搜索
高级检索
高级搜索
书       名 :
著       者 :
出  版  社 :
I  S  B  N:
文献来源:
出版时间 :
全球数据跨境流动治理
0.00     定价 ¥ 158.00
图书来源: 浙江图书馆(由浙江新华配书)
此书还可采购25本,持证读者免费借回家
  • 配送范围:
    浙江省内
  • ISBN:
    9787030741349
  • 作      者:
    编者:何跃鹰//卓子寒|责编:任静
  • 出 版 社 :
    科学出版社
  • 出版日期:
    2023-02-01
收藏
内容介绍
数字经济已成为各国经济增长的新动能,并上升为国家发展战略,各国政府和人民对数据跨境流动安全问题的关注与日俱增。本书系统介绍了全球数据跨境规则的产生背景及其发展演变的脉络,重点分析了全球主要国家和地区数据跨境治理规则的内容和相互之间的异同,特别介绍了欧盟、美国话语权下的数据跨境流动规则及规则间的弥合,也介绍了其他国际性文件及十余个重点国家和地区的立法现状,同时展望了全球数据跨境规则的未来走向,在此基础上对我国的数据跨境流动治理规则现状进行梳理,并对其实施与完善提出了相关建议。本书语言平实易读,主要以法律法规、执法部门的解释性指南、判决书等一手资料作为参考,介绍分析了国内外立法现状和法律实践。 本书可供数据安全、法学、网络安全、信息安全等研究机构以及高校相关专业师生阅读,也可供涉及数据跨境业务的企业、法务、数据合规的有关人士参考。
展开
精彩书摘
第1章全球数据跨境流动治理概论
  在数字经济全球化的发展过程中,数据作为新的生产要素,其跨境流动成为世界各国经济增长的新动能。数据跨境流动需求日益强烈,但同时也带来隐私安全、经济安全和国家安全等风险。如何在促进数字经济发展的前提下对数据跨境流动进行合理化监管,已成为关系各国政治、经济、社会的核心议题。众多国家和地区都纷纷研究制定本国的数据跨境流动管理政策并积极开展数据跨境流动监管实践探索,与此同时,国际社会双边和多边贸易谈判中也越来越多涉及跨境数据流动议题。然而,由于政治、经济和文化等诸多差异,关于数据跨境流动管理的全球共识至今尚未形成。在实践中,各国家、地区通常根据自身的数字经济发展阶段、数据处理技术水平和国际关系立场来确立与其自身利益相适应的数据跨境流动规则,想要在国家之间、区域乃至全球建构共识性的数据跨境流动规则并非易事。其中,肇始之争当从对数据跨境流动的根本立场谈起,对这一问题的回答也能够基本反映世界各国在数据跨境流动方面的态度分化,即强调数据本地化的保守阵营与鼓吹数据自由流动的自由阵营。因而,如何兼顾两方阵营的核心利益和合理诉求,如何在国家安全、隐私保护和数字贸易三者之间进行权衡取舍,并*终形成全球性的共识和规则,是数据跨境流动监管的焦点。
  在此大背景下,我国各级政府部门,尤其是具体履行数据跨境流动监管职责的政府部门,一方面要认识到在数字经济全球化背景下,数据跨境流动必不可少;另一方面也要在数据流动前设置必要的程序性规则进行有效监管,使数据流动始终保持在“可控水平”。所谓“可控水平”,首先是指本国数据提供方和境外接收方应当按照本国设定的数据跨境流动监管条件釆取合理措施,保障本国数据出境后可能面临的*低风险,并为此划定明确的责任主体与责任承担方式;其次是指一旦数据在出境后发生风险,数据提供方和境外接收方应当釆取合理的救济措施,将相关不利影响降到*低,并通知本国数据跨境流动监管部门以及可能受到不利影响的个人信息主体;*后是指在可能情况下,本国和境外接收方所在国之间就数据跨境流动监管政策达成共识,合作确保数据出境后、发生风险时的救济协调机制,确保消除或减轻不利影响,包括为受不利影响的个人和组织提供救济协调机制。我国目前构建了数据跨境流动的基本监管框架,并明确了安全评估、保护认证和标准合同的初步管理要求;这些都属于我国在数据跨境管理上的探索,但要全面构建符合我国国情又兼顾国际主流规则的数据跨境管理体系工作仍有很多细节需要研究与探索。
  鉴于此,本书将首先明确数据跨境流动所涉及的主体、利益以及难以构建合理监管体系的症结所在,进而通过详细解读美国、欧盟、日本、新加坡、韩国、俄罗斯等主要国家和地区的数据流动监管制度,并结合我国目前已有立法,试图构建一个具有持续性的数据跨境监管框架体系,为政府监管部门、行业和企业提供数据跨境流动的全方位操作指南。
  1.1全球数据跨境流动规则的缘起
 数据跨境流动(Trans-border DataFlow),是指数据在不同法域之间的转移,涉及不同法域下因数据产生的不同主体及其数据利益,以及由数据控制权转移和复制引发的不同程度的风险,包括但不限于数据传输过程中发生的泄露风险和数据传输完成后发生的泄露和滥用风险,尤其是被当地政府获取、分析和使用,进而可能对数据所指向的个人或者组织产生的不利影响。此外,由于数据出境所在地国家或者地区与入境所在地国家或地区在数据保护制度上的差异,数据跨境流动监管制度与政策冲突在所难免。因此,需要数据出境国与数据入境国之间就数据跨境流动监管与权益保护进行协调。
  数据跨境流动监管是一个历史命题,各国基于不同的数据处理技术和不同的产业发展阶段确定差异化的数据跨境流动监管政策。其中,欧美数据处理产业的博弈是产生数据跨境流动监管政策的导火索,而斯诺登事件则是全球数据跨境流动监管政策兴起的催化剂。
  1.1.1美国数据处理产业扩张引发欧洲多国的恐惧
  20世纪70年代,美国国防部发起的阿帕网(ARPANET)开始了国际互连,随后局域网和互联网得到商用[1]。与此同时,美国计算机公司在世界各国开展跨国业务,每年出口超过120亿美元的计算机设备和系统,通过这些设备和系统形成的局域网以及互联网,收集、存储和跨境转移大量数据[2],掌握了其他国家绝大多数的政府机构、商业、个人、科研等信息,抢占了全球与计算机有关产业的“半壁江山”。其中,欧共体委员会1973年的实证调查显示[3],“欧洲市场上超过90%的计算机都是依靠美国的技术,其中IBM—家公司就独占60%”另外,印度国家科技与发展研究中心于1982年的《跨境数据流动争议》报告也佐证[4],美国十家计算机企业占据全球85%的计算机供应和计算机数据服务(仅IBM就占据近半的份额),其中处理的数据有80%存储在美国。所以,有评论毫不夸张地指出,美国从互联网的形成之日起就成为世界数据的服务器[5,6]。
  对于数据处理产业的重要性,欧共体委员会不仅将其定性为继医药和汽车产业之后的全球第三大产业,而且指出“未来社会的架构很大程度上取决于使用数据处理系统的方式”,更直指美国企业独霸该产业的弊端,即由美国“决定产品价格、技术标准、未来商业创新的节奏和市场发展的模式”。
  因此,随着互联网商业化的发展和信息数字化的推进,欧洲国家对美国的数据掌控能力产生恐惧一未来的经济和信息恐将都掌握在美国人手中。法国大法官路易 儒瓦内在1977年经济合作与发展组织(OECD)隐私大会上指出[7],“信息是一种实力,经济信息是经济实力的代表。信息具有经济价值,一国对于某些类别数据的存储和处理的能力能够赋予一国相对于他国的政治和技术上的优势。反过来,跨国数据转移却会导致一国国家主权的丧失”[8]。事实上,欧洲这些国家的担心,并不是天方夜谭,在后来得到应验。*好的证据,当属2013年美国中央情报局的爱德华 斯诺登披露的“棱镜门”事件[9]。
  1.1.2欧洲国家寻求国内立法限制数据跨境转移
  欧洲各国从政治、经济等层面加强跨境数据转移的对策研究。1973年达成的《国际电信公约》以及签约国的保留条款约定:主权国家有权进行国内立法治理本国的电子通信、暂停国际电子通信(第20条),并以国家安全为由进行限制。
  不过,在《跨境数据流动争议》报告中显示的跨境数据转移涉及个人数据仅占10%左右,但欧洲国家却选择从隐私保护的角度在国内通过立法保护个人数据,限制这些数据的跨境转移,防止数据被滥用[11]。其中,欧共体委员会产业与技术部在1973年建议采取统一措施,旨在从美国企业手中夺回欧洲数据处理市场,关键是让欧洲的个人、企业、政府等消费者转向欧共体本土企业,首要突破的障碍是消费者的价格偏好一消费者更愿意使用IBM等美国企业更先进的产品和服务一因此所提议措施包括进行企业重组、加大产业扶持力度、政府仅采购本土企业的产品和服务,以及“为消费者转向欧共体本土企业提供协助”[12]。
  欧共体委员会于是确定了整体战略,“将时刻谨防IBM公司滥用其市场支配地位,但*有效的方法是在本土培育强有力的竞争对手”,因而建议欧共体理事会采取两大决议:一是加大产业扶持;二是釆取协同的政府釆购合同。此外,欧共体委员会还对欧洲公民个人信息的保护政策首次指出,“*重要的是各成员国达成政治上的一致,而不是等到各自立法后再进行冲突协调”。
  欧共体理事会的决策机构部长委员会在1973年和1974年先后对私营部门和公共部门处理个人数据出台两项决议,明确个人数据处理的初步规则[13]。为此,瑞典、法国、德国、丹麦、奥地利、挪威在1973年开始出台数据保护立法,卢森堡、英国、葡萄牙、西班牙、比利时等国则在酝酿相关立法。
  其中,瑞典在1973年选择从保护个人数据的角度通过《瑞典数据保护法》。该法是世界上第一个国家在立法中明确规定个人数据跨境转移必须向瑞典数据监管委员会申报并获得许可。同时,该法还明确赋予个人信息主体如下个人数据权:知情同意权,获取修改权[14]。这部法律,不仅限制美国企业处理瑞典公民的个人数据,也因要求所有自动处理个人数据的计算机系统须经批准后才可设立而给瑞典公民在互联网上开展活动(如设立BBS)设置了障碍,受到自由人士的诟病。
  法国议会在1972年曾提议进行个人数据保护立法,但当时法国内部对于《法国民法典》第9条规定的隐私权与计算机处理的个人数据之间的关系并没有达成共识:《法国民法典》的隐私权范畴只是由法院来界定,但在实践中个人能够对计算机处理的个人数据提出何种主张并不确定。直到1978年,法国才通过《信息技术、数据文件与民事自由法》,首次超越《法国民法典》有关隐私权的规定,明确赋予法国公民对其个人数据享有的系列权利,包括知情同意权、反对权、获取权、修改权以及被遗忘权;该法也明确数据控制者收集和处理个人数据必须基于合法目的,且事先获得个人信息主体的同意[15]。
  1.1.3美国反对欧洲各国的保护主义立法
  欧洲的上述立法和政策引起了美国企业界和政府的强烈反对。对于美国企业而言,数据就是金钱,切断数据流动等于扼住美国企业的喉咙。美国驻经济合作与发展组织(OECD)代表戴安娜 杜根曾这样指责欧洲国家的上述做法,“如果这些数据立法的目的是保护公共秩序、财产权或者遏制潜在竞争对手其他方面的发展,那么,这些目的都应当在立法中直接进行明确。我们不接受以‘保护文化完整性’等借口进行信息控制,特别是这些立法常常是经济保守主义或是言论监控的幌子。我们认为,信息跨境自由流动是民主社会的传统,我们的法律制度应当设计为鼓励信息自由获取和限制信息滥用”[16]。
  对于美国的这种指责,欧共体委员会在1980年提交给欧共体理事会的《数据保密研究报告》中指出,欧共体委员会认为这些成员国不能容忍个人数据保护水平因数据向美跨境而降低,因而欧共体成员希望以国内法来撬动个人数据国际保护规则。由此,数据跨境流动规则成为一个新的国际贸易议题。
  1.2全球数据跨境流动规则流变
  全球数据跨境流动规则始于欧美立法之争,在多边规则谈判与发展中持续发酵,随着中国数字产业的蓬勃兴起,目前已基本形成“三足鼎立”的局面。
  1.2.1 OECD的有限协调
  由于各国经济发展越来越受到数据跨境转移的影响,欧洲不同国家的数据保护立法不仅给这些国家与美国的数据跨境转移造成影响,也限制了欧洲国家之间的数据转移。因此,欧盟国家以及美国等都希望通过各种国际组织在数据转移上寻求共识。经济合作与发展组织(OECD)作为以欧洲国家为主,包括美国、加拿大、澳大利亚等国的国际组织,经过多年努力后,终于在1980年发布了《关于隐私保护和个人数据跨境转移的指南》(以下简称《OECD指南》)。
  然而,《OECD指南》仅是一个推荐指南,并不具有强制力,在内容上也主要反映欧洲国家的意志,美国尤其是美国企业对于指南的执行并不积极。究其原因,在于欧盟通过《OECD指南》所采纳的个人信息处理原则实际上是美国健康、教育和福利部在1973年提出的主要用于限制政府机构处理个人信息的基本原则,这些原则在美国原本并不适用于美国企业。为此,欧盟理事会在1981年就通过了《108号公约》,其内容基本照搬了《OECD指南》,所不同的是该公约对缔约国具有法律约束力。
  1.2.2 GATS隐私例外条款的诞生
  在1984年,美国为了保障其在服务贸易领域的优势地位,主动将数字贸易列入服务贸易谈判之中,并正式提出了包含数字贸易规则的《服务贸易总协定(草案)》。后续,欧盟及其成员国在此基础之上提出了自己的建议稿,其中包括提议允许成员国限制个人信息的跨境流动。*终在1994年WTO通过了《服务贸易总协定》(GATS)。
  GATS是第一个规范跨境服务贸易的国际条约,目的在于协调各成员国在服务贸易方面的法律和政策,在适用范畴上覆盖了除政府部门提供的服务和空运服务之外的其他所有服务,其
展开
目录
目录

自序
前言
第1章 全球数据跨境流动治理概论 1
1.1 全球数据跨境流动规则的缘起 2
1.1.1 美国数据处理产业扩张引发欧洲多国的恐惧 2
1.1.2 欧洲国家寻求国内立法限制数据跨境转移 3
1.1.3 美国反对欧洲各国的保护主义立法 4
1.2 全球数据跨境流动规则流变 5
1.2.1 OECD的有限协调 5
1.2.2 GATS隐私例外条款的诞生 5
1.2.3 欧盟第三国适当性评估机制的主动性 6
1.2.4 美国以退为进 7
1.2.5 中国力量的迅速崛起 8
1.3 全球数据跨境流动规则的基本框架 9
1.3.1 GATS例外奠定数据跨境流动规则的基石 9
1.3.2 不同国家和地区的数据跨境流动监管模式 10
参考文献 14
第2章 欧盟话语权下的数据跨境流动规则16
2.1 《OECD指南》 16
2.1.1 《OECD指南》的出台背景 16
2.1.2 《OECD指南》的内容 16
2.1.3 《OECD指南》的修订 17
2.1.4 《OECD指南》的影响 18
2.2 《108号公约》 19
2.2.1 《108号公约》的出台背景 19
2.2.2 《108号公约》的内容 19
2.2.3 《108号公约》的修订 20
2.2.4 《108号公约》的影响 21
2.3 《95指令》 21
2.3.1 《95指令》的出台背景 21
2.3.2 《95指令》的内容 22
2.3.3 《95指令》的数据跨境规则 22
2.3.4 《95指令》的影响及其局限性 24
2.4 《通用数据保护条例》 25
2.4.1 个人数据保护体系 25
2.4.2 个人数据跨境流动规制体系概述 29
2.4.3 第三国适当性评估(充分性认定) 31
2.4.4 适当保障措施 32
2.4.5 基于法定例外情形的数据跨境流动 39
2.4.6 个人数据跨境流动的监管 42
2.4.7 个人数据跨境流动的权利救济 44
2.4.8 GDPR实施情况与后续规则制定 45
2.5 《欧盟非个人数据自由流动框架条例》 47
2.5.1 《欧盟非个人数据自由流动框架条例》概述 47
2.5.2 《欧盟非个人数据自由流动框架条例》的出台目的 47
2.5.3 《欧盟非个人数据自由流动框架条例》的主要内容 47
参考文献 50
第3章 美国话语权下的数据跨境流动规则 52
3.1 APEC数据跨境系列文件 52
3.1.1 APEC合作框架简介 52
3.1.2 《APEC隐私保护框架》 53
3.1.3 APEC数据隐私探路者倡议 61
3.2 跨境隐私规则体系 62
3.2.1 CBPR体系构成文件 62
3.2.2 CBPR规则 63
3.2.3 CBPR规则实施 64
3.3 全面与进步跨太平洋伙伴关系协定 81
3.3.1 CPTPP数字贸易规则内容 82
3.3.2 CPTPP数字贸易规则特点 90
3.4 美墨加协议 91
3.4.1 USMCA提倡数据自由流通 91
3.4.2 当前建议的隐私立法和现有的美国隐私法中的示例 92
3.5 美国跨境数据流动的国内法 92
3.5.1 美国数据跨境流动国内法体系概况 93
3.5.2 个人数据定义 93
3.5.3 监管机构 94
3.5.4 境外数据自由流入 94
3.5.5 国内数据限制流出 100
3.5.6 细分领域数据跨境流动的管理立法 101
3.5.7 各州的数据跨境流动立法实践 105
3.5.8 数据跨境流动的行业自律规则 107
参考文献 109
第4章 欧美话语权的规则间弥合 111
4.1 欧美《安全港协议》及其无效 111
4.1.1 《安全港协议》谈判背景 111
4.1.2 《安全港协议》主要内容 112
4.1.3 《安全港协议》的局限性 114
4.1.4 《安全港协议》的无效 115
4.1.5 《安全港协议》无效的影响 117
4.2 欧美隐私盾框架及其无效 118
4.2.1 《欧美隐私盾协议》谈判背景 118
4.2.2 《欧美隐私盾协议》主要内容 119
4.2.3 《欧美隐私盾协议》的局限性 122
4.2.4 《欧美隐私盾协议》的无效 123
4.2.5 《欧美隐私盾协议》无效的影响 126
4.3 《欧美隐私盾协议》无效后欧美数据规则的发展 128
4.3.1 美国提出的临时合规建议 128
4.3.2 欧盟数据保护委员会扩大规则解释 129
4.3.3 欧盟委员会更新标准合同条款 131
4.3.4 欧美达成新的隐私框架协议 133
参考文献 134
第5章 其他国际性文件 136
5.1 东盟的数据保护与数据跨境流动规则 136
5.1.1 东南亚国家联盟的成立和数据保护发展历程 136
5.1.2 东盟数据保护和数据跨境流动相关重要文件介绍 136
5.1.3 《区域全面经济伙伴关系协定》促进数字经济和数字贸易 144
5.1.4 中国与东盟开展数据跨境规则合作的现状与挑战 145
5.2 《数字经济伙伴关系协定》 146
5.2.1 《数字经济伙伴关系协定》背景及总体内容 146
5.2.2 DEPA中关于数据跨境流动的规则 149
5.2.3 DEPA与CPTPP 和RCEP的异同 150
5.2.4 大国博弈之中美拟加入DEPA 152
5.3 非盟的数据保护与数据跨境流动规则 153
5.3.1 非洲联盟的成立和数据保护发展历程 154
5.3.2 非盟数据保护和数据跨境流动相关重要文件介绍 155
5.3.3 中国与非盟开展数据跨境规则合作的现状与挑战 157
参考文献 158
第6章 重点国家及地区立法现状 161
6.1 新加坡的跨境数据流动管理 161
6.1.1 新加坡立法梳理 161
6.1.2 新加坡数据保护机构 169
6.1.3 新加坡数据保护特色:谢绝来电(DNC)制度 170
6.2 日本的跨境数据流动管理 171
6.2.1 日本立法梳理 171
6.2.2 日本数据保护机构 180
6.2.3 日本特色:构建基于信任的数据流动 181
6.3 韩国的跨境数据流动管理 182
6.3.1 韩国立法梳理 182
6.3.2 韩国数据保护机构 189
6.3.3 韩国特色:数据立法动态多 191
6.4 印度的跨境数据流动管理 193
6.4.1 印度数据保护立法 193
6.4.2 印度数据保护机构 203
6.4.3 印度特色:数据本地化 203
6.5 英国的跨境数据流动管理 204
6.5.1 英国立法梳理 204
6.5.2 英国数据保护机构 211
6.5.3 英国数据保护特色:欧美的中间路线 212
6.6 俄罗斯的跨境数据流动管理 213
6.6.1 俄罗斯立法梳理 213
6.6.2 俄罗斯数据保护机构 218
6.6.3 俄罗斯特色:数据本地化 219
6.7 中国香港特别行政区的跨境数据流动管理 221
6.7.1 中国香港立法梳理 221
6.7.2 中国香港跨境资料流动限制的机构 229
6.7.3 中国香港数据保护特色 230
参考文献 231
第7章 我国数据跨境流动管理制度的分析与思考 234
7.1 我国数据跨境流动领域立法 235
7.1.1 《民法典》 235
7.1.2 《网络安全法》 238
7.1.3 《数据安全法》 245
7.1.4 《个人信息保护法》 246
7.2 我国数据跨境流动评估制度的分析与思考 249
7.2.1 数据出境安全评估制度分析 249
7.2.2 数据出境评估具体流程设计与实现 255
7.2.3 数据出境安全评估严苛度模型分析 257
7.3 我国个人信息出境标准合同制度的分析与思考 266
7.3.1 我国对欧盟与东盟标准合同条款的借鉴 268
7.3.2 我国个人信息出境标准合同的解读 274
7.4 我国个人信息保护认证制度的分析与思考 276
7.4.1 认证的功能 277
7.4.2 认证的适用范围 277
7.4.3 认证的标准设定 278
7.4.4 认证的流程和有效性 279
参考文献 279
展开
加入书架成功!
收藏图书成功!
我知道了(3)
发表书评
读者登录

请选择您读者所在的图书馆

选择图书馆
浙江图书馆
点击获取验证码
登录
没有读者证?在线办证