黄炎:跨境数据治理体系的多维变革及因应之策
The following article is from 太平洋学报PacificJournal Author 黄炎
本文原载于《太平洋学报》2022年第4期
摘要:伴随数字经济全球化的不断推进,国家间的数字治理鸿沟日益加深,以数字平台为主的私营主体逐渐成为跨境数据治理体系中一股不可忽视的重要力量。在全球性数据合作受阻的背景之下,部分国家逐渐转向区域治理、双边治理甚至单边治理。这对跨境数据治理体系产生了深远影响,表现在从个人隐私到国家安全的理念更新,从一元管理到多元治理的主体赋能,从自由流动到数据主权的原则设定,从域内管辖到长臂管辖的模式转变,以及由单一转向多样碎片的规则构建。未来我国应立足于数据主权原则,平衡数据保护和数据流动的立场,兼顾国家安全与隐私保护理念,探索政府与私营部门共治格局,打造我国数据法域外效力之“矛”,构筑阻断外国数据法在我国适用之“盾”,推动构建多边和诸边的跨境数据治理规则,构建“攻防兼备”的跨境数据治理体系。
关键词:数据跨境;数据治理;数据主权;“长臂管辖”;多边规则
20世纪后半叶以来,国际社会进入了数据和信息的时代。以信息技术革命为代表的第三次科技革命引出了许多全新的发现和程序,它们本质上一直持续至今。主要基于科学的技术成为现代生活方式的首要引擎和保证。数据是一种资源,也是一种权力,但其只有在经济生产和社会活动中流动时才产生价值。信息技术革命使得存储和传输数据的边际成本几近为零,促成数据处理的空前规模、维度和速度。全球金融危机之后,贸易的增长进入平稳期,取而代之的是跨境数据流动呈现爆炸式增长。以带宽来衡量,从2008年到2020年,跨境数据流动增长了约112倍。数据是数字贸易的基础性资源,跨境数据流动是数字贸易流动的核心媒介。目前,数字贸易已成为国际贸易发展的新趋势,成为推动全球经济增长的新引擎。同时,数字技术的快速发展和数字平台的跨国经营正与实体经济深度融合,构造一个新的全球市场,这些巨大变化不仅改变着贸易,也在颠覆全球政治,从而穿透传统的政治空间。伴随数字经济全球化的不断推进,跨境数据平台等私营部门逐渐成为跨境数据治理体系中一股不可忽视的重要力量。
传统的以主权国家为基础的国际法权秩序难以全面应对数字时代的挑战。经典的政治问题——谁治理?以何种方式治理?——不仅与传统的有形空间有关,也与网络空间相关。数字技术的广泛运用越发凸显数字经济的影响力,进而促进治理方式转型,勾勒国际数字法治的未来愿景。本文关注的核心问题是:在以数字技术为主要驱动力的新时代,跨境数据治理体系正在经历何种维度的变革?这些变革又会给我国的数据治理带来何种影响?跨境数据治理不仅涉及以条约为主的国际法治体系,而且涉及国内制度,尤其是国内法中的涉外条款之适用。那么,我国应当如何借助法律制度之设计,优化国内数据法体系,同时积极参与国际规则制定,从而更好地适应并促进数字经济的快速发展?本文尝试从行为体、国际法和国际关系等角度梳理跨境数据治理体系的变革背景,分析变革维度,揭示更深层次的国家利益之博弈,进而提出我国的跨境数据治理体系建构路径。
一、数据跨境的当代挑战
世界更加互联互通,社会却愈发支离破碎,这是我们正面临的一种悖论。伴随全球投资与贸易两大经济增长引擎的收缩以及失业率的激增,世界经济逐渐陷入结构性低迷。在此态势下,数字经济发展依然乐观,但逆全球化潮流仍致使部分国家逐渐转向区域治理、双边治理甚至单边治理,从而应对多边治理的困境。
1.1国家间数字鸿沟塑造新的边界
传统的主权空间依靠边境将国家分隔开来,然而数字技术却能穿越物理边界,并且塑造新的边界。美国国际政治学家小约瑟夫·奈曾论及信息与国家权力问题,他认为:自由主义者预言信息革命将使得国家间的权力分布趋于均等,这是错误的观点。在商业和战略信息领域,规模经济和壁垒依然存在,而在免费信息领域,大国往往在信誉竞争中处于有利地位。如今,小约瑟夫·奈的预言正演变为现实,并且发展中国家和发达国家之间的数字鸿沟仍有进一步加深的危险。互联网最主要的基础资源长期处于数字经济先发国家的政府控制之下,使得发展中国家难以掌握核心信息技术,难以介入网络空间技术架构和治理。联合国贸易和发展会议《2019年数字经济报告》指出,非洲和拉丁美洲合起来拥有的主机代管数据中心占世界总数的不到5%。这种鸿沟如果不加以解决,将加剧现有的收入不平等。同时,发达国家之间因数字技术、历史传统、宗教文化等缘故,对于全球数字治理的诉求并不一致。另外,受到资源禀赋、地理区位、国际经济秩序等因素的影响,发展中国家,尤其是“一带一路”沿线国家之间的数字化发展水平也存在数字鸿沟问题。基于上述缘由,各主要国家对于跨境数据治理问题有着不同的理念和主张。这些主张依托和强化本国优势领域,并有着显著的域外扩张特征,具体表现为三条断层线。第一条断层线位于发达经济体与新兴市场经济体之间。前者如美国和欧盟一直秉持进攻型的数据主权战略;而俄罗斯、中国、印度等新兴经济体则坚持防守型的数据本地化策略。后者为抵制前者科技巨头的“数据殖民主义”而对跨境数据流动进行限制,这可能会成为全球互联网的趋势与常态。第二是美国与中国之间的断层线。拜登政府上台后,美国视中国为“最严峻的竞争者”,在整体维持了上届政府对华的经贸强硬立场,而且更侧重从所谓规则和体制上遏制中国发展。出于对国家安全和数字经济全球地位的担忧,历来奉行数据自由流动主义的美国却在近年针对中国不断推出新的监管工具,甚至将中国纳入跨境数据转移的“黑名单”;同时在跨国公司并购事件中以外商投资审查之名行单边主义之实。第三条断层线位于美国和欧盟之间。美国的数据治理模式倾向于保障数据的自由流动,而欧盟则因高标准的隐私保护而对数据自由流动持谨慎态度。美国的技术优势使得在美欧跨境数据流动过程中,大量数据由欧盟流向美国。双方达成的《安全港协议》和《隐私盾协议》先后因数据自由流动和隐私保护这两种政策考量的博弈失衡而宣告失败。由此,新一轮信息技术革命所导致的国家间数字鸿沟可能比边境线的分隔更为深刻,各国关于跨境数据治理问题的主张短期内难以弥合。
1.2跨境数据平台成为跨境数据治理的重要力量
信息技术革命极大拓宽了社会之间的联系渠道,导致官僚组织和科层体制发生变化,使得国际政治更接近于一种“复合依赖模式”,表现在:(1)军事力量不再起主要作用;(2)主体之间的等级制度不再存在;(3)不同社会之间的多渠道联系。数据的跨境流动为“非国家行为体”(non-state actors),尤其是掌握技术和平台的私营部门创造了机会。
以主权国家为基本主体的国际法规范难以调整以跨国公司为主的全球市场,主体和对象之间的错位正将跨境数据治理推向超国家层面的问题。例如,各主要国家开始利用平台的数字解决方案改进、简化公共部门的数据基础设施;推动民间社会组织在政府开放数据平台上发布数据或在非政府数据门户上发布政府开放数据。这种多元主体协同治理是新的治理模式,探寻的是主体间协调、合作的路径。与管制比较,治理模式是解决公共问题的弹性化机制;是要改变管制压服模式所带来的困境,目标是建构共建共享的国际法律秩序。
与早期的跨境商品流动不同,平台可以通过数据流动穿越国境,从而增加社会间的联系渠道。这是一个集体的、反思的过程,规则和概念受到或真实或假设的具体情境的不断复述、检验。上述进程中的问题开始引发人们对科学理性的反思,植根于启蒙运动的现代性理论在全世界范围内受到质疑。工业主义已违背其逻辑、超越其界限,开始走向自我消解的过程;在这一阶段,现代化正在变为“自反性”的。德国社会学家乌尔里希·贝克在诸多论著中勾勒出解决社会问题的蓝图:公众、专家和政治家们应充分参与决策过程,而不只是由专家和决策者关起门来协商。一些规则或原则在一段时间内可能占有优势,但随后,它们既可能被后续的规则、原则予以强化,也可能被削弱继而被取代。在此过程中,数字平台具有关键性的作用。
1.3跨境数据治理的单边主义倾向日盛
近年,世界多国极右翼势力抬头,贸易保护主义、民族主义、宗教极端主义等思潮以多元性、并生性、不确定性等特征共同促成“逆全球化”潮流。文化背景和社会习俗的差异导致国际社会对于数据跨境标准的态度截然不同。尤其是新冠疫情暴发以来,部分国家开始对条约内容“侵蚀”主权的状况表示担忧。一方面,国际条约的签署和批准程序逐渐受阻;另一方面,通过国际指南、国际宣言等软法文件促成国际合作日渐成为国际治理模式多样性、多元化的自然结果。
在全球性数据合作受阻的背景之下,部分国家逐渐转向区域治理、双边治理甚至单边治理,从而应对多边治理的困境,这与数据经济的全球化进程背道而驰。单边治理的矛盾冲突集中表现为数据自由流动与数据本地化之间的博弈,致使全球治理体系受到冲击。它包含由全面开放退回到有条件开放,甚至封闭的过程,其实质是全球数据治理机制的失灵与危机,是逆全球化潮流在数据治理层面的表现。由此,“主导性的自由秩序可能将被一种充满竞争的民粹主义所取代”。国际法的诸多原则和规则曾是西方所谓的“文明产物”,打上了“欧洲中心主义”的烙印。国际社会在许多领域如国际航空法、空间法、电信法,以及与跨界污染相关的法律领域均已制定了新的国际法来处理技术扩张带来的新问题。但是,在数据跨境问题上,发达经济体尤其是美国的政策更倾向于在逐个国家的基础上达成协议,而非多边公约或国际组织的框架之下。此种试图在双边基础上解决国际普遍关切的问题存在固有的危险,导致同样的问题将得到不同的甚至相互冲突的解决方案。国际法规则的形成是国家不断接受其主权受到约束的过程。人们逐渐发现,国际条约、特别是多边条约,可能旷日持久,而且很有可能中途失败、不见结果。这导致数据治理方面的规范性文件大量产生,适用范围重叠、冲突的状况不断,加剧了跨境数据治理的单边主义倾向。
二、跨境数据治理体系的多维变革
数据跨境的当代挑战引发了新的治理变革。一方面,跨境数据治理问题超越传统地理边界围绕数据主权的博弈已然呈现加剧化态势,数据安全在治理理念中的比重日益加深。另一方面,数据治理呈现明显的外部性,现有国际治理框架难以满足全球数据治理的特点和需要,治理规则的跨国协同需求更加紧迫。同时,以数字平台为主的私营主体拥有更广泛的数据流动渠道。这势必会对跨境数据治理体系产生深远影响,并在很大程度上改变全球秩序。
2.1从个人隐私到国家安全的理念更新
尽管数据分享可以创造巨大价值,但也存在风险。数据生命周期的每个阶段,从收集到集成,从分析到应用,都存在数据泄露和隐私风险。在互联网上,个性化过滤器可以让人获得如阿得拉这样的药物给予的那种强烈的、狭隘的注意力。如同一个透镜,过滤泡通过控制人们看到的和看不到的东西来无形地改变人们经历的世界。数字平台在运营过程中积累了海量数据,由此引发的用户隐私泄露、数据滥用等问题层出不穷。一个显著的例子是,平台在跨境获取用户隐私数据方面扮演日益重要的角色。在云计算时代来临之前,如果政府获得信息搜查令,官员需进入私人住宅才能访问设备。然而,云信息时代使得政府可以通过向平台 (而不是拥有信息的个人或公司)发出逮捕令来获取数字信息,这改变了公民和政府之间的隐私平衡。近年,微软公司不断针对美国政府提起诉讼,以寻求法律的现代化,并确保客户的隐私权得到保护。
如今,大型平台企业被监管事件将跨境数据问题由单纯的隐私保护上升到国家安全层面。例如,美国政府以抖音海外版(TikTok)和微信涉嫌未经许可向外传输用户个人信息,可能侵犯美国国家安全为由,禁止其与美国实体进行交易。又如,中国网约车巨头“滴滴出行”于2021年6月30日在纽约证券交易所上市,7月2日,国家网信办对滴滴启动网络安全审查;7月4日,国家网信办发布通报,下架“滴滴出行”应用程序;7月9日,国家网信办再次发布通报,下架“滴滴企业版”等25款应用程序。与以往不同,此次通报直接提及“维护国家安全”,意味着作为信息基础设施运营商的滴滴已触碰数据出境的“生死底线”。对于此种涉及国家安全和公共利益的数据保护问题,就需要适用严格的“关键信息基础设施”规制标准。当数字平台通过其控制的服务器跨境获取存储于他国领土范围内的数据信息时,还会涉及司法主权问题。美国联邦最高法院“司法部诉微软公司案”就是一个典型例证。该案的系争问题是,美国司法部是否有权要求微软公司提供存储于爱尔兰数据中心的用户信息。跨境数据治理规则不仅是一套法条,而是一个实践推理的沿用框架。法条规则也并非最终权威,每项规范原则上都要在公开论辩过程中受到挑战和修正。当国家寻求超出协议范围并与外国法律相冲突的搜查令时,服务提供者可以直接诉诸法院,根据新的法定程序提出礼让问题。由此而缔结的国际协议将减少法律之间冲突的可能性,并为法院在新的礼让程序下解决此类冲突创造一个明确的法律程序。
跨境数据流动不平衡不充分,数据流动制度相互冲突、割裂,国际社会对于数据安全顾虑日益上升,国家需要赋予平台额外和直接的法律权利,以履行其在国际条约项下的隐私保护义务。在亚太经合组织(APEC)框架下,随着亚太地区数字经济形势的不断变化以及合作领域的大幅开拓,成员国通过了《亚太经合组织隐私框架》《跨境隐私规则体系》等一系列安排。2018年,亚太经合组织项下的数字经济议题已从隐私保护、数字贸易向网络安全等高层次合作衍生,设立数字经济指导小组讨论相关议题并制定规则。当前,云计算使得诸多科技公司在隐私问题上扮演重要角色,政府治理能力难以适应日趋专业化的治理需求。这就为科技公司、数字平台创造了一种既要保护个人隐私,也要维护国家安全的责任,在科技与法律互相纠缠又偶尔冲突的情形下,这种责任异常沉重。随着网络空间的不断延伸,数据治理问题也从线上虚拟空间发展到与线下真实空间深度融合的领域,导致网络与现实冲突叠加。安全问题逐渐泛化,并成为跨境数据治理领域的基本底色。
2.2从一元到多元的主体革新
信息技术革命使得传统的“命令—控制型”规制模式转变为更具灵活性的“商谈模式”,注重受规制企业自身的主体作用,能够更有效地应对国际关系中的单边主义和贸易壁垒。例如,阿里巴巴的系列平台、eBay等电子商务平台极大拓展了国际贸易的深度和广度,跨国公司、非政府组织乃至社会网络成为全球数字治理中的重要力量。同时,这些平台参与国际关系呈现出主体多样、层次多元、形式灵活等特征。数字平台参与国际关系可能采取诸如国际仲裁之类的法律方式,也可能采取社会动员之类的非法律方式。因此,跨境数据治理不再仅仅是管制,主体也不再只是国家,数字平台开始成为参与共治的重要主体。
跨境数据治理与传统管理体制的不同之处在于:虽然政府、政党是主导,但是参与数据治理的主体地位是平等的。政府支持来自不同部门的利益攸关方共享数据,增加数据所有者对于数据的控制权和决策权,从而构建一种多方参与、多方共治的共建共治共享格局。在共享系统中定义和部署一套开放和共享的工具(例如API和算法),促进公共部门内部和外部的整合,这就要求所有参与国家治理的主体均遵守法律。讲究公权与私权的平等性,其最大的功效就是把权力主体请下了神坛。而在传统一体化的思维模式支配之下,我们只能意识到国家的治理职能,而没有意识到其他主体的治理职能,没有意识到治理主体的多元化已是大势所趋。有些主体因为掌握权力的原因而被赋予神秘的色彩,对此,批判法学、后现代法学进行了解蔽式作业。实际上,附在主体之上的权利、权力并没有天然的合法性。私营主体参与跨境数据治理的事实革新了数据治理观念,其强调主体间的平等、互动、协商、博弈,以超越一体化科层的对抗格局。
2.3从“自由”到“主权”的原则设定
传统的主权概念表现为国家对内的最高统治权和对外的独立权。博丹曾提出主权的经典概念:主权是共同体所有的绝对且永久的权力,主权的基本权力可以归结为五项:任命官吏并赋予他们职责,制定和废止法律,宣战和停战,最后听审权,以及在法律没有规定变通和宽恕的情形下决定他人生死的权力。伴随国际法实践的发展,主权概念不断更新其内涵。数字经济时代,数据主权概念应运而生。问题在于,数据主权究竟是领土主权在数据领域的延伸,还是网络世界的独立主权?
自互联网诞生以来,就有学者提出,网络空间基于其“非领土性”应独立于传统的国家主权之外,摆脱政府和法律的控制,从而自由发展。该观点最初由约翰·巴洛在《网络空间独立宣言》中提出。巴洛认为,网民通过自由联合造就一个新的社会共同体,主权国家无法在此推行现实空间中运行的法律。不过,随着网络技术的不断发展,代码的控制权逐渐掌握在政府手中,人们发现,倡导数据自由的美国政府一直认为互联网从根本上来说属于美国,美国对于互联网的控制战略从未改变,只是在不同时代或隐或显。如今,主权国家依赖网络技术进行政治角力,曾经的乌托邦式的反国家主义想象不复存在。既有的主权概念无法涵盖国家管控海量数据的现象,数据主权便应运而生。棱镜门事件以来,俄罗斯、欧盟等国家和地区开始加快数据立法,加强对于跨境数据流动的监管。欧洲国家甚至指出,脸书、推特等社交媒体可能干扰其选情,从而打响数据主权的保卫战。数据主权回归了传统主权的概念,成为网络主权的子项,是领土主权在数据领域的延伸,包括数据的所有权、管辖权、控制权和使用权。数据主权意味着数据受数据收集和处理所在地理位置的法律法规约束,核心是保护敏感的私人数据,并确保其仍处于所有者的控制之下。
尽管数据本地化是由数据主权概念衍生而来,但是,本文认为,现代法治框架下的数据主权原则,并不等同于绝对的数据本地化政策。条约项下的国际合作制度增强了国家间的相互信任和依赖,但是,层出不穷的条约义务也限制着国家行为,在一定程度上淡化了国家主权观念。通过对等互惠机制,国家对与之签订协议的国家让渡部分执法便利,允许对方直接向数据提供商调取数据,从而弱化国家实施数据本地化的动机,对数据本地化机制带来对冲效果。
2.4从“域内”到“长臂”的模式转变
当前,新的多边数据治理规则尚未确立,在逆全球化和单边主义思潮的影响下,各国为了在多边条约义务上争取更大的主权空间而进行持续的磋商博弈,导致全球数据治理规则远远落后于数字经济的发展,跨境数据监管面临更严峻的挑战。达成国家间合意的承诺成本愈发增高,国际法治模式难以形成。“全球单边主义者”甚至赞颂一些国家在多边体系之外实施本国政策、不受外来干预的能力。2016年至今,美国和欧盟之间经历了从《安全港协议》到《隐私盾协议》的改良过程,试图达成数据自由流动与隐私保护相平衡的协议,然而最终以2020年欧盟法院“Schrems II案”判决宣告欧美《隐私盾协议》无效而失败。
伴随数字技术的发展,虚拟的数据模糊了物理国境线以及以此为基础的属地管辖原则,愈来愈多的国家开始转向“长臂管辖”。国际法中的长臂管辖,其理论基础是管辖中的“效果原则”,即只要某个在国外发生的行为在本国境内产生了“效果”(最低限度联系),不论行为人是否具有本国国籍或住所,该国法院便可对因此种效果而产生的诉因行使管辖权。典型法案如欧盟2016年出台的《一般数据保护条例》以及美国2018年《澄清域外合法使用数据法案》。欧盟的《一般数据保护条例》被称为史上最严格的数据保护条例。根据《一般数据保护条例》第3条的规定,适用于在欧盟境内的数据控制者或处理者对于个人信息的处理,无论其数据处理行为是否发生于欧盟境内。数据控制者和处理者必须实施合理的安全程序和保护措施,以保护欧盟的个人数据不被授权访问。该条文以属人原则和效果原则为基础,将保护个人隐私权和维护数据主权巧妙地结合在一起,使得其长臂管辖权可以延伸至世界的各个角落。这是欧盟在数字经济落后于美国时的权宜之计,可以防止谷歌、微软等科技巨头滥用其海量的个人数据,不过由此带来的管辖权冲突也对网络空间的共治权利带来了挑战。
如果说欧盟《一般数据保护条例》的长臂管辖是以个人数据权利保护为目的的“防御型”立法,美国《澄清域外合法使用数据法案》则展现出咄咄逼人的公权力“进攻型”立法,体现出强势的单边主义倾向。《澄清域外合法使用数据法案》法案采取了“数据控制者标准”,赋予执法机关向科技公司调取境外数据的法律权限,客观上绕过了数据存储国的司法主权问题。在全球民族主义、国家主义大势下,数据主权会迅速升温,成为国家间斗争与博弈的“新战场”。这些管辖主张建立在各国不同的经济基础和利益表达上,短期之内难以达成一致。
2.5由单一自足转向多样碎片的规则构建
全球问题的出现曾经使得国际社会结构发生改变。政府间组织、非政府组织等次国家行为体深度参与国际社会活动;在联合国等国际组织的推动下,诸多国际法原则、规则及制度在国际条约和国家实践中得以确立。然而,伴随国家间数字鸿沟的不断加深,各国倡导构建的跨境数据治理规则都具有精细的目标与宗旨,各自推崇不同甚至相互冲突的法律原则。首先,伴随云计算、大数据技术的发展,跨境数据领域已经超越了立法者制定适用于任何国际法分支的相关条约和政策的能力。国际法主体在进行条约制定与机制设计过程中,一定程度上忽视了其他分支的造法活动以及国际法的一般原则与实践。尤其是,倚重国内法院判例以及本国颁布的法案成为英美法系国家确认、遵守和发展国际法的特征,客观上有益于增添国际法的多样性,强化国际法的效力,同时也易抹去国内法和国际法的界限,甚至使得国际法成为强权政治的工具。其次,在某些情况下,跨境数据领域的监管措施已成为保护本国产业利益、歧视外国竞争对手的工具。各国主张建立的国际法分支都有其自身的条约规则,这些条约项下又有着各自独立的争端解决程序,愈发倾向于建构一种“自足制度”,将自身独立于其他国际法分支体系。例如,WTO作为以促进自由贸易为宗旨的国际组织,向来就“能否借助其他条约解释WTO涵盖协定”等问题十分谨慎。WTO涵盖协定实际上是一个相当自足封闭的条约系统。因此,在WTO项下讨论点子商务问题与在司法协助条约项下讨论该问题已然达成完全不同的条约路径,客观上必然导致跨境数据治理规则的碎片化趋势。又如,意欲了解哪些跨境数据治理规则对某个国家有约束力,需要查阅以下几类资料:一是该国缔结或参加的相关条约,并判断条约是否仍然有效;二是以该国为一方当事国的国际法庭(仲裁庭)之判决(裁决);三是该国国内法院依照国际法所作的判决;此外,查尔斯·海德认为对国家有约束力的规则还包括国家在外交谈判中确认的能够约束该国的法律准则。以上规则的总和即为“主要由特定国家解释并运用的国际法”,这体现了国际法规则的分散性。
逆全球化潮流和跨境数据治理的单边措施加剧了本就存在的国际法“碎片化”问题,进而对国际法律秩序造成一定程度的影响。碎片化是国际社会功能分化与国际法体系发展的必然现象。它是后现代性的重要特征之一,社会各子系统的日益专业化与相对自主化进程不仅发生在国内社会,同时也因应于国际社会。随着国际法规范领域不断扩大,国际法不同规则之间逐渐分离,缺乏一致性甚至相互冲突;伴随专业性和(相对)自治性的法律规则或规则复合体、司法机构与法律实践领域的出现,社会的功能分化开始在法律层面彰显意义。国际条约倾向于在不同的历史性、功能性和区域性系统中各自发展,这些系统彼此分离,其相互关系在某些方面类似于独立的国内法律体系。但是,碎片化所引起的国际法规范之间的矛盾冲突也给国际关系增加了不稳定因素,影响跨境数据治理体系的效力。
三、中国的因应之策
当下,我国面临更趋复杂和严峻的数字竞争局势,尤其是主要国家借助法律制度之设计,强化数据治理、控制数据资源的新态势,需要探索共建共治共享的多元数据治理格局,统筹推进数据保护、监管的国内法律与涉外法律体系。
3.1融合国家安全与隐私保护理念
全球数字经济的发展使得数据安全对国家安全的影响不断上升,而数据的天然跨国界性及其资产价值的显著提升使得国家安全面临诸多方面的非传统风险。数字平台在崛起过程中形成“一家独大”的格局,大型数字平台滥用市场支配地位的现象日益凸显,引发国家对于数据安全的担忧。一是大量个人信息被窃取、泄露、毁损、非法利用的风险,二是数据集中化、垄断化导致关键数据外流的风险,三是平台境外上市需要持续的信息披露,可能涉及数据被他国政府控制的风险。此外,境外上市还可能受到他国的“长臂管辖”,企业一旦卷入国外司法或行政案件,还将面临证据开示或证据合作的义务。
基于此,我国需要从国家和人民的利益出发,将维护国家安全和保护个人隐私有机融合,作为监管数据出境的价值理念。2021年7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》,对于加强跨境监管执法协作,压实境外上市公司信息安全主体责任,加强数据出境流程的规范管理做出重要部署。2022年2月15日起施行的国家网信办《网络安全审查办法》既回应了“滴滴出行”等境内公司国外上市引发的数据安全担忧,也是将2021年9月1日起施行的《中华人民共和国数据安全法》(以下简称《数据安全法》)中的数据安全审查制度逐步落地的重要举措。按照网络安全审查工作安排,2021年7月16日,国家网信办会同公安部、国家安全部等七部门联合进驻滴滴出行科技有限公司,开展网络安全审查。新版《网络安全审查办法》对数据处理活动、国外上市行为的网络安全审查将进行更加严格的监管,同时将证监会纳入网络安全审查工作机制成员单位,体现了共建共治的监管思路。2021年11月14日,国家网信办又公布了《网络数据安全管理条例(征求意见稿)》,对大型互联网平台运营者在境外设立总部或者运营中心、研发中心做出规定,要求其向国家网信部门和主管部门报告。当前数据安全已处于网络空间国际博弈的第一线。今后,一方面,平衡对外开放与国家安全的双重目标,将“数据自由流动”作为基础性原则,将“数据安全流动”作为限制性原则。这就要求对数据进行分级分类管理,涉及国家安全的数据继续采取数据本地化措施,禁止跨境;重要数据需要采取加密技术等方式予以保护后才可传输;对于个人数据可以允许跨境流动,但应设置相应的安全要求和问责机制。另一方面,提高企业的数据合规能力,加强企业境外上市中数据出境的合规监管。面对全球竞争,我国企业既要符合国内合规的要求,也要做好本国与信息接收国的“双向合规”,甚至为企业未来的全球布局筹谋“全球合规”。此外,互联网监管部门作为相关政策的制定部门,还应在政策正式出台之前,广泛向社会征求意见,这有助于形成企业与监管部门的互动沟通渠道,推动数据立法有效落地和实施。
3.2探索政府与私营部门共治格局
权力的服务功能和法治化运作要求政府由单一的统治功能向社会服务功能转化。这就需要分权、下放权力以及转移权力,由全能型政府向服务型政府转变。
第一,尊重数字平台的主体性,推动多方跨境数据治理。2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第58条针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设置了额外的监管义务,还要求大型平台企业成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。从立法意图上看,立法部门希望通过任命由外部成员组成的独立机构推动多方数据合规治理,增强对大型平台企业的合规制约,监督与管控。考虑到大型平台企业具有显著的流量优势,《个人信息保护法》还要求大型平台企业对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者停止提供服务。
第二,鼓励数字平台参与构建跨境数据治理规则。伴随我国全面融入国际体系,私人或私营主体也更多地直接或间接参与对外关系。公私分离已成为社会共识,但公私关系的社会建构尚在转型当中。在当前推进国家治理体系和治理能力现代化进程中,这一变革理应成为建立新的国家治理体系的应有之义。参与构建跨境数据治理规则的平台主要是指电子商务平台。例如,阿里巴巴通过推动建立世界电子贸易平台(eWTP)探索适合数字经济时代的贸易规则,旨在帮助全球的中小企业共享数字红利。信息类平台也是全球信息传播的重要媒介,通过鼓励我国平台企业与微软、谷歌等科技公司合作,可以制定保护用户隐私的行业规范,还可通过共享数据的方式共同应对跨境犯罪行为。此外,国际标准化组织也是跨境数据治理规则的重要参与者。例如,互联网WWW标准化领域的W3C曾联结了“信息孤岛”,开创私营部门参与跨境数据治理的先河;又如,可扩展商业报告语言(XBRL)是近年破除“数据烟囱”的有效工具,已被广泛应用于世界各国政府监管机构和私营企业。
数字平台经济的崛起促使网络的公共性和经济性交织更为紧密。当前,我国政府部门迫切需要在法治框架下保持快速获取信息的能力。同时,一些传统的政府职能,如数据收集和统计、信息发布、公共政策讨论等则可与数字平台共同行使,从而实现平台、政府和用户多方主体之间的协同。
3.3打造我国数据法域外效力之“矛”
国际法限制国家的主权,国家在参与国际事务时希望摆脱国际法义务的约束,但同时又试图运用国际法为本国谋取利益。对此国际法现象展开反思和批判研究,必须有效地设定价值。没有一个价值标准,想要做出批判分析几乎是不可能的,甚至可能出现错误。本文认为,国内法的域外适用可以帮助国家在特定事项上摆脱国际法的限制,利用国内法处理对外关系。国内法域外适用如在合理限度之内,有助于保护本国国民利益,但其滥用则会违反国际法规则,给多边治理带来巨大挑战。
本文认为,可赋予我国数据法律合理限度的域外效力,打造我国《数据安全法》、《网络安全法》和《个人信息保护法》的域外效力之“矛”。根据《数据安全法》第2条,在我国境外开展数据处理活动,损害我国国家安全、公共利益或者公民、组织合法权益的,依本法追究法律责任。不过,该项域外效力条款所涉及的范围有过大之嫌,有待立法部门出台相应的实施细则。在个人数据方面,《个人信息保护法》采取了与欧盟《一般数据保护条例》第46条第2款c项和d项类似的思路,增加了“按照国家网信部门制定的标准合同”的限定,实质性地引入了中国版“标准合同条款”的概念,并且要求企业与境外接收方签订该标准合同方可依赖合同机制进行个人信息的跨境传输,这是一种赋予我国法适当域外效力的谦抑的长臂管辖政策。
需要认识到,一方面,过于严格地监管数据处理并对跨境数据传输施加具体限制的行为,可能会引发其他国家的互惠限制,导致获取全球数据和技术的机会减少,对双边和多边贸易谈判造成压力。另一方面,我国部分重点领域的数据安全标准仍存在空白,需要完善以《数据安全法》《网络安全法》《个人信息保护法》以及实施细则、实施意见为要素的兼具攻、防功能的国内数据法体系。可在部分自贸港和自贸区“先行先试”,支持区域改革试验走深、走实。例如,2022年1月1日起施行的《上海市数据条例》及其配套措施聚焦于高效的公共数据治理体系和严格的安全管理措施,并且因地制宜,对浦东新区的数据改革做出特定要求。
3.4构筑阻断外国数据法在我国适用之“盾”
跨境数据问题关涉整个国际社会,在没有专门国际条约的情形下,各国国内法正在对其进行不同层次的规制,这在理论上可能会阻碍国际社会整体利益的形成、确认及维护。然而,中国企业近年在海外频频遭受制裁,抖音海外版(TikTok)、微信(WeChat)等大型科技企业出海融资、全球投资,触发他国数据安全的敏感神经,从而被迫下架。事实上,以维护数据安全为由对中国企业做出的制裁禁令,就是一种破坏国际法规则的单边措施。因此,我国应适时反对外国制裁,构筑阻断外国数据法在我国适用之“盾”。此处的外国数据法主要是指以美国《澄清域外合法使用数据法案》为代表的具有强烈单边性和攻击性的外国数据法案,其长臂管辖政策赋予本国执法机关调取世界各地个人数据的权力。长臂管辖制度源起于州法院对于其他州公民的管辖权,不过自20世纪70年代起,美国法逐渐将该制度延伸适用至外国公民。如前述,美国《澄清域外合法使用数据法案》无视他国主权,赋予执法机关调取存储于世界各地数据的权力。在此之前,服务于跨境数据获取宗旨的法律机制是双边司法协助条约。显然,相较于复杂冗长的司法协助条约机制,《澄清域外合法使用数据法案》项下的数据调取程序为美国执法机关提供了便利。
尽管美国《澄清域外合法使用数据法案》考虑到主权冲突,要求执法机关判断适格外国政府以及礼让分析等问题,但此类程序均由美国单方面决定,并未尊重他国对于网络空间的共治权利。为此我国需要通过制定和实施国内法予以阻断。《数据安全法》第36条之规定明显加强了对向境外司法或执法机构提供存储于中国境内的数据的监管,从“应当报告获批”调整为“非经批准不得提供”,并且在“外国执法机构”的基础上增加了“外国司法机构”。上述调整有助于防范境外执法机构或司法机构向我国境内的组织或个人调取数据,从而对存储于我国境内的数据进行“长臂管辖”。与之相对应地,《个人信息保护法》第41条也将数据出境标准从“因国际私法协助或者行政执法协助(的需要)”的“目的导向标准”调整为了“向外国司法或执法机构要求提供”的“主体导向标准”。对企业而言,这可能会是一个更加容易操作的判断标准,但这以后可能会对中国企业在海外法院应对应诉提出更多的挑战,因为国内的审批速度不一定能够兼顾境外法院设定的时限,可能会导致中国企业没有在规定期限内提交证据而承担不利的后果,需要日后以实施意见或细则的方式予以明确。
3.5推动多边规则与诸边规则协同治理
我国一向主张在坚持多边主义的原则的基础上,推动构建网络安全、数据流动方面的国际规则。在2021年6月29日召开的联合国安理会首次网络安全问题公开会上,我国代表提出维护网络安全是全球性课题,各国应深化在技术研发、规则制定、数据共享等方面的合作。数字鸿沟以及数字经济中市场力量的高度集中,都表明需要新的政策和法规,从而更公平地分配收益。关键问题在于,放眼全球的多边体系好在哪里?长远来看,多边体系顺应全球数字经济领域的国际发展必然趋势,又有助于推动全球经济体系向公正、合理、有效的方向变革。并且,多边条约谈判过程中,所有国家均有机会参与条约起草过程,进而对于国际造法事宜做出贡献。但是,不太可取的是试图通过一部国际公约来涵盖跨境数据所涉的全部问题。这是因为,即便国际社会整体利益获得确认,此种利益可能也难以真正独立于国家利益,甚或少数国家的利益,而往往只是国与国之间简单的算计和权宜。因此,它被主权国家个别地或共谋地淡化、贬低甚至否定。同时,本文建议由专门性的国际组织,而非由政治性的国际组织主导跨境数据多边条约的谈判。由于目前条约的起草、编纂程序普遍受阻,客观上促进了国际宣言、国际倡议、国际指南等软法的兴起。通过软法文件赢得国际社会的支持进而向国际条约过渡,这是将数据问题纳入多边条约范畴最为谨慎的方式,当然,前提是不能与数据主权原则相冲突。
由于短期内国际社会无法形成一个关涉网络空间所有议题的多边法律体系,目前局势下,我国可以考虑:首先,尊重现有的国际法框架,对现有国际规则进行细化解释和推进实施。例如,将数据政策深度嵌入诸边贸易投资谈判之中,争取跨境数据国际合作的话语权。这就需要从“超级全球化”视角转移到以亚洲区域经济合作为中心的“有限全球化”或“区域全球化”视角,利用《区域全面经济伙伴关系协定》框架下达成的区域性安排,在亚太区域创立具有建设性效应的机制。《区域全面经济伙伴关系协定》共包括20个章节,涵盖货物、服务、投资等全面的市场准入承诺,其中第12章“电子商务”是首次在亚太区域内达成的范围全面、水平较高的诸边电子商务规则成果。2022年4月15日,我国正式完成《区域全面经济伙伴关系协定》的核准程序。未来该机制的运行将减少我国对美国市场的依赖,同时需要在发展中国家的充分参与下加强国际合作和政策对话,考虑在与“一带一路”沿线国家共建签署合作文件时,纳入以《区域全面经济伙伴关系协定》为蓝本的内容。其次,在国际规则的起草方面发挥积极作用,填补网络空间的“法律真空”。建设性地参与联合国、二十国集团、金砖国家、东盟地区论坛等多边平台的数据安全讨论,致力于为加强全球数字治理贡献中国智慧。第一,在联合国框架下推动制定一项打击网络犯罪的全球性公约;发起《全球数据安全倡议》,提出数据安全三原则:秉持多边主义,兼顾安全发展,坚守公平正义。第二,将数字贸易从现有的多边贸易协定中剥离出来,缔结专门的数字贸易协定。第三,在APEC框架下积极推动有利于我国的数据治理倡议,适时考虑加入APEC跨境隐私规则体系。第四,在WTO框架下建设性参与电子商务诸边谈判,推动谈判成果符合最大多数成员的利益,从而提升我国在数字贸易领域的规则话语权。
决策的有限理性意味着一个国家在跨境数据治理政策的选择上追求“满意”而不是“最优”目标。无论是长远的多边规则设计,还是诸边规则构建,都需要认识到,通过传统的等级安排、运用超国家权力达成自上而下的强制效果是不现实的。国家对于国际秩序的遵从必然建立在信息共享和利益互惠的基础之上,从而形成国家的“自我强制”。
四、结语
信息技术革命极大拓宽了社会之间的联系渠道,导致官僚组织和科层体制发生变化,跨境数据平台日益成为跨境数据治理的重要力量。国家间的数字治理鸿沟日益加深,传统的全球治理体系受到冲击。在全球性数据合作受阻的背景之下,部分国家逐渐转向区域治理、双边治理甚至单边治理,这是逆全球化潮流在数据治理层面的表现,其对跨境数据治理体系产生深远影响,并在很大程度上改变全球秩序。
信息革命所带来的巨大冲击为实现我国数字经济的发展提供了难得的契机。不过,随之而来的跨境数据流动也是一把双刃剑。它在为互联互通的世界带来新希望的同时,也影响到民族国家的一些基本理念。不受管制的跨境数据流动可能会对国家经济独立构成威胁,而过度管制则可能使我国与当前的新兴世界市场相隔绝。理想模式是在排他性治理和包容性治理之间做出审慎的平衡:立足于数据主权原则和数据安全理念,兼顾数据保护和数据流动的立场,尊重数字平台的主体性,构建“攻防兼备”的数据治理法律体系。国际规则方面,坚持多边主义,推动构建网络安全、数据流动方面的规则。未来,全球法律监管应符合数据控制者和数据主体双方的利益,跨境数据治理领域的诸多问题需依赖国际合作才能解决。
相关阅读
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所