1. 引言
大数据时代下,全球经济与贸易的发展离不开数据的支持与互动,数据交流日益频繁,不可避免地会产生国际间的数据跨境流动。具体是指对跨越国界的数据进行读取、存储和处理的活动,包括数据的出境和入境两个方面 [1] 。数据跨境流动规制也成为了全球性的议题。各国都想要通过数据跨境流动规制领域来争夺全球治理的话语权。近年来,中国也愈发积极地参与数据跨境流动的全球规制,面临一些困难和挑战。对于我国而言,数据跨境流动规制不单是传统行政法的规制问题,更是国内法与国际法相互协调的全球行政法问题。中国参与全球数据跨境流动规制,需要在“全球行政法”的视角下,结合“一带一路”倡议,完善国内法与国际法相互协调,推动制度兼容。2016年欧洲会议和欧盟理事会通过了《通用数据保护条例》(General Data Protection Regulation, GDPR),对于数据跨境流动规制进行了更详细和严格的规定。其在数据跨境流动全球规制领域发挥着引领作用,也成为了许多国家制定本国法律的模板。GDPR的优势与缺陷并存,对中国参与数据跨境流动全球规制有借鉴意义与警示意义。因此,本文将研究GDPR数据跨境流动规制的模式与我国现状,从GDPR“充分性保护”“适当保障措施”“长臂管辖”等规定中寻求启示,对我国参与数据跨境流动规制全球治理的路径提出建议。
2. 欧盟GDPR数据跨境流动规制模式
2.1. 多元化安全评估路径保障数据保护高标准
放眼全球,当前数据跨境流动规制模式主要以欧盟GDPR、美国《跨境隐私规则体系》(Cross-Border Privacy Rules, CBPR)为代表,而欧美对于跨境数据流动的规制也存在明显的立场分歧。相较于美国支持跨境数据完全自由流动的态度,从GDPR的规定来看,欧盟在积极推动跨境数据流动的同时,更强调数据的安全以及对数据的高度保护。个人数据的跨境流动规制是学者们在研究数据跨境流动时最为关注的内容。
GDPR中对于个人数据的保护和监管在全球范围内可谓最为严厉。其特色在于将对个人数据权益的保护置于首要位置,并定位于一项基本权利1。GDPR一方面在欧盟范围内统一了成员国按照个人数据保护的高标准,实现数据在欧盟境内自由流动;另一方面通过第五章的规定明确了欧盟向第三方传输个人数据的标准。GDPR对向第三方数据跨境传输采取了“原则禁止 + 例外允许”的基本模式 [2] 。主要可以分为以下几类情形:一是在综合评估第三国或国际组织的法治、对人权和基本自由的尊重、独立监管机构和国际性承诺等因素后,符合欧盟认可的“充分性保护”水平,可以实现个人数据流动,此为原则;二是虽不满足充分保护水平,但通过提供适当的保障措施弥补差距,例如签订具有法律约束力和可执行性的文件,有约束力的公司规则(Binding Corporate Rules, BCR),数据标准合同条款(Standard Contract Clauses, SCC)或欧委会批准的验证机构等;三是特殊情形下的克减,即不满足充分保护水平,又无适当保障措施的情况下,数据主体知情并表示同意,或确有必要,或出于实现公共利益等必要情形2。
由此可以看出,GDPR通过严格且层次分明的事前监管的方式防止数据流入无法提供充分保护的第三方,保障了欧盟向第三方传输数据时的个人数据权益。其优势在于充分保护的原则为在欧盟与第三方数据流动中个人权益的保护标准提供了更为高水平的要求,增强了个人数据流动过程中所涉主体之间的互信感,给欧盟企业带来制度红利 [3] 。通过欧盟认可的第三方与欧盟之间的数据流动变得更为便利。欧盟也通过此方式试图将GDPR标准上升为全球统一标准,以此争夺数据跨境流动全球规制的话语权。然而劣势在于GDPR提高了数据流动的成本和门槛,导致符合欧盟标准认定的第三方国家或国际组织有限,目前列入欧盟GDPR标准白名单的第三方也是少数,给数据跨境流动造成了一定阻碍。
2.2. “阻断条款”“长臂管辖”维护并扩张管辖权
互联网大数据时代下,数据大规模地在网络空间中跨境流动,突破了传统物理空间上的国家主权界限,给传统国家主权管辖带来了挑战。如此背景下,欧盟通过“阻断条款”和“长臂管辖”两个方面维护并扩张管辖权。一方面,GDPR通过“阻断条款”维护主权管辖。GDPR第48条明确了若第三方基于法院判决、冲裁裁决或行政机关决定等司法执法原因要求转移或披露数据,必须与欧盟或成员国之间有互助的协议或条约,且不会对其他转移形式产生消极影响,方能得到认可和执行。这一条款对第三方司法执法机构进行了限制;另一方面,GDPR又通过“长臂管辖”扩张管辖权,对跨境数据进行域外管辖。GDPR第3条将欧盟境内机构处理个人数据的行为、欧盟境外机构处理对欧盟境内数据主体个人数据的行为以及对发生在欧洲范围内的数据主体活动进行监控的行为都归入了管辖范围之内,极大地扩张了欧盟在数据跨境流动规制领域的管辖范围。
结合上述充分性保护标准可以看出,欧盟利用其市场地位将各国拉至GDPR保护标准,又通过扩张管辖权对跨境数据进行域外管辖,使得GDPR下的数据跨境流动规制带上域外适用和全球规制的色彩,成功抢占国际话语权。但如此的管辖难免会与各国传统的属地管辖相冲突,不利于数据跨境流动的效率和安全。长臂管辖也与全球行政法所强调的普世性和治理主体多元体的态度相悖 [4] 。跨境数据流动的全球规制还是需要遵从多边协作的理念,寻求多方参与,共同治理。
2.3. 明确且协调的数据跨境流动监管体系
GDPR的第6章至第8章分别规定了监督机构的独立地位、合作与协调以及补救措施、责任以及处罚的相关规定,形成了一套较为完备的监管体系。一方面,欧盟各成员国专门设立独立的政府公共机构作为主管监督机构监管数据跨境流动。GDPR规定其享有调查权、校正权、申诉权、授权和咨询权等权力,负责建立与数据保护影响评估有关的清单,监测数据流动发展,与其他监督机构信息共享和提供相互协助等任务3。另一方面,GDPR以专章的形式,详细规定了主监督机构和其他相关监督机构如何进行合作和协调。欧盟专门成立欧盟数据保护理事会(European Data Protection Board, EDPB),作为数据跨境监管的总体统筹机构,协调各成员国监督机构的跨境交流。并负责制定指导方针和实践指南,对实际应用情况进行审查,起草年度报告说明数据流动中的个人权益保护情况等职务,保障GDPR的有效实行。此外,GDPR还建立完善了特定情况下的数据保护专员(Data Protection Officer, DPO),负责对企业履行数据保护义务进行监管,并与监督机构进行对接4。
欧盟GDPR监管优势在于在成员国和欧盟层面都设立了专门的兼顾机构对数据跨境流动进行监督管理。成员国主管监督机构拥有的调查权和校正权使得其能够实施主动监管数据,增加了监管的严格程度。欧盟作为区域一体化组织,具有多地域的特点。GDPR设计的监管制度明确主导监管机构,多机构联合协作,分工明确,能够适应欧盟特点。但独立的监管机构、主动的监管权力以及DPO的设置也会造成欧盟监管成本的上升。严格的监管程度也会将第三方企业望而却步,放弃在欧盟境内开展数据跨境流动业务。
2.4. 与美国达成《安全港协议》《隐私盾协议》建立合作
数据跨境流动意味着数据在多个境内流动,不可避免得会落入多方规制。不同国家或组织存在不同的经济条件与治理理念,决定了各国对于数据规制的力度和水平参差不齐。欧盟采用GDPR标准对数据流动设立高门槛以实现较高水平的保护,美国支持数据完全自由流动,部分经济不发达的国家坚持数据本地化。如果想要减少跨境带来的冲突,寻求数据保护和数据自由流动之间的平衡,积极协商达成合作则是方法之一。以欧盟与美国为例,欧盟与美国都需要彼此的市场和资源。故而欧美之间虽理念不同,但一直都积极寻求缓和数据流动矛盾的合作之路。2000年,欧盟与美国之间达成《安全港协议》(Safe Harbor Framework),后因美国“棱镜”计划所暴露出的安全风险而在Schrems I案中被宣布无效5。2016年,欧美之间又达成了《隐私盾协议》(the EU-U.S. Privacy Shield),后在Schrems II案中被宣布无效6。欧盟与美国之间的合作困难重重,至今仍未达成有效的跨境数据流动合作机制。但欧美之间仍在努力寻找合作空间,都持有继续完善《隐私盾协议》的态度,期待达成制度兼容。
欧盟通过各种方式不断扩大其跨境数据流动的合作范围,推动双边合作,用以强化其对数据市场的覆盖度和控制力。对于符合GDPR标准的第三方,欧盟将其纳入“白名单”进行数据跨境流动。对于主张数据完全自由流动而并不符合GDPR充分性保护水平的美国,欧盟也没有放弃其强大的数据技术和数据资源。欧盟与美国达成《安全港协议》和《隐私盾协议》,在不改变各自数据保护立法理念和各自立法规则的情况下,通过对共同利益保持协商对话的方式来寻求平衡,各取所需。这也为秉持不同理念和设立不同制度的国家或组织之间如何解决跨境数据流动冲突提供了一种兼容思路。
3. 我国数据跨境流动规制现状
3.1. 我国数据跨境流动规制体系
1) 我国数据跨境流动规制的国内立法
近年来我国在数据跨境流动的国内立法上多有成果。我国先后出台了多部涉及数据跨境流动规制的法律,包括《网络安全法》《数据安全法》《个人信息保护法》。与之配套的《网络数据安全管理条例 (征求意见稿)》和《个人信息出境标准合同规定(征求意见稿)》等也不断修改和完善。《数据出境安全评估办法》自2022年9月1日起施行。除此之外,我国目前还有《中国(上海)自由贸易试验区临港新片区总体方案》《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)《地图管理条例》《网络预约出租汽车经营服务管理暂行办法》等特定的领域下涉及数据跨境流动规制的规定,多为出于国家安全而禁止或限制数据跨境流动。多部法律、行政法规和规范性文件逐步构建了数据跨境流动规制的国内法律体系。
从价值导向来看,《网络安全法》《数据安全法》《个人信息保护法》所明确的立法目标表明,我国在数据跨境流动规制上总体的立法价值为以保障数据安全和个人权益为前提的数据跨境自由流动。确立了以数据境内储存为原则,确有必要向境外为例外的模式。这并非“一刀切”地阻碍数据跨境流动的数据保护主义,也非数据跨境完全自由流动,而是在自由流动和数据安全之间寻找平衡点。
从内容的侧重点来看,《网络安全法》和《数据安全法》主要侧重于维护数据跨境流动中国家安全风险的防范。《数据安全法》在《网络安全法》的基础之上聚焦数据问题,进一步完善了跨境数据分类分级规制制度。具体来说,数据被分为个人信息和重要数据两大类,在重要数据概念之下又强调“国家核心数据”,对其加以更严格的管理和保护7。从数据处理者的维度上,重要数据又被分为关键信息基础设施的运营者收集和处理的重要数据和其他数据处理者收集和处理的重要数据,分别适用不同的法律规定8。然而对于分类分级的更具体的标准还有待明确。《个人信息保护法》则侧重于维护数据跨境流动中的个人数据权益。《个人信息保护法》构建了一个较为清楚且系统的个人数据跨境流动制度框架,涵盖了个人数据的私权保护、企业合规以及我国对外合作与博弈三个维度 [5] 。其单独设立了“个人信息跨境提供的规则”专章,在《网络安全法》确认的以境内储存为原则的基础上,对个人数据跨境流动做出了规定:一是对于一般个人信息处理者。具体了原则之外确有必要时向境外提供个人数据的方式,包括安全评估、专业机构认证、订立标准合同等。同时尊重并承认按国际条约或协定相关规定的方式执行。也明确了个人信息处理者应保障数据流动过程达到个人信息保护标准且必须取得个人的明确同意;二是对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,原则上将数据存储在境内,确有必要的,需要通过安全评估;三是确立“黑名单”制度,将侵害个人权益好国家安全的组织和个人列入限制或禁止个人信息提供清单;四是明确按国际条约或协定处理司法执法请求,且必须经我国主管机关批准。
综上所述,传统的“一刀切”式数据本地化原则已经不再适合经济全球化趋势和我国当前的经济发展需求。开放乃是大势所趋。《网络安全法》《数据安全法》《个人信息保护法》架起了我国数据跨境流动规制的大框架。在个人数据跨境流动方面,我国明确了事前监管的方式,保障个人数据跨境流动的权益。在司法执法管辖方面,我国尊重各国主权和管辖权,通过国际司法协助渠道进行跨境数据收集和调取。而具体的标准和程序还需要配套的法规进行进一步细化。例如在个人数据出境的方式中,安全评估和订立标准合同方式已通过《数据出境安全评估办法》和《个人信息出境标准合同规定(征求意见稿)》加以确认和完善,而如何通过专业机构认证方式实现数据跨境流动的具体标准还有待明晰。关于数据跨境分类分级制度,具体分类分级规制的标准和各部门或地区的规制权限范围也有待进一步统筹协调后确立。
2) 我国数据跨境流动规制的国际合作
国际层面上,我国近几年也在数据跨境流动的趋势下,适时表明开放态度,并努力与多个国家推动合作。2020年9月,我国发起《全球数据安全倡议》。倡议内容包括维护全球数据安全与稳定,保护个人数据,尊重当地法律与他国主权和以司法协助等渠道解决跨境司法管辖需求等9。倡议表达了我国希望参与全球数字治理并积极提供中国蓝本的态度。2020年11月,我国正式签署《区域全面经济伙伴关系协定》(RCEP)。RCEP的签署意味着我国仍持有开放的发展理念。在此之前,我国虽已与多个国家或地区签署自贸协定,也在协定中设立了电子商务专章,但在RCEP第12章第15条首次涉及了跨境数据流动的监管要求。2021年,我国正式提出申请加入《全面与进步跨太平洋关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)。这意味着未来我国将对标高标准国际要求,努力提升我国监管水平和保护力度。除此之外,目前我国正在与多个国家和地区的自贸区进行谈判和研究10。
3.2. 我国数据跨境流动规制与国际衔接的障碍
尽管我国在数据跨境流动规制领域进行了国内立法和国际合作的努力,对比以往持有的被动和保留的态度有所改变,但仍存在着国内法与国际要求不兼容的问题,造成我国数据跨境流动规制在与国际的衔接上存在障碍。
其一是数据出境安全评估较为严苛。我国没有“充分性保护”的白名单制度。通过安全评估是数据出境流动的方式之一。从我国现有法律可以看出,我国安全评估采取的是事前“一事一议”且通过数据出境安全评估的结果有效期为2年。若有效期内出现影响出境数据安全的情形,例如数据处理者与境外接收方法律文件变更等,数据处理者还需重新申报评估11。如此操作虽更大程度地保障了数据出境安全,但对于相同第三方反复的评估也可能会造成数据跨境流动的效率不高。
其二是监管制度有待完善。我国监管体制较为分散且不明确。《网络安全法》第8条便明确我国统筹监管、分工协作的原则。由国家网信部门负责统筹协调,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内分工协作。继续完善体系完整、工分明确的制度是必要的。其次,虽然《数据出境安全评估办法》强调安全评估坚持事前评估和持续监督相结合。但目前我国立法上更侧重于规定对于事前评估机制的具体规定,对于持续监督则多为原则性规定。
其三是国际合作程度仍需加强。我国虽然跨境贸易频繁,与“一带一路”国家往来密接,与欧美国家也互动频繁,但我国在数据跨境流动领域对外签署的国际条约或双边协定数量仍是较少。目前我国也未有成功加入CBPR或是达到欧盟GDPR标准的企业。未来还需要积极与第三方国家或组织进行协商对话,争取达成合作。同时继续调整国内规则与国际规则兼容,推动早日加入CPTPP和DEPA的进程。
4. 我国参与数据跨境流动全球规制的路径建议
如今,中国通过《全球数据安全倡议》已经向世界明确展示出了开放的格局以及希冀达成合作的愿望。作为世界第二大经济体,中国应当积极参与到数据跨境流动的全球规制中去,争得更多的话语权,发挥更大的作用。我国可以从GDPR的优势与劣势中得到启示,并塑造更适合国情的全球规制之路。
4.1. 推动国内法律制度与国际规则兼容
一国的国内法是参与国际法的基础,国内法律制度的水平影响着一国能够参与到全球规制的程度。所以中国参与数据跨境流动的全球规制,不仅仅是一个国际法问题,更是要求国内法与国际法相互兼容与协调的全球行政法问题。在理念上,我国可以适时转变被动防御的规制理念。美国数据跨境完全自由流动的理念不适合中国的国情。我国目前的法律制度和监管水平还有待完善,若高度开放我国数据则会带来国家安全和个人权益风险。完全传统封闭的“一刀切”限制流动也不适合当下中国和全球的贸易发展趋势,会对我国贸易发展带来阻碍。所以我国可以借鉴欧盟GDPR,探索在数据跨境自由流动和数据跨境安全中的平衡点,在保证相对安全的基础上最大可能地打开市场,调整国内法与国际法兼容。既给国内企业更多发展的空间与机遇,又能为我国在数据跨境流动全球规制上争夺更多话语权。有学者将制度兼容的推动方式分为三种:制度层面存在共识的兼容、基本原则存在共识的兼容和仅在价值理念存在共识的兼容 [6] 。若制度层面存在共识,则只要在各国原有制度上签订双边或多边协议,即可实现兼容;若基本原则存在共识,则可就该原则的基础之上进行协商,“就低不就高”地遵守规制标准;若仅在价值理念上存在共识,则只能出于共同的利益保持协商以求最大程度的合作。
4.2. 健全事前监管规则和事后问责规则
我国已借鉴欧盟GDPR设置了专业机构认证和订立标准合同等途径实现数据跨境流动的事前监管。关于专业机构认证的具体的规定还有待出台。未来,我国也可以借鉴GDPR的“充分性保护”认定,适时建立我国“白名单”制度。对于经过我国评估后认定保护水平较高、值得信赖的第三方,可以将其列入我国数据跨境流动白名单。也有学者建议考虑将安全评估有效期限从目前规定的两年放宽至三至五年 [7] 。如此可以减缓一事一议制度下对第三方反复评估的负担,提高数据跨境流动的效率。在事后监管方面,也可以完善事后问责规制。我国尚未设立专门的数据监管机构,监管职能仍落在国家网信部门和各级政府部门之中,其对于数据跨境流动的专业水平和监管能力有限,且对于其独立性、人员架构、职能分配、预算来源的规定都有待填补。另一方面,监管机构之间如何统筹,如何联合协作,如何与境外第三方监管机构衔接等问题也同样需要法律予以明确。相较于欧盟体系完整且分工协调的监管机制,我国在未来仍需不断明确和细化监管制度。我国也可以考虑适时设置专门的监管机构,对数据进行专项监管。
4.3. 尊重第三方主权和司法管辖权
在欧盟实施“长臂管辖”,通过各种手段不断扩张其管辖权以争夺国际影响力的同时,从我国发起的倡议和目前的立法上看,我国尊重他国主权和司法管辖权,明确了通过订立双边协议的司法协助形式或按照平等互惠的原则,以获取跨境司法执法所需的数据,不侵犯第三方的主权和安全。当然,我国立法中也体现了一定的域外管辖色彩。对于境外的数据活动,若损害国家安全、公共利益或者公民、组织合法权益的,我国也可对其管辖。但是与欧盟的长臂管辖而言,我国的域外管辖还是基于国际法上的连接点而设置。国际合作并非消除各国之间的差异或是将各国的标准与本国统一,而是在尽量保留各国本土制度的基础上,寻找共同的利益关切,通过协商对话努力拓展彼此的合作空间。所以未来我国依旧可以坚持尊重第三方主权和司法管辖权的原则,以多边协作的方式解决跨境数据流动规制中的各国管辖冲突,而非过度依赖扩张管辖范围。这是符合我国多边主义的发展理念,建立全球命运共同体的体现,也与全球行政法中治理主体多元体的态度的相适应。
4.4. 积极合作参与跨境数据流动的国际规制
无论价值理念是否相同,欧盟都通过协商对话的方式拓展合作。目前已向欧盟GDPR标准看齐,进入白名单的国家已有14个12。欧盟与美国在继《安全港协议》《隐私盾协议》失效之后,也在继续协商探索合作方式。中国目前正式签订的国际条约或双边条约并不多。这使得我国长期以来在欧美强势的规制模式下较为被动。习近平在第二届世界互联网大会开幕式上强调各国应该加强沟通、深化合作,共同构建网络空间命运共同体13。未来我国也可扩展双边合作或区域合作,参与到数据跨境流动的全球规制中去。首先,我国应尽快完善国内立法,早日加入CPTPP与DEPA。第二,我国可以联合立场或标准相接近的国家,积极达成双边或者多边协作。在协议中约定评估机制、监管机制、救济途径和司法执法管辖等,实现双方或多方之间数据跨境自由流动。为国内企业发展寻找机遇,也扩大我国的话语权范围。第三,我国可以通过“一带一路”倡议打造区域个人数据跨境流动一体化。美国CPBR被认为标准过低,欧盟GDPR被认为标准过高。我国可以在区域内推动适中的标准,在保障安全的前提下最大可能地实现数据自由流动。打造出符合我国利益的数据跨境流动规制模式,掌握主动权和话语权。
NOTES
1See General Data Protection Regulation, Art. 1.
2See General Data Protection Regulation, Art. 45,Art. 46,Art. 47,Art. 49。第49条还规定了不符合45条与46条且不符合克减条件的,同时满足以下条件才可向第三方传输数据:数据不得重复传输;该传输行为只涉及少数数据主体;传输对控制者实现合理利益来说是必要的,且这种合理利益不能凌驾于数据主体的权利与自由之上;控制者已经评估了数据传输的环境,并基于评估结果为个人数据保护提供了适当的保护机制;控制者应向监管机构和数据主体告知其传输行为。
3See General Data Protection Regulation, Art. 55~58.
4See General Data Protection Regulation, Art. 39.
5See Maximillian Schrems v Data Protection Commissioner, ECJ Case C-362/14 (2015).
6SeeData Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, ECJ Case C-311/18 (2020).
7参见《网络安全法》第37条、《数据安全法》第21条。
8参见《数据安全法》第31条。
9参见《全球数据安全倡议(全文)》,http://www.gov.cn/xinwen/2020-09/08/content_5541579.htm,中国政府网,2023年4月17日访问。
10http://fta.mofcom.gov.cn/index.shtml,中国自由贸易区服务网,2023年4月17日访问。
11参见《数据出境安全评估办法》第14条。
12包括安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国和乌拉圭。
13《习近平出席第二届世界互联网大会开幕式并发表主旨演讲》,http://www.cac.gov.cn/2015-12/16/c_1117480642.htm,中央网信办,2023年4月21日访问。