洪延青:数据跨境流动的规则碎片化及中国应对|《行政法学研究》2022年第4期
编者按:
为贯彻落实中共中央宣传部 教育部 科技部印发的《关于推动学术期刊繁荣发展的意见》,顺应互联网时代数字化发展趋势,加强优质内容出版传播能力建设,提升学术引领能力,《行政法学研究》积极探索网络优先出版、数据出版等新型出版模式,于“中国知网”陆续推出2022年第4期网络首发文章,并于微信公众号同步推出,敬请关注!
数据跨境流动的规则碎片化及中国应对
(洪延青 北京理工大学法学院教授)
目 次
一、问题的提出
二、数据跨境流动分裂的政治化倾向
(一)美国防范“外国敌手”政府获取数据
(二)中国强化防范“外国政府调取风险”
(三)中美政策措施比较
三、数据跨境流动分裂的阵营化倾向
(一)欧盟——美国《隐私盾协议》被判无效的基本逻辑
(二)OECD关于设定“政府访问私营部门持有个人数据基本原则”的工作进展
四、跨国企业在业务运营方面的自我限制
(一)运营主体不切割的情况
(二)运营主体做出切割的情况
(三)中国模式的探索
五、对我国的挑战及对策
摘要与关键词
摘要:从“执法司法目的数据跨境”与“业务目的数据跨境”相互作用角度出发,可以发现目前全球数据跨境流动体系的碎片化发展路径中,出现了新的分裂倾向。首先,大国博弈造成了出于防范外国政府获取数据的目的而限制境外业务开展及伴随的数据跨境流动。其次,美欧等国家试图就“执法司法目的数据跨境访问”基本原则达成一致,以此作为相互信任的内涵,意将不符合其政治司法传统的国家排除在“业务目的数据跨境流动”的圈子之外。再次,跨国经营的科技公司主动调适自己的跨境业务运营模式,减少或者自绝数据跨境流动,以适应地缘政治造成的压力。这三方面发展加剧了全球系统性分裂,并可能对我国主权、安全和发展利益带来不利影响,需要我国及早辨识上述趋势并开展应对。
关键词:数据跨境流动;执法司法目的;业务目的;分裂
正 文
一、问题的提出
全球数据跨境流动秩序的分裂早已不是新现象。从出境目的角度出发,数据跨境流动可以划分为两大类别:“业务目的数据跨境”和“执法司法目的数据跨境”。既有的研究成果也相应形成两个主要的脉络,专注于分析其中一类数据跨境流动呈分裂式发展背后的动力学因素。
“业务目的数据跨境”是出于业务开展或合作的需要,境内组织将数据传输给境外组织(可以是本组织的境外分支,也可以是其他组织)。此类型数据跨境流动的特点是境外接收方类型复杂且数量不一、涉及的数据类型丰富、数据规模大、出境次数频繁等。业务目的的数据出境遵循业务逻辑。聚焦于业务目的数据出境的学术著作,研究的重点在于数据出境后安全水平的持续保障、数据出境管控政策或措施的国际比较、国际经贸协定对数据跨境流动的规定和对国内“规制自由”(regulatory autonomy)的限制等,并最终落脚于如何在数据跨境流动语境中平衡数字经济的开放和安全这两大命题。对于全球数据跨境流动秩序的分裂,此脉络相关研究主要归因于数字经济大国和区域所持有或采取的数据保护目标、数据保护理念、安全保护措施等方面的不兼容或缺乏互操作性。
“执法司法目的数据跨境”是境内组织因需要遵循由境外发起的执法或司法程序而向境外提供数据。此类型数据跨境流动的特点是境外接收方身份明确、数据出境频度低、涉及的数据类型具体。目前,我国主要对防止外国执法或司法机构直接向我国境内组织调取存储在我国境内的数据作出了明确规定;而对于我国执法或司法机构调取存储在国外的数据,我国立法强调的是尊重他国主权、开展国际合作的立场。聚焦于执法司法目的数据跨境流动的学术著作,研究的重点在于美欧针对数据的长臂管辖制度和实践、长臂管辖导致的法律冲突、网络犯罪国际公约中相关条款的设计和背后的博弈等。由于大国之间秉持的司法理念、沿袭的司法传统和实践、跨境调取需求强烈程度有较大差异,以及单边主义思路的“长臂管辖”和“封阻立法”针锋相对,造成了“执法司法目的数据跨境”国际合作秩序的分裂。许多研究聚焦于在维护我国主权和安全利益的前提下,如何通过制度革新或国际合作以满足数字时代各国的合法跨境取证需求。
目前,这两个研究脉络,无论是学者群体还是研究内容,交融有限。仅有的例外在于,部分研究认为如果一个国家不认可针对数据的长臂管辖,则该国政府为了满足国内执法或司法程序调取数据的目的,很可能会限制因业务目的的数据出境,或者至少要求在本地留存数据副本。在此思路下,有学者试图以国别或地区为单位,综合看待一个国家或地区对两类数据出境活动的监管思路,提炼出数字经济主要国家或区域的数据竞争战略,尤其是提出:美国主张数据自由流动的立场与其“发达”的数据长臂管辖实践相互配合,强化了其在全球范围内对数据资源的占有和掌控。究其本质,这类为数不多的融合性研究采取了“内生性”视角,即站在一个国家的内部视角,认为一国针对两个类型数据出境活动采取的监管路径是源于其内部考量,例如其管辖企业的全球运营程度、其内部选择的经济发展战略等。
但近期国内外形势的迅速发展,凸显了跳脱一国内部而采取国家间互动视角的重要性——即考察一个国家关于“执法司法目的数据跨境”的监管思路,与另一个国家关于“业务目的数据跨境”的监管思路所产生的联动效应。具体来说:首先,部分国家政府开始为了防止另外一个国家的执法司法目的跨境数据调取,转而限制因业务目的的数据出境,或者直接限制企业的境外业务开展,以此“切断”外国的管辖权延伸。其次,美西方不仅提出“基于信任的数据自由流动”理念(Data free flow with trust),还采取具体步骤深化该理念,目的是通过在执法司法目的调取数据方面达成共识,以此圈定业务目的数据跨境流动的“信任范围”。再次,跨国经营的企业为了支撑海外业务的持续开展,主动采取不同的切割运营模式来避免处于执法司法目的跨境数据调取的法律冲突。
上述三方面的进展,叠加在原本各自在两类数据跨境活动中业已呈现的秩序分裂,造成了全球数据跨境流动体系的进一步碎片化,且其中政治化、阵营化的意味愈来愈浓。上述困境不仅对现有主流的研究视角和取向提出了不容忽视的挑战,也凸显了开展进一步融合性研究的现实必要性和紧迫性。本文将对前段列举的三方面进展进行深入分析,并针对我国的具体情况提出对策和建议。
二、数据跨境流动分裂的政治化倾向
因不愿外国政府基于执法司法目的跨境访问数据,进而限制企业因业务目的的数据出境和跨境业务的开展,突出体现于近期中美两国在科技领域的博弈之中。
(一)美国防范“外国敌手”政府获取数据
在特朗普当选美国总统之后,美国政府开始系统性地对中国企业提出一系列具有限制、排除效果的安全审查政策。这些措施以“数据安全”为名义,目的均在于防止中国政府通过在美国经营的中国企业而访问或掌握美国人的数据。
1.美国外商投资安全审查改革及针对TikTok的审查
2018年8月,《2018年外国投资风险评估现代化法案》(以下称“FIRRMA”法案)通过,开启了美国对外国投资国家安全审查最重大改革的序幕。就本文关注的数据领域来说,其明确了外国投资中涉及美国企业掌握的敏感个人数据,需要强制申报,其目的是防范外国政府通过直接或间接的投资,参与到掌握敏感个人数据的美国企业的实际运营(如进行业务决策或数据访问等),并“掐断”通过投资途径获得对美国人数据的掌握和跨境访问。在CFIUS改革完成之后,其最引人注目的适用即是2019年11月针对中国字节跳动公司在美国运营的TikTok应用的审查。CFIUS主要成员之一的美国商务部,恶意指责TikTok收集了“用户的大量数据,包括网络活动、位置数据以及浏览和搜索历史”,污蔑其是“中国军民融合的积极参与者,并遭到中国情报部门的强制合作”。该审查导致TikTok一度与甲骨文、沃尔玛达成临时协议,合作运营其在美业务,以此获得特朗普原则上批准了该协议。根据媒体报道,该合作模式有两个特点:一是新公司需将数据存放在甲骨文的美国云服务器内;二是甲骨文对TikTok源代码和更新具有完全的访问权。由此可见,甲骨文具有完整的数据访问权,目的在于防范所谓的中国政府远程访问TikTok用户数据的风险,甲骨文作为TikTok数据的托管方,对数据访问(包括远程和跨境访问)具有实时审查和阻断的能力。
2.美国13873号行政令和商务部供应链安全规则
2019年5月15日,美特朗普签署《确保信息通信技术与服务供应链安全》行政令(以下简称第13873号行政令)。该行政令核心要旨在于禁止任何受美国管辖的“人”以及任何受美国管辖的“财产”与“涉及由外国敌手拥有、控制或受其管辖或指导的人(包括个人或实体)所设计、开发、制造或供应的信息通信技术或服务”发生交易,只要该交易可能对美国的“国家安全或美国人的安全和保障构成不可接受的风险”。也正是基于该行政令和《国际紧急经济权力法》(IEEPA),特朗普于2020年8月6日发布两项行政令,分别禁止与TikTok和Wechat的一系列交易。在行政令中,特朗普当局污蔑两款应用在美国的“数据收集有可能使中方当局获得美国人的个人和专有信息——有可能让中国追踪联邦雇员和承包商的位置,建立个人信息档案进行勒索”。
2021年1月14日,美国商务部根据第13873号行政令,发布《确保信息和通信技术及服务(ICTS)供应链安全》暂行最终规则(简称“ICTS规则”)。该规则将授权商务部评估美国与外国人之间的某些ICTS交易“构成了不适当或不可接受的风险”,如果交易“涉及由外国敌手拥有、控制或受其管辖或指示的人设计、开发、制造或提供的信息和通信技术或服务”。在ICTS规则中,美国商务部确定了所谓的“外国敌手”的范围,即包括中国(含中国香港特别行政区)、古巴、伊朗、朝鲜、俄罗斯等。此外,美商务部在ICTS规则中明确,“ICTS交易”应涉及100万美国人或100万美国人的敏感个人数据。从上述规则内容的分析来看,商务部审查特定ICTS交易的关注点之一依旧是所谓的“外国敌手”政府能否通过在美国运营的特定ICTS进而访问或获取美国人的数据。
3.美国拜登当局的行政令
2021年6月9日,拜登当局发布《关于保护美国人的敏感数据不受外国敌手侵害的行政命令》。在该行政令中,拜登直言:“通过在美国的信息和通信技术设备,包括智能手机、平板电脑和计算机等个人电子设备上运行、连接的软件应用程序,可以访问和捕获用户的大量信息,包括美国人的个人信息和专有商业信息。这种数据收集有可能使外国敌手获得这些信息。”因此美国政府应评估联网软件应用程序的风险,特别是“外国敌手使用联网的软件应用程序进行监视,以便进行间谍活动,包括获取敏感或机密的政府、商业信息、敏感个人数据”的风险。拜登要求商务部根据ICTS规则采取适当的行动。作为上述政策的最新举措之一,2022年1月18日,路透社独家报道:拜登政府正在审查电商巨头阿里巴巴的云业务,以判定它是否对美国国家安全构成风险。而调查重点是“该公司如何存储包括个人信息和知识产权在内的美国客户数据,以及中国政府是否有存取这些数据的权限”,以及“北京方面阻碍美国用户访问其存储在阿里云上信息的可能性也是个隐忧”。
4.小结
不难看出,美国政府一方面通过CFIUS审查限制或禁止外国敌手政府间接通过商业投资或并购的形式,访问或获取美国企业掌握的美国人的数据。另一方面则通过供应链审查和禁止ICTS交易的方式,禁止外国敌手所管辖或控制的公司向美国用户提供ICTS,其目的还是为了禁止外国敌手政府访问或获取美国人的数据。以上措施主要聚焦特定企业在美国境内的业务开展,实际意图则是限制一国政府通过其管辖企业在美国的业务存在而能够调取美国的数据。事实上,部分美国国会议员还曾经提出过立法草案,直接对业务目的的数据跨境流动做出限制。例如美国参议院Joshua Hawley曾经于2019年在参议院提出《2019国家安全和个人数据保护法案》(S.2889),要求包括依据中华人民共和国、俄罗斯等“受关注国家”的法律所成立的公司只能将数据、数据加密密钥等,存储在美国境内,并不得有任何跨境传输行为。
(二)中国强化防范“外国政府调取风险”
如前所述,美国政府直接给我国贴上“外国敌手”的标签,进而授权或开展了一系列对我国企业的限制或禁止措施,目的之一是所谓的防范我国政府访问或获取美国人的数据。但事实上,美国政策和法律实践中对数据的长臂管辖极为发达, 对其他国家主权造成极大的侵犯。因此阻断美国司法执法方面的数据“攫取之手”一直是我国立法的重点,从2018年的《国际刑事司法协助法》到2021年的《数据安全法》《个人信息保护法》,均规定了专门的封阻条款。
除了在“司法执法目的数据跨境”方面的针锋相对,我国数据安全监管部门还从“业务目的数据跨境”入手,从两个层面防范外国政府跨境访问或获取数据的风险。首先是网络安全审查制度的升级。2021年7月2日中央网信办启动了针对同年6月底赴美国上市的“滴滴出行”的网络安全审查,并在八天之后发布《网络安全审查办法》启动再次修订的公告。2017年《网络安全法》生效以来,网络安全审查制度经历了持续、显著的革新,其修订频率十分罕见:从最初2017年关注“关系国家安全的网络和信息系统采购的重要网络产品和服务”,到2020年修订时聚焦“关键信息基础设施供应链安全”,再到2021年修订时将“数据安全”作为重要内容涵盖其中。网络安全审查制度的历史性新阶段,不仅来自于对网络安全认识的内生性演进,更重要的原因是深刻且激烈的国际战略竞争压力。2022年1月4日,最新版的《网络安全审查办法》正式发布。其最重要的修订内容之一,即是明确“掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”。审查的重点内容之一,正是“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”。对于此项内容的修订,中央网信办官方网站发布的配套专家解读文章直言,“国外证券监管等法律政策及政治环境近年发生了巨大变化,美国2020年通过的《外国公司问责法》明确提出了针对我国企业的信息披露要求,越来越详尽的数据披露进一步扩大了企业的数据安全风险,并严重威胁我国家安全”,“针对滴滴出行、BOSS直聘等的审查,即是因为这些掌握大量数据的平台在国外上市,可能带来相关网络安全和数据安全风险,危害国家安全”。
其次是数据出境安全评估制度。2021年10月29日,中央网信办公布《数据出境安全评估办法(征求意见稿)》并公开征求意见。该征求意见稿要求数据处理者开展数据出境风险自评估时,重点评估“数据出境和再转移后泄露、毁损、篡改、滥用等的风险”。国家网信部门组织开展的数据出境安全评估的重点事项包括:“境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响”,以及“出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险”,显然也将外国政府“影响、控制、恶意利用”的风险囊括其中。
此外,《网络数据安全管理条例(征求意见稿)》就网络安全审查还进一步要求大型互联网平台运营者在境外设立总部或者运营中心、研发中心应当向国家网信部门和主管部门报告。由此可见,我国的监管部门认为:一旦在境外设立总部、运营中心、研发中心,必然发生大量境内和境外之间的业务交互,其中不可避免会涉及大量数据向境外流动,增加了外国政府调取或获得出境数据的“接触面”,存在“影响或可能影响国家安全的”风险。
(三)中美政策措施比较
中美新近采取的数据跨境流动政策和措施的共同之处,在于通过限制“业务目的数据跨境”来防范“执法司法目的数据跨境”。两方展现了明确的联动效应。一是指向性明确:美国在坚持出于商业需要数据应自由跨境流动的同时,针对包括我国在内的特定“外国敌手”所管辖的企业,建立了各种针对业务开展的审查或禁止性措施,以最终排除敌手政府跨境访问或获取数据的通道。我国则针对美国执法司法方面的数据长臂管辖,在数据出境安全评估基础上,叠加了网络安全审查制度。二是极易在互动中升级:美国和中国建立的审查、评估等制度中,均包含了模糊的评估标准和宽泛的解释空间,赋予了公权力部门较大的自由裁量权。不难想象,一旦一方政府在“执法司法目的数据跨境”方面的立法或实践有所加强,另一方政府则会相应地对“业务目的数据跨境”做出宽严松紧的调适,以应对风险。换言之,全球数字经济中最重要的两个经济体——美国和中国之间就数据出境管控的联动效应,是全球数据跨境流动体系分裂的政治化倾向的重要体现。
三、数据跨境流动分裂的阵营化倾向
除了政治化倾向之外,全球数据跨境流动体系的阵营化倾向逐步加深。而且近期的阵营化趋势,是在“执法司法目的数据跨境”与“业务目的数据跨境”监管思路的互动中展开的,而非现有研究中经常指出的基于数据保护理念不同而形成的欧盟“数据跨境流动圈”和美国“数据流动圈”。
在2019年担任20国集团(G-20)政府主席期间,日本提出了一项关于“基于信任的数据自由流动”的倡议,并得到了美西方国家的支持。而在2020年7月16日,欧盟法院(CJEU)就备受关注的Schrems II案作出判决,认定美欧数据跨境转移机制“隐私盾协议”(Privacy Shield)无效之后,“基于信任的数据自由流动”获得了新的内涵——信任应当基于政府访问为商业目的私人所持有的个人数据时,应当遵循一致的原则,如此数据才能自由地流动。本节对这方面的最新进展做出分析。
(一)欧盟——美国《隐私盾协议》被判无效的基本逻辑
由于欧盟将个人数据保护作为一项基本人权,因此不仅商用场景的保护非常重要,数据接收者所在的国家或地区的公权力部门从接收者调取数据的限制更是至关重要。也正是这个原因,欧盟法院始终认为美国国内法对公权力调取数据的限制不足,无法提供“实质等同”的保护水平。具体来说,欧盟法院认为美国将国家安全、公共利益和执法的要求放在首位,纵容其访问或干涉转移到美国的个人数据。美国国内法对公权力访问数据的限制不能满足欧盟法的要求,不符合比例性原则,监控项目也不符合“严格必要”的原则。美国法律的前述规定并不表明对它们赋予执行这些方案的权力有任何限制,也不表明存在对可能成为目标的非美国人员的保障。虽然“隐私盾”规定了美国当局在实施有关监控方案时必须遵守的要求,但这些条款并未赋予数据主体在法院针对美国当局提起诉讼的权利。欧盟法院进一步认为美国企业即使加入“隐私盾”,也无法摆脱这些美国法的约束。故“隐私盾协议”无法为欧盟转移到美国的个人数据提供充分保护。
在严苛的判例指引下,欧盟委员会更新了标准格式合同条款(SCCs),强化了数据接收者在面对公权力数据调取的对抗义务。欧盟法院特别指出,数据出口方和接收方都有义务“以个案的形式”在数据转移前去验证第三国是否提供充分数据保护水平;必要时,可以增加额外的保护措施。数据接收方一旦发现自己不能遵守SCC(比如第三国执法协助请求不允许接收方向出口方披露),则接收方有义务立即通知数据出口方自己不能遵守SCC,出口方应该暂停或者终止数据转移;如果出口方决定继续转移,应该通知本国数据保护监管机构。数据保护监管机构一旦认为SCC不能在当地国家得到遵从,而且也不能通过其他方式提供同等于欧盟的数据保护水平时,监管机构应该暂停或者禁止数据转移到第三国。
从本文的视角来看,欧盟法院实际上也是因为出于对外国政府调取或访问出境后的数据的担忧,而设定了严苛的因业务目的数据出境的“高门槛”。由于欧盟个人数据保护立法和执法在全球范围内存在极强的示范效应,因此《隐私盾协议》被推翻事实上将政府访问数据与为商业目的私人持有的个人数据的跨境流动之间的关联关系,摆在了聚光灯之下。
(二)OECD关于设定“政府访问私营部门持有个人数据基本原则”的工作进展
在前述背景之下,2020年12月,经合组织(OECD)的数字经济政策委员会(CDEP)发表一份声明。其认为:“努力实现政府对私营部门持有的个人数据的可信任的访问,是一个紧迫的优先事项”,而“缺乏受信任的政府访问个人数据的共同原则,可能会导致对数据流动的不适当限制,造成有害的经济影响”。因此,该委员会“决定开展进一步的工作,以加深对经合组织国家做法的了解,并研究是否有可能作为优先事项制定一份文件,为政府可信任地获取私营部门持有的个人数据制定高级别原则或政策指导”。
2021年6月,该工作起草小组“以高度的共同性和共识”达成了一套专门适用于强制或义务获取这一部分内容的七项更详细原则。目前由于美欧两方就前述原则的适用范围存在分歧,CDEP尚未达成共识,留待2022年继续开始此项工作。显然,从美欧的视角来看,一旦就“政府访问私营部门持有个人数据基本原则”达成共识,就意味着遵循这些基本原则的国家或地区具备被信任的重要条件。这一举动极大地充实了所谓的“基于信任的数据自由流动”的内涵。但是这一举动,事实上也将不遵守(或者被认为不遵守)基本原则的国家政府排除在信任的小圈子之外。
由是,原本因为“执法司法目的数据跨境访问”的冲突而导致的对“业务目的数据跨境流动”的限制,被OECD工作组转化为深化美西方世界合作的机遇。一旦就基本原则达成共识,完全可预料西方世界将以“执法司法目的数据跨境访问”为理由,限制向我国的基于业务目的的数据跨境流动,已达成在数据秩序领域的“阵营式”脱钩。
在前述政治化和阵营化发展的双重压力之下,一些跨国经营的公司为了预防陷入法律冲突,主动变更或限制跨境业务的运营模式,客观上也加深了因业务目的数据跨境的分裂现状。本节选取通常需要全球运营的云服务企业作为研究对象,并围绕着“是否主动切割运营主体”这条主线做出分析。
(一)运营主体不切割的情况
全球市场份额前二的微软云和亚马逊云在不切割运营主体的情况下,采取运营板块切割且禁止板块间的业务目的数据跨境流动的策略,尽量避免关于数据跨境调取或访问的法律冲突,增强客户对其的信任。以微软为例,微软坚持的基本原则是“客户知晓自己数据的存储地点”,将其在全球的数据中心划分为34个地理板块(Geos),允许客户选择数据存储的地理板块,并承诺仅会在同一个地理板块内部不同的数据中心间转移、拷贝数据,但绝不会将数据存储于其他地理板块。微软认为,虽然美国“云法”依旧适用于其在全球的运营实体,但“云法”赋予了其根据数据存储地国家的法律进行抗辩的渠道,因此其会在“当数据所在地管辖区的隐私法规与请求管辖区的法律相冲突时,微软会挑战对客户数据的执法请求”。也正是这个原因,欧洲还是弥漫着对美国云服务企业的不信任。如德国联邦数据保护和信息自由公署专员便公开指出“我们需要一个完全遵守欧洲数据保护法的云提供商,而不是受美国‘云法’约束的提供商”。德国内政部也一直在评估是否应当要求政府数据存储在“德国云”(Bundes-Cloud)。
(二)运营主体做出切割的情况
运营主体切割的模式则着眼于数据控制者的角色判定。仍然以微软为例,其为了最大程度降低“执法司法目的”跨境调取或访问带来的负面信任影响,在与FBI持续诉讼之时,进一步创新模式,主动放弃数据控制者的身份。微软与德国电信的子公司T-Systems合作,在德国“通过数据托管方模型提供服务”,此时客户数据只会保留在德国,由T-Systems作为德国数据托管方进行管控。此项合作最精妙之处在于,按照德国法律的规定,“如果没有德国数据托管方的批准和监督,即使是微软也无权访问客户数据或数据中心”,甚至微软要进行必要的软件升级,都必须先获得T-Systems的授权。由于微软不再是数据控制者,即使美国最高法院最终判定SCA应采取“数据控制者标准”,微软也可声称一方面T-Systems作为成立于德国的数据控制者,美国政府无权直接下达数据调取命令;并且没有T-Systems的授权时,微软也无法响应美国政府的跨境调取数据的命令。
(三)中国模式的探索
就应对外国执法司法目的数据跨境访问而言,原则上跨国云服务公司在我国国内运营的数据仅可存储在中国,也即类似于微软在德国的模式。理论上,根据工信部2016年的《外商投资电信企业管理规定》,外商投资电信企业可以申请经营增值电信业务,出资比例最终不得超过50%。工信部相关表态也指出互联网数据中心业务(IDC业务)不属于WTO承诺减让表中的业务类型,因此IDC业务原则上是未对外资开放的。换句话说,只有内资企业能够申请IDC牌照,外资的云服务巨头可以与国内的持证企业在遵守我国法律法规的前提下,以技术合作的方式参与我国的云服务市场。目前,微软、亚马逊正是以此种方式进入中国市场,二者仅作为中国云服务运营商的技术合作方,并非“数据控制者”,由此数据仅能在中国境内存储。
五、对我国的挑战及对策
在本文开头所述的两个研究脉络中,学者们已经识别出不少能够造成全球数据跨境流动体系的碎片化的变量。例如,各国国内选择不同的个人数据保护,欧盟坚持数据跨境前后保护水平不得有实质性的降低,而美国却坚持数据跨境流动中符合“及格线”的数据保护水平足以;再如,对数据敏感程度的认识不同,导致数据出境所需符合的门槛或条件设定不同等。上述因素已经造成全球数据跨境流动体系难以大范围的兼容。此外,部分国家或区域基于国内产业发展的考量,试图对数据资源加以掌握或占有,也客观上造成数据跨境流动的困难。而从“执法司法目的数据跨境”与“业务目的数据跨境”相互作用角度出发,目前全球数据跨境流动体系的碎片化,存在不容忽视的政治化和阵营化的倾向。这样的发展倾向,对于我国企业出海并做到全球统一运营尤为不利。原因在于我国及我国企业正处于政治化、阵营化倾向的焦点。
也正是如此,我国出海的企业为适应上述政治化、阵营化的发展,没有机会采取不切割运营主体模式的商业模式,而且更进一步主动采取了切割产品服务本身。例如在国内运营的微信和主打国外市场的Wechat,类似的还有字节跳动的Lark和飞书、TikTok和抖音,滴滴的国内版和国外版等。不难想象,如果放任政治化、阵营化趋势的持续演进,任何出海的中国企业都很可能需要采取切割路径。但这样的局面事实上对我国网络强国的建设带来非常负面的影响:国内外的数据、技术等资源无法全球配置,极大地影响我国网信企业的全球竞争力,并导致我国技术更新和迭代的延缓。
对于数据跨境流动体系中的政治化和阵营化倾向,我国应当及早认识并主动应对。首先,从国际层面的应对来看,我国外交部通过推行《全球数据安全倡议》试图对上述趋势作出一定的对冲,但具体效果仍然有待观察。而除了我国对自身立场的单方面阐释之外,为更加全面地应对政治化和阵营化趋势,发挥联合国等多边平台的作用至关重要。正如习近平总书记指出的:“世界各国应该维护以联合国为核心的国际体系、以国际法为基础的国际秩序、以联合国宪章宗旨和原则为基础的国际关系基本准则。”例如对于前述的政治化发展趋势,特别是其中关于供应链安全标准、执法司法目的数据跨境调取的数字化改革等方面,我国应当在联合国平台上主动作为,提出倡议或政策建议,促成国际合作。在此方面,中国和俄罗斯联合推动在联合国框架下谈判制定打击为犯罪目的使用信息和通信技术的国际公约,成为一个很好的样例。目前,中俄已共同提交公约草案作为相关谈判基础。同样,“基于信任的数据跨境流动”中对信任的界定和阐释,不应当是发达国家小圈子的内部事务,采取不同政治和法律传统的广大发展中国家也应有权参与其中,因此联合国机制应当成为凝结国际共识最首要和核心的平台。习近平总书记指出的“国际规则只能由联合国193个会员国共同制定,不能由个别国家和国家集团来决定;应该由联合国193个会员国共同遵守,没有也不应该有例外”,应当成为我国各部门应对数据跨境流动体系政治化和阵营化的指导思想和遵循。
其次,从我国国内的应对来看,《个人信息保护法》《数据安全法》将“执法司法目的数据跨境”与“业务目的数据跨境”的监管职责划分给两个不同的部门,前者是“主管机关”,后者为“国家网信部门”。相应地,前者采取“批准”程序,后者则采取出境安全评估、个人信息保护认证、出境标准合同,或者国家网信部门规定的其他方式。鉴于前文分析指出的“执法司法目的数据跨境”与“业务目的数据跨境”紧密联动的形势,“主管机关”和“国家网信部门”在设计各自的工作机制和流程时,不应各自为政。具体来说,两个不同的部门建立的工作机制,可以相互参与其中。此外,从维护我国主权、安全、发展利益的角度和支持我国网信企业出海的角度,两个部门可通过经常性的情况通报或联席办公,动态性地调整我国“执法司法目的数据跨境”与“业务目的数据跨境”的宽严松紧程度,以及两个机制的相互配合程度。
(责任编辑:王玎)
《行政法学研究》创刊于1993年,是由中华人民共和国教育部主管、中国政法大学主办、《行政法学研究》杂志社编辑出版的国内外公开发行的我国首家部门法学杂志。本刊是国家社科基金资助期刊,已被列入“中国人文社科核心期刊”、“法律类中文核心期刊”、“中文社会科学引文索引(CSSCI)来源期刊”、“中国社会科学期刊精品数据库来源期刊”、“中国学术期刊综合评价数据库来源期刊”和“中国核心期刊(遴选)数据库”。
行政法学研究杂志社
欢迎您关注订阅赐稿!
欢迎各位读者通过全国各地邮局订阅!
地址:北京市海淀区西土城路25号
中国政法大学法治政府研究院
邮编:100088
座机:010-58902973
投稿网址:http://xzfx.cbpt.cnki.net