论个人数据出境的监管机制
2017-08-23王忠李慧敏
王忠 李慧敏
[摘要] 个人数据具有重要战略价值,但其出境缺乏监管。这将影响国家安全、制约创新能力提升、危及个人隐私。建议完善法律法规体系,构建国际合作机制,设立分类分级安全审查机制,涉及国家安全的数据禁止出境,以问责机制规制敏感行业数据,以格式合同管理普通行业数据,明确企业管理责任。
[关键词] 个人数据 出境 监管
[中图分类号] G259.2 [文献标识码] A [文章编号] 1004-6623(2017)04-0062-04
[基金项目] 国家自然科学基金资助项目(71302020),北京市社会科学基金项目(16YJB021)。
[作者简介] 王忠(1983 — ),湖南湘阴人,北京市社会科学院副研究员,博士,研究方向:技术经济及管理;李慧敏(1985 — ),女,山东兖州人,中国科学院科技战略咨询研究院助理研究员,博士,研究方向:创新政策、产业法。
一、引 言
大数据时代的到来,数据资源的战略价值引起社会普遍重视。由于直接反应用户偏好,体现市场需求,个人数据尤其备受关注,其应用价值不断凸显。随着全球化和我国对外开放的不断深入,国人越来越多购买外企的产品和服務。企业为了提供更好的服务、推出更好的产品、建立更好的客户关系,会尽可能多地收集用户数据。用户包括个人用户和企业级用户,但由于企业级用户的法律保障较为完备,本文主要关注个人用户。这些用户数据目前不受任何监管,外企可以带回本国总部,甚至传输到其他研发中心进行数据分析。随着市场的进一步开放,以及信息技术的发展,缺乏监管的个人数据跨境流动必然带来一系列负面影响。
个人数据跨境流动的研究不少,主要有:(1)个人数据跨境流动对隐私的影响。如Karol Thomas 认为其能影响整个市场的信用基础,并设计了隐私影响的评价方法。程卫东认为个人数据跨境流动会侵犯个人权利,而且难以取证以致救济困难。(2)个人数据跨境流动的经济影响。如Ahmed Usman等认为个人数据跨境流动有利于促进创新,推动新经济发展。(3)个人数据跨境流动国际规则的比较研究。如弓永钦等对APEC与欧盟的规则进行了比较研究,Allars对欧盟、美国、加拿大、澳大利亚的个人数据出境进行了比较研究,徐磊对APEC的规则进行了研究。(4)特殊个人数据的跨境流动。有的学者对于医疗数据、征信数据、云计算中存储的个人数据跨境流动进行了研究。
现有文献指出了个人数据国际流动对隐私的重大影响,国外也采取了相关监管措施。目前我国除除对征信行业数据有相关要求外,其他行业尚为空白。大数据环境下,个人数据的流入就是资源的流入。现有文献不仅对个人数据出境的战略影响研究不足,对我国如何构建个人数据出境监管机制的研究更是薄弱。因此,本文将研究中国的个人数据出境隐患,并对出境监管机制进行研究。
二、个人数据出境概况
大多数针对个人用户的产品及服务都能收集个人数据。除了姓名、性别、年龄、民族、籍贯、住址、电话等个人基本信息,不同行业收集数据会有所不同,如银行会有用户的资产状况、消费、交易数据,手机之类的移动智能终端会有用户的通讯录、位置数据。
越来越多的企业将其用户数据作为企业核心资源,注重数据驱动的管理决策,建立数据处理团队,甚至成立专门的数据处理部门。数据处理大多在总部进行,以至于大量的用户数据被外企传输出境进行数据分析。个人数据出境方式主要有三种:一是用户个人数据生成之后,直接存入了国外的服务器,在国外进行数据分析,如使用国外社交软件及社交网站。二是个人数据被收集后存入国内数据中心,经过数据加工后,通过互联网或者存储介质传输至国外,在国外进行数据分析。三是个人数据被收集存入国内数据中心,在国内进行数据加工和数据分析,仅将数据分析结果传输至国外。
三、个人数据出境隐患
对于出境个人数据的数据规模以及数据涉及的人群规模,目前尚没有权威的统计数据。由于没有任何法律限制,对外开放的行业基本都存在个人数据出境的问题。个人数据出境存在以下隐患:
1. 影响国家信息安全
目前,国内外企以美国企业为主,尤其是电子信息产业、金融业等重点行业。美国《爱国者法案》规定,安全部门可以向企业获取其用户的消费、教育、医疗、投资等各种数据,且禁止企业向客户透露他们的信息。首先,用户群体部分是国家重要公务人员,其个人数据与国家信息安全息息相关。此外,即便是普通个人用户,当汇集大量用户信息,通过大数据技术分析,也能获取重要的情报。
2. 削弱创新能力提升
拥有大量数据资源,是大数据时代实现技术创新的重要基础。任由个人数据资源外流,使高端的数据挖掘与分析工作在境外开展,不利于提升本土的数据挖掘能力,更难以发挥技术的扩散效应,从而不利于提高我国的创新能力。而且大数据处理正在形成一个很大规模的产业,包括企业战略制定、精准营销、产品或服务的完善、高端咨询服务等。一旦这些价值链的高端环节都布局在境外,将难以提高该产业的国际竞争力。
3. 危及用户隐私
个人数据传输到国外以后,由于数据流转链条变长,隐私泄露风险进一步增加。此外,不同国家的法律制度存在差别,使得隐私泄露的法律救济难度加大,更难保障数据主体的隐私权益。不少国际组织在积极推动数据跨境隐私保护方面已达成共识及合作,如2013年OECD修订并发布了《隐私保护和个人数据跨境流动指南》(基于1980版),建议成员国实施与数据传输隐私风险相适应的数据传输约束,同时兼顾个人数据的敏感性,以及数据处理的目的和内容;2016年4月,联合国贸易和发展会议发布的《数据保护规则与数据全球流动:贸易与发展的影响》指出,运用专门的文件和促进一种或更多的机制是解决跨境数据流动问题的关键。尽管如此,目前尚没有切实可行的措施保护出境个人数据的隐私权益。
四、个人数据出境监管机制建议
安全的数据交流对于一国的社会发展、经济繁榮及全球科技进步具有重要作用,但由于其具有上述隐患,一旦发生问题,无论对国家还是公民个人都可能产生不可挽回的损失。大多数发达国家和发展中国家的主流做法是,在促进信息跨境流动的基础上,也对其加以合法监管。针对我国的实际情况,提出以下建议:
1. 完善法律法规体系
越来越多的国家意识到对本国个人数据保护具有重要的战略意义,应充分运用信息政策及信息法律法规的手段进行有效规制。如2015年10月,欧盟面对新的形势,否决了与美国达成的自2000年就开始执行的《安全港协定》。直到2016年2月,双方达成一个新协定,名曰“欧盟-美国隐私护盾”(EU-SU Privacy Shield)。规定用于商业目的的个人数据从欧洲传输到美国后,将享受与在欧盟境内同样的数据保护标准。我国目前虽然有1988年颁布的《保守国家秘密法》、1994年颁布的《计算机系统安全法》、2004年颁布的《中华人民共和国电子签名法》等基本法以及2015年7月公布的《网络安全法(草案)》,《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》以及《计算机信息网络攻击联网安全保护管理办法》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等法律法规,但是这些法律法规等对个人数据跨境流动的监管、保护力度有限。对此可以采取以下方式予以完善:
一是加快修订或完善现有的基本法。如可在《网络安全法(草案)》中进一步完善有关个人数据出境监管的相关内容,明确法律责任主体及各方主体的权利义务范围,并以此为依据制定相关的实施细则。
二是制定《个人信息保护法》之类的单行法律、法规和相关配套措施。可以借鉴欧盟三方(欧洲议会、欧盟理事会、欧洲委员会) 2015年12月初步达成的《一般数据保护条例》(General Data Protection Regulation,简称GDPR),制定针对个人信息进行保护和监管的专门性法律。
2. 构建国际合作机制
跨境数据流动的监管需要一国国内法的强有力保护和规制,但面对信息全球化的发展趋势,更需要建立国家与国家及地区之间的合作机制。跨境数据加重了个人数据的安全隐患,需要国际社会共同努力加大信息保护的力度。对于跨境个人数据的监管,不论是采用“属人主义”、“属地主义”还是“侵权结果发生地主义”,都应该建立国家间的合作监管和协作模式,才能够对侵权行为进行全面监管。只有不断加大跨境个人数据流动方面的国际合作力度,完善国际合作机制,才能维护利益相关国的信息主权和信息安全。
一是签订双边或多边合作协议。我国可以参考美国、欧盟的经验,与经贸往来较多的国家和地区签订针对跨境数据保护的双边或多边合作文件。通过国家合作界定侵犯信息主权的跨境侵权行为要件,明确需要双边甚至多边合作的信息侵权行为的类型及合作的具体模式。
二是加入为维护个人数据跨境信息安全相关的国际合作组织。立足本国的国际合作现状,在现有国际组织的框架内积极开展跨境数据安全保护方面的国际合作。例如加入APEC(亚太经合组织)的CBPRs(跨境隐私规则体系)、CPEA(跨境隐私执行安排)等。
3. 设立分类分级安全审查机制
出境的用户数据涉及很多行业,包括很多数据类型。如果一刀切地禁止出境,不利于生产要素流动,影响资源配置效率。建议在评估各行业用户数据出境风险的基础上,借鉴国外安全审查机制,进行分类监管。
一是限制涉及国家安全的个人数据出境。应通过制定法律,强制要求涉及国家安全和社会稳定的用户数据禁止跨境,如医疗、社保、电信、金融等重要行业的用户数据。具体行业选择可以参照国外经验,如印度电信行业虽然对外开放,但是其要求电信行业用户数据必须本土处理。
二是以问责机制规制敏感行业用户数据出境。对于个人隐私较为敏感的行业,如住宿、交通、房地产等,明确数据控制者的用户数据管理责任。责任应包括知会数据主体并征求其许可,对数据接收方的资质审查和监督,用户数据泄露后的查证及补偿。目前加拿大主要采用这种方式管理数据出境。
三是以格式合同管理普通行业用户数据出境。将制定数据出境标准合同条款作为保护个人数据的手段,由政府制定用户数据出境的标准格式合同,明确数据转移各方的责任,建立对合同的监督机制。如欧盟由数据保护主管部门制定标准格式合同条款。
4. 明确企业数据管理责任
个人数据出境的监管也不仅仅是政府的责任和义务,在经济贸易往来中掌控大量数据的企业主体更应该提高自身保护相关数据的自觉性和自律性,构建政府与企业、国家与社会、技术与法律协同的数据跨境流动治理创新体系。一方面,鼓励行业自律,成立相关的行业协会组织,建立认证体系,相互监督、共同维护用户利益,保护个人数据。另一方面,鼓励企业设立专门的个人数据管理部门,加强个人数据保护力度,畅通与政府监管部门的联系交流。有必要通过法律机制建立政府与企业共同监管的模式,形成政府为主导,企业为参与主体,全社会共同监管的协调协同机制。
五、结 语
大数据环境下,个人数据的流出就是资源的流出。在个人数据出境监管方面没有前瞻性的举措,不仅会在产业方面失去优势,还将影响国家信息安全及国际竞争力,甚至会在数据资源的国际竞争中错失良机。综合运用上述手段,仍然不可能完全避免个人数据跨境流动中的隐患,还需要积极探索更多的措施,比如加强对个人数据安全保护的宣传力度、提高民众的信息安全保护意识等。同时,应鼓励企业积极创新,在做好个人数据保护工作的基础上,加快对我国个人数据富矿的价值挖掘,提升产业竞争力。
[参考文献]
[1] Karol Thomas. Understanding Cross-Border Privacy Impact Assessments[J]. Edpacs the Edp Audit Control & Security Newsletter. 2001, 29(4): 1-20.
[2] Karol Thomas J. Cross-Border Privacy Impact Assessments: An Introduction[J]. Theriogenology. 2013, 80(3): 185-192.
[3] 程衛东. 跨境数据流动的法律监管[J]. 政治与法律. 1998, (03): 72-76.
[4] Ahmed Usman, Chander Anupam. Information Goes Global: Protecting Privacy, Security, and the New Economy in a World of Cross-Border Data Flows[J]. Social Science Electronic Publishing. 2015.
[5]弓永钦, 王健. APEC与欧盟个人数据跨境流动规则的研究[J]. 亚太经济. 2015, (05): 9-13.
[6]Allars, Margaret. Cross-Border Transfer of Personal Information: evolving privacy regulation in Europe and Australia : Perspectives on Privacy Increasing Regulation in the USA, Canada, Australia and European Countries[J]. Proceedings of the National Academy of Sciences of the United States of America. 2014, 96(15): 8745-8750.
[7] 徐磊. APEC跨境商业个人数据隐私保护规则与实施[J]. 商业时代. 2014, (30): 102-103.
[8] Di Iorio Ct, Carinci F, Brillante M等. Cross-border flow of health information: is 'privacy by design' enough? Privacy performance assessment in EUBIROD[J]. European Journal of Public Health. 2013, 23(2): 247-253.
[9] 丁惠强. 征信数据跨境流动监管研究[J]. 征信. 2011, (02): 17-20.
[10] 刘荣, 温广虎. 欧盟成员国消费者信用信息数据跨境共享模式及实践[J]. 征信. 2011, (03): 62-65.
[11] Abuoliem Abdallah. Cloud Computing Regulation: An Attempt to Protect Personal Data Transmission to Cross-Border Cloud Computing Storage Services[J]. International Journal of Computer & Communication Engineering. 2013, 2(4): 521-525.
[12] 蒋洁. 云数据跨境流动的法律调整机制[J]. 图书与情报. 2012, (06): 57-63.
[13] Dan J. B. Svantesson. Fundamental Policy Considerations for the Regulation of Internet Cross-Border Privacy Issues[J]. Klinische Monatsbltter Für Augenheilkunde. 2004, 221(10): 825-836.
[14] Aaronson Susan. Why Trade Agreements are not Setting Information Free: The Lost History and Reinvigorated Debate over Cross-Border Data Flows, Human Rights and National Security[J]. World Trade Review. 2015, 14(Fall): 671-700.
[15] OECD. Report on the Implementation of the OECD Recommendation on Cross-border Co-operation in the Enforcement of Laws Protecting Privacy[J]. Oecd Digital Economy Papers. 2011.
[16] 梁俊兰. 越境数据流与信息政策和信息法律[J]. 国外社会科学. 1997, (5): 63-67.
[17] Bansal Gaurav, Zahedi Fatemeh Mariam, Gefen David. Do context and personality matter? Trust and privacy concerns in disclosing private information online[J]. Information & Management. 2016, 53(1): 1-21.
[18] Lesieur Francois. Regulating cross-border data flows and privacy in the networked digital environment and global knowledge economy[J]. International Data Privacy Law. 2012, volume 2(2): 93-104(112).
Abstract: Personal data has important strategic value, which lack of outbound supervision at present. This negatively affects the national security, restrict the enhancement of innovation capabilities and endanger personal privacy. We suggest improving the legal system, and building a mechanism for international cooperation. Additionally, it is proposed to establish the classification of security review mechanism, including prohibiting the data which involving national security is to exit border, regulating the sensitivity of industry data by accountability mechanism, and managing the industry data by standard forma contract. Finally, its necessary to allocate responsibility of enterprise management.
Keywords: Personal Data; Exit Border; Supervision Mechanism
(收稿日期:2017-05-16 责任编辑:廖令鹏)