石月 中国信息通信研究院互联网法律研究中心研究员
新形势下的跨境数据流动管理
石月中国信息通信研究院互联网法律研究中心研究员
摘要:跨境数据流伴随着互联网的发展,跨境数据数量在不断增加,国际电信联盟(ITU)认为,2015年全球通过互联网的跨境数据量已超过1ZB(10004GB)。本文对新形势下的跨境数据流动管理进行了深入研究和分析。
关键词:跨境数据;管理;新形势
跨境数据流伴随着互联网的发展,跨境数据数量在不断增加,国际电信联盟(ITU)认为,2015年全球通过互联网的跨境数据量已超过1ZB(10004GB)。
(1)跨境数据与国家经济运行和国家安全的紧密程度也在不断加深
从最初满足基本通信功能的邮件、话音、网络视频等业务,传递个人通话数据、文本数据、音视频数据等,之后随着用户在互联网上的消费需求增加,以提供资讯为主的门户网站、自媒体和社交媒体和为消费者提供生活服务的电子商务特别是跨境电商的发展,开始跨境传递个人生活隐私数据、个人银行账户数据、企业账户数据、交易数据等。到现在,由消费互联网转向产业互联网,制造、医疗、农业、交通、运输、教育等产业的生产、交易、融资、流通等环节均互联网化,由此产生的行业经济运行数据、企业运营数据、交易数据、技术数据等,都可能在网络中跨境传输。以智能制造和工业互联网为例,跨境数据流动可能发生在研发、生产、销售、运维各个环节。例如,跨国公司分布在各国的智能工厂,其生产运营数据会跨境汇聚到数据中心中,监控、分析工厂运行状态;一些公司通过分布在工程机械上的各种传感器,采集遍布全球的工程机械运行数据并传回其数据中心。
(2)跨境数据流动对全球经济的发展起到重要作用
2014年,麦肯锡全球研究院发布报告《数字时代的全球流动:贸易、金融、人和数据如何连接全球经济》,指出全球的5流(商品、服务、金融、人员和数据通信流)正在不断增长,对全球GDP增长的贡献为每年2500~4500亿美元,相当于全球经济增长的15%~25%。报告指出,与连通性较低的经济体相比,连通性较高的经济体获得的收益最多高出40%。美国作为全球数字贸易最发达的国家,得益于数据的跨境流动。据美国国际贸易委员会(ITC)估计,数据流动使得美国的GDP增加了3.4~4.8个百分点,同时创造了240万个就业。
(1)数据泄露风险
数据流向境外,若当地数据保护水平不足,或者被当地执法部门强制披露,则容易出现个人数据、企业运营和技术数据泄露风险;另外,在发生个人和企业数据泄露、窃取或其他侵犯权益的行为时,我国相关法律法规在适用于境外服务提供者时存在困难,或者由于提供服务的主体不明确,造成维权较难。
(2)丧失数据资源优势风险
各国信息基础能力的差异使得其收集、传输、处理运用数据的能力各不相同。发展中国家产业运行数据极易为发达国家掌握,损害其行业话语权和主动权,拉大与发达国家差距。大量经济运行、社会服务乃至国家安全相关的信息和数据将会形成向主要发达国家企业集中的趋势,发达国家将形成更加强大的信息资源优势和战略控制能力,也就掌握了对全球信息的主导权。对我国而言,如果外资掌握数据资源等我国未来发展的战略资源,我国将面临丧失信息时代战略优势的风险。
国际上关于跨境数据流动的管理并未形成统一框架,综合来看,目前国外对跨境数据流动主要采取以下管理手段:
(1)数据跨境流动预先审查
在欧盟,根据1995年《数据保护指令》,在实施数据处理之前,数据控制者应当向监管机构报告;对于可能给数据主体的权利和自由带来特殊危险的数据处理行为在实施之前进行审查。根据欧盟的数据保护指令,数据的处理就包括数据的收集、转移、存储等行为。
(2)要求服务提供商采取措施防止重要数据向境外流动
韩国《信息通信网络的促进利用与信息保护法》第51条政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动。
(3)标准格式合同管理
标准格式合同管理模式,即由政府对跨境数据处理合同条款中应当包含的安全管理内容进行规定。例如,在欧盟,由数据保护主管部门制定标准格式合同条款,在条款中依据数据保护法的原则纳入数据保护的要求,企业之间签订的跨境数据流动处理合同如果包含了格式合同的条款,则不需经数据保护主管部门的同意即可实现跨境数据流动。
(4)通过安全协议限制数据跨境流动
例如,美国政府在进行外资安全审查时,通过与外资签订安全协议的方式来控制数据跨境流动,如美国在安全协议中要求用户的通信数据只能存储在美国。
(5)数据跨境安全风险评估
安全评估认证制度主要是指数据控制者在将数据转移至境外前,要对数据安全风险进行评估或者认证。从目前来看,风险评估主要是针对政府和公共部门的数据转移至境外的情况。在澳大利亚,根据《澳大利亚政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》,澳大利亚的政府信息分为几个层级。其中,对于非保密的信息,要求政府机构先进行安全风险评估之后才能实施外包。
在国际上,以美欧为首的两大阵营,关于跨境数据流动制度的博弈仍在继续。
(1)以美国为首的国家倡导数据自由跨境流动
美国公司在云计算、大数据领域占据主导地位,美国的工业在全球也是领先地位,数据自由跨境流动有利于该国公司在全球开展业务。美国、日本、澳大利亚等12个国家在2016年2月正式签订了跨太平洋伙伴关系协定(Trans-Pacific PartnershipAgreement)。协议的电子商务章节要求每个成员国应当允许电子方式的跨境信息转移,包括个人信息。任何成员国不得要求在其境内开展服务的人必须在其境内设置计算机设施。但是前述规定,不阻止成员国为了公共政策目的实施相关的政策,只要这个政策没有构成任意的和不合理的歧视或者变相的对贸易限制。然而,什么是为了公共政策目的实施的政策,如何确认该项政策是否构成了任意不合理的歧视和对贸易的限制,尚没有明确。因此,TPP协议虽然以促进跨境收流动为首要原则,但也没有完全排除对跨境数据流动实施合理限制性措施的可能。
(2)以欧盟为首的地区,仍然坚持对跨境数据流动实施严格的监管
2015年10月,欧盟最高司法机构欧洲法院做出裁决,认定欧盟委员会(简称“欧委会”)通过的关于美欧安全港框架的“2000/520号欧盟决定”无效,使得欧盟与美国之间数据传输所依托的安全港框架丧失了合法性基础。在欧盟取消原有安全港协议的合法性地位之后,为了促进美欧之间的数据跨境流动,美国又紧锣密鼓地与欧盟再次就美欧之间的跨境数据流动进行磋商,达成新的协议。在此次协议中,美国公司将遵循更加严格的义务,美国商务部和联邦贸易委员会也将加强监管。协议规定,美国公共部门为了执行法律和国家安全访问数据,要受到严格的条件限制,需要提供安全保证和监督机制。协议建立了欧盟公民个人信息被滥用的赔偿机制和投诉机制,由欧盟设立的监察员负责。欧盟和美国之间建立了年度联合审查机制,以密切的关注这项协议的执行情况。除了欧盟以外,一些国家为防范以美国为首的国家对全球的数据侦听和收集,美国《爱国者法案》效力的过度延伸,加强数据安全,立法限制跨境数据流动。目前,有超过20多个国家,包括发达国家和发展中国家做出了数据本地存储的要求,对跨境数据流动进行限制。
伴随着一些国家对跨境数据流动政策的收紧,若要推动数据在全球的自由流动,亟需在国际层面达成统一的框架和标准。然而,各国跨境数据流动的政策方向又取决于一国的产业发展、法律传统、政治格局等因素。从目前来看,为了应对美国强大的互联网企业占领欧洲市场,以及欧盟一贯以来以信息自决权作为基本人权的立法宗旨,随着欧盟《数据保护总规》的即将出台,以及美欧新的安全港协议的正式达成,未来欧盟仍然会保持对跨境数据流动的严格限制和保护。而美国向来对互联网领域贯彻的是轻手管制的思路,并且其互联网产业的发展也受益于宽松政策环境的促动,在全球遥遥领先。因此,未来推动全球数据自由跨境流动,降低其本国企业进入全球市场的壁垒,美国政府将不遗余力。作为在政治、外交、军事上都是美国坚定盟友的日本,加之其在工业领域“技术领跑者”的角色,未来可以通过其强大的工业能力,与互联网相结合,成为全球又一个数据汇集中心。特别是在亚太地区,以APEC跨境隐私执法安排和TPP协议为基础,美、日两国将联合持续推动数据自由跨境流动政策。
目前,我国在跨境数据流动管理方面,尚没有成熟的立法和管理政策,然而随着智能制造、工业互联网以及云计算和大数据业务的发展,数据跨境流动成为经济增长、就业创造和社会福利重要推动力。与此同时,数据流动也带来数据资源流失、国家安全和经济安全风险、公民个人数据泄露等问题。相较于美国、欧盟,我国互联网企业已经在国际上占得一席之地,工业产能规模也在世界领先,然而我国工业互联网的发展仍然与世界先进水平还相差甚远。一方面需要借鉴美国经验,避免过度管制抑制产业的创新发展;另一方面,也要吸收欧盟完备的数据管理法律体系优点,保障基本的数据安全,避免数据资源的流失。
因此,新形势下我国的跨境数据流动管理应当从政策、技术手段、法律和国际合作几个方面着手。
(1)在政策方面
针对电信、金融、石油、电力、水利、智能制造等涉及关键基础设施和重要工业装备的领域制定数据分类管理制度、跨境数据流动合同监管制度、安全风险评估制度。
(2)在技术手段方面
针对重点行业建立跨境数据流动技术监测手段,由电信、金融、石油、电力、水利、智能制造相关行业主管部门建立对本行业内的企业跨境数据流动技术监测手段,要求企业自身也要采取技术措施限制数据违规跨境。
(3)在法律方面
推动出台《网络安全法》、《个人信息保护法》、《外国投资法》等相关法律,对我国的跨境数据流动制度作出规定,确立跨境数据流动管理的基本原则和基本制度。研究出台《全国人民代表大会常务委员会加强网络信息保护的决定》的配套法规,将跨境数据流动标准格式合同管理、安全协议限制、跨境数据流动风险评估、跨境数据流动技术监测等配套监管手段纳入立法。
(4)在国际合作方面
推进双边区域性跨境数据流动合作。在全球尚未达成共识的情况下,我国可以通过多边和双边谈判,与其他国家构建共同的跨境数据流动规则,降低规则差异给跨境数据流动管理带来的风险和成本。加强与欧盟、俄罗斯、韩国、印度等实施跨境流动限制国家的沟通与合作,争取这些国家的支持与联盟。
收稿日期:(2016-03-10)