《數據安全法》是企業頭頂利劍 還是開拓商機護身符?|伽羅華

撰文:伽羅華
出版:更新:

中國政府打壓網約巨頭滴滴出行事件的負面影響仍在發酵。上周五《彭博》報道政府擬對赴港上市不做正式網絡安全審查要求的安排。然而,豁免內地企業的安審舉措與國家政策背道而馳,有關傳聞更多是為紓緩外資擔心的權宜之計,因為即便企業成功上市,不代表其能免於相關法律的規管。隨着滴滴事件不斷發酵,即將生效的《數據安全法》對中概股的深遠影響更應讓投資者深思。

上月10日中國政府通過的《數據安全法》被喻為是高懸於所有處理內地數據的企業頭上的一柄利劍,此說法毫不誇張。該項法規賦予中國大陸監管境內外所有涉及數據處理公司的權力,意味網絡安全審查對象是針對所有企業,無論是中資或外資,上市或非上市,數據處理地點在境內或境外。其中《數據安全法》第1章第2條更明言:「在中國境外開展數據處理活動,損害中國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。」

中國政府打壓網約巨頭滴滴出行事件的負面影響仍在發酵。﹙資料圖片﹚

公共數據屬國有資產 數據分級尚待釐清

去年7月,深圳市政府發表的一份《數據條例》草案中首次明確公共數據屬於新型國有資產,其數據權歸國家所有,從這一表態可以窺見新頒布的《數據安全法》對數據安全保護的思路。

《數據安全法》草案的二次審稿剛於今年4月發布,法案在不足兩個月便獲得通過,並且於今年9月1日生效,足見中國政府對解決網絡安全的重視程度,但法規仍有許多需要釐清的地方。

法案要求對數據建立分類分級保護制度,粗分為核心數據、重要數據及一般數據,國家核心數據關繫國家安全、國民經濟命脈、重要民生、重大公共利益等,與重要數據的分別迄今未有清晰界定,尤其是企業建立數據安全保護制度時,需要顧及開發數據過程或涉及風險,而且境外智庫及市場調研機構對中國公開數據進行深度分析時,會否同樣墮入《數據安全法》的法網,有關問題尚待澄清,相信要等到中國國務院公布《數據安全法》管理辦法的細節,方能有更清晰了解。

以滴滴出行為例,公司每日收集用戶位置和出行路線的海量數據,用於人們出行的安全和數據分析,小作用是可以在發生重大交通事故時向用戶預警分流,更大的商業價值在於公司定期發布的大數據分析報告,例如顯示某些城市的市民何時完成工作,或者哪些僱主的工作時間最長。不過,這些公開數據也可以被視為暴露了政府敏感部門所在地或受僱敏感部門的員工作息時間等國家機密。據滴滴官方辯解,有關數據都儲存於內地伺服器中,並沒有外流至境外機構手上,但明顯對這些數據的保護方案未能令監管機構放心。

實際上螞蟻所處理的數據對中國金融系統穩定更為關鍵。﹙資料圖片﹚

螞蟻金融數據較滴滴更易成安全隱患

上周以中國網信辦、公安部、國安部、稅務總局、市場監管總局、自然資源部及交通運輸部等7部委進駐滴滴出行總部,展開網絡安全審查。迄今為止,中國政府似乎將滴滴出行事件提升至較螞蟻上市事件更為嚴重的個案處理,但實際上螞蟻所處理的數據對中國金融系統穩定更為關鍵,但出行數據只是消費者外洩本身位置的眾多消費性數據之一,在現實世界中可以從其他途徑取得相類數據,其可替代性遠較螞蟻的金融數據高,理論上網絡安全審查對滴滴的影響較螞蟻低,除非有其他方面的考慮。

另外,滴滴還為汽車配備了監控路面及車內情況的攝像頭,每年收集中國境內1,000億公里道路的數據,這一點與電動車巨頭Tesla收集路面數據頗為相似,同樣惹來中國監管機構對公司數據安全隱患的擔憂。

今年3月傳出中國軍方禁止公務及軍事人員駕駛Tesla電動車等報道,中國政府擔心Tesla通過電動車攝像頭所收集的數據涉及安全隱患,其後Tesla於5月公布其所有中國市場銷售車輛所產生的數據,都會儲存於內地一處新數據中心,以實現數據儲存本地化。

原本Tesla電動車收集的數據主要供其全自動駕駛系統提升功能之用,現時這些海量數據會先除去敏感資訊如確實地點及駕駛者身份,只還原機器學習駕駛所必需的場景資料,然後才回饋至境外的超級電腦Dojo(道場)進行深度學習。這樣處理是為了滿足當局對數據保護的法定要求,但隨着對網絡安全的要求不斷提升,將來可能要求Tesla將內地數據回饋至Dojo深度學習的整個流程都要在中國境內進行,公司便會因此失去跨國數據互換的規模效益,從中美關係日益交惡來看,兩國數據交流出現局部脫勾並非是不可能。

美國拜登政府正考慮一項涵蓋印太經濟體(不包括中國)的數碼貿易協議。﹙資料圖片﹚

拜登推抗中數貿協議 未獲東盟全面支持

據《彭博》報道,美國拜登政府正考慮一項涵蓋印太經濟體(不包括中國)的數碼貿易協議,原本有意在周六(17日)舉行的亞太經合組織(APEC)會議上提出,但似乎未受部分與會的東盟代表的支持,擔心剔除中國的數據貿易協議的操作可行性,畢竟華為、阿里巴巴﹙9988﹚及騰訊﹙0700﹚等內地科網巨頭在東南亞市場深耕細作多年,但這不代表美國會放慢制定一套與內地脫勾的數碼貿易協議的進程。據《彭博》報道,加拿大、智利、日本、馬來西亞、澳洲、新西蘭和新加坡等國家對參與協議感到興趣。

由拜登政府有意制定這項數據貿易協議來看,可以華盛頓及其合作夥伴希望進一步解決數據流動和安全問題的決心。這項協議主要是為數碼經濟制定標準,包括數據使用規則、貿易便利化和電子海關安排。

美國《Foreign Affairs》雙月刊(5/6月)一篇題為「Data is Power」,明言數據已成為現時全球貿易的重中之重,尤其是2008年金融海嘯後,商品貿易增長趨於平穩,取而代之的是跨境數據流動的爆炸式增長。以網絡頻寬衡量,從2008年到2020年,跨境數據流量增長約112倍,但令人擔心的是這貿易範疇很大程度不受監管。

文中提到,在數據跨境流動激增下,關於數據的價值和所有權的困惑比比皆是,世界主要大國就如何管理數據存在相互競爭情況,制定新的國際數據框架極具挑戰性。

可以預見的是,一如世界貿易組織(WTO)成員國出現貿易糾紛,未來各國就跨國數據的管理及開發亦無可避免出現爭議,尤其是中美兩國均加快數據安全法規的制定,而兩者又處於脫勾加快的勢態,未來數據貿易或出現兩大陣營,意味企業極可能需要在不同國家建立數據中心。

【財經專欄】大盤漫談.伽羅華