魏書音
摘? ?要:近年來,數(shù)據(jù)跨境流動問題成為國際社會廣泛關(guān)注的話題,也成為各方矛盾焦點和監(jiān)管難題。數(shù)據(jù)跨境監(jiān)管經(jīng)過多年發(fā)展,逐步形成由歐盟和美國主導(dǎo)的兩套規(guī)制體系。美國采取服務(wù)于貿(mào)易的寬松政策,歐盟設(shè)立較為嚴格的制度,同時通過設(shè)置多種場景尋求個人信息保護與數(shù)據(jù)自由流動的平衡。文章表述我國應(yīng)建立重要數(shù)據(jù)分級分類管理制度,針對不同場景設(shè)置多樣化的數(shù)據(jù)跨境流動機制,推動建立數(shù)據(jù)跨境流動行業(yè)自律制度,強化國際合作,積極參與國際規(guī)則的制定。
關(guān)鍵詞:數(shù)據(jù)跨境;數(shù)據(jù)自由流動;數(shù)據(jù)跨境流動制度
1 引言
在大數(shù)據(jù)時代,數(shù)據(jù)成為人類社會生存和發(fā)展的基礎(chǔ)性戰(zhàn)略資源,深刻影響著國防軍事能力、經(jīng)濟運行機制、社會生活方式、國家治理能力,國家間、企業(yè)間對數(shù)據(jù)資源的爭奪日益激烈,“數(shù)據(jù)主權(quán)”面臨嚴峻挑戰(zhàn),各國政府和企業(yè)已注意到數(shù)據(jù)資源的價值。國家間圍繞數(shù)據(jù)占有和利用的博弈日趨激烈。2013年的“棱鏡門事件”揭示了美國互聯(lián)網(wǎng)公司在“棱鏡”項目中和美國秘密情報機構(gòu)存在串通行為,引發(fā)了各國對數(shù)據(jù)跨境流動的監(jiān)管。
2 美國方案:服務(wù)于貿(mào)易的寬松政策
受貿(mào)易利益驅(qū)動,美國推行寬松的數(shù)據(jù)跨境流動政策。在確保美國安全利益的前提下,最大程度地促進數(shù)據(jù)自由流動。同時,建立個案式的事后監(jiān)管機制,對聯(lián)邦政府的重要數(shù)據(jù)采取較為嚴格的管理措施,在投資、采購等環(huán)節(jié)予以限制,提出數(shù)據(jù)本地化要求,例如在《國防部采購條例補編》中要求“不得將為聯(lián)邦提供云計算的服務(wù)器設(shè)于本土大陸之外”,即除非有官方另行授權(quán),云計算服務(wù)提供商需要確保其服務(wù)器位于50個州、哥倫比亞特區(qū)或偏遠地區(qū)的美國境內(nèi)。當(dāng)承包商被允許在美國境外保存政府?dāng)?shù)據(jù)時,締約官員應(yīng)向承包商提供書面通知。此外,通過安全審查等方式滿足特定情形下的本地化需求。例如在外國投資安全審查中,通過與外國投資者簽訂協(xié)議的方式控制數(shù)據(jù)流動。
在國際上,通過TPP等在全球宣揚數(shù)據(jù)自由流動理念,防止其他國家對數(shù)據(jù)的嚴格控制。TPP即“跨太平洋戰(zhàn)略經(jīng)濟伙伴關(guān)系協(xié)定(Trans-Pacific Partnership Agreement)”,是目前重要的國際多邊經(jīng)濟談判組織。美國在奧巴馬執(zhí)政時期推動并主導(dǎo)建立了“跨太平洋伙伴關(guān)系協(xié)定”(TPP),進而在此框架下主導(dǎo)跨境數(shù)據(jù)流動的規(guī)則制定,其核心原則是支持跨境數(shù)據(jù)自由流動,反對他國對跨境數(shù)據(jù)自由流動設(shè)限,反對他國的數(shù)據(jù)本地存儲要求。具體條款主要在第十四章—“電子商務(wù)”。TPP第十四章第11條要求:出于商業(yè)所需時,各方應(yīng)當(dāng)允許數(shù)據(jù)(包括個人信息)的跨境流動。但各方為實現(xiàn)正當(dāng)?shù)墓舱吣繕?,可采取限制措施,只要這樣的措施不構(gòu)成恣意、無正當(dāng)理由的歧視,以及超過實現(xiàn)政策目標所需。第13條要求:各方不應(yīng)當(dāng)將使用境內(nèi)的計算設(shè)施作為在其境內(nèi)開展商業(yè)活動的條件之一。其中所提到的“計算設(shè)施”,顯然包括數(shù)據(jù)中心。把上述兩條內(nèi)容合起來解釋就是,如果沒有正當(dāng)?shù)墓舱吣繕?,不得限制?shù)據(jù)跨境流動,而且不得強制在本地存儲數(shù)據(jù)的副本。
2017年1月23日,美國總統(tǒng)特朗普簽署了上任后的第一份行政命令,正式宣布美國退出TPP。奧巴馬執(zhí)政期間,美國在數(shù)據(jù)流動方面的政策主張是希望能夠建立確保數(shù)據(jù)自由流動的國際經(jīng)貿(mào)規(guī)則,特朗普退出TPP這一舉動引發(fā)了業(yè)界對美國是否堅持奧巴馬時代跨境數(shù)據(jù)流動政策的猜測,一些公司甚至已經(jīng)考慮重新修訂個人數(shù)據(jù)保護制度以適應(yīng)未來趨勢。然而,退出TPP是否意味著美國有限制跨境數(shù)據(jù)自由流動的趨勢,仍有待觀察。
此外,利用亞太合作組織(APEC)推廣《APEC跨境隱私規(guī)則體系》(CBPRs),該規(guī)則設(shè)置了一套明確的數(shù)據(jù)保護合規(guī)判斷標準以及認證方式,通過認證的企業(yè)就可以在APEC區(qū)域內(nèi)自由傳輸數(shù)據(jù)。同時,利用自由貿(mào)易協(xié)定(FTA)談判推行美國數(shù)據(jù)跨境規(guī)則。
3 歐盟方案:尋求個人信息保護與數(shù)據(jù)自由流動的平衡
歐洲委員會(Council of Europe)是世界范圍內(nèi)最早對個人數(shù)據(jù)跨境流通進行規(guī)制的區(qū)域性組織之一,建立了較為完善的數(shù)據(jù)流動規(guī)則。先后經(jīng)過108號公約、108號公約附加議定書、95指令,GDPR最終確立了歐盟數(shù)據(jù)跨境流動管理方案。歐盟數(shù)據(jù)跨境流動的要求雖然嚴格,但其針對不同場景設(shè)置了多種方式。
3.1 白名單制度
歐盟公民的個人數(shù)據(jù)只能向那些已經(jīng)達到歐盟數(shù)據(jù)保護水平的國家或地區(qū)流動,若歐盟委員會已確認第三國或國際組織可以提供充分的保護,則可向其轉(zhuǎn)移個人數(shù)據(jù),不要求任何特定授權(quán)。審查標準參照歐盟數(shù)據(jù)保護水平,主要考慮相關(guān)法律規(guī)定及其落實情況,對人權(quán)和基本自由的尊重、相關(guān)的普通法和行業(yè)法,是否存在獨立監(jiān)督機構(gòu)以確保數(shù)據(jù)保護規(guī)定的遵守及其執(zhí)行等隱私。此外,第三國應(yīng)承諾其提供了與歐盟同等程度的數(shù)據(jù)保護。包括具有有效獨立的數(shù)據(jù)保護監(jiān)管和行政、司法救濟機制,以及與成員國數(shù)據(jù)保護機構(gòu)的合作機制。歐盟對通過審查的國家進行定期評審,評審應(yīng)至少每四年進行一次。目前,除了歐盟27個成員國外,只有加拿大、阿根廷、瑞士等少數(shù)國家達到標準。
3.2 采用歐委會通過的標準數(shù)據(jù)保護條款或經(jīng)監(jiān)督機構(gòu)認可的合同條款。
如果進口方所屬國未達到歐盟數(shù)據(jù)保護要求,數(shù)據(jù)出口方和進口方可以通過采用標準合同條款達成協(xié)議,確保離開歐盟的個人數(shù)據(jù)以歐盟的數(shù)據(jù)保護標準進行處理。實施這一機制,應(yīng)確保第三國符合數(shù)據(jù)保護要求,并維護數(shù)據(jù)主體對歐盟境內(nèi)所作數(shù)據(jù)處理享有的適當(dāng)權(quán)利。 對于適當(dāng)?shù)暮贤瑮l款內(nèi)容,歐盟委員會于2001年、2002年和2004年頒布了三個標準合同文本,分別針對歐盟境內(nèi)的數(shù)據(jù)控制者和境外的數(shù)據(jù)控制者之間,歐盟境內(nèi)的數(shù)據(jù)控制者和境外的數(shù)據(jù)處理者之間的個人數(shù)據(jù)跨境流通進行規(guī)制。標準合同文本的出現(xiàn)為不同制度下的個人數(shù)據(jù)跨境流通所涉及的復(fù)雜法律問題提供了有效的解決方案,在充分保護個人數(shù)據(jù)權(quán)利的前提下促進個人數(shù)據(jù)在各國間的自由流動,為國際貿(mào)易中涉及的個人數(shù)據(jù)跨境流通提供了一個相對寬松且安全的替代性解決方案。不僅如此,適用標準合同文本來對個人數(shù)據(jù)跨境流通進行保護還可以降低數(shù)據(jù)轉(zhuǎn)移成本,促進個人跨境數(shù)據(jù)流動規(guī)則的融合與統(tǒng)一。
3.3 制定具有約束力的企業(yè)規(guī)章制度
如果企業(yè)自身規(guī)章制度中對個人數(shù)據(jù)流動的保障措施達到歐盟數(shù)據(jù)保護充分性的標準,歐盟數(shù)據(jù)保護機構(gòu)可以授權(quán)其處理歐盟的個人數(shù)據(jù)。通過這一方式得到授權(quán)的企業(yè)必須通過歐盟數(shù)據(jù)監(jiān)管機構(gòu)的審核。一是申請歐盟境內(nèi)數(shù)據(jù)監(jiān)管機構(gòu)作為其主管機構(gòu)。企業(yè)自行擬定關(guān)于約束本企業(yè)內(nèi)部的跨境數(shù)據(jù)流通和個人數(shù)據(jù)保護規(guī)則草案,申請歐盟境內(nèi)某一成員國中有資質(zhì)數(shù)據(jù)監(jiān)管機構(gòu)作為其主管機構(gòu),經(jīng)同意后向其提交規(guī)則草案。二是通過歐盟數(shù)據(jù)監(jiān)管機構(gòu)審核。申請企業(yè)在主管機構(gòu)的指導(dǎo)下修改規(guī)則草案,并在完成后提交給其他成員國數(shù)據(jù)監(jiān)管機構(gòu)征求意見,主管機構(gòu)根據(jù)反饋意見確定規(guī)則草案的最終版本,提交其他成員國的監(jiān)管機構(gòu)進行確認后,約束性企業(yè)規(guī)則獲批生效,報送歐盟數(shù)據(jù)保護工作組進行備案。三是執(zhí)行嚴格的監(jiān)督機制。申請企業(yè)對其落實情況定期進行內(nèi)部審核,并由經(jīng)認證的審核機構(gòu)實施外部監(jiān)督,將相關(guān)的內(nèi)外審核情況向數(shù)據(jù)管理機構(gòu)進行報備,數(shù)據(jù)管理機構(gòu)也可以自行或指定獨立機構(gòu)對企業(yè)的數(shù)據(jù)保護情況進行審核。同時,申請企業(yè)應(yīng)提供合理的配套爭議解決機制,并在必要時請求數(shù)據(jù)管理機構(gòu)介入此類程序。
3.4 為保護公共利益、個人合法權(quán)益等例外情況。
為了數(shù)據(jù)主體生命安全、保障公共利益、保障法律權(quán)利、合同執(zhí)行等,可以向非歐盟成員國數(shù)據(jù)傳輸,但這些例外情況受到了嚴格的限制解釋。一是為公共利益進行的數(shù)據(jù)跨境流動,例如競爭監(jiān)管部門、稅務(wù)機關(guān)或海關(guān)之間、金融監(jiān)管部門之間、社會保障服務(wù)機構(gòu)之間或為了公共衛(wèi)生進行的國際數(shù)據(jù)交換。二是若某一權(quán)益事關(guān)數(shù)據(jù)主體或其他人的切身利益,包括人身安全或生命,即便數(shù)據(jù)主體不具備給予同意的能力,但也進行數(shù)據(jù)傳送。三是為了完成《日內(nèi)瓦公約》規(guī)定的任務(wù)或遵守適用于武裝沖突的國際人道法的規(guī)定,可向國際人權(quán)組織傳送此等個人資料。四是數(shù)據(jù)控制者合法權(quán)益優(yōu)先。針對控制方所追求的重大迫切的合法權(quán)益優(yōu)于數(shù)據(jù)主體的權(quán)益與自由,且控制方已對數(shù)據(jù)傳送所涉及的所有情況做出評估時,可進行僅涉及有限數(shù)據(jù)主體的、不重復(fù)的數(shù)據(jù)傳送。
3.5 經(jīng)批準的認證機制、封印或者標識。
包括獲得批準的認證機制以及第三國控制方或處理方為應(yīng)用相應(yīng)保障措施而做出的有約束力且可強制執(zhí)行的承諾。鼓勵建立數(shù)據(jù)保護認證機制和數(shù)據(jù)保護印章標記,證明控制方和處理方的數(shù)據(jù)處理操作遵守歐盟數(shù)據(jù)保護要求。認證應(yīng)為自愿認證,并可通過透明的流程獲得。此類情形主要適用于公共機構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移活動。行為準則與認證機制是引入的新型的合規(guī)機制,以最大化發(fā)揮第三方監(jiān)督與市場自律作用。
3.6 成員國對于某些特殊情況可以另做具體規(guī)定
授權(quán)成員國對在特殊情形下進行數(shù)據(jù)傳送的可能性做出具體的規(guī)定。一是數(shù)據(jù)主體已給予明確同意,而數(shù)據(jù)傳送又是偶爾為之,且對于合同或法律索償來說是必要的。二是歐盟或成員國國內(nèi)法因公共利益而要求進行數(shù)據(jù)傳送,或依法建立的登記冊會提供信息供公眾或擁有合法權(quán)益的人士查閱。
此外,如果政府當(dāng)局或組織之間具有法律效力且可強制執(zhí)行的文件也可不經(jīng)授權(quán)而進行跨境流動,同時經(jīng)過根據(jù)主管監(jiān)督機構(gòu)的授權(quán),以下兩種情況也可提供保障措施。一是控制方或處理方與第三國或國際組織的接收者之間的合約條款。二是政府當(dāng)局或組織之間行政管理安排的規(guī)定,包括可強制執(zhí)行的有效數(shù)據(jù)主體權(quán)利。
4 啟示
4.1 建立重要數(shù)據(jù)分級分類管理制度
歐美有關(guān)數(shù)據(jù)跨境流動的統(tǒng)一規(guī)定主要集中于個人信息,對于關(guān)涉國家安全、社會公共利益的重要數(shù)據(jù)跨境流動的限制主要根據(jù)具體行業(yè)數(shù)據(jù)特性在投資、采購、傳輸?shù)雀鱾€環(huán)節(jié)予以體現(xiàn),確保對數(shù)據(jù)流動的限制在合理范圍內(nèi)。我國應(yīng)借鑒國際經(jīng)驗將重要數(shù)據(jù)和個人信息的跨境流動區(qū)分管理,而對于重要數(shù)據(jù)應(yīng)采取分級分類管理措施,并對其進行分業(yè)管理,并根據(jù)數(shù)據(jù)特性及出境影響采取多樣化的控制措施。如涉及國家秘密、國家安全以及經(jīng)濟安全的數(shù)據(jù)嚴格禁止跨境,必須在境內(nèi)的數(shù)據(jù)中心存儲和處理。對政府和公共部門掌握的其他數(shù)據(jù)實施跨境數(shù)據(jù)流動的條件限制。對普通的個人信息通過落實數(shù)據(jù)控制主體的安全責(zé)任及合同監(jiān)管實施保護。
4.2 針對不同場景設(shè)置多樣化的數(shù)據(jù)跨境流動機制
從國外來看,數(shù)據(jù)跨境流動的管理并非一刀切的模式,而是根據(jù)不同情形建立多元化的管理手段。歐盟不斷在數(shù)據(jù)流動與確保個人信息安全之間尋找平衡,GDPR確認了白名單、標準合同、風(fēng)險評估、協(xié)議控制等多種方式,美國為了確保互聯(lián)網(wǎng)公司在歐盟市場的順利運作也通過與歐盟簽訂協(xié)議的方式遵循歐盟相關(guān)要求。 我國目前的管理思路還集中在風(fēng)險評估的單一手段,一方面,評估工作量大,實施有難度。另一方面,加劇企業(yè)負擔(dān),導(dǎo)致數(shù)據(jù)流動的滯后性,阻礙數(shù)字經(jīng)濟的發(fā)展。此外,還容易被西方國家扣上“貿(mào)易壁壘”的幌子,對于我國企業(yè)“走出去”產(chǎn)生消極影響。在政策制定中可根據(jù)我國企業(yè)數(shù)據(jù)跨境流動的場景、需求、目的,增加標準合同、協(xié)議控制等方式,為企業(yè)創(chuàng)造良好的政策環(huán)境。
4.3 推動建立數(shù)據(jù)跨境流動行業(yè)自律制度
從美歐跨境數(shù)據(jù)流動監(jiān)管演化來看,美國的行業(yè)自律制度在美歐跨境數(shù)據(jù)流動中發(fā)揮了積極的作用。近些年,隨著我國企業(yè)在國際上開展業(yè)務(wù)的逐漸增多,這些企業(yè)面臨國外政府和隱私保護部門對其個人數(shù)據(jù)和隱私保護水平的嚴格監(jiān)管,行業(yè)協(xié)會組織應(yīng)積極發(fā)揮行業(yè)自律作用,尤其是開展國際業(yè)務(wù)的跨國企業(yè)集團,更應(yīng)該推動建立我國的行業(yè)自律制度,引入國際知名的信息安全管理標準。
4.4 強化國際合作,積極參與制定國際規(guī)則
隨著數(shù)字經(jīng)濟的快速發(fā)展,全球化趨勢也日益明顯,國際合作也必將是跨境數(shù)據(jù)流動監(jiān)管的必然途徑。開展數(shù)據(jù)跨境流動互認等合作,也是確保國外消費者對我國企業(yè)個人信息保護能力信任的最佳方法。我國應(yīng)積極參與APEC跨境隱私規(guī)則(CBPRs)等得到一定國際認可的區(qū)域數(shù)據(jù)保護體系,提高本國跨境數(shù)據(jù)流動規(guī)則。同時,在全球尚未形成統(tǒng)一跨境數(shù)據(jù)流動規(guī)則的情況下,我國與“一帶一路”沿線國家展開雙邊談判,與日本、印度、韓國等其他國家加強溝通,提出中國主張,力爭在法律、監(jiān)管和技術(shù)等方面更多參與建立新時期跨境數(shù)據(jù)傳輸?shù)膰H標準和相關(guān)規(guī)則,保障跨境數(shù)據(jù)流動規(guī)定的公平。
5 結(jié)束語
隨著中國數(shù)字經(jīng)濟的繁榮發(fā)展,越來越多的中國企業(yè)正在“走出去”,國家“一帶一路”戰(zhàn)略也促進了跨境電子貿(mào)易的繁榮,跨境數(shù)據(jù)流動日益頻繁,對數(shù)據(jù)跨境流動規(guī)則的需求也更迫切。為確保安全和發(fā)展的平衡,應(yīng)在充分考慮國家安全因素的前提下,充分借鑒歐美的規(guī)則模式,與國際接軌。
參考文獻
[1] 許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇,2018,33(03):130-137.
[2] 王融.數(shù)據(jù)跨境流動政策認知與建議—從美歐政策比較及反思視角[J].信息安全與通信保密,2018(03):41-53.
[3] 吳沈括,霍文新.歐盟數(shù)據(jù)治理新指向:《非個人數(shù)據(jù)自由流動框架條例》(提案)研究[J].網(wǎng)絡(luò)空間安全, 2018,9(03):30-35.