APP下载

RCEP视角下数据跨境流动法律规制的比较研究与中国检视

2024-07-09宋佳宁王钰坤

贵州省党校学报 2024年3期
关键词:数据治理

宋佳宁 王钰坤

收稿日期:2024 - 03 - 07

基金项目:本文系天津市哲学社会科学规划课题“‘一带一路背景下中国海外投资企业的国际法责任研究”(项目批准号:TJFX21-004)阶段性研究成果。

作者简介:宋佳宁,女,天津人,法学博士,天津工业大学法学院副教授。研究方向:经济法。

王钰坤,女,河南安阳人,天津工业大学法学院硕士研究生。研究方向:经济法。

摘 要:当前数字贸易快速发展,数据跨境流动作为数字贸易的关键要素,对数字经济的发展具有举足轻重的作用。然而,现行国际数据跨境流动的法律规制尚未体系化,以欧盟、美国为代表的发达经济体基于其国际影响力积极制定适宜本国发展的数字治理体系,直接导致发展中国家面临数据安全风险。RCEP协定开辟了数据跨境流动的第三条规制路径。从RCEP的视角出发,通过对比我国与RCEP数据跨境流动规则,进一步深化我国数据自由流动理念,完善我国数据跨境流动规则中的关键制度,加强数据跨境流动区域协作及发展中国家在数据跨境流动领域的话语权,为共建网络空间命运共同体贡献中国力量。

关键词:数据跨境流动;数据治理;RECP;本地化存储;数据出境安全评估

中图分类号:D922.16文献标识码:A文章编号:1009 - 5381(2024)03 - 0114 - 15

党的二十大报告提出:“发展数字贸易,加快建设贸易强国”[1]33,“稳步扩大规则、规制、管理、标准等制度型开放”[1]32。数据跨境流动作为数字贸易的关键要素,对数字贸易的发展具有举足轻重的作用。根据麦肯锡报告预测,数据流动量每增加10%,GDP则增长0.2%,预计到2025年,全球数据流动对经济增长的贡献将达到11万亿美元。[2]可知,未来数据跨境流动量将直接影响各国经济的增长速度,为促进数字经济的有序发展,各国应更加重视完善数据跨境流动领域的法律规制。

目前,以数据跨境流动为主的国际数字贸易规则治理是当前世界贸易组织的核心议题,但由于各成员方之间在经济、政治等方面存在差异,使各成员方对数字贸易的要求各不相同。从目前国际数字贸易来看,争取有利于自己的数据治理规则的制定已成为大国博弈的工具与手段。以美国、欧盟等为首的发达数字贸易经济体正基于其自身影响力通过双边、多边贸易协定等方式积极抢占数字规则治理高地。对于发展中国家而言,由于网络基础设施不健全、自身影响力不足,直接导致其在数字贸易规则制定领域处于被动地位。

2022年由东盟十国发起的,中国、日本等国家参与制定的《区域全面经济伙伴关系协定》(简称RCEP)正式生效。该协定在第八章的“服务贸易”部分和第十二章的“电子商务”部分进一步明确了各成员国制定数据跨境流动规则和数据本地化的基本原则,部分扭转了发展中国家在数据跨境流动领域规则治理的落后局面。本文站在RCEP的视角,通过探索当前数据跨境流动规则治理的不同范式,分析其背后的法理基础及规则差异,并在坚持RCEP“多元共治”理念的指引下,通过分析我国数据跨境流动规则与RCEP协定的差异,加强两者衔接,完善我国数据跨境流动的规则体系,使我国数据安全与数据自由实现有效平衡。

一、数据跨境流动规则治理的范式分析

(一)“监管例外型”的欧盟范式

所谓“监管例外型”是指一国或地区仅对其经过审查后属同一程度的制度机制国家或地区允许数据自由流动,未经过审查的国家或地区则不允许数据自由流动。欧盟基于其个人隐私权保护的立法传统、维护欧盟数据主权的战略考量以及发展欧盟数字经济的现实需要,将数据跨境流动的规则分成两部分:欧盟内部成员国之间允许数据自由流动;而对于跨欧盟疆界的数据流动行为则构建了数据跨境流动的充分性认定规则框架。具体包括公共部门的充分性认定规则以及适当保障措施规则认定。

1.充分性认定规则

充分性认定规则最早源自1995年的《个人数据保护指令》(简称DPD),该令第二十五条首次提出“充分性保护原则”。但是,由于出台时间较早,仅规定了原则性条款,难以实际操作。2018年欧盟出台的《通用数据保护条例》(简称GDPR)进一步明确了“充分性”的认定标准及实施条件。依据GDPR第四十五条规定,其他国家、特定地区或行业以及国际组织经过欧委会的认定确定其能够提供充分的数据保护水平后,个人数据可于上述国家、地区、行业或国际组织之间自由传输,无须欧盟额外授权。因此,被称为“欧洲个人数据跨境签证”。[3]

当然,这并不意味着以上国家、地区、行业或国际组织永久享有数据自由传输权。根据GDPR第四十五条第三款规定,欧盟每四年可对域外国家的数据保护水平进行审查。这一规定不仅更为灵活地确保欧盟个人数据跨境流动的安全性,同时也具有一定域外效力,为欧盟持续监督域外国家数据保护水平提供合法依据。因此,充分性认定规则在形式上是对欧盟国家基于自身个人信息保护角度出发所设立的与域外国家的双边数据自由贸易区,但实质上这为欧盟监督、审查域外数据保护水平进行数据“长臂管辖”提供正当依据。[4]

2.适当保障措施

除“充分性”决议外,GDPR第四十六条规定了“适当保障措施”。由于适当保障措施众多,企业合规审查中最为常见的路径为标准合同条款和有约束力的公司规则,本文主要论述以上两部分内容。

所谓标准合同条款规则,是指欧盟针对“白名单”机制以外进行商事交易的主体所“定制”的标准化条款,欧盟通过提前确定数据传输过程中所欠缺的数据保护内容,弥补交易主体的数据保护水平不足。[5]为提高欧盟数据跨境流动的效率,欧盟委员会先后颁布六套SCCs①,有助于欧盟进一步应对数据跨境流动形式的多样性,提升数据跨境传输规则的可操作性。然而,SCCs明确规定在数据跨境传输前数据发送方应当对第三国数据跨境流动立法程度加以评估,以确定是否能够达到欧盟数据保护水平。事实上,欧盟数据保护水平已超过世界上绝大多数国家或地区,因此SCCs条款将倒逼其他国家或地区提高自身数据安全立法水平,但对于绝大多数发展中国家而言,在尚未形成数据安全立法体系的情况下,其数据保护被要求达到更高水平,无异于揠苗助长。[6]

约束性企业规则是一种跨国企业内部自我规制的数据传输约束机制。具体而言,当跨国公司使用该规则时,个人数据跨境流动仅限于公司内部自由传输,若公司将个人数据传输至其他外部主体,即使外部主体有资格适用该规则,也不得以适用该规则为由随意传输个人数据。这一规则本质为问责机制,通过对企业内部的数据进行统一规制以降低企业向第三国转移数据的风险。这一制度简化了跨国公司的数据跨境流动流程,提高了数据跨境流动传输的合规性,但其主要适用于跨国公司内部对于境内外数据传输的情形,并非适用于不同国家之间数据跨境流动的传输,并且由于约束性企业规则审批申请较为烦琐复杂,仅有少量大型跨国公司采用该制度。

综上,以欧盟为首的“监管例外型”范式对其内部地域环境采取数据自由流动的方式,而对地域环境以外国家或地区则采用充分性认证规则等监管方式,提高了数据流出欧盟的门槛,维护了欧盟自身的数据主权,为欧洲共同数据空间的发展建立基础。同时因欧盟国家对数据跨境流动的要求较为严格,所以对数据自由流动造成一定限制,但是由于欧盟强大的影响力,该监管制度已成为各大经济体如日本、韩国、巴西等国家学习的范本,各国为争取与欧盟进行数据利益的交换,不得不主动采取法律移植的方式,减少与欧盟之间的制度差距。不过对于未能与欧盟达成同一水平的数据跨境流动监管制度的国家和地区而言,若采用欧盟的数据跨境流动制度则极易造成数据流动的阻碍,不利于数据的自由流动。

(二)“开放流动型”的美国范式

“开放流动型”的美国范式强调数据跨境的自由流动。相较于欧盟强调对数据跨境流动的地域性严格保护,美国基于其跨国科技企业在全球的优势地位,认为过多立法规制不利于数字经济市场的创新与活力,并强调各国对数据跨境流动应采取更加开放的态势。因此,美国境内并未制定统一的信息保护法,而是采用分散立法的模式,主张以市场为主导,以行业自律为中心的信息隐私政策。[7]为加强数据自由贸易,美国利用其自身的国际影响力,通过与其他经济体签订双边或多边贸易协定,宣扬其数据自由流动的意识形态。

1.对域外数据获取坚持数据跨境自由流动

2004年,美国积极参与亚太经合组织,推动《亚太经合组织隐私框架》(APEC Privacy Framework,以下简称《隐私框架》)的通过,同时在2013年促成以亚太经济合作组织的《隐私框架》为基础构建的跨境隐私规则体系(简称CBPRs)。CBPRs制度是美国数据跨境流动利益诉求的集中代表,要求参与CBPRs的各国应当认同并遵守APEC隐私框架中所提出的九大个人数据保护原则,其实质在于成员国之间建立低水平的个人保护制度,不得以保护个人数据为由拒绝个人数据在公司之间跨境流动。这最终导致其他国家或地区的个人数据流向数字经济发展十分完善的美国,从而达到美国获取各国数据的目的。之所以仍有国家认同美国提出的CBPRs体系,原因在于美国宣扬CBPRs无须参与国修改国内法,即可与他国进行数据跨境流动。这相比于欧盟较为严格的数据保护来讲,数据跨境流动的成本大大降低,然而参与CBPRs的国家或地区以放弃对数据出境提出符合自身国内水平保护要求为代价,实质上是数据安全对数据经济利益的极大让步。此外,《美韩自由贸易协定》《美国-墨西哥-加拿大协定》《跨太平洋战略经济伙伴协定》均在不同程度上传播着美国对于数据跨境流动的制度理念。

因此,美国范式的核心主张是“禁止数据本地化措施”以及“鼓励数据跨境自由流动”,美国基于其跨国公司的分布优势通过签订贸易协定限制成员国不能以其境内更高水平的保护为理由限制个人信息的跨境流动,从而获取他国数据隐私资源[8]。而这尤其对于国内数据保护法律规制并未完善的国家而言存在极大的潜在风险,容易造成对国家主权、公共利益以及个人隐私的侵犯。

2.对数据出口采用严格出口管制

尽管美国在获取域外数据时主张采用数据自由流动的相关规则,但是在本国数据出口时则采用十分严苛的数据出口管制。自2018年起,美国先后通过《外国投资风险审查现代化法案》(简称FIRRMA法案)、《确保信息通信技术与服务供应链安全》以及《保护美国人敏感数据免受外国对手侵害》等行政命令,规定避免敏感数据被外国政府或主体获取的相关内容。同时,美国《出口管理条例》规定限制特定领域的数据出口,且受管制的技术数据只有获得美国商务部产业与安全局(BIS)的出口许可方可传输到位于美国境外的服务器。除此以外,美国在数据跨境流动的法律规制中也早已显露“长臂管辖”的态势。2018年,时任美国总统的特朗普签署了《澄清域外合法使用数据法》。该法案给予美国监管、司法和执法部门域外审查权,规定可依据国内法调取本国跨国公司内部所存储的境外数据,同时规定外国政府经过美方许可也可直接调取美国公司数据,但需以外国政府规定其境内禁止本地化存储的方式进行交换。

由此可见,美国相较于欧盟而言更加提倡共享、宽松的数据跨境流动规则,根本在于其更在意数据跨境流动背后的经济效益,也更希望能通过数据跨境来维护其已经建立的数据优势。在大数据时代,美国更加清醒地意识到鼓励数据跨境流动能最大限度地保证“数据资产”流入本国,也能够极大程度地获取“数据金矿”,而美国对其国内数据的出口则采用紧缩的方式,其“宽进严出”的数据跨境流动规则体系,有利于在国际竞争中维护自身产业的发展,从而实现其霸权主义的目的。[9]

(三)“例外规则高度保留型”的RCEP范式

尽管已存在欧美数据跨境流动范式,但是以上范式均保护了发达国家的利益,对于发展中国家而言,若适用以上范式将造成境内数据的巨大流失,从而对个人隐私、公共利益乃至国家安全造成较大的威胁。在此背景下,RCEP的出台为发展中国家提供了更符合自身发展的数据跨境流动规制方案。RCEP协定的成员国既包括发达国家也包含发展中国家,由于各国数字基础设施以及数字经济发展水平存在差异,从而形成了相互冲突的利益诉求。因此,为了保障各成员国的数字利益,RCEP第十二章第十四条和第十五条采用多元共治的理念,以数据自由流动为原则,以数据安全流动为例外的规制模式。

1.多元共治理念

RCEP协定的多元共治理念主要体现在以下三个方面:首先,协定主体多元化。RCEP协定是由发展中国家与发达国家共同制定的区域性协定,其相较于欧盟较为严格的数据充分性保护或美国“宽进严出”的数据自由流动不同,RCEP主要由发展中国家发起,虽然随后加入的成员国包括日本、韩国等欧美盟友,但仍提供给双方平等的话语权。同时,欧盟或美国并未参与此谈判,更加表明RCEP协定是继欧美等协定外新的区域贸易一体化协定。其次,RCEP协定既关注数据自由流动的重要性,也重视发展中国家对于数据安全的担忧。因此,RCEP协定坚持以数据自由流动为原则,反对数据本地化存储,同时也兼顾数据安全的考量,提出基于基本安全利益例外或公共政策目标例外采取相应的本地化措施,这也为各国对数据安全与数据自由平衡问题提供新的解决思路。再次,RCEP并未对数据跨境流动的非歧视性监管措施进行过多限制。仅在缔约方无法通过协商自行解决争端时,RCEP联合委员会才会对争端进一步讨论和处理,但委员会所作决定并不具有约束力,即缔约国拥有较大的对数据监管和限制的权限,因此RCEP协定并不具备较强的约束力,仍需各国之间通过协商进行合作与治理。

2.以数据自由流动为原则,以数据安全流动为例外

根据RCEP第十二章第十四条和第十五条规定,对于涵盖的人为进行商业行为,各缔约方不得强制要求其在境内设置计算设施或使用其领土内的计算设施以及不得组织涵盖的人为进行商业行为通过电子方式跨境传输信息。此外,第八章服务贸易的附件1与附件2中也针对金融服务和电信服务作出不得阻碍数据信息跨境流动的规定。由此可见,RCEP作出缔约方不得采取限制数据跨境流动的原则性规定。换句话说,RCEP对“数据本地化”采取禁止的态度,因为“数据本地化”将造成数据提供商在该国的运营成本提高,不利于提升数字贸易的发展水平,更有甚者形成贸易壁垒,阻碍数据自由流动的发展。

然而,为了寻求各缔约国之间数据自由流动与各国公共利益保护之间的平衡,RCEP同时规定了例外情形,即基于“合法公共政策目标”和“国家基本安全利益”时,可采取本地化措施。RCEP第十二章第十四条第一款以及第十五条第三款明确规定,若缔约方为实现其合法的公共政策目标或保护其安全利益,可采取缔约方认为的必要措施,这也赋予了缔约方决定是否进行数据存储强制本地化的权利。并且为了保护数字产业相对落后的成员国,RCEP设置了缓冲期,即成员国可以在5—8年内优先发展国内数字法律体系。因为该协定主体并无欧美国家,所以RCEP协定有助于发展中国家的数据跨境流动制度的建立。

由此可见,RECP协定开辟了以美国和欧盟为主导的数据跨境流动规则的第三条路径,即在倡导数据自由流动的同时也推行一定程度的数据主权的保护。相比于欧盟将个人信息保护置于数据流动和传输全过程的情况,RCEP将个人信息与数据流动分开规定,意味着其对于个人信息的保护更集中于电子商务平台而非数据跨境流动领域。因此,RCEP对数据自由流动的开放度更大。与美国相比,尽管两者均倾向于数据自由贸易,然而两者的区别在于RCEP增加了国家安全例外条例,这一规定与美国相对于他国的数据自由流动法律规制理念相违背,因为美国出于长臂管辖更希望能够获得其他国家的数据,而RCEP这一规定则进一步明确了在数据自由贸易的同时仍需考虑国家安全。[10]据此,RCEP协定所倡导的构建“数字命运共同体”更能够满足发展中国家与发达国家关于数据流动与数据安全之间的平衡,所以应推动RCEP协定作为国际数据跨境流动的规则治理方案。

二、RCEP协定与我国数据跨境流动法律规制的比较

据ITU和TeleGeography统计,2019年中国跨境流通数据量位居全球第一,占全球数据量的23%,到2025年,中国拥有的数据量在全球的占比将提升到27.8%,成为全球首位。作为数据跨境流动量极大的发展中国家,我国越来越重视国内数字领域的立法及参与国际数字贸易治理的谈判。

自2016年《中华人民共和国网络安全法》(简称《网络安全法》)出台后,我国先后出台了《中华人民共和国数据安全法》(简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),这三部法律对数据跨境流动的规则制定起到建设性的作用。除此以外,《个人信息保护认证实施规则》《数据出境安全评估办法》《个人信息出境标准合同办法》,以及《规范和促进数据跨境流动规定(征求意见稿)》,对我国数据跨境流动的法律规制在适用对象、适用范围方面进行细化和补充。基于此,我国数据出境的法律体系已然形成,即数据本地化存储制度与数据出境安全评估制度。

根据上文分析可知,无论是较为严格的“监管例外型”的欧盟范式抑或是较为宽松的“开放流动型”的美国范式均未将发展中国家的数据利益考虑在内,故盲目移植“监管例外型”的欧盟范式无异于增加我国数据监管成本,不利于数据流动,而盲目采纳“开放流动型”美国范式也不利于保护我国数据安全,易造成我国个人隐私、重要数据的泄露。以RCEP协定作为国际数据跨境流动的治理规则,更能综合考虑发展中国家与发达国家的利益,更适宜促进发达国家与发展中国家数据跨境流动的贸易发展,也更符合当前中国数据发展方向。但是,当前有学者认为,我国在数据跨境流动的规则制定中存在贸易壁垒,难以有效衔接RCEP协定,主要体现在规制理念、数据本地化存储制度以及数据出境安全评估制度。因此,通过将我国数据跨境流动规则与RCEP规则进行对比及合规分析,并根据合规结果寻求更好的衔接路径。

(一)RCEP与我国数据跨境流动法律规制的理念对比

RCEP协定是以多元共治理念为基础,倡导数据跨境自由安全流动。而我国数据跨境流动规则则秉持主权安全的理念,既希望数据自由流动,同时也承认各国应尊重他国主权。[11]其本质均在于数据安全与数据自由的衡量与侧重。

1.RCEP协定的多元共治理念

RCEP协定的多元共治理念主要体现为主体多元、利益平衡以及制度共存三个方面。[12]首先,主体多元是指RCEP协定的成员国既有日本、韩国等发达国家,又有中国等发展中国家,实现了不同发展主体的多元共治。其次,RCEP协定以数据自由流动为原则,不仅满足发达国家数字产业的进一步发展,同时也设置5—8年适用宽限期,以保障产业较为落后的发展中国家得以缓和数据发展与数据安全之间的矛盾,在有限时间内完善本国产业及制度安排,保障发达国家与发展中国家数字利益的平衡。再次,RECP制度相较于欧盟、美国数据跨境流动制度最大的特点在于其在以数据自由流动为原则的基础上,设定了“合法公共政策目标例外”和“基本安全利益例外”的规定,同时规定是否有必要实施“合法公共政策”是由缔约方自行决定,这体现了RCEP协定对各国监管规则的尊重,也为各国规则对接提供桥梁。

2.我国数据安全主权理念

我国在数据跨境流动的顶层战略布局中,既不倾向于完全的数据主权理念,也不采纳完全数据自由贸易的立场,而是采取折中的办法,即在数据安全的基础上促进数据自由流动。2020年,我国发布的《全球数据安全倡议》是我国数据安全主权的体现。在该倡议中,一方面倡导“实现互利共赢、共同发展”的理念,另一方面也承认“保护本国重要数据及个人信息安全”。同时,对数据跨境流动的法律规制,我国主要以三大法律为依据,分别是《数据安全法》《网络安全法》《个人信息保护法》。在这三部法律中,《网络安全法》的立法目的是强调对国家网络主权的安全保护;《数据安全法》的立法目的强调既保护个人合法权益又要维护国家主权安全;《个人信息保护法》则是为“保护个人信息权益”。由此可知,国内关于数据跨境流动的三部法律也是主张在保护数据安全的同时促进数据跨境流动。

3.两者理念比较

综上可知,RCEP协定的数据跨境流动的规则理念是以数据自由流动为原则,以公共政策目标、基本安全利益为例外情形,而我国则秉持数据主权安全理念,在保证数据主权安全的基础上促进数据自由流动。这两种理念在数据安全与数据流动的侧重点上不同,主要体现在RCEP更强调数据自由流动,而我国则强调数据主权安全下的数据自由流动。然儿我国作为RCEP协定的缔约国,进一步开放数据跨境流动是我国顺应RCEP协定的应有之义。在确保数据主权安全的前提下,如何更好地与RCEP协定衔接,是我国数据跨境流动规则下一步需要思考的关键。

(二)基本安全利益例外与数据本地化存储制度比较

1.RCEP协定中关于基本安全利益例外条款的内涵分析

RCEP第十二章第十四条和第十五条中规定,不得阻止一缔约方采取或维持该缔约方认为对保护其基本安全利益所必需的任何措施,并且规定其他缔约方不得对此提出异议。但是该条款并未明确说明“基本安全利益”的内涵,根据RCEP第十九章规定,对纳入本协定的WTO条款可作为解释依据。因此,从WTO实践案例中可知,“基本安全利益”核心是维护国家安全和公共利益。为防止各国对该词语的滥用,成员方被要求在援引该条款时应承担两项举证责任:一是成员方需证明自己符合“善意原则”;二是证明以上措施和“基本安全利益”之间的合理关系最小。[13]所谓善意原则,如今仍是一个发展的概念,并未形成统一的内涵,不过在学界及实践中对于善意原则的理解,认为其至少包含诚信这一要素。例如《维也纳条约法公约》(简称《公约》)第二十六条对于“善意履行”的理解为缔结条约的当事人应当诚信、公正、合理地履行条约。[14]而“最小合理”关系,是指专家组将进行“合理性测试”判断该措施是否使用以利益损害最小的方式实现国家追求的目标。同时“基本”一词是对安全利益的限缩,更强调安全利益的基础性和重要性。[15]RCEP协定虽然未在第十二章对“基本安全利益”进行范围确认,但在第十七章第十三条对“基本安全利益”进行列举,主要包括裂变和聚变物质、武器弹药和作战物资、关键公共基础设施以及国家紧急状态。

2.我国本地化存储制度的内涵分析

我国现行立法中最早提及数据本地化存储制度的是《网络安全法》第三十七条。由此可知,我国对数据本地化存储所规制的传输主体为关键信息基础设施的运营者;传输对象分别为个人数据和重要数据。以上概念的核心特征是本地化存储与国家安全、公共利益紧密相关。而随着《个人信息保护法》《数据安全法》《数据出境安全评估办法》等法律法规的相继出台,我国本地化存储制度逐渐形成以境内存储为原则,安全评估为例外的数据出境规则,即“显性+隐形”的双重本地化模式。所谓显性本地化,是指我国法律所明确作出关于数据本地化存储的制度要求。与此同时,隐形本地化则体现在除法律明确规定的本地化存储制度外,我国还进一步规定了数据处理者的安全审查义务,如规定了关键信息基础设施运营者的义务。这间接增加了关键信息基础设施运营者对数据出境的审查力度,使关键信息基础设施运营者在无法确定该数据是否属于重要数据时会优先选择本地化存储,导致我国数据本地化实践过程相对严苛。[16]对此,还需要进一步完善我国数据分类分级制度。

3.两者制度比较

综上,我国本地化存储制度与RCEP基本安全例外条例可从三个角度进行对比,分别是目的合法性、措施手段满足善意原则以及措施限度具有合理性。

首先,数据本地化存储所保护的范围与基本安全例外条例的范围相符,同时本地化存储并非为了增加数据传输的阻碍,而是为了进一步保护数据的安全,其目的具有合法性。其次,对本地化存储是否满足善意原则,其本质是对数据本地化存储的必要性的讨论,事实上无论将数据存储哪个国家,均存在数据被恶意窃取的风险,而一旦数据出境,国家不仅无法保证数据的监管权,同时也丧失了数据的管辖权,这将直接导致一国的与国家安全、公共利益相关的重要数据受到难以估量的损失,其后果难以承担,因此数据本地化存储仅仅是为重要数据出境安全设置最后一道防线,必要且合理。再次,关于数据本地化措施是否合理这一问题,因为国家间对数据本地化制度的严格程度不同,所以难以概述数据本地化措施的合理性,从而应结合至具体国家。就中国而言,我国数据本地化制度所规制的目标仅为关键信息基础设施处理者收集和产生的个人信息与重要数据,无论是关键信息基础设施抑或是重要数据,均是以保证国家安全、社会稳定为目的,并且我国仅规定原则上本地化存储,但因业务需要时,仍可依据规定程序进行安全评估,这意味着我国对数据流动仍采取较为开放的姿态。因此,我国数据本地化存储制度基本符合RCEP协定中基本例外条例的相关规定。但是,在实践中,我国数据分类分级制度相关内容存在模糊,导致关键信息基础设施运营者在无法确定该数据是否属于重要数据时会优先选择本地化存储,容易造成对本地化存储的过度滥用,致使多数国家认为我国本地化存储制度的实质是设置贸易壁垒,违背自由贸易精神。现下,应进一步明确重要数据等关键数据概念的边界范围,同时对分类分级制度进一步细化,加强与RCEP协定基本安全利益例外的制度衔接。

(三)公共政策目标例外与数据出境安全评估制度比较

1.RCEP协定关于公共政策目标例外的内涵分析

相较于基本安全利益例外而言,公共政策目标例外的内涵更加清晰。根据RCEP协定第十二章第十四条或第十五条规定可知,公共政策目标例外包含以下三大要件,即公共政策目标需具有合法的必要性、不以构成任意或不合理的歧视或变相的贸易限制的方式适用以及不超过必要限度,可概括为目的合法性、手段适度性及手段必要性。[17]同时RCEP赋予缔约方较大的自裁权,即确认此类合法公共政策的必要性是由缔约方自行决定的。

当前对于“合法公共政策目标”并未进行权威解释,但一般而言,公共政策的内涵为一国的重大利益、基本政策和道德的基本观念。[18]同时根据美国在自由贸易协定(FTA)中列举的一些公共政策目标,也可推知公共政策目标应包含公共道德、国家安全和个人数据保护等。而根据WTO实践案例,可对不构成“任意或不合理的歧视”或“变相的贸易限制”作出以下解释:“任意或不合理的歧视”是国家间的对等原则与平等原则的体现,即国家间应以平等的方式实施相关限制措施,并且在实施过程中应给予缔约方同等待遇。“变相的贸易限制”则是以“措施是否具有保护主义目的”“措施实施过程是否存在任意或不合理歧视”等标准进行衡量。对“不施加超过实现目标所需限度的限制”,GATS第十四条中存在类似表述即“保护公共道德或维护公共秩序所必需”,同时WTO专家组在实践中对“必要性”审查形成一套标准,分别为该措施对所保护的价值的重要性程度、对所保护的目标的贡献度以及对国际贸易产生的消极影响是否存在影响更小的替代性措施三个方面进行审查。不过由于RCEP具有明显的自裁性,在一定程度上降低了认定合法性的难度。

2.数据出境安全评估制度内涵分析

根据我国《个人信息保护法》《数据安全法》以及《数据出境安全评估办法》,我国对数据跨境流动的法律规制可简单分为以下三种类型:对一般数据处理者处理非重要的个人信息,数据安全评估、个人信息保护认证以及订立个人信息出境标准合同择一审查,方可向境外提供个人信息。对一般数据处理者处理重要数据,则需通过国家网信部组织的安全评估。对于关键信息基础设施运营者处理个人信息或重要数据,则应当本地化存储并进行安全评估。[19]同时,我国的评估流程为数据处理者应先进行自评估,随后形成自评估报告后再进行安全评估。所谓自评估是对数据出境的合规性、风险性、安全保障能力以及救济渠道进行评估。而安全评估则强调,一是对境外接收方的数据保护法规对我国数据安全评估的结果,二是强调境外接收方数据保护是否达到我国评估要求。[20]

3.两者制度比较

因此,为确定我国数据出境安全评估制度是否能够援引RCEP协定公共政策目标例外,则需要从上述三个方面进行证明,分别是目的合法性、手段适度性以及手段必要性。首先,我国数据出境安全评估制度所评估的类型为关键信息基础设施运营者处理的个人信息或重要数据,或一般数据处理者处理的重要数据,这些数据内容关系到国家安全、社会稳定,因此我国数据出境安全评估制度符合公共政策目标例外,具有目的合法性。其次,我国数据出境安全评估无论对中国信息处理者抑或是外国信息处理者均采用平等原则与对等原则,在经历“自评估+安全评估”的流程后,由网信部门确定数据最终是否可以出境,并未对外国主体在中国境内产生的数据采取歧视性措施,符合“不以构成任意或不合理的歧视或变相的贸易限制的方式”。此外,我国数据出境存在豁免情形,即个人信息保护认证、个人信息出境标准合同等方式,以上方式欧盟等国家或地区也采用,说明该豁免情形具有广泛适用性。因此,我国数据出境安全评估制度可适用于RCEP协定公共政策目标例外条款。

但是,当前我国数据出境安全评估制度就数据安全评估、个人信息保护认证、个人信息出境标准合同之间存在审查内容、评估范围重复等现实问题,应进一步明确三者关系,同时也应增强我国与其他国家或国际组织在数据跨境流动领域的合作与协调。

三、RCEP协定衔接下我国数据跨境流动的完善思路

(一)进一步深化我国数据自由流动理念

当前我国数据跨境流动的理念是国家数据安全主权原则,而这极易造成其他国家或组织对我国数据跨境流动的误解,即将我国数据本地化存储理解为我国在数据跨境流动问题上存在严重的贸易壁垒。根据上述分析可知,我国数据跨境流动法律规制基本满足RCEP的基本安全利益例外规则以及基本公共策略例外规则,因此我国数据跨境流动的规则理念若更强调数据自由流动,或将达到更好的效果。

1.强调数据跨境自由流动原则的重要性

RCEP协定对数据跨境流动规则的框架构建是以多元共治理念为基础,更加强调数据的自由流动,同时设有基本安全利益例外与公共政策目标例外原则。而当前我国数据跨境流动规则虽提出既强调安全又强调流动的理念,但是对数据自由流动仍处于审慎的状态,更加侧重安全至上的理念。这将直接导致我国在司法治理过程中倾向于选择数据本地化存储,以确保数据出境的安全性。致使我国数据流动的法律规制方向与RCEP协定的治理方向产生偏差,阻碍我国与RCEP协定的衔接,同时也影响我国加入更高水平的区域自由贸易协定。因此,有必要进一步在数据规则治理中强调数据跨境自由流动原则。同时根据上文我国与RCEP在具体规则上的比较可知,我国现行规则满足RCEP的例外情形,因此可尝试将数据自由流动作为原则,促进我国数据跨境流动的规则建立。根据《规范和促进数据跨境流动规定(征求意见稿)》第一条可知,我国对数据跨境流动安全管理的本质要求只规范个人信息及重要数据。换句话说,非个人信息或重要数据将不在数据跨境流动的管理范围内,这也表明我国对数据跨境流动持开放的态度。为此,我国可采用与RCEP在相同的原则规定,即以自由流动、数据本地化存储与数据出境管理为例外的原则,强化与RCEP理念上的统一。

2.推动数据本地化存储制度的适度性

当前少数国家对我国数据本地化存储制度存在一定误解,即认为我国数据本地化存储实质上是数字贸易壁垒,但综合上述分析,我国满足RCEP协定关于公共政策目标例外目的合法性、手段必要且适度性的要求,因此我国本地化存储的规定并不构成数字贸易壁垒。但是,我国数据本地化存储制度相较于发达国家仍存在一定的保守性,随着数据日渐开放共享的发展趋势,若一成不变地固守数据本地化存储制度,显然也不是上策之选。因此,进一步提升我国与RCEP协定的相容性,需适度推动我国数据本地化存储制度的改进。

(二)进一步完善我国分类分级制度

我国数据跨境流动规则制定中的当务之急应是补齐国内对数据跨境流动规制体系中的漏洞与短板。根据我国《数据安全法》可知,我国数据主要分为一般数据、重要数据及核心数据,如果对以上数据采用整齐划一的数据管理标准,无论是宽松或是严苛的保护模式,都无法满足数据跨境流动带来的风险与挑战。因此,应当对以上数据进行分类分级管理,以确保对不同数据的等级划分合理得当。明确重要概念的界定与识别标准,建立更为科学有效的数据分类分级标准,是数据分类分级保护制度的前提。只有将国内制度的细节与标准进一步明确,才能在参与国际规则时防止进退失据,减少其他国家对我国的误解,降低我国参与制定国际规则的难度。

1.明确关键数据概念的界定范围

根据《数据安全法》第二十一条可知,核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。同时根据《数据安全管理办法》《网络数据安全管理条例》《数据出境安全评估办法》,可将重要数据归纳为一经篡改、破坏、泄露、非法获取或利用,可能造成对国家安全或公共利益的危害。而“一般数据”的定义为一经篡改等,仅对个人或组织的合法权益造成损害,尚无法危害国家安全或公共利益。由此可知,一般数据与重要数据、核心数据的区别在于是否上升至对国家安全、公共利益的危害。而重要数据、核心数据的区别则在于对国家安全、公共利益的危害程度。

2.完善数据分类分级体系

之所以进一步完善数据分类分级制度,主要原因为对本地化存储的重要问题是要明确重要数据和个人信息范围,而当前由于对以上内容的范围界定不明,导致对本地化存储向保守型的方向发展,其最直接的后果则是导致非重要数据被认定为重要数据,从而增加了企业合规的成本,也容易导致我国本地化存储制度过于严苛,所以应进一步明确数据分类分级制度。鉴于前文已明确一般数据、重要数据以及核心数据的界定范围,基于此针对不同数据的危害程度,采取不同的开放政策。对于核心数据,即指直接关系到国家安全、重大公共利益的数据,应采取以禁止流通为原则,以附条件限制流通为例外;对于重要数据,将需进一步管制的数据列入负面清单,确定其管制范围,原则上限制流动;除负面清单以外的数据,可允许在数据合规的基础上自由流动。除此以外,我国需定期根据国内外数据发展态势,定期调整核心数据、重要数据的目录,确保负面清单的适度性与可操作性。[21]

(三)增强我国与其他国家数据跨境流动领域的合作与协调

1.明确数据出境评估、合同及认证三者关系

根据相关法律规定,我国数据出境安全制度包括安全评估制度、个人信息出境标准合同以及个人信息保护认证三种制度类型。《个人信息保护法》第三十八条对以上规定采用的是择其一的态度:一般情形下,数据处理者可自行选择以上制度;涉及一定数量的个人信息,数据处理者需进行数据出境安全评估;除重要数据以外的其他商业数据,可在个人信息出境标准合同、认证机制或其他方式中自由选择;重要数据则需要通过数据安全评估方式出境。然而,由于实践中商业数据流动日益庞大,根据《评估办法》的规定很容易满足适用数据安全评估的方式,对于个人信息出境标准合同、出境安全认证如何适用成为一个难题。因此,应当对数据出境安全评估制度、个人信息出境标准合同制度以及个人信息保护认证制度进行区分,在明确各制度定位的基础上调整制度体系结构。

数据出境安全评估制度的适用范围涉及威胁国家安全和社会公共利益等四种情形,因此安全评估制度更加强调对境外机构通过采用公权力的手段获取数据的安全风险。而个人信息出境标准合同则是以少量个人信息为限,通过采用严格的违约责任事前预防数据接收方的违约行为,因此标准合同更强调事后数据接收方违约的救济方法。个人信息保护认证制度则是采用技术手段,以专业的第三方风险评估业务评估技术风险,确保数据出境的安全性。综上,尽管我国对于以上三种机制采用择其一的手段,但是安全评估所预防的风险相较于其他机制所预防的风险更加重大,如果采用择其一的方式易造成法律效果失衡。因此,应采用“安全评估单列,其他制度互补”的方式,即只有数据处理者向境外提供重要数据或大量个人信息,可能影响国家安全时采用数据出境安全评估制度,其他则采用个人信息出境标准合同或个人信息保护认证制度。[22]

2.加强“一带一路”数据跨境自由流动圈建设

当前国际公共产品存在供给不足的情况,我国适时提出共建“一带一路”与《全球数据安全倡议》,积极化解各方在数据发展与数据安全之间的分歧。首先,我国可积极发挥自由贸易区先行先验的制度优势,根据商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,提出在北京、上海、海南、天津、杭州等条件较好的地区开展数据跨境传输安全管理试点及探索建立京津冀、长三角数据流动机制,可通过自贸区、自贸港的制度优势,积极探索数据跨境流动的中国经验与方法,为数据跨境流动的国际合作积累经验。进一步推动“数字丝绸之路”的构建,逐步推进与“一带一路”共建国家的数据跨境流动制度合作。“一带一路”为共建国家提供了一个绝佳的对话平台,我国应当充分发挥该平台优势,共建“一带一路”多边数据跨境流动圈,加强沟通多方对数据跨境流动的具体诉求,并通过协商的方式减少风险,同时可对数字执法和监管的情况进行定时通报,可通过司法协助等方式扩大“数据自由流动生态圈”。[23]

数据跨境流动规则治理不仅关系国家的数据安全,同时对国际跨境数字贸易的健康发展造成深刻影响。以欧美为首的发达国家最早提出数据跨境流动规则治理理念,但难以满足国际多元化发展趋势。以“多元共治”为理念的RCEP协定的出现,为数据跨境流动的国际治理提供了新的思路。我国应抓住机遇,以RCEP协定为基准进行检视,进一步完善我国数据本地化存储制度和数据出境安全评估制度,保障我国数据自由与安全,同时加强区域间数字贸易协作,向世界贡献数据跨境流动规则治理的“中国方案”。

参考文献:

[1]习近平.高举中国特色社会主义伟大旗帜为全面建设社会主义现代化国家而团结奋斗——在中国共产党第二十次全国代表大会上的报告[M].北京:人民出版社,2022.

[2]沈传年.跨境数据流动治理进展研究[J].信息安全研究,2023,9(7):624-630.

[3]夏菡.欧盟数据跨境流动监管立法的市场规制转向及对中国的启示[J].河北法学,2023,41(8):169-182.

[4]邹军.基于欧盟《通用数据保护条例》的个人数据跨境流动规制机制研究[J].新闻大学,2019(12):16-27.

[5]金晶.欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”[J].中外法学,2023,35(1):46-65.

[6]李仁真,罗琳娜.欧盟数据跨境传输标准合同条款新发展及启示[J].情报杂志,2022,41(5):146-153.

[7]黄志雄,韦欣妤.美欧跨境数据流动规则博弈及中国因应——以《隐私盾协议》无效判决为视角[J].同济大学学报(社会科学版),2021,32(2):31-43.

[8]范思博.数据跨境流动中的个人数据保护[J].电子知识产权,2020(6):85-97.

[9]许多奇.个人数据跨境流动规制的国际格局及中国应对[J].法学论坛,2018,33(3):130-137.

[10]冯洁菡,周濛.跨境数据流动规制:核心议题、国际方案及中国因应[J].深圳大学学报(人文社会科学版),2021,38(4):88-97.

[11]丁晓东.数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》[J].行政法学研究,2023(1):62-77.

[12]李烨.RCEP协定下我国数据跨境流动规则的检视与完善[J].科技与法律,2023(1):119-128.

[13]张晓君,刘泽扬.RCEP数据跨境流动基本安全例外条款与中国方案[J].郑州大学学报(哲学社会科学版),2023,56(4):36-42.

[14]徐莉.安全例外条款之善意原则的适用——基于数字贸易规制视角[J].兰州大学学报(社会科学版),2023,51(5):99-109.

[15]张明.数据本地化措施援引安全例外的解释论[J].北方法学,2022,16(5):146-160.

[16]盛祥,于琳,黄海瑛.跨境数据本地化:主权考量、安全底线与战略定位[J].图书馆论坛,2023,43(9):21-29.

[17]王楚晴.申请加入DEPA背景下中国数据治理的相容性审视及优化路径[J].太平洋学报,2023,31(3):1-13.

[18]Ghodoosi Farshad.The Concept of Public Policy in Law:Revisiting the Role of the Public Policy Doctrine in the Enforcement of Private Legal Arrangements[J].Nebraska Law Review,2016,94(3):685-736.

[19]徐程锦.中国跨境数据流动规制体系的CPTPP合规性研究[J].国际经贸探索,2023,39(2):69-87.

[20]王春晖.数据安全出境评估规则与适用——《数据出境安全评估办法》解读[J].南京邮电大学学报(社会科学版),2022,24(4):1-10.

[21]陈兵,郭光坤.数据分类分级制度的定位与定则——以《数据安全法》为中心的展开[J].中国特色社会主义研究,2022(3):50-60.

[22]赵精武.论数据出境评估、合同与认证规则的体系化[J].行政法学研究,2023(1):78-94.

[23]洪延青.推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开[J].中国法律评论,2021(2):30-42.

Comparative Studies and Review on Legal Regulations of Cross-Border Data Flow from the Perspective of RCEP

Song Jianing,Wang Yukun

(Tiangong University,Tianjin 300387,China)

Abstract:With the rapid development of digital trade,cross-border data flow,as a key element of digital trade,plays a pivotal role in the development of the digital economy. However,the current legal regulation of cross-border international data flow has not yet been systematized,and developed economies represented by the European Union and the United States have actively formulated digital governance systems suitable for their own development based on their international influence,which directly leads to data security risks for developing countries. The RCEP agreement opens up a third regulatory path for cross-border data flows. From the perspective of RCEP,by comparing the rules of cross-border data flow between China and RCEP,we will further deepen the concept of free flow of data in China,improve the key systems in China's cross-border data flow rules,strengthen regional cooperation on cross-border data flow and the voice of developing countries in the field of cross-border data flow,and contribute China's strength to building a community with a shared future in cyberspace.

Key words:cross-border data flow;data governance;RCEP;localized storage;security assessment of data export

责任编辑:邱春华 李 慧

猜你喜欢

数据治理
云端数据治理定义解析
智慧服务型数字化校园建设参考实现框架
营配贯通台区线损异常数据治理分析
高校信息化数据治理探讨
智慧城市建设项目风险挑战与解决经验
高校数据融合路径及其治理框架的探讨
基于本体的企业运营数据治理
云端数据治理初探
运用流程化手段提升资产管理水平
大数据治理模型与治理成熟度评估研究