付裕媛|我国数据跨境流动监管缺位问题及应对
数字经济蓬勃发展,成为国计民生的重要支柱产业,与之俱来的国家安全与个人信息暴露于危险之中。我国的数据监管立法启动较晚,对于跨境数据流动的监管仍然缺位,数据立法缺乏统一协调的顶层设计和专门机构,域外执法手段较为局限,与国际数据跨境流动规则存在着不可消弭的差异。我国可通过对美国、欧盟、俄罗斯和印度数据跨境流动监管模式的研究和借鉴,进一步完善国内监管体系,适度扩张境外执法权,加强与国际数据治理模式的兼容,不断弥补我国数据跨境流动的监管缺位问题。
2022年11月,美国OpenAI公司开发了一款生成式人工智能聊天机器人ChatGPT,其具备更加灵活的对话机制,可以吸收语料投喂,替代Word、Excel等办公软件输出文字和生成表格,甚至可以作为会议秘书做会议记录,这也是ChatGPT一经问世就打败“PLUG”“文心一言”等语言模型呈现燎原之势的原因。由于ChatGPT的开发地在美国,国内使用者需要绕过国家公共网络监控系统采取的IP封锁、内容过滤、域名劫持以及流量限制等手段,安装使用“翻墙”软件访问境外网站,导致个人数据信息和国家安全信息在跨境传输过程中“裸奔”,这一操作极大地增加了数据跨境流动的不安全性。因此,面对数据跨境流动常态化、高发化的趋势,我国应将维护国家主权安全和保护个人信息不受侵害作为数据安全治理的靶向目标,严格数据安全立法,健全域外执法机制,加强国际协作,全方位解决数据跨境流动中的监管缺位问题。
我国对于数据跨境流动的监管问题研究始于20世纪末,随着计算机与网络通信技术的发展,特别是标志着第二次信息革命的因特网的贯通,跨境数据流动范围越来越广,内容越来越多,速度越来越快,影响也越来越大。该领域研究初期,程卫东阐明了数据跨境流动对国家主权和对个人隐私的影响,描述了英国、德国等国家的数据立法情况及国际组织合作现状,指出我国数据跨境流动监管体制的不足,并提出对策建议。丁惠强、许英、王景瑞等学者对数据跨境流动中的征信数据跨境流动进行了专项研究,指出了我国征信机构管理立法滞后、监管体制不健全的问题,在相关立法中制定和完善征信数据跨境流动法律规则迫在眉睫。2016年11月7日,第十二届全国人民代表大会常务委员会第24次会议通过了网络安全法,自此,数据跨境流动法律监管问题研究进入到白热化阶段。黄道丽、何治乐(2017)描述了欧美跨境数据流动监管立法的大数据现象及其成因,并提出大数据环境下我国数据跨境监管的立法应对。弓永钦、王健在比较APEC“跨境隐私规则”和欧盟“约束性公司规则”的差异的同时寻求对接和互认,强调我国政府应积极参与国际规则建设。洪延青以网络安全法为切入点,提出在追求发展和安全的平衡中构建“数据本地化存储合理界限理论”,在数据本地化和数据自由化之间搭建数据跨境安全评估办法的总体框架。许可以数据安全法(草案)为基点,揭示了数据“静”安全和“动”安全与数据自由流动的内在联系,并提出基于“重要数据可控”原则调取境外数据。叶开儒、王融、贾开、田晓萍等学者从美国和欧盟全球两大数据立法范式入手,探析了其数据跨境流动保护立法的历史演进,并对中国未来的数据监管立法进行借鉴与反思。马其家、李晓楠、曾磊等学者继数据安全法出台后,分析了我国数据保护立法的现状与困境,并提出规制优化路径。
综上所述,我国数据跨境流动法律监管研究起步较晚,自网络安全法出台后才真正进入大众视野。国内的研究基本遵从“一法一议”的规律,随着法律法规的相继问世,学者们的研究也随之亦步亦趋。我国的数据保护监管立法与我国在国际社会上的经济发展水平不成正比,与欧美国家数据监管立法的完善程度更是相去甚远。欧盟和美国作为全球数据保护立法的领军者,其数据安全立法对全球数据跨境流动监管乃至数字经济贸易保障都起着举足轻重的作用。学者们通过对欧美国家以及国际组织的数据监管立法进行对比反思后,总结出我国数据监管体系的缺陷和不足,并提出相应域外经验和中国因应。本文旨在对世界各国的数据安全立法进行横向比较,对国际上典型的跨境数据流动保护立法样态进行归纳,力求在已有的国家数据保护立法体系上融入新鲜元素,构建中国特色社会主义数据跨境流动安全监管体系。
一、数据跨境流动监管的多元诉求
跨境数据流动是经合组织在20世纪70年代提出的一个概念,指的是信息数据跨越国家和疆界的流动。随着大数据、云计算等数字技术的发展和普及,数据流动已经成为生产生活不可或缺的部分,数字经济也被誉为“第四次工业革命”。数据跨境流动的规模越来越大,由此带来个人信息和国家秘密暴露的风险上升,打击跨国犯罪的难度加大。因此,对数据跨境流动进行监管具有促进数字经济发展、提升域外执法便利以及保障国家和个人信息安全的多方诉求。
(一)数字经济发展保障诉求
数字经济的发展需要完善的监管体系保驾护航。2015年8月,国务院发布《促进大数据发展行动纲要》提出:“数据已成为国家基础性战略资源”。2020年4月,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中将数据与土地、劳动力、资本、技术等并列为生产要素。我国坐拥全球数量最大的互联网用户,具有丰富的市场资源,在信息网络领域突破了5G等核心技术,坚持科技兴国战略,加快部署大数据,已成为中国稳健发展的必然选择。根据前瞻产业研究院的报告,2020年,全球数据量达到了60ZB,其中中国数据量增速迅猛。预计2025年中国数据量将增至48.6ZB,占全球数据量的27.8%。在这样的发展趋势下,数字产业将成为国家经济发展的主要驱动力之一,对数据跨境流动的监管将成为各国的关键任务,各国均意欲通过监管立法获得对数据的控制权,以期实现对数据市场的支配。这一形势下,加强对本国数据跨境流动的监管不仅是保障数据自由流动的必然要求,也是保障数字经济发展的时代使命。
(二)域外执法便利提升诉求
加强数据跨境流动的监管,可为域外执法提供便利。数据跨境执法是指国家公权力机关以行政执法或司法为目的,调取存储于境外的数据信息。由于数据的虚拟性、复制性、跨时空性和可拆分性,它可以不受疆界制约分布于世界各个国家,犯罪分子利用数据时代的法律漏洞,将犯罪证据存储于域外国家或者无人居住的荒岛,给执法机关调取和查明犯罪证据制造了极大的阻碍。现有的跨境执法规则是基于物理世界构建的,不同司法管辖区之间的跨境执法活动通过签订双边或多边条约以及司法互助协定来完成。但现实中的实施效果并不理想,通过条约或司法互助协定需要执法机关上报最高院或外交部等中央机关对外交涉,同时面临繁杂的文字材料和漫长的等待期。若两国之间没有条约和司法互助协定,则要“一案一议”,面临极大的不确定性,且易受到政治因素的干扰,耗时且低效,不利于对违法犯罪行为的打击。主权国家对数据跨境流动的有效监管可以规避现有跨境执法规则的缺陷直接对域外数据进行调查取证,快速掌握犯罪事实,精准打击犯罪行为。可见,提升数据跨境流动的监管能力已成为域外执法的保障手段,也是提升国际协作便利的必然举措。
(三)国家主权及个人信息保护诉求
数据已经成为国家实力的重要体现和国家主权的重要内容,数据主权是国家主权不可分割的一部分。当今数据管辖权饱受争议、网络攻击日渐猖獗、跨境数据监管缺乏有效机制,对国家安全构成了严重挑战。随着信息通信技术的飞速发展,对于那些立法滞后、技术落后的信息弱国来说,信息强国可能凭借其技术优势,垄断弱国的经济产业,亦可能利用强势的数据输出,侵蚀国民的精神信仰。这将直接挑战一国主权的权威性,各国的数字鸿沟由此扩大,经济体系和技术水平之间的差异更加明显。无论采取置身事外抑或闭关锁国的方式,均会使信息孤岛扩大,数字鸿沟进一步加深,而限制数据的跨境流动亦会使得国家被隔绝在全球数字产业链外。因此,调整数据跨境流动监管机制,是维护国家主权完整性的必要诉求。
大数据技术促使个人数据的价值和重要性不断攀升,使其成了黑色产业链中的重要目标。目前,用户要想使用一些应用软件,需要同意其设置的隐私同意条款,而绝大多数用户并不会仔细阅读这些格式条款,这就给互联网平台获取用户信息提供了可乘之机。一些平台在获取个人信息后直接将用户隐私数据进行不法贩卖,数据企业则利用日益成熟的数据追踪、分析技术便可成功捕获到数据主体的个人定位。数据境外买卖的情况屡禁不止,个人隐私泄露事件频发,保障个人信息不被侵犯已成为数据跨境流动监管的重头戏。
二、我国数据跨境流动监管缺位问题
中国作为一个数据大国,拥有丰富的数据资源和庞大的数字市场,数据跨境流动对我国的经济社会发展具有重要战略意义,政治、经济、国家安全等方面都对数据跨境流动全面监管提出了更高的要求。中国的数据跨境流动立法旨在保障数据依法有序自由流动,防范数据出境安全风险,保护国家安全和社会公众利益,促进数字经济健康发展。近年来,我国在数据跨境流动方面制定了一系列法律法规和标准规范,形成了以“本地存储、出境评估”为核心的监管模式。我国对数据跨境流动的立法现状如下表:
需要指出的是,除表1列举的几部正式出台的法律外,《个人信息出境安全评估办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》《重要信息基础设施安全保护条例(征求意见稿)》《信息安全技术个人信息出境安全评估指南》征求意见稿和《信息安全技术重要数据出境安全评估指南》征求意见稿等配套性法规和标准仍在形成中,这些配套性法规将明确数据出境安全评估的主体、对象、程序、标准等内容,以及为数据出境安全评估提供技术指导。虽然我国数据保护立法起步较晚,但已经初步搭建起数据监管立法的框架,构建了数据安全标准,设立了数据分级分类保护机制,规定将关键信息、重要数据、核心数据存储在境内,对涉及国家安全和个人隐私的数据信息重点保护。此外,设置了数据出境安全评估制度,除必须存储在本地的数据,其他重要数据确需向境外提供的,需要经过评估。在评估过程中,法律规定将事前评估与事后监督相结合,避免数据处理者一劳永逸。同时规定在国家有关部门进行安全评估前增加风险自估的环节,提高通过评估的概率,节约评估机构的成本。
综合我国立法来看,尽管我国已具有初步的数据安全监管法律体系,但与世界先进水平仍存在较大差距,数据跨境流动的监管存在缺位。我国数据保护立法起步较晚,理论基础不够成熟,实践经验不够丰富,数据跨境流动面临着诸多风险和挑战。具体而言,数据监管立法缺乏统一协调的顶层设计,不同法律之间的规定难以实现有效衔接;数据域外执法的手段不够硬朗,导致国内立法难以落到实处;国内规则与国际规则脱轨,容易被排挤到全球数据治理的体系之外。
(一)缺乏统一协调的顶层设计
我国涉及数据跨境流动的法律法规较为分散,缺乏统一协调的顶层设计和专门机构。首先,网络安全法、数据安全法、个人信息保护法对于重要数据和个人信息出境安全评估的规定存在重复或不一致之处。网络安全法第37条规定了关键信息基础设施运营者在中国境内收集和产生的“个人信息和重要数据”,因业务需要确需向境外提供的,应当进行安全评估;数据安全法第31条却只规定关键信息基础设施的运营者在中国境内运营中收集和产生的“重要数据”的出境安全管理,适用网络安全法的规定,没有将关键信息基础设施运营者在中国境内收集和产生的“个人信息”吸收在内;个人信息保护法则并未提及这一规定。以上法律规定既有重合又有分歧,造成了理解上的误区和适用上的困难。其次,数据安全标准的构建也存在歧义。网络安全法和数据安全法中均提到要设立数据安全标准,但这仅起到一种强调作用,对具体标准的内容、适用范围、界限等都没有详细的定义。最后,法律授权国务院有关部门制定细化和完善数据出境安全评估的规则尚未出台或落实,导致法律法规之间重复、冲突或空白的问题无法解决。同时,法律规定中“有关机构”“主管机关”“国家数据安全工作协调机制”等监管主体定性不明,在实践中缺乏专业化、独立性和权威性的数据监管机构,跨地区的协调沟通机制不畅,难以形成数据跨境流动监管的合力。
(二)域外执法体制不够成熟
我国域外执法体制不够成熟,境外调取数据活动障碍重重。网络安全法第50条、第66条规定了关键信息跨境调取的规则,即禁止未经有关部门的允许向境外提供数据。数据安全法第36条规定应依据国际条约、协定或平等互惠原则处理境外司法执法机构提供数据的请求。由此可知,我国处理数据调取的境外执法活动秉持“公对公”原则,禁止域外公权力机关对我国数据处理者进行直接行为。然而,以欧盟通用数据保护条例(以下简称GDPR)为代表的个人数据保护法案单方授予本国数据保护机构域外执法管辖权。以《澄清数据的合法海外使用法》(以下简称云法案)为代表的美国数据保护法案更甚,其将数据控制者作为执法机构的触手,无须通过数据存储国同意,可直接通过美国所属的数据控制者获得他国数据信息。欧盟和美国作为全球数据立法的两大范式,均以国内法的方式确立了域外执法权。虽然国内法无法成为域外执法的合法性依据,此举亦违反国际法主权平等的原则,但由于国际规则尚无强制执行力,因此欧美的做法虽饱受国际社会诟病,但数据跨国企业为追求海外市场效益,仍会遵守所在国法律法规要求,配合对方执法机构调取数据的活动。
打击信息网络犯罪是跨境数据流动监管的重要一部分,对违反数据管理规定行为的有效惩治方能使我国跨境数据流动监管立法落到实处。我国基于国际条约、司法协定以及平等互惠原则构建的“公对公”跨境执法体系极易受到政治、外交政策的干扰,域外执法机制不够灵活,往往导致跨国信息网络犯罪案件侦破难度巨大,成果渺茫,致使数据跨境流动监管立法成为空中楼阁。且针对他国对我国跨国企业行使的域外执法权,我国目前尚无实施对等反制行为的依据与措施,在境外执法权扩张方面存在较大空间。
(三)与国际规则体系难以契合
世界各国数据监管立法各自为政,难以达成国际共识,加之西方发达国家有意排挤,我国数据监管体系与国际规则出现脱节。美国作为世界上最大的经济体,有能力把控数据安全,因而把侧重点放在鼓励数字贸易自由发展上。美国数据自由流动的监管体系不仅体现在国内法上,还利用强大的经济实力主导国际数据跨境流动规则的走向,试图在全球数据治理体系中限制中国的发展。2023年3月27日,美国众议院全票通过《中华人民共和国不是发展中国家法》,旨在阻止中国获得发展中国家的特殊待遇,遏制其发展势头。2020年6月,美国将《跨境隐私规则体系》(以下简称CBPR)从亚太经合组织(以下简称APEC)的框架中剥离出来。此举一方面是为巴西等非APEC成员国的加入留下空间;另一方面是为了制定数字规则时排除中国参与。
在部分数字贸易的发展问题上,中国目前还没有提出完善的适应新发展要求的改革方案,在一些重要的交叉议题上,我国未予表态,中国的数据监管规则仍处于探索阶段。欧洲国际政治经济中心测算的数字贸易限制性指数显示,中国对数字贸易发展的严格程度远高于世界平均水平,这就导致中国的数据监管规则相较于部分国家来说灵活度较差,与美欧等发达国家推行的自由流动的数据跨境流动规则体系存在较大差异,难以实现规则互认和互通,导致我国数据跨境流动监管模式与国际数据监管规则的脱钩。
三、域外数据跨境流动监管经验
进入到中国特色社会主义新时代以来,我国的高新技术飞速发展,数据成为国民经济命脉的重要载体。我国数据跨境流动的监管在统一立法、域外执法以及与国际规则衔接等方面尚有欠缺,这不仅囿于我国的网络科学技术崛起较晚,也受制于不够成熟的立法经验。目前国际上关于数据跨境流动的监管立法形式多样,我国可借鉴域外不同国家的数据跨境流动监管经验,使我国在数据跨境流动监管立法方面的缺位问题得以补正。
(一)美国
美国借助技术优势进行跨境数据流动监管立法,极端推崇数据自由流动主义。美国作为世界高新技术的头部生产力,其网络技术水平在全球居于首位,旗下巨头企业谷歌、微软、亚马逊等遍布世界各地,这使得美国可以轻易地掌握其他国家的数据信息。1997年曾推出了一份名为《全球电子商务框架》的报告,报告致力于促进互联网和数字技术的发展以及减少数字产品和服务的国际贸易障碍,是全球电子商务发展的重要里程碑。此后,美国凭借其在亚太地区的经济和政治影响力,推动APEC于2004年通过了《隐私框架》这一政策要求,该政策旨在促进其管辖范围内在隐私保护的基础上允许信息跨境自由流动。2013年,美国主导APEC电子商务指导组数据隐私小组构建的CBPR正式通过,CBPR旨在促进信息和数据的跨国界自由流动。2015年10月,美国主导的《跨太平洋战略经济伙伴关系协定》(TPP)通过,其中内含与跨境数据转移有关的条款,要求各国不得限制这种转移。
美国作为互联网信息技术的最大受益者,其倡导数据自由主义无非是为了通过技术手段垄断全球的数据产业,增加美国在数据市场上的话语权。美国表面上是为促进全球数据跨境流动带动经济贸易发展,实则是在信息领域推行霸权主义。
美国在云法案中,首次确立了数据跨境流动监管的全新模式——数据控制者模式。具体而言,该法案规定,“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当保存、备份、披露其所拥有、监管或控制的通信内容、记录或其他信息,”美国通过立法的方式赋予了服务提供者保存、备份、披露境外数据信息的义务,执法者可以绕开数据所在国政府直接向自己所控制的数据服务提供者获得境外数据。当然,服务提供者也可在目标对象不是美国人或者披露数据内容将违反适格政府的法律时,向美国法院提出撤销或修正法律流程的动议。
2019年,美国司法部启动了云法案的全球宣传活动,重要举措之一就是发布了《推动全球公共安全、隐私和法治:“云法案”的目的和影响》白皮书,该书对云法案的管辖范围做了官方解释,其中写到“当公司位于美国时,可对其行使属人管辖权。当公司位于美国境外但该外国公司与美国有足够的联系时,也受美国管辖。”可见,该白皮书以最低限度联系原则极大地扩张了云法案的域外管辖权,使得云法案不仅适用于在美国注册成立的公司,境外的公司只要在经营活动中与美国有足够的联系,也可能触发云法案的管辖。
云法案以数据控制者标准和最低限度联系原则双重利器加持,主导了数据跨境流动的秩序,使得美国的国家利益和绝对的主动权得到了法律上的固定。此外,云法案还规定,符合标准的适格政府可与美国签订调取数据信息的行政协定,外国适格政府可向美国直接送达调取数据的命令,要求提供存储在美国境内的数据信息。云法案对适格政府的判定标准做了详细的规定,即外国政府的国内立法以及执法要对隐私和公民权利提供充分的保护,对于适格政府发出的调取数据命令,也要受美国法院、法官或其他独立机构的审核和监督。
在数据流入方面,美国通过向作为数据控制者的互联网企业借力,将数据跨境流动监管的手臂伸向了世界各国。其在法案中以立法的形式赋予服务提供者保存、备份、披露境外数据信息的义务,绕过外国政府机关的同意直接获取该国境内的数据,是严重侵犯他国主权、违背国际法基本原则的行为。对于服务提供者向法院提出的“撤销或修改法律流程”的动议,美国法院大概率依靠礼让原则分析,这赋予了法院极大的自由裁量权,在无法令明文规定的情况下,法院裁决动议的结果极易受到政治、军事、外交政策的干扰,获取境外信息的主动权牢牢掌握在美国手中。在数据流出方面,美国一改往日数据自由流动的口吻,其采取“适格国家”标准,只有符合云法案规定的条件,才能成为适格国家与美国签订政府协议,该国才可以调取存储于美国的数据。然而,适格国家的标准是由美国确立,适格国家发出的调取令还需要受到美国法院的监督与审查。可以说美国对数据流出设置了极高的门槛。截至今日,云法案已经出台五年之久,只有英国与美国签订了适格政府的协议,而我国作为美国在科技通信领域重点打击的对象,将很难和美国签订数据互通互惠的协议。
(二)欧盟
人格尊严作为“最高宪法价值”写入了德国基本法。1950年,《欧洲人权公约》将“人格尊严”纳入其中,并规定“私人和家庭生活、家庭和通信得到尊重”,这成为日后欧盟立法的基本原则。科技的迅速发展及全球化为保护个人资料带来新的挑战,技术使收集和分享个人资料的规模显著增加。因此,在制定数据跨境流动监管立法时以保护公民个人数据和隐私为核心要义,使得欧盟成为迄今为止在跨境数据流动合作上取得成效最大的区域性组织。欧盟委员会通过了一系列关于保护个人数据信息的法案,如1981年《关于个人数据自动处理的个人保护协定》、1990年《关于个人数据处理涉及个人保护的理事会指令性建议》等。1995年的《数据保护指令》,旨在保护个人数据的处理和自由流动。进入21世纪,信息技术飞速发展,为应对大数据、云计算对数据跨境流动监管带来的冲击,欧盟重新制定跨境数据流动相关法律。2010年11月,欧盟发布《欧盟个人数据保护综合办法》,进一步加强个人数据跨境监管力度。2017年欧盟委员会通过《隐私与电子通信电子通信指令(草案)》更新了2002年的《隐私与电子通讯指令》,草案要求公司或组织将个人数据传输到非欧盟国家时,这些国家必须满足欧盟认为足够保护个人数据的标准。为限制互联网及大数据企业对个人信息和敏感数据的处理,保护数据主体权利,2018年5月开始实施的GDPR被称为欧盟史上最严格的数据保护法,此条例在原有法律基础上扩充了更多跨境数据流动条件,规定了跨境数据流动的基本原则和要求,确立了充分性保护原则保护个人数据,是欧盟数据跨境流动监管的标志性立法。
GDPR延续了95指令对欧盟境内外数据流动进行区别对待的理念,以“隐私保护优先”为首要原则,严格限制数据向欧盟域外传输,明确了欧盟内部数据共享原则,形成欧盟跨境数据流动“外严内松”的模式。GDPR第45条规定,“对第三方或者国际组织进行个人数据传输时,需要欧洲委员会确定第三国或其中某一地区或一个或多个特定的地区、或国际组织,有足够级别的保护”。当对保护级别的充分性进行评估时,欧洲委员会会将第三国的立法及数据保护规范、第三国所属的监督机构是否存在和有效运作以及第三国是否做出保护个人资料的国际承诺作为考虑因素。在做出充分性评估之后,不代表第三国或国际组织就永久取得与欧盟数据跨境传输的资格,委员会将至少每四年进行定期审查,确保第三国对数据维持充分性的保护。当第三国缺乏充分性级别的保护时,数据处理者或控制者需提供适当的保障措施,方能实现数据的跨境传输,具体包括:政府当局或公共机构之间签订具有法律约束力的协议;跨国公司制定一系列具有约束力的规则,以确保其符合GDPR的要求;欧洲委员会制定标准合同条款为数据控制者和数据处理者之间的合同提供标准化的规则和条款,确保个人数据在转移过程中得到充分保护。通过以上适当措施作为缺乏充分性级别保护时的补充措施,保障数据在欧盟境内往第三成员国的跨境流动。
除此之外,GDPR还规定了指定代理人、监督机构、数据保护专员等方式监督管理数据跨境流动过程中控制者或处理者的数据处理活动,在必要的时候可辅助执法机构执法,特设欧盟数据保护理事会来统一协调欧洲委员会、监督机构以及控制者、处理者之间的信息交流,提出指导方针、建议和最佳实践方案。
(三)俄罗斯和印度
俄罗斯和印度秉承安全与发展主义,对数据跨境流动进行了严格的属地限制。2013年,全球掀起数据安全保护立法的浪潮,各国纷纷拉响了互联网安全与隐私保护的警报,这一事件促使各国加强了互联网监管和数据保护措施。在此背景下,一些国家为维护国家安全和保护国民隐私,纷纷实行严格的数据本地化,通过立法要求数据存储与处理必须在本国境内进行,对于数据的跨境流动给予了严格的限制。俄罗斯和印度就是严格数据本地化的典型。
俄罗斯是数据本地化模式的代表,其限制数据跨境流动的主要出发点是维护国家安全。俄罗斯自2014年提出“切断与互联网的联系”以来,持续加强对网络数据信息的监管和控制,其不仅颁布了关于管控数据流动的专门立法,还不断在传统部门法领域补充网络、数据的相关内容。2006年通过、2014年修订的俄罗斯联邦关于信息、信息技术和信息保护法规定,“对于个人数据、商业数据应当将其存储在俄罗斯境内的数据库中。政府机构、公共团体和其他组织或个人收集、处理和存储的数据,应当在俄罗斯境内进行。”2015年俄罗斯联邦个人数据法要求处理俄罗斯公民个人数据的组织必须将这些数据存储在俄罗斯境内的数据库中。2019年通过的俄罗斯联邦主权互联网法案要求俄罗斯互联网服务提供商在本国境内建立独立的互联网基础设施,安装特殊设备,以监控和过滤网络流量,以防止未经授权的访问或传输敏感信息。俄罗斯的数据本地化与数据跨境传输的控制措施是服务于国家政治与经济利益的,俄罗斯政府通过施加严格的法定义务,实现了对公民数据的全面控制,从而掌握了本国数据流动与监管的主动权。
印度近年来颁布的许多重要法律或文件均倾向于对跨境数据流动进行广泛地数据本地化限制。早在1993年公共记录法中,印度就规定除“公共目的”外,禁止公共记录向印度境外传输。2018年7月,印度发布《个人数据保护法案(草案)》,其中印度政府主张以公权力直接介入的方式对跨境数据流动进行规制,对数据本地化存储的提出强制性要求。在草案中,印度将个人数据分为一般个人数据、敏感个人数据和关键个人数据三类。对于一般个人数据和敏感个人数据,数据受托人应当至少在印度境内存储一份其处理的个人数据副本;对于关键个人数据,则必须在印度境内的服务器或数据中心处理。《印度电子商务国家政策框架草案》是印度政府于2019年发布的一份政策文件,该政策框架草案要求电子商务平台必须遵守本地法律法规,不得将印度消费者的数据存储在海外;要求外国电子商务企业在印度境内设立本地公司等。印度政府认为,数据是国家重要的资源和资产,应该由本国政府掌握和管理。一方面,在全球化和数字化的背景下,国际互联网公司控制着大量的印度用户数据,并将这些数据存储在海外服务器上,这可能会导致印度国家安全和主权受到威胁,印度政府旨在通过数据本地化立法,将数据存储在印度境内,以确保数据安全和主权。另一方面,印度数据本地化可促进本国数据产业的发展。印度物联网、机器学习和人工智能等下一代技术的发展都需要数据支撑,而印度拥有庞大的人口和大量数据的市场,数据本地化不仅为印度新技术的发展提供了必要的资源,也为发展印度当地的数据中心和数字基础设施服务市场提供了机会。有咨询公司预测,如果印度拥有上述数据资源,到2050年,它将成为数据中心市场的第二大投资者和世界第五大投资者。
当今世界各国对数据跨境流动的监管呈现碎片化的趋势,不同国家的数据保护政策因地制宜,千姿百态。如日本主张的“可信任的数据自由流动战略”,韩国开发的“有效的在线认证识别系统”等,都在数据治理模式上创造了专属本国的特色。除此之外,国际和区域机构各自试图实现的数据方法或政策目标也存在显著差异,世界经济论坛指出下一波工业化浪潮中政府面临的关键问题之一是公众对透明度的需求增加,需要数据是开放的,故其制定了《开放数据宪章》支持开放数据的概念;经合组织制定了《保护隐私和个人数据跨境流动指南》和《关于跨境数据流动的宣言》建立政策平台,让各国制定各自的数据保护法,在一定程度上为跨境数据流动提供保障。因此,我国应在形形色色的数据监管立法中不断寻求互通之处,为我国的数据监管缺位问题提供解决方案。
四、数据跨境流动监管缺位的中国应对
数据跨境流动的监管在世界范围内并无统一定式,各国在国家利益的驱使下呈现出了数据跨境流动监管立法的多种形态,我国应在借鉴与吸收域外先进经验的基础上结合我国实际情况,逐步完善国内数据监管体系,适度扩张域外执法的权限,并积极促进国内外监管机制的融合,不断提升我国数据跨境流动的监管水平。
(一)逐步完善国内监管体系
国内数据监管体系由于立法启动较晚,理论研究基础薄弱,实践经验不足,仍需不断细化和完善。首先,要继续出台与数据出境安全评估有关的实施细则。目前,国务院有关部门相继出台了《数据出境安全评估条例》《个人信息出境标准合同办法》《数据出境安全评估申报指南(第一版)》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》等部门工作文件,为数据出境评估提供了操作指南,但还有《个人信息出境安全评估办法》和《网络数据安全管理条例》等仍在征求意见阶段,为了保障跨境数据安全自由流动,以及推动相关机构的精准监管,应当尽快颁布具体实施细则,解决现有法律法规之间的重复、冲突或空白问题,不断弥合我国与境外数据监管立法的鸿沟。其次,我国可借鉴欧盟设立数据保护理事会的方式,成立专门的数据跨境流动监管机关,统筹协调各部门、各地区的数据跨境流动监管工作,形成数据跨境流动监管的合力。我国现有法律体系上规定由国家和地方的网信部门负责数据出境安全评估、备案、以及对数据处理者的监督等职责。随着数字经济的蓬勃发展,通过境内外传输的数据体量将呈指数级增长,而网信部门身兼多职,分身乏术,难以对数据跨境流动的各个环节进行彻底监管。因此设置专门的数据跨境流动监管机关建立一个监管网站,该网站可监控所有跨境数据的访问与退出,并能够拦截和调查未报告的数据以及非法传输的数据。专门的数据跨境流动监管机关可促使有效的跨部门、跨地区沟通协调机制的形成,加强信息共享和政策协同,提高数据跨境流动监管的效率。
(二)适度扩张域外执法权限
首先,制定相关法律适度扩张域外执法权。欧盟利用其严密监管体系下的数据保护机构,达到调取境外数据信息的目的;美国则凭借其强大的技术优势,授权分布在世界各地的数据控制者控制数据,以便美国执法机关的调取。鉴于我国的信息技术水平目前无法与美国抗衡,在此我国可借鉴欧盟的数据立法模式,借助立法完善“市场破坏措施”(market destroying measure),即赋予数据监管机构强制执行的权力,若境外网络运营商不遵守本国数据监管立法,则禁止其在本国进行贸易或使其在本国享有的债权无法执行。我国坐拥巨大的数据市场,具有通过“市场破坏措施”倒逼境外数据处理者配合执法的天然优势,我国应积极出台相关立法,明确域外执法的主体、程序与措施,以及相关处罚标准,引入“市场破坏措施”提高我国执法机关对境外数据处理者的执法效率。
其次,我国还应坚持阻断立法的完善。虽然数据安全法第36条规定境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。但该规定较为笼统,有关部门可以制作实施域外管辖国家的清单,除非数据处理者向国家主管机关报告获得审批,否则禁止数据处理者对清单上的国家所提出调取数据信息的请求进行承认和执行。我国政府只有构建攻守结合的境外执法机制,既对外主动扩张执法权的适用边界,又对来自外国的域外管辖严格阻断,才能在数据跨境流动过程中牢牢掌握数据的主动权,实现对数据跨境传输的全面监管。
(三)促进国内外监管机制融合
我国应积极构建符合国际主流趋势的数据跨境监管规则,在保障国家安全的基础上促进数据跨境自由流动,坚持“数据命运共同体”理念,逐渐与国际跨境数据治理规则接轨。首先要积极将与我国数据监管理念相契合的国际规则融入我国立法,加强国内立法与国际规则的衔接。如网络安全法第37条、《征信业管理条例》第24条规定的数据本地化存储原则,与《区域全面经济伙伴关系协定》(RCEP)禁止数据本地化原则的要求不相符合。因此,我国国内立法应在坚持RCEP“有条件的跨境数据自由流动”和“禁止数据本地化”两大原则的基础上,加强国内法与RCEP规则之间的衔接。
此外,我国应坚持“数字命运共同体”理念,积极参与区域或双边谈判,寻找数据跨境流动的“共同法”。在逆全球化风浪的席卷下,伴随着多边经贸体系的失效,通过集团化、区域化的模式重塑国际经济贸易体系已成主流。在监管数据跨境流动国际体系的探索上中国可以利用博鳌亚洲论坛和“一带一路”倡议,就跨境数据流动的区域规则开放合作协议进行磋商和谈判,并通过区域数据流动协议解决数据流动问题。目前我国已申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)与《数字经济伙伴关系协定》(DEPA),我国应在对标此类国际高水平自贸协定的同时不断加强与缔约国的联系,通过达成双边、区域的数据跨境监管协定,以点带面,为数据跨境流动全球规制提供中国方案。
结语
往期精彩回顾
徐伟琨|区域全面经济伙伴关系协定背景下中国—东盟地理标志法律保护制度协调研究
张议亓|强制性公司可持续尽责义务研究——基于对欧盟《公司可持续尽责指令提案》的考察