中國推進網絡數據安全法，在華外國企業進退維谷

隨着全球步入5G時代，越來越多的國家把數據安全提到議事日程之上。中國9月底召開了「2020數據安全高峰論壇」，以落實推進「網絡安全法」和「數據安全法（草案）」的法規政策。這是中國政府進一步加強網絡和數據安全的最新舉措。不過，「數據安全法（草案）」中一項被認為具有「域外效力」的條款，因涵蓋面過大而引起廣泛關注和爭議。觀察人士指出，該法律一旦實施，將給在中國的外國公司帶來挑戰。

域外效力的影響 

中國政府今年7月出台的《數據安全法（草案）》說，該法旨在保障數據安全，促進數據開發利用、保護公民、組織的合法權益、維護國家主權、安全和發展利益。草案第二條規定，中國政府有權追究境外組織或個人進行危害中國國家安全和公共利益、損害中國公民或組織合法權益的數據活動的責任，但未具體說明如何以及由哪個部門對這些組織或個人執行這項法律。預計，《數據安全法》（草案）將於明年中國人大會議上討論通過後生效。 

觀察人士指出，草案第二條把數據安全的法律責任延伸到中國大陸以外的世界其他地方，涵蓋面過大，有可能被中國政府用來實現其政治目的的工具。 

美國首都華盛頓的智庫「戰略與國際問題研究中心」（CSIS）的高級副總裁兼科技政策項目主任詹姆斯·劉易斯（James Andrew Lewis）對美國之音說，中國當局的目的是要對中國境內和境外的數據安全都進行監管。 

他說：「我覺得值得關注的是，該草案給予中國當局監管數據管控者的能力，無論他們在中國境內或境外，因此具有域外效力(extra-territorial effect)。中國當局能審查境內外的外國公司。」 

合法化和威懾力 

多倫多大學全球事務學院政治系副教授、中國問題專家琳內特·王（Dr.Lynette Ong）說，這部法律草案對外國公司當然具有威懾力，就像港版國安法一樣。她說，人們在發表任何言論或做出任何行動之前，不得不要考慮其言行可能帶來的後果，因而事先就要進行自我審查。她表示，對中國當局來說，出台相關法律，實質上就是將他們過去一直在做的事情合法化而已。 

她說：「實際上，這部法律的效用是把他們的行動合法化。比如事後要採取什麼行動，通過制定相關法律把這些行動合法化。但這並不意味着，沒有這部法律，他們就不會採取任何行動。如果有任何境外組織的行動損害中國利益的話，他們同樣會採取行動，即使沒有這個法律。」 

「戰略與國際問題研究中心」高級副總裁劉易斯說，數據安全問題，是各大經濟體都致力於要解決的問題，包括美國、歐盟、印度等。他們都在想辦法保護其公民的數據，監管域外的國家。這是個全球性的問題，每個國家都在採取舉措加以應對。 

在華外國企業受影響 

劉易斯說，這部法律草案所涉及的「域外效力」對中國境外的美國企業，如臉書、谷歌等作用不大，因為中國當局不讓他們進入中國市場，但是對在華經營的其他美國企業則產生直接影響。 

他說：「其它一些美國公司，如蘋果，微軟等，他們在中國有生意。由於中國監管機構對他們有一些影響力，因此域外效力就顯得很重要了。如果你對臉書說，中國要對你採取行動，他們會毫不在乎，因為他們不在華經營，但是如果換成是蘋果或其他公司，那麼問題就來了。」 

網絡安全和技術專家劉易斯說，數據安全是每個國家都在努力解決的問題。中國出台數據安全法，是步歐盟的後塵。 

2018年5月25日，在28個歐盟國家實施的歐盟「通用數據保護條例」（General Data Protection Regulation，簡稱GDPR）正式生效。該條例旨在「統一歐盟範圍內的監管，讓公民重新掌控自己的個人數據，同時簡化國際業務的監管環境」。 

進退維谷的「合作」 

另外，《數據安全法》（草案）第四章第三十二條規定，公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當予以配合。 

中國問題專家琳內特·王教授說，這項法律規定可能會讓一家外國公司的首席執行官感到擔憂。 

她說：「如果我是個數據公司的首席執行官，可能會顧慮重重，考慮是不是要繼續中國繼續運營下去。我覺得，搞數據的企業，對此特別敏感，因為他們的顧客對數據安全有非常高的要求。所以，這一點如果不能夠達到一定的標準的話，可能就會徹底退出中國大陸。但這其實對中國大陸的經濟會產生一定影響的。」 

網絡安全專家劉易斯說，在華經營的美國企業，有時候必須要跟中國當局合作，但這種配合有時候會讓美國企業在其他地方遇到麻煩。 

他說：「我的建議是，你不會願意置身於一個既有歐洲規定、美國規定，中國規定，又有印度規定的世界中，這會讓企業無所適從。因此，企業要尋找鼓勵經濟體間共同標準的途徑。但是我要告訴美國公司的是，你必須要遵守法律，但同時不要忘了自己的公眾形象，並且推動政府拿出一些共識來。」 

美國企業迫於中國當局的壓力予以配合，在此之前已經有先例。2007年11月6日，美國國會眾議院外交事務委員會就雅虎公司在中國記者師濤被中國政府判刑入獄過程中所扮演的角色再次舉行聽證會。 

雅虎公司被指責為獲取商業好處而屈從於中國政府網絡新聞檢查的壓力，向中國當局提供了原湖南長沙當代商報的編輯部主任師濤的個人電郵資料，導致師濤在2005年被當局以「非法向境外提供國家機密罪」判刑10年。2004年，師濤通過個人雅虎電郵把一份涉及六四內容的文件摘抄給一家海外民運網站。 

老調重彈的中國倡議 

「戰略與國際問題研究中心」高級副總裁兼科技政策項目主任劉易斯說，中國國務委員兼外長王毅發起《全球數據安全倡議》是對美國一個月前公布的「清潔網絡」倡議所做的反應。 

8月5日，美國國務卿蓬佩奧曾在國務院舉行新聞發布會上宣布，為使美國的數字網絡不受中國共產黨的影響，美國提出涉及五個領域的「清潔網絡」倡議，包括清潔運營商、清潔商店、清潔應用、清潔雲儲存以及清潔電纜。 

王毅9月8日在全球數字治理研討會上提出8項《全球數據安全倡議》，其中 包括「尊重他國主權、司法管轄權和對數據的管理權，不得直接向企業或個人調取位於他國的數據」等。但是，觀察人士批評說，具有諷刺意味的是，這個倡議與《數據安全法》（草案）第三十二條中有關組織、個人應當配合中國司法機關因調查需要調取數據的規定相違背。 

中國的《數據安全法》（草案）還對不履行該法而開展數據活動的組織和個人做出了處罰規定。草案規定，對不履行數據安全保護義務，或未採取必要安全措施，且拒不改正而造成重大數據泄露等嚴重後果的，最高處100萬元以下罰款，並吊銷相關業務許可證或營業執照。