数据跨境流通的三重阻滞:表现形式、原因分析与破解对策*
2023-02-18孙鸽平刘芳芳
孙鸽平,刘芳芳
(1.河南财经政法大学法学院,河南 郑州 450000;2.山西大同大学法学院,山西 大同 037009)
一、问题的提出
自人类有文字记载之初就产生了数据①虽然当前对数据的普遍理解为“以电子方式记录信息的载体”,但是倘若从广义的角度看,可解释为“记载信息的载体”,即人类有记录习惯之初,便产生了数据。。随着互联网的全面普及以及算法技术的大规模应用,大数据时代到来。在经济领域,数字经济为全球经济增长作出了重要贡献,数据具有无形性、可复制性、信息性等特质,能够与劳动力、资本等传统生产要素相结合,进而促进全要素生产效率的提高,因此数据也成为新的生产要素(赵鑫,2022)。与此同时,与劳动力、土地等传统要素相比,数据这一生产要素的可流通性明显提升,数据的快速、高效流通促使其大规模汇聚,从而形成了真正产生价值的大数据产品。因此,数据的流通性对其价值创造具有决定性意义。
但是,因为数据蕴含信息的特质,其流通常常受到限制,而当某一经济现象可能导致市场的无序甚至混乱时,政府监管的有形之手就需要介入(黄宁和李杨,2017)。在数字经济时代,数据蕴含的信息是其价值的具体体现,除经济价值以外,还包括个人隐私、商业秘密及国家安全等方面的价值,甚至在某些情况下,经济价值只是数据的附加价值。如果允许数据无限制流通,这些重要信息就可能被他人所利用以牟取不法利益。因此,为了保护个人信息、商业秘密及国家安全,需要对数据的流通予以一定限制,其中规制数据的跨境流通尤为关键。从世界范围来看,基于不同的数据价值观,当前数据跨境流通形成了不同的法律规则体系,但这些规则之间存在着不同程度的冲突,从而导致数据跨境流通壁垒的出现。这些壁垒不是由于技术的原因而导致数据无法跨境流通,而是基于不同国家或地区数据价值观的区别而设置的法律障碍。这影响了数据与其他生产要素的结合,也阻碍了数据价值的最大化发挥。为此,需关注数据跨境流通障碍的现实表现,以及导致这些障碍的背后原因,并探讨纾解问题的路径。这对于构建完善、稳定、全球认可的数据跨境流通法律制度体系,深入推动经济全球化和全球一体化进程,具有重要的现实意义。
二、数据跨境流通的阻滞表现:价值、规范、政治
基于数据的价值重要性,当前世界范围内主要国家和地区都出台了规制数据跨境流通的政策或法律法规,但是由于政治体制、对待数据的价值态度以及各个国家或地区数字经济发展程度的差异,这些数据跨境流通的治理规则并不一致,甚至在某些情况下存在显著冲突,导致数据跨境流通治理始终未能达成一致性的全球意见。数据跨境流通遭遇的阻碍可分为“价值—规范—政治”三重维度,不同价值追求、不同规范体系和不同政治考量,三者划分了边境、区分了不同的国家和地区。也正因于此,数据跨境流通需越过的阻碍,最终简化为不同法律规范体系之间的区别。
(一)价值阻滞:数据跨境流通的态度差异
许多国家都通过政策或法律来引导和规范跨境数据流通,但不同国家关于跨境数据治理的政策法规各成体系,并且不相互兼容,并且各国对跨境数据流通秉持的态度也大不相同:或积极、或中立、或谨慎,这给跨境数据流通治理带来很多棘手的问题。
1.积极促进数据跨境流通
从数据资源、数据技术与资本相结合的维度来看,跨境数据流通能够推动数据资本化,促进经济发展。基于此,部分国家积极主张促进数据流通,并采取一系列措施减少数据流通的阻碍,代表性国家为美国。在美国经济发展的某些阶段,凯恩斯主义强调政府对经济的管制“占据了上风”,但是自其建国以来的主基调还是自由主义经济理念。从工业经济到数字经济,自由主义主导的经济思想最大化地调动了企业、个人等私有主体的积极性,并促使美国在数字经济方面引领全球,产生了微软、苹果、脸书等全球领先的数字化企业。随着数字贸易的进一步发展,全球对于数据资源价值性的认识也进一步加深。数据必须要在流动中才能产生价值(东方,2019),基于此,美国在对数据跨境流动的法律规制上也强调有限政府,通过限制政府权力以促进数据的自由流动。同时,美国又将其数据自由观推行至其盟友国家,譬如在与英国、韩国、日本等国家进行的贸易谈判中,美国积极推广“反数据本地化”理念,希望通过与其他国家或地区签订双边或多边协议,建设无障碍数据流动圈,打破数据国界(陈兵,马贤茹,2023)。
2.中立发展数据跨境流通
对数据跨境流通的中立态度折射出个人数据安全保护的底线。随着个人数据的流通速度加快,其经济价值也不断提高,但随之而来的是数据泄露、不当利用等问题,为个人数据安全带来隐患。因此,保护个人信息安全成为跨境数据流通治理必须面对的问题。无论是对企业还是对国家而言,个人隐私数据都是重要的发展或建设资源。基于此,部分国家或地区主张在促进数据跨境流通的同时,必须保障个人信息的安全,代表性地区为欧盟。欧盟对个人数据跨境流动进行规制,秉持的原则是以保护人权以及个人隐私为核心,这与近代以来欧洲一直保持的浓厚人权观念紧密相关(郑智航,2023)。1981 年,欧洲理事会就出台了《有关个人数据自动化处理的个人保护协定》,对个人数据跨境流动的隐私保护作出规定,而当时数据跨境流动远不及当前规模之巨和范围之广。随着数字经济的逐步发展,2018 年,欧盟又通过了《通用数据保护条例》(GDPR)。GDPR 设立专章规定了个人数据的跨境流通规则。总体而言,决定欧盟国家之间个人数据能否跨境流通的标准在于是否具备“充分性决议”,也即其需要审查数据流动国是否有与其相一致或者是更为完善的数据保护法律规范,能否采取保障数据存储和处理安全的技术措施,只有具备了上述条件,欧盟才允许数据跨境流动。由此观之,中立发展数据跨境流通的基础在于认可并极为重视数据当中的个人信息价值,只有在保障个人信息安全的基础上,才能允许数据跨境流通。
3.严格、谨慎规范数据跨境流通
从数据主权和国家安全的角度出发对数据跨境流通进行规制,代表性国家为我国。《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)三部法律为我国规制数据跨境流动奠定了基本框架,其一方面要求数据必须本地化存储,另一方面则要求对特定主体或达到特定量级的数据出境应制定安全评估审查制度。2022 年9 月1 日起施行的《数据出境安全评估办法》第四条规定了应当申报数据出境安全评估的各类情形②《数据出境安全评估办法》第四条:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100 万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”,第八条则规定了数据出境安全评估的各类事项③《数据出境安全评估办法》第八条:“数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(四)数据安全和个人信息权益是否能够得到充分有效保障;(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;(六)遵守中国法律、行政法规、部门规章情况;(七)国家网信部门认为需要评估的其他事项。”。可以发现,尽管与欧盟一样,我国也要求对境外数据接受方的数据法律法规、安全管理措施等进行评估,但是除了对个人信息的保护外,我国将维护国家数据主权和安全放在了与其同等重要的位置,形成了平衡发展与安全治理的数据跨境流动规制体系。其背景就在于,我国一直以来强调的国家整体安全观在数字时代又有了数据安全的新发展,在数据主权理念日益形成共识的当下,必须采取措施防范有可能对我国数据主权造成威胁的各类风险(吴沈括,2016)。
基于此,当前世界主要经济体对于数据跨境流通都持有不同的态度,折射出其对于数据这一新的生产要素的不同价值观念,数据跨境流通治理的首要障碍也表现为不同国家与地区之间的价值障碍。
(二)规范阻滞:数据跨境流通的对抗模式
纵观国际社会对于数据跨境流通的规范治理可以发现,主要经济体基于不同的价值选择形成了适合自身发展的制度安排。当前,数据跨境流通治理的规制模式以欧盟的个人数据保护模式、美国的数据自由流通模式以及中国的本土化数据保护模式为典型代表。但是,基于价值立场差异形成的规范基础难免在管辖原则、适用情形以及责任后果等方面存在漏洞或冲突,阻碍了数据的跨境流通。
第一,欧盟的个人数据保护模式。作为最早对数据跨境流通进行法律调整的国际实体,早期欧盟将数据流通限制在欧盟内部,这与欧洲一体化的思想契合。欧盟对数据保护的规制变化大致经历了三个阶段(刘云,2017)。其一,公约阶段,确立了个人信息保护法相较于普通民事法律的独立地位。1981 年,欧盟通过了《有关个人数据自动化处理中的个体保护公约》,即《108 号公约》,对个人信息的规范内涵、保护原则和跨境流通机制等内容作了初步规定。其二,指令阶段。1995 年,欧盟颁布了《关于在个人数据处理中对个人的保护以及此类数据自由流通的指令(95/46/EC)》,即《个人数据保护指令》,旨在促进成员国之间个人信息保护的深入推进,同时规定数据信息可以在成员国之间依法自由传输。《个人数据保护指令》虽然建立起个人信息保护域外适用的规范基础,但是仍保留了地域管辖的原则限制(Manuel,2020)。其三,条例阶段。2018 年,欧盟制定的《通用数据保护条例》(GDPR)则更倾向于保护数据主体基本权利,不仅扩张属人标准的域外适用,同时还利用“目标指向”或“消极人格”标准推行扩张性管辖策略(王燕,2023)。GDPR 明确了严格的数据监管规则,通过“白名单机制”、标准合同条款以及司法审查等方式规范数据信息的跨境流通活动,有力地保障了数据安全。
第二,美国的数据自由流通模式。美国的数据治理模式以自由为核心要义,在数据跨境流通的法律规制中更加侧重于保护数据财产利益。美国数字经济发达,信息产业蓬勃发展,数据资源的跨境流通成为经济发展新的增长点。若要最大限度实现数据资源的潜在价值,则有必要为数据的自由流通提供充分的规范保障。美国数据跨境治理的立法体系呈现出“拼凑”的特点,即包括国内立法、行业自治以及多边条约在内的多元化规制路径。例如,2018 年,美国《澄清合法使用境外数据法》(以下简称“CLOUD 法案”)以数据控制者模式替代数据存储地模式,规定美国执法部门可以依照法定程序要求服务提供者披露存储于境外的电子数据,且不得对其披露行为提起诉讼④资料来源:Congress.gov:S.2383 - CLOUD Act[EB/OL].(2018-02-06)[2023-05-10].https://www.congress.gov/bill/115thcongress/senate-bill/2383/text.。2020 年修订后的《加州隐私权法》(CPRA)提出建立独立的隐私保护机构以执行数据隐私保护法规,同时加强了对于个人敏感数据的立法保护。同时,美国推动与其他国家或地区签订多边条约或协定,旨在保障数据信息跨境流通的自由性。由此观之,美国在保护个人数据主体权利的同时,提倡数据的自由跨境流通,侧重促进数据的共享流动,以期实现数据的经济价值。
第三,中国的数据本地化模式。我国对于数据跨境流通的法律规制秉持审慎原则,强调数据的本地化存储,以维护数据主权与数据安全。在数字经济时代,数据作为新型生产要素已经成为推动我国经济发展的新引擎。但是,受制于技术因素和产业因素,我国数据跨境流通的立法保护机制尚不完善,分散于各行业、各领域的具体法规和规章之中。《中华人民共和国国家安全法》《网络安全法》《数据安全法》对数据的跨境流通作了原则性规定;《中华人民共和国民法典》(以下简称《民法典》)从民事权益的角度对个人信息的规范内涵、利用原则与豁免情形进行了规定。同时,《个人信息保护法》对“个人信息跨境提供的规则”进行了专章规定,从提供条件、提供方式与责任后果等维度对个人信息的跨境流通实施了严格限制。此外,《数据出境安全评估办法》从申请条件、评估事项、评估主体与救济机制等方面对数据出境的安全评估提出了细致化规定,以期规范数据出境活动,促进数据跨境的安全和有序流通。由此观之,我国对于数据跨境流通的总体思路是在维护数据主权与数据安全的前提下,促进数据的有序流通,更加重视数据对于国家、社会以及个人的重要性,以严格限制的方式保护国家以及个人的数据安全。
(三)政治阻滞:数据跨境流通的话语博弈
各个国家和地区对政治话语权的追求成为数据跨境流通的政治阻碍。纵观国际社会对于数据跨境流通较为成熟的法律规制方案可以发现,各个国家和地区对政治话语权的追求主要有基于数据治理经验和数据产业优势两条路径。各国对于数据跨境流通治理的理念选择,其最终目标都是对建设数据跨境流通治理体系的政治话语权的追求。
第一条路径是借助数据跨境流通治理经验,试图建立全球性的数据跨境流通体系。以欧盟为代表,其主张通过扩张性管辖策略,将世界各国建立起来的数据跨境流通规则统一起来。2018 年,欧盟通过的GDPR 相较于《个人数据保护指令》而言,彻底摆脱了地域管辖的限制,采用以保护数据主体权利为中心的域外管辖原则(Lisa,2018),将需要对数据主体消极人格进行保护的情形列为其适用范围,以期扩张GDPR 的管辖范围。GDPR 序言中规定,其适用主体为收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的所有机构组织。同时,第三条对其域外适用条件进行了细致化规定,以在欧盟境内建立的“存在”为客观性标准。而对于“存在”的界定并不仅限于地域空间上的物理存在,还包括稳定的有效联系。例如,公司虽然未在欧盟成员国境内设立分支机构或子公司,但其在欧盟成员国境内存在经营活动或具体服务行为,仍可视为数据在欧盟境内设立了机构的控制者或处理者。由此可见,欧盟以GDPR 为工具强化了对数据控制者和数据处理者的域外管辖,将上述主体在成员国境内的数据流通行为纳入规制范围,对于影响欧盟数据流通但与欧盟不存在物理上空间联系的数据跨境流通行为实施扩张管辖,从而增强了欧盟在全球性数据跨境流通治理体系中的政治话语权。
第二条路径是借助数据产业优势,试图以“网络空间无主权”的理念构建全球数据跨境流通治理体系。以美国为代表,其主张借助多边、双边条约与贸易协定推行数据自由流通的价值理念,从而增强其在全球性数据跨境流通治理体系中的政治话语权。美国信息技术起步较早,信息产业根基较为深厚,互联网跨国公司数量众多且发展较为成熟,这些因素决定了美国在全球数据贸易活动的重要地位。然而,美国对于数据自由流通的主张不仅体现于经济活动中,还拓展到了刑事侦查领域。CLOUD 法案的通过实质上表明了美国奉行以数据控制者为中心的域外管辖原则,是美国进行长臂管辖的规范性扩张。在理念上,美国主张“网络空间无主权”(梁坤,2018),即否认数据的主权属性,反对世界各国政府对数据跨境流动的严格限制,强调数据跨境的自由流通,但这实质上却是美国霸权思维的理念性扩张。在具体制度上,美国通过的CLOUD 法案突破了地域上的限制,以最低程度联系原则为标准界定CLOUD 法案的适用范围,包括但不限于实质上的国籍联系,将美国政府执法权力的程序路径拓展至域外,为本国政府部门调取他国数据的行为披上了合法性外衣,同时并未给予外国政府调取美国境内数据的同等待遇。由此观之,美方试图混淆自由与秩序的关系,主张以自由流动治理数据跨境流通行为,实质上是为本国获取别国数据、推行霸权思维提供合法性途径。
三、数据跨境流通的阻滞原因:目的、制度与主权
实际上,数据自由流通的技术本身并不存在障碍,但是因为数据本身价值性与风险性并存的特质,各主权国家或地区为数据跨境流通设置了不同类型、程度的壁垒。究其本质,还是在于对数据这一新型生产要素,各个国家和地区的治理目标存在价值分歧,数据监管与法律保护水平不一。为了建构和完善我国数据跨境流通的法律制度体系,应当深入分析导致数据跨境流通障碍的背后原因,进而结合我国数字经济发展格局提出应对之策。
(一)治理价值目标的矛盾与自我倾斜
数据跨境流通治理当中的安全与效率价值不是非此即彼的关系,而是需要根据不同国家、地区甚至行业的数字经济发展情况,基于现实发展需求而向某一价值进行倾斜(陈兵和马贤茹,2023)。一方面,数据的自由流通有助于其实现最大化价值,数据的流通与共享能够促进其与劳动力、资本等生产要素的结合,从而提升全要素生产效率。另一方面,倘若不对数据的流通进行限制,则将可能引发个人隐私保护、数据信息安全等问题。因此,安全与效率的价值张力在数字经济的影响下愈发凸显。前述价值阻碍的原因是在数据跨境流通治理实践之中,各个国家和地区政府各自追求的价值目标并不相同,甚至同一经济体内部也存在价值目标的冲突。目前,我国在数据跨境流通治理过程中也面临类似的困境,价值目标分化成为数据治理能力提升的阻碍。但是,无论是经济价值还是安全价值,都需要兼顾,要通过制度调整来达致平衡。
一方面,数据跨境流通治理追求促进数字经济发展的价值目标。数字经济不是某一类型经济的指称,而是指数字、数据对于经济的全面影响。2020 年4 月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,将数据视为与土地、劳动力、资本、技术并列的第五大生产要素。在这一新型生产要素的影响下,农业、工业、服务业的经济发展正在并且将会持续产生深刻的转变。有学者指出,数据之所以能够成为新的生产要素,其原因在于算力的发展为数据真正得以大规模应用提供了实践基础,算法的发展为数据提高全要素的配置效率提供了技术支撑(赵鑫,2022)。通过算法将数据与劳动力、资本等传统要素相结合,从而对农业、工业、服务业等产生全面、深刻的影响。但是,基于数据即时性、信息性的特质,数据必须通过流通才能实现其价值,如果产生的数据只是存留于特定的时空范围内,那么其只是记载信息的一类载体而已,只有通过流通而汇集,并经由算法技术对其进行分析与处理,才能形成数据产品并与其他要素结合进而提升全要素生产效率。在此意义上,经过流通汇集而形成的大数据才是真正意义上的生产要素。
另一方面,数据跨境流通治理同时需要追求保障数据安全的价值目标。数据安全问题体现在多个层面:于个人层面而言,数据是记录信息的载体,数字经济的发展必然要涉及企业等主体对于个人信息的利用,对个人信息的汇聚、挖掘与分析,促生了数字经济下内容推送、直播经济等新的消费增长点。但是,上述个人信息也包含了诸多与个人隐私相关的信息,如消费信息、交通信息、健康信息等。如果允许数据无限制地跨境流通,这些重要的个人信息便则可能被境外不法分子所掌握,在各国数据安全法律保护水平不一的现实环境下,我国境内公民的个人信息安全将受到重大威胁。于企业层面而言,无限制的数据跨境流通可能会进一步加深全球数据垄断,对本国市场竞争秩序造成威胁。数字经济下,全球各大数字平台都急于建立和扩展自己的数字生态圈,试图将消费者锁定于其构建的数字服务版图中,此种人为的锁定以及基于用户数字消费习惯的客观依赖,导致数字平台的数据资源不断膨胀。与此同时,各大数字平台又采用扼杀式并购、数据驱动型并购等方式,不断汇聚其他企业掌握的用户数据,进一步加深了全球消费数据向某些寡头集中的趋势。由此产生的深远影响便是可能造成全球数字经济竞争市场秩序的失衡(陈兵,2023)。因此,跨境数据流通的法律规制必须要考虑对一国整体数字经济市场竞争秩序的影响。于国家层面而言,数据安全构成了新时代下主权安全的重要内容(冉从敬和刘妍,2022),“棱镜门”“剑桥分析”等丑闻事件的曝光表明,数据跨境流通可能隐藏着巨大的安全风险。此外,数据资源的大规模聚集使得某些企业或经济组织掌握的数据权力超越了部分国家,在“掌握数据就是掌握权力”的观念影响下,数据权力可能产生异化的风险(尹华容和王惠民,2022)。因此,除警惕域外国家或地区对本国数据安全造成的威胁外,数据跨境流通法律规制还必须关注跨国数字企业这一主体对于国家数据安全可能造成的影响。
基于此,规范数据跨境流通,既需要发挥数据的巨大经济潜能,同时又要警惕其中隐藏的数据安全风险,两种价值目标之间存在着天然的张力,在法律规范体系的构建过程中,必须对两者进行有效平衡。
(二)治理制度权力的混同与自我越界
世界各个国家和地区之所以在数据跨境流通制度上形成不同制度治理模式,究其原因,主要在于各个国家和地区政府治理基点不同以及治理权力扩张。
在个人数据保护模式中,以欧盟为代表的治权主体将个人隐私保护作为信息数据治理的核心,并将个人数据权利作为基本权利进行法律制度构建,《欧盟基本权利宪章》《欧洲人权公约》等法律和公约无不体现了这种权利保护导向,并树立了数据保护不能交由自由市场支配的基本理念。(单文华和邓娜,2021)。尤其是GDPR 在个人信息数据的收集、存储等数据处理环节方面,明确了数据控制者以及数据处理中的权利、责任与义务关系,仅在特定的公共安全方面,才设有例外规定。在数据治理体制方面,欧盟以建立单一数据空间为导向,形成了从欧盟委员会到具体行业、企业的垂直治理体制,以此统一强化欧盟区域的数据治理与保护(王拓等,2021)。而与个人数据保护模式形成矛盾冲突的则是美国所构建的数据自由流动模式。美国政府历来奉行鼓励市场自治与技术创新的治理理念,一般不特别干涉或限制市场行为。在此理念导向下,美国联邦层面目前并没有实施综合性的隐私数据保护法案,美国的数字企业也能凭独到的资源禀赋而得以扩张,并形成对数据市场的垄断。借助这种市场垄断的力量,美国政府也期望以此巩固其政治霸权地位。因此,美国在全球数据跨境流动治理中,始终强调限制政府对数据跨境流动的干涉,以保障数据自由流通。在数字经济时代下,数据资源成为经济发展的基本要素,而能够大规模攫取数据资源,无疑是数字经济发展的根本所在。美国为维系数字经济领域形成的技术霸权,不断在双边或多边的数字贸易协定中,致力确保数据跨境流动不会受到贸易对手过多的限制与监管。
由于数据治理理念的不同,欧盟与美国就数据跨境规则展开了激烈博弈,而我国也随着数字经济的发展,发现了数据本身所蕴含的公共安全价值。因而,我国所确立了审慎限制数据跨境流通的属地治理模式,将维护国家主权与数据安全作为基本治理理念,并依此制定了《网络安全法》《数据安全法》《个人信息保护法》,奠定了数据治理体系建设的法治基础。其中,《网络安全法》明确将维护网络空间主权与国家安全作为立法宗旨,指出国家要主动采取措施防范境内外的网络安全风险与威胁,并确立我国境内所形成的个人信息与重要数据境内存储的基本原则,严格限制数据跨境传输。同时,《数据安全法》也确立了相应的数据出口管制制度。而在个人信息保护方面,我国也制定了严格的信息跨境措施。《个人信息保护法》第三十八条规定,个人信息处理者因业务确需向境外提供个人信息的,必须具备安全评估、个人信息保护认证、标准化合同等条件。除此之外,我国还相继制订了《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》等已经或将要付诸实施的法规和规章,形成了一套以保障国家安全、数据主权和个人信息安全为核心的数据保护制度,在分级分类的数据处理周期过程中,明确国家、企业、个人等主体的权力(利)、责任和义务。
但需要注意的是,我国目前所构建的各项数据安全和个人信息保护制度,仍然过于宽泛。在法律规则还存在不确定性的条件下,政府主管部门对跨境数据以及数据处理者的监管,会扩张规制权力。随着全球数字经济的融合发展,各国数据跨境流通便利与数据治权边界之争必然是各方博弈的焦点所在。
(三)治理主权博弈的挑战与自我消解
数据具有流动性,尤其是在全球产业数字化和数字产业化的双向融合发展中,数据的流向与集聚已是全球数字经济格局变化的决定性因素。尤其是在大数据分析技术全面应用的基础上,各行各业愈发重视大数据的海量收集与信息深度挖掘,世界各个国家和地区也推出了相应的数字发展战略规划,如美国的工业互联网战略、中国的“互联网+”等(吴沈括,2016)。由于数字经济领先国家信息技术垄断优势的存在,如果不对数据传播的界域性和主权属性进行准确界定,那么规模日渐膨胀的数据跨境流通也将成为国家安全的威胁。因此,世界各国就数据主权展开激烈博弈,以争夺数据立法权、自主发展权,强化对数据资源的控制(齐爱民和祝高峰,2016)。最为典型的数据博弈如欧盟对美国《安全港协议》和《隐私盾协议》所作的无效化处理,以应对美国基于数据霸权建立的大规模监控体系,从而维护欧盟区域的公共安全。由此可见,在数字经济发展差距进一步加大的背景下,世界各国的数据主权博弈还将愈演愈烈,若无法在经济发展与公共安全方面形成平衡,那么霸权主义、单边主义、孤立主义很可能会从政治领域延伸到数据领域,封闭或开放的两难取舍也终将导致数字经济的逆全球化事件发生。
总之,数据跨境流通领域的主权博弈受到诸多因素的影响,包括各国综合实力、外交手段、跨国企业能力、制度建设等。数据主权博弈的强弱输赢固然依赖整体数据治理能力的强弱,但制度建设因素尤其是法律制度是其重要组成部分。因此,面对域外有的经济体发起的“数据战”、以法律或政策树立起来的重重“高墙”,考虑到境内外广阔的数据生态空间,我国需根据本国价值追求,积极开展制度建设,主动争取国际话语权和规则制定权。
四、数据跨境流通的阻滞纾解:调整、平衡与保障
当前数据跨境流通治理存在多重障碍,下一步应当着眼于法律制度建设,发挥法律规范的各种功能,在维护国家数字安全的前提下,推进数据跨境流通的综合治理,实现数据跨境流通的有序性。
(一)调整并确立正确的数据跨境流通法律治理目标
当前数据跨境流通治理面临两重困境,一方面是缺乏规制跨境数据流通的相关法律制度,另一方面是数字安全保障与数字经济发展的速度不匹配。换言之,这两方面的困境体现了现阶段我国制度供给相对滞后于数字经济发展带来的制度需求的矛盾,但这一矛盾可以通过相应手段得到调和。促进数字经济发展与保障数字安全并无根本冲突,反而在经济发展的一些环节中二者需要互相依托,即数字安全作为数字经济的重要前提可以促进数字经济的茁壮成长,而数字经济的健康发展有助于提高数字安全的战略地位。在数据跨境流通治理目标这一场景中,保障数字安全和发展数字经济被视为数据跨境流通法律调整所追求的两个价值目标,以此共同调和、消解以及填补市场需求中出现的某些冲突。需要注意的是,数据跨境流通法律制度建设需要考虑的不是数字经济与数字安全的取舍问题,而是孰轻孰重的优先级问题。在我国跨境数据流通法律制度建设的过程中必然面临应该优先发展数字经济还是优先保障数字安全这一排序题,在处理好这一优先级排序问题后,才能有条理、有依据地完善数据跨境流通治理体系。
第一,正确认识数字安全与数字经济的关系。我国数字经济产业规模持续快速增长,已连续数年稳居世界第二(孙文轩和王建伟,2022)。在数字经济背景下,推进跨境数据利用与流动,关键在于处理好数字经济与数字安全的关系。数字安全是数字经济发展的重要基础,也是数据跨境流通的必要条件,其通常是指数字系统处于有效保护的状态和能力。事实上,不同国家和地区已然认识到平衡好数字经济与数字安全关系的重要性。比如,欧盟颁布《非个人数据自由流动条例框架》《通用数据保护条例》《关于欧洲网络与信息安全局信息和通信技术的网络安全》《网络安全法》等数据规则,强调数据安全和主权,在个人数据权利优先保护的基础上,促进数据的利用和流动。
第二,正确认识数字安全对于数据跨境流通的重要性。美国作为发达的数字经济体,在数据跨境流通过程中,虽然优先考虑经济利益,倾向于促进数据的利用和流动,但也高度重视数字安全保障。尤其在保障国家安全方面,美国制定了《出口管理条例》《外国投资风险审查现代化法》《受控非密信息》《2019 国家安全和个人数据保护法案》等一系列规范,通过采取出口管制、外商投资安全审查、保密信息和受控非密信息管控以及针对特定国家加强数据管理等措施,保障数据跨境流通的安全性。
当前,我国关于跨境数据流通的法律法规尚不完善,在培育数据要素市场、规范数据贸易等方面的配套制度有待健全,还难以基于现行法律对数字经济进行有效监管。因此,为了有效应对数字经济快速发展过程中面临的法律问题,应当加强跨境数据流通的制度体系建设,在相应制度体系的价值目标中,重塑跨境数据流通的价值理念,保障数字安全的优先序高于数字经济发展。可以适当借鉴域外的一些做法和经验,建立健全数据跨境流通法律规范体系,着力于本土化数据保护和出境信息的严格管控,在不确定信息是否被非法泄露的情形下,通过制度规范优先维护国家和人民的利益。总之,在推动数据跨境流通过程中,应当平衡好权利保护与国家安全、经济利益的关系,坚持数据安全的基本立场,重视个人数据权利保护,在此基础上,促进数据合理、有效的跨境使用和流动。在数字安全得到保障的情况下,应当加快推进数字经济监管、个人信息保护等基础制度建设,以避免日后数字经济的进一步发展与数字安全保障的需要相脱节。
(二)平衡并建立恰当的数据跨境流通法律制度
目前,关于如何制定我国跨境数据流通的法律法规,不可避免地要考虑当前的数据跨境流通实况。通过总结数据跨境流通中出现的问题以及对个人信息权利保护产生的不良影响,应尽快制定覆盖全面、科学严谨的跨境数据流通法律法规体系,筑起我国个人信息保护的“长城”。
第一,建立健全个人信息保护法律制度。数字经济作为新兴经济形态,发展势头迅猛,而数据作为数字经济的重要参数,与个人信息具有密切的关系。在数字经济中,数据要素市场化趋势愈发明显,数据成为市场分配的重要考量因素,在此背景下,数据的使用与个人信息保护便成为热门议题。当前,限制我国数字经济发展和数据跨境流通的重要原因是法律制度还不完善,其底层逻辑是个人信息保护法律法规的缺失。尤其是在数字经济发展之初、跨境数据流通伊始,非法买卖个人信息、肆意侵犯个人隐私的现象时有发生,由于《民法典》对该类行为规定的缺失以及相关部门未及时作出回应,导致上述情况愈发严重。在互联网时代,网络空间的虚拟性让侵犯个人信息权益的行为变得更为普遍且不易察觉,这类行为通过合法的技术给“偷盗”披上合理的外衣,在公众的个人信息保护观念有所欠缺的情况下,随意获取及传播公众的个人信息,让社会公众深受个人信息泄露的危害。我国在2021 年11 月开始实施《个人信息保护法》,明确规定了信息收集、存储、使用、加工、传输和公开的各项要求,针对信息泄露和滥用自动化工具等行为作出了回应,给不当抓取数据等行为提供了行为指引和裁判依据(林慰曾,2022),但是法律条文切实发挥作用仍需时日。此外,《个人信息保护法》是针对个人、企业和政府三方的一部法律,为三类主体的个人信息保护行为提供了指引和依据,尤其是明确了公权力可以介入信息和数据治理。但是也有学者认为,公权力的介入应当避免极端化的倾向,在防止数据滥用的同时不能损害数据的合理利用,个人信息保护与促进数据流通是存在一定冲突的(林慰曾,2022)。公权力和私权利对于个人信息保护虽然路径有所不同,但是理念相同,只要二者的目的都在于维持信息权利保护和跨境数据流通之间的平衡,那么就都可以通过法律制度来进行调适。
第二,保障和促进数据跨境流通,尤其是支持跨境数据贸易发展。数据的流动从侧面为新时代经济发展代言,它集中反映了数字经济时代市场资源配置的优化程度以及产业结构转型升级的进程。因此,必须用法律制度给数据跨境流通“划边界”,一方面避免“一刀切”的粗放式管理模式,也就是说,禁止数据的跨境流通并不可取;另一方面将数据进行分类分级,在严格限制某些数据流通出境的基础上,大力支持可出境数据的流通,促进数据市场的繁荣与发展。制定数据跨境流通法律法规时要注意明晰数据监管机构的权力界限,避免监管机构权力过大而导致数据跨境贸易企业的发展空间受限以及数字贸易规模收缩,进而影响数字经济的良性发展。
总之,数据跨境流通的法律体系应是一套致力于平衡个人信息保护和数据跨境贸易的法律法规制度安排。在个人信息保护方面,要赋予个人信息保护监管机构应有权力,增强对数据跨境流通中个人信息的保护。在数字跨境贸易规范发展方面,保持审慎、公平的监管态度,对企业涉外经贸活动中涉及公民个人信息的数据收集、处理以及出入境等有关的环节进行严格的审查和监管,运用法律手段制裁企业违法的数据跨境传输行为。在跨境流通数据分类分级监管上,可借鉴欧盟《通用数据保护条例》,根据数据的内容,将个人数据、企业数据、国家数据依照敏感程度、核心程度以及可处理程度进行分类,据此制定符合我国数字经济发展和数字安全保障实际的数据跨境流通标准,支持监管机构有的放矢地对数据跨境传输进行审查。例如,对敏感数据、核心数据等严格执行审查和监管,对通用数据、普通数据等适当放松审查,以减轻数据监管机构的监管压力,提升数据监管效果。此外,在重视公法保护的同时兼顾私法保护路径。数据监管不仅要赋权力更要赋权利,以共同促进个人信息保护和数据产业发展。
(三)维护并强调合乎主权的数据跨境流通法律根本
针对目前各主要经济体对数据资源的博弈情况,我国需要从完善国内数据流通法律法规和积极开展国际对话两方面着手,打破地缘性政治壁垒,筑牢跨境数据流通法律调整中的“主权围栏”。
一方面,完善国内数据流通法规。面对国际上个别大国对域外海量数据资源的窥伺问题,我国必须加强国家数据安全保护,稳固国家数据大盘。在跨境数据流通中,美国利用本国企业的数据持有优势,借助《澄清合法使用境外数据法》《云法案》等国内法律,对数据控制者进行属人管辖以提升执法机关的数据境外获取能力(王燕,2023),即便数据存储地在美国本土之外,美国当局仍可以根据上述法案要求数据控制者向其提供保存的数据。在此背景下,如果我国不加分辨地将所有数据提供给美国以及其他国家,那些拥有顶尖数字技术的国家凭借其强大的数据分析能力便能轻而易举地获得我国国民个人信息以及国家重点数据等,从而威胁我国的信息安全。为此,有必要完善《数据安全法》《网络安全法》等国家数据安全法律,以此反制数据流通领域以美国为首的“长臂管辖”做法(郭烁,2022)。我国《数据安全法》《网络安全法》在数据跨境流通方面的现行规定较为笼统。例如,《数据安全法》采取综合立法模式,在这一模式下试图通过一部法律完成欧美等国家或地区多部法律协力完成的综合治理目标(洪延青,2023),这当然不是一件易事。对跨境数据流通中的数据实施分类分级管理,通过区分数据的重要程度以决定其跨境流程度,可以有效维护数据安全。企业是跨境数据流通的重要主体,国家数据监管部门应当引导和推动企业加强数据治理能力建设,打击违法违规跨境数据交易行为,从而达到维护国家数据安全、促进数据跨境合法有序流通的目的。
另一方面,积极开展国际对话,掌握国际规则的话语权和制定权。目前,以美国和欧盟为代表的西方发达经济体,主张国家之间数据信息的开放化,反对数据本土化,并以此作为彼此合作的沟通条件。但应当注意到,如此推崇国家间数据的开放性和国际对接,实际上是为本国(地区)数据库存储信息,加速外来数据资源的积累,增强数字经济发展优势。以美国为例,其长期收集域外各国数据和信息,在其国内进行加工、分析,同时以保护本国数据为由,对数据实施分类管理,并在法律层面严格规定了禁止出境信息。欧盟也不例外,在其主张的国际条约中加入例外条款,来保障自身信息安全,阻断敏感信息外泄。以此为鉴,我国要在坚守国家数据主权安全底线的前提下,审慎进行国际间跨境数据交流与合作,积累在跨境数据流通中保护敏感、核心数据的经验。
总之,国内法规“固本”、国际话语与规则“培元”,双管齐下才能牢牢维护国家主权并发挥应有的大国影响力。从遵循国际规则到参与制定国际规则,从“游戏”参与者到“游戏”裁判者,我国要不断提升数字经济领域的综合实力和国际地位,实现法律调整活动的主权效应。