党玺 徐安妮
摘 要: 跨境数据流动治理已成为全球数字贸易发展的核心要素。从数据分类治理的视角比较中日两国的跨境数据治理现状发现,中国出于维护网络安全和数据主权的考虑,对个人信息和重要数据的跨境流动持保守态度;日本秉持“基于信任的数据自由流动治理理念”(Data free flow with trust,DFFT),在强调信任的基础上尽可能地扩大数据自由流动。借鉴日本相关治理经验,我国应当提炼跨境数据流动治理理念,在加强分类治理的同时拓宽数据流动方式,构建独立的数据流动监管机构,为我国跨境数据流动打造坚实的制度基础,提升数字经济环境下的国际话语权。
关键词: 跨境数据流动;数据分类;DFFT理念;数据主权;监管规则;数据治理
中图分类号: D908
文献标志码: A
文章编号: 1673-3851 (2023) 04-0198-08
Comparative study on the governance of cross-border data flow between
China and Japan:From the perspective of data classification governance
DANG Xi, XU Anni
(School of Law and Politics, Zhejiang Sci-Tech University, Hangzhou 310018,China)
Abstract: Cross-border data flow governance has become a core element of global digital trade. It is found from comparing the status quo of cross-border data governance between China and Japan from the perspective of data classification governance that: China takes a conservative approach to the cross-border flow of personal information and vital data out of concern for cybersecurity and data sovereignty; Japan adheres to the concept of "Data free flow with trust" (DFFT), expanding the free flow of data as much as possible while emphasizing trust. China should draw on the relevant governance experience of Japan, refine the governance concept of cross-border data flow, expand the data flow mode while strengthening classified governance, establish an independent data flow supervision institution, build a solid institutional foundation for cross-border data flow, and enhance the international discourse power in the digital economy environment.
Key words: cross-border data flow; data classification; DFFT concept; data sovereignty; regulatory rules; data governance
數据已成为各国不可或缺的基础性资源,在全球经济增长中发挥关键作用。自2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资①。美国国际战略研究中心(Center for strategic and international studies,CSIS)发布的《亚太地区的数据治理》指出,根据新冠肺炎疫情前的一项研究预测,跨境数据流动将在2020年使全球经济产出增加3%以上,或将近3万亿美元[1]。数据跨境流动已成为促进数字经济创新、提高经济增长效率和增进社会福祉的关键动力,跨境数据流动治理规则的构建成为各国数据博弈的关键。
当前学界对跨境数据流动治理的研究主要聚焦于美国和欧盟的立法和实践:美国以“贸易自由”为导向,主张数据跨境自由流动,强烈反对数据本地化,以消除数字贸易壁垒[2];欧盟通过研究制定较高水平的数据保护规则,构建制度壁垒,减少数据无序流动[3]。相较而言,学界对日本的数据治理框架研究较少。近年来,日本对内不断完善跨境数据流动法律规制体系,对外积极构建双边、多边机制,谋求引领全球跨境数据流动治理标准和规则制定。日本是重要的经济体,作为全球跨境数据流动中的关键一环,其对数据治理模式的探索不应被忽视。本文在梳理中日两国跨境数据流动治理理念的基础上,比较分析双方针对个人信息、产业数据、重要数据跨境流动的治理模式,以期为我国构建跨境数据流动治理框架、加强国际跨境数据流动合作与交流、深度参与全球数字经济规则制定提供借鉴。
一、中日跨境数据流动的治理理念
不同国家的价值选择存在差异,发展目标不同,国家安全关注点有别,因此难以在短时间内达成治理规则的共识。相较于美国主张自由流动的进取型理念和欧盟的数据保护规制型理念,中国的跨境数据流动治理相对保守,强调维护网络安全和数据主权,而日本提出的“基于信任的数据自由流动治理理念”(以下简称为“DFFT理念”),在强调信任的基础上主张尽可能地扩大数据自由流动。
(一)中国:维护网络安全和数据主权
中国目前尚未形成明确的跨境数据流动治理理念。在“斯诺登事件”后,基于维护国家网络安全、维护数据主权、保障个人信息安全等考量,中国在部分行业规章或规范性文件中,对跨境数据流动提出了不同程度的本地化存储要求(2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、中国银行保险监督管理委员会发布的《保险公司开业验收指引》、2013年国务院发布的《征信业管理条例》、2014年国家卫计委发布的《人口健康信息管理办法(试行)》、2015年国务院发布的《地图管理条例》、2016年国务院多部门联合发布的《网络预约出租汽车经营服务管理暂行办法》、2016年广电总局与工信部发布的《网络出版服务管理规定》等,都不同程度地提出了服务器和设施本地化的要求,有的则明确禁止在国内收集的数据出境。)。近年来,《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)和《中華人民共和国数据安全法》(以下简称《数据安全法》)这三部法律的出台及相关配套措施的制定与完善,构建起中国跨境数据流动的总体法律框架。总体而言,中国对跨境数据流动的规制存在“数据本地化”偏好。
“数据本地化”在一定程度上可以实现保障国家信息安全和隐私保护的目标,但该偏好已不适应于我国当前数字经济产业的发展态势。2019年,中国在全球数字产业领域的业务总规模就达到了2.567万亿美元,位居世界第一。中国跨境数据流动规模在2010—2017年间大约增长了17倍,保持着较为强劲的增长势头。然而,相较于中国庞大的数字经济体量,在保守的政策导向下,中国的跨境数据流动规模仍然较小,仅占美国跨境数据流动规模的20%[4]。此外,美国主导的APEC跨境隐私规则(APEC cross-border privacy rules system,CBPRs)和欧盟在《通用数据保护条例》(General data protection regulation,GDPR)规制下所秉持的跨境数据治理理念,都与当前我国的“数据本地化”偏好存在不小的冲突,对我国参与由美国、欧盟主导的双边、多边机制和国际规则谈判存在一定阻碍。例如,在向WTO提交的电子商务谈判提案中,我国并未提出跨境数据流动相关规则主张。我国认为,数据的自由流动和本地化存储等一系列问题具有复杂性和敏感性,涉及每个成员国的核心利益,需要进行更多的讨论美国在向WTO提交的电子商务谈判提案中主张成员国不应该禁止、限制跨境数据传输;欧盟的提案在主张跨境流动自由的同时强调个人隐私保护,主张协定内容不得限制成员国采取适当措施保护本国公民隐私。WTO,Joint Statement on Electronic Commerce-Communication from China[EB/OL].(2019-04-24)[2022-04-15]. https://docs.wto.org/dol2fe/Pages/SS/directdoc.aspx?filename=q:/INF/ECOM/19.pdf&Open=True.)。
在“数字中国”战略和“网络强国”战略定位下,我国跨境数据流动的规模日益扩大,其对数字经济发展的驱动力也日益显著。目前,中国积极推动“一带一路”数字经济合作向纵深发展,与沿线国家、地区在数字化技术及数字基础设施建设领域的交流合作日益密切。截至2020年底,我国已与16个国家签署了“数字丝绸之路”合作谅解备忘录,与22个国家建立了“丝路电商”双边合作机制[5]。同时,在全球区域经济一体化迅猛发展的新形势下,我国积极参与制定《区域全面经济伙伴关系协定》(Regional comprehensive economic partnership,RCEP),并且在2021年9月向全面与进步跨太平洋伙伴关系协定(Comprehensive and progressive agreement for trans-pacific partnership,CPTPP)这个“十一国大群”提交“入群申请”,推动国内制度与国际规则接轨,以构建面向全球的高标准自由贸易区网络。同年11月,中国申请加入《数字经济伙伴关系协定》(Digital economy partnership agreement,DEPA),致力于加深数字经济包容性与参与度[6]。在维护数据安全性的基础上,如何提升开放成长性成为重要议题。
(二)日本:跨境数据治理DFFT理念
在达沃斯2019年世界经济论坛年会上,时任日本首相安倍晋三首次向世界提出了“DFFT理念”。该理念有两个要点:数据自由流动和数据安全保障。日本政府以该理念为核心,在国内、国际两个场域持续发力。在国内层面,日本为充分确保跨境数据流动的自由化,规定除公共利益目的外,原则上禁止数据本地化存储要求。在数据安全保障方面,日本不断完善个人信息保护的法律框架,禁止转移和披露源代码及算法,禁止转移或访问信息通信领域(Information and communication technology,ICT)产品中使用的加密信息[7]。在国际层面,日本不断拓展基于“DFFT理念”的“国际数据流通网”,积极参与现有国际社会的合作,探讨数据跨境转移所必需的主体间的信任框架构建。诸如《日美数字贸易协定》《日英EPA协定》和《RCEP区域竞争经济伙伴关系协定》等多边、区域数据治理规则,都体现着“DFFT理念”。2019年6月,日本借G20大阪峰会之机,再次强调“DFFT理念”的重要性,并且将构建“数据自由流通框架”的进程命名为“大阪轨道”。“大阪轨道”由数据转移机制、法律和监管措施协调、技术标准和产业合作、国际贸易规则四部分组成。日本在启动“大阪轨道”时也表明,WTO电子商务谈判将成为日本推动“大阪轨道”的主要抓手。在WTO电子商务谈判中,日本提出了跨境数据自由转移,禁止在国内设置数据服务器,禁止各国政府持有的统计、交通和灾难相关数据仅向国内企业披露,禁止要求披露源代码和算法等议案[8],持续释放“DFFT理念”影响力。
国际社会在跨境数据治理过程中,也会参考和借鉴“DFFT理念”。例如,世界经济论坛正通过与主要专家、企业和利益相关者展开对话来支持这一理念,力图将其转变为一种治理架构[9]。2021年,七国集团数字与技术部长级会议还制定了“DFFT路线图”,制定了四个跨领域的行动计划:a)评估数据本地化的影响;b)比较分析各国关于跨境数据流动的政策;c)制定可靠的政府准入指南;d)促进数据的相互共享[10]。
维护网络安全和数据主权对于中国而言固然重要,但是背离跨境数据流动治理的主流理念,缺席国际数据流动治理规则的制定,无法积极参与并扩大国际数字贸易,可能对中国造成的消极影响是长远而深刻的。相较于日本对治理理念的打造和推广,我国应当加快提炼中国跨境数据流动治理理念,通过积极参与全球数字经济贸易规则制定,打造具有国际影响力的中国理念,为全球数字经济发展贡献中国方案。
二、中日跨境数据流动治理分类的比较
中日两国在跨境数据流动基本理念、具体法律制度规定、跨境数据流动的审查标准等很多方面存在差异。跨境数据流动规则的可预见性不足,使得企业在跨境数据贸易中要付出较高的成本,影响正常的数据跨境交易活动。本文按数据来源及其重要程度,将跨境数据划分为“个人信息”“非个人信息(产业数据)”以及个人信息与非个人信息在处理过程中对国家安全、公共利益等产生重要影响的“重要数据”,尝试厘清不同分类下的中日跨境数据流动规则,营造有利于数字贸易发展的环境。
(一)严格限制个人信息的流动
我国《个人信息保护法》第三章以专章的形式规定了个人信息跨境流动的规则,在个人信息处理者“因业务需要,确需向境外提供个人信息”情况下,首先应履行向个人的“告知”和“取得单独同意”义务,并且满足“通过安全评估”“经个人信息保护认证”“按网信部制定的标准合同与境外接收方约定权利义务”这三种个人信息跨境流动机制之一,方可进行个人信息跨境传输。我国《个人信息保护法》第55、56条还明确了个人信息处理者在数据流动中的责任,其在“向境外提供个人信息时”,应事前进行“个人信息保护影响评估”,评估包含数据处理目的、处理方式、对个人权益保障的有效性等内容。
然而,我国数据安全评估、个人信息保护认证等机制尚处于制度设计阶段,还没有一个清晰可循的制度方案。2019年国家互联网信息办公室发布的《个人信息出境安全评估办法(征求意见稿)》,对个人信息的跨境流动以安全评估原则取代本地化存储原则,条文明确了个人信息出境申报评估要求、重点评估内容、出境合同内容及权利义务要求等内容。在2021年10月《数据出境安全评估办法(征求意见稿)》中又作出了细化规定。但这些评估办法尚未落地,相关的安全评估工作亦无法展开。
中日两国均以强调个人信息保护的立场限制个人信息的跨境流动,在这一点上两国保持高度一致。但是相较我国,日本早在2003年就制定了《个人信息保护法》,且针对个人信息的跨境流动治理更加体系化。首先,在打造数据流通和共享的环境基础方面,2016年12月,日本在《促进官民数据活用基本法》中,确定了“促进官民数据活用”的基本理念。该法第11条对数据开放进行了规定:“国家和地方政府应当采取必要措施,在不损害个人和法人的权利利益、国家安全的前提下,使国民通过互联网和其他先进的信息通信网络方便地使用其持有的官民数据”,以应对商业活动全球化下大量数据跨境流动的挑战。其次,在个人信息流通机制的构建方面,日本2020年修订的《个人信息保护法》进一步明确了个人信息处理业者向日本境外第三方提供个人数据,在以下两种情况下可以不经过本人同意:第一,向个人信息保护委员会规定的、与日本具有同等个人信息保护制度的“白名单国家”(日本确认的白名单国家必须满足以下五个条件:a)具有达到日本同等保护水平的法律法规;b)设立了与“个人信息保护委员会”同等的独立监管机构,实施必要和适当的监管;c)具有对个人信息利用和个人权益保护的共同理念;d)对个人信息的跨境流动施加的限制不得超越保护个人信息的必要范围;e)能够为日本的产业创新、经济社会蓬勃发展以及实现国民的富裕生活做出贡献。)转移个人数据。例如,2019年日本与欧盟完成了信息保护的充分性互认,只要满足法定条件,日本与欧盟之间的数据转移不需要本人的同意。第二,境外第三方符合个人信息保护委员会规则中规定的以下标准:a)基于信息提供方与接收方之间的合同等,或者信息提供方与接收方属于同一公司集团且有共同适用于双方的内部规章、隐私政策等,具有完善的个人信息保护机制;b)取得了CBPRs体系的认证等。这些具体规定可以视为非经个人信息主体同意而进行跨境流动的“例外条款”,为日本个人信息跨境流动提供多元机制保障,也为境内外企业之间的数据交易活动提供很多空间。再次,为促进个人信息最大程度地流动共享,日本在《个人信息保护法》中做出了关于“匿名化加工信息”和“假名化加工信息”的规定。在一定规则下,无需征得本人同意,就可以进行目的外的利用以及提供给第三方。就“假名化加工信息”而言,由于无法识别出特定个人,個人对此并不享有查询、更正、停止使用等数据请求权,该规定促进对个人信息最大限度地有效利用。最后,日本增设了“个人信息保护委员会”作为个人信息保护的独立监管机构,其监管对象包括行政机关、地方公共团体以及公民个体的数据流通,监管内容包含推进个人信息保护相关的基本方针,监督对个人信息的处理,加强与国外的联系等[11]。个人信息保护委员会于2021年1月颁布了《跨境数据流动指南》,细化向国外第三方提供个人信息的要求,以应对个人信息跨境流动带来的风险。一元监管机制将个人信息处理事业者的监督权限从各领域的主管大臣统一到委员会,消除了重叠监督、主管省厅不明确等问题,为日本跨境数据流动监管提供监管制度保障。
(二)减少产业数据流动的限制
产业数据涉及的政策问题分歧较小,因此更有可能达成多边共识。美国大力主张并倡导产业数据的自由流动以强化本国企业垄断地位,加强其规模经济效应,故没有针对产业数据流通设置限制措施。根据欧盟委员会2018年11月公布的《非个人数据在欧盟区域内自由流通框架规则》,欧盟主张消除各成员国的数据本地化要求,除公共安全需要外,原则上自由。
我国并未在法律规制上指出产业数据应当怎样流通,其重点聚焦于“个人信息”和“重要数据”。我国对企业的跨境数据流动侧重于监管,防范在商业活动中数据跨境流动带来的风险。数据本地化存储仍是跨境数据流动规则制定中不可轻易妥协的课题。例如,我国安装了互联网防火墙以阻止谷歌和推特的扩张,并实施了严格的数据本地化义务以延迟信息向海外的传输;作为进入中国市场的条件,外国公司可能需要交出源代码和加密密钥等。[12]诸如此类的限制要求对产业数据的跨境流动产生极大阻碍,限制了我国企业与境外企业的数据贸易发展。
日本对“个人信息”采取了限制措施的同时,对产业数据采取了原则上自由流动的态度[13]。如何推进与个人无关的产业数据的流通,成为日本整备综合性数据流通环境的关键课题。内阁IT综合战略室从2016年9月开始召开了“完善数据流通环境研讨会”,在研讨会上设立“AI、物联网时代的数据利用工作组”,集中讨论了PDS(Personal data store)、信息银行、数据交易市场等新的数据流通结构,为《促进公私数据灵活使用基本法》第12条规定的“在个人参与下,由各种主体合理使用公私数据”提供数据流通环境支撑[14]。同时,日本积极参与双边、多边跨境数据协定谈判,不遗余力地推动跨境数据自由流动规则的构建,拓宽产业数据的流通途径。日本在亚太地区积极参与由美国主导的跨太平洋伙伴关系协定(Trans-pacific partnership agreement,TPP),并且在美国退出TPP后主导构建全面且先进的跨太平洋伙伴关系协定(CPTPP)。同时,日本积极推动CBPRs体系的建立与发展,通过这一隐私保护认证框架实现经济体间的数据安全流动。针对欧洲地区,日本又通过修订《个人信息保护法》积极对接欧盟的数据保护规则,与欧盟实现充分性双向互认。此外,日本还积极推动打造“美国—欧盟—日本”的跨境数据自由流动框架,试图创建世界上最大的安全数据传输区域。
(三)强化重要数据安全的评估
在对“个人信息”的跨境流动予以严格限制的同时,我国《网络安全法》第37条《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”)也要求对“关键信息基础设施的运营者”(中华人民共和国国务院令第745号 《关键信息基础设施安全保护条例》第2条规定:“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。” )在中国境内运营中所收集和产生的“重要数据”进行本地化管理,严格规定了区域内企业及个人承担数据国内存储义务。“重要数据”是指组织或个人在中国境内收集产生的涉及国家安全、经济发展和公共利益的数据。
自我国《网络安全法》首次在法律层面提出“重要数据”的概念后,国家互联网信息办公室于2017年发布《重要数据识别指南》作为配套性文件,按照行业划分重要数据类型,包含通信、电力、金融等28大类(含“其他”)各个领域的重要数据,涉及的范围较广,规定比较模糊,且最终并未生效。为进一步落实《网络安全法》第37条规定,国家互联网信息办公室在2018年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中提出了建立“网络运营者自行评估+主管部门监管评估”的双层评估结构,扩大数据出境评估范围。2021年颁布的《数据安全法》根据适用主体和数据规模的不同对跨境数据流动制定了安全评估流程《数据安全法》第4条规定:“数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)其他数据处理者出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。” ),并且提出将建立数据分类分级保护制度,制定“重要数据”目录,对数据实行分类分级保护。全国信息安全标准化技术委员会在《信息安全技术 重要数据识别指南(征求意见稿)》中细化识别重要数据的基本原则、识别流程和规范要求重要数据的描述格式等配套规范要求制度,增强其实操性更强。虽然相关制度尚处于征求意见阶段,但中国基于国家安全、网络安全的需求对“重要数据”跨境流动规制打出的一套组合拳,使国际上一些国家,诸如追求数据自由流动的美国、日本等,对中国的数据本地化倾向颇有指摘,认为这将极大程度限制外国企业的海外扩张,加大跨境数据流动的合规成本。例如,在《网络安全法》实施后,Apple做出战略意义上的妥协,宣布在中国境内建立数据中心。此外,基于“在中国运营数据中心必须以中资企业持有多数股份的形式成立合资公司”的规定,Apple中国于2018年1月宣布了将i-Cloud服务在中国的运营转移到中国企业的计划。
反观日本,并未針对“重要数据”作清晰定义。针对重要基础服务设施的重要数据的转移、处理、管理等,日本当局从保密性、完整性和可用性等角度进行应对,内阁网络安全中心对包含信息通讯、金融、航空、铁路等14个重要基础设施领域的数据传输要求进行修订。同时,日本于2019年5月修订了《与确保重要基础设施信息安全有关的安全标准制定指导方针(第5版)》作为切实实施和持续改进必要的信息安全措施时应参考的指导方针。指导方针要求相关部门联合起来,促进实施各重要基础设施领域的安全标准,并将标准渗透到企业,要求其加强自控与风险审查。
三、中国应对跨境数据流动治理的策略
与日本对比,我国对跨境数据流动的治理缺乏具体理念,没有一套与国际接轨的跨境数据流动治理规则,难以在国际跨境数据流动规则制定过程中发挥深刻的、持续性的影响力。从具体的数据分类治理上看,中国的跨境数据流动治理较为保守且相关规则不够健全,评估监管方案仍在制定中,可操作性不强,跨境数据流动缺乏有效监管。针对上述问题,我国应当提炼数据跨境流动理念,实行数据的类型化治理,拓宽数据流动方式,尝试构建独立的跨境数据流动监管委员会,进一步完善治理体系。
(一)提炼跨境数据流动的理念
一直以来,基于网络安全、公共秩序维护、隐私保护、本国产业保护和扶植等目的,我国跨境数据流动规制处于政府的严格监管之下,制定了限制个人信息和重要数据向国外转移、强制要求在国内设置数据服务器、必须在国内进行数据加工要求等多种措施。根据欧洲国际政治与经济中心的报告,中国被认为是世界上对数字交易施加限制最多的国家,数字交易限制指数(DTRI指数)达0.7(俄罗斯排名第2,DTRI指数为0.46;美国排名第22,DRTI指数为0.26;日本排名50,DRTI指数为0.18。详见:ECIPE.Digital Trade Restrictiveness Index [EB/OL]. (2018-04-25)[2022-04-14].
https://ecipe.org/wp-content/uploads/2018/05/DTRI_FINAL.pdf.)。但是,一方面,我国数字经济全球竞争力已位居世界第二,以“本地化存储”为前提设计的跨境数据流动顶层制度未能从推动我国企业全球化发展的战略目标进行考量。另一方面也为我国数字贸易的发展带来了压力,美国、欧盟等国家对我国的“数据本地化”偏好时有指责。
在跨境数据流动体系构建中,我国应当坚持安全与发展并重原则,提炼“保障数据安全,促进数据流动”的跨境数据流动治理理念[15],厘清限制流动的数据范围,同时提升对数据的管控能力。我国可以以该理念指导上海自贸区临港新片区、海南省等地区的跨境数据流动创新试点实践,在各种双边、多边贸易谈判中,推动形成共同认可的数据保护认证、标准合同条款等机制,针对不同国家或地区在数据出境开放与限制程度上实施数据开放的不同承诺,打造多元开放机制,推广跨境数据流动治理的中国方案。
(二)加强数据流动的分类治理
不同类型数据对国家安全、产业发展和个人权益保护的影响存在差异,其所体现的法益不同,应当根据不同类别设立相对应的流动和监管标准,兼顾数据安全和流动性。对“个人信息”而言,我国应当进一步将其细化将其分为一般个人数据、敏感个人数据和关键个人数据。对于一般个人数据和敏感个人数据,在“告知—同意”基础上,健全完善安全评估、认证等跨境流动其他机制,同时可以考虑构建符合标准的匿名化机制体系,允许满足标准的匿名数据流动,而对遗传数据、健康数据等关键个人数据原则上禁止流动[16]。对于“产业数据”而言,数字经济的发展需要以数据自由流动为基础,我国不应对数据流动作过多限制,从而支持我国科技互联网企业向海外拓展业务,加强在国际市场上的竞争力。个人信息和产业数据流动中的“重要数据”可能侵害到国家安全和数据主权,需要予以重点关注。但是目前“重要数据”的范围非常广泛,阻碍了数字经济的正常发展。实践中,多数行业主管部门为便于行业管理更偏向于“一刀切”的做法,未能根据跨境数据流动的具体情形评估风险,做出不同程度的监管要求。据此,我国应当合理确定、引导各相关行业细化“重要数据”列表,及时对外予以公布,以增强规则适用的确定性和可预见性。我国可以考虑在实施风险评估后确定高风险下完全限制出境、中风险下审批后限制出境和低风险下出境后备案等不同的监管方式,对相关主体形成规范性指引。
(三)拓宽跨境数据流动的方式
目前我国跨境数据流动政策主要以数据安全评估为主,在现实中难以适应海量数据的跨境流动需求,因此在坚持跨境数据流动安全底线的前提下,应当尽可能地拓宽跨境数据流动方式。日本在跨境数据流动规则中构建起的“充分性认定”“充分保障措施”等事前同意的豁免事由,值得我国借鉴,具体而言:
第一,建立白名单机制。构建相互认可机制是根据目标国家和地区的数据保护状况所构建的对等措施,有利于以较低的监管协调成本建立数据自由流动的信任基础。目前,欧盟通过白名单机制已与13个国家完成充分性认定,其他国家想要获得欧盟的数据,就必须在法律制度和保护水平上向欧盟靠拢。我国的数据保护政策和法律规范细则尚未完善,不宜贸然与其他国家进行完全充分性互认,但可以通过白名单机制使得低风险数据在目标国家和地区间流动,以减轻企业跨境流动数据的合规负担。同时结合定期评估和临时评估机制,灵活调整白名单。
第二,构建充分性保障措施。充分性保障措施主要包括标准合同条款(标准合同条款,由政府依据数据保护原则主导制定,通过合同来管控数据出境风险。如果数据控制者、数据处理者等主体间采用了标准合同条款,则合同仅需在主管部门备案而无需主管部门批准即可进行数据跨境流动。)、具有约束力的集团企业规则(具有约束力的集团企业规则,如果跨国集团遵循经个人数据监管机构认可的数据处理机制,则该集团内部整体成为一个“安全港”,个人数据可以从集团内的一个成员合法传输给另一个成员,无需经主管部门批准。)、经批准的认证机制等。国家互联网信息办公室已发布了《个人信息出境标准合同规定(征求意见稿)》探索标准合同模式范本,而具有约束力的集团企业规则主要适用于跨国集团企业内部进行数据流动。在我国目前监管机构具体职权尚不明确、数据本地化倾向下,该模式不太符合我国现状。就经批准的认证机制而言,例如CBPRs体系下,从事数据服务的经营者可以自愿向问责代理机构(问责代理机构,属于CBPRs体系设立的特别机构,该机构并非国家公权力机构,而是由具有社会公信力的第三方组成的社会机构。该机构有权依据CBPRs体系的要求对企业相关规定进行审查、受理公民因数据被侵犯而提出的投诉、对违规企业采取适当的惩罚措施。)申请,若该认证申请经审查通过,则企业会被认定具有良好资质,实现在CBPRs体系下数据的无障碍流动。中国作为APEC成员国,可以考虑加入APRC框架下的CBPRs体系,减少我国企业进入亚太地区市场的障碍,降低数据的跨境流动成本和风险。
(四)构建数据流动的监管机构
在目前中国的监管体系中,国家网信办、公安部门、安全部门、中国人民银行、银保监会、工商总局等部门分别享有一定的跨境数据流动监管权力,基本形成了行业归口监管的体系。但是,目前多头监管机制的实施极易造成监管缺失、重叠或者越位等问题。日本设立了个人信息保护委员会作为独立的个人信息监管机构,其主要职责是评估他国个人信息保护机制的完善程度、监督处理个人信息经营者的跨境个人数据传输行为、协助企业进行个人数据保护合规等,在跨境数据流动中起到整合、协调作用。我国可以借鉴日本的成功经验和做法,成立一個专门的独立的跨境数据流动监管委员会,专职负责整合行业要求、细化各类型数据跨境流动规则,促进数据自由、安全、符合规范地跨境流动。
四、结 论
跨境数据流动治理已成为全球数字治理的重要议题,我国对跨境数据流动的治理存在缺乏具体理念指导、数据跨境流动相关规则尚不健全、缺乏有效监管等问题。通过对中日两国跨境数据治理的比较分析发现,我国亟需打造“保障数据安全,促进数据流动”的跨境数据流动治理理念以应对全球治理挑战,积极参与双边和多边国际数字贸易及其规则的谈判,推动更符合全球数字经济发展实际与中国利益的国际规则制定。在不同类别的数据跨境流动上,中国应当结合自身发展实际,借鉴域外经验,针对“个人信息”、“产业数据”和“重要数据”进行类型化治理,拓宽新的数据流通机制,构建独立的跨境数据流动监管委员会,构建起完整的跨境数据流动治理框架,实现数据流动安全与发展的价值平衡。目前,以数字驱动的全球化4.0新时代已拉开帷幕,对跨境数据流动的安全保护,起始于对数据的分类分级。本文在数据分类上有所涉及,在级别考量上存在不足之处,今后针对不同类型的数据进行进一步的细分治理尚有待深入研究。
参考文献:
[1]CSIS. Governing Data in the Asia-Pacific[EB/OL].(2021-04-21)[2022-04-23].https://www.csis.org/analysis/governing-data-asia-pacific.
[2]张光,宋歌.数字经济下的全球规则博弈与中国路径选择: 基于跨境数据流动规制视角[J].学术交流,2022(1):96-113.
[3]阿里巴巴数据安全研究中心.全球数据跨境流动政策与中国战略研究[R/OL].(2019-03)[2022-04-14].http://www.sicsi.net/Upload/ueditor_file/ueditor/20200217/1581933527865681.pdf.
[4]McKinsey Global Institute.中国与世界:理解变化中的经济联系[EB/OL].(2019-07) [2022-04-15].https://www.mckinsey.com/mgi/overview.
[5]国家网信办.数字中国发展报告[R/OL].(2021-07-02) [2022-04-13].http://www.cac.gov.cn/2021-06/28/c_1626464503226700.htm.
[6]杨燕青,吴光豪.参与全球数字经贸规则制定 推动数字经济国际合作[N/OL].(2021-11-26) [2022-04-14].https://epaper.gmw.cn/gmrb/html/2021-11/26/nw.D110000gmrb_20211126_5-12.htm.
[7]IT総合戦略本部.デジタル時代の新たなIT政策大綱より抜粋[R/OL].(2019-06-07)[2022-04-14].https://www.mofa.go.jp/mofaj/files/100167362.pdf.
[8]デロイトトーマツ.欧州?中国を中心とするデータ保護主義の現状と通商ルールの展望[EB/OL].(2019-01-31) [2022-04-15].https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/strategy/cbs/jp-cbs-us-data.pdf.
[9]World Economic Forum. Data free flow with trust (DFFT): paths towards free and trusted data flows[EB/OL].(2020-05)[2022-04-12].https://www.weforum.org/whitepapers/data-free-flow-with-trust-dfft-paths-towards-free-and-trusted-data-flows.
[10]G7 Digital and Technology Ministerial Declaration Annex2.Roadmap for cooperation on data free flow with trust [EB/OL]. (2021-04-28) [2022-04-20]. http://www.g7.utoronto.ca/ict/2021-annex_2-roadmap.html.
[11]陳海彬,王诺亚.日本跨境数据流动治理研究[J].情报理论与实践,2021,44(12):197-204.
[12]ブルッキングス研究所.現実的な対中戦略構築事業 ワーキングペーパー Vol.5日米デジタル同盟に向けて[EB/OL].(2021-11-17) [2022-04-19].https://www.spf.org/iina/articles/mireya-solis_01.html.
[13]森原 康仁.自由な越境移転か,ローカライゼーションか――米中間の構造問題としてのデータをめぐる角逐[J].国際経済,2021(11):1-25.
[14]総務省.情報通信白書 日本と世界のデータ関連制度2018 [R/OL].(2018-12-31)[2022-04-16].https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/n1200000.pdf.
[15]邓灵斌.日本跨境数据流动规制新方案及中国路径:基于“数据安全保障”视角的分析[J].情报资料工作,2022,43(1):52-60.
[16]马其家,李晓楠.论我国数据跨境流动监管规则的构建[J].法治研究,2021(1):91-101.
(责任编辑:秦红嫚)
收稿日期:2022-07-12网络出版日期:2022-12-02
基金项目:浙江省教育厅一般科研项目(Y202045055);国家社会科学基金青年项目(18CFX085)
作者简介:党 玺(1978— ),男,河南南阳人,副教授,博士,主要从事民商法、数据法方面的研究。
① 麦肯锡全球研究院指出,国际贸易和金融资本的快速流动自2008年金融危机以来呈现趋平或下降态势。与此同时,跨境数据流激增,支撑起包括商品、服务、资本、人才等类型的全球化活动。McKinsey Global Institute.Digital globalization: The new era of global flows[EB/OL].(2016-03)[2022-04-10].https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-globalization-the-new-era-of-global-flows.