他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展 | 自由微信

他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展

Original 陈际红中伦视界 2020-09-01

背景

在经济全球化飞速发展的今天，数据的跨境流动变得异常频繁，已经成为一种不可阻挡的趋势，许多国家都对数据的跨境流动进行了监管。我国2017年6月1日正式实施《网络安全法》，该法对关键信息基础设施的运营者数据跨境传输的义务进行原则性规定[1]。然而，作为《网络安全法》数据出境方面的具体配套法规迟迟没有最终敲定，《个人信息和重要数据出境安全评估办法》（以下简称“《评估办法》”）、《数据出境安全评估指南》（以下简称“《评估指南》”）仍在征求意见阶段，我国数据跨境流动的监管制度仍是雾里探花、只见端倪。

本文结合我国现有的数据跨境流动监管规范，借鉴全球数据跨境流动监管政策，提出对我国未来数据跨境流动监管方案的建议。

一、数据跨境流动监管动因

当前信息技术与互联网的发展促使各国经济朝着数字化方向转型，经济实体和个人的各种活动也以数字化方式进行，物理世界与虚拟世界相互交融、难分彼此。因此，若缺失对互联网秩序、数据尤其数据跨境流动的监管，势必将映射到现实世界，影响现实世界的秩序、带来不利的反馈。一般而言，各国可能出于以下原因对数据跨境流动进行监管：

1、聚集数据资源

我们正处于ABC（AI，BIG DATA和CLOUD）时代，ABC时代的核心要素便是数据，可以说数据是ABC时代的燃料，没有数据整个社会将无法运转。正因为数据的重要作用，数据已经成为国家重要的战略资源，如果一个国家没有聚集数据而是流出数据，意味着国家战略资源的丧失、国家竞争力的衰弱。因此，各国出于实现数据资源的聚集、增加国家竞争力的目的对跨境数据流动秩序进行监管。

2、防止行政管理权、司法权落空

当前电子数据在生活中随处可见，所签订的合同、沟通的载体、支付信息等很多都是通过电子数据实现的，司法或行政案例中的证据也越来越多以电子数据方式存在。因此，各国出于有效的行政管理及司法管辖的目的，需要要求电子数据进行本地化存储。如果一国的数据不能有效存储在国内，那么行政管理权和司法权就可能会落空。美国最近出台的CLOUD法案就是基于这一考虑。

3、保障国家安全和社会秩序

对于涉及国家秘密的数据，由于该数据的出境将会对国家安全造成严重威胁，因此各国都不允许这类数据出境。此外，某些数据即使不涉及国家秘密，但是该类数据的聚集也可能影响国家安全与公共利益，例如一国的发电量、交通运输量等数据的聚集可在一定程度上反映一国的经济发展状况，因此各国可能倾向于限制该类数据出境，此谓重要数据。

4、保护个人数据权益

在数字社会，个人数据主体权益的保护重要性凸显，而个人数据的跨境流动将对个人数据权益保护带来极大的挑战，出境的个人数据难以受到数据主体的有效控制，而各国的数据保护立法水平、司法制度具有差异，进而可能对个人隐私权等主体权利造成损害。因此，为了保护个人数据主体的权益，各国也对数据跨境流动进行监管。

二、域外数据跨境流动监管政策对比

1、欧盟：侧重保护个人权利，关注GDPR具有传导效应

在立法的价值取向上，欧盟侧重保护个人权利，数据跨境流动监管政策主要体现个人数据保护制度上。根据GDPR第五章的规定，对于个人数据出境制定了较为丰富的合法场景，除数据主体同意、履行合同必要等事项之外，还包括数据传输至“充分性认定”地区、具有充分保障措施的实体（具有约束力的公司规则、标准合同条款、已批准的行为准则及经批准的认证机制、封印或标识等）等。

“充分性认定”类似一个白名单机制，欧盟委员会负责根据第三国的个人信息保护立法状况、执法能力，以及是否存在有效的救济机制等因素，做出综合评估，因此当欧盟对其他国家进行“充分性认定”时，会促使其他国家按照GDPR要求进行个人数据保护，进而影响该国的数据立法。目前欧盟委员会仅认定不足20个国家符合“充分性认定”标准[2]。即便如此，由于GDPR的传导效应和溢出效应,GDPR的数据跨境流动监管规则也会被其他国家所效仿，这将有可能改变全球的数据治理格局和数据保护的水平。

2、美国：允许跨境调取他国数据，限制他国获取美国数据

2018年3月美国总统特朗普正式签署CLOUD Act，该法案采取“数据控制者”标准，打破“服务器标准”，允许调取不在美国境内的电信服务或远程计算机服务的提供者控制、监管的数据[3]。同时，CLOUD Act对数据调取行为的抗辩设置严格的条件，仅包括目标对象不是“美国人” 且不在美国居住及披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府” 立法的实质性风险的抗辩[4]，这在一定程度反映美国试图打破各国数据本地化政策屏障的意图。

3、俄罗斯：要求数据普遍地本地化存储和处理

在2013年棱镜门计划曝光后，俄罗斯通过修订《关于信息、信息技术和信息保护法》、《俄罗斯联邦个人数据保护法》加强数据本地化和数据跨境流动的监管。根据《关于信息、信息技术和信息保护法》第十条第一款，自网民接受、传递、发送和（或）处理语音信息、书面文字、图像、声音或者其他电子信息六个月内，互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。根据《俄罗斯联邦个人数据法》第十八条第五款，运营商收集个人数据（包括使用互联网手段）时，需要保证使用位于俄罗斯境内的数据库，对俄罗斯公民的个人数据进行搜集、记录、整理、积累、保存、核对（更新、变动）和提取。根据上述规定，俄罗斯履行数据本地化义务的主体范围相当广泛，包括互联网信息传播组织者、运营商都需要对数据进行本地化存储和处理。

对于数据出境的监管，俄罗斯要求相关机构、国外政府或者国家必须拥有同等的保护水平才可以进行数据传输，否则必须具备数据主体的书面同意、履行合同必要、保护国家安全必要、执行国际条约义务必要等目的才可以进行数据出境[5]。

4、APEC：采取认证机制规范数据跨境流动

2004年APEC成员国达成的《APEC隐私框架》对数据跨境流动进行原则性规定，要求数据控制者将个人信息传输到第三方（无论是境内还是境外）应获得数据主体的同意或者确保数据接收者持续遵守《APEC隐私框架》的原则。

为了推进各成员的统一执行《APEC隐私框架》，APEC委员会在2007年出台《APEC跨境隐私规则体系》（CBPR）。CBPR体系对数据跨境流动采取认证机制：数据控制者可以自由选择是否进行CBPR认证。如果通过CBPR认证，数据控制者就被认为满足了隐私保护要求，可以在APEC区域内实现自由的跨境数据传输，而对于获得认证的数据控制者，将受到该CBPR的约束，隐私责任评估机构可以按照当地法和合同执行跨境隐私规则，隐私执法当局也可以按照本国法对经认证的数据控制者采取相应的执法措施。

三、我国数据跨境流动监管政策的建议

1、整体目标

根据Synergy Research最新的研究报告，目前绝大多数超大规模数据中心设在美国，占到了 44% ，中国占比 8%，位居第二，而日本、英国占比 6％[6]。由此可见，虽然我国在数据聚集上不及美国，但相比较世界其他国家，仍存在一定优势。因此，我国在数据跨境流动监管的立法应充分考虑数据保护和数据流动的平衡，并引导数据在我国聚集，不建议采取绝对化要求，比如绝对的数据本地化要求。同时，对于特定行业和特定类型的重要数据，应本地化存储和处理，以维护我国国家安全。

2、制订时机

出于下述原因，我国应尽快制定数据跨境流动监管制度：

（1）保障相关企业、组织有法可依。由于没有明确的法规指引，没有数据跨境流动的监管机构，虽然《网络安全法》已经生效一年有余，我国企业目前无法进行合规的数据出境安全评估，我国目前数据跨境流动的治理处于悬空状态，迫切需要制定治理规范；

（2）参与全球数据跨境流动国际监管规则建设的需要。欧盟、美国、俄罗斯等都颁布了各自的数据跨境流动治理法规，在全球数据跨境流动治理平台中发出自己的声音，我国也应及时出台自己的数据跨境流动治理法规，积极参与国际规则的制定；

（3）国家间数据协定谈判的迫切需要。基于欧盟GDPR的规定，2018年7月欧盟与日本已经实现对等的数据传输充分性认定，数据得以安全地在欧盟和日本之间进行流动。若未来我们参与国家间的数据谈判，需要以国内的监管规范作为谈判的基础，因此迫切要求制定我国自己的数据跨境传输监管规范。

3、监管政策构想

（1）对数据本地存储和数据跨境流动进行双重监管。我国可以基于促进数据聚集、保护国家安全等的原因鼓励数据本地化存储和处理。对于跨境数据的流动，我国可以设置监管门槛，对于正常的数据跨境流动，不设置障碍，仅监管达到相应门槛的数据跨境流动。

（2）对于大企业和中小企业进行分类监管。由于数据出境可能造成的风险、对数据出境安全评估成本承受能力的不同，需要对大企业和中小企业采取不同监管政策。由于大企业处理的数量规模更大，更有可能构成关键信息基础设施运营者，数据出境的风险较高，因此可以施以更高的合规责任，进行更加严格的监管；而中小企业的数据出境一般不会带来实质性伤害，可以适当降低标准或者豁免某些法律要求。

（3）对个人信息和重要数据进行双轨监管。个人信息与重要数据在本质上是不同的，个人信息主要是对数据主体私权的保护，而重要数据则侧重于国家利益、国家安全的保护。由于个人信息和重要数据在监管目标、适用范围、评估程序指标差异显著，我国可以分别制定适用于个人信息与重要数据的监管规范。对于个人信息跨境数据流动，可以基于评估、协议、明示同意、认证等民事手段来解决，而对于重要数据的跨境流动，则应主要依赖于行政监管。

（4）多元化个人数据跨境流动的合法事由。纵观世界各国个人数据跨境流动的合法性事由，大致包括对数据接受国充分性认定、采取充分保障措施、认证机制、国家间对等协议等，我国可以借鉴上述合法事由，增加例如认证机制、充分性保障措施等的合法事由，使得个人数据的流动更加便利。

（5）完善我国的长臂管辖原则。我国《网络安全法》采取有限的域外管辖的原则，有权管辖涉及危害关键信息基础设施的境外的机构、组织、个人[7]。由于数据跨境流动活动本身具有长臂效应，欧盟、美国等数据出境监管法规都具有一定域外效力，因此我国可以根据国情适当增加长臂管辖的范围。

注：

[1] 《网络安全法》第三十七条。

[2] 参见王融：“数据跨境流动政策认知与建议”，网址：https://www.sohu.com/a/219667662_455313，2018年10月9日访问。

[3] CONGRESS. GOV：“CLOUD Act”，网址：https://www.congress.gov/bill/115th-congress/senate-bill/2383/text，2018年10月9日访问。

[4] 同上注。

[5] 《俄罗斯联邦个人数据法》第十二条。

[6] 1991IT：“Synergy Research：目前全球大型数据中心数量已超过300个”，网址：http://www.199it.com/archives/550651.html?winzoom=1，2018年10月9日访问。

[7] 《网络安全法》第七十五条。

注：本文由陈际红律师执笔，经全国律师协会信息网络与高新技术委员会多位委员讨论并贡献。

特别声明：