魏書音
摘? ?要:近年來,數(shù)據(jù)跨境流動問題成為國際社會廣泛關(guān)注的話題,也成為各方矛盾焦點(diǎn)和監(jiān)管難題。數(shù)據(jù)跨境監(jiān)管經(jīng)過多年發(fā)展,逐步形成由歐盟和美國主導(dǎo)的兩套規(guī)制體系。美國采取服務(wù)于貿(mào)易的寬松政策,歐盟設(shè)立較為嚴(yán)格的制度,同時(shí)通過設(shè)置多種場景尋求個(gè)人信息保護(hù)與數(shù)據(jù)自由流動的平衡。文章表述我國應(yīng)建立重要數(shù)據(jù)分級分類管理制度,針對不同場景設(shè)置多樣化的數(shù)據(jù)跨境流動機(jī)制,推動建立數(shù)據(jù)跨境流動行業(yè)自律制度,強(qiáng)化國際合作,積極參與國際規(guī)則的制定。
關(guān)鍵詞:數(shù)據(jù)跨境;數(shù)據(jù)自由流動;數(shù)據(jù)跨境流動制度
1 引言
在大數(shù)據(jù)時(shí)代,數(shù)據(jù)成為人類社會生存和發(fā)展的基礎(chǔ)性戰(zhàn)略資源,深刻影響著國防軍事能力、經(jīng)濟(jì)運(yùn)行機(jī)制、社會生活方式、國家治理能力,國家間、企業(yè)間對數(shù)據(jù)資源的爭奪日益激烈,“數(shù)據(jù)主權(quán)”面臨嚴(yán)峻挑戰(zhàn),各國政府和企業(yè)已注意到數(shù)據(jù)資源的價(jià)值。國家間圍繞數(shù)據(jù)占有和利用的博弈日趨激烈。2013年的“棱鏡門事件”揭示了美國互聯(lián)網(wǎng)公司在“棱鏡”項(xiàng)目中和美國秘密情報(bào)機(jī)構(gòu)存在串通行為,引發(fā)了各國對數(shù)據(jù)跨境流動的監(jiān)管。
2 美國方案:服務(wù)于貿(mào)易的寬松政策
受貿(mào)易利益驅(qū)動,美國推行寬松的數(shù)據(jù)跨境流動政策。在確保美國安全利益的前提下,最大程度地促進(jìn)數(shù)據(jù)自由流動。同時(shí),建立個(gè)案式的事后監(jiān)管機(jī)制,對聯(lián)邦政府的重要數(shù)據(jù)采取較為嚴(yán)格的管理措施,在投資、采購等環(huán)節(jié)予以限制,提出數(shù)據(jù)本地化要求,例如在《國防部采購條例補(bǔ)編》中要求“不得將為聯(lián)邦提供云計(jì)算的服務(wù)器設(shè)于本土大陸之外”,即除非有官方另行授權(quán),云計(jì)算服務(wù)提供商需要確保其服務(wù)器位于50個(gè)州、哥倫比亞特區(qū)或偏遠(yuǎn)地區(qū)的美國境內(nèi)。當(dāng)承包商被允許在美國境外保存政府?dāng)?shù)據(jù)時(shí),締約官員應(yīng)向承包商提供書面通知。此外,通過安全審查等方式滿足特定情形下的本地化需求。例如在外國投資安全審查中,通過與外國投資者簽訂協(xié)議的方式控制數(shù)據(jù)流動。
在國際上,通過TPP等在全球宣揚(yáng)數(shù)據(jù)自由流動理念,防止其他國家對數(shù)據(jù)的嚴(yán)格控制。TPP即“跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴關(guān)系協(xié)定(Trans-Pacific Partnership Agreement)”,是目前重要的國際多邊經(jīng)濟(jì)談判組織。美國在奧巴馬執(zhí)政時(shí)期推動并主導(dǎo)建立了“跨太平洋伙伴關(guān)系協(xié)定”(TPP),進(jìn)而在此框架下主導(dǎo)跨境數(shù)據(jù)流動的規(guī)則制定,其核心原則是支持跨境數(shù)據(jù)自由流動,反對他國對跨境數(shù)據(jù)自由流動設(shè)限,反對他國的數(shù)據(jù)本地存儲要求。具體條款主要在第十四章—“電子商務(wù)”。TPP第十四章第11條要求:出于商業(yè)所需時(shí),各方應(yīng)當(dāng)允許數(shù)據(jù)(包括個(gè)人信息)的跨境流動。但各方為實(shí)現(xiàn)正當(dāng)?shù)墓舱吣繕?biāo),可采取限制措施,只要這樣的措施不構(gòu)成恣意、無正當(dāng)理由的歧視,以及超過實(shí)現(xiàn)政策目標(biāo)所需。第13條要求:各方不應(yīng)當(dāng)將使用境內(nèi)的計(jì)算設(shè)施作為在其境內(nèi)開展商業(yè)活動的條件之一。其中所提到的“計(jì)算設(shè)施”,顯然包括數(shù)據(jù)中心。把上述兩條內(nèi)容合起來解釋就是,如果沒有正當(dāng)?shù)墓舱吣繕?biāo),不得限制數(shù)據(jù)跨境流動,而且不得強(qiáng)制在本地存儲數(shù)據(jù)的副本。
2017年1月23日,美國總統(tǒng)特朗普簽署了上任后的第一份行政命令,正式宣布美國退出TPP。奧巴馬執(zhí)政期間,美國在數(shù)據(jù)流動方面的政策主張是希望能夠建立確保數(shù)據(jù)自由流動的國際經(jīng)貿(mào)規(guī)則,特朗普退出TPP這一舉動引發(fā)了業(yè)界對美國是否堅(jiān)持奧巴馬時(shí)代跨境數(shù)據(jù)流動政策的猜測,一些公司甚至已經(jīng)考慮重新修訂個(gè)人數(shù)據(jù)保護(hù)制度以適應(yīng)未來趨勢。然而,退出TPP是否意味著美國有限制跨境數(shù)據(jù)自由流動的趨勢,仍有待觀察。
此外,利用亞太合作組織(APEC)推廣《APEC跨境隱私規(guī)則體系》(CBPRs),該規(guī)則設(shè)置了一套明確的數(shù)據(jù)保護(hù)合規(guī)判斷標(biāo)準(zhǔn)以及認(rèn)證方式,通過認(rèn)證的企業(yè)就可以在APEC區(qū)域內(nèi)自由傳輸數(shù)據(jù)。同時(shí),利用自由貿(mào)易協(xié)定(FTA)談判推行美國數(shù)據(jù)跨境規(guī)則。
3 歐盟方案:尋求個(gè)人信息保護(hù)與數(shù)據(jù)自由流動的平衡
歐洲委員會(Council of Europe)是世界范圍內(nèi)最早對個(gè)人數(shù)據(jù)跨境流通進(jìn)行規(guī)制的區(qū)域性組織之一,建立了較為完善的數(shù)據(jù)流動規(guī)則。先后經(jīng)過108號公約、108號公約附加議定書、95指令,GDPR最終確立了歐盟數(shù)據(jù)跨境流動管理方案。歐盟數(shù)據(jù)跨境流動的要求雖然嚴(yán)格,但其針對不同場景設(shè)置了多種方式。
3.1 白名單制度
歐盟公民的個(gè)人數(shù)據(jù)只能向那些已經(jīng)達(dá)到歐盟數(shù)據(jù)保護(hù)水平的國家或地區(qū)流動,若歐盟委員會已確認(rèn)第三國或國際組織可以提供充分的保護(hù),則可向其轉(zhuǎn)移個(gè)人數(shù)據(jù),不要求任何特定授權(quán)。審查標(biāo)準(zhǔn)參照歐盟數(shù)據(jù)保護(hù)水平,主要考慮相關(guān)法律規(guī)定及其落實(shí)情況,對人權(quán)和基本自由的尊重、相關(guān)的普通法和行業(yè)法,是否存在獨(dú)立監(jiān)督機(jī)構(gòu)以確保數(shù)據(jù)保護(hù)規(guī)定的遵守及其執(zhí)行等隱私。此外,第三國應(yīng)承諾其提供了與歐盟同等程度的數(shù)據(jù)保護(hù)。包括具有有效獨(dú)立的數(shù)據(jù)保護(hù)監(jiān)管和行政、司法救濟(jì)機(jī)制,以及與成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)的合作機(jī)制。歐盟對通過審查的國家進(jìn)行定期評審,評審應(yīng)至少每四年進(jìn)行一次。目前,除了歐盟27個(gè)成員國外,只有加拿大、阿根廷、瑞士等少數(shù)國家達(dá)到標(biāo)準(zhǔn)。
3.2 采用歐委會通過的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款或經(jīng)監(jiān)督機(jī)構(gòu)認(rèn)可的合同條款。
如果進(jìn)口方所屬國未達(dá)到歐盟數(shù)據(jù)保護(hù)要求,數(shù)據(jù)出口方和進(jìn)口方可以通過采用標(biāo)準(zhǔn)合同條款達(dá)成協(xié)議,確保離開歐盟的個(gè)人數(shù)據(jù)以歐盟的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)進(jìn)行處理。實(shí)施這一機(jī)制,應(yīng)確保第三國符合數(shù)據(jù)保護(hù)要求,并維護(hù)數(shù)據(jù)主體對歐盟境內(nèi)所作數(shù)據(jù)處理享有的適當(dāng)權(quán)利。 對于適當(dāng)?shù)暮贤瑮l款內(nèi)容,歐盟委員會于2001年、2002年和2004年頒布了三個(gè)標(biāo)準(zhǔn)合同文本,分別針對歐盟境內(nèi)的數(shù)據(jù)控制者和境外的數(shù)據(jù)控制者之間,歐盟境內(nèi)的數(shù)據(jù)控制者和境外的數(shù)據(jù)處理者之間的個(gè)人數(shù)據(jù)跨境流通進(jìn)行規(guī)制。標(biāo)準(zhǔn)合同文本的出現(xiàn)為不同制度下的個(gè)人數(shù)據(jù)跨境流通所涉及的復(fù)雜法律問題提供了有效的解決方案,在充分保護(hù)個(gè)人數(shù)據(jù)權(quán)利的前提下促進(jìn)個(gè)人數(shù)據(jù)在各國間的自由流動,為國際貿(mào)易中涉及的個(gè)人數(shù)據(jù)跨境流通提供了一個(gè)相對寬松且安全的替代性解決方案。不僅如此,適用標(biāo)準(zhǔn)合同文本來對個(gè)人數(shù)據(jù)跨境流通進(jìn)行保護(hù)還可以降低數(shù)據(jù)轉(zhuǎn)移成本,促進(jìn)個(gè)人跨境數(shù)據(jù)流動規(guī)則的融合與統(tǒng)一。
3.3 制定具有約束力的企業(yè)規(guī)章制度
如果企業(yè)自身規(guī)章制度中對個(gè)人數(shù)據(jù)流動的保障措施達(dá)到歐盟數(shù)據(jù)保護(hù)充分性的標(biāo)準(zhǔn),歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)可以授權(quán)其處理歐盟的個(gè)人數(shù)據(jù)。通過這一方式得到授權(quán)的企業(yè)必須通過歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)的審核。一是申請歐盟境內(nèi)數(shù)據(jù)監(jiān)管機(jī)構(gòu)作為其主管機(jī)構(gòu)。企業(yè)自行擬定關(guān)于約束本企業(yè)內(nèi)部的跨境數(shù)據(jù)流通和個(gè)人數(shù)據(jù)保護(hù)規(guī)則草案,申請歐盟境內(nèi)某一成員國中有資質(zhì)數(shù)據(jù)監(jiān)管機(jī)構(gòu)作為其主管機(jī)構(gòu),經(jīng)同意后向其提交規(guī)則草案。二是通過歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)審核。申請企業(yè)在主管機(jī)構(gòu)的指導(dǎo)下修改規(guī)則草案,并在完成后提交給其他成員國數(shù)據(jù)監(jiān)管機(jī)構(gòu)征求意見,主管機(jī)構(gòu)根據(jù)反饋意見確定規(guī)則草案的最終版本,提交其他成員國的監(jiān)管機(jī)構(gòu)進(jìn)行確認(rèn)后,約束性企業(yè)規(guī)則獲批生效,報(bào)送歐盟數(shù)據(jù)保護(hù)工作組進(jìn)行備案。三是執(zhí)行嚴(yán)格的監(jiān)督機(jī)制。申請企業(yè)對其落實(shí)情況定期進(jìn)行內(nèi)部審核,并由經(jīng)認(rèn)證的審核機(jī)構(gòu)實(shí)施外部監(jiān)督,將相關(guān)的內(nèi)外審核情況向數(shù)據(jù)管理機(jī)構(gòu)進(jìn)行報(bào)備,數(shù)據(jù)管理機(jī)構(gòu)也可以自行或指定獨(dú)立機(jī)構(gòu)對企業(yè)的數(shù)據(jù)保護(hù)情況進(jìn)行審核。同時(shí),申請企業(yè)應(yīng)提供合理的配套爭議解決機(jī)制,并在必要時(shí)請求數(shù)據(jù)管理機(jī)構(gòu)介入此類程序。
3.4 為保護(hù)公共利益、個(gè)人合法權(quán)益等例外情況。
為了數(shù)據(jù)主體生命安全、保障公共利益、保障法律權(quán)利、合同執(zhí)行等,可以向非歐盟成員國數(shù)據(jù)傳輸,但這些例外情況受到了嚴(yán)格的限制解釋。一是為公共利益進(jìn)行的數(shù)據(jù)跨境流動,例如競爭監(jiān)管部門、稅務(wù)機(jī)關(guān)或海關(guān)之間、金融監(jiān)管部門之間、社會保障服務(wù)機(jī)構(gòu)之間或?yàn)榱斯残l(wèi)生進(jìn)行的國際數(shù)據(jù)交換。二是若某一權(quán)益事關(guān)數(shù)據(jù)主體或其他人的切身利益,包括人身安全或生命,即便數(shù)據(jù)主體不具備給予同意的能力,但也進(jìn)行數(shù)據(jù)傳送。三是為了完成《日內(nèi)瓦公約》規(guī)定的任務(wù)或遵守適用于武裝沖突的國際人道法的規(guī)定,可向國際人權(quán)組織傳送此等個(gè)人資料。四是數(shù)據(jù)控制者合法權(quán)益優(yōu)先。針對控制方所追求的重大迫切的合法權(quán)益優(yōu)于數(shù)據(jù)主體的權(quán)益與自由,且控制方已對數(shù)據(jù)傳送所涉及的所有情況做出評估時(shí),可進(jìn)行僅涉及有限數(shù)據(jù)主體的、不重復(fù)的數(shù)據(jù)傳送。
3.5 經(jīng)批準(zhǔn)的認(rèn)證機(jī)制、封印或者標(biāo)識。
包括獲得批準(zhǔn)的認(rèn)證機(jī)制以及第三國控制方或處理方為應(yīng)用相應(yīng)保障措施而做出的有約束力且可強(qiáng)制執(zhí)行的承諾。鼓勵(lì)建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制和數(shù)據(jù)保護(hù)印章標(biāo)記,證明控制方和處理方的數(shù)據(jù)處理操作遵守歐盟數(shù)據(jù)保護(hù)要求。認(rèn)證應(yīng)為自愿認(rèn)證,并可通過透明的流程獲得。此類情形主要適用于公共機(jī)構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移活動。行為準(zhǔn)則與認(rèn)證機(jī)制是引入的新型的合規(guī)機(jī)制,以最大化發(fā)揮第三方監(jiān)督與市場自律作用。
3.6 成員國對于某些特殊情況可以另做具體規(guī)定
授權(quán)成員國對在特殊情形下進(jìn)行數(shù)據(jù)傳送的可能性做出具體的規(guī)定。一是數(shù)據(jù)主體已給予明確同意,而數(shù)據(jù)傳送又是偶爾為之,且對于合同或法律索償來說是必要的。二是歐盟或成員國國內(nèi)法因公共利益而要求進(jìn)行數(shù)據(jù)傳送,或依法建立的登記冊會提供信息供公眾或擁有合法權(quán)益的人士查閱。
此外,如果政府當(dāng)局或組織之間具有法律效力且可強(qiáng)制執(zhí)行的文件也可不經(jīng)授權(quán)而進(jìn)行跨境流動,同時(shí)經(jīng)過根據(jù)主管監(jiān)督機(jī)構(gòu)的授權(quán),以下兩種情況也可提供保障措施。一是控制方或處理方與第三國或國際組織的接收者之間的合約條款。二是政府當(dāng)局或組織之間行政管理安排的規(guī)定,包括可強(qiáng)制執(zhí)行的有效數(shù)據(jù)主體權(quán)利。
4 啟示
4.1 建立重要數(shù)據(jù)分級分類管理制度
歐美有關(guān)數(shù)據(jù)跨境流動的統(tǒng)一規(guī)定主要集中于個(gè)人信息,對于關(guān)涉國家安全、社會公共利益的重要數(shù)據(jù)跨境流動的限制主要根據(jù)具體行業(yè)數(shù)據(jù)特性在投資、采購、傳輸?shù)雀鱾€(gè)環(huán)節(jié)予以體現(xiàn),確保對數(shù)據(jù)流動的限制在合理范圍內(nèi)。我國應(yīng)借鑒國際經(jīng)驗(yàn)將重要數(shù)據(jù)和個(gè)人信息的跨境流動區(qū)分管理,而對于重要數(shù)據(jù)應(yīng)采取分級分類管理措施,并對其進(jìn)行分業(yè)管理,并根據(jù)數(shù)據(jù)特性及出境影響采取多樣化的控制措施。如涉及國家秘密、國家安全以及經(jīng)濟(jì)安全的數(shù)據(jù)嚴(yán)格禁止跨境,必須在境內(nèi)的數(shù)據(jù)中心存儲和處理。對政府和公共部門掌握的其他數(shù)據(jù)實(shí)施跨境數(shù)據(jù)流動的條件限制。對普通的個(gè)人信息通過落實(shí)數(shù)據(jù)控制主體的安全責(zé)任及合同監(jiān)管實(shí)施保護(hù)。
4.2 針對不同場景設(shè)置多樣化的數(shù)據(jù)跨境流動機(jī)制
從國外來看,數(shù)據(jù)跨境流動的管理并非一刀切的模式,而是根據(jù)不同情形建立多元化的管理手段。歐盟不斷在數(shù)據(jù)流動與確保個(gè)人信息安全之間尋找平衡,GDPR確認(rèn)了白名單、標(biāo)準(zhǔn)合同、風(fēng)險(xiǎn)評估、協(xié)議控制等多種方式,美國為了確保互聯(lián)網(wǎng)公司在歐盟市場的順利運(yùn)作也通過與歐盟簽訂協(xié)議的方式遵循歐盟相關(guān)要求。 我國目前的管理思路還集中在風(fēng)險(xiǎn)評估的單一手段,一方面,評估工作量大,實(shí)施有難度。另一方面,加劇企業(yè)負(fù)擔(dān),導(dǎo)致數(shù)據(jù)流動的滯后性,阻礙數(shù)字經(jīng)濟(jì)的發(fā)展。此外,還容易被西方國家扣上“貿(mào)易壁壘”的幌子,對于我國企業(yè)“走出去”產(chǎn)生消極影響。在政策制定中可根據(jù)我國企業(yè)數(shù)據(jù)跨境流動的場景、需求、目的,增加標(biāo)準(zhǔn)合同、協(xié)議控制等方式,為企業(yè)創(chuàng)造良好的政策環(huán)境。
4.3 推動建立數(shù)據(jù)跨境流動行業(yè)自律制度
從美歐跨境數(shù)據(jù)流動監(jiān)管演化來看,美國的行業(yè)自律制度在美歐跨境數(shù)據(jù)流動中發(fā)揮了積極的作用。近些年,隨著我國企業(yè)在國際上開展業(yè)務(wù)的逐漸增多,這些企業(yè)面臨國外政府和隱私保護(hù)部門對其個(gè)人數(shù)據(jù)和隱私保護(hù)水平的嚴(yán)格監(jiān)管,行業(yè)協(xié)會組織應(yīng)積極發(fā)揮行業(yè)自律作用,尤其是開展國際業(yè)務(wù)的跨國企業(yè)集團(tuán),更應(yīng)該推動建立我國的行業(yè)自律制度,引入國際知名的信息安全管理標(biāo)準(zhǔn)。
4.4 強(qiáng)化國際合作,積極參與制定國際規(guī)則
隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展,全球化趨勢也日益明顯,國際合作也必將是跨境數(shù)據(jù)流動監(jiān)管的必然途徑。開展數(shù)據(jù)跨境流動互認(rèn)等合作,也是確保國外消費(fèi)者對我國企業(yè)個(gè)人信息保護(hù)能力信任的最佳方法。我國應(yīng)積極參與APEC跨境隱私規(guī)則(CBPRs)等得到一定國際認(rèn)可的區(qū)域數(shù)據(jù)保護(hù)體系,提高本國跨境數(shù)據(jù)流動規(guī)則。同時(shí),在全球尚未形成統(tǒng)一跨境數(shù)據(jù)流動規(guī)則的情況下,我國與“一帶一路”沿線國家展開雙邊談判,與日本、印度、韓國等其他國家加強(qiáng)溝通,提出中國主張,力爭在法律、監(jiān)管和技術(shù)等方面更多參與建立新時(shí)期跨境數(shù)據(jù)傳輸?shù)膰H標(biāo)準(zhǔn)和相關(guān)規(guī)則,保障跨境數(shù)據(jù)流動規(guī)定的公平。
5 結(jié)束語
隨著中國數(shù)字經(jīng)濟(jì)的繁榮發(fā)展,越來越多的中國企業(yè)正在“走出去”,國家“一帶一路”戰(zhàn)略也促進(jìn)了跨境電子貿(mào)易的繁榮,跨境數(shù)據(jù)流動日益頻繁,對數(shù)據(jù)跨境流動規(guī)則的需求也更迫切。為確保安全和發(fā)展的平衡,應(yīng)在充分考慮國家安全因素的前提下,充分借鑒歐美的規(guī)則模式,與國際接軌。
參考文獻(xiàn)
[1] 許多奇.個(gè)人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇,2018,33(03):130-137.
[2] 王融.數(shù)據(jù)跨境流動政策認(rèn)知與建議—從美歐政策比較及反思視角[J].信息安全與通信保密,2018(03):41-53.
[3] 吳沈括,霍文新.歐盟數(shù)據(jù)治理新指向:《非個(gè)人數(shù)據(jù)自由流動框架條例》(提案)研究[J].網(wǎng)絡(luò)空間安全, 2018,9(03):30-35.