跨境数据流动:法律规制与中国方案
2020-06-23安宝双
摘 要:数字经济催生了跨境数据流动的集聚化,在数据价值愈发凸显之时,数据泄露事件频频发生,数据主权与国家安全亦遭受挑战、面临风险。跨境数据流动需要加强数据国际治理,亦需要推动构建国际合作新秩序、新桥梁。文章以厘清跨境数据流动的理论为逻辑前提,从问题出发,分析了目前法律规制的现存困境,包括多重管辖权冲突加剧无秩序状态,缺乏兼容统一框架致使规制碎片化,各国规制目的不同导致政策差异化以及面临着覆盖数据全生命周期的监管瓶颈。以国际治理视域,提出符合中国国情的国际规制方案,包括数据主权共治、加强双边及多边合作、推动数字自由贸易区以及引入区块链技术实现全生命周期的保护和监管,以期助力跨境数据流动法律规制的实质化进展。
关键词:跨境数据流动;数据主权;法律规制;中国方案
中图分类号: D996.1 文献标识码:A
Abstract: The digital economy has given birth to the aggregation of cross-border data flows. When the value of data becomes increasingly prominent, data leakage occurs frequently, and data sovereignty and national security are also challenged and faced with risks. Cross border data flows need to strengthen data international governance, and also need to promote the construction of a new order and bridge for international cooperation. After clarifying the concept and elements of cross-border legal flow, this paper further analyzes the practical necessity for countries to adopt cross-border data flow regulation. With the help of the problem consciousness, this paper analyzes the existing difficulties of the current legal regulation, including the aggravation of the disordered state by the conflict of multiple jurisdiction, the fragmentation of the regulation caused by the lack of a compatible and unified framework, the policy differentiation caused by the different regulatory purposes of various countries and the bottleneck of the supervision covering the whole life cycle of data. This paper puts forward international regulatory programs in line with China's national conditions from the perspective of international governance, including the co governance of data sovereignty, the strengthening of bilateral and multilateral cooperation, the promotion of digital free trade areas and the introduction of block chain technology to achieve the full life cycle of protection and supervision, with a view to helping the cross-border data flow laws and regulations The substantial progress of the system.
Key words: cross border data flow; data sovereignty; legal regulation; China plan
1 引言
信息技術革命日新月异,互联网日益成为创新驱动发展的先导力量,网络空间已成为继陆地、海洋、天空、外空之外的第五空间。2019年是世界互联网诞生50周年,也是中国全功能接入互联网25年,截至6月30日,我国网民由1997年的62万人已增加至8.54亿人。网络空间因数据海量聚集,数据价值愈发凸显,俨然成为推动经济社会发展的“血液”与“引擎”。但机遇亦是挑战,囿于数据的流动过程突破了传统物理空间限制,已实现全球同步,致国家信息主权边界趋于模糊化。数据的不同利益主体会存在交互重叠,甚至产生冲突,且数据监管呈现出执行难、监管难等困境,已成为新的风险和瓶颈,迫切需要以国际视野在法律规范框架下予以规制。网络空间数据法律保护,需要探讨如何以跨境数据流动的法律规制为突破口,以法治的精神加强数据国际治理,构建跨境数据流动治理合作的新桥梁、数据治理的新秩序,为构建网络空间命运共同体提出中国方案,贡献中国智慧。
2 逻辑前提:跨境数据流动法律规制理论的探与寻
网络空间治理需要厘清跨境数据流动产生的内生逻辑与基本理论遵循。
2.1 跨境数据流动的界定
20世纪70年代经济合作组织(OECD)科学技术政策委员会下设计算机应用办公室在《跨境数据流动宣言》中首次对该概念进行阐述,界定为“国际层面计算机化的数据或者信息进行流动”[1];80年代,在《关于隐私保护和个人跨境数据转移的指南》中,细化明确数据的范围,界定为“跨越国境进行传输的个人数据流动”[2]。此后,欧洲理事会、澳大利亚等纷纷提出了解读意见。但究其内涵会发现,目前国际社会虽未达成统一意见,但无外乎包括主体、跨境认定及流动表现三个层面的构成要件。
2.2 跨境数据流动法律规制的必要性探讨
跨境数据流动法律规制指通过国际条约、国内立法、国际法规则等规范对于是否允许数据进行自由流动、是否允许数据跨境流动的具体情形和条件予以规定的模式。
各国政策制定视角下,“棱镜门”挖掘数据和收集情报事件发酵,各国为维护国家安全紛纷制定数据本地化政策,限制数据跨境流动,且数据与科技结合,造成数据泄露、污染等,会触碰到个人隐私及企业关键技术,造成对隐私权、财产权等合法权利的侵害[3]。在国际合作机制视角下,基于各国国情差异设置的特定流动限制条件,造成数据输入国与数据输出国之间的矛盾难以调和,若想最有效地发挥经济的催化剂效用,需获得国际话语权,形成数据流动保护体系并积极参与国际规则的制定。
3 问题意识:跨境数据流动法律规制困境的辨与析
3.1 多重管辖权冲突普遍化
互联网科技与区块链技术的迅猛发展,对于传统国际法领域的主权概念造成了冲击,衍生出数据主权的概念,而数据管辖权则属项下的核心争辩内容。互联网的无国界性、互动性及隐蔽性,实现了数据无时间延滞的全球同步化,但复杂的责权关系也并生共存。
在数据传输的全过程中,借助大数据这一外在技术媒介,会使得信息创造者、接收者、使用者,信息发送地、输送地及目的地,信息基础设施所在地,信息服务提供商的国籍及经营所在地等实现信息同步传输,导致不同利益主体产生交互重叠关系,进而产生冲突[4]。跨国公司在提供云服务时会采取多国任务分配机制,固于数据的不可分割性,不同国家可掌握同一条数据,云计算结果以及云储存空间的归属难以判定[5]。数据主权归属不清晰,往往导致数据信息受到多个不同国家法律所管辖,各国法律规制不尽相同,云公司可通过信息转移达成逃避国内规制目的,提供给其挑选法律、逃避责任的机会。该情形涉及涉外数据侵权之诉的法律适用选择,对数据主体,寻求救济时难以确定侵权行为地;对数据处理者和使用者,缺乏确定性和可预测性。国际社会并未对各国的数据主权管控范围明确划分,且国际统一规则的制定也尚处空白。因而,各国作为“理性经济人”,对获取和管控本国重要数据及本国国民、企业等在他国数据会持有最为积极的态度,愈发加剧了交叉重复管辖的现状。
3.2 国际规制碎片化难执行
跨境数据流动的法律规制的现状,主要是以各国的国内法规制为主,国际法层面规制基于数量和内容都存在较为显著的局限性,理论性较强,但国内法与国际法之间缺乏有效的衔接。目前,推动数据在全球的自由流动,在国际层面并未建立一个具有兼容属性的统一标准和框架体系,从而导致跨境数据流动国际规则的重复性和碎片化形态。
多边框架下对跨境数据流动规制存在困境,以世界贸易组织(WTO)为例。WTO框架下目前并没有专门对跨境数据流动进行专门规制的条款或规则,针对规范各成员的限制,需要逐案分析、逐案确定,在专家组/上诉机构进行法律选择适用时,首先需要对数据流动所涉贸易类型划定[6]。又如,在关贸总协定(GATS)服务贸易中所产生的China-Electronic Payment Services案,界定中国在“所有支付和汇划服务”部门下的承诺时,主张无论是否在减让表的部门或分部门中被列举,跨境电子支付中所产生的服务行为,都认定为消费者与服务提供者之间的数据流动。据此裁定中国的电子银行支付卡措施是对“跨境存在”及“商业存在”义务的双重违背[7]。但目前判定依据是《联合国核心产品分类》,数据有关子目代码仅涉及数据处理、传输服务内容,故难以将服务提供者的云计算服务、电子支付服务予以规制,导致适用的不确定性,借助个案一一审查排除的模式存在困难。区域性协定下也存在困境,比如跨太平洋伙伴关系协定(TPP)主要规制跨太平洋领域的数据流动等,屡见不鲜的区域性协定签订,显然无法具有普遍的适用效力。
3.3 规制目的存矛盾难调和
因各国国情而产生的制度差异,导致在数据流动自由性、数据保护自主性、数据保护良好性三项规制目的产生难以调和的矛盾,进而导致跨境数据流动之间的收益与成本难以寻求最佳平衡点。法经济学中相关理论或许可以提供新的思路。
资源稀缺性视域,各国最大限度追求数据保护的自主性。网络空间内数据资源成为各国竞相争抢的核心价值资源。全球13台根服务器中,美国囊括1台主根服务器在内的10台服务器,并且孕育了商业巨头Apple、Facebook等[8]。各国对爆炸式信息中价值密度高的数据资源呈现抢夺态势。核心数据资源的稀缺需求大于供给,折射出目前对关键核心数据挖掘难度之大,亦从反面证实了各国实行数据保护的必要性。
成本收益分析视域,考量遭受攻击的严重危害结果,各国对跨境数据流动规制,会最大限度地追求数据保护的良好性。2015-2024年数字经济潜在增值空间约有29.7万亿美元,每年GDP存在0.43%的潜在上升空间,预计将会创造270万个潜在的就业机会[9]。黑客群体的存在,使数据信息处于高度威胁之中,关键基础设施作为核心数据资源的存储载体,存在瞬间遭受攻击而全盘瘫痪的可能性。勒索病毒攻击事件爆发,使受攻击国家耗费高额成本采取安全预防、检查等防范措施[10]。第五届UN GEE共识报告指责美国政府开发、存储漏洞,未履行防止扩散和泄露的义务,但是未接受任何制裁。
3.4 数据安全生命周期难覆盖
《2019人工智能数据安全风险与治理》报告中提出持有数据的安全保护问题,涉及数据采集、传输、存储、使用、流转等全生命周期。基于目前跨境数据流动的云平台形式,数据创建或迁移的过程中,用户创建及迁移行为面临着合法性、合规性考验,面临遵从性、隐私性、兼容性,时间期限、数据保存费用等风险。在数据传输中,法律允许范围内,如何确保传输过程中的保密性和完整性,解除未经授权拦截器篡改数据的威胁。在数据储存中,数据封装后选择多方存储是否会遭到原存储地址破译进而泄露的可能性[11]。在数据使用中,基于目前身份验证机制不健全、缺乏数据溯源机制等不足,恶意曲解数据、应用非法途径的现象屡见不鲜。在数据流转中,敏感数据流动时,处理机制并未明确,数据泄露等安全问题不可控。在数据销毁中,现实中存在数据残留进而重建数据的情形,何种方式才能将核心数据、秘密数据、隐私数据等清除彻底,对安全收回云磁盘空间、清除数据方面都缺乏统一标准[12]。
4 行动应对:跨境数据流动中国方案的研究与思考
4.1 现状
跨境数据流动已成为不可逆趋势,采取积极行动应对方案确有必要。据阿里巴巴统计数据显示:2020年,中国数字经济电子商务模式预计可达12亿元,占进出口总额的37.6%[13]。但技术革新双刃剑的作用也十分显著,数据安全面临着前所未有的威胁。《中华人民共和国网络安全法》确立了关键信息基础设施重要跨境数据传输规则。但条文规定采取数据本地化和跨境安全评估方式进行管理,管理范围宽、要求严、政府被赋予自由裁量权大,与国际普遍规制做法存在较大差异。目前,我国仍未推出《数据安全法》《个人信息保护法》等专门法律规范,既有法规无法予以有效、全面地规制。
4.2 行动方案
4.2.1 探索数据主权合作模式
合理界定管辖权。我国保障数据主权应当寻求合理兼顾数据自由流通与合理限制原则之间的平衡点,尤其应当注重数据管理权与数据控制权的行使实效,从而获得大国博弈的竞争优势。在传统管辖权的基础之上,引入效果管辖原则[14],即跨境数据流动产生的实际效果延伸到他国国民或地域,或是对他国重大数据安全利益产生影响,则该国有正当理由认为此种管辖权属过度膨胀,应予以约束。
实现数据共有化管理。依据经济学中帕累托效用,平衡实现各国数据主权的最优化,将部分数据主权让渡,组建一个共享机构将信息基础设施、数据交换中心实现共享管理。在架构设计上,可以探索现有联合国框架下,由其下属机构、非政府机构、信息技术设施及数据交换中心负责,进一步实践后,由联合国安全部门专门组建各国参与的互联网管理委员会,转交该委员会负责[15]。
4.2.2 加强跨境合作双边、多边机制合作
建立数据20国“数字经济”治理机制。2018年《G20国家数字经济发展报告》成员国数字经济总量由2016年的24.09万亿美元上升到2017年的26.17万亿美元,增长率达8.64%。依赖G20进一步拓展建立“数字经济”治理机制,将数据的归属、交换及贸易制定规则等,予以细致明确规定,促进G20内部的数据资源共享。中国需要促进开放融通,拓展互利共建,积极推动建立融合感知、传输、存储、计算、处理一体化的智能综合信息基础设施。
设立国际数据交流的国际规则,推动软法的示范作用与硬化趋势。嵌入到诸边贸易投资谈判中是较为合理且可行的方案。我国应积极参与国际有关跨境数据流动规则制定的研讨会议,比如借助“亚投行”“一带一路”等多边合作机制,建立软法协商机制、标准化软法管理和控制范围、明确软法和硬法的衔接,弥补目前国际法律规制不统一化、碎片化的缺陷,以更为柔和的手段来为各国形成数据资源共享共治提供新思路[16]。
4.2.3 推动数字自由贸易区促进数据共享治理
数字贸易区的核心实质是一个巨型数据交换系统库,实施目的明确,解决在进出口贸易中信息数据不对称的问题。2017年11月3日,阿里巴巴与马来西亚共同倡议设立数字自由贸易区(eWTP)正式落地施行;2018年12月,中国政府已与马来西亚政府启动跨境电子商务备忘录商签进程。具体而言,假设一个企业拥有良好信用记录,就可以享受更为优惠的待遇。又或者数据库中依靠信用积分划分等级,快速实现海关认证通关,开拓他国市場等[17]。
中国-东盟自由贸易区是“一带一路”倡议下的运行载体,积极推行与东盟成员国建立数字自由贸易区,制定跨境数据流动合作政策是立足现实需要且具体可行的。在数字自由贸易区的内部,以我国构建的跨境数据流动规制体系为依托,依据对等原则,结合数字自由贸易区内部的数据保护实际情形,建立我国信任的白名单列表,制定指引性数据跨境流动协议范本,实现跨境数据传输的自由化、便利化、效率化。
4.2.4 跨境数据流动监管覆盖数据全生命周期
引入区块链技术保障安全。区块链技术可以将成本效益原则最大化,解决数据易复制、易篡改、非独占等非安全性困扰,维持特定数据内在的价值,实现跨境数据流动的全生命周期保护。在数据传输、使用、流转过程中,区块链可通过去中心化等模式,让中心机构处于透明被监督的状态,将强中心变为可随时替换、实施被监督的弱中心,对数据传输、使用、流转过程进行全方位的跟踪追溯,从而助力对数据的有效监管,实现数据价值安全流动[18]。在数据的储存过程中,系统内的所有节点数据一经验证便实现记录,采用非叠加的加密算法,只有在数据进行脱敏处理之后才可以实现自由流通。另外,在发现数据资源修改行为后立即采取响应机制,除非同时控制整个系统中51%的节点,否则将无法进行修改或删除数据记录行为。借助区块链的共治和共享机制,可以构建数据资源价值的跨机构、跨组织、跨个体的平等、安全、可信、协作系统,推动全球协作治理,塑造崭新的数字经济形态。
5 结束语
构筑网络空间命运共同体意识,有效应对网络空间风险挑战,是解决跨境数据流动现存困境的有效途径。本文以跨境数据流动法律规制理论为逻辑起点,重点分析了目前跨境数据流动现存问题,提出了目前中国的应对方案。上述措施旨在助力中国与各国构建跨境数据流动治理合作的新桥梁与新秩序,贡献中国智慧,合力推动网络空间跨境数据流动的共商、共建、共享、共治。
参考文献
[1] OECD. Declaration on Transborder Data Flows ( Adopted by the Governments of OECD Member countries on 11th April 1985), OECD (Mar. 10, 2018)[EB/OL]. http://www.oecd.org/sti/ieconomy/declarationontransborderdataflows.htm.
[2] Chandran R, Phatak A, Sambharya R.Transborder data flows: Implications for multinational corporations[J].Business Horizons 30, No.74(1987):75-76.
[3] 李凤梅,孙旗.跨境数据流动的法律规制研究[J].辽宁行政学院学报,2019(05):54-58.
[4] Wolff Heintschel von Heinegg. Territorial Sovereignty and Neutrality in Cyberspace[J]. International Law Studies 1, No.89(2013):132.
[5] 杜雁芸.大数据时代国家数据主权问题研究[J].国际观察, 2016(03):1-14.
[6] 陈咏梅,张姣.跨境数据流动国际规制新发展:困境与前路[J].上海对外经贸大学学报,2017,24(06):37-52.
[7] MLA Hoekman, Bernard , and N. Meagher.China-Electronic Payment Services: discrimination, economic development and the GATS[J].World trade review 13,No.2(2014):409-442.
[8] 沈国麟.大数据时代的数据主权和國家数据战略[J].南京社会科学,2014(06):113-119+127.
[9] 罗伯特·佩珀,约翰·加尔蒂,康妮·拉萨尔.跨境数据流动、数字创新与经济增长(摘译)[J].汕头大学学报(人文社会科学版), 2017,33(05):32-35.
[10] 齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版),2015,36(01):64-70+191.
[11] 沈昭,杨跃,焦凯旋.大数据云计算环境下的数据安全分析[J].电子技术与软件工程,2018(08):212-213.
[12] Somani U,Lakhani K,Mundra M.Implementing digital signature with RSA encryption algorithm to enhance the Data Security of cloud in Cloud Computing[C]//International Conference on Parallel Distributed and Grid Computing.IEEE,2010:211-216.
[13] 曹杰,王晶.跨境数据流动规则分析—以欧美隐私盾协议为视角[J].国际经贸探索,2017,33(04):107-116.
[14] Dan Jerker B.Svantesson.The Extraterritoriality of EU Data Privacy Law—Its Theoretical Justification and Its Practical Effect on U.S.Businesses[J].Stanford Journal of International Law, No.50(2014):83-84.
[15] 孙南翔,张晓君.论数据主权—基于虚拟空间博弈与合作的考察[J].太平洋学报,2015,23(02):63-71.
[16] 石佑启,陈可翔.论互联网公共领域的软法治理[J].行政法学研究,2018(04):51-60.
[17] 乔新生.数字自由贸易区值得期待[N].证券时报,2017-11-06(A03).
[18] 王英资,侯珏,张越.基于区块链技术的数据管理[J].电子设计工程,2019,27(06):87-90+95.
作者简介:
安宝双(1996-),女,汉族,天津人,天津财经大学,硕士;主要研究方向和关注领域:网络空间国际法、数据安全与治理。