美欧数据跨境流动立法情况概述
2019-03-18魏书音
魏书音
摘 要:近年来,数据跨境流动问题成为国际社会广泛关注的话题,也成为各方矛盾焦点和监管难题。数据跨境监管经过多年发展,逐步形成由欧盟和美国主导的两套规制体系。美国采取服务于贸易的宽松政策,歐盟设立较为严格的制度,同时通过设置多种场景寻求个人信息保护与数据自由流动的平衡。文章表述我国应建立重要数据分级分类管理制度,针对不同场景设置多样化的数据跨境流动机制,推动建立数据跨境流动行业自律制度,强化国际合作,积极参与国际规则的制定。
关键词:数据跨境;数据自由流动;数据跨境流动制度
1 引言
在大数据时代,数据成为人类社会生存和发展的基础性战略资源,深刻影响着国防军事能力、经济运行机制、社会生活方式、国家治理能力,国家间、企业间对数据资源的争夺日益激烈,“数据主权”面临严峻挑战,各国政府和企业已注意到数据资源的价值。国家间围绕数据占有和利用的博弈日趋激烈。2013年的“棱镜门事件”揭示了美国互联网公司在“棱镜”项目中和美国秘密情报机构存在串通行为,引发了各国对数据跨境流动的监管。
2 美国方案:服务于贸易的宽松政策
受贸易利益驱动,美国推行宽松的数据跨境流动政策。在确保美国安全利益的前提下,最大程度地促进数据自由流动。同时,建立个案式的事后监管机制,对联邦政府的重要数据采取较为严格的管理措施,在投资、采购等环节予以限制,提出数据本地化要求,例如在《国防部采购条例补编》中要求“不得将为联邦提供云计算的服务器设于本土大陆之外”,即除非有官方另行授权,云计算服务提供商需要确保其服务器位于50个州、哥伦比亚特区或偏远地区的美国境内。当承包商被允许在美国境外保存政府数据时,缔约官员应向承包商提供书面通知。此外,通过安全审查等方式满足特定情形下的本地化需求。例如在外国投资安全审查中,通过与外国投资者签订协议的方式控制数据流动。
在国际上,通过TPP等在全球宣扬数据自由流动理念,防止其他国家对数据的严格控制。TPP即“跨太平洋战略经济伙伴关系协定(Trans-Pacific Partnership Agreement)”,是目前重要的国际多边经济谈判组织。美国在奥巴马执政时期推动并主导建立了“跨太平洋伙伴关系协定”(TPP),进而在此框架下主导跨境数据流动的规则制定,其核心原则是支持跨境数据自由流动,反对他国对跨境数据自由流动设限,反对他国的数据本地存储要求。具体条款主要在第十四章—“电子商务”。TPP第十四章第11条要求:出于商业所需时,各方应当允许数据(包括个人信息)的跨境流动。但各方为实现正当的公共政策目标,可采取限制措施,只要这样的措施不构成恣意、无正当理由的歧视,以及超过实现政策目标所需。第13条要求:各方不应当将使用境内的计算设施作为在其境内开展商业活动的条件之一。其中所提到的“计算设施”,显然包括数据中心。把上述两条内容合起来解释就是,如果没有正当的公共政策目标,不得限制数据跨境流动,而且不得强制在本地存储数据的副本。
2017年1月23日,美国总统特朗普签署了上任后的第一份行政命令,正式宣布美国退出TPP。奥巴马执政期间,美国在数据流动方面的政策主张是希望能够建立确保数据自由流动的国际经贸规则,特朗普退出TPP这一举动引发了业界对美国是否坚持奥巴马时代跨境数据流动政策的猜测,一些公司甚至已经考虑重新修订个人数据保护制度以适应未来趋势。然而,退出TPP是否意味着美国有限制跨境数据自由流动的趋势,仍有待观察。
此外,利用亚太合作组织(APEC)推广《APEC跨境隐私规则体系》(CBPRs),该规则设置了一套明确的数据保护合规判断标准以及认证方式,通过认证的企业就可以在APEC区域内自由传输数据。同时,利用自由贸易协定(FTA)谈判推行美国数据跨境规则。
3 欧盟方案:寻求个人信息保护与数据自由流动的平衡
欧洲委员会(Council of Europe)是世界范围内最早对个人数据跨境流通进行规制的区域性组织之一,建立了较为完善的数据流动规则。先后经过108号公约、108号公约附加议定书、95指令,GDPR最终确立了欧盟数据跨境流动管理方案。欧盟数据跨境流动的要求虽然严格,但其针对不同场景设置了多种方式。
3.1 白名单制度
欧盟公民的个人数据只能向那些已经达到欧盟数据保护水平的国家或地区流动,若欧盟委员会已确认第三国或国际组织可以提供充分的保护,则可向其转移个人数据,不要求任何特定授权。审查标准参照欧盟数据保护水平,主要考虑相关法律规定及其落实情况,对人权和基本自由的尊重、相关的普通法和行业法,是否存在独立监督机构以确保数据保护规定的遵守及其执行等隐私。此外,第三国应承诺其提供了与欧盟同等程度的数据保护。包括具有有效独立的数据保护监管和行政、司法救济机制,以及与成员国数据保护机构的合作机制。欧盟对通过审查的国家进行定期评审,评审应至少每四年进行一次。目前,除了欧盟27个成员国外,只有加拿大、阿根廷、瑞士等少数国家达到标准。
3.2 采用欧委会通过的标准数据保护条款或经监督机构认可的合同条款。
如果进口方所属国未达到欧盟数据保护要求,数据出口方和进口方可以通过采用标准合同条款达成协议,确保离开欧盟的个人数据以欧盟的数据保护标准进行处理。实施这一机制,应确保第三国符合数据保护要求,并维护数据主体对欧盟境内所作数据处理享有的适当权利。 对于适当的合同条款内容,欧盟委员会于2001年、2002年和2004年颁布了三个标准合同文本,分别针对欧盟境内的数据控制者和境外的数据控制者之间,欧盟境内的数据控制者和境外的数据处理者之间的个人数据跨境流通进行规制。标准合同文本的出现为不同制度下的个人数据跨境流通所涉及的复杂法律问题提供了有效的解决方案,在充分保护个人数据权利的前提下促进个人数据在各国间的自由流动,为国际贸易中涉及的个人数据跨境流通提供了一个相对宽松且安全的替代性解决方案。不仅如此,适用标准合同文本来对个人数据跨境流通进行保护还可以降低数据转移成本,促进个人跨境数据流动规则的融合与统一。
3.3 制定具有约束力的企业规章制度
如果企业自身规章制度中对个人数据流动的保障措施达到欧盟数据保护充分性的标准,欧盟数据保护机构可以授权其处理欧盟的个人数据。通过这一方式得到授权的企业必须通过欧盟数据监管机构的审核。一是申请欧盟境内数据监管机构作为其主管机构。企业自行拟定关于约束本企业内部的跨境数据流通和个人数据保护规则草案,申请欧盟境内某一成员国中有资质数据监管机构作为其主管机构,经同意后向其提交规则草案。二是通过欧盟数据监管机构审核。申请企业在主管机构的指导下修改规则草案,并在完成后提交给其他成员国数据监管机构征求意见,主管机构根据反馈意见确定规则草案的最终版本,提交其他成员国的监管机构进行确认后,约束性企业规则获批生效,报送欧盟数据保护工作组进行备案。三是执行严格的监督机制。申请企业对其落实情况定期进行内部审核,并由经认证的审核机构实施外部监督,将相关的内外审核情况向数据管理机构进行报备,数据管理机构也可以自行或指定独立机构对企业的数据保护情况进行审核。同时,申请企业应提供合理的配套争议解决机制,并在必要时请求数据管理机构介入此类程序。
3.4 为保护公共利益、个人合法权益等例外情况。
为了数据主体生命安全、保障公共利益、保障法律权利、合同执行等,可以向非欧盟成员国数据传输,但这些例外情况受到了严格的限制解释。一是为公共利益进行的数据跨境流动,例如竞争监管部门、税务机关或海关之间、金融监管部门之间、社会保障服务机构之间或为了公共卫生进行的国际数据交换。二是若某一权益事关数据主体或其他人的切身利益,包括人身安全或生命,即便数据主体不具备给予同意的能力,但也进行数据传送。三是为了完成《日内瓦公约》规定的任务或遵守适用于武装冲突的国际人道法的规定,可向国际人权组织传送此等个人资料。四是数据控制者合法权益优先。针对控制方所追求的重大迫切的合法权益优于數据主体的权益与自由,且控制方已对数据传送所涉及的所有情况做出评估时,可进行仅涉及有限数据主体的、不重复的数据传送。
3.5 经批准的认证机制、封印或者标识。
包括获得批准的认证机制以及第三国控制方或处理方为应用相应保障措施而做出的有约束力且可强制执行的承诺。鼓励建立数据保护认证机制和数据保护印章标记,证明控制方和处理方的数据处理操作遵守欧盟数据保护要求。认证应为自愿认证,并可通过透明的流程获得。此类情形主要适用于公共机构之间的数据转移活动。行为准则与认证机制是引入的新型的合规机制,以最大化发挥第三方监督与市场自律作用。
3.6 成员国对于某些特殊情况可以另做具体规定
授权成员国对在特殊情形下进行数据传送的可能性做出具体的规定。一是数据主体已给予明确同意,而数据传送又是偶尔为之,且对于合同或法律索偿来说是必要的。二是欧盟或成员国国内法因公共利益而要求进行数据传送,或依法建立的登记册会提供信息供公众或拥有合法权益的人士查阅。
此外,如果政府当局或组织之间具有法律效力且可强制执行的文件也可不经授权而进行跨境流动,同时经过根据主管监督机构的授权,以下两种情况也可提供保障措施。一是控制方或处理方与第三国或国际组织的接收者之间的合约条款。二是政府当局或组织之间行政管理安排的规定,包括可强制执行的有效数据主体权利。
4 启示
4.1 建立重要数据分级分类管理制度
欧美有关数据跨境流动的统一规定主要集中于个人信息,对于关涉国家安全、社会公共利益的重要数据跨境流动的限制主要根据具体行业数据特性在投资、采购、传输等各个环节予以体现,确保对数据流动的限制在合理范围内。我国应借鉴国际经验将重要数据和个人信息的跨境流动区分管理,而对于重要数据应采取分级分类管理措施,并对其进行分业管理,并根据数据特性及出境影响采取多样化的控制措施。如涉及国家秘密、国家安全以及经济安全的数据严格禁止跨境,必须在境内的数据中心存储和处理。对政府和公共部门掌握的其他数据实施跨境数据流动的条件限制。对普通的个人信息通过落实数据控制主体的安全责任及合同监管实施保护。
4.2 针对不同场景设置多样化的数据跨境流动机制
从国外来看,数据跨境流动的管理并非一刀切的模式,而是根据不同情形建立多元化的管理手段。欧盟不断在数据流动与确保个人信息安全之间寻找平衡,GDPR确认了白名单、标准合同、风险评估、协议控制等多种方式,美国为了确保互联网公司在欧盟市场的顺利运作也通过与欧盟签订协议的方式遵循欧盟相关要求。 我国目前的管理思路还集中在风险评估的单一手段,一方面,评估工作量大,实施有难度。另一方面,加剧企业负担,导致数据流动的滞后性,阻碍数字经济的发展。此外,还容易被西方国家扣上“贸易壁垒”的幌子,对于我国企业“走出去”产生消极影响。在政策制定中可根据我国企业数据跨境流动的场景、需求、目的,增加标准合同、协议控制等方式,为企业创造良好的政策环境。
4.3 推动建立数据跨境流动行业自律制度
从美欧跨境数据流动监管演化来看,美国的行业自律制度在美欧跨境数据流动中发挥了积极的作用。近些年,随着我国企业在国际上开展业务的逐渐增多,这些企业面临国外政府和隐私保护部门对其个人数据和隐私保护水平的严格监管,行业协会组织应积极发挥行业自律作用,尤其是开展国际业务的跨国企业集团,更应该推动建立我国的行业自律制度,引入国际知名的信息安全管理标准。
4.4 强化国际合作,积极参与制定国际规则
随着数字经济的快速发展,全球化趋势也日益明显,国际合作也必将是跨境数据流动监管的必然途径。开展数据跨境流动互认等合作,也是确保国外消费者对我国企业个人信息保护能力信任的最佳方法。我国应积极参与APEC跨境隐私规则(CBPRs)等得到一定国际认可的区域数据保护体系,提高本国跨境数据流动规则。同时,在全球尚未形成统一跨境数据流动规则的情况下,我国与“一带一路”沿线国家展开双边谈判,与日本、印度、韩国等其他国家加强沟通,提出中国主张,力争在法律、监管和技术等方面更多参与建立新时期跨境数据传输的国际标准和相关规则,保障跨境数据流动规定的公平。
5 结束语
随着中国数字经济的繁荣发展,越来越多的中国企业正在“走出去”,国家“一带一路”战略也促进了跨境电子贸易的繁荣,跨境数据流动日益频繁,对数据跨境流动规则的需求也更迫切。为确保安全和发展的平衡,应在充分考虑国家安全因素的前提下,充分借鉴欧美的规则模式,与国际接轨。
参考文献
[1] 许多奇.个人数据跨境流动规制的国际格局及中国应对[J].法学论坛,2018,33(03):130-137.
[2] 王融.数据跨境流动政策认知与建议—从美欧政策比较及反思视角[J].信息安全与通信保密,2018(03):41-53.
[3] 吴沈括,霍文新.欧盟数据治理新指向:《非个人数据自由流动框架条例》(提案)研究[J].网络空间安全, 2018,9(03):30-35.