日前,美国哥伦比亚特区联邦地区法院裁决,暂缓实施关于将TikTok从美国移动应用商店下架的行政令,TikTok算是赢得了暂时喘息的机会。
TikTok事件普遍被视为美国保守势力试图打击中国的最新动作,是两国关系进一步恶化的具体表现。然而放在全球普遍加强数据和隐私保护的大背景下,这一事件反映了全球“数据本地主义”倾向的加剧,而不仅仅是美中关系的一个孤立事件。
缘起
“数据本地化”尚未有严谨的学术定义,但在实务界通常是指国家出于各种目的而采取的旨在对数据施加控制的措施,这些措施使数据的流动逐渐退缩至本国内部。
欧洲大陆法国家有很强的隐私保护意识。互联网的普及和数字经济的勃兴以及此起彼伏的大规模用户数据泄露事件加剧了民众对涉及隐私的个人数据安全的担忧。有调查显示,欧洲人,尤其是德国人,比美国人更担心私营企业对个人数据的使用。欧盟宪章将个人隐私确立为应予以捍卫的基本权利。早在2010年,德国监管机构就曾要求谷歌在其街景服务画面中将那些拒绝出镜的居民的房屋进行模糊处理。2014年爆发的“棱镜门”事件,给欧盟成员敲响了警钟,保护欧洲的数据免遭外国(主要是美国)的窥探和窃取被提上了紧急议程。2016年4月16日,号称史上最严的数据和隐私保护法律——欧盟《通用数据保护条例》(GDPR)——正式颁布,自2018年5月25日起实施。GDPR实施以来,以其繁琐复杂的合规要求和幅度惊人的违规处罚,在经济和社会层面都造成了极大的震动,并给其他国家树立了榜样。根据联合国贸易发展组织(UNCTAD)截至2020年4月2日的统计,全球194个国家中,共有132个国家制定了数据和隐私保护的法律,占国家总数的66%。据国际隐私专业协会(the International Association of Privacy Professionals,简称“IAPP”)最新发布的《2020全球隐私保护立法预测》,2020年注定将成为2018年以来又一个数据和隐私保护立法的高潮年。2020年1月1日,美国加利福尼亚州《消费者隐私法》(CCPA)开始实施,预计将掀起美国其他各州乃至联邦的相关立法潮。2020年8月15日,巴西版《一般数据保护法》(LGPD)生效。原定于2020年5月27日起实施(现已延期至2021年5月31日)泰国的《个人数据保护法》(PDPA)深度参考了GDPR的条款。中国于2017年6月开始实施《网络安全法》,对互联网上的数据安全予以管控。作为《网络安全法》的配套法律,中国《密码法》自2020年1月1日起实施。2020年5月28日颁布、2021年1月1日起实施的中国《民法典》首次将隐私和个人信息作为公民的人格权的一部分进行保护,并在《网络安全法》的基础上提升了保护的范围和力度。印度的《个人数据保护法案》已进入立法表决前的最后审议阶段,预计在今年通过议会批准。韩国正在调整其现有的隐私保护法律,以期与GDPR相一致;关于《个人信息保护法》的最新修正案也正在等待韩国国会的批准。
全球数据和隐私保护立法统计,来源:UNCTAD官网政府采取数据保护政策,其目的主要分为五类:
获得数据,即确保执法、情报、安保等机构可通过法律或技术上的途径获取开展公务所需的数据;
保护隐私,即保护公民的个人数据免遭侵害,包括来自外国政府和企业的监控;
防止外国侵入,即阻止其他国家为了不良目的而获取本国公民的数据;
内容管制,即确保国家机关能够对数字内容进行管控,以符合当地的规范;
促进经济,即促进和保护当地科技产业。
无论出于何种目的,各国政府对数据的保护均以数据的产生和采集行为发生地作为管辖的基础,其直接后果将导致数据在国家间的自由流动受到阻碍甚至切断。这种结果与互联网经济所倡导和依赖的信息全球一体化背道而驰。数据重新被领土边界所分割和圈禁,成为与房地产一样的不可移动的本地资源,造成“数据本地化”。