【导读】近期,一则“滴滴出行”App接受网络安全审查并在应用商店下架、停止新用户注册的官方通报,引发高度关注。此前,滴滴于6月30日在美国纽交所低调上市。分析人士认为,与以往滴滴所受监管不同,此次通报直接提及“维护国家安全”,意味着作为信息基础设施运营商的滴滴已触碰“生死底线”,甚至不排除滴滴在美国监管压力下可能存在数据信息泄露的隐患。
对此,倡导数据自由流动的人认为此事反应过激,无论是全球贸易、赴美融资还是出海业务,数据跨境已成必然。本文指出,包括美国在内的发达国家互联网企业的先发优势,会带来天然的数据本地化存储及全球数据管理权,进而享有国际规则制定的主导权、话语权和解释权。宽松的数据跨境流动规则,有助于美国维持其在数字经济上的领先地位和既得利益,由此可以理解为什么美国宣扬数据自由流动,并通过《云法案》加强全球数据控制。但由于各国数字产业发展严重失衡,如果任由数据从发展中国家积聚到发达国家,可能助长数据霸权的形成,所以严格的数据管制不止存在于中国,也存在于包括印度在内的其他发展中国家。作者认为,处理好维护国家安全、保护数据主体权益、发展经济贸易这三者的平衡关系,对数据流动进行分类管制,落实数据出境过程中的风险管理责任,同时为合法的数据流动开辟丰富渠道,是当务之急。如果在数据立法还不完善的情况下放任数据跨境,意味着数据主体将无法获得足够的权利救济。
本文节选自《法治研究》2021年第1期,原题为《论我国数据跨境流动监管规则的构建》,文章仅代表作者本人观点,供诸君思考。
论我国数据跨境流动监管规则的构建
▍引言
最近有关数据跨境流动的法律规制问题已经成为中美、中印之间监管的焦点问题。2020年8月6日,特朗普政府以TikTok和Wechat涉嫌将美国用户包括联邦工作人员的个人信息如网络位置信息、浏览和搜索信息等未经许可地传输给中国政府,进而可能损害美国国家安全为由禁止了上述两款产品在美国的使用。印度也以同样的理由禁止了TikTok和Wechat在当地的应用。美、印两国政府的上述单边主义措施,实际反映了数据跨境自由流动与保护国家安全之间的紧张冲突。
与上述单边保护主义措施相对,我国具有迫切的数据跨境流动需求。预计2020年数据总量有望达到8000EB,占全球数据总量的21%,将成为数据资源大国和全球数据中心。以阿里巴巴、腾讯、字节跳动等为代表的互联网公司已经建成了具有国际领先水平的大数据存储与处理平台,在跨境网络支付、跨境电子商务、信息网络服务等应用领域的发展必然涉及数据的跨境双向流动。再者,在“一带一路”倡议下,我国与“一带一路”沿线国家经贸交往日益增多,货物贸易、服务贸易流程与内容的电子化和数据化已经成为不可逆转的趋势。为此,在数据跨境流动的问题上,我国既有对等反制数据流向美国和印度的法律工具需求,又有强烈的经济发展现实法律保障需求。
然而,我国目前尚无真正意义上的专门的数据管理法规。在数据跨境流动上,我国《网络安全法》关于数据本地存储的规定仍比较笼统,未对个人信息、重要数据的范围、数据出境安全评估的标准和程序等进行规定。而其他关于数据跨境传输的规范则散见于有关特定行业或特定类型数据的部门性法律和法规中,如《中华人民共和国数据安全法(草案)》《中华人民共和国保守国家秘密法》《征信业管理条例》《人类遗传资源管理条例》《人口健康信息管理办法(试行)》等,不当加重了数据出境的合规负担,难以满足快速增长的多样化数据出境需求。此外,跨境数据流动涉及部门多、链条长,国家之间或国家与地区之间监管协调难度较大,具有数据跨境需求的公司或者缺乏具体法律操作指引而不敢、不会共享数据,或者随意对外传输数据损害了国家安全、社会利益、数据主体权益。
为适应对外经贸发展需要,实现数据风险防范和各方利益的有效保障,我国应当建立数据有序跨境流动的管控机制。在已有的数据跨境流动法律实践中,美国、墨西哥、加拿大三国新近签署的《美墨加协定》(USMCA)在TPP的基础上针对数据的跨境流动作出了进一步的补充、修改和完善,从数据本地存储与处理、消费者个人信息保护、网络安全挑战合作、互联网平台民事责任等方面构筑起便利数据跨境流动的桥梁;美国与欧盟达成的《欧盟-美国隐私盾协议》(EU-U. S. Privacy Shield)构建了两大发达经济体之间数据跨境流动的畅通渠道;欧盟《通用数据保护条例》(GDPR)为数据跨境流动提供了制度示范,值得我国借鉴。然而,USMCA、“隐私盾”、GDPR等倡导的数据跨境流动背后暗含着美国和欧盟等各自不同的深层次利益诉求。我国在跨境数据流动法律规则的构建上,既要吸收现有法律成果,又要结合自身的产业发展情况和风险防范能力,在数据的共享和控制之间达至平衡。
▍数据跨境流动的法律挑战
数据跨境流动关乎国家利益、产业利益、风险控制三者之间的动态平衡。宽松的数据跨境流动规则有利于产业数字化发展,但会增加风险控制难度,对发展中国家来说可能损害其国家利益,对发达国家来说则有助于其通过数据实施全球经济控制。严格的数据跨境流动规则不利于产业数字化发展,但会降低风险控制难度,对发展中国家来说可以避免发达国家的数据霸权。但总的来说,无论是宽松还是严格的数据跨境流动规则,均会在国家安全、个人隐私保护、商业利益保护等方面带来挑战。
(一)国家安全挑战
“棱镜门”已经证实美国通过侵入他国网络系统,非法获取他国境内的数据并进行跨境转移,对他国的国家安全造成了侵害和威胁。此外,基于商业目的的数据跨境流动也引起了国家安全的担忧。典型的例证是,华为公司在对外扩张5G业务的过程中,遭到了以美国为首发达国家的严格业务审查,美国甚至以国家安全问题禁止华为参与本国的5G建设。究其原因,华为作为跨国通讯科技公司,在业务开展过程中需要收集大量的用户数据,部分数据需要出境传输至公司总部或研发中心所在国进行数据处理或分析,这引发了美国等的国家安全担忧。此外,微软等跨国公司也被欧盟质疑参与了美国的监视项目。
总体上讲,数据跨境流动带来的国家安全威胁担忧并非没有道理。在世界各国数字产业发展严重失衡的情况下,数据由发展中国家不断积聚到发达国家,可能助长数据霸权的形成,并进一步演化为单边主义的又一重要武器,加剧全球经济发展的失衡状态,深化发展中国家对发达国家的经济依附。此外,大数据、人工智能等技术的不断进步,使隐藏在数据中的人类行为模式被识别出来,包括食物喜好、生活习惯、健康状况、职业选择偏好等等。通过自由的数据跨境流动,利用大数据分析,一国可能对他国的社会状况进行精准画像,并有针对性地开展情报收集和研判等工作,威胁他国国家安全。为此,发展中国家必然对本国领土内的互联网设备、数据收集、传输、使用采取限制或禁止的态度,以保护国家主权的不受侵害,而国家安全挑战亦将成为发展中国家包括我国制定数据跨境流动规则的重要考量因素。
(二)个人隐私保护挑战
在数据的跨境流动中,不可避免的涉及个人隐私保护问题。例如跨境电子商务中,消费者通过网络订购货物或服务,订单信息、收货地址、联系方式等个人信息以数据化的形式出境被境外电商获取。如果境外数据接收方不能提供充分的个人隐私保护措施或者滥用个人数据,就可能侵犯个人隐私权利,进而带来个人隐私保护挑战。典型的例证是,Facebook不但存储美国公民的数据还搜集存储其他国家公民的数据,全球数以亿计的用户数据遭到泄露,并被非法用于政治选举分析等。
实际上随着数字经济的不断深化以及全球经济的互联互通,个人信息将无可避免地被数字化而融入流通之中。从经济效应上看,个人数据的取得、加工、分析已经成为互联网驱动企业获得竞争优势的关键,跨国公司通过个人数据的跨境流动开展大数据挖掘、智能画像等开展精准营销投放和产业布局,并获得经济利益。此外,对个人来讲,在部分商业场景下如跨境资产配置中,个人数据出境是获得便捷优质金融服务的前置条件。然而,如前所述,数据跨境流动与个人信息保护相伴相生,如果缺乏针对“跨境数据自由流动”的合理监管,将无法有效保障个人的隐私安全。但目前来讲,针对数据跨境流动还未形成统一的国际法保障体系,个人隐私保护协作还局限在个别国与国、国与地区之间的FTA中,政府国际组织如APEC倡导的《跨境隐私保护规则》(CBPR)也并未成为国际社会普遍采纳的通行准则,因此个人隐私的跨境保护成为数据跨境流动的一大挑战。
(三)商业利益保护挑战
对于商业数据的采集、形成及基于商业数据的行业研判,尤其数字化产品本身如计算机软件、影音等往往是数据控制企业智力和劳动的体现。对于计算机软件、数字化影音等产品通过知识产权法进行保护不存疑问。尽管较传统实体类知识产权载体,数字化知识产权载体通过数据流动的方式更易复制、传播,但总体来说在知识产权法不断完善的情况下足以对权利主体的利益进行周延保护。值得注意的是,蕴含数据控制主体劳动成果的大数据集合如何保护却远未形成共识,有学者认为应当通过不正当竞争规则对不当利用大数据集合的行为加以规制,有学者则认为应当赋予数据主体以财产权利。从功能上讲,数据集合是大数据分析的前提和对象,通过大数据分析,企业可以有的放矢地调整产能,有针对性地开展市场营销和产品投放,可为企业带来商业价值和利益。对商业数据集合法律定性的模糊将给企业的合法商业利益保护带来挑战。
总之,数据在内容上既可能表现为个人隐私,也可能体现为商业利益又可能涉及国家安全和公共利益。少量的数据流动可能仅仅损害个人或企业的合法权益,大量的规模化的数据流动,则可能影响到一国的经济社会安全。数据蕴含利益的多样性和交织性,尤其是数据量变、质变互相转换的过程可能使数据表征的利益从单个主体迁移至社会和国家层面,必将对一国的数据跨境监管政策带来挑战。
▍我国数据跨境流动规则的框架性构建
(一)规则构建的考量因素
1. 结合我国产业发展情况
从全球看,各国数字经济发展参差不齐,在对待数据跨境流动上的利益和立场存在着巨大差异,甚至冲突。如印度司法部专家委员会指出,倡导数据自由流动只符合美国等少数在数字经济发展上具有先发优势国家的利益。而发展中国家、欠发达国家更关注数字基础设施、数字化技能等电子商务基础设施的发展,并希望通过数据本地化存储来促进本国数字产业的发展。
从产业分布上看,2019年全球市值最高的100家企业中美国占了54家,在互联网领域,美国企业具有巨大的先发和主导优势,在社交媒体、搜索引擎、电子商务、云计算等领域都处于全球主导地位。开放的数据跨境流动格局有利于满足美国数据驱动的技术型企业的发展需要。故而,美国主导下的USMCA尽量取消不必要的数据流动限制,例如不要求数据本地存储、限制平台企业的民事责任等。与宽松的数据跨境流动倡议相对应,USMCA中倡导的CBPR规则在个人信息保护方面也存在标准偏低的问题。正如有学者指出,在个人数据保护的评价上,如果以欧盟95年数据保护指令为10分标准,CBPR规则仅能达到6分。总之,宽松的数据跨境流动规则,有助于美国维持其在数字经济上的领先地位,符合其经济利益。
从我国产业发展来看,我国跨境电商以及经济全球化的蓬勃发展,使得跨境数据流动成为我国企业与其他国家开展贸易的重要一环。阿里巴巴、腾讯、平安、华为等科技公司已经在跨境电商、跨境支付、金融普惠、信息服务等领域形成了领先优势。根据麦肯锡测算,我国数字经济规模,稳居全球数字经济的第二大市场,但宽带数据流动量却仅位居全球第八,仅为美国的20%,与庞大的数据经济体量相比,我国数据流动规模过小。跨境数据流动已经成为全球主要经济体之间商业贸易和通信不可或缺的重要环节。在我国不断加大对外开放的基础上,数据跨境流动成为继续推动我国数字经济发展的必然选择。我国应加快数据跨境流动的法律建设,在有效管控风险的基础上,为形成数据跨境流动的有序格局提供制度保障。
2. 结合我国法律现状和风险管控能力
我国目前已经初步构建了跨境数据流动管理的法律法规架构。除了《网络安全法》第37条对关键信息基础设施个人信息和重要数据跨境流动管理之外,我国对某些重要行业和领域的数据跨境流动作了限制性规定。如《保守国家秘密法》要求防止含有国家秘密的数据流出中国;《征信管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工,应当在中国境内进行;《地图管理条例》规定互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并制定互联网地图数据安全管理制度和保障措施。此外,中国人民银行对个人金融信息数据,国家卫计委对涉及人口健康信息数据,交通运输部、工信部等7部委《网络预约出租汽车经营服务管理暂行办法》对网约车所采集的个人信息和生成的业务数据等都要求在中国境内存储。
然而如前所述,我国现有数据跨境传输规范散见于各行业或领域的具体法规,涉及数字产品和服务的生产、存储、使用、监管、商业秘密、个人隐私权保护、版权保护、内容审查等方面的相关数据基础立法尚不完善,相关标准规范发展滞后,具体监管制度有待细化,跨境数据流动监测的手段还显不足。即便《网络安全法》试图在宏观上明确数据跨境的原则,即关键信息基础设施运营者应在中国境内存储在境内运营收集和产生的个人信息和重要数据,且仅得出于业务需要,经过相关监管机关安全评估,方可向境外传输此类信息和数据,但总体上来说,《网络安全法》数据境内存储的规定仍比较笼统,未对重要数据的范围、个人信息和重要数据出境安全评估的标准和程序等进行规定,并未具体明确数据的分级和分类,并形成足够细分颗粒度的数据跨境流动管理策略,也没有数据跨境流动监管的国际合作机制。此外,各行业主管机关仅负责对本行业内企业数据跨境传输进行监管制度,在国家层面缺乏集中的监管协调机关,容易产生监管竞争或监管漏洞。如制药企业、智能设备提供者和线上医药平台可能同样会收集、获得并向境外传输人口健康数据,但由于不属于医疗机构,故不属于国家卫生和计划生育委员会《人口健康信息管理办法(试行)》的执法监管权限范围之内,导致这些企业开展的数据跨境传输在实践中未被有效监管。
作为对比,美国尽管也未进行专门的数据立法,但其在数据跨境流动上却拥有足够的制度工具以实现风险控制。有学者就认为支撑美国跨境数据自由流动主张的背后,除了经济利益考量还有实现有效法律管控的自信。这主要表现在如下几方面:
第一,互联网企业先发优势带来的天然的数据本地化存储及全球数据管理权。麦肯锡报告称,美国在信息和通讯技术、媒体和金融行业的数字化程度远超其他国家,赋予美国对全球数据的巨大控制权或管理权,而无需担心会有大规模数据由本国转移到国外。
第二,美国政府对关键部门、行业和领域的数据跨境流动实施了分散、隐蔽但有效的管控。尽管美国不存在普遍性的跨境数据流动立法,但至少在电信、科技、卫生医疗、外商投资等关键部门、行业和领域已经建立了分散化、非显性化的跨境数据流动管制要求。部分要求内化为国家安全审查的一部分,部分要求通过公共采购合同、网络安全协议等方式得以体现。例如,2018年发布的《外国投资风险审查现代化法》明确将涉及收集美国公民敏感个人数据的外国投资(包括非控制性投资)纳入审查范围,防止外国企业涉足处理美国公民敏感个人数据的美国企业。又如在电信领域,外资运营商通常被要求签署网络安全协议,以确保执法侦听、政府通信和阻止恐怖主义等管理要求得以实施。同时安全协议要求通信数据包括呼叫识别信息、与用户位置或身份相关的信息、电话号码、用户账单记录等都应仅在美国境内存储。
第三,对国际规则具有高度的主导权、话语权和解释权。美国作为国际贸易规则的主导者,对国际规则具有很强的话语权和解释权,可以灵活利用规则赋予的空间维护本国利益,甚至在贸易摩擦等极端情形下直接藐视规则。例如,灵活运用“安全例外”和“一般例外”原则,对跨境数据流动以国家安全为由行使相关管理措施。
第四,美国通过国内立法赋予本国执法机构对境外数据实施长臂管辖的广泛权力。美国2018年出台的《澄清境外数据的合法使用法案》(CLOUD法案)明确赋予美国执法机构跨境调取数据的权力。因此,美国可以基于国家安全和打击严重犯罪需要调取境外存储的数据,并且可调取数据的范围并不限于美国人的数据,可调取数据的企业范围也不限于美国企业或总部在美国的外国企业。外国企业只要在美国提供业务并且与美国发生了充分的联系,就可能被要求提供数据。
在数据跨境流动上,我国还未形成成熟的体系化管理策略。为此,我国应当进一步加快数据跨境流动的法律制度建设,努力细化国内立法,出台配套实施细则。同时应注意到,数据跨境流动管理对我国而言还属于新命题,出于风险管控需要,我国不能像美国一样单纯追求数据的自由流动,而应当在总结监管经验的基础上,结合自身国情,在风险可控的前提下,稳步推进数据的跨境流动。
3. 结合我国与国际规则互动情况
在国际规则方面,OECD《关于隐私保护和个人跨境数据流动的指南》和APEC《隐私保护框架》均是推荐性标准,且后者基本吸收了前者的立法成果,其关于数据跨境流动的规则或者经过数据主体同意或者采取合理措施确保数据接收者履行充分的个人隐私保护义务并不必然被成员国采纳。而在经贸领域,在欧盟推动下WTO框架下的《贸易总协定》(GATS)第14条明确成员国可以隐私保护为由限制个人数据的跨境流动,在一定程度上为成员国限制数据跨境流动提供了依据。美国推动TPP、USMCA则试图在WTO外形成区域性的数据自由流动圈。此外,欧盟内部通过GDPR基本实现了数据在欧盟成员国间自由流动,同时对欧盟以外的国家和地区又形成了以充分性保护等为基准的丰富的数据跨境流动渠道。
我国未加入APEC下的CBPR体系,未参加TPP等多边经贸谈判,也未与欧盟达成关于数据保护的双边协议,总体上还处于完善国内数据保护法规的阶段,对外规则融入不足。但如前所述,我国存在数据跨境流动的产业发展需求,且正在进行区域全面经济伙伴关系(Regional Comprehensive Economic Partnership)、中日韩自由贸易协定谈判,谈判对象中大多系TPP成员或者已经加入了CBPR体系(如日本、韩国),日本甚至已经通过了欧盟数据保护的充分性认定,经贸谈判中涉及的跨境数据流动条款必将受到现有国际规则的影响,甚至会被借鉴到相关的谈判文本中。为此,我国应当积极熟悉CBPR体系、TPP、USMCA等中有关数据跨境流动的规则,并借鉴吸收进入我国的国内立法,为后续参与国际谈判磋商提供国内法依托。
总之,我国在数据跨境流动上存在现实的利益需求,但国内法相关规则还不健全亟需完善,在国际合作上也还未形成自己的稳定策略,需要借鉴国际组织及欧盟、美国等发达国家在数据跨境流动国际合作中的有益工具如CBPR体系“、隐私盾”、GDPR下的“企业约束规则”(BCR规则)等,在求同存异中实现数据跨境流动的稳步推进。
(二)数据跨境流动的具体规则
1. 建立数据分类审核制度
《网络安全法》第37条虽然要求建立跨境数据流动评估制度,但个人信息和重要数据界定、数据跨境传输的评估机制和评估方法等细则尚未出台。从立法目的上看,《网络安全法》是基于国家网络安全视角提出的,针对数据跨境采取了更为直接和严格的干预手段,缺乏弹性,难以满足数据多样化的数据出境需求。就数据跨境流动而言,从国家安全、企业商业利益、个人信息权益等角度出发,笔者认为可按来源和重要程度将跨境数据划分为个人数据、商业数据、特种行业数据,并设定不同的数据出境审核要求和监管标准。
(1)个人数据。对于一般个人数据如身高、体重等和敏感个人数据如种族、征信信息、财产信息和住宿信息等,允许跨境流动,但要履行通知-同意的程序;或者数据接受地达到与本国相同的保护程度;或者数据出境是为了履行数据接收者与数据主体之间的合约所必须等。总之,对于一般数据和敏感个人数据允许有限制的跨境流动,符合国际通行做法,也是成熟经验总结。但是对于关键个人数据,比如健康数据、遗传数据等,应以禁止跨境流动为原则。例如澳大利亚在《个人控制的电子健康记录法》(Personally Controlled Electronic Health Records,PCEHR)第77章禁止可识别个人身份的健康数据向境外传输。究其原因,一国的关键个人数据已经超出了个人隐私的范畴而具有国家安全层面的意义,应当仅能存储在本国的服务器/数据中心,原则上禁止离境。
(2) 商业数据。商业数据平台不但能进行产业内的横向和纵向比较,还能进行产业间的比较,更能监控各产业的即时发展情况。事关国计民生的某些产业发展状况可能通过商业数据跨境流动的方式为他国或第三方获悉,不但可能损害商业数据中包含的商业秘密、知识产权或诱发不正当竞争,还可能侵害一国的国家利益和公共利益,故数据控制主体在向境外第三人转移商业数据时应当履行一定的自查义务,必要时应当取得行业部门的同意。
(3) 特种行业数据。对各种行业数据,各国出于国家安全和公共利益考量对其跨境流动采取较为谨慎的态度。例如德国在2016年针对某一类型的电信元数据推出了数据本地化存储的要求,法国在医疗、信息通信等领域也存在相关的数据出境限制要求。通常来讲,对特定行业数据应加强安全评估。以金融行业为例,针对电子银行的跨境业务活动,个人金融信息的储存、处理和分析,跨境外包,以及征信数据的整理、保存和加工等活动进行严格的规定,强调了数据的本地化存储要求,原则上不得向境外提供。究其原因,宏观层面来看,是基于国家安全视角;中观层面,与行业的监管有关;微观层面,涉及个人敏感信息。因此,针对电信、金融、石油、电力等关键行业数据跨境流动应采取审慎的安全风险评估制度,并进一步明确安全风险评估的管理机构、评估机构的资格认定、评估标准、程序,评估结果管理等具体内容。
2. 强化数据安全的技术建设
数据的跨境流动依托互联网网络,“棱镜门”事件已经表明在网络攻击下,数据存在非法流出境外的隐患。因此有必要强化数据安全的技术安排,通过技术手段预防、限制、制止数据的非法出境行为。USMCA就明确缔约各方应加强应对网络安全事件的能力,加强网络安全协作,共享网络安全信息,防范恶意代码攻击,并提倡基于风险的方法(risk-basedapproaches)以识别和防范网络安全风险。就数据跨境流动而言,除了采取必要技术措施以保障网络安全、稳定运行,有效应对网络安全事件,防止数据泄露、毁损、丢失外,还应根据数据流动的特征采取流量路由等必要措施对数据的走向、总量进行必要控制,在威胁国家安全等情况下甚至阻断数据的传播。此外,要积极吸收先进技术成果,采用数据加密或数据脱敏从源头做好个人隐私和其他重要数据的保护。在制度安排上,要建立定期测试、评估、评价技术和管理措施是否有效的体系。
3. 完善数据主体等的法律权利
在个人数据保护上,GDPR设定了高标准的示范,并提供了丰富的制度工具如算法可解释权、删除权、可携带权等供个人主张以应对不当利用个人数据的行为。亚洲太平洋经济合作组织(APEC)的《跨境隐私保护规则》(CBPR)则在数据跨境流动上规定了数据收集目的明确,数据使用范围限制,安全保障,透明度,个人参与,权利救济与问责等法律原则。但我国却无专门数据立法对数据主体等的权利进行明确规定。此外,在企业数据保护方式的选择上,目前还没有统一的法律模式。除了通过不正当竞争法(行为法)、财产权(权力法)的模式选择外,还有学者提出通过构建大数据有限排他权等知识产权体系对企业数据进行保护。数据的跨境流动属于数据运用的一种,基于前述个人隐私侵犯风险、企业财产权利受损风险,数据主体等权利的缺失将使受害人无法获得周延的权利救济,也使行政执法或司法裁判陷于无法可依的境地。为此,我国亟需完善并明确规定数据主体等的权利,在加强行政监管、规范数据控制主体行为的同时,使数据主体及时获得私法救济,并调动社会监督的积极性,保证数据跨境流动的合法有序进行。
4. 完善数据出境过程中相关主体的风险管理责任
在政府层面由专门机构统筹负责数据跨境流动的审核,切实履行监管职责。我国国家互联网信息办公室颁布的《个人信息和重要数据出境安全评估办法(草案)》区分行业属性,在网信办的协调下,将数据的跨境流动审核权分别授予网信办、公安部门、安全部门、中国人民银行、银保监会、工商总局等具体业务部门。尽管从监管惯例上看,我国基本形成了行业归口监管的体系,例如在金融领域以行业为主的机构监管,在数据跨境流动的监管上实行以行业主管部门为主的审核体制符合我国的监管体制惯性。但需要指出的是多头审核机制的实施需要构建起协调机制,此外数据跨境流动本身也涉及到处理与数据保护相关的国际事务。新加坡于2013年设立个人数据保护委员会(PDPC)成为个人数据保护事务方面的主要权威机构,并代表新加坡政府处理与数据保护相关的国际事务。为此,应通过设立或由专门机构统筹协调不同行业主管部门的审核职能,以阻塞监管漏洞,同时代表我国统一处理数据跨境流动的对外合作事务,以保证政策的完整性和连续性。
鼓励行业协会及其他自律组织参与安全评估,建立可落地实施,具有活力的数据管理秩序,作为行政监管的补充。从欧盟的法律实践看,数据控制者可以成立协会并提出所遵守的详细行为准则(codes of conduct),该行为准则经由成员国监管机构或者欧盟数据保护委员认可后,可通过有约束力的承诺方式生效。如前所述,我国目前已经初步构建了跨境数据流动管理的法律法规架构,但具体的监管制度仍有待细化和完善。数据跨境流动监管毕竟属于新鲜事物,在探索性的监管过程中,既要避免管得过死、过细,实质阻碍了数字经济的现实需要,又要避免过粗、过于原则,无法发挥指导作用。为此可以通过自律组织依据本行业的具体特点制定探索性政策、指南的方式,对法律规定的跨境数据流动的基本原则及主要制度作进一步细化,为企业和机构提供合规性操作指引。
进一步落实数字控制主体的数据保护自查责任。数据控制主体内部需建立数据保护体系,明确数据各生命周期环节的具体操作规范,加强内部监控,避免不当操作。凡出境业务,需经过合规部门预研、审核,确保涉及数据收集、传输、处理等操作的每一步都符合出境的监管要求。从国际经验看,澳大利亚采取了“创始人”(生成数据的人)的制度,利用数据保护性标识督促数据控制主体履行数据保护义务。当数据生成时,创始人需要评估未经许可访问或不当使用数据所带来的损害及后续影响,如果数据的跨境流动可能会损害国家和他人利益,则该数据应被施加保护标识,在披露或向机构外传输前,应采取适当保护措施。通过数据创始人制度(Originator)对数据跨境的要求进行处理,只有获得Originator授权并移除标记,相关数据才可跨境。
当然,除了上述三类主体外,还应发挥市场其他主体功能,如鼓励第三方机构对提供云计算、大数据业务的服务商、境外智能制造企业进行安全资质信用评级,为境内企业选择合作方提供参考;鼓励互联网服务提供者自愿采取行动限制对数据的恶意访问或者对敏感信息和重要数据的访问等,引导多元化市场主体参与数据跨境流动规范建设。
5. 丰富合法流动渠道
从我国的监管实践看,除了涉及国家利益、公共利益的特定行业数据、个人数据绝对禁止出境外,对于其他个人数据和商业数据,网信办《个人信息和重要数据出境安全评估办法(征求意见稿)》、国家信息安全标准化委员会《信息安全技术数据出境安全评估指南(征求意见稿)》设定了较为严格的事前“许可”监管机制,包括履行“通知-同意”程序、安全自评估、行业主管部门评估等。一刀切的事前“许可”可以提高我国的风险控制能力,但与全球化数字经济的发展趋势却极不适应。一刀切的事前许可门槛,往往只是增加形式上的行政负担,最终可能被束之高阁,难以适用。
为了满足数据日常化、规模化的跨境需求,在不涉及国家安全和公共利益的数据跨境流动上,应为“合理有序的数据流动”提供尽可能丰富的合法渠道。从欧盟GDPR关于数据跨境流动规则看,除了用户同意外,另构建起了“充分性认定”、充分保障措施、数据转移是为了履行与数据主体之间的协议所必需等事前“许可”的豁免事由。因履行与数据主体之间的协议所必须的数据出境情况可归结为用户的默示同意,适用场景有限,故充分性认定和充分保障措施成为欧盟等重点参与构建的数据跨境机制,值得我国借鉴。具体而言:
(1) 建立白名单机制。“白名单机制”建立根据数据保护状况及对等措施,将部分地区纳入可自由流动的国家与地区。从本质上来讲,白名单机制是一国认为他国的数据保护水平达到本国的最低要求,进而认为本国数据流入他国会得到充分的保护,而不至于损害数据主体合法权益。但需要注意的是,白名单本身应当是可以灵活调整的,应当建立起定期评估与临时评估等制度,以保证数据流入国始终保持高标准的数据保护标准。欧盟法院以美国情报机关可能滥用数据收集权力为由最近宣布“隐私盾”无效本身,已经从实践说明了“白名单”不能是一成不变的。我国在完善数据保护政策和法律规范的前提下,可通过建立白名单机制,以减轻企业合规负担,畅通数据跨境流动的渠道。此外,在白名单之外还应配套相应的域外执法管辖和责任追究机制,白名单中的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究其法律责任。
(2)充分性保障措施。若向白名单以外国家传输数据,只要数据控制者、数据处理者承诺提供充分的数据保护措施,数据就可以跨境流动。从实践看,充分性保障措施主要包括标准合同条款、具有约束力的集团企业规则、经批准的认证机制等。标准合同条款由政府依据数据保护原则主导制定,通过合同来管控数据出境风险。在合同的具体内容上包含当事人双方应当遵守的数据保护规定,明确不得跨境的数据类型;要求境内企业对其数据进行分类管理,境外企业不得通过芯片后门等方式获得禁止跨境的数据;合作双方均应遵守我国相关数据保护法律规定,合同适用我国法律,并由我国法院管辖。
6. 以国际合作促进我国数据跨境流动规则建设
数据跨境流动对以科技驱动的现代经贸发展的重要意义促使欧、美等发达国家着力推动建立数据跨境流动的新秩序。我国《数据安全法(草案)》第10条亦提出我国应积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。为此我国应当积极参与数据跨境流动的国际合作,融入数据跨境流动的游戏规则,不断总结发达国家监管经验的有益做法如数据访问、保留、安全、审查等相关要求的执法标准,实现国际规则有条件的等同采纳、双多边规则互通互认、先进规则吸收改造,进而反哺我国数据跨境流动规则完善。但同时需要注意的是,在国际合作中,我国亦应当坚持以自身的管理需要和实际出发,对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制;对在数据和数据开发利用技术等有关的投资、贸易方面对我国采取歧视性的禁止、限制或者其他类似措施的,我国应根据实际情况保留进行对等反制的权利。
▍结语
我国在构建数据跨境流动规则的过程中应当处理好国家安全维护、数据主体权益保障、经济贸易发展需要之间的利益平衡关系。在信息通信技术与经贸全球化深度耦合背景下,应当承认数据的跨境流动是绝对的,而对数据流动的限制是相对的。我国目前缺少专门的法律规范以推动数据跨境流动的有序进行,既不利于我国数字贸易的全球化开展,也不利于国家安全和个人隐私等的有效维护。
为此我国亟需制定数据跨境流动的法律规则,以适应全球贸易的数字化趋势。在数据跨境流动法律规则的制定上,我国应当依据不同数据类型体现的国家安全、公共利益、数据主体利益的不同对数据流动进行分类规制,并在法律层面明晰各类数据的范围。对涉及国家安全、公共利益的数据原则禁止出境,对仅涉及数据主体利益、商业利益的数据应当允许有条件出境。在数据出境监管上,应当构建数据控制主体和数据处理主体自查自纠、行业协会自律监管指导、国家专门机关统筹协调监管三位一体的组织格局;在个人隐私和商业秘密等的保护上,要利用相关加密技术对出境数据进行预处理,并加强数据传输网络的安全防范能力,以防止数据的不当泄露;在法律层面上,应完善数据主体权利和相关主体责任,丰富数据合法出境渠道,实现数据有序可控流动。同时我国应当积极参与数据跨境流动的国际合作,推动数据跨境流动实践,进而反哺数据跨境流动监管规则的构建。
本文原载《法治研究》2021年第1期,原题为《论我国数据跨境流动监管规则的构建》