当期荐读 2021年第3期 | 国际个人数据跨境流动治理模式及我国借鉴研究
图源 | The Internet
冉从敬1,2 刘瑞琦1 何梦婷1
(1. 武汉大学信息管理学院, 武汉, 430072;
(2. 武汉大学深圳研究院, 深圳, 518000)
摘 要
近年来随着互联网和全球贸易的迅速发展,大规模的个人数据频繁在国家间流动,个人数据的跨境流动使得公民隐私、商业机密和国家安全面临威胁,个人数据跨境流动保护问题逐渐得到各国重视。本文通过对欧盟、美国和俄罗斯的个人数据跨境保护相关的法律和政策进行分析和梳理,总结其保护模式与特点,同时与我国的模式进行对比,思考我国个人数据跨境流动保护模式的优化以及跨国贸易中的应对。研究发现欧盟、美国和俄罗斯在实践中各形成了人本核心、利益驱动、主权限制的不同个人数据跨境流动保护模式,在不同模式下具有不同的核心诉求、构建范式和实施手段。基于中国个人数据跨境流动的现状,对我国提出了综合性与特殊性立法立规相结合,中央监管审查与地方、行业辅助治理并行,完善“事前-中-后”全链规制手段以及加强国际对话等建议。
[关键词]
个人数据跨境流动 个人数据保护 隐私权 数据治理 跨国贸易 数字强国
1 引言
大数据时代,数据成为国家生产要素,其中个人数据以其海量容量与广深范畴进一步成为社会进步、国家发展的重要战略资源。当前,互联网的全球普及与数据流的日益增长正在驱动新一轮“数据全球化”,个人数据跨境流动对全球经济增长、社会发展的贡献愈发凸显,数据跨境流动的意义与影响日益深入。但在带来发展机遇的同时,个人数据跨境流动对国家安全和个人隐私造成巨大冲击,个人数据跨境流动的治理考量成为新一轮国际竞争的前沿议题与国家战略博弈的焦点。
各主要国家借助数据战略尤其是法律制度设计完善个人数据跨境流动治理、强化个人数据资源控制的新态势。欧盟发布《通用数据保护条例》(GDPR)进一步强化本国个人数据管辖;美国先后发布《美国出口管制改革法案》《外国投资风险审查现代化法》《澄清海外合法使用数据法案》等系列法案,强化对个人数据流动安全审查,不断拓展管辖长臂;2020年,日本公布《个人信息保护法》修改法,力图解决个人数据的跨境流动中面临的风险。我国《关于构建更加完善的要素市场化配置体制机制的意见》将数据纳入生产要素,先后出台《中华人民共和国网络安全法》《中华人民共和国个人信息保护法(草案)》《中华人民共和国数据安全法(草案)》《关于印发全面深化服务贸易创新发展试点总体方案的通知》等相关法律政策,不断提升个人数据跨境治理重要性并提供实践方案,力图保障个人信息的保密性、完整性、可用性。
当前,以大数据为驱动的新一轮数据全球化发展迅速,面对更趋复杂和严峻的数据竞争,我国现有个人数据跨境规制方案的滞后与日益增长的需求间存在明显矛盾,如何进一步维护我国公民数据与数据主权安全,进一步兼顾数据保护和数据流动的平衡立场,加快建立完善的数据保护法律体系和监管制度,提升我国在国际数据跨境治理中的话语权与“中国方案”,从而支撑我国“数字强国”战略实施,推动我国数据经济健康发展和社会稳定运行,提升我国在新一轮数据全球化下的综合国力,是亟待思考与解决的关键问题。鉴于此,本文以我国现实需求为导向,广泛调研欧盟、美国、俄罗斯等国家个人数据治理法律制度、组织机构、实施手段,把握国际数据治理发展规律与核心要点,挖掘各国个人数据跨境治理模式与内在逻辑,在充分厘定我国发展现状与实际问题的基础上,探讨我国个人数据跨境流动治理的发展路径,为我国个人数据治理制度建设与实践提供借鉴。
2 研究现状
数字时代个人数据的跨境流动更加普遍和频繁,伴随着个人数据跨境流动而来的各种问题也逐渐引起学者们的关注,个人数据跨境流动的现存问题、规制路径成为学界的研究重点。
一方面,学者们关注个人数据跨境流动的现存问题[1],挖掘其源起与发展[2]。此类研究多关注宏观国际局势,分析跨境数据流动中存在的现实需求和问题冲突[3],如Liu[4]基于案例定性分析了跨境数据流动中的国际冲突和风险;Aaronson[5]调查并指出了国际数据规则之中存在的跨境数据流动监管标准不一等障碍;陈红娜[6]分析了贸易保护主义及国际治理规则,指出了目前跨境数据监管之中的冲突和矛盾,陈寰琦[7]分析了目前国际上的跨境数据流动规则制订现状,指出了其对数字贸易的影响和待解决的问题。
另一方面,学者们也深入探讨数据跨境流动风险的规制路径[8],分析目前面临的问题[9],探寻制度保障对策[10]。此类研究尤其关注个人数据跨境流动中隐私权保障,多以西方国家的个人数据的跨境流动政策为参照[11],寻求国际协调与合作路径[12],如Aaronson[13]梳理了欧美间的贸易协定,分析了其数据流动和公众在线数字权利维护制度;Irion[14]基于欧盟个人数据制度指出了其应对跨境数据流动的制度经验及改进建议;戴龙[10]对比了欧盟与中国的个人隐私保护立法现状,基于数字贸易中的跨境数据流动现状得出了优化对策;刘云[15]从数字主权角度研究了美欧数据跨境流动政策差异,并提出了中国的制度构建对策。
总体来说,研究多聚焦国内外法律及政策及国际协定,梳理各国立法进程及实施路径,较少关注总体治理模式,分析视角较为单一。本文从整体出发,以更为全面的视角对国际个人数据流动的模式展开研究,研究内容不仅仅局限于具体的法律和政策,还对国际合作、组织建设及实施措施等进行综合考察,从中总结出全球个人数据流动模式和特点,以进一步完善国际个人数据跨境流动治理的相关研究,面向相对快速发展的数字经济需要,促进我国个人数据跨境流动的相关法律和政策完善,解决个人数据跨境流动管制中的诸多问题,构建个人数据跨境流动治理模式,以利于发展数据经济、保护个人数据和国家安全。
3 欧洲个人数据跨境治理模式:人权导向与内部协同下的人本核心模式
欧洲具有稳定的数据治理法律政策体系与丰富的治理经验,占据全球数据市场经济重要比重。在其独特的“欧盟-成员国”体系下,以保障人权、强化内部流通为原则,以统一立法、规范认证体系为构建范式,通过集中监管、双边缔约支撑其“事中监管”实施方式,从而形成其独特体系下的人本核心模式。
3.1 以人权保障、消除壁垒为基本原则
个人数据保护对于欧洲人而言是一项基本权利,欧洲一直将隐私视为一种建立在基本人权之上的政治要求[16],其在设置个人数据跨境保护体系时始终秉承保障人权的根本原则。从1953年《欧洲人权公约》(European Convention on Human Rights)伊始,欧盟即已构建一个涵盖基本权利与自由范围的法律网络,随后,从《关于个人数据自动化处理保护公约》(Convention for the Protection of Individual swith regard to Automatic Processing of Personal Data),再到近年来实施的GDPR,欧洲“人权”原则在数据治理中进一步凸显,欧盟力图在保障数据权利的前提下实现与数据价值开发的平衡,从数据人格权出发,完善数据权利确权成为欧盟主要完善模式,不断创新如个人知情权、数据可携权、被遗忘权等人权权利在数据跨境中的应用。
欧盟受其特定共同体体系影响,始终力图强化欧盟数据流通,消除内部国界壁垒。《里斯本条约》(Treaty of Lisbon)革新《欧洲联盟条约》(Treaty on European Union)与《建立欧盟社区条约》(Treaty establishing the European Community)两大前序核心文件,为强化欧盟数据治理核心架构、推进欧洲数据治理统一化奠定了重要基础;《服务贸易总协定》(GATS)则立足于在透明化及自由化的前提下扩大全球服务贸易,推动欧盟内部统一建设数字单一市场,形成在竞争愈发激烈的国际态势下的联盟一致性对外方案。
3.2 以统一立法、规范认证为构建范式
欧盟在其独特的政治经济文化背景下,形成了特色的统一联盟立法指导下的成员国自由延伸立法构建范式。欧盟自20世纪80年代以来,先后出台如《关于个人数据自动化处理保护公约》《关于个人数据处理保护与自由流动指令》(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 1995/46/EC)、《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)、《电子通信领域个人数据处理和隐私保护指令》(2002 Privacy and Electronic Communications Directive)等系列法案,明确个人数据跨境的基本原则与处理规范,2018年GDPR的出台标志着欧盟对于数据保护及跨境数据治理方式的重塑,通过统一立法引入被遗忘权、数据转移权等个人权利并扩大了法案管辖范围。在欧盟整体原则引导下,各成员国在本国内进一步立法与实施,根据统一原则及条款指令再设置本国境内适用的相关法规,如2012年法国《云计算数据保护指南》、2018年德国《联邦数据保护法》、2018年法国《数据保护法》、2018年意大利《个人数据保护法》等法规成为响应欧盟整体立法的成员国立法代表。
同时,欧盟以规范“充分性认定”体系为核心形成统一的个人数据跨境流通标准。欧盟《1995/46/EC》首次规定一般情况下欧洲公民数据只能向加拿大、阿根廷等达到与欧盟数据保护水平相当的国家进行跨境流动,但提前获得数据主体同意、为履行合同以及抗辩法律请求等三种情况例外。GDPR则对数据控制者进行数据跨境传输时需考虑的充分性决定、合适的安全保障以及数据的减损与限制作出了进一步的规制,并在后续立法与相关文件中进一步细化。充分性认定使得欧盟可对欧盟以外的国家或地区的数据保护能力和水平进行认定,严格的数据跨境流动限制在保护欧盟居民的数据安全的同时,也提高了欧盟法律在域外的效力,使得欧盟在全球数据流动规则制定中掌握了一定的话语权。
3.3 以集中监管、“事前保护”规制为实施手段
对内,欧盟以联盟集中审查,成员国独立监管的集中监管模式运行个人数据跨境治理机制。欧盟层面设立数据保护委员会(EDPB)、欧洲数据保护专员公署(EDPS),承担执法监管职责,负责监督整体法案及各成员国立法执法情况,领导和协调成员国监管机构,统一监督和评估成员国执法情况与效果。成员国层面,相关国家设置数据保护专员(如芬兰数据保护办公室、匈牙利数据保护和信息自由委员会、瑞典数据监管部门等数据保护机构),或建设数据保护委员会(如法国国家信息自由委员会CNIL、西班牙情报局AEPD、波兰个人数据保护办公室UODO等机构),负责对接欧盟监管机构,展开个人数据跨境治理,对个人权益侵害展开救济,从而形成“联盟指导与审查-成员国监管与承接”的完善链条,保障了最大程度上落实联盟统一治理原则与方案。
对外,欧盟在以“充分性保护”流通准则的基础上,构建其独特的“事前保护”实施模式。当前,欧盟对数据跨境传输规定以充分性认定为基础评估标准,需经充分认定才可跨境流通,以有约束力的公司规则BCR、标准合同条款、临时合同条款和国际协议为充分性认定之外的法定保障工具,以数据主体明示同意、履行主体间的合同、为达成公共利益等合法利益场景作为在必须进行个人数据跨境传输时的减损规定,从而形成在个人数据传输实施之前的事前保护实施模式。且事前保护模式中的各项评估标准、法定保障工具在信息环境下动态更新与拓展,欧盟在个人数据跨境治理的数据类型、数据主体保护、业务数据流及事后风险管理等方面做出了持续的合规路径探索。欧盟委员会现已对安道尔、阿根廷、加拿大、以色列、新西兰、瑞士、乌拉圭等国家或地区做出了数据跨境传输的充分认定。
4 美国个人数据跨境治理模式:多方平衡与动态进展下的利益驱动模式
美国具有绝对的数据市场与信息技术优势,依托如谷歌、微软、苹果、亚马逊、Facebook、英特尔等数据产业头部企业,和其超过全球近半计算能力的数字交易软硬件平台,积累海量个人数据资源与数据跨境治理经验,综合其主权霸权扩张、数字市场发展、个人隐私保障多方利益需求,以130余部关联法案,形成在完备数据市场下动态发展的独特利益驱动模式。
4.1 以利益驱动、主权扩张为主要原则
美国具有完备数据市场优势,以利益为驱动,始终将促进信息经济健康发展作为重要目标。美国以《信息时代关键基础设施保护》(Critical Infrastructure Protection in the Information Age)、《全球电子商务政策框架》(Framework For Global Electronic Commerce)等系列法案积极推动数据信息市场发展,采用市场话语(market discourse)下跨境数据自由流动规制原则,将数据隐私置于市场利益范畴予以规制,在市场框架下明确监管机构职责、数据主体控制力、数据控制者与处理者责任等问题,将个人视为受欺诈和不公平对待的隐私消费者[17]。同时,以利益驱动不断平衡在个人数据跨境保护上的多元利益主体关系,以《加州消费者隐私法案》(California Consumer Privacy Act)、《数据泄露通知法》(Data Security Breach Notification Law)《华盛顿隐私法》(Washington Privacy Act)等系列法案规范个人主体利益关系,以《美韩自由贸易协定》(The United States-Korea Free Trade Agreement)、《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement)对其国际立场展开不同解释,维护数据自由流动立场下的发展利益。
同时,近年来随着国际数据主权的兴起,国家安全在美国个人数据跨境规制的地位不断上升,数据主权保护意识进一步强化,美国将国家安全和主权扩张置于规制目标首位。美国于2015年10月通过《网络安全信息共享法案》(Cyber security Information Sharing Act of 2015),规定了政府、企业以及公众之间可以在法定条件和程序之下共享网络安全信息,实质强化了国家数据控制权;2018年通过《澄清合法使用海外数据法》(Clarify Lawful Overseas Use of Data Act,CLOUD法案)确立数据控制者原则,以国家安全为事由,赋予了美国政府调取存储于其他国家主权域内数据的权利;2019年11月的《2019美国国家安全与个人数据保护法案》(National Security and Personal Data Protection Act of 2019),在数据传输与存储方面,要求禁止向相关国家传输任何用户数据或可能用于破译该数据的信息,同时禁止在法案定义的国家内存储在美国境内收集的个人用户数据。
4.2 以分业立法、国际缔约为构建范式
对内分公私领域、分行业范畴展开立法规制。美国政府形成公共部门与私营领域分别立法、联邦与各州分散立法、私营领域分行业立法的分散立法构建模式。对于公共部门,强调个人数据跨境安全与隐私保护,重点在于平衡公共部门与个人利益。如1974年发布《隐私权法》(The Privacy Act of 1974)规制政府部门对个人信息的采集使用,正式确立美国公私立法分立模式;1986年《电子通讯隐私法》(ECPA)限制政府机关未经许可擅自窃取监听私人电子通讯的行为;随后《电子政务法》(E-Government Act)、《网络安全信息共享法案》(S.754)规定政府可在法定条件和程序下制定个人信息的共享、跨境流动标准。对于私营部门,受益于领先的数据产业,美国针对各个行业特征展开针对性规范,重点在于提供行业个人数据流动基本准则。分别约束私营领域中征信行业的《公平信用报告法》(The Fair Credit Reporting Act)、健康行业的《健康保险携带和责任法》(Health Insurance Portability and Accountability Act)、金融行业的《金融服务现代化法》(Health Insurance Portability and Accountability Act)等,对关键行业和领域的个人数据本地存储与跨境流动进行了明确的规定,从而能够及时有效地解决个人数据跨境流动过程中出现的问题。
在国家法规政策规制的同时,美国依托其强大的信息产业形成了特色的行业自律范式。美国在行业高度自律的市场环境下,具有行业辅助规制的先天优势,催生一批制定与执行行业政策与规范的行业组织,相关组织发布分行业的隐私标准来指导治理实践。美国在相关行业先后建立如美国在线隐私联盟(Online Privacy Alliances,OPA)、在线隐私封条(TRUSTe)、BBB Online等行业隐私组织,在联邦与各州法律政策的指引下,发布如建议性的行业指引、网络隐私认证计划等行业个人数据保护与流动标准,以行业自律的方式解决各行业领域个人数据跨境流动问题。如1998年OPA公布其在线隐私指引,明确联盟成员应达到的数据流动保护标准;TRUSTe、BBB Online先后制定其具有强制约束力的系列隐私保护计划(Privacy Seal Program),结合联邦贸易委员会的隐私保护原则(FTC Principles)制定相关条款,对成员进行审核与规范。
对外强化国际合作,以贸易条约为主的国际缔约成为其强化数据跨境治理话语权的重要方式。美国独特性地在国际贸易协定中不断纳入个人数据跨境细则以保护本国权益,不断推行其数据自由流动的理念,并按照其利益变化不断对国际立场予以重新解释。1983年,美国发布声明,要建设以国民待遇和最惠国待遇为核心的国际投资准则,并在后续OECD等协定中进一步实施相应的个人数据流动政策;美国以跨境隐私保护规则(Cross-Border Privacy Rules,CBPR)为突破口,不断纳入协议国家并在相关国际协定中进一步要求承认其规则的有效性;巩固强强合作,先后与欧盟协商制定了《安全港协议》(U.S.-EU Safe Harbor Framework Documents)和《隐私盾框架》(EU-U.S. Privacy Shield Framework),打通欧美数据流动路径;着重缔结小型双边和多边协议,陆续与韩国签订《美-韩自由贸易协定》,与加拿大、墨西哥达成《美国-墨西哥-加拿大协议》(United States-Mexico-Canada Agreement,USMCA),便利了区域内数据的流通。同时,随其利益变化不断更改其国际立场,如在其主导制定《跨太平洋伙伴关系协定》后不久,因立场变化宣布退出,直接禁止一切计算设施的本地化要求。
4.3 以分散监管、长臂管辖、“事后-前置”规制为实施手段
对内分部门、分行业进行分散监管。美国对公共部门采用以《隐私权监管法案》为代表的制度为依据,通过FTC、FCIOC、FCC等执法机构对各个对口部门进行分散监管,采用不诉不理的被动方式;对于私营部门,美国对企业是否达到美国行业组织设置的隐私保护标准来进行水平考核,以行业自律模式为基础,以隐私保护标准为考核指标,对相关主体按照行业隐私联盟及相关组织的规范,发放行业认证标识,定期实施评估,对无法达到隐私保护标准的企业取消认证,从而通过行业自律联盟形成业内约束。
对外积极拓展长臂管辖,不断延伸治理效力范畴。美国依托CLOUD法案等相关政策,强化长臂管辖、数据控制者原则,不断降低“最低限度联系”门槛,将其调取数据的权限伸到了地球上所有与美国相关的企业内部,并提供相应具体的实施方案,不断拓展同盟伙伴,延伸治理效力范畴;强化投资管辖,美国扩大对与个人数据相关的外资公司的审查力度,确保美国人的个人数据不脱离美国的控制,从而保护美国本土的个人数据,打击试图进入美国市场的国外竞争对手。
整体形成“事后-前置”模式。传统上,美国奉行法不禁止即自由原则,倡导在没有明确法律禁止的情况下主体可自由使用相关个人数据,不预设数据跨境限制,鼓励和促进数据跨境的自由流动,发生侵权事件之后再通过民事争端解决机制进行追责。近年来,美国在多方利益平衡的需求下,进一步完善其“事后问责”机制。2015年,为缓解互联网发展和个人隐私之间的矛盾,奥巴马政府出台《消费者隐私权利法案》(Consumer Privacy Bill of Rights Act of 2015),规定数据运营者应保障运营透明度和保护数据主权的权利,由此开始从消极的事后救济模式转向发现即可止损的前置模式,治理方式与监管方式不断在数据存储、数据获取、数据归属等前序环节发力,从而完善其事后审查模式,规避事后审查可能带来的滞后、僵硬的问题。
5 俄罗斯个人数据跨境治理模式:安全保障与逐步收缩下的主权限制模式
俄罗斯作为发展中国家,在个人数据跨境保护上起步较晚,数据市场发展不完善,早期围绕个人数据跨境治理与安全问题,已在信息技术、数据保护、国家安全等方面形成一定的规制体系,之后以美国“棱镜门”事件为催化剂,迅速在安全保障这一核心诉求下,从倡导数据较自由流动,逐步收缩至严格限制本地存储的严格限制模式,从而实现对个人数据跨境的极高安全保障和国家主权安全的根本性维护。
5.1 以国家安全、本地化存储为核心原则
国家安全是俄罗斯数据跨境立法的根本性诉求。俄罗斯2000版《联邦政府信息安全学说》在本国面临的信息安全威胁中,纳入对本国信息产业发展构成的威胁以及对境内的信息系统构成的威胁等四大类。早在2006年通过的《关于信息、信息技术和信息保护法》《俄罗斯联邦个人数据法》中,俄罗斯就开始要求在个人数据跨境传输之前应确保外国境内对个人数据主体权利提供了充分保护,并预置安全阀条款,规定当局可以以国家安全为由禁止或限制跨境数据转移;随着美国“棱镜门”事件的发酵,全球网络空间竞争加剧,俄罗斯于2014年在前序立法的基础上进行修改,增加对境内存储、确保数据主体知情权的新要求,明确个人数据的存储与处理工作均应在俄罗斯主权域内开展,不得侵害俄罗斯国家安全和公共利益;2016年出台了修正版重新定义网络安全威胁,将通过金融信贷等领域的电脑侵犯个人隐私的方法纳入风险因素。
原则上不断强化个人数据本地存储,逐步收缩个人数据出境。俄罗斯的数据本地化政策要求任何存储俄罗斯国民信息的组织,无论是客户还是社交媒体用户,都必须将该数据移至俄罗斯服务器,而且要保证俄罗斯数据库中的数据被最先记录,且保持最新和最全。2014年《信息保护法》修正案规定“自网民接收、传递、发送和处理语音信息、文字、图像等电子信息六个月内,互联网信息传播组织者必须在俄罗斯境内对以上网民个人信息及社交信息进行保存,并依法向俄罗斯安全部门提供以备审查”;2015年《个人数据保护法》规定,任何网络媒体必须使用境内服务器进行俄罗斯公司及公民信息的记录、存储和处理。
5.2 以集中修法、强化认证为构建范式
俄罗斯在国际形势的不断变化下,在承袭前序法律的背景下,以密集、集中修法的方式,不断解决面临的新问题。自1995年《关于信息、信息化和信息保护法》为伊始,俄罗斯陆续出台《联邦大众传媒法》《联邦安全局法》《外国投资法》《联邦个人数据法》等系列法案,从法律层面规范数据治理,对个人数据的跨境转移提出了同等保护要求。在“棱镜门”事件后,俄罗斯迅速对前序《俄罗斯联邦个人数据法》《俄罗斯联邦信息、信息技术和信息保护法》等法律展开修订,并发布2012年《外国投资俄罗斯国防和国家安全战略性企业管理办法》、2014年俄罗斯《个人数据保护法》等新法律和系列总统宣言,从而进一步强化个人数据跨境安全。
在个人数据跨境流动上,俄罗斯强化认证体系的法律政策构建范式,并辅以其他途径构建数据安全自由出境的通道。首先以欧洲委员会2013年《个人数据自动化处理之个人保护公约》(简称《斯特拉斯堡公约》)的规定及2014年俄罗斯《个人数据保护法》的白名单制度为依托,俄罗斯对于有缔结条约的缔约国,在不违反俄罗斯国内诉求的情况下可以实现个人数据自由流动;其次是对于经认证后批准的白名单国家,即俄罗斯监管机构确认这些国家为个人数据提供了充足的保护。最后对于其他的国家,若满足经过主体书面同意,或是主体履行合同需要,或是为保护生命健康等特殊情况,同样可以实现个人数据的跨境流动。总体上看,俄罗斯按照个人数据保护情况对数据的流入国进行了区分,通过其确认的国家可以实现数据的自由流动,否则需要满足额外的条件。
5.3 以严格限制、“极端前置”规制为实施手段
俄罗斯采取严格限制的实施手段,主要采取处罚和检查两种手段,并设立专门数据保护监管部门进行规制。2019年普京签署第405号联邦法律,进一步强化对个人数据和信息传播领域内违法行为的处罚力度,对违反数据本地化要求的运营者将处以极高罚款。同时,俄罗斯采用积极主动检查的手段确保规定有效执行,并对违反规定的行为严格依法执行处罚。Linkin、Twitter和Facebook等公司都曾因违反规定而依法受到严厉处罚,这对其他企业起到了威慑作用。俄罗斯通过严格的立法规定和处罚措施,搭配有效的监督检查活动,保证了个人数据跨境流动相关政策的有效实施。
俄罗斯为了安全保障需求,采用“极端前置”实施模式,以本地化存储方式在数据存储阶段就已经展开全面的侵权阻断。近年来,俄罗斯对个人数据跨境的严格限制进一步强化到数据源头,倡导使用国内自研网络系统,要求强化相关技术产品的国有化和本土化。其从2010年起针对政府部门的应用,研制具有自主知识产权的芯片与软件系统,2014年俄罗斯专门出台相关法案规定优先考虑采购国有技术设备与产品,2019年国家网络战略进一步明确将在国家政务系统、关键基础设施中替代海外进口产品,提高国有产品比例。进一步地,俄罗斯也展开对外资进入的信息内容进行审查,通过修订相关法律,针对特种生产技术、核工业及相关武器等涉及国家安全的战略性行业建立了统一的国际安全审查制度。
6 我国个人数据跨境治理现状分析与发展借鉴
紧随国际数据流动热潮,我国个人数据治理重要性逐步被认知,在国家安全视角下搭建了较为完善的立法体系,通过法律法规、行业标准与规则等形式对个人数据跨境流动进行规制。在国家大数据发展战略下,如何进一步完备我国个人数据跨境规制方案,如何保障我国个人数据安全流动的同时促进数字经济健康发展,如何提升愈发激烈的网络空间竞争态势下我国的应对机制,是亟待回答的关键问题。本文基于前文分析,结合我国实际,对我国可能的借鉴点进行挖掘。
6.1 我国个人数据跨境治理现状分析
我国对个人数据跨境流动的管理工作已有初步发展,现有的基本框架主要由《网络安全法》及其配套法规以及行业规范构成,总的来说对个人数据提出了流动分级标准、本地化储存以及安全评估后出境的要求。《网络安全法》第37条中明确提出个人信息和重要数据应本地化存储并应在安全评估后才可出境;《数据安全管理办法(征求意见稿)》中明确要求境内用户浏览境内互联网的流量不得被路由到境外,对于必要个人数据跨境流动需在安全评估后进行;《个人信息安全规范》进行个人信息示例及个人敏感信息判定,规范了个人信息流转过程中的合法化要求、最小化要求、授权同意、明示同意和隐私政策内容及发布;《个人信息出境评估安全办法(征求意见稿)》明确个人数据出境评估关键要素与评估方法。同时,我国通过《金融消费者权益保护实施办法》《人口健康信息管理办法》,对金融、健康等行业和领域内涉及的个人数据,通过行业规范条例进行了跨境流动规定。在国际协约方面,中国开始逐渐接入有关数据流动的条款。2020年11月,中国与其他东盟及相关的共15个国家签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership, RCEP)[18],其中规定了跨境传输数据的规则,总体上坚持了数据自由流动的原则,限制了数据本地化要求,并采取措施共同保护区域内个人数据安全。总体来看,与欧美相比,我国的跨境数据流动保护模式相对单一,在域外立法和国际参与上比较缺失,原则上更加关注个人数据的保护和安全问题。
从我国公民数据跨境流出的实际状况来看,由于政治立场的不同和审查的限制,目前只有少数境外互联网企业在中国大陆实际开展了涉及个人数据的业务,Alphabet、Facebook以及Twitter等大型互联网公司都没能进入大陆市场,配合我国对个人数据跨境流动保护的立法,大陆公民的个人数据跨境流动安全得到了较好的保护。但同时随着国内数字经济的迅速发展,中国的互联网企业正走向全球,在我国现有的数据跨境流动管理模式下,诸多企业在国际业务的开展中受到了美国、印度等国家的抵制,个人数据的传输受阻直接影响着企业的发展,影响到我国数字产业的进一步发展,现有的个人数据跨境流动保护模式受到挑战。目前我国正推进《个人信息保护法》和《数据安全法》的立法工作,这两部法律对个人数据提供了更为详尽和多样的保护手段,并在数据本地化和数据跨境流动的管制上有所放宽,一定程度上反映了我国在现阶段对数据跨境治理模式的新思路。
6.2 我国个人数据跨境治理发展借鉴
当前,我国个人数据跨境治理中仍存在立法体系不够完善、模式较为单一、国际合作不足、行为主体力有不逮等问题,结合欧美俄三国的治理经验,本文对我国提出如下发展思考:
(1)综合性与特殊性立法立规相结合,革新政策体系构建范式。欧美及俄罗斯均呈现个人数据跨境保障综合性、统一性立法与分行业、分领域、分地区特殊性立法相结合特征,欧盟与俄罗斯的统一立法、安全诉求有利于对个人数据的保护,美国的分散立法及行业自律则更符合数据自由流通的需求。当前,我国个人信息保护法草案等仍处于征求意见稿的阶段,国内还未形成面向公民个人信息保护的专门性法律制度,《深圳数据条例》等地方立法已有先例,因此可借鉴统一性原则立法与分业精准立法的模式,一方面出台纲领性、原则性个人数据保障法律,与世界标准接轨并与我国国际数据治理话语权紧密结合,确立个人数据跨境概念、权利与责任体系、救济措施等;另一方面,针对我国不同主体(如妇女、未成年人、特定职业人群)、不同公私部门(政府、企业、行业组织等)、不同数据行业(金融、电信、互联网、医疗健康、教育等)、不同地区范畴(试点区域、省市县级、外贸港口等),展开针对性的立法立规,明确可实施的细分细则,满足不同细粒程度的个人数据跨境流动需求。
(2)中央监管审查与地方、行业辅助治理并行,充分发挥治理主体能动性。欧美及俄罗斯在个人数据治理实施中,以联盟、联邦、中央政府顶层指导和评估个人数据跨境治理,各成员国、各州及各地区实施并参与监管,成为共通的实施模式,同时,美国行业自律模式极大地发挥了数据产业治理能量。当前我国尚不存在专门的个人信息保护监管机构,而是由国家网信办统一协调网络安全的监督和规制工作,由工信部、中国人民银行、国家市场监督局等分别监管相关领域的个人信息保护。鉴于此,我国应借鉴国外,快速成立中央专门监管机构,负责个人数据跨境治理法规制定与实施,并配套地方政府辅助实施,定期开展评估与监管反馈。同时,纳入各信息产业领域行业组织与机构,推动其发挥行业隐私标准制定、认可体系制定、定期评估和协同帮扶等功能,从而形成符合我国国情的中央指导监管地方执行、地方辅助治理并具体实施、行业统一标准并互为监督的实施模式。
(3)完善“事前-中-后”全链规制手段,强化数据跨境生命周期保障。欧美俄均针对数据治理生命周期不同阶段着重规制,欧洲“事前保护”侧重数据出境评估,美国“事后-前置”侧重权益救济与止损,俄罗斯“极端前置”则侧重数据存储与绝对安全,以上模式均有优劣,但各国模式都呈现较为明显的着力点迁移特征。因此,我国应完善个人数据跨境“事前-中-后”的全链规制手段,数据跨境前以数据分级分类管理制度完善评估,对关键数据强化本地化存储;数据跨境时,重视隐私保护与数据泄露通知制度,借鉴美国数据泄露通知制度DBN设计我国通知制度,避免产生治理真空;数据跨境后,强化侵权责任及司法救济制度,综合多种判罚手段,完备对我国个人数据侵权发生的及时救济。
(4)加强国际对话合作,强化国际网络空间中的话语权。对跨境数据的管理离不开国际合作,尤其是目前欧盟、美国各国都企图建立利己的国际规则和规范。在此背景下,开展国际合作无论是对于应对别国数据流动的监管,还是对于在未来参与构建国际规则都是必不可少的。一方面,全球数字市场竞争激烈,国际关系紧张,需要中方积极对话寻求数据跨境流动的共识。目前中美关系紧张,美国在本国个人数据跨境流动中对中国特别关注,通过各种手段限制中国企业进入美国市场,对我国企业的发展制造阻碍。此外,印度也以国家安全和隐私保护为由,下架了一大批中国企业的互联网移动应用[19]。对此,中方应积极与相应国家展开有效对话,就关键问题进行讨论,寻求实现国家间数据自由流动共同认可的方案。美国与欧盟间从“安全港协议”到“隐私盾框架”的协议就已为不同国家将不同个人数据保护模式的有效协商提供了有效实践,中国可多次与其进行对话,促进个人数据的跨境流动。另一方面,全球范围尚未建立起统一的国际规范,当前中国国际话语权日益提高,互联网行业发展迅速,可以努力在国际规则的制定中抢占先机。中国应积极尝试领导构建国际间数据跨境流动的新规则,利用亚洲基础设施开发银行、金砖国家、“一带一路”等开展与周边国家的规则谈判,逐渐增强中国在个人数据跨境流动领域的话语权。
7 结语
大数据时代,个人数据的跨境流动已成为无法阻挡的绝对事实,参与全球经济的各国只能通过一定限制保证数据跨境流动的安全,国际个人数据跨境流动的治理最终也落到了如何在保证数据安全和国家主权的前提下进行数据的跨境流动这一问题上,形成了各具特色的数据安全和自由流动间的调和方案。欧洲延续了人权至上的传统,充分保证数据安全流动,努力做到两者兼顾;美国领先的数字经济带来的优势使其选择提倡数据流动的治理取向,以维护产业竞争优势为核心;俄罗斯在数据跨境流动中额外重视数据安全和国家主权,形成了以数据本地化为核心的治理体系。目前我国数字经济发展迅速,相比之下,数据流动的管理水平亟待提高,以数据本地化和限制数据出境的管理模式无法适应经济发展的需要。对此,笔者根据我国现有的管理模式,提出了综合性与特殊性立法立规相结合,中央监管审查与地方、行业辅助治理并行,完善“事前-中-后”全链规制手段以及加强国际对话等建议,力求实现数据在安全前提下便捷流动,积极融入全球数据跨境流动治理。受篇幅和精力所限,本文仅选取了欧洲、美国和俄罗斯作为研究对象,并对其模式分析可供借鉴的方向,因而观点的广度可能受限,目前全球的数据跨境治理体系还在发展进程中,更多国家的治理模式的特点还有待研究和总结。
参考文献
作者简介
冉从敬, 教授, 博导, 研究方向为大数据治理、政府数据、网络权, Email:rancongjing@163.com;
刘瑞琦, 硕士生, 研究方向为数据科学, 数据政策, Email:richliu@whu.edu.cn;
何梦婷, 博士生, 研究方向为网络主权, 大数据治理, Email:hoomtwhu@163.com。
*原文载于《信息资源管理学报》2021年第3期,欢迎个人转发,公众号转载请联系后台。
* 引用格式
冉从敬, 刘瑞琦, 何梦婷. 国际个人数据跨境流动治理模式及我国借鉴研究[J]. 信息资源管理学报, 2021, 11(3): 30-39.
往期 · 推荐
当期荐读 2021年第3期 • 专题前言 | 数据治理制度建设
当期荐读 2021年第3期 | 欧美数据垄断的治理模式比较及对我国的借鉴研究
制版编辑 | 王阿凤
审核 | 于阿媛
长按识别二维码关注我们
信息资源管理学报
微信号
xxzyglxb
分享、在看与点赞
只要你点,我们就是胖友