跨境数据流动分类监管研究

代苏婉,陈朝晖

(大连海洋大学, 辽宁 大连 116023)

根据中国信息通信研究院最新发布的《全球数字经济新图景(2022)》数据估算,数据源在规模上呈现快速增长的趋势,对当前全球大数据的蓬勃高速发展起到了有力的推动作用。数据在快速发展的同时也衍生出了一系列问题。一方面由于对用户使用个人数据资源采集、检索、利用和互联网传输的方式产生了较大程度的改变和影响。另一方面,云计算、大数据、移动互联网系统等新兴互联网数字信息技术的日益发展和大规模应用,也加剧了我国各类个人信息数据库安全侵害事件在社会上的多发和反复。然而,我国到目前为止仍尚未制定一项较为通行一致的,且较为全面、体系完整可行的国际互联网数据安全跨境管理法律。在信息跨境流动方面,目前实施的《个人信息保护法》《网络安全法》等法规,虽然对互联网个人信息有专门的保障,但对个人敏感数据、关键信息的安全保障范围、信息安全风险评估的要求、流程细化等方面,还没有做出专门的要求,对信息本地保存的要求还比较笼统。

一、欧、美数据跨境流动监管的经验做法

(一) 欧、美对个人跨境数据信息的监管

1.欧盟对个人跨境数据的监管。欧盟的数据跨境监管最早可以追溯至二战时期。从二十世纪七十年代开始,全球信息新兴技术快速发展使得个人隐私数据跨境逐渐被恶意使用。为保证公民权利与数据的正当合理使用,欧洲理事会部长委员会制定并推出了一些跨境数据标准化指南,从而开始推动各成员国个人数据跨境流动有关立法[1]。目前对世界影响力最为广泛的是在2016年4月推出的《通用数据保护条例》。新规定中关于切实保障广大公民个人信息方面有几大看点。第一,对个人数据的定义不断扩张。除了保护常规公民的个人信息(个人的姓名、身份号码、通讯地址数据等)外,还相应增加了包括基因数据、生物细胞识别功能数据以及其它和个体健康发展相关的数据,以及政治观点、性取向等信息。第二,增强数据主体权利。除了在个人隐私信息的安全保护中规定一些常规的知情同意权外,条例还适当增强并明确了数据主体的权利[2]。该条例不仅明确了个人数据保护的适用范围,而且统一了欧盟内部数据处理的法律原则,使数据的跨境传输更具灵活性及多样性,被评价为是目前全球最严格的数据保护法。

2.美国对个人跨境数据的监管。美国主张对跨境数据流动采取宽松的监管政策,以鼓励数据跨境自由流动。美国政府则以2018年颁布的《澄清域外合法使用数据法案》为主要司法管理制度手段,从数据分析信息的自主流转向管理的主要工作目标,即CLOUD法案。构成国际跨境数据信息流动管理应用范式的“数据自由论”[3]。这一标准有三类资质认证,其一,对数据的利用、调取、信息资源共享及监督管理等有具体的法律规范和法律程序,并同时具备了相应的激励机制来处理数据活动。其二,外国政府部门应当是《布达佩斯网络犯罪公约》的会员国,或至少符合公约对公民数据信息合理使用的规定。其三,各国政府也应当遵守相应的普世价值,如严格遵守各国人权义务、享有对世界数据信息的自由流动权利和保护互联网技术开放、分布、互联本质的决心以及承诺等。这一措施致使各国数据信息只能单方面地进入美国政府内部,从而造成了数据信息自由流动的壁垒,而这也就是美国单边主义的霸权思想在跨国数据流动范畴内的进一步扩张,同时美国政府也通过此立法保护本国的跨境数字信息。

(二) 欧、美对企业跨境数据信息监管的经验做法

1.欧盟对企业跨境数据信息的监管。欧盟在企业数据信息监管方面,建立了CBPR体系,该体系是在2004年达成的《APEC隐私框架》基础上建立的。APEC所有成员国的企业都可以随时根据实际业务服务需求,自行加入并受其管理制度束缚。涉及联合资格审查专家组、隐私执法协调机构、成员经济体、责任追究与代理机构、公司企业五大主体、三大步骤的CBPR组织的加入程序,一般都比较复杂。一是由成员经济体首先提出加入;二是有责任追究的代理人加盟;三是商家加盟[4]。CBPR系统目前主要通过两个第三方监管责任主体——问责代理监管者和隐私执法监管者,负责严格监管被认证企业是否真实遵循了CBPR相关隐私政策要求的执行情况。问责代理机构可以在常规的消费者投诉检查和处理过程中,对认证企业是否遵守CBPR中的隐私保护规则进行审核,如果存在违规行为,在企业限期未改正或拒不改正的情况下,可以责令企业限期改正,使其行为符合规则要求或合同安排。问责机构则通过通报、罚款等方式,将其从认证名单中删除,予以处罚。

2.美国对企业跨境数据信息的监管。由于与美国政府“棱镜门事件”、监控丑闻等有关一连串的严重及负面事件被陆续公开披露及揭发,美国政府与欧盟在2016年正式宣布由各方重新通过商谈方式订立和签署了一项新协议,命名为“欧盟—美国隐私护盾”(EU-SU Privacy Shield),又称《隐私盾协议》。该协议是指欧盟各国与美国官方的行政分支条约,在美国主要被运用于所有想要在欧盟获取的私人数据信息与资料,以及希望利用此方式获取隐私盾权益的美国公司,其最主要的原则并没有直接涉及欧盟成员国之间的私人数据处理,或是企图改变美国政府特定法律地位下的隐私权力义务[5]。协议中特别规定,美国公司必须承诺保证跨境数据控制主体继续拥有这种更强的数据权,如果美国公司要直接从欧盟成员国向美国传输内部数据信息。美方国家商务部负责人表示将持续督促该企业运行,而美国联邦贸易委员会则应依据现行的美国政府法规进一步予以保障和实施。

二、我国在跨境数据流动监管存在的问题

(一) 跨境数据相关立法协调性不足

近年来,我国越来越重视跨境数据流动的发展。但是在立法方面,仍存在很多不足之处。一方面,国内对数据跨境流动的监管体系还不完善。数据跨境呈现出日益活跃的趋势,但我国跨境数据流动监管能力和保护水平仍不足,国家层面缺乏统一监管机构。另一方面,我国目前出台的规范数据跨境流动的法规之间仍然存在不一致的问题。我国的《数据安全法》和《个人信息保护法》出台后,我国目前信息跨国流通控制的立法架构已经初步建立,但法律上仍有不少的信息规范体系没有进行完善,使得全国范围内跨境信息交易方面出现分歧。因此,在2014年实施的《数据安全法》中第三十一条明确允许符合安全评估标准的数据自由出境,但2014年实施的《人口健康信息管理办法(试行)》并没有修订,第十条仍然明文限制了人口健康数据外流。

(二) 缺乏国际相关合作

我国到目前为止参与跨境数据流动的国际规则制定较少,与外国政府在跨境数据保护方面缺乏合作。虽然我国已逐步适应当前跨境数据流动监管规则的国际发展趋势,并参与许多跨境数据流动制度方面的国际会议,但是参与数量仍然有限,目前尚无法建立与我国国情匹配的制度优势。同时,与其他发达国家相比,我国在相关跨境数据流动监管国际规则的数量和程度上发言权相对较弱,在国际监管协调方面的实质性竞争力相对逊色。发达国家利用自身优势,通过制定各种法律法规,削弱发展中国家对数字贸易协定跨境数据的相关权利,旨在数据跨境流动监管领域获得主导权,这种国际发展趋势对于我国是比较不利的。

(三) 跨境数据流动主体权利义务不明确

尽管我国目前实行的相关法律中规定了数据传播的知情权、删除权等,并制定了极具我国特色的自然人死亡后由其近亲属行使相关权力的条款,但是基于我对于跨境数据的监管起步较晚,很多数据主权的内容借鉴参考欧盟GDPR得来,因而存在着不完善、不成熟的地方[6]。因而,在落实跨境数据流动监管的基础上,对自然人个人赋权并且能够及时运用私法进行救济,调动社会对于跨境数据进行监督,并且规定剽窃个人信息应承担的相应处罚义务,确保我国跨境数据有序、合法地开展,是目前我国迫切明确和加强我国跨境数据主体权利的主要途径。

三、我国数据跨境流动监管的策略

(一) 完善数据跨境流动相关立法

我国拥有着全球最多的网民,数据的跨境和流动总体规模相当巨大,在国家立法制度上,我国关于个人隐私数据信息如何跨境和流动问题的相关规则尚不成完整体系。立法应着重确定个人数据保护权的具体内涵及其法律基础的各项权利与权责,并将这些主要内容及时妥善地融合应用到相关立法中去,使我国立法制度在合理衡量人权保障和个人跨境数据流通之间体现的法治价值不偏不倚。我国应修改或者完善国家其它法律中关于我国个人数据保护的条款,使新形成的专门保护法与现行部门法在个人数据规范层面可以充分互相配合沟通交流与协调,在具体机构的职能设置层次上,建立并支撑起机构内权责界限分明、功能分工职能明确的监管体系。

(二) 积极寻求各方合作,打造联合监管同盟

从美国和欧盟各国的实际经验可以看出,数据信息跨境流动及监管需要多国之间的良好协作相互配合。如美国致力于构建经贸领域数据跨境流动规则,在APEC“跨境隐私保护规则”下形成区域数据自由流动圈;欧盟以GDPR为基准,使各国的数据保护标准向其靠拢,并利用数据保护立法的先发优势。美和欧盟之间的在信息跨境管理上的自由贸易协定则更注重于对市场准入信息的交换,而美欧安全港模式则代表着一种新的信息数据交换模式——数据目的国保证用自身标准保护了外国居民信息的数据安全,而作为回报来源美国则保证不对信息的跨境流动范围进行限制,使得世界各国(地区)之间正常的跨境信息交流实现了一个新高度,并在跨境信息管理方法上也采取了不同的管理手段。我国可以借鉴美国与欧盟的“安全港模式”,与世界其他重要经济伙伴建立类似于“安全港模式”的跨境数据合作模式,最大限度地降低因国内法律不同而造成的彼此间贸易壁垒。对此提出框架建议,第一,对于跨国隐私数据,通知欧洲另一特定经济体成员或者国家安全局指定的相关公共专业机构对跨国隐私数据执法案件开展调查,并提供对应欧盟GDPR,核实有关违法行为性质及对个人权力造成的严重侵害。第二,建立合理有效合作的对话机制,在有关跨境隐私犯罪调查取证和案件执行上加强与欧盟、美国等多个国家和地区间进行法律信息共享。第三,建立针对隐私侵权执法涉外案件的调查及协助处理机制,在国际事务上进行跨部门多边交流合作。

(三) 加强数据流动主体权力

依据对于本国数据资源实际保障情况及对等政策,建立适合我国国情的白名单机制,将这些区域数据资源引入可合法自由对外数据流转的相关发达国家与地方。例如,在美国CLOUD法案中的“适格外国政府”名单则明文规定可以促进与其开展有关境外跨境数据信息自主传播流动执行合作框架协议则应当符合有关法律、权利保护以及跨境信息数据保护实体的基本标准。若是传输个人隐私数字信息数据向白名单之外的各国,只要提前获得信息数据控制者事先同意,数据信息资源就可以随时跨境流动。从当前国内企业实践和结果反馈看,跨境数据信息数据充分性的保障安全措施主要因素包含具有约束力的一些大型集团企业规则、标准合同应用条款、事先经管理层严格审批的认证准则机制等。国际标准合同条款应按照国际标准数据保护原则,由各政府部门牵头制定,利用实际标准化合同制度体系来达到精准控制各种数据出境问题。一旦国际标准合同条款在跨国数据控制者、数据分析者、数据处理者等主体间被使用,在没有主管机关批准的前提下,此类协议可依法获准开展合法有效的信息数据跨境流动,而无需在有关机关备案。我国已经加入了RCEP体系,在推进全球数字贸易服务新体系模式下,我国跨境贸易及数据信息服务新规则制度体系建设中,也已经开始尝试实现贸易与全球数字世界服务的接轨。