中美数据跨境流动的国际法规制及中国的因应

宋瑞琛 冯纯纯

数据跨境流动为国际贸易的发展提供了极大便利, 但也可能对国家安全、 个人隐私等产生不利影响。 2019 年1 月25 日, 76 个WTO 成员共同发起电子商务谈判, 数据跨境流动就是核心议题之一; 区域和双边的国际贸易规则中也纳入了有关数据跨境流动的专门条款。 中美两国都是数字大国, 数字平台市值共占全球的90%, 但对数据跨境流动采取了不同的国际法规制路径, 并且目前仍存在着不少分歧。 因此, 分析这些分歧, 寻找中国的因应之策,不仅能够协调中美两国的利益诉求, 而且对发展数据跨境流动的国际规则具有重要意义。

一、 中美两国对数据跨境流动的不同认识

中美两国对数据跨境流动的国际法规制路径不同, 源于对数据跨境流动的认识不同。 这种不同认识主要体现在以下三个方面(见表1):

(一) 数据跨境流动对数字贸易发展产生的影响

美国具有数据技术优势, 其数据产业基础好、发展快, 能够更好地利用数据跨境流动提高效率和降低成本, 强调数据跨境流动带来的商业价值。 尤其在新冠肺炎疫情影响下, 美国认为数据跨境流动对保障数字服务和跨国业务的连续性至关重要。 中国则认为发展中国家的数据技术和产业相对薄弱,过于自由的数据跨境流动可能会对传统产业和起步较晚的国内数字产业造成冲击, 容易使数据集中在具有数据技术和产业优势的发达国家手中, 从而加剧发展中国家与发达国家在数字贸易领域的差距,因此对数据跨境流动持较为审慎的立场。

(二) 数据跨境流动对国家安全的威胁

中美两国均认为数据跨境流动会对国家安全产生影响。 中国认为, 如果允许无限制的数据跨境流动, 国内的基础设施、 网络系统等可能被攻击而引发国家安全风险, 因此会基于特定目标采取数据本地化措施加以规制。 美国则采取“双重标准”: 一方面, 认为本国数据跨境流动至外国会对美国国家安全产生重大影响, 因此采取严格限制。 例如, 通过外资安全审查限制储存在美国境内的特定数据跨境流动; 另一方面, 为获得商业价值, 却鼓励外国更少限制数据跨国流动至美国, 在数字贸易谈判中指责中国等发展中国家的数据本地化措施对贸易设置了障碍, 要求中国等国降低对数据的保护水平。

表1 中美两国关于数据跨境流动的不同认识

(三) 数据跨境流动与个人信息保护之间的关系

美国为了促进商业利益, 更强调对消费者隐私的保护, 因此对其他数据跨境流动中的个人信息保护采取较为宽松的态度。 中国则考虑到市场化媒体产业和网络对个人信息产生的挑战, 出于保护个人信息并兼顾社会信息分享的考虑, 原则上不允许个人信息跨境流动, 强调在维护国家安全的前提下,对个人信息实行分类保护。 因业务需要的, 个人信息处理者需满足特定条件, 并获得个人单独同意,个人数据才允许跨境流动, 个人数据的处理者应承担数据安全保护责任①参见《数据安全法》 第27 条、 第29 条、 第30 条。。

二、 中美两国关于数据跨境流动的国际法规制路径

虽然中美两国对数据跨境流动的认识不同, 但都在国际法层面上采取了相应的规制, 反映出中美两国在数据跨境流动问题上的分歧(见表2)。

(一) 美国关于数据跨境流动的国际法规制路径

20 世纪80 年代, 美国就试图在经济合作与发展组织(OECD) 内部推行“数据保证项目” 以促进国际投资。 1997 年美国通过制定《全球电子商务框架》 明确了其在有关问题上的立场和国际谈判中的路线图。 从2001 年起, 美国与约旦、 澳大利亚、智利、 新加坡等国签订了双边自由贸易协定(FTA),并在其中纳入电子商务章节, 开始关注数据跨境流动的规制措施。 以奥巴马政府时期制定的《数字24条》 (The Digital 2 Dozen) 为基础, 2010 年美韩FTA 中首次纳入了专门的数据跨境流动条款, 但仅强调了数据跨境流动的重要性, 未对缔约方提出强制要求。

2011 年11 月13 日, 美国开始不断推进并主导APEC 跨境隐私规则体系(CBPRs), 旨在通过区域规则要求缔约方确保数据跨境的自由流动。 2015 年美国主导促成的《跨太平洋伙伴关系协定》 (TPP)中也专门设置了商业信息跨境自由传输条款, 成为对缔约方有约束力的条款, 并在 《美墨加协定》(USMCA) 和《美日数字贸易协定》 (USJDTA) 中将该条款的适用范围不断扩大。 《大西洋贸易与投资伙伴关系协定》 (TTIP) 中, 美国还极力要求将数据跨境流动规则适用于所有部门。

此外, 美国还致力于在WTO 多边框架下推行其数据跨境流动的主张。 2013 年起, 美国将其数据跨境流动主张纳入《服务贸易协定》 (TISA) 谈判,主张信息跨境自由流动, 反对WTO 成员以数据本地化作为允许服务提供者在本国提供服务的前提条件。2016 年, 美国向WTO 总理事会提交的关于电子商务的非立场文件和2018 年提交的《关于电子商务的联合声明》 的议案中, 也都明确提出要确保数据自由流动, 限制数据本地化。

(二) 中国关于数据跨境流动的国际法规制路径

中国是数据大国, 一直积极为全球数据治理贡献中国方案。 2004 年中国与其他APEC 成员共同签署了《APEC 隐私保护框架》, 明确了成员间数据跨境流动的基本原则, 即数据的跨境流动应获得数据主体的同意。 2019 年中国与其他国家在《大阪数字经济宣言》 中明确了 “基于信任的数字流动” 概念, 倡议建立兼顾个人隐私、 知识产权、 网络安全、伦理的数据跨境流动规则。 2020 年中国提出的《全球数据安全倡议》 和2021 年与阿拉伯国家联盟共同发表的《中阿数据安全倡议》 中都表达了中国关于数据跨境流动的主张, 即在相互尊重国家安全的基础上解决数据跨境流动问题。

从双边层面来看, 在中国已经签署并生效的双边FTA 中, 中国—澳大利亚FTA、 中国—新加坡关于升级FTA 的议定书、 中国—韩国FTA 中已经纳入了单独的电子商务章节①参见中国—澳大利亚FTA 第12 章、 中国—新加坡关于升级FTA 的议定书中第15 章、 中国—韩国FTA 第13 章。, 尤其是2020 年中国香港—澳大利亚FTA 第11 章中突破性地纳入了信息跨境流动、计算机设备位置、 个人信息保护等承诺。 此外, 中国还与《数字经济伙伴关系协定》 (DEPA) 的三方(新加坡、 新西兰和智利) 均签署了双边FTA, 并且在中新FTA 和中智FTA 中纳入了电子商务章节。 虽然上述FTA 中都未设置专门的数据跨境流动条款,但都体现了中国对数据跨境流动持有的开放态度。

从区域层面来看, 中国加入的《区域全面经济伙伴关系协定》 (RCEP) 已经生效, 这是中国首次加入设置了专门的数据跨境流动条款的国际贸易协定。 RCEP 第12 章(电子商务章节) 肯定了电子商务的重要性, 体现了现阶段中国在数据跨境流动问题上的主张。 此外, 2021 年中国申请加入的《全面与进步跨太平洋伙伴关系协定》 (CPTPP) 和DEPA也都设置了专门的数据跨境流动条款。

从多边层面来看, 2016 年中国首次向WTO 提交了有关电子商务的建议书。 2019 年1 月, 中国与76 个WTO 成员一起签署了《关于电子商务的联合声明》, 共同发起了电子商务谈判。 2019 年4 月,中国通过WTO 散发了电子商务谈判的首轮提案, 提案文件中强调了数据跨境流动的前提是安全, 因此主张尊重成员对数据跨境流动的监管权, 允许各国通过制定国内法保障数据安全、 有序、 自由地流动。

三、 中美数据跨境流动国际法规制的分歧

在国际法规制路径上, 美国试图以其主导的CBPRs 为基础, 使企业自愿获得认证, 实现数据自由传输, 从而使全球企业认同“美式数据跨境流动标准”。 中国则主张在维护各国数据主权的基础上,对数据实行分类分级保护, 实行多元化的数据治理。本文以中国加入的RCEP 与美国加入的USMCA 为例进行比较, 分析中美在数据跨境流动国际法规制上的分歧(见表3)。

(一) 金融信息的跨境流动②RCEP 和USMCA 中均使用了“金融信息” 的表述, 而我国国内法律法规采用了“金融数据” 和“金融信息” 的表述但未做区分。 事实上, 金融数据比金融信息范围更广, 在立法上应加以区别或统一。 但鉴于本文的主题, 本文不做专门区分表述和分析, 采用法律文本原本的表述。

RCEP 第12.1 条(b) 款和第12.15 条第2 款明确排除了金融服务章节中定义的金融机构、 公共实体和金融服务提供者, 即禁止金融信息跨境提供,原则上实行本地化。 RCEP 第8 章附件一(金融服务)第9 条第3 款和第4 款中进一步规定了缔约方出于监管或审慎原因, 或根据法律法规维护个人数据、 个人隐私、 个人记录和账户机密性, 可以对金融数据采取本地化措施, 但不得以此作为规避RCEP 项下义务的手段。 中国法律法规中也规定了金融数据是重要数据,原则上禁止跨境流动, 实行本地存储; 因业务需求跨境流动的须经安全评估。 可见, RCEP 不仅强调了金融信息的重要性, 也兼顾了缔约方监管需求和维护个人数据安全的权利, 这与中国相关立法理念较为一致。

表2 中美两国关于数据跨境流动的国际法规制路径

表3 中美两国数据跨境流动国际法规制的核心分歧

USMCA 中则纳入了“金融信息的自由转移” 条款(第17.17 条)。 第17.17 条第1 款规定了缔约方不得阻止在其许可、 授权、 注册范围内为开展业务以电子方式进行信息(包括个人信息) 跨境传输, 不仅将数据跨境流动范围扩大到金融信息, 而且明确了数据范围是经许可、 授权、 注册为开展业务需要的信息。 第17.17 条还规定了不限制缔约方采取或维持保护个人数据、 隐私、 记录和账户机密措施的权利,前提是这些措施不能减损第17.17 条项下的义务。此外, USMCA 第17.18 条还规定了“只要缔约方的金融机构出于监管目的, 能够对计算设施上处理和存储的相关人员的信息进行及时、 直接、 完整和持续的访问, 任何缔约方就不得以所涉之人必须使用其境内计算设施或将计算设施设于其境内作为其在该缔约方境内开展业务的条件”。 可见, USMCA 通过17.18 条取消了金融数据存储本地化的要求, 也赋予了监管机构获取金融信息的权利。

(二) 数据跨境流动的例外情形

数据跨境流动虽然会促进国际贸易发展, 但也可能对国家安全和个人隐私产生威胁, 因此各国对数据跨境流动采取了不同程度的限制。 中美两国在该问题上也存在着分歧:

1. 数据跨境流动条款中的例外情形

首先, RCEP 第12.15 条第2 款和USMCA 第19.11 条第1 款都规定了缔约方不应阻止基于商业行为的数据跨境流动, 这为缔约方设置了强制性义务。 USMCA 进而在第19.11 条第2 款列出了例外情形, 即允许缔约方为实现合法公共政策目标采取对数据跨境流动的限制措施, 但必须满足三个条件:一是不能构成任意的或不合理的歧视; 二是不能构成对贸易的变相限制; 三是对信息传输不能施加超出实现目标必要的限度。 RCEP 第12.15 条第3 款(a) 则规定了“缔约方可以为实现其所认为的合法公共政策目标采取本地化措施”, 删除了USMCA 第19.11 条第2 款中的第三个条件, 但比USMCA 增加了“其所认为” (it considers) 的措辞, 从而为缔约方判断本地化措施的必要性留下了较大裁量权。 此外, RCEP 第12.15 条第3 款(b) 还增加了“基本安全例外”, 即缔约方认为其基于维护基本安全利益而采取的必要措施, 其他利益方不得对此类措施提出异议, 不仅扩大了允许采取本地化措施的范围,而且将采取措施的必要性交由缔约方自己决定, 这实际上是赋予了缔约方决定性的权利, 为缔约方将来采取本地化措施留下了很大空间。

2. 计算机设置条款中的例外情形

RCEP 第12.14 条第1 款赋予了缔约方对计算设施使用(或设置) 的监管要求。 在例外规定上,RCEP 第12.14 条第3 款采取了与第12.15 条第3 款一致的规定。 USMCA 第19.12 条则完全删除了合法公共政策目标例外, 意味着在任何情况下缔约方都不得将在其境内使用或设置计算设施作为在其境内开展业务的条件。 可见, USMCA 否定了为公共政策目标采取计算设施本地化措施的正当性, 强化了数据跨境流动条款的执行力, 旨在更大限度地促进数据跨境的自由流动。

由此可见, RCEP 的缔约方采取数据本地化措施有较大弹性, 而USMCA 则逐渐压缩数据本地化措施的空间, 这反映了在该问题上中国更加强调数据主权, 美国更加强调数据最大限度的自由流动。

(三) 数据跨境流动中的个人信息保护

在个人信息保护问题上, 美国强调对个人数据进行商业利用, 弱化对个人隐私干预。 因此, 反对限制数据跨境流动, 极力推行行业自律模式, 即企业可以自愿接受行业隐私规则, 也可以接受独立第三方隐私认证机构对其隐私政策的审核, 并获得认证标识, 显示出美国试图避免通过统一法律对数据活动过多干预, 以使企业自由发挥数据技术优势,获得相关商业利益。

在国际贸易协定中, 美国极力推行其企业自律模式。 首先, USMCA 第19.8 条第2 款明确了缔约方保护数字贸易中个人信息的法律框架的发展, 所参考的 “原则和指南” 应是CBPRs 和2013 年《OECD 理事会关于保护隐私和个人数据跨境流动指南》 (以下简称《OECD 指南》 )。 CBPRs 是政府支持的信息隐私认证, 认证对象是企业。 如果企业加入CBPRs 并通过第三方机构认证, 那么该企业与参与CBPRs 的经济体之间就可以实现信息自由流动。可见, CBPRs 的认证机制与美国企业自律模式一致。 其次, USMCA 第19.8 条第3 款还明确了第19.8 条第2 款中的“原则” 应包括“限制收集、 选择、 数据质量、 目的规范、 使用限制、 安全保障、透明度、 个人参与和责任”, 这八项原则实际上是美国公平信息行为准则的内容。 USMCA 还要求缔约方个人信息的保护措施、 数据跨境流动的限制措施应具有必要性和与风险相称的限度。 以上反映出美国强调其企业自律模式与CBPRs 一致的合法性, 并借CBPRs 意图主导个人信息保护的国际标准。

中国加入的RCEP 第12.8 条也规定了“缔约方应采用或维持保护电子商务用户个人信息的法律框架, 法律框架的制定应考虑相关国际机构的原则和指南”, 但并未明确“相关国际机构的原则和指南”的范围。 第12.8 条的注释8 进一步规定了法律的执行方式可以是国家主导下通过立法保护个人信息,也可以是企业自律模式, 但前提是该国具有强制执行该义务的法律法规①RCEP 第12.8 条的注释8 规定, “为进一步明确, 一缔约方可以通过采取或维持全面的隐私权和个人信息保护的法律和法规, 或涉及个人信息保护的具体部门法律和法规, 或确保执行企业法人承担的与保护个人信息相关的合同义务的法律和法规等措施来遵守本款项下的义务”。。 可见, RCEP 对个人信息保护方式较为包容, 为缔约方提供了更多选择。

此外, 面对各国会采取不同法律方式保护个人信息, USMCA、 RCEP 都规定了缔约方应鼓励建立促进不同体制之间的兼容性机制, 但在机制安排上规定不同。 RCEP 肯定了机制的多样性, 规定了该机制应包括对监管结果的承认, 无论是自主给予还是通过共同安排, 或通过更广泛的国际框架, 未否定个人信息保护的企业自律模式, 但也未承认CBPRs 企业自律模式的有效性。 而USMCA 则强调了应以CBPRs 引导兼容性机制。

总体而言, RCEP 对个人信息保护的要求相对宽松, 尊重不同国家个人信息保护法律的差异性。USMCA 比RCEP 的个人信息保护要求更多, 增加了对个人信息保护措施必要性和限度的要求, 还对制定法律框架的原则、 指南以及合作机制做出了规定;并将其主导的CBPRs 作为缔约方参考的个人信息保护标准, 体现了美国在个人信息保护规则上争夺主导权的意图。

四、 中国的因应

针对中美两国在数据跨境流动上的不同立场和国际法规制路径, 我国可以从以下四个方面加以应对:

(一) 进一步明确金融数据跨境流动的范围和情形

首先, 中美两国在金融数据跨境流动问题上还存在分歧。 我国《数据安全法》 和《网络安全法》虽然明确了金融数据应境内存储, 因业务需要确需向境外提供的, 应当经安全评估①参见《数据安全法》 第31 条、 《网络安全法》 第31 条和第37 条。, 但并未规定“因业务需要” 的具体情形、 允许跨境流动的金融数据范围。 因此, 我国立法中应明确“因业务需要” 的具体情形, 即哪些是日常经营所必需的, 哪些是国外监管要求的金融数据跨境流动等。 这样不仅能够使中美在该问题上获得更多合集, 而且能够使我国相关立法更具操作性。

其次, 我国法律法规中金融数据的分类与跨境流动关联小。 我国《数据安全法》 将数据分为核心数据、 重要数据或一般数据, 并根据数据类型、 是否有业务需求等规定是否允许跨境流动。 但2011 年中国人民银行发布的《关于银行业金融机构做好个人信息保护工作的通知》 中将个人金融信息分为个人身份信息、 财产信息、 账户信息等; 2020 年发布的《个人金融信息保护技术规范》 中又将个人金融信息分为账户信息、 金融交易信息等, 以上分类不统一, 与《数据安全法》 分类也不同, 且未明确金融信息属于《数据安全法》 中的哪类数据, 在何种情形下允许跨境流动。 这些规定含糊不清, 可能导致金融机构在具体操作中缺乏统一的规则指导, 也可能导致正常业务需要的金融信息难以跨境流动。因此, 我国应将金融信息按照《数据安全法》 规定分类, 以金融信息所属的数据类别作为判断是否允许跨境流动的依据。 例如, 会计数据等敏感数据可列入核心数据禁止跨境流动, 仅在特定需求时允许跨境流动; 因业务需求的账户信息等则可以列入重要数据, 经过数据主体同意和评估后允许跨境流动。

(二) 完善个人信息保护的行业自律规则

中美虽然在个人信息跨境流动问题上仍存在分歧, 但RCEP 中未否定通过行业自律模式保护个人信息, 而RCEP 成员与APEC 成员也存在重合, 因此, 将来中美仍有可能在行业自律规则方面产生关联, 我国个人信息的行业自律规则也应进一步明确。

首先, 我国存在着《网络数据和用户个人信息、 收集使用自律公约》 等行业自律规则, 但司法定位模糊, 法律效力不清。 因此, 我国目前虽无意愿接受CBPRs 和USMCA 中的相关条款, 但也有必要将行业自律规则视为CPTPP 第14.8 条注释6 的“自愿承诺” 或RCEP 第12.8 条注释8 中的“合同义务”, 视其具有约束力, 从而与RCEP 和CPTPP一致。

其次, RCEP 生效后, 我国也面临着判断他国行业自律规则是否与RCEP 规定一致的问题, 因此需要建立起对他国行业自律规则的评估机制。 我国对他国行业自律规则的评估标准不宜过严, 他国的行业自律规则与中国的标准基本一致即可。 也可要求他国行业自律规则与我国一样在司法上具有可执行性, 从而判断他国行业自律规则是否具有可强制执行性而非流于形式。

(三) 建立对数据规制措施必要性的评估制度

数据本地化措施对于维护国家安全和个人信息安全具有重要意义, 但缔约方也容易就数据本地化措施的必要性产生争议。 因此, 我国可以建立对数据规制措施必要性的评估制度, 为我国采取本地化措施提供依据。 例如, 欧盟《通用数据保护条例》(GDPR) 中建立了数据保护影响评估制度, 旨在评估数据规制措施的必要性和适当性。 澳大利亚2020年也发布了《隐私影响评估准则》 以评估数据规制措施对个人隐私安全产生的影响。 我国也可以建立相关的评估制度, 根据数据类型、 数据处理行为类型、 数据处理行为可能产生的风险程度等因素来评估数据规制措施的必要性, 明确必要性的内涵, 发布评估指南, 这样不仅能够为预防风险提供方案, 而且能够为相关主体采取数据规制措施提供参考。

(四) 完善标准合同条款的设计和数据出境评估机制

我国《个人信息保护法》 中规定了在数据主体同意下, 数据跨境流动的传输工具包括安全评估、认证机制和标准合同三种, 但中国目前有关安全评估和标准合同的规定都仍处于设计和征求意见稿阶段。

首先, 《数据出境安全评估办法》 第8 条和第9条、 《个人信息出境安全评估办法(征求意见稿) 》第13 条至第15 条提供了合同标准化的路径, 但这些条款设计都比较原则性。 对于标准化合同的设计,我国可以借鉴欧盟标准数据保护条款(standard data protection clauses) 中的模块化设计①2021 年6 月4 日, 欧盟委员会发布的标准数据保护条款替代了之前2001 年、 2004 年以及2010 年出台的标准合同条款。 2021 年欧盟委员会发布的标准数据保护条款中区分了四种数据传输模式: 一是控制者到控制者; 二是控制者到处理者; 三是处理者到处理者; 四是处理者到控制者。 四种不同数据传输模式下, 数据处理者的责任义务不同。, 区分个人信息处理者和控制者之间的多种跨境传输场景, 并进一步明确信息处理者、 控制者和接收者在不同传输场景下的相应义务。 从而使商事主体能够根据自身需求选择, 满足不同的跨境传输业务。 但是在借鉴中, 应区分我国相关法律中与欧盟标准数据保护条款中处理者和控制者的不同。

其次, 完善中国数据出境评估机制。 第一, 我国可进一步明确评估事项中数据出境的合法性、 正当性、 必要性和风险可控性, 以便相关评估部门具体操作。 合法性应评估数据是否属于法律所禁止或有关部门认定不能出境的数据类型; 正当性应评估个人数据是否获得授权同意, 或获得授权同意但对国家安全有潜在重大风险等; 必要性应评估数据出境是否因业务需要, 或为履行我国法定义务、 国际条约义务或合同义务所必需等; 风险可控性应评估出境数据属性、 类型及敏感程度、 是否可能发生安全风险等。 第二, 明确数据出境风险自评估报告的内容, 以便数据处理者自我评估。 自评估报告可以包括数据出境目的、 数据类型和范围、 数据出境传输工具、 潜在风险、 数据发送方和接收方, 以及接收方所在国家的数据保护能力等。 第三, 建立白名单机制。 可以视外国数据法律的完善程度, 允许我国与部分国家之间数据自由跨境流动, 这些国家应满足一定条件。 例如, 达到我国数据保护的最低水平; 获取数据的权利受到我国相关法律约束; 国内数据法律立法、 执法透明并存在救济措施等。 同时,保持对白名单的评估和更新, 既可以减轻企业合规和审查机构的负担, 也可以实现国家安全和审查效率的平衡。