对接CPTPP数据跨境流动规则研究
2022-02-03黄秋红李雅颖
黄秋红 李雅颖
(西南政法大学 国际法学院,重庆 渝北 401120)
数字经济时代下,数据已经成为第五大基础生产要素,是社会经济发展的新引擎。根据中国信通院在2021年8月发布的《全球数字经济白皮书——疫情冲击下的复苏新曙光》,2020年全球47个主要经济体的数字经济总量占生产总值的43.7%,达32.6万亿美元,中国数字经济规模仅次美国,为5.4万亿美元。①中国信息通信研究院:《全球数字经济白皮书——疫情冲击下的复苏新曙光》,2021年第11、20页。作为数字贸易的基本构成要素,数据跨境流动的重要性越来越凸显,数字产品的跨境交付、数字服务的跨境提供都离不开数据的跨境自由流动。国际社会对数据跨境流动问题日趋关注,晚近签署的《美墨加协定》(USMCA)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)及《区域全面经济伙伴关系协定》(RCEP)等国际经贸协定都纳入了数据跨境流动规则。鉴于CPTPP规则开放之“全面广泛、深度系统”,代表了高水平、高标准的自由贸易协定,有利于推进我国“双循环”经济发展,2021年9月16日,中国正式提交了加入CPTPP的申请。①商务部网站:《中方正式提出申请加入〈全面与进步跨太平洋伙伴关系协定〉(CPTPP)》,http://www.mofcom.gov.cn/article/news/202109/20210903199707.shtml?ivk_sa=1023197a,访问日期:2021年10月5日。众所周知,CPTPP的前身《跨太平洋伙伴关系协定》(TPP)是美国主导的旨在遏制和孤立中国的全新“游戏规则”,此次中国申请备受全球瞩目。数据跨境流动是数字贸易的核心和基础,作为经贸谈判的新议题,中国加入CPTPP谈判的难点之一在于能否接受CPTPP中的数据跨境流动规则。CPTPP是全球范围内最早生效的新一代数字贸易规则,确立了限制数据本地化、保护个人信息、鼓励数据跨境自由流动、保护源代码等高标准规则。这些规则体现了CPTPP旨在遏制数据保护主义、鼓励数据自由流动,代表着保护和促进数字贸易的高水平。目前来看,我国数据跨境流动规则与CPTPP要求还有一定差距,需要在对接高标准规则上下功夫。
一、CPTPP中的数据跨境流动规制
数据跨境流动通常是指在一国境内产生的能够被计算设施识别的信息或数据被其他国家或地区的公私主体进行访问、读取、存储、加工、使用、处理等活动,包括数据的跨境流入和流出两个动向。②许可:《自由与安全:数据跨境流动的中国方案》,《环球法律评论》2021年第1期,第22—37页。CPTPP与数据跨境流动有关的规则主要包括第14.13条“计算设施的位置”、第14.11条“通过电子方式跨境传输信息”和第14.8条“个人信息保护”。其中,第14.13条是关于限制数据本地化措施的规定,第14.11条直接以数据跨境流动为规制对象,第14.8条涉及数据流动中的个人信息保护问题。
“数据本地化”即要求企业等有关主体在本国境内存储和处理数据,但并非代表着完全禁止数据的流动。不同类型的本地化措施宽严程度各不相同,既有仅规定在境内存储或备份数据而不限制跨境流动的,又有要求将特定数据存储在境内设备且限制其自由流动的。③王融:《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》,《信息安全与通信保密》2018年第3期,第41—53页。CPTPP第14.13条第1款首先基于缔约方对于通信机密和安全等的需要,肯定了它们对其境内的计算设施使用具有监管权利。④CPTPP第14.13条第1款。在此基础上,该条第2款规定缔约方不得将在其境内使用或安置计算设施作为投资者或服务提供者等相关商业主体在其境内从事商业经营的条件。⑤CPTPP第14.13条第2款。也就是说,CPTPP严格限制数据本地化措施,但基于缔约方“合法公共政策目标”考量,14.13条第3款做出了例外规定。该条款从目的、方式、限度三个方面进行衡量,缔约方在同时满足这些方面的情况下可以采取或维持数据本地化措施,即目的在于实现合法公共政策目标、方式非任意非歧视、实施方式不构成对贸易的变相限制、限度不超出目标范畴。⑥CPTPP第14.13条第3款。通过纳入采用比例原则限制缔约方的数据本地化措施,要求措施在必要的范围内进行,缔约方不得对计算设施的使用或位置施加超出满足合法目标的需要。从整体上分析,关于限制数据本地化的例外适用,CPTPP规定较为模糊,对于合法公共政策目标的范畴,缺乏明确的说明和解释。结合各国立法实践来看,合法公共政策目标可能包括保障国家安全、维护公共秩序或公共道德、保护个人隐私、实现便利执法等,⑦陈咏梅、张姣:《跨境数据流动国际规制新发展:困境与前路》,《上海对外经贸大学报》2017年第6期,第37—52页。标准极为宽泛。这造成CPTPP数据本地化措施限制规则可操作性不强,准确性和预测性不足,给缔约方留下较大的解释空间。
在数据跨境流动方面,CPTPP的规则设计与数据本地化措施限制规则大体相同,首先在第14.11(1)条中肯定了缔约方的监管权利,即各缔约方有权设置不同的跨境传输监管要求。①CPTPP第14.11条第1款。第2款则明确了缔约方对于电子商务中的数据通过电子方式跨境传输的强制性义务,即缔约国应该允许包括个人信息在内的数据跨境传输,且这一活动只适用于缔约方投资者、服务提供者所开展的“商业行为”。至于缔约方能否设置数据跨境流出的条件,如安全评估、认证保护等,该条款并未明确,但结合第1款的内容来看,缔约方对数据传输提出监管要求是CPTPP所许可的。该条第3款关于数据跨境流动的例外适用规定与第14.13条第3款内容大同小异,与数据本地化措施限制例外一样,缔约方可以在符合目的、方式、限度的基础之上,实施或维持限制数据传输的措施。由于二者例外条款内容一致,CPTPP数据跨境流动例外适用无可避免地存在界定不明、标准模糊、解释空间宽泛的问题。
个人数据是跨境流动数据的重要组成部分,数据流动必然涉及个人信息保护问题,CPTPP强调电子商务个人信息保护对于经济和社会效益的重要性,并设立了专门的条款。根据CPTPP第14.8(2)条,缔约方应承担制定或维持电子商务用户个人信息保护法律框架的强制性义务。考虑到不同缔约方之间的文化差异和立法水平,CPTPP允许缔约方采用不同的法律方式,例如制定个人信息、个人数据保护专门法或涵盖隐私保护的特定部门法等法律框架。②CPTPP第14.8条。缔约方在个人信息保护规则设置上应结合以下两点综合考量:第一,参考相关国际机构的指南和原则;第二,强化不同信息保护体制之间的兼容性。③董静然:《数字贸易的国际法规制探究——以CPTPP为中心的分析》,《对外经贸实务》2020年第5期,第5—10页。为协调不同缔约国之间个人信息保护规则以及加强对彼此监管结果的承认,该条款鼓励缔约方通过国际合作交换相关信息,包括双边、区域或者多边安排推动不同缔约方信息保护体制之间的兼容性。同时,该条对透明度和非歧视做出了要求,缔约方应向电子商务用户公布相关的个人保护信息,尤其是个人权利救济和企业行为合规方面。在保护个人信息免受侵害时,缔约方应尽力采取非歧视性做法。④CPTPP第14.8条。CPTPP关于个人信息保护的规制也存在较大的不确定性,如第2款中的相关国际机构定义不明,难以确定缔约方应参考的原则。CPTPP中“考虑”“努力”“鼓励”等软措辞的使用将导致个人信息保护的强制力不足。
另外,除数据本地化限制条款和数据跨境流动条款本身包含的例外规定外,根据CPTPP第29.2条和第29.1条第3款,安全例外和GATS第14条的一般例外规定也适用于电子商务章节,三者共同构成了数据跨境流动的合法限制依据。CPTPP第29.2条安全例外条款旨在保护国家基本安全利益,缔约方能够以维护基本安全利益为由,限制相关数据的跨境传输来保障重要信息、防止关键信息泄露。GATS一般例外条款的适用意味着缔约方可以基于维护公共秩序或公共道德、保障人类和动植物的生命健康、防止欺诈或处理违约情况以及保护个人隐私等合法事由,对数据跨境自由流动采取限制措施,但同样不得构成任意的、不合理的歧视或形成对国际贸易的变相限制。⑤GATS第14条。
二、我国的数据跨境流动规则实践及问题
近年来,我国电子商务蓬勃发展,商务部于2021年9月3日发布的《中国数字贸易发展报告2020》显示,我国在2020年的数字贸易额达到2947.6亿美元,预计到2025年,可数字化的服务贸易进出口总额将超过4000亿美元,占服务贸易总量的50%。①海外网:《〈中国数字贸易发展报告2020〉发布:我国数字贸易规模将持续扩大》,https://baijiahao.baidu.com/s?id=1710024126008514133&wfr=spider&for=pc,访问日期:2021年10月25日。随着数字贸易规模的不断扩大,我国日趋重视国内数据安全领域的立法,近年签署的自由贸易协定开始针对电子商务相关问题进行规制,网络安全法、数据安全法、个人信息保护法等相关法律法规陆续出台,自由贸易试验区对数据跨境流动规制积极探索。但我国数据跨境流动规则方面仍旧落后于现实,与CPTPP中的相关条款存在些许差距,从现有规则实践来看,我国立法相对谨慎。基于国家安全和网络安全的考量,我国对数据跨境流动控制较为严格,尤其是计算设施本地化要求与CPTPP规则存在一定差距,与全球数据治理一体化进程不相协调。
(一)自由贸易协定中的数据跨境流动规则缺失
截至2021年8月,我国已与26个国家和地区签署了19个自由贸易协定。②中国网:《我国已与26个国家和地区签署19个自贸协定》,http://news.china.com.cn/2021-08/23/content_77709112.html,访问日期:2021年11月10日。从章节设置来看,经过升级谈判,目前大部分自贸协定已经涵盖电子商务专章,与马尔代夫、格鲁吉亚、瑞士、冰岛、哥斯达黎加、秘鲁、巴基斯坦签署的自贸协定尚未纳入;从条款设计来看,电子商务章节共有9—11条,正文大致可分为以下四类:一是目标、定义等适用性规则,二是关税、透明度、合作,三是电子认证、无纸贸易等数字互认,四是争端解决,几乎都排除了争端解决机制对电子商务章节的适用;从文本内容来看,已公布的文本中,都囊括了个人信息保护条款,但几乎均没有涉及数据本地化限制措施、数据跨境流动,仅在2020年11月签署的RCEP电子商务专章第四节第14条和15条中有所规制。③中国自由贸易区服务网:《已签协议的自贸区》,http://fta.mofcom.gov.cn/,访问日期:2021年11月15日。RCEP这两个条款分别明确了关于计算设施本地化限制的问题以及确保电子信息跨境传输的自由,对比CPTPP,RCEP将合法公共政策目标和基本安全利益的解释权授予缔约方,且其他缔约方对该缔约方采取的例外限制措施不得提出异议,赋予了缔约方更宽泛的例外限制数据跨境流动权利。④RCEP第12章第14、15条第3款:本条的任何规定不得阻止一缔约方采取或维持:(一)任何与第二款不符但该缔约方认为是实现其合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用;或者(二)该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议。
除此之外,少数未设置电子商务章节的自由贸易协定中包含了电子商务规则,例如《中国-秘鲁自由贸易协定》第4章海关程序及贸易便利化章节中涉及无纸贸易环境下信息数据的提交和处理,⑤《中国-秘鲁自由贸易协定》第61条。《关于修订〈中国-东盟全面经济合作框架协议〉及项下部分协议的议定书》第四章第七条(3)款提及加强跨境电子商务领域的合作,⑥《中国与东盟关于修订〈中国-东盟全面经济合作框架协议〉及项下部分协议的议定书》第四章对《框架协议》经济技术合作相关条款的修订第七条(3)款跨境电子商务。原与新西兰签署的自贸协定仅在第八章涉及电子信息的交换,其后在升级议定书中增加了电子商务章节,但也只包括上述四类核心内容,缺乏数据本地化措施限制和数据跨境流动这两项关键内容。
(二)数据跨境流动国内规则的主要问题
数据跨境流动的国内规制散见于网络安全法、数据安全法和个人信息保护法等法律以及地图管理条例、征信业管理条例、人类遗传资源管理条例等特定行业的行政法规和《电子银行业务管理办法》《网络预约出租汽车经营服务管理暂行办法》《汽车数据安全管理若干规定(试行)》等部门规章中,缺乏真正意义上的专门数据管理法规。涉及数据跨境流动的法律规范存在重叠和交叉、规定笼统、范围不明、标准不清等问题,且因立法年份不同,部分条款之间相互不衔接。
1.立法理念上:偏重数据本地化
数据本地化与数据自由化体现了数据安全保障与数据跨境流动之间的价值平衡问题。价值追求不同,规则也互不相同,数据安全和数据自由归根结底就是安全和发展的问题。如上所述,我国多部法律法规涉及数据跨境流动,虽然确立了安全、自由的跨境数据流动原则,但整体来看更注重维护数据安全,特别是国家安全问题,立法态度较为审慎。其中,网络安全法明确了个人信息和重要数据本地存储的要求,必要时经安全评估后方可向境外提供。①《网络安全法》第三十七条。数据安全法对不同数据进行分级分类保护,并就“核心数据”“重要数据”“一般数据”设计了不同的跨境流动管理规则。核心数据的跨境流动适用更严格的安全审查规则,重要数据的跨境流动遵循网络安全法确立的出境安全管理规则,一般数据根据平等互惠等原则基本可以实现自由流动。②高通:《数据安全法中的数据跨境流动规则》,《民主与法制时报》2021年9月15日第3版。根据《网络安全审查办法(修订草案征求意见稿)》,对于掌握100万用户以上个人信息的运营者,须经安全审查才能到境外上市,③《网络安全审查办法(修订草案征求意见稿)》第六条。该办法还强调了核心数据、重要数据等的出境风险管控。对于个人信息,个人信息保护法在数据主体同意的基础上确立了三种个人信息跨境流动机制,包括由国家网信部门进行安全评估、经过专业机构的认证保护、采用标准合同文本明确与境外接收方的权利义务。④《个人信息保护法》第三十八条。在此之前,我国主要通过《征信业管理条例》《地图管理条例》《网络出版服务管理规定》等行政规章对金融、卫生健康、交通运输、医疗、气象等行业的数据提出了本地化存储要求和数据出境监管要求。
我国以数据安全和国家安全保障为根本目标,围绕重要数据本地化存储原则搭建数据跨境流动规则,与CPTPP限制数据本地化措施、鼓励数据跨境流动的立场存在一定的差距,也难以适应当前大规模数据跨境流动的实际需求。当然,我国可以通过援引CPTPP第14.11条第三款例外条款进行抗辩,且CPTPP第29章的安全例外条款对“基本安全”也没有做内容限定。整体来看,对于CPTPP中的数据跨境流动规则,尤其是个人信息保护方面,我国也尤为重视,本地化限制和跨境传输方面则可以通过法律解释、例外条款适用予以接受,但《个人信息和重要数据出境安全评估办法》等配套制度制定时需结合CPTPP合规因素考虑。
2.法律规范上:缺乏可操作性
数据跨境流动立法不完善,数据分级分类管理规则标准不明,安全评估规则缺乏可操作性。数据分级分类保护是数据安全法的重要内容,但却存在分类标准不明的问题。由于不同类别的数据跨境流动要求不一,分类标准将直接影响数据的跨境流动。从规则设计上,数据安全法“自上而下”地将数据划分为“重要数据”和“个人信息”,以数据价值(在经济社会发展中的重要程度)和危害程度(遭到泄露、纂改等非法行为后,对个人、组织合法权益或公共利益、国家安全造成的危害程度)作为分类标准。①《数据安全法》第二十一条。至于如何界定重要数据的范畴,该法并未明确,“重要程度”和“危害程度”标准模糊,重要数据目录有待相关部门通过制定配套规则予以明确,而授权“各地区、各部门”制定相关行业、领域内的重要数据具体目录可能造成规则冲突,不利于执法。不可否认的是,该规定可以在一定程度上推动各地区、各部门的积极性,但不同地区、部门基于各自利益考量可能引发一些问题,导致重要数据目录体系较为复杂,从而造成执行困扰。存储和提供并非相同概念,而网络安全法第三十七条、个人信息保护法第四十条及《汽车数据安全管理若干规定(试行)》第十一条等条款常常将数据本地化和数据跨境流动这两个不同的概念混为一谈。尤其是在数据分级分类管理规则尚未真正建成之前,“一刀切”式的数据本地化存储措施极易限制发展进程。②陈兵、徐文:《数据跨境流动的治理体系建构》,《中国特色社会主义研究》,2021年第4期,第67—75页。我国可借鉴CPTPP的做法分设不同的条款,进一步明确出境之后的数据是否也构成境外存储。
此外,数据出境安全评估具体规则尚未出台,数据出境时的安全评估主体和流程等也未真正确定。国家互联网信息办公室先后于2017年4月、2019年6月和2021年10月就《个人信息和重要数据出境安全评估办法》《个人信息出境安全评估办法》《数据出境安全评估办法》发布征求意见稿,但至今上述办法仍未落地,安全评估细则有待制订,法律规范的可操作性亟待增强。数据跨境流动的具体标准存在一定的不确定性,个人信息保护认证、标准合同以及其他条件也需要进一步明确。
规定原则化、可操作性不足问题同样出现在自由贸易试验区政策中,由于国家层面面临数据跨境流动体系不完善、分类分级规则不健全、安全评估和监管机制操作难,自由贸易试验区开始率先探索数据跨境流动机制的构建路径。2019年8月20日,《中国(上海)自由贸易试验区临港新片区管理办法》施行,作为我国首部涉及数据跨境流动的地方性立法,其采取“软硬相兼”的方式在第三十五至三十七条中对数据跨境流动进行规制,内容包括互联网基础设施建设、数据跨境流动保障、数据保护的强化。③《中国(上海)自由贸易试验区临港新片区管理办法》第35—37条。这些规定较为抽象和概括,“加大”“加快”“加强”等软法性质措辞的频繁使用不利于法律规则的执行。分类分级管理、法律责任均未有所规制。海南自由贸易港建设过程中与数据跨境流动相关的立法规范也呈现出碎片化、原则化、模糊化的特征。④陈利强、刘羿瑶:《海南自由贸易港数据跨境流动法律规制研究》,《海关与经贸研究》2021年第5期,第3—7页。
3.执法或司法上:重“防守”策略
跨境提供数字化产品或服务时,因物理存在的缺乏,提供者与消费者所在地之间的法律联结明显减弱,致使行政机关难以行使管辖权。网络犯罪对地域性的弱化也凸显了跨境数据司法取证的重要性。传统上的国际司法协助或执法合作方式在瞬息万变的数字时代下难以快速有效地解决跨境调取电子证据的问题,美国、欧盟等开始探索新的方案,例如美国2018年《澄清域外合法使用数据法案》采取“数据控制者”标准无限扩张其跨境调取数据的范畴,⑤CLOUD ACT SEC.103,美国《澄清域外合法使用数据法案》规定,只要是通信、记录或者其他信息为服务提供者所拥有、监管或控制,无论其是否存储在美国境内,服务提供者均负有依法保存、备份、披露相应内容的义务。而他国机构需经“适格政府审查”才能调取美国境内的数据,这一法案打破了国际司法或执法合作制度。①张茉楠:《跨境数据流动:全球态势与中国对策》,《开放导报》2020年第2期,第44—50页。欧盟也通过扩张对“数据控制者”的解释来延伸自己的管辖范围,便利域外执法跨境数据的调取。反之,我国在执法数据跨境调取方面更强调主权利益,即更多地是采取“防守”策略,从立法上制定专门条款抵制美国和欧盟的“长臂管辖”。依据国际刑事司法协助法、数据安全法、个人信息保护法相关条款,相关机构在处理境外机构调取国内数据的请求时奉行平等互惠原则和对等原则;相关主体非经批准不得擅自向境外机构提供境内的数据或个人信息。②《数据安全法》第三十六条,《个人信息保护法》第四十一条。至于执法数据跨境调取的申请、审核、批准等法律程序和时限,仍有待进一步明确。个人信息保护法还规定了应对外国歧视做法的对等措施采取权利,并专门引入限制或者禁止个人信息提供清单制度,③《个人信息保护法》第四十二条。而如何使用好这一清单制度,尚待具体细则的出台。
三、对接CPTPP数据跨境流动规则的建议
对接CPTPP数据跨境流动规则,我国应当注重国际规则和国内法治的良性互动,一方面借鉴CPTPP规则,加强数据跨境流动的国际协调和合作;另一方面加快完善国内数据跨境流动的配套制度,并强化相关规则的实施和执行。
(一)适时推动自由贸易协定中数据跨境流动规则的谈判
随着数据驱动社会经济发展的重要性上升,推动数据流动成为大数据时代不可或缺的部分。美国、新加坡、日本、澳大利亚、新西兰等国均已签订了数字贸易协定,数字贸易协定逐渐成为数字贸易大背景下一个新的选择。我国作为全球数字经济规模第二大国,应该主动参与到国际数字贸易规则的制定过程中,并提出自己的方案,成为数字贸易领域的引领者。我国需适时推动和完善数字贸易协定,通过谈判将我国关于网络安全和数字贸易的相关理念融入其中,从CPTPP中凝练有利于我国数字经济发展和相关规则完善的内容。数据跨境流动属于一个新的领域,正处于起步阶段,我国应该加快步伐,融入数字贸易自由化的队伍中。在数据跨境流动等数字贸易规则的谈判过程中,考虑到新加坡在数字贸易规则方面已经具备较为成熟的经验,例如其与新西兰、智利签署的《数字经济伙伴关系协定》已于2021年生效,且中新两国均作为《中国-东盟自由贸易协定》、RCEP等多个自贸协定的缔约国,因此我国可以先与新加坡尝试推进,成功合作的可能性较大。同时,可借助“一带一路”等平台加强相关规则的交流对话,增进境外对我国企业和市场的了解互信,通过将数据跨境流动纳入双、多边贸易投资谈判内容,拓宽数据流动的地域范围,带动我国数字经济与相关行业持续发展。
(二)合理设置例外条款,平衡安全与发展的关系,推动数据跨境流动
《全球数字贸易与中国发展报告2021》显示,我国数字经济蓬勃发展,已晋升为全球十大数字贸易经济体,既是庞大数据的来源地,又是对外开展数字贸易和投资的大国。因此,我国应当把握安全红线,密切关注数据安全问题,同时兼顾发展原则,服务于数据跨境自由流动的利益需求。即坚持在安全中发展的基础上,设置二者兼之的例外条款。例外条款对于数字贸易自由与数字贸易监管的平衡具有重大价值,但目前我国缔结的自由贸易协定中极少涉及数据跨境流动及例外条款,对外签订的104个双边投资协定中关于例外条款的规定也存在内容碎片化、规定单一等问题。①张倩雯:《数据跨境流动之国际投资协定例外条款的规制》,《法学》2021年第5期,第90—102页。在推动自由贸易协定中数据跨境流动规则谈判的基础上,我国应合理设置例外条款,平衡数据跨境流动中的安全和发展问题,并通过升级双边投资协定或签订议定书等方式补充例外条款,维护我国对数据跨境流动的合法规制权。
首先,在模式上,对于数据跨境流动相关条款的谈判,可以结合较为宽泛的例外条款合理设置数据本地化和数据跨境流动规则,以数据跨境流动为原则,以限制流动为例外,采用“原则+例外”的立法模式将有利于我国发展的安全价值纳入条款中,以维护公共利益与国家安全。其次,在内容安排上,结合CPTPP的相关内容,采取开放式列举的方式规定数据跨境自由流动的例外适用情形,对可能危及我国根本安全利益、公共道德和公共秩序的数据跨境流动自由进行合理的限制。为维护数据主权和贸易自由,我国应合理设置自贸协定中的例外条款。我国自由贸易协定中的安全例外不宜采用CPTPP中过于模糊的条款规定,模糊性较强的安全例外有利于涵盖更多数字贸易领域中的新问题,便于发展中国家对数据跨境流动的监管。同时,条款的模糊性会加剧适用上的不确定性,造成条款的滥用。因此,我国需要充分考虑数字贸易的特点,在例外条款的设定中进一步明确条款的适用标准。
(三)完善数据跨境流动立法,健全分级分类细则,明确安全评估标准
第一,健全和完善国内相关规则体系,是有效对接高标准数据跨境流动规则的前提。只有完善数据权属、数据出境安全评估、个人信息出境安全评估等系列配套规则,数据跨境流动才有法可依。在我国目前数据跨境流动规则的制定中,尤其重视国家安全问题,如《网络安全审查办法(修订草案征求意见稿)》第六条要求在境外上市的掌握100万用户以上个人信息的运营者进行安全审查申报,第十条明确了七项国家安全风险的考量要素。安全风险具有类型之分、高低之别,对于不同的风险,应采取不同的处理方式,例如,对于可能引发特定国家安全风险的数据,应严格限制其跨境流动;对于不易引发安全风险的一般数据流动,应在安全保障的前提下,秉持开放的态度,鼓励数据的跨境流动,才符合CPTPP的要求。因此,需要在立法中进一步明确数据跨境流动的保护原则以回应发展需求,当前数据本地化措施的原则更偏向于静态规则设计,立法重点需要转向“传输”这一动态过程,可以针对传输环节设置数据安全流动原则。
第二,在确保国家安全的前提下,中央可以明确赋予自由贸易试验区关于数据跨境流动地方立法的事权,自由贸易试验区可借鉴欧盟《通用数据保护条例》的“白名单”制度和充分保障措施,结合地区发展现实,研判市场国的形势,在进行具体评估和判断的基础上,采取有差别的数据安全保障措施,探索合理、行之有效的多种数据出境路径。同时,自由贸易试验区可根据自身的具体实践情况,制定更加明确的数据跨境流动规范,尽量避免“软法”规则的采用,增强规则的可操作性和可执行性。在国家层面关于数据分级分类管理规则、安全评估标准尚未出台落地前,自由贸易试验区可以根据本区域的优势和特色,结合成熟的数据跨境业务场景和需求,提出相关试点方案,例如对于一般性商业数据等非敏感数据可考虑适用自评估、出境合同备案等方式管理,对于金融行业数据可遵循国际惯例或者行业专业化的跨境流动管理方式。②European Data Protection Board,Statement on the Court of Justice of the European Union Judgment in Case C-311/18-Data Protection Commissioner v Facebook Ireland and Maximillian Schrems,https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en.
第三,规则可操作性的提升离不开数据分级分类规则的健全。数据安全法配套细则的推出过程中,应进一步明确“重要数据”的内涵标准、认定授权程序及其与“核心数据”的界限,明确数据分级分类保护、重要数据管理的具体要求,明确一般数据、重要数据、核心数据的判定条件,构建数据安全监管体系,明确中央、地方主管部门的职权范围。对于个人信息的跨境流动,可以根据个人信息的敏感程度实施分层级保护,重视对个人隐私的保护。对于企业数据的保护,基于其与个人信息的重叠,需要在判断数据权属的基础上调整保护程度,确保数据分级分类管理制度的有效实现。
最后,应明确数据跨境流动安全评估的具体规则和流程,加快推动《个人信息和重要数据出境安全评估办法》《个人信息出境安全评估办法》等配套规则的出台,确定评估主体,公布评估标准;可通过国家网信部门牵头制定个人信息跨境传输的标准合同范本,以指导相关主体合理防范数据跨境传输中的风险,范本内容应涵盖数据提供者和接受者应遵守的数据保护规定,要求境内企业在存储、处理、传输各环节确保数据安全,数据接收方采取必要措施防止数据出境后被滥用,要求适用我国法律并接受我国法院管辖以及设定救济和责任条款。采用标准合同文本时,将合同文本、安全风险分析报告、技术保障措施等相关材料提交给当地主管部门登记备案即可,无需再要求安全评估。
(四)加强国际合作与协调,明确司法或执法数据的跨境调取规则
基于数据的虚拟性和无边界性,单边措施难以解决数据跨境流动的管辖问题。尤其是数据跨境流动还涉及网络空间治理、个人隐私保护等领域,因此国际监管合作与协调必不可少。我国可以响应CPTPP的要求,通过采用国际标准和推广建议措施、达成数据共享谅解备忘录和签署司法或执法互助条约等方式加强数据跨境流动的监管合作,强化个人信息保护规则之间的兼容性,加强不同国家间的信息交换。
同时,在国内规制中应进一步明确司法或执法数据的跨境调取规则。如前所述,传统司法协助在大数据时代背景下具有一定的局限性,执法数据跨境调取程序繁杂,欧美等国通过设立“长臂管辖”规则来便利执法数据的跨境调取。基于维护主权的立场,我国相关法律中纳入了阻断规则,原则上不允许境外机构直接调取我国境内数据。至于允许调取的情形以及具体的申请、审核、批准等法律程序和时限,应在配套规则中进一步予以明确,同时也应阐明数据出境安全评估与执法数据跨境调取之间的关系。除“具体请求具体分析”之外,可结合反外国制裁法的规定对他国歧视性做法采取反制裁措施。对于个人信息保护法中限制或者禁止个人信息提供清单制度的具体组织实施、列入清单的相关程序、具体的限制措施等,建议由国家网信部门参照《不可靠实体清单规定》的做法,牵头制订相应的配套规则,明确具体的适用程序和标准。此外,我国还可以借鉴欧美国家的做法,在坚持采用“防守”模式抵制他国“长臂管辖”的基础上,采取“进攻”态势适当扩张管辖权,并适时在双边、多边框架下推动司法协助条约的升级改造,以维护我国相关主体在境外的合法权益。①洪延青:《“法律战”漩涡中的执法跨境调取数据:以美国、欧盟和中国为例》,《环球法律评论》2021年第1期,第38—51页。
