查看原文
其他

许多奇:如何规制个人数据的跨境流动? | 前沿

郭咪萍选编 中国民商法律网 2021-03-08

中国民商法律网


本文选编自许多奇:《个人数据跨境流动规制的国际格局及中国应对》,载《法学论坛》2018年第3期。

作者简介:许多奇,上海交通大学法学院教授,上海交通大学互联网金融法治创新研究中心联席主任。


全文共4167字,阅读时间约20分钟


目前全球规制跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。为此,上海交通大学法学院许多奇教授在《个人数据跨境流动规制的国际格局及中国应对》一文中,分析了欧盟的立法体系构成以及美国的规制体系构成,并从价值取向、规制路径、规制结果三方面将欧美两种规制方式进行对比,最后还提出了数据跨境流动规制的国际格局下我国的应对路径,为我国数据传输的立法提供了有益指导。


 一、欧美数据跨境流动的规制体系


(一)欧盟:严格限制个人数据跨境流动的规制体系


欧盟关于个人数据跨境流动规制的立法体系主要是由1981年欧洲理事会的《与个人数据自动化处理有关的个人保护公约》(以下简称“《公约》”)、1995年的《个人数据保护指令》(以下简称“《指令》”)和2016年的欧盟《通用数据保护条例》(以下简称“《条例》”)三个标志性法律文件构成的。


这三个法律文件的约束力逐渐增强,对个人数据跨境转移的限制越来越严格,充分表明了欧盟希望通过立法的不断完善保障欧洲共同体整体数据保护水平的诉求,也反映了欧盟希望通过构建“数字单一市场”提升数字经济竞争力的愿望。


(二)美国:通过双边或多边协议强化数据跨境的规制体系


美国基于其信息产业的优势地位以及对数据自由流动的依赖性,通过多种途径促进数据跨境,主要作法有以下两种:


1.与欧盟签订双边协议,为企业获得数据跨境传输资格。虽然美国对于个人数据保护未能达到欧盟要求的“充分保护”水平,但美欧双方达成了《美欧安全港协议》(以下简称“《安全港协议》”),只要美国的商业机构能够制定并遵守符合上述安全港原则的隐私保护政策,就可以加入安全港并被认定为达到《指令》所要求的“充分保护水平”,进而可以接收和处理来自欧盟的个人数据。


虽然由于美欧双方关于数据隐私保护法律存在巨大差异,《安全港协议》无法作为长久的解决方案,但在这个协议失效的一年内,欧美在跨境数据流动创造的商业利益驱使下,于2016年7月12日又达成《欧美隐私盾协议》,成为规制双方数据流动的新妥协方案。


2.借助亚太区域经济合作推广自身模式,争取数据跨境领域的话语权。与欧盟相比,美国在参与数据跨境流动规制方面话语权较小。随着全球进入信息社会,美国并不甘心在这一领域处于由其他经济体制制定规则的地位,它依靠其在亚太地区的政治经济影响力推动构建有别于欧盟的规则体系,并使之逐渐获得了执行力与约束力。


 二、个人数据跨境流动欧美两大规制体系的比较分析


个人数据跨境流动的国际基本格局由欧盟和美国两大规制体系构成,为了更好地理解和把握这一基本格局,有必要进一步从价值取向、规制路径和规制结果三个方面对欧美两大体系作一比较分析。


(一)价值取向:个人数据权保护与数据跨境自由流动


个人数据跨境流动欧美两大规制体系在价值取向上存在数据权保护与数据自由流动的不同诉求。


欧盟将数据权作为一种基本人权,并通过苛严的立法提升保护水平。其强调个人数据权的保护,这与其人权保护传统有着密切的关系。长期以来,欧洲数据保护都是与隐私权相联系的,通说认为数据权是隐私权的一部分,所谓的个人数据和信息保护不过是从“信息视角”对隐私权的一种解读。这也构成欧盟在跨境数据流动规制上的基本立场。


而美国政府和实务界反对立法规范个人数据处理行为,认为强硬的法律结构会“不可避免地阻碍商业活动”,而奉行以市场为主导,以行业自律为中心的个人数据保护政策。这种立场从根本上决定了美国在跨境数据流动上的诉求是更加看重数据自由流动和经济利益,更希望通过促进数据跨境维护业已建立的信息优势。


在数据跨境流动的价值目标中,数据自由流动和数据权保护两者缺一不可。一方面,跨境数据流动在全球的价值创造能力不容忽视,不仅欧美之间有巨大的跨境数据流动需求,而且在全球范围内一半的服务贸易要依靠跨境数据流动实现;另一方面,不断提高个人数据权保护水平对于提振消费者对数字贸易的信心有积极作用,也是社会发展进步的必然要求。


(二)规制路径:“充分性”原则与“问责制”原则


欧盟和美国对跨境数据流动采用了不同的规制路径,欧盟是“以地理区域为基准”,依据“充分性”原则,进行事前防范的规制路径;美国则是“以组织机构为基准”,依据“问责制”原则,进行事后问责的规制路径。


欧美两种不同的规制路径和原则反映出对于跨境数据流动规制的两种不同立场,各有其合理性,也各有其不足。欧盟的规制路径为数据跨境流动设置了统一的标准,有利于建立稳定的个人数据保护秩序并为个人提供合理的权利预期。但不可否认的是,由于该路径下的“充分性”认定的高标准和批准程序的复杂性,导致了对于数据跨境自由流动的严格限制,很可能对贸易造成不必要的阻碍。美国的规制路径,一方面确定了数据控制机构(数据控制者) 在确保个人数据安全中所应遵守的原则,另一方面规定违反原则所应承担的责任。政府仅在该组织机构导致了违反义务的结果时事后问责,从而大大减轻了对跨境数据流动的限制。但“问责制”以数据控制机构(数据控制者) 会自觉遵守个人数据保护原则为预设立场,如果某数据控制机构或组织缺乏自觉性,就有可能导致政府或监管者在事前或事中对数据控制机构或组织的失控。


(三)规制结果:超强影响力与提升话语权


欧盟与美国分别主导构建了两种迥然不同的跨境数据流动规制体系,深刻地影响了各国的相关立法。


从欧盟体系来看,不仅欧盟成员国将《指令》、《条例》的内容内化为本国数据保护法的具体规定,而且许多非欧盟成员国也按照欧盟数据保护标准提升其国内个人数据和信息保护水平,以确保涉及个人数据传输的国际贸易不至于因不符合欧盟指令而遭到质疑。这些都充分显示了欧盟在数据跨境流动国际规则制定中的超强影响力。


从美国体系来看,其促进个人数据跨境自由流动的理念与规则不仅对亚洲太平洋经济合作组织及其成员国具有指引、劝导等柔性规范的作用,而且通过将自身的跨境数据流动规则融入全球经贸规则体系而获得较强的约束力,起到一定的刚性约束作用。由此,美国也提升了自己在跨境数据流动国际规则制定中的话语权。


 三、我国数据跨境传输立法应对


(一)我国数据跨境传输立法现状


我国在数据跨境流动规制领域起步较晚,近年来政府已开始关注数据跨境传输问题,但至今仍没有独立的关于数据跨境流动的法律,相关内容散现于各类法律法规、部门规章之中,较为零散。已有法规的内容总体而言是严格限制国内数据向境外转移。其中既限制个人数据,也限制个人健康和金融信息,对于国家秘密,更是严格限制出境。


2015 年8 月19 日,国家层面的《关于促进数据发展的行动纲要》正式通过,为全面推进我国数据发展和应用,加快建设数据强国提供了行动纲要。《中华人民共和国网络安全法》 (以下简称《网络安全法》) 于2017年6月起正式实施。作为中国网络领域的基本法律,《网络安全法》首次对关键信息基础设施的数据跨境传输从法律层面上进行了规制。该条文在社会上引起了广泛关注,有学者认为这样的规定有利于保障我国的国家安全、公共安全和个人的隐私安全;也有专家认为这样的规定会对贸易产生负面影响,乃至于影响整体经济的发展。


(二)我国数据跨境传输立法评析


我国力图通过数据本地化留存避免跨境数据可能产生的国家安全隐患和个人隐私风险,效果虽然不错,但是这种保护措施也可能加剧信息不对称现象,从而影响我国的国际竞争力。因为苛严的跨境数据流动限制,可能使某一市场被孤立或者受到局限,本国相关企业难以参与到国际化的竞争,消费者也无法享受全球规模带来的好处,给经济发展带来负面影响。而且当一国实施较为严格的数据跨境流动限制后,其他国家出于对等原则也可能采取相似的跨境流动限制。对于数据跨境流动限制可能带来直接的经济损失,来自欧盟的一份公告指出,如果我国的数据本地化策略得到全面的实施,可能减少GDP的1.1%、推动中国出口和长期增长的境外对我国直接投资的1.8%和出口的1.7%。


(三)数据跨境流动规制国际格局下我国的应对路径


目前全球跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。在这一国际格局下,我国的应对路径是:


1.完善数据跨境流动立法,提升法律的可操作性


一是在后续配套法规中,对不同类型的数据采取不同的管理方法。对于涉及国家秘密、国家安全以及经济安全的数据严格禁止跨境,要求必须在境内的数据中心存储和处理;对于政府和公共部门掌握的其他数据,实施跨境数据流动的条件限制,例如要进行安全风险评估;对普通的个人数据则允许跨境流动,但要满足安全管理要求,可采用问责制、合同干预等形式进行管理。


二是加强立法的科学性和可操作性。只有通过科学立法以明确可跨境流动数据的类型、范畴、处理方式、保护措施、风险防范等要素和内容,才能既为数据的跨境流动合法与否提供判断依据,增强行为的可预见性;也为国家对数据的跨境流动规制提供审查或执法依据,确保数据分享的安全性。


2.提高企业的合规遵从性,推进行业自律制度建设


企业应从构成IT 社会一员的立场出发,从公司法人治理的高度,将数据、信息安全注入企业文化,形成企业内部人员上至总裁下至普通员工都以自觉遵从保护个人数据、信息安全的国家法律法规以及企业规章制度为荣,以不履行保护义务的行为为耻的良好风气。


规制跨境数据流动,除了通过完善立法和加强政府监管外,还应依靠行业自律制度。各行业应根据自身特点确立行业保护个人数据、信息安全的保障义务,并通过行业规章、标准等予以具体落实。此外,为防止个人数据被滥用、失窃、非法交易等行为的发生,行业自律制度还可以采用一定的惩罚性赔偿措施。总之,行业自律制度可以为企业间的数据跨境流动提供更具灵活性的制度安排和安全保障。


3.大力开展国际合作,积极参与国际规则制定


目前,尽管诸如欧盟等地区或国家对跨境数据流动实施了积极监管,但就全球范围内来说尚未形成统一的国际规则或条约规范。我国需要对跨境数据流动的全球规则做前瞻性思考,提早部署研究,争取做国际规则制定的构建者,而不应成为规则的被动接受者。


具体实践中,我国可以一方面积极参与国际平台上有关跨境数据流动规则的研讨,代表中国企业利益发出中国声音;另一方面可考虑借助RCEP、FTAAP 等区域谈判寻求建立符合中国利益的跨境数据流动规则。在这方面可以借鉴美国的做法,建立类似于“安全港”的合作或加入CBPR 这样的国际体系,可以增进国际市场对中国企业的信任,为企业争取参与全球竞争的机会,并在这一过程中培育行业的自律,促进我国数据保护水平的提升和相关行业的可持续发展。


欧盟和美国出于各自的历史传统和现实诉求,创建了个人数据跨境流动规制的两大立法范式。此两大范式之间既相互竞争,又相互妥协和融合。构成了国际个人数据跨境流动规制的基本格局。原文深入探讨欧盟和美国立法的内容和成因,剖析其所体现的深层次国家需求和利益博弈,这对于完善我国的数据跨境流动规制立法和参与国际规则的制定,具有重要意义。


推荐阅读

数据新型财产权——权利构建与体系研究|前沿

大数据时代,如何保障金融消费者的『信息权』? | 前沿

近期好文

余成峰:人工智能时代,法律会“死亡”吗? |前沿

孔祥俊:作品名称与角色名称应如何进行保护? | 前沿


责任编辑:杨怿瑽

图片编辑:师文、李欣南、刘小铃、金今

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存