美歐數(shù)據(jù)跨境流動立法情況概述

魏書音

摘? ?要：近年來，數(shù)據(jù)跨境流動問題成為國際社會廣泛關(guān)注的話題，也成為各方矛盾焦點和監(jiān)管難題。數(shù)據(jù)跨境監(jiān)管經(jīng)過多年發(fā)展，逐步形成由歐盟和美國主導(dǎo)的兩套規(guī)制體系。美國采取服務(wù)于貿(mào)易的寬松政策，歐盟設(shè)立較為嚴格的制度，同時通過設(shè)置多種場景尋求個人信息保護與數(shù)據(jù)自由流動的平衡。文章表述我國應(yīng)建立重要數(shù)據(jù)分級分類管理制度，針對不同場景設(shè)置多樣化的數(shù)據(jù)跨境流動機制，推動建立數(shù)據(jù)跨境流動行業(yè)自律制度，強化國際合作，積極參與國際規(guī)則的制定。

關(guān)鍵詞：數(shù)據(jù)跨境;數(shù)據(jù)自由流動;數(shù)據(jù)跨境流動制度

1 引言

在大數(shù)據(jù)時代，數(shù)據(jù)成為人類社會生存和發(fā)展的基礎(chǔ)性戰(zhàn)略資源，深刻影響著國防軍事能力、經(jīng)濟運行機制、社會生活方式、國家治理能力，國家間、企業(yè)間對數(shù)據(jù)資源的爭奪日益激烈，“數(shù)據(jù)主權(quán)”面臨嚴峻挑戰(zhàn)，各國政府和企業(yè)已注意到數(shù)據(jù)資源的價值。國家間圍繞數(shù)據(jù)占有和利用的博弈日趨激烈。2013年的“棱鏡門事件”揭示了美國互聯(lián)網(wǎng)公司在“棱鏡”項目中和美國秘密情報機構(gòu)存在串通行為，引發(fā)了各國對數(shù)據(jù)跨境流動的監(jiān)管。

2 美國方案：服務(wù)于貿(mào)易的寬松政策

受貿(mào)易利益驅(qū)動，美國推行寬松的數(shù)據(jù)跨境流動政策。在確保美國安全利益的前提下，最大程度地促進數(shù)據(jù)自由流動。同時，建立個案式的事后監(jiān)管機制，對聯(lián)邦政府的重要數(shù)據(jù)采取較為嚴格的管理措施，在投資、采購等環(huán)節(jié)予以限制，提出數(shù)據(jù)本地化要求，例如在《國防部采購條例補編》中要求“不得將為聯(lián)邦提供云計算的服務(wù)器設(shè)于本土大陸之外”，即除非有官方另行授權(quán)，云計算服務(wù)提供商需要確保其服務(wù)器位于50個州、哥倫比亞特區(qū)或偏遠地區(qū)的美國境內(nèi)。當(dāng)承包商被允許在美國境外保存政府?dāng)?shù)據(jù)時，締約官員應(yīng)向承包商提供書面通知。此外，通過安全審查等方式滿足特定情形下的本地化需求。例如在外國投資安全審查中，通過與外國投資者簽訂協(xié)議的方式控制數(shù)據(jù)流動。

在國際上，通過TPP等在全球宣揚數(shù)據(jù)自由流動理念，防止其他國家對數(shù)據(jù)的嚴格控制。TPP即“跨太平洋戰(zhàn)略經(jīng)濟伙伴關(guān)系協(xié)定（Trans-Pacific Partnership Agreement）”，是目前重要的國際多邊經(jīng)濟談判組織。美國在奧巴馬執(zhí)政時期推動并主導(dǎo)建立了“跨太平洋伙伴關(guān)系協(xié)定”（TPP），進而在此框架下主導(dǎo)跨境數(shù)據(jù)流動的規(guī)則制定，其核心原則是支持跨境數(shù)據(jù)自由流動，反對他國對跨境數(shù)據(jù)自由流動設(shè)限，反對他國的數(shù)據(jù)本地存儲要求。具體條款主要在第十四章—“電子商務(wù)”。TPP第十四章第11條要求：出于商業(yè)所需時，各方應(yīng)當(dāng)允許數(shù)據(jù)（包括個人信息）的跨境流動。但各方為實現(xiàn)正當(dāng)?shù)墓舱吣繕?，可采取限制措施，只要這樣的措施不構(gòu)成恣意、無正當(dāng)理由的歧視，以及超過實現(xiàn)政策目標所需。第13條要求：各方不應(yīng)當(dāng)將使用境內(nèi)的計算設(shè)施作為在其境內(nèi)開展商業(yè)活動的條件之一。其中所提到的“計算設(shè)施”，顯然包括數(shù)據(jù)中心。把上述兩條內(nèi)容合起來解釋就是，如果沒有正當(dāng)?shù)墓舱吣繕?，不得限制?shù)據(jù)跨境流動，而且不得強制在本地存儲數(shù)據(jù)的副本。

2017年1月23日，美國總統(tǒng)特朗普簽署了上任后的第一份行政命令，正式宣布美國退出TPP。奧巴馬執(zhí)政期間，美國在數(shù)據(jù)流動方面的政策主張是希望能夠建立確保數(shù)據(jù)自由流動的國際經(jīng)貿(mào)規(guī)則，特朗普退出TPP這一舉動引發(fā)了業(yè)界對美國是否堅持奧巴馬時代跨境數(shù)據(jù)流動政策的猜測，一些公司甚至已經(jīng)考慮重新修訂個人數(shù)據(jù)保護制度以適應(yīng)未來趨勢。然而，退出TPP是否意味著美國有限制跨境數(shù)據(jù)自由流動的趨勢，仍有待觀察。

此外，利用亞太合作組織（APEC）推廣《APEC跨境隱私規(guī)則體系》（CBPRs），該規(guī)則設(shè)置了一套明確的數(shù)據(jù)保護合規(guī)判斷標準以及認證方式，通過認證的企業(yè)就可以在APEC區(qū)域內(nèi)自由傳輸數(shù)據(jù)。同時，利用自由貿(mào)易協(xié)定（FTA）談判推行美國數(shù)據(jù)跨境規(guī)則。

3 歐盟方案：尋求個人信息保護與數(shù)據(jù)自由流動的平衡

歐洲委員會（Council of Europe）是世界范圍內(nèi)最早對個人數(shù)據(jù)跨境流通進行規(guī)制的區(qū)域性組織之一，建立了較為完善的數(shù)據(jù)流動規(guī)則。先后經(jīng)過108號公約、108號公約附加議定書、95指令，GDPR最終確立了歐盟數(shù)據(jù)跨境流動管理方案。歐盟數(shù)據(jù)跨境流動的要求雖然嚴格，但其針對不同場景設(shè)置了多種方式。

3.1 白名單制度

歐盟公民的個人數(shù)據(jù)只能向那些已經(jīng)達到歐盟數(shù)據(jù)保護水平的國家或地區(qū)流動，若歐盟委員會已確認第三國或國際組織可以提供充分的保護，則可向其轉(zhuǎn)移個人數(shù)據(jù)，不要求任何特定授權(quán)。審查標準參照歐盟數(shù)據(jù)保護水平，主要考慮相關(guān)法律規(guī)定及其落實情況，對人權(quán)和基本自由的尊重、相關(guān)的普通法和行業(yè)法，是否存在獨立監(jiān)督機構(gòu)以確保數(shù)據(jù)保護規(guī)定的遵守及其執(zhí)行等隱私。此外，第三國應(yīng)承諾其提供了與歐盟同等程度的數(shù)據(jù)保護。包括具有有效獨立的數(shù)據(jù)保護監(jiān)管和行政、司法救濟機制，以及與成員國數(shù)據(jù)保護機構(gòu)的合作機制。歐盟對通過審查的國家進行定期評審，評審應(yīng)至少每四年進行一次。目前，除了歐盟27個成員國外，只有加拿大、阿根廷、瑞士等少數(shù)國家達到標準。

3.2 采用歐委會通過的標準數(shù)據(jù)保護條款或經(jīng)監(jiān)督機構(gòu)認可的合同條款。

如果進口方所屬國未達到歐盟數(shù)據(jù)保護要求，數(shù)據(jù)出口方和進口方可以通過采用標準合同條款達成協(xié)議，確保離開歐盟的個人數(shù)據(jù)以歐盟的數(shù)據(jù)保護標準進行處理。實施這一機制，應(yīng)確保第三國符合數(shù)據(jù)保護要求，并維護數(shù)據(jù)主體對歐盟境內(nèi)所作數(shù)據(jù)處理享有的適當(dāng)權(quán)利。 對于適當(dāng)?shù)暮贤瑮l款內(nèi)容，歐盟委員會于2001年、2002年和2004年頒布了三個標準合同文本，分別針對歐盟境內(nèi)的數(shù)據(jù)控制者和境外的數(shù)據(jù)控制者之間，歐盟境內(nèi)的數(shù)據(jù)控制者和境外的數(shù)據(jù)處理者之間的個人數(shù)據(jù)跨境流通進行規(guī)制。標準合同文本的出現(xiàn)為不同制度下的個人數(shù)據(jù)跨境流通所涉及的復(fù)雜法律問題提供了有效的解決方案，在充分保護個人數(shù)據(jù)權(quán)利的前提下促進個人數(shù)據(jù)在各國間的自由流動，為國際貿(mào)易中涉及的個人數(shù)據(jù)跨境流通提供了一個相對寬松且安全的替代性解決方案。不僅如此，適用標準合同文本來對個人數(shù)據(jù)跨境流通進行保護還可以降低數(shù)據(jù)轉(zhuǎn)移成本，促進個人跨境數(shù)據(jù)流動規(guī)則的融合與統(tǒng)一。

3.3 制定具有約束力的企業(yè)規(guī)章制度

如果企業(yè)自身規(guī)章制度中對個人數(shù)據(jù)流動的保障措施達到歐盟數(shù)據(jù)保護充分性的標準，歐盟數(shù)據(jù)保護機構(gòu)可以授權(quán)其處理歐盟的個人數(shù)據(jù)。通過這一方式得到授權(quán)的企業(yè)必須通過歐盟數(shù)據(jù)監(jiān)管機構(gòu)的審核。一是申請歐盟境內(nèi)數(shù)據(jù)監(jiān)管機構(gòu)作為其主管機構(gòu)。企業(yè)自行擬定關(guān)于約束本企業(yè)內(nèi)部的跨境數(shù)據(jù)流通和個人數(shù)據(jù)保護規(guī)則草案，申請歐盟境內(nèi)某一成員國中有資質(zhì)數(shù)據(jù)監(jiān)管機構(gòu)作為其主管機構(gòu)，經(jīng)同意后向其提交規(guī)則草案。二是通過歐盟數(shù)據(jù)監(jiān)管機構(gòu)審核。申請企業(yè)在主管機構(gòu)的指導(dǎo)下修改規(guī)則草案，并在完成后提交給其他成員國數(shù)據(jù)監(jiān)管機構(gòu)征求意見，主管機構(gòu)根據(jù)反饋意見確定規(guī)則草案的最終版本，提交其他成員國的監(jiān)管機構(gòu)進行確認后，約束性企業(yè)規(guī)則獲批生效，報送歐盟數(shù)據(jù)保護工作組進行備案。三是執(zhí)行嚴格的監(jiān)督機制。申請企業(yè)對其落實情況定期進行內(nèi)部審核，并由經(jīng)認證的審核機構(gòu)實施外部監(jiān)督，將相關(guān)的內(nèi)外審核情況向數(shù)據(jù)管理機構(gòu)進行報備，數(shù)據(jù)管理機構(gòu)也可以自行或指定獨立機構(gòu)對企業(yè)的數(shù)據(jù)保護情況進行審核。同時，申請企業(yè)應(yīng)提供合理的配套爭議解決機制，并在必要時請求數(shù)據(jù)管理機構(gòu)介入此類程序。

3.4 為保護公共利益、個人合法權(quán)益等例外情況。

為了數(shù)據(jù)主體生命安全、保障公共利益、保障法律權(quán)利、合同執(zhí)行等，可以向非歐盟成員國數(shù)據(jù)傳輸，但這些例外情況受到了嚴格的限制解釋。一是為公共利益進行的數(shù)據(jù)跨境流動，例如競爭監(jiān)管部門、稅務(wù)機關(guān)或海關(guān)之間、金融監(jiān)管部門之間、社會保障服務(wù)機構(gòu)之間或為了公共衛(wèi)生進行的國際數(shù)據(jù)交換。二是若某一權(quán)益事關(guān)數(shù)據(jù)主體或其他人的切身利益，包括人身安全或生命，即便數(shù)據(jù)主體不具備給予同意的能力，但也進行數(shù)據(jù)傳送。三是為了完成《日內(nèi)瓦公約》規(guī)定的任務(wù)或遵守適用于武裝沖突的國際人道法的規(guī)定，可向國際人權(quán)組織傳送此等個人資料。四是數(shù)據(jù)控制者合法權(quán)益優(yōu)先。針對控制方所追求的重大迫切的合法權(quán)益優(yōu)于數(shù)據(jù)主體的權(quán)益與自由，且控制方已對數(shù)據(jù)傳送所涉及的所有情況做出評估時，可進行僅涉及有限數(shù)據(jù)主體的、不重復(fù)的數(shù)據(jù)傳送。

3.5 經(jīng)批準的認證機制、封印或者標識。

包括獲得批準的認證機制以及第三國控制方或處理方為應(yīng)用相應(yīng)保障措施而做出的有約束力且可強制執(zhí)行的承諾。鼓勵建立數(shù)據(jù)保護認證機制和數(shù)據(jù)保護印章標記，證明控制方和處理方的數(shù)據(jù)處理操作遵守歐盟數(shù)據(jù)保護要求。認證應(yīng)為自愿認證，并可通過透明的流程獲得。此類情形主要適用于公共機構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移活動。行為準則與認證機制是引入的新型的合規(guī)機制，以最大化發(fā)揮第三方監(jiān)督與市場自律作用。

3.6 成員國對于某些特殊情況可以另做具體規(guī)定

授權(quán)成員國對在特殊情形下進行數(shù)據(jù)傳送的可能性做出具體的規(guī)定。一是數(shù)據(jù)主體已給予明確同意，而數(shù)據(jù)傳送又是偶爾為之，且對于合同或法律索償來說是必要的。二是歐盟或成員國國內(nèi)法因公共利益而要求進行數(shù)據(jù)傳送，或依法建立的登記冊會提供信息供公眾或擁有合法權(quán)益的人士查閱。

此外，如果政府當(dāng)局或組織之間具有法律效力且可強制執(zhí)行的文件也可不經(jīng)授權(quán)而進行跨境流動，同時經(jīng)過根據(jù)主管監(jiān)督機構(gòu)的授權(quán)，以下兩種情況也可提供保障措施。一是控制方或處理方與第三國或國際組織的接收者之間的合約條款。二是政府當(dāng)局或組織之間行政管理安排的規(guī)定，包括可強制執(zhí)行的有效數(shù)據(jù)主體權(quán)利。

4 啟示

4.1 建立重要數(shù)據(jù)分級分類管理制度

歐美有關(guān)數(shù)據(jù)跨境流動的統(tǒng)一規(guī)定主要集中于個人信息，對于關(guān)涉國家安全、社會公共利益的重要數(shù)據(jù)跨境流動的限制主要根據(jù)具體行業(yè)數(shù)據(jù)特性在投資、采購、傳輸?shù)雀鱾€環(huán)節(jié)予以體現(xiàn)，確保對數(shù)據(jù)流動的限制在合理范圍內(nèi)。我國應(yīng)借鑒國際經(jīng)驗將重要數(shù)據(jù)和個人信息的跨境流動區(qū)分管理，而對于重要數(shù)據(jù)應(yīng)采取分級分類管理措施，并對其進行分業(yè)管理，并根據(jù)數(shù)據(jù)特性及出境影響采取多樣化的控制措施。如涉及國家秘密、國家安全以及經(jīng)濟安全的數(shù)據(jù)嚴格禁止跨境，必須在境內(nèi)的數(shù)據(jù)中心存儲和處理。對政府和公共部門掌握的其他數(shù)據(jù)實施跨境數(shù)據(jù)流動的條件限制。對普通的個人信息通過落實數(shù)據(jù)控制主體的安全責(zé)任及合同監(jiān)管實施保護。

4.2 針對不同場景設(shè)置多樣化的數(shù)據(jù)跨境流動機制

從國外來看，數(shù)據(jù)跨境流動的管理并非一刀切的模式，而是根據(jù)不同情形建立多元化的管理手段。歐盟不斷在數(shù)據(jù)流動與確保個人信息安全之間尋找平衡，GDPR確認了白名單、標準合同、風(fēng)險評估、協(xié)議控制等多種方式，美國為了確保互聯(lián)網(wǎng)公司在歐盟市場的順利運作也通過與歐盟簽訂協(xié)議的方式遵循歐盟相關(guān)要求。 我國目前的管理思路還集中在風(fēng)險評估的單一手段，一方面，評估工作量大，實施有難度。另一方面，加劇企業(yè)負擔(dān)，導(dǎo)致數(shù)據(jù)流動的滯后性，阻礙數(shù)字經(jīng)濟的發(fā)展。此外，還容易被西方國家扣上“貿(mào)易壁壘”的幌子，對于我國企業(yè)“走出去”產(chǎn)生消極影響。在政策制定中可根據(jù)我國企業(yè)數(shù)據(jù)跨境流動的場景、需求、目的，增加標準合同、協(xié)議控制等方式，為企業(yè)創(chuàng)造良好的政策環(huán)境。

4.3 推動建立數(shù)據(jù)跨境流動行業(yè)自律制度

從美歐跨境數(shù)據(jù)流動監(jiān)管演化來看，美國的行業(yè)自律制度在美歐跨境數(shù)據(jù)流動中發(fā)揮了積極的作用。近些年，隨著我國企業(yè)在國際上開展業(yè)務(wù)的逐漸增多，這些企業(yè)面臨國外政府和隱私保護部門對其個人數(shù)據(jù)和隱私保護水平的嚴格監(jiān)管，行業(yè)協(xié)會組織應(yīng)積極發(fā)揮行業(yè)自律作用，尤其是開展國際業(yè)務(wù)的跨國企業(yè)集團，更應(yīng)該推動建立我國的行業(yè)自律制度，引入國際知名的信息安全管理標準。

4.4 強化國際合作，積極參與制定國際規(guī)則

隨著數(shù)字經(jīng)濟的快速發(fā)展，全球化趨勢也日益明顯，國際合作也必將是跨境數(shù)據(jù)流動監(jiān)管的必然途徑。開展數(shù)據(jù)跨境流動互認等合作，也是確保國外消費者對我國企業(yè)個人信息保護能力信任的最佳方法。我國應(yīng)積極參與APEC跨境隱私規(guī)則（CBPRs）等得到一定國際認可的區(qū)域數(shù)據(jù)保護體系，提高本國跨境數(shù)據(jù)流動規(guī)則。同時，在全球尚未形成統(tǒng)一跨境數(shù)據(jù)流動規(guī)則的情況下，我國與“一帶一路”沿線國家展開雙邊談判，與日本、印度、韓國等其他國家加強溝通，提出中國主張，力爭在法律、監(jiān)管和技術(shù)等方面更多參與建立新時期跨境數(shù)據(jù)傳輸?shù)膰H標準和相關(guān)規(guī)則，保障跨境數(shù)據(jù)流動規(guī)定的公平。

5 結(jié)束語

隨著中國數(shù)字經(jīng)濟的繁榮發(fā)展，越來越多的中國企業(yè)正在“走出去”，國家“一帶一路”戰(zhàn)略也促進了跨境電子貿(mào)易的繁榮，跨境數(shù)據(jù)流動日益頻繁，對數(shù)據(jù)跨境流動規(guī)則的需求也更迫切。為確保安全和發(fā)展的平衡，應(yīng)在充分考慮國家安全因素的前提下，充分借鑒歐美的規(guī)則模式，與國際接軌。

參考文獻

[1] 許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇，2018，33（03）：130-137.

[2] 王融.數(shù)據(jù)跨境流動政策認知與建議—從美歐政策比較及反思視角[J].信息安全與通信保密，2018（03）：41-53.

[3] 吳沈括，霍文新.歐盟數(shù)據(jù)治理新指向：《非個人數(shù)據(jù)自由流動框架條例》（提案）研究[J].網(wǎng)絡(luò)空間安全， 2018，9（03）：30-35.