我国跨境数据流动法律规制的现状、困境与未来进路
2022-12-16易永豪唐俐
易永豪,唐俐
(海南大学法学院,海南 海口 570228)
一、问题的提出
1980年,经济合作与发展组织(Organization for Economic Co-operation and Development)正式提出了“数据跨境流动”(Trans-Border Data Flow)这一概念,意指数据与信息在传输过程中跨越属于不同政治国家的虚拟载体的行为[1]。在信息技术高速发展、全球数据互联互通的当下,数据的频繁跨境流动是全球信息、资料、技术等现代发展要素全球化的必然结果。与此同时,数据的跨境流动也与个人隐私、国家安全等问题息息相关,对于数据跨境流动的法律规制也由此成为国家发展战略中的一个焦点问题。
据国际权威机构Statista和IDC的统计和预测,全球数据圈将从2018年的33ZB(1ZB代表10万亿亿字节)增至2025年的175ZB[2]。全球日益膨胀的数字相关市场规模和经济体量昭显着数字经济的巨大潜力。而数据则是整个数字经济时代的“石油”和“水”,在促进国民经济和提升国家竞争力方面发挥着越来越重要的作用。国际数据公司2019年测算显示,到2025年,中国拥有的数据量在全球的占比将提升到27.8%,成为全球首位[3]。数据资源的开发利用将直接影响国家数据安全、数字产业发展和个人数据权利保护。但是,在大数据把网络空间与现实世界紧密结合并为人类带来便利的同时,数据的采集、加工、使用、储存的每个环节都会产生信息安全漏洞,“没有网络安全,就没有国家安全”,数据安全问题是当今世界各国所面临的现实又严峻的挑战。因此,数据与信息的有序流动是我国实现国家数字安全、开拓新型开放格局的重要保障。在2019年11月召开的十九届四中全会上,“数据”这一要素首次被正式承认为可参与分配的生产要素,体现了我国政府对于数据作为经济生产力的肯定与重视。
总而言之,跨境数据流动是一项涉及域内域外两套规制体系的信息交互过程,同时又是一个集数据主权、隐私保护、国家安全、法律适用及管辖的综合性议题。可以说,跨境数据流动治理水平已成为衡量国家综合实力的重要参考标准之一,也是未来大国战略博弈的要点之一。我国需要改变不适宜现代数据空间管理体系的旧理念、革新束缚数据产业发展的旧规则,以开放、包容、自主的姿态积极参与多元化的国际数据治理和国际规则的制定,并以符合国家利益的完整体系和先进理念引导跨国企业做好数据合规工作。跨境数据流动规制的完善与革新是我国“统筹国内国际两个大局”工作当中的重要课题,也是我国国家治理能力迈向全面现代化的必由之路。
二、数据跨境流动规制的缘起与发展
(一)跨境数据流动规制的缘起
1.初创:欧洲规制的兴起与保守化趋势的蔓延
早在20世纪70年代末,以IBM(International Business Machines Corporation)为代表的美国企业就开始开拓计算机产业的国际市场份额。美国也就此开始了延续至今的,长达近五十年的数据产业垄断。绝对的技术优势和先发优势让美国数据产业在国际上一直独占鳌头,所以美国对跨境数据流动的法律规制相对欧盟、日本等世界其他发达国家和地区而言更为宽松化。在其立法倾向和政策选择上,更偏向于发挥数据和信息的商业价值而非“人权价值”[4]。相对美国而言,欧洲的数据信息产业则较为弱势,一直无法主导国际数据规则制定的话语权。鉴于此情况,欧共体委员会(Commission of the European Communities,简称CEC)产业与技术部在1973年作出“从美国企业手中夺回欧洲数据处理市场”的决策。在这一战略决策的号召下,欧洲各国开始了一波数据安全立法的潮流。1970年,联邦德国的黑森州制定了《黑森州数据保护法》,这是世界第一部专门以保护公民个人信息及数据为立法目的的法规,它正式开启了欧洲进行跨境数据流动规制的历程。1973年,瑞典出台了《瑞典数据法》;1974年,法国出台了《信息、档案与自由法》;1977年,联邦德国以《黑森州数据保护法》为模板制定出台了《联邦数据保护法》(BDSG);1984年,英国出台《英国数据保护法》[5]。其他欧洲各国如卢森堡、意大利、荷兰、西班牙等国也在20世纪70至80年代分别出台其专属的数据管制法案。欧洲的这些数据法案,大多以保护本国数据产业、维护本国公民个人信息安全为立法的核心理念,对于数据处理者的义务规定极为严格,比如德国的《联邦数据保护法》要求:凡是涉及到德国公民个人数据的相关企业,无论数据运营的规模和企业资本,都必须要设立数据保护专员(Data Protection Officer)专门负责监督企业遵守落实《联邦数据保护法》。这些充斥着保护主义的立法虽然在一定程度上切实地保护了本地的数据产业和本国公民的个人信息安全,但也极大影响了欧美之间正常的数据往来。
2.演变:欧美的规制对立与规则竞争
在欧洲各国纷纷为数据保护建立规则的高墙后,美国对此种“数据壁垒”表示不满,指责欧洲各国限制跨境数据流动的法规是“以保护个人数据隐私为借口遏制竞争对手的发展,是变种的经济保护主义”,并主张“民主社会有着信息跨境自由流动的传统,法律应该鼓励信息自由获取并限制信息滥用”[6]。欧美的规制对立虽然在一定程度上减缓了美国向全球推行其数字霸权的进程,但欧洲国家内部的数据产业发展也因欧洲跨境数据流动规制的过于严苛而受到打击,甚至欧盟内部的信息数据流动都颇为不便,如此过于严苛和死板的规则干扰了其迈入信息化的进程。到20世纪80年代,以欧美国家为主导的国际跨境数据流动规制渐渐陷入到僵化和过于保守化的困境之中。欧盟内部也在摸索中不断寻找保护数据安全和促进数据产业发展之间的平衡。在1980年,由欧洲国家主导的经济合作与发展组织通过了《关于隐私保护和个人跨境数据转移指南》(Guidelines on Privacy Protection and Personal Cross-border Data Transfer,以下简称《OECD指南》)。《OECD指南》的出台也象征着世界跨境数据流动规制摆脱了之前安全与发展二元对立的旧境况,迈入了一个崭新的台阶。
(二)跨境数据流动规制的发展
1.欧洲规制的保守化演变
《OECD指南》确认了欧盟内部各成员方个人信息保护的基本原则和有限尺度。正式将跨境数据流动这一概念定义为“传输跨越了国家边界的个人数据”。并首次确立了跨境数据处理者必须遵守的一系列原则,诸如有限采集原则、目的明确原则、企业保障原则、透明原则等基本安全原则。也规定了各成员方之间不得增设额外的数据流动限制,特殊情况除外(如其他成员方对特定数据的保护程度显著低于数据产生方)[7]。
《OECD指南》虽然开创性地确立了一系列国际跨境数据流动规则和原则,但它毕竟只是一本“指南”,没有实际的法律约束力,无法真正建构行之有效的数据流动规则。因此,欧洲理事会(Council of Europe,CE)于1981年制定了《个人数据自动化处理的个体保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,以下简称《108号公约》)。这项国际协定对欧盟成员国具有法律约束力,也是世界上首部区域性的跨境数据流动法则。《108号公约》确认了之前由《OECD指南》所提出的各项数据保护基本原则,并禁止成员方之间额外限制数据流动、互相“卡脖子”的行为。同时,《108号公约》还规定数据由缔约方流向非缔约方时,非缔约方必须为数据的单向跨境流动提供不低于缔约方当前数据保护水准的适当保护,而至于是否“适当”,则是由缔约方相关部门进行审核。由此可见,《108号公约》虽然放松了欧盟成员国之间的数据流动限制,但对于欧盟之外的数据处理者仍然有严格的管制。以《108号公约》为代表的区域性立法并没有弥平欧美之间关于数据流动的理念分歧与价值错位,反而加深了二者之间的法域差异。
1995年,欧盟制定并通过了《数据保护指令》(Data Protection Directive,以下简称《95指令》),进一步强化了对欧盟各成员国个人信息保护的程度。其要求各成员国必须设立数据监管部门对跨境流动的数据进行事前审查和批准,并要求各成员国以国内立法的方式确认《95指令》的内容。在此之后,欧洲的数据流动规则便一直奉行“内松外严”原则,不断强化其区域数据保护[8]。2018年,《通用数据保护条例》(General Data Protection Regulation,GDPR)取代《95指令》。GDPR的出台标志着欧盟对于跨境数据流动规制仍然秉持数据保护主义。GDPR的各项新规继续进一步强化对欧盟外跨境数据流动的限制,其中第44条规定“数据控制者不得将数据转移至未经认定的第三国或者国际组织,且不得将数据从该第三国或国际组织转移至另一非经认定的第三国或国际组织”。第45条规定“对第三国与国际组织的资质认定标准认定后,应进行周期性审查”[9]。GDPR对个人信息的跨境保护可谓全备而详实,但如此强有力的保护也对数据流动的灵活性造成了打击。由于其复杂而严苛的认定标准与程序,迄今为止,世界范围内获得欧盟“非缔约方数据流动充分性认证”的国家和地区仅有11个①分别为阿根廷、马恩岛、新西兰、加拿大、瑞士、乌拉圭东岸共和国、根西岛、法罗群岛、安道尔、泽西岛、以色列。。
2.欧美之间合作与对抗的循环
在欧盟的高压态势之下,欧美之间的数据往来更为受阻,严重影响了各自相关产业的发展。为避免两败俱伤的局面,2000年,美国与欧盟达成了《安全港协议》(U.S.-EU Safe Harbor Framework Documents,SHFD)。SHFD允许相关企业因数据跨境流动的需求而自愿加入SHFD当中,从而接受SHFD的监管,并以此来避开欧盟严格的《95指令》的约束。同时,如若相关企业之经营涉及到了数据的跨境流动而未向美国商务部提供企业隐私政策及报告,则可能面临商业欺诈的指控。在奖惩机制并行之下,大量欧美公司加入SHFD。但SHFD也在之后由于多被跨国公司用于逃避欧盟法律管辖,而在2015年被欧盟法院裁定为无效[10]。于是,欧盟与美国又于2016年达成了《隐私盾协议》(The EU-U.S.Privacy Shield Framework,PSF),PSF作为SHFD的继承,主要在SHFD的原有基础上强化了事后救济,并明确将监管惩处违规企业的责任和权力赋予了美国商务部,同时还限制了美国政府对欧盟公民个人信息的采集权。但PSF仍未能长久,其于2020年7月16日被欧盟法院以“违反GDPR关于公民数据隐私权相关规定”为由裁定为无效[11]。从另一角度而言,PSF的失败也与美国数据霸权主义的扩张息息相关,2018年美国国会通过了《澄清境外数据合法使用法》(Clarifying Lawful Overseas Use of Data Act,又被称为“CLOUD法案”或“云法案”)。这项国内法案为美国政府对国内公司的数据跨境实行“长臂管辖”提供了背书。该法案规定数据访问地或数据控制者之中只要有其一在美国境内,美国便对其拥有管辖权,另外,云法案还授权美国政府可以与“适格主体”签署双边数据互通协议,“适格主体”需要接受美国国会的审查以确认资格,需要在“特定情况”下向美国政府提供非本国公民的个人信息,并且进行数据互通的终端还需要接受美国政府的直接监督[12]。日本及欧盟各成员国显然无法接受这样的单边主义协定。2020年欧盟发布《欧洲数据战略》,详细阐释了欧盟的数据治理思路。该文件提出:“创建一个单独的欧盟数据空间,一个真正独立的、为世界各地数据开放市场。”其实质是以强化数据保护为由来打压美国信息数据产业巨头以振兴本土产业力量①《欧洲数据战略》提出:“市场力量的不平衡……在大型在线平台,少数参与者可能会累积大量的数据,从中提取有价值的信息,进而为自己积累竞争优势。反过来,这可能会影响特定情况下的市场竞争力……‘数据优势’带来的强大的市场支配力可以使大型企业在相关平台上进行规则制定,单方面地为数据访问和使用设定条件。”。为了促进欧洲数据产业的发展,欧盟委员会基于国际商会的建议,于2010年更新了适用于数据处理者的标准合同条款(Standard Contractual Clause,SCC2010),后又于2018年更新了约束性公司规则(Binding Corporate Rules,BCR),两部法规相比于GDPR而言,都减少了对数据处理者在进行跨境操作时的义务和要求。在满足这两种标准的情况下,欧盟成员国也可以向其传输个人数据②SCC是指欧盟企业跨境传输个人数据时,为保证能让第三国或地区按照欧盟标准保护个人数据而签订的合同,在每次进行数据传输时都必须签订该合同。BCR则免去了重复签订合同的麻烦。BCR是欧盟专门针对总部或者子公司在欧盟的跨国企业而制定的规则体系,而CBPR的规范对象仅限于亚太地区涉及个人信息跨境传输业务的企业,且不包括政府。欧盟的BCR和美国主导下的CBPR可被看作不同数据保护模式的延展性成果。。
无论是从规制理念而言还是从具体规则而言,以美国为代表的、主张“数据开放、贸易自由”的数据自由主义与以欧盟为代表的、主张“数据主权与数字人权为先”③关于是否将数据权利视作人权的讨论(Are data rights for human rights?)早期始于欧盟,尤其在GDPR颁布后,欧盟明确隐私(Privacy)以及数据保护(Data Protection)是欧盟人权保护的重要组成部分,《欧盟基本权利宪章》(Charter of Fundamental Rights)中第8条已经明确规定了对个人数据的保护(Protection of Personal Data)。国内学者认为“数字人权”即“第四代人权”,是以“数据和信息为载体,展现着智慧社会中人的数字化生存样态和发展需求的基本权利”,包括数据信息隐私权、数据信息知情权等多项权利。的数据保护主义仍存在着异域规则间的巨大鸿沟。国际跨境数据流动规制在20世纪后半叶的发展史可谓是欧美对于国际规则制定权的争夺史。
3.亚太规则的崛起与发展
从21世纪开始,亚洲地区的经济科技实力迅速抬头,亚太各国及地区之间的跨境数据流动也愈发频繁。为了应对新的经济发展形势,在2008年到2014年间,亚太经合组织(APEC)制定了亚洲太平洋经济合作组织跨境隐私保护规则(Asia-Pacific Economic Cooperation Cross-Border Privacy Rules,CBPR)[13]。CBPR采用了“只认证执法机构资格”的规制模式,即只由亚太经合组织认定经济体内部监管机构的执法资格,将跨境数据流动的监管权力全部赋予了经济体内部监管机构(亚太经合组织没有统一的执法机构)。因此,有CBPR的国际规则兜底,陆续有经济体成员在CBPR的框架下订立双边协议,并取消了跨境数据流动中“不必要的阻碍”[14]。在2012年,欧盟与APEC成立了联合工作组,专门负责审议两大区域性组织的数据流动合作规则。最终二者于2014年制定了“BCR规则体系和CBPR规则体系共同参考”,在两种规制体系中制定了新的共同标准,以期实现数据信息方面的有效合作[15]。到目前为止,BCR框架下的国际主体还在不断增加,亚太地区对国际规则的制定权也随之扩展。
综上可知,从最初的《黑森州数据保护法》到最近的PSF与CBPR,不同法域的数据保护模式因各地域数据产业发展状态和立法理念等原因而不尽相同,但又因跨境数据流动的必要性而被迫走向交互与融合,这样的融合最后表现为多边妥协下产生的区域性合作治理机制(见表1)。无论是“数据保护主义”还是“数据自由主义”,一个国家和地区的跨境数据流动规制总是在经济价值和伦理道德乃至国家安全当中面临两难选择。而这个问题没有一个具有普适性的答案,只有认真分析本国本地当下的跨境数据流动所面临的价值机遇与潜藏风险,才能作出适应国情的规制模式决策。
表1 国际跨境数据流动合作治理机制统计表
三、我国跨境数据流动规制的现状与困境
(一)我国跨境数据流动规制的现状
1.开端:《个人信息保护指南》的制定
2012年4月12日,中国工业和信息化部正式公布《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》),该指南是我国首次以部门规章的形式对跨境数据流动的规制进行探索,具有开拓性的意义。《个人信息保护指南》首次提出了处理个人数据的“八大原则”①《信息安全技术公共及商用服务信息系统个人信息保护指南》4.2规定了个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循的基本原则:(1)目的明确原则;(2)最少够用原则;(3)公开告知原则;(4)个人同意原则;(5)质量保证原则;(6)安全保障原则;(7)诚信履行原则;(8)责任明确原则。,承认了国际性第三方测评机构的地位,并提到了类似于“被遗忘权”的主体权利②《信息安全技术公共及商用服务信息系统个人信息保护指南》5.2.3规定:处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。。此外,《个人信息保护指南》还主张遵循国际通行的数据流动管制方法,将个人信息分类为一般信息和敏感信息,并明确了“默许同意”和“明确同意”的适用区别③《信息安全技术公共及商用服务信息系统个人信息保护指南》3.10规定了默许同意(tacit consent):在个人信息主体无明确反对的情况下,认为个人信息主体同意。。作为开辟式的规则,《个人信息保护指南》是对欧盟《95指令》的全方位模仿,它基本确定了个人信息流动的分类标准、处理原则和规制目的,为我国后续一系列跨境数据流动规则的起草奠定了基础和确立了底线,意义重大。但另一方面,《个人信息保护指南》并非法律,仅是一部指导性的部门工作文件,没有强制执行力的保障,且缺少具体执行机构、执行手段。总体而言,其理论意义重大,但实践性较弱,更大的价值在于为我国的跨境数据流动规制体系奠定了立法的基本方向。
2.发展:《网络安全法》与《数据安全法》的出台
2016年11月7日,全国人大常委会正式通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)。这是我国第一部针对网络安全和信息安全的系统性法律。其中对于数据权利方面的规定仅为原则性规定,缺少权利范围和救济渠道,但《网络安全法》仍然意义匪浅,因为它第一次将数据作为独立法益进行保护,并首次提到了“重要数据”这一概念,为后来的跨境数据流动规制确立了基本的方向,比如第37条规定了数据处理者“在境内存储运营中收集产生的个人信息和重要数据应当在境内存储”以及“跨境数据流动需经过国家网信部门会同国务院有关部门的安全评估”。《网络安全法》出台后,我国开启了一波数据安全立法的浪潮,先后发布了《数据安全管理办法》《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等多部法律文件,各地也相继出台了地方性的数据管理法规,全国针对数据管理的立法定规一时间有如雨后春笋①目前,山东、天津、安徽、吉林、山西、海南、贵州已出台大数据条例,河北、广东、浙江已出台数字经济条例,深圳出台了数据条例,上海市正在制定数据条例。例如,近日,山东省十三届人大常委会第三十次会议审议通过《山东省大数据发展促进条例》,自2022年1月1日起施行。该条例明确公共数据和非公共数据的范围;对数据采集划出“禁区”,强调不得重复采集能够通过共享方式获取的公共数据;《上海市数据条例(草案)》正在公开征求意见,从数据权益保障的角度出发,确认了各类主体的数据权益保护机制。截至2021年10月,涉及个人数据保护的法律法规就有近70部,法律解释10条,部门规章近200部。。
2021年6月10日,全国人大常委会通过了《中华人民共和国数据安全法》(以下简称《数据安全法》)。《数据安全法》是我国首部以规范数据处理相关行为为立法核心目标的法律,也是数字安全领域的基础性规则。《数据安全法》明确以“维护网络空间主权和国家安全、社会公共利益、公民个人隐私”为立法目标,以立法的形式确立了推行大数据战略的国策,提出建立数据分类分级保护制度来维护国家数据主权和公民数据信息安全。另外,还规定了政府的公共数据公开义务,保障了公民的知情权。总体而言,《数据安全法》承继了《网络安全法》的数据管理原则,旗帜鲜明地提出了数据分类概念,并规定了违规惩戒方式和受害救济渠道,为后续我国数据保护立法确定了基调。
3.完善:《个人信息保护法》的面世
2021年8月20日,全国人大常委会通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。《个人信息保护法》是我国正式迈入数字化社会的里程碑,也是我国参与全球数字治理的通行证。《个人信息保护法》作为数字社会治理与数字经济发展的基本法,联协《网络安全法》和《数据安全法》,一并构成了我国信息数据流动的保护规范框架。《个人信息保护法》将涉及境内数据服务、境内数据处理等行为从原先的模糊地带到明确纳入管辖范围,并要求相关的数据处理者在中国境内设立专门机构或者指定代表,负责个人信息保护相关事务。以列举的方式明确了个人信息跨境的途径:包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照中国缔结或参加的国际条约和协定等。另外,还规定了一系列严格化跨境数据处理者义务的责任,包括但不限于:采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;对跨境数据流动则作出了更为严格的“告知—同意”要求;对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定;赋予大型网络平台个人信息保护特别义务。总的来说,《个人信息保护法》正视了中国当下所面临的数据产业机遇和数据安全危机,其条文规则也体现了国家意欲在“安全”与“发展”中寻得平衡中点的治理愿景。《个人信息保护法》正式发布后,全国人大常委会法工委经济法室副主任杨合庆评价说:“《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则,规范了个人信息的跨境流动。”[16]
综上所述,从《个人信息保护指南》到《个人信息保护法》,我国对于跨境数据流动的规则愈发细致化、体系化和可操作化(见表2),跨境数据流动规制的架构是不断走向实际和不断完善的。这既意味着我国开始逐渐重视起数据利益这一新兴的国家利益,也意味着我国在数据安全和数据利益之间寻找平衡点的探索不断螺旋上升。但另一方面,我国在跨境数据流动规制的建设仍然处于初始阶段,现行的法律规则仍然存在诸多不合理、不适宜之处,制约着我国数据产业的健康发展,甚至威胁着我国对数据主权的独立行使。
表2 我国涉及数据跨境流动的主要规范文本统计表
(二)我国跨境数据流动规制的困境
1.理念难题:数据主权的“自由困境”
主权,是一国在其领域内对国民与资源的最高的、排他的支配权力。不同于传统的主权形态,数据主权是产生于信息时代新生产场景下的新权力。它所支配的领域范围全部位于虚拟空间(Virtual Space),它所涉及的资源内容全部为触不可及的上载之物(Uploaded Items)。在国家主义的语境之下,数据主权意味着国家对于在其领域之内所产生的数据拥有储存、处理及传输等权力,且这些权力是不受他国干涉的[17]。产生于本国的数据必须在本国储存;重要数据跨境传输需报备;核心数据禁止跨境流动等具体规制手段都是国家行使其数据主权的具体体现[18]。在数据主权的理念中,本地产生的数据,特别是本地产生的个人信息,其地位就犹如在信息世界中的本国国民。国家基于属人或属地原则对其进行管理和保护,对外享有排除和否定其他国家对本国数据进行干涉的行为之权利,是彰显主权独立和数据自主的表现[19]。不同国家对数据主权的理解和定义有所差别,但认定本国确有在虚拟数据信息方面的实在主权是所有国家进行跨境数据流动规制的根基与底线。一切跨境数据流动相关立法都是国家出于数据主权对相关数据信息资源进行的管理。
相比于其他数据产业强国,我国仍然处于数据信息产业的弱势地位,数据主权在法理上保证了我国数据信息的基本安全[20]。但主张将数据主权的外延过于宽泛化的数据保护主义则需要警惕和审视。数据保护主义所强调的绝对主权和明确边界与当今全球化的趋势是相逆相违的。在国际经贸合作、区域间政商往来愈发频繁的现实背景下,坚持将所有数据都如同其他重要的国家战略资源进行严格保护,将会对国际正常的经贸交流产生障碍,也会对普通公民的日常生活造成不利影响。例如公民在国外享受境外的教育、医疗服务时,或进行跨境电商、金融投资之时,不免会产生个人信息的跨境流动。而如若对这部分跨境数据进行严苛限制,不仅将会对公民的生活便利造成影响,更会损害我国对外开放的基本国策。在国内规则过于严格或缺少双边、多边数据跨境流动条约的情况下,国家间和区域间的正常数据流动和信息往来也会因此而割裂,从而导致本为保护本国数据安全和信息产业的规则反而成为拖累数据产业发展、掣肘数据安全技术进步的障碍。
国际上另有一种与数据保护主义背道而驰的数据跨境流动原则——数据自由主义,数据自由主义强调和关注数据作为纯粹资源的商业价值和经济利益,排斥国家主权对数据的绝对控制[21]。在崇尚经济全球化和贸易保护主义被消解的世界大格局之下,数据自由主义确实有其积极正面的导向。这一方面是因为数据的跨境自由流动已经成为许多经济活动乃至公民生活的必要条件。另一方面,则是因为数据的商业价值和使用效益已经成为了全球资源市场的重要组成部分。在数据自由主义看来,数据的跨境流动应类同于其他一般资源要素进行市场流动。因此,市场是支配数据流动方向、决定数据流动规则的真正裁定者。彻底的数据自由主义是如美国这样数据产业发达的国家所奉行的数据跨境流动的总原则。它表达了一种企图让数据所在的虚拟空间独立于实际国家领域,从而实现跨境数据的去主权化的空想。根据Mary Meeker所作的《2020互联网发展报告》,全球互联网领军地位由中美占据,最大的20家互联网公司11个来自美国,9家来自中国,欧洲则一家都没有[22]。因此,将“数据自由”置于至尊地位的结果并非全面的自由,因为所有数据的背后都是具体的个体,个体最终在政治上仍然依附于国家。所以,“无主权”的数据必然会因循市场规律而流向数据产业和数据技术强大的主权国家。将所有数据去主权化之后便是彻底的市场支配,市场的负外部性会在此无限放大,强吞弱、小附大,数据弱国和数据强国的“数据往来逆差”会不断扩大,在信息数据产业占于垄断地位的政治经济实体最终会霸占整个国际数据信息产业的话语权[23]。由此可见,宣称“数据无国界”的口号,不过是数据霸权主义的又一“双标”之语。
数据保护主义与数据自由主义的冲突和矛盾是对立统一且长久存在的。在我国跨境数据流动规制的构建过程中也不免会受到二者的持续影响[24]。不过,无论以何种主义作为立法原则,国际和区域间的数据跨境流动的法律实践总是存在割裂和冲突。我国在构建跨境数据流动规制时必须认识到国家间因经济状况、政治制度、地缘利益等原因而导致的对于数据跨境流动的宽严不同是广泛存在的。跨境数据流动规则虽然是一种国内的法规,但其同时也要与国际规则进行交轨衔接。由数据主权与数据自由所产生的矛盾会在国际规则制定、规则施行和规则交互中长久存在,并不断影响跨境数据流动的实践,因此其必然成为我国规制构建的一大难点。
2.实践痛点:现有规制的无序与歧误
在法律实践方面,我国的数据保护立法虽然起步晚,但相关的规范性文件并不算少。不过这些规则整体而言过于分散且缺乏可执行性①涉及个人数据、信息保护和的法律法规近70部,司法解释7部,部门规章近200部。且大部分是原则性规定,对数据主体权利的内容、规制方式以及救济途径都有明显缺失。上位立法和顶层制度方面缺乏统筹,完整的法律与制度框架尚未形成。。其中对于数据跨境流动的规则更是具有形式不统一、内容多矛盾、执行难到位等现实难题。这就导致虽然我国对跨境数据流动的规则是多层级、多方面的,但实际上各种规制形式和规则内容混乱无序、缺乏体系性。规则的混乱无序主要体现在三个方面:
首先,缺乏分级分类制度。早在2011年,中国人民银行就曾发布《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称《通知》),其中第6条规定:在我国境内所生成、采集的公民个人金融信息只能在我国境内储存和使用。2014年,原国家卫生计生委发布《人口健康信息管理办法(试行)》,其中第10条规定:不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。2021年9月29日,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《办法》),其中第10条和第24条规定了涉及政治、国土、军事、经济、文化、科技、网络、生态、核安全等方面的核心数据不允许进行跨境流动。由此可见,一直以来,我国的各级单位其实对数据安全的重要性和数据资源的关键性都有察觉和反应,也都在对跨境数据流动进行有计划的规制和管理。但由于长期缺乏统一的顶层设计和上位立法,我国现行的数据分级分类规则整体而言虽然庞大繁多,但也分散而零碎,涉及领域广泛复杂、关系利益盘根错节。在各级各部的机关机构立法规章错综交叉之下,规则的适用成为现实难题。
其次,缺少统一的数据跨境标准规范和权威的数据内容审核的职责内容监督机构。比如跨境数据流动的管理机构,不同的行政机构和管理部门在其跨境数据流动规制中所设定的管理机构多有错位,相关管理机构的权力边界更是模糊不清、众说纷纭。又比如在处罚机制和救济渠道方面,《个人信息保护法》在第66条规定:“对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款。”而《数据安全法》第45条则规定:“开展数据处理活动的组织、个人不履行……数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款。”二者处罚的行为范围是重叠相交的,但二者法律位阶相同,此时如何分情境适用便成了麻烦。另外,《个人信息保护法》虽然在第50条规定了信息主体有向人民法院提起诉讼的权利,但情形仅限于“个人信息处理者拒绝个人行使权利的请求”(而且这一权利还是在第三章而非总则所载),这样的救济范围显然过窄。而其他各部门规章和规范性文件亦缺少具体可行的救济渠道和赔偿标准,如此,规则虽多,却无异于是“九龙治水”。虽然多个领域均有规则,但准确适用规则的成本却极高,公民个体和企业法人会因为复杂且相互矛盾的规则而遭遇守法用法的困难,出台规章的不同机构单位也会因为各自职权交叉而发生执法用法的争议。看似立体的跨境数据流动规制,却未能在不同的立法维度保持统一的坐标基点②《个人信息保护法》缺少配套的实施细则且尚未实现与国际接轨,《网络安全法》和《数据安全法》缺少具体的分类分级标准和法律责任条款,《个人信息保护法》对个人信息和敏感个人信息的界定不够明晰;行业规章方面,《工业数据分级分类指南(试行)》和《科学数据管理办法》缺少惩戒条款,《金融数据安全分级指南》则缺少重要数据的识别标准。。
最后,缺少与国际数据跨境流动规制的规则接口和应用通道。我国在2021年正式申请加入《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP),而《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)也在2022年2月1日起正式生效。这两份区际的多面合作协定都意味着我国的跨境数据流动规则将无可避免地成为区际规则和国际规则的一部分。在RCEP的第12章中,明确限制了成员方对数字贸易施加限制,包括数据本地化的要求。无独有偶,CPTPP在跨境数据流动、禁止数据本地化、源代码等领域的规定更加严格、详尽,且还在其框架下设置了专门的争端解决机制。而像这样的规则框架显然会与我国的《个人信息保护法》《数据安全法》等法规产生冲突,也会让我国公民个人和企业在跨境数据流动的相关纠纷中面临新的合规考验。如何在保证我国数据安全和个人信息安全的前提下,把握住融入国际规制体系所带来的利益?又如何在坚持法制独立和规则自主的前提下,保证能够履行作为协约签订国的国际义务和国际责任?这些问题是我国在完善规制时所必须回应的。
总体来说,我国的跨境数据流动规制虽然在多个领域、多种情境下皆有规章文件。但从整个跨境数据流动规制的顶层设计而言,却不可谓之完备,因为各类规则依然欠缺对“核心数据”等重要概念的统一定义,也缺乏对违反规则行为统一的处置标准以及相关主体合法权益受到侵害时的具体救济渠道。如此的实践困局也是我国当前跨境数据流动规制的实际痛点。因此,在考虑充分落实和细化相关立法的实施细则和配套措施的同时,更需注意的是整个规制体系的统一与整套规制模式的标准化。
四、我国跨境数据流动法律规制的未来进路
(一)理论革新:形塑数据主权的新形态
理念在规制之先,理念是规则制定的导引和基准。从国家角度而言,数据主权是所有跨境数据流动规制的核心。从个人角度而言,数据主权是个人的信息权利、数据人权、数字福利等权益得以实现的前提。也是其所属国家拥有的切实主权。因此,要完善我国的跨境数据流动规制,首先要确认和明晰我国如何去形塑具有中国特色、适应中国社会环境和国际局势的数据主权形态。
形塑适应中国情势的数据主权模式,是为了在保持数据主权的独立性、自主性的前提下,促进我国数据信息产业的有序发展,是为了保护国家、公民数据信息安全。对于以互联网世界为代表的虚拟领域治理,既不可以完全依照如国家领土这样纯粹外化于实的主权一样进行准则设立——在旧的威斯特伐利亚主权(Westphalian sovereignty)体系下的主权进行原则移植;也不可以完全接受如美国等数据产业、数据技术发达的西方国家所鼓吹的“纯粹数据自由主义”,作为规则制定时所奉行的根本准则。而应该从“持续扩大改革开放、充分保障数据安全”的全局眼光出发进行规则的研究和创制。在当下的国际实践中,国际社会普遍认可主权概念在物理层面的直接适用,即肯定主权国家对境内网络基础设施享有管辖权[25]。但对于逻辑层面(纯粹虚拟领域)上的国家管控,各国的理论认知和实际规则不尽相同。习近平总书记说“要尊重网络主权、维护和平安全、促进开放合作、构建良好秩序”①2015年12月16日,习近平在以“互联互通、共享共治——构建网络空间命运共同体”为主题的第二届世界互联网大会上的发言中提出尊重网络主权、维护和平安全、促进开放合作、构建良好秩序的四项全球互联网治理的基本原则。。习近平总书记对“网络治理体系”的建设要求其实也是我国在所有虚拟领域构建治理体系的基本准则。因此,在现代中国语境下的数据主权,依然应该保持完整、自主、平等、独立等属于国家主权的本质特征。这意味着在数据治理领域依旧要坚持党的领导,依旧要坚持走中国独立自主的发展治理道路,依旧要坚持民主法治原则,这是构建我国数据主权最为重要的理论基础。
另一方面,数据主权的治理辖域并非局限于一国一境。作为重要市场资源的数据天生具有流通交互的属性和状态。各个国家和地区对于数据主权定义的分歧和不同需要被尊重,跨境流动的数据安全需要各国的共同维护。数据资源在流动中所带来的效益,也应由国际社会所共享。在数据跨境流动的规制冲突之中,将所有本国数据都当作纯粹的境内数据,从而主张彻底适用本国规则,完全排斥外国规则,会导致国际规则的激烈冲突;阻碍正常的数据流动的产业循环;更会使我国有被排除在国际规则制定者之列的风险[26]。因此,在对我国数据主权进行新的形塑时,也必须要考虑到与他国数据主权冲突时的行动原则。在这一点上,“主权原则的弹性适用”是比较适合国情的解决方案。所谓“有弹性地”适用主权原则,也即数据跨境流动中所涉及的各国通过磋商和协定等方式对特别约定的数据和信息放松跨境管制,甚至向共同加入的国际组织让渡部分数据的管辖权,以期让部分数据的跨境过程更为顺滑和快捷。《个人信息保护法》第12条所规定的“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认”和第38条第2款中提到的“中国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行”,其实也反映了现行的规制方向和形塑路径,体现了“主权原则的弹性适用”。
在现今国际环境下,以美国为首的数据技术发达国家反对将威斯特伐利亚主权原则直接适用于虚拟领域和数据流动规制方面。他们借由强大的产业优势和技术优势,高举着“数字人权”“信息自由”等政治性浓烈的游说标语,实则通过国际规则制定等手段,潜移默化地将其虚拟空间的国境延伸甚至侵入他国的领域范围,大行数据霸权主义和单边主义,损害他国数据主权①如上文中提到的“cloud法案”便是美国在跨境数据流动规制上进行“长臂管辖”和施行“片面最惠国”协约的典型单边主义行径。。而我国形塑新的数据主权的另一重要目的,就是打破这种蛮横的数据霸权,并主导建构起更为公平、公正、开放、普惠的国际数据流动新秩序。而要彻底打破数据霸权,归根结底,只有打破其数据产业和数据技术的绝对垄断,我国才能通过打开全球市场来获取真正的话语权。这在短时间内,确实是难以做到的。因此,我国当下形塑数据主权的重点是以前瞻性和全局性的眼光来对国内规则进行修改完善,并以包容开放的态度进行异域规则对接,以期获得更多国际主体对我国数据规则和数据主权理念的认可。
总体而言,我国形塑新的、有国际认可度的数据主权理念的整体路径应该是:首先以更为公平、更加包容的跨境数据流动规则吸引国际合作伙伴,探索开拓新的合作管辖跨境数据流动的方式,建立属于中国的数据市场“朋友圈”;其次,以更为蓬勃而开放的数据市场作为根基,向我们的合作国家辐射、传播我国的数据主权理念和数据治理方案,从而强化我国规则、我国理念的区域影响力;再次,以区域市场和区域规则作为跳板,以“市场先行,规则随之”的国际战略,在全球范围内推行跨境数据治理的中国规则和中国理念,在国际数据市场中,以“合纵之法”取得全球范围內规则制定的话语权,并推动共建全球网络空间命运共同体[27]。
(二)实践改径:统一分级分类,强化监管合作
如前文所述,我国现在针对跨境数据流动的法律规则是多位阶、多部门、多角度的,立法实践不可谓不全面。但法律法规的冗杂繁多、多而无序也给我国的跨境数据流动规制带来了困境和难题。其中最为亟待解决的实践困境有三:其一是对数据的分级分类缺乏统一、权威的完整体系;其二是没有构建出一个合理高效的数据跨境评估监管体系;其三是缺少国内规则与国际规则的制度衔接的接口。只有解决这三大难题才能让我国跨境数据流动规制在实际层面上落地。
1.建立统一的数据分级分类制度
要解决关键概念的混淆和模糊,就必须在位阶足够高的法规当中对其进行统一的一般化阐释。例如:在《民法典》出台之前,个人信息的定义、内涵以及法律意义在学术界和实务界争论不休,这样的争论也影响了司法实践中的具体裁判,同案不同判的现象屡有发生[28]。因此,高阶法律对关键概念的确认能有效地解决概念模糊混淆。而在跨境数据流动当中,关键的便是对跨境数据不同类型、不同级别的具体定义划分。在我国的规制体系中,不同数据类型的分类标准和重要程度在各部法规中的范围、类型和表述方式都不尽相同②《数据安全法》第21条将涉及国家安全、国民经济命脉、重要民生、重大公共利益的重要数据列为国家核心数据,中国人民银行在《通知》中将在我国境内所生成、采集的公民个人金融信息列为禁止出境的“关键数据”。原国家卫生计生委在《人口健康信息管理办法(试行)》中将人口健康信息列为禁止出境的“关键数据”。《网络安全法》规定,由关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据列为限制出境的“关键数据”。工信部在《办法》中将涉及政治、国土、军事、经济、文化、科技、网络、生态、核安全等方面的数据列为不允许进行跨境流动的核心数据。《个人信息保护法》则将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为必须谨慎处理的敏感信息。,这些来自不同法规的概念互相涵盖、重合、互斥,在具体表述上不统一。在法律位阶上,有下位法与上位法相矛盾。要解决概念方面的矛盾冲突,应在上位法中确定一个综合总领的“母概念”,以高阶地位统管所有的“子概念”,再以准用性或委任性规则将补充具体的细项分类。如若子概念规模庞大或是涉及条目繁多,则可以进行一定程度的法规汇编以方便实践适用、厘清权利义务关系。
首先,按照现行的法律规则,可以将《数据安全法》作为这些保障数据安全的法规之母法,总结并扬弃现有规则中的“关键信息”“重要数据”“核心数据”等概念。统一将所有数据和信息分为三类:第一类是普通数据,包括经过脱敏后的个人信息、一般的商业数据等低风险数据。对此类数据取轻度管控的标准。第二类是重要数据,根据中央网络安全和信息化委员会办公室和工信部在中国互联网协会的《专项调查问题列表与答复》所述,重要数据是指:不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,对于此类数据,实行严格管控的标准。具体而言,可以以行政许可等方式限制此类数据处理者的主体资格;以事前的申报备案;规定相关数据处理者必须定期提交其业务内数据流动情况报表等方式进行严控管制。第三类是核心数据,此类数据应绝对禁止跨境流动,并结合刑法严厉打击针对核心数据的犯罪行为。
其次,应在《民法典》的法律解释当中将个人信息进行分类,对普通个人信息和敏感个人信息作出定义区分,并委任相关单位作为专门的个人信息保护机构,再以准用性规则将进一步细分信息数据类型的规则制定权下放到《个人信息保护法》中。另外,应严格统一个人信息中涉及政治、军事、国土、经济、国民生物信息等国家或社会重大利益相关的数据的定义范围、表述方式以及跨境审查程度①应允许下位法对这些“核心数据”的定义作出进一步扩大性规定,但不可允许其限缩上位法所给出的定义范围。;还应强化对我国数据产业的保护规制。因为在商业实践中,企业数据和个人信息在范围上有大规模重叠,企业经过算法脱敏处理的数据,其权属已经产生了变化,也应相应调整此种数据的分类和保护程度[29]。
2.构建合理高效的数据跨境评估监管体系
我国跨境数据流动规制体系发展至今,一直在对各个方面的错漏进行补正。近年来的多部立法已经实现了不少之前学者们曾呼吁过的期盼之举,比如许多奇教授所主张的核心数据禁止出境、分类数据储存机制以及行业自律和他律机制[30]。但就整个体系而言,最为关键的数据跨境的评估监管体系却仍然缺位。数据出境审查制度则散见于《数据安全法》《网络安全法》等多部法律规则,数据出境的审查机关是国家网信部门,但出境审查制度的具体实施细则如出境审查制度到底要审查哪些跨境数据,以如何方式和标准分别进行审查等却仍模糊不清。
首先,在立法方向上,应该坚持开放、包容的原则,以保证数据产业健康发展为规制目的,在立法中传递更为自由、积极的信号。比如,在个人信息的跨境流动中采取宽泛同意加自由退出以取代严格的知情同意制度[31]。要吸取欧盟的教训,在严格监管中不能丢失市场的资源支配力和数据本身的活力,要时刻关注数据产业的实际受用。
其次,要完善跨境数据流动当中的行业监管体系。要在进一步的立法环节当中,逐步去除“一刀切”的监管制度,逐步从静态的数据内容监管转向动态的流动过程监管。将监管机关的权限列明,为受监管企业的合规工作提供指引和帮助,重点强化跨境数据流动的事前监管和渠道监管。具体而言,可以将国家主体相关的数据和公民个人相关的数据进行分类监管,设立宽严相济的两套监管体系。从监管制度上落实数据分类,使不同数据获得不同程度的保护,在保证数据安全的前提下以监管促进产业繁荣。
3.积极参与国际跨境数据的合作治理
我国的国内数据治理规则种类繁多、条目齐全,但依旧缺乏与国际规则对接的细节接口,更缺乏将我国的规制上升推进到国际层面的结构性推力。要解决这一问题,首先,我国应从最能发挥数据经济价值的国际贸易端入手,将跨境数据流动的规制合作纳入到谈判内容当中。具体而言,我国可以借鉴欧盟GDPR第44条和第45条的规定,在考察确认域外相关地区的数据保护水平、风险防范能力以及社会法制化程度等达到标准后,根据对等原则,仿照设立“出境白名单”(也可以同时设立“黑名单”)制度,并对被认定方展开周期性的审查。其次,我国应在体系构建中为与区域规则、国际规则的衔接预留制度接口,在手段上主动发起构建跨境执法机制和机构,推动构建多元共治的数据跨境流动规则[32]。此外,我国还应当积极参与区域性的多边经贸合作平台,将国内立法向APEC、OECD等隐私保护框架对齐,在平台中推广我国数据流动的规制体系,将规制优势转化为行业地域优势,将行业地域优势转化为行业国际优势[33],通过国际隐私治理合作的方式侧面加强我国跨境数据治理规则的影响力,在区域范围内争取更多的规则制定话语权,并借此逐步推动国际数据治理的“亚太新格局”。再次,也要加强国际协约在国内司法实践上的发挥,特别是在国际数据规则纠纷中加强对国际通行规则和已加入协约的一般适用,双管齐下将数据流动规制的国际场景打造成实现“十四五”规划中“国内国际两个大局”的广阔试验田。
