亚洲制服丝无码中文在线,欧美大黑BBB,女人高潮流白浆视频,亚洲国产成在人网站天堂

學(xué)術(shù)研究

您當(dāng)前的位置: 首頁 > 學(xué)術(shù)研究 > 論文薈萃 > 正文

自貿(mào)區(qū)內(nèi)數(shù)據(jù)跨境傳輸機(jī)制構(gòu)建芻議

發(fā)布時(shí)間:2022-05-18 16:32:46 商務(wù)部網(wǎng)站

田旭

上海政法學(xué)院講師

要目

一、過去與現(xiàn)在——數(shù)據(jù)跨境傳輸規(guī)則的內(nèi)部演進(jìn)

二、數(shù)據(jù)流通的意義——貿(mào)易自由、隱私保護(hù)與數(shù)據(jù)安全的價(jià)值博弈

三、數(shù)據(jù)跨境傳輸?shù)膰?guó)際機(jī)制

四、數(shù)據(jù)跨境傳輸規(guī)則的立法定位與構(gòu)建思路

五、自貿(mào)區(qū)內(nèi)數(shù)據(jù)跨境規(guī)則制定原則與可行性舉措建議

摘要

任何交易均伴隨信息的交換,而信息技術(shù)的革新無疑對(duì)大規(guī)模的貿(mào)易產(chǎn)生積極影響,網(wǎng)絡(luò)的運(yùn)用正在重塑國(guó)際貿(mào)易的基本模式。以數(shù)據(jù)為載體的信息通過網(wǎng)絡(luò)進(jìn)行的跨境傳輸行為作為信息交換的重要形式,正在受到日益強(qiáng)化的本地化主義影響。自由貿(mào)易試驗(yàn)區(qū)作為新時(shí)代經(jīng)濟(jì)改革的重要試驗(yàn)場(chǎng),有必要就數(shù)字貿(mào)易領(lǐng)域的新問題進(jìn)行積極探索。數(shù)據(jù)跨境傳輸是開展數(shù)字貿(mào)易的基礎(chǔ)活動(dòng),基于個(gè)人數(shù)據(jù)保護(hù)和信息安全角度實(shí)施的數(shù)據(jù)跨境傳輸限制應(yīng)當(dāng)建立在必要性和比例性基礎(chǔ)之上,兼顧數(shù)據(jù)保護(hù)和數(shù)據(jù)流通,為自貿(mào)區(qū)先行先試提供了契機(jī)和挑戰(zhàn)。

由于缺乏成文法規(guī)的明確指導(dǎo),數(shù)據(jù)跨境傳輸作為協(xié)調(diào)和促進(jìn)數(shù)字貿(mào)易的重要活動(dòng)形式缺乏穩(wěn)定的監(jiān)管原則,從而極大地增加了企業(yè)合規(guī)難度和業(yè)務(wù)經(jīng)營(yíng)的不確定性。本文所探討的內(nèi)容是數(shù)據(jù)跨境流動(dòng)中的法律規(guī)制問題,以及它正在如何影響國(guó)際經(jīng)貿(mào)關(guān)系,并以自貿(mào)區(qū)改革為出發(fā)點(diǎn),探索區(qū)內(nèi)數(shù)據(jù)跨境傳輸規(guī)則應(yīng)當(dāng)如何拓展。

一、過去與現(xiàn)在——數(shù)據(jù)跨境傳輸規(guī)則的內(nèi)部演進(jìn)

傳統(tǒng)上的數(shù)據(jù)本地化存儲(chǔ)的原則

數(shù)據(jù)本地化,也稱數(shù)據(jù)駐留(data residency),通常指在數(shù)據(jù)發(fā)生跨境傳輸前,要求對(duì)其收集、處理和存儲(chǔ)均發(fā)生在數(shù)據(jù)產(chǎn)生國(guó)境內(nèi)的一項(xiàng)要求,傳統(tǒng)上這一要求的目的是保護(hù)個(gè)人數(shù)據(jù)不被侵犯。本文認(rèn)為,數(shù)據(jù)本地化是一項(xiàng)專門針對(duì)數(shù)據(jù)跨境傳輸行為所產(chǎn)生的術(shù)語,對(duì)數(shù)據(jù)本地化的強(qiáng)調(diào)源于數(shù)據(jù)主權(quán)概念的普及。但在貿(mào)易領(lǐng)域,嚴(yán)格的數(shù)據(jù)本地化政策已經(jīng)站到了貿(mào)易自由化的對(duì)立面,由模糊的法律規(guī)則、繁瑣的審核程序與復(fù)雜的技術(shù)要求所帶來的高昂法律合規(guī)成本越來越成為跨國(guó)企業(yè)逐漸難以承受之負(fù)擔(dān)。

我國(guó)網(wǎng)絡(luò)安全法也同樣采用相對(duì)嚴(yán)苛的數(shù)據(jù)本地化要求,第37條規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估?!边@一條明確了我國(guó)法律對(duì)于數(shù)據(jù)跨境傳輸?shù)幕緫B(tài)度,即原則上要求本數(shù)據(jù)境內(nèi)存儲(chǔ),如需出境的,需要經(jīng)過網(wǎng)信部門的安全評(píng)估。由此看來,相較于對(duì)個(gè)人信息權(quán)益保護(hù)的單一目的而言,我國(guó)網(wǎng)絡(luò)安全法將數(shù)據(jù)本地化立法原則指向更為宏觀的利益——即數(shù)據(jù)安全。

數(shù)據(jù)跨境規(guī)則為網(wǎng)絡(luò)帶來巴爾干化影響

巴爾干化(Balkanization)是一個(gè)常帶有貶義的地緣政治學(xué)術(shù)語,可以被定義為:一個(gè)較大的國(guó)家或地區(qū)分裂成較小的國(guó)家或地區(qū)的過程,這些國(guó)家或地區(qū)關(guān)系緊張甚至處于敵對(duì)狀態(tài)。20世紀(jì)70年代初,由于經(jīng)濟(jì)發(fā)展模式的逐步變遷,美國(guó)各州貿(mào)易規(guī)則分歧越來越大,在著名的Hughes v. Oklahoma案中,法官將提出了貿(mào)易規(guī)則的巴爾干化,并直指該現(xiàn)象將導(dǎo)致貿(mào)易壁壘的加高。網(wǎng)絡(luò)技術(shù)實(shí)際上源于美國(guó)的軍事技術(shù),由于在其民用普及初期,使用網(wǎng)絡(luò)的國(guó)家大部分為發(fā)達(dá)國(guó)家,這種數(shù)據(jù)保護(hù)規(guī)則分歧所導(dǎo)致的數(shù)據(jù)傳遞不暢問題還未被我國(guó)學(xué)界所察覺,但是歐美之間長(zhǎng)期形成的數(shù)據(jù)保護(hù)規(guī)則差異而逐漸發(fā)展處歐洲保守的數(shù)據(jù)本地化規(guī)則,取代了美國(guó)發(fā)展互聯(lián)網(wǎng)技術(shù)的初衷,從而下形成了網(wǎng)絡(luò)的巴爾干化(Cyber balkanization)。現(xiàn)實(shí)中,這種網(wǎng)絡(luò)巴爾干化現(xiàn)象隨著發(fā)展中國(guó)家網(wǎng)絡(luò)技術(shù)的普及和成熟顯得更加明顯。貿(mào)易電子化革命和全球電子商務(wù)發(fā)展,使得數(shù)據(jù)傳輸成為一項(xiàng)越來越重要的貿(mào)易輔助活動(dòng),甚至成為貿(mào)易活動(dòng)本身。

從現(xiàn)實(shí)角度看,數(shù)據(jù)本地化業(yè)已成為國(guó)際間數(shù)據(jù)傳輸限制性新型壁壘,這種限制也被美國(guó)學(xué)者納入為一種本地化貿(mào)易壁壘(Localization Barriers to Trade, LBT)。在一份專門研究信息和通信技術(shù)(“ICT”)與國(guó)際經(jīng)貿(mào)關(guān)系的報(bào)告中,學(xué)者將ICT本地化壁壘歸結(jié)為三大類:第一,直接針對(duì)“ICT基礎(chǔ)設(shè)施”的本地化要求;第二,是對(duì)數(shù)據(jù)存儲(chǔ)的本地化要求;第三,是對(duì)本地內(nèi)容的本地化要求。這份報(bào)告同時(shí)羅列了提出相應(yīng)要求的國(guó)家和地區(qū),中國(guó)在這三個(gè)方面均被明列其中。本地化政策與數(shù)據(jù)的全球流通自由相對(duì),屬于較為保守的ICT政策,這種政策取向顯然已經(jīng)不太符合國(guó)際經(jīng)貿(mào)流通的需求,構(gòu)成了對(duì)國(guó)際經(jīng)貿(mào)發(fā)展的阻礙。

上海自貿(mào)區(qū)之探索——以數(shù)據(jù)流通自由為導(dǎo)向

2019年7月27日,國(guó)務(wù)院印發(fā)《關(guān)于中國(guó)(上海)自由貿(mào)易試驗(yàn)區(qū)臨港片區(qū)總體方案的通知》(下稱“臨港方案”),其中就實(shí)施互聯(lián)網(wǎng)跨境安全有序流通有一些宏觀性表述。自由貿(mào)易試驗(yàn)區(qū)作為政策的先行先試的場(chǎng)域,有條件針對(duì)數(shù)據(jù)領(lǐng)域的流通規(guī)則構(gòu)建更加積極的規(guī)則,以促進(jìn)和配套自貿(mào)區(qū)的改革。就此,上海市政府率先于2019年8月20日頒布《中國(guó)(上海)自由貿(mào)易試驗(yàn)區(qū)臨港片區(qū)管理辦法》(“《管理辦法》”),其中就跨境數(shù)據(jù)流動(dòng)議題提出“構(gòu)建安全便利的國(guó)際互聯(lián)網(wǎng)數(shù)據(jù)專用通道、試點(diǎn)開展數(shù)據(jù)跨境流動(dòng)的安全評(píng)估、建立數(shù)據(jù)保護(hù)能力認(rèn)證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流通和交易風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全管理機(jī)制”等模式,以應(yīng)對(duì)法律層面數(shù)據(jù)跨境傳輸規(guī)則的滯后,將數(shù)據(jù)跨境傳輸規(guī)則創(chuàng)新性構(gòu)建的任務(wù)交給了臨港新片區(qū)。2020年11月15日,上海再次發(fā)布《上海市全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點(diǎn)實(shí)施方案》(下稱“《服務(wù)創(chuàng)新實(shí)施方案》”),提出“探索數(shù)據(jù)跨境流動(dòng)分類監(jiān)管模式、開展數(shù)據(jù)跨境傳輸安全管理試點(diǎn)”,奠定了以促進(jìn)數(shù)據(jù)跨境傳輸為導(dǎo)向的立法模式。

二、數(shù)據(jù)流通的意義——貿(mào)易自由、隱私保護(hù)與數(shù)據(jù)安全的價(jià)值博弈

世界范圍內(nèi),數(shù)據(jù)跨境可以分為自由流動(dòng)派和原則禁止派。其中,自由流動(dòng)派主要以美國(guó)為代表,無論是國(guó)內(nèi)法或是對(duì)外簽署的貿(mào)易協(xié)定,美國(guó)都一直主張反對(duì)數(shù)據(jù)跨境傳輸施加限制,而力求建立一個(gè)自由的互聯(lián)網(wǎng)。另一方面,歐盟雖然也主張數(shù)據(jù)自由流動(dòng),但是這種自由是建立在他國(guó)提供歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的前提下的,由于歐盟采用極高的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),這種高標(biāo)準(zhǔn)實(shí)際上構(gòu)成了一堵隱形的高墻,將歐盟個(gè)人數(shù)據(jù)牢牢鎖住。而最新的數(shù)據(jù)本地化政策理由則聚焦于信息安全,其理論背景甚至延伸到國(guó)家主權(quán)概念,這種概念的泛化進(jìn)一步加劇了數(shù)據(jù)流通不暢。

數(shù)據(jù)本地化的原點(diǎn)——個(gè)人信息權(quán)的保護(hù)

從立法模式角度看,數(shù)據(jù)跨境傳輸規(guī)則常常作為數(shù)據(jù)保護(hù)法的一部分被嵌入數(shù)據(jù)保護(hù)法下,以《通用數(shù)據(jù)保護(hù)條例》(GDPR)為例,這是一部綜合性的個(gè)人數(shù)據(jù)保護(hù)立法,而數(shù)據(jù)跨境傳輸規(guī)則作為一項(xiàng)保護(hù)措施規(guī)定在該法律項(xiàng)下。這一嵌入式的立法形態(tài)最早可追溯至1973年瑞典數(shù)據(jù)法,它規(guī)定“若據(jù)合理推斷,個(gè)人數(shù)據(jù)將在境外受到處理時(shí),數(shù)據(jù)僅在數(shù)據(jù)管理當(dāng)局(Datainspektionen)許可下方可披露。并且這種許可是建立在這項(xiàng)披露不導(dǎo)致對(duì)個(gè)人數(shù)據(jù)的過度侵犯?!眰€(gè)人數(shù)據(jù)跨境傳輸限制規(guī)則被后來更多的歐洲國(guó)家數(shù)據(jù)保護(hù)立法參照,后又被旨在協(xié)調(diào)歐洲數(shù)據(jù)保護(hù)法一體化的歐盟數(shù)據(jù)保護(hù)指令(即1995/EC/46指令,以下簡(jiǎn)稱“95指令”)和GDPR相繼發(fā)展和繼承,并形成一套完善的數(shù)據(jù)跨境傳輸規(guī)則,上述“不導(dǎo)致過度侵犯”原則的認(rèn)定進(jìn)而演化為歐洲委員會(huì)對(duì)第三方國(guó)家數(shù)據(jù)保護(hù)的充分性認(rèn)定。針對(duì)充分性的認(rèn)定,在歐盟法院關(guān)于Scheme案的判決中,歐盟法院認(rèn)為“充分性”建立在第三國(guó)保護(hù)水平與歐盟“實(shí)質(zhì)性等同(essentially equivalent)”的情形下,本文認(rèn)為,歐盟個(gè)人數(shù)據(jù)出境限制實(shí)際上采用的是一個(gè)危邦不入的理念,它將任何未施行歐盟標(biāo)準(zhǔn)的第三國(guó)都視為數(shù)據(jù)保護(hù)洼地,變相地要求只要當(dāng)境外采用類似歐盟的立法模式后才能獲得相應(yīng)的充分性認(rèn)定。

由此可見,在數(shù)據(jù)安全概念提出之前,限制數(shù)據(jù)跨境傳輸?shù)淖钪饕睦碛墒腔趯?duì)個(gè)人數(shù)據(jù)權(quán)的保護(hù)。個(gè)人數(shù)據(jù)保護(hù)法是國(guó)家對(duì)于公民個(gè)人數(shù)據(jù)權(quán)的確認(rèn)和保護(hù),系國(guó)內(nèi)立法,其效力應(yīng)當(dāng)僅及于域內(nèi),除經(jīng)“沖突法”規(guī)則指引而被適用的情形外,則不應(yīng)具有域外效力。但是,由于對(duì)個(gè)人數(shù)據(jù)權(quán)的保障方式在于限制其他主體對(duì)個(gè)人數(shù)據(jù)的收集、處理、使用以及傳輸,因此個(gè)人數(shù)據(jù)權(quán)的保障與數(shù)據(jù)傳輸行為本身形成了不可分割的聯(lián)系。在網(wǎng)絡(luò)時(shí)代,數(shù)據(jù)傳輸早已經(jīng)打破了國(guó)境限制,由于它具有無體性和虛擬性,個(gè)人數(shù)據(jù)傳輸并不受制于地域的限制,以立法方式限制數(shù)據(jù)傳輸至境外看似成為一項(xiàng)數(shù)據(jù)保護(hù)的必然選擇。

自由與安全的艱難權(quán)衡

自由便利的數(shù)據(jù)跨境傳輸規(guī)則在貿(mào)易協(xié)定談判中是一項(xiàng)共同的訴求,但談判分歧就在于是否引入、以及引入何種程度的限制性措施。美國(guó)作為互聯(lián)網(wǎng)技術(shù)的開拓者,在信息技術(shù)領(lǐng)域一直占據(jù)領(lǐng)先位置,因此它對(duì)數(shù)據(jù)傳輸所可能帶來的侵害并不如歐盟那么恐懼,其信息隱私立法也更加開放,最初是通過“信息控制權(quán)”理論修正其隱私權(quán)概念,為個(gè)人對(duì)其信息的積極控制提供支持。另一方面,相較于歐盟的個(gè)人數(shù)據(jù)權(quán)理論,美國(guó)運(yùn)行一套截然不同的隱私規(guī)則,美國(guó)憲法中未規(guī)定個(gè)人數(shù)據(jù)權(quán)這樣一種權(quán)利,但根據(jù)憲法第四修正案,公民享有隱私合理期待情形下,有權(quán)主張隱私以對(duì)抗政府取證,這種隱私保護(hù)相對(duì)于歐洲個(gè)人數(shù)據(jù)權(quán)而言,是一種消極對(duì)抗權(quán)。美國(guó)憲法第四修正案進(jìn)而發(fā)展出“第三方學(xué)說(Third-Party Doctrine)”,即“當(dāng)一個(gè)人主動(dòng)向第三方提供其信息,他將不再享有第四修正案項(xiàng)下的合理隱私期待。”綜上而言,作為信息技術(shù)優(yōu)勢(shì)一方,美國(guó)似乎更加重視和強(qiáng)調(diào)網(wǎng)絡(luò)的自由價(jià)值,而不是安全價(jià)值。

然而,對(duì)于后發(fā)國(guó)家而言,在使用互聯(lián)網(wǎng)過程中也逐步開始關(guān)心數(shù)據(jù)自由化對(duì)信息安全帶來的消極影響。周漢華認(rèn)為,“對(duì)于信息控制者而言,從信息安全角度來保護(hù)個(gè)人信息,本來應(yīng)該是順理成章的事情……但是,過去對(duì)于信息安全約定俗稱的理解,信息安全并不包括個(gè)人信息安全和隱私保護(hù)?!边@一理解將安全和隱私兩個(gè)問題進(jìn)行區(qū)分,為我們厘清了數(shù)據(jù)傳輸規(guī)則所涉及第三種法律利益——安全。我國(guó)國(guó)家安全法第25條將信息安全這一概念正式納入國(guó)家安全范疇,并規(guī)定“國(guó)家建設(shè)網(wǎng)絡(luò)與信息安全保障體系,提升網(wǎng)絡(luò)與信息安全保護(hù)能力,加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用,實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。也就是說,可控性是我國(guó)在信息安全領(lǐng)域的核心要義,數(shù)據(jù)本地化措施似乎是實(shí)現(xiàn)數(shù)據(jù)可靠性的重要手段。但是事實(shí)真是如此嗎?實(shí)際上,數(shù)據(jù)本地化無法從根本上解決數(shù)據(jù)的可控性問題,因?yàn)閿?shù)據(jù)本地存儲(chǔ)不意味著數(shù)據(jù)可以當(dāng)然地拒絕異地訪問,也就是說數(shù)據(jù)仍然可以為境外的個(gè)體所獲取,因此是否仍舊以本地化作為數(shù)據(jù)監(jiān)管的要求,還是另辟蹊徑,以貿(mào)易自由為出發(fā)點(diǎn)探索更加開放的數(shù)據(jù)跨境規(guī)則?答案顯而易見。

三、數(shù)據(jù)跨境傳輸?shù)膰?guó)際機(jī)制

作為國(guó)際經(jīng)貿(mào)規(guī)則的必備要素的數(shù)據(jù)傳輸規(guī)則

信息化引發(fā)的網(wǎng)絡(luò)空間中數(shù)據(jù)跨境傳輸在國(guó)際經(jīng)貿(mào)活動(dòng)中廣泛存在,這顯然并不局限于ICT行業(yè)。在傳統(tǒng)貨物貿(mào)易領(lǐng)域,貿(mào)易平臺(tái)的數(shù)字化促進(jìn)了電子商務(wù)的極大發(fā)展,跨境電子商務(wù)是通過電子交易平臺(tái)下單,進(jìn)而通過線下物流服務(wù)完成跨境交付,既包括貨物,也包括服務(wù)。其中,貨物需要有物流和配送服務(wù),而服務(wù)主要是指數(shù)據(jù)傳輸。在服務(wù)貿(mào)易領(lǐng)域,數(shù)字服務(wù)囊括了搜索引擎服務(wù)、社交網(wǎng)絡(luò)服務(wù)、應(yīng)用軟件服務(wù)以及商業(yè)機(jī)構(gòu)之間的計(jì)算資源共享服務(wù)。數(shù)字化戰(zhàn)略浪潮下,數(shù)據(jù)傳輸業(yè)已成為越來越成為企業(yè)經(jīng)營(yíng)的主要活動(dòng)之一,但由于各國(guó)數(shù)據(jù)保護(hù)法規(guī)則的差異,數(shù)據(jù)本地化和跨境數(shù)據(jù)傳輸限制正在逐漸成為一項(xiàng)主流。

瑞典國(guó)家貿(mào)易委員會(huì)Kommerskollegium在一份冠以《沒有傳輸就沒有貿(mào)易(No Transfer, No Trade)》為名的報(bào)告中揭示了數(shù)據(jù)流通對(duì)國(guó)際貿(mào)易的重要意義,它通過訪談形式調(diào)查了15家跨國(guó)公司的真實(shí)情況,分析了數(shù)據(jù)流通對(duì)于企業(yè)的商業(yè)模式、全球化服務(wù)、基礎(chǔ)運(yùn)營(yíng)、供應(yīng)鏈管理等領(lǐng)域均具有重要意義。這份樣本調(diào)查既包含以ICT業(yè)務(wù)為主營(yíng)業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)和電信企業(yè)(如谷歌、愛立信、eBuilder),還分析了一些立足于傳統(tǒng)產(chǎn)業(yè)的生產(chǎn)型企業(yè)(如沃爾沃、Scania)。這意味著隨著電信和互聯(lián)網(wǎng)技術(shù)的普遍應(yīng)用,電子信息系統(tǒng)業(yè)已成為諸多行業(yè)不可或缺的基礎(chǔ)性生產(chǎn)要素,而數(shù)據(jù)傳輸作為維系電子信息系統(tǒng)運(yùn)行的必要條件,也成為一項(xiàng)不容忽視的國(guó)際貿(mào)易需求。

國(guó)際經(jīng)貿(mào)協(xié)議中的數(shù)據(jù)傳輸規(guī)則

新一輪的貿(mào)易談判已經(jīng)將問題直接指向數(shù)字貿(mào)易中的國(guó)家行為,其中如何平衡個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)自由流通成為一項(xiàng)普遍討論的議題。國(guó)際經(jīng)貿(mào)談判中并未徹底否認(rèn)國(guó)家以個(gè)人數(shù)據(jù)保護(hù)為由實(shí)施的數(shù)據(jù)跨境傳輸限制措施,但是這種限制措施應(yīng)當(dāng)被克制且遵循比例原則。多邊層面,WTO作為全球貿(mào)易多邊機(jī)制開始逐漸重視數(shù)字貿(mào)易,但是相較于區(qū)域性經(jīng)濟(jì)組織,WTO數(shù)字貿(mào)易規(guī)則建立相當(dāng)滯后。WTO至今未能形成與貿(mào)易相關(guān)的數(shù)據(jù)保護(hù)和數(shù)據(jù)跨境流動(dòng)原則,GATs對(duì)于數(shù)據(jù)相關(guān)領(lǐng)域的服務(wù)準(zhǔn)入也語焉不詳。但是,該組織顯然已經(jīng)意識(shí)到數(shù)字經(jīng)濟(jì)對(duì)全球貿(mào)易和WTO組織的重要性,WTO總干事Roberto Azevedo在《2018世界貿(mào)易報(bào)告》中指出,“WTO框架,尤其是GATs與數(shù)字貿(mào)易息息相關(guān),并且WTO成員們已經(jīng)在現(xiàn)有框架尋求促進(jìn)數(shù)字經(jīng)濟(jì)之道。”雖然WTO就電子商務(wù)(Electronic Commerce),但是如何讓數(shù)字貿(mào)易融合到現(xiàn)有WTO框架中,似乎還需要對(duì)“數(shù)字服務(wù)”(Digital Service)進(jìn)行定義。在GATs框架內(nèi)建立數(shù)字服務(wù)規(guī)則地想法仍然停留在學(xué)術(shù)討論的層面。

TPP是全球第一個(gè)針對(duì)數(shù)據(jù)本地化限制進(jìn)行反向規(guī)定的貿(mào)易條約,它代表美國(guó)的數(shù)據(jù)跨境流通主張,有一定的代表意義。TPP第14.13條明確限制“為處理和存儲(chǔ)商業(yè)信息的計(jì)算機(jī)服務(wù)器和存儲(chǔ)設(shè)備”進(jìn)行本地化規(guī)定,并且限制成員國(guó)不得規(guī)定“使用本地計(jì)算設(shè)備為前提,才能在其轄區(qū)內(nèi)從事商業(yè)活動(dòng)”。然而,針對(duì)數(shù)據(jù)跨境流通,TPP對(duì)于“為公共政策的目的”而限制數(shù)據(jù)跨境進(jìn)行了免責(zé),具體免責(zé)需要滿足四項(xiàng)要求。上述免責(zé)事由實(shí)際上是TPP允許了成員國(guó)建立一套本地的安全港規(guī)則。但是隨后規(guī)定了具體的免責(zé)條件。正如有學(xué)者指出,盡管TPP是首個(gè)提出隱私和貿(mào)易關(guān)聯(lián)的貿(mào)易協(xié)定,但是其影響也不應(yīng)當(dāng)被過分放大,首先它更多地代表美國(guó)利益,并且它也未能形成全球性的數(shù)據(jù)保護(hù)法規(guī)制,也沒能就現(xiàn)存的數(shù)據(jù)跨境傳輸障礙進(jìn)行直接應(yīng)對(duì)。TPP之后,2020年11月15日,由東南亞國(guó)家聯(lián)盟(ASEAN)的成員和五個(gè)區(qū)域伙伴的15個(gè)國(guó)家簽署了區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系(RCEP),這可以說是歷史上最大的自由貿(mào)易協(xié)定。RCEP延續(xù)了TPP的傳統(tǒng),同樣規(guī)定了貿(mào)易領(lǐng)域下的數(shù)據(jù)流通條款,在其第12章第15條明確規(guī)定締約方不得阻止條約涵蓋的人為商業(yè)目的所進(jìn)行的數(shù)據(jù)傳輸,但是也明確了締約方可以規(guī)定數(shù)據(jù)監(jiān)管標(biāo)準(zhǔn)。

此外,值得注意的是,新加坡作為RCEP和CPTPP(TPP的更新版本),分別新西蘭和智利(DEPA),以及與澳大利亞(SADEA)簽署了兩份數(shù)字貿(mào)易協(xié)定,并且正在與韓國(guó)進(jìn)行數(shù)字經(jīng)濟(jì)協(xié)議談判。上述協(xié)議相較于多邊自由貿(mào)易協(xié)議,它更加專注于數(shù)字經(jīng)濟(jì)領(lǐng)域的細(xì)節(jié)問題,其除了遵守RCEP和CPTPP框架下所設(shè)定的基本權(quán)利與義務(wù)外,就數(shù)字經(jīng)濟(jì)更加細(xì)節(jié)問題,例如數(shù)據(jù)處理、數(shù)字身份認(rèn)證、受信任的數(shù)據(jù)環(huán)境等等問題做出了更加積極的探索,并且專門就數(shù)字經(jīng)濟(jì)所發(fā)生的爭(zhēng)議創(chuàng)設(shè)爭(zhēng)端解決機(jī)制。本文認(rèn)為,這代表著數(shù)字經(jīng)濟(jì)領(lǐng)域談判的發(fā)展方向。

專門性的數(shù)據(jù)跨境傳輸條約失靈

在GDPR生效前,歐洲經(jīng)濟(jì)體(EEA)與美國(guó)之間的數(shù)據(jù)跨境傳輸是在隱私盾協(xié)議指引下進(jìn)行的,隱私盾為可進(jìn)行數(shù)據(jù)傳輸?shù)钠髽I(yè)樹立了7項(xiàng)數(shù)據(jù)保護(hù)要求。但在2020年7月16日,歐盟法院對(duì)Facebook愛爾蘭公司訴Schrems一案做出裁決,并正式確認(rèn)使用為期四年的“美歐隱私盾協(xié)議”因違反GDPR中數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)而無效。這意味著美歐之間不再存在政府層面的數(shù)據(jù)傳輸安排,美歐數(shù)據(jù)傳輸雙邊機(jī)制的真空為企業(yè)帶來了極大的不安全感。2020年8月10日,美國(guó)商務(wù)部長(zhǎng)威爾伯·羅斯(Wilbur Ross)和歐洲司法專員迪迪爾·雷因德斯(Didier Reynders)發(fā)表聯(lián)合聲明,指出“美國(guó)商務(wù)部和歐盟委員會(huì)已開始討論,以評(píng)估增強(qiáng)歐盟-美國(guó)隱私保護(hù)的可能性遵守歐洲法院7月16日關(guān)于Schrems II案的判決的框架。”

美國(guó)與歐洲之間的隱私盾框架的失效意味著歐盟對(duì)于雙邊框架的不信任以及對(duì)GDPR項(xiàng)下的數(shù)據(jù)跨境傳輸規(guī)則的堅(jiān)持,這對(duì)中國(guó)而言意味著與歐盟達(dá)成雙邊性的數(shù)據(jù)傳輸框架將更加困難。因應(yīng)這種趨勢(shì)與變化,中國(guó)應(yīng)當(dāng)一方面完善自身的數(shù)據(jù)保護(hù)法律體系,另一方面應(yīng)當(dāng)盡快提出一套完善的數(shù)據(jù)傳輸機(jī)制。

四、數(shù)據(jù)跨境傳輸規(guī)則的立法定位與構(gòu)建思路

厘清數(shù)據(jù)跨境傳輸規(guī)則的立法原則和關(guān)鍵性利益

數(shù)據(jù)跨境傳輸?shù)牧⒎ㄔ瓌t是根據(jù)其背后的關(guān)鍵性利益所決定的,立法的偏向與價(jià)值的選擇具有高度關(guān)聯(lián)性。數(shù)據(jù)跨境傳輸是貿(mào)易自由、個(gè)人隱私和信息安全這三種價(jià)值的權(quán)衡,其中廣義的信息安全也覆蓋了個(gè)人隱私。因此,如何權(quán)衡自由與安全這兩種價(jià)值就是立法原則的起點(diǎn)?!斗?wù)創(chuàng)新實(shí)施方案》實(shí)際上在數(shù)據(jù)跨境傳輸立法原則方面探索出一條與網(wǎng)絡(luò)安全法截然的不同的路徑。首先,網(wǎng)絡(luò)安全法未對(duì)數(shù)據(jù)類型進(jìn)行明確分類,其主要規(guī)制對(duì)象為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者,對(duì)于其他類型的個(gè)人數(shù)據(jù)處理者如何向境外傳輸數(shù)據(jù)的,則未做明確規(guī)定。其次,這一點(diǎn)在個(gè)人信息保護(hù)法(草案)(以下簡(jiǎn)稱“草案”)中得到相應(yīng)完善,對(duì)于一般個(gè)人數(shù)據(jù)處理者向境外傳輸數(shù)據(jù)的,草案明確了在數(shù)據(jù)主體同意的大前提下,個(gè)人數(shù)據(jù)處理者可在監(jiān)管部門安全評(píng)估、專業(yè)機(jī)構(gòu)認(rèn)證、境外機(jī)構(gòu)合同約定這三種方式下?lián)褚欢校瑢?shí)際上給予了個(gè)人數(shù)據(jù)處理者更大的傳輸自由。第三,《服務(wù)創(chuàng)新實(shí)施方案》提出了更加務(wù)實(shí)的數(shù)據(jù)跨境傳輸機(jī)制構(gòu)建思路,明確了工作任務(wù)在于數(shù)據(jù)跨境流動(dòng)安全評(píng)估試點(diǎn)、數(shù)據(jù)保護(hù)能力認(rèn)證機(jī)制、數(shù)據(jù)流通備份審查機(jī)制、跨境數(shù)據(jù)流動(dòng)和交易風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全管理機(jī)制等機(jī)制的建立,但問題在于上述機(jī)制仍然沒有明確建立,也沒有回答這些機(jī)制在先行法律下實(shí)際運(yùn)行作用和效果將會(huì)如何這一關(guān)鍵問題。但至少,《服務(wù)創(chuàng)新實(shí)施方案》已經(jīng)為自貿(mào)區(qū)數(shù)據(jù)跨境傳輸機(jī)制探索明確了立法原則和關(guān)鍵性利益,那就是更加傾向貿(mào)易自由的數(shù)據(jù)傳輸機(jī)制。

框定數(shù)據(jù)跨境傳輸規(guī)則的規(guī)范行為與對(duì)象

《服務(wù)創(chuàng)新實(shí)施方案》僅提出了區(qū)內(nèi)構(gòu)建數(shù)據(jù)傳輸機(jī)制的方向,但是具體實(shí)施細(xì)則還未落實(shí)。換言之,具體的規(guī)范行為和規(guī)范對(duì)象亟須框定。美國(guó)政策分析師雷歇爾在一份國(guó)會(huì)研究服務(wù)報(bào)告中指出,“數(shù)據(jù)跨境傳輸即指位于不同國(guó)家服務(wù)器中的數(shù)據(jù)之間的移動(dòng)”。數(shù)據(jù)是經(jīng)過數(shù)字化的信息,數(shù)據(jù)傳輸就是電子信息交換。數(shù)據(jù)傳輸就是以比特為單位的信息在不同載體之間,運(yùn)用光電原理通過光纜、電纜、路由器等基礎(chǔ)設(shè)備進(jìn)行交互存儲(chǔ)的行為,傳輸本質(zhì)是信息在不同載體中的相繼存儲(chǔ),這種存儲(chǔ)可能是臨時(shí)性的緩存,也可能是長(zhǎng)期性的存儲(chǔ)。數(shù)據(jù)傳輸行為造成的結(jié)果是數(shù)據(jù)異地存儲(chǔ),存儲(chǔ)的目的往往是進(jìn)一步處理。進(jìn)言之,數(shù)據(jù)的跨境傳輸勢(shì)必造成數(shù)據(jù)的境外存儲(chǔ),并且有可能造成數(shù)據(jù)的境外處理,其中存儲(chǔ)和處理行為在傳輸后都將發(fā)生于境外,而脫離了本地?cái)?shù)據(jù)法和執(zhí)法機(jī)關(guān)的控制與管轄。因此,有學(xué)者稱,“數(shù)據(jù)跨境限制規(guī)則的根本目的在于防止數(shù)據(jù)控制者人為將數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)保護(hù)法更為寬松的第三國(guó)(“數(shù)據(jù)天堂”)?!绷碛袑W(xué)者指出,“對(duì)數(shù)據(jù)跨境傳輸進(jìn)行限制措施,是建立在數(shù)據(jù)存儲(chǔ)地域非法侵入行為之間的相關(guān)性假設(shè)之上?!贝鎯?chǔ)是處理的前提,因此如果需要處理境外數(shù)據(jù)時(shí),境內(nèi)的數(shù)據(jù)處理者必須首先獲得境外數(shù)據(jù)的訪問權(quán)限,訪問本身就是數(shù)據(jù)傳輸,因?yàn)橹灰L問行為一經(jīng)發(fā)生,訪問端服務(wù)器向被訪問端服務(wù)器發(fā)出指令,觸發(fā)其API機(jī)制,從而獲取數(shù)據(jù),相關(guān)信息則就已經(jīng)緩存在訪問者的服務(wù)器之中。因此,限制數(shù)據(jù)傳輸,實(shí)際上就限制了數(shù)據(jù)跨境訪問,當(dāng)然這種限制是有限的。但是,無論是實(shí)踐中還是法律規(guī)定中對(duì)于這一點(diǎn)都沒有充分澄清,有據(jù)可查的是歐盟法院做出的Lindquist案件。

就規(guī)范對(duì)象而言,未來的自貿(mào)區(qū)數(shù)據(jù)跨境傳輸實(shí)施細(xì)則中的安全評(píng)估、安全認(rèn)證、數(shù)據(jù)備份以及數(shù)據(jù)傳輸合同等機(jī)制僅針對(duì)區(qū)內(nèi)企業(yè)還是面向全國(guó)也是一個(gè)值得思索的問題。本著自貿(mào)區(qū)先行先試的政策功能,自貿(mào)區(qū)的數(shù)據(jù)跨境傳輸機(jī)制適用對(duì)象理應(yīng)被明確限制為區(qū)內(nèi)注冊(cè)的企業(yè),這種做法一方面縮小了機(jī)制所適用的范圍,另一方面也為機(jī)制鋪設(shè)更加前瞻與大膽的改革提供動(dòng)力。

明確數(shù)據(jù)監(jiān)管措施的著力方向——單向限制與雙向推動(dòng)

跨境的概念本身暗含著數(shù)據(jù)出境和數(shù)據(jù)入境這兩個(gè)方向的數(shù)據(jù)流動(dòng),然而縱觀相關(guān)的數(shù)據(jù)跨境傳輸內(nèi)國(guó)規(guī)則,出境和入境這兩個(gè)層面的規(guī)制程度卻并不平衡。從法律監(jiān)管角度看,數(shù)據(jù)出境是整個(gè)數(shù)據(jù)跨境傳輸規(guī)則的中心,而數(shù)據(jù)的入境則面對(duì)較少限制。以歐盟為例,歐盟的個(gè)人數(shù)據(jù)保護(hù)法下,數(shù)據(jù)跨境傳輸規(guī)則只規(guī)定數(shù)據(jù)出境行為,而不規(guī)制數(shù)據(jù)入境行為。也就是說歐盟對(duì)于域外數(shù)據(jù)進(jìn)入歐盟并不加以干涉。

但是,世界范圍內(nèi)仍然存在部分?jǐn)?shù)據(jù)入境的限制措施,其中包括強(qiáng)制性的數(shù)據(jù)輸入規(guī)則,典型的就是美國(guó)的云法案,即在法院開出搜查令時(shí),即便是域外的數(shù)據(jù)仍然有義務(wù)傳輸回美國(guó),以供司法行政機(jī)關(guān)進(jìn)行案件調(diào)查。但是,美國(guó)云法案所指向的境外數(shù)據(jù)的輸入是建立在法院出具開示令狀的前提之下的,實(shí)際上并不是法律直接規(guī)定了數(shù)據(jù)跨境輸入要求,它的要求間接的來源于法院的司法權(quán)。此外,我國(guó)也有對(duì)于一些境外網(wǎng)站的訪問限制,這種訪問限制從結(jié)果上看實(shí)際上也是限制了數(shù)據(jù)的輸入境內(nèi),但是這種限制更多的是從技術(shù)手段上進(jìn)行規(guī)制,而不涉及法律層面。

雖然從物理層面看,不同方向的數(shù)據(jù)傳輸雖然均屬于數(shù)據(jù)跨境流動(dòng)的范疇,但是監(jiān)管一詞的含義就意味著這種傳輸是被動(dòng)的且具有潛在危險(xiǎn)性的,實(shí)施數(shù)據(jù)出境的主體對(duì)應(yīng)的是國(guó)際經(jīng)貿(mào)活動(dòng)中的企業(yè),這種傳輸是企業(yè)自發(fā)性的,對(duì)于監(jiān)管主體而言,這種傳輸是被動(dòng)的且具有潛在危險(xiǎn)性的(威脅信息隱私及重要數(shù)據(jù)安全)。但數(shù)據(jù)取證的實(shí)施主體一般是司法機(jī)關(guān),這種由外而內(nèi)的數(shù)據(jù)傳輸實(shí)則是主動(dòng)的,且不具有可預(yù)測(cè)的危險(xiǎn)性。綜上,本文認(rèn)為,數(shù)據(jù)跨境傳輸監(jiān)管應(yīng)當(dāng)限制為數(shù)據(jù)出境監(jiān)管,對(duì)于跨境取證中的數(shù)據(jù)從外向內(nèi)的數(shù)據(jù)傳輸應(yīng)當(dāng)被排除在機(jī)制之外。

五、自貿(mào)區(qū)內(nèi)數(shù)據(jù)跨境規(guī)則制定原則與可行性舉措建議

逐步提高區(qū)內(nèi)個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)

以GDPR第5章為代表的數(shù)據(jù)跨境傳輸規(guī)則,即以評(píng)估第三國(guó)數(shù)據(jù)保護(hù)能力的方式已經(jīng)成為主流。換言之,我國(guó)企業(yè)要想在國(guó)際市場(chǎng)對(duì)數(shù)據(jù)領(lǐng)域有所作為,應(yīng)當(dāng)逐步接受這種模式的全球化。近年來,隨著我國(guó)大力發(fā)展數(shù)字貿(mào)易平臺(tái),我國(guó)互聯(lián)網(wǎng)企業(yè)在眾多領(lǐng)域已經(jīng)取得較強(qiáng)的競(jìng)爭(zhēng)力。而相較于美國(guó),我國(guó)在搜索引擎、社交網(wǎng)絡(luò)、電子商務(wù)等領(lǐng)域仍然存在差距,有學(xué)者總結(jié)導(dǎo)致這些差距的原因主要集中在三個(gè)方面:第一,核心技術(shù)能力,數(shù)字貿(mào)易平臺(tái)操作系統(tǒng)和相關(guān)核心技術(shù)仍然掌握在美國(guó)企業(yè)手中;第二,語言和文化習(xí)慣,主要表現(xiàn)在美國(guó)企業(yè)相比較而言,語言和文化習(xí)慣更加接近歐洲,因此能夠更加便利的進(jìn)入歐洲市場(chǎng);第三,對(duì)于嚴(yán)苛的數(shù)據(jù)保護(hù)法律的合規(guī)能力,相比而言,美國(guó)企業(yè)能夠更好的適應(yīng)歐盟嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法,而我國(guó)企業(yè)在這方面能力相對(duì)較弱。自美歐隱私盾協(xié)議失效的背景下,美國(guó)對(duì)外貿(mào)易機(jī)關(guān)仍然積極就數(shù)據(jù)跨境傳輸問題與歐盟方面進(jìn)行協(xié)調(diào),且在美國(guó)企業(yè)自身發(fā)達(dá)的法律基礎(chǔ)和合規(guī)能力加持下,美歐企業(yè)仍然能夠在較低水平實(shí)現(xiàn)其業(yè)務(wù)的全球化,只是將遭遇更多的罰單和困難。而問題投射回國(guó)內(nèi),我國(guó)應(yīng)當(dāng)順應(yīng)潮流,積極利用自由貿(mào)易試驗(yàn)區(qū)這一政策培養(yǎng)皿,積極探索更高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),以應(yīng)對(duì)全球數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)提高的浪潮。

區(qū)內(nèi)對(duì)標(biāo)國(guó)外高規(guī)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)

自貿(mào)區(qū)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的設(shè)立可以參考?xì)W盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。首先,中國(guó)互聯(lián)網(wǎng)服務(wù)領(lǐng)先于歐盟,特別是在大數(shù)據(jù)和云計(jì)算領(lǐng)域。阿里巴巴集團(tuán)旗下的阿里云已經(jīng)成為繼美國(guó)亞馬遜云之后的全球第二大云服務(wù)提供商。大大節(jié)省互聯(lián)網(wǎng)企業(yè)走出去的合規(guī)成本,如果要獲取歐盟數(shù)據(jù),企業(yè)還是需要主動(dòng)遵守歐盟規(guī)范,自貿(mào)區(qū)統(tǒng)一按照歐盟的保護(hù)標(biāo)準(zhǔn),相對(duì)于幫助區(qū)內(nèi)企業(yè)直接獲得隱私盾認(rèn)證,這一方面可以吸引更多的企業(yè)來區(qū)內(nèi)增加投資,以減少合規(guī)成本,另一方面也可以提高我國(guó)企業(yè)在國(guó)際市場(chǎng)中的競(jìng)爭(zhēng)力。并且,自貿(mào)區(qū)中對(duì)企業(yè)進(jìn)行統(tǒng)一管理,自貿(mào)區(qū)甚至可以設(shè)置歐盟數(shù)據(jù)監(jiān)督機(jī)制,引入歐盟專家,這將大大吸引歐盟市場(chǎng)中的企業(yè)使用中國(guó)提供的數(shù)字服務(wù)。

此外,就前文所提起的由新加坡等國(guó)家主導(dǎo)的數(shù)字經(jīng)濟(jì)協(xié)定中所創(chuàng)設(shè)的保護(hù)標(biāo)準(zhǔn),以及數(shù)據(jù)傳輸規(guī)則,也可以在創(chuàng)建自貿(mào)區(qū)數(shù)據(jù)傳輸機(jī)制過程中予以吸收與借鑒。上述協(xié)定雖然并未形成具有代表性的國(guó)際經(jīng)貿(mào)協(xié)定,但由于數(shù)字經(jīng)濟(jì)所代表的虛擬經(jīng)濟(jì)占經(jīng)濟(jì)加權(quán)不斷提升,這種更加全面的數(shù)字經(jīng)濟(jì)協(xié)定必將成為主流。自貿(mào)區(qū)作為改革試點(diǎn),有必要采用更加積極和開放的政策,以應(yīng)對(duì)快速變化的國(guó)際經(jīng)貿(mào)環(huán)境。

構(gòu)建與完善區(qū)內(nèi)數(shù)據(jù)保護(hù)保障機(jī)制

2020年10月1日,由國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)完成修訂的《信息安全技術(shù)-個(gè)人信息安全規(guī)范》(《標(biāo)準(zhǔn)》)正式生效,這一標(biāo)準(zhǔn)第8.8條對(duì)于個(gè)人數(shù)據(jù)處理者建立投訴機(jī)制予以規(guī)定。但不得否認(rèn),《標(biāo)準(zhǔn)》將數(shù)據(jù)保護(hù)投訴受理權(quán)交由企業(yè),而疏于建立政府層面的數(shù)據(jù)投訴受理機(jī)關(guān)。換言之,目前國(guó)內(nèi)仍然缺乏具有公信力的數(shù)據(jù)保障機(jī)制。本文建議,自貿(mào)區(qū)內(nèi)應(yīng)當(dāng)探索與建立類似于歐盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)這樣的監(jiān)管與保障相統(tǒng)一的獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu),用以為數(shù)據(jù)保護(hù)所產(chǎn)生的爭(zhēng)議提供保障渠道。數(shù)據(jù)保護(hù)保障機(jī)制應(yīng)具有一定程度的立法權(quán)限與執(zhí)法權(quán)限,其功能需包括數(shù)據(jù)保護(hù)政策的制定與修改、區(qū)內(nèi)企業(yè)與境外企業(yè)所發(fā)生的數(shù)據(jù)爭(zhēng)議投訴處理。


首頁