1. 引言
在互联网科技迅猛发展的进程中,跨境数据流动活动频率急剧攀升,数字化时代已然悄然而至。数字经济在推动国家经济发展方面发挥着不可或缺的重要作用,数据对于贸易、投资、金融结算等诸多领域都至关重要。然而,数据流动在带动国家经济快速发展之际,也伴随着一定的安全风险。因此,各国政府将关注点聚焦于跨境数据的流动之上,通过立法强调对可能危及个人隐私、公共秩序以及国家安全的跨境数据流动进行规制。欧盟和美国的跨境数据行业起步较早,发展相对成熟,构建了符合自身国情且具有自身特色的跨境数据流动规制模式。我国目前已经初步构建起跨境数据流动规制体系,其中涵盖了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》等法律规章。为了满足自身对安全和经济效益的追求,各国政府所采用的跨境数据流动规制模式不尽相同。然而,我国的跨境数据流动行业起步相对较晚,跨境数据流动规制体系存在诸多隐忧,数据的流通仍然不够顺畅,国内法与国际法的对接面临着一定的困境。借鉴欧美国家规制跨境数据流动行业的举措,我国在跨境数据安全需求与高效流动之间构建平衡的空间格局,学界针对此已经展开了多方面的研究。
我国跨境数据流动的规制模式与开放水平是其中一项内容。学者黄森等[1]对RCEP15个成员国在2010~2020年期间的数字贸易数据予以分析,测算并比较研究了RCEP国家的跨境数据流动限制指数,得出如下结论:跨境数据流动限制水平的高低与一个国家的经济发展水平呈正相关,与区域内一个国家的信息通讯发展水平呈正相关,且与该国跨境流动限制政策存在具体关联。有学者对我国跨境数据流动层面存在的部分问题进行了分析[2]。例如,我国在这方面缺乏专门立法,相关规定分散于不同层级的法律法规及规章之中,体系性欠缺且操作性不强;存在监管能力匮乏、缺乏专门执法机构的情况;数据保护标准较低,并且缺少第三方认证机构等问题,同时也给出了相关建议。卓子寒等[3]依据个人金融信息的特殊性、信息跨境传输风险以及相关法条规范展开分析,指出我国个人金融信息跨境流动规制面临诸多困难。鉴于个人金融信息具有双重属性,且数据跨境流动涉及不同法域等特点,进而提出构建个人金融信息跨境流动促进与规制路径的解决办法。从DEPA的视角出发,借助理念引导、推进监管以及完善我国法律法规等方式[4]。跨境数据流动法律规制体系的规范化,关键在于协调数据安全保障与数据有序流动之间的关系[5]。审视我国在参与数据跨境流动时面临的国际规则挑战,随着我国数字经济的发展,应及时调整并完善国内法律,以更好地与国际协定相衔接,提升我国跨境数据流动规制模式的国际影响力[6]。我国的跨境数据流动制度总体上符合CPTPP规则,能够与相关国际多边协定进行适度衔接[7]。综观当下各国国内法中跨境数据流动的不同规制以及国际条约里与跨境数据流动有关的规则,归纳出跨境数据流动规则呈现出如下发展特点:以国内法规制为主、规制目标具有明显的倾向性、约束力的有限性、规则欠缺实际操作性[8]。
本文以解构我国跨境数据流动规制体系为基础,对我国国内立法以及国际法的现状特点加以归结,进而剖析我国跨境数据流动规制所存在的问题。明确欧美国家在规制跨境数据流动领域逻辑背后蕴含的价值理念,正视我国跨境数据流动规制可加以完善之处,推动与CPTPP、DEPA等相关国际多边协定对接方案向前发展。经由完善我国跨境数据流动的规制,为我国在跨境数据安全需求和高效流动之间寻求平衡格局提供方案,以促使中国跨境数据流动规制法律体系的升级。
2. 跨境数据流动规制概述
2.1. 跨境数据流动规制的概念
国家借助制定法律规范以调整跨境数据流动,此类法律规范被界定为跨境数据流动规制[1]。不同的制定主体对应着跨境数据流动规制的不同类型,具体可分为单边规制与多边规制。为满足一个国家或地区内部对于跨境数据流动的需求,构建跨境数据流动单边规制不失为一种有效的管理方式,其通过制定法律法规或者规范性文件来保障跨境数据流动的安全性与有效性。就单边规制而言,我国跨境数据流动规制体现于一系列分散性的法律规范之中。《民法典》第127条明确了数据保护的重要意义;《网络安全法》第37条规定国家应对关键数据和信息出境开展安全评估,从而确保数据安全;《数据安全法》第10条着重指出我国应积极参与国际数据安全规则和标准的制定工作,以推动数据安全、自由地流动。1967年,美国的《信息自由法》为公民的信息安全、数据知情权以及特殊类型信息资料的保护制定了相关规制;2018年,《澄清境外数据的合法使用法》明确规定,美国公司必须依据法律规定,向政府提供其存储于境内和境外的数据。
欧盟和美国是跨境数据流动领域主要的多边规制主体,在该领域具有重要意义。欧盟堪称首个以多边规制规范跨境数据流动的国际组织。1995年欧盟颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(95号指令)确立了“充分保护原则”,为跨境数据的安全流动提供保障。2018年,欧盟发布《通用数据保护条例》(GDPR)以取代《95号指令》,GDPR无需转化就能直接在欧盟各成员国生效适用。GDPR为数据主体赋予更多权利,还新增数据类型、数据跨境转移方式和数据保护专员制度等内容。美国在跨境数据流动多边规制方面占据着极高的主导地位。隶属于亚太经合组织(APEC)的《跨境隐私规则》(CBPR)在序言部分体现出促进数据跨境自由流动的理念。之后,尽管美国最终退出《跨太平洋伙伴关系协定》(TPP),但与跨境数据流动相关的法律规则仍被纳入后来的《全面与进步跨太平洋伙伴关系协定》(CPTPP)。在《美墨加协定》(USMAC)中,美国依旧处于至高地位,通过USMAC,三国间的数据与信息得以顺畅流动。
2.2. 跨境数据流动规制的意义
在信息技术高速发展、全球数据互联互通的当代,跨境数据的频繁流动已然成为信息、资料、技术等现代要素全球化进程中的必然结果。跨境数据流动规制有其特殊的规制对象,即跨境数据,这与一般规制对象有所区别。跨境数据不同于石油等稀缺资源,其属于流动性财产。跨境数据不具备排他性,对不同主体具有各异的价值,并且其价值会随着时间推移而逐渐降低。跨境数据流动所产生的经济效益是不言而喻的。企业通过搜集跨境数据,并在信息交互、推送、物流运营等环节实际运用这些数据,能够有效削减经营成本。跨境数据流动有助于企业以低成本开发潜在的全球市场,并且借助跨境数据流动平台,全球范围内的生产要素资源得以整合优化,进而推动生产的全球化进程。此外,跨境数据流动能够有效地拓展海外用户群体、增强跨境数据相关平台的经济活力,激发科技与产业创新成果,促使产业焕发新的活力。在当今数字经济时代,数据犹如“石油”和“水”,为各国的经济发展提供了强有力的支撑。然而,随着全球化进程的不断加速,数据跨境流动不仅牵涉到个人隐私安全,更与国家安全息息相关,因此制定有效的法律规则已然成为各国发展战略中的关键所在。大数据将网络空间与现实世界紧密相连,在数据收集、加工、使用和存储等各个环节,均存在信息安全隐患,而国家安全与网络安全是紧密不可分割的。
有序的跨境数据流动对于我国达成国家数字安全、开拓新型开放格局而言,是极为关键的一步。跨境数据流动规制体系不仅被视为衡量我国综合实力的重要指标,更是在未来全球竞争格局里不可或缺的关键组成部分。我国有必要转变旧有理念,破除那些限制跨境数据流动产业发展的传统规制,以开放、包容且自主的态度,积极投身于国际数据治理体系的构建工作之中。除此之外,完善我国跨境数据流动规制有助于规整行业乱象,化解跨境数据流动过程中存在的问题,从而构建一个更为完备且契合我国国家利益的规制体系;这有利于极大地提升跨境数据流动的运行效率;有助于跨境数据实现其最大的经济价值,充分挖掘跨境数据的经济潜力,进而推动我国经济发展,保障国家安全。
3. 我国跨境数据流动规制现状
3.1. 我国跨境数据流动规制的国内立法现状
近几年来,我国立法机关相继颁布了《网络安全法》《数据安全法》《个人信息保护法》等一系列法律;国务院也出台了《地图管理条例》《人类遗传资源管理条例》《征信业管理条例》《关键信息基础设施安全保护条例》等行政法规;国务院各部委则出台了《数据出境安全评估办法》《电子银行业务管理办法》《汽车数据安全管理若干规定》等部门规章。至此,我国初步构建起跨境数据流动规制体系,其国内立法现状呈现出如下几个特点:
第一,在跨境数据流动规制的立法理念方面,数据本地化备受强调。我国制定了一系列法律规范来保障跨境数据安全。针对跨境数据的自由流动,我国总体秉持较为审慎的态度。
依据《网络安全法》规定,个人信息与重要数据应在本地存储,且在必要情形下,只有在经过安全评估之后,方可向境外传输。《数据安全法》按照“核心数据”“重要数据”以及“一般数据”等概念,对数据予以不同等级和类别的划分,并制定出差异化的跨境流动管理规则。《个人信息保护法》根据数据使用者自愿原则,构建起三种个人信息跨境流动机制。综上所述,我国跨境数据流动规制立法理念呈现出偏重于数据本地化而非数据自由化流动的特点[2]。
其次,跨境数据流动规制内容的制定日益详尽。《网络安全法》第31条运用列举与概括相结合的立法模式对关键信息基础设施范围予以定义,然而,其第37条既未明确界定重要数据,也未清晰规定安全评估操作的具体步骤。《数据安全法》针对数据的跨境流动作出了更为明晰的分类规定,增添了数据贸易对等反制措施,并且增加了数据出口管制的相关规定。《个人信息保护法》更为详尽地规定了个人信息处理者的告知义务,明确了个人信息出境的方式,针对个人信息的境内存储和境外提供均作出了相关法律规范,同时构建了跨境黑名单制度。由此可见,我国跨境数据流动规制内容的制定正朝着越来越详细的方向发展。
跨境数据流动规制所涉领域日益多元化。《保守国家秘密法》《反恐怖主义法》《网络安全法》《国家安全法》以及《电子商务法》等法律,均对跨境数据流动监管提出创新管理、提升服务便利化的要求。而《证券法》《出口管制法》《生物安全法》《数据安全法》《个人信息保护法》等法律,分别涉及电子商务、证券、技术数据出口、生物安全、数据安全、个人信息等多个领域,这表明我国国内相关立法规制所涉及的领域正朝着多元化的方向发展。
跨境数据流动规制的可落实性日益增强。在我国,早期的跨境数据流动规制存在法律责任落实不力的情况。自2018年起,我国陆续出台了诸多新的法律规范用以规制跨境数据流动,其中,《个人信息保护法》与《数据安全法》以及其他法律法规,均对违反国家数据安全的行为作出了规定,涵盖警告、责令改正以及罚款等处罚措施。若行为情节严重,主管部门将处以暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照等处罚。而对于触犯刑法的行为,有关部门会依法追究刑事责任。我国以《个人信息保护法》《数据安全法》等法律为核心的国内立法规制体系尚处于不断建立与完善之中,并且对规范我国跨境数据流动发挥着显著的作用。
3.2. 我国参与国际条约中跨境数据流动规制的现状
3.2.1. 双边协定中的跨境数据流动规制
近年来,我国签署的部分自由贸易协定已着手对电子商务与数据流动予以规范。截至2023年7月,我国已同26个国家和地区达成了19个自由贸易协定。从章节设置来看,多数自贸协定涵盖了电子商务章节,然而,我国与马尔代夫、格鲁吉亚、瑞士、冰岛、哥斯达黎加、秘鲁和巴基斯坦等国签订的自贸协定尚未包含此类内容。从条款设计的视角出发,电子商务章节通常涵盖9至11个条款,其正文大致可被划分为四个类别:其一为目标、定义等适用性规则;其二是关税、透明度与合作;其三为电子认证、无纸贸易等数字互认;其四为争端解决。例如,《中韩自贸协定》第十三章的“电子商务”章节共包含九项规则,具体有一般条款、与其他章节的关系、海关关税、电子认证和电子签名、电子商务中的个人信息保护、无纸贸易、电子商务合作、定义、争端解决不适用等内容。这些条款的目的在于推动自由贸易协定的施行,进而保障双方的利益。在关税方面,中国和韩国将持续遵循世界贸易组织的惯例,不会针对电子传输征收任何形式的关税,并且要求双方采纳或者采取必要措施以保障电子商务参与者的个人信息安全。此外,在《关于修订〈中国—东盟全面经济合作框架协定〉及项下部分协定的议定书》《中国—秘鲁自由贸易协定》以及中国与新西兰签订的自贸协定等少数未设置电子商务章节的自由贸易协定中,也对电子商务进行了规制。
3.2.2. 多边协定中的跨境数据流动规制
我国积极参与的涉及跨境数据流动的多边协定主要为《区域全面经济伙伴关系协定》(RCEP)。RCEP的签署打破了欧美主导的区域贸易一体化进程,构建起全球规模最大的自贸区,这有助于RCEP的15个成员国维护自身数据产业利益。在RCEP中,第8章“服务贸易”与第12章“电子商务”均包含对跨境数据流动予以规制的条款。鉴于RCEP成员国之间在数字经济的发展水平和规模方面存在显著差异,RCEP积极推动各成员国间开展合作,秉持开放的理念施行数据自由安全流动原则,从而实现跨境数据的自由流通,并且对数据本地化进行限制。其中,数据自由流动为基本原则,而限制数据流动则属于例外情况。RCEP鼓励跨境数据自由流动,即便在较为敏感的电信信息、金融信息领域也秉持开放态度。
从文本内容来看,RCEP中的“电子商务”一章第4节第14条、第15条分别针对禁止实施数据本地化以及确保电子信息跨境传输的自由作出规定。同时,RCEP设定了一项基本安全例外条款以约束跨境数据流动,必要的措施由数据流出国判定,其他成员国不得对此持有任何异议。这一安全例外条款在实质上赋予了成员国更为宽泛的限制跨境数据流动的权利。然而,RCEP在对“基本安全利益”“公共政策目标”等概念的阐释方面缺乏明确性,存在一定的模糊性和自裁性,因此,它被视为一项“动态”的国际法规制,要求各成员国在遵守善意原则的前提之下,行使自由裁量权。
RCEP未对各成员国设定任何强制性义务,这一特性实则体现了其在数据保护与自由流动方面兼顾的价值追求。RCEP充分考量各成员国发展水平的差异,各成员国在数据本地化存储方面的执行程度不尽相同,以此满足各国需求。例如,澳大利亚的《个人控制电子健康记录法》明确规定,部分个人电子健康信息必须于当地数据中心存储、加工与处理,以确保符合澳大利亚的标准,此为澳大利亚施行的最为严格的数据本地化举措。韩国的《个人信息法》规定,向国外传输个人信息必须获得信息主体的明确许可,否则将被视作对隐私的侵害。马来西亚的《个人信息保护法》明确指出,未经马来西亚政府许可,个人信息不得向马来西亚境外转移。RCEP的此类规定有助于减少各成员国国内法律与RCEP规则之间的冲突。
针对日益突显的“长臂管辖权”问题,RCEP采取了一系列行之有效的措施。RCEP规定,在成员国境内,金融服务提供商为开展日常业务而进行数据转移时,该成员国不得予以阻止或妨碍;不过,金融服务提供商不能利用其他途径传递与处理非经营所需的信息,包括不能借助中介机构或其他方式进行。RCEP还规定,在刑事诉讼中提供的证据信息,需通过外交渠道或者依据成员国政策来获取信息。RCEP的上述规定,为解决“长臂管辖”问题提供了全新的思路,有助于各成员国更好地应对挑战。
RCEP在跨境数据流动规制方面与CPTPP、USMCA在一定程度上存在趋同现象。当某一条款趋于统一并在国际上得到广泛认可,成为一种对其他国家具有约束作用的制度时,便有可能演变为具有普遍约束力的国际习惯,进而发展成为国际习惯法,这对于跨境数据流动的国际治理体系构建具有重要意义。
4. 我国跨境数据流动规制存在的问题
4.1. 立法层次较低
在当前我国,跨境数据流动规制立法处于持续更新的进程之中。不过,我国已颁布的多部高位阶法律,像《民法典》《网络安全法》《数据安全法》《国家安全法》以及《个人信息保护法》等,其中涉及调整跨境数据流动的条文数量偏少。《网络安全法》与《数据安全法》针对跨境数据流动规制所作出的规定过于原则化,在实际操作环节,难以满足众多场景下的执法要求。实际上,那些能够在实践中得以切实执行的规范往往是法律位阶较低的部门规章或者行业规范。例如,《数据出境安全评估办法》明确了跨境数据流动评估的具体情形、考量因素、程序以及各参与主体的法律责任等内容;《个人信息保护认证实施规则》规定了认证的范围、依据、程序、责任以及模式等方面;《关于银行业金融机构做好个人金融信息保护工作的通知》规定,在我国境内采集的个人金融数据必须于境内存储、处理和分析,以此保障数据安全;《网络预约出租汽车经营服务管理暂行办法》规定,网约车平台公司需要在我国境内妥善保管和使用所获取的用户个人信息以及由此产生的相关业务数据,以确保公众信息安全。由于当前此类规范的法律层级相对较低,其法律效力也较为有限,进而能够产生的影响力也十分微弱。所以,强化顶层设计并推动上述规范迅速上升为法律,是我国的当务之急。我国积极加强高层级法律的制定工作,这对于保障数据安全以及治理跨境数据流动具有至关重要的意义[3]。
4.2. 内容存在细化空间
在我国,跨境数据流动规制多以概括性、原则性条款为主,大量实施细则与配套措施尚处于制定阶段。我国制定了诸多跨境数据流动限制措施,不过在数据出境安全评估方式、安全评估标准以及关键信息基础设施界定等方面存在模糊之处,这些规定仍有待细化。我国不仅尚未构建起能够解决实践问题的完整制度体系,而且对于跨境数据流动分类标准、特有规制等基本问题也缺乏明确规范[4]。《数据出境安全评估办法》指出,重要数据是关系到国家安全、经济发展和社会公共利益的数据,并且在具体范围方面明确应参考国家相关标准和重要数据识别指南。《2022识别指南(征求意见稿)》将“重要数据”定义为特定领域、特定群体、特定区域内或者具有一定精度和规模的信息,一旦该信息发生泄露、篡改或者损毁,就可能对国家安全、经济发展、社会稳定、公众健康和安全造成直接危害。然而,不同行业主管部门对重要数据的理解各异,其直接结果是各行业在出境数据的识别、评估过程中执法尺度不同,进而可能导致处理结果不一致。这种差异源于行业主管部门在实际操作时从自身角度对重要数据的理解。因此,我国有必要明确这些相关法律概念,以确保标准清晰统一且具备可操作性。
4.3. 各规范间缺乏协调性
我国跨境数据流动规制的立法呈现出过度分散且协调性匮乏的状况。在这种分散化、碎片化的立法局面下,执法机关与司法机关于法律适用时会陷入抉择的困境,难以精准地运用法律。对于一些存有重要数据或者关键信息基础设施的领域,为确保数据流动的安全性与稳定性,相关部门制定了诸多规则,进而致使规则过剩乃至冲突的现象出现,在金融数据领域这种情况尤为显著。经文献检索与分析可知,有16部规范性文件涉及数据本地化要求,8部规范性文件提及数据出境要求,还有14部规范性文件提出数据保密的相关要求。制定相关规制的部门包含人民银行、国家互联网信息办公室以及银保监会等,其间存在着大量规则与指令冲突的问题[5]。跨境数据传输中的金融数据范围界定模糊。《征信业管理条例》明确禁止跨境传输征信信息,而《个人金融信息保护技术规范》虽表明因业务需求可向境外提供金融数据,但其具体范围却未明确。这种规制内容的冲突使金融机构在跨境传输时陷入困境。
从企业方面看,规则的不协调会增加企业的交易成本、提高合规成本等,进而限制跨境数据流动的效率。另外,若执法机构在解释与适用本地存储的信息类别和安全评估标准时存在差异并导致差别待遇,这可能引发他国对我国跨境数据管理措施不符合国际义务的质疑。
4.4. 我国跨境数据流动规制立法与区域协定缺乏兼容性
4.4.1. 我国跨境数据流动规制立法与CPTPP的兼容性问题
我国正积极谋求加入CPTPP,此协定包含两项跨境数据流动规则:其一,第14.11条设定了跨境数据自由流动;其二,第14.13条规定在特定情形下限制跨境数据流动,也就是允许运用本地计算设施。我国秉持实现数据安全与国家安全的目标,并将重要数据本地化存储设为基本原则,构建起跨境数据流动规范。这与CPTPP限制数据本地化政策、鼓励跨境数据自由流动的政策存在显著的兼容性挑战。相较于CPTPP,我国跨境数据流动立法更为严格,这会给国际数字贸易带来较大影响。在加入CPTPP的谈判进程中,我国政府有必要证明相关法律规定不会对贸易形成实质性限制,这无疑是一项艰巨的任务[6]。我国严格禁止跨境数据流动、仅允许数据在境内存储的情况存在两种:第一种是人口健康信息、地图数据等属于国家核心数据,针对这种禁止跨境数据流动的措施,可援引基本安全例外条款予以抗辩;第二种是数据跨境安全网关对违法信息实施完全阻断。这一措施不符合第14.11条第2款的要求,应当准许为开展业务需要而进行跨境信息传输[7]。在我国执行信息隔断之际,未对信息内容予以区分,统一运用数据跨境安全网关。然而,CPTPP明确规定,对于那些并不影响国家基本安全利益的信息若被阻隔,阻断措施务必要遵循第14.11条第3款的规定。此条款指出,限制措施需满足必要性测试的要求,也就是在确保达成公共政策目标的基础之上,将对贸易的影响程度降至最低。
4.4.2. 我国跨境数据流动规制立法与DEPA的兼容性问题
由新加坡、新西兰和智利三国达成的《数字经济伙伴关系协定》(DEPA)致力于推动跨境数据流动。当前,我国已提交加入DEPA的申请,然而我国跨境数据流动规制立法与DEPA存在兼容性问题。DEPA积极支持与鼓励跨境数据的自由流动,并且借鉴了《全面与进步跨太平洋伙伴关系协定》(CPTPP)的部分规则,尤其在跨境数据自由流动规则方面与之保持一致。DEPA规定成员国应允许跨境数据流动,并且可依据不同情形设定监管要求,但该要求不得被滥用,不得造成不合理歧视或者变相限制,同时不应超出必要限度。不过,DEPA的相关规定可能给个人及国家数据安全带来潜在风险,例如会提高电信欺诈及网络攻击等非法活动发生的概率,从而对国家整体安全构成巨大威胁。在跨境贸易中,未经安全监管或处理的数据大量流动,将严重危及一国国家安全。因此,我国在加入DEPA的进程中,政府需要在我国跨境数据流动规制立法和DEPA的相关规定之间寻求适度的平衡。
5. 域外跨境数据流动规制逻辑背后的价值理念
5.1. 欧盟的充分保护型立法规制
充分保护型立法规制指在跨境数据流动过程中,数据的流出国以及其本国的数据必须得到有效且充分的保护,对流入国的个人数据保护水平提出要求,属于一种较为严格的跨境数据流动规制[8]。GDPR第45条对数据接收国“充分性保护水平”的认定依据主要有:数据接收国或者其他有关组织的人权保障、法治建设、数据保护当局的基本职能和执行机能等。目前只有12个国家和地区符合欧盟委员会对充分性保护水平的认定标准。
“适当性保护措施”的目的在于为那些未得到欧盟委员会“充分水平”认可的数据接收国或其他相关组织提供支持。GDPR第46条明确了“适当保障措施”存在多种实施办法,其中涵盖标准合同条款、经批准的行为准则、约束性企业规则以及认证机制等内容。此外,GDPR专门对跨境数据流动法定的例外情况作出规定。GDPR第49条规定,在如下情形下可视为例外:当数据主体已接受相应风险提示且明确同意自身的跨境数据流动时;当数据输出方与接收方已订立合约并且有必要继续履行合约义务时;按照数据当事人之间的约定可使数据主体获取实质性利益时;个人数据因公共需要而进行跨境流动时;存在立案、起诉、应诉情况时;当受到生理和法律的限制,致使数据使用者无法明确表达自身同意,但为保护其自身或者其他人的重要权益而有必要进行跨境数据流动时。
GDPR堪称充分保护型立法规制的典型代表。2017年,欧洲委员会发布了《在全球化世界中交换和保护数据》,旨在鼓励其他国家借鉴欧盟的跨境数据流动规则,这些规则涵盖GDPR、《非个人数据自由流动条例》以及相关部门立法。欧盟GDPR的规制方式在一定程度上确保了欧盟跨境数据流动规制体系的完整性,这对维护个人数据安全与数据主权具有极为重要的意义,能够为我国治理跨境数据流动提供参考。
5.2. 美国的事后问责型立法规制
2018年2月,美国出台了《澄清境外数据合法使用法案》。该法案明确授予美国执法机构超级执法权,无论企业数据存储于美国境内还是境外,只要执法机构有调取需求,即可强制要求数据服务经营者提供、披露相关数据信息,而无需取得外国政府相关部门的同意。这种赋予执法机构的数据超级执法权本质上属于跨境电子取证范畴,所以可以认为,该法案的出台对全球现有的跨境电子数据取证制度形成了新的冲击,为美国跨境电子取证提供了法律依据,尽管这一法律依据体现了其霸权特性。通过该法案的实施,美国能够极大地加强对全球数据的控制,从而实现其数据霸权。在此背景下,凭借强国地位以及在经济、技术、数据市场等方面的强大优势,美国借助这一数据政策,既能保护本国数据安全,又能无理占据大量全球数据。由此可见,美国企图在数据领域实现长臂管辖,进而达成其数据霸权。美国的数据跨境流动政策是其霸权主义的延伸。美国国内的数据主权保障体系严密且完整,严格限制境内相关数据流出;同时,凭借其在数字经济方面的绝对领先优势,大力推动跨境数据自由流动,以此巩固自身在数据与信息领域的霸主地位。美国采取的行业自律保护个人数据的事后问责型立法规制模式更多地从商业化角度进行考量,从而能够在国际数字贸易的数据流动中获取巨大红利。美国把个人数据主要划分为两类,即公共部门收集的数据以及私营部门收集的数据。针对公共部门所收集、处理和流转的个人数据,美国制定了统一的联邦法案;而对于私营部门,美国采用事后问责型立法规制模式,该模式的最大特点在于将鼓励数据自由流动作为首要目标[9]。在金融、电信、健康、征信以及教育等重要领域,应分别制定专门的行业法规,并且赋予行业足够的自主权。由行业自律组织牵头,于业界内部制定数据流动规范,数据流出机构承担数据保护的主要责任,而数据主管部门则履行监管职责,负责对数据流出机构进行问责。事后问责型立法规制模式有助于更好地发挥行业自身的主观能动性,从而使法律规制更加契合本行业的实际需求,切实有效地实现效益最大化。然而,美国的这种立法方式存在显著缺陷。其一,分散立法的方式致使各项法规之间容易产生冲突,进而造成法律适用方面的困难。其二,过度注重数据自由流动,也给美国的数据产业带来了一定程度的负面影响,2018年3月Facebook数据泄漏事件便是最显著的例子之一。
美国在国际法领域的实践与它所秉持的事后问责型立法规制模式的理念相契合。美国的数据安全在很大程度上构建于企业自我监管的基础之上,这就要求数据控制者必须严格遵循数据隐私法的规定进行自我约束,从而确保数据安全。2011年的《跨境隐私规则体系》(CBPR)便是这一理念的具体体现。CBPR是美国政府大力推行的一种区域性跨境数据流动制度安排,美国始终积极推广CBPR以推动数据自由流动。与《通用数据保护条例》(GDPR)相比,加入CBPR体系更为容易,因为美国所倡导的事后问责型立法规制模式主要依赖于行业自律,相比于欧盟的充分保护型立法规制模式,其要求更低。
从总体上看,美国跨境数据流动规制呈现出分散、碎片化的特征,相较于保障公民隐私权,美国更着重于跨境数据流动所蕴含的商业价值。美国这种结合行业自律精神的事后问责型立法规制模式彰显了其在数据产业市场中抢占市场份额的企图。美国的这一模式是其市场高度成熟的一种表现形式,对我国跨境数据流动规制的完善具有一定的借鉴意义。
6. 完善我国跨境数据流动规制的建议
6.1. 提高立法层次
在国家跨境数据流动的规制方面,若由较低层级的法律加以规范,则数据安全风险出现的可能性相对较高;反之,当由较高层级的法律进行规制时,数据安全能够得到较为周全的保护。就当前我国跨境数据流动规则的现状而言,其中具有较强实操性的规范性文件所处的层级较低。鉴于此,我国有必要提升现行高效规范数据出境的法律规制的法律位阶。具体而言,我国应当借助全国人大或人大常委会制定专门针对跨境数据流动进行规制的法律,从而提高数据出境的法律保护层级,进而提升保护数据出境在法律效力方面的等级,最终保障数据出境相关主体的合法权益[10]。与此同时,我国应当借鉴欧盟在充分性保护水平认定方面的经验,于立法层面明确数据出境安全审查评估的具体要求,进而为数据出境的范围、方式以及安全评估程序等提供确切的法律依据。在我国《网络安全法》颁布之前,关于数据本地化的规定散布于不同的行政法规或者部门规章之中,例如《征信业管理条例》《人口健康信息管理办法(试行)》等。《网络安全法》第37条明确规定,在境内运营的关键信息基础设施经营者,针对其运营过程中所收集与处理的个人信息和重要数据,应当将其存储于境内,以此确保信息安全。这是我国首次把数据本地化存储纳入统一的管理框架之中,逐步改变我国在跨境数据流动领域依靠行政法规或者部门规章进行规范的状况,极大地提升了数据治理的效率。
6.2. 明确具体内容
我国当务之急在于尽快弥补跨境数据流动规制体系中的关键缺陷与短板。首先,要完善重要数据的认定标准;其次,需明确数据出境安全评估机制的细则与实施标准。这两项制度在我国跨境数据流动规制体系里属于核心制度,唯有明确其细节,我国跨境数据流动规制体系的评价才能够精准、公平。建立健全数据分类分级制度是完善我国跨境数据流动规制的重要环节。由于跨境流动数据的类别和层级有所不同,针对它们进行安全评估的标准也存在差异。数据分类标准会直接影响数据出境的效率。《数据安全法》中对数据分级分类的规定较为抽象,其他规范也存在显著的原则性、碎片化和模糊性等问题。所以,加快梳理清楚重要数据概念以及相关基本问题,构建我国统一的数据分类分级制度是极为关键的。我国能够借鉴欧盟的做法,针对不同目标国家或地区的跨境数据流动,设定不同的开放权限。在实践过程中,既要考量具体的数额并进行量化分析,同时也要兼顾数据本身性质、用途等方面的差异,依据具体场景落实规制细则,从而使规制内容明确而具体。
6.3. 协调国内立法统一
从国内立法的视角来看,我国众多规制跨境数据流动的法律规范存在相互冲突的情形。在《个人信息保护法》与《数据安全法》颁布之前,部分行业或者领域的数据出境就已经被相关的行政法规或者部门规章所规范。伴随我国跨境数据流动基本原则和法律制度的确立,相关的行政法规或者部门规章却未能及时修订,这在客观上致使上位法与下位法之间产生冲突[11]。此外,我国在跨境数据流动领域呈现出“打补丁式”立法的特点,这也导致了不同规范之间的冲突。我国应当借鉴欧盟针对跨境数据流动的统一规范管理制度,及时对部分规范进行增补、修订或者废除,从而维护我国跨境数据流动规制体系的统一性与完整性。
6.4. 加强与相关国际规制的对接
我国在跨境数据流动方面实行了若干限制措施,这些措施和CPTPP以及DEPA的要求存在着一定的距离。我国需要统筹协调安全保护与自由开放之间的界限,贯彻落实《数据安全法》里有关数据分级标准的规定,针对重要敏感信息构建安全评估制度,并将其当作衡量数据开放程度的关键指标。在推进数据安全评估的进程中,我国应当构建跨境数据流动白名单机制,促使跨境数据流动形成有效的制度布局。在跨境数据流动行业中探索数字经济与贸易的新型业态,借助压力测试评估开放所产生的影响程度。在参与CPTPP和DEPA的大背景下,持续健全数字经济治理体系,构建全方位、多层次、综合性且健康有序的数字开放体系。
在加入CPTPP和DEPA谈判之际,对数据跨境安全网关问题进行单独处理是一种符合CPTPP和DEPA规则的有效解决办法。我国有必要将数据跨境安全网关问题从跨境数据流动议题里分离出来,在加入CPTPP和DEPA谈判过程中单独处理该问题,力求获取豁免。设置数据跨境安全网关的目的在于保护社会道德,它所屏蔽的包含特定内容的信息与商业目的的关联度并不高。我国能够要求在议定书中明确CPTPP和DEPA跨境数据流动规则不适用于数据跨境安全网关领域。
6.5. 积极参与国际合作
我国能够借鉴欧盟和美国的经验,借助我国跨境数据流动庞大的市场潜力,通过RCEP积极掌控国际规则制定的主导权,参与到国际习惯法形成的进程之中。我国可参照欧盟GDPR的规定,构建“出境白名单”制度,并定期加以审查[12]。我国可以在体系构建时预留制度衔接的接口,从而更好地与区域和国际规则实现衔接。我国应积极构建跨境执法机制与机构,推动多元共治的跨境数据流动规则的构建。除了积极参与区域性的多边经贸合作平台之外,我国还需在相关国际平台上强化对我国跨境数据流动规制体系机制的推广,提升我国在跨境数据治理领域的国际影响力。我国应当积极开展与“一带一路”沿线各国有关跨境数据流动规制的有效对话,推动我国和“一带一路”沿线各国签订跨境数据流动双边和多边协定,进而逐步推动国际数据治理形成“新格局”,构建自身的跨境数据流动规制国际治理体系。
7. 结语
跨境数据流动规制是一个意义深远且影响长远的课题。在国内立法层面,我国当前存在诸多问题,例如数据分级分类的具体规定不够明确,监管机构的职责规定缺乏明晰性,规制内容的细化和协调程度都有待提升。针对这些问题,我国能够通过多种途径解决,像提高立法层次、明确具体内容、协调国内立法统一、强化与相关国际规制的对接以及积极参与国际合作等。“安全与自由并重”模式能够很好地回应如何实现国家安全与经济效益并重这一问题。该模式在保障国家安全的同时,能够最大程度地挖掘跨境数据的潜能。与“一带一路”沿线国家在跨境数据流动领域开展合作可作为实施“安全与自由并重”模式的良好起点,这样既能兼顾不同国家的利益需求,维护我国的国家安全与经济利益,又能将我国跨境数据流动规制体系推广到周边区域。
我国正积极谋求加入CPTPP、DEPA等国际多边协定,然而我国跨境数据流动规制与CPTPP、DEPA之间存在着诸多兼容性方面的问题。我国秉持实现数据安全与国家安全的目标,并且将重要数据本地化存储作为基本原则。这一原则与CPTPP所倡导的限制数据本地化、鼓励跨境数据自由流动的政策存在着相当大的兼容性挑战。在参与CPTPP和DEPA的谈判进程中,数据跨境安全网关问题同样构成一大难题。我国可借鉴欧盟与美国的经验,凭借自身跨境数据流动所具备的巨大市场潜力,借助RCEP积极掌握国际规则制定的主导权,从而参与到国际习惯法形成的进程之中。具体而言,可以参考欧盟《通用数据保护条例》的规定,构建“出境白名单”制度,并定期开展审查工作。与此同时,在我国相关的法律体系当中预留制度衔接的接口,为日后与国际多边协定进行对接提供便利,进而逐步推动国际数据治理新格局的形成。当前,我国在跨境数据流动领域如何与相关国际规制实现有效对接,是一个迫切需要深入探究的课题。我国跨境数据流动规制与相关国际多边协定的有效衔接问题,理应成为学界关注的焦点问题。