“一带一路”数字经济数据跨境传输共享治理场景建构

2022-03-16 02:19
关键词:数据保护传输跨境

齐 鹏

(西安交通大学 法学院, 陕西 西安 710049)

18世纪工业革命中期,世界第一条横跨大西洋海底电缆的出现使得人类信息传递开始便捷起来。以数据为载体的数字经济时代,各类数据信息依托互联网技术进一步突破全球地理空间实时共享,形成了数字经济万物互联发展的新引擎(1)根据中国信息通信研究院《全球数字经济白皮书》统计,2020年,全球数字经济规模达到32.6万亿美元,占全球GDP比例为43.7%。。自新冠疫情发生以来,数据跨境传输对全球疫情防控及经济恢复产生诸多助益。然而,数据激增流量带动下的数字经济发展风险也如影相随。与传统实体经济相较,一方面,数字经济发展中,各类间谍组织可能利用信息技术漏洞,随时窃取数据秘密(2)2021年5月7日,黑客攻击了美国最大的成品油管道运营商Colonial Pipeline,迫使其一度关闭整个能源供应网络,极大地影响了美国东海岸燃油等能源供应,美国政府宣布进入国家紧急状态。本次攻击成为美国能源系统有史以来遭遇最严重的网络袭击,也导致了美国首次因网络攻击而进入国家紧急状态。、散布虚假信息,严重影响国家社会安全,不利于数字经贸活动的有序展开;另一方面,基于数字经济平台及时消费的特点,面对各类数据垄断平台寡头,消费者往往可能忽略对其自身信息隐私安全的保护(3)2021年7月2日,我国网络安全审查办公室宣布,对“滴滴出行”存在严重违法违规收集使用个人信息的问题,启动网络出行安全审查;7月4日,国家互联网信息办公室依据《中华人民共和国网络安全法》的相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息的安全;7月10日,国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》进一步明确要求,掌握超过100万用户个人信息的数据处理者赴国外上市,须向网络安全审查办公室申报网络安全审查。,以致个人动态隐私信息泄露时时发生[1]。我国如何在数据全生命周期实现数据自由安全传输与数据本地化弊端间紧张关系的平衡,建立“一带一路”数据安全传输生态圈,更好地保护数据所有者权属,已成为“加快数字化发展,建设数字中国”亟需讨论的司法焦点。

一、“一带一路”数据跨境传输:国别化与区域性规制尝试

正如耶林(Rudolph von Jhering)所说:“世界上一切权利都是经过斗争而得来的。”[2]数据跨境传输权利的保护也是如此。伴随数字经济的到来,数据价值激增,其已成为各个国家不可回避的重要研究对象。基于此,各国各地区的数据信息保护意识更加坚定,并采取不同措施以实现对有利数据资源的争夺控制。

(一)尝试一:国别化数据跨境传输本地治理

相较欧美数字经济发达国家,“一带一路”沿线大多为发展中国家,更希望保留对数据跨境流动的限制空间,通过数据本地化存储,促进本国实现实体产业与数字经济的稳定发展。目前为止,沿线已有66个国家颁布了数据保护立法,14个国家公布了相关立法草案[3],要求本地生成的数据保存于本国境内,形成数据战略资源。检视当前沿线各国国别化差异化的数据跨境流动本地存储机制,依据本地数据保护治理的彻底程度可分为4个类型。

1.数据本地镜像

即数据所有者必须先在本国存储数据副本,然后方可将数据转移至国外。这种情形主要表现在“一带一路”南亚国家的数据跨境双向合规中。如印度以“数据经济能力短板”为由,呈现出的数据本地化倾向。其中,印度《2018年个人数据保护法案(草案)》认为,跨国间数据分隔与流通可能会严重阻碍数据贸易中的获利目的,因此,提出数据跨境传输须在位于印度境内的服务器或数据中心存留数据服务副本。2019年,印度《个人数据保护法案》进一步要求数据收集者必须先取得数据所有者同意,且在其境内留存数据副本,才能将敏感个人数据传输给印度外的其他任何公司实体或个人。换言之,根据该法,任何人不得将敏感个人数据传输给未按照本法要求保持相同数据保护水平的其他个人或实体,或未经有关人员同意获得了包含个人数据的材料访问权,即使在其境内实现数据副本留存,也有可能造成不法损失或不正当收益。那么未经银行、保险公司、医院、国防机构等相关监管机构授权,也不得向任何个人或机构传输数据。

2.数据本地存储

该类型中,数据主体要求必须在数据来源国家实现数据物理定位,限制特定类型的数据被传输到境外。这种类型主要表现在独联体及中东欧国家数据跨境传输的应对中。其中,基于数据主权考量,2015年,俄罗斯议会通过的第242-FZ号联邦法律[4],要求运营商应确保俄罗斯个人数据的收集、存储、更新、修改和检索,且均应通过位于俄境内的数据库进行[5]。2019年,俄罗斯根据《个人数据法》,向狄铎(TikTok)、脸书(Facebook)、推特(Twitter)提出将本国用户数据本地化的要求。此外,哈萨克斯坦从2005年开始,亦要求在国内注册域名网站须在其境内服务器中运营[6],塔吉克斯坦和土库曼斯坦的相关法律也在酝酿中[7]。

3.附条件的数据本地存储

“一带一路”西亚国家的数据跨境治理机制中,部分国家深受欧洲国家相关立法的影响,最终形成了以欧盟立法为模式的附条件本地存储特点。如以色列在《隐私保护法》中规定,数据传输到域外国家时,数据接收方提供的法律保护不得低于以色列法律规定的数据保护程度,或满足下列条件之一:数据所有者已同意传输;无法取得数据所有者同意,但传输对保护其身体健康至关重要;数据被传输至由第三方存储的,须保证跨境传输后数据所有者个人隐私得到保护;数据传输到第三方存储者,依据以色列数据使用法律做必要的修改;经法定机关向公众提供或公开供公众查阅的数据;数据跨境传输对公共安全至关重要。除此之外,伊朗2004年的《电子商务法》也规定,在符合以下条件时,方可向第三者传输数据:获得数据所有者同意并确保被接收国具有同等程度的数据安全“充分保护”水平,足以保障数据所有者的各项权利。巴基斯坦的立法中,亦禁止向其不承认的国家或地区传输数据,同时要求每个收集敏感个人数据的实体,都必须任命申诉专员,以便在收到此类数据相关投诉或修改请求后,一个月内迅速予以答复,即时保护数字交易各方的利益权属。此外,由于中东欧地区的大多数国家现已加入欧盟,因此,其现行数据跨境治理中更多体现着欧盟色彩,并倾向基于《通用数据保护条例》(GDPR)第45条规定,在向第三国传输数据时,往往需通过考察其整体法治环境、人权保护现状、监管机构等因素,综合评价认定数据接收方是否具备充分安全的保护水平,方可实施数据传输活动。

4.特定数据类型存储、处理、访问全程限制

特定类型数据要求本地存储,完全排除境外处理、访问本地数据。主要包括医疗、基因、通信服务、地理空间、政府、银行信用报告、财务支付、税务、保险、上市公司内部数据,以及用户在社交媒体和互联网服务平台上生成的数据等。如在东盟国家的数据跨境传输监管立法中,印度中央储备银行要求所有支付系统提供商及中介、第三方供应商和支付生态系统中的其他实体,应强制实施该规则,以确保所有相关数据仅在其境内存储,并提交相应的合规审计报告[8]。越南的《网络安全法》也明确要求,国外互联网企业应将有关医疗保健、社会保障、保险、金融及电信等特定类型的数据,在其境内设立分支机构或代表处,定期按照要求储存该类型数据。之后,越南又颁布《电子药房规则草案》,要求电子药店应对其收集的处方和病人数据信息严格实施本地保护,不得违法向境外输出或存储[9]。我国对于个人金融信息数据保护及人类遗传资源数据保护(4)2019年,国务院《中华人民共和国人类遗传资源管理条例》第7条规定:外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。,也严格禁止境外存储、处理和访问(5)中国人民银行印发《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)要求:除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。。

纵观“一带一路”国别化数据跨境传输限制措施,由于沿线整体数字经济发展水平相较欧美仍存较大差距,于是各国大都采取了十分保守的数据传输保护模式,虽然这种措施暂时一定程度上减少了相关国家实体经济发展遭受数字经济影响的冲击,但也由于这种过于保守的立法规制态度,可能形成诸多数据传输技术壁垒,导致数据资源无法及时自由流通,而渐渐拉大与全球数字经济发展的差距。

(二)尝试二:区域双边、多边数据跨境传输治理

事实上,数字经济发展并非局限于个别部分国家或区域之间,尤其随着“一带一路”倡议的不断推进,使得越来越多的国家地区不断加入,单边、双边规制模式发挥作用均将捉襟见肘。为加强数据全球化流动下“一带一路”国家数据跨境传输保护,进而克服单一国家或地区仅重视单方部分利益的短板,在尊重各国法律、政治、经济及文化背景多样性基础上,经济合作与发展组织(OECD)、亚太经济合作组织(APEC)、《跨太平洋战略经济伙伴关系协议》(TPP)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)等国际组织框架,已将该问题置于本地区或全球范围审视,形成了部分具有约束力的法律规范,并促进本地区数据跨境传输的自由化进程。

其中,OECD意识到依靠部分国家或地区已无法应对数字经济异军突起的数据传输新需求,因此,率先形成区域内多边保护规则,以消除或避免数据传输中保护不当的障碍,并在1980年的《关于个人数据跨境流动保护指南》中,颁布第一个区域性经济组织数据保护准则,倡议建立“自由流动与合法限制原则”,要求各成员国依据该准则回归审视国内现行立法完善,以确保成员国自身及相互间数据跨境传输的自由实现[10]。为推动该区域数据跨境保护合作执行的有效衔接,2007年的《隐私保护及跨境合作执行建议》进一步倡议成员国完善各自立法,为执行数据跨境传输国际合作提供法律保障。目前,除土耳其外,OECD所有成员国均已出台配套法律。其中,36个成员国中已覆盖9个“一带一路”沿线国家。遗憾的是,该指南并未要求设立独立的数据安全保护监管机构,且该框架对成员国也无法律约束力,因此,最终未能发挥实际理想作用。

进入21世纪后,为缓解亚太区域经济体及贸易伙伴间对于数据跨境传输保护水平差异化的困境,2013年,APEC通过《跨境隐私规则体系》(CBPR)。从监管制度层面看,CBPR融合了机构和行业自律机制双重监管理念。一方面,结合欧盟整体区域以法律规制为主的立法思想,CBPR针对一切数据使用者明确数据主体自由选择的数据方式,并通过通知原则等增加数据使用者在收集数据过程中,应当承担的义务及违反原则所须担负的责任;另一方面,CBPR吸收了行业自律模式,设置了数据隐私执法机构、问责代理机构的双重监管机制,并建立隐私保护联合监督小组等各种投诉协调机构,以确保数据传输纠纷投诉渠道畅通。实践中,企业可先向问责代理机构申请安保认证,待其通过后,在默认接受APEC框架要求约束下,可进行跨境贸易投资活动,如若违反,将受到数据隐私执法机构的制裁。目前为止,APEC框架下已有25个数据执法机构加入其中,并签署《跨境隐私执法协议》,接受该协议权利义务约束,以便利各成员国调取电子证据数据。

鉴于以上框架协议包含内容过于单一的弊端,TPP在其“电子商务”一章中也对数据跨境转移问题进行多次强调,要求跨境数据传输应满足“不构成任意或者无端的歧视,或者变相的贸易限制”等合理化要求。其中,TPP第14.8.2条规定,各成员国不得采用数据传输限制或数据本地化措施,应当允许数据跨境传输在其他成员国自由流动。同时,为更好地促进贸易数据跨境自由传输,TPP中并未要求企业在数据传输时强制转让或获取数据存储软件源代码,也未明确列举所参考的合法公共政策目标,这种过于自主性的立法设计,可能导致权利滥用及该法适用不确定性增强[11]。但在制定法律框架时,又凸显出对缔约方相关国际机构准则的考虑。这种倾向注重国际合作的立法尝试,虽最终未能真正实现,但对全球平衡数据跨境传输、保护立法实现与贸易问题解决有所裨益。2018年,TPP范围内的11个国家进一步以TPP为蓝本,签署新的自由贸易协议——CPTPP,该协议在大力促进数据跨境自由传输的同时,保留承认成员国可因合法公共政策或国家安全目的,对数据跨境传输采取必要限制,如CPTPP中,已允许各国依据本国国内法保护国家机密数据安全(6)《全面与进步跨太平洋伙伴关系协定》(CPTPP)第14.13条规定:缔约方对于计算设施的使用可设有各自的监管要求,包括寻求保证通信安全性和机密性的要求。。与TPP相较,这种柔性限制有利于推进数据跨境传输发展,并通过合理化数据自由流动限制措施,消除或避免数据传输壁垒。

相对上述因各自国情差异自行拟定的数据跨境传输数据属地禁止模式,OECD等区域性规制框架则尝试打破现行国家地域间的封闭束缚,以期通过合理化自由流动限制措施,消除各国以隐私权保护为名无差别地设置数据传输屏障,探索形成相对禁止的数据传输共享机制。然而,由于各国自身法律体系的原生差别,对相关法律的理解到执行实践中产生的分歧也将越来越多。

二、“一带一路”数字经济数据跨境传输治理困境评析

纵观以上分析,当前国际社会对数据跨境活动的立法保护一致保持积极态度,并试图通过单边、双边或区域性立法模式对其规制监管,且已取得一定的良好效果,“一带一路”沿线国家也正努力追赶超越,并以此为契机,不断完善沿线国家间数据跨境治理机制。然而,相较欧美等信息技术发达国家,“一带一路”沿线数字经济发展水平整体偏低,出于对隐私权担忧和经济发展的顾虑,虽然各国数据跨境传输规制中已采取一些措施[12],但仍存在诸多困境。

(一)焦点一:“一带一路”数据跨境治理体系尚未形成

数字经济时代,数据已然成具有交换价值的商品,该商品之价值主要取决于有关数据质量传输的相关立法[13]。基于此,“一带一路”沿线现已尝试探索形成兼顾国情多样化、国别化、区域化的数字经济监管立法。但应看到的是,“一带一路”沿线主要以发展中国家为主,其数据跨境统一治理体系并未形成。

1.沿线各国数据法律治理发展水平不一致

整体看,“一带一路”国家法律体系分属多法系多法源(详见表1),不同法系下的法律概念、法律适用技术、法律表现形式等方面差异较大,难以及时形成连贯统一的相互认可。同时,由于法的普适性深受法律文化影响,法源背景作为重要的法律文化,更深刻地影响着“一带一路”各国的立法实践。然而,面对“一带一路”多元化的法律文化,在数字贸易高速缔约的时代,相关协调机制欠缺时,对相互了解各国法律制度、形成数据跨境传输统一规制的路径,将带来极大不便。此外,数据作为重要的市场要素,已成为数字经济时代重要生产要素,然而,如果没有成熟繁荣的数据要素交易市场,没有“一带一路”数据交易国际贸易平台,那么实现数据共享、数字资源价值的有效提升也便无从谈起。

表1 “一带一路”国家法系、法源分布统计

2.沿线数据跨境传输治理具有较强的地域性国家属性

虽然越来越多的国家或地区基于“重要”“敏感”数据对国家安全或个人隐私保护,公开呼吁将该类型数据完全本地化。然而,根据美国信息技术和创新基金会基于OECD市场监管数据计量模型分析,一国数据限制每增加1%,其贸易总产出将减少7%,下游行业价格在5年内将上涨1.5%,整个经济体生产率也将下降2.9%(7)参见美国信息技术和创新基金会发表的《2020年国家新经济指数》报告。。如上所述,“一带一路”国家现已形成各国差异化的数据跨境流动本地存储机制,这种具有明显地域性的保护机制,其立法层面主要着眼于国内立法生态,但就数据跨境传输,则较少考量国家间合作空间。基于该思维影响之下,对于各类数据自由传输难免可能形成障碍,不利于促进“一带一路”数据的自由流动,推动全域数字经济发展。

3.国家间数据跨境治理机制缺乏有力推动

目前,已形成由欧美主导的以支持数据跨境自由传输为出发点的区域主义造法规制体系。其中,欧盟数据跨境传输规制主要坚持保护域内数据权利整体安全的初衷,故形成了“外严内松”具有浓厚行政色彩的数据传输政策法律体系。按其要求,欧盟各成员国必须在其属地管辖范围内,通过设置“高门槛”的监管模式,制定严苛的数据跨境传输规制标准,以实现对各类数据控制者传输活动的监管。而美式数据跨境传输监管理念与欧盟相比,鉴于其数字经济及数据技术发展水平较高,数据安全挑战也相对较小,故对数据跨境传输监管主要是以市场为主导的事后监管模式,即从企业利益价值实现出发,更多强调通过行业组织形成市场话语。然而,这两种治理方式对数字经济发展水平不平衡的“一带一路”沿线国家或地区而言,不仅可能有损沿线数据公平自由传输,而且与多元化法律文化背景的各国法律传统及规定格格不入。除此之外,若直接沿用欧美现已基本成熟的数据跨境传输规则,可能无法适应普通法系仅仅旨在维护欧美利益而企图使他国委曲求全的要求,实践中也可能遭受西方各国不同程度的阻挠,“一带一路”数字经济发展水平也将永远面临被锁定在“全球价值链中低端”的风险[14],无法形成与数字经济发展相匹配的独立组织的治理体系。

(二)焦点二:属地管辖治理范围及对象普遍性不足

为及时适应数字经济发展特点,“一带一路”沿线各国纷纷开始关注数据跨境传输保护,并已形成符合各自国情的立法模式。但是,囿于“一带一路”多元化文化历史背景,各国现行立法条款难免存在竞合冲突,尤其表现在属地管辖治理范围及对象普遍性未能全部覆盖维度方面,具体体现在2个方面。

1.现行属地管辖无法覆盖参与主体及数据传输连接点数量

一般而言,属地管辖指以国籍为基础的治理模式。然而,站立于数字经济时代数据跨境传输的新时期,一方面,由于“一带一路”参与主体数量的不断增加,区域阈值限制也将随之激增,现有的双边、多边协定已难以满足沿线国家的主体覆盖数量;另一方面,具有地域界限的属地管辖模式也已无法适应开放流动的数据传输治理特点。属地管辖中往往聚焦于行为发生地或结果发生地,而数据传输活动又可能瞬间激活对若干地域因素的影响。即便在网络环境中,虽然可以通过IP等信息查出发出指令的主体位置,但也很难据此确定相关主体位置及真实身份,亦无法明确数据传输属地国数量。如若继续沿守属地管辖模式,对于瞬间传输的数据内容则将无法合理确定适合的法院,也难及时确定数据传输指令发出的主体信息,最终无法满足实现数据跨境高效传输的治理要求。

2.现行数据跨境传输规制对象未能覆盖沿线所有交易数据类型

欧盟在GDPR规定中的创新思维跳脱出国家范围的固有限制,将规制管辖延伸至欧盟境内数据所有权的跨国公司数据类型,且无论公司位于何地。同时,GDPR挣脱国家地域束缚,对于欧盟之外的数据使用者,但凡其目的旨在为其境内提供数字经济产品或服务,且行为发生于欧盟境内,则依然可以纳入规制范围。相比GDPR对规制对象一定程度的限缩安排,CBPR适用范围显得更为广泛,除成员国或政府机构外,其普遍适用于一切加入体系内的任何企业类型。换言之,任何在亚太地区从事数据跨境传输活动的跨国公司、中小企业等均可申请加入CBPR体系,但其并不适用经济体境内的政府机构或个人。相较以上数据跨境传输规制对象范围,TPP第14.11.2条也将数字经济业务范围内的规制对象尽可能地覆盖除金融机构及金融服务商以外的所有交易主体类型。然而,审视“一带一路”当前数字经济数据跨境传输类型范围规制,大多倾向于国家安全、个人隐私数据类型,对于企业相关数据涉及较少,实例评判中,沿线数字经济发展涉及数据跨境传输的类型却往往更多地表现为企业数据。

(三)焦点三:数据跨境传输保护合理性标准质疑

对于所有数据类型实行绝对化的数据本地措施或过于宽松的传输限制引导,都可能限制数据跨境自由传输。如何制定合理化数据传输保护标准是制约本地区数据传输汇集的重要因素。笔者认为,审视“一带一路”现行数据跨境传输的保护标准,主要存在2个问题。

1.数据跨境传输合理化属地分级管理标准阙如

基于数据的重要程度,对其分级分类管理是实施合理化保护数据跨境传输的重要前提。在“一带一路”各国现行相关立法实践中,各国在争取数字经济发展利益时,主要偏向对本国数字经济发展阶段基本国情考虑,目前尚未形成对域内数据保护的统一共识。现行分散的、多元化的对数据保护标准,在“一带一路”数据跨境传输中,必将增加合规成本等诸多障碍,尤其对于如何在沿线各国准确界定哪些数据内容属于合理化禁输类型,哪些数据应当采取本地化措施,如何构建合理化数据分类管理体系等在沿线各国的统一立法中并未提及。这种形同虚设的数据保护规则,虽然一定程度可促进相关国家地区部分数据的自由传输,但是很难有效实现所有数据类型在沿线全域参与自由流通,并成功抵御各类跨境传输风险。

2.数据跨境传输“充分保护”豁免认定模糊

上述诸多立法均要求数据所有者在数据跨境传输时,确保将其转移至可供“充分保护”的国家或地区(8)如俄罗斯《个人数据法》、印度《信息技术条例》、新加坡《个人数据保护法2014》规定,若数据保护机构认定数据使用者已提供与所有者保护水平相当的措施,则可免于数据所有者事前书面同意,直接实现数据传输。,即数据控制者须能证明已采取与数据所有者同等迫切的数据安全保护措施,才可向传输目的国实施流动。反之,若未能查明数据接受国提供具有同等相当数据安全的保护水平时,则可采取必要措施阻止该数据跨境传输。然而,实践中,这种近乎完美的“充分保护”设想几乎难以实现,当前,全球范围能够满足其设计要求的国家、地区数量甚少(9)截至2020年,全球仅有13个国家或地区通过GDPR“充分保护”标准的认定。。纵观上述有关数据传输保护标准设计,较高的准入标准下,仅有少数国家才能满足其条件,且其认定程序复杂,需结合诸多具体情境因素来考虑(10)如数据性质、将进行的数据处理操作的目的和持续时间、数据来源国及最终目的地国、第三国现行的一般性数据保护规定和部门性数据保护规定以及该国实行的专业规则和安全措施、法治水平、人权保护水平、独立监管机构的有效运行、参与的国际条约等。,这无疑将增加跨国企业的守法成本及执法困境,而较低的标准则使数据跨境活动难以得到有效保障。对于“一带一路”沿线国家而言,虽然高标准要求下的数据跨境传输保护规则在数量众多的沿线国家落实比较困难,并不利于数字经济时代资源的合理配置[15],但此种制度样本可作为沿线国家着手推进各国数据跨境立法规制先行试点样本的借鉴,为“一带一路”最终形成合理化的“充分保护”评估标准提供良好的示范。

(四)焦点四:“一带一路”数据跨境保护缺乏统一执法机构

面对海量数据跨境传输保护执法,并非国内法单边执法机构即可应对,更何况面对差异化法律文化背景下“一带一路”覆盖范围不断激增的趋势,统一多元的执法机制缺失不仅可能使上述数据传输保护机制目的落空,而且可能影响沿线国家数据传输保护合作的信心。为此,有必要审视当前“一带一路”数据跨境保护执法机构缺失现状,不断提升数据跨境传输中抵御各类风险的应对能力。

1.缺乏独立统一的数据跨境传输执法机构

纵观“一带一路”沿线各国,包含东西方文化、地跨亚非欧三大洲、囊括诸多宗教传统、包容发达国家与发展中国家的共同意愿,若形成独立统一的数据保护执法机构,将独立实现对数据活动安全的保障,避免沿线国家重复执法,提高数字流动效率。然而,目前为止,各国并未普遍形成数据跨境传输保护执法机构,且已经建立的相关机构也均隶属不同职能部门(11)如菲律宾的《数据隐私法2012》设置了国家隐私委员会,哈萨克斯坦的《个人数据保法2017》设置了检察长办公室,也门的《信息获取法2012》设置了国家信息中心,阿曼的《电子交易法2008》设置了信息科技局,格鲁吉亚的《个人数据保法2011》中则由个人数据保护督察员负责,波黑的《个人数据保法2011》增设了个人数据保护局等。,无法形成各国相关机构直接的交流沟通。此外,“一带一路”倡议秉持共同参与、共享红利、共担责任,非仅仅依靠一国国内单独立法即可实现数据传输的风险规制,还需发挥沿线国家的执法合力,形成统一化的数据传输执法机制。遗憾的是,目前为止,OECD提出的非正式性数据传输执行框架及部分国家倡导的全球隐私执行网络行动计划[16],最终未形成正式文本,难以直接对接适用“一带一路”域情发挥实效。

2.单一执法机构难以应对诉求相异的需求

在互联协作的“一带一路”数字经济发展中,多元法律体系、多元交易主体共同交织,忽视企业及个人参与力量,仅仅依靠政府治理手段,将难以适应数字经济全球化发展趋势,也难以确保数据跨境传输执行保护能力及保护效果。同时,单一化的治理手段往往侧重对某一领域数据类型的关注,并非可以及时适应其他数据交易主体类型,实践中,难免引起其他数据传输主体的异议。此外,如上所述,沿线数字经济参与主要主体往往表现为企业或个人,失去企业、个人主体参与的执法机构往往可能侧重对政府数据的保护,对于企业、个人数据传输合理诉求及冲突有失偏颇。因此,在“一带一路”数据跨境传输执法机构设计时,有必要进一步关切各类数据利益主体参与的可能。

三、“一带一路”数字经济数据跨境传输共享治理机制的未来场景和方向

后疫情时代,国际社会“去全球化”甚嚣尘上,数据领域已开始形成治理方式各异的数字贸易王国之争,实际上,数字贸易实质是科技之争、规则之争[17]。为避免因人为施加地域限制、强制所有数据本地存储的数据保护立法成为贸易创新的新障碍[18],致使“一带一路”数据出境保护形成真空,造成数据汇集总量降低,我国有必要借鉴欧美经验,制定科学合理的数字跨境传输规则,破解数据跨境传输合规的困境,形成数据保护制高点,并吸引各个国家广泛合作,为“一带一路”数字经济发展提供法治保障,形成并完善“一带一路”数字经济数据跨境传输共享治理机制路径(详见图1)。

图1 “一带一路”数字经济数据跨境传输共享治理机制路径

(一)构建中国主导的“数字世贸组织”体系,提升各国数字经济操作性

本文认为,为摒弃博弈对抗思维,探索形成兼顾“一带一路”域情的数据治理体系,增强沿线各国数字经济发展吸引力,促进数字经济共同发展,应主要把握3点。

1.提升沿线国家的协调操作,降低风险关切

基于“一带一路”多法源文化背景,加强各国协作,形成统一的数据跨境传输治理和协调机制尤为必要。此问题可具体为:(1)形成中国主导的“数字世贸组织”。欲更加可靠地维护“一带一路”国家数据的主权利益,有必要参考保护发展中国家利益诉求的WTO机制,形成中国主导的数据跨境传输“数字世贸组织”,并利用部分自贸区建设试点及联合试点方式选取旅游、电子商务、商贸物流等行业数据事先测试,打造数据安全治理样板,待其作用稳定后,逐渐分享各区域的治理经验,进而进一步向“一带一路”国家或其他区域及其他行业推广相关数据。(2)培育建成“一带一路”数据交易国际贸易中心。依托“数字世贸组织”打造数据交换交易中心,可选取数字经济发展较活跃的杭州、深圳等城市,构建中国主导的“一带一路”数据交易国际贸易中心,打造国际综合数字贸易样板,进一步建立完善 “一带一路”数字经济数据跨境传输共享治理机制的具体规范。(3)建立司法联防协作机制。对于数据跨境相关风险,可依据各国国情,共商建立跨越司法管辖的联合防范机制,并及时备案可能引起各国宗教文化信仰冲突的数据目录,事先及时防范数据传输可能引发的矛盾,实时向沿线各国共享相关数据,提高司法协作效率,以提升各国数据传输风险的防范能力。

2.支持保护数据自由流动规则,减少不合理的数据本地化限制

在“一带一路”沿线国家形成“数据世贸组织”之后,需进一步细化该机制管理规则。(1)提高“一带一路”沿线数据跨境传输的透明度。建议向数字经济发展水平较低的国家提供技术援助,建立起沿线统一的数据治理框架。此外,为适应日新月异的数字经济发展,可借鉴美国的市场化认定模式,尝试性引入行业监管,通过各国定期披露数据传输的信息统计,建立沿线共同认可的公信力较强的第三方数据保护能力认定机构,鼓励企业自律,提高数据管理透明度,逐渐减少数据传输市场准入障碍,构建各国利益相关者间的信任。(2)支持数字自由贸易、反对数字保护主义。对此,建议各国根据国际标准及行业特定法规,形成各类数据的国家认证、全球认证规则,明确数据可接受的传输、转让框架和标准,对于本地化数据形成递减名单,并设计逐年递减的指标计划。

3.完善“一带一路”国家间数据跨境治理机制

对于数据跨境传输活动的监管,无论是严苛立法的欧盟、行业评估的美国或其他双边、多边模式,均缘于已经形成的较为完备的法律体系。因此,沿线国家数据跨境治理机制可兼采欧美及国际组织、条约所长,在沿线数据跨境传输规制探讨中,形成多元立法站位思考。(1)借鉴域外成果,设计“一带一路”沿线双向数据传输治理机制。在沿线国家内部,借鉴欧盟模式中“外严内松” 的模式,形成较为宽松的数据跨境传输治理机制,促进沿线各国经贸合作和人文往来。在沿线发展中国家间,采用美国的市场化灵活机制,最大程度地尊重各国利益;在沿线发展中国家与非沿线发达国家间,可采取欧盟的严苛治理机制,以期保障沿线国家的数据跨境安全;同时,还应及时关切OECD、APEC、TPP、CPTTP等国际规范中的考虑因素,实时完善沿线数据跨境传输规则。(2)发挥倡议中坚力量,引领制定各国共同参与的沿线数字经济发展规则。即沿线国家间数据跨境的传输治理机制,不宜整体完全采用美国的市场主导模式,因为沿线各国大多并未建立发达的数字经济市场,建立市场主导的数据监管模式容易异化为市场主体的牟利工具。因此,在关注沿线各国相关法律差异化规定的同时,需充分尊重沿线国家多元化的文化、宗教、传统、习惯等,尝试从部分国家开始,通过前期建立数据跨境传输监管双边谈判条约,逐渐努力搭建起兼顾各国法律文化背景和为各国所青睐的多元化立法体系。

(二)拓宽“数字世贸组织”体系管辖范围

当相关组织体系形成后,准确合理界定数据跨境传输管辖范围,是最大程度保护各类数据跨境传输活动的重要基础,也是开展有效治理程序的前提。具体的架构设计可从2个角度考量。

1.扩充空间管辖覆盖的主体范围

数据传输治理实践中,属地管辖原则发挥着及时定纷止争、合理解决区分司法管辖冲突的效能,因此,对于数据跨境传输治理,不仅不能抛弃该重要原则,而且须进一步扩大属地管辖的主体范围。(1)增加沿线数字经济发展属地管辖的国家和地区数量。对于“一带一路”倡议不断增加的主体数量而言,无论全球数字经济怎样发展,各国不同法域间法律差异性将一直存在,随着“一带一路”参与主体数量的不断增多,原有局限于部分区域的双边、多边条约已无法满足沿线参与主体数量不断增多的要求,针对差异性主体数量增多的现实,可先行设计部分数据类型的共享治理机制,待其完善后,循序渐进地突破现行条约限制,不断向其他领域推广。(2)确定数据传输合理连接点。对于传统属地管辖无法确切显示数字经济背景下连接点的数量问题,一方面,根据国际礼让原则,尽量避免法律适用冲突,具有管辖权的各国法院可基于“不方便法院原则”采取审慎的态度,以不方便法院为由,通过私人利益、公共利益因素分析,挖掘有利条件、排除原告滥用外国法院恶意诉讼,依职权或根据被告请求拒绝行使管辖权。另一方面,通过分析数据跨境传输侵权的影响力度、各国数字经济立法的完善程度、法院执行效率等综合因素,确定“最适合法院”,以此最终建立法律冲突法院管辖选适。

2.充实“数字世贸组织”体系管辖覆盖的种类

检视“一带一路”沿线相关制度设置现状,目前尚未明晰数据流动覆盖的种类。为增强沿线各国数据跨境传输,有必要尝试拓宽区域内数据跨境传输的管辖类型。(1)扩充数据管辖类型范围。相较实体经济建设,数字经济发展涉及主体及数据类型的范围更为广泛,其并非仅仅针对个人数据或国家数据类别的数据跨境传输。对此,需廓清管辖体系内涵及外延,有必要尽可能将包括个人、企业、政府数据等一切数据类型纳入“一带一路”数字经济数据跨境传输的管辖范围,拓宽相关管辖权限。数据管辖类型的拓宽是进一步开展数据分类管理的重要前提。对于数据跨境类型,除全面纳入各类数据范围外,还应当对互联网平台中出现的第三方非政府机构数据尝试覆盖,对“一带一路”全域可能涉及的数据传输,应全面归入“数字世贸组织”管辖范围。(2)合理确认数据管辖种类。诚然,对于数据类型的全面覆盖将有助于“一带一路”数据跨境传输的有效监管,但是,对于数据类型的拓宽并非毫无界限的绝对管辖,还应依据各国的法律文化背景,在尊重沿线相关法律文化差异的前提下,形成更为宽泛的数据类型管辖制度。对此,可由各国组建不同领域的数据管理专家,共同商议起草形成充分尊重各国国情的“一带一路”数据跨境管辖标准,而非强迫对现已形成的部分标准绝对认可执行。

(三)设计“数字世贸组织”数据安全传输合理化分类限制的标准

在“数字世贸组织”数据保护标准的设计上,“一带一路”应在保障国家数据安全的前提下,以第三国“充分保护”水平评估为参考,不断降低数据本地化存储要求,形成“数字世贸组织”体系中的合理化数据分级分类管理体系,以减少设置数据跨境自由流动的不必要阻碍,建立沿线稳定有序的数据保护秩序。为此,本文认为,可从2个层面考虑。

1.建立数据跨境传输合理化属地分级管理标准

为确保不同背景下数据合理分级分类,各国可从2个方面入手:(1)对于属地化的数据分级管理,依据数据性质细化。其中,对涉及国家安全、影响社会稳定的数据,根据数据安全性遭到破坏后可能造成的影响及影响程度确定数据级别,并严禁相关敏感数据输出,且应对其做多份备份保管;有关涉及个人、企业名称、身份标识、生理、心理、生物识别信息、基因、健康、经济、通信等,可被直接或间接识别身份的数据,在未征得数据主体同意的前提下,一般禁止输出;有关生物安全、金融安全、交通安全等行业数据,可根据业务属性将该数据划分为若干数据大类,其中,对于业务需要的一般安全类型数据可自由传输,对于涉及国家安全的限制性重要数据则存储于本国境内,禁止对外传输。(2)增加“一带一路”国家数据安全管理准则。一方面,对于数据分级管理中,建立专门部门专人负责制度。由各国各行业部门单独协商,形成各类型数据具体保护标准,并由各国共同搭建数据传输安全实时监管机制。另一方面,完善数据存取存储环境,设置相对统一的“一带一路”数据存储标准,按照数据分级设计不同级别的数据存储环境。如对于涉及国家安全的数据禁止使用邮件、云存储等业务性应用工具访问;关于个人隐私、商业秘密的数据则严禁云存储数据信息等。

2.明确“充分保护”水平评估标准

对于“充分保护”豁免认定模糊的问题,各国不仅要从制度上反思,也需通过技术手段支持制定全球数据的相关标准,并向沿线发展中国家提供更多援助,帮助其制定数字经济政策。(1)设计综合性“充分保护”的评估标准。首先,在数据“充分保护”处理要求上,可根据数据源性质、敏感度等要素,事先判定数据接受者是否有条件实现数据传输的安全保护;其次,通过对数据跨境传输数量、传输目的及接收方法治环境等因素进行综合判断,确定数据接受者是否满足具有与数据所有者同等迫切的数据安全保护措施,以平衡数据本地存储与自由传输权属保护的矛盾。具体讲,为避免公权力强制助推数据传输目的实现,肆意侵害另一方合法权益,造成沿线国家数据传输损失,极有必要慎思各方数据传输是否符合数据特性显现出的价值利用合理性,谨防通过单一的“充分保护”评价标准损害数据传输主体的合法利益。(2)在技术层面上,应紧密关注数字经济技术发展趋势。“一带一路”沿线不同数据种类的控制者、使用者,可依托5G、VR等信息技术,联合制定数据跨境传输在线安全评估标准,并定期通过大数据了解沿线各国的发展所需,及时更新监管标准内容,为各国积极参与数字经济发展,健全完善各国相关立法提供参考依据。

(四)营造“一带一路”统一多元的“数字世贸组织”数据安全执法机制

尽管当前“一带一路”部分国家已探索形成符合自身域情的数据跨境传输执法机制,但是沿线各国整体尚未形成统一协作的执法模式。为适应日益繁荣的数字经济发展,有必要尽快设计形成能够满足沿线各国各类数据主体安全需求的“数字世贸组织”执法机制保障。

1.嵌入沿线国家政府间数据跨境传输联席执法机制

构建完备的数字经济数据跨境传输执行操作程序,减少实际执法冲突的风险隐患,为实现域内数字经济安全发展奠定机制保障基础。(1)加强沿线国家内部数据保护机构组织建设。一方面,根据各国国内数据保护立法现状,建立统一级别、相互对应的专门性数据保护机构;另一方面,通过设立各国数据保护专员,打通沿线各国执行机构相互交流的对话壁垒,进一步不断缩小各国数据传输保护执法程序的差异。(2)形成数据跨境传输多边合作的执法机构。为吸引更多域外主体参与沿线发展,还需凸显多边主义合作精神,利用现有地区性合作交流机制,尽快设立数据跨境保护多边合作的执法机构,实现区域内相关执法机构密切合作。此外建立普适于沿线各国的政府层面数据执法机构的联席机制,就沿线国家间的数据跨境传输立法、行政、司法甚至技术障碍展开会谈,推动各国对于数据跨境传输的执法共识,并以此丰富和完善“一带一路”倡议内涵,加强沿线国家数字经济全面互助合作。

2.构建“一带一路”数字经济数据跨境传输的多元执行机制

大数据时代背景下,数据传输已超越国家地域界限,对沿线国家治理体系现代化提出考验。为探索实现“一带一路”倡议下网络空间命运共同体建设目标,实现数据跨境传输活动的有效规制,有必要进一步完善形成多元主体参与的执行框架。(1)统一共识,统筹各方智慧,打造开放性数据跨境传输执法机构。在该执法机制建设时,可尝试集合由相关专业知识专家、从事相应工作的政府、企业、行业组织,共同参与、优势互补,合力形成“一带一路”数据跨境传输统一的多元化执法队伍。(2)构建共商共建共享数据跨境传输执法机构。打造开放性、多元化“一带一路”数据跨境传输执法机构,旨在适应沿线各国数字经济的发展特点,为沿线数据冲突执行提供助力参考,但这并非意味对该执行机制设计时,需全面考量所有参与“一带一路”数字经济发展的各类型主体,而仅限于沿线数字经济发展中参与数据跨境传输活动利益的主要关切主体,并同其共商相关执行程序细则、共建相关制度、共享权益保护。

四、结语

随着数字经济纵深发展,如何构建中国主导的“数字世贸组织”体系,拓宽“数字世贸组织”体系的管辖范围,设计数据安全传输合理化分类的限制标准,并营造“一带一路”统一的多元化数据安全执法机制,已成为当前“一带一路”数据跨境传输治理水平亟待跟进的新课题。为回应新兴科技对数据保护冲击,克服现行差异化数据传输安全保护措施给数据自由流动造成的障碍,有必要通过比较研究,提升沿线各国法治协作水平,合力打造引领沿线数字经济数据跨境传输风险应对共治的出路。

猜你喜欢
数据保护传输跨境
No.4 天猫国际推出三大跨境进口新服务
地铁SDH、OTN传输组网分析
浙江:出台5个新获批跨境电商综试区实施方案
广播电视信号传输的技术分析
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
浅谈垂直极化天线在地面数字电视传输中的应用
未成年人能不能上社交网络
4K传输
2013年跨境电子商务那些事儿