APP下载

数据主权视阈下我国数据出境的法律规制及完善

2024-04-17陈斌彬王斌楠

关键词:出境主权规制

○陈斌彬 王斌楠

在大数据、云计算、5G联接、物联网等新一代信息技术的驱动下,数字经济在全球异军突起,发展迅猛。与之相应,作为数字经济的基本单位,数据更是当今开展国际贸易须臾不可或缺的重要载体。根据麦肯锡全球研究院2019年4月发布的《数据全球化:新时代的全球性流动》证实,2009年至2018年十年间,数据跨境流动对全球经济增长贡献度高达10.1%,极大地支撑了包括商品、服务、资本、人才等其他类型的全球化活动,发挥着越来越独立的作用。(1)See McKinsey Global Institute,Digital Globalization:The new era of global flows,Sep,12,2021,https://www.mckinsey.com/bussiness-functions/digital-mckinsey/our-insights/Digital-Globalization-the-new-era-of-global-flows.最新一份研究表明,2022年全球互联网协议数据流量(包括各国国内和国际流量)超过2016年之前人类用过的所有数据流量的总和,预计2025年跨境数据流动对全球经济增长的价值贡献预计会突破11万亿美元。(2)See UNCTAD.Digital Economic Report 2022,Jan,19,2023,https://unctad.org/system/files/official-document/der2022_en.pdf.然而,数据身上承载着个人隐私、商业秘密乃至国家机密等,对其不当处理和滥用会给个人、企业和国家经济利益带来潜在威胁与侵害。同时,数据出境涉及数据的所有者、接收者和使用者等多元主体,流转路径涵盖数据的起源地、中转地及目的地等,复杂多变。倘若其中某一环节被恶意拦截、修改、泄露、复制等,都会带来数据安全风险甚至危及国家主权和政权的安全。2013年的“棱镜门”、2017年席卷全球的“勒索”病毒攻击和2018年的“剑桥分析丑闻”等事件就是典型的例证。可见,数据出境于一国而言是把双刃剑,如何对之施以适当的规制,达致安全和发展两不误成为摆在各国面前亟需解决的时代课题。然而,囿于各国间政治制度,隐私保护传统与数字经济发展阶段之差异,目前全球缺乏一个统一的多边数据共享协议,对数据出境的规制主要停留在国别层面。很多国家和地区纷纷运用“数据主权”出台相应的数据管辖立法,不断强化自身在此领域的话语权。在这其中,欧盟和美国出于各自的历史传统和现实诉求,创建了数据出境规制的两大立法范式。两大范式之间既相互竞争,又相互妥协和融合,构成了国际个人数据跨境流动规制的基本格局,(3)许多奇:《个人数据跨境流动规制的国际格局及中国应对》,《法学论坛》2018年第3期,第130页。颇值研究和镜鉴。本文尝试在此基础上力图从国内法和国际法两个维度提出完善我国数据出境的规制之策。

一 数据出境与“数据主权”

(一)“数据出境”概念辨析

数据是指任何以电子或者其他方式对信息的记录。(4)《数据安全法》第3条。今天,在全球化和数字化的背景下,数据如新时代的“石油”,不仅在一国的重要性日益凸显,成为与土地、劳动力、资本和技术并驾齐驱的生产要素,而且已然构成一国国际竞争力、影响力及战略定力的重要组成部分,是各国竞相争夺的基础性战略资源。然而,无论作为生产要素抑或战略资源,数据的价值效用只有通过流通与共享才能得以彰显和发挥。今天,小到个人的海外购物,跨境支付,中到企业的跨境电商、并购合作业务甚或大到国家间的跨境执法合作,司法电子取证等,都无不以数据的出境为继发条件。关于数据出境概念,表1列举了一些国际组织和国家所给的定义。从这些定义可见,不同时期国际社会对“数据出境”中“境”之界定存有差异。以20世纪90年代为分水岭,在此之前因为网络技术的不发达和高昂的通讯成本导致各国数据主要依靠离散的点对点式的传输,甚至是依赖人工携带纸质材料才能出境,故而早期经合组织、欧洲理事会、联合国跨国公司中心和美国国会的定义中特别强调“跨越国境”的表述,即数据的传输只有跨越地理位置意义上的国境才能称为真正的“出境”。而与之不同,随着21世纪初诸多新兴信息传输技术的涌现和远程访问的日益便利化,数据跨越国界(境)已不再是“数据出境”的必要条件,故而晚近欧盟理事会和我国给出的定义更倾向于从效果即以第三国(国际组织)或境外机构、组织和个人是否接收访问到本国境内数据作为界定数据出境的标准,至于其间数据是否发生跨越国界的流动则在所不问。

表1 主要国际组织或国家对“数据出境”的界定

由上可见,虽然国际社会对“数据出境”的界定不尽相同,但综合他们的表述,不难发现“数据出境”蕴含着三个核心元素:一是出境的数据是个人数据或存储在计算机中的电子数据;二是出境的样态为任何一次或连续性的传输活动;三是出境的方式既可以是主动出境,即数据从一国传输到另一国,也可以是被动出境,即境内数据被境外主体访问、查询和下载。概言之,“数据出境”存在于以下两种情形:第一,站在一国的视角,其表现为本国境内生成的数据被位于他国(境外)的机构、组织、个人所处理;(5)根据《数据安全法》第3条,数据处理包括数据的收集、存储、使用、加工、传输、提供与公开等行为。第二,从全球的层面看,其表现为数据在两个或两个以上的领土主权疆界(实体)或数据主权管辖畛域(虚拟)间的穿梭流动,此情形即为数据跨境流动。

(二)“数据主权”:规制数据出境的利器

由上可见,无论是从一国的视角,还是站在全球的层面来界定,数据出境同传统货物出境一样都绕不过国家主权的藩篱。只不过与传统货物相比,数据天生具有无形性、流动性和可分性。并且,如前所述,当前数据存储方式又发生了较大变化,不仅从当地的存储器逐渐转变为全球数据库的远程存储,还越来越多的被存储到“云”(cloud)端之上。由于云端是通过虚拟化平台来对应终端操作完成数据复制、转移和扩展,不像国家领土那样有着明确的地域界线,无需接受边检人员的检查。加之云计算高速的运算能力,一国难以实时跟踪和判断其间穿梭流动的数据是否已跨越了实际的国界或疆域。这种云存储技术几乎抹煞了数据地域性的识别标记,使得数据的出境具有依托于但不局限于一国领土的特质,从而令以往的国家主权管控变得难以为继。进言之,在大数据和云时代的背景下,一方面,一国的关键信息基础设施、数据和网络信息等对于一国安全的重要性越来越不亚于领陆、领水和领空的完整;(6)王淑敏:《全球数字鸿沟弥合:国际法何去何从》,《政法论丛》2021年第6期,第12页。另一方面,一国已不能再同以往那样通过属地和属人管辖独占、专有地控制与领土、居民等相关的所有数据。数据出境正越来越“将国家置于危险境地”(7)See Data Stored Abroad:Ensuring Lawful Access and Privacy Protection in the Digital Era:Hearing Before the H.Comm.on the Judiciary,115th Cong.(2017)。。国际社会尤其是众多的发展中国家正是看到既有国家主权制度受到的冲击,并切身感知到单向数据出境流动对本国安全的威胁才疾呼各国将数据纳入主权的管控范畴。“数据主权”也因此应运而生。

那么,何谓“数据主权”?耙梳目前学界的观点,主要有三种认知和理解:其一,主张数据主权为网络空间中的国家主权,或者说是网络主权的一个子集;(8)典型的如曹磊:《网络空间的数据权研究》,《国际观察》2013年第1期,第53—58页;梁坤:《基于数据主权的国家刑事取证管辖模式》,《法学研究》2019年第2期,第188—208页。其二,认为数据主权是国家对本国数据的最高权力,体现为对本国数据的占有、管辖、利用和保护。(9)典型的齐爱民、盘佳:《数据权、数据主权的确立与大数据保护的基本原则》,《苏州大学学报(哲学社会科学版)》2015年第1期,第64—70+191页;杜雁芸:《大数据时代国家数据主权问题研究》,《国际观察》2016年第3期,第1—14页。其三,认为数据主权管辖和控制的对象除了数据外,还包括与数据相关的技术、设备和服务商等。(10)典型的如孙南翔、张晓君:《论数据主权——基于虚拟空间博弈与合作的考察》,《太平洋学报》2015年第2期,第63—71页。以笔者之见,“数据主权”既为一种“主权”,对其理解就应遵循“主权”一词的本貌。首先,追本溯源,主权是国家的根本属性,是国家区别于国内的地方行政区域或国际上其他实体的重要标志,体现的是一国独立自主地处理国内外一切事务的权力。(11)王铁崖主编:《国际法》,北京:法律出版社,1995年,第66页。并且,主权还是一个持续发展与不断变化的概念,有着独特的时间与空间维度。(12)See Franz Xaver Perrez,Cooperative Sovereignty:From Independence to Interdependence in the Structure of International Environmental Law,Kluwer Law International,2000,p.2.不同的历史背景就会有不同的主权内涵。而数据主权正是国家主权顺应当下数字经济社会蓬勃发展的必然结果,是在全球新一轮信息技术革命和产业变革背景下一国为因应数据出境给自身带来安全风险的一种必备利器,具有鲜明的时代特征。其应用主体当然是国家,故而那种将数据主权描绘成个人(机构)的数据权的表述并不恰当。(13)多数西方学者在论及数据主权时多指个人数据主权。典型的代表文献可P.De Filippi,S.McCarthy,“Cloud Computing:Centralization and Data Sovereignty”,in European Journal of Law and Technology,Vol.3,No.2,2012,p.15.其次,依国际法,主权包含国家对内的最高统治权和对外的独立权。对应到数据主权,此处的对内最高统治权就是指国家对本国数据所具有的排他的自由行使的统治权,具体体现为国家对本国数据的管辖权;而此处的对外独立权则指国家在国际上不依赖他国,不受任何国家的摆布而独立参与全球数据事务的治理。同时,数据主权规范的对象——数据具有特殊性,其之存储和传输不仅须臾离不开相关介质、设备等物理设施,而且还是网络空间必不可缺的构建颗粒。就此意义而言,以上三种观点看似不一,但实则都不同程度指向数据主权的某一面向(属性或对象),虽然并不完整,但没有冲突。因此,笔者认为一个内涵清晰的数据主权概念应是上述三种观点之综合:那就是数据主权首先应是国家主权在网络空间中的延续和发展,或者说是国家网络主权的核心组成部分,其内涵可界定为对内的数据管辖权和对外的数据合作治理权两个部分。

(三)“数据主权边界”:行使数据主权的前提

那么,如何判定数据主权内涵中的“对内”与“对外”呢?这就要先确立“数据主权边界”。“数据主权边界”作为一国数据主权行使的依据和界线,能为一国突破属地管辖的羁绊以对数据出境流动施以规制提供合理的依据与界线,故而是确保一国对外有效行使数据主权,减少与他国冲突的关键。由于实践中各国数据是以网络为主要传播渠道,故要厘清“数据主权边界”就不能局限于命题表述本身,而应深入到数据流动所端赖的网络空间,探析其与国家领土相区别的运行特质:(14)没有特别说明,本文所言的国家领土包括领陆、领水、领陆和领水以下的底土以及领路和领水之上的领空。关于国家领土的界定,王铁崖:《国际法》,第229页。

第一,空间的虚拟性。依国际电信联盟的权威定义,网络空间是“由包括计算机、计算机系统、网络及其软件支持、计算机数据、内容数据、流量数据以及用户在内的所有要素或部分要素组成的物理或非物理领域”(15)See ITU,ITU Toolkit For Cybercrime Legislation.https://www.itu.int/ITU-D/cyb/cybersecurity/docs/itu-toolkit-cybercrime-legislation.pdf.。此定义表明,网络空间在空间归属上,确有实体空间的部分构造,但更多还是属于由软件系统和数据组成的虚拟空间。这种空间在外观上是由世界各地相互连接的小型网络组成,但其本质上就是一种由海量的二进制数据颗粒聚合而成的关联体。地球上所有可以通过有线连接或无线(卫星)链接访问的地方都可以访问之。因此,网络空间划分区域的标准是IP地址和对应的域名。人们只需单击鼠标,就可以将数据传送到全球各个角落。这种技术架构一方面造就了网络空间中法律关系的虚拟性,即除了当事人之外没有其他物理因素;(16)See Tobias Lutz,Private International Law Onine-Internet Regulation and Civil liability in the EU.Oxford University Press,2020,p.26.另一方面却使得传统国家主权赖以作用的领土边界不能简单地被移植过来。易言之,在网络空间中,主权国家的地理边境在某种程度上被虚化了,并不像现实中那么清晰。(17)See Richard Portes &Hélène Rey,The Determinants of Cross-Border Equity Flows:The Geography of Information,UC Berkeley Recent Work.https://escholarship.org/uc/item/51w4v95p.

第二,结构的层级性。《塔林手册2.0》将网络空间结构分为三层:(18)《塔林手册2.0》的全称为《网络行动国际法塔林手册2.0版》。其由位于爱沙尼亚首都塔林的北约卓越合作网络防御中心邀请包括中国在内的19位专家于2017年2月共同编写的。手册作为全球首部国际网络空间治理规则的学术建议草案,虽非一般国际法,不具有约束力,但在网络空间治理领域极具影响力。物理层,主要由各种硬件设备及其他基础设施,如电脑、电缆、存储器、服务器等;逻辑层,主要是存储在物理层上的数据及各种确保数据交换的应用、规则和协议,如 TCP /IP 等;社会层,主要是指参与网络活动的主体即个人或机构,典型的如网络数据的处理者或控制者等。(19)[美]迈克尔·施密特:《网络行动国际法塔林手册2.0版》,北京:社会科学文献出版社,2018年,第58页。在这三个层级中,位于逻辑层的数据看似以电子或类似无形面目出现、具有移动性和可复制性,但其存储和传输却须臾离不开社会层和物理层的帮助。一言以蔽之,没有各个网络参与主体(社会层)事先人为地下达传输指令和各环节的网络设施(物理层)提供硬件传输支持,日常万千的数据流动显然无从发生。

第三,“边界”的双重性。从整体上看,网络空间虽为虚拟的链接,属于非物理空间,在象征意义上与陆地、海洋和天空完全不同,但在功能意义上却依赖于物理场所和网络主体。故其虽不像上述三个物理空间那样有着清晰的边界印记,但也绝非如某些国家所言的全球公域。诚如有学者所言,网络空间与它们的相似的不是物理上的相似性,而是它们的国际性、主权性质。(20)See Radim Polcák,Dan Jerker B.Svantesson,Information Sovereignty Powers and the Rule of law,Edward Elgar Publishing,inc,2017,p.56.像“网络存储设施”的位置、“网络主体”的国籍与“网络行为”发生地等,都会对一国网络数据的流向及其所在国的数据主权利益构成影响,故而它们在理论上都可能会“化身”为一国网络空间的“边境”,成为划分和确立数据主权作用边界的重要标准。笔者基于网络空间的结构化特点,将这些标准归为以下三类:一是物理层所在地标准。毋庸置疑,数据所存储的电脑、磁盘等物品的位置反映了数据的属地性。基于数据的物理特征,数据的属地性早被广泛接受。(21)杨永红:《美国域外数据管辖权研究》,《法商研究》2022年第2期,第147页。所以,当数据存储设备在一国的领陆、领水、领空范围之内,则该国就有能力控制在其主权领土上的数据存储设备,进而控制数据和行使管辖权。若他国侵犯、干涉、非法获取,不正当使用一国境内的数据及数据存储设备,就将构成对该国主权的侵犯。(22)张晓君:《数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建》,《现代法学》2020年第6期,第138页。二是社会层所属地标准。数据之所以能出境流动,皆肇因于不同国家或地区数据所有者(如个人、企业、国家等)的“同意”或数据控制者(数据发送方、数据接收方或数据传输服务方等)对数据的收集、存储、加工、访问、传输与公开等。(23)为表述方便,本文以下就将数据所有者和数据控制者(处理者)合称为数据主体。就此而言,在立法上确认数据主体的国籍国或经常居住地国对这些数据主体行使管辖权并无不当。三是网络数据处理效果地标准。在数字技术日益进步和数字经济日益全球化的今天,不同国家民众之间的交往正日益进化成一种在线的数据关系。一国的个人或机构在前述所言的云端或另一国境内的服务器上针对另一国民众的数据进行在线关联分析或聚合处理早已司空见惯,但倘若这种在线处理行为已经或可能会损害另一国网络数据安全和数据主体的合法权益,则受影响的数据主体所在国为维护自身数据主权利益也可基于效果原则(effects doctrine)对这些发生在境外的在线数据处理行为行使管辖权。

综上,笔者所倡的 “数据主权边界”并非是一成不变的概念,其具有双重属性——既有形又无形。当数据存储于一国领土境内,此时的“数据主权边界”就是有形的,与国家领土边界无异;当数据存储于本国领土之外,此时的“数据主权边界”就会突破国家领土边界而延伸到他国境内。不过这种延伸不是现实世界中的领土扩张,而是一种观念上的延伸,边界大小取决于本国数据主权与他国数据主权交织碰撞的结果。可以说,不同于物理层所在地标准,依社会层所属地和数据处理效果地这两类标准确立的“数据主权边界”具有无形性,其更多存在人们的认知思维中,本质上是两国(数据存储地国与数据非存储地国)数据主权抵牾博弈后所形成的一种均衡状态。这就意味着数据主权在行使方式上更加需要国家之间的共同协作。最后仍要指出的,“数据主权边界”作为一国主权在网络空间和数据领域行使的依据和界线,是以数据主权的概念被广泛接受为逻辑预设前提的。可以说,关键信息基础设施、数据和网络信息等方面的安全对于一国安全的重要性不亚于领陆、领水和领空的完整,(24)王淑敏:《全球数字鸿沟弥合:国际法何去何从》,《政法论丛》2021年第6期,第12页。各国尤其是发展中国家正是看到数据资源的重要性并切身感知到单向的数据出境对本国安全的威胁才疾呼明确数据主权。(25)如2015年1月9日,中国,俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、乌兹别克斯坦联合向联合国提交“信息安全国际行为准则”更新草案,主张明确各国网络空间的数据主权以规范网络空间行为。易言之,数据主权是国家主权在数字经济全球化时代下的延续和发展,是一国因应数据安全风险和规制数据出境的必备利器。

同国家领土主权一样,数据主权不仅属于政治范畴,更属于法律范畴。近年来,为趋利避害,争夺数据资源和维护国家利益,各国基于上述的三类“数据主权边界”标准,纷纷通过立法确认和运用数据主权以对本国数据安全、网络信息安全、隐私保护等领域进行管辖,为数据跨境洪流修筑安全堤坝已成趋势。(26)一国管辖权可表现在立法、司法和执法三个方面。由于法律本身就是主权者意志的体现,且司法和执法管辖权的发挥均以立法管辖为前提。故没特别说明,本文主要从立法管辖角度探讨数据跨境流动的主权规制。

二 数据出境主权规制的典型路径:以欧美为例

(一)欧盟的规制路径:以地理区域为基准

1.欧盟对数据出境的规制立法。欧盟是全球数据出境规制的发祥地。早在1970年,德国黑森联邦州就制定了全球首部个人数据保护法——《黑森州数据法》。随后,瑞典、奥地利、卢森堡等其他8个成员国也都陆续效仿出台了各自的数据法案,规定了数据出境传输的申报与批准程序。为避免各成员数据立法管制参差不齐造成的数据流动壁垒,欧洲理事会于1981年通过了《个人数据自动化处理中的个人保护公约》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,以下简称《公约》)。《公约》确立了各成员国最低程度的数据传输保障义务和相互协作框架,允许成员可以对拟跨境迁移的数据保留类型等方面的限制,但不允许成员仅以保护隐私为借口而实行禁令或通过其它特别授权方式限制数据出境。(27)See European Treaty Series-No108.Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,Strasbourg,1981.1.28.遗憾的是,由于最终签署加入《公约》的国家数量不如预期,故《公约》发挥的实际协调效果相当有限。(28)例如,截止到1995年,加入《公约》的欧共同体国家不到10个。See Cate,Fred H.,“The EU Data Protection Directive,Information Privacy,and the Public Interest”,Maurer School of Law:Indiana University,Iowa Law Review,1995,p.432.故而,欧盟理事会于1995年发布了《关于涉及个人数据处理的个人保护与自由流动指令》(Directive 95 /46 /EC,以下简称《指令》)。(29)See Directive 95 /46 /EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data.相较于《公约》,为防范个人数据流向保护水平较低国家,《指令》特别提出了对欧盟外的数据接收国课以“充分性认定”(Adequacy Decision)的标准要求,从而为成员国提供了统一的数据保护标准和跨境数据流动方式,展现出欧盟对个人隐私保护的良苦用心。(30)See Frontier Economics Ltd.The Value of Cross-border Data Flows to Europe:Risks and Opportunities,Report Prepared for Digital Europe,June 2021,pp.19-20.

不过,随着以大数据、云计算、人工智能等新一代信息技术的出现及其对个人数据保护造成的冲击,《指令》中原有的只适用数据控制者(网络平台)的一些规定越发显得滞后。同时,为配合2015年“数字单一市场战略”的施行,欧盟理事会于2016年4月14日颁布了《通用数据保护条例》(General Data Protection Rules,以下简称GDPR)。经过两年多的预备期,GDPR于2018年5月25日正式取代《指令》,并作了以下几个方面的改进:第一,将法律位阶提升至“条例”层级,明确了对所有成员国的直接法律拘束力,避免了先前《指令》因成员国自身国内立法转化水准和执行尺度不同而出现的规制落差;第二,在数据的类型和主体权利上,加入了个人敏感数据,首次将“被遗忘权”与“可携带权”纳入个人数据权的范畴;第三,拓展了数据主权的域外规制空间,将那些以欧盟客户为在线服务对象,但总部却位于欧盟境外的外国数据公司或在欧盟境内有经营机构的外国数据公司纳入管辖范围;第四,将原有“充分性认定”对象从第三国扩展至国际组织;第五,允许针对成员国间的数据侵权行为建立对等制裁机制,加大事后违规的处罚力度。

2.欧盟数据出境规制立法的实质。欧盟对数据出境的规制是立基于欧盟全境展开,实施的是一种以地理区域为基准的管辖路径。这从GDPR的内容可资佐证:首先,第3条第1款明确了GDPR适用于“机构设立(establishing)在欧盟境内的数据控制者或处理者对个人数据的处理,不管该行为是否发生在欧盟境内”。此款开宗明义确立了欧盟对其境内数据的属地管辖权。其次,GDPR对数据出境的规制分为欧盟境内成员国之间、欧盟与其境外国家两个层面,两者要求截然不同。对于前者,欧盟采取的是无条件允许流动的立场,极力支持数据在欧盟境内的自由流动。第1条第3款就重申成员国不得以保护个人数据权利为由,限制或禁止个人数据在欧盟境内自由流通。对于后者,欧盟采取的则是严格限制流动的立场。即数据流动到欧盟境外原则上是被禁止的,除非其能满足较高的充分保护条件。第五章的第46条和47条就分别规定了欧盟境内的数据控制者或处理者只有符合以下两种情形之一时才能向欧盟以外的第三国或国际组织传输个人数据。(31)See GDPR,Article 46-47.这两种情形包括:(1)数据接收国或国际组织对个人数据有充足保护,且其保护水平被欧盟委员会评估和认可为与欧盟相当,或数据接收国在GDPR“充分性保护”要求的国家和地区名单之列。(2)数据控制者或处理者对拟出境的数据已提供了适当的保障措施。包括为数据主体提供可执行的权利与有效的法律救济措施,在合同中采用了欧盟委员会或数据监管机构制定的数据保护标准条款,要求数据传输方和接收方应是进行联合经济活动的企业集团成员或一组相关的企业成员(包括他们的员工),且他们都已按照一致性机制制定了一套有约束力的企业规则等;此外,第49条又做了进一步补充,规定了上述两种情形之外的其它可以向外传输数据的特殊情形:包括数据主体获悉风险后仍明确同意、数据主体请求执行合同或行使抗辩要求、为维护公共利益或保护数据主体切身利益所必需、或传输的是那些专门给具有正当利益的人提供咨询的登记册中的数据。(32)See GDPR,Article 49.可见,欧盟对其数据流动的立法规制无疑是以是否超越欧盟区域为分水岭而建构的,立场内松外严,具有鲜明的地理区域特色。

除了基于地理区域的属地管辖,欧盟在数据出境规制上还带有属人管辖成分。这从GDPR第3条第1款后半部分的“不管该行为是否发生在欧盟境内”的表述可见一斑。这意味着只要是欧盟境内注册的数据企业,不管他们身居欧盟境外何处,其处理个人数据的行为都要接受GDPR调整。显然,这是一种属人管辖。进一步地,该条第2款要求欧盟境外数据控制者或处理者凡以“向欧盟境内数据主体提供商品或服务或监控他们的活动”为目的而处理个人数据也应受GDPR的管辖。(33)See Shakila Bu-Pasha.Cross-border issues under EU data protection law with regards to personal data protection,Information &Communications Technology Law,2017 Vol.26,No.3,pp.213-228.这就是著名的“靶向准则”(targeting criterion)。在此准则中,境外数据控制者或处理者虽既非欧盟企业,也非处理欧盟境内的数据,但只要他们处理数据的行为构成向欧盟境内数据主体提供商品或服务所必需的环节(正面效果)或者对发生在欧盟境内数据主体的日常行为进行监控(负面效果),都应接受GDPR的管辖。无疑,此处立法确立的管辖既非基于传统的属地原则的管辖,也非属人原则管辖,而系前文言及的基于效果原则(effects doctrine)的一种效果管辖。(34)此种管辖不同于国际法上的“保护性管辖”。“保护性管辖”是指国家以保护本国重大利益为基础对外国人在外国犯罪行使管辖。而GDPR这里所要防范的危害效果显然还没有上升到犯罪层面,笔者把这种具有保护性管辖意味但程度上又较之不及的管辖原则称为效果管辖。有关效果管辖内容,Wolff Heintschel von Heinegg,Territorial Sovereignty and Neutrality in Cyberspace,89 International Law Studies 123,p.133,2013.

综上,欧盟这种以地理区域为基准的主权规制路径本质上是一种以属地管辖为主兼具属人管辖与效果管辖在内的综合性立法安排。一方面以保护本欧盟境内的个人数据权利为归依,通过属地管辖为出境数据设定了最低保护标准,强调境外数据接收方唯有提供与欧盟相当的数据保护水平或符合其他特定情形条件时才允许数据出境,另一方面又通过属人和效果管辖的辅助实现欧盟域外数据保护的有限扩张,整体立场偏向严格和保守。

(二)美国的规制路径:以数据组织机构为基准

1.美国对数据出境的规制立法。美国对数据出境的规制总体持宽松自由的立场。其在联邦层面没有像欧盟那样制定一部类似GDPR的综合个人信息保护法,而是对不同行业的数据采取“个案式”的分散立法管制。比如,在金融领域,针对金融服务数据与隐私的保护,美国1978年和1999年分别制定的《金融隐私权法》与《金融服务现代化法》就先后确立了金融机构对公民金融隐私的尊重和保护义务,严禁在未通知客户并未经其同意的情形下随意向境内外第三方披露交易数据。又如,在通讯领域,1979年的《出口管制条例》则将人工智能、信息安全、导航定位等关键技术数据(含软件)列入出口管制的对象。2018年的《出口管制改革法案》又进一步对“新兴和基础技术(emerging and foundational technologies)”作了定义,强化和扩大了对高技术领域数据的出口管制。再如,在外资并购领域,2018年的《外国投资风险评估现代化法》要求美国外资审查委员会(CFIUS)将关键基础设施的信息、关键技术数据及个人敏感数据的跨境流动纳入国家的安全审查。然而,值得一提的是,为解决2017年“美国政府诉微软公司案”中争议不休的联邦政府调取域外数据的合法性问题,(35)2013年12月,美国联邦政府为侦查一起贩毒案件向纽约南区法院申请搜查微软公司和扣押其办公场所的特定电子邮件账户信息。南区法院应允签发了搜查令。微软以该电子邮件信息存于爱尔兰都柏林的服务器不在美国境内为由拒绝,并于2014年3月上诉联邦第二巡回法院,主张南区法院签发搜查令违背了1986年的《存储通信法》。第二巡回法院支持了微软的诉求,认为国会无意将《存储通信法》的搜查令条款适用于美国境外,搜查令不能在美国之外执行。美国政府于2017年6月就此案向美国最高法院提起了上诉。而后,最高法院在审理期间,国会通过了CLOUD 法案。微软同意美国政府的立场,最终予以撤案。美国国会于2018年3月24日出台了著名的《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act,以下简称CLOUD 法案),对1986年生效的《存储通信法》(Stored Communication Act,以下简称SCA法)作了颠覆性修正,授权美国执法机构有权访问和径直调取其境内互联网服务提供商存储于境外任何地方的电子数据。(36)See CLOUD Act§103(a).这一部分编纂在18 USC§2713中,以下类同。2019年11月,美国又在CLOUD法案基础上公布了《国家安全与个人数据保护法》(National Security and Personal Data Protection Act),授权美国执法机构为维护所谓的“国家安全”,在必要情况下可通过实施数据安全措施或加强外资审查等方式阻止美国境内数据跨境传输到中国、俄罗斯等特别关注国家。(37)See National Security and Personal Data Protection Act of 2019,Feb,2,2022,https://trackbill.com/bill/us-congress-denate-bill-2889-national-security-and-personal-data-protection-act-of-2019/17775410/.

除了对内的分散立法,美国对外还竭力发挥自身的主导作用,通过各种双边、多边的谈判与合作推动符合其利益诉求的国际数据跨境规则落地。这类国际规则主要有三:一是以《隐私盾协议》《美韩自由贸易协定》《美日数字贸易协定》等为代表的双边协定;二是以《美墨加协定》为代表的区域多边协定;三是以OECD的《关于隐私保护和个人数据跨境流动指南》(Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)及APEC《隐私框架》(Privacy Framework)为代表的软法性文件。衡诸这些规则,其中关涉数据出境规制的条款内容大同小异:首先在概念界定上,基本达成“个人数据”为“任何已识别或可识别的自然人的信息”的共识;其次在立场上,倡导数据流动自由,要求缔约方发挥“行业自律”作用,避免对数据出境形成不必要的干预或阻碍;再次在措施上,要求缔约方促其企业接受基于APEC《隐私框架》之上的《跨境隐私规则》(Cross-Border Privacy Rules,以下简称CBPRs)的认证,推进各方在数据保护措施上的互通性。正是通过这些国际规则的确认和施行,美国实现了其数据主权规制理念在全球的推广和渗透,提升了自身在全球数据市场的话语权和控制力。

2.美国数据出境规制立法的实质。与欧盟立基于地理区域的管辖路径不同,美国对数据出境的规制始终落在一线的数据控制组织或机构身上。从CLOUD法案第103(a)条要求美国人“应遵守本章关于保存、备份、披露电子通信内容、记录及其他与消费者相关的数据或它们所拥有、监控消费者的任何数据之规定。不管这些数据存储于美国境内还是境外”的规定可见,即便数据的存储地不在美国本土,但只要数据的控制者具有“美国人”的身份,那么其依照美国SCA法所保存的任何信息所有权之管辖都应归属于美国。由于这里定义的“美国人”(United States person)不仅指美国公民(国民)及在美国境内注册的美国企业,也包括那些在美国永久居住的外国公民和在美国境外注册但总部在美国或受美国本土企业控制的外国居民企业。(38)See CLOUD Act§105(a)(2).这就意味着CLOUD法案确立的数据管辖已非纯粹的属人管辖。其已从主张具有“美国人”身份的数据控制者的属人管辖进化到对具有“美国人”身份的数据控制者所持数据的所有权管辖,从而实现对具有“美国人”身份数据控制者所在国数据的占有和攫取,确立了所谓的数据长臂管辖规则。由于美国事实上拥有全球最主要的头部数据控制企业和遍布世界的云服务网络,故美国的这种长臂管辖触角几乎可以延伸到全球各地,对他国尤其是数据存储国的数据主权安全构成极大的挑战。可以说,在CLOUD法案项下,只要美国单方面认为他国数据处理行为对其安全利益构成潜在的威胁,那么其执法机构就可以无需他国同意径直通过作为中间管道的美国数据控制企业调取域外数据。由此可见,美国这种以组织机构为基准的规制路径早已突破了属人的管辖安排,带有一种强烈的基于“美国人”效果管辖色彩,使得CLOUD法案在域外的适用上已不像欧盟靶向准则那样仅限于对欧盟境内数据主体提供商品服务或构成损害影响的国家,范围无疑要比GDPR宽泛得多。

综上,美国这种以组织机构为基准的主权规制是一种以属人管辖为主兼具属地管辖与效果管辖在内的综合性立法安排。其表面上推崇数据自由,反对干预数据跨境流动,但实质是以谋求美国数字利益优先,即一方面严格限制美国境内的核心和敏感数据流入他国,另一方面又要求与美国有居民连结点的境外个人和企业要随时应美国政府之需提供所拥有的一切数据,规制立场趋于自由和激进。加之近年来,美国将数据跨境政策与贸易政策深度捆绑,频繁借道各类自由贸易协定(FTA)的谈判将自有很多规则植入其中的数字贸易条款,使之化身为硬法规范,迫使其他缔约方接受遵循,从而实现其数据主权规制理念在全球的渗透和推广。无疑,美国这种强调数据自由出境的规制理念昭然若揭,有很大程度的虚伪性,与其长期奉行的“霸权”和“强权”的政治传统一脉相传。

三 我国的适用路径:探索安全与自由相平衡的规制模式

欧美对数据出境的规制路径迥异。美国作为全球头号的数字经济大国,基于其跨国科技企业获取和控制数据的领先优势,必然要求最大范围地实现数据的共享;与美国相比,欧盟更多是数据提供地而非控制地,数字经济竞争力较为不足,故而采用了防御性的数据管辖安排,筑起“制度高墙”,只允许与其同等隐私保护水平的国家进行数据互通。不过,两者都不约而同地通过效果原则来管辖境外的数据处理活动,重视通过数据立法的域外适用扩大自身的影响。如欧盟通过GDPR 影响他国的立法,形成所谓的“布鲁塞尔效应”。而美国则通过CLOUD法案及各类 FTA推广其政策,开辟新的双边或多边规则,构筑所谓的“数据同盟体系”(39)典型的如美国主导的包括英国、澳大利亚、新西兰和加拿大在内的“五眼联盟”数据情报共享体系。。我国目前也在主权语境下形成了《网络安全法》《数据安全法》和《个人信息保护法》三足鼎立的数据规制体系,但数据出境规则的国际化程度和可操作性都远未及欧美。(40)刘天骄:《数据主权与长臂管辖的理论分野与实践冲突》,《环球法律评论》2020年第2期,第191页。因此,基于前文对数据主权包含对内数据管辖权和对外的数据合作治理权两个部分的界定,笔者主张我国对数据出境的主权规制理应遵循国内法与国际法内外双重联动的进路:一方面要苦练内功,完善国内立法,增强对自身数据的保护与治理能力,优化对内数据管辖权的行使;另一方面应审时度势,积极参与全球双多边数据规则的谈判和制定,更好地彰显对外的数据合作治理权。这种内外联动的规制进路具体包括:

(一)完善与数据出境相关的规制条款,优化数据主权对内的行使

1.确立数据出境规制的基本原则,优化数据主权的对内管辖。不同历史背景下的主权会有不同的内涵。数据主权正是传统国家主权顺应当下数字经济社会蓬勃发展的产物。一方面,同传统国家主权一样,很多国家通过立法确立和运用数据主权以对数据流动、网络信息、隐私保护等领域进行管辖,以此维护本国数据安全和保护数据权利,并在一定程度上对抗来自发达国家的数据霸权。另一方面,与传统领土不同,数据的要素和战略资源价值只有通过流动才能得以彰显,更何况鼓励数据跨境流动,实施大数据战略是很多新兴国家尤其像我国这种数据大国和贸易大国的发展需求使然。故而如果我们过分强调本国数据主权对数据流动的绝对管辖权(如数据本地化措施),则由此可能会形成国家独占数据,严重限制或弱化数据出境带来的经济发展和全球治理效益。有学者就此指出,数据主权如果依照传统的国家主权观念行使,那就无法平衡数据自由与数据保护两大核心要素的冲突,故而需要在寻求二者平衡的基础上构建适应全球化的数据主权规则。(41)卜学民、马其家:《论数据主权的谦抑性:法理、现实与规则构造》,《情报杂志》2021年第8期,第63页。笔者也认为,数据似水,流动虽为其天性,但“水能载舟,亦能覆舟”,同样离不开安全的保障。没有安全,数据出境要么无从谈起,要么泛滥成灾。概言之,数据出境流动所需的安全与自由是一体两面。解决其中的矛盾不是非此即彼,而应结合个案场景施以有效的平衡。就此而言,我国所需要的是一种相对而非绝对,双向而非单向的数据主权。这种数据主权应是一种维护本国数据安全和支持本国数据自由流动的有机耦合体。相应地,我们对之的行使不但不能再像传统国家领土主权那样仅仅强调通过管辖实现数据出境安全的一面,还应考虑到如何顺应本国数据产业国际化之需,即通过发挥立法的保驾护航功能推动数据出境的自由。具体到数据出境的主权规制上,笔者力主我国应将《数据安全法》第11条的“促进数据跨境安全、自由流动”明确列为规制的基本原则,使我国在国家、企业及个人数据安全等核心领域继续保留必要管辖范围的同时,又能很好地贯彻数据出境总体自由的大方向,达致维护数据安全与促进数据产业发展之兼得。(42)需要指出的,有学者从数据自由流动的性质出发推导出我国数据跨境规制应“以自由流动为基础,安全流动为限制”似有不妥,明显曲解了第11条的本义。因为此处的“促进数据跨境安全、自由流动”要求并没有对“安全”与“自由”的主次关系做出排序。相反地,若单从立法将“安全”前置的表述来看,立法者似乎更强调数据的安全流动先于自由流动。相关内容许可:《自由与安全:数据跨境流动的中国方案》,《环球法律评论》2021年第1期,第28—29页。

2.落实数据分类分级管理制度,细化数据出境规定。运用数据主权保障数据跨境安全与自由的流动不能仅仅停留在立法原则层面,尚需有具体的细则以对拟出境的数据类型及潜在风险作一评估,并以此对两者进行排序,确立具有一定梯度的可操作的规制标准。我国现行的数据主权立法规制恰恰缺乏类似的操作细则。比如,虽然《数据安全法》第21条提出了建立数据分类分级保护制度的要求,并特别强调加强对重要数据的保护和对国家核心数据实行更严格的管理制度,(43)《网络安全法》第21条与《数据安全法》第21条。但迄今未见国家层面的立法,反倒浙江、重庆等地及证监会、工信部、人民银行等部委提前出台了所辖地区及行业的数据分类分级指南。(44)比如,浙江省2021年7月发布了《数字化改革公共数据分类分级指南》、重庆市2021年10月发布了《公共数据分类分级指南(试行)》、工信部2020年2月发布了《工业数据分类分级指南(试行)》,证监会和人民银行则分别于2018年9月和2020年10月发布了《证券期货业数据分类分级指引》和《金融数据安全数据安全分级指南》。这种各自为政的规制立法势必造成标准不一,极易引发国内数据市场的割裂和数据跨省跨部门的套利出境。是故,我国理应尽快落实第21条的要求,出台全国性的数据分类分级保护条例,厘定数据类别(如国家核心数据、重要数据、公共数据、法人数据及个人信息)与数据级别(如核心级、重要级、敏感级、内部级、公开级)的基准与方法,以为各地区、各部门及相关行业制定重要数据目录提供统一的上位法依据。除了第21条,《数据安全法》中还有涉及数据安全出境的其他限制条款,如22条的风险预警机制、23条的应急处置机制、24条的安全审查机制及第25条的特殊物项数据出口管制等。它们在内容上也同样过于简单与粗糙,亟需配套措施加以细化。需要注意的是,由于越来越多的FTA都对数据跨境流动规制设置了包括一般例外、安全例外及特定例外在内的三种例外条款,(45)有关FTA对数据跨境流动规制的三种例外条款内容,详见马光:《FTA数据跨境流动规制的三种例外的选择适用》,《政法论坛》2021年第5期,第14—23页。今后在出台这些细则时也应注意与我国已缔结(如RCEP)或拟缔结的FTA(如CPTPP、 DEPA)中的例外条款相对接,及时调整国内现行的数据出境规制机制的不足,避免因出现“两张皮”而在执法措施实施的必要性和非歧视性上招致其他缔约方的指控。(46)RCEP即《区域全面经济伙伴关系协定》,其于2022年1月1日正式生效。我国已于2020年11月15日签署加入;CPTPP即《全面与进步的跨太平洋伙伴关系协定》,其于2018年12月30日生效。2021 年 9 月 16 日,我国提交了正式申请加入CPTPP 的书面信函;DEPA即《数字经济伙伴关系协定》,其于2020年6月12日生效。2021年10月30日,习近平主席在出席G20罗马峰会时,宣布中国决定申请加入DEPA。

3.区分数据本地化适用场景,创设多元化的数据出境条件。数据本地化是当今很多国家行使数据主权以维护本国数据安全的必要手段。我国立法也对关键信息基础设施的运营者课以了数据(信息)本地化的义务。(47)《网络安全法》第37条、《数据安全法》第31条与《个人信息保护法》第40条。不过,数据本地化会对数据出境构成障碍,若过于严苛很容易招致他国的对等报复。这对我国那些正在大量进军海外市场的互联网企业和电商企业而言也是一把双刃剑。因此我国立法尚需对数据本地化适用场景作一区分,对本地化措施的形态及要求进行细化和分级,避免一刀切采用严格的出境限制,彻底涤除中国是数据本地化最严苛国家的误解。此外,《个人信息保护法》第38条虽借鉴了GDPR,提供了包括申请评估、请求认证及订立合同三种可供个人信息处理者(平台或企业)选择的信息出境条件,(48)《个人信息保护法》第38条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(1)依照本法第40条的规定通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。但从合规成本角度考虑,除非个人信息处理者本身又是关键信息基础设施的运营者而无从选择,否则大家必然会倾向选择后两种。(49)个中的原因有二:一是如果个人信息处理者为关键信息基础设施的运营者,那么依《网络安全法》第37条,其只能选择通过安全评估;二是依《数据出境安全评估办法(征求意见稿)》第11条,个人信息通过申请安全评估出境需要等待45个工作日。这种时间成本对绝大多数的网络平台企业而言显然过于高昂。然遗憾的是,至今我国网信部门并没有公布有认证资格的专业机构名单和标准化的合同样本可供企业选择。再者,《个人信息保护法》在第40条第2款特别强调 “法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”,然究竟哪些个人信息无需评估就可自由出境?尚无具体规定的出台。很多互联网平台企业无不对之翘首以盼。建议后续的立法机关或监管层应尽快顺应“民声”,对此予以完善释明,避免给业界以“口惠而实不至”之嫌。

4.优化数据立法的域外管辖条款,消弭今后适用上的不确定性。数据的跨境流动具有依托于但又不局限于一国领土的特质。对数据输出国而言,境外完成的在线数据处理行为对其产生影响不足为怪,故仅凭数据跨境前的属地管辖并不周延。为此,我国的《数据安全法》和《个人信息保护法》也效仿英美引入了效果管辖,创设了域外适用条款。(50)《数据安全法》第2条,《个人信息保护法》第3条。如《个人信息保护法》第3条第2款几乎同GDPR一样规定了“靶向准则”,将那些以向我国境内自然人提供产品或服务为目的,或分析、评估我国境内自然人行为的境外信息处理活动纳入管辖范畴。由于此处的“分析、评估”在含义上要比GDPR的“监控”( monitoring)一词宽泛得多,很容易让境外机构产生一切针对我国境内自然人行为的信息处理活动都要遵循《个人信息保护法》的担忧。事实上,“分析与评估”我国境内自然人行为很大部分可能还停留在研究阶段,对我国负面影响远不如“监控”行为那么明显。倘不加区分,动辄就将之纳入调整范畴,似有泛化之嫌,很容易与他国固有的数据属地管辖权及司法权形成冲突而招致非议。事实上,我国的《数据安全法》所确立的域外管辖也只限于国家安全、公共利益或者公民、组织合法权益受到境外数据处理活动损害的情形。(51)《数据安全法》第2条第2款。为此,笔者建议后续应对《个人信息保护法》域外管辖情形予以优化,使之能与《数据安全法》相弥合并以必要的方式行使。(52)以笔者见之,这里的“必要性”是指我国对境外信息(数据)处理活动主张域外管辖,除了其与我国有实质联结因素之外,还应对我国产生显著的负面影响,比如对国内信息主体造成损害或损害之威胁等。进言之,我国通过立法行使数据主权以确立数据的域外管辖权,固然可“以子之矛,攻子之盾”,有效地应对美国的数据霸权主义,但从长远来看,我国还是要兼顾他国合理的关切,对其中“分析及评估”这一立法用语予以明确和适当限缩,凸显其对我国带来的损害或损害之威胁的负面效应,从而为境外信息处理者在线处理我国个人信息时提供可预见性的判断标准,避免今后该条款因适用过于宽泛而遭到他国的阻断。

(二)加强数据主权整体对外的行使与合作,推动国际数据共治规则的达成

网络的开放性与数据主权的边界性的冲突必然决定了各国在对外行使数据主权上需要相互的合作与协调。特别地,数据出境为网络安全与国际经贸交叉融合的新领域,是一个兼具内政与外交,个人与国家,企业与国家,国家与国家关系的综合性问题。(53)桂畅旎:《2019国际网络空间发展与治理态势》,《中国信息安全》2020年第1期,第74页。对其的规制已然构成全球网络空间治理的重点,仅靠个别国家更是难以奏效,亟需全球合作共治。2019年10月20日,习近平主席在给第六届世界互联网大会的贺信中指出:发展好、运用好、治理好互联网,让互联网更好造福人类,是国际社会的共同责任。各国应顺应时代潮流,勇担发展责任,共迎风险挑战,共同推进网络空间全球治理,努力推动构建网络空间命运共同体。(54)《习近平向第六届世界互联网大会致贺信》,《人民日报》2019年10月21日,第1版。这里的“网络空间命运共同体”贯彻了主权平等与合作原则,是对“全球公域”的扬弃和发展。它通过赋予了每一个国家以平等身份共同治理国际网络空间的权利,为多边、民主、透明的全球互联网治理体系奠定了基础。(55)张新宝、许可:《网络空间主权的治理模式及其制度构建》,《中国社会科学》2016年第8期,第142页。因此,我国应以之作为数据对外合作的理念,在相互尊重各国数据主权的基础上,积极推动多层次的国际数据共治规则的达成,具体包括:

首先,应积极创新双边合作思路,通过构建灵活多样的双边机制,打造数据跨境流通的“朋友圈”。毋庸讳言,各国在数据出境规制立场上素有差异,完全谋求先有共识而后才合作,难度甚大。但如果变换思路,寻求政治互信,创新双边协商机制,亦可以在“存异”下“求同”而开展合作。欧美之间曾有的《安全港协议》和《隐私盾协议》就是例证。在这两部协议中,缔约一方(美国)做出其将按照缔约另一方(欧盟)数据的标准对该方(欧盟)数据主体的隐私进行同等保护的承诺,同时缔约另一方(欧盟)则以允许双方企业的数据互通作为对价,从而在无需改变各自国内数据监管政策的情形下实现双方(美欧)企业数据出境流动的合法化。(56)《安全港协议》和《隐私盾协议》系美欧双方分别于2000年12月和2016年7月签署达成。虽然这两部协议在2015年10月和2020年7月分别被欧盟法院裁定失效,但在这两个协议累计实施的19年间,其为美欧之间的4500多家企业的数据跨境流动提供了弹性的规范机制,确保了美欧经贸往来的正常化。这种协议模式跳出了传统的解决国际规制冲突“要么统一,要么互相承认”的思维窠臼,展现了一种从求同到求和的新型合作思路。(57)国内有学者将这种有别于建立在主权国家谈判并达成共识基础上的传统双边体系的模式称之为“公私合作体系”。具体参见陈少威、贾开:《跨境数据流动的全球治理:历史变迁,制度困境与变革路径》,《经济社会体制比较》2020年第2期,第123页。我国目前尚无与他国有开展数据跨境双边合作的先例。这极大不利于我国数字贸易的可持续发展和数据企业海外业务的拓展。建议我国今后借鉴这种合作思路,加强与美欧等重要贸易伙伴的沟通,通过建立类似《隐私盾协议》的互信机制,逐一打通我国与他国的跨境数据传输通道,寻求数据双边合作的“增容扩圈”。

其次,应主动利用现有的国际平台和多边机制,尝试启动制定数据跨境流动规则的多边谈判,发出自己的声音。虽然美欧的数据跨境规则已产生了外溢作用,但全球统一的数据跨境治理协议仍然处在多极并进和多元博弈的状态之中。作为负责任,有担当的发展中大国,我国在数据治理上不能仅是独善其身,还应兼济天下,有义务利用自身在数字经济上的先行优势,致力于探索全球数字鸿沟的弥合:一方面,我国应借助自身的影响力,利用当下和“一带一路”沿线国家加强基础设施“硬联通”以及规则标准“软联通”建设的契机,(58)习近平主席在博鳌亚洲论坛2021年年会开幕式上的视频主旨演讲中指出,中国将同各方携手,高质量共建“一带一路”,加强基础设施“硬联通”以及规则标准“软联通”。 习近平:《同舟共济克时艰,命运与共创未来》,《经济日报》2021年4月21日,第2版。发动沿线国家开展双多边谈判,设计出针对沿线国家的企业数据互通认证和标准合同工具,简化各自数据出境的审批手续,促进各国间数字的互联互通;另一方面,我国也可总结参与达成RCEP协议的谈判经验,在日后商定新的或修订已有FTA的谈判中,推行自身的数据跨境治理理念,引导区域经贸数据治理统一规则的形成。此外,尽管WTO在应对层出不穷的数字贸易问题上已捉襟见肘,但它仍是当前讨论和建构数字贸易治理体制的重要平台。(59)彭岳:《数字贸易治理及其规制路径》,《比较法研究》2021年第4期,第173页。我国也应积极参与WTO电子商务的诸边谈判,引领发展中国家作为整体就数据跨境流动和数据本地化等议题与发达国家成员展开协调,通过共商共建实现数字贸易的良善治理。

最后,应继续推进全球数据跨境治理软法体系的构建。在目前全球统一的多边数据治理协议尚未形成的现实背景下,软法机制无疑是凝结各国共识,增进各国互信和弥补数据跨境规制空白的重要工具。近年来,我国很重视国际软法的作用,在2020年9月8日就发起了首份《全球数据安全倡议》,针对数据跨境流动、隐私保护、供应链和基础设施安全等提出了八项规范国家和企业数据处理行为的建议,并获得国际社会的关注和重视。(60)《全球数据安全倡议》,中国政府网,(2020-09-08)[2021-11-25],http://www.xinhuanet.com/2020-09/08/c_1126466972.htm.今后,我国应进一步发挥数据大国的担当,一方面依托联合国“主渠道”及G20等各种国际平台和对话机制充分听取各方意见,修改完善上述的倡议文本,推动其进入相关国际议程,形成共识成果;另一方面加强与美欧等主要数据经济体的对话,在寻求各国数据利益的最大公约数下适时申请加入CBPRs等一些较具成熟和影响力的区域性数据跨境软法协议,以此突破我国在亚太地区和美欧的数据流动壁垒,为本国数据企业拓宽国际市场,更好地“走出去”提供新助力。

结 语

数字经济时代下的数据出境流动带来的经济效益及各种安全风险的双刃剑效应拷问着各国数据主权的治理能力。如何在发展与规范之间寻求有效平衡,成为摆在各国面前亟需解决的时代课题。欧美基于各自的法律文化传统与数字经济基础形成了“以地理区域为基准”和“以组织机构为基准”两种不同的数据跨境规制模式,并日益向全球推广,形成各自单边主导的反映自身利益的数据跨境流动“小圈子”。我国与数据规制相关的三法虽已出台,但与之相比,起步较晚,且其中涉及数据出境的规制条款不同程度存在着简单粗糙及配套细则缺失等问题,操作性普遍不强。加之在对外的数据主权国际合作上,我国无论在参与双边抑或多边的谈判上都较欧美显得被动。这些问题的叠加都造成我国数据立法对外的影响力乏善可陈,明显与我国作为全球第二数据大国的地位极不匹配。是故,为打破欧美数据规则单边主导全球数据市场的跛足局面,匡扶国际规则正义,今后我国在数据出境流动上须重视内国治理与全球治理互动融合的“整体性治理”,内外兼修:既要以促进数据跨境安全、自由流动为准则,借鉴欧美成熟有益的经验,加快完善国内数据出境流动规制体系的建设和改革;又要以网络空间命运共同体理念为指导,积极参与和推动双多边数据合作规则及标准的制定,使国内法与国际法相得益彰,形成既能维护自身数据主权利益,又能兼顾他国合理关切;既能促进数据自由流动又能为其提供安全保护的中国方案,从而向世人展示杰出的中国理念、中国智慧和中国担当。

猜你喜欢

出境主权规制
主动退市规制的德国经验与启示
中华人民共和国出境入境管理法
中华人民共和国出境入境管理法
中华人民共和国出境入境管理法
保护与规制:关于文学的刑法
贵阳首发白皮书:五年建成主权区块链应用示范区
论《反不正当竞争法》的规制范畴
В первом квартале 2016 года через КПП Маньчжоули прошли 220 международных грузовых железнодорожных составов
内容规制
数十国扎堆宣示海洋主权