数字经济视角下数据跨境规则的困境与回应

郑淑凤

随着数字经济的发展, 数据已经成为市场竞争的核心资源, 其跨境流动更是国际贸易的重要组成部分。 得益于云计算的发展与网络的普及, 经营者可以摆脱地理位置的束缚, 汇集来自各地的数据,依据技术、 人力、 成本等因素灵活选择处理与储存数据的地点, 数据跨境必不可缺。

与此同时, 对数据跨境流动的法律监管也逐渐加强。 立法者针对数据跨境流动活动做出限制, 表现为要求在收集国保留备份乃至禁止数据出境、 要求接收方提供对等数据保护以及开展安全审查等。种种限制抬高企业合规成本, 迫使经营者开展本地化布局, 在数据收集国建立数据处理机构, 更为严重的是, 会叫停依赖数据跨境流动的商业活动。 2020 年,美国以收集的数据可能会流向中国“威胁” 其数据隐私与国家安全为由, 叫停TikTok 在美国境内的服务(1)2019 年11 月, 特朗普以国家安全为由, 对字节跳动收购Musical.ly 一案展开调查。 同年12 月, TikTok 在美国加利福尼亚州被提起集体诉讼, 起诉者认为TikTok 将用户个人身份信息转移至中国的服务器。 TikTok 回应其数据中心位于中国境外, 并不与母公司共享, 不受中国法律管辖, 目前其美国用户的数据均储存在美国境内。, 并对微信在美相关交易施加禁令(2)2020 年8 月6 日, 特朗普动用《国际紧急经济权力法》 《国家紧急状态法》 等法案, 针对微信发布行政令, 要求45 天后禁止美国人和美国企业、 机构等与微信及其母公司的交易。 9 月18 日, 美国商务部宣布, 为了回应特朗普总统于8 月6 日签署的行政令, 自9 月20 日起禁止与微信有关的交易, 以维护美国的国家安全。 美国法官在9 月20 日颁令, 认为现有证据未能证明对美国用户禁止微信可以解决国家安全的担忧, 暂停美国商务部9 月18 日对微信发布的禁令。; 基于类似理由, 印度同年6 月禁用59 款来自中国的应用软件(3)2020 年6 月29 日, 印度信息技术部宣布59 款来自中国的应用软件可能将其用户数据传入中国, 具有“对印度国家安全和防卫有敌意的要素”, 要求禁用相应软件。 其中涉及抖音、 快手、 百度地图等主流应用软件。。 日渐增大的法律风险亟需检视数据跨境规则适用于数字经营活动中的潜在问题。 本文旨在从数字经济视角考察数据跨境流动规则, 分析其实施困境及潜在风险, 为我国构建数据跨境规则提供参考。

一、数字经济视角下数据跨境规则的发展

考虑到数据跨境流动规则日益繁冗, 本文将其分为数据所在国的单边数据出境监管规则和国际层面开展的数据跨境流动合作规则。

(一) 单边数据出境监管: 从数据出境的专门规则到外资安全审查的引入

基于隐私保护、 信息安全、 国家主权保护等多种原因, 各国都对本国数据出境开展监管。

早期单边数据出境监管主要体现在专门的数据出境要求, 包括数据本地化和要求接收国提供数据充分保护。 数据本地化指一国要求本国数据储存于本国境内, 如俄罗斯要求数据运营商将其公民个人信息存储于本国境内的服务器(4)See article 3, 19 of Russian Federation Federal Law on Personal Data 2006, https:/ /www.dataguidance.com/sites/default/files/en_20190809_russian_personal_data_federal_law_2.pdf., 印度要求一般个人数据和敏感个人数据储存于本国境内, 必须出境的, 需征得本国数据监管机构同意(5)See article 33, 34 of Personal Data Protection Bill 2019 of India, https:/ /dataprotectionindia.in/act/.。 欧盟则以《通用数据保护条例》(GDPR) 为基准, 要求数据接收国提供同等数据充分保护规则。 从《个人数据保护指令》 开始, 欧盟开展对他国数据保护规则的评估; 如果数据接收国的法律不能达到“充分保护水平”, 则该国家可与欧盟相关机构磋商并订立有法律约束力与可执行性的隐私保护协议; 所在国无相关协议时, 相关主体可接受标准合同条款(standard contractual clauses, SCCs) 或约束性公司规则(binding corporate rules, BCRs), 获得对欧盟数据的接收与处理资格。 欧盟建立了以“充分保护”为实质标准, “充分保护认定—隐私保护协议—标准合同或约束性公司规则” 阶梯式的数据出境要求。 GDPR对上述规定做进一步细化, 包括: 增加充分性认定的适用对象, 国内特定地区、 行业也可作为符合充分性认定的单位对象; 增加标准合同的类型; 明确约束性公司规则的法律地位等。 数字经济发达的美国则强调数据跨境的自由化, 未对数据出境做出统一要求。

随着数字经济的发展, 提供数字产品或服务的经营者成为数据跨境的主要主体。 2018 年美国通过《外国投资风险审查现代化法》 (FIRRMA) 授权外国投资委员会(CFIUS) 调查涉及“维护或收集可能以威胁国家安全的方式被利用的美国公民的敏感个人数据”, 以及导致外资能够“使用、 开发、 获得以及披露美国公民敏感个人数据” 的交易(6)See Sec.201-section 721(a)(3)(C)(i) (II) (aa), (bb) of Foreign Investment Risk Review Modernization Act of 2018, https:/ /www.congress.gov/bill/115th-congress/house-bill/5841/text#toc-H9A2EEF4FC19D4695B2F611FA9C7BC9B6., 即在本国数据出境问题上, 美国基于国家安全理由允许政府干预特定数据出境行为。 CFIUS 及组成机构可根据调查结果向总统建议应对措施, 总统可直接阻止某项交易, 或附加交易条件, 或撤销已完成交易。 近年来, 多项涉及数据出境的商业行为被禁止。2018 年1 月, CFIUS 认为MoneyGram 收集可用于识别美国公民身份的数据存在安全威胁而禁止蚂蚁金服收购MoneyGram (MoneyGram, 2018)。 2020 年3月, 美国白宫以可能威胁国家安全为由要求北京中长石基信息技术股份有限公司出售其在美国公司StayNTouch 的所有权益(the White House, 2020)。同年以数据收集与潜在的跨境风险威胁国家安全为考量, 美国对TikTok、 微信在美国的经营活动施加限制。 近年来, 各国加强外资审查, 将潜在的数据跨境活动纳入外资安全审查范畴已成趋势。 欧盟2020 年实施《外国直接投资审查框架条例》, 将数据出境活动纳入审查范围, 提出成员国应重点关注涉及“取得敏感资料(包括个人数据) 或控制这些资料信息能力” 的投资领域(7)See article 4.1 (d) of Regulation of the European Parliament and of the Council establishing a framework for the screening of foreign direct investments into the Union 2019, https:/ /eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0452.。 当成员国认为外商投资涉及的数据传输会威胁本国安全时, 有权直接审议或叫停相应交易。 但该条例对成员国仅具指导效力, 实际影响有待成员国后续的国内法改革。

(二) 数据跨境流动合作: 从数据专门合作到自由贸易协定

考量到数据自由流动对推动经济发展的重要作用, 各国(尤其是数字经济较为发达的国家) 积极开展数据跨境流动合作, 减少数据跨境壁垒。

1. 数据跨境的专门合作

早期国际合作主要通过专门的数据跨境协议开展。2013 年在美国主导下, 亚太经济合作组织(APEC) 通过《跨境隐私规则体系》 (CBPRs) 推动数据跨境的自由流动。 CBPRs 以满足相对宽松的APEC 隐私框架要求为基础, 由成员国政府指定一个或多个法人担任“问责代理机构” (需经CBPRs 联合监督小组认可),审核境内企业的数据保护政策。 企业可以自行制定数据保护政策与传输规则并向问责代理机构申请认证,一经通过, 即可在成员国范围内与其他认证企业自由传输个人信息。 尽管CBPRs 采用相对灵活的机制吸引合作, 但指定“问责代理机构” 真正加入CBPRs 的只有美国(TRUSTe)、 日本(JIPDEC)、 新加坡(Infocomm Media Development Authority) 与韩国(Korea Internet ＆ Security Agency), 且认证企业多为美国企业, 实际影响有限。

欧盟巨大的内部市场和明确的数据出境要求吸引了诸多国家的主动合作。 2000 年, 美国与欧盟签订《安全港协议》, 自愿加入并承诺遵守协议中数据保护标准的企业可获得数据传输资格。 该协议以行业自律为原则, 政府执法机构仅在必要时参与监管执法。2013 年斯诺登事件暴露了美国在数据保护方面的漏洞, 《安全港协议》 被欧盟法院判定无效(8)Maximillian Schrems v Data Protection Commissioner, Case C-362/14, 6 October 2015.。 对此,2016 年美欧通过《隐私盾协议》 强化了政府对数据传输活动的监管, 其要求加入企业必须配合美国商务部行动, 且欧盟公民有权在美国法院提起诉讼(9)2016 年 1 月 17 日美国通过《第 28 号总统行政指令》, 将美国境内的隐私保护拓展适用至非美国公民。 同年《司法救济法案》 发布, 赋予欧洲公民与美国公民同等的司法救济权, 即欧洲公民有权针对美国政府不当披露个人信息的行为, 依据《1974 年隐私法案》 在美国法院提起诉讼。 而在此之前, 仅有美国公民才能向美国法院提起联邦机构侵害个人隐私的诉讼。。 但2020 年, 欧盟法院在Schrems II 案中认为美国数据保护规则(特别是美国《国家安全法》 ) 未能提供与GDPR 本质上相同(essentially equivalent) 的隐私保护, 进而认定《隐私盾协议》 无效(10)Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18).。

在这一阶段, 各国开展专门的数据跨境合作, 其中以美国与欧盟为主导, 形成各具特色的美国模式与欧盟模式(李杨等, 2016; 周念利等, 2018)。 在规则构建上, 美国和欧盟分别主导构建以CBPRs 和GDPR为基准的数据跨境保护要求, 其具体规则与诉求通过国际合作扩大影响。 美国一方面倡导数据跨境的自由化, 减少各国数据出境限制, 助力其数字经济的全球扩张; 另一方面坚决维护国家安全底线, 在其认为数据出境威胁其国家利益时, 授权政府依FIRRMA 等法律介入乃至叫停相关活动。 欧盟则更强调数据跨境中的隐私保护, 以GDPR 为基准要求数据接收国构建类似的保护规则, 有效推动了各国对其规则的学习与适用。 在运行模式上, 考虑到各国在数据保护上的复杂利益诉求与矛盾, 国际合作都采取了相对灵活的模式。CBPRs 在国家牵头下实行以行业自律、 问责机构为基础, 事后问责的规制路径(许多奇, 2018; 黄宁等,2017), 让企业获得了最大程度的自主权。 美欧《安全港协议》 同样采用企业自愿加入, 以行业自律为基础的宽松合作框架。 这种模式保障了国际合作的灵活性,最大程度上凝聚共识、 减少差异, 但存在相当大的安全风险(张继红, 2018)。

2. 国际贸易协议中的数据跨境合作

随着数据专门合作面临障碍、 数字经济影响力扩大和新一轮自由贸易协议(FTA) 兴起, 各国开始通过贸易协定, 在其电子商务、 数字贸易等章节规定数据跨境合作规则。

2012 年美国与韩国签订《美韩自由贸易协定》(U.S.-Korea Free Trade Agreement), 第一次在FTA中涉及数据的跨境流动问题, 要求成员方应努力避免对电子跨境流动施加或维持不必要的阻碍(11)See article 15.8 of U. S. -Korea Free Trade Agreement 2019, https:/ /ustr.gov/trade-agreements/free-trade-agreements/korus-fta/final-text.。 此后,美国陆续通过贸易协定开展数据跨境合作, 特别是在去除数据计算设备本地化要求上取得实质性进展。 其主导的《跨太平洋伙伴关系协定》 (TPP) 规定, 缔约方不得强制要求数据计算设备存储在本地, 且对数据跨境的限制不得构成任意或不合理歧视或构成对贸易的变相限制, 除非是为“各自监管要求” 以及达成“合法公共政策” 目标(12)See article 14.13.1, 14.13.2 and 14.13.3 of Trans-Pacific Partnership Agreement, https:/ /ustr. gov/trade-agreements/free-trade-agreements/trans-pacific-partnership/tpp-full-text.。 虽然美国后来退出了该协议谈判, 但其规则为后续协议提供了范本。 2018 年《美墨加贸易协定》 (USMCA) 借鉴了TPP 协议, 要求缔约方不得强制数据计算设施储存在本地, 但删去例外条款(13)See article 19.12 of the United States-Mexico-Canada Agreement, https:/ /ustr. gov/trade-agreements/free-trade-agreements/united-statesmexico-canada-agreement/agreement-between., 最大限度地促进了数据跨境自由化。 此外, USMCA 还引入政府数据公开条款, 并借鉴APEC隐私框架要求完善个人信息保护原则(14)See article 19.8.1-19.8.6 of the United States-Mexico-Canada Agreement, https:/ /ustr.gov/trade-agreements/free-trade-agreements/unitedstates-mexico-canada-agreement/agreement-between.。

欧盟也开始通过贸易合作推进数据跨境的深入合作。 2018 年日本与欧盟签署《经济伙伴关系协定》(EPA) 和《战略伙伴关系协定》 (SPA), 宣布双方可无缝传输对方数据(Joshua, 2018)。 世界贸易研究所一项关于“双边贸易协定中的数据相关条款”的研究显示, 自2000 年起, 全球共有99 项双边协议中包含了至少一条关于电子商务和数据跨境流动的条款, 其中有72 项双边协议包含了电子商务和数据跨境流动的章节。

尽管各国仅在FTA 的特定章节、 条款中涉及数据跨境规则, 颇有“曲线救国” 的意味, 但贸易合作确实为各国开展实质上的数据跨境合作提供了有效切入点。 一方面, 独立而全面的数据规定需兼顾数据自由流动、 国家主权安全和隐私保护等多方面需求, 因而在规则制定、 合作推进上面临更多困难,将数据跨境置于国际贸易语境则弱化了各国在主权和隐私保护等方面的差异, 并结合经济发展诉求提高了各方的合作动力; 另一方面, 当前FTA 多为小范围的双边或多边协定, 合作范围的缩小也有助于减少差异, 凝聚共识。

二、现有数据跨境规则的运行机制与落地困境

尽管域外已对数据跨境规则进行了长期探索,但其在合作模式和规则实施中都存在一定问题, 阻碍了跨境规则的有效实施。

(一) 企业与监管机构间权力配置失衡

从上述讨论可知, 各国数据出境规则与跨境传输合作中多采用企业自治与机构监管结合的方式:在外资审查中, 企业自主制定数据传输政策, 由审查监管机构对其安全性开展审核, 决定是否批准相关商业行为; CBPRs 与《安全港协议》 允许公司或数据传输机构在满足协议要求的基础上自行构建数据出境的保护措施, 由政府或专门机构进行评估或监管。 但这种模式有赖于企业与监管机构的合理分工, 为企业提供灵活性的同时保障监管的有效性,降低安全风险, 而实践中企业与监管机构的权力天平往往走向两极分化。

在单边数据出境监管中, 随着外资安全审查范围扩展至数据跨境, 监管机构可直接决定是否允许特定数据出境活动, 权力天平过分倾向监管机构。外资安全审查指东道国为保护国家安全对外国资本在本国投资开展商业活动的审核机制, 属一国行使主权范畴, 具有对内最高性和对外独立性。 审查机构拥有巨大自由裁量权, 即便其能够克服行政机构固有的效率低下、 权力寻租问题, 但实践中仍存在自由裁量权过大、 审核标准与市场实践存在偏差的风险(甘培忠等, 2015; 王光东, 2016)。 同时, 作为政府机构的审查机关可能会受到国际关系、 国内舆论乃至大选选情等外部因素等影响, 导致审查出现偏差并采取与实际风险不相匹配的限制性措施(陈向阳, 2020),甚至可利用外资国家安全审查之名行保护主义或歧视性措施之实(15)如CFIUS 在每年向国会提交的外国投资活动的报告中即提出特别关注中国相关的交易。 See CFIUS Reform Under FIRRMA, https: / /crsreports.congress.gov/product/pdf/IF/IF10952.。 此外, 由于国家安全审查常涉及公众无法获得的机密信息, 审查工作透明性低。 诸多涉及数据跨境流动的投资或交易, 都可能被审查机构认为对国家安全构成威胁, 甚至在交易结束后面临接受调查和被要求撤资的风险。

在多边数据跨境合作中, 由于各国在数据跨境中难以达成共识, 国际合作多借助相对灵活的机制,通过认证评估的企业即可自由传输数据, 但权力的天平过分倾向企业。 如CBPRs 允许通过认证的企业自由传输数据, 在缺乏有力监管下, 采用了事后追责的机制, 未能有效抵御数据安全风险。 这也是CBPRs 目前参与范围非常有限的重要原因。 欧盟同样采取事前认证模式, 企业在获得资质认证后即可自由传输欧盟数据, 无需就每次传输活动获得单独授权(16)参见GDPR 第45.2 条规定。。 但欧盟同时还通过司法诉讼和合规审查等保障企业在实际数据传输中合乎规定。 欧盟以企业实际数据保护水平未与GDPR 保持一致为由宣告《安全港协议》 和《隐私盾协议》 无效, 即证明了事前认证模式的潜在风险与持续监督的必要性。

(二) 纠纷解决机制缺位, 管辖权争夺激烈

当前数据跨境合作与国际平台都未能提供有约束力的纠纷或争议解决机制, 进一步加大了数据跨境规则的落实困境。

首先, 在国际数据跨境合作中, 美国与欧盟各自主导两种模式, 积极扩大影响, 但彼此相融性差。有学者指出, 尽管CBPRs 框架的实际参与效果较差, 但美国仍然在国际舞台上积极推行该机制, 原因在于其希望推动各国在数据跨境规则中遵从CBPRs 较低的保护标准, 避免以国内较高的数据保护标准要求数据接收国(洪延青, 2021); 而欧盟则在国际合作中积极推行其较高的GDPR 保护标准, 双方分歧明显。 《安全港协议》 和《隐私盾协议》 接连无效也凸显了美国与欧盟标准的兼容困境。 特别是两协议均未提供独立的纠纷解决机制,针对美国以《国家安全法》 干预数据传输的行为,欧盟个人数据保护机构并无管辖权(17)See European Court of Justice 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbor privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441) (Text with EEA relevance) , https:/ /eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32000D0520., 只能直接宣告协议无效。 其次, 双边或多边贸易协定的合作方式本身即通过小范围合作回避了外部监管, 且贸易协定中部分为“促进数据自由流动” 或“减少数据本地化限制” 等原则性条款, 部分规定的例外条款缺乏明确释义, 规则落实无权威的争议解决方案。最后, 传统国际贸易纠纷解决平台的失效进一步加剧了数据跨境纠纷的解决困境。 过去国际贸易纠纷主要在世界贸易组织(WTO) 下解决, WTO 凭借广泛的影响力和强制执行力为规则落实和纠纷解决提供保障(易继明, 2020)。 但当前上诉机构停摆,而且WTO 缺乏针对数据跨境的系统规则, 没有纠纷解决依据。 尽管《服务贸易总协定》 (GATS) 提供促进信息的跨境传输的规定(18)《服务贸易总协定》 电信服务附件中第5 条规定“每一成员应保证任何其他成员的服务提供者可使用公共电信传输网络和服务在其境内或跨境传送信息……以及使用在任何成员领土内的数据库所包含的或以机器可读形式存储的信息”。, 但其隐私保护例外与安全例外限制缺乏详细的解释与限制(19)《服务贸易总协定》 第14 条规定“本协定的规定不得解释为阻止任何成员采用或实施以下措施: (a) 为保护公共道德或维护公共秩序而必需的; (b) 为保护人类、 动物或植物的生命或健康而必需的; (c) 为确保服从与本协定规定不相抵触的包括与下述有关的法律和法规所必需的: (1) 防止欺诈和欺骗做法的或处理服务合同违约情事的; (2) 保护与个人资料的处理和散播有关的个人隐私以及保护个人记录和账户秘密的; (3) 安全问题”。, 各国仍可以借此正当化对数据跨境的限制措施。 WTO 开启《服务贸易协定》 (TiSA) 谈判以弥补数据规则空白, 但各方在禁止数据本地化等关键问题上意见不同, 难以达成共识。(20)See TiSA - Annex on Electronic Commerce 2013, https:/ /netzpolitik.org/wp-upload/TISA-Annex-on-Electronic-Commerce.pdf.

纠纷解决机制的缺位加剧了各国对数据管辖权的争夺。 近年来, 以美国、 欧盟为代表的国家通过“长臂管辖” 扩张其跨境数据执法权。 2018 年, 美国《澄清域外合法使用数据法》 采用“数据控制者” 标准, 赋予美国执法机关对美国企业控制数据的执法权, 无论数据是否存储在美国境内(21)See article 2713 of Clarify Lawful Overseas Use of Data Act (Cloud Act 2018), https:/ /www.justice.gov/dag/page/file/1152896/download., 使美国数据管辖权扩展至美国企业所在的其他国家市场。欧盟GDPR 将适用范围扩张至所有为欧盟用户提供产品和服务的企业, 不论其是否在欧盟境内。 以长臂管辖为代表的数据主权扩张, 导致各国法律适用连接点增多, 甚至导致国家间的司法主权冲突, 给从事跨境数据传输的企业带来难以调和的义务冲突问题。 纠纷解决与司法协调都需要确立在国际层面中立、 具有公信力与执行力的协调机制, 在推进数据跨境合作的同时, 应合理尊重各国的数据主权。

三、数据跨境规则的发展趋势与潜在风险

从前述讨论可以看出, 数据跨境规则越来越多脱离其独立性, 与国际数字贸易紧密联系。 一方面,自由贸易协定正成为数据跨境合作与规则构建的主要路径; 另一方面, 外商投资审查成为一国数据出境的重要监管方式。 这一联系有助于推进数据跨境的合作, 但也存在诸多风险。

(一) 与贸易合作的绑定加剧数字鸿沟

双边或多边贸易协定成为数据跨境合作的主要形式, 客观推动了数据跨境合作的集团化格局, 部分国家被排除在外。 随着数据与经济的紧密结合, 数字经济发达的国家通过提供数字化的商品与服务成为主要的数据接收国, 具有参与构建数据跨境流动规则的强大动力。 如美国积极推行数据跨境的自由化, 为亚马逊、 谷歌等数字经营者的全球扩张提供便利。 而数字经济不够发达, 但数字产品与服务消费市场巨大的国家或地区, 则可以凭借内部市场吸引他国参与并遵守其数据跨境要求, 获得话语权。 如欧盟整合单一数字市场, 以其大规模相对富裕的人群消费为筹码推行自己的数据跨境规则。 而数字经济不发达且消费市场不大的国家或地区则既无构建数据跨境规则的动力, 也无规则推行的话语权。 因此, 数字经济相对发达或消费市场较大的国家或地区可通过双边或多边贸易协定开展一定范围内数据跨境合作, 并在全球范围内推行其规则, 而其他国家或地区则无法参与其中同, 并逐渐丧失在该领域的影响力。

数据跨境合作的集团化会进一步拉大全球数字经济发展的鸿沟。 数字经济具有规模效应, 算法分析和深度学习对数据规模的需求、 用户黏性和高额的合规成本, 都使得大型数字经济企业更具发展优势。 较先发展数字经济的国家可通过开展数据跨境合作扩大服务范围、 提高数据收集能力、 优化算法与服务, 在商业活动与技术革新中巩固优势地位。 而未加入数据跨境合作的国家或地区, 则在数字经济的竞争中处于劣势, 同时限于其保守的数据出境规则, 也难以享受来自他国的数字产品和服务。 长此以往, 此类国家或地区易陷入恶性循环, 落后于数字化潮流, 先发优势国家可继续扩大其优势, 全球数字鸿沟加大。

(二) 外资安全审查的不当开展给跨国企业带来不合理负担

外资安全审查成为数据出境监管的重要方式,使得数据出境的审查对象从国家或地区转化为从事数据传输的具体企业, 可能会给企业带来额外风险负担。

哈佛大学的约瑟夫·奈教授曾指出, 全球信息化时代的重要特征在于以企业为代表的行为跨越国界的非国家行为体(transnationa lactors) 影响力加强。 从事数字经济的跨国企业多拥有收集海量数据、进行深度学习、 开展算法分析的能力, 对社会影响的深度与广度在部分领域已经超过一般政府组织(22)随着其职能的扩张, 大型经营者甚至取代部分传统政府的职能。 例如, 如阿里巴巴、 爱奇艺等平台推行自己的平台侵权监督、 举报、撤销内容、 罚款等活动, 开展知识产权执法; 抖音短视频平台、 新浪微博、 今日头条等通过个人推荐算法左右着个人接收的信息与舆论; 在新冠疫情中, 微信、 支付宝等软件与政府合作提供健康码与追踪个人行踪记录等。(齐延平, 2018)。 对该类企业活动开展监管实属必要, 但应保障监管的客观性和可预期性。 而随着国际竞争的开展, 国家间的直接交锋逐渐转向对跨国行为体的限制, 政府对跨国企业的监管可能会受到企业“国籍”、 国际关系等因素的影响。

外资安全审查针对具体企业交易行为, 且审查机构有巨大自由裁量权, 与一般数据跨境限制相比更具针对性。 由于提供数字产品或服务的跨国企业不可避免地需开展数据跨境传输, 以数据跨境的安全风险限制企业活动更具灵活性。 从美国限制Tik-Tok 与微信、 印度限制微信等在本国的商业活动来看, 以外资安全审查的方式评估数据跨境风险具有一定恣意性。 不合理地针对数据跨境使用安全审查,如审查机构带有偏见或受外部影响, 会给跨国企业带来更多的不确定性, 阻碍数字经济发展。

四、我国发展数据跨境规则的国内与国际维度

国际数据跨境监管对我国数字经济影响逐渐扩大, 而在国际数据跨境的规则构建中, 我国多处于缺位状态。 未来我国应完善国内数据跨境规则, 参与营造开放有序的数据跨境流动环境。

(一) 完善国内数据出境监管机制, 推动数据有序流动

从前述讨论可看出, 参与国际数据合作需以完善的数据跨境规则为依托。 成熟的数据出境规则是我国营造开放有序的数据流动环境、 参与并推动国际数据跨境合作的基础。

1. 我国数据出境的基本立场与规则构建

近年来, 我国加快数据相关立法, 在2021 年集中出台《数据安全法》 和《个人信息保护法》, 初步建立了完整的数据法律框架。 在数据出境的监管立场上, 我国早期着重保障数据的安全可控(23)参见2015 年《国家安全法》 第5 条。, 对特殊行业的数据采取本地化措施(24)我国对特殊行业要求其服务器、 数据等放置在中国境内, 参见2016 年国家新闻出版广电总局与工信部颁布的《网络出版服务管理规定》 第8 条, 以及2019 年交通部、 工业和信息化部、 商务部等六部门联合颁布的《网络预约出租汽车经营服务管理暂行办法》 第5 条。, 随着数字经济发展, 我国在保障安全的前提下回应数据流动需求,提出“促进数据跨境安全、 自由流动”(25)参见2021 年《数据安全法》 第11 条。。 较之于美国强调数据自由流动和欧盟对数据中隐私保护的关切, 我国旨在平衡保障国家安全、 公民隐私和满足数据流动的需求, 推动数据跨境的“有序” 流动(26)这在《数据出境安全评估办法(征求意见稿) 》 中也有所体现, 其第3 条规定了“防范数据出境安全风险, 保障数据依法有序自由流动”。。

在具体规则上, 我国数据出境要求根据数据类型与规模而有所不同。 关键信息基础设施运营者收集的数据和收集个人信息达到规定数量的应当本地化存储, 必须出境时需通过安全评估(27)参见《网络安全法》 第37 条、 《数据安全法》 第31 条和《个人信息保护法》 第40 条。。 针对其他个人信息出境, 我国借鉴欧盟SCCs 和BCRs 规则, 增加保护水平认证与标准合同选项, 传输者可在获得个人同意的基础上从开展安全评估、 个人信息保护认证和使用网信部门提供的标准合同中选择其一(28)参见《个人信息保护法》 第38、 39 条。。

此外, 我国规定在其他国家或地区对中国采取歧视性的禁止、 限制措施时, 我国可采取对等措施,为平衡外国不当限制提供了反制规定(29)参见《个人信息保护法》 第43 条。。

2. 数据出境安全评估的规则建设

由前述可知, 安全评估是我国数据出境监管的主要方式。 2021 年国家互联网信息办公室出台《数据出境安全评估办法(征求意见稿) 》 (以下简称《评估办法》 ), 就适用情形、 申请要求、 程序期限、 评估重点等做出详细规定。

根据《评估办法》, 我国采用事前评估模式, 数据传输者通过评估后可获得数据出境资格, 无需就每次数据传输都申请评估, 为企业提供灵活空间。 但吸取CBPRs 与《安全港协议》 安全风险过高的教训,《评估办法》 明确“事前评估和持续监督相结合” 原则。 对通过评估的企业坚持后续监督, 有助于平衡企业灵活性与数据出境安全。 当前《评估办法》 中“持续监督” 体现为对评估效力2 年期限制和在特定情况下需重新申报评估的规定(30)参见《评估办法》 第12 条。, 未来可继续补充持续监督的细则, 增加数据出境抽查机制, 推动该原则的落实。

在评估适用上, 根据现有法律, 安全评估分别适用于特殊数据(关键信息基础设施运营者收集的数据和规模较大的个人信息) 和其他个人信息出境两种情况(31)参见《网络安全法》 第37 条、 《数据安全法》 第31 条和《个人信息保护法》 第38-40 条。, 而《评估办法》 提供统一的评估标准,消弭了区分适用情形的意义。 一方面, 两类数据出境在风险大小、 来源上有所差异, 在评估重点上宜有所区分。 另一方面, 在个人信息的出境审批中, 法律将企业通过安全评估与获得个人信息保护认证、 使用标准合同置于同等效力, 企业满足其一即可自由传输个人信息, 此处安全评估的标准应与个人信息保护认证和标准合同的内容保持实质一致, 避免三种选项差异过大导致企业向宽松选项逃逸而其他选项落空的情况。考虑到我国网信部门尚未就个人信息保护认证和标准合同出台具体规则, 建议先在《评估办法》 中做区分表述, 为未来标准区分与细化做铺垫。

在评估标准上, 《评估办法》 规定了材料要求和评估重点(32)参见《评估办法》 第6、 8、 9 条。。 但考虑到安全评估制度正处于建立初期, 评估标准是否具有可操作性、 传输者是否充分理解评估要求都难以确定, 《评估办法》 仅在材料不全或不符合要求时允许申请方补充或更正, 未能提供评估机构与数据传输者间的交流机制。 为提高评估标准的可适用性, 为市场提供稳定预期, 决策者可考虑在制度实施初期提供交流机制。 当申请者提交的材料不能满足相应标准时, 评估机构可出具意见, 允许申请者在一定期限内提高保护水平或补充安全措施。 2020 年, 商务部出台《全面深化服务贸易创新发展试点总体方案》,提出在条件相对较好的试点地区开展数据跨境传输安全管理试点(33)《全面深化服务贸易创新发展试点任务、 具体举措及责任分工》 的第115 项规定: 支持试点地区聚焦集成电路、 人工智能、 工业互联网、 生物医药、 总部经济等重点领域, 试点开展数据跨境流动安全评估, 建立数据保护能力认证、 数据流通备份审查、 跨境数据流动和交易风险评估等数据安全管理机制。 鼓励有关试点地区参与数字规则国际合作, 加大对数据的保护力度。。 决策者可考虑借此在试点地区试行安全评估制度, 并通过交流机制推动评估机构与申请者合作探索最佳方案。

(二) 推进构建开放有序的数据跨境合作体系,弥补数字鸿沟

在国际参与中, 我国应贯彻推动数据跨境有序流动的政策, 稳步参与并推进多边数据跨境合作。2021 年, 我国核准加入《区域全面经济伙伴关系协定》 (RCEP), 尽管RCEP 要求缔约方不得阻止出于商业原因通过电子方式跨境传输信息的行为, 但其提供公共政策例外并赋予缔约方解释公共政策内涵的权利, 同时允许缔约方基于保护其基本安全利益而做出必要措施, 其他缔约方不得对此类措施提出异议(34)See article 14.2, 15 of Regional Comprehensive Economic Partnership, https:/ /rcepsec.org/legal-text/。 可见在推动数据流动自由化的同时,RCEP 更尊重不同国家对数据跨境限制的需求并提供合理空间, 且其参与范围更广。 我国可考虑以RCEP 为基础, 推动构建相互尊重、 广泛参与、 开放有序的数据跨境合作体系。

同时, 我国也应关注到数据跨境背后的发展利益, 推动与不同国家、 地区的合作, 弥补数字鸿沟。数据跨境背后除了国家主权和隐私保护, 还包含国家在数字化领域的发展利益。 意识到各国在数字化发展中的巨大差距, 我国作为数字经济相对发达国家, 应当秉持开放、 均衡、 普惠的原则, 推动国际合作惠及不同国家。 可在尊重他国数据主权的前提下, 通过经贸合作帮助不发达国家构建数字网络基础设施与平台, 探索数据跨境合作机制; 在合作范围上, 我国可聚焦数字化相对落后的国家, 同时借助“一带一路” 的发展契机, 通过贸易合作探索数据跨境规则, 逐步提高规则科学性与影响力。

五、结 语

在数字化时代, 数据跨境规则建设面临的挑战在于如何平衡经济发展下数据流动自由化需求与实现数据中隐私保护和维护国家安全等多重目标(Mitchell et al., 2017)。 当前数据跨境发展呈现与经贸合作紧密相关的特征, 这在推动规则探索的同时也导致数据跨境合作的价值恣意化和范围集团化。数据跨境的规则构建是一个全面、 长期的工作, 国家间的数据跨境合作应保障不同国家的参与机会与协商能力。 我国应在完善国内规则的基础上, 积极参与构建国际数据跨境规则, 平衡机构监管力度和企业自主空间, 助力数字经济发展的同时, 扩大合作范围, 弥补数字鸿沟。