文|付伟,于长钺
美欧跨境数据流动管理机制研究及我国的对策建议
文|付伟,于长钺
互联网、云计算和大数据正在加速向各领域渗透,并不断改变人们的生产生活方式,驱动经济发展,重塑企业和国家的竞争力。数据资源的收集、处理、挖掘和分析已经突破了地域的限制,跨越国境的数据流动越来越频繁,跨境数据流动管理已经成为个人数据保护和数字经济发展的核心问题。美国、欧盟等国家和地区,以及一些国际组织有关跨境数据流动管理方面的经验和做法值得认真研究和借鉴。
跨境数据流可译为Trans-border Data Flows或Cross-border Data Flows,二者无本质区别。联合国、经济合作组织(OECD)、欧盟等常使用前者,而美国、澳大利亚等常使用后者。早期的文献中还经常使用“信息自由流动”,即Free Flows of Information。本文对这几种说法不做区分,均纳入研究范围。
当前,有关跨境数据流的具体定义尚未形成统一的意见。1980年,OECD在《隐私保护和个人数据跨境流动指南》中就跨境个人数据流做了简明扼要的定义,认为跨境个人数据流就是个人数据的跨越国界流动。1982年,联合国跨国公司中心认为跨境数据流是指跨越国界对计算机处理的机器可读数据进行处理、存储和检索。虽然这个定义出现较早,而且从技术上看也是过时的,但是直到现在,它依旧是研究和学习中被引用最多的概念。我国学者也较早关注跨境数据流问题,周宏仁认为越境数据流是指数据通过计算机通信系统跨越国家边境的运动,并阐述了跨境数据流的法律框架所涉及的数据安全、责任、使用权的认可等几个关键问题,并认为跨境数据流是一个非常值得关注的、相当复杂的、具有强烈的信息时代特征的数字世界治理问题。综合以上定义和观点,一般简单地认为,数据跨境流动是指机器可读的数据通过互联网和信息系统跨域国家边境的运动。
互联网正在成为不同国家和地区的买卖者进行商业活动的关键平台,并使得跨境数据流动成为全球经济一体化和驱动国际贸易发展的重要支撑。《促进大数据发展行动纲要》指出数据已经成为国家基础性战略资源,以数据流引领技术流、物质流、资金流、人才流,将深刻影响社会分工协作的组织模式,促进生产组织方式的集约和创新。2014年美国商会发布了一份名为《商无国界——跨境数据流的重要性与全球繁荣》的报告,开篇就提及跨境信息流动驱动了今天的全球经济发展,跨境数据流使得商业和消费者能够获得最好的技术和服务。
跨境数据流动提升数字贸易发展。美国布鲁金斯学会的研究显示,欧美之间的数据跨境流动频率全球最高,比美国和亚洲地区的数据流动高50%,几乎是美国和拉美跨境数据流的2倍。而与此相对应的,2012年,美国出口到欧盟的服务中72%(1406亿美元)是数字化可交付服务(Digitally Deliverable Services),而美国出口到全球的数字化可交付服务价值约3837亿美元,约占美国服务出口额的61%。2014年8月美国贸易委员会发布《美国和全球经济中的数字贸易》报告显示,数字贸易可通过提高生产率、降低贸易成本对经济产出做贡献,改善信息获得,为中小企业增加市场机会,2012年数字贸易贡献了美国GDP的3.4%-4.8%。
数据驱动的经济使得区域边界越来越模糊,国际贸易的障碍不断降低,经济全球化和专业化分工不断提升。就某一种商品而言,其可能由欧洲设计、中国生产、美国管理、印度维护,但是产品有关的员工、顾客和供应链数据和信息必须在全球范围内共享。对跨境数据流的限制可能对经济增长造成负面影响。美国贸易委员会的报告指出,数据储存本地化要求、市场准入限制、数据隐私和保护等因素阻碍了美国数字贸易的发展,可能影响0.1%-0.3%的美国GDP增速。2014年3月欧洲国际政治经济研究中心发布的《数据本地化的代价》报告也显示,限制数据自由流动将对GDP增长率产生负面影响,其中,中国为-1.1%,巴西为-0.2%,欧盟为-0.4%,印度为-0.1%。
美国、欧盟及部分国际组织等都提出过跨境数据流动管理主张,且发布过相关法律和政策文件,形成了较为完善的跨境数据流动管理机制。
(一)美国的跨境数据流动管理机制
美国偏向限制政府权力,同时,其信息技术和跨国公司发展一直处于世界领先的地位,美国坚持认为,仓促立法会限制电子商务的发展,对个人信息保护采取宽松态度,依靠商业机构自身的力量来保护个人(特别是消费者)信息,才是最为有效的保护机制。因此,美国没有专门出台一部针对隐私和数据保护的法规,而是倾向于支持自由的跨境数据流动。2010年6月,美国金融服务论坛在给美国商务部国家电信管理局名为《互联网经济中的信息隐私与创新》信件中指出,美国政府在确保创新与监管之间的平衡是至关重要的,过于规范的监管制度可能扼杀创新,因而没有保护消费者隐私权益,同时也可能使美国企业在全球竞争中处于劣势地位。在互联网时代背景下,跨境数据流动已经成为人们日常生活的一部分,国家限制跨境数据流动或者处以高度系统化的隐私制度会造成显著的经济成本,对跨境数据流动的限制已经过时。
美国的数据政策相对宽泛和自由,且无系统化的法规和规则,数据出口主要依据《出口管理条例》(EAR)、《国际军火交易条例》(ITAR)及专业领域的法案。其中,EAR重点限制技术数据(含软件)、技术参数数据库和部分关键领域的数据,并提出进行备案制或者许可制管理要求。同时,美国对医疗、教育、金融服务、信用报告、儿童等特定领域的数据的存储和流动有着极为严格的要求。一方面,美国依据各类隐私法案对隐私数据保护提出要求,限制或者有条件允许数据跨境流动。另一方面,在一些重要行业和领域,美国有很多法案对数据流动和存储提出严格要求。例如,医疗数据方面的美国健康保险携带和责任法案(HIPAA),金融服务数据方面的格雷姆-里奇-比利雷法案(GLBA)。在电信领域,美国外资投资委员会(CFIUS)会要求通信基础设施应位于美国境内,通信数据、交易数据、用户信息等仅存储在美国境内。此外,美国对阻碍跨境数据流动的行为非常关注。2014年4月,德国和法国倡议建立一个欧洲内部的通信网络,以避免电子邮件和其他数据通过美国传输。美国贸易代表办公室对该倡议提出了批评,并认为此举可能违反国际贸易法。同时,美国贸易代表办公室在其全球电信贸易壁垒年度审查报告中表示,阻碍跨境数据流动是一个严重且越来越令人担忧的问题。
美国的跨境数据流动管理与其全球贸易战略和政策一致,即跨境数据流动管理的核心是维护美国在全球贸易中的主导地位。因此,美国的跨境数据流动管理机构主(见图1)要集中在贸易领域,主要包括美国商务部、美国联邦贸易委员会、美国贸易代表办公室及美国司法部等。其中,商务部负责“安全港”协议、数据隐私盾协议等重要协议的实施;联邦贸易委员会主要参与贸易领域相关的隐私和数据保护法案的实施;贸易代表办公室重点关注电子商务和跨境贸易中的跨境数据流动问题,核心任务是推动全球数据自由流动;司法部主要职责是保障法律法规的施行,对美国公司持有的跨境数据流行使司法管辖权。另外,美国的一些独立机构和委员会也承担了相应的监管职能。
图1 美国跨境数据流动管理机构及其职能
(二)欧盟的跨境数据流动管理机制
欧盟重点关注个人数据跨境流动中存在的隐私问题,其有关个人隐私保护的法律也是全球最严格的,所有数据的流动都要获得数据主体的同意,且个人数据流入目的国需满足“充分性”保护要求。在数据进出口管理方面,根据欧盟的法律要求,向欧盟之外转移数据的过程中,必须按照两步程序,一是由于数据转移是一种数据处理,必须有数据转移的法律依据;二是跨境数据流动必须有法律依据,以便确保在进口国家数据也能得到“充分保护”。1996年,欧洲发生了有关数据转移出境的最早争执。花旗银行由于将德国信用卡数据转移到了美国分公司,而受到强烈批评。后来,花旗银行在德国数据保护专员的帮助下使用了合同方式,才找到了数据转移的法律基础。
基于上述管理理念,欧盟先后制定了系列涉及个人数据跨境流动的法律法规,包括《欧洲理事会108号公约》、《数据保护指令》(1995)、《欧盟议会和欧盟理事会关于共同体机构和组织处理个人数据和促进这些数据自由流动的个人数据保护》(2000)、《通用数据保护条例》(2015)等。欧盟还与美国就个人数据跨境流动签订了两个协议,即商业领域的《欧美隐私护盾协议》(取代“安全港”协议)和执法领域的《欧美保护伞协议》。
依据《通用数据保护条例》,欧盟涉及跨境数据流动管理的组织架构分为三个层次(见图2):基层单位层面,欧盟要求公共机构和雇员超过250人的企业设立一名数据保护官(DPO),数据保护官直接向单位管理者汇报;成员国层面,要求各国成立独立监管机构((DPAs)),行使数据保护监管权利,对不遵守法律的企业最高可以罚款2000万欧元或全球年营业额的4%,完成年度工作报告,并提交给所在国的议会,以及公众、欧盟委员会和欧洲数据保护委员会;欧盟层面,要求设立数据保护监管专员(EDPS),其主要职责是加强对欧盟各机构处理个人数据进行指导和监督。并成立欧盟数据保护委员会,其成员由各国独立监管机构的负责人和欧盟数据保护监管专员组成。其主要任务是向欧盟委员会提出个人数据保护的建议,促进和检查新的数据保护规则的执行,以及促进与全球范围内数据保护立法和实践的交流。欧盟数据保护委员会秘书处设在欧盟数据保护监管专员办公室。
在互联网和商业环境中,数据连续转移,以及数据在处理者之间的流动成为常态。欧盟对此做了严格要求。欧盟理事会和欧盟议会赋予欧盟委员会认定第三方国家是否具备个人数据保护充分性的权利。截止2015年9月,欧盟委员会确认安道尔、阿根廷、加拿大(商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、瑞士、乌拉圭、美国商务部的安全港隐私原则等能够提供充分保护。基于打击严重犯罪和恐怖主义的需求,欧盟与美国、加拿大和澳大利亚签署了双边空中乘客姓名记录协议,同时还与美国签署了双边的恐怖分子追踪项目。为更好的满足商业企业跨境数据流动的需要,欧盟提供了“安全港”、标准合同条款、约束性企业规则等多种可供选择的跨境数据流动管理机制。
此外,欧盟还通过“数字化单一市场”战略强化其数据跨境流动主张。2010年《欧盟2020战略》提出数字化单一市场概念,2015年5月发布数字化单一市场战略,旨在打破欧盟内部的数字市场壁垒,整合各成员国的碎片化规则,实现区域内数据自由流动和数字网络与服务的繁荣,预期将带来4150亿欧元的产业价值和380万个工作机会。战略还提出2016年启动“欧盟数据自由流动计划”,旨在排除数据自由流动中存在的技术和法律障碍,并将有针对性地解决数据的所有权以及互通性等问题。
图2 欧盟跨境数据流动管理机构及其职能
(三)欧盟和美国在重要协议中的跨境数据流动管理制度安排
欧盟和美国之间的数据跨境流动非常活跃,并且形成了较为完善的跨境数据流动管理的制度安排。由于欧盟和美国在隐私保护机制方面存在实质差异,为更好地保护美国企业的利益,美国对欧盟的《数据保护指令》给予了关注,并提出了名为“安全港”的解决建议。2000年7月,欧盟通过“安全港决议”(Safe Harbour Decision),认可了由美国提出的、能够对因商业目的从欧盟转移的个人数据提供充分保护的“安全港隐私保护原则”和“常见问答”。2013年,“棱镜门”事件对“安全港”协议造成了重大冲击。虽然,美国就加强“安全港”数据保护与欧盟进行了有效的磋商和谈判,并取得了一系列进展,但是,2015年10月6日,欧洲法院还是在一起案件中宣布欧美数据共享协议(即“安全港协议”)失效。这标志着欧美之间自2000年完成的跨境数据流动管理制度失效。
为了保障欧美之间的数字经济与贸易发展正常进行,欧美在安全港协议失效后推进了新的跨境数据流动管理制度安排。2016年6月,美国和欧盟签署数据《“保护伞”协议》,旨在为双方的执法部门及刑事司法机关之间的个人数据交换提供全面和高水平的保护;8月,美国和欧盟签署的《欧美隐私盾协议》正式生效,美国承诺加强对个人数据的保护力度,提供多种救济途径,并设置监督专员,受理欧盟的相关申诉。
(四) 国际组织的跨境数据流动管理主张
跨境数据流动对于全球经济中开展商务活动日趋重要,联合国贸发会议、经济合作组织、亚太经合组织、北美安全与繁荣联盟等均提出过跨境数据流动管理的相关主张。2016年4月,联合国贸发会议发布《数据保护规则与数据全球流动:贸易与发展的影响》指出,运用专门的文件和促进一种或更多的机制是解决跨境数据流动问题的关键,数据保护立法应避免成为贸易和创新的新障碍。2013年,OECD发布了在1980年版的基础上修订后的《隐私保护和个人数据跨境流动指南》。指南认为,过去三十多年,跨境数据流动的方法发生了根本性变化,建议成员国实施与数据传输隐私风险相适应的数据传输约束,同时兼顾个人数据的敏感性,以及数据处理的目的和内容。如果修订后的指南被成员国接受,跨境数据流的限制将基于风险评估,而非依赖于现有的约束限制,具体国家的充分性评估将不再采用固定单一的方法。
为更好促进亚太经合组织成员经济体的隐私保护,避免产生不必要的障碍,2005年,APEC发布了《亚太经合组织隐私框架》,阐述了该组织有关跨境信息流(数据流)的相关主张。框架认为,电子商务在扩展商业机会,降低成本,增加效率,提升生活质量,以及促进小企业参与国际贸易等方面潜力巨大,消费者、企业和政府均将受益于区域数据传输,同时,框架可通过隐私保护消除信息流动的障碍,从而确保亚太地区持续的贸易和经济增长[17]。APEC采取了企业自律性隐私政策来保护跨境数据流动中数据权利,即APEC隐私保护框架下“探路者项目”建立的跨境隐私规则体系。
北美安全与繁荣联盟(SPP)是加拿大、墨西哥和美国为加强安全和经济领域的合作而于2005年发起的一个围绕既定目的区域级别对话。其中,有关跨境数据流动的问题于2008年起纳入对话议题之中,并于2008-2009年连续举办三次跨境数据流论坛会议,论坛参会者包括三国政府代表、商业团体、民间团体和学术界。论坛的目的是为利益相关者创造有关跨境数据流动问题的对话机制,并力图解释阻碍跨境数据流动不仅仅影响商业领域的日常活动,而且影响了整个市场和北美经济。2008年4月,在北美安全与繁荣联盟体系下,来自加拿大、墨西哥和美国的代表签署了信息自由流动声明(the Statement on the Free Flow of Information),并随之成为北美领袖峰会的一部分。峰会认为,持续的经济增长有赖于“在透明的法律、政策和监管环境中,允许信息自由跨境流动,并促进其在贸易和商业的应用”。
我国已经是全球产业链的一部分,与国外的产业技术合作必然涉及到数据的转移和交换,需要合理的数据跨境流动。同时随着数字贸易规模不断扩大,中国与美国、欧盟等国家和地区在数字贸易领域的贸易摩擦也将接踵而至。加快构建符合我国利益的跨境数据流动管理机制意义重大。为此,提出如下政策建议。
(一)完善数据跨境流动管理思路
按照《网络安全法》的要求,从国家安全、产业发展和隐私保护三个层面完善数据跨境流动管理思路。一是保障国家安全,严格监管重点领域数据跨境流动。对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施和重点领域的数据跨境流动提出严格监管要求,控制总量数据和核心数据流出。二是促进产业发展,提升数据跨境流动繁荣程度。明确数据保护标准,在充分保护的前提下,允许商业领域的数据自由流动,促进数字经济发展。同时,借鉴欧盟抗衡美国的做法,研究制定包括反垄断调查、市场准入等符合我国产业发展和国际规则的政策措施。三是保护个人隐私,按照《个人信息和重要数据出境安全评估办法》对个人数据跨境流动进行监管,建立起人们对数字经济发展的信心,有利于与欧美等就数据跨境流动问题开展全面的对话和谈判,既能够保障民众的权益,又助于我国企业“走出去”。
(二)加大跨境数据流动的研究工作
跨境数据流动管理涉及信息技术、互联网、经济、法律、管理等众多学科和领域,同时也是实操性很强的领域,事关国家经济发展、个人隐私保护和信息安全等重大问题。欧美在该领域已经进行了长达30多年的研究和实践,而我国跨境数据流动管理研究和实践还处于起步阶段。因而,我国有必要加大跨境数据流动管理方面的研究,以应对可能面临的跨境数据流动问题。具体可以尝试组建集政府、企业、高校、协会、科研机构等专家学者组成的研究团队,对跨境数据流动管理问题进行全面深入的研究。
(三) 积极参与跨境数据流保护和贸易规则的制定
从欧盟提出的“促进欧盟关于数据收集、处理和转移的规定在国际上的实施,促进隐私保护标准国际化”,美国信息技术与创新基金会(ITIF)在其2013年12月《数据国家主义的错误前景》分析报告中建议“美国联合其贸易伙伴制定《数据状态日内瓦公约》(Geneva Convention on the Status of Data)以建立政府获取数据的标准”,以及美国布鲁金斯学会等机构连续发布的互联网、跨境数据流动、国际贸易和经济增长关系的系列文章等来看,国际上已着手酝酿和考虑有关数据保护、流动和交易的国际标准和贸易规则,以此来规范世界各国数据获取、使用和所有权等重大问题。为更好地争取主动权,我国应积极参与这些游戏规则的制定。
作者单位:
付伟:北京邮电大学经济管理学院,工业和信息化部电子科学技术情报研究所
于长钺:北京邮电大学经济管理学院,中国电子技术标准化研究院