胡文华 孔华锋
1(公安部第三研究所 上海 201204)2(武汉商学院 湖北 武汉 430056)
数据是现代全球经济的命脉,随着数字经济的兴起,全球化的深入发展,电子商务、云服务等跨境服务日益频繁,数据跨境流动也逐渐走向常态化,数据流动成为影响全球经济贸易的重要问题。2016年麦肯锡全球研究所发布报告指出,货物、服务、资本和数据的流动将为全球GDP带来至少10%的增长,相当于7.8万亿美元。其中,互联网数据流动贡献了2.8万亿美元。在此背景下,一方面,倡导数据自由化,减少贸易壁垒已成为新一轮多边、双边谈判的重要议题。另一方面,基于维护国家安全、社会公共秩序、保护个人隐私、提升执法效率、促进本土产业发展等需要,各国纷纷采取数据本地化措施,限制数据跨境流动。
作为实施数据本地化与跨境流动限制政策的典型国家,印度随着其数据经济的发展,近年来相继颁布了一系列的重要法律或文件,倾向于实施广泛的数据本地化和数据跨境流动限制。但国内尚未见到对之进行系统的梳理和研究的文献。鉴于印度的信息产业环境、发展水平、发展目标与我国存在诸多类似之处,在我国《网络安全法》第37条规定的数据本地化与出境细则尚不明晰,数据本地化与跨境流动制度设计尚在探索之际,研究印度相关立法实践对我国网安法第37条的完善,乃至数据本地化与跨境流动制度设计具有重要的现实意义。
本文将重点梳理印度数据本地化与跨境流动的主要立法,介绍其具体内容,分析其立法动因,考察其国际反应,并对我国相关立法进行反思。
早在1993年《公共记录法》中,印度就规定除为“公共目的”外,禁止公共记录向印度境外传输。近年来,随着印度数字产业的发展,印度对于数据本地化与跨境流动的限制逐渐增多。
2018年4月,印度储备银行发布通知,要求印度境内支付服务提供商将支付数据仅在印度境内存储,并提交相应的合规审计报告。同时将2018年10月15日确定为各公司执行“数据本地化”的截止日期[1]。之后,印度又相继颁布了《电子药房规则草案》、《个人数据保护法草案2018》以及《印度电子商务国家政策框架草案》。上述一系列草案对数据本地化和跨境流动做出了诸多规定,代表着印度数据本地化与跨境流动最新的立法态度和政策倾向。
1.1.1电子药房规则草案
为规范电子药店的在线销售行为,2018年印度健康和家庭福利部发布了《电子药房规则草案》(Draft E-pharmacy Rules)。该草案规定,电子药店的所有者应对其收集的处方信息和用户信息进行保密,不得违法披露。通过电子药房门户网站生成的数据均需在印度本地维护,不得以任何方式向印度境外传输或在印度境外存储[2]。
1.1.2个人数据保护法草案2018
2018年7月,印度发布《个人数据保护法草案2018》(Personal Data Protection Bill 2018)[3]。该法案总体上效仿欧盟GDPR的规定,引入了域外管辖权、数据可携权、被遗忘权等新权利,隐私影响评估、通过设计保护隐私等新机制,增强印度的个人数据保护水平。其中,该草案第八章专门对个人数据的跨境传输加以规范。该法案将个人数据分为一般个人数据、敏感个人数据和关键个人数据(critical personal data)。其中敏感个人数据包括密码、财务数据、健康数据、官方标识符、性生活、性取向、生物数据、基因数据、宗教或政治信仰等。关键个人数据则由印度政府确定后再行公布。
对于一般个人数据,根据该草案的规定,可通过充分保护水平认定机制、标准合同或集团内部计划机制、数据保护局批准机制、数据主体的同意机制进行跨境传输。其中,充分保护水平认定机制、标准合同或集团内部计划机制与欧盟GDPR框架下的充分性认定和有约束力的行为规则、标准合同条款机制类似。对于敏感个人数据,该草案规定,只有满足为特定人员或机构提供健康服务或紧急事件服务所必须,且数据接收国为印度中央政府确认的提供充分保护水平的国家等条件时才能进行传输。在数据本地化方面,草案规定,对于一般个人数据和敏感个人数据,数据受托人应当至少在印度境内的服务器或数据中心中存储一份其处理的个人数据副本,印度中央政府基于国家因素的考量可豁免一般个人数据的本地化义务;印度中央政府认定的“关键个人数据”则仅能在印度境内的服务器或数据中心处理。
此外,为规范数据跨境流动,草案还引进了GDPR中的行为准则机制,印度数据保护局可以发布数据跨境传输行为准则,或批准行业组织、贸易协会或其他机构提交的行为准则,以促进数据保护的良好实践。并且,规定行为准则的制定应当满足透明度要求,咨询相关行业主管部门和利益相关方。
1.1.3印度电子商务国家政策框架草案
2018年8月,印度发布了《印度电子商务:国家政策框架草案》(Electronic Commerce in India: Draft National Policy Framework)[4]。该草案明确印度将逐步采取措施,推进数据本地化存储,例如建立数据中心、使用境内服务器等。但该草案也列出了五种不受数据本地化或跨境规则限制的数据,包括:1) 不在印度收集的数据;2) 印度境内企业基于合同所需向境外以B2B模式传输的数据;3) 与软件和云计算服务相关的技术数据;4) 跨国公司基于内部系统所需跨境传输数据;5) 符合规定标准的初创企业的数据传输。
此外,该草案还规定:IOT设备在公共空间收集的团体数据(Community data),电子商务平台、社交媒体、搜索引擎等产生的数据仅能在印度境内存储。
虽然上述诸多立法尚在制定中,但从其目前公布的版本可以看出,印度数据本地化与跨境流动立法有以下特点:
1) 将个人数据纳入数据本地化的规制范畴 印度《个人数据保护法草案2018》在很大程度上也借鉴了欧盟GDPR的规定。但与GDPR不同的是,印度《个人数据保护法草案2018》不仅对个人数据的跨境流动机制做出了规定,还将其纳入数据本地化规制的范畴,要求个人数据在本地存储。作为印度数据本地化立法典型代表的《印度电子商务国家政策框架草案》也并未将个人数据加以特殊处理,而是统一适用数据本地化规则。由此可见,对于印度立法者而言,个人数据不仅是数据跨境流动所规范的对象,也是数据本地化的重要规制对象。
2) 区分数据类型,实施分级分类管控 通过梳理印度数据本地化与跨境流动主要立法不难发现,印度建立了广泛的数据本地化要求,但并未针对所有类型的数据施加同一种规制方式,而是根据数据类型的不同加以分别管控。
针对支付数据、IOT设备收集的数据、社交数据以及搜索记录,印度实施了高度严格的数据本地化要求,禁止该类数据的离境。在个人数据方面,印度《个人数据保护法草案2018》将个人数据划分为一般个人数据、敏感个人数据和关键个人数据,并对敏感个人数据、关键个人数据的本地化和跨境设置了更严格的要求。
3) 多种监管机制并行,设有豁免规则 在个人数据跨境流动方面,印度充分借鉴了欧盟经验,引入了多种数据跨境传输可行机制。例如:充分性认定机制、标准合同机制、集团内部计划机制、数据保护局批准机制等。此外,还设有一些豁免性条款。例如:《个人数据保护法草案2018》规定,印度中央政府可以豁免部分一般个人数据的本地化要求;《印度电子商务国家政策框架草案》则明确了跨国公司内部业务数据传输、云服务相关数据传输等五种无需遵守数据本地化或跨境传输要求的数据。
在数据本地化与跨境流动限制成为全球一大立法趋势的大背景下,印度强势推进其数据本地化与跨境流动政策有其自身的价值考量。其数据本地化政策也引来了国际社会的诸多争议。
对于为何密集推出数据本地化与跨境流动立法限制,印度官方并未正式做出明确解释。仅在印度储备银行要求支付数据本地存储时,在该行发布的《关于发展和监管政策的声明》中指出,新支付系统、平台的出现使得印度的支付生态系统大大扩展,为确保支付系统数据的安全性,保持数字支付的健康增长,需要对支付数据采取持续性的监控,但数据的境外存储不能满足相应的监督目的[5]。这在一定程度上可理解为印度要求支付数据本地化是基于保障数据安全性,满足执法监督的需要。但这一理由遭到了诸多质疑,诸多分析人士认为,数据本地化并不能有效提升数据的安全性。此外,基于执法目的,并不需要数据在印度境内唯一存储,数据镜像同样可以满足上述需求。
综合各种因素分析,与诸多国家基于国家安全、执法便利或保护个人隐私等立法目的不同,促进印度本土数据产业的发展是印度数据本地化与跨境传输立法的核心驱动力。一直以来,数据被称为数字时代的新石油,具有巨大的经济价值和战略价值,并成为推动第四次工业革命的核心动力。印度物联网、机器学习、人工智能等新一代技术的发展均需要数据支撑,而印度拥有庞大的人口和市场,在此基础上产生了大量数据。根据房地产和基础设施咨询公司Cushman和Wakefield的报告,印度的数字化数据在2010年约为40 000 PB,到2020年可能会达到2 300 000 PB,是全球速度的两倍。数据本地化不仅为印度发展新技术提供了基础资源,同时也为印度本土的数据中心、数字基础设施服务市场的发展提供了契机。咨询公司预测,如果印度拥有上述所有数据,到2050年它将成为数据中心市场的第二大投资者,全球第五大数据中心市场[6]。在此背景下,作为一个急需促进经济增长的新兴经济体,印度需要重新定位其在数据推动经济发展的世界贸易中的位置,为其在全球数据经济中争取优势。以期继英国、美国、中国主导前三次工业革命之后,将印度打造成为工业革命4.0时代第一个成熟的经济体。
因此,有理由认为,印度以数据保护为支点,进行数据本地化与跨境传输立法真正旨在解决的问题是,依托印度巨大的用户市场,实现数据资源的原始积累,同时推进本土数据中心、数字基础设施的建设,通过数据本地化进而实现数据价值的本地化。
对于印度的数据本地化要求,印度本土企业以及监管机构大多持赞成态度。印度国内数字支付平台Paytm表示将完全遵从本地化规定,并认为在印度支付生态系统中应当有印度本土企业,反对全球巨头对印度市场的垄断。印度支付委员会认为,集中数据有助于通过大数据分析改善防欺诈技术,最终使印度用户受益。电话支付和银行业务关系监管机构表示,印度有足够的能力建立强大的风险管理框架,任何有兴趣为印度支付长期增长做出贡献的参与者也应愿意在这里投资建立基础设施[7]。但在国际层面,在全球化深入发展的当下,印度的数据本地化与跨境流动政策产生引来了国际社会的诸多争议。
行业层面,作为仅次于中国的世界第二大市场,印度的数据本地化政策引发了诸多印度境内的外国企业,尤其是美国企业的强烈反对,认为数据本地化将增加其在印度的运营成本,影响其盈利能力。也有企业认为数据本地化不仅仅是个商业问题,还可能导致政府监控泛滥,损害用户权益。目前,亚马逊、微软、SAP等公司正积极通过行业协会游说或国家施压等途径,要求印度放宽其数据本地化要求。
政府层面,印度数据本地化规定引来了欧盟和美国的激烈反对。美国方面,美国商务部对于美国企业的诉求表示支持,并计划将印度的该项监管要求纳入接下来的印美贸易谈判中[8]。此外,美国参议员也致函印度总理称,印度的数据本地化将会阻碍数字贸易的进一步发展,成为两国间的“关键贸易壁垒”[9]。欧盟方面,针对印度《个人数据保护法2018草案》,欧洲委员会向印度电子信息技术部正式提交意见。其中,欧盟表示印度的数据本地化立法无论从经济政策考量还是从执法便利的角度考量都是不必要的。数据本地化将阻碍印度数字贸易的发展。从执法角度看,该举措也不是解决当前执法数据跨境调取困境的有效途径[10]。
我国《网络安全法》第37条对关键信息基础设施境内运营过程中产生的个人数据和重要数据实施了数据本地化要求,并规定了数据出境评估制度。目前,该条的配套规范《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》也在加紧推进中。通观印度此番数据本地化与跨境流动立法及其面临的诸多争议,有诸多问题值得我国在未来相关立法中加以关注或反思。
网安法第37条将个人数据与重要数据并列,均要求数据本地化,并在数据本地化的基础上适用出境评估机制的制度设计是否科学合理。
虽然,印度此次立法将个人数据纳入本地化范畴,但此举没有国际惯例的支持,主要也不是基于国家安全、公共安全等考量。该立法也遭到诸多反对,包括在其立法过程中一直给予支持的欧盟。虽然数据本地化与数据跨境流动密切相关,但二者并非完全一致。从国际立法例上看,从1980年OECD制定的《关于隐私保护与个人数据跨境流动的指南》到欧盟95指令,再到最新实施的GDPR。数据跨境流动的立法主要集中于个人数据,属于个人数据或隐私保护领域的问题。而数据本地化则主要针对的是个人数据之外的数据类型(例如美国针对政府云服务数据、重要技术数据;韩国针对地理数据,加拿大针对银行金融数据,荷兰针对公共数据),主要基于国家安全、公共安全、执法便利等目标。因此,对于个人数据与重要数据规范有着不同的立法诉求,相应的规则也应当有所不同。
对于个人数据,其更多的是对个体权益保障。基于此,对其进行规范的原则应为“以安全保障为基线,以自由流动为目标”,而不是要求本地化。对于重要数据,基于其与国家安全、公共安全等的强相关性,则应以数据本地化为原则,数据出境为例外。相应地,涉及出境评估时,个人数据与重要数据的评估重点也应当有所不同。
印度此次立法虽有尚不完善之处,但亦不乏亮点。其中,《个人数据保护法草案2018》将个人数据划分为一般个人数据、敏感个人数据以及关键个人数据,并分别实施了不同程度的要求,充分将数据分级分类管控理念融入立法,体现了印度在要求本地化的同时,也在努力平衡与数据自由流动的问题。我国未来在数据本地化与跨境流动机制设计时,也应当充分融入数据分级分类的理念,针对不同的数据加以区分管控。
伴随着数字经济全球化程度的加深以及全球互联网日益紧密的结合,跨境数据流动已经成为时代发展的必然要求。另一方面,不同主权国家规制传统与制度环境的差异使得跨境数据流动的规制冲突日益严重,达成政策共识的可能性日渐困难[11]。在数字全球化时代,尤其是在数据本地化和跨境传输领域,简单的单边主义已经不能适应时代的需求。国际多边规则成为各国主张和推行符合本国利益诉求,同时寻求国际共识的重要渠道。当前,WTO《服务贸易总协定》、OECD《关于隐私保护与个人数据跨境流动的指南》、APEC《隐私框架》与《跨境隐私规则体系》,及TPP规则为规范数据跨境流动的重要国际规则。纵观各国立法,不难发现,在分歧巨大的当下,加强国际合作,成为各国数据本地化和跨境领域的重要措施。
例如,欧盟修订后的《第108号公约》特别新增了国际合作条款,强调在数据领域国际合作的重要性,并通过充分性认定机制,积极推进欧日、欧韩等国的数据流动双边协议,构建欧盟的数据跨境流动“同盟圈”。美国方面,双、多边贸易协议已成为美国推进其数据流动政策的主要渠道。自2002年以来,美国已与澳大利亚、智利、摩洛哥、阿曼、秘鲁、新加坡、中美洲诸国、巴拿巴、哥伦比亚、韩国等签订了双边自由贸易协定,推行数据贸易自由化的原则。在美韩自由贸易协定的跨境服务一章,新设相关条款禁止数字贸易壁垒,特别是本地化要求。2016年欧美新签订的《欧美隐私盾协议》,2018年9月美国、墨西哥、加拿大签订协议(USMCA)均对数据跨境与本地化做出了规范。此外,美国还通过亚太合作组织(APEC),积极推进《APEC跨境隐私规则体系》(CBPRs)的实施,试图通过推进“数据日内瓦公约”(Geneva Convention on the Status of Data),推行美国的数据流动政策。
印度数据本地化与跨境流动立法引起的国际反应充分体现了各国在数据跨境和本地化立法方面的利益冲突和博弈。如何有效应对国际上对印度的不良反应,同时促进印度数字产业良好生态的建立,是印度亟需应对的问题。不能妥善处理这些问题,可能会对印度的国际关系、产业投资均会带来巨大的冲击。
我国网安法对于数据本地化与跨境流动的规定也面临着印度本地化立法类似的境遇。2017年美国针对我国网安法第37条的数据跨境安全评估制度向WTO提交文件,以阻碍数据自由流动为由,要求WTO敦促中国暂缓实施该措施。这一系列的事件充分表明在数字全球化时代,尤其是在数据本地化和跨境传输领域,简单的单边主义已经不能适应时代的需求。我国应当积极参与国际交流与合作,积极推进国际双边或多边规则的建立,为我国在国际领域话语权的建立以及未来相关制度的顺利有效落实减少阻碍。
随着大数据、云计算、人工智能等新一代信息技术的飞速发展,数据价值不断攀升,国际社会围绕数据资源的争夺和博弈愈发激烈。在此背景下,数据本地化成为全球又一立法趋势。如何审慎、科学地制定数据本地化与跨境流动立法和政策直接关系到个人、产业、国家等多方主体的利益保护。
综合分析印度数据本地化与跨境流动立法现状及国际社会的诸多反应,未来我国在制定相关立法及政策时应注意厘清数据本地化与跨境流动差异化诉求,区分规制对象及规则;融合数据分级分类理念,平衡数据本地化与跨境流动自由;积极参与国际网络空间治理规则构建,增强国际影响力。