摘要: 随着数字经济时代的到来,个人数据的跨境流动成为数字经济发展的重要驱动力,为世界各国带来巨大经济利益和价值的同时,也包含威胁个人隐私和国家安全的风险隐患。为保障个人数据有序可控的跨境流动,更好地享受数字经济红利,欧盟、美国两大经济体均构建出符合自身利益诉求的个人数据跨境流动规制模式。目前,我国个人数据跨界流动法律规制体系仍存在立法理念保守、制度设计欠缺合理性、缺乏国际合作参与等方面局限,鉴于此,通过借鉴欧美规制模式的独特经验,提出未来我国应逐步转变个人数据跨境的立法理念,优化和完善有关数据出境的法律规定和管理制度,积极参与数据跨境流动的多边合作,努力实现与国际规则的衔接,从而使我国个人数据跨境流动规制体系运行更为科学化、规范化。
Abstract: With the advent of the digital economy, the cross-border flow of personal data has become an important driving force for the development of the digital economy, which has brought huge economic benefits and value to countries around the world, but also contains risks that threaten personal privacy and national security. In order to ensure the orderly and controllable cross-border flow of personal data and better enjoy the dividends of the digital economy, both the EU and the US economies have constructed a mode of regulation of cross-border flow of personal data that meets their own interests. At present, China’s legal regulatory system for cross-border flow of personal data still exists limitations such as conservative legislative concept, lack of rationality in system design, and lack of participation in international cooperation, etc. In view of this, by drawing on the unique experience of the European and American regulatory models, it is proposed that in the future, China should gradually change the concept of cross-border legislation on personal data, optimize and improve the legal provisions and management system of the relevant data exit, actively participate in the cross-border flow of data, and actively participate in multilateral cooperation, and strive to achieve convergence with international rules, so as to make the operation of China’s personal data cross-border flow regulation system more scientific and standardized.
1. 问题的提出
数据作为继土地、劳动力、资本、技术之后的第五大生产要素,只有在流动中才能充分发挥其经济价值,释放数字经济的活力。目前数据跨境流动已成为数字经济时代的核心驱动力,个人数据在数据流动中的体量庞大,对全球经济增长、社会发展的贡献愈发凸显,因其本身承载着个人隐私和国家安全等多重利益,若放纵其在不同国家间无序流动必然会引起一系列法律风险。从2013年美国“棱镜计划”到2018年“剑桥分析丑闻”,可以看出高敏感性的个人数据关系国计民生和社会发展,一旦在流通中被非法掌握和利用,可能会给国家安全和个人隐私带来严重危害。与此同时,全球数据竞争博弈也愈发激烈。此前,美国通过了要求字节跳动剥离对旗下应用TikTok控制权的法案,宣称TikTok或将用户数据分享给中国政府,使美国面临数据安全风险。可以看出,发达国家在数字竞争中凭借自身绝对优势,开始采取各种限制性措施,变相在数字领域孤立、边缘化发展中国家,使国家间的“数字鸿沟”被进一步拉大,阻碍数据的自由流动。由于各国构建数据跨境流动秩序的利益诉求不同,至今无法形成统一的全球数据跨境流动规则体系,国际和区域协议大多为建设性指南或自愿性协议,且较为分散,整体呈现原则化、碎片化。因而,在此种国际环境下,我国亟需确立一套健全、统一且完善的个人数据跨境流动规制体系来保障国家数据安全。但目前我国在这方面的法制建设起步较晚,尚未形成完善的、系统化的规制路径。因过度强调安全性而实施“一刀切”的数据本地化政策,使得制度设计层面混乱,缺乏有效的协调机制[1],加之规制理念上的差异,在国际上难以与现有规则体系相契合,严重阻碍数据自由流动,影响数字经济的健康发展。因此,需要梳理分析中国个人数据跨境流动制度的现状,并借鉴国际上主流规制模式的成功经验,为我国个人数据跨境规制体系的完善提出相应的解决之策。
2. 我国个人数据跨境流动的规制现状与局限
2.1. 我国法律规制基本架构
我国依据现有的法律体系架构,在法律、行政法规、地方性法规以及部门规章上对个人数据跨境流动作出了不同层次的规定。在法律层面,2017年《网络安全法》确立了数据本地化存储原则,明确我国境内关键领域的个人信息和重要数据应当在境内存储,通过属地原则维护境内数据的安全。《数据安全法》确立了相应的数据出境监管制度,并对数据跨境流动的治理范围进行扩充。2021年《个人信息保护法》的出台对个人数据跨境流动做了较为全面且系统的规定,依据属人原则将数据本地化的主体扩展适用包括达到国家规定数量的处理个人数据的自然人;在行政法规层面,我国先后颁布了《关键信息基础设施安全保护条例》和《网络数据安全管理条例》,以保障关键信息基础设施安全和维护网络安全;在地方性法规方面,部分地区先后进行了地方立法的尝试,如2022年深圳发布并实施的《深圳经济特区数据条例》,是国内数据领域首部基础性、综合性立法;而大部分实践规则主要集中在网信办发布的规章中,《数据出境安全评估办法》从维护国家安全与公共利益的角度,设置较为严格的硬性监管,要求数据处理者申报数据出境安全评估,以判断其出境的风险性;《个人信息出境标准合同办法》和《个人信息保护认证实施规则》作为保护个人信息权益的事前监管,提供可选择性的订立出境标准合同或者通过保护认证等软性监管,并在此基础上出台了《促进和规范数据跨境流动规定》(以下简称“规定”),进一步明确申报标准,调整申报门槛,并增设多种出境监管豁免场景,整体上适当放宽数据跨境流动条件并收窄数据出境安全评估范围。由此看来,我国的个人数据跨境流动法律规制的基本架构是以三部主要法律为支柱,以分散的行政法规、地方性法规和部门规章为补充,通过构建适用灵活、宽严相济的个人数据出境规制路径。
2.2. 现有规制的局限性分析
(1) 立法理念过于保守
目前我国在立法上多持谨慎严苛的态度,在涉及公共通信、交通等关键信息基础设施运营者在我国境内所收集、产生的个人数据采取本地化存储政策,然而对于“关键信息基础设施”内涵与外延的理解在我国未作具体列举,具有较大不确定性,导致其适用范围较为宽泛[2],不得已只能采取“一刀切”式本地化存储来审慎监管个人数据的出境行为。其次,单一的数据本地化存储原则可能会进一步激化个人数据保护与数据使用、共享之间的矛盾,原则要求严格履行知情同意原则进行同意授权,但用户在数据跨境流动活动当中进行多次授权不太切合实际[3],并且较为繁琐的程序不但会阻碍个人数据正常流动,还会限制我国数字经济发展节奏,这与促进个人数据自由流动的立法初衷相背离。不仅如此,过于保守的立法理念使得我国对个人数据跨境多以政府主导的公法进行规制,而私法规制空间严重不足。个人数据跨境流动规制主要集中于政府监管,具有强制性,行政干预性明显,并且规则较为僵硬,难以灵活应对不断变化的数字环境;而注重私主体自愿性保障的、较为灵活的私法规制相对短缺,仅存在采用私法性质的订立标准合同,但合同内容固定且不容双方变更修改。同时在规制体系中所能依据的提倡行业自律性的法律法规数量较少,只有少部分行业守则和自律规范,但由于不具有法律效力,还缺乏对未满足自律规范行为的问责机制[4],导致很难通过私法对个人数据跨境流动进行有效规制。
(2) 制度规则存在漏洞
我国的数据出境监管制度在实际操作中存在诸多问题。具体来说,首先,在制度内容上存在重叠。安全评估制度下要求数据处理者进行风险自评估,在标准合同和保护认证也存在相类似的个人信息保护影响评估,两者在评估内容的具体事项上存在大幅相似[5],对于非重要、敏感的个人信息依然要求进行个人信息保护影响评估,并未实质上减轻数据处理者的出境合规成本。其次,根据《规定》安全评估申报主体限定为“自当年1月1日起累计向境外提供100万人以上个人信息1”,但在实践中大部分的主体均已达到该门槛,而数据出境法律环境复杂多变,导致一些主体可能已经经过保护认证评估的处理者即便不符合安全评估的标准,又被要求申报安全评估,增加了不必要的合规成本,极大地挤压了标准合同和保护认证的适用空间,使其适用主体范围被限缩。除此之外,个人数据出境监管豁免制度缺乏明确的适用标准,在实践中却难以应用。例如,《规定》第5条第一款第一项“为订立、履行个人作为一方当事人的合同”的豁免情形中,满足豁免条件需作为信息主体的个人为一方当事人,而作为出境方的信息处理者是否必须为合同的另一方当事人才能适用,另一方当事人可否为出境方的经销商或代理?再如,第二项“依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”的豁免情形,满足该豁免情形应当同时满足制定劳动规章制度与签订集体合同两项前置条件,还是满足其一即可?这些问题在实践之中暂未得到统一的定论。
(3) 规制对外融入不足
我国审慎严格的个人数据跨境流动规制体系与国际社会所倡导的有序流动理念存在较大差异。我国目前签署的有关个人数据跨境流动的国际协议,仅包括2020年签署的RECP,虽然其法律文件中规定了以“合法公共政策目标”作为禁止缔约方采取数据本地存储的一般例外条款2,但表述较为模糊,适用条件宽泛可能导致滥用,加之我国本地化存储对象不明确,致使中国与RECP无法很好地协调彼此的跨境规则;就中国目前申请加入的CPTPP以及DEPA而言,均采取“自由流动为原则,限制流动为例外”的规制模式[6],这与我国目前以限制为主的出境制度之间存在原则性分歧,或将成为申请加入上述协定的最大阻碍。不仅如此,欧美等发达经济体极力输出符合自身利益的跨境数据规制理念,最终目的都是争取在国际规制上的绝对话语权。当前中美贸易摩擦加剧,美国极有可能利用数据霸权主义对我国施压或出台进一步的制裁措施,打压中国在全球数据治理体系中的地位,如果缺乏对外合作参与,这将使我国在全球国际规制体系构建上缺少足够的话语权。其次,实施数据本地化政策,虽然在很大程度上维护了国家安全,但同样也阻碍了数据要素的市场化配置,在数据出入境的供需两端都将受到影响[7]。
3. 个人数据跨境流动法律规制的欧美模式及借鉴
3.1. 欧美采取的个人数据跨境流动规制模式
(1) 欧盟以注重安全的充分性保护机制为主的规制模式
欧盟对个人数据跨境流动的法律规制在总体上都是以保护个人隐私安全为规制重点。早在1995年欧盟委员会通过的《个人数据保护指令》提出了“充分保护原则”,凡是符合欧盟“充分保护水平”认定的国家、地区或者国际组织可以进入白名单,无须经过监管机构授权和审查,就可以实现个人数据在其与欧盟之间的自由流动[8],将个人数据跨境流动规制的范围进一步扩大至脱离欧盟管辖区的目的国;随着数字经济发展,为应对严峻的数字安全风险,欧盟于2016年通过了新的个人数据保护法,即《通用数据保护条例》(GDPR),该条例不仅重申了“充分保护原则”的严格标准,将域外的法律约束力范围扩大至在欧盟境外处理个人数据的行为,即无论数据处理行为是否发生于欧盟境内,设立在欧盟境内的控制者或处理者均适用GDPR的标准,未达到所设定的充分性保护标准的,将给予适当安全保障措施作为替代方案来限制个人数据跨境流动,例如标准合同条款、认证机制等,还进一步明确了监管机构和监管主体的职能。可以看出欧盟努力将达到“充分保护水平”设置为连接欧盟数据市场的前置条件,是为了将“欧盟标准”打造成为“国际标准”[9]。至此,欧洲内部的个人数据流动规则一体化程度达到最高,整体上呈现“内松外严”的规制特点,最终打造出如今国际上最为严格、保护水平最高的个人数据跨境流动规制模式。
(2) 美国以注重自由的行业自律机制为主的规制模式
美国则将促进经济发展与保护个人隐私视为同等重要,希望通过数据的自由流动成为数字红利的最大受益者,由此促成了美国对内倡导自由主义的规制理念。在规制模式上采用行业自律机制,即以市场为主导,由行业组织或第三方认证机构制定隐私保护标准,必要时辅以行业自律守则予以规范,鼓励当事方对数据跨境问题自行协商,在少数情况下才由政府通过制定法令等相对谦抑克制的手段进行事后规制[8]。美国此种规制模式也影响了由其参与或主导国际跨境规则体系,例如《APEC隐私框架》所构建的CBPR体系以及《跨太平洋伙伴关系协定》(TPP)中推行行业自我规制模式以促进数据自由流动。美国对外则采取“宽进严出”的双重标准,数据入境方面积极利用双边或多边协议来搭建高自由度的数据跨境流动圈,例如《美墨加三国协议》、《美日数字贸易协定》等均强调禁止采取数据本地化策略,目的是使数据资源不加限制地流向美国境内;数据出境方面在国内关键领域采取严格的数据跨境管制措施限制个人数据外流。针对美国此种双重标准从更为立体的角度审视,不仅在出入境两方面实行双重标准,仅在数据入境方面也有双重标准,以国别划分政策适用[10]。例如《2019国家安全和个人数据保护法案》和《保护美国人数据免受外国监视法案》等法案均体现出美国对中国等有竞争关系的国家设置数据贸易壁垒,禁止本土个人数据流向此类国家。如此可见,美国在积极倡议其它国家促进数据自由流动的同时,自身也采取一定的数据本地化政策,让个人数据“只进不出”,从而掌握海量优质的数据资源,以实现数据经济利益最大化。
3.2. 欧美个人数据跨境流动规制对我国的借鉴意义
我国在应对数据跨境流动规制问题的同时,也应借鉴他国探索规制模式中的成功经验,完善个人数据跨境流动规制体系。欧盟“以地理区域为基准”,在欧盟内部和外部的数据流动采用不同标准,对内既促进了个人数据在区域内的自由流动,也防止个人数据未受保护流向他国,有利于保证区域内的数据安全与稳定。对外依据“充分性”原则,获得充分保护水平认定的国家、地区进入白名单,无须经过欧盟事前授权,即可实现数据跨境自由流动。因此,我国在对个人数据跨境实施监管时,借鉴欧盟充分保护标准与内外联动的规制模式,对数据流出地进行细分,根据多元化数据跨境场景,采取针对性的出境政策,更好地实现数据有序安全的自由流动,并努力提升国内个人数据保护立法水平,以达到欧盟充分性保护的高水平标准,打破中欧个人数据跨境流动的数据壁垒。美国“以组织机构为基准”,依据“问责制”原则,不论数据在何地理位置,均要求数据控制者确保个人数据在跨境传输过程中的安全,此种做法更依赖于数据处理者对程序和原则的自觉遵守,有利于强化企业的责任意识[11],“问责制”的行业自律模式有兼顾相应的事后补救机制来保障数据流动的安全。即要求企业先进行自我评估,再接受问责代理机构的评估,若违反相关条款,则由执行机构对企业进行问责处罚。因此,我国在保障本国数据安全的同时,可以适当减少对某些类别的个人数据进行限制,促进数据资源充分利用,带动数字经济产业蓬勃发展,借鉴行业自律模式以行业守则进行补充规制,综上所述,中国可通过吸取欧美规制模式中有利的经验,内化成为适合我国现实国情的规制方式,促进我国个人数据跨境规制水平的不断完善。
4. 我国个人数据跨境流动规制的完善路径
4.1. 转变保守审慎的立法理念
首先,转变一贯保守审慎的立法思路,明确保证国家安全与促进经济发展并重的基本理念,将保障数字安全和发展数字经济视为法律调整所追求的两个价值目标,以此共同调和、消解以及填补市场需求中出现的某些冲突[12],采取合理适当的数据本地化政策,摒弃“一刀切”的粗放式立法,完善现有数据分级分类管理制度,针对禁止出境的关键、核心个人数据进一步分类,细化和明晰需要进行严格保护的数据类型和范围;其次,应注重对个人信息权益的保护,优化单独同意制度,规定合法性事由作为例外情形,构建分层同意制度并优化告知内容,为提高个人数据跨境传输效率[9]。从而在国家安全、个人权益和经济发展之间谋求平衡,达到在保护个体、社会和国家利益的同时实现数据跨境自由流动的理想状态。不仅如此,还应当通过私法规制来明确私主体的相关权利与义务,以便承担起更多的社会责任,以保护数据安全。地方政府、行业主管部门、行业自律组织应借鉴美国市场主导、行业自律模式的立法思路,通过政府授权认可的第三方认证机构与行业组织合作,结合市场现实情况共同制定行业自律规范,再由政府部门给予行业自律规范以法定约束力,保障数据跨境规制主体和规制路径的多样性;最后,基于民商事活动中意思自治的现实需要,在不侵犯个人隐私和数据安全的前提下,适当鼓励数据出境与接收方对数据出境相关内容自行协商,政府和监管部门仅进行形式审查,减少政府监管部门的过度干预,从而更好地体现对个人信息自决权的保护。同时加强和完善司法机构对侵权主体的问责机制,确保私法规制的有效性,由此逐步建立起行业自律模式下公私共治的法律规制体系。
4.2. 完善相关法规与监管制度
一方面,结合以《数据安全法》第二十一条以及即将实施的《数据安全技术数据分类分级规则》为基础构建的我国数据分类分级保护制度,对现有规则制度进行体系化整合。依据数据影响程度采取不同的限制程度,明确不同出境监管制度各自的适用范围和功能定位,适当删减非重要、敏感数据出境所进行的个人信息保护影响评估内容中与风险自评估相重复或类似的审查内容,简化评估手续、缩短审批期间,避免评估过程重复冗杂造成数据合规负担加重;由于个人信息出境活动的复杂性,安全评估制度在实践中不能机械地适用,在实行特定人数加特定类别的分类标准的同时,结合实践中个人数据出境行为类型、境外接收方类型等因素,精准识别中等风险的数据出境行为,纳入标准合同与保护认证制度的适用范围,相对限缩安全评估制度的适用范围并严格限定其个人数据的适用标准,确保设定标准不过低导致其他制度形同虚设,造成安全评估泛化,还应进一步提高其评估程序效率和结果的精准度,将审批环节和细节适当向社会公开,增强数据处理者对审批程序的认可度,使各项出境管理制度得到充分利用。另一方面,加强立法的科学性和可操作性,法律应该是稳定的,但不能停止不前,只有将法规与现实具体情境相结合,才能为数据的跨境流动合法合规提供判断依据。针对《规定》所列举的数据出境合规豁免具体情形,通过出台相关实施细则对豁免情形所涉的数据体量和判断标准进行补充规定,来进一步明确豁免范围,以便于企业的数据出境行为合法合规,及时弥补立法缺漏,实现个人数据出境有法可依,增强出境行为的可预见性以及数据传输的安全性。
4.3. 加强国际区域合作与交流
目前正处于国际数字贸易规则塑造的关键时期,我国应顺应全球数据跨境流动规制的总体趋势,采取更加开放的态度,凭借既有的双边及多边谈判平台,加强与其他国家的深层次合作与交流创新,以国际合作的形式探索符合多方利益需求的规制模式,做好国内制度与国际规则的衔接工作。具体而言,充分利用已经加入RCEP的契机,在完善数据分类分级、数据出境等规则制度的基础上,明确双方的规制目标,实现国内制度与RCEP规则有效衔接,同时加强与内部成员的合作交流,推动与东盟国家之间的共治共享,形成畅通无阻的数据流动机制[13];积极向既有的OECD多边平台和APEC隐私框架靠拢,通过沟通协商达成共识,寻找更加合适的契机,打破规制差异给数据流动带来的阻碍,避免全球治理规则与国内治理规则出现错位,推动数据跨境流动规则的高水平趋同性发展;对于申请加入的CPTPP与DEPA而言,通过对双方产生争议的关键问题进行合理明确的解释,或者采用具有模糊性和灵活性的软性条款,保留条款弹性解释空间,消除个人数据流通规制分歧,推进加入协定的进程。同时可以借鉴国际区域合作的成功模式,与区域内各国政府进行交流协商,秉承以多方积极参与、寻求国际共识的方式,积极拓展跨国流动途径,例如,以上海合作组织为突破口,利用“数字丝绸之路”发展阶段性成果,推动沿线国家和地区政府间、企业间个人数据跨境流动相关合作,以点带面,循序渐进,打造良好的跨境数据流动外部环境[14],推行中国个人数据跨境流动规则理念,扩大中国在规制领域的影响力,树立与国际地位相匹配的数据大国形象。走出具有我国特色的跨国规制路径,进而提高中国在个人数据跨境规制方面的全球话语权,力争中国成为全球规则制度的积极建构者,而非制度的被动接受者。
5. 结语
中国作为数字经济大国,为了应对国内外数据安全态势的巨大变化,必须厘清当前面临的挑战,把握发展机遇,从欧美规制模式的经验中提炼出符合我国发展需求的方案,在坚持保障数据安全的基础上谋求发展,以更加包容开放的态度对个人数据跨境传输进行立法,放宽个人数据跨境限制,更好地带动数字产业发展;不断优化相关制度设计,创新提出更为科学的数据出境管理制度,克服现有制度弊端,将理论紧密结合实际,根据实践中的具体情形提出应对措施,保证规则制度的可操作性;我国坚持共商共建共享的原则的同时,基于RCEP、“一带一路”倡议等开展国际交流、合作,并在制度构建中注重与国际规则的衔接,以灵活迂回的方式探索符合共同利益的国际规则,最终形成统筹发展和安全的具有中国特色个人数据跨境流动规制体系,提升个人数据跨境规制的国际话语权,代表发展中国家发声,承担大国使命,推动形成更加合理的全球数据跨境治理格局,带动世界数字经济朝更高层次的方向发展。
NOTES
1《促进和规范数据跨境流动规定》第7条第2款。
2《区域全面经济伙伴关系协定》第12章第15条第3款第1项。