數據跨境流動的法理反思與制度重構
2023-08-15 13:32:53丁曉東
行政法學研究 2023年1期
丁曉東
關鍵詞:數據跨境;數據主權;數據貿易;數據人權;數據安全主權
近年來,數據出境問題日益引起社會關注。2022年9月1日,國家互聯網信息辦公室公布的《數據出境安全評估辦法》正式生效。此前,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)也在法律層面對數據出境作出若干原則性規定,《網絡安全審查辦法》《個人信息出境標準合同規定》(征求意見稿)從不同的角度對數據出境進行細化。隨著相關法律法規的出臺實施,我國的數據出境法律法規已經大致成型。有必要在法理層面對我國數據跨境問題進行整體性反思,在制度層面對相關核心規則進行分析。
數據跨境不僅是我國面臨的問題,也是國際數據治理領域的一個核心議題。從1980年經濟合作與發展組織(OECD)發布的《個人數據隱私和跨境數據流保護指南》(Recommendation of the Council Concerning Guidelines Goveming the Protection of Privacy and Transborder Flows of Personal Da- ta)到1994年WTO的發布的服務貿易總協定(General Agreement on Trade in Services,GATS)中的“隱私例外”,從歐盟1981年制定的108號公約(the Convention for the Protection of Individualswith Regard to Automatic Processing of Personal Data,Convention 108)到歐美的數據跨境安全港協議(Safe Harbor)、隱私盾協議(Privacy Shield),從2011年的亞太經合組織(APEC)的跨境隱私規則( APEC Cross-Border Privacy Rules,CBPR)到美墨加協議(United States-Mexico-Canada Agree-ment,USMCA),從我國參與的《區域全面經濟伙伴關系協定》(Regional Comprehensive EconomicPartnership,RCEP)到正在申請參與的跨太平洋伙伴關系協定(Comprehensive and Progressive A.greement for Trans-Pacific Partnership,CPTPP)、《數字經濟伙伴關系協定》(Digital Economy Part-nership Agreement,DEPA),數據跨境流動已經成為一個國際法律、國際政治與經濟問題。
本文從法理層面反思數據跨境流動的正當性基礎,并在此基礎上完善我國的數據跨境流動制度。首先結合理論與實踐,提煉數據無國界、數據主權、數據自由貿易、數據人權四種法理基礎。其次,借鑒網絡法與數據法理論、主權理論、帝國理論、貿易與人權理論進行辨析,指出四種理論既具有部分合理性,也存在若干困境。再次,提出數據跨境流動應當建立在數據安全主權的基礎之上的觀點。數據安全主權可以成為各國數據跨境流動的重疊共識,同時也高度契合我國的外交政策與數據戰略。最后,對《數據出境安全評估辦法》(下稱《辦法》)進行分析,指出其在原理層面與數據安全主權具有高度契合性,但在法律技術上仍然高度依賴歐盟等地區和國家的個人信息出境制度,未來需要進一步探索基于風險的制度工具。在風險認知與風險界定方面,《辦法》在具體實施過程中,也應避免絕對、封閉、靜態的安全,應關注數據不能合理出境的國家安全風險,探索更為精準有效的數據安全風險防范制度工具。
一、數據跨境的多重法理基礎
數據跨境流動的法律爭議,并不僅僅是規則爭議。正如德沃金(Ronald Dworkin)所言,法律規則的背后隱藏了法律原則或政治道德哲學,規則爭議反映了數據跨境流動的不同法理。①通過對相關理論與實踐進行分析,首先可以提煉數據無國界、數據主權、數據自由市場、數據人權等若干數據跨境流動理論。
(一)數據無國界
數據無國界的立場與互聯網烏托邦主義思潮密切相關。當20世紀互聯網從軍用領域進入科研機構與商用領域,一批互聯網學者開始主張互聯網的無國界自治。1996年,約翰·巴洛(John P.Barlow)發布了著名的《網絡空間獨立宣言》。在這一宣言中,互聯網是一個獨立的“全球社會空間”(global social space),這一空間“由交易、關系和思想本身組成”,現實世界的“財產、表達、身份、移動和語境的法律概念”都不適用于這一空間,因為“它們都是基于物質的,而網絡空間內沒有物質。”②同年,法律學者大衛·約翰遜(David R.Johnson)和大衛·波斯特(David Post)也撰寫了著名的論文《法律與邊境》,提出互聯網天然具有超越主權的特征,互聯網法并不適合主權與地域性監管。③
從網絡無國界出發,數據無國界就是自然結論。在持此類觀點的學者與專家看來,互聯網本身就是自由和開放的。20世紀70年代初,溫特·瑟夫(Vint Cerf)和羅伯特·卡恩(Robert Kahn)設計的TCP/IP協議就奠定了互聯網的公共屬性。在數據跨境問題上,只有數據可以自由地全球流動,作為全球社會空間的互聯網才能實現。除了少數涉及恐怖主義、國家安全、兒童色情等情形下的數據傳輸問題,任何國家和地區都不應對數據跨境流動施加過多限制。近年來,也有部分學者進一步提出了數據例外主義(data exceptionalism),認為數據具有天然的流動性,主權國家的地域監管無法直接適用在數據問題上。①
(二)數據主權
網絡與數據無國界的理論遭到了多方批判。很多學者認為,網絡與數據無國界的主張在現實中并不存在,互聯網不可能逃脫主權國家的監管,所謂超越地域的互聯網全球主義,完全是一種烏托邦式的幻想。哈佛大學法學教授、后來曾在小布什政府法律顧問辦公室擔任司法部助理部長的杰克·戈德史密斯(Jack Goldsmith)提出,自從電報和通信發明以來,基于主權國家或區域性的監管就一直存在,互聯網的出現并未改變這一點。互聯網的主權與地域監管仍將不可避免,而且仍然是互聯網治理的有效方案。②
在理論層面,也有很多觀點論述數據主權的必要性。例如亞利桑那法學院的安德魯·武德教授(Andrew Woods)在《耶魯法律雜志》上撰文,提出在司法訴訟等問題上尊重數據主權,這可以實現基于“主權差別(sovereign difference)”的治理,而非實現一種單一的規則體系。③還有學者認為,數據主權可以成為數字經濟后發國家的重要工具,有利于這些國家自主發展數字經濟,免受“數據殖民主義”(data colonialism)之害。④在這些觀點看來,數據是新時代的石油或原材料,如果主權國家沒有權利管理其主權范圍內的數據,那么數據就會源源不斷流向數字經濟發達的國家和地區,而數字落后國家不能從中得到任何好處。⑤
(三)數據自由貿易
數據跨境的第三種法理建立在數據自由貿易基礎上。這種觀點以美國為代表。美國將數據跨境自由流動視為自由貿易的一部分,并將各國數據保護的不同標準視為對數據自由流動的挑戰。在1980年美國眾議院舉行的一次聽證會上,政府信息和個人權利小組委員會主席就提出,美國公司常常“必須滿足不同國家法律法規的各種要求”,這將對美國企業的數據傳輸和自由貿易造成重大威脅。⑥基于對數據自由貿易的擔憂,由美國主導的世界經合組織于1980年發布了《個人數據隱私和跨境數據流保護指南》,以協調各國的隱私與個人信息保護法,保持數據的全球自由流動。在此之前,美國醫療、教育與福利部已于1973年發布了影響深遠的“公平信息實踐”原則(Fair Infor-mation Practice Principles)。這一原則要求禁止秘密儲存個人檔案,保障個人知情權,基于個人授權而使用個人信息、個人檔案的更正權、信息安全等。①OECD將這些原則注入《指南》,為各方提供雖然不具有正式法律效力、但具有“軟法”特征的數據自由流動架構。②《指南》強調,經合組織成員應“采取一切合理和適當的步驟,確保個人數據的跨境數據流動,包括通過成員國之間的不間斷和安全傳輸。”③同時,它還建議各國避免對隱私進行過度保護,避免“以保護隱私和個人自由的名義制定法律、政策和做法,對個人數據的跨境流動造成障礙,超過此類保護的要求”④。
在《服務貿易總協定》的談判歷程中,數據跨境作為自由貿易的觀點也一直伴隨其中。在烏拉圭回合談判中,一個關鍵問題即是如何通過協議避免對數據跨境流動和自由貿易造成障礙。在這一過程中,美國運通等企業在其中起了重要作用。⑤這些跨國企業向美國政府施壓,提出如果“沒有快速、無阻礙的全球通信,(跨國企業)將根本無法運作”。在美國的影響下,《服務貿易總協定》最終沒有對數據跨境流動進行太多限制,只是在例外中含混提到了隱私保護可以限制數據跨境流動。當時,除了美國,歐洲公司在金融、保險和其他專業服務領域也處于全球領先地位,也依賴于全球的跨境數據流。因此,各方整體采取了數據自由貿易的立場,對數據跨境中的隱私保護問題采取了模糊化處理的方式。⑥
目前,數據自由貿易的立場在亞太經合組織的跨境隱私規則(CBPR)、美國-墨西哥-加拿大協議(USMCA)中都有鮮明體現,這兩個規則都由美國所推動與主導。2011年制定的亞太經合組織跨境隱私規則建立在2005年亞太經合組織隱私框架(APEC Privacy Framework)基礎之上,并且與后者一樣,都不對主權國家產生直接約束力。但這一規則設立了一種認證機制,即允許加入該規則的國家中的個體、企業加入認證機制。企業一旦獲得亞太經濟合作組織的認證,就可以在加入該規則的國家之間自由傳輸數據。⑦因此,可以說亞太經合組織跨境隱私規則最大限度地促進了數據自由貿易。2020年達成的美墨加協議進一步強化了這種立場。該法案首次設立“數字貿易”章節,強調除非是出于合法公共目的,并且采取非歧視性條款,美墨加三國的任何一方都不能限制個人信息跨境流動。此外,該協議也采取了企業認證機制的跨境傳輸途徑,承認亞太經合組織跨境隱私規則的認證是個人信息跨境流動的充分保障。⑧
(四)數據跨境的人權保護
數據跨境流動的第四種法理建立在人權保護理論之上。這種理論以歐盟為代表,并在近年逐漸輻射到很多國家。與美國采取市場化的視角看待數據不同,歐盟傾向于從人權保護的角度看待個人數據保護與數據跨境流動。尤其是近二十年來,歐盟逐步強化了這一立場。2000年制定并于2009年生效的《歐盟基本權利憲章》第8條第1款規定:“每個人都有權保護與其有關的個人數據。”2018年生效的《一般數據保護條例》進一步貫徹了這一立場,將個人數據被保護權視為一種基本人權。在數據跨境流動問題上,歐盟認為,數據只能傳輸到和歐盟具有同等保護程度的國家和地區,只能在少數特殊情形下進行克減。
最能體現歐盟數據人權立場的是Schrems Ⅰ和Schrems Ⅱ案。Schrems Ⅰ案涉及美國與歐盟之間于2000年達成的安全港協議(Safe Harbor),根據該協議,遵守隱私和安全原則的美國公司可以合法地向歐洲發送和接收數據。這一協議為當時很多美國企業傳輸數據提供了方案。但隨著2013年斯諾登的棱鏡門事件爆發,歐盟法院(Court of Justice of the European Union,CJEU)在SchremsⅠ案中認為,美國政府對歐盟居民的權利保護不足。①其后,奧巴馬政府于2016年重新和歐盟進行了談判,并達成了隱私盾協議(Privacy Shield)。隱私頓協議增強了美國對歐盟傳輸個人數據的保護,例如在美國國務院設立了一個隱私保護監察員,以回應歐盟個體關于美國國家安全監控的投訴;并建立了歐盟委員會的常規審查機制。②但是,盡管歐盟委員會在每兩年的審議中兩次通過了隱私盾的審核,但歐盟法院(CJEU)還是在2020年的SchremsⅡ案中再次宣布其無效,認為其未達到歐盟個人數據保護的水準。③歐盟法院特別指出,美國政府通過的《美國外國情報監視法》(Foreign Intelligence Surveillance Act,FISA)第702條“外交事務”一節和里根政府的第12333號行政命令,④可以讓美國政府對歐盟公民的個人數據進行監視,這對歐盟公民的基本權利造成了重大威脅。
二、邁向數據安全主權的法理
對數據跨境流動的已有法理進行反思,可以發現他們有一定的合理之處,但也存在若干重大困境。本文認為可以將數據安全主權作為數據跨境流動的替代。這一法理基礎可以被視為已有數據跨境法理的重疊共識或“未完全理論化的協議”。⑤它可以為不同國家和地區提供一種可行方案,兼顧數據全球有效流動與各國關切,而且與我國的對外立場高度契合。
(一)現存數據跨境法理的困境
首先,絕對化的數據無國界已經被實踐證明并不現實。數據傳輸以比特為單位,比特本身的確具有超越國境的特征,可以被光速傳播與無限傳輸。但附著在數據上的個人權益保護、財產屬性與國家安全,卻不可避免會引來各國的監管。無論是直接涉及國家主權的為“執法司法目的”①,還是間接涉及國家主權更多與公共政策相關的為“業務目的”而數據跨境,各國都不可避免對其進行監管。②另外也可以想象,如果主權國家或國際社會對數據跨境流動不進行監管,那么其結果必然將是大型跨國企業直接主導數據的跨境傳輸。正如扎克伯格(Mark Zuckerberg)所言,如今大型跨國科技企業“在很多方面更像一個政府,而不是一家傳統公司”③。如果無條件地采取數據無國界的立場,數據跨境將失去國際社會與主權國家的民主監督,其規則制定權將僅為少數大型企業所掌握。④
其次,絕對化的數據主權也面臨數據特殊性的挑戰。傳統威斯特伐利亞式主權( WestphalianSovereign)將領土、人口視為其核心要素,并對其主權范圍內的資源、財產、產品、知識產權等各類有形財產和無形財產要素進行監管,但與傳統要素相比,數據首先具有天然的流動性特征。當不同國家和地區的人們發送電子郵件、跨國交流,就不可避免地會發生數據傳輸,數據將被切割為一個個的數據包,通過TCP/IP協議而實現非歧視性的傳輸。數據的這種流動性與傳統有形財產或無形財產的流動性不同,商品、貨幣都會流動,但其流動都是以人們可以感知或預測的方式跨境轉移,而數據則并非如此。⑤如果對數據流動施加過多限制,甚至施加類似傳統商品的管制措施,則很多正常的國際交流都將面臨障礙。此外,數據還具有非競爭性(nonrival)與非排他性(nonexcludable)的特征。⑥數據可以被無限復制,但并不會直接損害數據的價值,也不會在相關主體之間直接引起紛爭,這與傳統的有形財產或無形財產都存在區別,因為即使是電子貨幣,也具有稀缺性這一基本特征。就此而言,數據跨境流動雖然涉及主權國家之間的利益分配問題,⑦但這種分配與石油、黃金、貨幣等傳統要素的利益分配不同,更與早期西方殖民主義掠奪其他國家和地區的財產有重大區別。⑧
再次,數據自由貿易立場雖然有一定合理性,但也存在種種問題。數據自由貿易的優點毋庸置疑,例如可以提高全球合作的效率,增加全球財富。在全球化面臨脫鉤與全球互聯網面臨萊姆尼教授(Mark Lemely)所說的“分裂網”⑨(Splinternet)的背景下,強調數據貿易與合理的自由流動,尤其具有重要價值。此外,數據自由貿易還可能為第三世界的個體賦能,為個體提供發展機會。正如錢德勒教授(Anupam Chander)所言,“服務業現在與全球市場結合在一起,盡管存在移民障礙,發展中國家的工人仍能夠參與利潤豐厚的西方市場”①。例如在數字經濟的外包行業中,很多發展中國家的個體可以提供比發達國家工人性價比更高的服務,為發展中國家的勞動者提供并不完美但更好的機會。
但數據附著了主權國家關注的眾多問題,必然受到主權國家及其人民的法律約束。尤其是個人數據或數據隱私,各國對于如何看待隱私、采取何種方式與何種程度保護個人數據,往往非常不同。正如惠特曼教授(James Whitman)所言,美國傾向于以自由(liberty)的觀點看待隱私,而歐盟則傾向于以尊嚴(dignity)的觀點看待。②在數據隱私保護方式上,美國整體采取了市場進路,歐盟則采取了基本權利進路。③如果僅僅以貿易的方式看待數據跨境流動,則實質上是將美國的數據立場無差別地推廣到其他國家和地區。這種進路看似“中立”,實則威脅其他主權國家規制數據的權利。④在美國掌握全球數據與強化國家安全的背景下,數據自由貿易的問題更為突出。目前,全球主流的互聯網與科技企業仍然由美國主導,這些互聯網與科技企業在全球收集了大量數據。同時,美國在國家安全問題上又體現現實主義與霸權主義的特征。除了上文提到的《美國外國情報監視法》與第12333號行政命令,美國又在近年制定了《澄清海外合法使用數據法》⑤(Clarifying Lawful Overseas Use of Data Act,CLOUD Act)。根據這一法律,任何受到美國管轄的公司,不論其數據是否儲存在美國或國外,當美國聯邦執法機構進行執法時,都必須提交數據。《澄清海外合法使用數據法》的長臂管轄使得很多國家的數據本地化法律面臨失效的風險,使得美國可以以執法的理由獲取全球的大部分數據。面對美國在數據領域的“監視資本主義”(surveillance capitalism),⑥各國都不得不通過各種方式加以應對,以限制美國以自由貿易之名對其他國家的個人與國家數據安全造成威脅。
最后,數據人權的立場在具有合理性的同時,也可能導致單邊主義與長臂管轄,甚至走向文明優越主義。以歐盟為例,由于歐盟采取“人權隨著數據走”的立場,這導致了歐盟對于數據的超級管轄。就地域管轄而言,《一般數據保護條例》第3條規定,即使個人數據處理行為不是在歐盟內進行,只要數據控制者或處理者位于歐盟,即受歐盟管轄;同時,任何域外國家和地區“為歐盟內的數據主體提供商品或服務”或者進行“監視”,也受其管轄。就跨境而言,《一般數據保護條例》要求所有數據接收方都必須按照歐盟的標準進行保護。正如上文所述,即使是美歐之間達成的安全港與隱私盾協議,也一再被歐盟法院認定為無效。對于絕大多數發展中國家,要想獲得歐盟數據跨境傳輸的認可,其難度更大。在歐盟看來,絕大多數國家和地區對數據人權的保護都未達到歐盟的標準,其潛臺詞無異于說,歐盟在數據保護方面的更具有文明優越性。
此外,歐盟的數據人權立場也隱含了現實主義立場。這一立場與建構歐盟統一數據市場,為全球建構個人數據保護標桿的戰略不謀而合。歐盟《一般數據保護條例》之所以推出,一個重要原因就在于歐盟各國在數據保護方面各自為政,沒有形成統一的標準,因此需要一部“條例”(regulation)對各國進行直接適用,對內建立統一的個人數據保護標準,①對外則通過布魯塞爾效應( Brussels Effect)設定可以和美國對抗、影響全球的數據準則。②這也就是為什么《一般數據保護條例》會規定,各國都不得再制定更高層級的個人數據保護標準。應當說,歐盟的這一戰略與其自身的現實處境密切相關,而且在對外設定標準方面取得了顯著成效。③自《一般數據保護條例》生效以來,各國紛紛仿效歐盟進行立法;而其數據跨境流動的立場更是迫使很多國家改變了其數據保護規則。④有學者因此認為,歐盟在數據跨境方面表面上采取人權話語,實際上卻奉行霸權主義,是利用其充分性認證等法律手段進行“船艦外交”(gunboat diplomacy)。⑤
(二)作為重疊共識的數據安全主權
為了回應現有數據跨境理論的困境,可以將數據安全主權作為替代理論。數據安全在各國都具有堅實的法理基礎。上文提到,美國傾向于從市場的角度看待個人信息保護,歐盟傾向于從人權的角度看待,但二者都不否認風險進路。就美國而言,美國聯邦層面的若干立法都集中于風險較高的領域。例如1970年首部具有個人信息保護法雛形的《公平信用報告法案》(The Fair Credit Reporting Act),就主要針對征信這一高風險領域。其后,美國在金融、視頻、電信、醫療、兒童保護等領域的立法,也與風險規制密切相關,這些領域的個人信息一旦被泄露或不當處理,就可能對個人和社會產生重大威脅。
就歐盟而言,歐盟《一般數據保護條例》及相關立法也將風險規制視為重要進路。例如,《一般數據保護條例》第32條規定了與風險相稱的技術與組織措施,要求控制者和處理者采取“適當技術與組織措施,以便保證和風險相稱的安全水平”。第35條規定了風險評估,要求控制者“在處理之前評估計劃的處理進程對個人數據保護的影響”。第36條規定了監管機構的風險監管,要求“當控制者無法識別或減小風險”,監管機構應采取相應措施。此外,個人數據處理的一般原則均可從風險的角度進行解讀,例如告知同意為個體提供了風險預防的機會;數據最小化、目的限定、數據安全等原則盡量減低個人信息處理的風險。歐盟雖然強調個人數據保護的人權立場,但這一立場并不排斥風險進路的解讀。有不少學者指出,歐盟個人數據保護法中的人權與風險立場如影相隨,既具有話語層面的不同,但更多具有重疊共識。①
我國與其他發展中國家則更關注風險問題。如果說歐盟有納粹的歷史記憶,具有更為意識形態化的人權立場,那么其他國家和地區則更關注伴隨數據的相關風險。以我國為例,我國《個人信息保護法》雖然與歐盟《一般數據保護條例》具有高度相似性,但在個人信息概念、敏感個人信息、用戶畫像、監管救濟與合規制度等方面都與歐盟存在差異,更注重對風險進行監管。此外,我國制定的《網絡安全法》《數據安全法》等一系列安全性法律法規,更說明了我國數據監管的風險進路。
當然,各國對于數據風險的認知與容忍度可能不同。例如在信奉市場與強調冒險精神的美國,其對數據風險的容忍度較高,因此其法律更多采取事后救濟的方式應對風險。②歐盟則對個人數據風險容忍度較低,因此更多引入了預防原則。③我國則強調安全與發展兼顧、“既要又要”的風險規制進路。但此類不同不妨礙各國對此進行多邊主義協商,達成既兼顧數據有效流動,又關照各國不同風險規制的協議。在食品、藥品、汽車、航空等其他領域,各國也有不同的風險認知與容忍度,但它們仍然可能達成商品跨境貿易的協定。
(三)作為我國對外戰略的數據安全主權
從數據安全主權建構數據跨境流動,也符合我國在數據涉外問題上的立場。近年來,我國數據的頂層戰略逐漸清晰明朗。在數據問題上,我國既沒有明確采納“數據主權”的概念,也沒有采納數據無國界或完全自由貿易的立場,而是從數據安全與風險的角度闡述全球安全立場。④2020年,我國發布了《全球數據安全倡議》,這一倡議一方面重申“各國應致力于維護開放、公正、非歧視性的營商環境,推動實現互利共贏、共同發展”,另一方面承認“各國有責任和權利保護涉及本國國家安全、公共安全、經濟安全和社會穩定的重要數據及個人信息安全”。倡議提出了一些具體主張,例如積極維護全球信息技術產品和服務的供應鏈開放、安全、穩定,反對濫用信息技術從事針對他國的大規模監控、非法采集他國公民個人信息,不得要求本國企業將境外產生、獲取的數據存儲在境內,各國應尊重他國主權、司法管轄權和對數據的安全管理權,不得在產品和服務中設置后門,非法獲取用戶數據、控制或操縱用戶系統和設備。這些主張與倡議,表明我國在數據戰略上既注重各國的主權安全關切,反對霸權主義與單邊主義,又注重全球數據的合理流動與人類命運共同體的建構。
我國加入《區域全面經濟伙伴關系協定》(以下簡稱RCEP)也可以印證這一立場。該協定要求“在制定保護個人信息的法律框架時,各方應考慮國際標準、原則、指南和相關國際組織或機構的標準”;①就數據跨境流動而言,各國可以采取措施實現“合法的公共政策目標”,但“該措施的實施方式不得構成任意或不合理的歧視手段或變相限制貿易”。②尤其值得注意的是,RCEP還規定,“執行此類合法公共政策的必要性應由執行方決定”,③而且各國還可以采取“為保護其基本安全利益(essential security interests)而必要的任何措施”。④RCEP數據跨境規則的落地,體現了我國和廣大發展中國家以風險為基礎的共同意志。⑤目前,我國正在尋求加入《跨太平洋伙伴關系協定》(CPTPP)、《數字經濟伙伴關系協定》(DEPA),這兩部協定與RECP在某些細節方面存在差異,⑥它們更強調數據流動,對數據本地化等措施持更謹慎等態度,⑦僅允許各國“合法的公共政策目標”而對數據跨境進行限制。但在基礎原理方面,這兩個協議仍然與我國基于風險的多邊合作立場具有契合性。⑧
基于數據安全主權的法理建構數據跨境制度,有利于我國發展獨立自主的數據話語體系,為全球數據跨境提供公共產品。目前,美國基于其在數字科技的主導性與數據情報獲取能力,采取數據全球流動+國家安全的雙重戰略,往往能最廣泛地獲取全球數據,同時服務其商業利益與國家安全。但這對其他國家與地區造成了不對稱優勢與威脅,形成了一種奈格里(Antonio Negri)、哈特(Michael Hardt)、哈維(David Harvey)等學者所稱的新帝國陷阱。⑨而歐盟采取人權立場+歐盟單一市場的戰略,既保證了歐盟內部的團結與一體化,又占據了全球數據規則制定的道德高地,⑩不失為歐盟在數字經濟落后背景下的一種戰略嘗試:建設一種更加“文明”“優越”版本的“歐盟數字空間”。⑾但除了歐盟及少部分追隨歐盟的國家,這種立場實際上將包括我國在內的大部分國家都宣布為“數據洼地”,充滿了歐洲中心主義的傲慢。這種立場既不利于全球絕大部分國家自主制定數據法律政策,也不利于全球數據的合理流動。目前,我國在數字科技領域已經發展為僅次于美國的大國,在全球范圍內的影響力也逐漸上升。在這一背景下,采取數據安全主權的數據戰略,可以為我國提供具有融貫性的數據對外戰略。⑿
三、數據出境安全評估的原則重構
2022年生效的《辦法》正是在數據安全主權的背景下制定的,而且是一種較為寬泛和綜合性的安全評估。這一立場在法理基礎層面具有現實正當性,與本文所主張的數據安全主權進路具有較高的契合性。但在安全與風險的理解方面,也面臨一定國家安全泛化的危險,造成安全的反噬。為此,應秉持“人類命運共同體”“安全不可分割”的立場對數據出境安全評估進行原則重構,以更好地落實數據安全主權的基本原理。
(一)《辦法》的綜合風險預防進路
首先,在評估類型方面,《辦法》將重要數據、關鍵信息基礎設施運營者與一定數量的個人信息放在一起加以考慮,認為此類數據出境都應當進行評估。①從法律淵源與數據性質來看,這些不同類型的數據差異較大。例如,重要數據源自2017年實施的《網絡安全法》第37條提到的應在境內儲存的類型,其后在《數據安全法》中進行了進一步詳細規定。《辦法》進一步從風險的角度對重要數據進行了規定,第19條規定:“本辦法所稱重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。”②關鍵信息基礎設施運營者和個人信息則分別主要源于《網絡安全法》和《個人信息保護法》,但在不同法律中也有交叉規定。《辦法》將此類不同的數據進行統一規定,說明我國并未嚴格區分不同數據類型,都從風險的角度對其進行一體評估。
其次,《辦法》所要求的評估事項也是綜合性的。第5條要求數據處理者對如下事項進行自我評估:“(一)數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性;(二)出境數據的規模、范圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;(三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;(四)數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;(五)與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等(以下統稱法律文件)是否充分約定了數據安全保護責任義務;(六)其他可能影響數據出境安全的事項。”第8條對國家網信部門的評估重點進行了規定,其中絕大部分與自我評估事項重合,僅增加了境外國家的所在國家和地區的數據環境與數據保護水平等事項,數據處理者往往難以對此類事項進行自我評估。③這說明《辦法》從綜合性角度出發,一體看待各類數據所產生的安全風險。
(二)合理、開放與動態的風險預防
在理解與解釋《辦法》時,應注意采取合理、開放、動態的預防原則來預防相關風險。首先,數據出境所帶來的安全風險并不是絕對和孤立的,不僅數據出境可能造成風險,數據無法合理跨境流動同樣存在風險。追求絕對安全與零風險不僅無法實現,反而可能造成更多的其他風險。正如習近平總書記指出:“網絡安全是相對的而不是絕對的。沒有絕對安全,要立足基本國情保安全,避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼。”①在數據出境安全評估上,如果盲目追求絕對安全,導致大量不具備安全隱患的數據無法出境,其結果將反噬國家安全本身。例如,我國曾出現普通商品編碼出境受阻,導致海外網站無法溯源商品,大量下架中國制造商品的情形。其實,普通商品編碼的國際流動是全球通例,對于維護商品安全具有重要意義。我國網信部門在未來依據《辦法》進行評估時,應注意避免此類情形的出現,積極探索白名單等制度。在防范數據出境風險等同時,注重防范數據無法合理出境導致的風險。
其次,數據安全主權是開放而非封閉的,應將數據出境安全評估與對外交流緊密結合,促進我國與其他國家數據流動圈、朋友圈的不斷擴大。②綜觀《辦法》,可以發現其具有較強的防御色彩,例如要求境外接收方的數據保護水平不得低于我國。此類“數據防御主義”針對美國和歐盟具有較強的合理性,③但如果一旦泛化到針對廣大發展中國家,就未必能有效維護我國的數據安全主權。我國互聯網與科技企業在很多發展中國家都扮演了重要角色,數據在我國與這些國家之間的自由流動,不論對于我國科技與互聯網企業發展獲取更多數據,還是對于發展中國家減小成本,都具有重要意義。④如果將針對美歐的數據防御主義拓展到廣大發展中國家,不僅人為給我國的數據產業發展設限,而且還可能引發其他發展中國家效仿,對數據跨境流動競相設置越來越高的門檻。習近平總書記指出:“網絡安全是開放的而不是封閉的。只有立足開放環境,加強對外交流、合作、互動、博弈,吸收先進技術,網絡安全水平才會不斷提高。”⑤我國網信部門在《辦法》實施過程中,應秉持“人類是不可分割的安全共同體”⑥的原則,對各國采取溝通合作態度,避免從單方數據安全進行數據評估。尤其自烏克蘭危機發生以來,美歐重啟數據協作與談判,我國更應注重將數據跨境安全評估與對外交流相結合,注重與廣大發展中國家協調合作。
最后,數據安全主權是動態而非靜態的,應不斷探索和調整更為合理的數據風險防范方案。《辦法》聚焦數據本身,圍繞數據出境的全流程和各主體進行評估,這是制度探索之初的有效設計。但在制度執行上,圍繞數據本身而構建制度,存在執法成本高難度大、數據處理者違法成本低難度小等難題。所謂執法成本高難度大,指的是政府需要花費大量時間精力對相關風險進行評估,難以有效對各類風險進行全面預測,對各類風險進行精準的事前預防。所謂數據處理者違法成本低、難度小,指的是數據處理者很容易通過各種手段規避評估。例如數據處理者可以先在國內設立多個處理者,將跨境數據流動控制在10萬人個人信息或者1萬人敏感個人信息之下,從而規避《辦法》所需要評估的門檻。數據處理者通過云盤、郵箱、微信、U盤、筆記本電腦直接將數據傳輸到國外,也很難被執法部門發現。從法律原理上看,如果未來依據《辦法》的評估執法成本過高、收效過低,就應當對評估手段進行調整,探索其他更為有效的數據風險防范手段。例如,未來可以探索更為有效的數據溯源治理,一方面構建“可信任”的跨境數據傳輸,①另一方面對風險點位進行更有效精準的事前預防,避免“撒大網”式泛化評估的弊病。
四、《數據出境安全評估辦法》的制度完善
在法律制度層面,《辦法》應根據數據安全主權的原則與上文提到合理、開放與動態的風險觀進行設計。目前,《辦法》在制度層面對此進行了有益的探索,但整體上仍然依賴歐盟等地區和國家的法律方案。需要對其進行調整與完善,針對一定數量的個人信息、重要數據、關鍵基礎設施數據分別探索精準風險評估的制度工具。
(一)一定數量的個人信息出境
《辦法》將達到一定數量的個人信息出境納入其評估范圍:自上年1月1日起累計向境外提供10萬人個人信息、1萬人敏感個人信息。這一規定的直接上位法依據是《個人信息保護法》第40條:“處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估。”在《辦法》征求意見階段,這一規定曾經引起較大爭議,認為其評估門檻過低,可能導致評估的泛化。
在制度層面,這一規定的問題在于采取何種方式對一定數量的個人信息出境進行風險評估。目前,《辦法》以及相關制度受到了歐盟較大影響。歐盟《一般數據保護條例》提供了多種數據跨境流動的途徑,例如第45條規定了“基于認定具有充分保護的轉移”,即數據可以傳輸到具備充分性(adequacy)保護的國家和地區。第46條規定了標準合同條款(standard clauses)、有約束力的企業規則(binding corporate rules)、行為準則(codes of conduct)、認證機制(certification mechanisms)、特別合同條款(ad hoc contractual clauses)等方式。我國與歐盟在若干制度上具有高度相似性。例如《個人信息出境標準合同規定》(征求意見稿)與歐盟標準合同條款具有類似的制度設計。而《辦法》要求企業自評估和政府評估都考慮出境對“個人權益”的影響,政府評估還要求評估“境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規的規定和強制性國家標準的要求”。這些要求顯然受到了歐盟“數據保護影響評估”(DPIA)、“充分性認定”(adequacy)、“跨境傳輸評估”(TIA)等制度的影響。②
但正如前文所述,歐盟此類制度設計的理論基礎是其歐式的人權標準,契合的是歐盟的意識形態與現實利益。例如對于充分性認定,《一般數據保護條例》規定必須考慮所在國“法治、對人權與基本自由的尊重”、是否擁有獨立監管機構、是否具有有效司法救濟。目前,歐盟僅認定了新西蘭、瑞士、以色列、日本、烏拉圭、英國等14個國家達到了充分保護性標準。對于其他傳輸機制,Schrems Ⅱ案也強化了對其個人數據保護標準與人權保護標準的審查。①正如EDPB在指南中所言:“無論選擇何種第46條GDPR傳輸工具,都必須確保傳輸的個人數據具有本質上同等級別的保護。”②這些工具與歐盟的數據話語與數據戰略更為契合。③這種數據人權話語使歐盟在話語權層面占據了道德高地,有效地抵御了美國對歐盟的數據威脅。例如上文提到的Schrems I案、Schrems II案,盡管在美國受到了一大批專家學者的批判,④但美國政府仍然不得不接受。同樣,盡管《澄清海外合法使用數據法》可以通過行使其長臂管轄而獲取很多海外數據,但在歐盟的數據人權話語面前卻束手無策。
反觀我國,我國采取了數據安全主權的理論基礎。《辦法》以“一定數量”來作為個人信息出境評估的前提,也再次說明其理論基礎在于總體風險,而非歐式的個體人權。在這一背景下,就應當積極探索與國家整體數據風險密切相關的制度框架,拋棄關系較弱的某些制度。目前,《辦法》中有的制度和國家層面的數據風險相關,例如企業對個人信息采取的安全保護措施;有的關系較弱,例如個人信息權利中對個體的告知同意要求;還有的則和風險沒有太大聯系,例如個人信息攜帶權。⑤如果對《辦法》進行嚴格的字面解釋,當某一境外接收方所在國并未規定攜帶權,或者其告知同意的要求并未達到我國《個人信息保護法》的水準,則此類傳輸無法通過數據安全評估的要求。但從風險出發,此類跨境傳輸對國家數據安全風險并無影響,甚至在有的情形下可能更為安全。例如某些國家與地區并不支持或嚴格限定數據查詢權、更正權,此類法律制度雖然影響個體權益的實現,但卻可能避免個人數據因為被人冒用查詢權、更正權而被泄漏。因此,未來我國在對個人信息出境評估中,應當堅持對風險進行實事求是的評估,避免套用歐盟具有意識形態化的充分性認定進路。⑥
(二)關鍵信息基礎設施的個人信息出境
關鍵信息基礎設施的概念首先在《網絡安全法》中進行規定,其后在《個人信息保護法》與《數據安全法》中又被重申。《辦法》第4條第2款依據《個人信息保護法》第40條,規定“關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息”,應當進行評估。這實際上是從“設施”+“個人信息”的角度,將此類跨境場景納入數據評估的范疇。
但在制度層面,這一類型的評估也需要更為精準與契合的工具。對于此類評估,需要明確其評估的風險到底是關鍵信息基礎設施和處理100萬人以上個人信息的數據處理者的設施遭受侵害的風險,還是個人信息權益被侵害的風險?在《網絡安全法》中,關鍵信息基礎設施是網絡安全等級保護的升級,其概念被界定為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益”的設施。這就是說,關鍵信息基礎設施的核心在于保護設施安全,而非其持有的少量個人信息的安全。《辦法》將“處理100萬人以上個人信息的數據處理者”與關鍵信息基礎設施并列,但并未規定向境外提供數據的數量,也意在強調此類處理者的設施安全,而非少量個人信息本身的安全。如果此種理解正確,那么對此類場景的評估應當聚焦于關鍵信息基礎設施遭受境外組織和機構攻擊的風險,而不必和向境外提供個人信息進行綁定。即使此類設施沒有向境外提供個人信息,或者其向境外提供的是除了個人信息與重要數據之外的一般信息,但只要這類設施容易為境外組織和機構所攻擊,則此類情形也應視為存在跨境風險。畢竟,一旦發生黑客攻擊或數據泄漏,關鍵信息基礎設施中未向境外提供的個人信息或重要數據就很容易為境外所獲取。
(三)重要數據出境
就重要數據而言,這一概念為我國所獨有,也需要進一步獨立設計可具操作性的風險評估制度。目前,《辦法》從多個環節與角度對這類數據的風險進行評估,例如數據出境的必要性、出境數據的性質、數據接收方的安全保障能力、數據泄漏的風險等,但這些規定更多是從一般風險的角度對數據安全進行評估,缺乏與國家數據安全或數據安全主權的直接聯系。就連重要數據的定義本身,也采取了“可能危害國家安全、經濟運行、社會穩定、公共健康和安全”的泛化定義,缺乏精準評估的抓手。在缺乏精準評估的制度框架下,評估者就有可能“寧嚴勿寬”,以避免不必要的責任與風險。
數據安全評估一旦變得泛化,就可能落入上文所說的絕對、封閉、靜態的安全認知陷阱,造成某些不必要的評估和安全的反噬。例如對于生產一般性商品的企業所產生的數據,從最泛化的安全意義上看也可能屬于重要數據,或者至少需要進行數據安全評估。但這類企業所產生的數據幾乎不可能對國家層面的數據安全造成影響,即使產生數據安全影響,這類影響也難以進行事先評估與預防。對于互聯網平臺等公共領域可以獲取的數據,這類數據則幾乎不可能阻止其出境。從有效預防的角度出發,應對重要數據進行限定,將這類數據界定為具有戰略性價值、非公開或半公開的數據,例如道路交通等測繪性信息數據。對此類數據的風險點位進行提煉,設計更具有針對性與法律操作性的評估制度,既有利于國家網信部門進行精準評估,也有利于減少社會誤解。①
結語
數據是數字經濟的核心要素,數據的戰略性價值已經毋庸多言。從全球競爭的視角來看,當前各國正處于數據競爭的大航海時代:數據競爭類似五百年前大航海時代各國對于全球新大陸的競爭。五百年前,誰能發現和控制新大陸資源,誰就能獲得大國競爭的先發優勢。今天,誰能持續掌握數據,擁有獲取數據與傳播數據的通道,誰就可能在新一輪的全球話語競爭中占據主導地位。目前,美國與歐盟等地區分別推出基于自身價值觀與戰略利益數據戰略。其中美國秉持了施密特(Carl Schmitt)所謂的“海洋政體”的進路,強調數據自由貿易與國家安全例外主義;歐盟則具有明顯的“陸地政體”的特征,強調數據人權高地,試圖構建一個建立在歐盟價值觀基礎之上的數據空間。①面對美歐等國的數據戰略與數據法律政策,我國需要兼收并蓄,推出既能維護國家安全和利益,又具有普適吸引力的數據跨境流動法理,為國際數據法治提供公共產品。
本文從理論與實踐出發,在提煉與分析數據無國界、數據主權、數據自由貿易、數據人權的基礎上,指出上述理論既具有部分合理性,也面臨諸多困境。我國應當將數據跨境流動建立在數據安全主權的基礎上。數據安全主權反映了各國數據保護的重疊共識,可以為當前國際社會提供更為合理的數據跨境流動方案,也與我國的數據對外戰略相吻合。目前,包括《辦法》在內的我國數據出境制度也奠基于這一原理之上。但在安全認知原則上,應采取合理、開放、動態的風險觀對《辦法》進行理解與解釋。在具體制度上,應探索更符合數據安全主權原則的具體制度。
(責任編輯:王玎)
