编者按:

为贯彻落实中共中央宣传部 教育部 科技部印发的《关于推动学术期刊繁荣发展的意见》,顺应互联网时代数字化发展趋势,加强优质内容出版传播能力建设,提升学术引领能力,《行政法学研究》积极探索网络优先出版、数据出版等新型出版模式,于“中国知网”陆续推出2022年第4期网络首发文章,并于微信公众号同步推出,敬请关注!

迈向数据跨境流动的全球规制:基本关切与中国方案

(刘金瑞 中国法学会法治研究所研究员)

目 次

一、全球规制数据跨境流动的关切与分歧

(一)个人信息权益保护

(二)国家安全风险防范

(三)司法执法管辖要求

(四)要正视共同的正当关切

二、促进和管控数据跨境流动的中国探索

(一)数据跨境安全流动的理念

(二)双轨多层规制的制度构造

(三)要继续深化中国探索

三、探寻数据跨境流动全球规制的中国方案

(一)迈向数据跨境流动全球规制的基本思路

(二)探寻数据跨境流动全球规制的兼容性框架

摘要与关键词

摘要:数据跨境流动不仅涉及跨境贸易问题,也对个人信息保护、国家数据安全和司法执法管辖带来了重大挑战,目前的数字贸易谈判无法承载这些关切。对此,我国提出了数据跨境安全流动理念,构建了双轨多层次规制制度,包括重要数据出境管理制度、个人信息跨境提供制度、司法执法跨境调取数据制度等。迈向数据跨境流动全球规制,要促进正当可控的数据跨境流动,基于风险关切进行类型化监管,统筹域内外法治推动制度兼容。关键是构建兼容性规制框架,主要包括防范国家安全风险应厘清重要数据范围以明确“负面清单”,保护个人信息权益应健全跨境问责制以缓和事前监管压力,维护司法执法管辖应关注数据访问权而非依赖本地化存储。

关键词:数据跨境流动;个人信息;重要数据;国家安全;司法执法管辖;全球规制

正 文

数据跨境流动,一般是指位于不同国家或地区的服务器之间的数据传输。这种跨越国界性使其治理从一开始就成为全球性议题,始于1970年代的探讨最初集中于个人信息和隐私保护,代表性成果是1980年经济合作与发展组织(以下简称“OECD”)的《关于隐私保护与个人数据跨境流动的指南》和1981年欧洲理事会的《关于个人数据自动化处理中的个人保护的公约》。随着数字经济时代到来,数字化驱动新一轮经济全球化,数据跨境流动和数字贸易大幅增长,逐步成为全球经济发展的新引擎。有研究显示,2014年数据跨境流动对世界经济增长贡献了2.8万亿美元,预计2025年可达11万亿美元。在此背景下,对数据跨境流动的讨论逐渐转向电子商务和数字贸易领域。

2016年2月,《跨太平洋伙伴关系协定》(TPP)签署,成为第一个包含数据跨境流动约束性规则的贸易协定,该协定在2017年美国退出后更名为《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)。2019年1月,经过一年多磋商,中国在内的76个世界贸易组织(以下简称“WTO”)成员正式签署《关于电子商务的联合声明》,共同发起电子商务诸边谈判,数据跨境流动是其中重要议题之一。与此同时,区域或者双边贸易协定也开始规定数据跨境流动,有的协定基本就借鉴了CPTPP的规定,例如2020年新加坡、新西兰和智利签署的《数字经济伙伴关系协定》(以下简称“DEPA”)。

实际上,数据跨境流动不仅会涉及跨境贸易等经济问题,也会涉及私权保护、国家安全、主权管辖等非经济关切。目前各国对这些问题的认识和主张存在较大分歧,侧重经济维度的贸易协定无法承担凝聚共识之重,这不仅造成很多贸易协定无法达成,也加剧了全球数字治理的“碎片化”趋势。如果不加以正视并妥善解决,不仅会阻碍数字经济全球化的发展,也可能会导致私人权益侵害、社会福利受损和国家之间陷入零和博弈。探索数据跨境流动全球规制体系已经成为当前全球治理的重大挑战之一。

从全球规制理论来看,这种体系的形成有赖于各国政府、国际组织、企业等多元主体共同参与,既需要引入“全球行政法”视域下确保透明度、参与性、合理决策等要求的程序规则,也需要构建促成不同国家实体规则兼容的制度框架。本文以探寻其中的兼容性制度框架为中心,在梳理全球规制数据跨境流动的基本关切和主要分歧的基础上,结合我国国内制度的探索和完善,提出迈向数据跨境流动全球规制的“中国方案”。

一、全球规制数据跨境流动的关切与分歧

目前来看数据跨境流动治理尚未单独作为一个全球议题,对其讨论从属于数字贸易谈判。但根据OECD、WTO和国际货币基金组织的定义,数字贸易是指“所有以数字方式订购和/或以数字方式交付的贸易”,明显不能涵盖与特定商品或服务交易无关的数据跨境流动。这表明规制数据跨境流动,不能仅限于贸易规则,而应该从数据流动本身着手。从数据特性看,数据作为信息的载体,可以承载人类社会生活多种多样的信息。因而数据跨境流动既涉及个人信息,也涉及商业数据、公共数据,甚至会涉及与国家安全有关的数据,这使得其既有促进贸易的经济面向,也会带来一系列非经济性挑战。

从应对这些挑战来看,主要经济体规制数据跨境流动的正当关切主要包括三个方面:个人信息权益保护、国家安全风险防范和司法执法管辖要求。梳理全球视野下这些关切的不同主张,既需要剖析近期的数字贸易谈判,也需要关注主要经济体的域内立法。2020年底,WTO电子商务诸边谈判取得重要进展,形成了谈判合并文本(以下简称“WTO谈判文本”),数据跨境流动主要涉及第B.2条“信息流动”和第C.2条“隐私”,这是分析不同经济体主张的重要依据。限于篇幅,以下主要分析欧盟和美国的不同主张。

(一)个人信息权益保护

个人信息保护是规制数据跨境流动的最早关切,并一直延续至今。欧盟对此立法最为全面,并就在不损害个人数据保护前提下通过数据跨境流动促进贸易的最佳方式进行了充分讨论,2018年欧盟委员会最终通过了《欧盟关于跨境数据流动以及个人数据和隐私保护条款的建议》。从WTO谈判文本来看,欧盟的主张与该建议完全一致,主要包括:各方承认保护个人数据和隐私是一项基本权利,“在这方面的高标准有助于数字经济的信任和贸易的发展”;各方可以采取和维持其认为适当的保障措施,以确保个人数据和隐私保护,“包括通过采用和应用个人数据跨境传输规则”,并强调“本协定的任何内容均不影响缔约方各自保障措施对个人数据和隐私的保护”。

欧盟的主张与其长期将个人数据保护视为基本权利并予以严格的高标准保护有关。欧盟认为其境内个人数据只能流向保护水平与其等同的国家或地区,不能流向保护水平不如欧盟的“洼地”。1995年欧盟通过的《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》第25条规定,个人数据只能流向欧盟认定提供“充分水平保护”的国家。2018年施行的欧盟《一般数据保护条例》(以下简称“GDPR”)第45条延续了这一规定。截至目前,通过欧盟“充分性认定”的国家或地区只有14个。根据GDPR,将个人数据传输到未获充分性认定的国家或地区只能通过两种方式:一是数据控制者或处理者能够提供“适当的保障措施”,包括允许公司内部转移的具有约束力的公司规则(BCR)、欧盟委员会批准的公司间转移标准合同条款(SCC)以及欧盟批准的认证机制等;二是符合法定克减情形,包括数据主体知悉风险后的明确同意、数据传输对于履行合同是必要的、保护重要的公共利益等。

从WTO谈判文本来看,美国的建议一定程度上基于其主导形成的CPTPP第14.8条“个人信息保护”的规定,但仍有较大区别:不再承认该条的第1款,转而建议“各方承认确保遵守个人信息保护措施并确保对个人信息跨境流动的任何限制是必要的且与所面临风险成比例的重要性”;重申了应该尊重各方既有的个人信息保护框架,认为各方应采用或维持保护用户个人信息的措施,例如全面保护隐私、个人信息或个人数据的法律、涵盖隐私的特定部门法律或者规定执行由企业作出与隐私相关自愿承诺的法律,并应该公布与用户个人信息保护有关的信息,而对个人信息保护采取不同法律方式的缔约方,应该鼓励建立促进这些不同体制之间兼容性的机制。

美国的主张源于其自由市场的价值观,其并未将个人信息(隐私)视为基本权利,只是将其纳入市场经济中消费者保护的范畴。在联邦层面,美国并没有统一的个人信息保护立法,只是由美国联邦贸易委员会(FTC)确保消费者对其信息数据的使用有知情和同意的权利;考虑到市场失灵的风险,对部分特定行业进行了专门立法,例如征信业和健康保险业等。这种市场经济和基于风险的理念,可以解释美国为何在谈判中提出限制个人信息跨境流动应该是“必要的且与所面临风险成比例”。美国实际上是反对个人信息保护都采用像欧盟一样的“高标准”,而是主张各国可以按照自己的方式予以保护,不同保护方式之间应该促进“兼容性”。

(二)国家安全风险防范

2013年,“斯诺登事件”披露“棱镜”等监控计划之后,各国日益重视数据跨境流动引发的国家安全风险,并基于此种关切开始限制或禁止某些数据跨境流动,这不仅涉及个人信息,也涉及金融、医疗健康等一些敏感领域的非个人信息。但国家安全关切在贸易谈判中一直是作为自由贸易的“例外情形”,集中体现就是WTO协定的“国家安全例外”。不过考虑到WTO协定谈判时并未考虑数据跨境流动,WTO过往争端解决的援引情况,援引WTO安全例外以支持为了国家安全而限制数据跨境应该非常困难。

可能就因如此,近期CPTPP、DEPA等数字贸易协定除了引入WTO安全例外之外,还针对数据跨境流动规定了专门例外。CPTPP第14.11条、DEPA第4.3条均规定,原则上“缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务”(第2款),但缔约方为实现合法公共政策目标可以对信息跨境流动采取或维持限制措施,只要该措施“不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;不对信息传输施加超出实现目标所需限度的限制”(第3款)。

从WTO谈判文本来看,我国和部分国家建议引入WTO一般例外和安全例外;美国建议就数据跨境流动规定与CPTPP一致的专门例外,但相较CPTPP第14.11条,其对数据自由流动的主张更加彻底,不再承认该条第1款的缔约方“可设有各自的监管要求”,将该条第2款的“应允许”传输改为“不得禁止”传输;欧盟就数据跨境流动,除了前述认为各方可采取适当措施保护个人信息外,没有主张WTO例外条款,也没有提出专门例外,其建议主要是禁止四种方式的数据本地化,包括要求使用本国境内计算设施处理数据,要求在本国境内本地化存储或处理数据、禁止在其他国家境内存储或处理数据以及将使用本国境内计算设施或数据本地化要求作为允许数据流动的条件。

对于“合法公共政策”这种专门例外,目前尚无权威解释,但从表述和限定条件上看,应该区别于WTO国家安全例外而类似于WTO一般例外的“公共道德或公共秩序”,那么援引该例外实施规制措施类似的也需要“明确合法目标及必要性”“确保措施的实施不构成歧视或变相贸易限制”,而满足这些条件也相当困难。由此可见,面对数据跨境流动日益严峻的国家安全挑战,无论是WTO国家安全例外,还是数字贸易协定规定的“合法公共政策”例外,都不足以作为基于国家安全对跨境数据实施普遍规制措施的正当依据。

需要指出的是,尽管美国主张彻底的数据跨境流动,欧盟主张坚决反对数据本地化,但从其域内立法来看,都存在不少基于国家安全考虑来限制数据跨境流动的立法,这些普遍规定绝不仅是“例外条款”。以美国为例,2010年以来建立了受控非密信息管理制度,对国家秘密之外的国防、金融、情报、执法等20个大类125个子类的敏感信息,按照风险程度予以不同管控,措施之一就是“禁止国外传播(NOFORN)”,仅“国防”类之下禁止国外传播的信息就包括非机密受控核信息、国家披露政策等;2018年8月,颁行《外国投资风险审查现代化法》,授权外国投资委员会(CFIUS)审查针对美国“敏感个人数据”商业的外国非控制性投资,以避免这些数据被外国政府或主体获取;特朗普政府2019年5月签发《确保信息通信技术与服务供应链安全》行政命令并在执政期间推行“清洁网络计划”,禁止交易、使用可能对国家安全、外交政策和经济构成威胁的外国对手的信息技术和服务,拜登政府2021年6月签发《保护美国人的敏感数据不受外国对手侵害》行政命令,都是为了避免涉及美国国家安全的敏感数据出境。

(三)司法执法管辖要求

数据跨境流动对主权管辖的挑战,是目前数字贸易谈判无法涵盖的重大关切。从国际法上看,国家行使主权的具体体现是对其领土及其国民进行管辖,以属地管辖、属人管辖为主,辅以保护管辖、普遍管辖,在国内可以分为立法管辖、司法管辖和执法管辖。互联网技术的出现和发展,产生了相对于物理空间的网络空间,数据在其中大规模跨境流动,极大冲击了基于国家疆界以属地管辖为主的传统国家主权,尤其是一国的司法执法管辖权。对此,在理念上开始出现扩张国家主权的主张,“信息主权”“数据主权”等概念相继提出。各国也纷纷出台维护主权管辖的举措,在某种程度上实际构成了对数据跨境流动的限制,这些举措概括起来主要包括两个方面:

一是规定“阻断条款”(blocking provisions),禁止境外司法执法机构不经本国同意调取数据。例如,美国1986年通过的《存储通信法》第2702条和第2703条规定,除例外情况外,向公众提供电子通信服务(ECS)和远程计算服务(RCS)的提供者不得故意向任何个人或实体泄露服务中存储或承载的通信内容;只有美国政府实体为了特定司法或执法目的,在满足法定条件下通过搜查令等才可以要求这两类服务提供者提供通信内容或相关记录。该法将强制获取通信数据的执法主体限于“美国政府实体”,实际上是禁止美国服务商向外国政府提供存储于美国的通信数据。再如,欧盟GDPR第48条规定,第三国法院或法庭的判决及行政机关的决定,如有要求数据控制者或处理者转移或披露个人数据的,只有在基于请求国与欧盟或成员国间生效的国际条约(如双边司法协助协定),且不影响其规定的转移基础时,才可以获得承认或执行。

二是要求将某些重要监管领域的数据留存在本国境内,以“数据本地化存储”来确保实现司法执法管辖权。例如,美国在推动形成CPTPP数据跨境流动条款过程中,考虑到美国财政部和金融监管机构会把金融数据本地化存储作为监管选项,就将金融数据排除在CPTPP适用范围之外。再如,2018年4月,印度要求所有支付系统提供商应确保其系统运营相关的全部数据,包括端到端交易的完整详细信息,存储在印度境内的系统中,以便印度中央银行可以“不受限制地监管访问这些系统提供商存储的数据,以及他们的服务提供商/中介机构/第三方供应商和支付生态系统中其他实体存储的数据”。

面对数据跨境流动日益频繁的现实,有些发达经济体开始认识到单纯的数据“阻断调取”和“本地化存储”难以适应实践需要,在倡导数据跨境流动的同时,开始扩张国家管辖权,主张对跨境数据进行“域外管辖”。典型代表是欧盟和美国,但二者路径有所不同。欧盟GDPR第3条基于传统属人管辖和属地管辖的连接点,从数据处理行为的效果入手,将欧盟境内机构境外处理个人数据的行为和欧盟境外机构处理欧盟境内个人数据的行为都纳入了管辖。美国2018年3月施行的《澄清境外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,以下简称“CLOUD法”)不再考虑数据的属地管辖,转而提出了管辖“数据掌控者”的新模式,规定无论通信、记录或其他信息是否位于美国境内,美国的电子通信服务(ECS)或远程计算服务(RCS)提供者都有义务按照法定要求,保存、备份或者披露其拥有、监管或控制的用户或订户的通信内容以及任何记录或其他信息。由此,这些服务提供者掌控的数据都可能被美国政府所获取,这极大地扩张了美国对境外数据的管辖权。

这些“域外管辖”明显是一种单边主义行为,虽然有利于缓和本国数据本地存储的压力,但是不可避免地会与既有的数据“属地管辖”产生冲突。如果不能妥善解决这种主权管辖冲突,不仅会造成跨国企业陷入管辖冲突的“旋涡”难以适从,还可能导致相关国家普遍要求“阻断调取”和“本地化存储”,进一步加剧对数据跨境流动的阻碍。解决跨境数据的国家管辖冲突,迫切需要在相互尊重主权的前提下探索多边协作。

(四)要正视共同的正当关切

从上述梳理可以发现,全球主要经济体规制数据跨境流动的非经济关切,虽然程度可能不同,但集中体现为保护个人信息、维护国家安全和确保主权管辖等三个共同议题。目前美国发起策动的数字贸易谈判只涵盖了其中的部分议题,除了欧盟极力主张的个人信息保护议题完全纳入外,国家安全关切只是作为自由贸易的“例外情形”,司法执法管辖则完全没有涉及。究其原因,表面上看是限于数字贸易主题,但考虑到美国就数据安全和数据管辖的大量规制立法,美国在国际谈判中忽略上述关切应该是有意为之。这背后的深意在于:美国将“数据自由流动”与“贸易自由流动”捆绑设置议题,通过主张彻底的数据跨境自由流动,支持其先进的数字技术企业发展全球市场,使得海量数据流回美国,从而保持其在全球数字市场和网络空间的主导地位。

需要指出的是,数据跨境流动还引发了经济层面的数据保护主义。随着数字经济的发展,数据已经成为国家基础性战略资源,各国开始纷纷争夺数据资源。但无序的竞争催生了“数据民族主义”,印度就从数据民族主义角度来强调其推行数据本地化发展数字产业的必要性。从国家经济发展程度和国家战略来看,一定程度上的数据防御主义是可以接受的。但只从本国利益出发,不加区分限制数据跨境流动的做法,是一种数字贸易保护主义,应该予以坚决反对。本文认为无论是经济关切,还是非经济关切,都可能要求数据本地化,评判其正当性应该从规制目的和程度入手,不能一概而论。

总之,对于数据跨境流动而言,目前数字贸易谈判无法承载所有议题,也无法承担凝聚全球共识的重任。探索全球性的规制框架,亟须正视上述正当关切并予以充分探讨。

二、促进和管控数据跨境流动的中国探索

我国很早就认识到仅从贸易角度探讨数据跨境流动的局限性,2019年在WTO电子商务诸边谈判最初提案中也强调,应该将电子商务界定为通过互联网进行的跨境货物贸易以及相关支付和物流等服务,数据跨境流动等问题具有复杂性和敏感性,应该进行更多的探讨。基于这种深刻把握,近年来我国提出了“数据跨境安全流动”的新理念新范式,发起了《全球数据安全倡议》,并就构建数据出境监管制度进行了积极探索。2017年之前,对金融、征信、人口健康、互联网地图、网约车等特定领域的数据出境,通过行政法规、部门规章和规范性文件等进行了规范。2017年之后,先后颁行《网络安全法》《数据安全法》《个人信息保护法》,建立起全面的数据出境管理制度。

(一)数据跨境安全流动的理念

在《网络安全法》“网络信息依法有序自由流动”的基础上,《数据安全法》确立了“数据跨境安全流动”的价值理念和基本原则,可以结合其与《个人信息保护法》《全球数据安全倡议》的相关表述,从保护与利用并重、统筹国内与国际两个方面来理解。

1.有效保护与合法利用并重

《数据安全法》第11条明确规定国家“促进数据跨境安全、自由流动”,这里的“自由”应该连同第7条“数据依法有序自由流动”一并理解。此时“依法有序”是核心,“自由”只是延续《网络安全法》类似表述,用来描述数据“流动”状态,彰显“促进数据开发利用”的立法价值,实际并没有多少规制层面的意义。因此,对于数据跨境流动而言,我国的核心规制理念是确保数据“安全流动”。

对于数据安全,《数据安全法》第3条将之定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。从表述上看,强调确保数据“有效保护”和“合法利用”并重。笔者认为,这里的“有效保护”和“合法利用”可以分别对应数据的“自身安全”和“利用安全”,数据自身安全就是传统数据安全概念所强调的数据自身的完整性、保密性、可用性,而数据利用安全是强调防范数据大规模聚合和分析引发的安全风险。这实际上是顺应了数字经济时代数据大规模流动和利用的现实需求,极大扩展了“数据安全”的内涵。

基于这种新理念,《数据安全法》构建了数据自身安全与利用安全并重的新范式,其在“促进数据开发利用”的同时,对数据利用安全作了原则性规范,强调“应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”,“不得危害国家安全、公共利益,不得损害个人、组织的合法权益”。确保数据跨境安全流动,就是既要确保流动数据的自身安全,也要确保数据跨境符合这种利用安全的要求。《全球数据安全倡议》就明确提出,各国不得利用数据从事危害他国国家安全和社会公共利益的行为。

2.统筹国内法治与涉外法治

数据跨境流动属于关系国家数据安全的全球性议题,参与相关国际规则的制定必须坚持总体国家安全观,统筹推进国内法治和涉外法治。我国发起《全球数据安全倡议》,就是贯彻总体国家安全观,“打造命运共同体,推动各方朝着互利互惠、共同安全的目标相向而行”,推动形成国际共识的具体举措,其中涉及数据跨境安全流动的主张包括:

第一,维护国家安全。应以事实为依据全面客观看待数据安全问题,反对利用信息技术破坏他国关键基础设施或窃取重要数据,以及利用其从事危害他国国家安全和社会公共利益的行为。第二,保护个人信息。采取措施防范、制止利用网络侵害个人信息的行为,反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息。第三,数据本地化存储。应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。第四,司法跨境调取数据。应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据;如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决;国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。

(二)双轨多层规制的制度构造

综合《网络安全法》《数据安全法》《个人信息保护法》规定来看,我国从数据跨境流动的不同关切入手,以“重要数据”和“个人信息”为抓手建立了两种独立的数据出境规制制度:一是为了维护国家安全的重要数据出境安全管理制度,主要规定在《数据安全法》和《网络安全法》;二是为了维护个人权益的个人信息跨境提供制度,主要规定在《个人信息保护法》。这两种制度在监管目标、适用范围、规制手段上均存在显著区别,形成了“双轨并行”的模式。在这两种制度之中,又区分了关键信息基础设施运营者、重要数据处理者、处理个人信息达到规定数量的处理者等不同主体,还规定了司法执法跨境调取等不同场景规则,呈现出“多层规制”的特征。主要制度简要梳理如下:

1.维护国家安全的重要数据出境管理制度

为了切实维护网络空间主权和国家安全,《网络安全法》借鉴域外经验,设立了关键信息基础设施保护制度,第37条就关键信息基础设施的重要数据出境管理作了专门规定:关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

考虑到重要数据出境不仅限于关键信息基础设施,《数据安全法》根据实践发展和数据安全管理工作的需要,将重要数据出境管理的适用范围扩大到所有的重要数据处理者。第31条明确规定:关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。此外,还与《出口管制法》相衔接,在第25条规定了数据出口管制制度,“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”。

对于重要数据出境管理制度,《网络安全法》《数据安全法》只是明确了基本框架,具体制度设计有待配套规定予以明确。对于核心抓手“重要数据”,国家网信办2021年11月发布的《网络数据安全管理条例(征求意见稿)》(以下简称“《条例征求意见稿》”)第73条界定了其内涵和外延,规定“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,并列举了可能涉及的七大类数据,但表述非常宽泛,缺乏操作性。国家网信办2021年10月发布的《数据出境安全评估办法(征求意见稿)》提出了重要数据出境安全评估细则,其中评估事项包括:数据出境的目的、范围、方式的合法性、正当性、必要性,出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益等带来的风险,数据出境和再转移后泄露、毁损、篡改、滥用的风险等。

2.保护个人权益的个人信息跨境提供制度

为保护个人信息权益,适应个人信息跨境流动日益频繁的现实需要,《个人信息保护法》第3章专章规定了个人信息跨境提供制度,主要包括:一是明确个人信息跨境提供的合法途径,包括特定情形通过国家网信部门组织的安全评估,经专业机构进行个人信息保护认证,与境外接收方订立标准合同,满足法律、行政法规或者国家网信部门规定的其他条件,以及按照我国缔结或参加的国际条约、协定的有关规定。二是要求个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。三是对跨境提供个人信息的“告知——同意”作出更严格的规定,要求应当取得个人的单独同意。

《个人信息保护法》第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在我国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。该规定的原因在于,关键信息基础设施涉及的个人信息和数量巨大的个人信息集合,都可能影响国家安全,那么其出境也如同重要数据一样应该通过国家网信部门组织的安全评估。

对于个人信息跨境提供制度,《个人信息保护法》确立的制度框架仍需要配套规定予以细化。除了前述《数据出境安全评估办法(征求意见稿)》对第40条“安全评估”作出规定外,经专业机构认证、订立标准合同等个人信息跨境合法途径的细则有待出台。

3.尊重主权管辖的司法跨境调取数据制度

关于司法执法跨境调取数据,我国历来主张应以尊重各国主权管辖为原则,《全球数据安全倡议》重申了这一主张。《数据安全法》第36条和《个人信息保护法》第41条都贯彻了该原则,延续了2018年《国际刑事司法协助法》的跨境司法协助模式,表述也基本一致,具体而言:我国主管机关根据有关法律和我国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据/存储于境内个人信息的请求,非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据/个人信息。《数据安全法》第48条还对此专门规定了较重的罚则,以“为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据”。

此外,“斯诺登事件”之后,滥用公权力获取私主体数据成为各国关注的焦点。为打消其他国家对我国司法跨境调取数据的顾虑,《数据安全法》第35条还规范了我国司法执法机关调取数据的行为,明确公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行。

(三)要继续深化中国探索

总结来看,就数据跨境流动,我国坚持“安全流动”的理念,构建了“重要数据”和“个人信息”出境规制“双轨并行”分层次的制度框架。我国个人信息跨境提供规则,借鉴了域外立法经验,在强化个人权益保护的同时,为个人信息跨境流动提供了多种合法途径,有利于推动我国与其他经济体接轨,促进我国数字经济发展。我国关于重要数据出境管理的探索,从世界范围来看极大发展了基于国家安全关切规制数据跨境流动的法治架构,为全球应对数据跨境流动国家安全挑战提供了新的制度选项。

但需要指出的是,目前我国法律层面仅规定了“双轨”管控的制度框架,配套制度远未健全,重要数据范围、出境安全评估等核心规则仍不明确,不仅影响了我国数据流和贸易流,还极易导致我国被误解和指责以“安全”为由阻碍数据流动和制造贸易壁垒。从全球化视野看,我国目前的制度设计多聚焦“数据外流”,避免数据被不当获取,规制手段多为事前监管,并没有同步考虑这些规制措施对“数据内流”的影响,基本还是一种防御主义。长远看,这不仅无法满足我国数字经济发展的实践需要,也无法适应我国在这一轮数字经济全球化中的全面布局,我国数据跨境流动制度仍有较大完善空间。

三、探寻数据跨境流动全球规制的中国方案

面对数据跨境流动这一全球性挑战,目前仅侧重经济维度的数字贸易谈判无法承载所有规制关切,各国就保护个人信息、维护国家安全和确保主权管辖等非经济关切存在较大分歧,全球数据跨境流动规制呈现“碎片化”趋势,亟需探讨制定新的规制框架。对此,我国目前正积极参与区域或双边谈判,正式申请加入CPTPP和DEPA等,努力“跟跑”和“并跑”,值得高度肯定。

与此同时,我国也有必要从数据跨境流动的非经济性共同关切入手,结合自身探索在贸易谈判之外提出新的议题框架和系统主张,在凝聚多边共识基础上推动生成新的国际规则,努力在探索数字治理国际规则中“领跑”。为此,本文就迈向数据跨境流动全球规制的基本思路和兼容性框架提出以下建议。

(一)迈向数据跨境流动全球规制的基本思路

数据跨境流动引发的非经济关切是网络空间主权冲突的最集中体现。那么只有相互尊重主权,通过多边充分协商才能凝聚共识、达成合作,才能使莱斯格所言的网络空间“相互竞争的主权”转变为“相互依赖的主权”。由此来看,我国提出的“尊重网络主权、构建网络空间命运共同体”应该成为探讨数据跨境流动全球规制的基本前提。在此前提下,本文总结主要国家的规制共识和立法经验,提出迈向全球规制的基本思路。

1.促进正当可控的数据跨境流动

从数据流促进贸易流的角度来看,似乎应该无条件促进数据自由流动。可正如自由贸易也有例外限制一样,数据流动同样有规制的必要,更何况数据跨境流动不只是具有促进贸易的经济面向。各国基于国家安全、私权保护、主权管辖等非经济关切对跨境数据流动采取了不同的规制措施,世界上并不存在不受限制的数据自由流动。相对于数据跨境自由流动,我国提出了数据跨境“安全流动”的理念,就是考虑了这些规制关切。

需要指出的是,“数据跨境安全流动”的“安全”,实际已经超出了传统数据安全的理解,如前所述在内涵上还包括数据利用安全,这种利用安全是强调数字经济时代下数据大规模流动和利用的正当性和可控性,而正当性和可控性完全可以涵盖个人权益保护、国家主权管辖等规制关切。不过从语义上看,域外对“数据安全”的理解还停留在传统的数据的完整性、保密性、可用性,这容易造成域外误解我国以“安全”为由制造障碍和壁垒。因此,为了准确表达规制关切和更具号召力,建议将“安全流动”升级为“正当可控流动”,以“促进正当可控的数据跨境流动”作为迈向全球规制的基本理念。

此外,“正当可控的数据跨境流动”相较于2019年《G20大阪数字经济宣言》“基于信任的跨境数据流动”,更强调客观性和包容性。“信任”往往指向双方的关系亲疏,容易滑向“朋友”和“对手”的二分,沦为搞排他性“小圈子”和单边主义、保护主义的借口。而“正当可控”是从规制的正当性入手,更有利于迈向合作共赢的全球规制。

2.基于风险关切进行类型化监管

正当可控的数据跨境流动,强调风险的可控性,这要求采取基于风险的规制方法。而管控风险一般认为包括四种策略:接受风险、避免风险、控制风险以及转移风险。避免风险、控制风险和转移风险往往对应事前监管、事中监管和事后监管,这三种策略和监管都不可能实现绝对安全,因此风险规制应该接受一定风险的存在,这也是统筹安全与发展关系的原因所在。从这个角度看,无论是美国曾推行的“清洁网络计划”,还是印度的极端数据民族主义,都是试图以阻断数据跨境流动来谋求所谓自身绝对安全的非理性决策。迈向数据跨境流动全球规制,实际上是通过多边合作来实现相对的共同安全。

基于风险的规制,需要根据风险程度匹配不同监管方式,进行类型化监管。对于监管的类型化,本文认为除了结合数据分类分级考虑风险程度外,还应该统筹考虑规制数据跨境流动的不同关切。我国区分重要数据出境管理和个人信息跨境提供的“双轨”模式,实际就考虑了维护国家安全和维护个人权益的不同关切。考虑到目前这两种关切已被普遍认同,这种“双轨”区分可以作为全球规制兼容性框架讨论的基础。对于数据跨境流动管制方式,OECD概括为不设管制、事后问责、以保障措施为条件、以专门授权为条件等四种基本类型,形成了管制由弱到强“渐变光谱”。对于不同类型的数据跨境流动,应该在这种规制光谱中选择适合的方式配合使用,建立事前事中事后监管体系。要防止不做区分“一刀切”采用事前监管的做法,以避免对数据流动造成不当阻碍。

3.统筹域内外法治推动制度兼容

数据跨境流动包括“数据出境”和“数据入境”两个面向,会涉及域内法治和域外法治两种管辖,任何参与数字经济全球化的国家都需要统筹考虑这两个面向、两种管辖。对于数据跨境流动这一共同挑战,各国由于基本国情、发展阶段和文化传统的不同,虽然在某些问题上存在认识差异,但就国家安全、私权保护、主权管辖等却有着共同关切。应对这些共同关切的法治探索,值得各国立足本国国情相互学习借鉴。欧盟GDPR规定的个人信息跨境流动机制,例如有约束力的公司内部规则、标准合同等途径就得到了其他国家的广泛认同,但“充分性认定”途径的认可度有限。原因在于虽然欧盟在数字贸易谈判中坚决反对本地化,但其“高标准”保护连同严格的“充分性认定”,使得通过认定的国家或地区很有限,会造成事实上的本地化要求,不利于数据跨境流动。

即使是同样的关切,往往也并不存在放之四海皆准的规制模式。当就同一问题不同国家存在不同制度设计时,应尽最大可能推动达成制度兼容。从存在共识的规范层次来看,推动制度兼容可分为三种情况:一是在具体制度层面存在共识,可以通过协商达成共同规则,例如双边司法执法数据调取协议;二是仅在基本原则层面存在共识,可以通过协商确立各方共同遵守的最低规制标准,例如CPTPP承认各方可以维持既有的保护用户个人信息的措施;三是仅在价值理念层面存在共识,此时应该现实地承认无法在制度层面达成兼容,但可以就共同关切保持协商对话,例如对关系国家安全数据的讨论。由此观之,设计数据跨境流动全球规制的兼容性框架就尤为重要,这种框架应该从共同关切出发,反映价值理念共识,内嵌基本原则共识,能够引导讨论迈向制度共识。

(二)探寻数据跨境流动全球规制的兼容性框架

探寻数据跨境流动全球规制的兼容性框架,就是要寻找数据跨境流动的“共同法”。所谓共同法,从比较法上看,就是在各法律秩序所提出的相同的法律问题上都能适用的共同解决方案或共同原则,或是其相对理想的类型。在当前数字经济全球化出现“逆流、险滩”的艰难时刻,在西方国家主导的数字贸易谈判无法涵盖国家安全、主权管辖等共同关切的情况下,为避免全球数字治理的“碎片化”,探讨这种共同法极为必要。

根据前述基本思路对这种共同法的讨论,结合目前规制共识和制度探索,本文认为数据跨境流动全球规制兼容性框架应该涵盖防范国家安全风险、保护个人信息权益、维护司法执法管辖等三个方面。以下就如何推动不同国家规则兼容达成这三方面“共同法”提出针对性建议。虽然这些建议阐释以完善我国数据跨境管理制度为中心,但这种全球视野下的制度构建,也可以认为是基于我国国内法提出的迈向数据跨境流动全球规制的“中国方案”。

1.防范国家安全风险:厘清重要数据范围以明确“负面清单”

由前所述,目前西方国家主导的数字贸易谈判,无论是引入WTO国家安全例外,还是规定专门的“合法公共政策”例外,都不足以作为基于国家安全对跨境数据实施普遍规制措施的正当依据。目前我国提出了重要数据出境管理制度,从全球范围来看极大发展了基于国家安全规制数据跨境流动的法治架构,但由于重要数据范围仍不清晰,不仅造成了不必要的误解,影响了我国数据流和贸易流,还阻碍了我国在国际上以重要数据为由主张国家安全关切。建议分国际和国内两个层面来完善重要数据出境管理制度。

在国际层面,应该将为了维护国家安全、公共利益管控重要数据作为独立议题提出,不再认为其仅属于“例外条款”。在数字贸易谈判中,可以借鉴欧盟将个人数据和隐私保护条款与数据跨境流动条款并列的做法,拟定并提出单独的“重要数据条款”,只要符合此条款规定的限制数据流动措施,无须再作为自由贸易例外情况对待,为我国和具有类似关切的国家留下足够的规制空间。考虑到制度体系性,可以提出《数据安全法》规定的“国家核心数据”适用WTO国家安全条款,从而与“重要数据条款”相区分。鉴于重要数据可能严重影响国家安全、公共利益,在规制手段上,应以事前监管为主,主要是依托目前规定的数据出境安全评估制度。就制度兼容而言,由于重要数据关系国家安全,较难达成共识,可以允许各国自行确定重要数据的具体范围。

在国内层面,应该在总体国家安全观指导下尽快厘清重要数据的范围和出台重要数据出境安全评估制度,以明确我国数据出境的“负面清单”。《条例征求意见稿》第73条对重要数据的定义采用了“概括+列举”的形式,但“可能危害国家安全、公共利益”的判断标准过于宽泛,具体列举的七大类数据在逻辑上存在重复交叉、有些内涵并不清楚、多数没有考虑重要程度标准。建议从危害程度上进一步明确“重要”的内涵,将重要数据判断标准修改为“可能严重危害国家安全、公共利益”。考虑到不同行业不同领域的复杂性,立法不可能列举出重要数据的具体范围,但可以通过规定重要数据认定制度来代替直接列举重要数据的范围。根据《数据安全法》第21条,首先应由国家数据安全工作协调机制统筹协调有关部门在国家层面制定重要数据目录,然后再由各地区、各部门据此制定本地区、本部门以及相关行业、领域的重要数据具体目录。具体而言,应该规定各行业或领域重要数据具体目录认定的负责部门、标准依据和相应程序。在主管部门组织认定重要数据具体目录的过程中,可以考虑以数据处理者根据相关标准先自主申报、主管部门再予以审核认定的方式为主,辅以主管部门对于重要主体的重要数据可依职权主动认定,对于应申报而未申报的主体应该规定相应的法律责任。

2.保护个人信息权益:健全跨境问责制以缓和事前监管压力

目前,各国大都已经建立了某种程度的个人信息保护制度。对于跨境个人信息保护而言,核心问题是个人信息在保护水平存在差异的国家或地区流动,应该如何促进不同水平保护制度的兼容。从目前实践来看,包括两种方式:一是通过事前监管机制,典型代表就是欧盟的“充分性认定”和“适当的保障措施”;二是依靠事后问责机制,典型代表是美国推动的亚太经济合作组织(以下简称“APEC”)的跨境隐私规则(以下简称“CBPR”)体系。

2011年,APEC基于其隐私框架通过了CBPR体系。该体系是一种自愿认证体系,加入该体系的数据跨境流动企业必须实施一套符合APEC隐私框架的隐私政策,以满足问责制、通知、选择、安全保护、消费者权利等要求。该体系要求企业所在国至少有一个APEC认可的问责代理机构,按照APEC隐私保护标准对企业进行合规认证并负责调查消费者投诉等;至少有一个隐私执法机构加入APEC跨境隐私执法安排(CPEA),作为争端解决的后盾,并促进各经济体隐私执法机构的互操作性。

对比GDPR和CBPR来看,二者在兼容保护水平差异方面存在较大不同:GDPR实际是“就高不就低”,如果达不到充分保护,有关国家或地区就得通过适当保障措施与欧盟保护水平“拉齐”;CBPR实际是“就低不就高”,认可APEC隐私框架即可“入圈”,这实际仅是维持各方共同遵守的最低标准。两种方案各有利弊:GDPR兼容方式成本较高,但一旦通过充分性认定等,企业数据跨境流动会比较便利;CBPR兼容门槛较低,企业容易达到,但主要基于自愿认证,规制力度有限。

我国《个人信息保护法》借鉴GDPR事前模式规定了经专业机构认证、订立标准合同等途径,但没有采用“充分性认定”机制,只要求个人信息处理者应当采取必要措施保障境外接收方保护水平达到本法保护标准,似乎一定程度上采用了问责制的思路。就我国个人信息跨境规则与其他国家兼容而言,建议借鉴欧盟和美国的做法,兼采事前监管模式和事后问责模式,可以考虑在双边或者多边谈判中根据对等原则建立“白名单”制度;考虑到事前监管的压力、事中事后监管的需要以及经专业机构认证等事前途径的成本,也应该同步研究健全境外处理者问责机制,以避免过于依赖事前机制而对数据流动造成不当阻碍;应该将这种事后问责机制纳入我国与其他国家缔结的双边或者多边司法协助协定之中,以避免类似CBPR自愿认证体系规制力度不够的问题。此外,出于疫苗研究等科研需要,还应该考虑就科研领域的个人信息出境制定特殊规则。

3.维护司法执法管辖:关注数据访问权而非依赖本地化存储

从一国司法执法管辖来看,数据调取存在两个面向:他国调取境内数据、本国调取境外数据。这两种面向都会存在主权管辖冲突,而且近年来随着大数据、云计算等技术的发展,数据跨境流动成为常态,管辖冲突日益频繁,出现了大量“阻断调取”“域外管辖”等现象,有些国家担心数据流向境外无法行使管辖权,还提出了“数据本地化存储”的要求。主权管辖之间的制度兼容,主要是在相互尊重主权前提下缔结双边或者多边司法协助协定(MLAT)。但传统司法协助程序需要通过双方的专责机关沟通处理,往往复杂冗长低效,已经越来越不适应数字经济全球化发展和争议快速解决的需要。

在这种情况下,出现了前述CLOUD法规定的从“数据掌控者”直接调取数据的模式,这种模式使得司法执法效率有了极大提升。在CLOUD法之后,2018年4月欧盟的《关于刑事案件中电子证据的欧洲提交和保全令条例的建议》、2019年2月英国的《犯罪(境外提交令)法》都采用了类似的模式。虽然CLOUD法在给予外国政府调取美国“数据掌控者”数据方面存在诸多不合理限制而广受诟病,但其适应时代要求关注数据访问权的立法思路值得肯定。值得注意的是,美国在2019年达成的美墨加协定(USMCA)中,也放弃了之前坚持的金融数据本地化存储的主张,转而强调确保监管机构对相关数据的访问权。该协定第17章“金融服务”第17.18条规定,缔约方的金融监管机构立即、直接、完整和持续地获取相关人员的信息,包括此类人员的交易和运营的基础信息,对于金融监管和监督至关重要,有必要消除对该访问的任何潜在限制。

实际上,如果两个国家在充分尊重主权的基础上达成了双边司法协助协定,相互承认对方的域外管辖,那么即使数据不存储在本国境内,只要能够确保及时、直接、完整地获取,并不会对司法执法造成影响。换言之,对于司法执法跨境调取数据而言,数据存储的位置不是关键,关键是确保数据的访问权。当然,为了保障这种数据访问权,可以规定义务主体不及时提供数据时应当承担的法律责任。如此,可以大大减少因司法执法管辖而要求的数据本地化存储。建议我国在与其他国家缔结的双边或者多边司法协助协定中探索建立这种数据访问权模式。

声明:本文来自行政法学研究编辑部,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。