赵精武:数据跨境传输中标准化合同的构建基础与监管转型
本文载《法律科学》2022年第2期
作者:赵精武,北京航空航天大学法学院助理教授,法学博士,工业和信息化部工业和信息化法治战略与管理重点实验室,北京科技创新中心。
摘 要:
我国《数据出境安全评估办法(征求意见稿)》第9条对数据跨境传输合同内容作出了限定。但数据跨境传输标准化合同在标准化程度、合同条款结构和内容类型等方面仍然存在理论逻辑不清、条款内容可操作性弱等问题。结合我国风险可控式的数据安全立法目标来看,标准化合同的制度功能不在于直接监管数据处理者,而是建构数据跨境传输的可信任状态,以此协调数据安全与数据流动的价值冲突。标准化合同规制逻辑是通过设定私法义务将数据安全保护这一公法义务的履行标准予以细化,并借助既有的数据分级分类制度归纳合同内容类型,实现跨境数据流动监管过程中“义务是否履行”向“义务履行如何”的判断标准转变。
关键词:数据跨境流动;标准化合同;规制合同;数据分级分类;
一、问题的提出:数据跨境传输合同标准化的理论不足与制度冲突
网络信息技术重塑了数据、信息和知识的商业价值和社会功能。审视国内外近年来的立法趋势,个人信息保护和数据安全评估显然已经成为各国立法者首要关注的规范议题。即便是以商业利益为优先考虑的美国,在联邦和州政府层面,也先后制定了有关个人信息、商业数据使用限定条件的规范性文件。虽然各国立法者对“数据安全”的概念和外延存在差异化认知,但在具体的立法活动中,欧盟《通用数据保护条例》(以下简称“GDPR”)《日本个人信息保护法》《巴西通用数据保护法》等规范性文件均是围绕“数据安全”与“数据利用”两种法益的平衡方案予以展开。并且,在个人信息保护立法体系趋于成熟之后,数据安全立法的重心也在发生转变,即从法律效力层级的制度框架转向行政法规层级的具体机制细化。在这一转变过程中,数据安全出境的立法问题自然而然地呈现于立法者面前:既满足我国“国家安全”和“数据安全”立法目标,又不会对数据跨境传输的商业活动造成非必要阻碍的数据跨境流动监管制度该如何建构?
现阶段,学界有关数据跨境流动制度的理论探讨主要聚焦于两个层面:一是在制度设计层面,我国数据跨境流动监管体系结构的建构多以欧盟GDPR中规定的“充分性保护”认定机制为基础,主张我国应当借鉴欧盟模式,建立数据出境安全评估制度、数据跨境传输合同标准化等具体制度;二是在国际法层面,探讨我国数据跨境传输监管制度的对外效力,以及我国如何在国际数据跨境传输规则制定过程中争夺话语权,包括我国应当如何充分衔接国内法与国际法规则,避免外国以“长臂管辖”规则为由指责和干涉我国数据安全监管活动。不难发现,这两种研究趋势的重心均集中于具体制度建构,其原因在于数据跨境传输监管问题在很大程度上是有关数据如何安全地传输以及将数据传输过程如何纳入有效的行政监管框架内。然而,具体制度的建构依然需要在理论层面回应这些制度模式的选择依据和正当性基础。
我国《数据出境安全评估办法(《征求意见稿》)》(以下简称《征求意见稿》)已于近期公布。《征求意见稿》第8条规定了我国数据出境安全评估的重点事项,即在跨境数据传输时,要求数据处理者与境外接收方就订立合同是否充分约定了数据安全保护义务进行说明。第9条更是细化了“充分约定”的判断标准,对合同应当约定的必要事项进行列举。合同条款标准化一直被认为是数据跨境传输领域的有效监管工具,欧盟GDPR将标准化合同条款(SCC)嵌入了跨境数据流动的全过程,原因在于该项机制既能实现监管者对于数据跨境传输重要事项的直接审核,也能基于违约责任督促数据处理者积极履行数据安全保护义务。当然,先前提及的如何建构满足安全立法目标且实现数据充分流动的制度建构问题仍然存在于该领域,其在理论层面有三类问题需要予以阐明。
第一,欧盟模式与我国合同“充分约定”模式之间存在何种关联性?从现有条款来看,我国仅对合同内容约定事项作出强制性要求,并没有对具体的合同条款作出限定。结合《征求意见稿》第8条内容来看,数据处理者与境外接收方订立的合同仅是数据出境安全评估的评估对象。而欧盟模式所建构的标准化合同条款(SCC)则是在“数据接收方在不满足GDPR要求的‘能够提供与欧盟同等保护水平’”情形时,数据处理者与数据控制者可以选择的“替代方案”。两相比较,无论是在数据跨境传输制度的体系结构层面,还是在合同内容限定层面,两种合同标准化模式特征差异明显,这是否意味着我国的数据跨境传输合同监管模式需要遵循另一套理论逻辑?
第二,《征求意见稿》第8条、第9条的“充分约定”应如何理解?这究竟是有别于欧盟模式的中国数据安全立法逻辑之特点,还是需要在解释论和制度论层面对标准化合同机制予以进一步明确?虽然《征求意见稿》言明了数据跨境传输合同标准化的制度路径以及合同内容的类型化,但在实施层面,数据处理者在合同中约定了诸如“数据出境目的、方式和传输范围”“数据境外保存地点、期限”“限制再传输的约束条款”等内容,但这不等于数据处理者符合这些要求就已经满足了数据出境安全评估所要求的数据安全风险防范标准。事实上,《征求意见稿》第8条、第9条提供的仅是合同标准化的基本路径,监管机构仍然需要提供一套类似政府采购合同、保单标准化模式的类型化数据跨境传输合同范本,并且要能够与《数据安全法》第21条规定的重点数据目录和数据分类分级制度衔接。
第三,我国数据跨境传输合同标准化机制的调整范围和体系定位究竟如何解释?我国现行立法有关数据安全评估的制度内容包括业务评估、出境评估、事件评估、自评估、年度评估等内容,在这些评估机制尚未体系化之前,是应当按照《征求意见稿》的第8条的规定将数据跨境传输合同标准化机制视为出境评估的事项之一,还是应当将合同标准化机制置于所有类型的数据出境制度背景下,将其上升至与安全评估机制相平行的监管制度?
《征求意见稿》与现行数据安全立法在适用范围和体系定位层面存在内容冲突(参见下表)。《征求意见稿》第2条规定数据出境安全评估机制主要适用于“数据处理者向境外提供在中国境内运营中收集和产生的‘重要数据’和依法应当进行安全评估的‘个人信息’”,并且第8条也明确数据出境安全评估事项之一即是审查数据跨境传输的合同内容。因此,在《征求意见稿》中,合同标准化模式的适用范围不仅包括个人信息的跨境传输,还包括重要数据的跨境传输。但是,《个人信息保护法》第38条又将“安全评估”“个人信息保护认证”“标准合同”以及“其他条件”作为向境外提供个人信息应当具备的条件之一。此时,至少在个人信息出境环节,个人信息处理者只要满足“安全评估”和“标准合同”二者中一个条件,即可向境外提供个人信息。由此观之,《征求意见稿》与《个人信息保护法》有关数据跨境传输合同标准化机制尚未形成体系化衔接。但真正的问题并不止于此。近期公布的《网络数据安全管理条例(《征求意见稿》)》第35条与《个人信息保护法》第38条采用了类似的条款表述方式,但却又用“向境外提供数据”这一表述替代了《个人信息保护法》第38条中的“向境外提供个人信息”的表述。从文义出发,数据跨境传输的合同标准化适用范围显然又适用于所有类型的数据。并且,结合我国数据跨境传输立法活动来看,从2017年的《个人信息和重要数据出境安全评估办法(《征求意见稿》)》到2019年的《个人信息出境安全评估办法(《征求意见稿》)》,再到2021年的《数据出境安全评估办法(《征求意见稿》)》,《征求意见稿》名称的变化似乎反映了立法者的另一种考量:数据出境安全评估制度除了重点调整“重要数据”和“个人信息”出境活动之外,还应当包括未来可能出现的其他类型数据的出境活动。因此,在数据安全立法纵深化发展趋势下,针对数据跨境传输合同标准化理论逻辑和制度内容细化的研究有其必要性和迫切性,这既关系到我国立法层面如何完成私法层面和公法层面的数据跨境流动安全监管,也关系到我国数据跨境传输制度的体例结构与制度衔接。
表1 数据跨境传输合同标准化条款
二、数据跨境传输合同标准化的制度误解与理论澄清
(一)欧盟标准化合同条款(SCC)模式的制度误解
目前,学界已有几种不同维度的数据跨境传输制度的学说主张。学者们大多倾向于以欧盟模式作为效仿对象或比照范本,主张借鉴GDPR所规定的“充分性保护”认定机制和标准化合同条款(SCC)作为我国数据出境安全评估的核心内容,如此既可以达到反制欧盟借助GDPR间接干涉我国数据出境监管活动的效果,也可以有利回击美欧等国对我国数据本地化模式的不当指责。从现有主张来看,其结论大多是以欧盟GDPR制度的本土化效仿为落脚点,探讨欧盟被遗忘权、个人数据权利等具体制度如何在我国数据安全保护制度框架内实现制度移植或话语体系转化,却偏偏忽视了欧盟模式背后固有的法律价值顺位与数字经济实践基础。殊不知看似以个人数据权利为优先的欧盟模式,其内核裹挟着欧盟立法者的政策倾向与价值定位,完全忽视了“国家安全”和“数据安全”在中国与欧盟制度体系中影响方式与功能定位的不同。既有学术观点的共通性在于均认可欧盟模式在我国数据跨境流动监管领域的可移植性,其原因是GDPR条款内容客观上确实符合全球数据处理活动的实践需求,且体系结构也能够满足一个国家有效监管个人数据出境的立法目标。但是,欧盟模式“通用”特征的形成并不是因为欧盟GDPR规定的数据跨境传输制度充分满足了数据出境的商业需求,而是因为欧盟凭借自身庞大的市场规模间接强加于他国数据处理者的“义务性要求”,其“个人数据权利保护”的制度外衣之下依然是以抽象模糊的国家安全和共同体利益为内核。
在司法实践层面,欧盟个人数据出境的法定标准与我国的“数据安全优先”立场并无实质差异,唯一的区别在于两者对“数据安全”概念层面有着不同立场:欧盟立法者所追求的数据出境安全更侧重于欧盟公民个人权利的保护,我国数据出境安全则是侧重包括个人信息、重要数据在内的出境活动安全。在案件中,虽然脸书确实按照GDPR规定的标准化合同条款(SCC)方式向美国传输欧盟个人数据,但欧盟法院的判断显然表明数据出境的合法性边界是以“实质性保护水平”为前提的,其裁判文书也是美国允许情报部门以国家安全为由收集境外关键情报,而个人数据是否包含在“关键情报”和“反恐监控”的范畴之内并不属于美国法院的审查范畴。鉴于美国“斯诺登事件”等秘密收集外国公民个人信息的“劣迹”,欧盟法院认定美国无法提供实质相同的数据保护措施而否认了“隐私盾协议”的有效性。换言之,欧盟基于GDPR所建构的数据出境制度框架仍然需要满足“实质性保护水平”和“国家安全”两项标准,标准化合同不过是“充分性保护”认定的暂时性替代方案,一旦与欧盟立法者隐藏的“国家安全”“数据安全”立法目标相悖,则会通过“充分性保护”认定规则直接“绕开”。
欧盟模式之所以能够对全球各国数据跨境传输立法产生直接或间接的影响,部分原因在于GDPR所建构的个人数据权利体系以及数据安全评估机制在一定程度上满足了数据处理活动的实践需求,也为各国政府在强化数据安全监管能力方面提供了有效的监管工具,尤其欧盟所提出的“充分性保护认定”“数据出境标准化合同”的数据跨境传输机制更是被视为欧盟实现全球数字市场一体化的重要手段。但值得注意的是,欧盟模式并非国际社会层面唯一的合同标准化范本。早在2021年6月欧盟更新标准化合同条款(SCC)之前,东盟就公布了自己的数据跨境传输标准化合同(MCCs)。两者比较而言(参见下表2),东盟标准化合同的制定依据并非完全依赖于东盟内部的个人数据保护规则,允许东盟国家的“数据出口方”(data export)与“数据进口方”(data export)根据GDPR、APEC隐私框架、ODEC隐私准则等东盟认可的国际协议调整具体条款内容。东盟模式显然弱化了“国家安全”层面的制度考量,以至于数据跨境传输活动在一定程度上受到欧盟GDPR的掣肘,未能真正实现合同标准化模式与国内数据安全立法目标的对接,更遑论“通过监管实现数据出境安全”。
表2 标准化合同条款的欧盟模式与东盟模式
(二)欧盟数据跨境传输的立场澄清:“欧盟的国家安全”
从上述欧盟与东盟的数据跨境传输合同模式比较结果来看,欧盟模式似乎更符合主权国家对于本国数据安全的监管需求。在事实层面,以“知情同意规则”“被遗忘权”等数据主体权利和数据处理规则为核心的欧盟模式已经成为数据保护的“国际范本”。这种现象被人们称为“布鲁塞尔效应”,即欧盟绕过双边或多边对话机制,仅凭欧盟庞大的经济市场实现“单方面”监管全球市场目标。伴随着欧盟数字化单一市场战略的推进,布鲁塞尔效应的影响范围被不断放大:GDPR第45条明确了个人数据跨境传输的前提条件是以欧盟的“充分性保护”审查认定为前提。这种审查认定的依据并未在立法文件中予以明确,仅是以数据接收方的第三国现行制度体系能否为欧盟公民个人数据提供充分保护的模糊性表述为主,认定结果实际上仍然是以欧盟政治博弈为基础,欧盟借此将国家之间的数据跨境“同化为欧盟内部的数据传输”,这从日本、韩国、加拿大等国被视为“充分性保护”第三国的认定结果可见一斑。
当然,为了适当拓展数据实际传输范围,欧盟还允许通过标准化合同(SCC)、约束性企业规则等“可替代方案”实现出于商业目的的数据出境。其中,欧盟在2021年6月4日颁布的数据传输标准合同条款取代了之前根据“95指令”制定的三套陈旧的标准化合同,首次以数据传输路径为标准,创设“数据控制者到数据控制者的数据传输”“数据控制者到数据处理者的数据传输”“数据处理者到数据处理者的数据传输”“数据处理者到数据控制者的数据传输”四类数据跨境传输方案,其目的是为避免处于产业链不同阶段的数据处理者、数据控制者出现数据安全保障义务履行标准的不统一。值得注意的是,更新后的标准化合同适用范围不单单是数据传输方和数据接收方两方主体,也同样适用于参与到整个数据处理生命周期的其他存在业务合作关系的数据处理者与数据控制者。此外,欧盟标准化合同在义务层面特别强调“透明度”,要求“数据进口方”直接或通过“数据出口方”向数据主体告知其身份和联系方式、处理的个人数据类型、获得数据跨境传输合同副本的权利以及向业务关联第三方传输数据的相关信息。而这种告知义务的目的是为了确保数据主体能够有效行使标准化合同约定的具体权利,并且在条件允许的情况下,“数据进口方”还需要确保这些信息能够被社会公众所访问获知。
从整体结构来看,标准化合同背后的欧盟模式是以“业务链遵循同等保护水平”为核心,意欲实现欧盟公民个人数据出境后处理活动的全程跟踪与监管:一方面,欧盟以业务关联作为GDPR法定义务适用范围的认定标准,尽可能简化因为数据处理业务参与者类型众多可能导致的标准不统一;另一方面,标准化合同条款(SCC)的“模块化”特征在保障标准统一的前提下,又兼顾了数据处理者与数据控制者的数据控制能力差异性。即数据控制者是决定个人数据处理目的和方式的“实际控制人”,而数据处理者则是根据前者的请求提供技术支撑的服务提供商。不过,需要注意的是欧盟模式的局限性,即个人数据安全并不是国家安全和数据安全的全部内容,并且,在“充分性保护”原则优先的背景下,欧盟模式依旧绕不开欧盟立法者所考量的“国家安全”和“政治博弈”。
(三)我国数据跨境流动制度建构的基本立场:风险可控与社会信任
国内外有关数据跨境流动的监管制度实际上早已存在,但由于信息技术处理能力、数据战略价值开发程度、数据存在形式单一等外部客观因素的影响,早年的立法内容始终停留于“国家秘密”和“个人隐私”这两类数据,安全与使用之间的法益冲突也未如现阶段数据跨境流动立法那般明显。现阶段,我国数据跨境传输制度也是以数据主权理论为基础,数据出境活动不再是以经营自主权为主的商事活动,而是涉及国家安全和数据主权的重要监管领域。出于安全保密的制度考量,通过禁止数据出境实现国家安全,这种数据出境监管逻辑显然已经与我国数据处理商业实践脱节。进一步而言,数据跨境传输制度建构的基本立场也应当从传统的国家安全概念转型至总体国家安全观和风险可控安全观。
《数据安全法》《网络安全法》在第1条均将“安全”置于“行业健康发展”“数据开发利用”之前,意在强调安全优先的立法价值选择。但需要注意的是,所谓的“国家安全”早已不再是政治安全、国土安全等层面的传统安全。《网络安全法》《数据安全法》等法律法规多次提及“总体国家安全观”等表述,网络安全和数据安全的实际含义已经转化为“风险可控”和“社会信任”。“风险可控”安全观是指,立法层面的安全状态除了在最大限度范围内实现抵御外部攻击和意外事故可能造成的损害结果,还包括在发生安全事件时,网络和数据能够快速恢复至事件发生之前的状态;“社会信任”安全观是指通过现有的数据安全保护制度,社会公众能够合理期待满足法律规定的数据处理活动不存在安全风险,或者即便存在安全风险,技术保障措施和应急响应机制均可实现快速恢复至数据安全事件发生之前的权利“无损状态”。这种安全概念的解释方式绝非理论臆想,而是基于现阶段的数据安全风险特征所建构。
在网络社会中,区块链等信息技术方案具有去中心化特征,不再依赖中心化节点实施对整个网络节点的整体管理,这与“自上而下”的国家强监管模式存在天然冲突。传统行政监管活动所依赖的强制性法定义务和禁止性规范无法全面回应信息技术创新迭代所能带来的诸多不确定性。在乌尔里希·贝克所建构的“风险社会”框架下,风险社会的特征是“人们不再极力追求‘好’,而是尽力避免‘最坏’”。这在法律系统层面表现为立法者不再追求风险结果的不可发生,而是将风险控制在可接受范围内。数据安全风险在客观上是不可避免的,因为信息技术创新的商业逻辑不同于传统法律规制的价值逻辑,前者主要衡量的是技术应用的可能性与可行性,即“只要技术方案能够满足开发需求即可用”,后者则是以假想和预期的风险结果“倒逼”技术方案的实际内容。因此,至少在理解数据安全风险层面,已然不适宜继续秉持传统安全领域那套“点对点”的治理模式,而是应当正视风险不可规避和社会公众接受风险程度所导致的立法理念现代性转型:风险可控与社会信任才是现阶段数据安全立法所应当追求的立法目标。
在《个人信息保护法》中,立法者并没有苛求所有的信息处理者均应当采取最高标准的安全技术措施保障个人信息安全,而是选择以“知情同意”“目的限定”等具体规则强化数据个人信息处理活动的透明度,帮助权利主体判断是否能够基于信任将个人信息交由信息处理者予以处理。个人信息保护领域的这种立法逻辑是否同样适用于数据安全保护领域呢?从《数据安全法》和《征求意见稿》中重要数据相关的保护制度来看,数据安全的立法逻辑是通过安全风险评估的实际结果来确定重要数据的处理规则和保护措施的,评估结果则是数据处理者和监管机构判断具体数据处理行为是否处于风险可控状态的直接依据。现行立法多次提及数据安全风险评估机制,但从具体条款内容来看,安全风险评估并非是一个外延封闭、内容明确的制度概念,从数据收集、存储到数据出境,只要社会对重要数据的处理者存在“不信任”或“风险担忧”,即需要开展定期和不定期、自评估与他评估等不同层面的风险评估活动(参见下表3),确保数据安全风险状态始终属于可控状态。
表3 数据出境安全风险评估机制
结合上述复杂的安全风险评估机制来看,数据出境安全评估的基本立场是为了尽可能明确实际的数据安全风险水平,并根据实际风险水平是否可接受、可控,确定是否允许具体的数据处理活动。倘若将安全评估的基本立场理解为彻底消除所有可能的风险根源,其直接结果则是在制度层面直接禁止所有数据出境。因为绝对安全的信息技术并不存在,而且数据出境之后国家监管活动难以触及他国的数据处理者,禁止出境成为风险水平和经济成本最低的监管制度方案。换言之,数据出境安全评估的制度效果应当是如何在数据处理者与监管机构、社会公众之间达成信任关系,这是解决“数据出境不安全-数据不能出境-数据商业价值贬损-数据有必要出境-数据出境不安全”循环论证的最佳制度工具。一方面,数据处理者所面临的现实问题是如何向监管者和社会公众树立其数据处理行为在风险可控意义上是值得信任的。除了依赖积极响应监管要求、树立良好的企业社会形象之外,合同所建构的一整套专门适用于数据出境的私法规则及其制裁措施恰好满足了信赖关系的制度建构需求。通过设置违约金赔偿机制,能够有效督促数据处理者依照约定处理数据,这也是合同条款标准化成为当下数据跨境传输监管制度工具的原因之一。另一方面,风险信息一旦公开和知悉并不当然意味着“风险的可接受与可控”,在此之后还需要结合出境的数据类型、范围和数量进一步判断可能的损害结果是否可接受,以及能够通过应急响应处置机制将损害状态快速恢复至尚未发生数据安全事件的状态。这种数据跨境传输的立法逻辑势必需要与数据分级分类制度予以衔接,用以判断和确定不同安全级别和不同类型的数据在出境时分别需要满足何种安全标准。
三、规制合同论下数据跨境传输合同的标准化路径
(一)数据跨境传输合同标准化的理论逻辑:公私义务的私法化和标准化
从消除风险根源向风险可控可接受的安全概念转变过程中,强制性要求数据处理者在合同中约定数据安全保护义务,既满足了数据处理者建构可信任的市场形象之需求,也通过违约责任之“威胁”降低风险诱发的可能性,故而合同义务法定化成为数据跨境传输监管的重要制度工具。《征求意见稿》第9条规定了数据跨境传输合同的内容应当满足“充分约定数据安全保护义务”这一要求,并进一步列举了合同当事人之间应当约定的具体事项。从制度外观上看,欧盟模式和中国模式似乎属于两种不同的合同标准化路径,前者是对合同条款框架和约定内容作出限定,后者则是仅对合同约定事项的类型作出限定。但是,两种制度模式在理论逻辑和监管层面具有一定的相似性,均是通过合同文本和相对固定的条款框架,将原本公法层面的数据安全保护义务转化为私法层面的合同义务,间接实现公法义务履行方式的标准化。
在柯林斯所提出的规制合同范式中,合同的法律规制存在“私法”和“福利规制”两种截然不同的方式。所谓的“私法”规制是以商业效益为逻辑起点,在发生合同纠纷时,法院裁判合同约定的权利义务关系对等性和公正性的理论逻辑是该合同是否满足同类合同的效率目标。所谓的“福利规制”也通常被称为公共利益的例外,如针对消费者的格式合同、劳动合同等特殊类型的合同,需要考虑到消费者、劳动者在合同缔结过程中无法依靠的合同规则的内生性认定逻辑实现对等缔结和权利救济,因此就需要在公法层面提供破除意思自治导致的合同规则优先之僵局。在柯林斯看来,“规制”指向的是“以治理其目标对象行为的规则系统”,私法规制的局限性在于始终以合同当事人之间约定的封闭性规则为限,法院在解决合同纠纷的过程中也仅以合同约定为限,这意味着立法者希望通过私法规则实现合同关系内部与外部权利义务的对等的目标极为困难,合同规则会限制法官考察特定合同所处行业、市场、领域的外部性因素。换言之,合同在约定规则框架内成为“自我规制的管理制度”,天然地排斥外部因素对意思自治的直接干预,这也是私法规制模式的固有不足。相对地,“福利规制”所代表的乃是“通过合同的治理”这一规制模式,从买卖合同领域常见的格式合同到保险领域的保单条款标准化,表面上该规制模式似乎是公法层面的强制性义务侵蚀私法层面的约定性义务,其实质则是公私法话语体系的转换。
需要澄清的是,这种公私法话语体系的转化在我国现行立法和理论研究领域早已有之,保单标准化、建设工程合同、政府采购合同等特定合同均采用了“公法义务私法化”的监管逻辑。保单标准化的目的在于将保险业务内容标准化,避免保险公司之间打“价格战”而影响到保险金的偿付能力;建设工程合同的标准化则是为了确保施工方能够如约完成符合国家质量要求的建设工程,将《建设工程质量管理条例》《建设工程安全生产管理条例》所提及的强制性技术标准转化为具体合同条款得以实施;政府采购合同的标准化则是出于国家安全和社会公共利益的考量,严格限定合同文本内容,并要求政府采购机构和供货商强制使用的标准化合同文本。上述类型的合同标准化程度虽然存在差异,但理论逻辑皆是为了将抽象性法益的保护义务具体内容和履行方式标准化。对于义务主体而言,消费者权益保护、房屋质量安全和国家财产安全等强制性义务在实施层面存在标准模糊的问题;对于监管机构而言,有限的监管资源决定了其不可能实时监控、全程监管态,所以需要对合同予以标准化,是否履行公法义务的监管活动可以通过违约责任认定予以补强。公法义务与私法规则的相互嵌套实现了“通过合同的治理”的治理效果,这也是我国国家现代化治理的必然选择。
回归数据跨境流动监管领域,既然已经明晰“数据安全”的立法目标是以“数据传输安全状态的可信任”和“数据传输风险的可接受性”为核心内容,那么就需要在数据跨境合同的标准化过程中阐明这种“数据安全”的具体内容和数据安全保护义务的履行标准。“监管者-被监管者”的传统社会治理逻辑固然有其“立竿见影”的制度优势,但这种逻辑在网络空间治理活动中却存在疲于应付的困境。面对不断涌现的数据安全问题,强监管型的社会治理逻辑已经无法一一回应和解释“采取哪些措施才算是已经履行了法定义务?”这一核心问题。在从单方行政监管向社会共治模式的转型过程中,“已经(或者没有)履行义务”的判断标准无助于解决如何控制数据出境安全风险的事件需求,而量化或细化义务标准才是数据跨境传输领域亟需建构的制度内容。在信息技术高速迭代的发展趋势下,数据跨境传输的实践方式势必呈现复杂化特征,合同标准化能够明确且可操作的数据传输要求尽可能降低数据传输方之间存在的制度障碍,我国数据跨境传输监管制度的下一个重心是要创设“细化”或“量化”数据出境安全保障义务的履行标准。
(二)数据跨境传输合同标准化的规制边界:细化、量化或是两者兼具?
在解释完数据跨境传输领域以合同标准化实现“数据安全”立法目标的理论逻辑之后,接下来需要解决的问题是:数据跨境传输合同标准化应当达到何种程度,是对合同条款结构予以限定,还是对数据传输类型、存储期限等条款内容予以指标量化?细言之,基于规制合同论的合同标准化显然不可能将全部的合同内容交由监管者进行预设,即便是在标准化程度最为严格的保险合同领域,也决然不会将所有交易活动都纳入标准化的范畴之内,因为市场机制的自由竞争属性决定了标准化合同应当存在相应的标准化边界。
“通过合同的治理”以监管机构的公权力作为实现保障,但在公私法话语体系的转换过程中,仍然需要尊重私法规制的内在逻辑,即在不违反现行立法的前提下,合同当事人基于平等自由的意志达成合意,义务履行的内在动机应当是合同当事人对于违约责任的恐惧和希望对方当事人同样履行约定义务的期待,而不是公法层面的强制性义务履行,否则只会陷入“公权力侵蚀私权利”的制度泥沼。因而,也有学者借用柯林斯的理论范式,将这种治理模式总结为“政府从回应民众的官僚科层体系转化为准确和界限分明地提供有效产品和服务的服务者”。进一步而言,我国在通过标准化合同治理数据跨境传输时需要在“细化义务履行标准”和“量化义务履行标准”中予以选择,因为这两种模式意味着不同的数据跨境传输效率:第一,细化模式仅是对约定事项的范围、类型进行细化,明确合同当事人之间应当约定哪些条款和内容,合同当事人依然可以在可选方案中自行协商满足实际商业效益需求的数据传输方式,监管者“通过合同治理”所达成的监管效果仅是确保数据传输者与数据接受者均在法律既定的安全框架内从事数据交易活动。该模式意味着数据处理者之间无法通过合同约定减轻或免除自身的数据安全保护义务,而义务履行标准化的效果表现为“数据安全保护义务的全面性和体系性”。第二,量化模式则是对数据跨境传输的诸多指标提出可以量化的标准化要求,如每次跨境传输的数据类型和数量应当维持在什么水平、数据传输所采用的加密安全技术应当满足哪些技术安全指标等。这种内容详尽的标准化合同模式虽然是以牺牲当事人意思自治为代价,但是数据传输者与数据接受者能够更加清晰地理解数据跨境流动的具体监管要求,合同当事人之间省略了约定数据传输安全保障的烦琐磋商过程,更侧重于对数据跨境传输经济效益(如数据处理价格等)的合意。第三,同时选择“细化”和“量化”两种模式,看似能够取长补短,但其直接效果无异于将数据跨境传输合同标准化程度提升至政府采购合同等特定类型合同标准。合同当事人之间能够自行约定的事项和范围极为有限,这既违背了数据跨境传输的商事效率,也无法证成强制使用内容标准化合同的正当性。
从条款内容来看,《征求意见稿》第9条采取了“一般性规则+具体列举”的方式确定数据跨境传输合同应当约定的具体事项。不过,该条提及的“充分约定数据安全保护责任义务”实际上也淡化了“细化义务履行标准”的明确程度。即便合同当事人之间约定了诸如数据出境的目的、方式和数据范围、具有约束力且可执行的争议解决条款等,但只要不满足“充分约定”这一条件依然可能被视为合同不符合数据安全出境的监管要求。在此层面,本来具有中国制度特色的“充分约定”又似乎与欧盟数据跨境传输监管领域的“充分性保护”认定机制有所重合。这种尴尬局面的成因在于误将《征求意见稿》第9条作为数据跨境传输合同标准化条款的全部内容,而忽视了合同标准化的真正重心在于合同内容本身的创设。在体系解释层面,“充分约定”的制度逻辑并不是“通过充分约定权利义务关系实现数据安全的充分性保护”,而是仅仅停留于“权利义务关系细化,责任主体明确”这一环节。《数据出境安全评估办法(《征求意见稿》)》在第8条中将“充分约定”作为数据出境安全评估的重点事项,而《网络数据安全管理条例》却在第35条中将“安全评估”和“标准合同”予以并列,《个人信息保护法》第38条也采用了类似的表述,强调的也是数据处理者之间是否按照标准合同的相关要求约定双方权利和义务。鉴于《个人信息保护法》已经生效,《征求意见稿》显然应当保持与《个人信息保护法》的内容衔接,即合同标准化制度应当与数据安全评估制度平行,“充分约定”的实际含义也应当理解为“充分约定合同标准化制度要求的权利和义务”和“不得出现数据处理者减轻或免除数据安全责任之约定”。
根据前述结论,可以发现,我国数据跨境传输合同标准化的立法重心实际上是对权利义务具体内容的标准化,与“细化义务履行标准”存在天然的契合性。倘若将“量化义务履行标准”作为我国数据跨境传输合同标准化模式,势必无法有效区分数据安全风险评估制度和合同标准化制度之间的功能差异。我国现行立法多次提及“安全评估”等类似表述,但具体内容却停留在需要“包括但不限于”评估事项,其背后的原因是立法技术要求法律文本的表述需要满足简洁性之要求,故而诸如《数据安全法》第18条、《网络安全法》第17条等条款为国家主管机关制定具体的安全评估细则预留了足够的解释空间和授权依据。并且,数据安全风险评估显然需要在量化层面对数据出境活动的各项指标予以预设,如数据出境应当满足的安全技术标准,百万级、千万级、亿万级的数据出境需要评估哪些事项。那么,既然数据安全风险评估已经能够达到“量化义务履行标准”的法律效果,又何必在合同标准化制度层面选择重复的“量化模式”呢?
(三)数据跨境传输合同标准化的模块化导向
以“细化义务履行标准”作为合同标准化的限制边界,最后需要回应的现实问题是“细化”的方式应当是根据数据类型和级别进行统一化的条款标准化,还是根据数据传输路径进行模块化的条款标准化?因为在立法实践中,所谓的“细化”存在着不同的实现方案:或是不对数据传输路径作过多细化,适用于所有业务环节的标准化条款,仅是在数据分级分类层面设置差异性合同文本内容;或是根据数据传输路径采用模块化条款,细化“数据出口方”“数据进口方”“其他数据处理者”在特定数据处理环节的权利义务关系。欧盟在更新数据跨境传输标准化合同时,将业务链参与主体义务履行标准统一化视为更新工作的重点内容,将以数据处理者与数据控制者之间的数据传输方式作为四类传输模块的划分依据。这种“细化”方式的适用前提完全依赖于欧盟GDPR既定的个人数据保护制度框架,无法在我国现行数据安全立法框架内予以实现。
与欧盟GDPR相比,我国《数据安全法》《网络安全法》等法律并没有采用类似的“数据处理者”“数据控制者”这类义务主体类型的划分,而是直接统称为信息(数据)处理者。我国对于数据跨境传输的监管范围也远超欧盟GDPR所限定的“个人数据”,囊括了诸如行业数据、市场数据、公开数据等非个人数据。这些制度差异决定了我国数据跨境传输合同标准化所采用的模块化路径无法效仿欧盟模式、东盟模式,而是需要在数据分级分类制度层面采用其他方式的模块化路径。
我国数据出境安全评估面临着更为复杂的现实难题:一是需要跨境传输的数据类型复杂,重要数据与核心数据显然是严格限制出境的数据类型,但现行立法以及监管实践尚未形成《数据安全法》第21条所提及的“重要数据目录”,原本并不涉及国家安全的个人数据完全可能因为数量积累而成为“重要数据”,此时,条款结构的标准化所预设的数据跨境传输合同显然无法有效回应这种现象。二是数据出境安全评估还存在数据出境之后的不可控性,即出于业务关联的需要,国外的数据接收方可能还需要与其他数据处理者进行合作。此时,如若采用条款结构标准化的合同,倘若立法者和监管者希冀这些业务关联的数据处理者遵循同样的数据安全保障标准,只能由数据接收方另行约定新的数据处理合同予以实现,因为条款结构的标准化意味着需要事前确定有限类型的合同当事人,无法将整个业务链均纳入标准化合同的范围。
模块化条款的优势在于能够在保持同质性义务内容的前提下,提升实际履行义务的充分程度,如保单的标准化采用的即是模块化条款,其内在逻辑在限定保险市场同类保险产品的服务内容和价格,避免保价畸高或畸低可能引发“价格战”等恶性竞争,保险机构在无法修改保单实际条款的前提下,只能对理赔周期、出单速度等服务质量进行调整,最大化保险消费者的利益。再如房地产买卖合同的标准化并没有对具体义务内容进行整体化要求,而是根据各地的房地产政策、经济水平等外部因素设置各地区的模块化条款。
学界也有观点主张将合同标准化方式理解为“合同文本内容的强制性限定程度”,即合同文本的限定实际上可以划分为“合同文本的强制使用”“格式合同文本的事前备案”和“格式合同文本的‘应当包括’”由强到弱的三种类型。这种划分方式实际上混淆了“私法规则调整合同关系平等公正”和“通过合同的治理”两种理论逻辑。前述观点本质上是围绕合同双方当事人的约定规则的不平等性为前提,如买卖合同中的格式条款实质削弱了消费者的谈判空间和享有的实体权利,因而需要根据影响消费者实体权利程度具体选择“强制使用标准化保单”“不应当包括不合理地免除或减轻其责任”等合同监管模式。而数据跨境传输所涉及的法律主体包括“数据传输方-数据接收方-监管机构”,其标准化方式的选择逻辑显然不是以私法层面的权利义务关系调整为核心,而是以公法层面的数据安全风险可控为目标,标准化数据跨境传输的业务方式,透明化数据出境的详细信息,因而以传输数据的分级分类显然更能满足多样化的数据跨境传输监管需求,也能够提供多元化的模块路径满足商业实践和监管实践的现实需求。
四、数据分级分类框架下的标准化合同设计
(一)数据分级分类框架下合同内容类型化的基本导向
国内既有研究所提出的数据分级分类标准大多还是以数据的敏感性、行业属性、重要程度、保密要求为主,存在数据分级和数据分类标准混同的问题。此外,在数据跨境流动监管领域还存在这样一个悖论:出于安全监管效果以及立法技术的考虑,不适宜在法律法规中细化数据跨境传输的具体方式和监管标准,再丰富的立法资源也无法承受不同行业、不同类型、不同安全级别、不同场景下的数据跨境流动监管要求;但是,如果不予以细化数据跨境传输的具体方式和监管标准,又会增加数据传输过程中义务主体有关义务内容和履行标准的困惑,按照各自理解的标准履行义务,此时抽象化、模糊化的法律文本表述又失去了实践价值。这种悖论的形成根源可归结为信息技术创新大幅提升数据处理能力导致数据关联化程度加深:早期的个人信息内容和形态较为单一,多表现为个人隐私的信息化、数据化,能够与国家秘密等传统安全信息明确区分;但伴随着数据挖掘能力的提升,以往数量有限的个人信息在数量上达至百万级、千万级之后,开始与国家安全信息难以区分,数据彼此之间的关联关系以及离散程度能够反映出仅凭数据内容无法发现的隐藏内容。更重要的是,商业活动中的数据之所以存在分类困难,是因为不同数据的组合又会产生新类型的数据,行业数据、公开数据确实不属于重要数据范畴,可一旦数据接收者从其他渠道获取与行业数据相关的个人数据,行业数据似乎又具有成为重要数据的可能性。
数据内容和属性的交叉特征决定了数据分级分类方式显然不能采用单一化标准,但综合性的分级分类方式又回到“同时缔结数个行业标准化合同应当采用哪一个标准合同”的实践难题,这就需要回归数据分级分类制度目的予以解决。数据分级分类的直接目的是为了厘清数据特性并确定数据处理行为所应当遵循的安全保障水平,行业分类标准表面上看似将数据跨境传输合同划分为行业化标准合同,但从具体要求和监管标准来看,行业之间的数据跨境传输安全风险特征并无太大差异,均表现为数据接收者是否有可能根据匿名化数据或加密数据反向挖掘其他信息、是否存在健全的内部访问权限访问制度、是否存在擅自向其他第三方机构共享等同质性风险事件。数据跨境传输的标准化合同设置目的不可能也无法通过合同根治风险,正如前文所提及的,“通过合同的治理”意在强调形成数据处理者、监管者以及社会公众对数据跨境传输活动的信任和风险水平可接受性,通过合同内容的类型化尽可能透明化数据跨境传输的具体流程、参与主体以及传输之后数据处理活动方式。如此一来,无论是数据处理者自身,还是监管机构、自然人,均能对数据跨境传输的基础流程形成相对清晰的认识:对于数次跨境传输而言,通过标准化合同约定的传输次数和数量来确定已经传输的数据数量是否会导致数据性质的变化;对于一般的数据传输而言,监管机构能够根据合同约定的接收主体、数据实际存储地点、数据传输路径等类型化信息判断数据发送方和接收方是否按照约定的方式传输数据。
(二)数据分级分类制度框架下标准化合同的设置思路:业务链上下游的分类模式
数据跨境传输合同内容的类型化不能简单理解为合同内容根据数据所属行业特征、安全保护级别设置相对应的具体条款,否则监管部门将疲于制定不同行业、不同领域的数据跨境传输标准化合同。数据分级分类制度所提供的指引功能意在说明特定类别的数据在出境安全保障过程中是否存在需要特别关注的环节。例如物流数据能够反映我国年度物流走向和经济发展趋势,其风险特征表现为外国对我国物流实际状况的数据分析,故而在物流数据跨境传输中,应当删去有关重点管控区域(如军事管控地域)、全国性物流信息等部分内容,标准化合同应当将“数据范围”类型化:一是传输数据不包括哪些指标;二是数据形成时间、地点、访问权限是否合法;三是传输数据包括哪些量化信息。再如金融个人信息因为现行立法所要求的适当性义务、风险偏好评估机制等强行性规定,包含了能够反映自然人财务状况、风险承受能力、家庭状况等详细信息,故而在传输金融个人信息时,需要对传输目的进行限定,除非是外国金融服务机构需要根据用户风险偏好提供适当的金融产品或服务,否则原则上不允许此类数据出境。此时,标准化合同应当将“传输目的”类型化:一是基于直接向我国境内提供产品或服务之必要;二是基于业务链上下游关系需要统一处理关联数据,例如保险行业根据历史数据进行风险精算等。
由此观之,数据分级分类对于数据跨境传输标准化合同的影响方式主要是以内容类型化来满足“细化义务履行标准”的理论逻辑,不至于在合同内容类型化之后,数据传输者与数据接受者仅在义务是否履行层面约定具体事项,而忽视了不同级别、类型数据对义务履行方式和充分程度的不同要求。
此外,囿于欧盟GDPR布鲁塞尔效应的影响以及我国立法前期对于个人信息跨境制度的关注,部分学者倾向将数据跨境流动监管制度局限于个人信息领域,但无论是《征求意见稿》第2条,还是监管实践需求,均需要更全面的整体性数据跨境流动监管制度。第一,在个人信息保护层面,数据跨境合同标准化的设置思路应当是按照一般个人信息和敏感个人信息的分类方式予以细化义务履行标准,因为从商业实践来看,金融、医疗、教育等行业的一般个人信息面临同质化的安全风险,没有必要按照行业属性作特别约定。第二,在重点数据保护层面,数据安全的规制重心在于明确各个数据处理业务环节的具体责任主体,所以合同标准化的设置思路是细化不同业务环节应当履行的相应义务内容,即数据出境采用的标准合同应当反映从数据出境开始到数据出境目的达成这一阶段的数据传输路径、各个数据接收方、数据存储地点和期限、数据访问记录以及数据复制记录等内容。第三,在其他数据保护层面,因为这些数据既不涉及自然人的个人信息权利,也不涉及国家安全,所以合同标准化的主要路径在于预防这些数据积聚可能产生性质变化,即依托大数据等信息技术从本不属于个人信息和重要数据的数据集合中获取有关特定自然人和国家安全的相关信息内容。此时,合同标准化的导向则转变为数量层面的划分,即一般规模数据传输的标准化合同条款和海量规模数据传输的标准化合同条款,并在后者中约定更为严格的数据安全保障义务。
五、结语
标准化合同是数据出境安全评估的必要条件,但不是充分条件。在数据跨境传输制度框架内,数据出境安全评估的制度逻辑是因为个人信息和重要数据均属于重要程度和安全级别较为特殊的数据类型,一旦发生安全事件,其损害结果无法以恢复原状的方式予以填补,故而数据出境安全评估的主要范围是重要数据和个人数据。但从商业施加的整体需求考量,我国未来数据跨境流动监管理应对其他网络数据的跨境传输提供相应的标准化合同,指引数据处理者恰当缔结具体的数据跨境传输合同。标准化合同的制度功能除了确保数据处理者依照现行立法要求的数据安全保护义务对合同内容作出相应约定之外,还表现为引导不同行业的数据处理者形成本行业特定数据类型传输的行业标准或商业惯例。公法目标的私法化需要遵循私法规制的基本逻辑:合同当事人之间的信任关系依赖损害风险的降低和预期收益的增加,违约责任的直接效果是使当事人违约意愿和可能性较低,但这并不足以建构相当信任的数据传输关系。信任关系的建立还需要通过“细化义务履行标准”和“合同内容类型化”等方式增加数据传输者与接受者对于数据跨境传输行为合法性的可理解性,降低双方之间有关数据安全保护义务履行标准不明、数据安全责任承担方式等相关内容的磋商成本,使预期利益的增加也得以实现。标准化合同的安全保障功能存在一定的限度,如何避免合同双方通过国际商事仲裁规避适用中国法、违约责任的可执行等问题均是数据跨境流动监管在国际私法层面亟需解决的制度难题。此外,由于各国立法乃至欧盟成员国各自的国内法均对个人数据、重要数据、涉密数据存在不同的界定模式,数据概念的差异性也在加剧数据碎片化程度,标准化合同所能解决的仅仅是单向数据传输可能存在的安全风险,至于国家之间的数据双向传输则更有赖于通过双边协议、多边协议的方式确定风险水平可接受的数据传输模式。
相关阅读
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所