1. 全球数据跨境流动国际法规制现状:四种典型模式的形成
数据跨境流动国际法规制典型模式已经从起初的三种模式,包含美国数据自由流动模式、欧盟“充分保护”模式、中国数据数据主权与本地化模式,发展到三种模式彼此交融的第四种模式,即兼容性区域协定的贸易规则演进模式。四种不同的模式反映了主权国家及区域性组织不同的本国国情、价值立场及政治考量。
1.1. 美国的数据跨境自由流动模式
美国的互联网企业在全球占据先发和主导优势,美国也能提供足够的技术对本国数据实现有效管控,基于前述优势以及最大限度追求经济及国家利益,美国坚持跨境数据在全球范围内自由流通 [1] 。
在此背景下,美国采取行业自律模式进行数据保护,通过了多部规范重要行业数据保护的法律,如1974年11月5日通过的《家庭教育和隐私权法》、1986年11月5日通过的《计算机欺诈和滥用法》、1999年11月12日通过的《金融现代法》等。但是在联邦层面,美国至今未形成联邦通用的数据保护法。此外,美国在2018年3月23日通过《澄清合法使用海外数据法》(Cloud法案) [2] ,进一步拓展管辖长臂,推动国家间的数据自由流动。
另外,美国积极通过与其他国家签署双边、多边协议,达成国家之间数据流动的制度约定。就美欧而言,美欧多次签署双边协议,促进数据在彼此之间自由流动。2000年7月,欧盟确认美国所提供的个人数据保护措施符合《95指令》要求,在此基础上形成“安全港框架”(U.S.-EU Safe Harbor Framework) [3] ,2016年7月,欧美就新的“隐私盾协议”(EU-U.S. Privacy Shield)达成一致 [4] ,2023年7月10日,欧盟委员会正式通过了《欧盟–美国数据隐私框架》(EU-U.S. Data Privacy Framework,以下简称“DPF”)的充分性决定,这是继安全港框架和隐私盾协议之后,美欧试图建立稳定的跨大西洋数据流动安排的又一次尝试。
此外,美国也积极参加数据跨境流动国际规制的建设。在美国的引导下,亚太经合组织(APEC)先后通过了《隐私框架》和《跨境隐私规则体系》(CPBR) [5] 。《隐私框架》规定了个人隐私数据保护的九大原则。CPBR规定遵守《隐私框架》的九项原则的成员国的个人数据可以在成员国之间自由流动。2015年,在美国的主导下,12个国家达成《跨太平洋战略经济伙伴协定》(TPP),TPP规定数据在成员国之间自由跨境流动,禁止数据本地化。美国考量到货币操纵的可能影响,因此在2017年退出了TPP,但TPP对数据跨境流动的影响仍在延续,现有的CPTPP就是由TPP发展而来。
1.2. 欧盟的“充分保护”与限制流动模式
欧盟历来有注重个人隐私、信息保护的传统,欧盟早将个人隐私、信息保护写入1953年《欧洲人权公约》,将个人信息、隐私保护视为人生来具有的权利。欧盟陆续颁布了不少保护数据的规定,包括《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》《欧盟个人数据保护整体方案》等,欧盟2016年的《一般数据保护条例》(General Data Protection Regulation, GDPR) [6] 更是其保护数据的典型法案,该法案影响了全球数据立法,是欧盟最具自身特征、最有国际影响力的立法之一。
GDPR深刻体现了欧盟跨境数据流动的充分保护与限制流动模式 [7] 。其中“充分性”认定条款是其立法的特色,并给许多国家立法提供了经验借鉴。“充分性”认定是指经过欧盟“充分性”认定的国家或者国际组织,即能对数据提供充分或对等保护且经欧盟认可的数据输入国及国际组织,欧盟就会将其列入白色清单内,个人数据便可以自由在欧盟和列入白色清单内的国家进行自由流动。欧盟的“充分水平保护”标准衡量主要包含数据输入国的立法及法律实施情况及数据主体的权利救济保护;是否设定独立、有效的保证规制实施的监管机构;是否积极履行国际条约等赋予的国际义务、责任。
截至2023年7月10日,进入“充分保护”白名单的国家仍属少数,包含英国、韩国、日本等15个国家。根据GDPR的规定,未通过充分性认定的国家,数据输入国的数据控制者或处理者可以通过提供适当保障措施以及为数据主体提供充分的法律应然保护及可靠的权利救济措施,包括签订具有法律效力且可执行的文件、制定符合GDPR规定的有约束力的公司规制等。另外,GDPR第49条规定了7种例外情况,即当存在第49条第一款中(a)到(g)的情形时,不需要通过充分性认定或者根据GDPR第46条采取适当的安全措施。
1.3. 中国的数据主权与数据本地化模式
基于国际贸易衍生的数据自由化模式,虽然促进了数据经济的快速发展,但是这种发展主要是局限于发达国家和信息技术优势明显的国家。对于普遍的发展中国家和信息技术不甚发达的国家,数据自由化流动不仅未能给他们带来数字红利,而且不利于其本国的数字产业发展,甚至威胁数据安全、国家安全。目前,大多数国家都通过了数据本地化措施,比如对于涉及国家安全、个人健康的重要数据规定在本国进行存储,我国就是主张数据主权与数据本地化的典型国家 [8] 。
我国数据跨境流动的有关立法呈现以《网络安全法》《数据安全法》《个人信息保护法》为核心,相关部门规章对其规定进行具体细化的规制样态 [9] ,这些法律法规的施行体现了我国的数据主权于数据本地化模式。《网络安全法》最先规定了数据跨境流动的要求,确立了原则 + 例外的模式,即关键信息基础设施运营者的个人信息、重要数据本地化存储的原则和因业务需要确需进行数据跨境传输应安全评估的例外 [10] 。《数据安全法》首次表明我国对数据安全、自由流动持认可态度,但是该部法律对数据跨境流动的具体数据范围、程序未作具体规定,仅大致规定了重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定,因此我国重要数据的出境管理办法尚待我国有关部门对此进一步作出相应具体规定 [11] 。同时,该部法律首次规定数据分级分类保护的要求,这已经成为我国目前进一步完善相关立法的基础性规定。《个人信息保护法》规定了个人信息跨境流动的相关规则,对于关键信息基础设施运营者和个人信息处理达到规定数量的个人信息处理者向境外提供个人信息应该经过网信部门的评估,对于其他个人信息出境应通过个人信息保护认证、标准合同的方式进行。国家网信办公布《数据出境安全评估办法》(以下简称“评估办法”),进一步阐述了《网络安全法》《数据安全法》《个人信息保护法》中有关数据出境安全评估的适用对象、数据跨境流动程序等问题 [12] 。2023年9月28日,国家互联网信息办公室发布关于《规范和促进数据跨境流动的规定(征求意见稿)》(以下简称“征求意见稿”)《征求意见稿》降低了数据出境的门槛,例如《个人信息保护法》规定不需要进行安全评估的个人信息需要通过标准合同、认证保护的方式才能进行出境 [13] ,但是该征求意见稿将不满1万人的个人信息排除在标准合同及个人认证的方式之外,即对于不满1万人的个人信息的出境可以直接进行出境;自贸区:自贸区自行对禁止跨境流动的数据设置负面清单,对负面清单以外的数据流动进行管理。
1.4. 兼容性区域协定的贸易规则模式
目前存在的区域性贸易协定中,包括RCEP、CPTPP等已经体现美国模式、欧盟模式和中国模式的三种模式的融合。例如美国作为强调出口导向、数字市场开放、数据自由流动的国家,其与其他国家和国际组织最新的一些贸易协定中,不论是与欧盟之间的隐私盾协议,还是USMCA,都将数据保护条款写入其中;最大的数字产品和数字服务市场之一的欧盟 [14] ,主要作为数字贸易的接收端,就数据问题上以保护其消费者权利为首要原则,但在与澳大利亚、新西兰和突尼斯的贸易协定草案中规定禁止数据本地化措施并推动数据自由流动。中国也提出促进数字时代互联互通倡议,支持加强数字经济国际合作,包括参加或加入相关区域性贸易规则的谈判,所加入的RCEP中也规定了禁止数据本地化和承诺数据自由流动。
可见跨境数据流动与数据主权之间并非完全对立的关系。就国际贸易规则的角度,主权原则主要体现为缔约方或成员方对相关领域采取监管或限制措施的自主权。基于国家同意缔结的条约,即使缔约国采取某些措施或管制限制了“主权”,该结果也是缔约国行使主权的表现。目前,在区域贸易协定的谈判中,已经逐渐形成了兼容性的贸易规则体系,例外条款的引入,是回应多价值维度的跨境数据流动成功经验。
就已形成的区域性贸易协定来看,这些区域性贸易协定通常通过电子商务章节对数据跨境流动相关内容进行约定,表明了目前各缔约国对数据跨境流动议题的重视。但是不难发现,这些区域性贸易协定对数据跨境流动的规制严格程度不一,例如RCEP比起CPTPP、USMCA,表现出对缔约各国数据跨境流动方面更宽范围的尊重,该协定规定缔约方不得将计算设施本地化,不得阻止缔约国之间数据跨境流动,但是规定了公共政策目标(legitimate public policy)及基本安全利益(essential security interests)的例外,并且基于安全利益的例外,限定为缔约方认为该措施是为了保护其基本安全利益,该措施就不视为违反协议规定。这表明,缔约各国最大程度尊重缔约各方本国的数据跨境流动政策,实际上将数据跨境流动措施是否合约的决定权交由缔约各方。总之,RCEP作为区域贸易协定最终生效,展现了在不同发展水平的缔约方之间,能够达成贸易规则,适用于兼具经济因素和非经济因素的跨境数据流动。
2. 数据跨境流动国际法规制的主要问题
数据在全球流动过程中,基于不同的数据理念,各国普遍采取不同的数据跨境规制方式,导致数据跨境流动国际化规则出现巴尔干效应,主权国家及区域组织的管辖权出现扩张趋势,另外,数据跨境流动国际法规制还存在国际规制的效力有限及国际合作的缺失的问题。
2.1. 数据跨境流动规则的“碎片化”趋势
全球数据跨境流动秩序的分裂早已不是新现象 [15] ,全球数据跨境流动规则呈现碎片化特征,即不同国家或地区之间关于跨境数据治理的政策法规各成体系并不相互兼容。王硕认为出现碎片化的原因在于数字资本主义与数字社会主义之间的较量导致全球数字治理主体难以调和等原因 [16] ,刘芳芳认为数据跨境流通因为各国价值取向、政治选择以及制度差异导致数据跨境规制的碎片化;黄家星认为,数据跨境规则碎片化主要是数字经济发展水平存在差异、监管目标的多样化、数字技术的政治化、数字保护主义的影响、数据管辖权的扩张 [17] 。正如马克思1859年出版的《政治经济学批判》中指出:“人们在自己生活的社会生产中发生一定的、必然的、不以他们的意志为转移的关系,即同他们的物质生产力的一定发展阶段相适合的生产关系。这些生产关系的总和构成社会的经济结构,即有法律的和政治的上层建筑竖立其上并有一定的社会意识形式与之相适应的现实基础。物质生活的生产方式制约着整个社会生活、政治生活和精神生活的过程。” [18] 因此,本文认为数据跨境流动规则出现碎片化特征是目前各国的经济水平差异决定的,当然各国的价值理念、技术水平等也深刻的影响着数据跨境规则碎片化特征的形成。
数字经济的发展往往与一国的经济金融发展水平密切关联。数字经济指数的平均水平从高收入国家、中高收入国家、中低收入国家和低收入国家依次递减 [19] 。目前,欧盟、美国、英国等发达国家是数字经济国际合作的主要参与国和规则制定者。一国数字经济国际合作参与程度与数字经济发展水平整体呈现正相关,但仍存在数字经济发展与国际合作不匹配的情况。数字经济发展靠后国家正在努力通过数字经济国际合作来提升本国数字经济发展水平。其次,各国对跨境数据流通也秉持着不同的价值取向。以美国为代表的数字经济强国在积极促进数据跨境流通,他们看到了数据为经济发展所提供的重要支撑推动作用。以美国的苹果、微软、谷歌等科技巨头为例,这些企业作为全球数字产业引领者,对数据跨境流通便利有着迫切需求。以法国为代表的部分欧洲国家虽然也希望通过数据跨境流通促进数字经济发展,但鉴于数据安全问题,对待数据跨境流通持中立性或者“观望性”态度。再次,各国数字技术存在差异也是形成碎片化的重要原因之一。各国政府进行限制、监控数据流动主要是依托以网络技术为核心的新兴技术,而通行的滞后的法律政策往往给网络空间治理形成障碍,并进一步限制各国监管机构发挥职能 [20] 。新兴技术的向前发展促进了数据、信息等生产要素跨境流动,大多数国家为了应对这一新局面,都在加快提升本国信息技术水平和网络治理能力。但在网络空间领域,互联网巨头通常拥有更强大的治理权力、更迅速的处理能力、更有影响力的惩罚机制 [21] ,各国政府也注意到了这个现象,因此纷纷出台了不少法律政策来加强对互联网电商平台、社交平台以及其他在线平台的监管,捍卫政府在网络空间的绝对控制力与主导力。
基于各国经济实力的不同,以及各国在自身经济实力基础上形成对数据形成的价值立场、互联网技术差异,各国对数据跨境流动进行不同的法律规制,比如设置不同的数据出境规则,国内与国外或者区域协定成员国范围内与区域协定成员国外的第三方的法律规则不相兼容,因为自身主权安全考量禁止数据出境等。这些规则造就了数据跨境流动规则之间的差异与冲突,全球数据跨境流动体系也难以大范围进行兼容。
2.2. 长臂主义下的数据跨境流动引发的管辖冲突
域外立法管辖权是牵涉国际法律规范、外交礼仪等因素的复杂问题,绝大多数主权国家会对其形成和适用采取克制态度 [22] 。但在个人数据跨境传输领域,为了抢夺数字资源,以美国为典型的在霸权主义和单边思想指导下的国家将国内法中跨法域管辖的实践延伸至跨国事务中,对域外立法管辖制度进行随意的“长臂化”改造,单方面将国内法的适用范围扩展到全球之中。
美国加入APEC“跨境隐私规则体系”(CBPR),深化、巩固了自己作为全球最大数据流入国的地位。美国颁布的CLOUD法案实现了自己对全球数据市场管辖的进一步扩张。在CLOUD法案中,美国提出了两大数据管辖原则。其一,只要数据的所有权被美国控制,美国就拥有对其的管辖权,而不论该数据的储存地在不在美国本土领域内。其二,基于国际对等原则,如果外国政府想要获取美国政府实际控制的本国境内的数据本国境内,那么当美国政府存有相同需求时,外国政府也理应同意。另外,美国有权单方面关闭他国境内但是由美国直接控制的数据的获取通道。欧盟区域内效果管辖模式与美国类似,欧盟也在2018年跟进了数据信息的保护立法,推出了GDPR法案,其最大特征为在数据跨境传输规范中添加了个人数据信息保护的标准。GDPR法案一方面为出境数据设定了最低保护标准,另一方面实现了欧盟数据保护的域外扩张。在实践中即使通过了欧盟的数据安全评估,出境后的数据仍然不能低于GDPR法案设定的最低保护标准。如此一来,出境数据仍然受到欧盟的管辖,因为数据进口国仍然受制于GDPR法案。这种基于个人基本权利的最低保护标准,实现了欧盟数据保护管辖权的变相扩张。
面对美欧的长臂管辖,一些国家通过完善本国数据跨境流动的法律体系、将重要的数据存储在本国境内、加强违反数据保护规定的处罚力度、颁布本国的阻断条款等方式应对,这些措施具有一定创新性与借鉴价值,为国际上大多数主权国家反对长臂管辖提供一定启示意义。
2.3. 数据跨境流动国际规则的效力有限性
跨境数据流动国际规制体系若要达到国际数据有效治理的作用,不仅仅依赖于明确具体的规则标准依赖于具体明确的规则标准,也需要已缔结签署的规则标准的切实执行,有规则不执行,或者执行未达到既定的效果,那就无法达到数据跨境全球治理的目标。
WTO规则体系涵盖了几乎所有贸易问题,并且其自带的“硬法”性质、自带的争议解决机构(Dispute Settlement Body, DSB)、强大的可执行性让其理所应当成为数据跨境流动争议解决的首选机构。WTO在1988年就设立了电子商务(E-commerce)工作组,该小组是基于WTO当时意识到数字技术发展的重要性,试图推动贸易规则的发展而成立。不过20多年以来,WTO对数字技术相关的贸易规则的推进仍显缓慢,几乎没有任何收获。
当WTO无法及时有效回应数字贸易的现实需求时,各国便绕开了WTO的约束,出于个人信息保护、促进自由贸易、维护国家安全等不同侧重点,通过单边法规、双边或区域性贸易协定的方式形成规制跨境数据流动的法律框架,呈现出多层次的贸易规则模式。但是目前由于各国理念的不同,无法实现制定统一规则,因此也无法构建国际数据流动治理框架,确定有效可执行的规则。WTO未能应对数据带来的国际治理难题,各国也尚未形成统一、明确、可供执行的治理规则,因此,现行国际规则效力限制了全球跨境数据流动。
2.4. 全球数据跨境流动监管合作的缺失
数据跨境流动风险监管面临数据主权、数据价值等多方面利益的权衡,若要绝对的数据主权,便极大可能损害数据的价值。另外,由于数据本身与技术结合,流转过程中较为隐蔽,更进一步加深对其监管的难度。
当前跨境数据流动国际监管合作缺失,主要是因为以下几个原因导致的。第一,各国数据规制立法存在差异,总的来说,60%的国家通过立法形式对数据流动进行了规制,但是还是有30%的国家未重视数据流动问题,未对数据流动进行任何规制,还有10%的国家立法规制尚处于立法草案起草阶段。第二,各国保护数据的意识存在不同。例如美国为代表的国家主张数据自由流动,欧盟将个人数据保护放置在人权保护的地位。第三,各国合法数据跨境流动方式存在一定差异,例如美国规定了严格的个人负责的“问责原则” [23] ,欧盟实施GDPR中的充分性的保护规则,我国《个人信息保护法》通过“告知 + 同意”的方式对个人信息跨境提供的规则做出规定等。各国数据规制内容存在不同,也导致国际监管合作缺失,一定程度上阻碍了数据自由流动,给数据价值的有效利用,数据产业的进一步发展形成障碍。
跨境数据流动的趋势不可逆转,国家出台相关法律政策进行规制是确有必要的,但是统一的跨境数据流动国际法规则尚待制定,全球性监管机构也尚待建立。目前数据跨境流动缺乏国际间的监管与合作,加上跨境数据流动本身的开放性和跨边界的特性,构建一个全球性监管机构制度来进行规制成为破不容缓的任务 [24] 。若只是依靠某一个国家的力量去解决跨境数据流动中的监管问题是不现实的,数据跨境流动需要全球共同管理、出谋划策,齐心协力共建国际跨境数据流动监管制度。
3. 数据跨境流动国际法规制的完善与建议
3.1. 提高数据跨境流动规则的兼容性
数据跨境流动体系以美、欧为典型代表,并呈现不同的特点。美国CBPRs体系,以自愿为原则,为数据跨境流动设置较低的限度条件,但是其评估合规流程对于成员国的小企业而言,成本较高,据统计,截止到2016年,也只有24家美国公司和3家日本公司完全加入了CBPRs体系。1欧盟的GDPR体系极大的保护了数据安全,但是其严苛的条款内容,大多数国家无法满足其要求,而且有阻碍数据自由流动的嫌疑。
各国的经济实力、价值立场等因素导致各国对跨境数据采取不同的规制战略,也由此难以形成全球统一的跨境数据规制体系,但是为了发挥数据的最大价值,维持数据安全、有序的在全球流动,让各国都能平等享有数据流动带来的福利,各国应树立正确的数据跨境流动理念,即在维护国家主权、数据安全的基础上尽最大可能促进数据自由流动。因此在制定及完善本国数据跨境流动法律体系时应注意国际法与国内法的衔接,提高国内立法的兼容性。各主权国家或者区域组织也应积极寻求其他主权国家与区域组织的合作,通过区域协定,适当将部分话语权、主导权让渡给覆盖面广、立场比较中立的组织机构,组织机构通过分析成员国数据流动的立场、原则及规制体系,重视对数据技术、个人隐私、信息安全等的研究,创建具有普适性、底线性的数据跨境流动框架,形成数据跨境流动全球治理的底线标准,提高多边治理模式的广泛适用性。
3.2. 解决跨境数据流动中的管辖冲突
国际社会的反复实践过程中塑造了属地管辖权优先制度,“平等者之间无管辖”理念与由此发展起来的主权豁免制度,深刻体现并实际贯彻了国际法上国家主体之间互相平等,互相尊重,互不干涉他国内政的基本原则。国际法上的概念、制度等都是当时客观环境下的产物,它们并不是一成不变、不可更改的,从当前国际社会发展来看,国际法的一些规则已经根据实践的发展做了相应的调整,如普遍管辖制度突破了原有的属地管辖制度,保护性管辖制度又进一步突破了属地管辖制度。数字时代进一步发展,已经极大偏离原来的工业时代,面临数据跨境流动产生的新问题,比如本国数据控制着在他国控制他国公民的数据,本国是否对该国数据控制者存在管辖权,如果适用属地管辖,本国数据控制者不存在管辖权。但是美国在此种情况下,仍旧确认自己享有管辖权,将管辖权的范围扩展至他国领域内,此为国际社会广为诟病的长臂管辖。但是我们也应认识到,时代是不停向前发展的,数据的跨境流动已经成为不可逆转的潮流,如果一昧以既有的管辖规则来处理数据跨境流动产生的各种问题,有可能无法管辖本国企业、个人在境外的活动,保护中国本国企业、个人在境外的合法权益,预防和惩治他们在国外的犯罪行为。
因此,对待长臂管辖的两种极端态度,一是盲目进行排斥,不对长臂管辖的目标、措施内容和实施效果进行考察分析,仅仅因为其突破了传统的属地或者熟人管辖权,就将其简单视为霸权主义。二是将长臂管辖模式当成一种理想模式,认为世界主权国家都应该照搬美国模式。但是多年的国际实践中,我们不难看出,以美国为首的发达资本国家为了自身短期、片面的利益,可以任意确立单边标准,若该标准不符合其本国利益了,就即刻确立新规。因此,我们面对长臂管辖不应步入前述两种观点的极端,应切实思考分析长臂管辖出现的缘由,看清其合理性与存在的弊端,才有可能更为充分、理性、积极的面对长臂管辖带来的问题。
欧美的长臂管辖,肆意扩张了域外管辖的范围,实际构成了滥用法律实力,进一步展示了其法律霸权的面孔 [25] 2,但是对于广大发展中国家而言,数字时代的发展既是机遇又是挑战,若一味桎梏于原有的管辖原则,可能无法在国际交流愈加频繁的国际社会维护好本国的合法利益。因此,主权国家不仅应该采取对话、协商,制定跨境流动数据管辖的标准范式,以我国为代表的发展中国家,也应摈弃被动防守姿势,主动完善本国相关的管辖规定,包括立法适用范围、司法管辖,行政管辖,主动规划攻防齐备的涉外管辖法律体系,有效维护国家的主权、安全与发展,为构建和进一步发展合理公正的国际法治体系贡献自身力量。
3.3. 打破数据跨境流动效力壁垒
过去的十余年,国际社会思潮从最初的“自由化”走向“本地化”、再有限回归“自由化”。3数据本地化即将目前对数字世界存在关键作用的数据限制在一国领土范围内,4采取数据本地化的国家通常要求特定数据存储在境内,并进行相应的处理、管理,而拒绝将这些数据向其他国家、地区进行传输。对于限制本国数据外流,各国的出发点不一,但是主要包括发展本国数字产业,保护数据安全、维护国家主权利益的考量 [26] 。5
我们应当看到,如果一个国家过分依赖数据本地化模式对跨境数据流动进行规制,不可避免造成数据“孤岛化”,不利于本国数字经济的发展,长久以来恐无法享受数字跨境流动带来的发展红利。同时,包括CPTPP、RCEP等区域协定都制定了缔约国之间数据自由流动的规则,严格限制数据外流不利于数据的有效交换、流通,也不利于各国开展国际合作。另外,从有效打击犯罪角度看,超过限度的数据本地化模式不利于跨境电子取证,也不利于全球化跨境电子数据调取通道的形成。另外美欧为代表的长臂管辖完全可能打破这种模式对数据保护的规定,因此,一味依赖数据本地化模式无法实现数据安全和主权危机。
但是各国目前主要是通过单边法规、双边或者区域性贸易协定的方式来促进数据在更大范围内安全流动,但是单边法规主要是主权国家根据本国国情进行制定,不具有普适性,而且有可能与别国的数据管辖权冲突。双边或者区域性协定规范内容不一,对数据跨境流动限制的程度不一,满足其中规范约定并通过加入申请的国家并不算多,这极可能造成数据资源在少数国家自由流动,而广大发展中国家难以获取到数据资源。
多边贸易规则可以极大程度促进国际贸易自由化,这是不容忽视的客观事实。因此,我们可以以当前数字贸易现状为鉴,逐步完善数字贸易规则,将双边及区域贸易协定中的可靠方案吸纳到多边谈判中,并且积极听取广大发展中国家的意见,综合考量各国共同关切,建立数据跨境流动框架协议,促进数据跨境有效流动。对于我国来讲,中国加入RCEP一定程度上提升了国家贸易开放程度和水平,促进了贸易自由化,我国在国际社会中应更加积极加入区域协定,将平等互利、独立自主等观念传达给各缔约国,促进更加公正、平等的多边数字贸易规则的建立。
3.4. 加强数据跨境流动国际监管
风险不可避免,但应尽最大可能进行控制。风险贯穿于数据跨境流动的全过程,因此对数据跨境流动的监管也应贯穿于数据跨境流动的整个过程。在数据进行跨境前,应将数据进行分级分类,考虑到维护国家安全和个人、企业利益的不同关切,根据风险程度匹配不同的监管措施,进行类型化监管。在数据跨境流动过程中,应通过技术手段保证数据的安全流动,并且强调数据控制者及监管机构的责任,如发生数据泄露等问题,应及时进行补救,并追究过错方的责任。数据跨境流动后也要做好事后监管,保证数据的合理合法合约使用,保证数据安全。数据跨境流动离不开各国的通力合作,因此应极力构建数据跨境流动监管的框架体系,合力促进数据跨境安全流动。
主权国家应尝试设置第三方监管部门,提高对跨境数据监管的效力。欧盟为了监控数据跨境流动的合规性,对外创设DPO,对内设置EDPS,日本、韩国也设置独立的委员会对数据跨境流动进行监督。因此,各国设置以独立机构为依托的第三方监管措施,有利于主权国家、区域组织之间进行数据跨境流动的共同监管,节约监管的成本,提高监管的效率。
日韩也设置独立的委员会对本国个人数据信息的传输进行监督。在对实际数据控制者赋予监管权力的同时,也可设置“双重保险”,对各行业的数据处理者进行监管。作为金融业信托制度的起源国,英国引入全新的第三方机构进行数据管理,试图借助建立数据信托框架下的“数据信托机构”这一更前沿的方式,对哪些主体在何时何种情况能够实施跨境访问、读取、传输数据等行为进行监管。各类以独立机构为依托的第三方监管模式,将最大限度满足跨境数据流动规制较为严格的国家的需求,加快不同理念的国家间跨境数据流动规则的融合进程,为跨境数据执法管辖提供可靠依据。
4. 结语
虽然海量数据的自由流动与开放共享在技术上可以实现,但是数据要素的跨国境流动对国际利益分配格局、国家安全与网络安全、数据主权以及个人隐私等诸多方面的深刻影响尚难估量。各国价值立场不同、法律规制也不同,这成为全球数字贸易治理规则形成过程中的最大变量,为此对数据跨境流动的国际法规制提出相应的解决方案是本文研究的意义所在。
NOTES
1GRAHAM G. Japan joins APEC-CBPRs: does itmatter? [J]. Privacy Laws & Business International Report, 2016, 12(1): 18-21.
2魏磊杰. 全球化时代的法律帝国主义与“法治”话语霸权. 环球法律评论, 2013, (5).
3跨境数据流动规制的自由化与本地化之辩, 邵怿.
4Adrian Shahbaz. Fake News, Data Collection, and the Challenge to Democracy. Freedom on the Net 2018: The Rise of Digital Authoritarianism. Freedom House (2018).
5陈咏梅, 张姣. 跨境数据流动国际规制新发展: 困境与前路[J]. 上海对外经贸大学学报, 2017, 6.