學術研究

您當前的位置: 首頁 > 學術研究 > 論文薈萃 > 正文

自貿區內數據跨境傳輸機製構建芻議

發布時間:2022-05-18 16:32:46 商務部網站

田旭

上海政法學院講師

要目

一、過去與(yu) 現在——數據跨境傳(chuan) 輸規則的內(nei) 部演進

二、數據流通的意義(yi) ——貿易自由、隱私保護與(yu) 數據安全的價(jia) 值博弈

三、數據跨境傳(chuan) 輸的國際機製

四、數據跨境傳(chuan) 輸規則的立法定位與(yu) 構建思路

五、自貿區內(nei) 數據跨境規則製定原則與(yu) 可行性舉(ju) 措建議

摘要

任何交易均伴隨信息的交換,而信息技術的革新無疑對大規模的貿易產(chan) 生積極影響,網絡的運用正在重塑國際貿易的基本模式。以數據為(wei) 載體(ti) 的信息通過網絡進行的跨境傳(chuan) 輸行為(wei) 作為(wei) 信息交換的重要形式,正在受到日益強化的本地化主義(yi) 影響。自由貿易試驗區作為(wei) 新時代經濟改革的重要試驗場,有必要就數字貿易領域的新問題進行積極探索。數據跨境傳(chuan) 輸是開展數字貿易的基礎活動,基於(yu) 個(ge) 人數據保護和信息安全角度實施的數據跨境傳(chuan) 輸限製應當建立在必要性和比例性基礎之上,兼顧數據保護和數據流通,為(wei) 自貿區先行先試提供了契機和挑戰。

由於(yu) 缺乏成文法規的明確指導,數據跨境傳(chuan) 輸作為(wei) 協調和促進數字貿易的重要活動形式缺乏穩定的監管原則,從(cong) 而極大地增加了企業(ye) 合規難度和業(ye) 務經營的不確定性。本文所探討的內(nei) 容是數據跨境流動中的法律規製問題,以及它正在如何影響國際經貿關(guan) 係,並以自貿區改革為(wei) 出發點,探索區內(nei) 數據跨境傳(chuan) 輸規則應當如何拓展。

一、過去與(yu) 現在——數據跨境傳(chuan) 輸規則的內(nei) 部演進

傳(chuan) 統上的數據本地化存儲(chu) 的原則

數據本地化,也稱數據駐留(data residency),通常指在數據發生跨境傳(chuan) 輸前,要求對其收集、處理和存儲(chu) 均發生在數據產(chan) 生國境內(nei) 的一項要求,傳(chuan) 統上這一要求的目的是保護個(ge) 人數據不被侵犯。本文認為(wei) ,數據本地化是一項專(zhuan) 門針對數據跨境傳(chuan) 輸行為(wei) 所產(chan) 生的術語,對數據本地化的強調源於(yu) 數據主權概念的普及。但在貿易領域,嚴(yan) 格的數據本地化政策已經站到了貿易自由化的對立麵,由模糊的法律規則、繁瑣的審核程序與(yu) 複雜的技術要求所帶來的高昂法律合規成本越來越成為(wei) 跨國企業(ye) 逐漸難以承受之負擔。

我國網絡安全法也同樣采用相對嚴(yan) 苛的數據本地化要求,第37條規定“關(guan) 鍵信息基礎設施的運營者在中華人民共和國境內(nei) 運營中收集和產(chan) 生的個(ge) 人信息和重要數據應當在境內(nei) 存儲(chu) 。因業(ye) 務需要,確需向境外提供的,應當按照國家網信部門會(hui) 同國務院有關(guan) 部門製定的辦法進行安全評估。”這一條明確了我國法律對於(yu) 數據跨境傳(chuan) 輸的基本態度,即原則上要求本數據境內(nei) 存儲(chu) ,如需出境的,需要經過網信部門的安全評估。由此看來,相較於(yu) 對個(ge) 人信息權益保護的單一目的而言,我國網絡安全法將數據本地化立法原則指向更為(wei) 宏觀的利益——即數據安全。

數據跨境規則為(wei) 網絡帶來巴爾幹化影響

巴爾幹化(Balkanization)是一個(ge) 常帶有貶義(yi) 的地緣政治學術語,可以被定義(yi) 為(wei) :一個(ge) 較大的國家或地區分裂成較小的國家或地區的過程,這些國家或地區關(guan) 係緊張甚至處於(yu) 敵對狀態。20世紀70年代初,由於(yu) 經濟發展模式的逐步變遷,美國各州貿易規則分歧越來越大,在著名的Hughes v. Oklahoma案中,法官將提出了貿易規則的巴爾幹化,並直指該現象將導致貿易壁壘的加高。網絡技術實際上源於(yu) 美國的軍(jun) 事技術,由於(yu) 在其民用普及初期,使用網絡的國家大部分為(wei) 發達國家,這種數據保護規則分歧所導致的數據傳(chuan) 遞不暢問題還未被我國學界所察覺,但是歐美之間長期形成的數據保護規則差異而逐漸發展處歐洲保守的數據本地化規則,取代了美國發展互聯網技術的初衷,從(cong) 而下形成了網絡的巴爾幹化(Cyber balkanization)。現實中,這種網絡巴爾幹化現象隨著發展中國家網絡技術的普及和成熟顯得更加明顯。貿易電子化革命和全球電子商務發展,使得數據傳(chuan) 輸成為(wei) 一項越來越重要的貿易輔助活動,甚至成為(wei) 貿易活動本身。

從(cong) 現實角度看,數據本地化業(ye) 已成為(wei) 國際間數據傳(chuan) 輸限製性新型壁壘,這種限製也被美國學者納入為(wei) 一種本地化貿易壁壘(Localization Barriers to Trade, LBT)。在一份專(zhuan) 門研究信息和通信技術(“ICT”)與(yu) 國際經貿關(guan) 係的報告中,學者將ICT本地化壁壘歸結為(wei) 三大類:第一,直接針對“ICT基礎設施”的本地化要求;第二,是對數據存儲(chu) 的本地化要求;第三,是對本地內(nei) 容的本地化要求。這份報告同時羅列了提出相應要求的國家和地區,中國在這三個(ge) 方麵均被明列其中。本地化政策與(yu) 數據的全球流通自由相對,屬於(yu) 較為(wei) 保守的ICT政策,這種政策取向顯然已經不太符合國際經貿流通的需求,構成了對國際經貿發展的阻礙。

上海自貿區之探索——以數據流通自由為(wei) 導向

2019年7月27日,國務院印發《關(guan) 於(yu) 中國(上海)自由貿易試驗區臨(lin) 港片區總體(ti) 方案的通知》(下稱“臨(lin) 港方案”),其中就實施互聯網跨境安全有序流通有一些宏觀性表述。自由貿易試驗區作為(wei) 政策的先行先試的場域,有條件針對數據領域的流通規則構建更加積極的規則,以促進和配套自貿區的改革。就此,上海市政府率先於(yu) 2019年8月20日頒布《中國(上海)自由貿易試驗區臨(lin) 港片區管理辦法》(“《管理辦法》”),其中就跨境數據流動議題提出“構建安全便利的國際互聯網數據專(zhuan) 用通道、試點開展數據跨境流動的安全評估、建立數據保護能力認證、數據流通備份審查、跨境數據流通和交易風險評估等數據安全管理機製”等模式,以應對法律層麵數據跨境傳(chuan) 輸規則的滯後,將數據跨境傳(chuan) 輸規則創新性構建的任務交給了臨(lin) 港新片區。2020年11月15日,上海再次發布《上海市全麵深化服務貿易創新發展試點實施方案》(下稱“《服務創新實施方案》”),提出“探索數據跨境流動分類監管模式、開展數據跨境傳(chuan) 輸安全管理試點”,奠定了以促進數據跨境傳(chuan) 輸為(wei) 導向的立法模式。

二、數據流通的意義(yi) ——貿易自由、隱私保護與(yu) 數據安全的價(jia) 值博弈

世界範圍內(nei) ,數據跨境可以分為(wei) 自由流動派和原則禁止派。其中,自由流動派主要以美國為(wei) 代表,無論是國內(nei) 法或是對外簽署的貿易協定,美國都一直主張反對數據跨境傳(chuan) 輸施加限製,而力求建立一個(ge) 自由的互聯網。另一方麵,歐盟雖然也主張數據自由流動,但是這種自由是建立在他國提供歐盟數據保護標準的前提下的,由於(yu) 歐盟采用極高的個(ge) 人數據保護標準,這種高標準實際上構成了一堵隱形的高牆,將歐盟個(ge) 人數據牢牢鎖住。而最新的數據本地化政策理由則聚焦於(yu) 信息安全,其理論背景甚至延伸到國家主權概念,這種概念的泛化進一步加劇了數據流通不暢。

數據本地化的原點——個(ge) 人信息權的保護

從(cong) 立法模式角度看,數據跨境傳(chuan) 輸規則常常作為(wei) 數據保護法的一部分被嵌入數據保護法下,以《通用數據保護條例》(GDPR)為(wei) 例,這是一部綜合性的個(ge) 人數據保護立法,而數據跨境傳(chuan) 輸規則作為(wei) 一項保護措施規定在該法律項下。這一嵌入式的立法形態最早可追溯至1973年瑞典數據法,它規定“若據合理推斷,個(ge) 人數據將在境外受到處理時,數據僅(jin) 在數據管理當局(Datainspektionen)許可下方可披露。並且這種許可是建立在這項披露不導致對個(ge) 人數據的過度侵犯。”個(ge) 人數據跨境傳(chuan) 輸限製規則被後來更多的歐洲國家數據保護立法參照,後又被旨在協調歐洲數據保護法一體(ti) 化的歐盟數據保護指令(即1995/EC/46指令,以下簡稱“95指令”)和GDPR相繼發展和繼承,並形成一套完善的數據跨境傳(chuan) 輸規則,上述“不導致過度侵犯”原則的認定進而演化為(wei) 歐洲委員會(hui) 對第三方國家數據保護的充分性認定。針對充分性的認定,在歐盟法院關(guan) 於(yu) Scheme案的判決(jue) 中,歐盟法院認為(wei) “充分性”建立在第三國保護水平與(yu) 歐盟“實質性等同(essentially equivalent)”的情形下,本文認為(wei) ,歐盟個(ge) 人數據出境限製實際上采用的是一個(ge) 危邦不入的理念,它將任何未施行歐盟標準的第三國都視為(wei) 數據保護窪地,變相地要求隻要當境外采用類似歐盟的立法模式後才能獲得相應的充分性認定。

由此可見,在數據安全概念提出之前,限製數據跨境傳(chuan) 輸的最主要的理由是基於(yu) 對個(ge) 人數據權的保護。個(ge) 人數據保護法是國家對於(yu) 公民個(ge) 人數據權的確認和保護,係國內(nei) 立法,其效力應當僅(jin) 及於(yu) 域內(nei) ,除經“衝(chong) 突法”規則指引而被適用的情形外,則不應具有域外效力。但是,由於(yu) 對個(ge) 人數據權的保障方式在於(yu) 限製其他主體(ti) 對個(ge) 人數據的收集、處理、使用以及傳(chuan) 輸,因此個(ge) 人數據權的保障與(yu) 數據傳(chuan) 輸行為(wei) 本身形成了不可分割的聯係。在網絡時代,數據傳(chuan) 輸早已經打破了國境限製,由於(yu) 它具有無體(ti) 性和虛擬性,個(ge) 人數據傳(chuan) 輸並不受製於(yu) 地域的限製,以立法方式限製數據傳(chuan) 輸至境外看似成為(wei) 一項數據保護的必然選擇。

自由與(yu) 安全的艱難權衡

自由便利的數據跨境傳(chuan) 輸規則在貿易協定談判中是一項共同的訴求,但談判分歧就在於(yu) 是否引入、以及引入何種程度的限製性措施。美國作為(wei) 互聯網技術的開拓者,在信息技術領域一直占據領先位置,因此它對數據傳(chuan) 輸所可能帶來的侵害並不如歐盟那麽(me) 恐懼,其信息隱私立法也更加開放,最初是通過“信息控製權”理論修正其隱私權概念,為(wei) 個(ge) 人對其信息的積極控製提供支持。另一方麵,相較於(yu) 歐盟的個(ge) 人數據權理論,美國運行一套截然不同的隱私規則,美國憲法中未規定個(ge) 人數據權這樣一種權利,但根據憲法第四修正案,公民享有隱私合理期待情形下,有權主張隱私以對抗政府取證,這種隱私保護相對於(yu) 歐洲個(ge) 人數據權而言,是一種消極對抗權。美國憲法第四修正案進而發展出“第三方學說(Third-Party Doctrine)”,即“當一個(ge) 人主動向第三方提供其信息,他將不再享有第四修正案項下的合理隱私期待。”綜上而言,作為(wei) 信息技術優(you) 勢一方,美國似乎更加重視和強調網絡的自由價(jia) 值,而不是安全價(jia) 值。

然而,對於(yu) 後發國家而言,在使用互聯網過程中也逐步開始關(guan) 心數據自由化對信息安全帶來的消極影響。周漢華認為(wei) ,“對於(yu) 信息控製者而言,從(cong) 信息安全角度來保護個(ge) 人信息,本來應該是順理成章的事情……但是,過去對於(yu) 信息安全約定俗稱的理解,信息安全並不包括個(ge) 人信息安全和隱私保護。”這一理解將安全和隱私兩(liang) 個(ge) 問題進行區分,為(wei) 我們(men) 厘清了數據傳(chuan) 輸規則所涉及第三種法律利益——安全。我國國家安全法第25條將信息安全這一概念正式納入國家安全範疇,並規定“國家建設網絡與(yu) 信息安全保障體(ti) 係,提升網絡與(yu) 信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關(guan) 鍵基礎設施和重要領域信息係統及數據的安全可控”。也就是說,可控性是我國在信息安全領域的核心要義(yi) ,數據本地化措施似乎是實現數據可靠性的重要手段。但是事實真是如此嗎?實際上,數據本地化無法從(cong) 根本上解決(jue) 數據的可控性問題,因為(wei) 數據本地存儲(chu) 不意味著數據可以當然地拒絕異地訪問,也就是說數據仍然可以為(wei) 境外的個(ge) 體(ti) 所獲取,因此是否仍舊以本地化作為(wei) 數據監管的要求,還是另辟蹊徑,以貿易自由為(wei) 出發點探索更加開放的數據跨境規則?答案顯而易見。

三、數據跨境傳(chuan) 輸的國際機製

作為(wei) 國際經貿規則的必備要素的數據傳(chuan) 輸規則

信息化引發的網絡空間中數據跨境傳(chuan) 輸在國際經貿活動中廣泛存在,這顯然並不局限於(yu) ICT行業(ye) 。在傳(chuan) 統貨物貿易領域,貿易平台的數字化促進了電子商務的極大發展,跨境電子商務是通過電子交易平台下單,進而通過線下物流服務完成跨境交付,既包括貨物,也包括服務。其中,貨物需要有物流和配送服務,而服務主要是指數據傳(chuan) 輸。在服務貿易領域,數字服務囊括了搜索引擎服務、社交網絡服務、應用軟件服務以及商業(ye) 機構之間的計算資源共享服務。數字化戰略浪潮下,數據傳(chuan) 輸業(ye) 已成為(wei) 越來越成為(wei) 企業(ye) 經營的主要活動之一,但由於(yu) 各國數據保護法規則的差異,數據本地化和跨境數據傳(chuan) 輸限製正在逐漸成為(wei) 一項主流。

瑞典國家貿易委員會(hui) Kommerskollegium在一份冠以《沒有傳(chuan) 輸就沒有貿易(No Transfer, No Trade)》為(wei) 名的報告中揭示了數據流通對國際貿易的重要意義(yi) ,它通過訪談形式調查了15家跨國公司的真實情況,分析了數據流通對於(yu) 企業(ye) 的商業(ye) 模式、全球化服務、基礎運營、供應鏈管理等領域均具有重要意義(yi) 。這份樣本調查既包含以ICT業(ye) 務為(wei) 主營業(ye) 務的互聯網企業(ye) 和電信企業(ye) (如穀歌、愛立信、eBuilder),還分析了一些立足於(yu) 傳(chuan) 統產(chan) 業(ye) 的生產(chan) 型企業(ye) (如沃爾沃、Scania)。這意味著隨著電信和互聯網技術的普遍應用,電子信息係統業(ye) 已成為(wei) 諸多行業(ye) 不可或缺的基礎性生產(chan) 要素,而數據傳(chuan) 輸作為(wei) 維係電子信息係統運行的必要條件,也成為(wei) 一項不容忽視的國際貿易需求。

國際經貿協議中的數據傳(chuan) 輸規則

新一輪的貿易談判已經將問題直接指向數字貿易中的國家行為(wei) ,其中如何平衡個(ge) 人數據保護與(yu) 數據自由流通成為(wei) 一項普遍討論的議題。國際經貿談判中並未徹底否認國家以個(ge) 人數據保護為(wei) 由實施的數據跨境傳(chuan) 輸限製措施,但是這種限製措施應當被克製且遵循比例原則。多邊層麵,WTO作為(wei) 全球貿易多邊機製開始逐漸重視數字貿易,但是相較於(yu) 區域性經濟組織,WTO數字貿易規則建立相當滯後。WTO至今未能形成與(yu) 貿易相關(guan) 的數據保護和數據跨境流動原則,GATs對於(yu) 數據相關(guan) 領域的服務準入也語焉不詳。但是,該組織顯然已經意識到數字經濟對全球貿易和WTO組織的重要性,WTO總幹事Roberto Azevedo在《2018世界貿易報告》中指出,“WTO框架,尤其是GATs與(yu) 數字貿易息息相關(guan) ,並且WTO成員們(men) 已經在現有框架尋求促進數字經濟之道。”雖然WTO就電子商務(Electronic Commerce),但是如何讓數字貿易融合到現有WTO框架中,似乎還需要對“數字服務”(Digital Service)進行定義(yi) 。在GATs框架內(nei) 建立數字服務規則地想法仍然停留在學術討論的層麵。

TPP是全球第一個(ge) 針對數據本地化限製進行反向規定的貿易條約,它代表美國的數據跨境流通主張,有一定的代表意義(yi) 。TPP第14.13條明確限製“為(wei) 處理和存儲(chu) 商業(ye) 信息的計算機服務器和存儲(chu) 設備”進行本地化規定,並且限製成員國不得規定“使用本地計算設備為(wei) 前提,才能在其轄區內(nei) 從(cong) 事商業(ye) 活動”。然而,針對數據跨境流通,TPP對於(yu) “為(wei) 公共政策的目的”而限製數據跨境進行了免責,具體(ti) 免責需要滿足四項要求。上述免責事由實際上是TPP允許了成員國建立一套本地的安全港規則。但是隨後規定了具體(ti) 的免責條件。正如有學者指出,盡管TPP是首個(ge) 提出隱私和貿易關(guan) 聯的貿易協定,但是其影響也不應當被過分放大,首先它更多地代表美國利益,並且它也未能形成全球性的數據保護法規製,也沒能就現存的數據跨境傳(chuan) 輸障礙進行直接應對。TPP之後,2020年11月15日,由東(dong) 南亞(ya) 國家聯盟(ASEAN)的成員和五個(ge) 區域夥(huo) 伴的15個(ge) 國家簽署了區域全麵經濟夥(huo) 伴關(guan) 係(RCEP),這可以說是曆史上最大的自由貿易協定。RCEP延續了TPP的傳(chuan) 統,同樣規定了貿易領域下的數據流通條款,在其第12章第15條明確規定締約方不得阻止條約涵蓋的人為(wei) 商業(ye) 目的所進行的數據傳(chuan) 輸,但是也明確了締約方可以規定數據監管標準。

此外,值得注意的是,新加坡作為(wei) RCEP和CPTPP(TPP的更新版本),分別新西蘭(lan) 和智利(DEPA),以及與(yu) 澳大利亞(ya) (SADEA)簽署了兩(liang) 份數字貿易協定,並且正在與(yu) 韓國進行數字經濟協議談判。上述協議相較於(yu) 多邊自由貿易協議,它更加專(zhuan) 注於(yu) 數字經濟領域的細節問題,其除了遵守RCEP和CPTPP框架下所設定的基本權利與(yu) 義(yi) 務外,就數字經濟更加細節問題,例如數據處理、數字身份認證、受信任的數據環境等等問題做出了更加積極的探索,並且專(zhuan) 門就數字經濟所發生的爭(zheng) 議創設爭(zheng) 端解決(jue) 機製。本文認為(wei) ,這代表著數字經濟領域談判的發展方向。

專(zhuan) 門性的數據跨境傳(chuan) 輸條約失靈

在GDPR生效前,歐洲經濟體(ti) (EEA)與(yu) 美國之間的數據跨境傳(chuan) 輸是在隱私盾協議指引下進行的,隱私盾為(wei) 可進行數據傳(chuan) 輸的企業(ye) 樹立了7項數據保護要求。但在2020年7月16日,歐盟法院對Facebook愛爾蘭(lan) 公司訴Schrems一案做出裁決(jue) ,並正式確認使用為(wei) 期四年的“美歐隱私盾協議”因違反GDPR中數據跨境傳(chuan) 輸標準而無效。這意味著美歐之間不再存在政府層麵的數據傳(chuan) 輸安排,美歐數據傳(chuan) 輸雙邊機製的真空為(wei) 企業(ye) 帶來了極大的不安全感。2020年8月10日,美國商務部長威爾伯·羅斯(Wilbur Ross)和歐洲司法專(zhuan) 員迪迪爾·雷因德斯(Didier Reynders)發表聯合聲明,指出“美國商務部和歐盟委員會(hui) 已開始討論,以評估增強歐盟-美國隱私保護的可能性遵守歐洲法院7月16日關(guan) 於(yu) Schrems II案的判決(jue) 的框架。”

美國與(yu) 歐洲之間的隱私盾框架的失效意味著歐盟對於(yu) 雙邊框架的不信任以及對GDPR項下的數據跨境傳(chuan) 輸規則的堅持,這對中國而言意味著與(yu) 歐盟達成雙邊性的數據傳(chuan) 輸框架將更加困難。因應這種趨勢與(yu) 變化,中國應當一方麵完善自身的數據保護法律體(ti) 係,另一方麵應當盡快提出一套完善的數據傳(chuan) 輸機製。

四、數據跨境傳(chuan) 輸規則的立法定位與(yu) 構建思路

厘清數據跨境傳(chuan) 輸規則的立法原則和關(guan) 鍵性利益

數據跨境傳(chuan) 輸的立法原則是根據其背後的關(guan) 鍵性利益所決(jue) 定的,立法的偏向與(yu) 價(jia) 值的選擇具有高度關(guan) 聯性。數據跨境傳(chuan) 輸是貿易自由、個(ge) 人隱私和信息安全這三種價(jia) 值的權衡,其中廣義(yi) 的信息安全也覆蓋了個(ge) 人隱私。因此,如何權衡自由與(yu) 安全這兩(liang) 種價(jia) 值就是立法原則的起點。《服務創新實施方案》實際上在數據跨境傳(chuan) 輸立法原則方麵探索出一條與(yu) 網絡安全法截然的不同的路徑。首先,網絡安全法未對數據類型進行明確分類,其主要規製對象為(wei) 關(guan) 鍵信息基礎設施的運營者,對於(yu) 其他類型的個(ge) 人數據處理者如何向境外傳(chuan) 輸數據的,則未做明確規定。其次,這一點在個(ge) 人信息保護法(草案)(以下簡稱“草案”)中得到相應完善,對於(yu) 一般個(ge) 人數據處理者向境外傳(chuan) 輸數據的,草案明確了在數據主體(ti) 同意的大前提下,個(ge) 人數據處理者可在監管部門安全評估、專(zhuan) 業(ye) 機構認證、境外機構合同約定這三種方式下擇一而行,實際上給予了個(ge) 人數據處理者更大的傳(chuan) 輸自由。第三,《服務創新實施方案》提出了更加務實的數據跨境傳(chuan) 輸機製構建思路,明確了工作任務在於(yu) 數據跨境流動安全評估試點、數據保護能力認證機製、數據流通備份審查機製、跨境數據流動和交易風險評估等數據安全管理機製等機製的建立,但問題在於(yu) 上述機製仍然沒有明確建立,也沒有回答這些機製在先行法律下實際運行作用和效果將會(hui) 如何這一關(guan) 鍵問題。但至少,《服務創新實施方案》已經為(wei) 自貿區數據跨境傳(chuan) 輸機製探索明確了立法原則和關(guan) 鍵性利益,那就是更加傾(qing) 向貿易自由的數據傳(chuan) 輸機製。

框定數據跨境傳(chuan) 輸規則的規範行為(wei) 與(yu) 對象

《服務創新實施方案》僅(jin) 提出了區內(nei) 構建數據傳(chuan) 輸機製的方向,但是具體(ti) 實施細則還未落實。換言之,具體(ti) 的規範行為(wei) 和規範對象亟須框定。美國政策分析師雷歇爾在一份國會(hui) 研究服務報告中指出,“數據跨境傳(chuan) 輸即指位於(yu) 不同國家服務器中的數據之間的移動”。數據是經過數字化的信息,數據傳(chuan) 輸就是電子信息交換。數據傳(chuan) 輸就是以比特為(wei) 單位的信息在不同載體(ti) 之間,運用光電原理通過光纜、電纜、路由器等基礎設備進行交互存儲(chu) 的行為(wei) ,傳(chuan) 輸本質是信息在不同載體(ti) 中的相繼存儲(chu) ,這種存儲(chu) 可能是臨(lin) 時性的緩存,也可能是長期性的存儲(chu) 。數據傳(chuan) 輸行為(wei) 造成的結果是數據異地存儲(chu) ,存儲(chu) 的目的往往是進一步處理。進言之,數據的跨境傳(chuan) 輸勢必造成數據的境外存儲(chu) ,並且有可能造成數據的境外處理,其中存儲(chu) 和處理行為(wei) 在傳(chuan) 輸後都將發生於(yu) 境外,而脫離了本地數據法和執法機關(guan) 的控製與(yu) 管轄。因此,有學者稱,“數據跨境限製規則的根本目的在於(yu) 防止數據控製者人為(wei) 將數據轉移至數據保護法更為(wei) 寬鬆的第三國(“數據天堂”)。”另有學者指出,“對數據跨境傳(chuan) 輸進行限製措施,是建立在數據存儲(chu) 地域非法侵入行為(wei) 之間的相關(guan) 性假設之上。”存儲(chu) 是處理的前提,因此如果需要處理境外數據時,境內(nei) 的數據處理者必須首先獲得境外數據的訪問權限,訪問本身就是數據傳(chuan) 輸,因為(wei) 隻要訪問行為(wei) 一經發生,訪問端服務器向被訪問端服務器發出指令,觸發其API機製,從(cong) 而獲取數據,相關(guan) 信息則就已經緩存在訪問者的服務器之中。因此,限製數據傳(chuan) 輸,實際上就限製了數據跨境訪問,當然這種限製是有限的。但是,無論是實踐中還是法律規定中對於(yu) 這一點都沒有充分澄清,有據可查的是歐盟法院做出的Lindquist案件。

就規範對象而言,未來的自貿區數據跨境傳(chuan) 輸實施細則中的安全評估、安全認證、數據備份以及數據傳(chuan) 輸合同等機製僅(jin) 針對區內(nei) 企業(ye) 還是麵向全國也是一個(ge) 值得思索的問題。本著自貿區先行先試的政策功能,自貿區的數據跨境傳(chuan) 輸機製適用對象理應被明確限製為(wei) 區內(nei) 注冊(ce) 的企業(ye) ,這種做法一方麵縮小了機製所適用的範圍,另一方麵也為(wei) 機製鋪設更加前瞻與(yu) 大膽的改革提供動力。

明確數據監管措施的著力方向——單向限製與(yu) 雙向推動

跨境的概念本身暗含著數據出境和數據入境這兩(liang) 個(ge) 方向的數據流動,然而縱觀相關(guan) 的數據跨境傳(chuan) 輸內(nei) 國規則,出境和入境這兩(liang) 個(ge) 層麵的規製程度卻並不平衡。從(cong) 法律監管角度看,數據出境是整個(ge) 數據跨境傳(chuan) 輸規則的中心,而數據的入境則麵對較少限製。以歐盟為(wei) 例,歐盟的個(ge) 人數據保護法下,數據跨境傳(chuan) 輸規則隻規定數據出境行為(wei) ,而不規製數據入境行為(wei) 。也就是說歐盟對於(yu) 域外數據進入歐盟並不加以幹涉。

但是,世界範圍內(nei) 仍然存在部分數據入境的限製措施,其中包括強製性的數據輸入規則,典型的就是美國的雲(yun) 法案,即在法院開出搜查令時,即便是域外的數據仍然有義(yi) 務傳(chuan) 輸回美國,以供司法行政機關(guan) 進行案件調查。但是,美國雲(yun) 法案所指向的境外數據的輸入是建立在法院出具開示令狀的前提之下的,實際上並不是法律直接規定了數據跨境輸入要求,它的要求間接的來源於(yu) 法院的司法權。此外,我國也有對於(yu) 一些境外網站的訪問限製,這種訪問限製從(cong) 結果上看實際上也是限製了數據的輸入境內(nei) ,但是這種限製更多的是從(cong) 技術手段上進行規製,而不涉及法律層麵。

雖然從(cong) 物理層麵看,不同方向的數據傳(chuan) 輸雖然均屬於(yu) 數據跨境流動的範疇,但是監管一詞的含義(yi) 就意味著這種傳(chuan) 輸是被動的且具有潛在危險性的,實施數據出境的主體(ti) 對應的是國際經貿活動中的企業(ye) ,這種傳(chuan) 輸是企業(ye) 自發性的,對於(yu) 監管主體(ti) 而言,這種傳(chuan) 輸是被動的且具有潛在危險性的(威脅信息隱私及重要數據安全)。但數據取證的實施主體(ti) 一般是司法機關(guan) ,這種由外而內(nei) 的數據傳(chuan) 輸實則是主動的,且不具有可預測的危險性。綜上,本文認為(wei) ,數據跨境傳(chuan) 輸監管應當限製為(wei) 數據出境監管,對於(yu) 跨境取證中的數據從(cong) 外向內(nei) 的數據傳(chuan) 輸應當被排除在機製之外。

五、自貿區內(nei) 數據跨境規則製定原則與(yu) 可行性舉(ju) 措建議

逐步提高區內(nei) 個(ge) 人數據保護標準

以GDPR第5章為(wei) 代表的數據跨境傳(chuan) 輸規則,即以評估第三國數據保護能力的方式已經成為(wei) 主流。換言之,我國企業(ye) 要想在國際市場對數據領域有所作為(wei) ,應當逐步接受這種模式的全球化。近年來,隨著我國大力發展數字貿易平台,我國互聯網企業(ye) 在眾(zhong) 多領域已經取得較強的競爭(zheng) 力。而相較於(yu) 美國,我國在搜索引擎、社交網絡、電子商務等領域仍然存在差距,有學者總結導致這些差距的原因主要集中在三個(ge) 方麵:第一,核心技術能力,數字貿易平台操作係統和相關(guan) 核心技術仍然掌握在美國企業(ye) 手中;第二,語言和文化習(xi) 慣,主要表現在美國企業(ye) 相比較而言,語言和文化習(xi) 慣更加接近歐洲,因此能夠更加便利的進入歐洲市場;第三,對於(yu) 嚴(yan) 苛的數據保護法律的合規能力,相比而言,美國企業(ye) 能夠更好的適應歐盟嚴(yan) 格的個(ge) 人數據保護法,而我國企業(ye) 在這方麵能力相對較弱。自美歐隱私盾協議失效的背景下,美國對外貿易機關(guan) 仍然積極就數據跨境傳(chuan) 輸問題與(yu) 歐盟方麵進行協調,且在美國企業(ye) 自身發達的法律基礎和合規能力加持下,美歐企業(ye) 仍然能夠在較低水平實現其業(ye) 務的全球化,隻是將遭遇更多的罰單和困難。而問題投射回國內(nei) ,我國應當順應潮流,積極利用自由貿易試驗區這一政策培養(yang) 皿,積極探索更高的數據保護標準,以應對全球數據保護標準提高的浪潮。

區內(nei) 對標國外高規格的數據保護標準

自貿區數據保護標準的設立可以參考歐盟數據保護標準。首先,中國互聯網服務領先於(yu) 歐盟,特別是在大數據和雲(yun) 計算領域。阿裏巴巴集團旗下的阿裏雲(yun) 已經成為(wei) 繼美國亞(ya) 馬遜雲(yun) 之後的全球第二大雲(yun) 服務提供商。大大節省互聯網企業(ye) 走出去的合規成本,如果要獲取歐盟數據,企業(ye) 還是需要主動遵守歐盟規範,自貿區統一按照歐盟的保護標準,相對於(yu) 幫助區內(nei) 企業(ye) 直接獲得隱私盾認證,這一方麵可以吸引更多的企業(ye) 來區內(nei) 增加投資,以減少合規成本,另一方麵也可以提高我國企業(ye) 在國際市場中的競爭(zheng) 力。並且,自貿區中對企業(ye) 進行統一管理,自貿區甚至可以設置歐盟數據監督機製,引入歐盟專(zhuan) 家,這將大大吸引歐盟市場中的企業(ye) 使用中國提供的數字服務。

此外,就前文所提起的由新加坡等國家主導的數字經濟協定中所創設的保護標準,以及數據傳(chuan) 輸規則,也可以在創建自貿區數據傳(chuan) 輸機製過程中予以吸收與(yu) 借鑒。上述協定雖然並未形成具有代表性的國際經貿協定,但由於(yu) 數字經濟所代表的虛擬經濟占經濟加權不斷提升,這種更加全麵的數字經濟協定必將成為(wei) 主流。自貿區作為(wei) 改革試點,有必要采用更加積極和開放的政策,以應對快速變化的國際經貿環境。

構建與(yu) 完善區內(nei) 數據保護保障機製

2020年10月1日,由國家市場監督管理總局、國家標準化管理委員會(hui) 完成修訂的《信息安全技術-個(ge) 人信息安全規範》(《標準》)正式生效,這一標準第8.8條對於(yu) 個(ge) 人數據處理者建立投訴機製予以規定。但不得否認,《標準》將數據保護投訴受理權交由企業(ye) ,而疏於(yu) 建立政府層麵的數據投訴受理機關(guan) 。換言之,目前國內(nei) 仍然缺乏具有公信力的數據保障機製。本文建議,自貿區內(nei) 應當探索與(yu) 建立類似於(yu) 歐盟數據保護委員會(hui) (EDPB)這樣的監管與(yu) 保障相統一的獨立數據保護機構,用以為(wei) 數據保護所產(chan) 生的爭(zheng) 議提供保障渠道。數據保護保障機製應具有一定程度的立法權限與(yu) 執法權限,其功能需包括數據保護政策的製定與(yu) 修改、區內(nei) 企業(ye) 與(yu) 境外企業(ye) 所發生的數據爭(zheng) 議投訴處理。


首頁