我国跨境数据流动法律规制问题研究
——以数字经济发展为视角

2022-03-18 10:21郑文华
哈尔滨学院学报 2022年5期
关键词:数据保护规制跨境

郑文华

(郑州大学 法学院,河南 郑州 450001)

当前,全球经济发展已经步入数字化时代,数字经济正成为国际经济与贸易往来的重要方式。然而,跨境数据流动全球规制体系尚未建立,给世界各国带来了很大的影响。如由美国牵头实施的“棱镜计划”就是对通过互联网进行的各种交往以及对数据信息进行监听和调查,打着反恐怖主义的旗号堂而皇之地侵犯其他国家公民的隐私权;再如,Facebook公司诉Power公司擅自收集用户信息实施不当行为,违反美国《计算机欺诈与滥用法》,给Facebook公司及其全球用户造成不良影响,等等。数据跨境流动对数字经济发展的促进作用显而易见,但跨境数据流动缺乏规制对社会秩序造成不良影响,会限制数字经济的进一步发展。因此,我国跨境数据流动法律规制研究势在必行。

一、跨境数据流动的法律界定及其规制路径

跨境数据流动,又称“数据转移”“数据国际流动”“数据出境”。关于跨境数据流动,经济合作与发展组织(OECD)在《关于保护隐私和个人数据跨境流动的准则》(以下简称《准则》)中给出的定义是“个人数据的跨越国界流动”;欧洲议会在《有关个人数据自动化处理的个人保护协定》(以下简称《1981年协定》)中的定义为“个人数据经电脑自动化处理或为电脑自动化处理之目的,经由通信网络跨越国界的流动”;联合国跨国公司中心的定义是“跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索”。我国对跨境数据流动的界定比较晚,《个人信息出境安全评估办法(征求意见稿)》将跨境数据流动定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人”。由此可见,跨境数据流动有以下特征:数据跨越国界;数据的种类包括但不限于个人数据;与数据有关的操作要经过计算机;数据跨境流动以互联网为媒介。根据以上特点,对跨境数据流动的理解可以是:数据以互联网为媒介,以计算机为载体,跨越国界流动的各种行为。跨境数据流动规则按照不同的制定主体,可以分为单边规制和多边规制。

跨境数据流动单边规制是指一国家或者地区根据本国内或地区内对跨境数据流动相关规则的需要而制定的,在本国或者地区内适用的法律法规或者规范性文件,也即一国家或者地区通过国内立法的方式对跨境数据流动作出规制。以我国和美国的单边规制为例:

我国对跨境数据流动的规制以国家数据主权和安全为前提,并体现在多部法律法规中。例如,我国《民法典》第127条对数据保护做出规定;《数据安全法》第10条规定我国应积极参与数据安全国际规则与标准的制定,促进数据跨境安全、自由流动;《网络安全法》规定境内关键数据和信息出境应当进行安全评估;《个人信息保护法》第24条规定个人信息的跨境传输不能违反公序良俗,信息接收地对个人信息保护措施应当达到我国当前的最低标准,这也是对数据出境问题所做的安排。此外,《计算机信息系统安全保护条例》《互联网信息管理办法》《网络安全审查办法》《电信和互联网用户个人信息保护规定》、最高法和最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等规范性法律文件中都有对数据安全的规定。这充分体现了我国对数据主权、安全以及跨境数据流动问题的重视。

1967年,美国颁布《信息自由法》,保护公民信息和数据知情权以及特殊种类信息;2018年,美国国会通过《海外数据合法使用权明确法案》,仅用五十多年就完成数据主权体系的建设。[1]美国一直强调数据自由、无障碍的跨境流动,但在其国内却制定了严格的数据流出法律政策。究其本质发现,其所倡导的跨境数据自由流动实质是最大程度地吸引国外数据流入,同时严格限制国内数据流出。即便是在多项国际或者区域的多边协定下,美国依然坚持数据“输入>输出”的状态,这其实是美国霸权主义在数据跨境流动方面的重要体现。

跨境数据流动多边规制主要有欧盟和美国两大体系。欧盟是最早开始跨境数据流动规制的国际组织,当时的数据保护还仅限于个人信息。例如,德国和瑞士分别于1970年和1973年颁布了个人信息保护法律;欧洲委员会通过了《1981年协定》对缔约国跨境数据流动进行管制;1995年,欧盟通过《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(以下简称《95指令》),其较之《1981年协定》适用范围更加广泛,数据保护规定更细致,数据转移标准更高(即规定了数据转移的“充分保护”标准)。重要的是,《95指令》具有法律上的强制力,要求各缔约国应当在三年内将指令转化为国内法。随着数字经济发展,欧盟2018年生效的《通用数据保护条例》(GDPR)取代《95指令》的地位。GDPR无需经过转化即可直接适用,增加了数据主体权利,增设数据类型,增加数据跨境转移方式,引入数据保护专员制度等。这一系列关于跨境数据保护规则的变化,彰显了欧盟对发展数字经济和建立“数字单一市场”的目标。[2]

美国在跨境数据流动多边规制方面体现出较强的主导性。OECD《准则》第5条规定,联邦制国家的政治体制导致的各州与《准则》不符的数据跨境流动规定或行为,不属于违反《准则》。这一规定是美国借其在OECD中的影响力达成的优惠,无法体现公平与公正。亚太经济合作组织(APEC)于2004年颁布了一份跨境数据流动的指导性文件,这个隐私框架可以说与《准则》一脉相承,其序言中即明确了二者思想的一致性,都鼓励数据跨境自由流动。此后在《跨太平洋战略经济伙伴关系协议》(TPP)谈判过程中,美国极力促进跨境数据流动条款写入协议之中。[3]尽管美国已经退出TPP,但跨境数据自由流动的条款依然被保留在后来的CPTPP(美国退出TPP后该协定的新名字)中。在《美墨加三国协定》(USMCA)中,美国依然享有超然地位,能够通过三方之间达成的多边协议实现数据和信息的无障碍流动。所以美国在欧盟之外形成了一个与欧盟GDPR对峙的APEC跨境隐私保护规则框架体系(CBPR),这也是目前两大主要的跨境数据流动规则体系。

二、我国在跨境数据流动中面临的法律困境

1.美、欧跨境数据流动法律规制体系不适合我国国情

美国就跨境数据流动问题采取了一些措施,例如,特朗普政府就曾经被建议针对中国的数据保护政策采取法律措施;美国国会议员也曾提出过禁止在美国的中国数据开发者将数据存储至中国,禁止美国的个人或者企业将数据存储至中国的议案;特朗普政府国务卿蓬佩奥也在2020年8月提出了针对TikTok和WeChat的网络清洁计划,意图在跨境数据流动领域打压中国;美国的外资安全审查委员会也有权利要求在美国境内产生的各种数据只能存储在美国境内;《美韩自由贸易协定》中也有促进数据跨境流动,反对缔约方给数据跨境流动施加不必要限制的相关规定,等等。欧盟鼓励数据跨境自由流动,但这种鼓励仅适用于欧盟内部。根据GDPR规定,个人数据可以在欧盟成员国内部自由流动,个人数据在欧盟成员国外部流动的应当符合法律规定。《非个人数据自由流动条例》与《欧盟内非个人数据自由流动框架条例指南》禁止成员国做数据本地化要求,但同时也有数据本地化的例外规定。[4]欧盟2020年发布《欧洲数据战略》的目的是建立一个欧盟内部的数据跨境自由流动的体系,同时规定涉及公共利益的数据可以作为数据跨境自由流动的例外。综合上述欧盟对数据流动的规定,可以发现欧盟颁布的相关文件中虽有禁止成员国数据本地化的规定,但却不是其数据流动发展的主流,其对数据跨境流动的态度依然是在其内部建立起安全、自由的数据流动体系。

中国加入美、欧主导的两大跨境数据流通体系是行不通的。第一,美国禁止部分数据出境和促进跨境数据自由流动的规定具有强烈的霸权主义色彩,中国等发展中国家若加入CBPR体系,无法避免地会受到美国霸权主义的冲击。另外,就中美博弈过程中美国的种种不良行为以及特朗普政府时期的“退团”做法,无法吸引其他国家没有顾虑的加入其主导的体系。第二,欧盟主导的GDPR体系与中国的数据保护立场有相似之处,不管是对个人隐私信息的保护,还是人本的数字经济发展理念,中欧都有互通之处。但我国当前数据保护没有统一标准,难以与欧盟数据保护的标准相衔接。第三,我国现行法律法规对跨境数据流动规制的考虑是以对国家主权、国家安全以及公民和社会利益为基础的,这与美国跨境数据流动规制体系有异,最明显的就是数据本地化的要求。例如《征信业管理条例》第24条规定对在我国采集的数据进行处理时应当在我国境内进行。而相比欧盟,我国也积极推动跨境数据自由流动,但始终是以国家主权、国家安全和社会公众利益为最基本的出发点,这一点与欧盟内部追求的数据跨境自由流动目的还是有差异的。历史文化不同、国家发展政策和发展理念等方面的差异,使得我国很难在美、欧两大跨境数据流动体系建设日益完善的背景之下选择其中的某一条道路。

2.我国跨境数据流动治理体系不完善

我国跨境数据流动治理体系尚不完善,主要体现在:在社会生活方面,过去几年里,国内频频发生数据泄露案件,如浙江岱山农商银行因泄露客户信息受到法律处罚;青岛胶州中心医院6 000余份新冠肺炎患者确诊病例及其他相关信息被泄露;圆通快递公司员工与不法分子勾结倒卖公民个人信息牟取暴利等信息泄露事件层出不穷,屡禁不止。在法律制定方面,我国跨境数据流动法律研究起步较晚,层级较高的法律和行政法规较少,而部门规章在全部相关法律法规中占比较高,但相关立法水平目前还不能满足实际生活的需求。在国家政策方面,我国出台了相关数据保护的政策,例如为促进我国企业更好地“走出去”,数据流动政策与法规建设从鼓励创新、审慎包容的角度为企业提供多维度的数据保护指导。即便是我国已经在法律和政策方面做出了诸多努力,但我国的跨境数据流动治理体系依然处于亟待完善的阶段,这还需要在将来的实践中逐步完善。

3.我国加入国际跨境数据流动多边规则动力不足

数字经济的出现促进了国际多边跨境数据流动规则的发展,但我国加入国际跨境数据流动多边规则的动力不足,主要在于:第一,部分多边跨境数据流动规则不具有法律约束力。例如,最早提出跨境数据流动相关执行规则的国际组织OECD颁布的《准则》属于指导性文件,并不具有法律约束力;APEC隐私框架是自愿性的框架协议,对非APEC成员方以及不符合条件的APEC成员方不具有法律约束力;G20成员国也就数字经济提出了跨境数据自由流动的理想方案,但基于G20本身只是一个倡议性的国际组织,因此并未就成员国提出的方案形成有效的多边规则,更说不上具有法律约束力。第二,美、欧两大跨境数据流动规制体系对其他跨境数据流动双边、多边规则影响过大。[5]CBPR体系体现出强烈的美国主导性,要求数据自由、不受限制的自由流动;GDPR体系强调对个人数据和信息的严格保护,建立欧盟内部的数据跨境自由流动规则。鉴于当前两大体系的影响力和发展完善程度,其他双边或多边跨境数据流动规则不可避免地会受到这两大体系的影响。

三、我国应对跨境数据流动法律困境的措施

1.建立中国的跨境数据流动规制体系

美、欧主导的两大跨境数据流通体系不适合中国国情,我国应当建立自己的跨境数据流动规制体系。我国数字经济发展速度快,尤其是“一带一路”倡议以来,“数字丝绸之路”建设获得阶段性成果,为“一带一路”沿线国家数字经济发展和跨境数据流动规则体系建设提供重要基础。我国建立跨境数据流动规制体系可以从以下方面着手:第一,充分考虑部分“一带一路”国家数字经济基础建设不发达的现状,向该类国家提供技术、资金等方面的支持,为“一带一路”沿线国家数字经济发展提供物质支撑,也为建立以“一带一路”沿线国家为基础的、适应中国国情的跨境数据流动法律规制体系提供经济援助。第二,积极完善国内数字经济和跨境数据流动相关法律法规建设,对已经生效的法律法规应当严格执行,对未生效的法律法规应当继续完善并在生效条件成熟时颁布实施。对于社会上新出现的跨境数据流动问题进行充分调研和考虑,根据实际情况不断修订已有的法律法规,以求形成一个严密的跨境数据流动法律法规框架。第三,加强与“一带一路”沿线国家跨境数据流动法律法规方面的对话与协商,促进我国与“一带一路”沿线国家达成跨境数据流动双边、多边协定,使数据作为生产要素在跨境流动时无后顾之忧。

2.加强国内数据相关法律和政策研究

第一,我国在与其他经济体进行数据方面的交往时应当始终坚持国家主权、国家安全和社会公众利益至上的立场,维护我国数据安全。第二,加强国家顶层设计,建设多层级、立体化的法律架构。[6]我国现行《民法典》《国家安全法》《网络安全法》等层级高的法律较少,且不属于专门的调整数据保护和跨境数据流动的法律。因此加强顶层设计,促进相关法律草案尽快通过并实施,并在以后的实践中加大高层级法律的制定,对我国数据保护和数据跨境流动治理至关重要。

3.推动构建跨境数据流动多边协调机制

从当前全球跨境数据流动规制情况来看,构建互相协调的多边规制迫在眉睫,也困难重重。美、欧两大跨境数据流动体系发展比较完善且影响深远,新兴经济体为了国家利益实施的限制数据跨境流动和数据本地化政策不利于数字经济发展,因此推动构建跨境数据流动多边协调机制是数字经济发展的基础。近年签订的多边规则中,已有部分协定体现了对跨境数据流动的规制。如:《区域全面经济伙伴关系协定》(RCEP)第十二章“电子商务”对跨境数据传输问题作出了规定,第15条“通过电子方式跨境传输信息”对一缔约方应遵守另一缔约方内部的数据跨境流动作出规定,但每一缔约方不得禁止与贸易有关的数据跨境传输,除非有关数据违反该缔约方公共政策,构成不合理歧视或变相贸易限制以及损害其基本安全利益。

总之,我国应当推动跨境数据流动多边协调机制的构建,并注意:第一,数据跨境流动的定义应当明确,这个定义应当能够满足当下大多数国家或地区对数据跨境流动的理解;第二,多边协调机制要处理好数据保护和跨境数据流动之间的关系,最大程度的缓解二者之间的矛盾;第三,多边协调机制应当具有法律约束力和可执行性;第四,多边协调机制要保持自身的独立性,减少多边协调机制受某一国家、国际组织或者跨境数据流动规制体系的影响;第五,推动设立跨境数据流动国际监管机构,充分利用现有国际贸易协定中的数据信息保护条款以及一般、特殊例外条款,对国际经济交往中数据跨境流动行为进行有效监管。[7]

猜你喜欢
数据保护规制跨境
主动退市规制的德国经验与启示
论我国民间借贷法律规制的发展和完善——从抑制性规制到激励性规制
跨境支付两大主流渠道对比谈
在跨境支付中打造银企直联
关于促进跨境投融资便利化的几点思考
保护与规制:关于文学的刑法
TPP生物药品数据保护条款研究
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析
药品试验数据保护对完善中药品种保护制度的启示