齐 鹏

(西安交通大学 法学院,陕西 西安 710049)

运用文字及图像等数据促进思想交流,是数字经济时代的重要基础。数据作为重要生产要素,现已演变为具有重要战略价值的信息载体。随着跨境数据传输活动展开,原本繁复的数据服务工作细化分包,生产效率显著提高,数据后续利用价值不断增值。然而,数据规模化跨境远程交互流转,在给人们便捷生活带来数据智慧共享的同时,人们已无法全面及时掌握并控制自身数据被使用所产生的风险[1]464。数据传输零地理边界的跨国特征,一方面将各类数据保护放置于洪荒之地,在数据跨境流动中,数据保护与其他权利价值位阶的冲突性激增;另一方面,数据高度国际化将促使其浑然不觉地突破诸多边界限制,无限挖掘滥用数据资源,扩大侵权范围,形成跨境数据垄断控制等。

面对上述问题,东盟十国及中国、日本、韩国、澳大利亚、新西兰于2020年11月正式签署区域全面经济伙伴关系协定(RECP),并设专章对跨境数据传输进行规制,尽管如此,目前为止全球仍然尚未形成关于数据跨境传输统一的约束性立法。对跨境数据自由搜集、处理、控制和使用审慎思维已成为信息化时代维护国家网络主权的重大现实命题[2]。如何在“一带一路”数字经济发展背景下营造合理化数据聚集秩序和规则,平衡好数据权属保护与共享发展关系,营造沿线各国数字经济共同体的良好外部环境,已成为当前亟需思考的问题。

一、“一带一路”数字经济数据跨境风险系统性应对逻辑的建构缘由

万物互联时代,数据使用价值并非源于其本身用途,而在于对数据的再次利用。数据风险也并非仅仅产生于数据信息收集前端,更多侧重显现在具体使用环节。同时,为减少数据所有者与使用、处理者间的力量悬殊,包括“一带一路”国家在内的国际社会已经注意到将数字经济发展作为建设现代化经济体系、推动经济高质量发展的新方向[3]。为实现数据跨境传输风险有效应对抵御,各国立法者正竞相形成新一轮数据跨境风险规制规则。目前为止,已有135个国家或地区出台跨境数据流动规则,其中,“一带一路”沿线已有66个国家颁布数据保护立法,14个国家公布相关立法草案。总体观之,虽然沿线国家和地区已开始尝试探索形成兼顾国情多样化的数字经济监管立法,但现行整体法律治理水平远远落后数字经济发展需求,还需及时建立“一带一路”沿线数字经济数据跨境风险的系统性应对逻辑。

究其缘由,主要在于以下五点:第一,当前“一带一路”数据跨境传输风险应对规则法律体系仍以国内法为主要法律渊源,且尚未形成统一的连贯性国际标准。具体而言,由于沿线各国数字经济发展国情、诉求不同,制定使用的数据跨境流动立法政策也存在差异,且沿线国家和地区法律体系分属不同法系和法源[4],这给沿线数字经济贸易各方相互了解、适用沿线各国法律制度带来极大不便。即便排除以上因素,对沿线各国所有法律法规逐条理解也将是各国企业十分艰巨的任务及压力。第二,沿线各国法律体系分布类型复杂,大多并非仅仅基于英美法系形成现行立法特点,若对沿线各国整体坚持沿用既有英美普通法系制度,则可能有损数据公平自由传输,而且会与各国法律传统文化格格不入。第三,由于“一带一路”沿线数据保护标准不一,也为跨境数据传输相关法律规制运行增加诸多障碍。第四,“一带一路”沿线主要为发展中国家,数字信息技术及数字经济发展与发达国家相比存在显著不足,若简单使用西方发达国家跨境数据传输规则,则可能陷入大国掣肘,不利于沿线国家和地区数字经济自主发展,且“一带一路”沿线国家和地区现行规则大多侧重货物服务贸易方面,与数字经济发展方向无法及时匹配。第五,部分西方国家运用经济、法律杠杆不同程度阻挠干预沿线各国友好合作,“一带一路”沿线数字经济发展也面临被锁定在“全球价值链中低端”的风险[5]。

事实上,信息大爆炸下的跨境数据传输保护并非仅仅依靠一国国内立法即可解决相关冲突,还需依赖数据跨境传输各环节密切协调。为此,有必要在“一带一路”多元法律体系下,在与沿线国家和地区共建共享合作基础上,对标构建人类命运共同体目标要求,对数字经济跨境数据传输解纷机制构建系统性思考,结合“一带一路”建设实践所需,及时调整完善现行规制措施,促进多元价值碰撞,探寻普遍适用的规则对话机制。源于上述缘由,本文根据2019年7月中央全面深化改革委员会第九次会议审议通过的《关于加快建立网络综合治理体系的意见》,基于数据传输时间逻辑,尝试设计搭建跨境数据全流域风险系统应对体系(见图1),主要包括:数据传输前端建构数据传输安全禁输管理体系;传输中前端形成合理化数据跨境传输监管管辖体系;传输中设计数据本地存储豁免体系准则;传输末端营造普适于“一带一路”统一的数据安全执法体系。在此设计基础上,建立起涵盖数据分类、管辖监管、内容管控、社会协同的网络综合治理体系,为营造“一带一路”合理化数据聚集秩序规则,促进数字经济时代“一带一路”命运共同体更加蓬勃发展形成制度保障。

图1 “一带一路”数字经济数据跨境风险的系统性应对体系

二、“一带一路”数字经济数据跨境的四重风险

数字贸易已成为全球经济增长新动力,为获得竞争优势,市场机制参与者竞相利用跨境数据流动获取数据资源。本文依据前文以时间逻辑建构的数据跨境传输风险的应对体系,从四个方面对主要风险因素进行梳理。

(一)数据跨境禁输管理体系不合理

数据传输前形成合理化安全等级分类,是保障相关数据安全传输的重要防控依据。检视目前“一带一路”沿线国家和地区相关数据传输限制管理体系,主要存在以下不足:

1.各国数据本地化禁输分级差异化

数字丝绸之路建设过程中,各类数据广泛传输,其中不乏涉及个人隐私、国家安全的重要内容信息。为警惕解密软件对跨境数据非法分析后,利用金融服务、公共卫生、基础服务等领域数据漏洞形成虚假舆情,危害社会公共安全,多数国家对于上述相关数据传输自由化采取本地属地管理态度。这种立法策略绝非人为粗暴推动数字经济发展巴尔干化,而是致力形成“一带一路”数据跨境传输安全管理体系。纵观“一带一路”沿线现行数据跨境禁输监管现状,主要形成以下不同模式的属地限制分级:

(1)对于一般数据仅须在其境内存储,对于处理、访问地点则未作要求。如俄罗斯2015年生效的第242-FZ联邦法要求所有境外法人须在俄境内的服务器中存储收集到的数据,但并未对存储后的处理、访问等行为地点限制。印度2018年的《个人数据保护法(草案)》第40条“跨境传输个人数据的限制”第2款中,也明确要求数据仅能在其境内数据中心存储,绝对禁止数据离境传输,此外,《印度电子商务国家政策框架草案》也坚持建立本地化数据中心立场。不过,上述国别化立法中,对于一般数据类型均仅仅要求在其境内存储,未强制要求处理、访问过程限于某种环境。(2)对于重要数据传输要求存储、处理等活动仅限在其境内实施,但允许境外访问。如俄罗斯作为数据监管程度较高的国家之一,在2015年的《个人数据保护法》中严格要求,对于俄罗斯公民个人信息数据的存储、处理、检索、修改等只能存储于俄境内数据库中,同时要求数据供应商就相关数据至少保留12小时,以便为俄罗斯联邦安全局提供数据资料。(3)对于涉及公共安全的重要行业数据内容,无论存储、处理或访问活动,均须在其境内进行。如印尼《关于提供系统和电子交易的监管条例》要求涉及公共服务的经营者应将数据中心设置在境内,互联网提供商必须使用本地IP号码并在境内存储数据。越南2019年的《网络安全法》也要求将有关医疗保健、社会保障、保险、金融及电信等特定类型的数据在本地存储。此外,印度中央银行也强势推进支付数据本地化,土耳其亦要求在其境内的支付企业开展电子支付交易应在其境内存储。我国对于个人金融信息数据保护也采取了与上述国家同样的管理态度,如《关于银行业金融机构做好个人金融信息保护工作的通知》中要求:除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。

前文已经述及,各国现行数据传输分级限制并非人为阻却数据跨境汇集,而在于形成共享全球数字经济发展红利基础,将有悖沿线数字经济发展安全的数据内容实施个别监管,提升区域内数据传输安全感,增强沿线数据跨境活动吸引力。同时,还应注意的是,在共享跨境数据传输带来的红利成果时,还需考量如何统一各国数字经济发展程度差异化的数据禁输分级目录,并基于目录重构权利保护与数字经济发展相平衡的数据管理体系,进而推动“一带一路”沿线数据交融汇聚。

2.各国际组织或国际协议对跨境数据传输合理化限制标准缺失

为突破上述以隐私权保护为名对部分数据内容人为设置的不当障碍,促进“一带一路”更为深入的数据流动,各国际组织纷纷参与形成了多样化的禁输标准。如经合组织(OECD)在《关于隐私保护和个人数据跨境流动指南》中要求,数据自由传输并非毫无限制的自由流动,还须防止自然人、法人或其他组织以保护个人隐私或公共安全为由肆意设置无差别的禁输壁垒。亚太经合组织(APEC)在《跨境隐私规则体系》中也明确要求减少不合理的数据分级传输限制,推动跨境数据在该区域自由传输。《跨太平洋战略经济伙伴关系协定》(TPP)虽然并未最终付诸实践,但其根据《关税贸易总协定》第24条及WTO第5条规定,亦表现出对于数据传输合理化转移的支持(1)TPP第14.11条通过电子方式跨境传输信息规定:(a)不得以构成任意或不合理歧视的方式适用,或对贸易构成变相限制;(b)不对信息传输施加超出实现目标所需限制。。值得注意的是,RECP明确提出不得阻止为商业目的而开展的数据跨境活动,换言之,即对于各类商业数据传输不再局限于特定地域管辖监管,这种开放性尝试将打破地域管辖束缚,有利于促进沿线各区域各类商业数据迅速传递。基于此,应当在“一带一路”相关制度设计中予以移植。

虽然上述国际组织或多边协议均致力于消除各国数字经济发展中可能形成的人为性障碍,探索形成相对缓和的数据安全传输限制模式,但是该禁输手段是否与数据汇集存储目标相适应尚未形成定论,在相关协议中也并未明确表明在哪种情形下对哪些数据内容进行限制。从法律效果看,当目的—手段难相适应时,这种形同虚设的区域性数据传输保护措施也难以发挥抵御各类数据跨境传输风险的作用,最终也不能弥补各国各地区自身立法设置差异化的困境。因此,有必要慎思跨境数据自由传输目的与保护手段比例原则是否合理,如何选取恰当方式规范公权力数据限制措施与数据存储目的相称,谨防数据本地化存储限制界限超越合理比例原则而构成数据禁输壁垒,有悖国际组织或多边协议制度条款设计初衷。

(二)数据跨境传输前端风险监管管辖冲突

出于国家安全、社会稳定、个人隐私等诸多保护缘由,数据跨境传输前应明确禁输等级标准。为及时应对之后的各类风险,数据传输中首要考虑的应是数据管辖问题。纵观数字经济发展全球化过程,对数据风险的监管主要侧重于本地化存储,即通过属地管辖权减少相关风险。然而,由于“一带一路”国家和地区法律禀赋、法律渊源差异较大,加之倡议参与国家数量激增,与之相伴的法律适用连接点随之增多,伴随着数据资源价值的提升,各国法律管辖冲突也成为制约数据跨境传输的重要因素。具体表现如下:

1.现行公约无法覆盖沿线数据传输管辖范围

数字经济发展中数据传输无国籍边界的特征模糊了传统属地管辖物理疆界,对传统管辖制度发起挑战。在网络空间面前已无法适用以较为固定的国籍为限的属人管辖,而属地管辖则由于遵从较为固定的行为发生地或结果发生地等地理空间标准,相较属人管辖更能减少管辖冲突,更易于确定数据流动传输管辖对象,因此,在数字经济发展过程中备受青睐[6]。

然而,由于“一带一路”覆盖区域国家和地区数量较多、数据主体类型多元,现行区域性多边条约地域管辖已难以普遍适用。一方面,现行多边条约所管辖的国家和地区无法覆盖“一带一路”全域范围。如RECP第12章“计算机设备位置”条款为兼顾该区域各国数字经济发展特点,促进区域内数字经济更快发展,故暂时做出对部分条约国实施地域保护,这就造成在相关时限内无法完全覆盖该区域所有数据类型。此外,APEC提出的跨境隐私规则体系(CBPR)旨在设置区域内统一的数据认定标准,加快获得认定的企业数据流动,然而,CBPR仅有8个国家和地区加入(2)截至2020年2月,澳大利亚、加拿大、日本、墨西哥、韩国、新加坡、美国和中国台湾开始实施CBPR措施。,亦无法全面覆盖“一带一路”所有国家和地区。另一方面,跨境数据传输受制主体范围呈现复杂性,现行多边条约大多实施了限缩规定。如RECP适用主体类型将金融机构投资者或金融服务提供者等予以排除,CBPR也仅适用于成员国或政府以外的各类企业,即便是尚未付诸实践的TPP管辖范围设想,也规定排除政府采购行为。

诚然,基于主权国家价值观的不同,“一带一路”国别化的属地管辖暂时无法消除,但是拓宽区域间可相互操作的管辖范围框架,无疑将减少各国数字经济贸易摩擦及数据传输监管负担。

2.长臂管辖阻断措施模糊

事实上,长臂管辖并非数字经济发展产物,而是美国民事诉讼域外国际管辖冲突中法院属人管辖权适用地域限定的司法扩张。该制度肇始于非居民与法院地所在州有最低联结因素关联,进而扩大形成以最密切联系原则为基础的法院特殊属人管辖权标准。自1945年“国际鞋业公司诉华盛顿州”案确立长臂管辖权以来,美国利用《出口管理法》《武器出口管制法》《国际突发事件经济权力法》《美国海外反腐败法》和《萨班斯一奥克斯利公司治理法案》等直接主张对与其有任何联系的活动均具有管辖权。数字经济发展新时代,为更大程度和范围上实现美国数据交易主体数据权保护,2018年美国通过《澄清域外合法使用数据法案》,从立法层面宣示其域外效力,并根据《电子通信隐私法案》设置宽泛管辖范围,单方扩张其跨境数据域外执法权[7]295-307,拥有超美国区域域外管辖效力,可直接主张对存储于境外数据的司法管辖权,不再局限于数据存储于何处。

近年来,该规则影子在“一带一路”部分国家中也有所体现,如俄罗斯2015年《个人数据保护法》、印度2018年《个人数据保护法草案》等亦通过长臂管辖模式扩大其管辖范围,突破数据主体属人局限,明确规定其管辖主要取决于数据处理行为是否在其范围内发生,而不论数据控制主体是否在其境内。然而,数字经济发展中,各交易主体联系将更加紧密,连结因素也将更加丰富,适用长臂管辖无疑将加大与数据存储地国家主权冲突。基于此,有必要形成完备的数字经济发展长臂管辖阻断措施,通过沿线各国交流合作,形成命运共同体合力,实现对这种管辖权滥用行为的实质性否定。

(三)数据传输过程中本地化存储豁免标准未明确

综合分析数据跨境传输中的本地化存储豁免风险,主要存在以下几种情形:

1.数据主体明示同意程序模糊

数据权属依附于数据所有者,往往体现其财产价值及人身权特点。实现数据价值剥离必然需要脱离其归属关系,也须获得数据主体意思允诺。建立数据主体间“告知—同意”机制,是尊重数据所有者数据信息自治权、保障数据传输符合其预期期待的重要体现。然而,司法实践中,数据接收者告知义务与数据所有者同意过程往往并未固定程序,多数情况下数据所有者更关心合同条款早日缔结而很少关注数据传输真实意愿,尤其表现在以下两种合同中:

第一种,对于一般合同条款同意规则而言,印度、马来西亚等均已规定公开相关数据前应经数据所有者同意(3)印度2018年《个人数据保护法(草案)》第40条规定:除个人敏感数据外,中央政府可根据国家必要性和战略利益,对于某些类别数据的个人数据豁免存储备份。对于一般数据除满足数据接收方许可外,还应数据主体同意转移。马来西亚2010年《个人数据保护法案》规定在处理使用任何个人数据前,数据使用者须获得数据所有者明确的同意并尽快书面通知使用数据的目的。。我国亦建立起数据主体明示同意的本地化存储豁免规则,主要表现在以《网络安全法》《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》为代表(4)《网络安全法》第22条第3款规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。的法律规范层面,以及《个人信息出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(草案)》在内的行政法规中,上述法律法规均表明未经数据所有者同意许可,对于可能侵害个人、国家安全、公共利益的数据禁止离境。这种制度设计旨在实现数据控制者对自身数据实现控制[8],充分尊重数据所有者的数据权属。然而,上述立法规定均泛泛提出“知情—同意”模式,对于如何促使数据主体知情?告知时间怎样确定?同意公开范围主要包括哪些?怎样确定数据所有者真实同意?诸如上述问题并未予以澄清,实践中难免存在各种履行风险,一定程度上将影响数据传输效率,甚至影响沿线数字经济发展积极性。

第二种,基于标准合同条款的数据传输协议,往往存在不公平条款输入可能,如何平衡数据主体自由传输充分决定权与合同缔约效率张力,已成为规范标准合同内容的研究聚焦。尤其在数字经济发展进程中,数据使用者如何通过电子标准合同获得数据所有者同意?处于劣势地位的数据所有者对于标准合同内容如何防范不公平条款?对于数据使用目的怎样履行告知义务?数据所有者又该如何完成“知情—同意”承诺?这些问题均是数据跨境传输标准合同应当着力解决的关键。

2.境外数据接收方与本国充分保护水平评估标准不清晰

当前,以第三方数据充分保护水平为参考的数据传输安全环境评估策略,已成为数据跨境传输本地化存储的另一个重要豁免条件。其中,俄罗斯2015年《个人数据保护法》、印度2018年《个人数据保护法(草案)》、新加坡2014年《个人数据保护法》均就数据跨境流动设置充分保护规定,要求向境外传输数据时,唯有数据接收国提供与数据所有者认可的同等迫切的安全保护措施,才可免于数据所有者事前书面同意。反之,若数据保护机构认定数据使用者未能提供相当水平的安全充分保护措施,则可采取必要措施阻止数据向传输目的国传输。这种视各国对数据保护程度而定的充分保护豁免认定规定在我国《网络安全法》中也有类似体现(5)《网络安全法》第37条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。。

“一带一路”部分国家尝试借鉴充分保护数据安全认定标准,虽然一定程度上有助于沿线跨境数据传输节约守法成本,提高地区性跨境数据自由实现,但是,目前为止,关于充分保护认定标准及程序未能明确,致使实践中具体情境因素未能统一考量、评估认定时间漫长,这无疑将降低数字经济发展中数据跨境自由传输效率,增加沿线数据本地化存储风险压力,弱化该机制适用效果及初衷。

(四)数据跨境传输末端离境保护执法成本徒增

在推行数字贸易及数据自由化过程中,依托大数据网络云存储技术,跨境数据可以存储在全球任意位置,与之相伴的犯罪技术更加隐蔽,执法冲突隐患激增,相关风险防范更需加强全球执法合作。同时,鉴于“一带一路”法律文化差异,数据传输风险的应对可能因缺乏统一执法机构及跨境电子数据取证多边协议等而增加数据离境保护执法成本。

1.“一带一路”执法机构缺乏统一合作

虽然独立统一的跨境数据保护执行机构可以消除各国执法冲突、避免重复执法,但是在互联、协作、开放的“一带一路”倡议范围内,受沿线数字经济主体多样化及数据传输类型多元化影响,目前为止,“一带一路”数据跨境传输离境执法机构尚未嵌入统一合作模式。近期达成的RECP第12章第3节第8条“线上个人信息保护”设计中也仅旨在鼓励法人在实践中公布与个人信息保护相关的政策和程序,而并未对此设置该区域统一的数据传输保护执法机构。虽然欧盟及部分国家也一直尝试形成区域性或全球化统一执法机制,但令人遗憾的是,迄今为止尚未搭建起执行合作共享机制。整体而言,“一带一路”现行跨境数据传输执法机构,主要呈现出国别化不同层级管理特色(6)主要包括俄罗斯联邦电信、信息技术和大众通信监管局、新加坡通讯及新闻部设立的数据保护委员会、哈萨克斯坦检察长办公室、马来西亚个人数据保护委员会、也门国家信息中心、阿联酋数据保护委员会、格鲁吉亚数据保护督察员、波黑数据保护局、黑山数据跨境传输监管机构、塞尔维亚则公共重要信息与个人数据保护官、马其顿个人数据保护局等。。

此外,大数据时代涉及的数据信息类别可能覆盖一切社会主体,并非仅仅依靠部分政府机构、企业、个人便可有效化解传输冲突,同时,数据流动中涉及的传输主体范围也将逐步扩大,其风险也非单一主体即可应对。单一依靠政府机关形成的“一带一路”跨境数据保护执行机构已难以适应数字经济发展特点,滞后的矛盾化解机制可能孵化更多矛盾冲突,为此,需尽可能地覆盖各类数据传输活动参与主体,形成多元共治体系,共同负责数据传输风险冲突执法事宜。

2.跨境电子数据取证机制不健全

大量数据离境传输背景下,由于跨境电子数据取证多边协议缺失及现行跨境电子取证程序繁复等原因,执法机关提取有价值的证据需要耗费更多时间和人力成本,及时高效甄别有效数据证据挑战更大,先行跨境电子数据证据取证机制已无法满足执法机关相关证据有效调取需求。具言之:

第一,跨境电子数据取证多边协议缺失。跨境电子数据取证是基于现实传统国别地域基础,对虚拟空间执法活动的扩展。传统跨境证据取证主要基于数据主权原则,有限时间内在有限主权区域获取有效证据,而数字经济发展背景下,跨境数据依托虚拟世界自由传输,加快了对同时间不同地域的多维度冲击,涉及的电子数据证据也可能分布在不同国家或地区。数据传输无地域限制的自由流动已非一国之力可以应对,传统司法协助在跨境数据传输面前的优势已黯然失色。同时,“一带一路”程序性立法差异较大,域外取证实践中为适应不同国家或地区程序法内容,不仅将增加执法成本,也可能造成对相关权力损失补救不及时。有鉴于此,在国际法与国内法互动发展中,形成互相尊重、高效便捷的司法取证多边协议,共同应对沿线数字经济风险尤为必要。

第二,现行跨境电子取证程序繁复。一是随着全球数字经济发展,存储于他国或地区的跨境数据证据取证需求不断增多,传统“倒U型”(7)传统“倒U型”取证方式是指以“倒U型”流程从请求国执法机构申请取证到被请求国执法机构收到取证请求的模式。数据取证司法协助方式往往需沿着“倒U型”穿梭于请求国到被请求国间,而数据跨境传输并非仅仅关联一个国家或地区数据接收者,若同时需要在“一带一路”数个国家或地区调取相关证据,则无法适用该传统取证模式。二是上述传统证据取证模式运行往往需事先了解双方程序性立法,进而通过多部门不断协调,最终获得相关证据。在数字经济迅速发展过程中,这种缓慢低效的取证程序已难以适应各方数据主体维权所需。此外,由于“一带一路”互联网信息技术及数字经济发展水平不平衡,具体实践中,可能表现出证据取证能力参差不齐,无法回应数据传输参与主体跨境数据取证的权利保障期待。

三、“一带一路”数字经济数据跨境风险的系统性应对

随着数字技术迭代升级,几乎所有行业都与数据传输相关,后疫情时代在线互动的数字经济俨然已成为引领世界经济走出低谷的重要动力。为获取数字经济市场红利,特别是依赖互联网拓宽线上境外市场时,数据跨境传输日益频繁,相关传导防控风险日益紧迫。面对这样的风险态势,如前所述,数据流动性导致的各类型风险非一国即可应对,还需建立“一带一路”命运共同体共同信任支持的风险系统应对措施。具体而言,在未来数字经济规则博弈中,应把握以下几点:

(一)数据跨境传输前:构建数据风险分类管理体系及传输限制标准

“一带一路”沿线整体数字经济发展水平相较西方发达国家较为缓慢,若沿袭美国自由宽松的数据分类管理模式,加之受其长臂管辖影响,则可能致使区域内数据管理秩序混乱,很难实现本区域数字经济高速发展,若坚持欧盟等严苛数据分类管理规则,也将严格束缚沿线各国参与全球数字经济发展的步伐,不利于沿线数字经济发展中分享全球数据跨境传输红利。面对第四次工业革命发展机遇,“一带一路”发展应摒弃博弈和对抗思维,在保障各国数据安全前提下,降低区域内数据本地化存储要求,探索形成兼顾沿线域情的跨境数据流动传输限制引导模式,不断提升后疫情时代本地区数字传输汇集,增加沿线数字经济发展吸引力。

1.推进跨境数据风险分级分类管理体系建设

数据信息包罗万象,笼统要求所有跨境数据本地化未能兼顾不同数据法益内容,也将增加相关风险防范溢出成本。审视“一带一路”跨境数据分级分类管理现状,目前尚未形成体系化规定,为提高沿线各国数据传输效率,加强相关传输风险防范,建议推进搭建“一带一路”跨境数据风险分级分类管理体系。主要内容包括:

第一,建立跨境数据风险分级目录。通过大数据统计沿线各国及地区跨境数据传输内容,并根据沿线国家和地区经济、法律、文化、宗教、信仰等,基于数据脆弱性分析、可接受风险等级认定,设立数据风险名录,以供各方数据传输参考。一是廓清国家安全数据范围。主要包括涉及国家安全、影响社会稳定的政府公共部门敏感数据,如政治、经济、科学、国防军工、教育、资源、医疗、遗传生物等重要行业限制性数据,大型工程活动、海洋环境敏感地理信息数据,及有关宗教信仰传播的重要信息等。二是明晰个人隐私、商业秘密关键数据内涵。主要包括有关公民个人姓名、联系方式、密码、财务数据、健康数据、生物识别、遗传数据等隐私,还包括有关商业秘密的敏感数据。三是界定一般数据外延。排除上述两类数据外,大多属于一般数据。通过上述分类初步判定跨境数据风险等级,再行评估数据出境是否风险可控,以防其出境或再转移后被泄露、损毁、篡改、滥用等。

第二,构建数据安全分类管理体系。当数据按照风险等级分类后,则需对其分类管理。一是在“一带一路”数据监管网络平台及时更新各国境内数据监管立法,实时公开相关数据传输监管情况。二是建立各国统一认可的数据存储中心,对用于跨境传输的不同数据类型备份存储,并定期公布数据存储情况,检查数据保存质量,保持并维护数据完整性,对此,可效仿巴林数据中心在中国西北“一带一路”沙漠地带,邀请各国共同打造全球数字经济数据存储中心。三是为尊重各国各地区数据主权,可依据其国内法对数据传输风险进行跨境前审批,并对数据使用情况跟踪评价。四是就数据管理有效经验及时共享,并定期就新兴数据类型监管办法开展经验交流。

2.主张跨境数据传输合理性限制标准

“一带一路”沿线各国或国际组织、国际协议等公权力凝聚形成的数据传输限制模式,一定程度上对数据自由传输的安全发挥着稳定器作用,助推数据存储限制目的实现,但这种缺乏合理化限制标准的措施往往可能超越禁锢措施风险应对,可能形成目的手段比例原则错位的数据禁输壁垒,最终导致跨境数据活动目的落空。为此,有必要结合数据出境后安全风险实地分析,参照表1细化形成与数据安全保护、风险防范相适应的行业级跨境数据传输限制标准,通过国内自由贸易试验区建设,以电商、旅游等行业为试点,尝试合理平衡数据本地存储与安全权属保护矛盾的先行试验,待其检验通过后进一步向全行业推广,在“一带一路”全域打造数据安全传输合理限制标准,谨防对一切数据类型采取统一的本地存储严苛限制策略。

表1 “一带一路”数字经济数据传输规制标准

(二)数据传输中前端:拓宽数据监管管辖范围并细化阻断长臂管辖机制指南

数据跨境传输开启前,准确界定数据跨境风险监管管辖范围,细化长臂管辖阻却规则,是当前“一带一路”沿线数据跨境传输风险治理中,实现数字经济发展治理能力现代化必须面对的司法焦点。

1.扩充数据跨境风险监管覆盖主体

后疫情时代依靠互联网技术的数字经济将进一步凸显优势,为弥合立法设计与科技发展步伐不一致的矛盾,在跨境数据传输管辖设置中,应尽可能囊括一切数据类型,并从以下层面进行考量:

(1)随着“一带一路”倡议成员不断增多,加之数字经济发展中数据传输无国别化限制的自由流动特点,为有效防控沿线跨境数据风险因素,有必要冲破区域阈值限制,共商形成覆盖“一带一路”全域发展利益的数据管辖制度,并基于现行区域性多边条约,拓宽数据跨境风险监管覆盖主体。(2)相较实体经济建设,数字经济风险蔓延速度更快,涉及领域也更为广泛,其风险可能并非简单聚焦于个别数据中,很可能影响所有数据环境,因此,对其风险监管判定时,应尽可能囊括一切数据类型。但这种管辖权拓宽并不一定意味着对于所有数据均具有绝对管辖,还需依据相关风险实例评判是否可能触及长臂管辖问题。

2.细化《阻断外国法律与措施不当域外适用办法》指南

主张数据管辖权还须同步解决管辖冲突。商务部近期在国际法框架下颁布的《阻断外国法律与措施不当域外适用办法》(以下简称《办法》),通过阻断法就长臂管辖问题实施阻却,旨在解决国内执法机构和企业面临的数据管辖冲突问题。为更好保护沿线各国个人、法人、组织合法权益,有必要在该办法基础上形成配套细则,具言之:

(1)细化“不当禁止或者限制情况类型”。对于《办法》第2条有关不当禁止或者限制情形,可关注有关长臂管辖已决案件,形成目录名单,并将该目录向“一带一路”沿线及时共享,倡议形成沿线各国各地区对长臂管辖的类型否定。(2)明确国际商事立法“最密切联系”适用标准。由于数据流动性可能触发诸多连接点,有必要明确“最密切联系”原则适用标准,防范部分国家司法管辖权过度滥用。一方面,要明确实体法与程序法中选择同一连接点的依据及效果差异化,不能以实体法方式直接沿用于程序法中,最终导致“万物都有关联”;另一方面,应对数字经济发展中的“最密切联系”原则重新设计,不能简单将实体经济中的连接点确定模式直接适用于数字经济发展中,尤其是数据跨境传输全过程。(3)起草《中华人民共和国国际民商事司法协助法(草案)》。虽然上述《办法》就阻断程序进行了一定说明,但其内容整体较为笼统,有必要通过起草民商事协助法(草案)进一步细化相关程序,并设专章对数据跨境传输规制予以说明,不断重塑新的数据风险规制法律体系。

(三)数据跨境传输中:明确跨境数据传输本地化存储豁免标准

为弥补数据跨境传输中本地存储豁免程序缺失可能增加数据风险评估负担的遗憾,有必要对现行豁免标准缺失问题及时补正。

1.明晰数据主体同意本地化存储豁免判定程序

为实现数据所有者对数据传输真实预期,在数据跨境传输合同条款同意环节的设计中,可通过在线备份缔结相关证据等方式加快合同条款缔结。具体操作程序如下:

(1)通过获取并备份数据所有者书面填写、口头表示、发送电子邮件、互联网跨境语音、视频回复等方式就数据传输内容及时间信息确认同意。同时,有关标准合同内容提示时间节点应规定为合同订立前或订立时。(2)对同意公开的数据出境目的、范围、类型、数量、社会、经济价值、敏感程度和技术处理情况等内容,可由数据使用者事先公示出来,并对关系数据所有者的敏感信息警示标注,继而数据所有者通过语音或视频重复,以表明其允诺公开范围。(3)对于标准合同条款中加重数据所有者风险负担,降低数据适用标准的条款内容,应坚持“不利于条款拟定者”原则,除数据所有者本人确定相关合同条款内容外,一般可推断数据所有者并未真实知情相关数据传输内容也并未达成真正合意。

2.细化数据充分保护安全风险评估豁免认定条件

为降低跨国数据传输守法成本,提高“一带一路”跨境数据传输本地存储豁免机率,提高沿线跨境数据传输效率,对充分保护认定标准及程序界定时,可从以下几个维度思考:

(1)对数据保护水平评估时需设计明确考量标准。主要包括两个层面:一是对数据本身的评估。相关检视因素包括数据性质、将进行的数据处理操作的目的和持续时间、敏感度、传输数量等。二是对数据接收国安全保障水平的判定。主要参考依据包括第三国现行的一般性数据保护规定和部门性数据保护规定以及该国施行的专业规则和安全措施、法治水平、人权保护水平、独立监管机构的有效运行、接收者的财务、参与的国际条约等。(2)建立“一带一路”数字经济数据安全评价程序。具体操作如下:一是从“一带一路”全域提供的相关领域专家名单中抽调专家组成专业化评估小组,并建立专家培训机制,确保被培训人员达到数据传输安全评价工作要求,由专业化评估小组进行数据资料收集并对数据接收国数据传输环境安全程度进行勘察;二是对相关危险源及可能造成的危险情形进行警示,将风险影响因素进行说明,以便数据传输双方做好提前预警研判,当数据离境可能对数据主体权益产生危害时,应立即终止传输活动,并将问题原因及临时处置方案等上报评估小组;三是做出是否符合数据自由传输的评价,对于基本符合但存在一定安全风险的数据接收环境,可要求其提出相关安全应对措施,重新评估数据出境安全风险;四是综合一定时期内各方数据传输风险状况,及时发布并更新数据传输充分保护安全风险白名单及灰名单,以供沿线数据传输活动参与主体参考。

(四)数据传输末端:着力构建“一带一路”跨境数据传输离境执法机制

数据天然流动性要求构筑跨境数据传输末端保护执法机构必须立足全球视野,加强国际执法协作,推动建立数字经济统一的多边跨境数据保护执法机制,不断提升抵御各类风险的应对能力,为实现域内数字经济安全发展形成机制保障。

1.添设数字经济数据跨境风险合作统一执法机制

为提升“一带一路”跨境数据传输执法便利性,减少法律文化及行政权力制约影响,同时为满足不同数据传输主体所需,应建立合作统一的跨境数据传输执法机制并形成多元化执法队伍。具言之:

(1)可由各国推荐组建“一带一路”数字经济发展普遍认可的统一的执法机制。一是通过沿线各国共同参与、共同商议,推荐组成沿线多边执行机构,形成沿线各国治理合力,且该机构仅对各国共同意志负责,并依据风险应对多边协定获得具体执法权限;二是可充分利用现有合作机制,通过区域性自由贸易试验区、金砖国家峰会、APEC会议等形成各机制中的执法合作框架,并逐步向“一带一路”沿线国家和地区推广经验,在各领域尝试探索建构执法机制、完善相关程序,最终构建普适于沿线各国各地区的数据跨境传输统一执法合作机制。(2)“一带一路”数字经济发展主体诉求各异,有必要统一共识形成多元化跨境数据传输执法队伍。一是邀请第三方中立组织、各国或地区从事相应工作的组织、法人或个人,统筹各方合力,尽可能发挥各类主体智慧优势;二是吸取沿线各国及地区专家学者,成立具有专业知识的专家库,并不断更替库存名单,提升专家库权威,从库存专家名单中定期随机抽取一定数量人员共同参与形成执法队伍;三是为保障执法队伍独立性,应尝试探索形成与国内行政管理相区别的执法人员人事管理及财务配套制度。

2.缔结跨境电子数据取证多边协议

随着数字经济的发展,“一带一路”覆盖国家及地区数量不断增多,然而由于各国法律文化、宗教信仰等差异较大,数据离境势必增加执法成本。为此,有必要从以下维度提高跨境电子数据取证效率:

(1)通过缔结多边公约加强数据传输电子数据取证的司法协助。“一带一路”数字经济发展水平差异较大,其跨境数据传输取证程序性立法也各不相同,时时反映着主权有限与数字经济犯罪无界的矛盾冲突。为保障沿线数字经济健康发展,有必要对各国及各地区现行跨境电子证据取证规则进行比较,总结各国各地区立法异同,建立起尊重“一带一路”国内立法及习惯法的数据取证多边协议。(2)构建跨境电子数据取证简易程序。传统司法协助程序存在程序冗长、效率低下等缺陷,难以满足数字经济发展中跨境电子数据取证实践的需要。对此,司法协助中司法执法机关间、司法执法机关与数据所有者间在取证程序方面应减少其他环节的直接合作。此外,还需建立个案数据协助取证机制,不再受统一取证时间要求的束缚,及时防控数据传输风险,获得提取、接收存储在他国境内的数据法定权限,保障“一带一路”沿线各方数据参与者合法权益。

四、结语

总的来看,数据跨境传输风险分歧制约着“一带一路”数字经济发展,为回应电子信息技术对数据保护的冲击,实现各国各地区跨境数据传输自由流动,应以提高沿线数字经济命运共同体为核心,及时梳理相关风险的系统性应对逻辑,审视数据传输过程中的风险合规现状,秉承求同存异的态度,努力克服现行差异化数据传输风险应对措施对数据自由流动造成的障碍,探索形成普适性的数据跨境传输风险应对策略,增强抵御各类风险的能力,引领“一带一路”沿线国家和地区实现后疫情时代数字经济更加蓬勃发展。