2013年“棱镜门”事件后,各国对数据安全愈发的重视,纷纷通过立法加强对跨境数据流动的限制以维护本国的数据安全。
2021年7月2日,国家互联网信息办公室网络安全审查办公室对刚刚在美国纽约证券交易所上市的滴滴出行进行安全审查,以防范国家数据安全风险,维护国家安全,保障公共利益。
数据安全治理规则对于数据跨境流动至关重要。 本文在评析典型国家和国际现行的双边和多边跨境数据流动安全治理规则的基础上,分析了中国跨境数据流动安全治理立法现状,并提出了相关建议。
数字贸易是国际经济贸易的重要组成部分,跨境数据流动作为数字贸易的基石,在促进世界经济贸易的发展与合作方面发挥着至关重要的作用。
但是,数据在跨境流动过程中也对数据主体的隐私及国家安全带来了一定的挑战,因此对跨境数据流动进行治理以保证数据安全具有必要性。
在数据跨境自由流动的过程中,对个人数据权利的侵权行为也值得关注。
首先,受到侵犯的可能性更大,侵权行为也更难以发现和追溯;其次,救济更为困难,境内的相关法律不一定能对境外的侵权行为进行管辖,损害发生时要寻求救济更加困难;最后,影响范围更广,有时不仅是数据主体的个人数据权会被侵犯,甚至可能会对该国的公共利益、国家的网络安全等问题造成严重影响。
典型国家跨境数据流动
安全治理实践及评析
俄罗斯和印度:公权力直接介入以保护数据安全
俄罗斯将数据本地化作为基本原则,要求数据回流,通过不断地修法和颁布法令加强对数据流动的管控。
数据本地化法律的实施使俄罗斯快速发展起了大数据市场,并推动跨国企业兴建大量数据中心。
在执法层面,俄罗斯也希望通过数据本地化存储加强政府执法权和对数据的控制力。
印度政府极力主张数据主权,并以公权力直接介入的方式对跨境数据流动进行规制,提出了数据本地化存储的强制性要求。
印度在跨境数据流动治理时采取了反对跨境数据自由流动的态度,主张实施数据本地化和跨境数据流动限制性措施,近年来颁布了一系列法律法规构成了其跨境数据流动治理体系。
在实践中,印度则更是将数据本地化措施一以贯之。
俄罗斯和印度政府对数据跨境都施加了强有力的限制性措施以保障本国的数据安全,但仅通过将数据限制在本国境内的方式保证数据安全并非万全之策也不具有经济效益。
从数据安全的角度看,适当程度的数据本地化措施可以在一定程度上降低跨境数据流动带来的数据安全风险,但通过国际合作完善数据跨境流动的安全保护措施才是符合数字贸易发展的长久之计。
此外,数据安全或是国家安全存在着被滥用的可能,在重视数据安全的同时也应当防止该理由被不合理地滥用构成贸易保护主义。
欧盟:通过内化于私权的方式间接保护数据安全
欧盟向在进行跨境数据流动治理时,采取了将主权内化于私权的方式间接保护个人数据安全,已通过《通用数据保护条例》(GDPR)构建了严格的个人数据保护法律框架,并在此框架下力图推进数据的跨境流动,达成二者之间的平衡。
欧盟在试图统一欧洲的数据保护规则、推进数字单一市场的同时,连续发布了3份文件,集中提出了“技术主权”观念,在技术、规则和价值方面扩大了数据主权的外延,试图将欧盟对网络空间的控制力和主导权从规则制定领域进一步覆盖到网络关键技术和基础设施领域。
完善的规则有利于提升国际影响力并在相关领域的国际协调与合作中争夺话语权,中国更应该加快跨境数据流动安全治理的步伐,完善相应的法律法规,提高治理水平以应对国际挑战。
美国:系统的数据安全审查机制及扩张的域外数据管辖权(长臂管辖)
在跨境数据流动治理领域,美国一向崇尚利用其互联网科技的优势地位推动跨境数据的自由流动。
但实际上,美国仍然规定了一些限制性措施以保证公民敏感个人数据、重要数据及美国的国家安全。
美国通过一系列法规构建了其跨境数据流动安全治理的法律基础,在促进跨境数据自由流动的同时达到保障数据安全的目标。
但在实践过程中,种种行为却与促进跨境数据自由流动的主张相悖,呈现出贸易保护主义的倾向。
与印度相似,美国也存在出于政治目的而滥用国家安全、滥用跨境数据流动限制法规,打击他国投资者合法的对外投资的行为。
美国在治理中值得一提的实践还包括通过“长臂管辖”扩大了国内法域外适用的范围,以满足新形势下跨境调取数据的执法需要。
相关规定加剧了当前国家间与数据有关的司法主权冲突,美国单边主义及霸权主义的倾向昭然若揭。
美方依据其长臂管辖权侵害他国司法主权,枉顾国际合作,中国应当采取措施阻断美国的长臂管辖权,保护中国企业的合法权益。
日本:高标准数据安全保护与自由流动机制的结合探索
日本同时与欧盟、亚太经济合作组织(APEC)等机制对接,积极推动跨境数据自由流动规则构建。
国内立法形式上参考欧盟,但通过更弹性化的解释推动数据跨境自由流动。
立法形式上虽然参考欧盟,但日本在其基础上给予规则更大的解释空间,为数据跨境转移提供制度基础。
数据跨境流动安全治理
双边和多边制度
数据跨境流动安全治理双边协定——以欧盟与美国之间的双边协定为代表
2000年,美国商务部与欧盟委员会达成了《美欧安全港协议》,但由于不能充分保证欧盟个人隐私安全后,该协议被欧盟法院裁定无效。
后来,双方经紧急磋商达成了《欧美隐私盾协议》,成为规制双方数据跨境流动的新方案。
《欧美隐私盾协议》实则是《欧美安全港协议》的升级版,两者都旨在确保数据安全的情况下便利个人数据在两地间的自由流动。
然而同样因为个人数据安全问题无法在该协议下得到保障而无效。
数据跨境流动安全治理多边合作机制
1
欧盟主导的数据跨境流动多边公约,着力保障数据跨境流动中的隐私安全
欧盟理事会各成员国签署的108号公约,作为历史上首个在数据保护方面对跨境数据流动进行规定,具有法律约束力的国际条约,且该公约向全球开放,后将108号公约发展成为“向所有为个人数据提供所要求的保护的国家开放的全球数据隐私条约也正在进行当中。”
2
在多边贸易谈判中引入数据跨境自由流动条款,安全条款作为例外条款
就目前的情况而言,在世界贸易组织(WTO)框架下达成一个多边的数据流动协议是比较困难。
近年来,美国、日本、新加坡等国向WTO多次提交了推动电子商务谈判的提案,提出了禁止限制数据跨境流动的主张;以中国为代表的发展中国家以及欠发达国家,主张建立基于货物流动为主的跨境电子商务规则;而自身电信与互联网等基础设施较差的国家,反对将数字贸易及跨境电子商务议题纳入多边贸易框架下讨论。
美洲地区,新近达成的《美加墨协定》(USMCA)作为《北美自由贸易协定》的更新,表明特朗普政府在数据隐私保护和跨境流动方面的立场。
在亚洲和太平洋地区,东盟十国以及中国、日本、韩国、澳大利亚、新西兰和印度等正在谈判的扩展性贸易协定,即《区域全面经济伙伴关系协定》(RCEP),有望建立一个统一的数据隐私规则。
与此同时,该区域一些国家也在谈判《全面与进步跨太平洋伙伴关系协定》(CPTPP)。
中国跨境数据流动安全
治理立法现状及建议
跨境数据安全治理立法现状:立法分散
中国在跨境数据流动治理领域起步较晚,但近年来随着中国互联网产业的迅速发展和数据跨境传输需求的增加,政府已经开始关注数据跨境流动问题,加大了相关领域的立法工作。
但与跨境数据流动相关的规定仍然是少之又少,专门统一、可操作性强的法规也处于缺位状态。
2021年6月,《数据安全法》出台,该法从多方面规定了数据安全前提下的跨境数据流动规则,构建了基础的法律框架。
2021年8月出台的《个人信息保护法》对个人数据跨境流动的规则做出了较为具体的规定。
当前立法体制存在的不足
从产业能力的角度来说,中国数字经济发展仅次于美国,领先于欧洲和其他国家,但是中国在此前的数据跨境流动政策上总体趋向保守,立法滞后,与中国目前位居第二的数字经济产业能力并不完全相符。
第一,无论是《个人信息出境安全评估办法》,还是《网络安全法》和《数据安全法》,都存在原则性规定过多的问题,就个人数据安全的法律保护而言,不具有针对性。在具体的立法技术层面,规范相对不够充分。
第二,相关规定过于宽泛,操作上具有困难。尽管《数据安全法》及在试点方案中均提到数据分类的重要性,但仍未出台细化的规则。另外,第24条的数据安全审查制度,会增加时间成本、削弱数据流动产生的经济价值,同时如果规则规定不够详细,会带来实际操作上的困难,适用的随意性会彻底成为跨境数据流动的阻碍。
第三,数据安全配套法规并不完善。近来滴滴上市引发的数据安全问题就是个例证。
第四,应对长臂管辖的反制措施有待进一步细化。《数据安全法》第36条对长臂管辖规定了阻断措施,但对于当事人而言,不提供证据的,可能会在境外诉讼败诉;若提供证据,则可能违反《数据安全法》。如何解决这种法律冲突,还需要将来法律和司法实践进一步明确。
第五,未能有效地参与双边和多边数据跨境规则制定,增加了跨国企业的合规负担。中国在数据跨境流动方面态度整体相对保守,不仅导致国际规则制定方面缺乏中国声音,另外也影响了中国企业走出去。
完善中国跨境数据流动安全治理的建议
中国作为数字经济的积极参与者,需要借鉴别国经验,进行制度建设,以有效平衡数据流动与安全利益。
1
出台细则、完善多元化的数据安全治理模式,保护个人数据跨境流动安全
从国外来看,数据跨境流动的安全管理可以根据不同情形建立多元化的管理手段。
中国应该提供更多细化的规则,为企业跨境传输数据提供安全有保障的可行路径。
2
制定跨境数据流动分级、分类的监管体系
中国应对重要数据和个人数据实施分级管理,分类监管。
建议规定详细的数据分类管理制度,在提高数据保护水平的基础上对跨境流动数据进行分类,针对不同类型的数据采取不同的管理方法。
对于涉及国家秘密等极其重要的数据,可以采取类似负面清单的模式,明确列出只能在境内的数据中心存储和处理,禁止跨境传输;对于有可能影响国家安全、社会公共利益的数据传输采取严格的控制,需要报请行业主管部门进行评估,评估后做出是否准许出境的决定;对于非敏感、非大量的数据跨境传输则采取自我评估为主的方式。
与此同时,对不同类型的企业和不同出境事由进行差异化监管。
3
在总体安全观下,完善跨境数据安全配套立法体系
应在外商投资企业安全审查、出口管制法、网络安全法等方面予以体系化综合考量,可以借鉴美国的灵活立法模式,针对特定的新问题予以立法回应,以保护个人数据的跨境安全。
4
发展完善数据领域的阻断法,积极应对他国的长臂管辖
可以通过编撰相关国家涉及长臂管辖的法律附录,明确出于各种目的的长臂管辖并否认相关条款的域外效力。
数据处理者应当向国家主管机关报告获得审批后才需遵守他国的相关要求。
此外,他国行使长臂管辖权时不仅会导致国家间法律适用和管辖权的冲突,也会给相关主体带来损害,在阻断他国长臂管辖的同时亦应规定企业相应的救济途径,以免加重企业的责任负担。
5
积极参与国际治理规则的制定,为推进全球数字治理贡献中国智慧
中国可以在与欧盟等国家或地区的国际磋商或政治谈判中更多地涉及数据流动的相关问题,在寻求双方对数据安全问题共识的基础上,探索两地间数据跨境流动的方案,为彼此提供多样化、合法有效的数据跨境流动渠道。
同时也可以借助区域谈判寻求建立符合中国利益的跨境数据流动规则,通过区域性的数据流动协议解决数据流动的问题。
在多边层面,通过国际协调借助WTO平台构建跨境数据流动国际规则,促进数据在全球范围内安全而自由流动也是数字贸易高速发展背景下的要求。中国应积极主张在国际贸易协定中嵌入安全条款,从而维护数据安全。
结论
安全与发展的平衡应当是跨境数据流动治理需追寻的目标,只有兼顾安全与发展的治理才能在保障本国国家安全的同时适应数字贸易时代的要求。
中国在借鉴他国可取经验完善域内的跨境数据流动安全治理时,也应避免他国与中国国情不符的实践,同时还需采取相应措施防止他国治理侵犯中国国家主权。
除了国内层面对跨境数据流动安全治理的完善,在国际层面应充分利用自身在跨境电子商务领域的优势进行双多边的国际合作,在大国互信的基础上构建公正的数据安全流动全球规则。
作者简介:董京波,中国政法大学国际法学院,副教授,研究方向为国际经济法、知识产权法、大数据与人工智能法等。
论文全文发表于《科技导报》2021年第21期,原标题为《跨境数据流动安全治理》,本文有删减,欢迎订阅查看。
内容为【科技导报】公众号原创,欢迎转载
白名单回复后台「转载」
《科技导报》创刊于1980年,中国科协学术会刊,主要刊登科学前沿和技术热点领域突破性的成果报道、权威性的科学评论、引领性的高端综述,发表促进经济社会发展、完善科技管理、优化科研环境、培育科学文化、促进科技创新和科技成果转化的决策咨询建议。常设栏目有院士卷首语、智库观点、科技评论、热点专题、综述、论文、学术聚焦、科学人文等。