雷名洋 孙玉荣|跨境数据流动的法律规制研究——以数据权利保护为视角
北京工业大学文法学部法律硕士研究生
孙玉荣北京工业大学文法学部教授,硕士研究生导师
要目
引言一、跨境数据流动概述二、国内外立法对比三、数据出境限制原因四、我国跨境数据流动法律规制的问题与未来选择结语从数据权利保护视角来研究跨境数据流动的法律规制问题,对国内立法进行梳理,考察域外立法现状,探究限制数据跨境流动的原因,分析既存问题,提出应对策略,以期更好地保护个人数据和企业数据,保障国家数据安全。我国有关数据的专门性立法尚待完善,缺乏参与制定有关国际规则的契机,话语权有待提升。建议加快数据专门立法进程,对数据本土保护及数据跨境流动予以同等重视,积极寻求国际合作,参与国际规则的制定,在尊重数据主权的基础上实现数据共享,为跨境服务贸易企业提供应有的数据传输便利,促进我国数字经济和服务贸易的繁荣发展。
引言
当今社会,数据已成为一种全新的生产要素,数据权属问题研究是完善数据权利保护制度的出发点和基石,是实现从一个数据大国向数据强国转变的重要课题。数据安全问题不仅与公民个人权益密切相关,还影响到国家安全,事关公众利益。个人数据的使用需个体的知情、同意和授权,数据处理者不得侵犯个体的人格利益。同时,不能仅仅为了保护自然人的权益,无限度地扩张自然人对个人数据的权利边界,从而妨害数据的流动、分享与利用。国家作为最大的个人信息收集、处理、储存和利用者,保护数据权利的同时,要注重保护国家安全与国家利益,对数据流动施加一定限制。限于篇幅,本文重点研究跨境数据流动的法律规制问题,以数据权利保护为视角。
一、跨境数据流动概述
何为跨境数据流动?20世纪70年代,经济合作与发展组织在《跨境数据流动宣言》中首次对跨境数据流动作了法律解释,即“国际领域计算机化数据或信息的流动”,我国学者对跨境数据流动的表述与此基本一致,认为跨境数据流动是数据通过计算机通信系统跨越边境的运动。当然也有学者认为“跨境”应为跨法域,譬如我国即为多法域国家,内地与港澳台数据监管模式不同,但总的来说,一国之内的数据流动监管通常比国家之间的简单,因此本文采取“跨国界”这一更广泛的定义。从数量上讲,跨境流动的数据主要是有关个体信息的数据。因此,大多数学者将“跨境数据流动”等同于“跨境个人数据流动”,但从宏观治理层面来看,在医疗、政务,科学技术等领域的非个人数据,同等重要,研究各类数据有助于全面了解跨境数据流动。
全球跨境数据流动的监管已有30多年,并已演变为以欧盟和美国为首的两个监管体系。欧盟侧重于事前保护,维持较高水平的数据权利保护。以美国为首的监管体系主张事后追责、行业自律,强调数据的自由流动。这两个系统不仅相互竞争,而且达到部分折中融合。在这两套规制体系外,很多国家往往以分散的、单边的方式对跨境数据流动实施规制。
据不完全统计,全球越来越多的国家和地区提出了数据监管要求。针对跨境数据流动的法律规制,其重要性可见一斑。作为网络安全法的配套措施,我国正在研究制定数据出境安全评估相关规范性文件,并已公开征询公众意见,例如《信息安全技术数据出境安全评估指南》和《个人信息和重要数据出境安全评估办法》。《信息安全技术个人信息安全影响评估指南》已于2020年11月19日发布,将于2021年6月1日实施。笔者认为,相关的法律法规应当尽快回应数据出境的需求,在严格评估之后,让该出去的数据出去,该留在国内的数据留下来。
二、国内外立法对比
2012年12月28日,我国通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》。该决定不仅确立了“能够使公民被识别并影响其私人生活的电子信息”的保护,而且还确立了网络服务提供商及其他公司、实体在个人数据保护方面的义务,为我国的数据立法奠定了一定的基础,但其对数据的保护仅限于境内,对数据的跨境流动并未做详细规定。
2015年7月1日,国家安全法开始实施。该法第2章“维护国家安全的任务”中提到了国防、金融、经济、能源资源、粮食安全、文化、网络安全、科技、宗教等方面。同时,该法第25条规定,国家建设网络和信息安全系统,提高网络和信息安全保护水平。这说明我国对个人信息及重要数据有了一定的重视。“数据安全可控”的目标,亦体现了国家对保护数据安全、网络主权的信心与决心。
2017年6月1日,网络安全法开始实施。该法可以认为是对国家安全法第25条的扩展和延伸。该法旨在保护网络安全,维护数据主权和国家安全,并在网络运行安全一章中设置了“关键信息基础设施的业务安全”部分。涉及数据跨境的主要是第37条:数据流动需信息安全风险评估;但是在该法中,对“关键信息基础设施”的定义又较为模糊,同时强调优先保护国家安全、经济民生和公共利益相关的数据。重要信息基础设施的具体范围和安全保护措施,由国务院规定,本条没有对关键信息基础设施的具体范围进行列举,而是对其特征予以形容。相关的安全保护办法也没有提出,而是交由国务院进一步研究制定。
除上述法律以外,国家新闻出版广电总局与工信部于2016年共同颁布施行的《网络出版服务管理规定》(下称《规定》)中亦有关于数据跨境的相关规制。《规定》第8条中提道:相关服务器和存储设备必须存放在我国境内。此外,交通部、工业和信息化部、商务部等六部门联合颁布的《网络预约出租汽车经营服务管理暂行办法》也有类似规定。这两个部门规章皆在网络安全法出台前业已颁布,而网络安全法的出台,将数据保护方式从个别推向了一般。通过从部门规章到法律的升级,保护的效力级别大大提升。如此,凡是关键信息基础设施提供的,符合条件的个人信息和重要数据的跨境都会受到一定的限制,这种限制不再局限于国家秘密,也不再局限于部分行业。网络安全法的出台,其效力之大,影响之广,由此可窥。
2020年10月正式施行的《信息安全技术个人信息安全规范》(下称“《个人信息安全规范》”)定义了数据处理主体收集、存储、使用、交换个人信息的合规性要求,并指明了数据处理主体应制定隐私协议的大体方向。其中规定:在我国境内收集的个人信息向国外提供的,数据处理主体应当向主管当局申请安全评估。第9条第8款规定了个人信息的跨境传输,与其他法律、规定相衔接,才能真正发挥该条款的作用。
如前所述,我国已经对数据跨境流动实施了一些限制,但一些概念(如关键信息基础设施和数据安全级别评估)尚未明确定义。如果要切实执行网络安全法第38条的规定,真正达到维护我国数据主权和数据安全的目的,又不影响跨境数据的正常流动,相关配套措施需要被提上日程。
(1)《个人信息与重要数据出境安全评估办法(征求意见稿)》
2017年4月11日,国家互联网信息办公室(下称“网信办”)发布了《个人信息与重要数据出境安全评估办法(征求意见稿)》(下称“《评估办法》”),将负责数据出口安全评估的主体从关键信息基础设施运营商扩展到所有网络运营商。对个人信息、重要数据、网络运营者等概念进行了规范,并对数据出境的评估程序、评估标准、评估频率、评估主体等予以较为详细的规定。作为网络安全法出台后首次公开征求意见的配套办法,《评估办法》回应了网络安全法中规定较为模糊的“个人信息”与“重要数据”的问题,未来出台将会对网络安全法起到一定的补充作用。
(2)《信息安全技术数据出境安全评估指南》
2017年5月27日,全国信息安全标准化技术委员会发布了《信息安全技术数据出境安全评估指南(征求意见稿)》(第一稿)。该指南作为网络安全法的又一配套措施,着力于填补前述《评估办法》中的空白领域:
一是数据出境的评估流程。评估工作流程分为几个重要步骤,包括评估启动,数据出境计划,出境计划的合法性和风险性评估,评估报告的形成、审核与更正。
二是评估数据出境计划时的要点。该指南着重评估合法正当性和风险可控性,并对二者的具体要求加以阐释。其中,“风险控制”要求全面考虑数据属性以及数据跨境流动时发生安全事件的可能性。
三是对“重要数据”的解释。指南附录A中指出,重要数据是指出于维护国家安全、经济发展利益与公共利益的目的与国家机密无关但紧密相关的政府,企业和个人的数据(包括原始数据和派生数据)。这些数据关系到政治安全、经济利益与公共秩序。除此之外,还列举了如石油天然气、煤炭、电力等27个行业的重要数据以供各主管部门参考。
四是细化规定数据出境情形。该指南将数据的输出限制为“电子形式”,并且不包括两个情况:其一,如果在中国未更改或处理数据,仅仅是经过中国,不属于数据出口;其二,包括网络运营商在内的数据处理主体应依法披露出境的数据。
2017年8月30日,全国信息安全标准化技术委员会再次发布了《信息安全技术数据出境安全评估指南(征求意见稿)》(第二稿)。与初稿相比,第二稿主要有以下几个特点:一是对“境内运营”概念的补充,国内经营增加了“未在中华人民共和国境内注册,但在中华人民共和国境内开展业务或提供产品、服务的网络经营者”的数量;二是对“重要数据”的补充说明,政府主动信息公开的数据不再被视为重要数据;三是对“数据出境”概念的补充,添加了三种类型的数据出境,同时排除了两种不属于数据出境的情况;四是对评估流程地再分类。《评估指南》(第二稿)中的评估责任主体、评估启动流程、评估要点与第一稿有所不同。数据出境安全评估流程上首先是评估数据出境目的,继而评估数据出境的合法性、正当性和必要性,即安全风险评估。按评估主体划分,有安全自主评估和主管部门评估两种类型。
(1)通用数据保护条例(下称“GDPR”)
2016年4月,欧盟GDPR出台,但欧盟给了企业两年的缓冲时间,故而2018年,该条例才正式开始生效。GDPR制定了在处理个人数据方面保护自然人的规则,以及与个人数据自由流动有关的规则,旨在加强对欧盟成员国居民的个人数据的保护,遏制个人数据的滥用。GDPR适用于欧盟成员国,而英国尽管脱离欧盟,但其亦批准了GDPR在英国的实施。GDPR的出台,代替了1995年的数据保护指令,被誉为“史上最严”的个人数据保护条例。
GDPR管辖之地域范围
依GDPR第3条“地域范围”之规定:“本法适用于设立在欧盟内的控制者或处理者对个人数据的处理,无论其处理行为是否发生在欧盟内...适用于设立在欧盟之外,但依据国际公法、欧盟成员国法律可适用的的控制者对个人数据的处理。”
GDPR的地域管辖范围非常大,总的来说,只要是企业控制、处理、监控的数据涉及欧盟成员国的个人数据,即使该企业并未在欧盟成员国注册,主要办公地点也不在欧盟成员国境内,也要受到GDPR的规制。
GDPR与跨境数据流动
关于数据的跨境流动,GDPR专门设置了“个人数据向第三国或者国际组织传输”的章节。其要求“任何正在处理中的个人数据的转让,或在转往第三国或国际组织后拟处理的个人数据的转让,只有在符合本规例其他条文的规定下,才可进行转让。”
除了对数据有足够保护的欧洲委员会已确定的第三国或某一地区或国际组织,欧洲委员会都要对第三国或国际组织的保护力度进行评估,具体包括:第三国或有关国际组织已做出的国际承诺,或法律上具有约束力的公约或文书所产生的其他义务,以及其参与的多边或区域制度,特别是与保护个人数据有关的规定。
在数据立法越来越重要的今天,欧盟GDPR无疑为世界各国带来了新的启示和实践经验,其对个人数据的保护之严苛,彰显了欧盟对个人数据价值的认可与尊重。
(2)欧盟非个人数据自由流动条例(下称RFFND)
2018年10月4日,欧洲议会批准了非个人数据自由流动条例。该条例已于2019年5月生效。在该条例中,非个人数据被定义为“与人无关的,机器生产、销售所产生的数据”。该条例的制定意旨在于:(1)与2018年5月通过的GDPR形成互补,共同完善欧盟境内的数据立法;(2)进一步消除欧盟成员国内的数据流动壁垒,消除数据本地化限制;(3)促进欧盟数据经济的发展,提高数据流通的效率。条例生效后,此数据可以在欧盟成员国内部因监管需要而自由流动,并且成员国政府和机构可以访 问在欧盟成员国内部存储和处理的非个人数据。
与GDPR不同的是,RFFND旨在通过消除数据流动壁垒,达到促进欧洲数字经济发展的目的,本质上来看,其立法目的更接近于CCPA,即以商业、经济目的为主。然而,根据GDPR与RFFND的规定,无论是个人数据、还是非个人数据,在欧盟成员国境内的流动都会非常便利。当然,欧盟本身就是一个凝聚力极强的政治经济区域性组织,部分国家的经济主权,如货币、外贸等已经交给欧盟组织,故而欧盟境内数据自由流动,确实不出世人所料。随着全球化的进一步发展,国家与国家、国家与国际组织、国际组织与国际组织之间的关系将越来越密切,对于我国而言,在注重保护数据主权、数据安全的前提之下,也需要肯定数据本身带来的经济价值。在数字经济飞速发展的今天,数据的跨境自由流动会给世界各国带来各种各样的便利。如何在保护数据主权与促进数字经济发展之间找到平衡,是我国数据立法需要着重考量的议题。
(1)美国澄清域外数据合法使用法案(下称“云幕法案”)
2018年3月,美国通过了澄清域外数据合法使用法案。该法的通过与2013年的微软数据隐私案有一定关联。在这种情况下,美国政府需要微软的爱尔兰分公司提供数据信息,而微软则坚持“数据存储位置标准”,理由是美国境内的搜查令不涵盖爱尔兰。另一方面,美国政府认为,美国的执法人员没有必要去爱尔兰执行搜查令。实际上,这一法案的颁布,是为了修改1986年的美国存储通讯法,因为当时的法案已经无法满足当下的要求。
云幕法案的重点在于授权美国与符合条件的国家签订双边数据共享协议。在签订双边数据共享协议之后,并在获得法院搜查令后,美国的执法机构可以获取由美国服务提供商存储在海外的数据,而无须诉诸冗长的外交渠道。
事实上,双边数据共享协议的签订可以为美国带来数据主权的扩张,如果其互惠条款真的如同协议中所言,对签订协议的相对方而言,也是一种扩张。但在这种以美国为主导下的协议签订模式,其他国家签与不签需要抉择。对于签订协议的相对方而言,必然是使得美国的“手”伸进了本国国土,在一定程度上控制了本国部分数据主权。但是,在国际交往日进频繁的今天,此类协议的签订又确实为必要的跨境信息的调取带来不少便利。诚然,双边数据共享协议的签订对打击国际犯罪等具有重要作用,但是在数据主权日渐受到保护的时代,这种“相互作用”可以产生很大的影响。云幕法案对世界各国而言,收益与损害孰重,仍有待观望。
(2)加州消费者隐私法案(下称“CCPA”)
2018年6月28日,加州立法机构通过了加州消费者隐私法案其立法背景主要是Facebook的大规模数据泄露事件。CCPA规定,对于所有收集加州消费者个人数据的企业,都会被纳入监管范畴中。而CCPA对于企业的认定,实际上是较为宽泛的。
对于消费者而言,CCPA赋予了消费者对个人数据更多的控制权,包括访问权、删除权、知情权等权利。其中,赋予消费者知情权,消费者就有权知道自己的个人信息在哪里出售。企业必须公布关于消费者个人信息如何出售或披露以及向谁(或哪个第三方)披露的情况。
而对企业而言,CCPA规范了它们的个人数据收集与处理办法。根据消费者的要求,企业需要披露其收集、修改了哪些信息;消费者在行使这项权利时不会被拒绝提供商品或服务,抑或受到价格歧视。至于罚款,违反该法令的公司将面临最高750美元的侵权损害赔偿和最高7500美元的民事罚款。
在网络安全法第37条中,我国要求在本地存储由重要信息基础设施提供的个人信息和重要数据,对其必要的跨境流动也有一些评估措施,在各类配套法规中已有所体现。这一系列举措,体现了对数据主权的维护,对数据价值的认可与尊重,但是在数据的国际共享上还没有十分清晰的构思。
尽管CCPA并未在条文中规范跨境数据流动,但它对于我国保护个人数据仍然具有重要的借鉴意义。在未来数据立法的过程中,跨境数据流动的法律规制必然是其中的重要一环,但是其需要与个人信息的相关立法配合,在对个人信息的认定、保护等方面达成一致,才能发挥其更大的作用。
(1)APEC跨境隐私保护规则(下称“CBPR”)
2011年,第19届APEC非正式领导人会议联合发布了檀香山声明,宣布实施跨境隐私保护规则(Cross-Border Privacy Rules)。该规则的目的是在亚太经合组织经济体中改善个人信息的自由流通、保护数据隐私,以便在协会成员经济体内的公司之间跨境转移个人数据。但是,该规则仅限于从事跨境转移个人数据的亚太地区公司自愿参与。目前,美国、墨西哥、日本等国已经参与了CBPR,但是实际上没有多少公司获得CBPR认证。截至2021年4月,仅有36家公司获得认证,个人数据可以在这些公司之间自由流动。
CBPR中有两项关键内部业务规则,一是自我评估,二是合规审查。自我评估是由责任代理商根据CBPR的要求对企业进行评估,并且该合规性审查不仅审查企业,也包括对责任代理商的认可。通过认可的责任代理机构及商业机构将会被列入APEC建立的可供公众访问查询的网站目录当中。
我国至今都没有加入CBPR规则,而在APEC经济体中,没有加入的经济体并不在少数。有学者认为,CBPR确保各国不会借由“高水平”保护来限制个人信息的出境,它建立了一个使个人信息受到较低保护的跨境流动规则,这更贴近美国宽松的管理模式。各国在数据立法方面,国内本土往往是建立高水平的数据保护,而在跨境数据流动这一领域,无法要求外国与本国的保护水平完全一致。加入CBPR之后,只要接收方达到了CBPR的要求,数据就得放行。如果APEC经济体想要加入CBPR,便要修改本国的法律以适用CBPR规则,即使CBPR本身没有这样要求,但这实际上是对数据主权的限制。中国在寻求国际社会的合作与联系的过程中,自然也应当兼顾本国的数据立法发展情况,笔者认为,做好数据本土的保护是我国数据立法的第一要义,在这个基础上再来谈数据的跨境,更为妥当。在相关数据共享协议的选择中,我国应当化被动为主动,从实际出发,谨慎做出独立自主的选择。
(2)日欧经济伙伴关系协定(下称“EPA”)
2018年7月17日,日本与欧盟签署了经济伙伴关系协定,该协定规定了在欧洲经济区和日本之间个人数据的自由流通,而无须进一步的审查或许可。时任欧盟主席的容克称其为“世界上最大的安全数据流动”。
如前所述,GDPR于2018年5月正式生效,涉及个人数据向欧盟以外的第三国或国际组织的转移,是受到一定限制的。第三国或国际组织需要经过欧盟的评估之后,才可以作为个人数据的接收方。此次EPA的订立,日本与欧盟之间达成了无缝传输个人数据的协议,可以说,日本国内的政治、法律环境以及对数据的保护能力达到了欧盟所希冀的标准,欧盟对于日本的数据保护是持认可态度的。通常,数据共享协议的签订都是为了两国甚至多国之间经济合作、贸易合作的更好开展,各国将数据共享的优惠摆在谈判桌上,在当今的信息时代,很难说它没有诱惑力。当前,中美贸易战持续升温,是否可以借鉴日欧经验,加强与国际社会的贸易合作,寻求新的贸易出口,用数据共享为贸易合作让路,这可能是一个值得思考的问题。
三、数据出境限制原因
如前文所述,对于拟出境的个人信息和重要数据,如果无法顺利通过评估,则无法顺利实现出境目的。个人信息与重要数据的出境作为我国信息安全和数据安全上的重要一环,对其限制主要是基于以下原因:
网络运营者在我国收集的个人信息并不属于国家秘密,但若发生泄露,或影响国家、社会的公共利益以及个人的隐私。在信息时代的今天,各国都对数据权利的保护给予了高度关注,目的正是为了不使本国在信息时代处于被动地位,以防数据不恰当地流动影响国计民生。
数据如果不具备合法、正当、必要的出境理由,自然没有出境的可能和必要。《评估指南》(第二稿)的安全目的评估中,立法者对数据的出境目的提出了一定的限制。“合法性”“正当性”作为数据出境的必备要求,自不必多加阐述。但对于数据出境的“必要性”,立法者要求具备其下所列的一项或多项理由。在笔者看来,这种立法设置体现了立法者严格防控、安全把关的数据保护思维:如果数据的出境不违反法律,但是缺乏必要性,这种出境也不应当被允许。我们很难想象,在保证数据出境的合法正当目的前提下,允许数据出境只是基于数据接收方的“好奇”等非必要理由,而非涉及相关合同义务的履行等情况。
如果个人信息与重要数据达到一定范围、数量,以及没有能力对其做好脱敏处理,抑或是数据接收方不具有充分的安全保障能力,数据出境可能会无法通过安全风险评估。这种限制理由其实是考虑了数据从源头发送到终点接收的安全风险,如若其中的风险过大,都不能允许其出境。对数据范围、数量以及脱敏处理程度的要求,即从源头把控风险;无论是数据接收方的安全保障能力还是所在国的政治法律环境,都是从数据的接收端考虑数据是否安全可控。如果一个国家无法真正保障流入当地的数据的安全,发送方自然不会轻而易举地将数据出境。在信息时代的今天,数据的价值甚至可以用金钱来衡量,如果不对数据的出境做严格的限制,一旦数据不恰当出境,其带来的风险之大、直接或间接导致的经济损失之多,难以估量。故而对数据出境的限制,实属必然之举。
四、我国跨境数据流动法律规制的问题与未来选择
随着互联网的发展,我国业已跟随世界各国的脚步进入信息时代,数字技术毫无疑问推动了我国的经济转型。但是,蓬勃的数字经济也带来了不少问题,而立法常常滞后,通常在出现问题之后,才回应社会的需求。实际上,先前我国在跨境数据流动的立法规制上呈现出笼统、分散、宽泛的现象,既有的立法规制并不能很好地跟上数字经济发展的步伐。总体来说,我国跨境数据流动的法律规制目前仍需完善。
如前所述,我国的数据立法起步较晚,且立法过程是从特殊到一般的过程,在缺乏法律依据情况下适用反不正当竞争法兜底保护数据权利,这实际上将数据企业的数据权利降格为受法律保护的纯粹经济利益,仅仅在其遭受特定形式侵害的时候获得法律救济,保护的强度和密度显然与数据权利不相称。
先有针对各行各业的行业性的立法,后有综合性规制的网络安全法。且网络安全法第37条是从国家安全角度规制跨境数据流动;再到数据安全法。诚然,相关部门自2016年起加快了制定网络安全法配套规定的进程,针对数据出境有了评估方面的草案及征求意见稿,取得了显著效果。但是,我国的跨境数据立法似还没有一个明确的框架,而只是零散的已出台或未出台的法律、各类标准。我国网络安全法生效已四年多,要让37条真正落到实处,让监管部门有规可循,真正实现对我国数据主权、数据安全的维护,关于数据安全进行专门性立法乃大势所趋。
刚颁布实施的数据安全法第11条明确国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动;第21条明确提出建立数据分类分级保护制度、第31条充实了数据出境安全管理规定。该法不仅明确了重要数据界定的责任和依据,还要求各地区、各部门按照分类分级保护制度确定本地区、本部门以及相关行业、领域的重要数据具体目录。
实际上,相比起欧盟国家、美国、日本等,我国对国际规则的参与是较为谨慎的。这与我国的人口基数大,数据保护立法不完善有所关联,如果贸然参与加入某种国际规则,或者贸然实现与世界其他国家的数据共享,一旦出现不合法的数据泄露,将会对我国的国家利益、社会利益以及公民个人利益产生不可估量的负面影响。确实,信息技术越是处于相对劣势的状态,越需要控制数据。这种考量确实有其正当性和必然性,但是在国际合作中的过分被动,也会影响我国的数据立法进程,甚至伤害到处理数据的经营实体。
随着我国经济的进一步转型,数字经济在我国经济版图中占据了越来越重要的份额。而数字经济要合理健康发展,势必依赖于完善的相关法律制度。我国当前已有较为广泛的行业性立法经验,也有较为综合的网络安全法对相关问题进行了规制,这足以显现我国对数据主权、数据安全的重视与认可。在肯定之余,笔者认为立法进程也应适度加快,并应将数据的本土保护以及数据跨境流动的法律规制同等地位考量,而不应有所偏颇。事实上,对数据的本土保护和对数据跨境流动的规制是相辅相成的,二者在数据保护的立法规制中应如车之两轮、鸟之两翼一般被同等看待。
据此,我国应当加强对个人数据的保护,借鉴欧盟GDPR以及美国CCPA的经验,对数据主体的知情权、被遗忘权、数据可移植权等予以确认,并对企业提出保护个人数据的更高要求,以扭转当前我国大量互联网用户生活中常常以隐私换便利的局面。再者,针对我国国土面积大、人口基数大的情况,在对个人数据进行立法保护的同时,可参酌《评估指南》(第二稿)的数据分类方法,对重要数据的本土保护也予以相应的立法确认。在确定了数据的本土保护后,配合当前我国正在研讨制定的网络安全法配套措施,如《评估指南》(第二稿)、《评估办法》等,真正形成对数据的域内域外保护体系。如此,我国的数据立法才能真正体系化、实用化,为我国的数字经济发展以及个人数据与企业数据的保护贡献力量。
随着全球互动越来越频繁,数字经济的发展,不仅有赖于对数据本身及数据权利的合理保护,也有赖于数据的合法共享。尤其是许多跨国企业,其日常运营都有赖于对域外数据的掌控与处理。欧盟GDPR的制定、APEC提出CBPR标准、日本与欧盟之间拟允许数据双向流动,都是各国之间积极探求数据共享的宝贵实践经验。我国对数据共享的态度一直不够鲜明,抑或是谨慎、反对的态度居多。诚然,作为一个主权国家,且数据立法起步较晚又有诸多不完善,而数据的体量又十分之大,此时贸然参与国际规则的制定,一旦遭遇数据的非法泄露,将会对我国公民的个人利益、社会利益乃至国家利益产生不可估量的影响。这种谨慎的态度确实可谓是负责任的态度。一方面要加强对数据主权和个人隐私的保护,另一方面,积极参与国际规则的制定,更是出于对数字经济发展的认可与期待,故而需要对数据壁垒予以一定程度的清除。
笔者认为,我国应积极参与数据保护相关国际规则的制定,化被动为主动。当前,中美关系持续紧张,我国需要寻求新的贸易出口,数据的共享往往会为跨境企业提供不少便利,进而对服务贸易的发展起到积极的促进作用。诚然,欧盟内部数据自由流动,以及日本与欧盟之间的数据共享,对于企业而言是更为便利的,但是我国当前尚未制定如GDPR一般“严苛”的法律,如果进行这种深度的数据合作,我国可能会处于劣势地位。除此之外,可以参酌APEC制定下的CBPR标准,在符合我国重要数据出境要求的前提下,对符合标准的企业,允许数据在此类企业之间流动。这种合作态势有助于数据出境在一定限制下实现,可能更符合我国国情。但是,对于CBPR的弊端,笔者已于前文有所阐述,故而在参与此类合作之时,应当对一国主导下的国际规则持更为审慎的态度,以防在得到数据共享的便利之时,失去了更为宝贵的数据主权。
数据立法保护在世界各国纷纷展开,这是一个不可逆的趋势。作为数据保护中的重要一环,跨境数据流动限制确实会对跨境企业造成日常运营中的数据传输不便,但是既需要当地市场,那么就应当积极响应当地的数据立法,在研究立法后,制定策略合法且合理地应对。虽然数据跨境诉求存在,但这种诉求是可以被合理、合法地解决的。苹果公司与云上贵州,微软Azure与世纪互联的合作都是积极响应我国立法,实现本土化的经典案例。在笔者看来,企业可以参酌以下方式,对这种数据跨境流动限制予以应对:
(1)与本土企业合作,提高企业本土化水平。如苹果公司与云上贵州合作,允许将中国大陆用户的iCloud数据存储在本地服务器上。该措施符合网络安全法第37条的规定。使得苹果公司不至于因为此类数据流动限制而丢失中国大陆市场,此类做法为提供云计算、互联网数据服务的跨境企业普遍所采。事实上,在网络安全法还未出台时,已有相关企业进行这种操作,虽然是为了符合当时电信业的相关要求,但是置于今天的数据立法状况中,仍不失为一个合规的应对办法。提高运营透明度,发展数据加密技术,保护用户数据安全。外商需要在中国本土设置服务器,披露其使用个人信息的情况。除此之外,数据处理主体的加密技术也在不断发展,使其自身也难以轻易提取数据。企业在积极寻求合规的同时,也需要对消费者的数据安全予以保护,以获得消费者的信赖。
(2)对于数据中心化问题,针对跨境数据采用分级、分类管理。数据形成的起点是个人信息,但经过对数据的收集、整理以及去身份化的处理,数据是有可能独立于个人信息从而成为财产权客体的。同时,基于数据收集主体的不同以及数据安全级别的高低,其最终形成的数据集合在权属方面应当有所明晰,个人、企业、国家应当是最主要的数据主体,基于数据主体的不同,其在跨境数据流动中进行安全评估的主体、流程及规则应当有所区别。加强数据权利保护的同时,明确个人数据权利与数据自由流动之间的权限划分,构建政企共享个人信息的利益平衡机制。
结语
数字技术的发展催生了数据立法和数据权利的保护,对数据的本土保护以及跨境数据流动的法律规制是任何一个国家都无法绕开的议题。欧盟GDPR、美国CCPA及印度PDPB均彰显了世界各国对个人数据的价值认可和保护决心。APEC制定CBPR,日本与欧盟之间拟制定数据共享协议的举措体现了各国之间为发展数据经济,寻求国际合作的心态。基于我国幅员辽阔、人口基数大、网民数量多等因素,加快数据立法进程,加强对个人信息与重要数据的保护,合理规范数据流动显得尤为必要。在规范跨境数据流动的未来选择上,我国一方面要加快数据立法进程,对数据本土保护及数据跨境流动予以同等重视;另一方面要积极寻求国际合作,参与国际规则的制定,实现合理、合法、平等的数据共享,在尊重数据主权、维护个人数据权利的基础上,为跨境服务贸易企业提供应有的数据传输便利,促进我国数字经济和服务贸易的繁荣发展。
往期精彩回顾
冯哲 胡海洋|新技术带来的传统生产要素权利保护与数据权利构建问题
上海市法学会官网
http://www.sls.org.cn