論跨境數據流動執法的正當性和工具性之間的沖突

胡海東

摘要：隨著全球化進入跨境數據流動驅動的新階段，如何規制跨境數據流動和促進本國數字經濟發展，已經成為各國關注的焦點。由于數據技術和數字經濟發展的迅速性，導致立法內容可能不符合現實需要，各國的解決方法是突破立法內容或取向，運用跨境數據流動執法的名義來滿足經濟政治需求。無論是發達實體的歐盟，還是發展中國家的印度都積極運用執法的工具性來實現特別之目的。新階段，中國應當完善自身立法和執法行為來促進數字經濟發展和保護國家安全、利益。

關鍵詞：跨境數據 執法 工具性

2016年，麥肯錫全球研究院發布《數字全球化：全球流動的新時代》，該報告指出“自2008年以來，傳統貿易、投資在世界GDP中占比呈現下降趨勢”。但全球化并沒有因此陷入停滯，而是進入了以跨境數據流動驅動增長的新階段。根據WTO的《世界貿易報告》，在過去十年中，服務貿易一直是全球貿易中最具活力的組成部分，平均每年以5.4%的速度增長，而如果采取新的數字技術，發展中經濟體的服務貿易將會發展更快。

由于跨境數據流動的重要性，各國都十分重視該領域的立法與執法工作。且相比于傳統的商品貿易和金融流動以頭部國家穩定占據大部分份額的情況，跨境數據流動的全球增長結構一直在發生變化，頭部國家以外的國家的數據全球化貢獻占比從2005年的13%增加到2014年的23%，大部分發展中國家有機會真正參與到新階段的全球化。所以，不只是發達實體積極制定跨境數據流動的國內法規和國際協議，一些發展中國家也在完善自身的立法和執法情況來促進本國相關產業發展和維護國家安全等。

一、跨境數據流動執法正當性與工具性

（一）正當性的來源

從各國的立法內容來看，跨境數據流動的立法取向存在“三性選擇”問題，即良好的數據安全性、數據自由流動性和數據主權性不能同時兼顧，只能選擇其中兩項作為跨境數據流動規制的核心內容。如果選擇數據安全性和數據主權性，就會制定較為嚴格的數據保護法規，進而限制了數據的自由流動性。各國的政策目標不同，必然存在差異，如同等條件下沒有數據本地化要求的國家將更容易吸引外來數字企業的投資。所以，除非以強制性的國際協議來協調各國的立法差異，各國在差異性的政策目標上就只能顧此失彼。實際上，兼顧數據安全性和自由流動性是較為理想化的取向，需要全球建立統一而有力的保護機制。

（二）正當性與工具性的沖突

但由于數字技術發展迅速和現實經濟政治需要，各國在具體執法中往往會違反立法內容進而突破或者違反這種執法正當性，如美歐《隱私盾協議》就是美歐雙方對于自身立法取向的妥協。筆者認為這種突破立法取向或者內容的執法是發揮了跨境數據流動執法的工具性，是各國為了更大的現實利益所做的妥協。這種工具性意味著各國在實踐中利用跨境數據流動執法的名義來達到立法內容無法實現的目的。筆者將通過的各國實踐事例來探討執法正當性與工具性之間的沖突，并探索中國應對的路徑方向。

二、歐盟的數據立法與美歐數據協議之間的沖突

（一）GDPR和歐盟以往數據立法的價值取向

歐盟的數據立法體系完整且歷史悠久，在歐盟及其前身進行數據立法之前，歐洲各國就展開過相關的立法活動，如瑞典于1973年制定最早的數據法，隨后芬蘭、愛爾蘭、德國等國紛紛跟進。為了促進歐洲一體化進程，歐盟開始了統一立法，最后形成由《81公約》《95指令》和GDPR三個標志性法律文件構成的，關于個人數據跨境流動規制的立法體系。這些法規的特點是嚴格保護數據安全及不斷擴大公民數據權的范圍。歐盟對于個人數據保護的嚴格要求的原因主要有兩點：

歐洲發生過公民數據不受保護而造成的歷史悲劇，二戰時期納粹掌握大量猶太人的個人信息進而有效率地進行種族屠殺的血淚教訓，讓歐盟立法者認為“個人數據無論由政府還是企業所掌握都是難免會出錯的”。所以歐盟要求數據收集活動需要合法性基礎，且需要明確的目的性和數據內容的最小性等。

歐洲的數字產業較為薄弱，全球前30的互聯網企業，歐盟只占一家。歐盟立法者希望通過限制跨境數據自由流動和允許歐盟內部的自由流動來有效扶植本區域的數字企業。根據GDPR的規定，歐盟成員國不得以保護自然人的個人數據處理為由，限制或禁止個人數據在歐盟內部的自由流動。在非個人數據方面，一項歐盟新規于2019年5月28日起實施，旨在消除非個人數據在歐盟內部流動的障礙。這些規定通過創造一個更大的市場來支持建立一個有競爭力的數據經濟，鼓勵更多的數據在整個歐盟流動。

（二）歐盟立法取向與美歐協議的沖突

歐盟的立法取向與實際執法之間最大的沖突體現在美歐數據傳輸協議之上。根據歐盟數據立法的充分性規定，只有當數據轉移目的國達到歐盟所認可的充分保護水平條件，才可以進行數據轉移，而美國并不符合要求。美國企業在歐盟開展與跨境個人數據傳輸交易有關的活動受到嚴重限制。美國政府需要為本國企業開辟一條高效的傳輸數據路徑，歐盟執法者也了解美歐之間巨大的經濟利益。在現實需求的驅動下，經過漫長的談判，2000年歐盟委員會和美國商務部達成了《安全港協議》。該協議暫時緩和美歐的立法取向矛盾。但雙方關于數據立法的價值取向巨大差異仍然存在。2013年，“棱鏡門”事件引發了美歐之間的不信任。2015年，歐盟法院最終裁決《安全港協議》無效。由于巨大的經濟利益，2016年，歐盟委員會和美國商務部達成新的《隱私盾協議》。2020年7月，歐盟法院再次宣布美歐數據傳輸體系無效。美歐數據傳輸的兩立兩廢，突顯歐盟內部關于數據執法的正當性與工具性之爭。

歐盟法院作為司法機構堅持立法取向，歐盟委員會作為行政部門考慮到現實差異不得不選擇突破立法取向進行執法，兩者不可避免地爆發了沖突。根本原因在于，跨境數據流動立法內容無差別針對各個政治實體，如充分性認定標準只考慮各實體的數據保護情況而不會考慮其他特殊因素。但實踐中，跨境數據流動的國際性要求行政者在執法過程中必須考慮個體的實體差異，現實利益因素不可避免地推動行政者在國際協議中進行差別對待。歐盟的正當性與工具性之爭，問題在于立法取向與現實需要不一致，又缺乏統一有力的國際協議來保護數據安全性。在歐盟的跨境數據執法實踐中，執法正當性被暫時堅持，但現實的經濟需求和過往案例意味著工具性與正當性之爭還會繼續。

三、執法工具性在印度的具體運用

印度作為第二大的發展中國家，是最大和增長最快的數字消費市場之一，研究該國的跨境數據流動實踐執法，尤其是其針對中國企業的執法，對于中國的相關實踐具有重要意義。

2020年6月30日，因為中印邊境沖突，印度信息技術部根據《信息技術法》第69A條的規定，援引了《信息技術規則》的有關規定，并考慮到威脅的緊急性，決定禁用59款中國手機應用。禁止原因是它們從事的數據收集傳輸活動對于印度國家安全產生威脅。印度政府懷疑這些手機應用以未經授權的方式將數據存儲到印度以外的服務器。

印度數據立法主要為符合歐盟充分性要求和本國數字經濟發展服務。2010年歐盟白皮書認為印度不滿足充分性要求。為推動數字服務出口和增強數據流動談判籌碼，印度積極改善自身的立法情況，在《國家電子商務政策草案》中明確提出數據主權性和數據安全性。

在這次封禁執法活動中，印度政府并沒有違反其立法取向而是存在程序不合法的情況。印度政府并沒有履行公告中引用的《信息技術法》中的事先通告、聽證會等程序性的要求，也沒有法律文件來規定封禁的程序、權利救濟等。印度政府為了回應國內的反華情緒和民族主義呼聲，運用了跨境數據流動監管的名義來限制中國企業的活動。

四、中國在實踐中的應對

從長期的跨境數據流動執法和各國執法實例來看，我國應當完善數據立法，并以此為基礎積極參與國際協議的制定，進而有效保護我國海外企業和維護國家利益。

（一）完善數據立法

中國在跨境數據流動規制領域起步較晚，沒有獨立規制跨境數據流動的法規。《網絡安全法》的公布是中國第一次對跨境數據流動進行規范，但其適用范圍及其嚴苛程度受到質疑，需要進一步完善有關立法。

無論是歐盟與其他國家達成的充分性白名單，還是美國推動的雙邊數據流動協議，都是在一定法律框架下進行的，中國要參與國際協議制定也需要完善的法律制度提供保障。然而，中國相關立法的缺失，導致中國在RCEP等多邊經貿協議中關于數據流動談判處于尷尬境地。

中國可以考慮建立健全的國內監管原則，例如簡化程序、成立獨立的監管機構、明確制裁和正當程序。考慮中國發達的數字經濟情況，可以從引入隱私保護或針對數字經濟的在線消費者保護法律開始。

（二）積極參與國際協議制定

在完善立法的前提下，我國應利用數字經濟的優勢爭做國際規則的制定者。在與特定實體談判時，可利用我國自身優勢和對方的執法工具性，形成有效的雙邊數據傳輸協議，如與歐盟達成數據協議。在區域協議方面，中國可以借鑒美國推動數據協議的經驗，可考慮借助RCEP、一帶一路等區域經貿合作尋求建立符合中國利益的跨境數據流動標準。在全球協議方面，中國可以努力推動建設統一而有力的數據安全保護機制，來盡可能消除各國立法的差異。

總之，在多層次的國際規則建立過程中，為了維護國家安全和經濟利益，中國應當樹立與中國數字經濟相匹配的數字大國形象。在跨境數據流動國際合作中，中國應當積極提出新方案。

[基金項目]浙江省大學生科技創新基金項目“新苗杯”《跨境數據流動規則的立法趨勢與中國的選擇》編號：2020R403004

參考文獻：

[1]惠志斌，張衡.面向數據經濟的跨境數據流動管理研究[J]..社會科學2016年第8期，.16.

[2]黃寧，李楊.“三難選擇”下跨境數據流動規制的演進與成因[J]..清華大學學報（哲學社會科學版），.2017.年第5期，.179-180.