“成人、長(zhǎng)袖、長(zhǎng)褲、男、上身深紫色。”

以上特征是人臉識(shí)別軟件對(duì)路人隨機(jī)抓取的信息，每個(gè)人在技術(shù)歸攏下成了一條條數(shù)據(jù)，無(wú)處遁形。

2019年2月，某人臉識(shí)別公司有256萬(wàn)條個(gè)人數(shù)據(jù)泄露，泄露的信息除了包括上述信息，還包括身份證信息、人臉識(shí)別圖像及捕捉地點(diǎn)。

當(dāng)下流行的刷臉支付使用的關(guān)鍵技術(shù)正是人臉識(shí)別，它將采集用戶的人臉、虹膜、指紋和聲紋等信息存儲(chǔ)在服務(wù)器中。但這些具有唯一性的生物特征數(shù)據(jù)一旦泄露，買賣、欺詐、釣魚等安全威脅隨之而來(lái)。

“在網(wǎng)絡(luò)上不要輕易‘刷臉’。個(gè)人生物特征(人臉、指紋、DNA等)等關(guān)鍵數(shù)據(jù)，具有唯一性和不可再生性特征，一旦被竊取，無(wú)法追回并變更。“ 上海信息安全行業(yè)協(xié)會(huì)會(huì)長(zhǎng)談劍峰曾多次提示公眾警惕人臉識(shí)別風(fēng)險(xiǎn)。

好消息是，《個(gè)人信息保護(hù)法》草案已經(jīng)在今年兩會(huì)期間提請(qǐng)全國(guó)人大常委會(huì)審議，草案一旦通過(guò)審議，將對(duì)保護(hù)個(gè)人信息安全發(fā)揮重要作用。

同時(shí)，談劍峰在2021年兩會(huì)期間也提交了一份提案，建議設(shè)立國(guó)家“數(shù)據(jù)銀行”，加強(qiáng)對(duì)人臉、指紋等唯一性不可再生的關(guān)鍵數(shù)據(jù)的管控。

保護(hù)個(gè)人數(shù)據(jù)和信息安全是當(dāng)下各國(guó)的共識(shí)。2018年歐盟頒布的《通用數(shù)據(jù)保護(hù)條例》(GDPR)，被稱為史上最嚴(yán)、具有域外效力的個(gè)人信息保護(hù)法律。除了我國(guó)正著手立法，俄羅斯、加拿大、新加坡、印度、巴西等國(guó)也紛紛修訂了個(gè)人數(shù)據(jù)保護(hù)法案，規(guī)范本國(guó)和全球數(shù)據(jù)流動(dòng)。

在全球保護(hù)個(gè)人數(shù)據(jù)的背景下，數(shù)據(jù)本地化儲(chǔ)存的要求應(yīng)運(yùn)而生，在海外拓展業(yè)務(wù)的中國(guó)公司也必須遵循當(dāng)?shù)氐臄?shù)據(jù)管理?xiàng)l例。為中國(guó)出海企業(yè)提供云服務(wù)的廠商如阿里云、騰訊云等，則因聚集了大量中國(guó)企業(yè)的數(shù)據(jù)，是當(dāng)?shù)卣畽C(jī)構(gòu)的重點(diǎn)關(guān)注對(duì)象，可以說(shuō)是頂在炮火最前線，承擔(dān)著首道風(fēng)險(xiǎn)。

一、一不小心就被罰，中國(guó)出海企業(yè)太難了

在美國(guó)上市或在美國(guó)設(shè)立數(shù)據(jù)中心的中國(guó)企業(yè)可以說(shuō)是“戴著鐐銬跳舞”，在遵循數(shù)據(jù)保護(hù)法案的情況下，還時(shí)不時(shí)被指責(zé)向中國(guó)輸送數(shù)據(jù)或受中國(guó)政府干預(yù)，一不小心就引起眾議或被起訴收到罰單。

風(fēng)靡美國(guó)的中國(guó)短視頻應(yīng)用TikTok就是“戴著鐐銬跳舞”的例證。自TikTok登陸美國(guó)起，它就一直面臨違規(guī)收集未成年用戶數(shù)據(jù)、將美國(guó)用戶數(shù)據(jù)傳回中國(guó)的指控和質(zhì)疑。

[[388355]]

圖：TikTok被美國(guó)青少年父母告上法庭，來(lái)源：The Siasat Daily

2019年2月，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)向TikTok開出了一張價(jià)值570萬(wàn)美元的罰單，理由是違反兒童在線隱私保護(hù)法案(COPPA)，在未經(jīng)過(guò)父母同意的情況下，違規(guī)收集13歲以下用戶的姓名、電子郵件以及其他個(gè)人信息。

2019年10月，兩名重量級(jí)國(guó)會(huì)議員要求美國(guó)情報(bào)機(jī)構(gòu)對(duì)TikTok展開國(guó)家安全調(diào)查。他們稱，TikTok“被迫向中共控制的情報(bào)工作提供支持與合作”，將美國(guó)用戶數(shù)據(jù)傳回中國(guó)。

盡管TikTok數(shù)次嚴(yán)正回應(yīng)美國(guó)用戶的數(shù)據(jù)都存儲(chǔ)在美國(guó)境內(nèi)，“TikTok不受任何外國(guó)政府影響，包括中國(guó)政府。”但此類質(zhì)疑在美國(guó)仍有不少擁躉者。

在剛剛過(guò)去的2020年，TikTok因?yàn)樘乩势盏男姓?，在美?guó)幾近面臨“賣身”的境地，連“下家”微軟和甲骨文都找好了。緊張局勢(shì)緩解后，TikTok以支付9200萬(wàn)美元巨額和解金的代價(jià)，換回在美國(guó)正常運(yùn)營(yíng)。

除了TikTok，連美國(guó)本土公司Zoom都難逃數(shù)據(jù)安全的指控，只因?yàn)樵摴緞?chuàng)始人袁征是華裔背景。

Zoom作為視頻會(huì)議軟件，去年因?yàn)橐咔榇蠡?，也因此引?lái)了美國(guó)國(guó)會(huì)的關(guān)注。

2020年 4 月，美國(guó)眾議院議長(zhǎng)南希·佩洛西稱Zoom是一家中國(guó)實(shí)體，具有安全隱患。他的理由是，Zoom雖然注冊(cè)地在美國(guó)，但其大部分的研發(fā)人員卻在中國(guó)，如合肥、杭州、蘇州等地。

然而，Zoom 將研發(fā)地設(shè)在中國(guó)是因?yàn)槠漭^低的人力成本，這也是Zoom能夠盈利的重要原因之一。

更有甚者，有議員致函美國(guó)司法部，將Zoom和TikTok相提并論，要求對(duì)這兩家公司審查。他們表示“司法部必須調(diào)查并確定Zoom和TikTok的業(yè)務(wù)關(guān)系、數(shù)據(jù)處理行為以及它們與中國(guó)的業(yè)務(wù)聯(lián)系，是否對(duì)美國(guó)人構(gòu)成風(fēng)險(xiǎn)。”

最后，飽受困擾的Zoom選擇“斷臂求生”，在2020年8月宣布停止在中國(guó)大陸的直銷業(yè)務(wù)。

二、不是美國(guó)公司?沒(méi)關(guān)系，照樣管你

如果說(shuō)上述公司是因?yàn)樵诿绹?guó)有業(yè)務(wù)或者注冊(cè)地在美國(guó)，所以受美國(guó)管轄。

那有一部法案，可以實(shí)現(xiàn)跨國(guó)管理，只要和美國(guó)有”一縷頭發(fā)絲的聯(lián)系“，那就適用美國(guó)的法律。這就是所謂的“長(zhǎng)臂管轄”，俗稱“手伸得太長(zhǎng)。”

這部法案就是CLOUD法案，在國(guó)內(nèi)被譯為《海外數(shù)據(jù)使用權(quán)明確法》。顧名思義，它賦予了美國(guó)執(zhí)法機(jī)構(gòu)跨境調(diào)取數(shù)據(jù)的權(quán)力。

CLOUD法案是特朗普政府在2018年3月頒布的，當(dāng)時(shí)微軟和美國(guó)司法部正在進(jìn)行長(zhǎng)達(dá)5年的訴訟“賽跑”。

美國(guó)政府以毒品販運(yùn)案為由，要求微軟交出涉嫌販毒者在愛爾蘭服務(wù)器上的電子郵件。但該搜查令被微軟拒絕，理由是檢索電子郵件違反愛爾蘭的隱私法。

微軟不光拒絕，還給美國(guó)司法部出主意，建議美國(guó)司法部利用兩國(guó)簽訂的條約直接與愛爾蘭當(dāng)局談判。

雙方“拉扯”5年后，國(guó)會(huì)通過(guò)了明確美國(guó)數(shù)據(jù)主權(quán)的CLOUD法案，這相當(dāng)于給美國(guó)司法部提供了海外數(shù)據(jù)調(diào)取指南。

“長(zhǎng)臂管轄”遵循的原理是“最低聯(lián)系”。任何個(gè)體或企業(yè)，哪怕不是美國(guó)籍或美國(guó)公司，只要和美國(guó)有一絲一毫聯(lián)系，美國(guó)司法部就可對(duì)其發(fā)布審查或逮捕令。

這種最低聯(lián)系包括：在美國(guó)上市、在美國(guó)設(shè)立數(shù)據(jù)中心、使用美元交易、用美國(guó)公司的郵箱、產(chǎn)品含有美國(guó)生產(chǎn)的元器件等等。而一旦進(jìn)入長(zhǎng)臂管轄范圍，美國(guó)司法部門就擁有極大的自由裁量權(quán)。

所以美國(guó)法律雜志《國(guó)家法律評(píng)論》提示，在異地和海外存儲(chǔ)數(shù)據(jù)的公司，需要謹(jǐn)慎評(píng)估該法案帶來(lái)的風(fēng)險(xiǎn)。

它指出，CLOUD法案的通過(guò)預(yù)示著，美國(guó)執(zhí)法部門獲取第三方(如云服務(wù)商)在海外存儲(chǔ)的數(shù)據(jù)的權(quán)力，并且在未來(lái)，該法案還可能被用于獲取非通信數(shù)據(jù)。該雜志建議公司考慮云存儲(chǔ)策略。

這讓我們不禁為中國(guó)的云計(jì)算廠商捏一把汗。

以阿里云為例，阿里云從2014年開始在海外部署數(shù)據(jù)中心，到目前為止有22個(gè)(截至2020年3月)。其中13個(gè)在亞太地區(qū)，4個(gè)在美國(guó)，剩下5個(gè)在歐洲和中東。

如果美國(guó)借因?qū)Π⒗镌茖?shí)施長(zhǎng)臂管轄，那后者將遭受不小損失，客戶也會(huì)因?yàn)榭紤]數(shù)據(jù)安全問(wèn)題轉(zhuǎn)而選擇本土云服務(wù)商。

[[388356]]

圖：阿里云擁有的國(guó)際數(shù)據(jù)中心，來(lái)源：阿里云官網(wǎng)

三、各國(guó)如何嚴(yán)守?cái)?shù)據(jù)安全戰(zhàn)線?

數(shù)據(jù)安全是塊磚，哪里需要哪里搬。對(duì)美國(guó)來(lái)說(shuō)，數(shù)據(jù)安全就是塊有用的“磚”，動(dòng)輒指控企業(yè)威脅國(guó)家安全。

其他國(guó)家也對(duì)數(shù)據(jù)安全拉起了警戒線。歐盟在2018年5月開始實(shí)施《通用數(shù)據(jù)保護(hù)條例》(GDPR)，被稱為史上最嚴(yán)的隱私數(shù)據(jù)保護(hù)條例。它的條款規(guī)制了美國(guó)谷歌、Facebook等公司在歐洲地區(qū)的數(shù)據(jù)收集、存儲(chǔ)和使用。

2019年1月，法國(guó)監(jiān)管機(jī)構(gòu)就依據(jù)GDPR對(duì)谷歌重罰，開出了5000萬(wàn)歐元(約合3.8億元人民幣)的巨額罰單，理由是谷歌在向用戶定向發(fā)送廣告時(shí)缺乏透明度、信息不足，且未獲得用戶有效許可。

第二個(gè)被罰的是Facebook，它因違反意大利消費(fèi)者法律被處以兩筆罰款，總計(jì)1000萬(wàn)歐元(約合7777萬(wàn)元人民幣)。另外，蘋果、推特、微軟都因數(shù)據(jù)違規(guī)被歐盟各國(guó)列為監(jiān)管對(duì)象。

圖：Facebook因違反GDPR被罰，來(lái)源：internalaudit360

除了上述國(guó)際公司，云服務(wù)商因?yàn)樽陨硎占?、存?chǔ)用戶數(shù)據(jù)的特性，也是GDPR的主要監(jiān)管對(duì)象。

在美國(guó)CLOUD法案出臺(tái)后，歐盟曾討論過(guò)該法案和GDPR之間對(duì)云服務(wù)商的相互作用。歐洲數(shù)據(jù)保護(hù)委員會(huì)EDPB和歐洲數(shù)據(jù)保護(hù)監(jiān)督員EDPS認(rèn)為，只有在非常有限的情況下，云服務(wù)商才需要響應(yīng)CLOUD法案。

因?yàn)镚DPR第48條明確規(guī)定，除非根據(jù)《司法協(xié)助條約》(MLAT)作出規(guī)定，否則外國(guó)法院的命令或行政機(jī)關(guān)的決定將不會(huì)在歐盟自動(dòng)得到承認(rèn)和執(zhí)行。

盡管云服務(wù)商不必響應(yīng)美國(guó)法案，但歐盟還是決定自建“云上歐洲”。

德國(guó)和法國(guó)在2019年10月推出Gaia-X項(xiàng)目，該項(xiàng)目由政府支持，開發(fā)歐洲云基礎(chǔ)設(shè)施，幫助當(dāng)?shù)毓?yīng)商與主導(dǎo)全球云市場(chǎng)的美國(guó)科技巨頭競(jìng)爭(zhēng)。

在歐盟之外，印度和泰國(guó)也提出了數(shù)據(jù)本地化，要求外國(guó)企業(yè)將本國(guó)用戶的數(shù)據(jù)存儲(chǔ)在本地。

在各國(guó)都積極進(jìn)行數(shù)據(jù)保護(hù)的背景下，在海外展業(yè)的中國(guó)公司或中國(guó)云廠商更應(yīng)該謹(jǐn)慎行事。除了嚴(yán)格遵守當(dāng)?shù)胤?，在面?duì)無(wú)端指控和質(zhì)疑時(shí)，要敢于拿出強(qiáng)硬的態(tài)度維護(hù)合法權(quán)益。