跨境数据流动的国际规制探析与中国因应
作者简介:胡亚超,西北政法大学国际法学院2017级本科生。
目次
引言
一、跨境数据流动规制之缘由
(一)跨境数据流动的内涵
(二)跨境数据流动全球治理机制缺失
二、欧美跨境数据流动之规制探析
(一)欧盟:“约束型”跨境数据流动
(二)美国:“协定与合作型”跨境数据流动
(三)欧美跨境数据流动规制体系之比较探析
三、我国跨境数据流动之法律现状与因应
(一)我国跨境数据流动之法律现状
(二)我国跨境数据流动立法现状之特
(三)跨境数据流动规制之中国因
四、结语
【摘要】互联网数字经济的时代背景下,跨境数据流动成为全球贸易发展的重要平台,数据主体以跨境方式将本国信息传递至他国,为贸易发展带来利好的同时也产生了个人数据隐私权、国家数据安全等诸多问题。以欧美为首的发达国家积极建立跨境数据流动国际规制体系,形成了“充分性”原则和“问责制”原则两种规制体系。与此同时,我国在该领域的发展处于萌芽阶段和弱势地位,《网络安全法》虽然一定程度上促进了数据保护立法体系的建构,但因其本质上的模糊并未起到良好的规制效果。本文聚焦跨境数据流动的国际规制,以欧盟和美国为蓝本探析全球跨境数据流动治理的规制模式,以期通过对我国现状的分析和对欧美规制的借鉴实现我国数据保护规制体系的完善与发展。
【关键词】跨境数据流动;“充分性”原则;“问责制”原则;中国因应
引言
在互联网与经济全球化的纵深发展下,数据载体体系不断完善和发展,数据在现代社会中扮演着越来越重要的角色,成为全球数字经济的重要载体。全球化的本质是生产要素的跨国界流动。【1】在电子商务和服务外包等新型的具有涉外特征的行业的催化之下,数据的跨境流动呈现出了几何数级增长趋势。据IDC预测,2010-2020年,人类社会产生的数据总量将呈现出指数级别增长,即以平均两年翻一番的速度,至2020年,全球的数据总量将达到35ZB。【2】基于规模宏大的数据体量和频率,全球贸易和投资增长的主要途径都将跨境数据流动作为在跨国商业投资领域内拓展新高地的重要手段。
跨境数据流动(Trans-border Data Flow/Cross-border Data Flow)作为在上世纪七十年代提出的概念,其首次提出是在1980年代经合组织(Organization for Economic Co-operation and Development,以下简称OECD)的会议上。无论是基于国家安全的考虑,还是基于商业利益的考量抑或是个人信息的保护,以欧美为代表的各个国家之间通过签订国际条约或协定来应对新形势下跨境数据流动对于本国的巨大冲击。毋庸置疑,在对跨境数据流动进行国际规制的同时,各国国内法关于跨境数据流动的相关法律法规与国际条约或协定之间的冲突引发了跨境数据流动全球治理的议题,并能够在全球范围内促成“公地喜剧”。【3】
【1】惠志斌,张衡:《面向数据经济的跨境数据流动管理研究》,载《社会科学》,2016年第8期,第15页。
【2】樊重俊:《数据库基础及应用》,立信会计出版社,2015年版,第277页。
【3】“公地喜剧”理论是美国学者Hardin公地悲剧理论的延伸,最早见于1968年载于《科学》杂志上的《公地的悲剧》一文。此处的“公地喜剧”意指全球的数据“公地”是依靠跨境数据流动建立起来的,并且数据流动促进了数据的利用效率。
一、跨境数据流动规制之缘由
(一)跨境数据流动的内涵
关于跨境数据流动的外化表现可追溯至人类开始进行跨国的商贸活动之时,人们通过跨越国境的贸易活动,将本国的各类的商业信息通过商品的交换传递至另一国家,形成了最原始的“跨境数据流动现象”。现代社会中对于“跨境数据流动”的研究可追溯至二十世纪七十年代计算机和通信技术的迅速进步带来的国际贸易的迅速增长的阶段,如前文所述,其首次提出则是在OECD的跨境数据流动相关规则之中。对于跨境数据流动的定义,不同的国际或国家组织有着不同的表述。【4】笔者认为,无论以何种表述方法对其进行定义,其基本特征均包含以下三个层面:(1)其主体为可被机器或者其他工具所识别的数据;(2)数据跨境的范围突破地理边境;(3)数据本身要能够实现被存储、编辑或读取等操作。
跨境数据流动的特征决定了其存在于不同的领域之中。第一,于国际贸易与投资领域,跨境数据流动是实现跨国企业对于全球子公司进行统一化、标准化、集约化管理的必要手段,也是国际投资人能够及时获取国际商业信息从而进行商业投资的重要信息依靠。第二,于个人隐私和数据保护领域,由于部分以客户信息为主导的行业需要通过大量客户信息来确定经营策略或发展导向,个人的信息甚至隐私将会在不同国家、不同行业、不同领域内进行流动,个人在获得优质服务的同时承担着巨大的隐私风险。第三,于国家安全领域,不同国家对于数据的保护有不同的规定。以美国为例,在其《隐私权法》《信息保护和安全法》等法律的约束之下,企业需向政府提供在他国获得的数据信息,在大数据和云计算的推导下,国家的主体信息也极易被窃取或利用,威胁国家信息安全。
(二)跨境数据流动全球治理机制缺失
由于大数据(Big Data)和云计算等先进的数据处理机制的涌现,通过增加数据基量、频率等方式可以对数据进行全盘推导与分析,从而获取有效信息。因此,跨境数据流动在现代社会存在诸多风险,但是无论是双边协定还是国际条约,对于跨境数据流动的治理仍于缺失状态,难以形成统一的规制模式。
1.国家间法律适用的冲突
跨境数据流动提出至今也不过40年左右,各国国内法对于相关法律法规的制定仍不完善,不同国家之间对于法律的适用情况也不尽相同。以中美为例,2017年6月正式实施的《中华人民共和国网络安全法》(以下简称《网络安全法》)明确了跨境数据的来源应为“在中华人民共和国境内运营中收集和产生”,但是美国对于跨境数据流动的规制均以《欧美隐私盾协议》(EU-U.S. Privacy Shield Framework,以下简称《隐私盾协议》)为蓝本。换言之,虽然中国并非《隐私盾协议》的缔约国,但是就美方而言,中美关于跨境数据流动的规制应以《隐私盾协议》为参考。众所周知,《隐私盾协议》在数据规制上要求极为严格,其强化了原本《美欧安全港协议》(U.S.-EU Safe Harbor Framework,以下简称《安全港协议》)的众多条款,加大了数据保护的力度。而我国的《网络安全保护法》处于不完善的阶段,其规范也较为笼统、不严格。不难想象,中美双方就跨境数据流动问题上难以形成法律适用的共识,从宽从严的标准也未有规定,治理机制的缺失容易使双方陷入“无法适用”的泥淖。
2.现实层面新情势的不断涌现
数据的流动是一个动态的、不间断的过程,在经济全球化已然形成的前提下,数字经济也必然不会消灭,因此数据的跨境流动也必将会产生各种各样的新问题、新挑战。对于跨境数据流动的规制,虽然国际上已经形成了“充分性”原则、“问责制”原则等原则性规范,但是原则性规范不足以应对不断涌现的新情势。在中国“一带一路”倡议下,多国联动发展的模式必然带来多国之间交叉性的跨境数据流动问题,但在“一带一路”规则体系和条约法律保障体系中却并没有关于跨境数据流动方面的规定,而目前国际上对于跨境数据流动的规制也更多地停留在双边协议的层面上,因此面对此类新情势,现有的治理机制就显得乏善可陈。
【4】联合国跨国公司中心将其定义为“跨越国界对机器可读的数据进行处理、存储和读取等活动”;OECD将其定义为“计算机化的数据或者信息在国际层面的流动”;美国国会报告将其定义为“跨越国境对计算机中的电子数据进行处理和存储的行为”。
二、欧美跨境数据流动之规制探析
对于跨境数据流动的限制与监管,欧盟在半个多世纪的探索中建构起了自身的治理框架,在欧盟内部与外部之间搭建起了一个在个人数据隐私保护与跨国商业贸易发展的“平衡木”。就美国而言,跨境数据流动的规制虽然起步较欧盟晚,其对于数据领域的规制也不尽完善,但是其基于大国地位和多边合作建立起了不亚于欧盟严格程度的跨境数据流动监管机制。毋庸置疑,欧美双边在跨境数据流动的规制上提供了两个不同类型的蓝本,也产生了“斯诺登事件”【5】这样的双边冲突,但是欧盟和美国在跨境数据流动的规制上依然有着丰富的经验和较为成熟的规制模式。笔者通过对欧盟和美国跨境数据流动规制的研究,探析国际上两种不同规制模式的内核。
(一)欧盟:“约束型”跨境数据流动
在欧盟的立法体系之下,关于跨境数据流动的规制主要是由以下三个标志性法律文件搭建起来的:1981年欧洲理事会的《与个人数字自动化处理有关的个人保护公约》(European Treaty Series,No.108)、1995年的《个人数据保护指令》(EU Directive 95/46/EC)、2016年的《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)。不难发现,“公约→指令→条例”的变化模式是欧盟对于跨境数据流动监管与保护的严格程度的加深、保护水平的提升,学界也普遍认为,GDPR是现阶段对于跨境数据流动监管与保护的最严格规制。毫无疑问,欧盟对于跨境数据流动的监管与保护是通过不断限缩与约束跨境流动来实现的,从其文件名称的变化中就可窥探一斑。
1.GDPR下欧盟内外的严格限制
GDPR中的规定是在借鉴全球跨境数据流动治理与欧盟先前两个标志性法律文件之下所制定的严格性规制,其不仅突破了对传统数据保护规则范围的适用,而且对原有体系下数据保护的力度进行了进一步的强化和严格性规定。
对于数据主体的规制,GDPR明确了合法使用个人数据的行为类型,并将获得数据主体的确定同意作为其强调性前提。虽然对于特定情形亦有列举,但仍然不改变对于数据主体的强调性前提。此外,无论是对于数据主体的“被遗忘权”的规定,还是对于GDPR本身强制力的规定,该文件都展现出对跨境数据流动监管与保护的严苛与挑剔。
2.数据本地化要求的建构
对于数据的严格监管,欧盟的措施的确起到了立竿见影的效果,但是也激起了学者对于数据保护主义(Data Protectionism)的批判,数据本地化要求(Data Localization Requirements)就是欧盟对于数据监管的一项重要举措。数据本地化要求跨境企业需要在本地部署数据存储机构,以满足对数据的本地存储和计算,相应的,其要求也必然导致严格限制数据出境以保护本国数据安全。欧盟数据本地化的要求主要体现在对外部的数据存储以计算,对于其内部的要求并未有严格界定。
(二)美国:“协定与合作型”跨境数据流动
在美国的立法传统下,保障民众个人自由是其核心要义,促进经济发展是其首要目标,因而美国对于跨境数据流动的规制主要是通过双边协定或合作来实现的,在不同的双边模式下找到最有利于自身发展的个性化规制方法。美国的国际贸易来往频繁且具有众多实力雄厚的跨国公司,因而通过增加数据基量和频率来计算与推导国际经济动向成为美国能够傲立潮头的重要原因之一。据ITC估算,跨境数据流动使得美国的GDP增加了3.4%-4.8%,并且创造了240万个就业岗位。【6】笔者认为,双边协定与合作的灵活性是美国对于跨境数据流动规制的基本立足,寻求利益最大化是其基本态度。
1.从《安全港协议》到《隐私盾协议》
为实现美欧两国商业贸易的发展和利益最大化,2000年11月1日,双方签订的《安全港协议》冲破了原本存在巨大法律差异的藩篱,是双边贸易在一段时期内呈现出向好的稳定态势。其中《安全港协议》所规定的七项原则【7】也为双方的贸易往来增加了稳定发展的筹码,由此美国则可以处理来自欧盟的个人数据。
“斯诺登事件”的爆发成为了双方跨境数据流动监管与保护的转折点。美方的绝密电子监听计划在前中情局(Central Intelligence Agency)职员爱德华·约瑟夫·斯诺登的曝光之下使得欧盟对于美国失去了信任。2015年10月6日,欧盟法院(Court of Justice of the European Union,以下简称CJEU)裁定签订了15年的《安全港协议》无效。但是基于双方利益的考量,经过一年的反复磋商,规制双方跨境数据流动的《隐私盾协议》应运而生,成为欧美双方互相妥协的新规制。
2.以商业利益优先的双边协定与合作
跨境数据的主要载体为跨国企业,但追根溯源,数据的本质载体即为“设备”,而存储在“设备”中的数据则是一种附随性权力,即“得设备者得数据”。但是,发展中国家与发达国家信息技术发展水平不一,发展中国家多为数据的提供者,发达国家通过“设备”多为数据的储存者,因此像美国这样的信息技术大国就成为了跨境数据流动的受益者。
美国更看重的是通过跨境数据流动的双边协定或合作来实现自身商业利益优先化、利益最大化。《韩-美自由贸易协定》下不将设立数据中心作为允许TPP缔约方企业进入市场的前提条件;《出口管制改革法》下外国人对保存或收集美国公民敏感个人数据的公司进行非控制性、非被动性投资;《CLOUD法案》下获取存储在境外的数据适用控制者原则……这些双边的协定都无一例外的遵循了商业利益优先化、最大化的原则,也使美国与他国间的协定与合作蒙上了披着数据保护“外衣”的商业利益色彩。
(三)欧美跨境数据流动规制体系之比较探析
1.侧重方向:“数据安全优先”与“商业利益优先”
欧盟的“数据安全优先”理念是基于其对个人数据权的保护,在欧洲重视人权保护的传统理念的影响下,通常意义上认为,数据权是个人隐私权的下位概念,因此对于跨境数据的保护更多的是在个人数据权和隐私权维度内的讨论。GDPR对于个人数据权的保护是非常严苛和全面的,其主要体现在个人数据主体的“被遗忘权”。依据GDPR第十七条【8】规定可以看出“被遗忘权”的内容具体是指信息主体可以请求个人信息控制者删除已经发布在网络上不恰当的、过时的、会导致其社会评价降低的信息的权利和个人信息控制者依信息主体的请求删除与其相关的个人信息的义务。个人数据主体可在任何时间行使GDPR所规定的“被遗忘权”,这就意味着个人数据主体对于数据具有终局性所有权。暂且不论“被遗忘权”对于数据主体自身消除影响的程度和删除可能性,但就对个人数据主体的个性化保护就足以说明欧盟在跨境数据流动的监管与保护过程中极其重视对于个人数据安全的保护。笔者认为,欧盟对于跨境数据流动的规制也并非是一味地保护数据安全或者单纯地保护个人隐私权,只不过其商业利益的追求在浓厚的人权主义之下显得有些弱势。当然,从《与个人数字自动化处理有关的个人保护公约》到GDPR,个人隐私权的保护依旧是其监管与保护的主要内容,但是也应看到,从安全港模式到《隐私盾协议》的转变也能感受到欧盟对于商业利益的追求也是其监管与保护的重点之一。与此同时,GDPR中有关数据的保护标准较《隐私盾协议》稍高,美国学界已经有关于GDPR生效实施对《隐私盾协议》的影响的相关讨论。【9】
相比之下,美国对于商业利益的追求就显得大张旗鼓。正如笔者在上文所述,美国通过签订各类双边协定或双边国际合作,制定了很多以商业利益优先的条款。究其商业利益优先的根源就在于其市场主导下以行业自律为中心的个人数据保护政策,再推进一步即美国的超级大国地位和跨境贸易的大体量、高频率,因而在这种背景之下,美国在跨境数据流动上的“商业利益优先”理念也就不足为奇了。其作出的各种条款或者约文都是在维护自身利益的同时能够最大限度的利用通过“设备”衍生出来的数据主权,从而获得数据在跨境流动过程中的读取、存储和利用,最大程度地从跨境数据中攫取最大利益。
综上所述,欧美之间在跨境数据流动规制的侧重方向的不同主要在于两者不同的历史源头和现状背景,即欧盟人权保护的传统与美国国际贸易的体量。但是不难发现,两者虽然在规制上各有侧重,但是个人隐私权的保护和商业利益的追求在欧美跨境数据流动的监管和保护条款中亦都有体现,这也是最大化实现自身权益最大化的普遍体现。
2.规制路径:“充分性”原则与“问责制”原则
在跨境数据流动的规制路径层面,不同的国家采用了不同的规制措施,其中最具代表性的就是欧盟“以地理区域为基准”(geographically based)的规制路径和美国以“以组织机构为基准”(organizationally based)的规制路径。【10】相应地,欧盟是根据“充分性”(adequacy)原则,美国则是根据“问责制”(accountability)原则,两种不同的规制路径是欧美基于不同的现实情况所做出的不同立场,两种路径之间既联系又区别,也各有其合理性。
(1)欧盟:“充分性”原则
“充分性”原则是在“以地理区域为基准”的规制路径下延伸出来的原则性规范,其大体可分为两种情况:一是国家通常会禁止将个人数据转移至本国以外的其他地理区域内;二是如果有数据流动的必要性则需要第三国政府提供“充分的”数据保护,即达到“充分保护水平”。1995年,欧盟发布的《个人数据保护指令》第25条规定:“只有第三国确保能够为个人数据提供充分程度(adequate level)的保护时,才能将个人数据转移或传送至第三国。”这是欧盟首次提出“充分性”原则。
美欧两国签订的《安全港协议》的目标之一就是为了解决“充分性”原则在两国贸易往来上建立的门槛。虽然《安全港协议》在一定程度上确定了美欧两国在此原则下进行商贸往来的具体规定,但是“充分性”原则仍然是欧盟方面一直秉持的基本态度。欧盟委员会坚持只有美国的商业机构主体能够完全符合和遵守安全港原则的数据保护政策,其就可以达到《个人数据保护指令》所要求的“充分性”原则。由此,美国才可以对欧盟方面的个人数据进行储存、处理和分析,相反,如果美国在此过程中违反《安全港协议》中任一条款或者作出与跨境数据流动保护措施相悖的举动,欧盟有权终止商业领域内的跨境数据流动并不再提供数据服务。
在“充分性”原则的统一规制路径之下,能够为双边或多边贸易设置一个确定可供参考的门槛,也能够增加商贸往来的稳定性。另外,对于个人数据的“充分性保护”有利于个人隐私权的保护,从而为个人数据流动提供了一个确定的合理预期。不可否认,“充分性”原则是现阶段国际贸易的高门槛,多数商贸往来很难达到“充分性”的条件或者为达到该条件增加了贸易成本,导致了跨境数据流动的限制过于严苛,对贸易造成不必要的阻碍。
(2)美国:“问责制”原则
“问责制”原则并不缘起于美国,而是源于亚洲太平洋经济合作组织(Asia-Pacific Economic Cooperation,以下简称APEC)在2012年建立的《跨境隐私规则体系》(Cross Border Privacy Rules system,以下简称CBPRs)。当然,CBPRs也是在美国的主导下建立起来的,因此带有极其浓烈的美国规制路径的色彩。“以组织机构为基准”的规制路径实际上是把数据保护的重心放到了行业自律的蓝图之下,其不强调数据所在的地理位置,而是要求控制、存储或处理数据的机构能够确保跨境数据流动的安全性。政府为适应现代管理与公共服务需要搜集、使用公民大量个人数据信息。【11】问责则主要体现为数据控制者若没有能力确保跨境数据流动的安全将会受到双边国家的问责。
美欧《隐私盾协议》规定:“美国公司须向商务部‘自我证明’遵守了协议中的隐私条款,若不能证明将受到美欧两国的严格问责。”在此“问责制”体系之下,数据控制者被赋予了更多数据保护义务,而行业自律就成为了实现此模式的路径之一。【12】与APEC的“问责制”相同,美国虽然依靠行业自律,但是也不单单依靠行业自律,其能够进行问责的企业(数据控制者)首先要进行自我评估,再接受问责代理机构的评估从而获得CBPRs的认证,只有经过一系列的评估程序获得认证之后才能成为合法的数据控制者,也意味着监督评估机构可以对该类企业进行问责处罚。【13】
在“问责制”原则规制路径之下,获得CBPRs认证的企业(数据控制者)成为跨境数据流动下数据保护的主体,但是由于有相关机构的评估,该类企业也只能在获得认证之后才能成为合法的数据控制者,其能够在公权力的影响下更大程度地发挥行业自律,减轻了跨境数据流动的限制,有利于国际贸易的发展。但是,由于“问责制”原则本质上是一种事后问责机制,其在事前的评估过程并没有“充分性”原则下“以地理区域为基准”的严格,双向监督也较为宽松,因此不易实现跨境数据流动的风险监控。
【5】又称“棱镜门”,是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。2013年6月,前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。“斯诺登事件”激起了世界范围内对于跨境数据安全的关注,也让美国陷入了巨大的数据风波之中。
【6】United States International Trade Commission(USITC),Digital Trade in the U.S. and Global Economies,Part2,August 2014,p.1.
【7】七项隐私保护原则分别为:通知原则、选择原则、向前转移原则、安全原则、数据完全性原则、接入原则和执行原则。
【8】 GDPR第十七条规定表述为:“数据主体有权要求控制者无不当延误地删除有关其的个人数据。”
【9】Martin A. Weiss,Kristin Archick:U.S.-EU Data Privacy:From Safe Harbor to Privacy Shield,Congressional Research Service,2016,p.11.
【10】Christopher Kuner.Regulation of Transborder Data Flows under Data Protection and Privacy Law:Past,Present and Future.OECD Digital Economy Papers,No.187,2011.
【11】参见王学辉、赵昕:《隐私权之公司法整合保护探索——以“大数据时代”个人信息隐私为分析试点》,载《河北法学》,2015年第5期。
【12】A Look into the Data Privacy Crystal Ball:A Survey of Possible Outcomes for the EU-U.S. Privacy Shield Agreement,Vanderbilt Journal of Transnational Law,p.1336.
【13】韩静雅:《跨境数据流动国际规制的焦点问题分析》,载《河北法学》,2016年第10期。
三、我国跨境数据流动之法律现状与因应
在全球跨境数据流动的大背景下形成了以欧美为主的发达国家对国际规制的引领,数据领域形成了以欧盟为代表的“约束型”规制和以美国为代表的“协定与合作型”规制两种模式。与此同时,我国作为世界第二大经济体,跨境企业迅速增加与数据流动的范围的扩大和频率的提高要求我国能够在此大形势下做出合理规制。《2018-2019中国跨境电商市场研究报告》数据显示,2018年,网易考拉以27.1%的市场份额占据榜首,天猫国际和海囤全球分别以24.0%以及13.2%的市场份额紧随其后。2018年,中国跨境电商交易规模达到9.1万亿元,预计2019年将达到10.8万亿。因此,能够在认清我国法律现状的基础上对以欧美为代表的先进规制吸收借鉴,以达到在跨境数据流动大背景下自我完善的效果。
(一)我国跨境数据流动之法律现状
我国虽然信息技术的发展较发达国家晚约五十年左右,但是人口基数大,网民数量众多,因此在个人数据的存储和处理上有着体量大的特征。另外,随着我国经济的不断发展,跨境贸易来往愈加频繁,但是我国关于跨境数据流动的法律法规却一直处于不完善甚至缺失的状态。笔者以下将以我国《网络安全法》第三十七条和《个人信息和重要数据出境安全评估办法》(以下简称《办法》)关于“数据出境”的规制进行分析,旨在探讨我国现阶段法律法规的缺失并以此提出应对措施。
1.《网络安全法》之第三十七条【14】
《网络安全法》于2017年6月正式实施,其中第三十七条较于《网络安全法(草案一)》具有以下调整:(1)增加了“重要数据”的要求;(2)将“公民个人信息”修改为“个人信息”;(3)明确了数据来源为中国境内。笔者认为,《网络安全法》修改的实质即为扩大数据保护的范围,从而能够达到“数据本地化要求”的效果。
但是,由于第三十七条只提到了“个人信息和重要数据应当在境内存储”,没有对数据本地化进行更为细化的要求,因此在适用过程中很难厘清在跨国企业数据流动下关于本地数据存储的范围与程度问题。在我国现阶段对于《网络安全法》的适用下,完全按照第三十七条之规定很容易形成数据保护主义和贸易保护主义,不利于我国与其他各国之间的贸易往来,也难以形成有效的规制体系。
2.《个人信息和重要数据出境安全评估办法》之“数据出境”【15】
该《办法》将“数据出境”定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给境外的组织、机构、个人”。笔者认为,在此定义之下跨境数据流动的监管范围只限于境内网络运营者提供的服务器所存储的个人数据与信息,此时经过境外服务器存储的中国公民的个人数据信息将不在此条款的规制范围之内,从而导致监管范围过小而无法有效地保护国家数据安全。另外,评估启动情形不明确、评估内容难度较高、评估方式类型单一的问题也普遍存在在我国立法规制与国际立法规制中。
(二)我国跨境数据流动立法现状之特征
1.对于数据安全的立法专注度不高,分散性强。
自2011年至今,我国关于跨境数据监管与保护的法律法规或者政策文件不在少数,但是对于数据保护的规定却少而分散。虽然我国已经认识到了二十一世纪对于跨境数据流动保护的重要性,但对其规制却显然专注度不高。从2011年《关于银行业金融机构做好个人金融信息保护工作的通知》到2017年6月《网络安全法》的正式实施,【16】关于数据跨境的保护仅仅针对小范围行业,普适性和专注度不高。
2.我国并未积极参与跨境数据流动国际条约或双边协议,在国际规制体系中处于弱势地位。
与美欧之间积极签订双边协议不同,中国并未与其他国家签订关于跨境数据流动监管与保护的双边协定,因此在对外贸易的过程中,只能通过参与的国际条约来进行规制。在WTO框架下,中国参与的GATS为国内跨境数据流动的限制提供了合规性,基本表述为我国限定跨境数据流动的措施以及设定标准符合GATS项下第六条“国内法规”的要求,《网络安全法》第三十七条设定的“数据本地化要求”并不违反GATS第十六条市场准入和第十七条国民待遇的规定。【17】但是由于各种数据流动冲突只能在国内立法与GATS之下进行规制,而国内立法的局限性和GATS本身的非专业性条款不能有效涵盖跨境数据流动的保护,造成了我国的数据主权保护一直处于弱势地位。
3.将个人信息的数量作为判断数据出境安全风险与等级的标准过于局限。
当今中国,不同行业之间对于数据流动的需求是不尽相同的,因此单纯地将数量作为评估标准忽视了我国网络发展的实际情况。以华为为例,其本质是创新驱动型与用户导向型相结合的模式,在拓展全球市场的过程中,他国的用户数据信息成为其国外市场发展的重要指向和标杆,因此单纯地面向数量是无法解决用户的差异性需求的,此时,用户数据的重要性程度、敏感性程度就成为重要标准。通常情况下,特别是在互联网领域,法律相对于现实技术的发展具有一定的滞后性,但GDPR有超越技术之嫌,【18】因此,数据出境的安全评估不应只将数量作为变量进行考量。
(三)跨境数据流动规制之中国因应
在人工智能与大数据时代,毋庸置疑需要加强数据保护,但也应该促进创新,让制度建设成为生产力和软实力,走出适合中国发展的“第三条道路”。【19】笔者在前文对于中国的法律现状及立法现状的特征进行了详尽的描述,虽然我国目前对于跨境数据流动的规制仍然处在发展阶段,但是法律的不断完善以及国际经验的不断积累定会成为我国数据规制的宝贵借鉴。不可否认,现阶段我国跨境数据流动监管与保护的问题主要集中在立法的模糊与缺失、数据本地化规则的不完善、国际合作与双边协议的缺乏等问题,针对以上问题,笔者在结合我国规制现状的基础上,借鉴欧美国家的先进经验,以求能够为我国跨境数据流动规制提出新举措。
1.完善实体法律规定,明确数据权利归属
在《网络安全法》正式实施以来,第三十七条的适用问题成为实务操作上的难题。由于第三十七条本身的规定仅仅是对主体、客体、范围等作出了概念化界定,并不能很好地在现实中适用,也没有相应的司法解释来提升第三十七条的可操作性,因此《网络安全法》实施并没有解决现阶段跨境数据流动的规制问题。“在中华人民共和国境内运营中”的表述在表明范围的同时使得数据权利归属趋于模糊,其在适用中就容易出现“设备”持有者与个人数据持有者的冲突,成为难以界定的问题。
反观欧盟在2016年通过的GDPR,其明确地将数据权利归属与个人数据持有者,在明确的权利归属之下,持有者不仅能够合法使用个人数据,还能够通过“被遗忘权”的行使来对抗非法侵害。同样地,我国应该制定专门的《中华人民共和国数据保护法》,明确权利主体、权利归属、主体权利义务等多项问题。笔者认为,在我国实行“数据本地化要求”的背景下,明确地将数据权利归属于个人数据持有者能够更好地平衡政府与公民之间赋予国家数据安全与个人隐私权之间的关系。另外,在能够建立完善法律体系的基础上要加强执法力度和司法效力,通过监督权力的监管与实施,促进跨境数据流动的规制不断完善。无论是欧盟的个人数据保护专员(EDPS)【20】还是个人数据保护官(DPO)【21】,都可以在我国现状下加以利用和借鉴。
2.完善跨境数据流动传输方式、评估内容及监督机制
明确跨境数据流动的传输方式是针对性提出跨境数据流动保护措施的基础和前提,周汉华研究员起草的《个人信息保护法专家建议稿》和齐爱民教授等起草的《个人信息保护法学者建议稿》中都未明确提及具体的跨境数据流动的传输方式,导致难以通过具体的措施进行规制。GDPR中的充分性决定、标准数据条款和约束性企业规则为细化跨境数据流动提供了良好思路。一定程度上,以上三种路径为跨境数据流动提供了多种传输方式,对其严格数据保护标准起到了缓解作用,对此,细化跨境数据流动的传输方式能够在保护个人数据的同时尽可能多的鼓励个人的跨境数据流动。
其次,GDPR规定了在评估数据流动目的国的数据保护标准时,欧盟委员会应当考虑的因素,包括数据流动目的国的立法、执法、司法情况、目的国为个人数据保护所设立的监管机构、目的国与其他国家或地区签订的国际条约。《个人信息保护法专家建议稿》在“跨境信息传输的特别规定”中提及“国务院信息资源主管部门负责认定和接收个人信息的国家或地区能否对个人信息提供充分的法律保护”,并规定认定的具体标准、方法和程序。笔者认为,结合GDPR之考虑因素,专管机构可以作为数据审查评估目的国数据保护标准的必要因素,如果需要也可以对其他因素进行考量。
最后,完善的监督机制有力地规避了权力滥用的风险。显然,在《个人信息保护法专家建议稿》中仅提及了跨境数据流动的评估主体和评估机制,却缺少了跨境数据流动的监督机制,这很容易导致数据跨境流动到目的国后的保护失去相应的保障。GDPR的第45条规定了对“充分性决定”需考量的因素的四年一度定期审查机制,同时也规定了各成员国必须有针对性的独立监管机构。因应中国实践,审查机制的制定和监管机构的设立有利于对跨境数据流动的长久保护,以应对不断提高的数据保护标准,防止数据传输目的国的数据保护无法应对我国个人数据保护标准的改变。
3.“数据本地化要求”与数据分类保护的结合
随着信息技术的高速发展和经济全球化进程的不断推进,跨境数据流动已经不局限于特定行业,各行各业都显示出了对于跨境数据流动的需求,超过50%的服务贸易是依赖跨境数据流动分析来实现的,【22】因此对于“数据本地化要求”应当做出差异性规定,而不能片面的一刀切。《网络安全法》中对于数据本地化的要求没有体现差异性,其对义务主体的范围的描述过于模糊,另外,《个人数据和重要数据安全评估办法》将“关键系系基础设施运营者”改为“网络运营者”表面上是扩大了主体范围,实则更为模糊,“一刀切”的数据本地化模式造成的规则的强度与严苛程度过高也不利于国际贸易的发展和双边数据流动的畅通。
数据在跨境流动过后经过多方存储预处理,其体量大,种类多,也存在着各式各样的无用数据信息。《网络安全法》没有就“重要数据”作出解释,笔者认为,将“重要数据”以重要程度或数据领域进行分类保护能够减轻“一刀切”的现状。毫无疑问,GDPR对于每个想进入欧盟市场的国家的数据保护立法的改进均有借鉴意义。我国在短期内无望获得欧盟的“充分性决定”,但是也应当考虑其他发展中国家的做法,对数据进行分层级、分类的开放,【23】这就需要制定相关的行业规定,让特定行业的个人数据保护先行一步。对于涉及国家安全、公共利益的数据应当自数据的存储与收集就开始进行严格规范,并根据不同数据本地存储设备的层级进行严密的监管与保护;对于金融领域的数据,其本身特有的不公开性特征使得数据在流动过程中本身就难以收集或存储,但是不可否认“商业秘密”的长期存在容易导致金融数据的静态固化现象,不仅减少了数据的自身价值,也不利于整个社会金融效率的提升,因此对此类数据的“宽松化”管理能够使其在自然的市场竞争过程中增加其公开可能性,促进市场经济的良性发展。
4.加强国际合作,积极推进签订双边协议
虽然国内的立法框架下出现了诸如《网络安全法》这样的立法规制,但不可否认的是,我国在跨境数据流动的规制方面参与国际条约或签订双边协议的积极性并不高。至今,我国都没有专门的关于数据流动的双边协议,而在GATS之下对于国民待遇等问题的探讨都不具有数据保护的专业性,这是我国在跨境数据流动规制上处于国际弱势地位的主要原因之一。不考虑GDPR确立的个人数据跨境传输制度的立法技术层面的问题,单从GDPR引起的效仿反响而言,个人数据的跨境传输问题已经超越了个人数据保护的层面,上升到了双边国际关系的高度,是故,加强国际合作并积极推进双边协议的签订之重要性不言而喻。
2013年,OECD对1980年《OECD隐私指南》进行了修订,《OECD隐私指南》修订版对数据的跨境流动的国际合作重新提出了四项建议,【24】2015年《跨太平洋伙伴关系协定》(TPP)原则上已经禁止缔约国采取跨境数据流动的相关措施,【25】APEC也建立了跨境隐私规则体系(CBPRs)来保护跨境电子商务中的个人信息。GDPR对跨境数据流动做出了专章规定,我国虽然既未加入OECD,也未加入TPP和CBPRs,与GDPRs所要求的“充分性保护标准”又有一定的距离,但仍应紧跟国际跨境数据流动保护的步伐,加强国际数据交流与合作,结合我国国情加入跨境数据流动体系,在整体上提高我国的个人数据保护水平,避免在国际数据市场中过于被动,从而提高我国数据行业在国际市场上的竞争力。如前文所述,欧美两国的双边协议从《安全港协议》到《隐私盾协议》都无一例外地促进了双边贸易的发展,不仅厘清了双边贸易的数据保护门槛,而且双方在互通互信的基础上能够更好地拓展贸易范围,提升贸易质量。我国应该积极的推进签订如《隐私盾协议》等双边条约或者加入CBPRs这样的国际规制体系,不仅能够是自身融入到国际规制的氛围中,也能够在不断签订双边协议的过程中提升影响力,增加话语权,促进我国数据保护水平的提升与国内国际贸易的繁荣发展。
【14】《中华人民共和国网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
【15】该定义实际上规定了一个物理边界,将数据提供给位于境外的主体,即构成数据的出境,而不论接受数据者的身份。由此则会产生以下数据出境情形:境内的网络运营者将数据通过网络直接传输给境外的主体;允许境外主体通过网络访问,读取境内的数据;境内的网络运营者通过网络传输外的其它方式提供给境外的主体。
【16】自2011年至今,关于数据保护规制的法律法规主要有:2011年中国人民银行颁布的《关于银行业金融机构做好个人金融信息保护工作的通知》、2012年全国人大常委会颁布的《关于加强网络信息保护的决定》、2013年国务院颁布的《征信业管理条例》、2013年中国工业和信息化部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》、2015年国务院颁布的《关于印发促进大数据发展行动纲要的通知》、2015年全国人大常委会颁布的《中华人民共和国反恐怖主义法》、2015年全国人大常委会颁布的《中华人民共和国国家安全法》、2017年全国人大常委会颁布的《中华人民共和国网络安全法》。
【17】参见贾开:《跨境数据流动的全球治理:权利冲突与政策合作》,载《汕头大学学报(人文社会科学版)》,2017年第5期。
【18】刘泽刚:《欧盟个人数据保护的“后隐私权”变革》,载《华东政法大学学报》,2018年第4期,第68页。
【19】《我们真的搞明白GDPR了吗?—GDPR之怪现状》,https://www.tisi.org/5032,最后访问日期:2019年11月18日。
【20】欧盟数据保护机构中并未设置个人数据保护专员一职,但是在欧盟监察专员办公室下设有数据保护专员,由欧洲议会选出。
【21】DPO是指监督组织机构内部个人数据处理的自然人,DPO也因此可以被视为“内部监督员”。根据GDPR规定,部分组织机构有义务设立DPO。
【22】UNCTAD.Information Economic Report 2009:Trends and Outlook in Turbulent Times.Switzerland:United Nations Conference on Trade and Development,2009.
【23】张舵:《略论个人数据跨境传输的法律标准》,载《中国政法大学学报》,2018年第3期,第101页。
【24】OECD,Supplementary explanatory memorandum to the revised OECD Privacy Guidelines,p.33.
【25】《跨太平洋伙伴关系协定》第14章规定了有关电子商务的协定规则,主要目的在于确保数据自由流动以降低成本,主要包括3项规则,第一是鼓励成员方按照非歧视原则来采取有关个人数据保护的措施;第二是要求在进行商业活动时应当确保信息的自由流动;第3项规则就是数据的本地化要求,主张一般禁止基于电脑设施的位置作为是否允许进行商业活动的条件,也就是要求确保数据的自由流动作为进行电子商务活动的基本原则。
四、结语
在信息技术与国际贸易的纵深发展的国际背景之下,跨境数据流动已经成为当今社会不可避免的问题,因此建立起统一的国际规制体系就成为了跨境数据流动全球治理议题下尤为重要的一环。欧盟与美国在跨境数据流动的监管与保护方面有着丰富的经验,也形成了“以地理区域为基准”的“充分性”原则规制和“以组织机构为基准”的“问责制”原则规制两种模式,为跨境数据流动的全球治理提供了借鉴蓝本。当然,在国际规制的发展过程中,各国也渴求能够抓住“数据金库”的先机,成为跨境数据流动的掌舵者。但是,由于国内立法起步晚、数量少、经验不足等种种原因,我国对于跨境数据流动的规制处于不成熟的起步阶段,虽然也提出了“数据本地化要求”等具有国际视野的方案,但是规制体系的不完善以及界定的模糊性使得我国的跨境数据流动规制之路任重而道远。
笔者在研究过程中发现,以欧盟和美国为代表的两种规制模式的滥觞都源自于不同的历史传统与民族理念,虽然各有合理与不足之处,但似乎无论如何调整都无法将“充分性”原则与“问责制”原则相结合起来形成一种完善的规制模式。因此,笔者通过对中国现状分析与外国模式借鉴的这基础上找出因应,试图在体现本国特色的同时能够尽可能完善现阶段的规制体系,找出共性与特性,最终迈向国际规制之完善与因应中国之发展。
推荐阅读
论我国互联网产业中相关市场界定问题——以三大案例为研究对象
投稿邮箱:qmfmbjb@sina.com
主题;篇幅;体例
青苗学人交流群
长按扫描二维码添加青苗微信号,加入青苗学人交流群,一同交流、分享!
本文责编 ✎ 王佳伟
本期编辑 ✎ 张子凡