数据跨境流动 | 推进“一带一路”数据跨境流动的中国方案(专论)
洪延青
The following article is from 中国法律评论 Author 洪延青
目前,欧盟将自己的数据保护模式奉为圭臬,坚持要求其他国家向其看齐,方可与欧盟进行数据流动。美国则从政治经济利益出发,通过推行基于低水平保护的数据跨境流动模式实现数据向美国汇聚,在巩固和强化美国公司对全球数据掌控的同时,压缩了各国自主选择数据保护水平的规制空间。美欧划定数据流动“小圈子”的做法,并不符合中国倡导共建“一带一路”的指导精神。
中国应当在尊重各国主权、安全、发展利益的前提下,通过双多边数据保护合作,切实促进基于“一带一路”的数据跨境流动,充分释放国际合作发展的潜力。
本文原题为《推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开》,首发于《中国法律评论》2021年第2期专论(第30-42页),原文13000余字,为阅读方便,脚注从略,如需引用,请参阅原文。
公号君的另外两篇专论分别是:
从2013年中国国家领导人提出共建“丝绸之路经济带”和“21世纪海上丝绸之路”的重大倡议,中国就致力于从“政策沟通、设施联通、贸易畅通、资金融通、民心相通”五个重点方面推动“一带一路”的建设和发展。截至2021年1月30日,中国已经同140个国家和31个国际组织签署205份共建“一带一路”合作文件。从地理上看,这些国家遍布亚洲、非洲、大洋洲、欧洲、南美洲、北美洲。在万物互联的智能化时代,“一带一路”除了通信线路的互联互通,必然还伴随数据在“一带一路”之上的跨境流动。
目前,美欧都通过多种举措组合的方式,在全球范围内推行符合其价值观和政治经济利益的数据跨境流动“小圈子”。而我国随着网络安全法的生效,以及《数据安全法(草案)》《个人信息保护法(草案)》向社会公开征求意见,数据跨境流动制度最终方案也呼之欲出。本文将讨论在美欧数据跨境流动范式的影响下,我国为推进“一带一路”数据跨境流动可提出的方案。
美国的数据跨境流动范式
近年来,美国一直借助亚太区域经济合作不断深化自身在数据跨境流动规则制定的话语权,在各个国际场合始终推行以亚太经济合作组织(APEC)的隐私框架(APEC Privacy Framework,APEC隐私框架)为基础构建的跨境隐私规则体系(Cross Border Privacy Rules, CBPRs)。
例如,2017年9月,美国向WTO贸易服务委员会提交了针对我国网络安全法的文件,重点针对的即《网络安全法》第37条所规定的数据出境安全评估制度。在该份文件中,美国认为我国网络安全法所规定的数据跨境安全评估制度将“产生非常繁重的义务要求,阻碍商业运作,对隐私保护也并无裨益”;而目前“已经存在实现隐私保护的且并不烦琐(less burdensome option)的其他选择,包括国际跨境隐私保护框架,例如中国支持的APEC跨境隐私规则”。
及至2020年,外媒报道美国在6月召开的APEC事务级别磋商中,提议将CBPRs体系独立于APEC框架外,从而让巴西等非APEC成员也有加入的可能,不过其目的更可能是将本为APEC成员的中国排除在外,尤其是排除中国参与推进规则的制定。可以看出,APEC的CBPRs制度代表了美国在国际层面对数据跨境流动的利益诉求。同时,在美国国内法层面,美国外国投资委员会(CFIUS)对外商投资审查越来越展现出防范特定国家实体通过投资美国企业得以访问数据的倾向。
因此,本节将从制度设计逻辑、实施情况、政治经济衡量等多个角度对CBPRs进行深入分析,并结合对外商投资审查制度的分析,提炼美国在数据跨境流动方面的总体战略。
1.CBPRs的制度设计逻辑
CBPRs的宗旨是通过特定的机制保障APEC隐私框架中九大原则在成员经济体中得到实现,为亚太地区的个人信息隐私保护提供指导性原则和标准,最终促使区域内个人信息在得到保护的基础上实现无障碍流动,推动亚太地区跨境电子商务的发展。究其实质,CBPRs促进个人数据跨境流动的基本逻辑是,如果位处于不同国家的不同公司,统一承诺并遵循APEC隐私框架提出的九大个人数据保护原则,则个人数据在这些公司之间流动就应该不受阻碍。相应地,由于这些公司都通过同一套原则来保护个人数据,那参与CBPRs的国家就不得再以保护个人数据为理由,阻碍个人数据的跨境流动。
因此,整个CBPRs制度提供的个人数据保护水平,有赖于APEC隐私框架。如果要参与CBPRs,则特定经济体需要首先对此认同。但事实上,APEC隐私框架所提供的个人信息保护水平十分有限。
按照国际个人信息保护的顶尖学者格林利夫(Green leaf)教授的研究,个人信息保护立法已经历经了两代,目前很可能进入了第三代。
第一代个人信息保护立法的典型是经济合作与发展组织(OECD)在1980年发布的《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,以下简称“OECD指南”)和欧洲理事会(Council of Europe)1981年发布的“第108号公约”。两份文件在内容上有很大程度重叠,并共同定义了现代意义上的“个人信息保护法”应具备的基本内容。
第二代个人信息保护原则的代表性立法就是欧盟95年的指令。其在第一代原则的基础上进行了扩展,加入了包括“数据最小化”“删除”“敏感信息”“独立的个人信息保护机构”等十个要素。
第三代个人信息保护原则的代表性立法还是由欧盟主导的,即《通用数据保护条例》(General Data Protection Regulation, GDPR)。GDPR与第二代立法相比又有了扩展,新增内容包括“数据保护官”“数据保护影响评估”“发生数据安全事件后对数据保护机构的报告和对个人的通知”“数据可携带权”等。
2004年问世的APEC隐私框架从一开始就建立在OECD指南的基础之上,其在前言部分明确提及“本框架与1980年OECD指南的核心理念保持一致”。虽然OECD指南在2013年发布了新版的隐私框架,但是内容没有太大的改动,主要是增加了“建立数据保护机构”“发生数据安全事件后对数据保护机构的报告和对个人的通知”“问责原则”等内容。
紧随着OECD指南的修改步伐,APEC隐私框架在2016年的改动也主要是向2013年版本的OECD指南看齐。因此,从前文勾勒的代际演进来看,APEC隐私框架中包含的九大原则以及OECD指南,很大程度上依然“冻结于20世纪80年代”,因此属于第一代个人信息保护立法的水准。
2.CBPRs的实施情况
CBPRs在2012年正式启动,向APEC经济体开放。目前,其官方网站上声称美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中国台湾、菲律宾等九个经济体已经加入。显然,这九个经济体均可算是美国的盟友国家或地区。但CBPRs在其官网上也承认:“目前,总部设在日本、韩国、新加坡和美国的公司均可获得CBPRs认证。”换句话说,另外5个国家或地区并没有实际开始CBPRs认证的运营。
特别值得注意的是,墨西哥是从2013年就决定加入CBPRs,加拿大是2015年决定加入,但是两个国家拖延了这么长的时间,还没有指定问责机构(accountability agent),所以即便两个最早加入的国家到现在为止都尚未开始运作CBPRs体系,不免让人困惑这背后的原因。
从取得CBPRs认证的企业情况来看,到目前为止,取得CBPRs认证的企业数量为36家,其中有3家日本公司,2家新加坡公司,其余为美国公司。与之形成鲜明对比的是,在欧美隐私盾协议被推翻前,共有5000余家企业加入其中。显然,从参与企业数量来看,差距异常明显。企业如此低的参与度,显然不能简单用APEC经济体之间的贸易量低于美欧之间的贸易量来解释。
3.CBPRs的政治经济考量
美国不懈地推进CBPRs近十年之久,但无论是参与的经济体数量,还是参与的企业,都乏善可陈,恰恰反映了CBPRs在政治经济考量方面并不符合很多国家的利益。换句话说,CBPRs过于彰显了美国的利益。
一方面,CBPRs体系提供的个人数据保护水平实际上仅符合了美国国内目前的隐私立法现状。仍然从前文所述的个人数据立法代际演进的视角来看,“没有哪个APEC经济体维系了与APEC隐私框架持平的低水平个人数据保护立法”。就连已经参与CBPRs的九个经济体,除美国外,其国内立法已经持平或超越第二代立法。在回顾2013年OECD指南更新的过程时,格林利夫教授直言,“在美国尚未能生效自己的全面数据保护立法时,OECD指南(1980年和2013年版本)中的原则已经是美国在国际协议中所能接受的最大限度的隐私保护水平”。
另一方面,参与CBPRs意味着经济体必须放弃对数据出境提出符合其国内水平的保护要求。从原理上来说,一个国家的数据保护制度,一般来说包括两部分,一部分是数据在国内的保护,另一部分是数据跨境制度。综观各国立法和实践,后者的目的不外乎保障数据出境后还享有和国内相同或相似的保护水平。而一旦参与了CBPRs,一个对国内数据保护提出高要求的经济体,在数据跨境时,就不能再要求接收方或接收国的数据保护水平与自身等同或相似,转而只能接受CBPRs提供的第一代个人数据保护立法所提供的保护水平。
这方面最明显的例子是韩国。在全亚洲范围内,韩国的个人信息保护法可谓非常严格,但在加入CBPRs后,当境外获得CBPRs认证的数据接收方只提供了低水平个人数据保护时,韩国也不能禁止数据向其流动。这也是为什么在加入前,韩国必须修改自己国内的法律以适应CBPRs的要求。
综合上述两方面看,美国政府极力宣扬CBPRs体系,并拉拢其坚定盟友的加盟,其核心实质是——通过建立于低水平保护的个人信息跨境流动秩序,确保各国家不会用“自身国内提供了高水平保护”为理由而限制个人信息的跨境流动,最终实现个人信息向美国或美国公司的汇聚。
CBPRs体系使美国目前的个人信息保护水平事实上成为个人数据跨境流动的“金标准”。在有关CBPRs宣讲会中,美国官员极力宣扬CBPRs的好处是参与国家不需要通过、修改自己的国内法;CBPRs可以和各国家国内的个人信息保护法律并行不悖,其潜台词无非是CBPRs制度不像欧盟,无论是在充分性认定的谈判中,还是在美欧之间隐私盾的谈判中,都需要其他国家修改自己的法律向欧盟靠拢,或承诺按照欧盟水准开展数据保护。
但事实上,美国官员有意或无意地模糊了一个非常重要的区分:
CBPRs虽然没有要求参与国修改或降低自己在国内对个人数据的保护水平,但是它强制参与国在管控个人信息出境时,不得要求第三国的数据接收方提供超过APEC隐私框架水准的数据保护水平。
4.美国对外国投资的审查
2018年,美国对外国投资审查制度进行重大改革,颁布《外国投资风险评估现代化法案》(以下简称FIRRMA法案),旨在大幅度扩张美国外国投资委员会(CFIUS)的审查权限,对外国投资者在美国的投资实施更严格监管审查。在FIRRMA法案框架下,CFIUS管辖范围扩张到一些非控制性的投资上。根据美国财政部在2020年生效的“FIRRMA实施条例”中进一步明确,如果满足以下两个条件,该非控制性投资即受CFIUS的管辖:一是涉及某些特定行业的美国企业;二是赋予外国人(foreign person)某些特定权利。
具体来看,CFIUS对非控制性投资的扩大管辖,就网信领域来说,主要是对涉及关键基础设施(critical infrastructure)、关键技术(critical technology)及敏感个人数据(sensitive personal data of United States citizens)的美国企业(以下简称为TID企业)的外国投资。
同时,根据FIRRMA法案,CFIUS所管辖的对美国TID企业的非控制性投资,赋予外国人的某些特定权利主要是指下列权利之一:其一,能够访问任何“重大非公开技术信息”;其二,获得美国商业实体的董事会(或起到类似管理功能的机构)的成员资格或观察员权利,或提名某人担任董事会(或起到类似管理功能的机构)职位的权利;其三,除了通过股权投票外,能够参与到美国商业实体重大决策,如涉及美国公民个人敏感信息的使用、开发、获取、保护或披露,关键技术的使用、开发、获取或披露,或对关键基础设施的管理、运营、制造或供应。
在CFIUS得到强化后,美国政府也不吝使用,特别是针对来自中国的投资。2019年,因为个人数据原因,CFIUS要求我国两家企业出售已控股的PatientsLikeMe(一家为促进疾病诊断和治疗而将患有相似疾病的患者联系起来的在线服务平台)和Grindr(在线交友软件)。同样是个人数据原因,2020年3月,CFIUS要求北京中长石基信息技术有限公司剥离其已经完成的对美国酒店物业管理软件公司StayNTouch的收购。到2020年年中,CFIUS要求字节跳动科技有限公司剥离对Music.ly的投资。及至2020年8月5日,美国政府宣布所谓的“清洁网络计划”。
按照美国政府的说法,该计划是“特朗普政府为保护美国公民的隐私和美国公司最敏感的信息,使其免受中国共产党等恶意行为者的侵略性入侵而采取的综合性策略”。具体来说,“清洁网络计划”包括:清洁的运营商、清洁的应用商店、清洁的移动应用、清洁的云、清洁的光缆。
无论是CFIUS还是清洁网络计划,均是美国通过国家安全例外限制数据被“非美国人”(non U.S person)所访问。换句话说,美国政府现在着力于限制数据流向特定的主体,而对数据流向特定的地区并不那么在意,只要数据持续处于“美国人”的控制之中。
5.小结
总结前文所述,可提炼出美国在数据跨境流动的主要范式:一方面通过在国际层面推行基于低水平保护的CBPRs体系,使其在无须改动其国内立法的情况下,能够尽可能将数据汇聚回美国国内,极大地方便美国跨国公司全球统一运营;另一方面,数据在通过CBPRs体系为美国跨国公司掌握之后,再通过美国国内外商投资审查等制度避免因投资事由导致数据为特定国家实体所访问。换言之,美国政府通过制度性工具同时做到数据方面的“开源”和“节流”,两者相互配合极大强化、巩固了美国企业在全球研发和运营中的优势地位。
欧盟的数据跨境流动范式
最完整体现欧盟数据跨境流动范式的无疑是2018年5月正式实施的《通用数据保护条例》(GDPR)。但本节对欧盟的分析不拘泥于GDPR条文本身,而是深入分析上届欧盟委员会实施GDPR跨境制度的核心诉求、欧盟法院(CJEU)推翻隐私盾协议的缘由,以及本届欧盟委员会提出的技术主权概念,以此勾勒出欧盟在当下及近期将会采取的数据跨境流动范式。
1.GDPR数据跨境流动制度的基本逻辑
GDPR第44条规定了欧盟个人数据跨境流动的基本原则,核心是确保在跨境传输的情形中,GDPR提供的个人数据保护水平“不会减损”(not undermined)。也就是说,GDPR提供的保护水平应该随着个人数据的流动而流动(follow the data)。按照GDPR的逻辑,个人数据受保护是一项基本人权。因此,个人信息在跨境场景下的保护,也主要是为了保障个人合法权益,即便数据已经流出了国境。
在GDPR看来,数据流出国境,与数据在境内流动相比,有三个主要的变化:一是数据流出后适用的法律法规不同了;二是原境内监管机关无法对接收数据的境外主体实施管辖权;三是个人数据主体维护自身合法权益的渠道变少了,且变得更加困难。因此,GDPR数据跨境流动制度的设计,主要着力于解决上述三方面问题。在具体制度设计方面,GDPR在第五章规定了丰富的数据跨境传输机制,由于认证、行为准则等机制尚未正式实施,本节将重点讨论标准格式合同条款、有拘束力公司准则以及充分性认定三种机制。
根据GDPR的规定,标准格式合同条款(Standard Contract Clauses, SCC)是由欧盟委员会或监管机构通过的、企业与企业之间将欧盟公民个人数据跨境传输到欧盟境外所采用的合同模板。SCC通过固定数据出境后所受保护原则,决定数据出境后所受保护水平。同时,SCC也引入问责制,通过法律责任划分的形式,将境内组织明确为主要问责主体,为境内监管机关追究责任提供了便利。当然,境内主体也可以通过合同的形式,继续追究境外主体的责任。此外,SCC还在其合同中规定了个人数据主体可以基于合同拥有一些特定的权利。
有约束力的公司准则(Binding Corporate Rules, BCR),主要适用于跨国公司、集团公司,也是着力于上述三个方面。跨国公司、集团公司可制定约束企业内部之间进行数据跨境传输的个人数据保护规则,如果欧盟认可BCR提供的数据保护水平,便可以在集团内部进行数据跨境传输,无须另行批准。BCR的保障机制在于即便跨国分公司所在国家的保护水平比较低,则该分公司还是需要遵守BCR,根据BCR规定的原则提供数据保护。
具体来说,特定公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则以该公司在主申报国家的主体作为承担有关于数据出境的所有法律责任的主体——监管机关、个人数据主体,均可以通过境内的公司主体来追究法律责任。
充分性认定是GDPR核心的数据跨境流动机制,只有数据接收方所在国家具有与欧盟实质等同的个人数据保护水平,数据方可向其进行跨境传输。在GDPR第45条明确指出在进行充分性认定时所考虑的相关因素,包括法治和基本人权保护程度、是否存在独立且有效运转的监管机构等。对某个国家或地区进行充分性认定,就意味着对该国家或地区法律法规的认可;意味着认可该国家或地区监管机关对数据保护的执法力度;也意味着对个人行使权利便利程度的认可。因此,充分性认定是个非常慎重的过程,需要全方面的考察。
目前,欧盟确认安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭等国家或地区具有同等数据保护水平。
此外,GDPR第49条也规定了基于公共利益、为提起、行使或抗辩法律诉求等例外情形,或者仅涉及偶发、少量数据的跨境流动情形,允许在欠缺前述三种机制条件下,进行数据跨境流动。
2.上届欧盟委员会对GDPR跨境制度的政治经济考量
从前文分析来看,GDPR数据跨境流动制度似乎无关政治经济考量,而仅仅关注个人合法权益保护。但2017年1月10日欧盟委员会对外发布的一份通信《在一个全球化的世界中交换和保护个人数据》,展现了欧盟委员会如此制度设计的另外一个视角。
在这份发向欧洲议会和欧盟理事会的通信中,欧盟委员会阐述了实施GDPR数据跨境流动制度时的四项意图。
一是抓住时机让世界向欧盟看齐。欧盟委员会指出,虽然各国对个人数据保护的路径、立法发展存在差异,但近年来展现出一种趋同——普遍接纳了一些重要的数据保护基本原则。显然,不同的数据保护体系能够更好地相互兼容是件好事,有助于数据的全球自由流动。于是欧盟委员会提出,欧盟应抓住这样的机会,通过推动法律体系趋同,达到推广欧盟数据保护价值和促进数据流动的目的。
二是欧盟的个人数据保护体系和改革理应是世界的标杆。欧盟以GDPR为代表推进个人数据保护改革,赋予数据主体更多的自主控制权,是在数字经济中增强消费者信任的正道,并且GDPR以条例的形式,统一在欧盟境内适用,降低了公司在不同成员国内的合规成本。同时,欧盟成功地结合了最高水平的个人数据保护和开放的国际数据流动,有潜力成为能够同时提供自由流动和信任的数据服务中心。
三是个人数据保护是不容谈判的。在通信中,欧盟委员会多次用了强硬的措辞。例如,隐私不是可以交易的商品;尊重隐私,是稳定、安全、竞争性的全球商业流动的前提条件。在数字时代,高水平的数据保护,应当与国际贸易携手发展。当然,这不是意味着欧盟就放弃数字贸易发展:虽然在贸易协定中,个人数据保护是不容谈判的,但欧盟的数据保护体系提供了一系列不同的工具,可以在高水平保护的同时满足不同场景下数据流动的需求。
四是推动世界向欧盟看齐的最重要抓手是用好“充分性认定”。欧盟委员会在通信中指出,一旦对某个国家给予了“充分性认定”,数据流动到该国就相当于数据在欧盟内部流动,该国也就获得了进入欧盟单一市场的特权(privileged access);尤其是在充分性认定所带来的特权,欧盟委员会在通信中勾勒出是否启动对某个国家的“充分性认定”进程,所考虑的主要方面,包括特定国家与欧盟之间的商贸关系、数据流动情况,特定国家在其所在区域中是否是隐私和数据保护的“领头羊”,以及特定国家与欧盟的政治关系,特别是是否秉持共同的价值和目标。基于上述考虑,2017年开展“充分性认定”对话时,欧盟委员会在东亚首选日本和韩国,并根据印度在数据保护中的立法进步情况,视情决定是否和印度开展对话。
总结此份通信,欧盟委员会将如何战略性地发挥GDPR数据跨境流动制度的功能可见一斑:想要获得来自欧盟的数据,只能向欧盟靠拢,不仅是法律制度和保护水平,而且是基本价值观和总体政治关系。因此综合来看,在亚太地区先是日本、韩国、印度向欧盟靠拢,而秉持不同价值观的中国则暂不被考虑。随后事态的发展也印证了这份通信的观点。近年来,欧盟和日本达成了充分性认定,和韩国的谈判也取得了显著的进展。
3.欧盟法院推翻隐私盾协议
2020年7月16日,欧盟法院就备受关注的SchremsⅡ案作出判决,认定因美国数据保护水平未能达到欧盟标准,欧盟与美国在2016年达成的美欧数据跨境转移机制“隐私盾协议”无效,同时确认欧盟SCC继续有效。这是欧盟法院继2015年认定“美欧安全港框架”(EU-US Safe Harbor Framework)无效以来,废止的第二项美欧间个人数据跨境转移机制。
欧盟法院判决的核心论据在于美国政府根据《外国情报监视法》第702条和《12333号美国情报活动行政令》开展情报监视活动,认为美国把国家安全、公共利益和执法的要求放在首位,其国内法对公权力调取数据的限制,与欧盟类似的法律限制不匹配,主要体现在数据调取不符合比例性原则,监控项目也不符合“严格必要”的原则,没有提供对可能成为目标的非美国人员的保障,未赋予数据主体在法院针对美国当局提起诉讼的权利。因此,美国企业即使加入“隐私盾”,也无法摆脱这些美国法的约束。故“隐私盾协议”无法为欧盟转移到美国的个人数据提供充分保护。
但与此同时,在判决中欧盟法院却支持SCC继续有效。欧盟法院认为,虽然SCC作为合同只能约束数据进出口双方,不能约束数据接收国的政府公共机构,但并不必然导致SCC失效。数据接收国的政府公共机构出于“民主社会”下的国家安全、国防、公共安全目的对个人数据在“必要程度”下的数据访问,并不与SCC冲突。SCC条款的有效性取决于是否具有一个有效的机制确保实践中个人数据在接收国得到欧盟同样标准的保护,以及在SCC的条件不能被遵守时,双方是否会立即中止或禁止数据转移。欧盟法院认为SCC已经建立了这一有效机制。
欧盟法院还特别指出,数据出口方和接收方都有义务,“一事一议”地在数据跨境前去评估第三国是否提供充分数据保护水平;必要时,可以增加额外的保护措施。数据接收方一旦发现自己不能遵守SCC(比如第三国执法协助请求不允许接收方向出口方披露),则接收方有义务立即通知数据出口方自己不能遵守SCC,出口方应该暂停或者终止数据跨境;如果出口方决定继续跨境转移,应该通知本国数据保护监管机构。除非有欧盟委员会对第三国的“数据保护充分性”认定,数据保护监管机构一旦认为SCC不能在当地国家得到遵从,而且也不能通过其他方式提供同等于欧盟的数据保护水平时,监管机构应该暂停或者禁止数据转移到第三国。
4.新一届欧盟委员会提出的技术主权概念
2020年2月,欧盟委员会同时发布了三份重要的数字战略文件,分别是《塑造欧洲的数字未来》、《人工智能白皮书》和《欧洲数据战略》。贯穿着三份战略文件的一个核心概念,用新一届欧盟委员会的主席乌尔苏拉·冯德莱恩(Ursula von der Leyen)自己的话来概括,就是欧盟必须重新夺回自己的“技术主权”。所谓“技术主权”,在冯德莱恩看来,就是“欧洲必须具有的能力,即必须根据自己的价值观并遵守自己的规则来做出自己的选择”。
结合这三份战略文件的内容,欧盟的技术主权概念实际上在三个层面上展开——基础设施和工具、标准和法律规则,以及价值观和社会模式。在基础设施和工具层面,《欧洲数据战略》提出应发展欧盟自己的云服务产业。欧盟认为其经济的数字化转型取决于安全、节能、负担得起的高质量数据处理能力。目前,欧盟高度依赖外部供应商,因此需要采取措施减少对外的技术依赖。在标准和法律规则层面,欧盟一致认为建立优秀的标准和法律规则是其强项。
三份战略文件中多处提到了GDPR在统一数据保护规则、推进数字单一市场方面的巨大作用。在GDPR成功经验的基础上,三份文件进一步提出了明确的立法计划。例如旨在激励各方数据共享的数据法案;以及针对科技巨头收集、使用、共享数据中限制创新和竞争问题的数字服务法案等。在价值观和社会模式的层面,欧盟希望继续通过其建立的基本人权(如数据保护、隐私和不得歧视)体系、消费者保护、产品安全和责任规则等法律框架,持续监管包括数据处理和人工智能等在内的技术发展和应用。
聚焦于数据,《欧洲数据战略》实际主导人欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)在系列文件出台前后发表了一系列“激进”的言论。例如“欧盟的数据就应当留在欧盟境内”;欧盟应当用工业政策来孵化和培训欧盟中的冠军企业,而恰好留住数据、用好数据就是欧盟企业成功的关键;以及“我确信这些帝国将来不可能好日子依旧,他们攫取了太多的价值”。
5.总结
为持续保障个人数据受保护的基本权利,欧盟GDPR围绕着数据保护水平不降低的原则,为数据跨境流动制度提供了多种法律工具。这些法律工具的核心目标均在于要求数据接收国或境外的数据接收方提供与GDPR“实质性等同”(essentially equivalent)的保护水平。可以说,GDPR实现了欧盟数据保护模式和影响力向境外的投射。
而欧盟法院两次对Schrems案件的判决,事实上将“充分性认定”和“有约束力的公司准则”突出为最牢靠和稳定的数据跨境流动工具。前者需要欧盟委员会对数据接收国进行全面详尽的评估,后者同样需要欧盟成员国数据保护机构对所提交的公司准则进行全面详尽的评估,两者均有赖于欧盟单方面的自由裁量。在上届和本届欧盟委员会充分意识到数据对于欧盟对外商贸和数字转型至关重要的角色的情况下,可想而知上述自由裁量在作出时,将更加蕴含除个人权利保障之外的政治经济考量。
基于“一带一路”的中国数据跨境制度构想
作为“一带一路”倡议的发起者,中国的数据跨境制度安排,应当对倡议的推行有所设计。而从前文看来,美国和欧盟都在推行由自身主导的、反映自身利益的数据跨境流动“小圈子”,那中国在推动“一带一路”建设时应该就数据跨境流动做何种战略选择?是效仿美国和欧洲,在“一带一路”中关起门来搞小圈子或者俱乐部,还是坚持“和平合作、开放包容、互学互鉴、互利共赢的丝绸之路精神”。
如果选择前者,不可避免地要和欧美的数据跨境流动发生直接对冲,对特定国家以及特定国家的特定企业来说,就须在“一带一路”、美国商贸圈、欧盟商贸圈中做出选择。
如果选择后者,中国应该采取哪些具体的举措?
1.贸易规则谈判
目前,世界贸易组织(WTO)电子商务规则谈判在进展之中,2019年我国也正式加入其中。数据跨境流动、数据本地化、个人信息保护等具体事项恰在电子商务规则谈判之中。但从WTO相关谈判的过往历史来看,电子商务规则“进展缓慢”,“各成员方纷纷转向签署各类区域贸易协定”。
而区域贸易协定中,“数字贸易国际规则主要体现在美欧等发达国家引领制定的区域贸易协定中。在WTO公布的涉及数字贸易和的40多个区域协定中,32个协定将数字贸易(电子商务)单独设章,其中美国主导13个,欧盟主导7个,其他协定也基本上由已与美欧签署协定后的国家或地区之间互相签署”。
从上述趋势看,在WTO层面的数据跨境流动的谈判,必然会经历美欧之间理念、制度、利益之间的冲突。
如果以正在谈判之中的欧盟与印度尼西亚贸易协定中的数据跨境流动条款为分析样本,可以看到欧盟的基本诉求是在贸易协定中为GDPR的实施留出足够的规制空间。以新近签署的《美加墨贸易协定》(USMCA)中的数据跨境流动条款作为分析样本的话,可以看到美国的基本诉求还是“强迫”各成员国同意一个基于低水平保护的个人信息跨境流动制度,以使各国的个人信息方便地向美国聚拢。显然,美国在贸易谈判中提出的条文,是为CBPRs体系的后续推广而“量体裁衣”。
我国的立场则可以新近签署的《区域全面经济伙伴关系协定》(RCEP)为分析样本。RCEP第十二章为电子商务,其第15条为“通过电子方式跨境传输信息”。与《跨太平洋伙伴关系协定》(TPP)或《全面进步的跨太平洋伙伴关系协定》(CPTPP)的文本相比,RCEP吸纳了其大多数内容,但同时增加了两个显著变化:
一是注释14中的“就本项而言,缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定”。换句话说,新增的这个注释赋予了缔约方自主决定何为“合法公共政策”,因此相比于CPTPP和TPP,RCEP更加尊重各个缔约方的规制自由(regulatory autonomy);二是新增了“该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议”。这一条款相当于在“合法公共政策目标”例外之外,另外开辟了“基本安全利益”(essential security interests)的例外。
可以看出,RCEP条款最显著的特点是给各个缔约方留足了规制空间。由于数据跨境流动是个相对崭新的议题,涉及许多层面且往往相互冲突的利益诉求,因此RCEP中此条款的设计更加尊重各国的主权、安全和发展利益。相比之下,欧盟的条款只允许依据个人数据保护而对数据跨境流动做出限制,拒绝承认其他合法公共政策目标;而美国的条款虽然承认合法公共政策目标,但拒绝了其他国家按照自己的意愿对个人数据保护水平作出设计的自由。
考虑到RCEP此条款的上述特点,以及“一带一路”国家的广泛性,因此笔者的第一个建议是:当我国和其他国家签署共建“一带一路”合作文件时,均可以RCEP中此条款作为数据跨境流动的格式条款,吸纳于合作文件之中。
2.双多边数据保护合作
单纯通过前文所述的贸易规则设计,并不足以促成数据在“一带一路”上的互联互通。如果共建“一带一路”的国家出于各种政策目标、安全利益、一般例外和安全例外等而限制数据的跨境流动,必然会限制基于“一带一路”实质性合作的开展。
因此,笔者第二个建议是:我国应主动与共建“一带一路”的国家开展数据保护的双多边合作,尽可能地就数据保护议题沟通各自的诉求和关切点,通过协商一致达成缓解风险的措施,并定期通报各自落实、执法、监督等的情况和进展。
假设特定国家对于个人金融信息出境有较为严格的限制规定,或是出于金融机构的保密义务,或是为了宏观审慎监管所需要——这两者都属于合法公共政策目标,我国能在与该特定国家开展专门的数据保护合作时,承诺通过专门的安全保护措施并保障金融信息的实时访问等措施回应该国家的关切,则将促成个人金融信息的跨境流动。同样,如果我国对某类数据的出境有特殊的限制要求,如果特定国家能够提出切实有效的风险缓解措施,则我国也可考虑通过双边合作的形式允许该类数据流向该国家。
目前我国正在制定过程中的个人信息保护法就“个人信息跨境提供”设立专章,为个人信息出境提供了包括安全评估、认证、订立合同、国际条约和协定等一系列法律工具,也为上述数据保护专项合作开辟了空间。
近期,东盟为推动区域一体化与合作,并建设安全、可持续、转型升级的数字经济,发布了《东盟数据管理框架》(ASEAN Data Management Framework,DMF)以及《东盟跨境数据流动示范合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows,MCC),以促成个人数据在东盟成员国之间自由流动。
考虑到东盟国家在共建“一带一路”上的重要意义,以及我国企业出海的第一站往往选择东盟国家等情况,我国完全可以在细致研究上述两份文件的基础上,通过与东盟开展双边合作,设计出针对东盟的数据跨境流动认证和标准合同等工具,主动与东盟做制度性对接,促成来自东盟的个人数据能够顺利流入中国,以及我国的个人信息在流入东盟时能够维持安全的状态。
总之,在笔者看来,只有将双多边数据保护合作与前文所述的贸易规则设计相配套,双管齐下,才能最终促成数据在“一带一路”上真正的互联互通。
结语
中国提出:共建“一带一路”跨越不同国家地域、不同发展阶段、不同历史传统、不同文化宗教、不同风俗习惯,是和平发展、经济合作倡议,不是搞地缘政治联盟或军事同盟;是开放包容、共同发展进程,不是要关起门来搞小圈子或者“中国俱乐部”;不以意识形态划界,不搞零和游戏,只要各国有意愿,都欢迎参与。因此,在推动“一带一路”数据跨境流动时,也应当遵循上述原则和立场。
目前,欧盟将自己的数据保护模式奉为圭臬,坚持要求其他国家向其看齐,数据才可向其流动。而美国则从政治经济利益出发,通过推行基于低水平保护的数据跨境流动模式实现数据向美国汇聚,在巩固和强化美国公司对全球数据掌控的同时,压缩了各国自主选择数据保护水平的规制空间。显然,这两种路径并不符合中国的立场和本色,并不适合用于推进“一带一路”的共建。
本文建议:一方面,中国应当在签署共建“一带一路”合作文件时,纳入以RCEP数据跨境流动条款为蓝本的内容,从贸易规则层面锚定数据应能自由跨境流动的立场,并同时为各国维护各自主权、安全和发展利益留足空间。另一方面,中国应主动与“一带一路”共建国家开展双多边的数据保护专项合作,回应各自的诉求,缓解潜在的风险,尽可能地实现更大范围的数据能够安全有序流动,激发“一带一路”合作的潜力,最终实现“和平合作、开放包容、互学互鉴、互利共赢”。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
美国电信行业涉及外国参与的安全审查系列文
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
自动驾驶系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
中国个人信息保护立法系列文章
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于数据与竞争政策的翻译和分析:
关于人工智能监管指导文件的翻译:
关于iOS对APP追踪限制的功能及其法律探讨,见: