在当前网络空间治理政策中,没有哪类议题能够像数据跨境流动一样,包含如此之复杂的讨论面向:数据主权、隐私保护、法律适用与管辖、乃至国际贸易规则。特别是在2013年斯诺登事件后,随着安全担忧情绪的蔓延,各国政府引入了形式多样的本地化要求,更增加了人们对数据跨境流动政策的困惑与误解。

本文通过对美国、欧盟等最具有代表性的数据跨境流动政策的详细对比,提炼共性与差异,以澄清有关该政策的基本认知。并基于欧盟制度改革中对数据跨境流动政策的反思,提出相关政策完善建议。

此外,基于中、美、欧对全球网络空间治理规则的影响力,本文分析了全球数据跨境流动政策的基本走向,以及其对数字经济全球化运营可能带来的深度影响,并面向企业提出相关建议。

对于身处复杂政策框架下的企业来说,不仅需关注不同规制要求,积极寻求多样化合规渠道,更需从长远建立全球化与本土化相结合的竞争战略。

01 关于讨论前提的两点澄清

(一) 数据跨境流动政策与数据本地化措施的关系:本地化并不意味着绝对禁止数据跨境流动

数据跨境流动政策是指一国(或地区)政府针对数据通过信息网络跨越边境的传输、处理活动所采取的基本立场以及配套管理措施的集合[1]。尽管信息网络对数据的传输边际成本极低,互联网基础协议能够确定网络任意两点之间传输数据包的最快路径,也并不以地理边境为界,但各国出于隐私、安全等考虑,对从技术上完全可实现的“数据自由流动”现象从政策层面作出不同程度的干预。

“数据跨境流动政策”这一表述本身是中性且广义的,它包含了从开放到保守不同立场倾向的政策类型。它既可以针对数据流出境内的场景(如欧盟对于个人数据转移到欧盟以外的管理框架);也可以适用于数据流入境内的场景(如出于保护公共利益需要,对于儿童色情、侵害知识产权等数据,采取措施禁止本国居民通过网络访问获得[2])。

相比之下,数据本地化措施从概念本身则狭义许多。它是指:出于本国公民隐私保护、国家数据安全,以及执法便利等目的,要求数据在境内存储、处理的管理要求集合。

当然,数据本地化措施也可以包含宽严程度不同的类型,通常有:

(1)仅要求在当地有数据备份,而并不对跨境提供作出过多限制[3];

(2)数据留存在当地,且对跨境提供有限制[4];

(3)要求特定类型的数据留存在境内[5];

(4)数据留存在境内的自有设施上[6],等等。

因此, 尽管“数据本地化”措施正在成为当前全球网络空间治理中的一股潮流,但它仍然仅代表了数据跨境流动政策的一种方向。而且鉴于“数据本地化”政策的丰富类型,本地化并不意味着绝对禁止数据的跨境流动,有相当部分的数据本地化政策仍然给出了很多例外。  

(二) 数据跨境流动政策适用的数据类型:主要围绕个人数据

关于数据跨境流动政策的讨论最早始于个人数据保护法律领域。个人数据保护的国际纲领性文件——1980年经合组织《关于保护隐私和个人数据跨境流动指南》,内容主要分为“国内适用的基本原则”及“国际间适用的基本原则”。后者解决的即是个人数据跨境流动问题[7]。进入“后斯诺登”时代,新一轮的数据跨境流动政策对数据类型有所扩展。但从各国政策的总体观察而看,政策对象仍以个人数据为主①,在有限的案例中扩展至其他数据[8]。

国内关于数据跨境流动政策的部分研究文献将政府数据纳入,并基于政府数据类型,提出相应的跨境流动管理策略。此类认知需予以澄清。

实际上政府数据中涉及国家秘密乃至安全的部分,在属性上已经提出了更高保密性要求,禁止跨境流动本就是应有之义;不涉及国家秘密的部分,如果具备公开属性,则应纳入政府数据开放调整范围,也不牵涉跨境数据管理问题。

归根结底,政府数据无论是否具有保密属性,都具有在本地存储的天然特点,绝大部分也不具有跨境流动的商业化需求。因此,在数据跨境政策讨论中,提出政府数据类别,对于认知数据跨境流动政策并无特别意义。

综上,本文聚焦于各国针对经贸往来中,基于商业目的的数据跨境流动政策分析。

02 美欧数字跨境政策发展概况及差异

数据跨境流动是经济全球化与数字化的伴生物。美、欧基于各自政治、经济、法律传统等因素考量,在不同的历史背景下,发展出特色鲜明的数据跨境流动政策。

(一) 美国数据跨境流动政策主要由贸易利益驱动

美国在克林顿政府时期,就已形成对数据跨境流动问题的初步策略。1997年《全球电子商务框架》②提出:“只有当个人隐私和信息自由流动带来的利益取得平衡时,全球信息基础设施才可能兴旺起来。美国支持为用户提供恰当的隐私保护,以提升用户使用互联网服务的信心,但各国在公民隐私保护方面迥然不同的政策,有可能会形成非关税贸易壁垒。”

对此,美国采取以下策略:

(1)依据个人隐私保护基本原则[9]会同其主要贸易伙伴推进符合市场需求的个人隐私政策;

(2)继续与欧盟进行对话讨论以解决数据流动问题;

(3)通过双、多边讨论以及地区性论坛[10],就跨境流动问题展开对话。

二十年来,美国在以上三方面取得不同进展。首先,尽管与欧盟在个人数据保护路径上存在明显分歧,2015年欧洲法院甚至废除了美欧执行已逾15年的欧美安全港,但不可否认的是,二者之间的政策分歧从未实质性影响跨大西洋数据流动。直至2016年新隐私盾协议的达成,也仍旧为欧美实现数据流动提供了积极机制③,目前包括Google ,Facebook, 微软等2500家美国公司的跨境数据传输仍依赖于该机制;

其次,双、多边贸易协议已成为美国推进其数据流动政策的主要渠道。2012年《美-韩自由贸易协定》,第一次在贸易协定电子商务章节中规定了跨境数据流动规则。TPP谈判尽管美国已退出④,但由其提出的跨境数据流动规则已成为不少国际协定电子商务章节的范本[11];

此外,美国通过亚太合作组织(APEC),积极推进《APEC跨境隐私规则体系》(CBPRs),该体系倡导数据治理规则的实用性,对于通过CBPR认证的企业,被认为满足了隐私保护要求,可以在APEC区域内实现自由的跨境数据传输[12]。

(二) 欧盟在人权项下考虑数据跨境流动政策

与美国将数据跨境政策与贸易政策深度捆绑不同,欧盟更多是从个人权利保护项下考虑数据流动。

欧盟1995年《关于个人数据处理保护与自由流动指令》规定:欧盟公民的个人数据只能向那些与欧盟数据保护水平相同的国家或地区流动。如果数据接收国的法律水平没有达到欧盟委员会认可的标准,有两种替代方式也可实现转移:

一类是例外场景,如取得了数据主体的明确同意,或该转移是为了履行与数据主体之间的协议所必需等;另一类是企业能够证明已采取了充分的保障措施情形[13]。

此外,欧盟也通过在全球积极推广其个人数据保护制度,不断扩展可以实现数据自由流动的地区。

1981 年,欧洲理事会各成员国签署欧洲《有关个人数据自动化处理之个人保护公约》(欧洲第108号公约)。加入公约,意味着要建立与欧盟相似的个人数据保护立法,将被视为满足欧盟跨境数据流动“充分性保护”标准的重要参考。特别自2010年以来,欧盟加速推进公约的全球化进程,目前已有46个国家加入公约⑤。

与美欧相比,中国、巴西等国家更多从维护网络安全和数据主权为目的出发,制定跨境数据流动政策。包括中国、越南、巴西等在内的发展中国家,也包括澳大利亚、加拿大等发达国家在不同程度均提出了数据本地化措施。此类措施对服务贸易全球化可能带来消极影响⑥,但却能在一定程度上保障国家信息安全,特别是从执法层面,为国家行使司法主权提供依托。

(三) 美欧数据跨境流动政策的具体实施机制有较大差异

美国在国际上推行宽松的数据跨境流动政策,首先需要本国示范。

因此在美国一般立法中,难以观察到禁止或者限制数据跨境流动的明确要求[14]。但在一些特定案例中,美国也留有了一定的政策回转空间。

例如:美国针对外国投资安全审查中,可以与外国投资者签订安全协议,而安全协议可能包括相关的数据本地化要求。关于数据本地化要求的执行落地,也通常会由CIFUS指定的特定政府部门来负责监督执行。

欧盟数据跨境转移政策主要体现在个人数据保护制度中,相应地,其实施机制也依附于个人数据保护执法体系。

如上述,欧盟数据控制者[15]实施个人数据跨境流动活动时,有三种合法方式:(1)数据传输至“充分性认定”地区;(2)例外场景(包括用户同意,或者执行合同需要等);(3)充分保障措施。考虑到“例外情形”可适用场景少,并不能够为日常化、规模化的数据跨境转移提供稳定的合法性基础⑦,以下主要介绍“充分性认定机制”和“充分保障措施”机制。

“充分性认定”是一个白名单机制。欧盟委员会负责根据第三国的个人信息保护立法状况、执法能力,以及是否存在有效的救济机制等因素,做出综合评估。截止到目前为止,仅有阿根廷、加拿大等不超过20个国家或地区通过了欧委会认定[16]。此外,对于美国这一重要的贸易伙伴,欧盟发展出“安全港框架”,以针对性的解决与美国之间的数据流动问题。

充分保障措施主要体现为“标准合同文本”机制(Standard Clauses Contract,SCC)和“有约束力公司规则”机制(Binding Corporate Rule,BCR)。对于前者,截止到目前,欧委会已经形成了三个合同范本,分别适用于“数据控制者到数据控制者之间的转移”、“数据控制者到数据处理者之间的转移”[17]。此类合同范本通过规定数据输出方和数据接收方基于合同的数据保护责任[18],来间接提供对个人的保护机制;对于后者——“有约束力的公司规则”则是集团型跨国企业可优先考虑的机制,集团遵循一套完整的,经个人数据监管机构认可的数据处理机制,则该集团内部整体成为一个“安全港”,个人数据可以从集团内的一个成员合法传输给另一个成员。目前,包括埃森哲、宝马汽车、惠普、摩托罗拉等72家跨国公司获得了欧盟BCR认可[19]。

由于通过充分性认定的国家总是少数,因此充分保障措施机制实质是欧盟各国数据保护机构在跨境数据流动管理中最为主要的抓手。  

03 数据跨境政策面临的共性问题及对中国的参考建议

尽管在政策目标上具有明显差异,但美欧在数据跨境流动政策中也面临最为基础的共性问题——如何在全球化的数字经济中有效达成数据跨境流动监管目标?特别是在数据跨境流动成为普遍趋势的背景下,对数据跨境活动的干预愈深,这一问题带来的挑战就愈大。

美国凭借其在技术、产业优势以及灵活的监管制度优势,在数据跨境伴生而来的隐私保护、数据安全问题并无特别担忧,因此仅建立了个案式的、事后监管机制,此类机制最大程度的避免了对数据跨境流动的干预,同时也能有效赢得美贸易利益和安全利益的双赢。

美国面临的困境是在全球推行数据自由流动时,难以提出对“数据本地化”进行限制的合理标准,毕竟国际贸易规则中将安全和公共利益作为了基本例外⑧。

而对于中欧来说,对安全和隐私的担忧却是真实存在的,因此二者也相应地建立了普适性的数据跨境流动管理机制⑨。由于中国仍处于制度建设期,尚无法观察其实践效果,但实施有二十余年的欧盟数据跨境转移管理机制则较为全面地呈现了其所面临的实际困境。

(一) 欧盟数据跨境流动政策的困境与改良

欧盟2012年启动个人数据保护立法改革时,曾全面梳理了现有的个人数据保护制度呈现出的种种缺陷。其中最为突出的问题即是:日益增长的全球数据流动与现有监管制度之间的不适应。几乎所有的欧盟企业都涉及到向欧盟境外传输数据,然而1995指令中关于跨境流动的规则早已难以适应数据国际流动⑩。

正如批评意见认为:欧盟对个人信息的跨境转移设置严格条件类似于虚幻假象,因为它假象欧盟的标准能覆盖到除欧盟以外的全球各处,但实际情形并非如此⑪。的确,欧盟跨境数据转移管理的三类方式均已捉襟见肘。因此,欧盟即将生效的个人数据保护新法规——《通用数据保护条例》(General data protection rules,GDPR)对跨境数据流动政策进行了大幅优化改革,特别着力于提升政策的灵活度:

1.明确禁止各成员国不得以许可方式管理跨境数据流动。多年的实践表明,欧盟各成员国对跨境流动采取的许可管理方式并没有实质性的提升个人信息出境的保护水平,相反,事前许可制度却带来官僚主义问题。因此,2016年《数据保护通用条例》(GDPR)重点简化了数据跨境传输机制,明确禁止了许可管理做法,只要符合了《条例》中跨境数据流动的合法条件,则成员国不得再通过许可方式予以限制。

2.增加了充分性认定的对象类型。除了对国家可以作出评估外,还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断,以进一步扩展通过“充分性”决定(adequate decision)覆盖的地区。

3. 扩展“标准合同条款”,除了保留目前已生效的3个标准合同范文。《条例》增加了成员国数据监管机构可以指定其他标准合同条款的渠道,以为企业提供更多的,符合实际需求的跨境转移合同文本选择。

4. 发挥行业协会等第三方监督与市场自律作用。条例规定数据控制者可以成立协会并提出所遵守的详细行为准则(codes of conduct)。该行为准则经由成员国监管机构或者欧盟数据保护委员认可后,可通过有约束力的承诺方式生效。此外,经认可的市场认证标志也可以作为数据跨境转移的合法机制。

(二) 欧盟经验对中国的参考意义

1.中国数据跨境流动政策发展概况

2016年11月出台的《网络安全法》首次以国家法律形式明确了中国数据跨境流动基本政策。

中国数据跨境流动政策更多是在斯诺登事件后,基于国家网络安全视角而提出。但实际上这种政策视角在2013年前已显露雏形。

如2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》已要求个人金融信息的储存、处理和分析应当在中国境内进行;2013年《征信业管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。

此后,出于数据安全目的,本地化要求进一步被写入网络监管立法中,除《网络安全法》外,包括:2014年国家卫计委颁布《人口健康信息管理办法(试行)》、2015年《地图管理条例》、2016年《网络出版服务管理规定》、2016年《网络预约出租汽车经营服务管理暂行办法》等都不同程度提出了数据本地化要求。正在制定中的《个人信息和重要数据出境安全评估办法》及其配套的标准指南也将全面搭建起数据出境管理框架。

中欧均对日益增长的数据跨境流动采取干预措施,欧盟所积累的政策经验与教训对中国而言具有重要参考价值。特别与欧盟相比,中国对数据跨境流动活动的干预似乎更深更直接,更需要深度考量如何采取科学有效机制,以有效平衡数据流动所带来的发展与安全利益。

其一,“许可”等事前监管机制已被证明固有的局限性。一方面,它与全球化数字经济的发展趋势极不适应。数据的跨境流动并不是遵循特定路径,而是通过多种方式、多种渠道,例如E-mail、提供数据库访问权限,或者是通过内部网络进行交换。传统的许可管理方式与此格格不入。事前建立一刀切的许可门槛,并不有助于监管目标的实现,而往往只是增加形式上的行政负担。

当然,在国内此前公布的数据出境文件征求意见稿中,监管机构已然关注到了这一问题,引入了企业自评估机制,并体现出将政府评估作为事中、事后监管的思路。

其二, 要为“合理有序的数据流动”提供尽可能丰富的合法渠道。欧盟数据跨境政策的改革方向表明,如果不能提供多样化的有效合法跨境渠道,则无法向市场传达政策方向,从而能够引导企业通过可预期的稳定机制在实现自身的数据跨境需求时,同时实现监管者设定的用户隐私、数据安全目标。这也是欧盟在对数据跨境流动机制进行改革时,重点落脚于增加有效渠道的根本原因。

2. 中国可借鉴的有益做法

我国目前初步建立的数据跨境流动政策,如将数据出境安全评估作为单一合规机制,在现实中恐难以适应海量数据跨境管理需求。建议参考欧盟及其他国家经验,设立符合我国国情需要的多样化合法流动机制,例如:

(1)建立白名单机制。根据个人信息保护状况及对等措施,将部分地区纳入可自由流动的国家与地区[20]。

考虑到短期内各国无法形成相互协调的数据流动政策体系,因此,数据跨境流动政策将深度嵌入双、多边的贸易投资谈判。在国与国之间、区域与区域之间体现出多样性、灵活性,形成不同解决方案⑫。

如我国近邻日本、韩国,已分别启动与美欧的数据跨境流动双边谈判[21],预计在2018年之前,日韩将分别与欧洲达成充分性保护互认协议,同时,由于日韩均已加入美国主导的APEC跨境数据流动CBPR机制,日韩与美国的数据流动也具备顺畅渠道。预计此类区域性的数据流动协议在未来将成为解决数据流动的主要途径之一。

(2)根据安全评估的主要标准,建立指引性的数据跨境流动协议范本,类似于欧盟标准合同范本,引导企业在数据出境中,通过合同法律机制来管控数据出境风险。

(3)鼓励行业协会及其他自律组织参与安全评估。作为市场机制补充,在安全评估中发挥作用,从而建立可落地实施,具有活力的数据管理秩序。

(4)对不同性质的数据采取分类管理方法。不仅区分个人数据、重要数据,形成对应的跨境流动管理策略,也可进一步在管理实践中,根据数据的安全属性进行梯度性管理。

综上,在信息通信技术与经济全球化深度耦合背景下,应当承认:数据的跨境流动是绝对的,而对数据流动的限制是相对的后者是手段,前者是目标。正如在数据出境安全评估指南制定过程中,有关专家指出:安全评估的实质是服务于数据出境,是在保障安全的前提下促进数据的跨境流动。

04 复杂的数据流动政策对跨境业务的影响

基于中美欧政策之间的巨大鸿沟,在全球范围内形成协调一致的跨境数据流动政策还很遥远⑬。除了“数据自由流动”与“数据本地化”之间的冲突,欧美中数据流动机制的具体差异,也决定了在未来一定时期,涉及数据跨境流动的企业需要面临复杂的政策环境,这不仅直接关系业务合规,而且也对成本负担、技术架构乃至战略布局带来深度影响。

首先,包括本地化在内的各类数据跨境流动政策,对依赖全球数据聚合的业务带来影响。包括传统的业务类型,例如:金融行业,跨国银行集团需要建立集中化的数据处理中心;跨境物流行业,集团通过汇聚全球数据来高效调配物流资源。此类业务的数据集中都将面临挑战。

换言之,物联网、云计算、大数据应用在技术上完全可实现全球数据资源的汇集、并通过对数据汇集的加工分析,创造出新的经济价值,而全球割裂的数据跨境流动政策将直接影响着此类业务的效率,甚至是业务模式本身能否持续开展。

其次,相比于大型企业,中小企业受到冲击更大。大型企业往往在数据中心部署方面更具优势,可以利用充沛资源和技术方案实现合规要求,而处于发展起步阶段的中小企业,在跨境业务中部署数据本地化方案将不是一个轻松的决定,这在一定程度上反映了数据本地化政策带来的市场竞争效应,其政策门槛削弱了中小企业对跨境业务的参与度和市场创新能力。

再次,“数据本地化”政策对没有本地化需求的跨境业务带来负担。尽管在信息通信服务领域,“靠近用户”会驱动服务商将数据中心建立在本地,提升数据传输速率,为用户带来更好服务体验。但不容否认,仍有大量业务场景并不需要考虑这一因素,反而更关切因为数据本地化带来的负担成本。

例如:面向境外用户提供旅行产品订购的网站,在初创期可能并不需要考虑在服务本地部署数据中心;又或者一些数据容灾备份的安全服务,对数据传输响应速度并无特殊需求,也往往并不需要将数据部署在本地。

05 数据跨境流动合规建议

当前,不仅金融、电信、互联网等跨境服务离不开数据跨境传输支撑,包括制造业、医疗健康乃至农业生产等更多传统产业也产生了大量的数据跨境需求。

例如:飞机制造商波音公司通过其遍布全球的飞机和航线服务,建立了全面的数据收集系统,用于发现和诊断问题航班。我国重型机械生产制造企业三一重工也通过对装备运行信息的实时采集,提供远程跨境诊断服务。涉及数据跨境流动企业需要建立完善的合规体系,为业务开展提供法律基础保障。

(一) 关注本地数据跨境流动政策目的及严苛程度

各国数据跨境流动政策目标决定了其严格程度和具体要求上的差别。例如以数据主权和网络安全为驱动的数据跨境政策,在跨境管理上会趋向于严苛,不仅要求在本地存储,也对向境外提供采取了严格限制措施,涉及的数据范围也更为广泛,对企业运营带来更深度影响,需深入到业务场景和技术实现方式中提出合规方案;而以保护公民个人信息为目标的政策要求,会留有更多的例外空间和合法转移渠道,且仅涉及个人数据,企业可根据自身需求,选择适合的合规途径。

(二) 积极寻求多样化合规渠道

对于我国企业来说,面临两类基本的数据跨境合规问题,一类是从我国收集运营的数据向境外传输、提供问题;另一类是开展跨境服务的我国企业在其他海外市场所面临的当地数据出境政策。

对于第一类问题,我国目前根据《网络安全法》第三十七条来制定相关配套办法标准,将初步建立较为严格的数据流动管理制度,企业应根据要求建立完善的出境数据档案及安全自评估制度,以备相关主管部门实施监督检查。除了少数例外情况,数据出境的合法路径主要依赖于企业的安全自评估和主管部门评估。

而有越来越多的出海企业将面临第二类问题。首先,在欧盟市场,由于我国的个人信息保护水平与欧盟尚存较大差距,并不满足欧盟“充分性”认定标准,欧盟成员国往往会对传输至我国境内的个人数据活动作出限制。在此背景下,我国企业要根据欧盟法律要求,积极寻求数据跨境转移的合法性基础。其中:

在欧盟新的数据保护立法GDPR在2018年5月生效之前,中国企业可以利用的合法传输机制仍然相当有限。

例如:“标准合同文本”和“有约束力公司规则”仍很难为中国企业所利用。相比较而言,作为中国企业的竞争对手——美国企业(特别是中小企业)则可以利用“美欧隐私盾”更方便的实现数据合法转移[22],而日韩企业也有望在2018年后通过政府与欧盟达成的充分性保护互认协议实现高效的转移数据。

若采取例外情形中的“用户同意”模式,则要满足欧盟对“同意”的高标准要求,包括向用户充分说明跨境传输的相关信息,例如:传输目的国,目的国的个人信息保护水平以及用户可能面临的风险,并确保用户的同意是在充分知情的情形下做出的特定授权。因此,此类高标准要求也决定了“同意”机制多数情况下仅适用于小规模的数据转移。

对于具有一定实力的中国企业,则可以结合业务布局考虑,选择在欧盟成员国或欧盟认可的“充分保护认定”国家,例如:加拿大、阿根廷、新西兰等,在此类国家建立或选择数据中心,作为“数据港”,以尽可能降低数据跨境传输成本和合规风险[14]。此外,在欧盟市场面临的问题,也将在其他效仿欧盟建立跨境流动机制的国家体现,比如非洲等新兴市场国家,企业需要提前做好合规路径储备。

而在美国以及APEC国家地区,由于美国所推行的APEC隐私框架中的跨境隐私保护规则(CBPRs)进展缓慢,我国也未正式加入,我国企业还不能利用该框架中的跨境数据转移机制。因此在美国、APEC等地区的数据跨境转移,我国企业也需更多考虑数据跨境转移合规问题,并根据不同国家的跨境转移需求,制定不同的合规方案。这其中也可结合各国数据保护水平和国际认可程度,选择相关国家及地区作为“数据港”,如常见包括澳大利亚、新加坡和我国香港地区。

(三) 应对数据本地化带来的管辖冲突

事实上,尽管根据不同国家数据跨境流动政策可以选择不同的合规方案,但最终无法回避管辖冲突问题。互联网是全球性的,然而立法与监管却是本地的。长期以来,互联网的管辖适用问题一直就未得到解决。而当前复杂的全球数据流动则更进一步加剧了管辖冲突。

例如:各国通过数据本地化立法,来解决法律适用和本地执法问题,但从美国相关案例,典型如微软诉美国司法部案中[23],司法部门认为其无论数据存储在哪里,都具有其管辖权,使得企业处于进退两难境地⑮。实际上,这不仅是大型跨国公司面临的问题,伴随互联网服务的全球化趋势,一些初创企业也将面临。

针对法律适用和管辖,政府部门和司法机构可以有不同的主张,包括:服务提供商注册所在地(总部所在地)、数据存储服务器所在地,数据本身所涉及的数据主体所在地等等,多项的法律适用连接点给跨境服务企业带来更多的法定义务冲突问题。

当前阶段,司法管辖冲突更多体现为个案式的。例如在涉及诉讼、仲裁等跨境调查中,由于各国法律及监管要求的不同而造成的直接冲突。预计随着欧盟具有宽泛适用范围的个人数据保护法GDPR在今年5月的生效,以及更多数据本地化要求的出现,这种冲突将更加广泛,不再仅仅限于个案,而是深度影响到业务运营。

考虑到国家间的司法协助条约(MLAT)[24]进展缓慢,特别如微软诉美国司法部案件中所反映出的政府倾向,在国家间繁琐冗长的司法协助程序和直接向服务商发出协助配合要求之间,政府和司法机构更容易选择后者。这实质上间接鼓励着各国政府更愿意选择数据本地化政策,数据存储在本地至少有执法便利,在法律适用上本身也是一个强有力的抗辩。

因此,对于面向全球提供服务的企业而言,在法律适用冲突中较为安全的选择是将所服务的不同国家的公民个人数据,存储在不同国家(或该国政策认可的其他地区),当然这无疑产生了新的巨大成本,且仍会面临复杂的管辖竞合问题,亟待通过国际层面达成协调机制。

(四)  建立全球化与本土化相结合的竞争战略

对于全球化的平台企业而言,则需要以“全球化”和“本土化”相结合的视角,破解数据管辖冲突困境。例如:欧盟没有直接提出数据本地化要求,理论上企业可以选择多种渠道实现跨境流动。但微软公司却已在尝试更深度的本地化解决方案。微软于2016年底与德国电信合作运营数据中心,专门向欧盟客户提供服务。根据合作安排,德国电信的子公司 T-Systems 扮演数据中心“受托人”角色,负责管理微软在德国的数据中心。

正是考虑到在全球政策层面,短期内无法提供数据安全及管辖冲突的协调方案,跨国企业已开始着眼于本地化模式的调整,包括从技术架构、商业模式等多方面进行改进优化,通过整合本地化模式,使之既符合当地监管要求,同时也形成更为强大的全球竞争力。

注释:

[1]这一界定基本符合当前数据跨境流动政策讨论需要,也具有概念定义的连续性。关于“数据跨境流动”相关概念最早正式出现于1980年OECD 《关于隐私保护与个人数据跨国流通指南》,其中对个人数据的跨境流动做了简单解释,个人数据的跨境流动是指个人数据跨越国界的运动。(“trans-border flows of personal data” meansmovements of personal data across national borders.);1982年联合国跨国公司中心对跨境数据流动(Trans-border DataFlow)的界定是:跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。我国信息化专家周宏仁在其专著《信息化论》中也将跨境数据流表述为数据通过计算机通信系统跨越边境的运动。

[2]考虑到本文旨在讨论“数据本地化措施”潮流之后的数据跨境政策走向,因此也将更多着眼于针对数据“流出”场景的政策分析。

[3]例如俄罗斯在数据本地化执法初期,曾一度澄清只要机构在俄境内存有数据副本,则个人数据可自由传输至境外。见http://www.law360.com/articles/698895/3-things-to-know-about-russia-s-new-data-localization-law

[4]如中国《网络安全法》第三十七条针对关键信息基础设施运营者的数据本地化要求

[5]如澳大利亚2012年《个人控制的电子健康记录法》。规定除非特定的例外情况,禁止健康数据转移到国外。第77条第一款规定:“……相关主体不得(a)在澳大利亚境外持有、获取该数据;(b)在澳大利亚境外处理或处置与该数据相关的信息;(C)致使或者允许他人在澳大利亚境外持有、获取该数据,或在澳大利亚境外处理与该数据相关的信息。

[6]如中国对外资开放的部分电信业务中关于设施本地化的要求。

[7]指南要求:成员国不得不合理的限制数据在本国和另一成员国之间的流动。

[8]例如:俄罗斯2014年新修订的《关于信息、信息技术和信息保护法》中规定,“自网民接受、传递、发送和(或)处理语音信息、书面文字、图像、声音或者其他电子信息六个月内,互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。这一规定不以个人信息为限,但仍与网民的活动信息相关。

[9]主要指美国合理使用信息原则(FairInformation Practice Principle ,FIPP)它是美国在消费者隐私保护与个人信息保护监管中所应用的重要原则。

[10]包括:如亚太经济合作(APEC)论坛、美洲首脑会议(the summit for Americas)、北美自由贸易协定(NAFTA)等机制。

[11]其14.11条规定了通过电子方式进行的跨境信息传输。第1款指出“各缔约方认识到每一缔约方对于通过电子方式跨境传输信息可能有各自的监管要求”。第2款规定“当通过电子方式跨境传输信息是为所涵盖的主体执行其业务时,缔约方应允许此跨境传输,包括个人信息”。同时,本条第3款指出“本条不得禁止缔约各方为实现合法公共政策目标而采取或维持与第2款不符的措施,前提是该措施:(1)其实施并未构成任意或不合理的歧视或构成对贸易的变相限制;及(2)对信息传输所施加的限制并未超过为实现合法目标所必需的限度。”

[12]截止目前,APEC成员美国、墨西哥和日本进入了加入CBPR体系的不同阶段,加拿大表示即将启动加入程序。

[13]欧盟1995年《个人数据保护指令》第5 章,第25,26 ,27 条的规定

[14]如前文明确,国家秘密及政府数据不在本文讨论范围,因此本文不讨论美国《出口管制条例》中涉及的美国技术秘密部分的数据管理要求,以及联邦政府数据安全管理框架Fedramp .此处所介绍的美国数据跨境政策,主要指向经贸往来中,商业目的的数据跨境流动政策。

[15]数据控制者是欧盟数据保护法规范的主体,是指独自或者与他人一起决定个人数据处理的目的和方法的自然人、法人、公共机关、机构或其他组织。

[16]欧盟委员会目前已认可以下国家达到了欧盟的“充分性保护”标准,包括:安道尔,阿根廷,加拿大(商业组织),法罗群岛,根西岛,以色列,马恩岛,泽西岛,新西兰,瑞士和乌拉圭

[17] Available athttp://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

[18]例如规定:数据主体因合同双方违反数据保护义务而造成的损害,有权向合同双方获得损害赔偿。合同双方同意,只有在证明任何一方对该条款的违反均没有责任的情况下,才能免除双方的赔偿责任。

[19] Available athttp://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm

[20]例如:2017年4月27日,马来西亚公布个人信息传输的白名单(草案),其中包括中国在内的23个国家和地区,认定为准许接收跨境个人数据的目的地。See :Malaysia publishes draft "White List" for personaldata exports,available at:https://www.hoganlovells.com/en/publications/malaysia-publishes-draft-white-list-for-personal-data-exports

[21] EU aims for data transfer deal with Japan, South Korea,available at https://ec.europa.eu/newsroom/document.cfm?doc_id=41157

[22] Lisa J. Sotto and Christopher D. Hydak,The EU-US Privacy Shield: A How-To Guide,July 19, 2016,Hunton &Williams lawyer insights

[23] 2013 年12 月,美国纽约南区联邦地区法院助理法官James C. Francis签发搜查令,要求微软公司协助一起毒品案件的调查,将一名用户的电子邮件内容和其他账户信息提交给美国政府。对此,微软认为,美国政府申请的搜查令只在美国境内有效,存放电子邮件内容的微软爱尔兰数据中心,不归美国政府管辖。而美国司法部认为:微软是美国公司,应当服从美国法律和司法部门的执法要求。即使其服务器存放在爱尔兰,仍然是该服务器的所有者,可以对该服务器进行操作。

此案经过微软两次上诉后,法院裁定:FBI 的搜查令不具域外效力(Extra territorialEffects);要获取境外数据,应通过双边司法协助条约(MutualLegal Assistance Treaty)方式。

[24] Mutual Legal Assistance Treaty相互法律协助条约,是两个或者两个以上国家之间的签署的协议。根据国际法为各国政府在刑事调查和起诉中相互援助方面承担义务。执法人员在需要帮助的情况下运用MLAT,以便在另一国司法管辖范围内获得证据。

参考文献:

① Anupam Chander,DATA NATIONALISM,2015,Emory Law Journal,64 Emory L.J. 677

② The Framework for GlobalElectronic Commerce, available at https://clintonwhitehouse4.archives.gov/textonly/WH/New/Commerce/index.html,accessed in Aug 19, 2017.

③贾开,跨境数据流动的全球治理:权力冲突与政策合作——以欧美数据跨境流动监管制度的演进为例,《汕头大学学报》,2017年第5期;

④何波,国际贸易规则体系下跨境数据流规则梳理与我国应对分析,《汕头大学学报:人文社会科学版》 , 2017 (5) :53-56

⑤ Convention for the Protection of Individualswith Regard to Automatic Processing of PersonalData,source:http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108

⑥]MatthiasBauer Hosuk Lee-Makiyama,THE COSTS OF DATALOCALISATION:FRIENDLY FIRE ON ECONOMIC RECOVERY,ECIPE OCCASIONAL PAPER • No. 3/2014

⑦ EU Working Party on the Protection of Individuals with regard tothe Processing of Personal Data Working Document DG XV D/5025/98 WP 12,Working Document Transfers of personal data to third countries :Applying Articles 25 and 26 of the EU data protection directive Adopted by theWorking Party on 24 July 1998

⑧Shin-yi Peng & Han-wei Liu,The Legality ofData Residency Requirements:

How Can the Trans-Pacific PartnershipHelp?Journal of World Trade, Volume 51, Issue 2.

⑨TATEVIK SARGSYAN,DataLocalization and the Role of Infrastructure for Surveillance, Privacy, andSecurity,International Journal of Communication 10(2016), 2221–2237

⑩ European Commission - Press release,Commissionproposes a comprehensive reform of data protection rules to increase users'control of their data and to cut costs for businesses,25 January 2012

⑪Christopher Kuner,Reality and Illusion in EU Data Transfer Regulation Post Schrems Universityof Cambridge Faculty of Law Legal Studies Research Paper Series,PAPER NO. 14/2016,MARCH 2016

⑫王融,《从美欧安全港框架失效看数据跨境流动政策走向》,中国信息安全, 2016 (3) :73-73

⑬SusanAriel Aaronson, George Washington University,Why Trade Agreements arenot Setting Information Free The Lost History and Reinvigorated Debate overCross-Border Data Flows, Human Rights and National Security

⑭ Reuben Binns, Dr. David Millard, Data Havens, or Privacy SansFrontières? A Study of International Personal Data Transfers,WebSci'14 Proceedings of the 2014 ACM conference on Web science Pages 273-274

⑮JenniferDaskal,Law Enforcement Access to Data Across Borders:TheEvolving Security and Rights Issues,SEPTEMBER 6, 2016, Journal of National Security Law & Policy

作者:王融  腾讯研究院资深专家

声明:本文来自腾讯研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。