杨希成,张望平
(西北政法大学 国际法研究中心, 陕西 西安 710063)
投资者在东道国进行投资时,与东道国政府会因投资产生争端。[1]当今全球互联网的使用率已非常高,很多跨国投资是在网络空间完成的,由此产生的网络数据在整个投资过程中都处于极为重要的位置,数据跨境流动不仅涉及投资者权益,而且关乎投资者母国利益,这也意味着以后的国际投资将涉及数据争端。数据全球流动开启全球化的新时代,在促进全球经济金融危机复苏的同时,数据跨境流动也对国家安全、 公共秩序以及个人隐私保护等产生影响。[2]各国逐渐认识到数据安全的重要性,“数据主权”的概念也由此产生。各国在加大本国数据保护的同时,还对投资者的数据权益进行一定限制,采取“数据本地化”措施,该措施导致了投资领域成本的提高,境外投资者的成本因此加大,以美国为首的一些国家认为,数据本地化措施违反了世界贸易组织的国民待遇原则[3],构成了贸易壁垒。但实际上,数据本地化措施是否违反国民待遇原则,构成贸易壁垒,不能一概而论。根据《服务贸易总协定》第17条国民待遇原则的规定,国民待遇原则是建立在成员方以具体的承诺为条件,给予外国服务提供者国民待遇基础之上的,但也并不是一成不变的,国民待遇原则具有适用的例外规定,如《服务贸易总协定》第14条就作出了例外规定。当东道国因投资者数据跨境流动危害本国国家安全或公共利益时,可以采取适当的限制措施。
国民待遇条款在大多数国际投资协定中均有体现,但内容却不尽相同。[4]一般都以“相似情形”或“相类似情形”来表述国民待遇条款,这使得跨国投资者在不同国家投资时,其享有的数据权益和数据主权因国民待遇条款不同而存在差异,甚至有些国际投资协定中国民待遇条款缺失“相类似情形”的表述,如意大利和摩洛哥双边投资协定第3条对国民待遇条款的规定。[5]因此,投资者在面对东道国以维护本国国家安全或数据主权为由对其数据权益进行限制时,如何协调好投资者数据权益和东道国管辖权成为关键。
随着移动互联网、物联网、云服务等网络技术的快速发展,数据流动性不断增强,其已成为重要的生产要素,数据是当今国际投资中的重要财产[6],由此产生了跨境投资中数据的所有权、使用权、收益权等权能[7]。当投资者的数据权益受到侵害时,该如何保护成为关键。在《ICSID公约》体制下,仲裁庭要求适格的投资需满足Saliniv. Morocco一案所确定的4个标准,资本投入、持续一段时间、有风险预期、对东道国的经济发展有贡献等。根据传统跨境投资规定,已无法调整如今数据跨境流动的灵活性,现在只要有服务器就可进行跨境投资,当数据跨境流动发生争议时,仲裁庭也必须作出相应的规则来处理争端。
欧洲委员会(Council of Europe)是全球最早对数据跨境流动进行规制的区域组织,建立了较为完善的数据流动规则。并根据数据跨境流动第108号公约①欧盟第108号公约即《有关个人数据自动化处理中的个体保护公约》,是1981年欧洲委员会各成员国签署的,全球范围内有关数据保护的第一份具有法律约束力的国际性文件,它建立了有关数据保护的基本原则以及缔约国之间的各项基本义务,对于指定明确的数据治理全球标准以及国内标准都具有重要的借鉴意义。以及附件议定书等,较早地建立起数据跨境流动的管理方案,尤其欧盟的95号指令对个人数据的跨境流动保护进行了较为详细的规定。
1.扩大了数据保护和监管的适用范围
相较于95号指令,《欧盟一般数据保护条例》(简称GDPR)扩大了数据保护适用范围,被认为是欧盟在数据领域的“长臂管辖”。该条例不仅适用于欧盟境内的数据实际享有者、控制者或数据处理者,而且也适用于境外的数据控制方、数据的处理方,只要相关投资活动中数据的运营与处理涉及欧盟境内的成员国,欧盟就可以运用GDPR对相关的数据处理活动进行调整和保护,这一点刚好迎合了跨国投资活动的需求。如今,跨国投资活动越来越多的是在网络空间完成,例如在欧盟成员国内设立外商投资企业,但其很多投资活动都将在网络空间中进行,其中涉及大量的数据运营、数据产权,设置这些数据会牵涉众多商业秘密甚至是母国利益,数据的监管以及合理使用成为跨国投资中的关键所在,GDPR解决了监管范围问题,为欧盟各国在欧盟境内的外商投资企业提供了数据监管的法律依据。
2.在国际投资数据跨境流动中,强化数据相关主体的权利
GDPR对数据的主体②GDRP对数据主体具体作了三种分类,分别是用户(Individual)、数据所有者(Data Controller)以及数据传输者(Data Processor)。权利进行了详细规定,GDPR赋予数据主体享有数据可携带权、被遗忘权、限制数据处理权、知情权、访问权、修正权、拒绝权等7项新的权能。这一规定对欧盟境内的跨国投资者非常有利,很多数据对跨国投资者来说至关重要,数据中包含了跨国投资者的商业秘密、核心技术,牵涉到东道国的国家安全或者公共利益,赋予数据所有者以及传输者被遗忘权以及修正权、拒绝权,将很好地保护跨国投资者的合法利益。只有这样,才能让跨国投资者更安心地在东道国境内进行投资。同时根据GDPR的相关规定,数据所有者,主要责任包括必须证明其是在GDPR规定范围内进行个人信息收集的,即合法、真实、透明、精准、最小限度地做了收集个人信息的工作。同时还需证明其尽了最大努力对收集到的个人信息进行了保护,包括制定了严格的数据管理方案、数据保护计划,以及危机应对办法等。对于数据传输者来说,其必须证明是在数据所有者规定的范围内进行数据的收集、传输、存储以及管理等要求。必须按照数据所有者的要求,证明其尽到了数据保护责任。这样的规定,为在东道国境内的外商投资企业或者外国企业的分支机构数据使用、处理、传输等提供了法律依据和保护,同时也为东道国政府对国际投资中数据的跨境流动的规制提供了法律依据,东道国政府可以对数据的所有者、数据的传输者的相关权利和义务进行分类、分段的监管。
3.严格设定数据收集或传输要以个人同意为前提条件
GDPR将个人同意作为了个人信息收集和使用的前提,数据主体必须作出清晰的肯定性动作同意才被认为有效。个人沉默、提前勾选的选项、静止等状态都不足以表达同意。[8]此外,GDPR还明确了在任何情况下,同意不是由数据主体自由地作出决定,数据控制方还应当告知数据主体撤回同意的权利。这样的规定可以进一步保护涉外投资者在东道国的切身利益,或者不得已迫于某种压力作出的数据意思表示行为,这样的做法可以很好地保护投资者的数据利益。
4.严格规定国际投资中数据处理者的责任
GDPR明确规定了数据处理方的义务①GDPR规定了数据处理者的义务共8项,分别是:1.只能按照控制者的书面指示处理个人数据。处理者不得为其自身目的处理个人数据。2.确保被授权处理个人数据的人员已经承诺保密或者负有适当的法定保密义务。3.采取适当的技术性和组织性措施确保按风险等级制定相应的安全等级。4.遵守其与其他处理者订约时应遵守的义务,包括采用书面形式签署合同的义务以及将其义务施加于其他处理者的义务。5.协助控制者履行控制者应对数据主体行使其权利请求的义务。6.对确保控制者遵守其在GDPR项下的一些特殊义务提供协助,包括通知个人数据泄露事件,进行隐私影响评估以及可能就隐私影响评估向监管机构发出事先的通知。7.在与数据处理有关的服务提供完毕后,根据控制者的选择,将所有个人数据删除或返还给控制者,并删除既存的副本,除非法律要求存储个人数据。8.向控制者提供证明遵守GDPR第28条规定的义务所必需的一切信息,并允许和配合由控制者或任何第三方进行包括检查在内的审计工作。,倘若数据处理方不履行这些义务时,数据处理方将会被东道国的相关监管机构直接问责,数据处理方负有几项主要的义务,采用合适的技术和组织措施,以保证一定的数据安全水平[9];该项规定为东道国进行跨境投资数据进行监管提供了法律依据,当涉外投资者不履行相关的义务时,东道国政府的相关监管机构有权对其进行问责。
5.保留数据处理记录,形成文档
该项规定,就是要求数据的控制方和数据的处理方应保留关于数据处理活动的详细记录,并随时应监督机构的要求提供。这项规定和国际投资领域的保护东道国的国家安全和公共利益的例外条款结合起来。在国家投资领域有少数投资条约将公共秩序或公共道德、公共健康作为一般例外条款加以规定。例如,加拿大2004年的投资条约范本第10条就将“为保护人类、动物或植物的生命或健康措施”列为一般例外。这样的做法可以很好地监管数据的拥有者和传输者对数据具体的处理情况,以便随时检查这些数据是否危害东道国的安全和国家利益。
除此之外,GDPR还对数据的隐私保护、数据保护的影响评价、问责原则、数据保护官以及数据的跨境流动的重构、安全事故的通知等作了详细的规定。在跨国投资中,当跨国投资者的数据受到东道国或者第三方的侵害时,根据这些数据使用、流动等的规定,投资者的数据权利能够很好地得到保护,体现数据正义的价值。①数据正义维护的核心在于改变重数据私益、轻数据公益的状况。数据立法应当具有前瞻性,不能片面强调个体的数据私益而抹杀数据公益部分,兼顾数据私益与数据公益之间的平衡成为数据法益保护的立法宗旨。从这个意义上讲,数据立法需要从制定法角度对数据私益与数据公益做出正确的识别。同时,也为东道国在跨国投资中有关数据的跨境流动提供了法律依据和监管的方法和策略。
数据的跨境流动,美国在国内建立了严密、完整、多层次的数据主权保障体系,颁发了《澄清域外合法使用数据法》,确立了数据控制者标准。
1.美国对国际投资中出境数据流动的规制路径
美国在数据跨境流动中数据的出境进行了严格的限制规定,尤其美国对一些特殊的领域和个别的州开始进行数据保护的定点立法和相应的限制,其目的主要是美国想依靠自己在技术层面的先进性,对相关的数据进行“数据垄断”,当今世界,几乎所有的技术和投资都最终聚焦到数据上,掌握核心数据也就在很大程度上掌握了该技术的关键核心。所以美国通过对数据进行严格的限制出境目的还是在于对数据进行垄断,企图形成一种“贸易壁垒”。
美国通过制定相关的信息清单,界定“重要数据”范围。美国总统曾于2010年签署了13566号行政命令,该命令界定了美国认为的“重要的数据范围”,涉及农业、受控技术信息、关键基础设施、应急管理、出口控制、金融、地理产品信息、信息系统漏洞、情报、国际协议、执法、核、隐私、采购与收购、专有商业信息、安全法案信息、统计、税收等17个门类。②美国设置的数据流动标准,究其根本,是为了保护美国投资的数据权益,形成数据垄断。美国的数据管控规制非常详细,意味着这些领域的国际投资数据将会受到美国政府的监控,对相关数据行使国家管理权。
美国通过对特殊领域数据的跨境流动进行监管,就是为了维护网络安全,防止很多涉及经济命脉的国家信息泄露,所以对相关数据的传输者、所有者在进行国际投资时的数据的跨境流动必须负有维护网络安全的义务和责任,否则将会受到美国政府的法律追究。这是一种对国际投资中数据的跨境流动的强有力的规制措施和策略。
美国在规制相关数据跨境流动的举措上,采取了和欧盟《通用数据保护条例》相类似的规定,即扩大数据监管的适用范围,这也是美国“长臂管辖”的一种表现。[10]美国通过“长臂管辖”的方法,扩大了美国有关数据监管的国内法的适用范围,美国CLOUD法案通过适用“控制者原则”,打破了“服务器标准”,允许调取不在美国境内的电信服务或者远程计算机服务的数据,扩大了美国执法机关调取海外数据的权力。[11]这就意味着在美国规定上述领域里的国际投资中的数据流动,即使不在美国境内,美国也可通过“长臂管辖”的方法进行监管。但是美国同时规制了其他国家的相关机关监管在美国境内的跨境数据流动的措施,甚至美国规定了所谓的“适格政府”,也就是外国政府要想对美国境内的相关投资数据进行审查时,必须通过美国“适格外国政府”的审查,需要满足美国所设定的人权、法治和数据自由流动标准。美国通过扩大自己政府的监管范围和限制别国政府的监管范围,实际上就是想对在国际投资等领域中跨境数据的流动进行垄断,形成国际贸易的“壁垒”。
2.美国对国际投资中境外数据入境流动的规制路径
美国对境外的投资数据入境流动采取的措施是“数据控制者原则”,即美国法案规定,美国对境外的由美国数据控制者控制的数据流动享有管辖权,美国这样做的目的就是避免美国自己的数据被他国占有,在国际投资领域推行数据垄断,形成“贸易壁垒”,华为在美国市场的境遇就是个例子。美国的很多网络公司利用自己的核心网络技术,以及在市场上的竞争优势,经常在跨国投资和并购中利用技术上的优势,采取诸如恶意并购跨国公司的行为,借助市场上核心数据的优势进行垄断,扰乱国际投资的良好秩序。因此,美国对国际投资中国外数据入境流动的规制目的在于投资垄断。
美国限制外国高科技数据在美国境内进行流动的背后是为了保障其本国数据市场的管辖权的单一性,使境内属地管辖原则充分适用,对数据的跨境流动进行严格的审查。2020年2月美国正式颁布实施了FIRRMA,即《外国投资风险审查现代化法》,该法案将涉及“关键技术”、“关键基础设施”和“保存或收集美国公民敏感个人数据”公司的非被动、非控股少数股权投资纳入到审查的范围内。
1.数据跨境流动以“安全评估”为前提
我国数据跨境流动主要是从两个方面进行规制,即安全评估和安全审查。关于安全评估,主要是2016年11月7日,我国第十二届全国人大常委会高票通过《中华人民共和国网络安全法》(以下简称《网络安全法》)所作出的规定,《网络安全法》对数据跨境流动明确提出了安全评估的要求,该要求详见第37条。①《中华人民共和国网络安全法》第37条明确规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”采取安全评估措施是为了奠定在中国境内收集个人信息和重要数据进行安全审查的基础,为设施营运者奠定“境内部署+出境评估”规则的基础,进行更全面的监管,对跨国投资领域数据的跨境流动进行规制。
但《网络安全法》只对数据跨境流动提供了一个框架性的评估规定,对于投资中涉及的投资者信息及数据监管的内容、流程、范围等方面并未作出具体说明。2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)对上述内容作了规定,可视为对《网络安全法》相关规定的补充。其对数据跨境流动的安全评估内容作了解释,规定了两种类型的评估方法。
2.对国际投资中跨境数据流动进行安全审查
2017年5月2日,国家互联网办公室正式发布《网络产品和服务安全审查办法(试行)》,对网络产品和服务提出了具体审查意见,这样做的目的是数据跨境流动涉及国家安全和公共利益,因此必须对跨境数据进行安全审查,该法的目的在于防范境外投资者非法收集、存储、处理、使用用户所在国相关数据的风险,维护我国的国家安全和公共利益。
数据跨境流动还涉及行业监管,例如我国《国家健康医疗大数据标准、安全和服务管理办法(试行)》的出台,就是典型例子。近年来,我国云服务、大数据、物联网等新兴技术与健康医疗等领域快速融合,引起了相关健康医疗模式的深刻变化。国家高度重视健康医疗大数据的创新发展,在涉及医疗卫生、生物医药跨境流动的数据存储、使用等方面,我国已经开始有意识地对相关数据进行监管,不经过我国监管机构安全审查的数据,将不允许跨境流动。
国际投资涉及国家安全和公共利益,有必要对数据跨境流动的出入境作出详细规定,制定安全审查和安全评估政策,同时要对跨境投资者数据的使用、存储、处理等方面作出合理监管。
1.构建完善的跨境数据流动规制体系
我国数据跨境流动的法律体系的制定和完善要坚持维护国家安全和公共利益,保护企业的合法利益,不危害个人信息的原则[12],这是完善我国数据跨境流动监管的规制体系一以贯之的基本原则。
我国涉外投资应以现有的《网络安全法》与新颁布的《数据安全法》为基础,进一步构建涉外投资中数据跨境流动规制体系,为我国投资数据监管提供法律依据,保障数据跨境流动中主体的合法权利。加强科学立法,在电子商务、云服务、金融等重要领域率先出台行业数据跨境流动标准,细化各行业数据跨境流动的法律规范。提高行业监管的具体操作性,是我国当下数据跨境流动立法亟待解决的问题。
我国目前监管制度仍然分散,缺乏系统的规制体系,必须制定系统的规制体系,对数据跨境流动进行全面的监管和评估,确保数据流动中的国家安全[13],尤其在国际投资领域,应出台数据监管法规,可在《涉外投资法中》进行专章规定,从立法上明确数据收集、使用、加工、传输的规定,制定统一的数据跨境流动保护和监管标准。不管是生物医疗,还是金融科技,抑或是民航,域名服务、人口健康等其他领域。
2.加强数据流动国际合作,签订数据跨境流动的国际协定
我国在应对目前国际投资领域数据跨境流动的频繁发生时,应该寻求国际层面的合作,积极进行数据跨境流动规制路径的磋商、探讨,利用双边、多边机制推进我国数据跨境流动体系建设,提高我国在数据跨境流动规制中的话语权,更好地监管数据的跨境流动,积极参与制定相关国际条约与协定。
3.完善数据跨境流动审查和评估机制,发挥大数据管理局作用
数据接收方的安全保护能力水平,以及数据出入境、数据的汇聚等可能给国家安全、社会公共利益、个人合法权益带来风险,因此我国要借鉴欧盟的大数据监管经验,在跨境投资、跨境医疗等数据跨境流动频繁的今天,不管是从维护国家安全和公共利益的角度,还是维护个人信息的角度,抑或是进一步促进新型国际投资的角度,我国都有必要加强数据监管。我国已在很多地方设立了大数据管理局,应该进一步加强数据监管体制、机制的构建,授予监管机构相应权限,如行政调查权、行政执法权、等级备案权以及行政处罚权。该机构可以和其他机构合作,如在国家投资领域,针对投资大数据流动的监管,不管是“引进来”,还是“走出去”,都要加强数据监管,可以和商务部门、市场监管部门等机构合作,对投资领域进行全面合理的监管。
在国际投资领域,互联网、区块链的介入,很多关键核心部分都以数据的形式呈现[14],跨国投资必涉及数据跨境流动问题,但我国在这方面的立法还不够完善,法律体系还不够系统、健全,我们要加强这方面的监管,构建起新的法律体系,尽快从顶层设计上入手,健全法律,为我国营造一个良好的投资环境,继续推动国际投资领域里的“引进来”和“走出去”战略。除了在法律规定和国家监管层面上下功夫以外,还要充分利用相关多边、双边协定,充分进行协商,加强国际合作。同时,我们也要加强宣传,强化企业的数据保护意识、自我监管意识、公民个人信息保护意识,在数据跨境流动的监管领域形成“国家、企业、个人责任共担”的局面。