跨境數據流動分類監管研究

代蘇婉,陳朝暉

(大連海洋大學, 遼寧 大連 116023)

根據中國信息通信研究院最新發布的《全球數字經濟新圖景(2022)》數據估算,數據源在規模上呈現快速增長的趨勢,對當前全球大數據的蓬勃高速發展起到了有力的推動作用。數據在快速發展的同時也衍生出了一系列問題。一方面由于對用戶使用個人數據資源采集、檢索、利用和互聯網傳輸的方式產生了較大程度的改變和影響。另一方面,云計算、大數據、移動互聯網系統等新興互聯網數字信息技術的日益發展和大規模應用,也加劇了我國各類個人信息數據庫安全侵害事件在社會上的多發和反復。然而,我國到目前為止仍尚未制定一項較為通行一致的,且較為全面、體系完整可行的國際互聯網數據安全跨境管理法律。在信息跨境流動方面,目前實施的《個人信息保護法》《網絡安全法》等法規,雖然對互聯網個人信息有專門的保障,但對個人敏感數據、關鍵信息的安全保障范圍、信息安全風險評估的要求、流程細化等方面,還沒有做出專門的要求,對信息本地保存的要求還比較籠統。

一、歐、美數據跨境流動監管的經驗做法

(一) 歐、美對個人跨境數據信息的監管

1.歐盟對個人跨境數據的監管。歐盟的數據跨境監管最早可以追溯至二戰時期。從二十世紀七十年代開始,全球信息新興技術快速發展使得個人隱私數據跨境逐漸被惡意使用。為保證公民權利與數據的正當合理使用,歐洲理事會部長委員會制定并推出了一些跨境數據標準化指南,從而開始推動各成員國個人數據跨境流動有關立法[1]。目前對世界影響力最為廣泛的是在2016年4月推出的《通用數據保護條例》。新規定中關于切實保障廣大公民個人信息方面有幾大看點。第一,對個人數據的定義不斷擴張。除了保護常規公民的個人信息(個人的姓名、身份號碼、通訊地址數據等)外,還相應增加了包括基因數據、生物細胞識別功能數據以及其它和個體健康發展相關的數據,以及政治觀點、性取向等信息。第二,增強數據主體權利。除了在個人隱私信息的安全保護中規定一些常規的知情同意權外,條例還適當增強并明確了數據主體的權利[2]。該條例不僅明確了個人數據保護的適用范圍,而且統一了歐盟內部數據處理的法律原則,使數據的跨境傳輸更具靈活性及多樣性,被評價為是目前全球最嚴格的數據保護法。

2.美國對個人跨境數據的監管。美國主張對跨境數據流動采取寬松的監管政策,以鼓勵數據跨境自由流動。美國政府則以2018年頒布的《澄清域外合法使用數據法案》為主要司法管理制度手段,從數據分析信息的自主流轉向管理的主要工作目標,即CLOUD法案。構成國際跨境數據信息流動管理應用范式的“數據自由論”[3]。這一標準有三類資質認證,其一,對數據的利用、調取、信息資源共享及監督管理等有具體的法律規范和法律程序,并同時具備了相應的激勵機制來處理數據活動。其二,外國政府部門應當是《布達佩斯網絡犯罪公約》的會員國,或至少符合公約對公民數據信息合理使用的規定。其三,各國政府也應當遵守相應的普世價值,如嚴格遵守各國人權義務、享有對世界數據信息的自由流動權利和保護互聯網技術開放、分布、互聯本質的決心以及承諾等。這一措施致使各國數據信息只能單方面地進入美國政府內部,從而造成了數據信息自由流動的壁壘,而這也就是美國單邊主義的霸權思想在跨國數據流動范疇內的進一步擴張,同時美國政府也通過此立法保護本國的跨境數字信息。

(二) 歐、美對企業跨境數據信息監管的經驗做法

1.歐盟對企業跨境數據信息的監管。歐盟在企業數據信息監管方面,建立了CBPR體系,該體系是在2004年達成的《APEC隱私框架》基礎上建立的。APEC所有成員國的企業都可以隨時根據實際業務服務需求,自行加入并受其管理制度束縛。涉及聯合資格審查專家組、隱私執法協調機構、成員經濟體、責任追究與代理機構、公司企業五大主體、三大步驟的CBPR組織的加入程序,一般都比較復雜。一是由成員經濟體首先提出加入;二是有責任追究的代理人加盟;三是商家加盟[4]。CBPR系統目前主要通過兩個第三方監管責任主體——問責代理監管者和隱私執法監管者,負責嚴格監管被認證企業是否真實遵循了CBPR相關隱私政策要求的執行情況。問責代理機構可以在常規的消費者投訴檢查和處理過程中,對認證企業是否遵守CBPR中的隱私保護規則進行審核,如果存在違規行為,在企業限期未改正或拒不改正的情況下,可以責令企業限期改正,使其行為符合規則要求或合同安排。問責機構則通過通報、罰款等方式,將其從認證名單中刪除,予以處罰。

2.美國對企業跨境數據信息的監管。由于與美國政府“棱鏡門事件”、監控丑聞等有關一連串的嚴重及負面事件被陸續公開披露及揭發,美國政府與歐盟在2016年正式宣布由各方重新通過商談方式訂立和簽署了一項新協議,命名為“歐盟—美國隱私護盾”(EU-SU Privacy Shield),又稱《隱私盾協議》。該協議是指歐盟各國與美國官方的行政分支條約,在美國主要被運用于所有想要在歐盟獲取的私人數據信息與資料,以及希望利用此方式獲取隱私盾權益的美國公司,其最主要的原則并沒有直接涉及歐盟成員國之間的私人數據處理,或是企圖改變美國政府特定法律地位下的隱私權力義務[5]。協議中特別規定,美國公司必須承諾保證跨境數據控制主體繼續擁有這種更強的數據權,如果美國公司要直接從歐盟成員國向美國傳輸內部數據信息。美方國家商務部負責人表示將持續督促該企業運行,而美國聯邦貿易委員會則應依據現行的美國政府法規進一步予以保障和實施。

二、我國在跨境數據流動監管存在的問題

(一) 跨境數據相關立法協調性不足

近年來,我國越來越重視跨境數據流動的發展。但是在立法方面,仍存在很多不足之處。一方面,國內對數據跨境流動的監管體系還不完善。數據跨境呈現出日益活躍的趨勢,但我國跨境數據流動監管能力和保護水平仍不足,國家層面缺乏統一監管機構。另一方面,我國目前出臺的規范數據跨境流動的法規之間仍然存在不一致的問題。我國的《數據安全法》和《個人信息保護法》出臺后,我國目前信息跨國流通控制的立法架構已經初步建立,但法律上仍有不少的信息規范體系沒有進行完善,使得全國范圍內跨境信息交易方面出現分歧。因此,在2014年實施的《數據安全法》中第三十一條明確允許符合安全評估標準的數據自由出境,但2014年實施的《人口健康信息管理辦法(試行)》并沒有修訂,第十條仍然明文限制了人口健康數據外流。

(二) 缺乏國際相關合作

我國到目前為止參與跨境數據流動的國際規則制定較少,與外國政府在跨境數據保護方面缺乏合作。雖然我國已逐步適應當前跨境數據流動監管規則的國際發展趨勢,并參與許多跨境數據流動制度方面的國際會議,但是參與數量仍然有限,目前尚無法建立與我國國情匹配的制度優勢。同時,與其他發達國家相比,我國在相關跨境數據流動監管國際規則的數量和程度上發言權相對較弱,在國際監管協調方面的實質性競爭力相對遜色。發達國家利用自身優勢,通過制定各種法律法規,削弱發展中國家對數字貿易協定跨境數據的相關權利,旨在數據跨境流動監管領域獲得主導權,這種國際發展趨勢對于我國是比較不利的。

(三) 跨境數據流動主體權利義務不明確

盡管我國目前實行的相關法律中規定了數據傳播的知情權、刪除權等,并制定了極具我國特色的自然人死亡后由其近親屬行使相關權力的條款,但是基于我對于跨境數據的監管起步較晚,很多數據主權的內容借鑒參考歐盟GDPR得來,因而存在著不完善、不成熟的地方[6]。因而,在落實跨境數據流動監管的基礎上,對自然人個人賦權并且能夠及時運用私法進行救濟,調動社會對于跨境數據進行監督,并且規定剽竊個人信息應承擔的相應處罰義務,確保我國跨境數據有序、合法地開展,是目前我國迫切明確和加強我國跨境數據主體權利的主要途徑。

三、我國數據跨境流動監管的策略

(一) 完善數據跨境流動相關立法

我國擁有著全球最多的網民,數據的跨境和流動總體規模相當巨大,在國家立法制度上,我國關于個人隱私數據信息如何跨境和流動問題的相關規則尚不成完整體系。立法應著重確定個人數據保護權的具體內涵及其法律基礎的各項權利與權責,并將這些主要內容及時妥善地融合應用到相關立法中去,使我國立法制度在合理衡量人權保障和個人跨境數據流通之間體現的法治價值不偏不倚。我國應修改或者完善國家其它法律中關于我國個人數據保護的條款,使新形成的專門保護法與現行部門法在個人數據規范層面可以充分互相配合溝通交流與協調,在具體機構的職能設置層次上,建立并支撐起機構內權責界限分明、功能分工職能明確的監管體系。

(二) 積極尋求各方合作,打造聯合監管同盟

從美國和歐盟各國的實際經驗可以看出,數據信息跨境流動及監管需要多國之間的良好協作相互配合。如美國致力于構建經貿領域數據跨境流動規則,在APEC“跨境隱私保護規則”下形成區域數據自由流動圈;歐盟以GDPR為基準,使各國的數據保護標準向其靠攏,并利用數據保護立法的先發優勢。美和歐盟之間的在信息跨境管理上的自由貿易協定則更注重于對市場準入信息的交換,而美歐安全港模式則代表著一種新的信息數據交換模式——數據目的國保證用自身標準保護了外國居民信息的數據安全,而作為回報來源美國則保證不對信息的跨境流動范圍進行限制,使得世界各國(地區)之間正常的跨境信息交流實現了一個新高度,并在跨境信息管理方法上也采取了不同的管理手段。我國可以借鑒美國與歐盟的“安全港模式”,與世界其他重要經濟伙伴建立類似于“安全港模式”的跨境數據合作模式,最大限度地降低因國內法律不同而造成的彼此間貿易壁壘。對此提出框架建議,第一,對于跨國隱私數據,通知歐洲另一特定經濟體成員或者國家安全局指定的相關公共專業機構對跨國隱私數據執法案件開展調查,并提供對應歐盟GDPR,核實有關違法行為性質及對個人權力造成的嚴重侵害。第二,建立合理有效合作的對話機制,在有關跨境隱私犯罪調查取證和案件執行上加強與歐盟、美國等多個國家和地區間進行法律信息共享。第三,建立針對隱私侵權執法涉外案件的調查及協助處理機制,在國際事務上進行跨部門多邊交流合作。

(三) 加強數據流動主體權力

依據對于本國數據資源實際保障情況及對等政策,建立適合我國國情的白名單機制,將這些區域數據資源引入可合法自由對外數據流轉的相關發達國家與地方。例如,在美國CLOUD法案中的“適格外國政府”名單則明文規定可以促進與其開展有關境外跨境數據信息自主傳播流動執行合作框架協議則應當符合有關法律、權利保護以及跨境信息數據保護實體的基本標準。若是傳輸個人隱私數字信息數據向白名單之外的各國,只要提前獲得信息數據控制者事先同意,數據信息資源就可以隨時跨境流動。從當前國內企業實踐和結果反饋看,跨境數據信息數據充分性的保障安全措施主要因素包含具有約束力的一些大型集團企業規則、標準合同應用條款、事先經管理層嚴格審批的認證準則機制等。國際標準合同條款應按照國際標準數據保護原則,由各政府部門牽頭制定,利用實際標準化合同制度體系來達到精準控制各種數據出境問題。一旦國際標準合同條款在跨國數據控制者、數據分析者、數據處理者等主體間被使用,在沒有主管機關批準的前提下,此類協議可依法獲準開展合法有效的信息數據跨境流動,而無需在有關機關備案。我國已經加入了RCEP體系,在推進全球數字貿易服務新體系模式下,我國跨境貿易及數據信息服務新規則制度體系建設中,也已經開始嘗試實現貿易與全球數字世界服務的接軌。