胡炜
摘 要:由于跨境数据流动的全球规则尚未达成,我国众多“走出去”的互联网企业随时可能遭受以数据安全为名义的贸易壁垒。跨境数据流动法律法规必须在商业利益与网络隐私、网络安全性与网络流动性、严格标准与宽松标准、本国特色与国际习惯之间作出价值选择。从全球范围上看,当前存在美国商业利益优先理念下的宽松立法、欧盟个人权利优先理念下的严格立法、俄罗斯数据主权优先理念下的本地存取型立法、澳大利亚利益均衡原则下的折中型立法等四种价值选择。我国需要确立数据主权优先、个人信息保护与经济发展并重的法律原则。国内法方面需对网络隐私权进行宽泛化、包容性的界定,分类监管跨境数据。在国际法方面需依托跨境贸易的中国方案和“一带一路”沿线国家,先从区际规则着手积极参与国际规则的制定。
关键词:跨境数据流动;跨境数据监管;网络隐私权;网络信息权;数据主权
中图分类号: D913 文献标识码:A 文章编号:0257-5833(2018)04-0095-08
不同于已经形成共识的统一国际贸易规则,由于各国在跨境数据流动问题上存在法律文化和价值认同的差异,很难在短期内形成共识从而达成全球协议。随着 “一带一路”倡议的持续推进,淘宝、小米等企业正在积极对东南亚等“一带一路”国家投资展业。2017年6.18和双11的“天猫出海”活动让跨境贸易的中国方案走向全球。由于各国网络隐私权①的保护标准不一,其他国家的跨境数据监管法律很可能不利于我国互联网企业海外展业,成为制约我国互联网企业“走出去”的贸易壁垒。在此背景下,分析各国跨境数据流动②相关法律背后的价值取向,并根据我国现实国情,探讨如何完善国内法规定,加强跨境数据监管,保证数据安全自由流动,提出参与国际规则制定的策略,為我国互联网企业跨境出海提供法律护航无疑具有重大的理论价值和迫切的现实意义。
一、跨境数据流动法律问题溯源
互联网具有多中心、即时性等特征,数据传输从一开始就是跨国界的。20世纪70年代,经合组织(OECD)就提出了跨境数据流动的概念。多中心的互联网能即时交流信息、获取海量信息并共享个人信息,由于技术上“网络无国界”,数据跨境流动在网络空间非常容易实现。早期互联网的商业应用尚不多见且由于全球对这一新兴经济的大力扶持,数据流动问题尚不是那么引人注目,但随着亚马逊公司跨境电商业务的发展,跨境数据流动问题引起了欧美等信息强国的关注。这是因为商家必须收集客户的个人信息并维护客户信息才能进行交易,而境外展业所传输的跨境数据很可能会对他国数据主权产生影响并侵犯个体权利,也就存在因他国公法规制导致境外投资失败的可能。为了促进互联网行业的发展,经过谈判,欧盟作出让步,与美国在2000年达成了《安全港协议》来解决跨境数据流动问题。该《安全港协议》确立了知情、同意、流动、安全等七大原则,任何企业只要宣布自己遵守上述原则并提出了具体落实方案并报有关部门或机构备案后, 就算进入了“信息安全港”,可以“安全、合法地”从欧盟国家转移消费者的个人信息。王孛:《美国与欧盟个人信息跨国流通安全港协议简论》,《知识经济》2008年第4期。
随着以Oracle公司为代表的数据库公司在技术上突飞猛进,大数据分析技术得到了长足进步,而手机的普及带动了移动互联网的发展,移动互联网又提供了诸如个人地理等信息,此外,用户的搜索信息也驻留在搜索引擎的服务器中。这些众多碎片化的个人信息一旦汇总,就可以经大数据分析出用户/客户的商业习惯。掌握了用户/客户的商业习惯就打开了商业模式的富矿,实现了互联网广告的精准推送,移动电子商务也就得以超越式发展。但这些个人商业习惯往往与个人隐私交织在一起,衍生了网络隐私权纠纷这一新的纠纷类型。在这种大数据收集和分析的大背景下“尽管消费者不能衡量出其隐私的准确价值,但是隐私权变得日益重要并成为一项基本权利是显而易见的。”Benjamin Rickert. “Data Privacy and Institutional Decision Makers: A Study of U.S. and EU Approaches”, Tilburg Law Review, 2003, 28(1).适逢其时,2013年的“棱镜门事件”揭示:Face book及其他公司在“棱镜”项目中和美国秘密情报机构存在串通行为,引起了世界各国对网络安全与个人隐私保护的重视。奥地利法律工作者施雷姆斯提起了诉讼,该案被移送到欧盟最高法院。2015年10月,欧盟最高法院对“施雷姆斯案”作出了判决:“《安全港协议》并不能约束政府机构的数据审查行为,不能起到充分保护欧洲公民隐私的作用,因而它是无效的。”贾开:《跨境数据流动的全球治理:权力冲突与政策合作——以欧美数据跨境流动监管制度的演进为例》,《汕头大学学报》(人文社会科学版) 2017年第5期。
互联网经济是全球经济的“火车头”,但欧盟最高法院的判决导致众多互联网企业巨大的海外投资和境外业务充满了不确定性,严重影响互联网企业的发展信心。为此,欧盟与美国火速展开谈判,在2016年2月宣布重新达成一个新协定,也即《隐私盾协议》。《隐私盾协议》于2016年2月29日正式实施,要求美国公司选择与美国商务部达成一个包含示范条款的合同,其核心是规范大西洋两岸跨境转移个人数据的美国公司加大隐私保护的内容。在《隐私盾协议》的框架下,跨境数据收集方承担的义务更多,数据保护标准更加细致严格,实施机制执行力得以提升并提供丰富的救济手段,构成对情报机构收集信息的权利限制。也有学者认为《隐私盾协议》是欧盟和美国官方的行政分支条约,主要被应用于那些从欧盟获得个人数据的美国公司,其框架原则并不影响欧盟成员内部的数据处理或者改变美国法律下的隐私义务。 曹杰、王晶:《跨境数据流动规则分析——以欧美隐私盾协议为视角》,《国际经贸探索》2017年第4期。
王利明教授指出:“不同国家之间的立法差异是导致跨境数据流动受到阻碍的主要原因。” 王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。当各国对网络隐私权规定不一时,企业为了满足不同国家的标准,或提高成本采用最严格的标准,或放弃部分市场,这不利于全球互联网行业的发展。 刘晓春、赵世勋:《亟需防范数据跨境流动中的法律风险》,《中国对外贸易》2017年第10期。从国际私法的视角看,解决国际民商事法律冲突有两种方案,一是冲突法的方法,一是统一实体法的方法。 黄进:《国际私法》(第二版),法律出版社2005年版,第15-17页。但由于跨境数据监管涉及公法,故冲突法的方法不具有可行性;此外,因在法律文化和价值认同上的差异,短期内形成全球共识采用统一实体法的方法也不现实。因此各国之间先达成双边协议,再逐步过渡至区域协议、多边协议,对成员国的企业附条件地同意其跨境数据传输是现实可行的,这也正是欧美之间达成跨境数据流动协议的行为逻辑。
二、各国跨境数据流动法律的价值取向
跨境数据流动的价值冲突涉及以下几对范畴:某国互联网行业全球竞争力强则希望宽松标准,某国互联网企业全球竞争力弱则希望严格标准。但过于倚重商业利益或致个人权利受损,过分保护个人权利又将扼杀蓬勃发展的互联网经济,为此应该依何原则来进行平衡?网络安全是国家网络主权的应有之义,但数据流动增加了网络隐患,安全性与流动性如何兼顾?考察全球的代表性国家,可以发现他们的相关立法均是立足本国实际,基于传统及文化进行价值排序,从而作出跨境数据流动立法的价值选择。
(一)美国:商业利益优先理念下的宽松立法
判例法系的美国选择了商业利益优先的宽松型立法,即以行业自律为主基调,无系统化的法律法规,行业政策相对宽泛和自由。这是因为:美国互联网、大数据技术处于世界领先的地位,是互联网经济的最强国,宽松的法律规定有益于新兴的互联网经济的发展,维持其全球领先的行业优势;基于对市场充分信任的传统,美国对个人信息保护采取宽松态度,并认为仓促立法会限制电子商务的发展,依靠商业机构自身的力量来保护个人(特别是消费者)信息才是最为有效的保护机制。正是因为这两个原因,采取比较弱化的法律及政策更符合美国利益,特别是美国互联网企业的利益,因此美国积极倡导电子商务的自由发展,谨慎立法。
一方面,美国没有出台专门针对隐私和数据保护的法规。美国法律仅在涉及“最低的创造性”的情况下才会通过知识产权保护数据库内容,这就导致大量事实内容不受保护,或者说,大多数涉网络隐私权的诉讼主要由《联邦贸易委员会法》(Federal Trade Commission Act)第5節 “商业诈欺”的规则来判决。另一方面,美国对军事技术、重大高科技技术、金融行业如美国有传统的1978年《金融隐私法案》(The Right to Financial Privacy Act,RFPA),但互联网时代,美国对一些特殊行业的隐私权保护加快了立法进程,像《消费者隐私权利法案》(Consumer Privacy Bill of Rights)就处于等待国会表决阶段。、医疗健康行业等重要的数据进行备案制或者许可证管理,要求非常严格。也即,在一些重要行业和领域,美国有专门的隐私法案限制或者有条件允许数据跨境流动,要求非常严格。付伟、于长钺:《美欧跨境数据流动管理机制研究及我国的对策建议》,《中国信息化》2017年第6期。此外,为维护美国企业在互联网、大数据方面的国际竞争实力,美国政府对阻碍跨境数据流动的行为非常关注,美国贸易代表办公室在相关报告中对俄罗斯等国阻碍跨境数据流动的行为表示担忧,并认为这些行为可能违反国际贸易法。石月:《数字经济环境下的跨境数据流动管理》,《信息安全与通信保密》2015年第10期。
商业利益优先这种价值取向无疑有助于互联网经济的发展,美国这种价值选择有其独特的文化传统、技术基础和国际实力。可以说,这种价值选择只适合解决美国本土的“三难选择”问题,却不宜推广至国际社会,刻意推广此种价值取向实际上是对其他国家数据主权的不公平。
(二)欧盟:个人权利优先理念下的严格立法
一些国家/法域基于历史文化传统对隐私权的保护极为重视,他们认为,即使为了经济的发展也不能以牺牲公民的隐私权为代价。因此,这些国家从个体的权利保护出发对跨境数据流动进行严格的法律规制。欧盟是该类型的代表性国家/法域,对隐私权的保护持浓厚的人权保护价值理念,欧盟建立的跨境数据监管模式包括合同法模式和企业法模式。刘碧琦:《美欧〈隐私盾协议〉评析》,《国际法研究》2016年第6期。
欧盟1995年《个人数据处理和自由流动中个体权利保护指令》(以下简称《指令》)和2016年《一般数据保护条例》(以下简称《条例》)两部最重要的立法规定了跨境数据流动的基本原则。欧盟将网络隐私权视为“一项严格的基本人权”,采取人权优位于使用权的模式保护隐私权,以统一立法的模式保护数据,并以严格的法律监管来保证跨境数据流动的安全性。“如果个人数据要传输给欧盟或欧盟经济区域以外的第三方需要满足额外的要求”,也就是说在“第三国提供充分保护”的基础上,增列“数据控制者和处理者采取适当的保护措施”的允许条件。Andrea Patzak, Mark C. Hilgard and Tim Wybitul.“European and German Privacy Laws and Cross-Border Data Transfer in US Discovery Procedures”, Dispute Resolution International, 2011, 2. 受欧盟信息专员办公室(ICO)的委托,兰德公司的Neil Robinson等研究员认为《指令》曾经为欧盟乃至全球的跨境数据流动管理提供了范本,但随着经济全球化、信息技术的革命,这一指令已经很难适应现状,需要进行全面的改革。 Neil Robinson, Hans Graux et al. “Review of the European Data Protection Directive”, Rand Corporation, 2009, 33 (9),p.2528.也正是在这一背景下,欧盟在2016年又通过了《条例》这一最新立法成果。但也有学者认为《指令》和《条例》对跨境数据流通的监管过于严厉,不利于国际服务贸易的开展。Johanna G. Tan. “A Comparative Study of the APEC Privacy Framework- A New Voice in the Data Protection Dialogue”, Asian Journal of Comparative Law, 2008,1.
欧盟个人权利优先的价值取向虽然非常有助于个人权利保护,但在一定程度上有违互联网精神,有碍互联网经济发展的效率。一方面,该价值取向符合“以人为本”的社会发展理念,值得肯定。另一方面,经济发展所受的消极影响不容忽视。因为科技发展与传统道德的冲突会随时间推移而发生变化,在双方互有让位的前提下,经济发展水平会影响甚至是决定了科技伦理发展的走向。在互联网经济占世界经济发展比重越来越大的今天,经济实力的逊位难免让社会对该价值取向产生合理怀疑。
(三)俄罗斯:数据主权优先理念下的本地存取型立法
俄罗斯在数据主权优先的理念下采取本地存取方式来限制跨境数据流动。俄罗斯明确提出公民数据的存储和处理必须在俄罗斯境内进行,成为强制实施数据本地化存储的典型代表。此种立法一定程度上实现了对数据的闭关保护。此类国家还有巴西、印度、马来西亚等。2013年的“棱镜门事件”后,基于维护国家安全的历史传统和现实中的网络数据安全威胁,俄罗斯两次修改立法:在《关于信息、信息技术和信息保护法》第16条第4款中增加一项,要求信息拥有者和信息系统运营方有义务将收集、整理、保存、更新、变动、使用俄罗斯联邦公民个人信息的数据库存放在俄罗斯境内。在《俄罗斯联邦个人数据法》第18条增加一款,要求收集个人数据(包括使用互联网手段)时,运营商需要保证使用位于俄罗斯境内的数据库。何波:《俄罗斯跨境数据流动立法规则与执法实践》,《大数据》2016年第6期。
与欧盟将网络隐私权作为一项基本人权予以法律严格保护这种自下而上的思路不同,俄罗斯的相关立法更多地是从数据主权的角度自上而下的思路。俄罗斯所采的数据主权优先原则具有战略高度,应予以肯定。要求境内存储固然可以捍卫数据主权、保护数据安全,但这一措施上也具有严重的弊端。美国贸易委员会和欧洲国际政治经济研究中心均有报告指出:数据储存本地化要求、市场准入限制、数据隐私和保护等因素阻碍了本国数字贸易的发展,限制数据自由流动将对GDP增长率产生负面影响。石月:《数字经济环境下的跨境数据流动管理》,《信息安全与通信保密》2015年第10期。这种近乎闭关自守的数据流动管理方式使得大量外国互联网公司的正常运营受到严重影响,一些公司甚至完全退出了俄罗斯市场,这使得俄罗斯本土互联网公司失去了与国际一流互联网公司交流学习的机会,进而也在很大程度上失去赶超先进的可能。实际上,俄罗斯的“本地化存储”方案在欧美大公司的抵制下,实际执法力度相对温和,并未到位。何波:《俄罗斯跨境数据流动立法规则与执法实践》,《大数据》2016年第6期。
俄罗斯的数据主权优先的价值取向值得肯定,但存在目的与手段不匹配的错误。也即,俄罗斯要求跨境数据本地存储的具体措施并不能完全保证数据主权优先,而只是狭隘地闭关锁国,是一种以丧失发展可能的极端化的数据主权保护。
(四)澳大利亚:利益均衡原则下的折中型立法
一些国家基于自身情况的考量,既不能像美国那样因为强大的互联网经济实力而对跨境数据流动持宽松的态度;也看到了欧盟由于进行严格立法对互联网经济产生不利影响的消极后果,因而缺乏严格立法的动力;更不愿意进行类似俄羅斯的闭关保护立法,使本国的互联网经济失去“弯道超车”的机会。基于以上原因,这些国家更愿意进行折中型立法,即在最大程度保持与既有国际条约和主流国家同类立法兼容性的基础上,对本国立法进行有限度的创新型规定。澳大利亚是这类国家的典型代表。
澳大利亚跨境数据流动的法律规定虽然是折中型的,但亦有诸多创新型制度措施值得借鉴。一是分类管理。与欧美类似,澳大利亚对金融数据、个人健康数据等数据禁止跨境流动。二是分级标识。如对政府数据添加保护性标识且分为不需要额外安全保护的数据和需要额外安全保护的数据,对于后者,澳大利亚采取了保护性标识与不同管理措施结合的方式。三是强制性规定与推荐性指南相结合。推荐性指南的方式极大地减少了政府的监管成本和企业的运营成本。四是与跨境数据流动国际规则保持协调。在参与国际规则方面,澳大利亚隐私法律与欧盟的《个人数据处理和自由流动中个体权利保护指令》《一般数据保护条例》基本是兼容的。此外,虽然澳大利亚是APEC 成员,但澳大利亚并没有参与APEC 跨境隐私规则体系(APEC CBPRs),因此在跨境电子商务中并不受其约束。 伦一:《澳大利亚跨境数据流动实践及启示》,《信息安全与通信保密》2017年第5期。
可以说利益均衡原则的价值取向既照顾了解决国内“三难选择”问题的需要,也保留了根据互联网行业发展进行调整的可能性。但是这种抉择同样有其自身的问题:过于折中的价值取向导致辨识数据使用行为合理性的难度增加;模糊的个人利益保护和国家利益保护标准导致监管行为的限度不易掌握。这种价值选择要求有高水平的政府监管水平予以匹配。
总之,跨境数据流动背后的价值冲突既有网络隐私保护与经济发展优先之间的均衡问题,也有国家基于数据安全和互联网发展水平的考量。全球规制存在“三难选择”,无法同时兼顾“良好的数据保护”、“跨境数据自由流动”和“数据保护自主权”。在此框架下,“规制目标之间的平衡、参与主体之间的竞争以及规制本身对约束力和执行力的诉求构成了推动规制演进的三重因素”。黄宁、李杨:《“三难选择”下跨境数据流动规制的演进与成因》,《清华大学学报》(哲学社会科学版) 2017年第5期。只有当个人信息能够得到第三方的有效保护、当个人信息保护与因信息自由流动而带来的经济利益之间取得平衡时,全球电商及相关产业才有可能持续健康地发展。
三、我国跨境数据流动的法律现状及立法选择
我国是全球最大的移动互联网国家,拥有全球第二大规模的移动互联网产业,移动支付、网购、共享单车和高铁是我国“新四大发明”,为促进移动互联网经济的持续发展并保证跨境数据安全自由流动,我国需确立数据主权优先、经济发展与个人信息保护并重的立法原则。国内法方面需对网络隐私权进行宽泛的、包容性的界定,分类监管跨境数据;在国际法方面,需依托跨境贸易的中国方案和“一带一路”沿线国家,先从区际规则着手积极参与国际规则的制定。
(一)法律现状
一方面,虽然我国信息技术相较其他发达国家起步稍晚,但是我国网民众多、基础数据体量巨大、信息技术发展速度较快,尤其是移动互联网行业,面临“弯道超车”的历史机遇;另一方面,我国对跨境数据流动问题重视不够。我国移动互联网企业处于国际先进水平,跨境数据流动的体量逐年增大,纯粹依靠我国企业应对跨境数据流动的挑战非常困难。方兴东:《数据跨境流动——中国的战略选择》,《汕头大学学报》(人文社会科学版) 2017年第5期。我国必须高度重视跨境数据流动问题,从战略上进行顶层设计,统筹国内立法和国际立法。我国跨境数据流动的法律法规相比欧美等国显得非常薄弱,总的来看存在三大问题。
一是网络隐私权未进行法律界定导致我国跨境数据流动的监管工作难以有效推进。这是因为网络隐私权的界定直接关涉跨境数据监管的对象为何。我国2017年6月实施的《网络安全法》加大了对侵犯网络隐私权行为的规制,但是其实际效果还有待观察。2017年10月生效的《民法总则》第127条增加了“法律对数据、网络虚拟财产的保护有规定的,依照其规定”的內容,切实反映了信息社会和大数据时代的需求、高科技时代和知识经济时代的特点和经济全球化的趋势。王利明:《民法典的时代特征和编纂步骤》,《清华法学》2014年第6期。但由于相关配套法律法规尚不完善,这一准用规范却难以落到实处。
辩证认识网络隐私权中“隐私”的内涵,这是立法规范跨境数据流动的前提。在我国,网络隐私权中的“隐私“可以从四个层面来类型化并理解。(1)狭义的隐私,即无允许则不得传播的数据;(2)个人信息,即无禁止则得以传播的数据;(3)非以大数据形式存在的企业信息,即商业秘密和企业的辨识符号与经营动态等数据;(4)大数据,即规模化、去个体化存在的数据。除狭义的隐私外,后三者均可有条件地跨境流动。
二是当下我国跨境数据流动监管的立法缺失,已经在某种程度上影响到我国的数据主权。我国《“十三五”国家信息化规划》中明确提出“建立跨境数据流动安全监管制度”。《网络安全法》第37条明确了数据跨境流动的基本规则和安全审查制度。国家网信办已于2017年出台《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(草案)》,这侧重于“维护网络空间主权和国家安全、社会公共利益”,而对“促进网络信息依法有序自由流动”重视不足。总的来看,对国家安全、个人信息安全与经济发展三者之间的关系尚未完全厘清,规定过于宽泛且缺乏操作性。
三是未积极参与跨境数据流动的国际规则制定,未能主张中国方案为我国移动互联网企业跨境展业争取有利规则。跨境数据流动法律规制需要实现国内法和国际法的统筹安排,不可偏废。国际社会各国互联网产业发展水平高低有别,意在实现自身数据利益最大化的国际规则也各有侧重,这进一步阻碍了跨境数据流动全球协议的进程。从现实来看,欧美作为全球信息强国,其缔结的《隐私盾协议》影响力很大,部分地起到了全球示范的效果。近年来我国在跨境数据流动领域与欧盟国家合作的空间呈日渐增大的趋势,《马克龙呼吁在全欧范围制定大数据战略》,http://www.ftchinese.com/story/001075873?utm_source=tuicool&utm_medium=referral, 2018-01-09。这是一个机遇与挑战并存的关键历史节点。我国是跨境数据流动的重要参与者,公平合理的跨境数据流动国际秩序对我国有着非同寻常的意义,理应积极参与制定跨境数据流动的不同国际规则。
(二)立法选择
我国相关立法必须兼顾国家利益、经济发展和个人隐私利益之间的合理平衡,根据我国的国情和法律传统,采取综合保护模式,既要加强网络隐私权保护方面的立法,也要从行业、技术等多个角度去保护公民的网络隐私权。华劼:《网络时代的隐私权——兼论美国和欧盟网络隐私权保护规则及其对我国的启示》,《河北法学》2008年第6期。从全球代表性国家(法域)的实际选择和法律实践来看,我国跨境数据流动的相关法制建设应把握以下三点,积极稳妥地推进。
1.确立数据主权优先、个人信息保护与经济发展并重的立法原则
“尽管跨境数据流动有利于商业和消费,同时也能为宏观经济提供助力,但是发达国家和发展中国家中的许多国家,还是对其进行施加了限制。”Andrew D. Mitchellt,Jarrod Hepburn. “Dont Fence Me In: Reforming Trade And Investment Law to Better Facilitate Cross-Border Data Transfer”, Yale Journal of Law and Technology, 2017, 19.因此确立数据主权优先原则是各主权国家的共识。“每个国家在其信息领域的主权利益都应当受到保护,信息领域内不应当有双重标准,国家应当排除外来信息干涉,独立自主地行使本国信息主权。”祝高峰:《大数据时代国家信息主权的确立及其立法建议》,《江西社会科学》2016年第7期。 跨境数据流动必须将保护国家安全放在首位,但不能采取俄罗斯那种所有跨境数据均要求本地存取的模式。要在坚持数据主权的前提下,为了经济发展保证跨境数据自由安全流动;要汲取澳大利亚、日本等折中型价值取向国家的数据交换模式的经验教训;要在坚持主权平等的原则上建立共享数据机制,保证数据跨境流动的双向性与透明性。
个人信息保护与经济发展之间存在一种辩证法上的关系。短期看,加大个人信息保护将提升互联网企业的成本,从而影响行业发展。但从长期看,适度加大个人信息保护,将减少消费者顾虑,进一步促进网购等新兴互联网商业的发展,从而使得市场总量增长。因此,互联网时代个人信息的商业利用既要考虑到经济效益,还要兼顾隐私权的特殊性,在人格尊严和经济效率之间寻求平衡。马特:《隐私权的法经济学解读——以“艳照门”事件为对象》,《政治与法律》2008年第4期。从当下来看,对互联网等新技术、新产业的发展进行适度的扶持,给予宽松的空间是必要的。“度“作为实践理性,只能从实践中去总结。从科技哲学的角度来看,技术发展属于客观存在的新事物,经济发展水平是否被有效促进将成为衡量技术本体优劣的一个客观标准,经济发展水平的提升在一定程度上也会缓和技术伦理与传统理念之间的冲突。
2.立法界定网络隐私权,分类监管跨境数据
对于网络隐私权问题,按王利明的观点,“解决好个人信息权与隐私权之间的严格界分,其主要原因在于: 随着互联网、数据库、云计算等高新技术的发展,个人信息的保护无疑成为现代社会所面临的新挑战,而法律还未对此挑战做好充足的应对,个人信息权与隐私权的界分不清晰也表明了这一点”。王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。笔者深以为然。正是因为这一点,对网络隐私权的概念、特征、内容均有一个随着实践逐步清晰的过程,但在现实紧迫性下,宜对网络隐私权作宽泛的、包容性的界定,留待实践进一步完善,相关工作重心宜放在跨境数据的分类监管上。至于其立法的体例安排,宜按江平、郭峰等学者的意见,放在民法分则人格权编里统筹安排。罗东、沈雨潇:《吴敬琏 X 江平:理解中国现实,需要经济学与法学的合作》,《新京报》2018年1月16日。
在跨境数据流动监管标准方面,主要有“以地理区域为基准”( geographically based)和“以组织机构为基准”( organizationally based) 的规制路径:前者依“充分性”( adequacy) 原则,后者依“问责制”( accountability)原则。韩静雅:《跨境数据流动国际规制的焦点问题分析》,《河北法学》2016 年第10 期。现实中,以企业为对象的问责制原则的风险确定性更高,更易于互联网企业评估其海外展业的风险,也就更受企业的欢迎。近年,这两种规制路径已呈现融合的趋势,如欧盟2016年的《一般数据保护条例》就在“第三国提供充分保护”的基础上,增列“数据控制者和处理者采取适当的保护措施”的条件,从而实现了两种标准并用。Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN,2017-11-15.因此我国在监管标准上也宜与国际趋势接轨,并用两种标准。
在跨境数据流动监管方式上,分类监管更为高效,但澳大利亚、日本等国家对数据分类过细、操作繁琐的问题也不容忽视,这就要求我国要立足国情、精准定位,严格措施、保证效果。合理的数据分类是跨境数据监管制度的重要内容。数据分级分类可以按照多个维度来考虑:一是根据我国保密管理的规定,涉密信息如军事数据、政府数据、重要经济数据等严禁跨境流动;二是以个人信息敏感程度来划分,涉及医疗、健康、银行账户密码、基因信息等个人人身财产安全的信息,禁止跨境流动;三是以《网络安全法》第37条确立的关键基础设施标准来进行跨境数据监管。
3.从区际规则着手积极参与制定国际规则
虽然特朗普政权下TPP的前景尚未明朗,但美国通过贸易协定谈判输出国内互联网法律,掌握互联网国际规则制定权的目标不会改变。即便TPP协定最终未能生效,其促进跨境数据流动的约束性条款也将成为未来贸易谈判的参考。中国也应当在完善国内法律法规的基础上,积极依托移动支付、网购等中国方案,先从区际规则着手积极参与制定国际规则。我国应先与“一带一路”沿线国家展开双边谈判,主张中国规则,其后再积极参与多边谈判。前述的《评估指南(草案)》已提出了数据分类的概念,在其附录A中详细列举了27个行业(领域)及其重要数据类别供参考,并在最后规定了兜底条款,指出了其他行业判断重要数据的标准。同时,还要求在数据出境时需要考虑数据接收方的技术保障能力和所在国家或地区的政治法律环境,并针对技术保障能力和政治法律环境水平作出高、中、低三个等级的评定。虽然《评估指南(草案)》中的评定标准多采用“较为”“基本”等措辞,具有一定的不确定性,且未明确针对不同等级的国家或地区在数据出境开放与限制程度上有何差异,但我国可以对此加以完善,并在实践的基础上为跨境数据流动的国际规制提供路径参考,例如,如何在国际规制中对数据进行分类,如何针对不同立法水平的国家和地区进行数据开放承诺等。陈咏梅、张姣:《跨境数据流动国际规制新发展:困境与前路》,《上海对外经贸大学学报》2017年第6期。
国际社会信息技术發展不平衡导致不同国家之间国际规则话语权严重失衡,这意味着跨境数据流动相关的数据利益分配存在不公平现象。跨境数据流动的双向性不宜单一地表现为数据与经济回报的交织,而应表现为数据与数据的互助。因此,以“一带一路”沿线国家为基础,在国际上不仅主张中国方案,还要主张共享方案,这有利于争取国际话语权,是我国建设网络命运共同体的最佳突破口。
(责任编辑:徐远澄)
Value Orientation and Chinas Choice on Transborder Data Flow
Hu Wei
Abstract: Because of the failure to reach an international rules on global transborder data flow, many “going-out” internet enterprises of China risk trade barrier in the name of data security. Transborder data flow involves value conflicts between commercial interests and individual privacy, internet security and mobility, strict standard and loose standard, national characteristics and international customs. From the international prospective, there are four typical legislation modes: USAs commercial-interests-first loose legislation, EUs individual-right-first strict legislation, Russias national-security-first isolation legislation and Australias interests-balanced compromise legislation. China should insist on the legislation principle of national-interests-first and balance keeping between economic development and individual messages protection. From the domestic law prospective, internet privacy and classified supervision on transborder data flow should be defined clearly; from the international law prospective, international rules making from regional rules should be the emphasis, which based on countries along the route of the Belt and Road Initiative.
Keywords: Transborder Data Flow; Transborder Data Supervision; Internet Privacy; Information Right; Internet Security Act