“成人、長袖、長褲、男、上身深紫色。”

以上特征是人臉識別軟件對路人隨機抓取的信息，每個人在技術(shù)歸攏下成了一條條數(shù)據(jù)，無處遁形。

2019年2月，某人臉識別公司有256萬條個人數(shù)據(jù)泄露，泄露的信息除了包括上述信息，還包括身份證信息、人臉識別圖像及捕捉地點。

當下流行的刷臉支付使用的關(guān)鍵技術(shù)正是人臉識別，它將采集用戶的人臉、虹膜、指紋和聲紋等信息存儲在服務(wù)器中。但這些具有唯一性的生物特征數(shù)據(jù)一旦泄露，買賣、欺詐、釣魚等安全威脅隨之而來。

“在網(wǎng)絡(luò)上不要輕易‘刷臉’。個人生物特征(人臉、指紋、DNA等)等關(guān)鍵數(shù)據(jù)，具有唯一性和不可再生性特征，一旦被竊取，無法追回并變更。“ 上海信息安全行業(yè)協(xié)會會長談劍峰曾多次提示公眾警惕人臉識別風(fēng)險。

好消息是，《個人信息保護法》草案已經(jīng)在今年兩會期間提請全國人大常委會審議，草案一旦通過審議，將對保護個人信息安全發(fā)揮重要作用。

同時，談劍峰在2021年兩會期間也提交了一份提案，建議設(shè)立國家“數(shù)據(jù)銀行”，加強對人臉、指紋等唯一性不可再生的關(guān)鍵數(shù)據(jù)的管控。

保護個人數(shù)據(jù)和信息安全是當下各國的共識。2018年歐盟頒布的《通用數(shù)據(jù)保護條例》(GDPR)，被稱為史上最嚴、具有域外效力的個人信息保護法律。除了我國正著手立法，俄羅斯、加拿大、新加坡、印度、巴西等國也紛紛修訂了個人數(shù)據(jù)保護法案，規(guī)范本國和全球數(shù)據(jù)流動。

在全球保護個人數(shù)據(jù)的背景下，數(shù)據(jù)本地化儲存的要求應(yīng)運而生，在海外拓展業(yè)務(wù)的中國公司也必須遵循當?shù)氐臄?shù)據(jù)管理條例。為中國出海企業(yè)提供云服務(wù)的廠商如阿里云、騰訊云等，則因聚集了大量中國企業(yè)的數(shù)據(jù)，是當?shù)卣畽C構(gòu)的重點關(guān)注對象，可以說是頂在炮火最前線，承擔(dān)著首道風(fēng)險。

一、一不小心就被罰，中國出海企業(yè)太難了

在美國上市或在美國設(shè)立數(shù)據(jù)中心的中國企業(yè)可以說是“戴著鐐銬跳舞”，在遵循數(shù)據(jù)保護法案的情況下，還時不時被指責(zé)向中國輸送數(shù)據(jù)或受中國政府干預(yù)，一不小心就引起眾議或被起訴收到罰單。

風(fēng)靡美國的中國短視頻應(yīng)用TikTok就是“戴著鐐銬跳舞”的例證。自TikTok登陸美國起，它就一直面臨違規(guī)收集未成年用戶數(shù)據(jù)、將美國用戶數(shù)據(jù)傳回中國的指控和質(zhì)疑。

[[388355]]

圖：TikTok被美國青少年父母告上法庭，來源：The Siasat Daily

2019年2月，美國聯(lián)邦貿(mào)易委員會(FTC)向TikTok開出了一張價值570萬美元的罰單，理由是違反兒童在線隱私保護法案(COPPA)，在未經(jīng)過父母同意的情況下，違規(guī)收集13歲以下用戶的姓名、電子郵件以及其他個人信息。

2019年10月，兩名重量級國會議員要求美國情報機構(gòu)對TikTok展開國家安全調(diào)查。他們稱，TikTok“被迫向中共控制的情報工作提供支持與合作”，將美國用戶數(shù)據(jù)傳回中國。

盡管TikTok數(shù)次嚴正回應(yīng)美國用戶的數(shù)據(jù)都存儲在美國境內(nèi)，“TikTok不受任何外國政府影響，包括中國政府。”但此類質(zhì)疑在美國仍有不少擁躉者。

在剛剛過去的2020年，TikTok因為特朗普的行政命令，在美國幾近面臨“賣身”的境地，連“下家”微軟和甲骨文都找好了。緊張局勢緩解后，TikTok以支付9200萬美元巨額和解金的代價，換回在美國正常運營。

除了TikTok，連美國本土公司Zoom都難逃數(shù)據(jù)安全的指控，只因為該公司創(chuàng)始人袁征是華裔背景。

Zoom作為視頻會議軟件，去年因為疫情大火，也因此引來了美國國會的關(guān)注。

2020年 4 月，美國眾議院議長南希·佩洛西稱Zoom是一家中國實體，具有安全隱患。他的理由是，Zoom雖然注冊地在美國，但其大部分的研發(fā)人員卻在中國，如合肥、杭州、蘇州等地。

然而，Zoom 將研發(fā)地設(shè)在中國是因為其較低的人力成本，這也是Zoom能夠盈利的重要原因之一。

更有甚者，有議員致函美國司法部，將Zoom和TikTok相提并論，要求對這兩家公司審查。他們表示“司法部必須調(diào)查并確定Zoom和TikTok的業(yè)務(wù)關(guān)系、數(shù)據(jù)處理行為以及它們與中國的業(yè)務(wù)聯(lián)系，是否對美國人構(gòu)成風(fēng)險。”

最后，飽受困擾的Zoom選擇“斷臂求生”，在2020年8月宣布停止在中國大陸的直銷業(yè)務(wù)。

二、不是美國公司?沒關(guān)系，照樣管你

如果說上述公司是因為在美國有業(yè)務(wù)或者注冊地在美國，所以受美國管轄。

那有一部法案，可以實現(xiàn)跨國管理，只要和美國有”一縷頭發(fā)絲的聯(lián)系“，那就適用美國的法律。這就是所謂的“長臂管轄”，俗稱“手伸得太長。”

這部法案就是CLOUD法案，在國內(nèi)被譯為《海外數(shù)據(jù)使用權(quán)明確法》。顧名思義，它賦予了美國執(zhí)法機構(gòu)跨境調(diào)取數(shù)據(jù)的權(quán)力。

CLOUD法案是特朗普政府在2018年3月頒布的，當時微軟和美國司法部正在進行長達5年的訴訟“賽跑”。

美國政府以毒品販運案為由，要求微軟交出涉嫌販毒者在愛爾蘭服務(wù)器上的電子郵件。但該搜查令被微軟拒絕，理由是檢索電子郵件違反愛爾蘭的隱私法。

微軟不光拒絕，還給美國司法部出主意，建議美國司法部利用兩國簽訂的條約直接與愛爾蘭當局談判。

雙方“拉扯”5年后，國會通過了明確美國數(shù)據(jù)主權(quán)的CLOUD法案，這相當于給美國司法部提供了海外數(shù)據(jù)調(diào)取指南。

“長臂管轄”遵循的原理是“最低聯(lián)系”。任何個體或企業(yè)，哪怕不是美國籍或美國公司，只要和美國有一絲一毫聯(lián)系，美國司法部就可對其發(fā)布審查或逮捕令。

這種最低聯(lián)系包括：在美國上市、在美國設(shè)立數(shù)據(jù)中心、使用美元交易、用美國公司的郵箱、產(chǎn)品含有美國生產(chǎn)的元器件等等。而一旦進入長臂管轄范圍，美國司法部門就擁有極大的自由裁量權(quán)。

所以美國法律雜志《國家法律評論》提示，在異地和海外存儲數(shù)據(jù)的公司，需要謹慎評估該法案帶來的風(fēng)險。

它指出，CLOUD法案的通過預(yù)示著，美國執(zhí)法部門獲取第三方(如云服務(wù)商)在海外存儲的數(shù)據(jù)的權(quán)力，并且在未來，該法案還可能被用于獲取非通信數(shù)據(jù)。該雜志建議公司考慮云存儲策略。

這讓我們不禁為中國的云計算廠商捏一把汗。

以阿里云為例，阿里云從2014年開始在海外部署數(shù)據(jù)中心，到目前為止有22個(截至2020年3月)。其中13個在亞太地區(qū)，4個在美國，剩下5個在歐洲和中東。

如果美國借因?qū)Π⒗镌茖嵤╅L臂管轄，那后者將遭受不小損失，客戶也會因為考慮數(shù)據(jù)安全問題轉(zhuǎn)而選擇本土云服務(wù)商。

[[388356]]

圖：阿里云擁有的國際數(shù)據(jù)中心，來源：阿里云官網(wǎng)

三、各國如何嚴守數(shù)據(jù)安全戰(zhàn)線?

數(shù)據(jù)安全是塊磚，哪里需要哪里搬。對美國來說，數(shù)據(jù)安全就是塊有用的“磚”，動輒指控企業(yè)威脅國家安全。

其他國家也對數(shù)據(jù)安全拉起了警戒線。歐盟在2018年5月開始實施《通用數(shù)據(jù)保護條例》(GDPR)，被稱為史上最嚴的隱私數(shù)據(jù)保護條例。它的條款規(guī)制了美國谷歌、Facebook等公司在歐洲地區(qū)的數(shù)據(jù)收集、存儲和使用。

2019年1月，法國監(jiān)管機構(gòu)就依據(jù)GDPR對谷歌重罰，開出了5000萬歐元(約合3.8億元人民幣)的巨額罰單，理由是谷歌在向用戶定向發(fā)送廣告時缺乏透明度、信息不足，且未獲得用戶有效許可。

第二個被罰的是Facebook，它因違反意大利消費者法律被處以兩筆罰款，總計1000萬歐元(約合7777萬元人民幣)。另外，蘋果、推特、微軟都因數(shù)據(jù)違規(guī)被歐盟各國列為監(jiān)管對象。

圖：Facebook因違反GDPR被罰，來源：internalaudit360

除了上述國際公司，云服務(wù)商因為自身收集、存儲用戶數(shù)據(jù)的特性，也是GDPR的主要監(jiān)管對象。

在美國CLOUD法案出臺后，歐盟曾討論過該法案和GDPR之間對云服務(wù)商的相互作用。歐洲數(shù)據(jù)保護委員會EDPB和歐洲數(shù)據(jù)保護監(jiān)督員EDPS認為，只有在非常有限的情況下，云服務(wù)商才需要響應(yīng)CLOUD法案。

因為GDPR第48條明確規(guī)定，除非根據(jù)《司法協(xié)助條約》(MLAT)作出規(guī)定，否則外國法院的命令或行政機關(guān)的決定將不會在歐盟自動得到承認和執(zhí)行。

盡管云服務(wù)商不必響應(yīng)美國法案，但歐盟還是決定自建“云上歐洲”。

德國和法國在2019年10月推出Gaia-X項目，該項目由政府支持，開發(fā)歐洲云基礎(chǔ)設(shè)施，幫助當?shù)毓?yīng)商與主導(dǎo)全球云市場的美國科技巨頭競爭。

在歐盟之外，印度和泰國也提出了數(shù)據(jù)本地化，要求外國企業(yè)將本國用戶的數(shù)據(jù)存儲在本地。

在各國都積極進行數(shù)據(jù)保護的背景下，在海外展業(yè)的中國公司或中國云廠商更應(yīng)該謹慎行事。除了嚴格遵守當?shù)胤桑诿鎸o端指控和質(zhì)疑時，要敢于拿出強硬的態(tài)度維護合法權(quán)益。