文/敖海静
(作者系中国人民大学法学院博士后研究人员、讲师;摘自《法商研究》2022年第2期)
数据不仅直接关涉个人的隐私安全和生活安宁,更由于重大的战略价值而成为重塑国际政经格局的关键因素。然而关于数据安全自由流动的保护规则,全球远未达成共识,甚至各国冲突的现象已渐成常态。数据的跨境流动缺乏相应的国际机制,已经阻碍了以互联网为基础的全球经济发展,有学者便将眼光投向作为全球问题新兴解决手段的软法,希望以软法规制的灵活性来协调数据本地化存储和全球自由流动间的矛盾。那么,我们需要一套怎样的国际数据保护软法呢?
在国际数据保护法领域,经济合作与发展组织(以下简称“经合组织”)制定的《关于隐私保护和个人数据跨境流动准则》(以下简称《隐私准则》)和亚太经济合作组织(以下简称“亚太经合组织”)制定的《隐私框架》构成了当前国际数据保护软法实践的基础框架。
经合组织在1980年发布的《隐私准则》是信息隐私保护领域第一部通过协商达成的国际准则。2013年修订后的《隐私准则》由六部分组成:第一部分包括必要的定义;第二部分提出了在国家层面保护个人自由和隐私的八项原则,即限制收集原则、数据质量原则、目的明确原则、限制使用原则、安全保障原则、公开原则、个人参与原则,以及问责原则;第三部分是对问责原则的细化;第四部分阐述了主要涉及成员方之间关系的国际适用原则;第五部分概述了实施准则的各种方法;第六部分讨论了成员方间的互助事项。作为软法,虽然《隐私准则》对成员方并无法律约束力,但其所附的经合组织理事会建议指出,成员方在制定有关隐私和数据保护的法律时应考虑准则的要求。
亚太经合组织电子商务指导小组起草了《隐私框架》,并在2004年获得采纳。《隐私框架》的主体由四部分构成:序言、范围、亚太经合组织信息隐私原则、执行。《隐私框架》序言声称它符合《隐私准则》的核心价值。第二部分澄清了原则的涵盖范围,并对某些重要概念提供了较准确的定义。第三部分规定了九项核心的信息隐私原则,即预防损害、通知、收集限制、使用限制、保障选择权、个人信息的完整性、安全保障、访问和更正的权利,以及可问责性。最后一部分涉及框架的实施问题。《隐私框架》缺乏强制实施的法律效力,但其本身就旨在以可适应各种实施机制的灵活方式来实施,因为它本身就预设了亚太经合组织成员方在法律和文化上的多样性。
虽然以《隐私准则》和《隐私框架》为核心的国际数据保护软法框架已经成为大多数国家制定国内数据保护法律的基石,但这并不意味着它们就是完美的。《隐私准则》和《隐私框架》的不足表现为:(1)两者对弱化数据收集、事先告知和同意原则的时代要求回应不足,对数据使用中的效益和风险的实践评估也关注不够;(2)两者仍固守以数据主体的同意为基础的收集限制原则,必然要求数据处理者要受特定数据处理目的的严格限制,这就既阻碍了数据自由流通,妨碍了创新,也对数据处理者设置了超出合理限度的认知要求;(3)虽然《隐私框架》的制定受到《隐私准则》的深刻影响,但两者在数据跨境流动议题上的立场仍存在较大分歧,这种分歧在很大程度上是以欧盟为主导的基于地理位置的数据转移政策和以美国为主导的基于对数据控制者问责的数据转移政策间矛盾冲突的体现,加剧了以《隐私框架》等为代表的国际数据保护软法的内部矛盾,弱化了这些规则的实践效果。
在国际学术界,对软法谱系的追溯,存在两种不同观点,形成了两种不同目标主导下的规制模式——侧重效率的软法规制和侧重安全的软法规制。国际数据保护软法的建构不可能脱离这些成熟的国际软法实践模式而独立自在地生成,而是必然要根据自身的问题背景和实际需求选择合理的模式作为建构蓝本。同时,在这一过程中,真正塑造国际秩序的主权国家也必然出于本国主体性原则对建构模式的选择和生成施加不同的影响。
第一种谱系将软法的起源追溯至中世纪的法律多元和商法实践。第二种谱系则视软法为晚近时代的产物,将其与社会法的概念以及由欧洲反形式主义法学家在19世纪末及其后发展起来的法律多元主义相联系。在实践效果上,前者侧重效率,后者侧重安全。
1.侧重效率目标的新中世纪谱系。据这一谱系学者的描述,类似中世纪的法律多元化,当代软法的自发和源于事实的本性使得全球性法律多元主义也被认为是自由和效率的来源,具有深度组织性且能提供最终的保护。软法强烈的事实性就是灵活和效率的保证。由于经济软法依据全球贸易和组织的需要发展和演变,在回应全球经济活动者利益时具有可塑性,因此软法可以高效地适应快速变化的经济需求。这种将软法的起源追溯至中世纪的法律多元,并且在规制目标上侧重于效率的模式较为典型地体现在软法在全球税收治理领域发挥的功能中。这是因为该领域的软法工具的首要目标是追求效率——有效打击各种逃避税行为,确保合理税收——而非保护纳税人的权利。
2.侧重安全目标的社会谱系。社会谱系的学者是从工具论视角来理解软法的,将其视为实施一项新社会政策的有效手段。从该观点产生的背景看,社会谱系源于人们认识到欧洲一体化在促进市场效率和着力于社会保护的政策两方面根本的不对称性,认为软法是对过度经济自由化的社会矫正机制。因此,以社会安全为目标的社会法领域是软法的社会谱系的重要战场,其中食品安全监管中的国际软法实践最典型地体现了作为社会矫正机制和政策工具的软法的社会安全指向。
理论建构和实践操作不可能脱离既有的学术积累和社会结构。作为国际软法家族的年轻一员,国际软法实践中的两种谱系是其国际数据保护软法产生发展过程中难以规避的前提环境和结构约束。在某种意义上,效率与安全间的矛盾在数据保护领域就体现为数据的自由流动与本地化存储以及隐私保护间的矛盾。各国在数据保护和流动问题上的政策选择以及由此塑造出的国际数据保护软法框架,也必定处于一种自由与安全之间的动态平衡关系之中。这种动态平衡关系在根本上受制于各国在国际数字经贸格局中的现实地位、发展潜力和利益追求。因此,在讨论国际数据保护软法及其实施机制的建构问题时,首先必须坚持本国主体性原则,即基于我国数字经济现状和发展趋势参与和推动国际数据保护软法及其实施机制的塑造。
坚持本国主体性原则,不仅是历史唯物主义方法论的必然要求,也是基于数据的本质属性和我国数字经济国情的现实选择。在本质上,数据既不稀缺,也是非竞争和高度差异化的,随着时间的推移,新数据的价值也明显超越老数据。因此,符合数据本质的未来数字战略应更重视数据的自由流动和充分利用,而非过多关注数据的静态权属状态。就现实国情来看,我国在互联网数字技术领域抢得先机,但数字经济规模只有美国的1/3。对此,不论是出于深化开放的考虑,还是发挥数字经济潜能的考量,鼓励数据流动和利用而不是通过数据本地化存储来限制数据外流都应成为我国的基本立场和战略选择。就现实选择来看,我国事实上已承认数据自由流动原则的基础性地位,网络主权并不否定网络空间的互联互通性、信息的自由流动性和创新性。
目前,以《隐私准则》和《隐私框架》为核心的国际数据保护软法框架正逐步形成多层次、立体化的实施机制。这些实施机制要么是国际数据保护软法自身确立的,要么是借助了成员方内部的制度和力量。从这个意义上讲,本文将其提炼为一种“外部—内部”双层实施机制。
外部层面的实施机制是指《隐私准则》和《隐私框架》自身所确立的实施机制,具体指经合组织的跨境合作建议和亚太经合组织的《跨境隐私规则》。这两项机制都是以各成员方的隐私执法机构为核心建构起来的实施网络。
根据2006年执行报告的调查结果,经合组织理事会在2007年通过了关于就隐私执法开展跨境执法合作的框架的建议。为落实该建议,经合组织建立了一个全球隐私执法网络,旨在解决隐私问题的跨境执法中面临的挑战,加强跨境隐私保护联合执法合作。全球隐私执法网络是一个包容各方的合作网络,任何负责执行具有保护个人数据作用的法律法规,并有权展开调查或启动执法程序的成员方隐私执法机构都能加入该网络。与此类似,为促进《隐私框架》的统一执行,亚太经合组织电子商务指导组下设的数据隐私分组在2012年构建了《跨境隐私规则》,并引入了隐私执法机构和问责代理机构,因而对加入的企业形成了实际约束力。作为多边机制,各成员方的隐私执法机构可以通过跨境隐私执法安排共享信息,协商开展平行或联合调查执法。由于加入《跨境隐私规则》的前提是成员方至少要有一个拥有充分执法权的隐私执法机构加入跨境隐私执法安排,因此就使《跨境隐私规则》实际上强化了还没有制定数据保护法律的成员方参与企业提供的数据隐私保护,而对于已制定此类法律的成员方,由于企业必须遵守这些法律,因此《跨境隐私规则》也没有弱化对数据隐私的保护。以经合组织的跨境合作建议和亚太经合组织的《跨境隐私规则》为代表的国际数据保护软法的外部实施机制虽然是围绕各成员方的隐私执法机构进行建构的,但机制设计上较好地实现了“外部—内部”两个规制层面的激励相融,从而借助成员方隐私执法机构的力量强化了自身的实施效率。
在以《隐私准则》和《隐私框架》为核心的国际数据保护软法框架的一系列内部实施机制中,仍然存在诸如激励行业自律和建立隐私管理程序这样对本国法律及其强制力依赖较低的内部实施机制。
1.激励行业自律。《隐私准则》第19(d)段关于自律的建议主要针对普通法国家。在这些国家,准则的非立法性实施将对国家立法起到补充作用。行业自律具备特定的优势。规则制定、监督、执行和救济的整个过程可以通过自律,而非政府监管得到更快的运转,这也意味着消费者利益能更快地得到保护。不仅如此,更有学者指出,自律组织在规则制定方面比政府更高效,因为当企业聚集在一起制定规则时,其间的参与方可能比外部的监管机构拥有更专业的技术和行业知识。
但通过行业自律来实施国际数据保护软法也面临以下批评:(1)出于对行业私利的追求,自律机制比传统规则的透明度更低,公共利益难被充分代表;(2)自律机制缺乏制裁违规行为的必要权限,致使外部威慑不足;(3)行业内集体行动的困境会带来“搭便车”的难题。从此种意义上讲,行业自律不应当取代适当的立法措施,或者说,一个更有效的解决方案是采取共同监管,即“政府和行业共同起草并执行监管标准”。这是一种政府规制和非政府规制相结合,介于自我监管和政府规制之间的合作规制。
2.建立隐私管理程序。2013年修订的《隐私准则》在有关“实施问责制”的第三部分引入了隐私管理程序的概念,《隐私框架》也将隐私管理程序与对数据控制者的问责相联系,并将其作为该框架的内部实施机制之一。隐私管理程序的最基本要素主要包括:(1)针对数据控制者的结构、规模及其控制的数据数量和敏感程度进行定制;(2)提供基于风险评估的适当保障措施;(3)建立内部监督机制;(4)程序本身应当定期监测和评估更新。
全面的隐私管理程序为数据控制者与监管机构和数据主体进行良好沟通提供了有效方式,也是数据控制者判断自身是否合规的工具,使其有机会查漏补缺,从而在整个组织内部培育一种隐私文化。这就使“拥有强大隐私管理程序的组织可能享有更高声誉,从而具有市场竞争优势”。
效率与安全永远是法律要加以协调平衡、不可偏废的基础价值。在数据保护问题上,国际社会也始终面临数据的隐私保障、本地化存储和自由流动的价值抉择。现阶段不具备直接通过国际组织平台形成有约束力的数据跨境流动规则的客观条件。在此背景下,通过某些非机构性多边协调机制形成一些区域性软法规则便成为一种次优的选择。
通过对当前国际软法谱系的学理归纳,可大致提炼出两种韦伯意义上的“理想类型”——侧重效率目标的新中世纪谱系和侧重安全目标的社会谱系,以何种谱系作为主导而非绝对的模型来建构某阶段的国际数据保护软法框架从根本上说受制于本国数字经济的发展现状和未来趋势。我国现阶段应积极主动地以侧重效率同时兼顾安全的软法规制模式为蓝本对既有国际数据软法规则加以型塑和建构,努力发掘其中有利于数据自由流动和数字贸易自由化的因素,以便为我国数字经济的发展创造自由、开放的数据市场环境。我国有必要通过“软硬兼施”的办法加快数据保护规则体系的构建,在加快制定相关基础法律的同时,鼓励企业和行业组织借鉴国际软法规则完善自身隐私政策和规则体系。作为亚太经合组织的重要成员,我国也应当利用已相对成熟的《隐私框架》来补充和完善自身的数据保护法律体系。