其他
观点 | 数据本地化立法与数字贸易的国际规则
2016年7月,历时1年以后,《网络安全法(草案二次审议稿)》再次向社会公开征求意见.其中,第三十五条确立了以“数据境内存储为原则,安全评估为例外”的数据本地化规则.本文将从“本地化”的概念入手,探讨关于数据本地化的国内立法与数字贸易的国际规则及其实践困境和未来走向.
“本地化”一般指企业在国际化过程中,为了提高市场竞争力、降低成本或者遵守投资东道国法律法规的规定,将产品和服务的生产、销售等环节按特定国家或地区的需要进行组织,使之符合特定区域市场的要求.
由于数据作为“国家基础性战略资源”的作用日益突显,加之各国立法对于国家安全考虑的份量日益加重,“数据本地化”成为国内立法和国际规则制定的重要议题之一.在讨论数据本地化的问题时,“本地化”大致包含三重含义,即“服务本地化”、“设施本地化”和“数据本地化”.其中,“服务本地化”要求服务提供者在东道国领土内设立或维持办事处或任何形式的企业、或成为居民;“设施本地化”要求使用东道国领土内的计算设施,或要求将设施置于其领土之内作为从事经营的前提条件;“数据本地化”要求将数据存储在数据来源国本国的数据中心.
从投资者的性质来看,数据本地化不分国内国外的投资者,同时适用于本国企业,而服务本地化和设施本地化主要是对外国投资者的要求;从强调的重点看,数据本地化强调的是数据来源地,即收集、使用、处理的数据来自于本国或本国的用户;服务本地化强调的是在本国设立商业存在提供服务,它与服务贸易提供模式之一的跨境服务相对应;而设施本地化强调的是物理设施的位置,要在东道国建立相应的服务器或计算设施.从政策目标来看,服务本地化是服务贸易中的市场准入措施,关系到外国投资者的服务是否能够以及如何进入本国市场;设施本地化拥有促进本国投资和国家安全的双重目的;而数据本地化的政策目标则主要是维护安全和执法的便利.
一般而言,服务本地化要求建立设施,建立设施自然要存储数据,三者是相互递进的关系,但反过来并不成立,数据本地化不一定要存储在自己的数据中心,也不一定在境内设立商业存在.本文所探讨的是广义上的“数据本地化”,其含义包括上述服务本地化、设施本地化和数据本地化3个方面.
1.2数据本地化与相关概念的关系
1)数据本地化与跨境数据流动。数据本地化与跨境数据流动限制是既联系又区别的问题.数据本地化是实现数据在本地的存储,但不一定不允许跨境传输;而禁止跨境数据流动,是既在本地存储,又不允许传输到境外.
2)数据本地化与跨境服务。跨境服务是WTO服务贸易的一种提供方式,指自一成员领土向任何其他成员领土提供服务.在该服务模式下,用户和服务提供者不在一个国家,服务提供者跨境提供服务,在当地取得用户信息等数据,为了提供服务,这些数据可能要传到服务提供者所在国家进行处理.跨境服务也可能会被要求采取数据本地化措施,如要求其在本地设立服务器,并存储和处理本国的用户数据.
3)数据本地化与数据留存.数据留存一般是指服务提供者留存用户的上网时间、帐号、IP地址、域名等,以备司法或执法机关为特定目的进行查询.数据留存主要是以安全为目标,配合执法;数据留存一般有一定的期限,从半年到2年不等,而数据本地化则一般不规定期限;数据留存的范围以网络日志为主,而数据本地化范围更为广泛,涉及服务提供中的大部分数据.
1.3本地化政策的目标
互联网的发展,尤其是拥有顶尖数字技术的跨国公司在全球的扩张,对各国的法律和监管带来新的挑战.一些国家的政府试图通过反垄断调查、税收征收、隐私保护、国家安全等方面的措施,加强本国对互联网及跨国公司的限制.本地化政策也是其中之一.本地化政策主要是为了实现以下3个方面的目标:
1)保障国家安全和个人隐私.由于斯诺登事件的曝光,美国政府无所不在的大规模监控使各国政府陷入国家安全和隐私保护的焦虑之中.在美国专栏作家格伦·格林沃尔德所著的《无处可藏》一书的后记中,作者写到:“此举令全世界的目光都聚焦在无所不在的政府监控和政府机密的普遍存在;在全球首次引发了数字时代个人隐私的价值观大讨论,对美国在互联网上的霸权统治提出了挑战”。数据本地化政策正是应对国外监控的重要举措之一.
2)便利本国执法.数据存储在境内,便利国内行政、司法机构为侦查犯罪或国家安全的需要进行调取和检查.
3)促进本国产业发展.数据是重要的生产要素和社会财富,数据掌握的多寡是新时期国家软实力和竞争力的重要标志.同时,在本国设立数据中心,也会增加投资,拉动当地经济发展.
不同的政策目标决定不同的政策取舍,在各国关于本地化的立法及国际规则制定中,重点需要对于服务本地化、设施本地化和数据本地化进行区分,确定采取哪一类本地化措施,在将数据存储在境内以备安全为目的的审查,还是要求设施本地化以促进投资的增长等不同政策目标之间进行平衡.
数字贸易(digital trade),在美国国际贸易委员会2013年的一份报告中将其定义为“通过互联网传输的产品和服务”.该报告同时指出,数字贸易的范围非常广泛,它包括使用互联网搜索、购买产品,或者在线传输数字产品.关于数字产品,《跨太平洋伙伴关系协定》(以下简称TPP协定)将其定义为:电脑程序、文本、视频、图像、声音记录,以及其他以数字进行编码和制作用于商业销售或分销,且可通过电子方式进行传输的产品.
关于数字贸易的国际规则是当前各国际谈判中最重要的议题之一.2013年底,美国参议院专门提出了一份《2013美国数字贸易法案》,其意图即是将促进基于互联网的商业和数字贸易的条款加入协议,作为美国进行双边、诸边和多边协议谈判的原则之一.数据的跨境流动是数字贸易规则中最重要的条款之一.该法案认为有关数据跨境流动的限制性政策属于非关税壁垒,这些本地化壁垒会削弱美国的竞争力,因此,“美国政府的立场一直是,并且依旧是,提倡数据的跨境自由流动”.
2.2与数据本地化相关的国际规则
2.2.1经济合作与发展组织(OECD)
OECD是最早发布关于跨境个人数据流动相关指引的国际组织,其1980年发布,2013年更新的《关于隐私保护和跨境个人数据流动的指南》规定,成员国应采取合理并恰当的步骤确保个人数据的跨境流动,包括从一个成员国中转,不应被中断并且应是安全的;一个成员国应克制其对个人数据在它自己与另一成员国间跨境流动的限制,除非该成员国没有实质性地遵守指南或者对于这些数据的再出口将违反其本国的隐私法.一个成员国也可以根据本国的隐私立法对有特别规定的特定种类个人数据施加限制,或者是由于其他国家没有提供同等的保护而进行限制;成员国应避免以保护隐私和个人自由为名制定法律、政府和实践,事实上对个人数据跨境流动设置超出其保护水平的障碍.
2.2.2 世界贸易组织(WTO)
WTO是以自由贸易为价值追求的国际组织,在《服务贸易总协定》(以下简称GATS)关于电信服务的附件中规定,“每一成员应保证任何其他成员的服务提供者可使用公共电信传输网络和服务在其境内或跨境传送信息,包括此类服务提供者的公司内部通信,以及使用在任何成员领土内的数据库所包含的或以机器可读形式存储的信息.”但是在服务贸易总协定的一般例外条款中,规定各成员可以采取为“保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性”所必需的措施.
2.2.3《跨太平洋伙伴关系协定》(TPP)
TPP协定分别针对服务本地化、数据本地化和设施本地化进行了规定.最受关注的是TPP的14.11条“通过电子方式跨境传输信息”,规定:(1)各缔约方认识到每一缔约方对于通过电子方式跨境传输信息可能有各自的监管要求.(2)当通过电子方式跨境传输信息是为涵盖的人执行其业务时,缔约方应允许此跨境传输,包括个人信息.(3)本条不得阻止缔约方为实现合法公共政策目标而采取或维持与第2款不符的措施,条件是该措施:(a)不得以构成任意或不合理歧视的方式适用,或对贸易构成变相限制;及(b)不对信息传输施加超出实现目标所需要的限制.
无论TPP的前景如何,它已经成为不少国际协定电子商务章节的范本,也在一定程度上代表着未来数字贸易国际规则的发展方向.除上述规则外,APEC正在谈判修改其隐私框架,跨境隐私规则体系(CBPRs)是其中的重要组成部分,CBPR规范的对象仅限于亚太地区涉及个人信息跨境传输业务的企业,而不包括政府.其他一些正在进行的双边、多边投资协定或自由贸易区谈判中也关注跨境数据流动问题.
2.3国外主要数据本地化立法的类型
2013年斯诺登事件之后,大约有20多个国家采取了数据本地化的限制措施,主要包括:阻止信息被发送到国外,在数据跨境传送时要求数据主体的事先同意,要求将信息复制在本地储存,对于数据的出口征税等.
要求将本国人的数据存储在本国.例如,2014年印度国家安全理事会建议,不仅要将政府机构的数据也要将印度公民的数据本地化.所有的电子邮件服务提供者要将在印度运营的服务器放在印度,所有在印度产生的数据要放在印度的服务器中.
要求在跨境传输前得到数据主体的事先同意.例如,马来西亚要求数据的国际传输需征得同意[9];韩国《信息通信网的促进利用与信息保护法》规定,信息通信服务提供商等欲将利用人的个人信息移转于国外的,应征得利用人的同意.
要求在境内留有数据备份,不禁止跨境传输.例如,俄罗斯和越南等国家要求本国用户的数据在本地复制存储.
数据关系到公共利益或国家利益时进行限制.例如,台湾授权主管机关在其认为数据关系到“重大国家利益”的情况下限制传输;印度1993年公共记录法第4部分禁止公共记录被传输出印度领土,除非“公共目的”.
对于特定类别的数据禁止跨境传输.例如,澳大利亚禁止识别到个人的健康记录传到国外;加拿大英属哥伦比亚和新斯科舍省,出台法律要求由公共机构——学校、大学、医院、政府所有实体、公共机构——持有的个人信息被存储并仅能在加拿大被访问,除非一些例外条件满足.
2.4我国的相关法律政策
我国2016年7月发布的《网络安全法》(草案二次审议稿)第三十五条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储.因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定.”从而确立了以境内存储为原则,安全评估后向境外提供为例外的跨境数据传输制度.此外,在一些特定行业的立法中,也有关于数据本地化的要求,如《征信业管理条例》和《地图管理条例》.
互联网的发展突破了地域的限制,它具有天然的跨越国界的特点,数据可以在世界各地访问和备份;云计算等技术业务的发展,使数据的跨境传输、存储和处理更加容易,甚至更加经济、有效;而跨境电子商务的发展,使用户信息的跨境收集和处理成为必然要求.在这样的情况下,数据本地化政策的实施不仅要通过专门的技术手段来完成,还要进行更严密的制度设计,数据本地化的范围、数据主体的同意、允许跨境传输的例外等,这些问题在实践中都面临困境.
3.1.1 数据的范围
在OECD的《关于隐私保护和跨境个人数据流动的指南》、APEC的跨境隐私规则以及欧盟-美国的隐私盾协议中所指的都是“个人数据”,可见,个人数据在数据跨境流动的规则中占据着核心的重要地位.但是,个人数据并非数据本地化规则所规范的全部,TPP电子商务章节“通过电子方式跨境传输信息”一条中,在数据的范围方面,指出:“当通过电子方式跨境传输信息是为涵盖的人执行其业务时,缔约方应允许此跨境传输,包括个人信息.”这其中,涵盖的人指缔约方的投资者或服务提供者,执行的业务主要是指“电子方式的贸易”,因此,这里的“信息”应涵盖因从事电子商务业务需要而跨境传输的信息,不仅是个人信息,还包括其他的业务信息.但TPP特别指出该条不适用于“缔约方或以其名义持有或处理的信息,或与此信息相关的措施,包括与信息收集相关的措施”,从而将政府或以政府名义持有或处理的信息排除在外.此外,对于涉及国家安全、高端技术等方面的信息,一些国家也有相关的法律规定禁止其传输,如韩国《信息通信网的促进利用与信息保护法》规定,“政府为防止国内产业、经济及科学技术等重要信息泄露国外,可令信息通信服务提供商或利用人采取必要措施.”
3.1.2数据主体的同意
数据主体同意是很多国家数据本地化立法中的例外条件,即在数据主体同意的情况下可以跨境传输.例如,韩国规定“信息通信服务提供商等欲将利用人的个人信息移转于国外的,应征得利用人的同意”.马来西亚个人数据保护法,要求关于马来西亚人的数据要存储在本地服务器上,例外情形中就包含“数据主体的同意”[9].但是在大数据发展对传统个人信息保护法中“告知同意”原则带来很大挑战的情况下,数据跨境传输中的数据主体同意同样面临操作的困境.例如,同意的时间是首次收集时的同意,跨境传输时的同意,还是二次利用时的同意;同意的方式,是书面、通过传真或电子邮件的方式,同时,“书面”如何理解?“同意”的可访问、可撤销要求如何做到,等等.
3.1.3其他例外
数据本地化立法中,除“数据主体的同意”外,执行合同的需要、执行国际协定的要求、执法与保护公民利益的需要等,都是可能允许数据跨境传输的理由.还有一些国家对于政府信息的跨境传输进行风险评估,根据评估的结果决定跨境传输的范围.这些都是需要个案处理的例外原则,需要由专门的机构做出判断,其具体的操作也可能千差万别.
3.2未来趋势
减少数据本地化规则、进行数据跨境流动的合理限制,是未来国际多、双边谈判的重要议题之一,各国需要考量互联网的本质属性、本国跨国公司的发展、未来全球数字贸易发展中本国的地位、国内立法的进展与监管力量的配置等各种因素,平衡数据本地化的主权利益与跨境自由流动的超主权诉求,平衡贸易壁垒与贸易自由化的关系等.而未来的趋势,应是在国际规则与国内立法方面达到协同,才能更有效地促进数字经济的发展.
本文原载于《信息安全研究》2016年第9期。