第1章全球数据跨境流动治理概论
在数字经济全球化的发展过程中,数据作为新的生产要素,其跨境流动成为世界各国经济增长的新动能。数据跨境流动需求日益强烈,但同时也带来隐私安全、经济安全和国家安全等风险。如何在促进数字经济发展的前提下对数据跨境流动进行合理化监管,已成为关系各国政治、经济、社会的核心议题。众多国家和地区都纷纷研究制定本国的数据跨境流动管理政策并积极开展数据跨境流动监管实践探索,与此同时,国际社会双边和多边贸易谈判中也越来越多涉及跨境数据流动议题。然而,由于政治、经济和文化等诸多差异,关于数据跨境流动管理的全球共识至今尚未形成。在实践中,各国家、地区通常根据自身的数字经济发展阶段、数据处理技术水平和国际关系立场来确立与其自身利益相适应的数据跨境流动规则,想要在国家之间、区域乃至全球建构共识性的数据跨境流动规则并非易事。其中,肇始之争当从对数据跨境流动的根本立场谈起,对这一问题的回答也能够基本反映世界各国在数据跨境流动方面的态度分化,即强调数据本地化的保守阵营与鼓吹数据自由流动的自由阵营。因而,如何兼顾两方阵营的核心利益和合理诉求,如何在国家安全、隐私保护和数字贸易三者之间进行权衡取舍,并*终形成全球性的共识和规则,是数据跨境流动监管的焦点。
在此大背景下,我国各级政府部门,尤其是具体履行数据跨境流动监管职责的政府部门,一方面要认识到在数字经济全球化背景下,数据跨境流动必不可少;另一方面也要在数据流动前设置必要的程序性规则进行有效监管,使数据流动始终保持在“可控水平”。所谓“可控水平”,首先是指本国数据提供方和境外接收方应当按照本国设定的数据跨境流动监管条件釆取合理措施,保障本国数据出境后可能面临的*低风险,并为此划定明确的责任主体与责任承担方式;其次是指一旦数据在出境后发生风险,数据提供方和境外接收方应当釆取合理的救济措施,将相关不利影响降到*低,并通知本国数据跨境流动监管部门以及可能受到不利影响的个人信息主体;*后是指在可能情况下,本国和境外接收方所在国之间就数据跨境流动监管政策达成共识,合作确保数据出境后、发生风险时的救济协调机制,确保消除或减轻不利影响,包括为受不利影响的个人和组织提供救济协调机制。我国目前构建了数据跨境流动的基本监管框架,并明确了安全评估、保护认证和标准合同的初步管理要求;这些都属于我国在数据跨境管理上的探索,但要全面构建符合我国国情又兼顾国际主流规则的数据跨境管理体系工作仍有很多细节需要研究与探索。
鉴于此,本书将首先明确数据跨境流动所涉及的主体、利益以及难以构建合理监管体系的症结所在,进而通过详细解读美国、欧盟、日本、新加坡、韩国、俄罗斯等主要国家和地区的数据流动监管制度,并结合我国目前已有立法,试图构建一个具有持续性的数据跨境监管框架体系,为政府监管部门、行业和企业提供数据跨境流动的全方位操作指南。
1.1全球数据跨境流动规则的缘起
数据跨境流动(Trans-border DataFlow),是指数据在不同法域之间的转移,涉及不同法域下因数据产生的不同主体及其数据利益,以及由数据控制权转移和复制引发的不同程度的风险,包括但不限于数据传输过程中发生的泄露风险和数据传输完成后发生的泄露和滥用风险,尤其是被当地政府获取、分析和使用,进而可能对数据所指向的个人或者组织产生的不利影响。此外,由于数据出境所在地国家或者地区与入境所在地国家或地区在数据保护制度上的差异,数据跨境流动监管制度与政策冲突在所难免。因此,需要数据出境国与数据入境国之间就数据跨境流动监管与权益保护进行协调。
数据跨境流动监管是一个历史命题,各国基于不同的数据处理技术和不同的产业发展阶段确定差异化的数据跨境流动监管政策。其中,欧美数据处理产业的博弈是产生数据跨境流动监管政策的导火索,而斯诺登事件则是全球数据跨境流动监管政策兴起的催化剂。
1.1.1美国数据处理产业扩张引发欧洲多国的恐惧
20世纪70年代,美国国防部发起的阿帕网(ARPANET)开始了国际互连,随后局域网和互联网得到商用[1]。与此同时,美国计算机公司在世界各国开展跨国业务,每年出口超过120亿美元的计算机设备和系统,通过这些设备和系统形成的局域网以及互联网,收集、存储和跨境转移大量数据[2],掌握了其他国家绝大多数的政府机构、商业、个人、科研等信息,抢占了全球与计算机有关产业的“半壁江山”。其中,欧共体委员会1973年的实证调查显示[3],“欧洲市场上超过90%的计算机都是依靠美国的技术,其中IBM—家公司就独占60%”另外,印度国家科技与发展研究中心于1982年的《跨境数据流动争议》报告也佐证[4],美国十家计算机企业占据全球85%的计算机供应和计算机数据服务(仅IBM就占据近半的份额),其中处理的数据有80%存储在美国。所以,有评论毫不夸张地指出,美国从互联网的形成之日起就成为世界数据的服务器[5,6]。
对于数据处理产业的重要性,欧共体委员会不仅将其定性为继医药和汽车产业之后的全球第三大产业,而且指出“未来社会的架构很大程度上取决于使用数据处理系统的方式”,更直指美国企业独霸该产业的弊端,即由美国“决定产品价格、技术标准、未来商业创新的节奏和市场发展的模式”。
因此,随着互联网商业化的发展和信息数字化的推进,欧洲国家对美国的数据掌控能力产生恐惧一未来的经济和信息恐将都掌握在美国人手中。法国大法官路易 儒瓦内在1977年经济合作与发展组织(OECD)隐私大会上指出[7],“信息是一种实力,经济信息是经济实力的代表。信息具有经济价值,一国对于某些类别数据的存储和处理的能力能够赋予一国相对于他国的政治和技术上的优势。反过来,跨国数据转移却会导致一国国家主权的丧失”[8]。事实上,欧洲这些国家的担心,并不是天方夜谭,在后来得到应验。*好的证据,当属2013年美国中央情报局的爱德华 斯诺登披露的“棱镜门”事件[9]。
1.1.2欧洲国家寻求国内立法限制数据跨境转移
欧洲各国从政治、经济等层面加强跨境数据转移的对策研究。1973年达成的《国际电信公约》以及签约国的保留条款约定:主权国家有权进行国内立法治理本国的电子通信、暂停国际电子通信(第20条),并以国家安全为由进行限制。
不过,在《跨境数据流动争议》报告中显示的跨境数据转移涉及个人数据仅占10%左右,但欧洲国家却选择从隐私保护的角度在国内通过立法保护个人数据,限制这些数据的跨境转移,防止数据被滥用[11]。其中,欧共体委员会产业与技术部在1973年建议采取统一措施,旨在从美国企业手中夺回欧洲数据处理市场,关键是让欧洲的个人、企业、政府等消费者转向欧共体本土企业,首要突破的障碍是消费者的价格偏好一消费者更愿意使用IBM等美国企业更先进的产品和服务一因此所提议措施包括进行企业重组、加大产业扶持力度、政府仅采购本土企业的产品和服务,以及“为消费者转向欧共体本土企业提供协助”[12]。
欧共体委员会于是确定了整体战略,“将时刻谨防IBM公司滥用其市场支配地位,但*有效的方法是在本土培育强有力的竞争对手”,因而建议欧共体理事会采取两大决议:一是加大产业扶持;二是釆取协同的政府釆购合同。此外,欧共体委员会还对欧洲公民个人信息的保护政策首次指出,“*重要的是各成员国达成政治上的一致,而不是等到各自立法后再进行冲突协调”。
欧共体理事会的决策机构部长委员会在1973年和1974年先后对私营部门和公共部门处理个人数据出台两项决议,明确个人数据处理的初步规则[13]。为此,瑞典、法国、德国、丹麦、奥地利、挪威在1973年开始出台数据保护立法,卢森堡、英国、葡萄牙、西班牙、比利时等国则在酝酿相关立法。
其中,瑞典在1973年选择从保护个人数据的角度通过《瑞典数据保护法》。该法是世界上第一个国家在立法中明确规定个人数据跨境转移必须向瑞典数据监管委员会申报并获得许可。同时,该法还明确赋予个人信息主体如下个人数据权:知情同意权,获取修改权[14]。这部法律,不仅限制美国企业处理瑞典公民的个人数据,也因要求所有自动处理个人数据的计算机系统须经批准后才可设立而给瑞典公民在互联网上开展活动(如设立BBS)设置了障碍,受到自由人士的诟病。
法国议会在1972年曾提议进行个人数据保护立法,但当时法国内部对于《法国民法典》第9条规定的隐私权与计算机处理的个人数据之间的关系并没有达成共识:《法国民法典》的隐私权范畴只是由法院来界定,但在实践中个人能够对计算机处理的个人数据提出何种主张并不确定。直到1978年,法国才通过《信息技术、数据文件与民事自由法》,首次超越《法国民法典》有关隐私权的规定,明确赋予法国公民对其个人数据享有的系列权利,包括知情同意权、反对权、获取权、修改权以及被遗忘权;该法也明确数据控制者收集和处理个人数据必须基于合法目的,且事先获得个人信息主体的同意[15]。
1.1.3美国反对欧洲各国的保护主义立法
欧洲的上述立法和政策引起了美国企业界和政府的强烈反对。对于美国企业而言,数据就是金钱,切断数据流动等于扼住美国企业的喉咙。美国驻经济合作与发展组织(OECD)代表戴安娜 杜根曾这样指责欧洲国家的上述做法,“如果这些数据立法的目的是保护公共秩序、财产权或者遏制潜在竞争对手其他方面的发展,那么,这些目的都应当在立法中直接进行明确。我们不接受以‘保护文化完整性’等借口进行信息控制,特别是这些立法常常是经济保守主义或是言论监控的幌子。我们认为,信息跨境自由流动是民主社会的传统,我们的法律制度应当设计为鼓励信息自由获取和限制信息滥用”[16]。
对于美国的这种指责,欧共体委员会在1980年提交给欧共体理事会的《数据保密研究报告》中指出,欧共体委员会认为这些成员国不能容忍个人数据保护水平因数据向美跨境而降低,因而欧共体成员希望以国内法来撬动个人数据国际保护规则。由此,数据跨境流动规则成为一个新的国际贸易议题。
1.2全球数据跨境流动规则流变
全球数据跨境流动规则始于欧美立法之争,在多边规则谈判与发展中持续发酵,随着中国数字产业的蓬勃兴起,目前已基本形成“三足鼎立”的局面。
1.2.1 OECD的有限协调
由于各国经济发展越来越受到数据跨境转移的影响,欧洲不同国家的数据保护立法不仅给这些国家与美国的数据跨境转移造成影响,也限制了欧洲国家之间的数据转移。因此,欧盟国家以及美国等都希望通过各种国际组织在数据转移上寻求共识。经济合作与发展组织(OECD)作为以欧洲国家为主,包括美国、加拿大、澳大利亚等国的国际组织,经过多年努力后,终于在1980年发布了《关于隐私保护和个人数据跨境转移的指南》(以下简称《OECD指南》)。
然而,《OECD指南》仅是一个推荐指南,并不具有强制力,在内容上也主要反映欧洲国家的意志,美国尤其是美国企业对于指南的执行并不积极。究其原因,在于欧盟通过《OECD指南》所采纳的个人信息处理原则实际上是美国健康、教育和福利部在1973年提出的主要用于限制政府机构处理个人信息的基本原则,这些原则在美国原本并不适用于美国企业。为此,欧盟理事会在1981年就通过了《108号公约》,其内容基本照搬了《OECD指南》,所不同的是该公约对缔约国具有法律约束力。
1.2.2 GATS隐私例外条款的诞生
在1984年,美国为了保障其在服务贸易领域的优势地位,主动将数字贸易列入服务贸易谈判之中,并正式提出了包含数字贸易规则的《服务贸易总协定(草案)》。后续,欧盟及其成员国在此基础之上提出了自己的建议稿,其中包括提议允许成员国限制个人信息的跨境流动。*终在1994年WTO通过了《服务贸易总协定》(GATS)。
GATS是第一个规范跨境服务贸易的国际条约,目的在于协调各成员国在服务贸易方面的法律和政策,在适用范畴上覆盖了除政府部门提供的服务和空运服务之外的其他所有服务,其
展开
