數(shù)字經(jīng)濟(jì)視角下數(shù)據(jù)跨境規(guī)則的困境與回應(yīng)

鄭淑鳳

隨著數(shù)字經(jīng)濟(jì)的發(fā)展, 數(shù)據(jù)已經(jīng)成為市場(chǎng)競(jìng)爭(zhēng)的核心資源, 其跨境流動(dòng)更是國(guó)際貿(mào)易的重要組成部分。 得益于云計(jì)算的發(fā)展與網(wǎng)絡(luò)的普及, 經(jīng)營(yíng)者可以擺脫地理位置的束縛, 匯集來(lái)自各地的數(shù)據(jù),依據(jù)技術(shù)、 人力、 成本等因素靈活選擇處理與儲(chǔ)存數(shù)據(jù)的地點(diǎn), 數(shù)據(jù)跨境必不可缺。

與此同時(shí), 對(duì)數(shù)據(jù)跨境流動(dòng)的法律監(jiān)管也逐漸加強(qiáng)。 立法者針對(duì)數(shù)據(jù)跨境流動(dòng)活動(dòng)做出限制, 表現(xiàn)為要求在收集國(guó)保留備份乃至禁止數(shù)據(jù)出境、 要求接收方提供對(duì)等數(shù)據(jù)保護(hù)以及開(kāi)展安全審查等。種種限制抬高企業(yè)合規(guī)成本, 迫使經(jīng)營(yíng)者開(kāi)展本地化布局, 在數(shù)據(jù)收集國(guó)建立數(shù)據(jù)處理機(jī)構(gòu), 更為嚴(yán)重的是, 會(huì)叫停依賴數(shù)據(jù)跨境流動(dòng)的商業(yè)活動(dòng)。 2020 年,美國(guó)以收集的數(shù)據(jù)可能會(huì)流向中國(guó)“威脅” 其數(shù)據(jù)隱私與國(guó)家安全為由, 叫停TikTok 在美國(guó)境內(nèi)的服務(wù)(1)2019 年11 月, 特朗普以國(guó)家安全為由, 對(duì)字節(jié)跳動(dòng)收購(gòu)Musical.ly 一案展開(kāi)調(diào)查。 同年12 月, TikTok 在美國(guó)加利福尼亞州被提起集體訴訟, 起訴者認(rèn)為TikTok 將用戶個(gè)人身份信息轉(zhuǎn)移至中國(guó)的服務(wù)器。 TikTok 回應(yīng)其數(shù)據(jù)中心位于中國(guó)境外, 并不與母公司共享, 不受中國(guó)法律管轄, 目前其美國(guó)用戶的數(shù)據(jù)均儲(chǔ)存在美國(guó)境內(nèi)。, 并對(duì)微信在美相關(guān)交易施加禁令(2)2020 年8 月6 日, 特朗普動(dòng)用《國(guó)際緊急經(jīng)濟(jì)權(quán)力法》 《國(guó)家緊急狀態(tài)法》 等法案, 針對(duì)微信發(fā)布行政令, 要求45 天后禁止美國(guó)人和美國(guó)企業(yè)、 機(jī)構(gòu)等與微信及其母公司的交易。 9 月18 日, 美國(guó)商務(wù)部宣布, 為了回應(yīng)特朗普總統(tǒng)于8 月6 日簽署的行政令, 自9 月20 日起禁止與微信有關(guān)的交易, 以維護(hù)美國(guó)的國(guó)家安全。 美國(guó)法官在9 月20 日頒令, 認(rèn)為現(xiàn)有證據(jù)未能證明對(duì)美國(guó)用戶禁止微信可以解決國(guó)家安全的擔(dān)憂, 暫停美國(guó)商務(wù)部9 月18 日對(duì)微信發(fā)布的禁令。; 基于類似理由, 印度同年6 月禁用59 款來(lái)自中國(guó)的應(yīng)用軟件(3)2020 年6 月29 日, 印度信息技術(shù)部宣布59 款來(lái)自中國(guó)的應(yīng)用軟件可能將其用戶數(shù)據(jù)傳入中國(guó), 具有“對(duì)印度國(guó)家安全和防衛(wèi)有敵意的要素”, 要求禁用相應(yīng)軟件。 其中涉及抖音、 快手、 百度地圖等主流應(yīng)用軟件。。 日漸增大的法律風(fēng)險(xiǎn)亟需檢視數(shù)據(jù)跨境規(guī)則適用于數(shù)字經(jīng)營(yíng)活動(dòng)中的潛在問(wèn)題。 本文旨在從數(shù)字經(jīng)濟(jì)視角考察數(shù)據(jù)跨境流動(dòng)規(guī)則, 分析其實(shí)施困境及潛在風(fēng)險(xiǎn), 為我國(guó)構(gòu)建數(shù)據(jù)跨境規(guī)則提供參考。

一、數(shù)字經(jīng)濟(jì)視角下數(shù)據(jù)跨境規(guī)則的發(fā)展

考慮到數(shù)據(jù)跨境流動(dòng)規(guī)則日益繁冗, 本文將其分為數(shù)據(jù)所在國(guó)的單邊數(shù)據(jù)出境監(jiān)管規(guī)則和國(guó)際層面開(kāi)展的數(shù)據(jù)跨境流動(dòng)合作規(guī)則。

(一) 單邊數(shù)據(jù)出境監(jiān)管: 從數(shù)據(jù)出境的專門規(guī)則到外資安全審查的引入

基于隱私保護(hù)、 信息安全、 國(guó)家主權(quán)保護(hù)等多種原因, 各國(guó)都對(duì)本國(guó)數(shù)據(jù)出境開(kāi)展監(jiān)管。

早期單邊數(shù)據(jù)出境監(jiān)管主要體現(xiàn)在專門的數(shù)據(jù)出境要求, 包括數(shù)據(jù)本地化和要求接收國(guó)提供數(shù)據(jù)充分保護(hù)。 數(shù)據(jù)本地化指一國(guó)要求本國(guó)數(shù)據(jù)儲(chǔ)存于本國(guó)境內(nèi), 如俄羅斯要求數(shù)據(jù)運(yùn)營(yíng)商將其公民個(gè)人信息存儲(chǔ)于本國(guó)境內(nèi)的服務(wù)器(4)See article 3, 19 of Russian Federation Federal Law on Personal Data 2006, https:/ /www.dataguidance.com/sites/default/files/en_20190809_russian_personal_data_federal_law_2.pdf., 印度要求一般個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)儲(chǔ)存于本國(guó)境內(nèi), 必須出境的, 需征得本國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)同意(5)See article 33, 34 of Personal Data Protection Bill 2019 of India, https:/ /dataprotectionindia.in/act/.。 歐盟則以《通用數(shù)據(jù)保護(hù)條例》(GDPR) 為基準(zhǔn), 要求數(shù)據(jù)接收國(guó)提供同等數(shù)據(jù)充分保護(hù)規(guī)則。 從《個(gè)人數(shù)據(jù)保護(hù)指令》 開(kāi)始, 歐盟開(kāi)展對(duì)他國(guó)數(shù)據(jù)保護(hù)規(guī)則的評(píng)估; 如果數(shù)據(jù)接收國(guó)的法律不能達(dá)到“充分保護(hù)水平”, 則該國(guó)家可與歐盟相關(guān)機(jī)構(gòu)磋商并訂立有法律約束力與可執(zhí)行性的隱私保護(hù)協(xié)議; 所在國(guó)無(wú)相關(guān)協(xié)議時(shí), 相關(guān)主體可接受標(biāo)準(zhǔn)合同條款(standard contractual clauses, SCCs) 或約束性公司規(guī)則(binding corporate rules, BCRs), 獲得對(duì)歐盟數(shù)據(jù)的接收與處理資格。 歐盟建立了以“充分保護(hù)”為實(shí)質(zhì)標(biāo)準(zhǔn), “充分保護(hù)認(rèn)定—隱私保護(hù)協(xié)議—標(biāo)準(zhǔn)合同或約束性公司規(guī)則” 階梯式的數(shù)據(jù)出境要求。 GDPR對(duì)上述規(guī)定做進(jìn)一步細(xì)化, 包括: 增加充分性認(rèn)定的適用對(duì)象, 國(guó)內(nèi)特定地區(qū)、 行業(yè)也可作為符合充分性認(rèn)定的單位對(duì)象; 增加標(biāo)準(zhǔn)合同的類型; 明確約束性公司規(guī)則的法律地位等。 數(shù)字經(jīng)濟(jì)發(fā)達(dá)的美國(guó)則強(qiáng)調(diào)數(shù)據(jù)跨境的自由化, 未對(duì)數(shù)據(jù)出境做出統(tǒng)一要求。

隨著數(shù)字經(jīng)濟(jì)的發(fā)展, 提供數(shù)字產(chǎn)品或服務(wù)的經(jīng)營(yíng)者成為數(shù)據(jù)跨境的主要主體。 2018 年美國(guó)通過(guò)《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》 (FIRRMA) 授權(quán)外國(guó)投資委員會(huì)(CFIUS) 調(diào)查涉及“維護(hù)或收集可能以威脅國(guó)家安全的方式被利用的美國(guó)公民的敏感個(gè)人數(shù)據(jù)”, 以及導(dǎo)致外資能夠“使用、 開(kāi)發(fā)、 獲得以及披露美國(guó)公民敏感個(gè)人數(shù)據(jù)” 的交易(6)See Sec.201-section 721(a)(3)(C)(i) (II) (aa), (bb) of Foreign Investment Risk Review Modernization Act of 2018, https:/ /www.congress.gov/bill/115th-congress/house-bill/5841/text#toc-H9A2EEF4FC19D4695B2F611FA9C7BC9B6., 即在本國(guó)數(shù)據(jù)出境問(wèn)題上, 美國(guó)基于國(guó)家安全理由允許政府干預(yù)特定數(shù)據(jù)出境行為。 CFIUS 及組成機(jī)構(gòu)可根據(jù)調(diào)查結(jié)果向總統(tǒng)建議應(yīng)對(duì)措施, 總統(tǒng)可直接阻止某項(xiàng)交易, 或附加交易條件, 或撤銷已完成交易。 近年來(lái), 多項(xiàng)涉及數(shù)據(jù)出境的商業(yè)行為被禁止。2018 年1 月, CFIUS 認(rèn)為MoneyGram 收集可用于識(shí)別美國(guó)公民身份的數(shù)據(jù)存在安全威脅而禁止螞蟻金服收購(gòu)MoneyGram (MoneyGram, 2018)。 2020 年3月, 美國(guó)白宮以可能威脅國(guó)家安全為由要求北京中長(zhǎng)石基信息技術(shù)股份有限公司出售其在美國(guó)公司StayNTouch 的所有權(quán)益(the White House, 2020)。同年以數(shù)據(jù)收集與潛在的跨境風(fēng)險(xiǎn)威脅國(guó)家安全為考量, 美國(guó)對(duì)TikTok、 微信在美國(guó)的經(jīng)營(yíng)活動(dòng)施加限制。 近年來(lái), 各國(guó)加強(qiáng)外資審查, 將潛在的數(shù)據(jù)跨境活動(dòng)納入外資安全審查范疇已成趨勢(shì)。 歐盟2020 年實(shí)施《外國(guó)直接投資審查框架條例》, 將數(shù)據(jù)出境活動(dòng)納入審查范圍, 提出成員國(guó)應(yīng)重點(diǎn)關(guān)注涉及“取得敏感資料(包括個(gè)人數(shù)據(jù)) 或控制這些資料信息能力” 的投資領(lǐng)域(7)See article 4.1 (d) of Regulation of the European Parliament and of the Council establishing a framework for the screening of foreign direct investments into the Union 2019, https:/ /eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0452.。 當(dāng)成員國(guó)認(rèn)為外商投資涉及的數(shù)據(jù)傳輸會(huì)威脅本國(guó)安全時(shí), 有權(quán)直接審議或叫停相應(yīng)交易。 但該條例對(duì)成員國(guó)僅具指導(dǎo)效力, 實(shí)際影響有待成員國(guó)后續(xù)的國(guó)內(nèi)法改革。

(二) 數(shù)據(jù)跨境流動(dòng)合作: 從數(shù)據(jù)專門合作到自由貿(mào)易協(xié)定

考量到數(shù)據(jù)自由流動(dòng)對(duì)推動(dòng)經(jīng)濟(jì)發(fā)展的重要作用, 各國(guó)(尤其是數(shù)字經(jīng)濟(jì)較為發(fā)達(dá)的國(guó)家) 積極開(kāi)展數(shù)據(jù)跨境流動(dòng)合作, 減少數(shù)據(jù)跨境壁壘。

1. 數(shù)據(jù)跨境的專門合作

早期國(guó)際合作主要通過(guò)專門的數(shù)據(jù)跨境協(xié)議開(kāi)展。2013 年在美國(guó)主導(dǎo)下, 亞太經(jīng)濟(jì)合作組織(APEC) 通過(guò)《跨境隱私規(guī)則體系》 (CBPRs) 推動(dòng)數(shù)據(jù)跨境的自由流動(dòng)。 CBPRs 以滿足相對(duì)寬松的APEC 隱私框架要求為基礎(chǔ), 由成員國(guó)政府指定一個(gè)或多個(gè)法人擔(dān)任“問(wèn)責(zé)代理機(jī)構(gòu)” (需經(jīng)CBPRs 聯(lián)合監(jiān)督小組認(rèn)可),審核境內(nèi)企業(yè)的數(shù)據(jù)保護(hù)政策。 企業(yè)可以自行制定數(shù)據(jù)保護(hù)政策與傳輸規(guī)則并向問(wèn)責(zé)代理機(jī)構(gòu)申請(qǐng)認(rèn)證,一經(jīng)通過(guò), 即可在成員國(guó)范圍內(nèi)與其他認(rèn)證企業(yè)自由傳輸個(gè)人信息。 盡管CBPRs 采用相對(duì)靈活的機(jī)制吸引合作, 但指定“問(wèn)責(zé)代理機(jī)構(gòu)” 真正加入CBPRs 的只有美國(guó)(TRUSTe)、 日本(JIPDEC)、 新加坡(Infocomm Media Development Authority) 與韓國(guó)(Korea Internet ＆ Security Agency), 且認(rèn)證企業(yè)多為美國(guó)企業(yè), 實(shí)際影響有限。

歐盟巨大的內(nèi)部市場(chǎng)和明確的數(shù)據(jù)出境要求吸引了諸多國(guó)家的主動(dòng)合作。 2000 年, 美國(guó)與歐盟簽訂《安全港協(xié)議》, 自愿加入并承諾遵守協(xié)議中數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的企業(yè)可獲得數(shù)據(jù)傳輸資格。 該協(xié)議以行業(yè)自律為原則, 政府執(zhí)法機(jī)構(gòu)僅在必要時(shí)參與監(jiān)管執(zhí)法。2013 年斯諾登事件暴露了美國(guó)在數(shù)據(jù)保護(hù)方面的漏洞, 《安全港協(xié)議》 被歐盟法院判定無(wú)效(8)Maximillian Schrems v Data Protection Commissioner, Case C-362/14, 6 October 2015.。 對(duì)此,2016 年美歐通過(guò)《隱私盾協(xié)議》 強(qiáng)化了政府對(duì)數(shù)據(jù)傳輸活動(dòng)的監(jiān)管, 其要求加入企業(yè)必須配合美國(guó)商務(wù)部行動(dòng), 且歐盟公民有權(quán)在美國(guó)法院提起訴訟(9)2016 年 1 月 17 日美國(guó)通過(guò)《第 28 號(hào)總統(tǒng)行政指令》, 將美國(guó)境內(nèi)的隱私保護(hù)拓展適用至非美國(guó)公民。 同年《司法救濟(jì)法案》 發(fā)布, 賦予歐洲公民與美國(guó)公民同等的司法救濟(jì)權(quán), 即歐洲公民有權(quán)針對(duì)美國(guó)政府不當(dāng)披露個(gè)人信息的行為, 依據(jù)《1974 年隱私法案》 在美國(guó)法院提起訴訟。 而在此之前, 僅有美國(guó)公民才能向美國(guó)法院提起聯(lián)邦機(jī)構(gòu)侵害個(gè)人隱私的訴訟。。 但2020 年, 歐盟法院在Schrems II 案中認(rèn)為美國(guó)數(shù)據(jù)保護(hù)規(guī)則(特別是美國(guó)《國(guó)家安全法》 ) 未能提供與GDPR 本質(zhì)上相同(essentially equivalent) 的隱私保護(hù), 進(jìn)而認(rèn)定《隱私盾協(xié)議》 無(wú)效(10)Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18).。

在這一階段, 各國(guó)開(kāi)展專門的數(shù)據(jù)跨境合作, 其中以美國(guó)與歐盟為主導(dǎo), 形成各具特色的美國(guó)模式與歐盟模式(李楊等, 2016; 周念利等, 2018)。 在規(guī)則構(gòu)建上, 美國(guó)和歐盟分別主導(dǎo)構(gòu)建以CBPRs 和GDPR為基準(zhǔn)的數(shù)據(jù)跨境保護(hù)要求, 其具體規(guī)則與訴求通過(guò)國(guó)際合作擴(kuò)大影響。 美國(guó)一方面倡導(dǎo)數(shù)據(jù)跨境的自由化, 減少各國(guó)數(shù)據(jù)出境限制, 助力其數(shù)字經(jīng)濟(jì)的全球擴(kuò)張; 另一方面堅(jiān)決維護(hù)國(guó)家安全底線, 在其認(rèn)為數(shù)據(jù)出境威脅其國(guó)家利益時(shí), 授權(quán)政府依FIRRMA 等法律介入乃至叫停相關(guān)活動(dòng)。 歐盟則更強(qiáng)調(diào)數(shù)據(jù)跨境中的隱私保護(hù), 以GDPR 為基準(zhǔn)要求數(shù)據(jù)接收國(guó)構(gòu)建類似的保護(hù)規(guī)則, 有效推動(dòng)了各國(guó)對(duì)其規(guī)則的學(xué)習(xí)與適用。 在運(yùn)行模式上, 考慮到各國(guó)在數(shù)據(jù)保護(hù)上的復(fù)雜利益訴求與矛盾, 國(guó)際合作都采取了相對(duì)靈活的模式。CBPRs 在國(guó)家牽頭下實(shí)行以行業(yè)自律、 問(wèn)責(zé)機(jī)構(gòu)為基礎(chǔ), 事后問(wèn)責(zé)的規(guī)制路徑(許多奇, 2018; 黃寧等,2017), 讓企業(yè)獲得了最大程度的自主權(quán)。 美歐《安全港協(xié)議》 同樣采用企業(yè)自愿加入, 以行業(yè)自律為基礎(chǔ)的寬松合作框架。 這種模式保障了國(guó)際合作的靈活性,最大程度上凝聚共識(shí)、 減少差異, 但存在相當(dāng)大的安全風(fēng)險(xiǎn)(張繼紅, 2018)。

2. 國(guó)際貿(mào)易協(xié)議中的數(shù)據(jù)跨境合作

隨著數(shù)據(jù)專門合作面臨障礙、 數(shù)字經(jīng)濟(jì)影響力擴(kuò)大和新一輪自由貿(mào)易協(xié)議(FTA) 興起, 各國(guó)開(kāi)始通過(guò)貿(mào)易協(xié)定, 在其電子商務(wù)、 數(shù)字貿(mào)易等章節(jié)規(guī)定數(shù)據(jù)跨境合作規(guī)則。

2012 年美國(guó)與韓國(guó)簽訂《美韓自由貿(mào)易協(xié)定》(U.S.-Korea Free Trade Agreement), 第一次在FTA中涉及數(shù)據(jù)的跨境流動(dòng)問(wèn)題, 要求成員方應(yīng)努力避免對(duì)電子跨境流動(dòng)施加或維持不必要的阻礙(11)See article 15.8 of U. S. -Korea Free Trade Agreement 2019, https:/ /ustr.gov/trade-agreements/free-trade-agreements/korus-fta/final-text.。 此后,美國(guó)陸續(xù)通過(guò)貿(mào)易協(xié)定開(kāi)展數(shù)據(jù)跨境合作, 特別是在去除數(shù)據(jù)計(jì)算設(shè)備本地化要求上取得實(shí)質(zhì)性進(jìn)展。 其主導(dǎo)的《跨太平洋伙伴關(guān)系協(xié)定》 (TPP) 規(guī)定, 締約方不得強(qiáng)制要求數(shù)據(jù)計(jì)算設(shè)備存儲(chǔ)在本地, 且對(duì)數(shù)據(jù)跨境的限制不得構(gòu)成任意或不合理歧視或構(gòu)成對(duì)貿(mào)易的變相限制, 除非是為“各自監(jiān)管要求” 以及達(dá)成“合法公共政策” 目標(biāo)(12)See article 14.13.1, 14.13.2 and 14.13.3 of Trans-Pacific Partnership Agreement, https:/ /ustr. gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text.。 雖然美國(guó)后來(lái)退出了該協(xié)議談判, 但其規(guī)則為后續(xù)協(xié)議提供了范本。 2018 年《美墨加貿(mào)易協(xié)定》 (USMCA) 借鑒了TPP 協(xié)議, 要求締約方不得強(qiáng)制數(shù)據(jù)計(jì)算設(shè)施儲(chǔ)存在本地, 但刪去例外條款(13)See article 19.12 of the United States-Mexico-Canada Agreement, https:/ /ustr. gov/trade-agreements/free-trade-agreements/united-statesmexico-canada-agreement/agreement-between., 最大限度地促進(jìn)了數(shù)據(jù)跨境自由化。 此外, USMCA 還引入政府?dāng)?shù)據(jù)公開(kāi)條款, 并借鑒APEC隱私框架要求完善個(gè)人信息保護(hù)原則(14)See article 19.8.1-19.8.6 of the United States-Mexico-Canada Agreement, https:/ /ustr.gov/trade-agreements/free-trade-agreements/unitedstates-mexico-canada-agreement/agreement-between.。

歐盟也開(kāi)始通過(guò)貿(mào)易合作推進(jìn)數(shù)據(jù)跨境的深入合作。 2018 年日本與歐盟簽署《經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(EPA) 和《戰(zhàn)略伙伴關(guān)系協(xié)定》 (SPA), 宣布雙方可無(wú)縫傳輸對(duì)方數(shù)據(jù)(Joshua, 2018)。 世界貿(mào)易研究所一項(xiàng)關(guān)于“雙邊貿(mào)易協(xié)定中的數(shù)據(jù)相關(guān)條款”的研究顯示, 自2000 年起, 全球共有99 項(xiàng)雙邊協(xié)議中包含了至少一條關(guān)于電子商務(wù)和數(shù)據(jù)跨境流動(dòng)的條款, 其中有72 項(xiàng)雙邊協(xié)議包含了電子商務(wù)和數(shù)據(jù)跨境流動(dòng)的章節(jié)。

盡管各國(guó)僅在FTA 的特定章節(jié)、 條款中涉及數(shù)據(jù)跨境規(guī)則, 頗有“曲線救國(guó)” 的意味, 但貿(mào)易合作確實(shí)為各國(guó)開(kāi)展實(shí)質(zhì)上的數(shù)據(jù)跨境合作提供了有效切入點(diǎn)。 一方面, 獨(dú)立而全面的數(shù)據(jù)規(guī)定需兼顧數(shù)據(jù)自由流動(dòng)、 國(guó)家主權(quán)安全和隱私保護(hù)等多方面需求, 因而在規(guī)則制定、 合作推進(jìn)上面臨更多困難,將數(shù)據(jù)跨境置于國(guó)際貿(mào)易語(yǔ)境則弱化了各國(guó)在主權(quán)和隱私保護(hù)等方面的差異, 并結(jié)合經(jīng)濟(jì)發(fā)展訴求提高了各方的合作動(dòng)力; 另一方面, 當(dāng)前FTA 多為小范圍的雙邊或多邊協(xié)定, 合作范圍的縮小也有助于減少差異, 凝聚共識(shí)。

二、現(xiàn)有數(shù)據(jù)跨境規(guī)則的運(yùn)行機(jī)制與落地困境

盡管域外已對(duì)數(shù)據(jù)跨境規(guī)則進(jìn)行了長(zhǎng)期探索,但其在合作模式和規(guī)則實(shí)施中都存在一定問(wèn)題, 阻礙了跨境規(guī)則的有效實(shí)施。

(一) 企業(yè)與監(jiān)管機(jī)構(gòu)間權(quán)力配置失衡

從上述討論可知, 各國(guó)數(shù)據(jù)出境規(guī)則與跨境傳輸合作中多采用企業(yè)自治與機(jī)構(gòu)監(jiān)管結(jié)合的方式:在外資審查中, 企業(yè)自主制定數(shù)據(jù)傳輸政策, 由審查監(jiān)管機(jī)構(gòu)對(duì)其安全性開(kāi)展審核, 決定是否批準(zhǔn)相關(guān)商業(yè)行為; CBPRs 與《安全港協(xié)議》 允許公司或數(shù)據(jù)傳輸機(jī)構(gòu)在滿足協(xié)議要求的基礎(chǔ)上自行構(gòu)建數(shù)據(jù)出境的保護(hù)措施, 由政府或?qū)ｉT機(jī)構(gòu)進(jìn)行評(píng)估或監(jiān)管。 但這種模式有賴于企業(yè)與監(jiān)管機(jī)構(gòu)的合理分工, 為企業(yè)提供靈活性的同時(shí)保障監(jiān)管的有效性,降低安全風(fēng)險(xiǎn), 而實(shí)踐中企業(yè)與監(jiān)管機(jī)構(gòu)的權(quán)力天平往往走向兩極分化。

在單邊數(shù)據(jù)出境監(jiān)管中, 隨著外資安全審查范圍擴(kuò)展至數(shù)據(jù)跨境, 監(jiān)管機(jī)構(gòu)可直接決定是否允許特定數(shù)據(jù)出境活動(dòng), 權(quán)力天平過(guò)分傾向監(jiān)管機(jī)構(gòu)。外資安全審查指東道國(guó)為保護(hù)國(guó)家安全對(duì)外國(guó)資本在本國(guó)投資開(kāi)展商業(yè)活動(dòng)的審核機(jī)制, 屬一國(guó)行使主權(quán)范疇, 具有對(duì)內(nèi)最高性和對(duì)外獨(dú)立性。 審查機(jī)構(gòu)擁有巨大自由裁量權(quán), 即便其能夠克服行政機(jī)構(gòu)固有的效率低下、 權(quán)力尋租問(wèn)題, 但實(shí)踐中仍存在自由裁量權(quán)過(guò)大、 審核標(biāo)準(zhǔn)與市場(chǎng)實(shí)踐存在偏差的風(fēng)險(xiǎn)(甘培忠等, 2015; 王光東, 2016)。 同時(shí), 作為政府機(jī)構(gòu)的審查機(jī)關(guān)可能會(huì)受到國(guó)際關(guān)系、 國(guó)內(nèi)輿論乃至大選選情等外部因素等影響, 導(dǎo)致審查出現(xiàn)偏差并采取與實(shí)際風(fēng)險(xiǎn)不相匹配的限制性措施(陳向陽(yáng), 2020),甚至可利用外資國(guó)家安全審查之名行保護(hù)主義或歧視性措施之實(shí)(15)如CFIUS 在每年向國(guó)會(huì)提交的外國(guó)投資活動(dòng)的報(bào)告中即提出特別關(guān)注中國(guó)相關(guān)的交易。 See CFIUS Reform Under FIRRMA, https: / /crsreports.congress.gov/product/pdf/IF/IF10952.。 此外, 由于國(guó)家安全審查常涉及公眾無(wú)法獲得的機(jī)密信息, 審查工作透明性低。 諸多涉及數(shù)據(jù)跨境流動(dòng)的投資或交易, 都可能被審查機(jī)構(gòu)認(rèn)為對(duì)國(guó)家安全構(gòu)成威脅, 甚至在交易結(jié)束后面臨接受調(diào)查和被要求撤資的風(fēng)險(xiǎn)。

在多邊數(shù)據(jù)跨境合作中, 由于各國(guó)在數(shù)據(jù)跨境中難以達(dá)成共識(shí), 國(guó)際合作多借助相對(duì)靈活的機(jī)制,通過(guò)認(rèn)證評(píng)估的企業(yè)即可自由傳輸數(shù)據(jù), 但權(quán)力的天平過(guò)分傾向企業(yè)。 如CBPRs 允許通過(guò)認(rèn)證的企業(yè)自由傳輸數(shù)據(jù), 在缺乏有力監(jiān)管下, 采用了事后追責(zé)的機(jī)制, 未能有效抵御數(shù)據(jù)安全風(fēng)險(xiǎn)。 這也是CBPRs 目前參與范圍非常有限的重要原因。 歐盟同樣采取事前認(rèn)證模式, 企業(yè)在獲得資質(zhì)認(rèn)證后即可自由傳輸歐盟數(shù)據(jù), 無(wú)需就每次傳輸活動(dòng)獲得單獨(dú)授權(quán)(16)參見(jiàn)GDPR 第45.2 條規(guī)定。。 但歐盟同時(shí)還通過(guò)司法訴訟和合規(guī)審查等保障企業(yè)在實(shí)際數(shù)據(jù)傳輸中合乎規(guī)定。 歐盟以企業(yè)實(shí)際數(shù)據(jù)保護(hù)水平未與GDPR 保持一致為由宣告《安全港協(xié)議》 和《隱私盾協(xié)議》 無(wú)效, 即證明了事前認(rèn)證模式的潛在風(fēng)險(xiǎn)與持續(xù)監(jiān)督的必要性。

(二) 糾紛解決機(jī)制缺位, 管轄權(quán)爭(zhēng)奪激烈

當(dāng)前數(shù)據(jù)跨境合作與國(guó)際平臺(tái)都未能提供有約束力的糾紛或爭(zhēng)議解決機(jī)制, 進(jìn)一步加大了數(shù)據(jù)跨境規(guī)則的落實(shí)困境。

首先, 在國(guó)際數(shù)據(jù)跨境合作中, 美國(guó)與歐盟各自主導(dǎo)兩種模式, 積極擴(kuò)大影響, 但彼此相融性差。有學(xué)者指出, 盡管CBPRs 框架的實(shí)際參與效果較差, 但美國(guó)仍然在國(guó)際舞臺(tái)上積極推行該機(jī)制, 原因在于其希望推動(dòng)各國(guó)在數(shù)據(jù)跨境規(guī)則中遵從CBPRs 較低的保護(hù)標(biāo)準(zhǔn), 避免以國(guó)內(nèi)較高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)要求數(shù)據(jù)接收國(guó)(洪延青, 2021); 而歐盟則在國(guó)際合作中積極推行其較高的GDPR 保護(hù)標(biāo)準(zhǔn), 雙方分歧明顯。 《安全港協(xié)議》 和《隱私盾協(xié)議》 接連無(wú)效也凸顯了美國(guó)與歐盟標(biāo)準(zhǔn)的兼容困境。 特別是兩協(xié)議均未提供獨(dú)立的糾紛解決機(jī)制,針對(duì)美國(guó)以《國(guó)家安全法》 干預(yù)數(shù)據(jù)傳輸?shù)男袨?歐盟個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)并無(wú)管轄權(quán)(17)See European Court of Justice 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbor privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441) (Text with EEA relevance) , https:/ /eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32000D0520., 只能直接宣告協(xié)議無(wú)效。 其次, 雙邊或多邊貿(mào)易協(xié)定的合作方式本身即通過(guò)小范圍合作回避了外部監(jiān)管, 且貿(mào)易協(xié)定中部分為“促進(jìn)數(shù)據(jù)自由流動(dòng)” 或“減少數(shù)據(jù)本地化限制” 等原則性條款, 部分規(guī)定的例外條款缺乏明確釋義, 規(guī)則落實(shí)無(wú)權(quán)威的爭(zhēng)議解決方案。最后, 傳統(tǒng)國(guó)際貿(mào)易糾紛解決平臺(tái)的失效進(jìn)一步加劇了數(shù)據(jù)跨境糾紛的解決困境。 過(guò)去國(guó)際貿(mào)易糾紛主要在世界貿(mào)易組織(WTO) 下解決, WTO 憑借廣泛的影響力和強(qiáng)制執(zhí)行力為規(guī)則落實(shí)和糾紛解決提供保障(易繼明, 2020)。 但當(dāng)前上訴機(jī)構(gòu)停擺,而且WTO 缺乏針對(duì)數(shù)據(jù)跨境的系統(tǒng)規(guī)則, 沒(méi)有糾紛解決依據(jù)。 盡管《服務(wù)貿(mào)易總協(xié)定》 (GATS) 提供促進(jìn)信息的跨境傳輸?shù)囊?guī)定(18)《服務(wù)貿(mào)易總協(xié)定》 電信服務(wù)附件中第5 條規(guī)定“每一成員應(yīng)保證任何其他成員的服務(wù)提供者可使用公共電信傳輸網(wǎng)絡(luò)和服務(wù)在其境內(nèi)或跨境傳送信息……以及使用在任何成員領(lǐng)土內(nèi)的數(shù)據(jù)庫(kù)所包含的或以機(jī)器可讀形式存儲(chǔ)的信息”。, 但其隱私保護(hù)例外與安全例外限制缺乏詳細(xì)的解釋與限制(19)《服務(wù)貿(mào)易總協(xié)定》 第14 條規(guī)定“本協(xié)定的規(guī)定不得解釋為阻止任何成員采用或?qū)嵤┮韵麓胧? (a) 為保護(hù)公共道德或維護(hù)公共秩序而必需的; (b) 為保護(hù)人類、 動(dòng)物或植物的生命或健康而必需的; (c) 為確保服從與本協(xié)定規(guī)定不相抵觸的包括與下述有關(guān)的法律和法規(guī)所必需的: (1) 防止欺詐和欺騙做法的或處理服務(wù)合同違約情事的; (2) 保護(hù)與個(gè)人資料的處理和散播有關(guān)的個(gè)人隱私以及保護(hù)個(gè)人記錄和賬戶秘密的; (3) 安全問(wèn)題”。, 各國(guó)仍可以借此正當(dāng)化對(duì)數(shù)據(jù)跨境的限制措施。 WTO 開(kāi)啟《服務(wù)貿(mào)易協(xié)定》 (TiSA) 談判以彌補(bǔ)數(shù)據(jù)規(guī)則空白, 但各方在禁止數(shù)據(jù)本地化等關(guān)鍵問(wèn)題上意見(jiàn)不同, 難以達(dá)成共識(shí)。(20)See TiSA - Annex on Electronic Commerce 2013, https:/ /netzpolitik.org/wp-upload/TISA-Annex-on-Electronic-Commerce.pdf.

糾紛解決機(jī)制的缺位加劇了各國(guó)對(duì)數(shù)據(jù)管轄權(quán)的爭(zhēng)奪。 近年來(lái), 以美國(guó)、 歐盟為代表的國(guó)家通過(guò)“長(zhǎng)臂管轄” 擴(kuò)張其跨境數(shù)據(jù)執(zhí)法權(quán)。 2018 年, 美國(guó)《澄清域外合法使用數(shù)據(jù)法》 采用“數(shù)據(jù)控制者” 標(biāo)準(zhǔn), 賦予美國(guó)執(zhí)法機(jī)關(guān)對(duì)美國(guó)企業(yè)控制數(shù)據(jù)的執(zhí)法權(quán), 無(wú)論數(shù)據(jù)是否存儲(chǔ)在美國(guó)境內(nèi)(21)See article 2713 of Clarify Lawful Overseas Use of Data Act (Cloud Act 2018), https:/ /www.justice.gov/dag/page/file/1152896/download., 使美國(guó)數(shù)據(jù)管轄權(quán)擴(kuò)展至美國(guó)企業(yè)所在的其他國(guó)家市場(chǎng)。歐盟GDPR 將適用范圍擴(kuò)張至所有為歐盟用戶提供產(chǎn)品和服務(wù)的企業(yè), 不論其是否在歐盟境內(nèi)。 以長(zhǎng)臂管轄為代表的數(shù)據(jù)主權(quán)擴(kuò)張, 導(dǎo)致各國(guó)法律適用連接點(diǎn)增多, 甚至導(dǎo)致國(guó)家間的司法主權(quán)沖突, 給從事跨境數(shù)據(jù)傳輸?shù)钠髽I(yè)帶來(lái)難以調(diào)和的義務(wù)沖突問(wèn)題。 糾紛解決與司法協(xié)調(diào)都需要確立在國(guó)際層面中立、 具有公信力與執(zhí)行力的協(xié)調(diào)機(jī)制, 在推進(jìn)數(shù)據(jù)跨境合作的同時(shí), 應(yīng)合理尊重各國(guó)的數(shù)據(jù)主權(quán)。

三、數(shù)據(jù)跨境規(guī)則的發(fā)展趨勢(shì)與潛在風(fēng)險(xiǎn)

從前述討論可以看出, 數(shù)據(jù)跨境規(guī)則越來(lái)越多脫離其獨(dú)立性, 與國(guó)際數(shù)字貿(mào)易緊密聯(lián)系。 一方面,自由貿(mào)易協(xié)定正成為數(shù)據(jù)跨境合作與規(guī)則構(gòu)建的主要路徑; 另一方面, 外商投資審查成為一國(guó)數(shù)據(jù)出境的重要監(jiān)管方式。 這一聯(lián)系有助于推進(jìn)數(shù)據(jù)跨境的合作, 但也存在諸多風(fēng)險(xiǎn)。

(一) 與貿(mào)易合作的綁定加劇數(shù)字鴻溝

雙邊或多邊貿(mào)易協(xié)定成為數(shù)據(jù)跨境合作的主要形式, 客觀推動(dòng)了數(shù)據(jù)跨境合作的集團(tuán)化格局, 部分國(guó)家被排除在外。 隨著數(shù)據(jù)與經(jīng)濟(jì)的緊密結(jié)合, 數(shù)字經(jīng)濟(jì)發(fā)達(dá)的國(guó)家通過(guò)提供數(shù)字化的商品與服務(wù)成為主要的數(shù)據(jù)接收國(guó), 具有參與構(gòu)建數(shù)據(jù)跨境流動(dòng)規(guī)則的強(qiáng)大動(dòng)力。 如美國(guó)積極推行數(shù)據(jù)跨境的自由化, 為亞馬遜、 谷歌等數(shù)字經(jīng)營(yíng)者的全球擴(kuò)張?zhí)峁┍憷?而數(shù)字經(jīng)濟(jì)不夠發(fā)達(dá), 但數(shù)字產(chǎn)品與服務(wù)消費(fèi)市場(chǎng)巨大的國(guó)家或地區(qū), 則可以憑借內(nèi)部市場(chǎng)吸引他國(guó)參與并遵守其數(shù)據(jù)跨境要求, 獲得話語(yǔ)權(quán)。 如歐盟整合單一數(shù)字市場(chǎng), 以其大規(guī)模相對(duì)富裕的人群消費(fèi)為籌碼推行自己的數(shù)據(jù)跨境規(guī)則。 而數(shù)字經(jīng)濟(jì)不發(fā)達(dá)且消費(fèi)市場(chǎng)不大的國(guó)家或地區(qū)則既無(wú)構(gòu)建數(shù)據(jù)跨境規(guī)則的動(dòng)力, 也無(wú)規(guī)則推行的話語(yǔ)權(quán)。 因此, 數(shù)字經(jīng)濟(jì)相對(duì)發(fā)達(dá)或消費(fèi)市場(chǎng)較大的國(guó)家或地區(qū)可通過(guò)雙邊或多邊貿(mào)易協(xié)定開(kāi)展一定范圍內(nèi)數(shù)據(jù)跨境合作, 并在全球范圍內(nèi)推行其規(guī)則, 而其他國(guó)家或地區(qū)則無(wú)法參與其中同, 并逐漸喪失在該領(lǐng)域的影響力。

數(shù)據(jù)跨境合作的集團(tuán)化會(huì)進(jìn)一步拉大全球數(shù)字經(jīng)濟(jì)發(fā)展的鴻溝。 數(shù)字經(jīng)濟(jì)具有規(guī)模效應(yīng), 算法分析和深度學(xué)習(xí)對(duì)數(shù)據(jù)規(guī)模的需求、 用戶黏性和高額的合規(guī)成本, 都使得大型數(shù)字經(jīng)濟(jì)企業(yè)更具發(fā)展優(yōu)勢(shì)。 較先發(fā)展數(shù)字經(jīng)濟(jì)的國(guó)家可通過(guò)開(kāi)展數(shù)據(jù)跨境合作擴(kuò)大服務(wù)范圍、 提高數(shù)據(jù)收集能力、 優(yōu)化算法與服務(wù), 在商業(yè)活動(dòng)與技術(shù)革新中鞏固優(yōu)勢(shì)地位。 而未加入數(shù)據(jù)跨境合作的國(guó)家或地區(qū), 則在數(shù)字經(jīng)濟(jì)的競(jìng)爭(zhēng)中處于劣勢(shì), 同時(shí)限于其保守的數(shù)據(jù)出境規(guī)則, 也難以享受來(lái)自他國(guó)的數(shù)字產(chǎn)品和服務(wù)。 長(zhǎng)此以往, 此類國(guó)家或地區(qū)易陷入惡性循環(huán), 落后于數(shù)字化潮流, 先發(fā)優(yōu)勢(shì)國(guó)家可繼續(xù)擴(kuò)大其優(yōu)勢(shì), 全球數(shù)字鴻溝加大。

(二) 外資安全審查的不當(dāng)開(kāi)展給跨國(guó)企業(yè)帶來(lái)不合理負(fù)擔(dān)

外資安全審查成為數(shù)據(jù)出境監(jiān)管的重要方式,使得數(shù)據(jù)出境的審查對(duì)象從國(guó)家或地區(qū)轉(zhuǎn)化為從事數(shù)據(jù)傳輸?shù)木唧w企業(yè), 可能會(huì)給企業(yè)帶來(lái)額外風(fēng)險(xiǎn)負(fù)擔(dān)。

哈佛大學(xué)的約瑟夫·奈教授曾指出, 全球信息化時(shí)代的重要特征在于以企業(yè)為代表的行為跨越國(guó)界的非國(guó)家行為體(transnationa lactors) 影響力加強(qiáng)。 從事數(shù)字經(jīng)濟(jì)的跨國(guó)企業(yè)多擁有收集海量數(shù)據(jù)、進(jìn)行深度學(xué)習(xí)、 開(kāi)展算法分析的能力, 對(duì)社會(huì)影響的深度與廣度在部分領(lǐng)域已經(jīng)超過(guò)一般政府組織(22)隨著其職能的擴(kuò)張, 大型經(jīng)營(yíng)者甚至取代部分傳統(tǒng)政府的職能。 例如, 如阿里巴巴、 愛(ài)奇藝等平臺(tái)推行自己的平臺(tái)侵權(quán)監(jiān)督、 舉報(bào)、撤銷內(nèi)容、 罰款等活動(dòng), 開(kāi)展知識(shí)產(chǎn)權(quán)執(zhí)法; 抖音短視頻平臺(tái)、 新浪微博、 今日頭條等通過(guò)個(gè)人推薦算法左右著個(gè)人接收的信息與輿論; 在新冠疫情中, 微信、 支付寶等軟件與政府合作提供健康碼與追蹤個(gè)人行蹤記錄等。(齊延平, 2018)。 對(duì)該類企業(yè)活動(dòng)開(kāi)展監(jiān)管實(shí)屬必要, 但應(yīng)保障監(jiān)管的客觀性和可預(yù)期性。 而隨著國(guó)際競(jìng)爭(zhēng)的開(kāi)展, 國(guó)家間的直接交鋒逐漸轉(zhuǎn)向?qū)鐕?guó)行為體的限制, 政府對(duì)跨國(guó)企業(yè)的監(jiān)管可能會(huì)受到企業(yè)“國(guó)籍”、 國(guó)際關(guān)系等因素的影響。

外資安全審查針對(duì)具體企業(yè)交易行為, 且審查機(jī)構(gòu)有巨大自由裁量權(quán), 與一般數(shù)據(jù)跨境限制相比更具針對(duì)性。 由于提供數(shù)字產(chǎn)品或服務(wù)的跨國(guó)企業(yè)不可避免地需開(kāi)展數(shù)據(jù)跨境傳輸, 以數(shù)據(jù)跨境的安全風(fēng)險(xiǎn)限制企業(yè)活動(dòng)更具靈活性。 從美國(guó)限制Tik-Tok 與微信、 印度限制微信等在本國(guó)的商業(yè)活動(dòng)來(lái)看, 以外資安全審查的方式評(píng)估數(shù)據(jù)跨境風(fēng)險(xiǎn)具有一定恣意性。 不合理地針對(duì)數(shù)據(jù)跨境使用安全審查,如審查機(jī)構(gòu)帶有偏見(jiàn)或受外部影響, 會(huì)給跨國(guó)企業(yè)帶來(lái)更多的不確定性, 阻礙數(shù)字經(jīng)濟(jì)發(fā)展。

四、我國(guó)發(fā)展數(shù)據(jù)跨境規(guī)則的國(guó)內(nèi)與國(guó)際維度

國(guó)際數(shù)據(jù)跨境監(jiān)管對(duì)我國(guó)數(shù)字經(jīng)濟(jì)影響逐漸擴(kuò)大, 而在國(guó)際數(shù)據(jù)跨境的規(guī)則構(gòu)建中, 我國(guó)多處于缺位狀態(tài)。 未來(lái)我國(guó)應(yīng)完善國(guó)內(nèi)數(shù)據(jù)跨境規(guī)則, 參與營(yíng)造開(kāi)放有序的數(shù)據(jù)跨境流動(dòng)環(huán)境。

(一) 完善國(guó)內(nèi)數(shù)據(jù)出境監(jiān)管機(jī)制, 推動(dòng)數(shù)據(jù)有序流動(dòng)

從前述討論可看出, 參與國(guó)際數(shù)據(jù)合作需以完善的數(shù)據(jù)跨境規(guī)則為依托。 成熟的數(shù)據(jù)出境規(guī)則是我國(guó)營(yíng)造開(kāi)放有序的數(shù)據(jù)流動(dòng)環(huán)境、 參與并推動(dòng)國(guó)際數(shù)據(jù)跨境合作的基礎(chǔ)。

1. 我國(guó)數(shù)據(jù)出境的基本立場(chǎng)與規(guī)則構(gòu)建

近年來(lái), 我國(guó)加快數(shù)據(jù)相關(guān)立法, 在2021 年集中出臺(tái)《數(shù)據(jù)安全法》 和《個(gè)人信息保護(hù)法》, 初步建立了完整的數(shù)據(jù)法律框架。 在數(shù)據(jù)出境的監(jiān)管立場(chǎng)上, 我國(guó)早期著重保障數(shù)據(jù)的安全可控(23)參見(jiàn)2015 年《國(guó)家安全法》 第5 條。, 對(duì)特殊行業(yè)的數(shù)據(jù)采取本地化措施(24)我國(guó)對(duì)特殊行業(yè)要求其服務(wù)器、 數(shù)據(jù)等放置在中國(guó)境內(nèi), 參見(jiàn)2016 年國(guó)家新聞出版廣電總局與工信部頒布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》 第8 條, 以及2019 年交通部、 工業(yè)和信息化部、 商務(wù)部等六部門聯(lián)合頒布的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》 第5 條。, 隨著數(shù)字經(jīng)濟(jì)發(fā)展, 我國(guó)在保障安全的前提下回應(yīng)數(shù)據(jù)流動(dòng)需求,提出“促進(jìn)數(shù)據(jù)跨境安全、 自由流動(dòng)”(25)參見(jiàn)2021 年《數(shù)據(jù)安全法》 第11 條。。 較之于美國(guó)強(qiáng)調(diào)數(shù)據(jù)自由流動(dòng)和歐盟對(duì)數(shù)據(jù)中隱私保護(hù)的關(guān)切, 我國(guó)旨在平衡保障國(guó)家安全、 公民隱私和滿足數(shù)據(jù)流動(dòng)的需求, 推動(dòng)數(shù)據(jù)跨境的“有序” 流動(dòng)(26)這在《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿) 》 中也有所體現(xiàn), 其第3 條規(guī)定了“防范數(shù)據(jù)出境安全風(fēng)險(xiǎn), 保障數(shù)據(jù)依法有序自由流動(dòng)”。。

在具體規(guī)則上, 我國(guó)數(shù)據(jù)出境要求根據(jù)數(shù)據(jù)類型與規(guī)模而有所不同。 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者收集的數(shù)據(jù)和收集個(gè)人信息達(dá)到規(guī)定數(shù)量的應(yīng)當(dāng)本地化存儲(chǔ), 必須出境時(shí)需通過(guò)安全評(píng)估(27)參見(jiàn)《網(wǎng)絡(luò)安全法》 第37 條、 《數(shù)據(jù)安全法》 第31 條和《個(gè)人信息保護(hù)法》 第40 條。。 針對(duì)其他個(gè)人信息出境, 我國(guó)借鑒歐盟SCCs 和BCRs 規(guī)則, 增加保護(hù)水平認(rèn)證與標(biāo)準(zhǔn)合同選項(xiàng), 傳輸者可在獲得個(gè)人同意的基礎(chǔ)上從開(kāi)展安全評(píng)估、 個(gè)人信息保護(hù)認(rèn)證和使用網(wǎng)信部門提供的標(biāo)準(zhǔn)合同中選擇其一(28)參見(jiàn)《個(gè)人信息保護(hù)法》 第38、 39 條。。

此外, 我國(guó)規(guī)定在其他國(guó)家或地區(qū)對(duì)中國(guó)采取歧視性的禁止、 限制措施時(shí), 我國(guó)可采取對(duì)等措施,為平衡外國(guó)不當(dāng)限制提供了反制規(guī)定(29)參見(jiàn)《個(gè)人信息保護(hù)法》 第43 條。。

2. 數(shù)據(jù)出境安全評(píng)估的規(guī)則建設(shè)

由前述可知, 安全評(píng)估是我國(guó)數(shù)據(jù)出境監(jiān)管的主要方式。 2021 年國(guó)家互聯(lián)網(wǎng)信息辦公室出臺(tái)《數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿) 》 (以下簡(jiǎn)稱《評(píng)估辦法》 ), 就適用情形、 申請(qǐng)要求、 程序期限、 評(píng)估重點(diǎn)等做出詳細(xì)規(guī)定。

根據(jù)《評(píng)估辦法》, 我國(guó)采用事前評(píng)估模式, 數(shù)據(jù)傳輸者通過(guò)評(píng)估后可獲得數(shù)據(jù)出境資格, 無(wú)需就每次數(shù)據(jù)傳輸都申請(qǐng)?jiān)u估, 為企業(yè)提供靈活空間。 但吸取CBPRs 與《安全港協(xié)議》 安全風(fēng)險(xiǎn)過(guò)高的教訓(xùn),《評(píng)估辦法》 明確“事前評(píng)估和持續(xù)監(jiān)督相結(jié)合” 原則。 對(duì)通過(guò)評(píng)估的企業(yè)堅(jiān)持后續(xù)監(jiān)督, 有助于平衡企業(yè)靈活性與數(shù)據(jù)出境安全。 當(dāng)前《評(píng)估辦法》 中“持續(xù)監(jiān)督” 體現(xiàn)為對(duì)評(píng)估效力2 年期限制和在特定情況下需重新申報(bào)評(píng)估的規(guī)定(30)參見(jiàn)《評(píng)估辦法》 第12 條。, 未來(lái)可繼續(xù)補(bǔ)充持續(xù)監(jiān)督的細(xì)則, 增加數(shù)據(jù)出境抽查機(jī)制, 推動(dòng)該原則的落實(shí)。

在評(píng)估適用上, 根據(jù)現(xiàn)有法律, 安全評(píng)估分別適用于特殊數(shù)據(jù)(關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者收集的數(shù)據(jù)和規(guī)模較大的個(gè)人信息) 和其他個(gè)人信息出境兩種情況(31)參見(jiàn)《網(wǎng)絡(luò)安全法》 第37 條、 《數(shù)據(jù)安全法》 第31 條和《個(gè)人信息保護(hù)法》 第38-40 條。, 而《評(píng)估辦法》 提供統(tǒng)一的評(píng)估標(biāo)準(zhǔn),消弭了區(qū)分適用情形的意義。 一方面, 兩類數(shù)據(jù)出境在風(fēng)險(xiǎn)大小、 來(lái)源上有所差異, 在評(píng)估重點(diǎn)上宜有所區(qū)分。 另一方面, 在個(gè)人信息的出境審批中, 法律將企業(yè)通過(guò)安全評(píng)估與獲得個(gè)人信息保護(hù)認(rèn)證、 使用標(biāo)準(zhǔn)合同置于同等效力, 企業(yè)滿足其一即可自由傳輸個(gè)人信息, 此處安全評(píng)估的標(biāo)準(zhǔn)應(yīng)與個(gè)人信息保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同的內(nèi)容保持實(shí)質(zhì)一致, 避免三種選項(xiàng)差異過(guò)大導(dǎo)致企業(yè)向?qū)捤蛇x項(xiàng)逃逸而其他選項(xiàng)落空的情況?？紤]到我國(guó)網(wǎng)信部門尚未就個(gè)人信息保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同出臺(tái)具體規(guī)則, 建議先在《評(píng)估辦法》 中做區(qū)分表述, 為未來(lái)標(biāo)準(zhǔn)區(qū)分與細(xì)化做鋪墊。

在評(píng)估標(biāo)準(zhǔn)上, 《評(píng)估辦法》 規(guī)定了材料要求和評(píng)估重點(diǎn)(32)參見(jiàn)《評(píng)估辦法》 第6、 8、 9 條。。 但考慮到安全評(píng)估制度正處于建立初期, 評(píng)估標(biāo)準(zhǔn)是否具有可操作性、 傳輸者是否充分理解評(píng)估要求都難以確定, 《評(píng)估辦法》 僅在材料不全或不符合要求時(shí)允許申請(qǐng)方補(bǔ)充或更正, 未能提供評(píng)估機(jī)構(gòu)與數(shù)據(jù)傳輸者間的交流機(jī)制。 為提高評(píng)估標(biāo)準(zhǔn)的可適用性, 為市場(chǎng)提供穩(wěn)定預(yù)期, 決策者可考慮在制度實(shí)施初期提供交流機(jī)制。 當(dāng)申請(qǐng)者提交的材料不能滿足相應(yīng)標(biāo)準(zhǔn)時(shí), 評(píng)估機(jī)構(gòu)可出具意見(jiàn), 允許申請(qǐng)者在一定期限內(nèi)提高保護(hù)水平或補(bǔ)充安全措施。 2020 年, 商務(wù)部出臺(tái)《全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點(diǎn)總體方案》,提出在條件相對(duì)較好的試點(diǎn)地區(qū)開(kāi)展數(shù)據(jù)跨境傳輸安全管理試點(diǎn)(33)《全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點(diǎn)任務(wù)、 具體舉措及責(zé)任分工》 的第115 項(xiàng)規(guī)定: 支持試點(diǎn)地區(qū)聚焦集成電路、 人工智能、 工業(yè)互聯(lián)網(wǎng)、 生物醫(yī)藥、 總部經(jīng)濟(jì)等重點(diǎn)領(lǐng)域, 試點(diǎn)開(kāi)展數(shù)據(jù)跨境流動(dòng)安全評(píng)估, 建立數(shù)據(jù)保護(hù)能力認(rèn)證、 數(shù)據(jù)流通備份審查、 跨境數(shù)據(jù)流動(dòng)和交易風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全管理機(jī)制。 鼓勵(lì)有關(guān)試點(diǎn)地區(qū)參與數(shù)字規(guī)則國(guó)際合作, 加大對(duì)數(shù)據(jù)的保護(hù)力度。。 決策者可考慮借此在試點(diǎn)地區(qū)試行安全評(píng)估制度, 并通過(guò)交流機(jī)制推動(dòng)評(píng)估機(jī)構(gòu)與申請(qǐng)者合作探索最佳方案。

(二) 推進(jìn)構(gòu)建開(kāi)放有序的數(shù)據(jù)跨境合作體系,彌補(bǔ)數(shù)字鴻溝

在國(guó)際參與中, 我國(guó)應(yīng)貫徹推動(dòng)數(shù)據(jù)跨境有序流動(dòng)的政策, 穩(wěn)步參與并推進(jìn)多邊數(shù)據(jù)跨境合作。2021 年, 我國(guó)核準(zhǔn)加入《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》 (RCEP), 盡管RCEP 要求締約方不得阻止出于商業(yè)原因通過(guò)電子方式跨境傳輸信息的行為, 但其提供公共政策例外并賦予締約方解釋公共政策內(nèi)涵的權(quán)利, 同時(shí)允許締約方基于保護(hù)其基本安全利益而做出必要措施, 其他締約方不得對(duì)此類措施提出異議(34)See article 14.2, 15 of Regional Comprehensive Economic Partnership, https:/ /rcepsec.org/legal-text/。 可見(jiàn)在推動(dòng)數(shù)據(jù)流動(dòng)自由化的同時(shí),RCEP 更尊重不同國(guó)家對(duì)數(shù)據(jù)跨境限制的需求并提供合理空間, 且其參與范圍更廣。 我國(guó)可考慮以RCEP 為基礎(chǔ), 推動(dòng)構(gòu)建相互尊重、 廣泛參與、 開(kāi)放有序的數(shù)據(jù)跨境合作體系。

同時(shí), 我國(guó)也應(yīng)關(guān)注到數(shù)據(jù)跨境背后的發(fā)展利益, 推動(dòng)與不同國(guó)家、 地區(qū)的合作, 彌補(bǔ)數(shù)字鴻溝。數(shù)據(jù)跨境背后除了國(guó)家主權(quán)和隱私保護(hù), 還包含國(guó)家在數(shù)字化領(lǐng)域的發(fā)展利益。 意識(shí)到各國(guó)在數(shù)字化發(fā)展中的巨大差距, 我國(guó)作為數(shù)字經(jīng)濟(jì)相對(duì)發(fā)達(dá)國(guó)家, 應(yīng)當(dāng)秉持開(kāi)放、 均衡、 普惠的原則, 推動(dòng)國(guó)際合作惠及不同國(guó)家。 可在尊重他國(guó)數(shù)據(jù)主權(quán)的前提下, 通過(guò)經(jīng)貿(mào)合作幫助不發(fā)達(dá)國(guó)家構(gòu)建數(shù)字網(wǎng)絡(luò)基礎(chǔ)設(shè)施與平臺(tái), 探索數(shù)據(jù)跨境合作機(jī)制; 在合作范圍上, 我國(guó)可聚焦數(shù)字化相對(duì)落后的國(guó)家, 同時(shí)借助“一帶一路” 的發(fā)展契機(jī), 通過(guò)貿(mào)易合作探索數(shù)據(jù)跨境規(guī)則, 逐步提高規(guī)則科學(xué)性與影響力。

五、結(jié) 語(yǔ)

在數(shù)字化時(shí)代, 數(shù)據(jù)跨境規(guī)則建設(shè)面臨的挑戰(zhàn)在于如何平衡經(jīng)濟(jì)發(fā)展下數(shù)據(jù)流動(dòng)自由化需求與實(shí)現(xiàn)數(shù)據(jù)中隱私保護(hù)和維護(hù)國(guó)家安全等多重目標(biāo)(Mitchell et al., 2017)。 當(dāng)前數(shù)據(jù)跨境發(fā)展呈現(xiàn)與經(jīng)貿(mào)合作緊密相關(guān)的特征, 這在推動(dòng)規(guī)則探索的同時(shí)也導(dǎo)致數(shù)據(jù)跨境合作的價(jià)值恣意化和范圍集團(tuán)化。數(shù)據(jù)跨境的規(guī)則構(gòu)建是一個(gè)全面、 長(zhǎng)期的工作, 國(guó)家間的數(shù)據(jù)跨境合作應(yīng)保障不同國(guó)家的參與機(jī)會(huì)與協(xié)商能力。 我國(guó)應(yīng)在完善國(guó)內(nèi)規(guī)則的基礎(chǔ)上, 積極參與構(gòu)建國(guó)際數(shù)據(jù)跨境規(guī)則, 平衡機(jī)構(gòu)監(jiān)管力度和企業(yè)自主空間, 助力數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí), 擴(kuò)大合作范圍, 彌補(bǔ)數(shù)字鴻溝。