艾睿铂(AlixPartners)咨询公司董事David White作为电子披露领域的特别顾问,曾为许多财富100强跨国企业提供服务,并曾作为美国司法部跨机构银行欺诈工作组的一员参与金融欺诈调查。《商法》与他探讨了数据本地化及其他数据安全方面的热点话题

《商法》:请解释一下什么是数据本地化?它如何应用于各种规模的企业?为什么企业法务和律所需要熟悉它带来的影响?

David White:数据本地化是指数据必须储存在特定司法管辖区内的法律要求。这些要求各有特点,并出于不同的制定动机。

这些动机可以是基于国家安全和国防、网络安全和预防犯罪、反恐怖主义和政府监控、公民数据隐私和保护等。被要求留存在某个司法辖区的数据类型,以及数据留存方式通常都受这些潜在动机影响。

DAVID-WHITE-艾睿铂董事,纽约-Director,-AlixPartners,-New-York-Cn

举例来说,保护国家安全和国防的法律通常禁止任何法规定义范围内的数据出境。例如,中国的国家秘密法视任何向境外转移国家秘密的行径为犯罪行为。另一个较少人知道的例子是韩国对地图数据出境的禁止,不过相信在首尔尝试用谷歌地图导航的外国人已经感受到了这一禁令的影响。

为了让监控和法律执行机构能获得所需信息,无论是出于反恐、制止网络犯罪或其他原因,法律还通常适用于电信和互联网服务提供商的数据。这些规定倾向于只要求将一份副本保留在本司法辖区内,而不是禁止数据出境。侧重于数据隐私和消费者保护的法律倾向于允许数据出境,但前提是数据在被转移到国外之前要被合理保护。

《商法》:在数据本地化要求方面,亚洲的司法管辖区与美国及其他地方相比,情况如何?

David White:比如在中国,国家秘密的定义十分模糊。法律确实提供了一个什么可能会被认为是国家秘密的小范围清单,但之后又加了一个兜底规定,即“被国家保密局认定为国家秘密的其他事项”,而没有明确指出这些事项可能是什么。

结果是,这个模糊的“国家秘密”标签允许政府选择去起诉哪些行为,并忽视哪些可能的违规。除了国家秘密法,中国在国家和地方层面也有着各类的部门规章禁止多类数据出境。这些数据的范围包括了银行账户记录、卫生信息、会计记录、网上支付、信用证明,和金融交易。

针对上述项目的数据本地化法规在亚洲十分常见,但在美国并没有。这些法律也包括之前提及的,将特定电信和互联网服务提供商数据副本留存在境内的要求,以及禁止迁移地图数据、关键基础设施数据,甚至拼车数据。

最后,一些国家的以下趋势日益明显,即要求为国内提供服务的特定硬件和基础设施系统留在国内,限制境外云端服务基础设施的使用,以试图保护本国科技领域。可以说这些不是数据本地化法律,但最终带来的影响是一样的。如果服务器必须保留在本国,则里面存储的数据也必须留在国内。

《商法》:请跟我们谈一谈网络诈骗相关的资产追回,尤其是如何在中国境外追回资产。

David White:诈骗犯已经越来越难通过盗窃信用卡及个人信息来实现身份盗窃。银行所采用的先进的芯片和个人识别码(PIN)技术、更完善的安全协议以及更有效的欺诈检测,都使得这类黑客行为不如从前那般有利可图。因此,犯罪分子也开始在其他方面寻求突破口,尤其是寻求可以诱使受害人进行直接现金支付的犯罪方式。商务电子邮件诈骗(通过发送模仿供应商或经销商的诈骗邮件或黑客邮件,试图引诱不知情的公司支付现金),以及对加密货币交易所进行黑客攻击(从交易所盗走并变卖加密货币代币),成为了两种日益频发的犯罪形式。类似的还有与许多首次代币发行(ICO)相关的旁氏骗局,ICO的运营商为一己私利,在通过这种骗局骗取投资者资金后卷款潜逃。

由于互联网和加密货币都是无国界的技术,因此所有这类骗局通常都含有国际元素。这可能使得资产追回变得相当复杂。

资产追回的常见障碍包括:

  • 资产的识别和定位

    –记录有限或部分国家的信息无法获取

    –数据隐私、银行保密法及数据本地化法规导致调查和追踪更加困难

    –资产被代理人(亲属、朋友、境外实体、皮包公司)持有

    –资产类型划分以及资产的法律地位在各个司法辖区各有不同

  • 在法律程序中通过冻结令保全资产以便于追回(不同司法辖区的举证责任和起诉资格问题)
  • 地方法律执行程序和优先顺序不同
  • 取得对未知人士或外国人士的判决

    –跨多个司法辖区的判决执行(条约和互惠协议是关键)

《商法》:自2018年1月1日起,持有中国营业执照(在中国经营的必要条件)的所有公司均按照新营业执照要求被纳入社会信用体系,取得了18位的“统一社会信用代码”。这一依靠大数据和人工智能处理的监督体系是否有别于其他国家呢?中外企业是否需要在中国或其他地区关注数据安全/滥用问题?

David White:评分体系已经存在了近一个世纪,它帮助人们对事物作出评级,其中也包括企业。全球有多种不同的评分体系用于衡量公司的健康程度和可信度。部分评分体系由私营实体赞助,例如米其林指南及其著名的餐厅星级体系,另有一部分是使用大众评分的网站,例如Pando网或大众点评。

然而,统一社会信用代码是其中最综合性的尝试,它由国家政府通过各个政府机构对所有企业进行打分,这也是中国独有的一个体系。虽然名字叫作信用评分,并且其最主要的功能是评价获得金融信贷的资格,但是这一体系与仅依靠财务数据和支付历史来评估信贷申请人偿付能力的传统信用报告体系有所不同。该体系的目标是建立一个多功能的集中报告和追踪机制,基于公司的法律合规历史和社会责任对其进行评级。当然,这一体系大大提高了效率。

在该体系实施之前,公司常有一系列由不同监管机构各自出具的注册编号,其中可能包括税务登记号、进出口登记号、工商注册号等。每个编号都会与各自的记录相关联,如果不能全部掌握这些编号,就很难在开展尽职调查时相互参照相关记录。而现在,每个公司(不论是中国的或外国的)都将在单一系统中拥有一个对公众开放的单一代码,使得参考和检索公司相关信息变得更加便捷。

从根本上来说,建立这一体系是为了改善商业环境。举例来说,该体系引入了黑名单机制,针对在诸多不同监管领域有大量轻微违规行为的企业。不当商业行为、造假、欺诈和虚假广告等违规行为都将被相互关联、评分并公之于众。只要评价标准是客观透明的,这一体系就可以达到其既定目标。

大多数评分体系存在的问题是评价标准缺乏透明度以及评分计算可能掺杂偏见。如果一个体系缺乏透明度,企业就无法确定评分模式的可信度、公平性或合理性。如果利用不准确、不完全和不合理的因素对企业作出决定,却没有任何监督或补救措施,这样可能会导致严重的长期后果。

登记号遭盗窃方面的担心也同时存在。对登记号被不法分子劫持的公司,严重且难以消除的错误或疏漏可能会持续影响其评分。登记号被劫持的受害者可能会受到社会信用评分的严重影响,因为不法犯罪者的活动可能直接导致其获得不正确的评分。这可能会导致企业面临被拒绝服务到被标记为潜在诈骗犯等一系列问题。更严重的是,这一易受攻击的群体可能无法对多数评分予以纠正。

这一体系将于2020年全面实行,因此现在对其整体的透明度和安全性进行评价还为时过早。但是,上述问题受到了许多人的重点关注,并且也将决定这一体系的成败。

Data-privacy-law-in-China-data-protection-lawyers-中国数据保护律师-信息科技律师

《商法》:按照中国新出台的《电子商务法》,除了所有网络运营商在《网络安全法》项下应承担的义务之外,电子商务提供商还必须采取具体的技术措施来确保电子商务网络的安全和正常运营,并有效应对网络事件。您怎么看新出台的这项法律?它在保护数据安全、防止欺诈方面可能会起到怎样的效果呢?

David White:中国拥有世界上最大的电子商务市场。根据市场领先的研究机构eMarketer公司的报告,中国的电子商务销售额今年预计将超过11亿美元,几乎占据全球零售电子商务销售额的一半。电子商务也被认为是黑客的重点攻击目标,他们试图通过盗窃信用卡、银行账户信息、地址、联系方式等个人数据用于身份盗窃。

鉴于这两个因素,中国的立法机构非常重视保护在线购物的消费者。他们并未草率地通过这项法律,而是从2013年开始推出了多个版本的修订草案,直到今年八月才最终定稿。许多公司缺乏足够的数据安全管控和违约应对方案。这种情况不仅发生在中国,在其他地区也很普遍。

因此,立法机构和监管机构开始要求更严格的管控和更有效的报告机制,并加强了法律执行,这是一件好事。美国和欧盟今年加强了网络安全法规的监管执行,亚洲各国也是如此。例如,近期韩国监管机构对许多注册加密货币交易所的网络安全框架进行了听证,目的也是为了保护消费者。

同样,去年秋季,中国在全国人大常委会下成立了执法检查小组,负责监督和执行《网络安全法》和《全国人大常委会关于加强网络信息保护的决定》。2017年9月到10月,六个检查组被派往全国各省市开展检查工作,出具报告并采取补救措施。去年下半年,我们也看到了按照这项法律对危害网络安全的行为作出的首批罚款和处罚。

这项新法律要求电子商务平台采取技术或其他手段保护网络安全,并针对网络事件采取应急方案。如果公司的网络安全受到危害,其必须立刻启动应急方案,并将事件上报有关部门。此外,这项新法律还特别规定,在监管部门根据适用法律法规提出要求时,平台运营商必须提交相关电子商务的业务数据及信息。

这些规定基本与《网络安全法》一致,二者都有利于促进网络安全管控,减少违规行为数量。如果仍有违规行为发生,消费者应尽快对其进行了解,以便于更快地对该等行为做出反应,阻止潜在的损害。这些措施都具有非常积极的作用,有利于全面保护电子商务。

有争议的部分在于数据本地化措施,该措施要求电子商务平台在中国境内的数据库系统中将所有消费者数据和交易记录至少保留三年。在中国境外处理交易和其他数据的外国电子商务公司,以及使用云服务储存数据的公司,都面对该措施带来的挑战。不仅如此,该措施也在某些情况下削弱了对网络安全的保护。

世界上规模最大的几家电子商务公司均已投资了数百亿美元用于建立高度安全的数据储存系统。其中部分公司依赖于将数据分散至全球的能力,从而对数据进行更好的保护,避免将所有数据存储在同一地点。因此,强制这些公司在中国境内存储数据副本对其安全性确实会产生负面作用。

一些规模较小的公司无力建立专门的基础储存设备以支持其在中国的运营,因此会把数据储存外包给第三方,而这些第三方提供的保护程度或许又不能与这些公司专门建立的内部电子商务系统相比。本地化措施可能有利于为执法部门提供其需要的信息以打击造假、欺诈和虚假广告等违法活动,但是这些措施很难在任何方面改善网络安全,甚至在某些情况下可能反而会妨碍网络安全。

《商法》:什么样的中国公司可能受《欧盟通用数据保护条例》(GDPR)管辖?有多少中国公司可能没有意识到其具有与GDPR相关的义务?

David White:就像世界上许多隐私法一样,GDPR的规定确保其不仅保护欧盟境内存储的目标数据,也保护被迁移至欧盟境外的数据,或是原本就在欧盟境外收集的数据。否则,这一法律将成为一纸空谈,我们也会看到大量企业将所有个人数据转移到法规更加宽松的国家。

在欧洲大多数国家,保护个人数据的权力被视为每个人的基本人权,无论这个人的国籍或实际所在地,或数据的实际所在地。但是欧盟委员会的司法管辖权有其局限性,在没有条约或其他协议的情况下,不能单方面制定侵犯他国主权的法律。

因此,GDPR也有局限性,仅适用于因欧盟境内开展的商业活动或专门针对欧盟境内人士的境外企业商业活动而收集的相关自然人私人数据。GDPR也适用于在欧盟收集但被转移至第三国处理的数据。因此,许多类型的中国公司都可能持有受该等规定管辖的数据。

如果中国公司有在欧盟境内的业务,则其收集的由此产生的个人数据即使储存在中国,也应受GDPR管辖。如果该公司通过外文营销或网站专门针对欧盟境内的人士,则即使该公司没有在欧盟境内经营,其所收集的由该等业务产生的个人数据也可能受GDPR管辖。因此,如果仅仅是有欧盟居民到访您在中国经营的酒店、商店或访问网站是不会触发欧盟的司法管辖权的,但针对该等人士进行市场营销或追踪他们的行为则有可能。

这仅是域外法律适用的几个简单的例子,此外还有其他诸多情况。这也不仅限于GDPR。大多数国家的法律都有类似的规定。因此,很有可能企业将消费者数据库存放于一国的服务器上,但却需要同时受多个不同国家的隐私法所管辖。

公司应提前花时间评估其系统内的数据,以了解其需要遵守哪些司法辖区的法律。这项分析可能很棘手,也可能很费时,因为它不仅要基于数据的所在地进行分析,也需要考虑利用这些数据的商业活动的开展地。鉴于这些法律中,大多数违规通知要求给出的时间都很紧,在数据违约发生之前尽早进行这项分析会为公司带来优势,否则公司可能根本没时间对此作出反应。

Data-privacy-law-in-China-data-protection-lawyers-中国数据保护律师-信息科技律师-2

《商法》:不同司法辖区的数据法规有多大可能会互相冲突?如果发生该等冲突,公司应该如何应对呢?

David White:我几乎没有见过不同司法辖区的数据隐私法互相冲突的情形。这一情形最常见于数据留置和数据处置的问题上。一个司法辖区可能要求在一定时间内保留数据,而另一个司法辖区则要求在一定时间后删除数据,而这两个时间有时候可能会发生冲突。但是,通常情况下,删除要求中会规定,如果另一项法律义务要求保留数据,则可以豁免这一删除,因此公司可以轻易解决这些冲突。

比较麻烦的情况是,一个司法辖区的数据本地化法律要求与另一司法辖区要求将该数据转移至其境内的法律要求之间产生的冲突。如果一个国家的监管机构或法院要求获得部分数据的副本,而数据所在地的司法辖区的法律禁止数据出境,就时常会发生这一冲突。由于无法两全其美,公司经常纠结于抉择要违反哪边的法律。

《商法》:关于如何建立一个有效的数据合规内部机制,您可以为中国公司提供哪些建议呢?

David White:我能给任何一家公司最好的建议和我始终在一开始就向我的客户提出的建议一样,都是要了解你的数据。所有数据隐私和合规法背后最主要的驱动力就是不断加强针对个人数据收集、使用、管理和保护的问责。如果公司不知道他们该为哪些数据负责,他们就无法开始承担责任。

这听起来简单,但事实上大多数公司并没有让全公司上下都完全理解这一点。他们可能了解公司内部的核心体系和主要数据,但通常对各条业务线对这些数据的使用方式和共享方式以及数据存储的地点知之甚少。

在我们进行评估的时候总会发现,业务管理者采用云服务设立的影子IT系统在以IT部门根本不知道的方式在处理数据。公司在找出与其共享数据的所有合伙人的身份以及数据存储地点这两个问题上也遇到了许多困难。

为了遵守本地化要求,公司必须充分了解其合伙人持有数据和转移数据的地点。调查和记录全公司所有和各种不同的个人数据收集、使用、存储和共享活动,将会让你大开眼界,而这也是实现完善、高效的合规的最佳且唯一的途径。

不知道数据的存在就无法进行适当的管理。我们所见到的大部分区域性和全球性网络和隐私合规问题,都是因为合规团队和法务团队未能在问题发生之前全面了解公司数据设置或商业活动而导致的。为了避免这种情况,就需要积极主动地建立问责机制。

《商法》: 如今黑客和网络攻击十分普遍,有时组织严谨得令人难以置信。对于敏感数据是否真的可以保证其安全?

David White:当然无法保证任何数据都可以被保护。一些世界上保护最森严的系统已经被黑客攻击过了。

然而,企业还是可以采取切实措施,减少敏感数据暴露给侵入公司系统的蓄意攻击者的情况,从而减少产生损失和承担责任的可能性。

其中一项措施是确保企业只保留为目前商业活动所需和法律要求的数据,而不会保留除此之外的部分,从而提升公司的信息生命周期管理水平。大规模的网络攻击之所以成功,是因为攻击者得以获取那些留在共享驱动器和本地计算机中旧的敏感数据。

如果你打算定期让使用者从你的核心数据系统(如人力资源数据库)中下载大量数据并将其存储在保护较弱的开放环境中(特别是当数据被保留的时间远超过其有用周期时),那么花数百万美元锁住系统或者定期测试系统的安全性就没有意义了。

许多公司存有大量可追溯至很多年前的未加密备份带,里面存储着高敏感核心商业数据和个人信息。GDPR和之后以其为蓝本的本地隐私法律框架,试图要求公司保留其所收集数据的时间与原始目的一致,不得超出。单是这一条就会对安全性的提升产生巨大影响。

David White是咨询公司艾睿铂在纽约的合伙人。他擅长信息生命周期管理,关注电子披露、数据隐私和安全、 诉讼数据分析以及监管合规