一、OECD数据跨境相关文件经济合作与发展组织(Organization for Economic Co-operation and Development, OECD),简称经合组织。该组织由20个成员国初始成立,此后又有国家陆续加入。根据成员国于1960年通过,并于一年后生效的协定,OECD应促进健康且可持续发展的世界经济增长,在多边合作的背景下扩大全球的贸易往来。在信息技术逐渐融入世界经济的二十世纪末,其成为了经济发展和人类生活水平提高的重要动力,OECD为应对新技术带来的问题并利用其更进一步助力经济发展,于1980年发布了“关于隐私保护和个人信息跨境传输的指南”(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)(以下称“指南”),该指南于2013年根据新的数字经济环境进行了修订,2021年OECD又发布了对指南实施效果的审查报告并提出了新的行动建议。此外,OECD于1985年和1998年分别发布了“跨境数据流动宣言”(Declaration on Transborder Data Flows)(以下称“1985宣言”)和“关于保护全球网络隐私的部长级宣言”(Declaration on the Protection of Privacy on Global Networks)(以下称“1998宣言”),对数据跨境和隐私保护问题表明了立场。OECD委员会于2007年发布了一份“隐私保护执法跨境合作建议”(Recommendation of the Council on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy),以向成员国提出具体建议措施的方式指导隐私保护执法的合作。2021年10月,OECD发布了 “增强数据访问和共享的委员会建议”(Recommendation of the Council on Enhancing Access to and Sharing of Data),提出了最大化数据共享优势的通用原则和政策指引。 二、指南中的数据跨境规则1、指南数据跨境规则概述指南的出台代表了个人信息收集和管理的全球共识,其在设立之初即具有支持OECD三项原则的作用,即多元民主、保护人权和开放市场经济。指南在数字经济风险与机遇并存的背景下,认识到加强全球制度和执法合作的必要性,同时追求保护隐私保护、个人自由和数据自由流动等多元价值。指南的制定为技术的不断变化留出了空间,其在保障相关原则的应用清晰明确的同时,通过较大的应用范围确保了相应的灵活度,例如包含了对全种类的处理媒介和处理方式以及全类型数据的规制。此外,指南的原则可以在国际和国内两个层面得以适用,具有良好的兼容性。2013年指南一共分为六个部分,第一部分是总则部分,包括了相关定义和对指南规制范围的规定;第二部分是国家应用的基本原则,包括了限制收集原则、数据质量原则、目的特定原则、使用限制原则、安全保护原则、开放原则、个人参与原则和责任原则;第三部分是对数据控制者的具体责任规定;第四部分是国际应用中的基本原则,即数据自由流动和对流动的合法限制;第五部分是各国执行本指南而应当实施的具体措施;第六部分是加强国际合作和隐私框架互操作性的措施。相较于1980年指南,2013年指南不仅对隐私责任、数据跨境传输和隐私执法的规定进行了更新,还增加了隐私管理项目、安全泄露通知、国家隐私战略、全球隐私框架互操作性等新概念。指南中的数据跨境制度主要规定在第四部分中,但在第一部分总则的第六段中也有相关内容。总则中的第六段赋予了成员国在指南所设定的最低标准之上,进一步补充保护隐私和个人自由规定的权力,即使这些措施对数据的自由跨境流动造成了影响,但这类对数据流动的限制措施应当以尽量减少影响的方式制定。这一授权体现了OECD对成员国各自的不同隐私保护价值取向和政策的尊重,也在一定程度上有助于成员国之间达成共识。结合第四部分的第十八段来看,第六段所授权对数据跨境流动的限制措施不是无限制的,仍应当遵循比例原则,需要结合数据的类型、敏感程度、数据处理目的和范围等因素综合考量。第十六段是对第二部分中责任原则的重申,其规定了对数据跨境中所带来的风险应当由数据控制者承担相应的责任,从而确立这一类型责任主体。第十七段详细规定了两种成员国应该避免设定数据跨境限制的具体情形,第一类是在其他国家已经充分的遵守了OECD的相关指南;第二类是数据传输目标国家已经具备了充足的安全防护,安全防护既包括了强制执法机制也涵盖了数据控制者所采取的措施。第十七段的规定旨在使个人信息在出境后,获得与境内相似水平且符合指南的保护。从效力上讲,OECD的上述文件仅以指南、建议的形式制定,并不具备强制效力,因此也无法要求成员国执行。但OECD作为较早提出隐私保护制度的组织,以此种非强制方式为全球各国提供了包容各国不同情况的制度框架,相关制度文件也成为了世界各国制定相应数据跨境制度的重要参考,在寻求数据自由跨境国际解决方案的今天具有积极意义。 2、指南2021审查概述2021年3月,OECD委员会发布了对“委员会关于指南建议的实施情况报告”。该报告是数字经济政策委员会(CDEP)下属的数据治理和隐私工作组(DGP)于2018年11月决定开始,针对指南的实施、传播和持续相关性情况进行的调研报告。该报告是基于28个成员国家和3个非OECD成员国所填写的问卷资料做出的,该报告还参考了大量相关主题的专家会议资料、研究报告和会议观点。该报告根据调研结果,最终由委员会通过了报告中建议的下一步行动方案,方案中委员会邀请CDEP一同支持指南的实施和传播,并在五年后向委员会报告情况。这次的指南审查更加确认了指南在全球作为隐私和个人信息保护最低标准的这一地位,在现实中各个成员国以及非成员国,已经在其本国的隐私立法、执法和政策实践中将指南贯穿其中,其已成为解决隐私保护和全球数据跨境问题的有效方案。但在现实情况下,指南设定的规则也受到诸多挑战,审查注意到,新冠疫情中数字技术的重要作用伴随着非常严重的隐私和人权问题,这涉及到了指南中的各种隐私保护原则。此外,越来越深入的数据自动收集、分析、使用以及人工智能的应用已成为现在隐私立法、执法、责任模式和数据跨境流动框架的重大挑战,这需要对指南的内容进行进一步的解释以适应发展。各国的反馈普遍认为,相较于对指南本身的修改,关注如何实施指南以及修改此前通过的指南“补充说明备忘录”,以支持指南的实际应用更为重要。在各国提出的关注材料中,其认为有三个方面需要加以特别注意。第一是对责任原则的具体实施,在信息科技飞速发展的背景下,组织在法律责任和伦理层面被责任原则赋予了新的角色,其成为了应当采取积极保护措施的个人信息管理者。个人数据的控制者和处理者也被要求主动履行相应义务以减小对个人和组织在法律和声誉方面的风险。第二是与数据跨境流动相关的数据本地化问题,各国认为指南中与数据储存地无关的数据控制者负责原则是有益的,同时,遵循比例原则的跨境限制也有助于数据的自由有序流动。有国家另外指出,考虑“保障或者限制”政府访问私营数据这一问题将有助于促进基于信任的数据流动。第三是需要进一步落实指南对隐私和个人数据的保护,这包括为数据可携带权等数据主体权利指明实践落地的方向。在指南之外,监管沙盒、认证机制、透明度报告和隐私增强技术等新的隐私制度和技术也在报告中被推荐。 三、增强数据访问和共享的委员会建议2021年通过的“增强数据访问和共享的委员会建议”,在第三部分中提出,为培育有效且负责的数据访问、共享和使用,建议相关国家为在信任基础上的数据跨境访问和共享创造条件。其具体措施包括,第一,在尊重隐私、知识产权等基本人权和重要利益的基础上,尽可能减少数据跨境访问和共享的限制,尤其是为了全球的公共利益。第二,要求对数据跨境进行限制的相关条款必须是非歧视、透明、必须和与风险成比例的,这些限制应当考虑到其他因素,例如数据的敏感程度、数据处理的目的和范围,以及问责的方式。第三,鼓励加强不同法域之间就数据访问和共享的对话与合作,例如增强不同制度之间的兼容性或建立国际通行的标准。将上述建议内容与指南对比可以发现,第二条是对指南第十八段的重申,加强不同法域合作也是指南的核心观点之一,这体现了以上策略在数字经济时代对促进数据跨境共享的重要性。
— END —
网络法治国际中心 | 跨境数据治理前沿系列:
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究网络法治国际中心 | 全球数字治理前沿系列:
高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书
高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约
高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法
高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程