梅 傲:数据跨境传输规则的新发展与中国因应
载《法商研究》2023年第4期
梅 傲
(西南政法大学国际法学院副教授)
目次一、源起:欧美数据跨境传输的博弈二、发展:欧盟数据跨境传输规则的调整
三、效应:欧盟数据跨境传输新规对中国的二重性影响
四、回应:欧盟数据跨境传输规则调整之下的中国因应
摘 要 从欧美《隐私盾协议》失效到欧盟委员会新近对欧盟-美国数据隐私框架作出充分性决定,欧美间的数据博弈既反映了欧盟“权利本位”与美国“市场本位”的价值取向之争,又体现了欧盟利用“布鲁塞尔效应”扩大其监管力的基本策略。标准合同条款在数据跨境传输中发挥着重要作用,欧盟也在新一轮数据博弈中对相关规则进行了更新。欧盟关于数据跨境传输规则的调整在给中国企业的数据跨境传输带来消极影响的同时,也为中国数据保护水平的提升提供了新的机遇。在规则变革的浪潮下,中国应当倡导融合性价值取向,对内完善自身的数据跨境传输制度,对外加强数据传输的国际合作,提升中国在国际数据规则制定中的话语权。
关键词 数据博弈 数据跨境传输 标准合同条款 数据安全
欧盟与美国作为数字贸易的长期合作伙伴,彼此都有着现实的数据传输需求。随着2020年“数据保护专员诉爱尔兰脸书母公司及马克斯·施雷姆斯案”(以下简称“数据保护专员案”)的审理落下帷幕,《隐私盾协议》继《安全港协议》之后再次被欧盟法院判定为无效,直至2023年7月欧美双方才重新达成数据跨境流动协议。上述协议的效力变更均是欧美在数据跨境传输领域展开博弈的妥协结果,欧美之间的数据博弈以数据跨境传输规则的调整为载体深刻影响着全球数据跨境传输格局。数据跨境传输规则的更新是数据主权争端及经济利益纠纷的直接体现,欧美之间数据跨境传输规则的兴衰变革既反映了双方政策变更及力量对比变化,也预示着全球数据跨境传输规则的变革方向。
欧美之间数据跨境传输协议的多舛命运是欧美数据跨境传输遭遇现实阻碍的缩影,其背后反映出欧美数据博弈对抗属性的逐日增强,双方在理念及制度方面的冲突与妥协都日益明显。欧美数据博弈引发了全球范围内数据跨境传输机制的新一轮洗牌,欧盟内部规则的迭代也为欧美双边数据跨境传输合作带来多重风险。同时,欧盟规则的溢出效应也将波及中国,在欧盟规则影响力依旧强劲的背景下,如何应对规则调整并引领数据跨境传输潮流将成为中国数据治理的重要课题。
一、源起:欧美数据跨境传输的博弈
从整个欧盟与美国的数据博弈格局来看,欧美数据跨境传输机制的数次变革背后是欧盟“权利本位”与美国“市场本位”的话语权争夺,同时也是欧盟试图通过加强其规则的“布鲁塞尔效应”来对抗美国在数字经济领域霸主地位的一次尝试。欧美之间在价值层面存在无法逾越的鸿沟,各自在价值指引下发展出不同的数据跨境传输政策体系。两个层面的不断博弈持续性加剧欧美间关于数据跨境传输的分歧,最终使得《隐私盾协议》归于无效。
(一)价值博弈:“权利本位”与“市场本位”的价值之争
《隐私盾协议》的破裂首先反映了欧盟与美国在价值层面的强烈冲突,欧美对数据治理的不同价值取向直接指向数据跨境传输政策的差异及矛盾,双边规则作为双方共识的凝结必然会受到双方政策取向的影响。欧洲长期以来奉行重视人权保护的传统,在隐私保护立法上尤甚。《欧盟通用数据保护条例》(以下简称《条例》)可以称为世界上对于个人数据保护最严格的立法之一,其通过域外适用规则,将管辖范围进一步扩张,基本涵盖所有对欧盟公民数据权利产生影响的数据活动,同时其规定的处罚金额巨大,远超其他国家的数据立法。这种“权利本位”的价值取向体现在数据跨境传输领域即为对境外个人数据保护水平的高标准与低信任,倾向于以较为保守审慎的态度构建数据跨境传输规则。
在对待个人数据权利时,美国则持有与欧盟大相径庭的“市场本位”观念。在欧盟的“权利本位”观念下,用户被视作享有个人数据权利的数据主体,而在美国“市场本位”的观念中,用户则被视作为“消费者”。二者的区别在于,美国将个人数据的隐私保护放在“市场环境”下加以思考,用户仅在“免受商业欺诈或不公平交易行为”的层面上能得到隐私保护,而在欧盟数据主体享有一系列可以主动行使的数据权利。
在欧美数据博弈进程中,欧盟意图依据内部广阔市场迫使美国妥协,而美国则倚仗较强的综合国力不断出尔反尔,双方之间以价值取向为起点不断反复开展动态博弈,作为博弈载体的规则也不断受其影响而变化。最初双方均进行了一定程度的妥协与让步,欧盟选择在《欧盟数据保护指令》(以下简称《指令》)规定的传输路径之外为美国定制一套针对性规则,美国也在相关协议中作出妥协,如在《安全港协议》中承诺遵循“通知原则”等,尝试适应权利保护导向的欧盟价值观。然而,欧盟与美国之间价值观念的巨大差异难以凭此弥合,其背后代表的数据治理逻辑及依此建立的数据治理体系间皆存在难以逾越的鸿沟。虽然美国在协议中对于个人数据的隐私保护许以美好的承诺,但是仍旧坚守数据治理的逐利取向,其实践做法及一贯态度仍旧彰显其对数据保护的轻视态度。考虑到美国长期秉持的“市场本位”观念所带来的政策惯性与产业惯性,欧盟保持着对美国数据保护实践的强烈质疑也在情理之中。欧美进行数据博弈归根到底是利益权衡后的选择,双方价值观念的差异决定了其对数据的治理走上了相悖的道路,欧盟与美国的持续性数据博弈及双边数据跨境传输协议的数次变动亦根源于此。
欧美数据治理价值观念的龃龉是双方展开博弈的实质核心争议,不同价值观念指引下的双方在数据跨境传输机制的构建中寻求相异的核心利益。欧盟所寻求的高水平保护背后是较高的传输及管理成本,美国所追求的市场繁荣背后也潜藏着较高的数据安全风险,二者依赖各个版本的数据跨境传输协议形成了脆弱的平衡,随着数据博弈进程的推进,双方力量对比及具体政策的变化便会轻易打破这种平衡,双边数据跨境传输机制的失灵与不稳定性便难以避免。
(二)政策博弈:欧盟“布鲁塞尔效应”对美国数字经济霸权的制衡
抛开价值层面的冲突,从更现实的角度来看,《隐私盾协议》的破裂实则是欧盟规则“布鲁塞尔效应”与美国在数字经济领域霸主地位的对抗。“布鲁塞尔效应”表明欧盟试图通过其自身市场的力量来监管全球的市场,其表现形式一般为通过欧盟的跨国公司输出欧盟的制度与规则,或欧盟通过单边立法的域外效力规则对全球进行监管。欧盟利用“布鲁塞尔效应”以期赢得与美国的较量,并利用自身市场广阔的优势倒逼美国接受自己的数据跨境传输规则。这是欧盟面临数据博弈选取的核心竞争形式。
欧盟有着巨大的数字经济市场,但其本土没能拥有与之相匹配的企业规模。美国政府及科技公司采取较为积极的政策开拓欧盟市场,通过各种投资及出口行为占据欧盟市场,意图在数字市场巩固经济霸权、博取在欧盟域内的主导地位。数字市场被域外的科技公司占领并不能给欧盟带来正面收益,反而会对欧盟内部发展造成若干负面影响:(1)从经济的角度来看,大量收益被跨国公司带走,欧盟所获税收量较少,且域外科技公司通常将其总部及研发、运营等部门都设立于本土,无法为欧盟提供足够优质的工作岗位和就业机会。(2)从科技的角度来看,盘踞于欧盟的科技巨头在事实上构成了市场垄断。基于资本的天然逐利性,科技巨头会自然地采取打压、并购等手段保持自己的竞争优势。并且,占据欧盟大多数市场的美国企业正是奉行“监控资本主义”的代表,即忽视用户的个人数据隐私保护,依托自己庞大的体量去广泛搜集用户的信息资料,同时使用“大数据”等手段分析用户偏好,进而精准投放广告、产品等来取得竞争优势最终造成强者更强、弱者更弱的结果。这些现象在客观上影响了本土初创科技企业的发展前景,对于高度发达的欧盟来说,在数字科技上的孱弱是难以令人接受的。(3)从政治的角度来看,一方面,谷歌、脸书等科技巨头掌握了社交媒体、网络资讯等信息传播渠道,其拥有为欧盟地区用户设置“议题”的能力,此情形好比我国的微博“热搜”完全由一家美国公司控制一般,公民的日常关注焦点将完全由他国左右,这将导致欧盟国家行政人员的日常管理难度增加;另一方面,如上文所述,美国公司奉行“市场本位”观念,忽视对用户数据权利的保护,加之以斯诺登所披露的“棱镜计划”为代表的诸多美国肆意大范围监控的行为被曝光,使得欧盟行政机构以及欧盟国家需要耗费大量精力应对和处理国民的数据隐私保护诉求,不利于行政成本的控制及行政效率的提升。
美国积极的市场扩张政策很快遭到欧盟的反击,开启了政策层面的数据博弈历程。为了扭转在数据博弈中由域外企业带来巨大负外部性的现状,欧盟试图利用其规则的“布鲁塞尔效应”予以对抗,即使用域内规则规制域外主体,在主观上加强对域外科技巨头数据行为的监管从而减少其对欧盟用户数据权利进行侵犯的行为,在客观上达到阻碍域外跨国公司在欧盟进一步扩张的趋势以防止科技巨头在欧盟“卡特尔化”的效果。由于欧盟拥有庞大的“优质市场”,而域外企业无法忽视或放弃,因此利益驱使它们不得不服从于欧盟的域外管辖。《条例》规定了欧盟数据传输的规则,即使欧美重启充分性认证进程,但由于美国做出的让步可能大幅提高企业经营成本,因此标准合同条款仍旧在企业数据跨境传输中扮演重要角色。标准合同条款的签订需要复杂的前置法律审核程序,在此种情形下,企业合规成本与法律成本大幅增加,大型企业或能接受额外支出,小型企业对此却难以承受。如此一来,美国企业在欧盟区域的竞争力实际上被变相削弱。
总的来说,欧盟市场的平台经济型科技企业大多数为美国公司的现状给欧盟带来了巨大的负外部性,故其通过双边数据跨境传输机制的构建迫使在欧盟经营的美国公司付出更高的合规成本。在此种情形下,无力签订标准合同条款的中小型企业被欧盟拒之门外,因此中小型企业与初创企业进入欧盟市场的比例被大大降低,欧洲本土的数字市场便不再轻易被美国企业垄断,欧盟在全球数字经济领域的监管权威也得以确立。在美国数字经济霸权日益强大的形势下,欧盟面对数据博弈发挥了自身突出的市场优势以扩大自身数据跨境传输规则的国际影响力,欧盟贯彻“权利本位”数据治理观念直接导致欧美之间传统数据跨境传输机制失灵,也为新阶段数据跨境传输规则的建构扫清了道路。
二、发展:欧盟数据跨境传输规则的调整
欧美数据博弈并未消除现实中广泛存在的数据跨境传输需求,传输规则的确定则是引导数据跨境实践正常有序进行的必要途径。为此,欧盟委员会在2021年6月4日更新了标准合同条款,并宣布新条款自2021年9月27日生效。新条款作为获取欧盟单方许可的制度保障,在数据跨境传输规则中扮演着极为重要的角色,成为联通数据自由流动与权益保护的重要桥梁。标准合同条款制度起源于1995年《指令》,并在后续各类规则中得到保留,标准合同条款的应用是欧盟允许数据跨境传输的重要条件。标准合同条款将特定内容强制纳入数据转移双方签订的合同中,借此将抽象的法律规定转化为具体的合同义务,如强制要求双方就违约责任等事由予以规定等,以提高数据处理过程中的数据保护水平。标准合同条款相关规则的变更集中体现了欧盟对于数据跨境传输的态度,也影响着世界各国对数据跨境传输路径的选择。为实现标准合同条款的数据保护功能的强化,欧盟数据委员会于2021年9月18日发布了《关于确保符合欧盟个人数据保护水平的补充传输措施的建议》(简称《补充建议》)。虽然欧盟已于2023年7月通过对美欧数据隐私框架的充分性认定,但鉴于新规则配套措施尚未完善、美国做出的承诺也尚未完全落实,标准合同条款仍将在长时间内对欧美之间的数据博弈乃至全球范围内的数据跨境传输产生联动影响。
(一)主体性调整:标准合同条款的更新完善
最初版本的标准合同条款是根据1995年《指令》制定的,其于2004年和2010年经历过更新。2021年,欧盟委员会对标准合同条款进行了再次更新,本次更新实际上有着多重考虑。首先,对“数据保护专员案”作出回应,针对有关数据隐私保护的部分进行完善与优化。其次,欧盟数据法已经从《指令》迭代更新为《条例》。虽然《条例》较之于《数据保护指令》已有部分改动,但是二者在规则制定上仍然一脉相承,且《条例》仍在“数据跨境传输”一章中将标准合同条款涵盖其中。因此,为保持《条例》数据立法的体系性,需对标准合同条款予以更新,使其与《条例》的规范(尤其是“域外适用”的相关规则)匹配适应。最后,由于《隐私盾协议》失效,欧美数据跨境实践受到较大的影响,因此在达成新的数据传输多边协定之前,需要更新标准合同条款以应对当下数据传输的实际需求。当然,欧盟委员会也考虑了依据旧标准合同条款所签订的数据传输保护标准合同的效力问题,具体方案是给予这些合同以一定的过渡期,即在2022年12月27日前仍然保持有效。
虽然新标准合同条款仍继承了过往的“模块式”数据传输处理方式,但是对相关模块的种类及分类进行了重大更新。旧标准合同条款中存在两份单独的文件,分别对“个人信息从控制者到控制者的跨境传输”与“个人信息从控制者到处理者的跨境传输”两种情形进行规制。而新标准合同条款所提供的“模块”共有4种,模块一解决个人信息从控制者到控制者的跨境传输,模块二解决个人信息从控制者到处理者的跨境传输,模块三解决个人信息从处理者到子处理者的跨境传输,模块四处理个人信息从处理者到控制者的跨境传输,并且为了实现签署一个标准合同条款即可满足所有数据跨境传输需求的目的,4个模块均包含在一个文件之中。与此同时,新增的两种“模块”回应了“数据保护专员案”中的争议,《条例》第28条规定的规则也被纳入模块二和模块三之中,数据跨境传输的真空地带得到了进一步的填补。由于依据旧标准合同条款所签订的合同将于2022年12月27日后失效,为便利其迁移为新标准合同,因此欧盟委员会在新标准合同条款中规定,允许在旧标准合同中采取“补充文件”的模式以表达接受新标准合同条款约束的意思。但是,原有合同中的模块必须“适合”,即不属于新增的两种数据传输“模块”,否则便需重新订立相关协议。
为了提高对跨境传输数据的保护水平,新标准合同条款在对数据传输者的问责方面有了新的要求。从标准合同签订之时,数据传输者就必须持续证明其完全遵守了合同要求。同时,数据传输者将负担更多责任与义务,如当数据接受国的行政机关出示法律文件要求访问跨境传输的数据时,传输者有义务对法律文件进行合法性审查。此外,在收到的数据访问请求被通过时,需要及时对数据主体进行通知。另一个值得关注的变动是新规则中增加了“转让影响评估”的要求,即数据传输者在签订标准合同时需要主动评估接收数据的第三国的法律和实践做法是否会对数据传输标准合同的履行产生影响。该变动来源于“数据保护专员案”中欧盟法院的判决,其要求适用标准合同条款的企业需确保接受数据接收国有关“获取数据”的法律不会违反欧盟相关的数据隐私保护法律。也就是说,该规则的出现使得每一份新标准合同的签订,都转化为一次对第三国数据保护法律是否符合“充分性”要求的个案式审查。同时,欧盟法院也要求“若无法满足前述要求,标准合同则需要‘补充措施’予以完善”,《补充建议》也就应运而生。
(二)辅助性调整:《补充建议》的辅助作用发挥
《补充建议》分为两部分,第一部分提供了判断“符合欧盟个人数据保护水平”也就是“充分性”保护水平的具体评估标准。具体的指标为数据传输的情况、数据主体的性质和所涉个人数据数量、接收数据的第三国的法律和实践做法以及是否存在任何补充措施等。《补充建议》并非专为标准合同条款出台,实际上其适用对象为欧盟数据跨境传输行为,“充分性”保护规则与“约束性公司规则”传输路径也包括在内。因此,《补充建议》所提供的判断标准同样适用于另外两种传输途径。其中最关键的审查指标为“接收数据的第三国的法律和实践做法”,《补充建议》在此问题上首次提出在客观上考察第三国的数据保护法律水平的基础上,还要从主观层面考虑第三国违反欧盟数据保护的可能性,也就是考察第三国有关数据保护与数据调取行为的实践做法。对于第三国法律的评估标准为是否满足《欧洲基本保障》规定的要求,对于“实践做法”的评估则更为复杂,分为负面与正面两种评估模式。负面模式涉及评估第三国所确立的数据保护立法是否会在实践中得不到遵守。正面模式则是考察一些疑似“违背欧盟数据保护规则”的第三国法律是否在实践中具有执行于被传输数据的实际可能性,但这需要“由数据传输者的法定代表认可”的“详细报告”中的记录作为佐证。在对二者进行综合评价后,最终得到的认定标准并不是“非此即彼”的二元判断,即使对第三国法律与实践的评估结果不完全符合预定标准,也不代表会被判处“死刑”。若其足以提供“适当”的数据保护,那么只要通过使用“补充措施”的手段将数据保护水平拔高至欧盟标准,那么该国仍可以作为数据跨境传输的目的地。以上的评估程序十分繁琐,在现实情况下,被评估的第三国的法律和实践做法可能并不透明,评估的开展既需要调查者的努力,也需要当地法律专家与顾问的协助。因此,对第三国数据保护水平进行评估的代价十分高昂,若“标准合同”的签订都需要重复此过程,则欧盟行政机关与数据传输者将难以负担。
《补充建议》的第二部分为关于具体“补充措施”的内容。措施内容分为技术措施、合同措施与组织措施。受关注最多的是技术措施,其建议数据传输者可以使用加密、匿名化处理、化名处理和多管道传输等手段提升对传输数据的保护水平。合同措施指的是采取附加合同条款的模式,在标准合同中对数据传输者施加更多的义务(如提供第三国实践中调取数据的情况说明)进而提升数据保护水平。而组织措施则要求数据传输者调整其内部管理结构,优化数据跨境传输的程序,进而减少因程序操作不当而泄露数据隐私的风险。
新标准合同条款及《补充建议》都是欧盟在与美国的数据博弈中发展出的新规则,在传统数据跨境传输机制消亡的背景下鲜明地体现了欧盟对数据跨境传输安全的重视态度。此次规则革新是欧美数据博弈的直接后果,是欧盟与美国在数据跨境传输领域力量对比的集中体现,欧盟通过规则的变革展现出夺回本国市场、抢占规则制定权的野心,美国对此的未来反应也为欧美数据博弈增加了不确定因素。欧盟“权利本位”的数据治理价值观也借助“布鲁塞尔效应”不断发散,并通过传输规则的更新及问责规则的细化而得到弘扬,最终对全球范围内的数据跨境传输活动产生深远的影响。
三、效应:欧盟数据跨境传输新规对中国的二重性影响
美欧间的数据博弈导致欧美间数据跨境传输规则几经变更,同时带动了欧盟自身规则的调整,这不仅会给向美国传输数据的欧盟域内企业带来直接的阻碍,而且将会给其向其他国家传输数据的行为带来重大的影响。虽然中国不是《隐私盾协议》的参与国家,但是中国企业在欧盟的平台经济型科技公司中占比为18%,客观上存在与欧盟开展数据跨境传输合作的需求。同时,中国企业正经历着向海外迅速扩张的进程,在市场拓展过程中必然会产生海量数据跨境传输的需求。欧美数据传输合作过程中的数据博弈历时良久,其中价值冲突与对抗策略相互交织,新兴传输规则建构过程中的妥协、摩擦及对抗都将对我国产生复杂多元的影响。
(一)消极影响:中国企业数据跨境传输难度攀升
在“数据保护专员案”之后,欧盟委员会回应欧盟法院的判决理由,将适用于所有数据传输者的标准合同条款进行了升级,为数据跨境传输设置了更多的障碍。严格的新规则将大大提高涉欧盟数据跨境传输行为的难度,我国相关数据跨境传输路径的不畅将极大阻碍我国相关产业的发展,给互联网企业经营及数字经济发展带来负面的影响。
一方面,欧盟标准合同条款的更新完善也加大了企业适用该规则的难度,对企业进行数据跨境传输提出了难以达到的高要求。其具体表现如下:(1)新标准合同条款要求企业定期向欧盟行政机关报告该国数据隐私保护的立法动态与司法实践。由于我国的个人数据保护政策不如欧盟般严格,我国企业在我国本土处理数据时并未面临该类要求,因此数据跨境传输至欧盟域内标志着我国企业需要开拓新兴活动板块。我国目前对数据隐私的保护正处于蓬勃生长的阶段,大量规则与实践层出不穷,对上述情况的动态更新在消耗巨大成本的同时无法转换为企业的切实经济利益,企业向欧盟传输数据的经济效益便会大打折扣。(2)新标准合同条款提高了对数据传输者的问责水平,要求数据传输者证明其持续地遵守了合同约定,并要求其在每签订一份标准合同的同时都需要开展影响评估,预估第三国的法律规定及实践做法是否会影响合同履行。该规定虽然是对欧盟“权利本位”价值观念的贯彻落实,但是同样会给我国涉欧企业的经营带来负担,尤其是在当今企业面临大规模、高频次数据跨境传输业务的情况下,频繁的影响评估无疑有损我国企业的经营效率。(3)新标准合同条款及《补充建议》要求企业自己负担对数据接收国法律政策及实践进行考察的成本,我国企业在欧洲发展本就属于跳出“舒适圈”的行为而丧失主场优势,相较于在国内发展而言会面临因价值观念冲突、政策制度差异等因素共同导致的独特问题,在日常经营中本就需支付较高的成本以维持运转。标准合同条款中的严苛条件要求公司对数据接受国的数据保护规则及实践有充分的了解,对于法律规范、司法案例及通行做法的查明需要耗费大量人力物力,这无疑使得我国企业的运行成本进一步增加。
另一方面,有学者主张,“数据保护专员案”之后,欧盟数据跨境传输规则过于严苛,许多有数据传输需求的主体甚至已经开始考虑将数据本地化储存与处理作为替代解决方案,他们将这种现象称为“软数据本地化”。软数据本地化是《隐私盾协议》失效后数据控制者与处理者采取的无奈之举,在欧盟预留的数据跨境传输空间极其狭窄的前提下,为防止遭受巨额罚款、降低成本,我国只能选择避免数据跨境传输而将数据在欧盟本土进行存储分析,以打消欧盟对境外主体个人数据保护水平的疑虑。
欧盟规则变革所造成的“软数据本地化”结果凭借欧盟广阔的数据产业市场得到域外企业的接受,实质上是将“权利本位”的治理价值观念强加给域外主体,重塑了域内市场中的数据治理格局。若“软数据本地化”的趋势已不可逆转,我国企业为占据欧盟的广阔市场,同时在欧盟法律框架下从事数据处理及传输行为,则将不得不在欧盟域内设立数据存储、处理中心,而这将消耗企业巨大的行政精力与经济资源。例如,我国企业可能需要在基础设施建设、数据处理等方面寻求与当地企业合作,同时在特定领域还要申请当地政府作出行政审批等,与数据在虚拟空间借助信息技术实现的跨境传输相比这无疑需要投入更高的成本,如基础设施建设、场地租金及管理成本,成为我国企业“走出去”的障碍。除增加投入成本外,在欧盟进行数据处理的效率能否与本土数据中心相提并论则不得而知。欧盟本地的数据处理习惯、处理水平是否契合我国企业的需求也无从得知,欧美数据博弈的进程势必影响欧盟对数据处理的宏观态度及微观政策。总之,“软数据本地化”趋势下的我国企业赴欧发展数字经济将面临制度壁垒,在欧盟本土进行储存分析以绕开壁垒的行为也易导致经营成本提高及数据处理效率下降,来自企业外部的不确定性风险也将大幅增长。
总之,此次规则调整中诸如此类给企业带来的负面影响不胜枚举,并不局限于以上两个方面。显然,在这次欧美之间的数据博弈后,我国涉欧企业也无法独善其身,若继续使用标准合同条款规则则表明我国企业需要承担一系列超高标准的数据保护义务,若放弃传统数据跨境传输机制而顺应“软数据本地化”趋势则代表我国企业需要完全受制于欧盟规则。就总体而言,我国企业将因欧盟规则的变革而面临两难境地,其数据的跨境传输将会受到极大的阻碍。
(二)积极影响:促使中国有效应对传输机制调整
欧美数据博弈所带来的余波效应已经辐射到参与双方以外的其他国家。鉴于数据跨境传输的需求将持续客观存在,各国在欧美数据博弈过程中进一步认识到数据跨境传输过程中的数据安全问题的严重性和隐秘性。为加强跨国数据合作,大多数国家也倾向于采取更高水准的保护措施以避免成为全球个人数据保护洼地,进而影响其经济发展及技术进步。因而在后《隐私盾协议》时代,欧盟所采取的更严格的数据跨境传输模式在很大程度上会被更多的国家考虑与借鉴。
一方面,在数据跨境传输需要考察数据接收国法律保护水平和实践的时代潮流之下,中国无疑需要进行自身数据安全立法体系的完善与优化以融入数据跨境传输的全球规则体系。由于双边或多边数据传输协议保护力不足的弊端已暴露无遗,因此中国较难仅依靠此路径弥合数据跨境传输中的冲突。中国需要提高自身法律对于数据安全和隐私的保护水平,至少达到超越国际主流立法水平的程度,进而满足如《条例》之类的数据立法所要求的“充分性”保护水平,最终帮助我国“出海”企业减少其在数据跨境传输上的阻碍。例如,我国于2023年6月开始实行的《个人信息出境标准合同办法》便是对国际数据跨境传输规则调整的积极回应。该办法采取与欧盟类似的做法,强制合同双方事先约定权利义务等特定内容,确保个人信息在跨境过程中得到充分保护,客观上提升了我国在数据跨境传输过程中的保护水平。此种数据立法水平的提升在一定程度上虽有“为形势所迫”的被动感,但从结果来看,提升数据隐私安全保护水平是遵循我国所强调的尊重基本人权的价值路线的举措,对利用外界助力来促进国内数据安全立法水平的提升具有积极的意义,中国应以积极的态度去面对该问题并切实提升对公民数据隐私安全的保护水平。
另一方面,具有数据跨境传输需求的企业也将在日常经营活动中直面欧盟新规则的冲击,并在“布鲁塞尔效应”的影响下被迫对其所控制的数据承担更重的责任。从短期来看,这无疑增加了我国企业处理数据的成本并影响企业的效益。欧美数据跨境传输规则的变化表明欧盟对待数据跨境的严格态度占据主导地位,其中的国家安全等因素也将受到更多国家的重视。从长期来看,一旦我国企业适应了欧盟新设立的高标准规则,就能从容应对其他地区的数据跨境传输规则要求,从而在各国规则竞争下占据优势地位,进一步拓展海外市场。
总之,欧美数据博弈及其带来的变化既是约束我国企业行为且牵制我国规则制定的枷锁,也是倒逼我国规则制定及企业经营实践不断与国际高标准要求接轨的强大动力。若我国能正视数据博弈背后客观存在的价值冲突并积极应对,则可将其转化为我国完善数据跨境流动机制的重要机遇。
四、回应:欧盟数据跨境传输规则调整之下的中国因应
在大国间数据博弈加剧的时代背景下,国际数据跨境传输的生态发生了剧变,中国作为全球化贸易的参与者、数字科技高度发达的经济体和人类命运共同体价值观的倡导者,有必要也有责任在这个旧规则被打破但新秩序尚未建立的时代背景下,积极地应对数据跨境传输规则变革所带来的挑战,在更好地维护中国利益的同时,为建立国际数据跨境传输秩序贡献中国方案。具体来说,在内部要明确自身数据跨境传输制度建设的整体方向,而在外部则需要积极发挥国际影响力以探索更多的数据跨境传输模式。只有既重视自身数据跨境传输制度的构建以强化自身的应变能力,又积极参与国际数据跨境传输制度构建并力争掌握规则制定话语权,才能为我国参与全球数字经济合作创造安全稳定的环境,在欧美数据博弈加剧的背景下寻求我国企业与境外进行数据跨境传输合作的可能空间。
(一)理念指引:重塑数据跨境流动价值取向
欧美双方在数据治理价值取向问题上各执一端,使得双边数据跨境传输规则从产生之日起便生长于“权利”与“利益”的夹缝之中,在双方不断妥协中承受着双重压力,数据跨境传输涉及的国家主权等问题进一步加大了这种压力。21世纪初,有学者在“商品价值链”理论的基础上阐发了“全球价值链”理论,旨在分析全球化背景下的产业联系问题并强调企业融入全球价值链的重要性。欧美之间的博弈冲突便产生于数据全球价值链构成的不平衡性,双方在权利与安全的天平上不断争执,全球日益紧密的经济联系导致价值链的影响不断扩张,诸多国家都因深度参与该价值链而受到欧美数据博弈的影响,在不断转变的数据跨境传输秩序中横遭挑战。就我国而言,既然面临挑战就要积极应对。
在总体价值取向上,我国一贯秉持“人类命运共同体”理念参与全球治理,网络空间命运共同体则是“人类命运共同体”在网络空间的具体体现。我国应以主动姿态应对数据跨境传输机制变革带来的挑战,以融合性价值取向来缓解冲突。面对欧美双方的争端,我国应另辟蹊径,在权利保护与经济效益之上寻求共同的价值追求,巧妙运用数据的客观属性来缓解该类冲突,争取在相异的价值取向中寻求共性。欧美双方迥异的数据治理观念及实践难以谋求共识,但仍旧以数据为共同治理原点,数据的客观属性便是双方达成一致的最大公约数,数据的虚拟性及传输便捷性使得数据发挥影响的地域边界非常模糊,这种客观属性恰好能佐证数据治理的全球特征。如数据传播迅速的特征既可作为价值发挥的重要条件,又是权利侵害的重要诱因,而数据传播速度过快或过慢都不符合欧美任何一方的价值需求,故应聚焦于对传播过程的适度规制以实现双方共同利益的最大化。安全与效益并非数据产生之初便天然敌对的对抗价值,仅在过于偏重一方时才会因价值失调产生纠纷。在科技高度发达的当下,互联网中各行为体命运与共的存在方式已然构成一个网络空间命运共同体,该理念关乎全人类福祉,必将得到国际社会愈加广泛的认可。我国应在该理念的指引下摒弃各自为政、以邻为壑的传统思维,倡导各国以促进合作为主要目标,以数据价值的安全高效发挥为价值导向构建数据跨境流动机制。我国应以“促成合作”的积极态度弥合欧美双方的价值鸿沟,重塑“权利价值依市场而发挥,市场效益靠权利来保障”的融合性价值新取向,将我国数据治理的基本立场推向世界。一方面,充分认识到数据无序流动对个人权利及国家安全的影响,过分自由的数据流动会将个人安定的生活秩序、国家数据安全置于险境;另一方面,把握数据跨境传输日益广泛的国际趋势,在认同数据跨境流动价值的基础上警惕数据治理中的过度保守化倾向,在安全与利益价值之上通过具体制度设计构建符合人类整体利益的价值原则。
在具体制度的构建上,我国可借助制度工具绑定数据的固有特征,将数据治理的价值取向寓于对数据本身的性质认可之中,从而以客观共识消弭主观差异。融合性价值取向以合作为主要表现形式,兼顾权利保护与效益发挥,但该价值取向归根到底是一种宏观思路及基本主张,还需具体制度支撑以消除各国对数据跨境传输活动的不信任。融合性价值取向以衡平性为主要特征,针对数据的客观属性进行具体制度构建,在最大程度上基于各国对数据的客观认知取得各方共识。例如,为解决欧盟等主体因“权利本位”价值取向而对其他国家侵犯数据主体权利的过度担忧,可以通过数据分类分级等制度约束对方行为从而解决该问题。数据的分类分级是开展数据安全治理的起始点,在数据主权国际竞争加剧的态势下更具重要意义。可在建立数据跨境传输规则的同时对规则加以细化,植入数据分类分级制度,依据数据的客观属性基于敏感度和数量来对不同数据进行差别规定,确保与个人权利紧密相关的数据得到高度重视与严格保护,同时对一般商业性数据进行“松绑”以确保数据在流通中创造经济价值。如此,便可在促进合作的治理目标上实现数据价值的安全高效发挥,在激烈的价值纷争中寻求广泛共识。除此之外,我国也应在数据跨境传输中大力推广融合性价值取向,将数据的安全高效利用作为规则制定主线,利用数据分类分级、“白名单”等制度工具贯彻这一价值主张,具体地分析解决不同国家间的数据治理价值观念争端。在“人类命运共同体”与“网络空间命运共同体”理念的指引下,我国应积极主动争取规则制定主动权,以融合性价值取向构建数据跨境流动机制,在避免被欧美价值之争掣肘的同时凝聚多方共识进行制度构建。
(二)内部突破:完善国内数据跨境传输制度
中国目前属于持“硬数据本地化”立场的国家之一,不可否认的是“数据本地化”是在全球信息技术水平严重不平衡的背景下保护国家数据资源免遭海量流失的一种合理手段,但也必须承认过度强调“数据本地化”会为数字经济的国际贸易设置一定的障碍。
我国目前尚未形成一套完整的数据跨境流动规则体系,我国相关行业的发展也掣肘于“数据本地化”立场,从维护国家利益的立场出发,我国不应该选择此种一刀切的做法。可行的路径是在基于国家数据安全的“数字本地化”原则的基础上,找到数据安全与数据流通效率间的平衡点,建立一套完整的、具有实践性的数据流通机制。若要建立一套既安全又高效的数据跨境传输机制,则在痛点上进行改进实属必要,具体可从抽象原则设计与具体规则建构两个方面入手调整。
在原则层面,我国可在“硬数据本地化”原则的基础上进行一定的灵活处理,以应对欧美数据博弈带来的规则严格化倾向,同时回应新兴数据跨境传输机制的新要求。在我国企业掌握海量数据的背景下,我国应当对数据跨境传输采取相对开放的态度,意识到海量数据在传输处理过程中能带来的巨大经济利益及竞争优势。我国应从国家整体利益的维度思考“数据本地化”与“数据流通”的界限,但无论选择分界点于何处,都有必要将其透明化并明确告知相关从业者可以进行跨境传输和无法进行跨境传输的数据类型。我国目前在“总体国家安全观”指引下十分重视数据主权及数据安全的维护,固然是在波谲云诡的国际数据跨境流动形势之下的应变之策,但也应不断进行开拓创新。应当在保持法律确定性的前提下进行调整,从法律层面矫正严格“数据本地化”的价值取向,可在相关规范的制定目的、基本原则等方面进行修改,在维护国家安全的基本底线基础上阐明对数据跨境传输的积极态度。具体而言,可在《中华人民共和国数据安全法》(以下简称《数据安全法》)等法律中进行上述改进,以“网络空间命运共同体”理念为基础,在充分考量国家安全等重要利益的前提下放宽数据跨境传输的条件,并以此指引具体制度构建并提振我国企业对外开拓市场的信心,消除欧美数据博弈给我国企业“走出去”造成的负面影响。在维护国家安全的基本立场之下,应当为某些数据跨境传输行为创造便利,对数据跨境采取区别管制的态度,如应鼓励强商业性的数据进行跨境流动以推动我国相关企业的发展,同时对有关国家秘密、个人隐私的数据跨境流动附加较高标准的要求,通过原则的松动来实现数据跨境规则制定的精细化。
在规则层面,也要在原则的指引下构建一套中国独有的数据跨境传输制度,否则便会因企业在事实上接受欧美规则而丧失规则制定主动权,进而影响我国对数据的控制。一方面,应当对现有规则进行完善,我国目前已经看到数据跨境传输的现实需求及其对经济发展和国家安全的双重影响,并已针对数据跨境传输进行了初步制度设计,试图通过《数据安全法》及《数据出境安全评估办法》等将数据跨境纳入法治轨道中。然而,欧盟国际数据跨境传输机制的变革正引领规则严格化的新浪潮,我国也应就该变化进行研判并予以应对。我国应加快对现有制度的完善,借助国内规则来抵御国际规则变革带来的风险。以安全评估制度为例,目前《数据出境安全评估办法》已对数据跨境传输的安全审查问题作出规定,但后续仍要针对数据跨境传输的“安全评估”机制的评估主体、评估程序和评估标准等问题进行明确的表达,必要时出台相应专项规定,为相关部门履职及法律实践提供切实的指引。如此方能消除法律的不确定性,进而减少将来在数据传输问题上因立法模糊而造成的法律纠纷。另一方面,面对欧美数据博弈的发展,我国也应顺势而为,不断对具体规则进行更新,才能推出一套行之有效的数据跨境传输制度。全球化背景下的数据跨境流动并非全由一国国内立法主导,还牵涉双边及多边协商所形成的规则制度。这也表明我国在数据跨境传输制度构建中应积极考察域外规则,避免闭门造车而落后于国际实践。数据跨境实践受到各国政策及技术水平等因素的综合影响,又反作用于数据跨境传输规则的构建及实施,我国应密切关注全球主要国家对数据跨境的态度风向转变,在坚守自己立场的基础上为企业进军海外市场提供规则保障,如应采取构建新规则、变革现有规则等方式适时对新兴违规传输行为予以制裁、借助新兴技术保障数据跨境传输安全,以稳固我国的国际地位并促进国内外数据市场的合规稳定运行。
就总体而言,在中国加强企业海外布局的前提下,我们的视角必须超越欧盟范围而放眼全球,既以欧盟规则革新为问题分析的出发点,又要考虑我国与其他国家进行数据跨境传输过程中出现的法律风险及潜在矛盾。欧美数据博弈的直接动力是利益冲突,利益冲突的背后则是双方面对数据跨境传输选取的不同价值取向。由欧盟所带动的高标准数据保护立法以及严格数据跨境传输规则的风潮将使得欧美间数据博弈的剧情不断在地球其他角落重演,我国企业在从事数据跨境传输中面临的各国价值层面的冲突及规则层面的差异都需要我国采取措施来予以弥合,在全面推进依法治国的时代背景下,在原则及规则层面共同发力实现数据跨境传输法治化亦属必要。面对欧美数据博弈引发的数据跨境传输规则变革,提出“人类命运共同体”价值目标的中国不可能走上美国“监控全球”、肆意侵犯数据权利及利用“数据安全”借口打压他国企业的道路,而必将以积极合作的态度应对数据跨境传输困境。在我国数字经济规模名列前茅的形势下,面临以欧美为代表的多方价值冲突所带来的规则变革,我国应在激烈的国际数据博弈中寻求价值共识并融入我国特色需求,以“网络空间命运共同体”为指导进行立法的价值取向锚定及基本原则建构,同时面向全球实现国内规则的细化及更新,为数据跨境传输实践提供坚实的规则支撑。
(三)外部联动:共建国际数据传输合作机制
欧美数据跨境传输规则的反复变更使双边数据跨境传输协议模式的稳定性遭受了重大的打击,采取双边路径规制数据跨境传输的做法也受到广泛质疑。欧美之间双边协议失效的重要原因之一是欧盟缺少对美国的政治信任。这种政治猜忌在国际社会中屡见不鲜,以国家利益为基础的国际关系在面对数据博弈时往往趋向保守,各国出于维护数据主权及国家安全的考虑而阻碍数据跨境传输,最终不利于国际社会的共同繁荣。数据跨境传输在本质上是多国在权衡数据安全及经济效益之后作出的选择,我国也应在“人类命运共同体”及“网络空间命运共同体”的理念指引下寻求域外合作,一方面积极寻求双边数据跨境传输协议的达成,另一方面也着力构建多边数据传输合作对话机制。
鉴于美国在国际社会中“劣迹斑斑”的形象,其承诺的可信度十分令人怀疑,国际形象恶化及其一贯的失信行为加剧了其与欧盟合作关系的破裂。然而,中国在此方面却具有优势——对外交往恪守国际法原则,与大多数国家均保持友好的关系,具有极高的国际信誉。如此,我国与其他国家构建数据跨境传输合作机制具有现实条件及优势。我国应当秉持负责任的大国态度,利用良好的国际影响力促进数据跨境传输国际新秩序的构建,不仅为我国企业在域外开疆拓土营造环境,而且为世界经济的发展繁荣贡献中国智慧。
在双边协议层面,我国可优先选择与我国具有较高政治互信度和经贸关系联结的国家进行数据跨境传输的合作尝试,不仅面临的政治阻力较小,也可以在全球范围内为我国企业制造数据跨境传输的规则缓冲带。例如,中国可选择优先与参与“一带一路”建设的国家开展合作。由于我国与这些国家在投资、能源等领域已经有一定的合作基础,因此与之在数据传输领域进行合作及对话从效率与深度上分析都将具有一定的优势,相关国家可以成为我国积极签订双边数据跨境传输协议的突破口,还可以起到减弱欧美规则不确定性消极影响的作用。同时也要注意不应操之过急,应切实考虑双方在制度需求、经济发展水平等方面的现实差异,应在数据跨境传输的内容及机制便利化层面逐步放开,先从具备较纯粹经济属性的数据入手进行传输机制的初步简化,在双方取得高度互信后再达成补充协议进行深度合作,持续为数据跨境传输营造安全高效的制度环境。进一步而言,我国在进行国际数据传输合作时,并不想复刻一个中国版《隐私盾协议》,即使国际社会普遍认可《隐私盾协议》破裂的主要原因是美国未能信守其“充分保护传输数据”的承诺,但我们同时也可从中看到该模式自身约束力不足的缺点并应从中吸取教训。我国在与其他国家进行双边协议谈判时应当接受对方与我国在价值取向及治理理念等方面存在的区别,一方面应在双方友好协商并互相礼让的基础上消除价值鸿沟。欧美之间数据治理价值观念的冲突并非个例,我国在进行双边规则构建的过程中也必将面临来自不同国家的多元价值冲击,此时就应当考量双方对数据的持有量、保护力度等因素综合进行制度设计,借助共同利益规避价值冲突。另一方面,还要通过监督机制的构建确保协议的实际履行,汲取《隐私盾协议》难以实施的经验教训,通过对双方行为的实时监督为双方开展合作树立信心,一旦发现制度运行漏洞就应及时采取止损措施以维护双方利益。具体而言,双方可分别设立监督机构,共同监督协议的执行,在发现一方违约时积极沟通反馈,确保履约机制正常运作。我国应以大量双边条约的签署为我国企业域外发展提供多样化选择,并以我国独特的数据治理理念在欧美数据博弈引发的国际浪潮中坚守底线。
在多边协议层面,我国更应当以构建多边数据跨境传输协议为重要目标,在区域甚至全球范围内为数据跨境传输提供统一可靠的制度指引,避免类似《隐私盾协议》失效的事件反复发生而导致的规则不确定性。数据跨境传输若仅依赖双边规则便会面临效率过低的困境,多边国际治理方案则可依靠多方力量保障执行,理应受到重视。然而,多边规则的构建需要更多参与方达成一致,面临的价值冲突也更加多元复杂,协议的达成亦需要更广范围的共识与更大程度的妥协,协议的达成难度也随之增加。我国应以双边协议为基础,在磋商的过程中寻求各方共识,对各方利益冲突进行归纳分析,在国家主权、个人隐私及经济利益等各国共同关切问题上采取渐进路径创新出一套相对衡平的数据跨境传输机制。鉴于数据的虚拟性及传播的便利性,我国需建立一个超越地理区域范畴的多边跨境传输机制,从融合性价值理念入手,首先确定安全、效率等数据跨境传输基本原则,然后对数据跨境传输机制的适用范围、运作机制及纠纷解决等内容进行详细规定。我国应设计逻辑自洽、有序运行的国际数据跨境传输框架,吸引越来越多具有数据跨境传输需求的国家加入其中,助力“网络空间人类命运共同体”的构建。多边数据跨境传输协议的签订不仅需要我国具备较强的国际号召力,而且依赖安全的数据传输技术及监管措施,我国在这些方面的努力是多边协议得以签订的重要前提。
数据传输规则并不存在唯一范式,中国应在此过程中进行更多的探索与尝试,对于文化、经济和数字技术水平各不相同的国家而言,如何恰当地协调数据跨境传输的矛盾是开展合作的关键命题。在欧美数据跨境传输规则充斥不确定性的背景下,国际数据传输的稳定秩序亟待建立,中国应抓住此契机以建立由己主导、行之有效的数据跨境传输模式,进而将中国数据治理的经验推广于全球,提升中国的国际影响力。
注:编辑时隐去了注释,原文可于中国知网和法商研究编辑部官网http://fsyj.zuel.edu.cn下载。