之外的所有国家都是如此。并且，我们对遵守规定的要求没有明确的理解。” 而英国牛津大学经济学家乔治马格纳斯却说“如果特朗普认为欧盟在贸易限制问题上会屈服或不反击，他将犯下重大错误。”欧盟内部对 GDPR 的溢美之词也十分高调，“欧盟擅长的事是，欧盟是一个成熟的监管联盟，它非常熟练的并且善于制定贸易策略，与其对手斗争。”

战略之技术博弈：

GDPR 对网络犯罪执法会否产生负面影响

美国掌控全球互联网基础资源和核心技术，其网络监控触角遍及全球，然而却时常将自己伪装成受害者，通过炒作制造对他国不利的国际舆论环境，“谁阻碍美国利益，美国就拿网络安全对谁说事儿”已经成为其普世价值。由于对 GDPR 不满，美国率先强调网络安全，祭出互联网名称与数字地址分配机构 (ICANN) 的安全问题。ICANN 负责维护全球域名注册公共数据库（WHOIS），如要获得认证，域名注册商（如Google Domains）必须收集用户的联系信息，包括姓名、电子邮件和邮寄地址等。据 Lawfare 报道，GDPR 对收集、处理或保存欧洲居民个人数据的公司规定了义务，包括与数据保留、公众数据访问、国际数据传输和数据安全相关的约束和要求，WHOIS 目前与欧洲的新隐私法 GDPR 相冲突。报道称 ICANN 于 3 月 18 日提出临时 GDPR 合规安排后，欧盟数据隐私委员会称，拟议安排过于模糊，无法达到上述标准。这意味着包括像 GoogleDomains 这样的注册商，也需要获得访问权，否则将面临来自欧盟的巨额罚款。Lawfare 文章发布以后，美国商务部部长助理戴维·雷德 (DavidRedl) 在国家安全电信咨询委员会（NSTAC）上呼吁欧盟推迟对“WHOIS”目录实施 GDPR，他说 :“失去对 WHOIS 信息的访问权将会对网络犯罪、网络安全以及全球知识产权保护活动的执法产生负面影响。”前白宫网络安全协调员罗伯·乔伊斯 (Rob Joyce) 在 Twitter 上发文称：“GDPR 将削弱在互联网上识别恶意域名的关键工具，网络罪犯正在为 GDPR 的到来弹冠相庆”。关键基础设施技术研究所 (ICIT) 高级研究员詹姆斯·斯科特 (James Scott) 则认为，GDPR 规则“可能会妨碍安全研究人员和执法人员”，这些信息可能仍然可以通过搜查令或者执法的要求得到，但添加的匿名化层将严重延迟“恶意行为者的识别”。虽然以网络安全为由十分牵强，但三位网络安全官员的言论确实吸引了业界不少关注，制造了一定的负面舆论声音，IBM 安全部门副总裁凯勒布·巴罗（Caleb Barlow）就警告称，隐私法“很可能会产生消极后果，这与其原先的意图背道而驰”。面对高高在上的政府官员和业界精英，佐治亚理工学院教授兼独立研究人员互联网治理项目创始人米尔顿穆勒毫不客气地指出，网络犯罪高涨的原因“完全虚假”，“没有证据表明世界上大多数的网络犯罪都是由 WHOIS 阻止或减轻。”因为事实上，一些网络犯罪正是由 WHOIS 促成的，因为坏人也可以追踪这些信息。同时穆勒表示，WHOIS 目录已经被商业实体“利用”了多年，其中一些实体对数据进行二次销售，而权威的政权则被广泛监视，直指美国管理 ICANN 的弊端。对此，ICANN 全球域名部门的总裁 Akram Atallah 做出了折中的回应，他说“有恶意组织曾试图令欧盟强制执行 GDPR 的时间延迟，但却未能成功”，“ICANN 正致力于一项‘认证’授予访问权过程，但无法预测在 ICANN 中政府和私人利益相关者之间达成共识需要多长时间”。相信在 GDPR 的实施过程中，双方还将互泼污水，龌龊不断。

战略之焦点博弈：

国际话语权与规则制定权是竞合焦点

在数字经济中，数据是整个系统的命脉，必须有适当的立法和监管框架来支持个人数据的跨境流动。美国因为其发达的 IT 产业而具有先发优势，致力于制定让这种优势最大化的数据跨境规则，如《澄清域外合法使用数据法》（CLOUD Act）就于今年快速获得通过并于 3 月 23 日正式生效，此外，美国还积极推行亚太经合组织（APEC）的“跨境隐私保护规则”（CBPR）体制；而欧盟已经通过了单一数字市场战略，GDPR 作为其中的一部分，扩大了域外适用范围，有望在数据跨境监管方面夺回全球领先地位。然而，一方面，如欧盟 GDPR一般严苛的跨境数据流动限制，其他国家出于对等原则也可能采取相似的跨境流动限制，舆论认为其可能会造成市场孤立或者受限；另一方面，如美国由贸易利益驱动的跨境数据流动规则，前提是其 IT 产业的先发优势，但其通过双、多边讨论以及地区性论坛，就跨境流动问题展开对话的方式又具有灵活性特点，促成美国企业掌握全球数据。我国在 2017 年实施了《网络安全法》，第三十七条明确了数据跨境流动的基本规则以及安全审查制度，同时我国也加快了探索个人数据保护和跨境数据流动的相关管理规定及细则，网信办于 2017 年就《个人信息和重要数据出境安全评估办法（征求意见稿）》正式向社会公开征求意见，2018 年 5 月 1 日开始实施的 GB/T 35273-2017《信息安全技术个人信息安全规范》也是我们在《网络安全法》基础之上对规则的进一步细化，为数字企业全球流动提供了基本参考与标准保障。目前数字贸易规则正从国家主体边域到数字主体国籍边域延伸，在中欧贸易磋商、中美双边投资协定（BIT）谈判中，面对欧盟的“强监管”，我国跨境企业正在进行一系列的合规准备，国际国内催生了大量面向 GDPR 安全合规的服务公司；面对美国的“强贸易”，美国一直认为信息应该无条件的自由流动，而我国主张自由流动的前提是安全，必须确保个人隐私等重要权利得到保护。特别是美国一直以来以我国违反 WTO 为由不断施压，以美国外国投资委员会（CFIUS）国家安全审查为“杀手锏”，将华为、中兴的网络设备彻底逼出美国市场，在跨境数据流动博弈中，我们能否巧妙设计规则，占据战略高地，拭目以待。

（本文刊登于《中国信息安全》杂志2018年第6期）