跨境数据流动治理的中国方案
——以《数据安全法(草案)》为视角
2021-11-28陈家宁张建文
陈家宁,张建文
(西南政法大学民商法学院,重庆,401120)
跨境数据流动的含义主要包括两种:一种是数据跨越国界的传输、处理与存储;另一种是数据仍在本国境内,但能够被境外主体进行访问。[1]在信息全球化的时代,数据不仅是新的生产要素,更是国家的重要战略资产。数据流动是数字经济发展的关键要素,数据的跨境流动会产生巨大的经济价值,与此相对,也会带来数据安全问题。目前世界各国政府争相通过数据政策争夺跨境数据流动治理的话语权。
2017年12月8日,习近平总书记在中共中央政治局第二次集体学习时指出,要切实保障国家数据安全,加强国际数据治理政策储备和治理规则研究,提出中国方案。2020年7月3日,全国人大官网公布《数据安全法(草案)》,草案提出应当鼓励数据合法有效利用和有序自由流动,以促进数字经济发展。2020年9月8日,王毅外长在“抓住数字机遇,共谋合作发展”国际研讨会上提出了《全球数据安全倡议》①外交部.中方提出《全球数据安全倡议》[EB/OL].[2020-09-08].https://www.fmprc.gov.cn/web/wjbz_673089/xghd_673097/t1812947.shtml.,该倡议是我国在全球数据治理和跨境数据流动领域的一次重要发声。在这一背景下,本文将梳理全球跨境数据治理的现状与面临的困境,并在《数据安全法(草案)》的基础上提出中国的跨境数据流动方案。
一、跨境数据流动的全球治理与困境
(一)跨境数据治理的全球治理现状
1.欧盟:立法主导,推进单一数字市场,掌握话语权
欧盟对跨境数据流动的治理以政策引导为主,其严格限制个人数据跨境流动,无论是在政策制定还是个案审查中,欧盟始终将个人数据的保护放在极高位置,将个人数据权利作为人权保护的一部分。[2]只有在保障个人数据安全和个人数据权利的前提下,才会进行进一步的数据利用。《个人数据保护指令》①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with re⁃gard to the process-ing of personal data and on the free movement of such data,Official Journal L 281,23/11/1995 P.0031-0050.第二十五条提到,只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下,才可以进行数据转移,但同时对内禁止以数据保护名义进行数据本地化。在非个人数据跨境流动方面,欧盟的开放程度较高,倾向于提高单一市场中的非个人数据跨境流动性,限制欧盟成员国的数据本地化,没有设置大量的针对公共利益的保留和例外条款,而是更注重数据流动带来的价值。总体而言,欧盟希望在个人数据权益、个人隐私与数据流动之间达到动态平衡。此外,欧盟推行“数字单一市场战略”(Digital Single Market,简称DSM)②Commission Communication adopted on 10 May 2017(COM(2017)228 final).,旨在破除成员国之间的政策壁垒,增强网络信任与安全,实现数据自由流动,促进数字经济发展最大化。[3]
引领跨境数据流动规则,推进数字单一市场在欧盟乃至全球实现,是欧盟的战略。从《一般数据保护条例》(GDPR)及其“长臂管辖”条款,到数据保护委员会(European Data Protection Board,简称EDPB)及其协调机制的建立,欧盟致力于推广并提高其数据立法乃至整个信息产业的全球影响力。
2.美国:市场主导,强化“长臂管辖”以提升影响力
美国在信息技术和数字经济领域居于世界主导地位,与欧盟相比,美国更倾向于由市场主导数据自由流动,以保持其现有的信息优势。美国主张通过自由贸易协定谈判,将其数据跨境流动规则主张和规则在一定条件下为缔约国所接受。[4]美国对数据的自由流动需求强,因此其跨境数据流动的对策都以维护数据自由流动为基调。2018年3月,美国议会通过《澄清境外数据的合法使用法案》(Clar⁃ifying Lawful Overseas Use of Data Act,即CLOUD法案)。该法案秉承“数据控制者”原则,无论传输或储存的信息是否在美国境内,只要服务提供者控制数据,美国政府均有权要求其披露信息,允许政府跨境调取数据。然而,外国机构想要调取储存于美国的数据,则需要国会认定外国政府符合“符合资格的外国政府”,再向美国境内数据控制者发出调取命令。《云法案》是美国在数据领域“长臂管辖”的典型体现,弱化其他国家对其境内数据的实际掌控,强化美国对其掌控数据的绝对控制,以维持在数据跨境流动的主导地位。
3.俄罗斯:限制流动,严密监管,强化数据本地化政策
与美国和欧盟相比,俄罗斯的数据流动政策偏向保守。出于网络空间安全的考量,一般情况下,俄罗斯禁止将数据转移到国外,跨国公司的某些数据也应在俄罗斯境内保留副本。[5]另外,除《关于个人数据自动化处理的个人保护公约》(第108号公约)③Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,即“第108号公约”。2018年5月18日,欧盟委员会部长委员会在于埃尔西诺召开的第128届会议上通过了《关于个人数据处理的个人保护公约》的修订协议。④《关于修改联邦反恐法和俄罗斯联邦立法法及关于制定旨在打击恐怖主义和保护公共安全的附加措施》(第374-FZ号联邦法)中有多项条款涉及针对个人计算机的情报监测。成员国和签署国以及白名单国家外,对其他国家或地区的个人数据跨境传输须获得数据主体的书面同意。此外,俄罗斯还设置了严格的互联网电子监视和访问限制,不仅要求网络用户实名制,还增大了针对私人通信服务的检测力度,要求互联网服务提供商保留实时数据12小时以上,以供安全局访问,而通过在线传输、接收和连接方式取得的数据则应当保留1年。④
此外,俄罗斯还建立了严格的数据本地化政策,要求所有在俄罗斯境内开展数据活动的网络运营商都必须在俄境内建立服务器,并将服务器所在地通知俄罗斯联邦通信、信息技术和大众媒体监督局,以处理公民的个人数据。
(二)全球跨境数据治理的困境——数字霸权与数据本地化
全球化治理中面临的区域保护主义、贸易霸权主义问题也同样在跨境数据流动治理中存在。各地的跨境数据流动政策在管辖权上越发激进。欧盟的“长臂管辖”体现在,即使数据控制者和数据处理者在欧盟境内没有设立实体机构,只要其向欧盟居民提供商品或服务,就会受到GDPR的约束,将欧盟内部严格的跨境数据传输规则和个人数据保护规则拓展至欧盟外部。[6]同样,美国在《云法案》的框架下建立了更加宽泛的管辖权,利用美国跨国企业在全球数字经济中的绝对主导地位①2018年11月,玛丽米克发布的《2018年互联网趋势》报告指出,根据全球各大互联网公司的估值衡量,全球20大互联网科技公司中,美国占了12家。这种资本霸权是欧洲不能比拟的,多数发展中国家更是只有望而却步。,建立了可以绕过数据所在国监管机构,将美国执法效力扩展至数据所在国的“治外法权”[1],这也是其全球治理模式的延续。具有数据治理领域政策优势的国家或地区,利用“长臂管辖”扩大自身数据产业优势,必然会加大数据鸿沟,加大数字经济领域发展差距。
与长臂管辖相对应,过于严格的数据本地化措施也会带来负面影响,以贸易保护主义的方式为全球数字经济发展带来阻碍。首先数据本地化政策要求跨国企业在本地建立数据库等基础设施,经营成本增加,贸易效率降低。另外,过严的数据本地化反而会对个人数据安全造成威胁——中小企业无力建设运营域外数据中心,会选择将数据合规外包,这增加了数据泄露风险。过严的规制将束缚创新,阻碍数字经济的发展壮大。因此,世界各国都在“发展”和“规范”之间进行取舍,努力找到最佳平衡点。[7]
二、我国跨境数据流动治理的现状
我国主要通过数据本地化解决数据治理与本地执法问题,暂时还没有形成体系化的法律规制,多是散见于规范性文件的对于特定数据的跨境数据规则。②《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。立法层面有直接涉及的是《网络安全法》,但其对跨境数据流动是原则性规定,缺乏可操作性,本地化规则强度过高。[8]
2020年7月,全国人大颁布的《数据安全法(草案)》第十条提到,要积极开展数据领域国际交流与合作,促进数据安全、自由流动。相对于《网络安全法》对数据跨境的谨慎,《数据安全法(草案)》强调了数据流动与国际合作,但仍践行了分散立法的思路,没有对跨境数据流动管理具体的操作细则予以规定。如何将数据安全法落实到部门具体实施中,还需要进一步完善立法。值得关注的是,国家网信办于2019年6月发布了《个人信息出境安全评估办法(征求意见稿)》,这是目前对个人数据跨境传输最为具体、最具有可操作性的制度尝试。虽然该办法相对于《民法典》《网络安全法》等的原则性更加具体,是对个人信息出境进行具体规定所做的一次有益尝试,但相对目前国际数字贸易和跨境流动的需求,仍存在以下问题:
第一,数据本地化程度过高。我国的数据本地化原则上要求数据只能在我国境内存储和处理,个人数据如果要向境外传输,必须经过严格的安全审核与评估。虽然数据本地化可以在一定程度上保障数据安全,但我国作为数据经济产业能力世界第二的数据大国,过于严格的本地化政策并不利于对外经济的运行,会阻碍社会生产力的提高。[9]
第二,数据流动缺乏统一的监管机构。我国跨境数据监管主要是由主管行政机关进行,各行业的数据由各部门主管机构负责,例如互联网数据由工业和信息化部负责。因此,在数据跨境流动的治理机制上缺乏统一的分工与对接。当前《个人信息出境安全评估办法(征求意见稿)》在个人信息出境安全评估方面采用监管部门的全面审批机制。尽管这有利于保障跨境传输中的数据安全,推动数据的有效治理,但也加大了企业运营与市场监管成本。[10]
第三,跨境数据治理的国际规制参与度较低。跨境数据流动安全高效的关键是内外制度相协调。[11]目前,我国尚未与欧盟或美国等大的数据经济体签订明确可供执行的跨境数据流动协议,相较于美欧推进的数据战略和顶层设计,作为数据大国,我国尚无一套清晰的跨境数据规制和国际战略,这可能使得“数据孤岛”的情况加剧,削弱数字治理的国际规则主导权。
三、跨境数据流动治理的中国方案
(一)将维护国家数据安全与数据主权放在首位
在信息社会,数据已经成为网络空间存在与发展不可缺少的基础性要素,数据安全问题涉及到国家经济发展的核心资源和战略基础,是直接关系到创新经济发展和数字经济发展的核心性决定性问题,因此,任何对数据安全的威胁也可能构成对国家利益的危害。
在跨境数据流动治理的制度设计上,保障数据安全是首要任务,应当做到对内自主决定、对外自主可控。《数据安全法(草案)》应当将逻辑起点放在数据安全上,通过保障数据安全保障数据发展。首先,应当确保本国数据产业独立自主的发展权,在核心领域脱离对外国技术的依赖,我国拥有优势的技术应当优先满足本国发展需要。其次,应当确保我国在数据领域的最高立法权限,自主制定数据领域法律法规,不受外部势力的影响和支配。[12]
但同时,也应当考虑到适度的问题,不能过于强调数据本地化而阻碍数据正常流动,互联网作为世界性的通信工具,一国规制往往会造成外部性。[13]应当平衡数据本地化与跨境数据流动,使数字经济能够在数据安全的框架下得到发展。
(二)完善境内数据管理机制
1.建立跨境数据流动监管机构
设置统一的数据监管机构十分必要。欧盟设置欧洲数据委员会(the European Data Protection Board,简称EDPB)统筹欧洲的数据安全事项,GDPR第五十一条规定了欧盟成员国应当设立统一的监管机构保护个人数据。
《数据安全法(草案)》明确了数据安全的负责主体,由中央国家安全领导机构负责数据安全工作和统筹协调,各地行业主管部门承担本行业、本领域的安全监管,国家网信部门统筹协调网络数据安全与相关监管。①《数据安全法(草案)》第六条:中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。第七条:各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。存在的问题是,数据本身具有极强的流动性和共享性,因此数据的安全监管需要统一、协调的制度与管理,若各行业各自承担本行业的安全监管责任,会出现政策不协调、管理效率低下、管理真空等问题。因此,作为顶层设计的重要组成部分,应当建立专门、独立、权责明确的数据监管机关,负责数据规范的具体落实、数据安全的风险评估和跨境数据流动治理等活动。[10]
2.建立多元化数据分级分类机制
目前的《数据安全法(草案)》对数据没有提出明确可行的数据分级分类标准,仅仅提出了应当按照数据在经济发展中的重要程度对数据进行分类。②《数据安全法(草案)》第十九条:国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。数据种类纷繁复杂,但数据——特别是重要数据的分级分类,是数据治理的基础。因此,数据分级分类应当既有国家部门的主导,同时也与数字经济发展部门进行充分有效地沟通,合理确定重要数据范围及保护方式,平衡安全与发展两大价值需求。
一是将个人数据与重要数据分别管理。鉴于个人数据与重要敏感数据涉及的风险和所需保护的法益各有不同,许多国家都在尝试分级分类监管,通过灵活多样的监管模式,确立宽严相济的数据跨境流动管理政策。[1]个人数据跨境传输与个人数据权益、隐私权息息相关,而重要数据的保护主要是以国家安全和公共利益为考量,二者的价值取向不同,立法重点也应不同。因此,个人信息和重要数据分开监管是一种较为合理的思路。在制定个人信息跨境保护机制时,可以设定适当的民事权利义务,以信息主体权益保护为主。而对于重要数据的跨境监管,应当以行政监管为主要手段。[14]
二是将个人数据、非个人数据与两者数据集合区分管理。如果跨境流动数据是个人数据,应当要求数据提供方提供关于所交易的个人数据获得了数据主体的同意或者具有其他合法理由的证明。如果数据交易的对象是非个人数据,即具备了匿名化并且不可复原的条件①《网络安全法》第四十二条第一款:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。,数据控制者享有该非个人数据的所有权,在此情况下,不应当要求数据提供方说明数据来源。对于个人信息和非个人信息交织在一起无法区分的数据集合,目前尚没有解决方法。笔者观察到的一些关于促进数字经济发展的地方法规(草案),通常会把此类的数据集合作为个人信息法律保护的对象。在目前我国个人信息法律保护机制不够完善的情况下,对于无法区分或者区分成本过高导致不能分割的个人信息和非个人信息的数据集合而言,采用个人信息保护法律制度来说是非常有现实意义的。
三是对个人敏感数据设置高级别的流动管制。个人敏感数据是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人数据。欧盟对敏感数据实施“充分保护”,即对敏感数据的处理必须经过数据主体明示同意,同时在对个人敏感数据进行大规模处理前,或个人数据的处理可能给数据主体的权利或自由造成高风险时,相关组织有义务进行隐私影响评估(Privacy Impact Assessment,简称PIA)。我国以此为参考,在敏感数据处理和传输前,要求征得数据主体明示同意。另外,我国可建立相应的安全认证标准,如果第三国的数据保护程度不能满足我国的安全认证标准,将不允许敏感个人数据的跨境流动。[13]
(三)积极开展国际合作,构建我国的跨境数据传输域外效力规则体系
国内的数字基础设施已较发达,但在国际上发展环境相对受限。在中国企业全球化经营背景下,《数据安全法(草案)》面临严峻的国际竞争格局,在跨境数据流动的规则体系构建中缺少话语权。
王毅外长在《全球数据安全倡议》中提到应当尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据,反对利用信息技术破坏他国关键基础设施或窃取重要数据,不得滥用信息技术对他国进行大规模监控,或非法采集他国公民个人信息,企业尊重当地法律,不得强制要求本国企业将境外产生、获取的数据存储在本国境内,应通过司法协助等渠道解决执法跨境数据调取需求。该倡议是一套凝聚全球数据安全共识、符合全球共同利益的中国全球治理方案,有力回应了目前跨境数据流动治理中存在的问题,例如针对数据本地化过激的问题,提出不得强制要求数据在境内存储,数字保护主义违背经济发展规律;针对美国《云法案》中的“长臂管辖”和内外不一的数据流动政策,倡议提出应当反对与摒弃单边主义,不应当刻意搞双重标准,干扰和阻碍全球数字合作与发展。
目前,我国尚未与贸易伙伴建立数据跨境流动的互信机制,这将会阻碍我国实现在保护个人数据目标下的数据自由流动,也会影响我国企业跨境业务的开展。在欧盟与美国强化“长臂管辖”原则和数据主体权益的背景下,我国应当与他国加强跨境数据流动规制合作,构建国际互信合作机制。[14]
我国作为全球第二大经济体和数据大国,应当争取成为跨境数据流动治理乃至全球数据治理的领导者与政策制定者。在跨境数据流动的域外规则建设中,可利用“一带一路”倡议、“亚投行”等由中国主导的多边合作机制,联合有共同利益诉求的国家与地区,制定区域性跨境数据流动的合作机制,增强中国的话语权,[15]为全球数据资源的共商、共建、共享提供新出路。
四、结论
在“得数据者得天下”的时代,如何掌握跨境数据流动治理的主动权和话语权是大国间战略博弈的焦点。谁率先占领了数据治理的高地,谁就掌握了信息全球化的主动权和话语权。[14]在这场抢占话语权高地的战役中,我国作为数字经济大国,应当在保障国家信息安全的前提下,积极参与、引领全球跨境数据流动的规则制定。
《数据安全法(草案)》将安全置于发展之中,安全与发展同步推进,在保护数据安全的同时促进数据产业的发展。数据流动会释放出巨大的潜力,进而将激发更有效的贸易运作,催化出高度创新的社会解决方案,最终有利于更完善的政策选择,从而进一步促进贸易发展,实现良性循环,用数据驱动经济。[7]我国应该有强者心态、开放心态、发展心态,在确保关键领域安全的前提下,积极与世界对接,扩大开放水平。