引言
在当前网络空间治理政策中,没有哪类议题能够像数据跨境流动一样,包含如此之复杂的讨论面向:数据主权、隐私保护、法律适用与管辖、乃至国际贸易规则。特别是在 2013 年 斯诺登事件后,随着安全担忧情绪的蔓延,各国政府引入了形式多样的本地化要求,更增加了人们对数据跨境流动政策的困惑与误解。
本文通过对美国、欧盟等最具有代表性的数据跨境流动政策的详细对比,提炼共性与差异,以澄清有关该政策的基本认知。并基于欧盟制度改革中对数据跨境流动政策的反思,提出相关政策完善建议。
此外,基于中、美、欧对全球网络空间治理规则的影响力,本文分析了全球数据跨境流动政策的基本走向,以及其对数字经济全球化运营可能带来的深度影响,并面向企业提出相关建议。
对于身处复杂政策框架下的企业来说,不仅需关注不同规制要求,积极寻求多样化合规渠道,更需从长远建立全球化与本土化相结合的竞争战略。
关于讨论前提的两点澄清
数据跨境流动政策与数据本地化措施的关系:本地化并不意味着绝对禁止数据跨境流动
数据跨境流动政策是指一国(或地区)政 府针对数据通过信息网络跨越边境的传输、处理活动所采取的基本立场以及配套管理措施的集合。尽管互联网信息网络对数据的传输边际成本极低,互联网基础协议能够确定网络任意两点之间传输数据包的最快路径,也并不以地 理边境为界,但各国出于隐私、安全等考虑,对从技术上完全可实现的“数据自由流动”现象从政策层面作出不同程度的干预。
“数据跨境流动政策”这一表述本身是中 性且广义的,它包含了从开放到保守不同立场 倾向的政策类型。同时,它既可以针对数据流 出境内的场景(如欧盟对于个人数据转移到欧 盟以外的管理框架);也可以适用于数据流入 境内的场景(如出于保护公共利益需要,对于 儿童色情、侵害知识产权等数据,采取措施禁 止本国居民通过网络访问获得)。
相比之下,数据本地化措施从概念本身则 狭义许多。它是指:出于本国公民隐私保护、国家数据安全,以及执法便利等目的,要求数 据在境内存储、处理的管理要求集合。当然,数据本地化措施也可以包含宽严程度不同的类 型,通常有:(1)仅要求在当地有数据备份,而并不对跨境提供作出过多限制,(2)数据留存在当地,且对跨境提供有限制;(3)要求特定类型的数据留存在境内;(4)数据留存在境内的自有设施上,等等。
因此, 尽管“数据本地化”措施正在成为 当前全球网络空间治理中的一股潮流,但它仍 然仅代表了数据跨境流动政策的一种方向。而 且鉴于“数据本地化”政策的丰富类型,本地 化并不意味着绝对禁止数据的跨境流动,有相当部分的数据本地化政策仍然给出了很多例外。
数据跨境流动政策适用的数据类型:主要围绕个人数据
关于数据跨境流动政策的讨论最早始于个 人数据保护法律领域。个人数据保护的国际纲 领性文件——1980 年经合组织《关于保护隐私 和个人数据跨境流动指南》,内容主要分为“国 内适用的基本原则”及“国际间适用的基本原 则”。后者解决的即是个人数据跨境流动问题 。 进入“后斯诺登”时代,新一轮的数据跨境流 动政策对数据类型有所扩展。但从各国政策的 总体观察而看,政策对象仍以个人数据为主 , 在有限的案例中扩展至其他数据1 。 国内关于数据跨境流动政策的部分研究文献将政府数据纳入,并基于政府数据类型,提 出相应的跨境流动管理策略。此类认知需予以 澄清。实际上政府数据中涉及国家秘密乃至安全的部分,在属性上已经提出了更高保密性要求,禁止跨境流动本就是应有之义;不涉及国 家秘密的部分,如果具备公开属性,则应纳入 政府数据开放调整范围,也不牵涉跨境数据管 理问题。而归根结底,政府数据无论是否具有 保密属性,都具有在本地存储的天然特点,绝 大部分也不具有跨境流动的商业化需求。因此, 在数据跨境政策讨论中,提出政府数据类别, 对于认知数据跨境流动政策并无特别意义。
综上,本文聚焦于各国针对经贸往来中, 基于商业目的的数据跨境流动政策分析。
美欧数字跨境政策发展概况及差异
数据跨境流动是经济全球化与数字化的伴 生物。美、欧基于各自政治、经济、法律传统 等因素考量,在不同的历史背景下,发展出特 色鲜明的数据跨境流动政策。
美国数据跨境流动政策主要由贸易利益驱动
美国在克林顿政府时期,就已形成对数据跨境流动问题的初步策略。1997 年《全球电子 商务框架》提出:“只有当个人隐私和信息自 由流动带来的利益取得平衡时,全球信息基础 设施才可能兴旺起来。美国支持为用户提供恰 当的隐私保护,以提升用户使用互联网服务的信心,但各国在公民隐私保护方面迥然不同的 政策,有可能会形成非关税贸易壁垒。”
对此,美国采取以下策略:(1)依据个人 隐私保护基本原则会同其主要贸易伙伴推进符 合市场需求的个人隐私政策。(2)继续与欧盟 进行对话讨论以解决数据流动问题;(3)通过双、 多边讨论以及地区性论坛,就跨境流动问题展 开对话。
二十年来,美国在以上三方面取得不同进 展。首先,尽管与欧盟在个人数据保护路径上 存在明显分歧,2015 年欧洲法院甚至废除了美 欧执行已逾 15 年的欧美安全港,但不可否认的 是,二者之间的政策分歧从未实质性影响跨大 西洋数据流动。直至 2016 年新隐私盾协议的达成, 也仍旧为欧美实现数据流动提供了积极机制 , 目前包括 Google 、Facebook, 微软等 2500 家美国 公司的跨境数据传输仍依赖于该机制;其次, 双、多边贸易协议已成为美国推进其数据流动 政策的主要渠道。2012 年《美 - 韩自由贸易协 定》,第一次在贸易协定电子商务章节中规定了跨境数据流动规则。TPP 谈判尽管美国已退 出 ,但由其提出的跨境数据流动规则已成为不 少国际协定电子商务章节的范本;此外,美国 通过亚太合作组织(APEC),积极推进《APEC 跨境隐私规则体系》(CBPRs),该体系倡导数 据治理规则的实用性,对于通过 CBPR 认证的企 业,被认为满足了隐私保护要求,可以在 APEC 区域内实现自由的跨境数据传输。
欧盟在人权项下考虑数据跨境流动政策
与美国将数据跨境政策与贸易政策深度捆 绑不同,欧盟更多是从个人权利保护项下考虑 数据流动。欧盟 1995 年《关于个人数据处理保 护与自由流动指令》规定:欧盟公民的个人数 据只能向那些与欧盟数据保护水平相同的国家 或地区流动。如果数据接收国的法律水平没有 达到欧盟委员会认可的标准,有两种替代方式 也可实现转移:一类是例外场景,如取得了数 据主体的明确同意,或该转移是为了履行与数 据主体之间的协议所必需等;另一类是企业能 够证明已采取了充分的保障措施情形。
此外,欧盟也通过在全球积极推广其个人 数据保护制度,不断扩展可以实现数据自由流 动的地区。1981 年,欧洲理事会各成员国签署 欧洲《有关个人数据自动化处理之个人保护公 约》(欧洲第 108 号公约)。加入公约,意味着要建立与欧盟相似的个人数据保护立法,将 被视为满足欧盟跨境数据流动 “充分性保护” 标准的重要参考。特别自 2010 年以来,欧盟加 速推进公约的全球化进程,目前已有 46 个国家 加入公约。
与美欧相比,中国、巴西等国家更多从维 护网络安全和数据主权为目的出发,制定跨境 数据流动政策。包括中国、越南、巴西等在内 的发展中国家,也包括澳大利亚、加拿大等发 达国家在不同程度均提出了数据本地化措施。 此类措施对服务贸易全球化可能带来消极影 响,但却能在一定程度上保障国家信息安全, 特别是从执法层面,为国家行使司法主权提供依托。
美欧数据跨境流动政策的具体实施机制有较大差异
美国的数据跨境政策也体现出较强的实用 灵活性;欧盟政策围绕公民权利而展开,但具体实施机制仍在完善之中。
美国
美国在国际上推行宽松的数据跨境流动政 策,首先需要本国示范。因此在美国一般立法中 , 难以观察到禁止或者限制数据跨境流动的明确要求。但在一些特定案例中,美国也留有了一 定的政策回转空间。例如:美国针对外国投资 安全审查中,可以与外国投资者签订安全协议, 而安全协议可能包括相关的数据本地化要求。 关于数据本地化要求的执行落地,也通常会由 CIFUS 指定的特定政府部门来负责监督执行。
欧盟
欧盟数据跨境转移政策主要体现在个人数 据保护制度中,相应地,其实施机制也依附于个人数据保护执法体系。如上述,数据控制者实施个人数据跨境流动活动时,有三种合法方式: (1)数据传输至“充分性认定”地区;(2) 例外场景(包括用户同意,或者执行合同需要 等);(3)充分保障措施。考虑到“例外情形” 可适用场景少,并不能够为日常化、规模化的 数据跨境转移提供稳定的合法性基础,以下主要介绍“充分性认定机制”和“充分保障措施” 机制。
“充分性认定”是一个白名单机制。欧盟 委员会负责根据第三国的个人信息保护立法状 况、执法能力,以及是否存在有效的救济机制 等因素,做出综合评估。截止到目前为止,仅有阿根廷、加拿大等不超过 20 个国家或地区通 过了欧委会认定。此外,对于美国这一重要的 贸易伙伴,欧盟还发展出“安全港框架”,以便针对性的解决与美国之间的数据流动问题。
充分保障措施主要体现为“标准合同文本 ” 机 制(Standard Clauses Contract,SCC) 和 “有约束力公司规则”机制(Binding Corporate Rule,BCR)。对于前者,截止到目前,欧委会 已经形成了三个合同范本,分别适用于“数据 控制者到数据控制者之间的转移”、“数据控 制者到数据处理者之间的转移”。此类合同 范本通过规定数据输出方和数据接收方基于合 同的数据保护责任,来间接提供对个人的保 护机制;对于后者——“有约束力的公司规则” 则是集团型跨国企业可优先考虑的机制,集团 遵循一套完整的,经个人数据监管机构认可的数据处理机制,则该集团内部整体成为一个“安全港”,个人数据可以从集团内的一个成员合法传输给另一个成员。目前,包括埃森哲、宝马汽车、惠普、摩托罗拉等 72 家跨国公司获得了欧盟 BCR 认可。
由于通过充分性认定的国家总是少数,因此充分保障措施机制是欧盟各国数据保护机构在跨境数据流动管理中最为主要的抓手。
数据跨境政策面临的共性问题及对中国的参考建议
尽管在政策目标上具有明显差异,但美欧在数据跨境流动政策中也面临最为基础的共性问题——如何在全球化的数字经济中有效达成数据跨境流动监管目标?特别是在数据跨境流 动成为普遍趋势的背景下,对数据跨境活动的干预愈深,这一问题带来的挑战就愈大。
美国凭借其在技术、产业优势以及灵活的 监管制度优势,在数据跨境伴生而来的隐私保护、数据安全问题并无特别担忧,因此仅建立了个案式的、事后监管机制,此类机制最大程 度地避免了对数据跨境流动的干预,同时也能 有效赢得美贸易利益和安全利益的双赢。美国 面临的困境是在全球推行数据自由流动时,难以提出对“数据本地化”进行限制的合理标准, 毕竟国际贸易规则中将安全和公共利益作为了基本例外。
而对于中欧来说,对安全和隐私的担忧却 是真实存在着的,因此二者也相应地建立了普 适性的数据跨境流动管理机制。由于中国仍 处于制度建设期,尚无法观察其实践效果,但 实施有二十余年的欧盟数据跨境转移管理机制 则较为全面地呈现了其所面临的实际困境。
欧盟数据跨境流动政策的困境与改良
欧盟 2012 年启动个人数据保护立法改革时, 曾全面梳理了现有的个人数据保护制度呈现出 的种种缺陷。其中最为突出的问题即是:日益 增长的全球数据流动与现有监管制度之间的不 适应。几乎所有的欧盟企业都涉及到向欧盟境 外传输数据,然而 1995 指令中关于跨境流动的 规则早已难以适应数据国际流动 。
正如批评意见认为:欧盟对个人信息的跨 境转移设置严格条件类似于虚幻假象,因为它 假象欧盟的标准能覆盖到除欧盟以外的全球各 处,但实际情形并非如此 。的确,欧盟跨境数据转移管理的三类方式均已捉襟见肘。因此, 欧盟即将生效的个人数据保护新法规——《通用数据保护条例》(General Data Protection Rules, GDPR)对跨境数据流动政策进行了大幅优化改 革,特别着力于提升政策的灵活度:
(1)明确禁止各成员国不得以许可方式管理跨境数据流动。多年的实践表明,欧盟各成 员国对跨境流动采取的许可管理方式并没有实 质性的提升个人信息出境的保护水平,相反, 事前许可制度却带来官僚主义问题。因此,2016 年《数据保护通用条例》重点简化了数据跨境 传输机制,明确禁止了许可管理做法,只要符合了《条例》中跨境数据流动的合法条件,则成员国不得再通过许可方式予以限制。
(2)增加了充分性认定的对象类型。除了 对国家可以作出评估外,还可以对一国内的特 定地区、行业领域以及国际组织的保护水平作 出评估判断,以进一步扩展通过“充分性”决 定(adequate decision)覆盖的地区。
(3) 扩展“标准合同条款”,除了保留目 前已生效的 3 个标准合同范文。《条例》增加 了成员国数据监管机构可以指定其他标准合同 条款的渠道,以为企业提供更多的,符合实际 需求的跨境转移合同文本选择。
(4) 发挥行业协会等第三方监督与市场自 律作用。条例规定数据控制者可以成立协会并提 出所遵守的详细行为准则(codes of conduct)。 该行为准则经由成员国监管机构或者欧盟数据 保护委员认可后,可通过有约束力的承诺方式 生效。此外,经认可的市场认证标志也可以作 为数据跨境转移的合法机制。
欧盟经验对中国的参考意义
中国数据跨境流动政策发展概况
2016 年 11 月出台的《网络安全法》首次以 国家法律形式明确了中国数据跨境流动基本政 策。其中第三十七条规定:关键信息基础设施 的运营者在中华人民共和国境内运营中收集和 产生的个人信息和重要数据应当在境内存储。 因业务需要,确需向境外提供的,应当按照国 家网信部门会同国务院有关部门制定的办法进 行安全评估;法律、行政法规另有规定的,依照其规定。
中国数据跨境流动政策更多是在斯诺登事件 后,基于国家网络安全视角而提出。但实际上这 种政策视角在 2013 年前已显露雏形。如 2011 年 中国人民银行发布的《关于银行业金融机构做 好个人金融信息保护工作的通知》已要求个人 金融信息的储存、处理和分析应当在中国境内 进行;2013 年《征信业管理条例》规定征信机 构对在中国境内采集的信息的整理、保存和加 工,应当在中国境内进行;此后,处于数据安 全目的,本地化要求进一步被写入网络监管立 法中,除《网络安全法》外,包括:2014 年国 家卫计委颁布《人口健康信息管理办法(试行)》、 2015 年《地图管理条例》、2016 年《网络出版 服务管理规定》、2016 年《网络预约出租汽车 经营服务管理暂行办法》等都不同程度提出了 数据本地化要求。正在制定中的《个人信息和 重要数据出境安全评估办法》及其配套的标准 指南也将全面搭建起数据出境管理框架。
中欧均对日益增长的数据跨境流动采取干 预措施,欧盟所积累的政策经验与教训对中国而言具有重要参考价值。特别与欧盟相比,中国对数据跨境流动活动的干预似乎更深更直接, 更需要深度考量如何采取科学有效机制,以有 效平衡数据流动与安全利益。
其一,“许可”等事前监管机制已被证明 固有的局限性。一方面,它与全球化数字经济 的发展趋势极不适应。数据的跨境流动并不是 遵循特定路径,而是通过多种方式、多种渠道, 例如 E-mail、即时通信、提供数据库访问权限, 或者是通过内部网络进行交换。传统的许可管 理方式与此格格不入。事前建立一刀切的许可门槛,并不有助于监管目标的实现,而往往只 是增加形式上的行政负担。当然,在国内此前 公布的数据出境文件征求意见稿中,监管机构 也已然关注到了这一问题,引入了企业自评估 机制,并体现出将政府评估作为事中、事后监 管的思路。
其二, 要为“合理有序的数据流动”提供 尽可能丰富的合法渠道。欧盟数据跨境政策的 改革方向表明,如果不能提供多样化的有效合 法跨境渠道,则无法向市场传达政策方向,从 而能够引导企业通过可预期的稳定机制在实现 自身的数据跨境需求时,同时实现监管者设定 的用户隐私、数据安全目标。这也是欧盟在对 数据跨境流动机制进行改革时,重点落脚于增 加有效渠道的根本原因。
中国可借鉴的有益做法
我国目前初步建立的数据跨境流动政策, 如将数据出境安全评估作为单一合规机制,在 现实中恐难以适应海量数据跨境管理需求。建 议参考欧盟及其他国家经验,设立符合我国国情需要的多样化合法流动机制,例如: (1)建立白名单机制。根据个人信息保护 状况及对等措施,将部分地区纳入可自由流动 的国家与地区1。考虑到短期内各国无法形成相 互协调的数据流动政策体系,因此,数据跨境 流动政策将深度嵌入双、多边的贸易投资谈判。 在国与国之间、区域与区域之间体现出多样性、灵活性,形成不同解决方案。如我国近邻日本、 韩国,已分别启动与美欧的数据跨境流动双边谈判 , 预计在 2018 年之前,日韩将分别与欧洲 达成充分性保护互认协议,同时,由于日韩均 已加入美国主导的 APEC 跨境数据流动 CBPR 机 制,日韩与美国的数据流动也具备顺畅渠道。 预计此类区域性的数据流动协议在未来将成为 解决数据流动的主要途径之一。
(2)根据安全评估的主要标准,建立指引 性的数据跨境流动协议范本,类似于欧盟标准 合同范本,引导企业在数据出境中,通过合同 法律机制来管控数据出境风险。
(3)鼓励行业协会及其他自律组织参与安 全评估。作为市场机制补充,在安全评估中发 挥作用,从而建立可落地实施,具有活力的数 据管理秩序。
(4)对不同性质的数据采取分类管理方法。 不仅区分个人数据、重要数据,形成对应的跨 境流动管理策略,也可进一步在管理实践中, 根据数据的安全属性进行梯度性管理。
综上,在信息通信技术与经济全球化深度耦合背景下,应当承认:数据的跨境流动是绝 对的,而对数据流动的限制是相对的。后者是 手段,前者是目标。正如在数据出境安全评估 指南制定过程中,有关专家指出:安全评估的 实质是服务于数据出境,是在保障安全的前提 下促进数据的跨境流动。总之,合理的数据跨 境流动政策应该秉承适度性原则或必要性原则, 在贸易、发展与安全利益的相互权衡之下,寻求最大公约数。
复杂的数据流动政策对跨境业务的影响
基于中美欧政策之间的巨大鸿沟,在全球 范围内形成协调一致的跨境数据流动政策还很 遥远。除了“数据自由流动”与“数据本地化” 之间的冲突,欧美中数据流动机制的具体差异, 也决定了在未来一定时期,涉及数据跨境流动 的企业需要面临复杂的政策环境,这不仅直接 关系业务合规,而且也对成本负担、技术架构乃至战略布局带来深度影响。
首先,包括本地化在内的各类数据跨境流 动政策,对依赖全球数据聚合的业务带来影响。 包括传统的业务类型,例如:金融行业,跨国 银行集团需要建立集中化的数据处理中心;跨 境物流行业,集团通过汇聚全球数据来高效调 配物流资源。此类业务的数据集中都将面临挑战。换言之,物联网、云计算、大数据应用在 技术上完全可实现全球数据资源的汇集、并通 过对数据的加工分析,创造出新的经济价值,而全球割裂的数据跨境流动政策将直接影响着 此类业务的效率,甚至是业务模式本身能否持 续开展。
其次,相比于大型企业,中小企业受到的 冲击更大。大型企业往往在数据中心部署方面 更具优势,可以利用充沛资源和技术方案实现 合规要求,而处于发展起步阶段的中小企业,在跨境业务中部署数据本地化方案将不是一个轻松 的决定,这在一定程度上反映了数据本地化政策带来的市场竞争效应,其政策门槛削弱了中小企 业对跨境业务的参与度和市场创新能力。
再次,“数据本地化”政策对没有本地化 需求的跨境业务带来负担。尽管在信息通信服 务领域,“靠近用户”会驱动服务商将数据中心建立在本地,提升数据传输速率,为用户带 来更好服务体验。但不容否认,仍有大量业务 场景并不需要考虑这一因素,反而更关切因为数据本地化带来的负担成本。例如:面向境外用户提供旅行产品订购的网站,在初创期可能 并不需要考虑在服务本地部署数据中心;又或 者一些数据容灾备份的安全服务,对数据传输响应速度并无特殊需求,也往往并不需要将数 据部署在本地。
数据跨境流动合规建议
当前,不仅金融、电信、互联网等跨境服 务离不开数据跨境传输支撑,包括制造业、医 疗健康乃至农业生产等更多传统产业也产生了 大量的数据跨境需求。例如:飞机制造商波音 公司通过其遍布全球的飞机和航线服务,建立 了全面的数据收集系统,用于发现和诊断问题航班。我国重型机械生产制造企业三一重工也 通过对装备运行信息的实时采集,提供远程跨 境诊断服务。涉及数据跨境流动企业需要建立 完善的合规体系,为业务提供法律基础保障。
关注本地数据跨境流动政策目的及严苛程度
各国数据跨境流动政策目标决定了其严格 程度和具体要求上的差别。例如以数据主权和 网络安全为驱动的数据跨境政策,在跨境管理 上会趋向于严苛,不仅要求在本地存储,也对 向境外提供采取了严格限制措施,涉及的数据 范围也更为广泛,对企业运营带来更深度影响, 需深入到业务场景和技术实现方式中提出合规 方案;而以保护公民个人信息为目标的政策, 会留有更多的例外空间和合法转移渠道,且仅 涉及个人数据,企业可根据自身需求,选择适 合的合规途径。
积极寻求多样化合规渠道
对于我国企业来说,面临两类基本的数据 跨境合规问题,一类是从我国收集运营的数据 向境外传输、提供问题;另一类是开展跨境服 务的我国企业在其他海外市场所面临的当地数 据出境政策。
对于第一类问题,由于我国目前根据《网 络安全法》第三十七条来制定相关配套办法标 准,将初步建立较为严格的数据流动管理制度, 企业应根据要求建立完善的出境数据档案及安 全自评估制度,以备相关主管部门实施监督检 查。除了少数例外情况,数据出境的合法路径 主要依赖于企业的安全自评估和主管部门评估。
而有越来越多的出海企业将面临第二类问题。首先,在欧盟市场,由于我国的个人信息 据中心,作为“数据港”,以尽可能降低数据保护水平与欧盟尚存较大差距,并不满足欧盟 跨境传输成本和合规风险。此外,在欧盟市“充分性”认定标准,欧盟成员国往往会对传 输至我国境内的个人数据活动作出限制。在此 背景下,我国企业要根据欧盟法律要求,积极 寻求数据跨境转移的合法性基础。其中:
在欧盟新的数据保护立法 GDPR 在 2018 年 5 月生效之前,中国企业可以利用的合法传输机 制仍然相当有限。例如:“标准合同文本”和 “有约束力公司规则”仍很难为中国企业所利用。相比较而言,作为中国企业的竞争对手—— 美国企业(特别是中小企业)则可以利用“美 欧隐私盾”更方便的实现数据合法转移,而日 韩企业也有望在 2018 年后通过政府与欧盟达成 的充分性保护互认协议实现高效的转移数据。
若采取例外情形中的“用户同意”模式, 则要满足欧盟对“同意”的高标准要求,包括 向用户充分说明跨境传输的相关信息,例如: 传输的目的国,目的国的个人信息保护水平以 及用户可能面临的风险,并确保用户的同意是 在充分知情的情形下做出的特定授权。因此, 此类高标准要求也决定了“同意”机制多数情 况下仅适用于小规模的数据转移。
场面临的问题,也将在其他效仿欧盟建立跨境 流动机制的国家体现,比如非洲等新兴市场国 家,企业需要提前做好合规路径储备。
而在美国以及 APEC 国家地区,由于美国 所推行的 APEC 隐私框架中的跨境隐私保护规 则 (CBPRs) 进展缓慢 , 我国也未正式加入,我国 企业还不能利用该框架中的跨境数据转移机制。 因此在美国、APEC 等地区的数据跨境转移,我 国企业也需更多考虑数据跨境转移合规问题, 并根据不同国家的跨境转移需求,制定不同的 合规方案。这其中也可结合各国数据保护水平 和国际认可程度,选择相关国家及地区作为“数 据港”,如常见包括澳大利亚、日本、新加坡 和我国香港地区。
应对数据本地化带来的管辖冲突
事实上,尽管根据不同国家数据跨境流动 政策可以选择不同的合规方案,但最终无法回 避管辖冲突问题。互联网是全球性的,然而立 法与监管却是本地的。长期以来,互联网的管 辖适用问题一直就未得到解决。而当前复杂的 全球数据流动则更进一步加剧了管辖冲突。例 如:各国通过数据本地化立法,来解决法律适用和本地执法问题,但从美国相关案例,典型如微软诉美国司法部案中,司法部门认为其无论数据存储在哪里,都具有其管辖权,使得企业处于进退两难境地。实际上,这不仅是大型跨国公司面临的问题,伴随互联网服务的全 球化趋势,一些初创企业也将面临。
针对法律适用和管辖,政府部门和司法机 构可以有不同的主张,包括:服务提供商注册 所在地(总部所在地)、数据存储服务器所在地, 数据本身所涉及的数据主体所在地等等,多项 的法律适用连接点给跨境服务企业带来更多的 法定义务冲突问题。
当前阶段,司法管辖冲突更多体现为个案式的。例如在涉及诉讼、仲裁等跨境调查中, 由于不同国家法律及监管要求的不同而造成的 直接冲突。预计随着欧盟具有宽泛适用范围 的个人数据保护法 GDPR 在今年的生效,以及更多数据本地化的要求的出现,这种冲突 的体现将不再仅仅限于个案,而是深度影响 到业务运营。
考虑到国家间的司法协助条约(MLAT)进展缓慢,特别如微软诉美国司法部案件中所 反映出的政府倾向,在国家间繁琐冗长的司法 协助程序和直接向服务商发出协助配合义务之间,政府和司法机构更容易选择后者。这实质 上间接鼓励着各国政府更愿意选择数据本地化 政策,数据存储在本地至少有执法便利,在法律适用上本身也是一个强有力的抗辩。
因此,对于面向全球提供服务的企业而言, 在法律适用冲突中较为安全的选择是将所服务的不同国家的公民个人数据,存储在不同国家( 或该国政策认可的其他地区),当然这无疑产 生了新的巨大成本,且仍会面临复杂的管辖竞 合问题,这亟待通过国际层面达成协调机制。
建立全球化与本土化相结合的竞争战略
对于全球化的平台企业而言,则需要以“全 球化”和“本土化”相结合的视角,破解数据管 辖冲突困境。例如:欧盟没有直接提出数据本 地化要求,理论上企业可以选择多种渠道实现 跨境流动。但微软公司却已在数据本地化之外, 尝试更深度的本地化解决方案。微软于 2016 年 底与德国电信合作运营数据中心,专门向欧盟客户提供服务。根据合作安排,德国电信的子 公司 T-Systems 扮演数据中心“受托人”角色, 负责管理微软在德国的数据中心,未经该公司 许可,微软员工也无法访问。
正是考虑到在全球政策层面,短期内无法提供数据安全及管辖冲突的协调方案,大型跨国企业已开始着眼于本地化模式的调整,包括从技术架构、商业模式等多方面进行改进优化, 通过整合本地化模式,使之既符合当地监管要 求,同时也形成更为强大的全球竞争力。
作者:王融,腾讯研究院资深专家 , 研究方向为个 人信息保护法、网络与信息安全法。
(本文选自《信息安全与通信保密》2018年第三期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。