【摘要】作為數(shù)字經(jīng)濟驅(qū)動的產(chǎn)物,跨境數(shù)據(jù)流動正受到越來越多國家的重視,然而全球跨境數(shù)據(jù)流動的治理規(guī)則卻變得日益復(fù)雜??缇硵?shù)據(jù)流動從過去關(guān)注技術(shù)問題和個人隱私保護問題,逐漸演變?yōu)橐粋€包括國家安全、數(shù)據(jù)主權(quán)、經(jīng)濟要素等綜合性議題。為此,要結(jié)合雙邊和多邊機制,靈活對接跨境數(shù)據(jù)流動規(guī)則,積極應(yīng)對新技術(shù)所帶來的各種挑戰(zhàn),平衡經(jīng)濟自由與數(shù)據(jù)安全的關(guān)系。
【關(guān)鍵詞】跨境數(shù)據(jù)流動 數(shù)據(jù)安全 新技術(shù)
【中圖分類號】D73/77 【文獻標識碼】A
二十世紀七十年代以來,以經(jīng)濟合作與發(fā)展組織(OECD)、聯(lián)合國跨國公司中心和歐洲理事會為代表的國際組織就開始關(guān)注跨境數(shù)據(jù)流動。1980年,OECD發(fā)布的《關(guān)于保護隱私與個人數(shù)據(jù)跨境流動的指南》成為國際上第一份關(guān)于隱私保護和跨境數(shù)據(jù)流動的法律文件,該指南將個人數(shù)據(jù)跨境流動解釋為“個人數(shù)據(jù)跨越國境的流動”。此后,雖然學(xué)者們關(guān)于定義仍未形成統(tǒng)一意見,但是普遍認為“流動”包括數(shù)據(jù)的跨國訪問、傳輸、轉(zhuǎn)移和使用等一系列行為。
新冠肺炎疫情在全球蔓延,提升了跨境數(shù)據(jù)流動的需求。世界各國都意識到限制跨境數(shù)據(jù)流動不僅阻礙了科學(xué)知識擴散和造成生命損失,而且不利于全球經(jīng)濟恢復(fù)和增長。作為數(shù)字經(jīng)濟驅(qū)動的產(chǎn)物,跨境數(shù)據(jù)流動正受到越來越多國家的重視,并被認為是第四次工業(yè)革命中全球競爭的關(guān)鍵因素。然而,全球跨境數(shù)據(jù)流動的治理規(guī)則卻變得日益復(fù)雜,從過去關(guān)注技術(shù)問題和個人隱私保護問題,逐漸演變?yōu)橐粋€包括國家安全、數(shù)據(jù)主權(quán)、經(jīng)濟要素等綜合性議題。
跨境數(shù)據(jù)的分類管理
隨著數(shù)字經(jīng)濟的迅速發(fā)展,各國對數(shù)據(jù)流動的限制也在急劇增加。據(jù)2019年世界經(jīng)濟論壇估計,全世界約有200多個有關(guān)數(shù)據(jù)流動的法規(guī),限制性的總體水平在過去十年間翻了一番。法規(guī)涉及數(shù)據(jù)執(zhí)法需求、數(shù)據(jù)濫用、數(shù)字經(jīng)濟征稅和不公平競爭等,這說明,一方面到目前為止世界各國在數(shù)據(jù)流動上的互信程度較低,另一方面人們對數(shù)據(jù)問題的日益擔(dān)憂,使得各國不得不制定相應(yīng)的數(shù)據(jù)限制措施。但是,并非所有類型的數(shù)據(jù)都受到同等程度的限制,限制因國家和數(shù)據(jù)情況而異。因此,分類管理是跨境數(shù)據(jù)流動的全球趨勢之一。
根據(jù)數(shù)據(jù)流動性,跨境數(shù)據(jù)大致可分為三類:一是無條件跨境流動的數(shù)據(jù)。數(shù)據(jù)自由跨境流動,沒有附加任何條件與要求。二是有條件跨境流動的數(shù)據(jù)。這類數(shù)據(jù)允許跨境流動,但接收國、數(shù)據(jù)控制器或數(shù)據(jù)處理器必須滿足特定的監(jiān)管條件,否則數(shù)據(jù)不能跨境。這些條件通常包括數(shù)據(jù)主體的同意、數(shù)據(jù)跨境流動后的受保護程度等。但是,如果條件過于苛刻,則此類數(shù)據(jù)實際上就成了禁止跨境流動的數(shù)據(jù)。例如,歐盟對于數(shù)據(jù)跨境流動的“充分性認定”程序就屬于這種情形,它要求數(shù)據(jù)接收國需達到類似歐盟的保護水平時,才允許數(shù)據(jù)跨境流動。三是禁止跨境流動的數(shù)據(jù)。這類數(shù)據(jù)往往被認為非常重要、敏感,不適合進行跨境流動,因此,政府會要求這類數(shù)據(jù)只能在一國境內(nèi)存儲、處理和訪問。但是,到底哪些數(shù)據(jù)屬于禁止跨境流動數(shù)據(jù)?各國對此認識不一。
需要指出的是,各國對數(shù)據(jù)進行分類管理的同時,可能會對數(shù)據(jù)的處理和存儲提出不同要求。在本地存儲方面,這類數(shù)據(jù)無論是否允許跨境流動,都必須在本地存儲,它們可能包括企業(yè)稅務(wù)和會計記錄、文件,以及電信公司或其他互聯(lián)網(wǎng)持有的用戶數(shù)據(jù)。例如,美國雖然法律不禁止數(shù)據(jù)跨境流動,鼓勵數(shù)據(jù)自由流動,但在實際操作中,當(dāng)涉及網(wǎng)絡(luò)與電信方面時,會要求其國內(nèi)通信基礎(chǔ)設(shè)施應(yīng)位于美國境內(nèi),而且要將通信數(shù)據(jù)、交易數(shù)據(jù)、用戶信息等僅存儲在美國境內(nèi)。在本地處理方面,這類數(shù)據(jù)要求其處理須在執(zhí)行國進行。例如,要求運營企業(yè)在該國須擁有數(shù)據(jù)處理中心,或?qū)?shù)據(jù)交由本地數(shù)據(jù)處理企業(yè)幫助處理。這些數(shù)據(jù)通常包括政府?dāng)?shù)據(jù),或金融、健康、電信等敏感數(shù)據(jù)。
跨境數(shù)據(jù)流動的全球態(tài)勢
歐盟跨境數(shù)據(jù)管理體系:基于人權(quán)保護的理念。以“充分性認定”為核心的歐式跨境數(shù)據(jù)流動模式,在斯諾登事件后,對個人數(shù)據(jù)的管理日趨嚴格。2018年正式生效的《歐盟通用數(shù)據(jù)保護條例》(GDPR)旨在試圖建立一套高標準、嚴要求的跨境數(shù)據(jù)流動保護體系。其基本理念是賦予數(shù)據(jù)主體一套法律權(quán)利,將數(shù)據(jù)隱私和保護作為一項基本人權(quán)。
《歐盟通用數(shù)據(jù)保護條例》對個人數(shù)據(jù)從歐盟輸出進行了嚴格限制,其中第五章明確規(guī)定:“合法的數(shù)據(jù)轉(zhuǎn)移前提是,發(fā)生在第三國的數(shù)據(jù)存儲和處理達到歐盟數(shù)據(jù)保護的水平。”因此,如果數(shù)據(jù)要流出歐盟,則歐盟需要對其進行“充分性認定”,從而形成以“充分性認定”為核心的“歐式跨境數(shù)據(jù)流動模式”。但是,如果達不到“充分性認定”標準,則需要數(shù)據(jù)控制者和處理者提供適當(dāng)?shù)陌踩U洗胧饕屑s束性企業(yè)規(guī)則(BCRs)和標準合同條款(SCCs)等。約束性企業(yè)規(guī)則是一種替代標準合同的選擇,針對的是集團企業(yè)在跨國經(jīng)營過程中的數(shù)據(jù)跨境傳輸,要求跨國集團總部制定出經(jīng)歐盟認可的數(shù)據(jù)處理的形式與流程。標準合同條款則是要求跨國企業(yè)簽署該合同,一旦簽署,則負有履行數(shù)據(jù)保護義務(wù),同時被認定為符合“充分性”的要求。
美國跨境數(shù)據(jù)管理體系:基于財產(chǎn)權(quán)保護的理念。與歐盟數(shù)據(jù)保護理念不同,美國傾向于將個人數(shù)據(jù)視為個人財產(chǎn),可以轉(zhuǎn)讓給他人,并最終將數(shù)據(jù)的所有權(quán)給予數(shù)據(jù)收集者和處理者,授予其在一定限制下使用和轉(zhuǎn)讓這些數(shù)據(jù)的權(quán)力。長期以來,美國一直都是全球數(shù)據(jù)市場的主導(dǎo)者和最大受益者,其憑借軟硬件的巨大優(yōu)勢,一方面,以商業(yè)利益為導(dǎo)向,鼓勵數(shù)據(jù)跨境自由流動,實現(xiàn)數(shù)據(jù)跨境流動的經(jīng)濟利益最大化;另一方面,對于境內(nèi)數(shù)據(jù)采取嚴格適用屬地管轄原則,同時,又以強大的政治力為后盾,爭奪境外數(shù)據(jù)的管轄權(quán)。因此,形成了以“自由流動”和“長臂管轄”為特征的雙重屬性跨境數(shù)據(jù)流動模式。
在數(shù)據(jù)流動方面,美國在與其他國家、地區(qū)簽訂合作協(xié)議時,憑借自身的強勢地位,主導(dǎo)制定跨境數(shù)據(jù)流動的規(guī)則。早在1997年,克林頓政府就曾推出全球第一個跨境流動治理原則《全球電子商務(wù)框架》,倡導(dǎo)信息要盡可能自由跨境流動,不能變相成為新的貿(mào)易壁壘。此后,美國不僅在世界貿(mào)易組織(WTO)積極倡導(dǎo)跨境數(shù)據(jù)流動不收稅,而且在雙邊或多邊合作協(xié)議談判中,進一步強調(diào)數(shù)據(jù)流動的全球?qū)傩?,旨在打開推行數(shù)據(jù)本地化存儲的國家的市場。2000年和2016年美國與歐盟分別簽署《安全港協(xié)議》和《歐美隱私盾牌》協(xié)定,以解決美歐之間跨境數(shù)據(jù)流動關(guān)于“充分性認定”的問題。2012年美韓簽訂《美韓自由貿(mào)易協(xié)定》時,在有關(guān)“電子商務(wù)”的款項中,要求雙方避免限制跨境數(shù)據(jù)流動,實現(xiàn)數(shù)據(jù)自由流動。類似的還有2018年的《美國—墨西哥—加拿大協(xié)定》(USMCA)、《跨大西洋貿(mào)易與投資伙伴協(xié)議》(TTIP)、《跨境隱私規(guī)則體系》(CBPR)等。
長臂管轄主要體現(xiàn)在《澄清境外數(shù)據(jù)的合法使用法案》(CLOUD Act)。該法案出臺的背景是,2013年美國在調(diào)查一起毒品走私案件時,向微軟公司發(fā)出搜查令,要求微軟提供包括用戶信息和郵件的證據(jù)。雖然微軟提供了存儲在美國服務(wù)器的用戶地址數(shù)據(jù),但是微軟以電子郵件存儲在愛爾蘭的服務(wù)器上為由,認為美國法院的搜查令不具有域外適用效力,從而拒絕提供電子郵件的內(nèi)容。該法案的核心條款規(guī)定:“無論網(wǎng)絡(luò)服務(wù)提供商的通信內(nèi)容、記錄或其他信息是否存儲在美國境內(nèi),只要該網(wǎng)絡(luò)服務(wù)提供者擁有、控制或監(jiān)管上述內(nèi)容、記錄或信息,均需要按照該法令的要求保存、備份、披露。”因此,該法案擴大了美國獲取海外數(shù)據(jù)的權(quán)力,即由過去的“數(shù)據(jù)存儲地標準”轉(zhuǎn)變?yōu)?ldquo;數(shù)據(jù)控制者標準”,這就是所謂的“屬人原則”。此外,外國政府若想通過網(wǎng)絡(luò)提供商訪問調(diào)取儲存在美國的數(shù)據(jù),則必須符合該法案所定義的“符合資格的外國政府”及其所要求的一系列細節(jié)。綜上所述,該法案一方面為美國獲得海外數(shù)據(jù)提供法律依據(jù);另一方面,該法案意味著外國政府想要獲得美國境內(nèi)的數(shù)據(jù)并非易事,換句話說,為美國防止本國數(shù)據(jù)流出,設(shè)置了各種障礙。
歐美間的跨境數(shù)據(jù)流動:從《安全港協(xié)議》到《歐美隱私盾牌》協(xié)定?!栋踩蹍f(xié)議》是歐盟與美國的第一份跨境數(shù)據(jù)流動充分性決議。歐美不僅在數(shù)據(jù)隱私保護理念上有所不同,而且在管理模式上有差異,歐盟為機構(gòu)立法型管理模式,美國是行業(yè)自治型管理模式。但雙方作為重要的貿(mào)易投資合作伙伴,為了協(xié)調(diào)他們之間數(shù)據(jù)保護方式的差異,促進數(shù)據(jù)的自由流通,歐盟委員會在2000年12月發(fā)布《安全港協(xié)議》(Safe Harbor),為歐美之間的數(shù)據(jù)傳輸提供法律依據(jù)。協(xié)議同意,美國企業(yè)自愿加入和遵守協(xié)議,即可被認為達到歐盟的“充分認定”標準。然而,《安全港協(xié)議》在執(zhí)行過程中遇到兩方面問題。第一,《安全港協(xié)議》允許美國企業(yè)采用自愿、宣誓型的方式加入,這與“充分性認定”相比,不僅手續(xù)簡單,而且缺乏透明、充分認定的評估辦法和監(jiān)督機制。第二,當(dāng)歐盟數(shù)據(jù)跨境流入到美國后,如果美國企業(yè)沒有充分保護數(shù)據(jù),歐盟則難以落實救濟機制,從而歐盟公民的救濟權(quán)利難以得到保障。
為解決《安全港協(xié)議》失效后的空白和重塑歐美互信,經(jīng)過協(xié)商,2016年2月美國通過了由歐洲理事會起草的《歐美隱私盾牌》協(xié)定,這是歐美間有關(guān)數(shù)據(jù)流動的第二份充分性決議。與《安全港協(xié)議》相比,《歐美隱私盾牌》協(xié)定有所改進,回應(yīng)了歐盟的相關(guān)關(guān)切,修訂了一些重要內(nèi)容,例如“增強透明度、對歐盟數(shù)據(jù)主體提供多重救濟、對公司的隱私政策規(guī)定了更明確的細則及處罰、參與公司的年度審核機制等”。但是,這份協(xié)議仍然存在一些重大問題。例如,當(dāng)個人數(shù)據(jù)受到不正當(dāng)使用時,救濟流程過于復(fù)雜,不利于申訴;難以根本性地約束美國情報機構(gòu)過度收集和濫用數(shù)據(jù)。實踐中許多公司虛假陳述,未能嚴格遵守《歐美隱私盾牌》協(xié)定。
2020年7月16日,歐盟法院宣布歐美之間的《歐美隱私盾牌》協(xié)定無效,同時確認了歐盟關(guān)于向歐盟/歐洲經(jīng)濟區(qū)以外的處理者轉(zhuǎn)移個人數(shù)據(jù)的標準合同條款(SCCs)的有效性。一方面,考慮到歐盟法院對Schrems II案件的判決,力圖為跨境數(shù)據(jù)流動提供更加充分的保護;另一方面,給企業(yè)提供一個操作更為便利的工具,增加法律上可預(yù)測性和減少不確定性。2021年6月4日,歐盟委員會根據(jù)《通用數(shù)據(jù)保護條例》(GDPR)發(fā)布了新的兩組標準合同條款,一個適用于控制者和處理者之間,另一個適用于向第三國轉(zhuǎn)移個人數(shù)據(jù)。新標準合同條款的主要特點是:其一,一個單一的切入點涵蓋了廣泛的數(shù)據(jù)遷移方案,而不是單獨的條款集。其二,通過“模塊化方法”和提供兩方以上加入和使用條款的可能性,為復(fù)雜的處理鏈提供更多的靈活性。其三,遵守Schrems II案件判決的實用工具箱,即概述公司為遵守Schrems II案件判決必須采取的不同步驟,以及公司在必要時可能采取的“補充措施”的例子,如加密。另外,對于目前使用以前標準合同條款的控制者和處理者,規(guī)定了18個月的過渡期。
此外,2021年6月21日,歐洲數(shù)據(jù)保護委員會(EDPB)發(fā)布了數(shù)據(jù)傳輸補充措施:一是加密問題。在數(shù)據(jù)跨境流動過程中,加密只是作為提供充分保護的補充措施,而不是萬能方案,因為算法隨著時間的推移被破解的風(fēng)險在增大。二是救濟問題。此次補充措施要求數(shù)據(jù)進出口組織在數(shù)據(jù)主體獲得救濟方面提供幫助,甚至是直接從這些組織中獲得賠償。
國外跨境數(shù)據(jù)流動管理體系對我國的啟示
結(jié)合雙邊和多邊機制,靈活對接跨境數(shù)據(jù)流動規(guī)則。歐美作為世界有影響力的兩大經(jīng)濟體,他們在對待數(shù)據(jù)方面的理念差異和具體制度安排存在分歧,但是有關(guān)跨境數(shù)據(jù)流動的規(guī)則制定對全世界來說都具有啟發(fā)性。無論是我國的個人信息保護法,還是印度的《個人數(shù)據(jù)保護法案》都從歐美的跨境數(shù)據(jù)流動規(guī)則中汲取了經(jīng)驗,同時也有助于靈活對接上述兩大法律體系。
跨境數(shù)據(jù)流動問題非常復(fù)雜。在對接美國和歐盟時,一方面,美國對我國依然保持強勢地位,并且擁有技術(shù)優(yōu)勢;另一方面,歐盟的充分性程序認定難以做到非??陀^和標準化,不透明,容易受一些政治事件的影響。因此,在與歐美對接時,我國可以結(jié)合雙邊和多邊機制,利用貿(mào)易與投資協(xié)定,在某些重要數(shù)字領(lǐng)域?qū)で罂缇澈献鳎绾jP(guān)、稅收、航空公司、電信等領(lǐng)域,以繞開單獨的數(shù)據(jù)管理方案。歐盟理事會于2021年3月22日通過《關(guān)于稅收領(lǐng)域行政合作的第2011/16/EU號指令的修正案》,以應(yīng)對數(shù)字平臺經(jīng)濟發(fā)展給稅收領(lǐng)域帶來的挑戰(zhàn)。而我國平臺經(jīng)濟發(fā)展良好,跨境貿(mào)易份額日益提高,因此應(yīng)密切關(guān)注該法案的實施情況。
積極應(yīng)對新技術(shù)帶來的各種挑戰(zhàn)。一方面,隨著新技術(shù)的不斷出現(xiàn)與應(yīng)用,例如面部識別、精準畫像、深度偽造等,這些新技術(shù)不僅對個人數(shù)據(jù),而且對個人的基本權(quán)利,如未成年人保護、反對歧視等,都提出了新的挑戰(zhàn)。量子計算的發(fā)展也對個人數(shù)據(jù)的保護提出了挑戰(zhàn)。另一方面,這些技術(shù)在某些領(lǐng)域的應(yīng)用也可能是一個巨大優(yōu)勢,并有可能加強隱私保護。因此,我們要積極應(yīng)對新技術(shù)發(fā)展給跨境數(shù)據(jù)流動帶來的各種影響。
密切關(guān)注歐盟新的標準合同。新的標準合同雖然有所改進,并滿足了歐盟的最新要求,但是標準合同文本制度的缺陷仍然存在。一方面,該合同文本是基于一般性情況來制定的,缺乏靈活性,難以充分考慮數(shù)據(jù)控制者或數(shù)據(jù)處理者的特殊訴求。另一方面,數(shù)據(jù)傳輸者與數(shù)據(jù)接收者簽訂合同并不等于當(dāng)事人可以毫無障礙地進行個人數(shù)據(jù)的跨境傳輸。歐盟法院于2020年7月16日指出,雖然“標準合同文本”制度仍有效,但是并不意味著數(shù)據(jù)跨境流動暢通無阻。對于我國而言,要密切關(guān)注兩個新的標準合同的實施進展,評估數(shù)據(jù)跨境流動的影響。
平衡經(jīng)濟自由與數(shù)據(jù)安全的關(guān)系。世界許多國家已經(jīng)或正在制定關(guān)于數(shù)據(jù)跨境流動的政策,以實現(xiàn)各種目標。過去跨境數(shù)據(jù)流動限制的主要理由是保護個人隱私,但是隨著數(shù)據(jù)在經(jīng)濟發(fā)展尤其是數(shù)字經(jīng)濟發(fā)展中的作用日益凸顯,數(shù)據(jù)跨境流動的需求日益增加,各種限制理由也日益多元化。數(shù)據(jù)跨境流動問題與國家主權(quán)、安全、執(zhí)法需要、國際貿(mào)易等各類問題深度交融。
斯諾登事件后,許多國家出臺數(shù)據(jù)本地化制度。在此要求下,跨國企業(yè)逐漸進行數(shù)據(jù)本地化存儲。數(shù)據(jù)本地化回應(yīng)了個人信息保護和國家安全的訴求,但是這也增加了跨國企業(yè)的經(jīng)營成本,以及可能限制創(chuàng)新。因此,從宏觀角度來說,各國政府在“數(shù)據(jù)自由流動”與完全“數(shù)據(jù)本地化”之間如何選擇,既考驗一個國家的戰(zhàn)略眼光和管理能力,又取決于國家間的互信。從微觀角度來說,各國需要在數(shù)據(jù)類型分類、風(fēng)險等級分級等細節(jié)方面達成共識。
(作者為中國政法大學(xué)商學(xué)院副院長、法商管理系主任、教授、博導(dǎo))
【參考文獻】
①曹杰、王晶:《跨境數(shù)據(jù)流動規(guī)則分析——以歐美隱私盾協(xié)議為視角》,《國際經(jīng)貿(mào)探索》,2017年第4期。
②劉澤剛:《歐盟個人數(shù)據(jù)保護的“后隱私權(quán)”變革》,《華東政法大學(xué)學(xué)報》,2018年第4期。
③胡煒:《跨境數(shù)據(jù)流動的國際法挑戰(zhàn)及中國應(yīng)對》,《社會科學(xué)家》,2017年第11期。
④韓靜雅:《跨境數(shù)據(jù)流動國際規(guī)制的焦點問題分析》,《河北法學(xué)》,2016年第10期。
⑤[德]克里斯托弗·庫勒著,曠野、楊會永譯:《歐洲數(shù)據(jù)保護法》,北京:法律出版社,2008年。
⑥LillyanaDaza Jaller ,Simon Gaillard and Martín Molinuevo(2020). The regulation of Digital Trade: Key policies and international trends, World Bank report.
⑦Ferracane, M.F. (2017). Restrictions to Cross-Border Data Flows: A Taxonomy,European Centre for International Political Economy (ECIPE): https://ecipe.org/publications/restrictions-to-cross-border-data-flows-a-taxonomy.
⑧金晶:《歐盟〈一般數(shù)據(jù)保護條例〉:演進、要點與疑義》,《歐洲研究》,2018年第4期。
責(zé)編/銀冰瑤 美編/宋揚
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個人轉(zhuǎn)載請回復(fù)本微信號獲得授權(quán),轉(zhuǎn)載時務(wù)必標明來源及作者,否則追究法律責(zé)任。