跨境数据流动的国际规则动态与我国对策
2021-12-04孙占利严思雨
孙占利,严思雨
(1.广东财经大学法治与经济发展研究所/法学院,广东 广州 510320;2.广东财经大学,广东 广州 510320)
与传统的资源不同,数据具有可复制性且不影响其本来的价值,并可以因数据的持续开发利用而不断产生新的价值。跨境数据流动和利用既可促进传统产业创新,也可以促进数字经济发展,但也可能威胁到数据安全乃至国家安全。究竟是促进“数据自由流动”还是加强“数据本地化”,如何在安全和发展中实现平衡,对各国政府提出了考验①参见上海社会科学院:《全球数据跨境流动政策与中国战略研究报告》,2019 年8 月28 日,https://mp.weixin.qq.com/s/wxvc9-mFWZuDkIL-fBsWEQ,2020 年4 月11 日访问。。由于数据资源已经成为基础性战略资源,各国为了争夺数据资源,纷纷利用属人管辖、属地管辖等管辖原则来强化对数据资源的管理与控制,并尝试推动形成符合其利益诉求的国际规则,国际规则博弈激烈而又复杂,研判其发展态势和如何采取适宜的对策是亟待解决的问题。
一、主要经济体关于跨境数据流动规则的立场与实践
(一)欧盟
欧盟虽然在数字技术、应用及市场份额方面无法与美国和我国相媲美,但在2015 年就制定了欧盟单一数字市场战略,2017 年发布《构建欧盟数据经济》,2017 年发布《欧洲企业间数据共享指南》,2018 年发布《欧洲数据经济中的私营部门数据共享指南》,2020 年发布《欧洲数据战略》,并在相关立法中处于领先位置,彰显了欧盟通过建立欧盟内部的“单一数字市场”赢得新一轮国际竞争的雄心。欧盟关于跨境数据流动的立法主要是《通用数据保护条例》和《非个人数据在欧盟境内自由流动框架条例》。
2016 年通过、2018 年实施的《通用数据保护条例》(GDPR)继承了95 指令对欧盟境内外数据流动进行区别对待的理念,对内禁止成员国借数据保护名义限制个人数据在欧盟境内的自由流动,以推进欧盟单一数字市场战略;对外则予以限制,但在汇集各国和地区做法的基础上,提出了多种合法的数据跨境流动方式,包括充分性决定机制、有约束力的公司规则机制、标准合同条款机制、行为准则机制、认证机制、国际协议等。需要特别注意的是,GDPR 要求域外国家的企业必须事先通过欧盟委员会的“充分性保护认证”以证明该国的数据保护水平,才能实现与欧盟之间的跨境数据自由流动[1]。“充分保护认证”是欧盟委员会在综合评估一国的法治水平、人权保护水平、数据保护制度独立监管机构的运行效果、执法能力、救济机制、参与的国际条约等因素后,对一国能够提供与GDPR 相同的数据保护水平的认定[2]。获得认证并不意味着一劳永逸,此后欧盟委员会还会对该国进行审核。若是没有获得“充分保护认证”,境外的数据控制方或处理方就只能在证明其对数据安全采取了合理保护时,才可向数据接收方所在国传输。GDPR 还规定了即使不符合上述条件仍可以跨境传输的例外,包括获得数据主体的明确同意,或出于维护公共利益等情形[3]。
对于非个人数据,为消除欧盟成员国的数据本地化限制,实现欧盟单一数字市场战略,2018 年欧盟《非个人数据在欧盟境内自由流动框架条例》强调,非因公共安全理由,原则上不禁止非个人数据在欧盟境内的自由流动。欧盟还禁止内部成员通过要求使用本国计算设施处理数据、数据存储和处理本地化的行为,禁止在其他成员境内存储或处理数据以及将使用本国计算设施作为允许数据流动的条件等方式的限制①See World Trade Organization:Joint Statement On Electronic Commerce Eu Proposal For WTO Disciplines And Commitments Relating To Electronic Commerce Communication From The European Union,dated26 April 2019,https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf,lastedvisiton 1 February 2020.。
欧盟虽然认为通过裁判是无法赢得比赛的,但寄希望于通过建立对中国和美国都具有吸引力的欧盟模式。2020 年11 月欧洲数据保护委员会发布了关于数据跨境传输的最新指南,欧盟委员会继2020 年11 月通过了《欧洲数据治理法案》后,又于2020 年12 月通过了《数字服务法案》与《数字市场法案》,并计划在2021 年推出《数据法案》等法案。这些指南和法案都直接或间接影响到与欧盟有关的跨境数据流动,并对相关的国际规则乃至其他国家的国内立法产生不同程度的影响。
(二)美国
美国在信息和通信产业处于绝对的领先地位,一直主张跨境数据的自由流动。然而,事实上美国贯彻的是内外有别的政策。2018 年3 月美国通过了《澄清域外合法使用数据法案》(即“云法案”),在该法中,美国依其国家利益采用“数据控制者标准”划定管辖范围,无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按《存储通信法》规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制,都可以成为调取数据的来源[4]。该法仅支持两种情形下的抗辩,即目标对象不在美国居住的非美国人及披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府”立法的实质性风险[5]。
但是,美国对他国获取本国数据却进行严格的限制,以确保外国政府对隐私权和公民自由提供有力的实体与程序保护,要求政府符合“适格外国政府”的主体条件,要求他国在网络犯罪与电子证据方面有足够的实体法及程序法、有足够且透明的机制以确保能够对外国政府收集与使用电子数据的行为进行问责等②参见公安三所网络安全法律研究中心:《美CLOUD 法案概述》,2018 年3 月14 日,https://mp.weixin.qq.com/s/k7kYUwtW_F_K9khdK73mXA,2020 年4 月1 日访问。。此外,美国根据《出口管理条例》和《国际军火交易条例》对军用和民用相关行业的技术数据的跨境实施许可管理。2018 年8 月通过的《2019 年外国投资风险审查现代化法》将外国人投资保存或收集美国公民敏感个人数据的公司纳入审查范围。
从美国与其他国家签署的条约来看,奥巴马政府时期签订的《跨太平洋伙伴关系协定》(TPP)第14.13 条规定,缔约方不得将要求受约束的组织和个人使用该缔约方领土内的计算设施或者将设施置于其领土之内作为在其领土从事经营的条件。尽管特朗普政府退出了TPP,但2018 年签署的《美国—墨西哥—加拿大协议》吸收了上述规定。美国也在与其他国家的谈判协议中积极推广反数据本地化政策,但也存在弹性处理或妥协的情况,例如在美国与韩国重新签署的《美韩自由贸易协定》中,将反数据本地化规则修改为“避免对跨境的电子信息流施加或维持不必要的障碍”,由此对数据跨境流动进行必要控制、保留的出口[4]。
(三)俄罗斯
俄罗斯从维护国家安全角度出发,通过修宪和立法加强数据本地化管理和限制跨境数据流动,以抵御跨境数据流动风险。按照《关于信息、信息技术和信息保护法》和《俄罗斯联邦个人数据法》的规定,互联网信息服务组织传播者、信息拥有者以及运营商有义务将数据留存在俄罗斯境内储存和处理。在执法层面,俄罗斯也要求进行网络传播的信息组织者将俄罗斯用户的网络通信数据、用户本身数据和用户活动数据在俄罗斯境内保留6 个月,并应告知俄罗斯当局①参见上海社会科学院:《全球数据跨境流动政策与中国战略研究报告》,2019 年8 月28 日,https://mp.weixin.qq.com/s/wxvc9-mFWZuDkIL-fBsWEQ,2020 年4 月11 日下载。。俄罗斯对履行本地化义务的主体范围相当广泛,对个人数据本地化存储的要求相当严苛,在俄罗斯存储的个人数据要满足最先、最全、最新的要求②参见洪延青:《俄罗斯数据本地化和跨境流动条款解析》,2018 年10 月19 日,https://mp.weixin.qq.com/s/PZJSUJC_6ztnAV uLxC5NcQ,2020 年4 月2 日下载。。
数据存储本地化并不等同于禁止数据跨境传输,俄罗斯在法律上并没有禁止个人数据出境,但要求数据首次存储必须在俄罗斯境内的服务器③同脚注①。。另外,俄罗斯《个人数据保护法》规定在满足一定条件下,个人信息可以进行跨境传输,该等条件包括:接收国符合同等保护要求;经个人信息主体书面同意;俄罗斯联邦签署的相关国际性条约;国防和国家安全需要的情况;执行合同时,合同一方为个人信息主体;在无法得到个人信息主体书面同意的情况下,出于保护个人信息主体或者他人生命、健康及其他与生命息息相关的利益时。
(四)东盟与东亚自贸区
2021 年1 月东盟批准《数据管理框架》和《跨境数据流动合同范本》,二者均非立法,主要目的是帮助东盟企业建立有效的数据全生命周期保护和引导东盟企业间的跨境数据流动,进而促进东盟数字经济的发展。
特别值得提及的是,2020 年11 月15 日,东盟十国与中国、日本、韩国、澳大利亚、新西兰等15 个国家签署了《区域全面经济伙伴关系协定》(RCEP),标志着世界上人口数量最多、经贸规模最大、发展潜力最大的东亚自贸区成功启航。有关跨境数据流动的规则主要是RCEP 第十五条“通过电子方式跨境传输信息”,主要内容为:缔约方认识到每一缔约方对于通过电子方式传输信息可能有各自的监管要求;一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。本地化要求直接影响跨境数据流动紧密相关,RCEP 第十四条“计算设施的位置”的主要规定如下:缔约方认识到每一缔约方对于计算设施的使用或位置可能有各自的措施,包括寻求保证通信安全和保密的要求;缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内,作为在该缔约方领土内进行商业行为的条件。RCEP 也对跨境传输信息和本地化要求的例外情形做了规定,即任何规定不得阻止一缔约方采取或维持:缔约方认为是其实现合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用,或者该缔约方认为对保护其基本安全利益所必需的任何措施,其他缔约方不得对此类措施提出异议。
与跨境数据流动紧密相关的另一个问题是个人信息保护,RCEP 第八条“线上个人信息保护”主要规定如下:每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架;在制定保护个人信息的法律框架时,每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则;每一缔约方应当公布其向电子商务用户提供个人信息保护的相关信息,包括个人如何寻求救济和企业如何遵守任何法律要求;缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序;缔约方应当在可能的范围内合作,以保护从一缔约方转移来的个人信息。
二、国际组织推进跨境数据流动国际规则的努力与进展
(一)联合国
为了国际社会的整体发展,联合国试图通过各种方式使各国在数据资源管辖的领域达成共识,倡导在保障数据安全的前提下实现数据资源的开放共享与合作,建立数据资源共同体。联合国于2007 年启动实施“全球脉动”项目,试图通过推动数据高效采集与数据分析方法创新突破,探索数据资源服务于社会经济的有效途径,从而为实现全球可持续发展发挥实效。2016 年4 月,联合国贸易和发展会议(以下简称“贸发会议”)发布的《数据保护规则与数据全球流动:贸易与发展的影响》提出,数据流动对于数字经济贸易的创新、竞争与发展起着愈发重要的作用,应运用专门的文件和促进一种或更多的机制来解决数据跨境流动问题。
2018 年7 月,联合国秘书长设立的数字合作高级别小组的工作报告《相互依存的数据时代》提到,大数据时代迫切需要形成以人类共同的价值观为基础的数字合作,让更多的利益方参与到数据治理的合作中。小组基于对当前全球数字合作机制的分析,提出了改进全球数字合作架构的模式,以此来激发多方之间有针对性、灵活和开放的磋商。报告建议制定《全球数字信任与安全承诺》来塑造共同的愿景,确定数字稳定性的属性,阐明并加强对技术负责任地使用的规范,并提出行动重点。报告还建议通过《全球数字合作承诺》完善全球数字合作框架,加强数字治理机制,加强国际和平与安全,促进经济发展和环境的可持续性发展。
联合国贸发会议2019 年9 月发布的《2019年数字经济报告》提议,在全球化的发展过程中,要采取相应的措施扭转当前数字经济带来的不断扩大的不平等和权力失衡的趋势。发展共同体需要支持数字经济发展中的落后国家,可通过加强援助、共同创造有利环境等,确保发展中国家的充分参与,促进数据驱动在数字经济中创造和获取价值,在全球范围内缩小“数字鸿沟”。
(二)WTO
WTO 作为全球经济治理的重要支柱,是多边贸易协调机制的核心平台。根据WTO《服务贸易总协定》(GATS)中的电信服务附件规定,成员国应保证任何其他成员的服务提供者可以跨境传送、使用在其境内服务器中存储的信息,但受到GATS 第十四条的一般例外条款的约束,即“本协定的规定不得解释为阻止任何成员采用或实施以下措施:为保护公共道德或维护公共秩序而必需的;为保护人类、动物或植物的生命或健康而必需的;为确保服从与本协定规定不相抵触的包括与下述有关的法律和法规所必需的:(1)防止欺诈和欺骗做法的或处理服务合同违约情事的;(2)保护与个人资料的处理和散播有关的个人隐私以及保护个人记录和账户秘密的;(3)安全问题。”该等例外也被概括为个人信息保护例外和安全例外。
近年来,数据成为数字经济最重要的驱动力,互联网的无国界性高速便捷传输为数据在全球范围内的自由流动提供了新的渠道。WTO 电子商务议题也及时跟进了这一变化,并成为跨境数据流动问题的重要讨论平台。2019 年,76 个WTO 成员共同提交了《电子商务联合宣言》,确定了新一轮WTO 电子商务议题谈判的重点。WTO电子商务议题谈判共召开了九轮实质性磋商会议,针对电子商务征税、跨境数据流动、网络安全、数字鸿沟、消费者权益保护等方面进行了讨论。跨境电子商务必然伴随着数据的跨境收集、处理、利用,各成员方在数据跨境自由流动与数据本地化等问题上的分歧较大。
美国向WTO 提交的提案中包含禁止数据本地化要求,主张成员不应禁止或限制个人、企业因商业目的的数据跨境转移,但存在“合法公共政策目标”例外,并且应在实施限制措施前提供证明。美国还提议进行数据流动的必要性测试,要求成员符合合理公共政策。
欧盟在2019 年提出建议案,认为在跨境数据流动中应将保护个人数据和隐私作为基本权利放在首位,原则上禁止限制跨境数据流动,例外情形下成员可以采用适当的保障措施来确保个人数据和隐私的安全。但是,欧盟内部也存在分歧,如法国、德国有数据本地化要求,而瑞典则倾向于跨境数据自由流动。
新加坡和日本等国主张欧盟式的“相同保护水平”要求,非洲、加勒比和太平洋岛国等发展中国家则基于自身电信与互联网等基础设施较差的国情条件,反对将数字贸易及跨境电子商务议题纳入多边贸易框架下讨论①参见上海社会科学院:《全球数据跨境流动政策与中国战略研究报告》,2019 年8 月28 日,https://www.secrss.com/articles/13274,2020 年12 月11 日下载。。2019 年4 月我国通过WTO 散发了首轮提案,提出谈判应以世贸组织现有协定和框架为基础,坚持发展导向,尊重成员监管权利和发展中成员的合理诉求,重点讨论通过互联网实现交易的跨境货物贸易及物流、支付等相关服务,推动建立规范便利、安全可信的电子商务交易和市场环境。2020 年12 月,精编各方提案的WTO 电子商务谈判合并案文出台,其中包括跨境数据流动及与此紧密相关的计算机设施位置、个人信息保护、政府数据开放等问题,期望在2021 年年底举行的第12 届部长级会议上取得实质性进展。
总体而言,在WTO 电子商务议题中,“美式数字规则”、“欧式数字规则”及“发展中国家的数字规则”代表着不同的利益诉求,如何平衡数据的利用与保护将成为各成员方讨论的重点,需要各方本着共商共建共治的理念,在求同存异的基础上探寻分歧的弥合之道。
(三)其他国际组织
1980 年经济合作与发展组织(OECD)发布《关于隐私保护和个人数据跨境流动指南》(以下简称《指南》),首次提出了数据跨境流动的概念与原则。《指南》旨在推进各成员采取措施确保数据流动的安全与畅通,不得随意施加限制,但可根据本国的隐私立法与实际情况对特定种类的数据进行特别限制,也可以互惠原则为由对数据的使用进行限制。虽然《指南》中设置了诸多例外条款,但是各成员对数据跨境流动原则达成了一致意见,即在安全的前提下保障数据的自由流动。该指南至今仍被作为规制个人数据跨境流动以及隐私保护的重要规范②See OECD Guidelines on the Protection of Privacy and Trans border Flows of Personal Data,dated 23 September 1980,https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm,lastvisitedon11 February 2020.。《指南》于2013 年进行了修改,提出了自由流通和合法限制原则,要求成员国应避免以保护隐私为由对跨境数据流动设置超出其保护水平的障碍,但在成员国违反指导原则或出于规避本国隐私立法的目的进行数据流动等情形下可以设置限制。2014 年OECD 通过了《互联网政策制定原则建议》,提出维护互联网开放性,支持以多利益相关方式制定互联网政策(包括保护隐私安全和促进跨境数据自由流动),加强国际合作。
亚太经济合作组织(APEC)于21 世纪初设立了数字经济行动框架与行动议程,成立了数据隐私小组,制定了亚太经合组织跨境隐私规则系统(CBPR)与《经合组织隐私框架》。APEC 肯定了数据流动在数字经济中的价值,认为安全是保障信息和数据的自由流通的重要前提[6]。跨境数据流动应当严格遵循APEC 隐私框架的要求,数据使用者在使用数据时必须取得数据主体的同意,或其能够确保将严格遵守APEC 隐私框架的相关规定进行数据的使用。CBPR 还对数据跨境流动采取认证的规定,数据控制者可以自由选择是否进行CBPR 认证,只有通过CBPR 认证的数据控制者才被认为满足了隐私保护要求,方可在APEC 区域内实现跨境数据自由传输,但该数据控制者也应受到区域内隐私执法当局按照本国法的监管。APEC 还倡导要加强对消费者信息的保护,要在保障数据自由流动的前提下加强监管,平衡数据发展与数据安全。
国际商会(ICC)认为数据本地化所带来的损失要远远大于其带来的经济利益,破坏数据流动将不利于世界经济的可持续发展,强制数据本地化将会限制外国企业的准入,还会造成贸易壁垒,增加微型、中型和中小型企业(MSMEs)的成本。随着经济数字化转型时期的到来,跨境数据流动变得愈发重要。2018 年5 月,ICC 呼吁各成员防止数字保护主义,鼓励各成员摒弃不合理的数据本地化措施。ICC 数字经济委员会通过对私营部门的政策领导、监管和鼓励,促进数字经济的全球性发展与信息和通信技术的稳定增长,并且提议确保数据的自由流动,禁止数据本地化,不得为数据流动增加限制性壁垒,致力于防范网络安全风险。
三、跨境数据流动的国际规则的总体观察与趋势研判
虽然相关国际组织和主要经济体以不同的方式尝试推进跨境数据流动的国际规则,但由于复杂的国家利益冲突、不同的价值追求以及不充分的国家间信任度,相关的博弈激烈而又复杂,需要理清争议问题及其成因,并对其发展趋势进行研判,以便我国采取适宜的对策予以积极应对。
(一)数据资源的属人管辖和属地管辖冲突严重影响数据的跨境流动
一国对某种传统资源(例如石油资源)的主权管辖以属地管辖为基础,但数据资源与传统资源不同,主要在网络空间中进行流动,网络空间的虚拟性与无国界性决定了数据资源管辖的复杂性。网络信息技术的发展带动了数据资源的跨境存储与流动,根据储存地和占有主体的不同,数据资源将受到多个不同国家法律所管辖[7]。为了争夺数据资源,一些国家争相扩展其管辖权。例如,美国《澄清域外合法使用数据法》依据属人原则要求美国企业协调调取全球各地属于其管理控制的数据,将管辖的范围延伸至其他国家的境内范畴。俄罗斯则通过属地管辖原则加强对本国数据资源本地化管理,其《关于信息、信息技术和信息保护法》和《个人数据法》严格要求互联网信息服务组织传播者、信息拥有者以及运营商将数据留存在俄罗斯境内,以保护国家安全。可见,国家之间关于数据资源管辖的立法方面存在冲突①《关于信息、信息技术和信息保护法》第十六条第四款,《俄罗斯联邦个人数据法》第十八条第五款。。一些国家基于对数据安全的考虑,对数据资源的管辖实行本地化存储政策,对重要数据资源禁止或限制流出境外。
诚然,各国依据主权原则对数据资源可能使用属人管辖叠加属地管辖原则,严格管制本国数据资源的储存与流动,从而对跨境数据流动形成事实上的壁垒。然而,其他国家也会进行政策复制,国家间就会出现竞争性的壁垒升级。同时,由于现有的国际法对很多具体管辖权问题表述模糊,使得各国对法律的条文和内涵在理解上存在不一致[8],进一步加剧了数据资源的管辖冲突。
(二)数据跨境自由流动和本地化存储成为争议焦点
数据跨境自由流动和数据本地化存储本身并不矛盾,然而严格的数据本地化存储往往伴随着对跨境数据流动的严格限制。支持数据跨境自由流动的国家和组织认为数据天然会进行流动,开放与共享是互联网时代的基本理念,限制数据跨境流动会影响数据价值的实现。数据跨境自由流动意味着国家和组织可以获得更丰富的数据,从而获取更大的经济效益。支持数据本地化存储的国家和组织则认为数据跨境流动的前提是保证本国数据安全,不得威胁国家利益和国民基本权益。实行数据本地化存储,监管者对境内的数据、设施、企业与个人可以通过立法、执法、司法等手段实现相对可控,可以避免跨境数据流动带来的不确定风险,保证本国数据安全。同时,数据本地化存储还有利于本国产业创新升级。
数据的天然流动性(可复制且不损害其价值)和经济全球化使得跨境数据流动不可避免,也因此,即使是要求数据本地化存储的国家,也允许在满足数据主体同意、协议约定、执法需要、数据安全保障、数据安全审查等条件下进行数据跨境流动。然而,这些条件的设置并无统一的国际规则,各方自行其是将会使相关的争议持续下去。
(三)各国对如何平衡安全与发展的关系难以达成普遍性共识
从目前国际组织的立场和绝大多数国家的立法来看,跨境数据流动规则应当平衡安全与发展的关系,但对于如何平衡二者关系尚未达成共识,突出表现在对跨境数据流动的限制性条件和设置不同的数据安全保护要求,其根源在于各个国家的数据利益不同,特别是发达国家与发展中国家对数据资源的利用能力存在巨大差异。总体而言,发达国家在重视本国数据安全保护的同时强调跨境数据自由流通,而发展中国家则强调数字资源的主权属性和跨境数据流通中的数据安全保护。
然而,即使在发达国家之间,对此问题也存在不同的主张或做法,例如欧盟和美国。2000 年7 月,欧盟和美国在承认差别的前提下签署了《安全港协议》,首次构建了个人数据流动的国际合作机制。美国尊重欧盟对其公民的属人管辖,通过协议直接要求参与跨境数据交换的美国企业遵守欧盟的数据保护规则[9]。在实际操作中,美国商务部将给出承诺遵守该协议的企业清单,以此保证欧洲公民的数据在国外受到与其在欧盟国内相当的保护,实现双方在数据领域的交流共享。2013年美国“棱镜计划”曝光,欧盟意识到该协议无法阻挡美国对他国网络数据的肆意攫取。2015 年,随着欧盟最高法院对奥地利人Max 指控Facebook向美国政府提供数据一案作出的最终判决,《安全港协议》也随之失效。
基于传统的盟友关系,欧美为结束跨境数据流动无所依据的尴尬,于2016 年再次达成共识,签署了《隐私盾协议》。通过该协议,欧盟公民的个人数据保护有了多重的救济途径,美国政府和企业也承担了更为严格的数据保护义务。然而,欧美对此问题的矛盾并未因此而化解。2019 年7 月,欧洲数据保护委员会称美国和欧盟之间需要达成一项国际协议,以确保美国根据新法案提出的数据调取请求符合欧洲法律。特别需要提及的是,2020 年7 月16 日欧洲法院以《欧美隐私盾协议》允许美国对欧盟公民的个人数据进行大规模监控为由判定“无效”。可见,双方的争议未能彻底解决,且随着情势的变化不断出现新的争议。
(四)认可数据安全保障是跨境数据流通的必要条件但对保障标准难以达成一致
在全球互联互通的时代背景下,跨境数据流动日益频繁且难以监控。随着数据流出境外的数量增加,涉及的数据类型和范围更广,数据安全乃至国家安全面临重大威胁。在数据跨境流动过程中,从存储到传输再到投入应用,无一不潜藏着风险。例如,传输过程中可能被人为地中断,利用网络技术将数据截取加以修改,然后再投入流通,导致数据所记载的信息不真实,更有甚者将截取的信息向外泄露或以其他非法方式进行利用,从而实现非法获益等不法目的。数据安全得不到充分保障,不但会对数据主体的权利产生侵害,而且可能威胁到一国的国家安全和社会稳定。2013 年美国“棱镜计划”的曝光在数据安全领域为各国敲响警钟,各国开始重视对数据安全的保护,为防止本国的数据遭到他国的监控或遭到其他技术性侵害,纷纷通过立法加强对跨境流动中的数据安全管理,如制定严格的数据本地化政策、重要数据或关键数据出境的安全审查等措施。
一些国家明确禁止涉及国家安全与公共利益的重要数据进行跨境流动。意大利、匈牙利等国禁止将政府数据存储于国外“云服务”提供商的服务器中,澳大利亚规定为政府部门开发的数据以及有关个人健康方面的数据不得存储于公共云数据库中[10],韩国要求金融领域内的企业服务器必须设立在韩国境内,印度则要求企业将部分互联网基础设施存放于境内,公民的个人信息、政府信息和公司信息不得向境外流动[11]。而且,印度拒绝新的一次电子商务议题谈判,拒绝签署G20峰会通过的涉及数据自由流动等议题的“大阪数字经济宣言”,对数据全球化流动的国际协商产生了一定的影响。
从联合国、WTO、OECD 等国际组织的相关会议讨论和文件观察,各国际组织皆以推进跨境数据规范流动和合法利用为目标,并不否定数据安全的重要性,且在不同程度上肯定了数据安全保障是跨境数据流通的必要条件,但由于利益冲突等原因,各方对数据安全的保障标准难以达成一致。目前看来,通过普遍性国际组织形成普遍性的跨境数据流动国际规则遥遥无期,区域性国际组织(例如欧盟和东盟)虽然容易达成共识,且在某些情况下可以促进普遍性的国际共识,但也可能强化与区域外国家和地区的利益冲突与规则矛盾。
(五)个人信息或数据保护成为各国数据治理的重点并构成跨境数据流动的实质性障碍
传统的数据或信息保护立法重点关注国家机密和商业秘密,但近年来发生了较大变化,对个人信息或数据的保护已经突破了民法隐私权的保护方式,出现在跨境数据流动、网络安全、数据安全等立法中,呈现出综合运用民事责任、行政责任及刑事责任的立体化数据治理保护模式。
欧盟、美国、日本、德国等诸多国家纷纷以立法、决议、宣言、会议讨论等形式关注个人数据保护。从当前的相关立法来看,合法、正当、必要已经成为普遍遵循的个人数据保护原则,收集个人数据要征得数据主体同意和使用个人数据不得超过事先明示之用途也已经成为立法共识,非法泄露或出售个人数据的行为也是各国立法严厉打击的对象,对未成年人的个人信息及个人敏感信息予以重点保护也是通行做法。我国《民法典》虽未确立个人信息权,但将个人信息作为信息时代的重要权益予以保护,目前正在制定的《个人信息保护法》则是对个人信息的全方位、系统性的专门保护立法。
总体观察,当前各主要经济体的数据治理框架重点集中在个人数据或个人信息保护方面,盖因个人是数据的重要生产者和最原始的数据主体,其合法权利在数据成为生产要素的背景下越发受到重视,相应的保护规则也越来越严格,但严格的个人信息或数据保护将会成为跨境数据流动的实质性障碍。
四、跨境数据流动国际规则问题的我国对策
面对复杂而又激烈的国际博弈,我国需要在把握跨境数据流动的国际规则的现状、分歧及成因的基础上,针对争议的焦点问题采取适宜的对策予以积极应对。
(一)尊重数据主权和协调各国的数据资源管辖冲突
主权是一个国家固有的、最基本的也是最主要的权利。随着人类进入数字化时代,大数据、云计算等信息技术广泛应用于经济社会、国防军事等领域,世界各国对数据的依赖快速上升,数据已成为国家基础性战略资源,对经济运行机制、社会生活方式、国家治理能力、国防和军队建设等产生重要影响,国家竞争焦点正从资本、土地、人口、资源的争夺转向对数据资源的争夺。
纵观代表性立法,欧盟秉承人权保护限制个人数据跨境流动,对内则禁止成员国借数据保护名义限制个人信息在欧盟境内的自由流动。美国基于利益导向促进数据跨境自由流动,以“数据贸易保护主义”为由反击他国的数据本地化政策,但同时又注重本国的数据安全保护,2018 年《澄清海外合法使用数据法》更是允许联邦执法机构强制位于美国的公司提供被要求的数据,无论是否存储在美国境内。前文述及,欧美废除《安全港协议》后于2016 年签署了《隐私盾协议》,但在2020 年7 月16 日被欧洲法院以该协议允许美国对欧盟公民的个人数据进行大规模监控为由判定“无效”。俄罗斯《个人数据法》等立法则要求信息通信网络和运营商在俄罗斯设立数据中心和对个人数据在境内存储。我国《网络安全法》确立了关键信息基础设施中个人信息和重要数据的本地化存储和跨境传输评估制度,相关立法也在数据分级分类的基础上确立了不同程度的本地化存储要求和跨境流动限制。
各国依据国家主权对其数据资源主张数据主权并藉此拥有类似自然资源的永久管辖权。然而,从上述代表性立法可见,由于理念和利益的差异,当不同的国家对数据资源分别主张属人管辖和属地管辖时,就会产生数据资源的主权管辖冲突,从而直接影响跨境数据流动。各国的自行其是也使得跨国公司无所适从,影响其国际投资的积极性和效率。数据资源与传统的自然资源并不完全相同。数据资源具有无形性,这是其与传统的自然资源的直观区别,但二者最主要的区别是数据资源具有可复制性且不减损其价值。跨境数据流动有助于各国交换数据资源和充分利用数据资源的价值,造福于全人类的共同福祉,这也是国际社会普遍主张促进跨境数据流动的主要原因。当然,数据的跨境流动应当以数据安全保障为必要条件。
为解决数据资源的主权管辖冲突,应遵循国际法的基本准则,互相尊重各国的数据主权,以公正公平的方式推进构建数据资源主权管辖冲突的协调机制,寻求共同利益最大化,促进跨境数据的有序自由流动。具体而言,首先,涉及国家秘密的数据叠加适用属地管辖和属人管辖,保障一国对其国家秘密的控制与排他权利;其次,对不涉及国家秘密的数据资源以属地管辖为主,以保障各国对其数据资源的主权,但各国有权依据对其中的个人数据实行属人管辖,以保障一国对本国公民的个人数据安全保护;最后,为了更好地打击危害全人类的犯罪,允许各国对特定的数据资源采用普遍管辖,但相关国家应保障相关数据的安全且不得用于其他用途。
上述设想只是协调各国对数据资源的管辖冲突的基本路径,并不能完全解决数据资源的管辖冲突问题,尚需秉承互利共赢理念,探索以数据资源的惠益分享模式解决相关的分歧。
(二)秉承互利共赢理念探索以数据资源的惠益分享模式解决分歧
习近平总书记在讲话中多次强调各国之间要相互促进、优势互补,倡导国际社会共同构建人类命运共同体,建设互相尊重、公平正义、合作共赢的新型国际关系。习近平在2019 年G20 峰会发言中指出:“利用数据资源,不能关起门来搞发展,更不能人为地干扰市场;要共同完善数据治理规则,确保数据的安全有序利用。”
在当前的跨境数据流动中,数据流出国无法从数据流入国获取收益,但要承担数据安全风险,且可能有损于该国的数据资源主权。数据资源具有可复制性,也具有可“再生性”(即对数据资源的二次或多次开发利用),此与传统的自然资源并不相同,各国争夺数据资源的根本原因在于数据资源的巨大利益。如能建立一种互利共赢的数据资源合作机制,就可以满足各方的利益诉求,促进数据资源的开放与合作,推进跨境数据的安全有序利用。
数据资源的惠益分享是指数据资源的使用者需要取得资源提供者的同意,并通过协议安排给予数据资源提供者一定的补偿或其他收益性合作条件。数据资源的惠益分享模式既可以实现共同利益最大化,也可以通过数据资源的优势互补实现数据资源的价值最大化,符合互利共赢的理念要求。
数据资源的惠益分享是可行的合作安排,但也需要我国选择适宜的国家和采取适当的方式来推进与其他国家的合作。建议首先选择“丝绸之路”沿线国家,以“数字丝绸之力”建设为契机,推行数据资源的惠益分享模式,共同分享数据资源的充分利用所带来的收益。在积累经验的基础上,扩大到与传统友好型国家进行合作共享。由于西方发达国家的技术霸权思维和不愿意放弃其全球垄断地位,加之数据资源关乎国家安全,数据资源的用途具有不可控制性,数据资源的利用结果也具有未知性,初期难以且不便与其达成合作安排,需待条件成熟时再与其进行合作。
惠益分享的关键在于做出互利共赢的合作安排。合作双方应在承认国家对数据资源主权和保障数据安全的基础上,经过公平磋商,以协议的形式约定公平合理的惠益分享方式,惠益可以是货币分享方式(包括一次性付费、获益提成及入门费加提成方式),也可以是非货币方式(如数据资源互换、共同合作开发利用数据资源、数字资源处理结果共享等灵活方式)。惠益分享可使得数据输出国和输入国公平分享跨境数据流动的益处,帮助数据弱国参与分享数字红利,促进信息化与经济全球化的交融发展。
(三)平衡安全与发展的关系,在对数据进行分级分类的基础上确立不同的跨境数据流动规范
在中央新一轮开放发展战略的指引下,我国明确在跨境数据流动方面坚持数据安全与发展并驱前行。数据安全管理并非要求将数据限制在我国境内,而是要在对数据进行分级分类的基础上确立差异化的跨境数据流动规范,信息技术与法律融合采取有效的安全保护措施,保障数据依法有序自由流动,实现数据安全与发展的动态平衡。
平衡数据安全与发展的关系的关键是对数据进行分级分类管理。对于数据分类,存在不同的主张,例如将数据分为未分类的公共数据、专属数据、客户机密数据。也有依照数据的物理属性将数据划分为数值型数据、分类型数据与性质型数据。实际上,数据可以做多种类型的分类,取决于分类的目的,并无唯一正确的分类标准或方法。
就跨境数据流动而言,可分为国家与公共安全数据(按保密法进行分级管理)、个人数据(分为一般个人数据和个人敏感数据,儿童个人数据实行特别管理)、商业数据(分为保密商业数据和非保密商业数据)。在对跨境数据流动进行安全审查时,可通过考量数据的性质、价值和影响划分数据的安全级别,从而匹配不同的跨境流动管理办法。我国数据出境安全审查制度大致也是这样设置的,正在起草的《个人信息保护法》和《数据安全法》也将进一步完善数据分级分类基础上的安全保护制度。
对于数据安全保护,也应重视技术与法律的融合保护,二者优势互补发挥协同保护效应。例如,可以结合区块链的分布式账本技术对数据进行分类分级管理,根据不同的场景(主要是数据的分级分类)需要选择使用联盟链、私有链、公有链,并利用区块链的共识机制和智能合约可信地自动执行数据交换,从而保障数据跨境流动的安全与效率的动态平衡。
(四)推进制定国际规则和打造国际合作机制,保障各国平等获得更多发展机遇
数据具有天然的流动性,数据资源正在全球范围内流动是不争且不可避免的事实。国际社会应当积极磋商制定跨境数据流动的国际规则,减少立法差异给跨境数据流动带来的阻碍。联合国、WTO 等国际组织已经开始推动制定统一的跨境数据流动国际规则,希望以此来规制跨越国界的数据获取和使用问题。然而,由于各国经济实力、科技水平、国家政策等方面的不同,对跨境数据流动的利益诉求也存在差异甚至矛盾,尚未就国际规则达成共识。
根据国际数据公司(IDC)的预测,到2025年中国数据圈将增至48.6ZB,占全球27.8%,成为全球最大的数据圈。我国是最大的发展中国家,也是数据大国,应抓住难得的历史机遇,主导国际规则的话语权,积极推进跨境数据流动规则的制定,致力于打造公平互利的国际数据合作机制。
我国可通过积极推动国际组织关于跨境数据流动议题的讨论,广泛听取不同国家的利益诉求,厘清各国跨境数据流动政策、配套机制与技术水平的差异,积极参与跨境数据流动规则的设计,重视跨境数据流动中安全与发展的平衡,在求同存异的基础上提出多方共同认可的数据跨境的最小限制标准,确保该限制的透明与无歧视性,并通过国际规则将各方共识固定下来,避免各方因数据流动发生摩擦。
我国应当在尊重各国主权原则的前提下加强与他国的双边和多边交流,共享跨境数据流动的经验和数字红利,增强国家间的战略互信,以率先示范的方式打造公平互利的国际合作机制。具体而言,在维护各方利益的前提下,我国可以与其他国家签订数据共享协议,明确数据共享的目的,列明可共享的数据目录,承诺确保处理和转移数据的安全性和保密性,对数据转移与共享进行必要的限制。为确保协议的执行,可设立监督机构监管数据资源的流动和使用情况。
美国“净网计划”的影响较大,也引发了中美“数据脱钩”的担忧。然而,挑战中蕴含着机遇,我国作为负责任的大国,应本着维护国际社会共同利益、互利共赢及共商共建共治的理念,向数据弱国提供网络信息技术支持和资金援助,在资金、技术、人才、国际规则话语权等方面支持数据弱国提升自主创新与发展能力,尽力缩小“数字鸿沟”,使各国平等获得更多发展机遇和更大的发展空间,促进全人类的共同繁荣和人类命运共同体建设。
结语
未来国家层面的新竞争力将主要体现为数据、算法、算力及其融合应用能力。跨境数据流动既可促进产业创新和经济发展,也可能威胁到数据安全乃至国家安全。激烈而又复杂的利益博弈使得各国对跨境数据流动中如何平衡安全与发展的关系未能达成共识。我国作为负责任的大国,应本着维护国际社会共同利益、互利共赢及共商共建共治的理念,主导国际规则的话语权,增强国家间的战略互信,在求同存异的基础上提出多方共同认可的数据跨境的最小限制标准,以率先示范的方式打造公平互利的国际合作机制,积极稳妥推进跨境数据流动国际规则的制定。