跨境数据流动已经成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分。随着数字经济的深入发展和数据作用的日益凸显,各国对数据跨境流动的含义和影响的认识也日益深入,数据跨境流动的相关立法和国际规则的制定也呈现新趋势和特点。
简单来说,跨境数据流动指数据跨越边境在不同国家的计算机服务器间转移和流动。跨境数据流动包括出境和入境两个方向,在本文中主要探讨出境政策。而对数据跨境流动管理采取的是广义的理解,包含了自由流动、本地化副本保留、有条件出境、本地化存储和处理等从完全开放到完全禁止的各种限制程度的跨境数据流动管理措施。
本文梳理了全球跨境数据流动国际规则及立法的近期进展,对国际经贸框架下美欧两种模式的跨境数据流动规则进行了初步分析与比较,并探讨了美欧两种不同模式主张背后的原因。最后,在基于前述分析的基础上,对引领全球数据跨境流动规则发展的推动力,全球数据流动圈的发展走向,影响一国跨境数据流动国际合作策略选择的因素,以及如何看待中、美、欧跨境数据流动管理策略的差异及走向进行了一些思考和猜想。
一、全球跨境数据流动国际规则及立法近期动向
(一)各国基于本国优先目标制定跨境数据流动管理政策
当前,越来越多的国家已经或正在制定适合本国国情的数据跨境流动政策,但在出台目的(国家安全、执法需要、个人数据保护和国内数字经济产业保护)、适用范围(例如个人数据、行业数据、其他重要数据)、严格程度方面(如要求本地存储和处理、本地存有副本或有条件出境)存在着较大差异。
欧盟GDPR成为各国个人数据出境管理立法范本。2018年5月,欧盟《一般数据保护条例》(GDPR)正式实施,允许采用如下三种方式对个人数据进行有条件的跨境转移:(1)欧委会认定一国、一个区域、一个或多个特定行业或者一个国际组织具备充分保护水平(以下称“充分性认定”)。获得充分性认定的国家、地区或行业在将欧盟的数据转移到境外时不再需要进行具体授权。(2)欧盟批准的标准合同条款、约束性公司规则、行为规范、认证机制,这些方式主要适用于组织和企业。(3)获得数据主体的明确同意等特定减损情形。巴西在2018年8月也通过了《一般数据保护法》,其对个人数据跨境转移的条款很大程度借鉴了欧盟的GDPR的规定。印度的《个人数据保护法案》也正在制定当中,当前草案中的跨境数据转移要求比GDPR更为严格,个人数据将被要求在印度境内存有副本,并且在满足充分性认定等条件下出境,关键个人数据必须尽在印度境内存储。
部分国家对网络服务提供者数据跨境转移做出限制性规定。2017年6月1日我国《网络安全法》正式实施,要求关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,确需向境外提供的,应当按照规定进行安全评估。越南在2019年1月31日生效的《网络安全法》规定,在越南提供电信网、互联网业务和其他网络增值服务的国内外企业,若有收集、开发、分析、处理个人通信数据、业务使用者关系数据和业务使用者在越南产生的数据的活动,要在政府规定的时间内在境内储存这些数据。印度尼西亚政府正在修订电子系统运营与交易规则,拟要求公共电子系统运营者拥有的战略性数据(政府、能源、交通、金融、医疗、IT和通信、国防等)在境内进行存储。印度的《国家电子商务政策》也在制定当中,在2019年2月发布的第二个版草案文本中规定,将要创建法律和技术框架为如下情形的跨境数据流动施加限制提供依据:(1)安装在公共场所的物联网设备收集的数据;以及(2)印度用户通过各种来源产生的数据,包括电子商务平台、社交媒体、搜索引擎等。但是也列出了一些允许跨境流动的例外情形,例如云计算服务中不涉及个人和社区数据的技术数据。2018年2月,阿尔及利亚通过立法要求电子商务运营者从阿尔及利亚境内的数据中心提供服务。
行业数据跨境流动的限制性规定增多。印度储备银行要求从2018年10月起所有支付系统提供商确保其所有支付数据仅在印度境内存储。2019年6月,土耳其对E-SIM技术施加数据本地化要求,要求所有相关结构、服务器、软件和设备都由授权运营商在土耳其境内建立,所有数据也在境内保存。
外商投资领域首次明确将数据作为审查领域。美国2018年8月通过的《2019年外国投资风险审查现代化法》明确将外国人投资保存或收集美国公民敏感个人数据的公司纳入审查范围。
(二)各国在国际经贸框架下基于自身立场探讨与构建国际规则
随着各国对数据跨境流动含义认知的日益深入以及相关立法的逐步构建,各国开始在秉持不同立场的前提下,开始在双多边国际经贸框架与合作机制下下探讨甚至制定跨境数据流动规则。
在WTO框架下,自2019年1月75个国家和地区在达沃斯签署《关于电子商务的联合声明》后,截至2019年7月,已有美、日、欧盟、加拿大、新加坡、纽西兰、中国、巴西、乌克兰、韩国等国家和地区提出18份概念文件或条文提案。除了历来主张跨境数据自由流动的美国、日本之外,欧盟也首次基于人权优先的基础上明确提出了跨境数据流动条款。巴西也提出了基于多项安全及公共利益例外基础上的跨境数据流动条款提案。
在自贸协定(FTA)框架内,2018年3月澳大利亚、文莱、加拿大、智利、日本、马来西亚、墨西哥、新西兰、秘鲁、新加坡及越南11个国家共同签署了《全面与进步跨太平洋伙伴关系协定》(CPTPP),2019年12月30日该协定正式生效。CPTPP中包含了“通过电子方式跨境转移信息”的条款。2018年11月30日,美国、墨西哥和加拿大三国对原有的《北美自由贸易协定》进行了升级,签署了《美墨加协定》(USMCA,尚未批准生效),其中包含了当前承诺开放水平最高的跨境数据流动条款,这也是特朗普上台后签署的第一个含有跨境数据流动条款的自贸协定。
在2019年6月日本举办的G20大阪峰会上,包含中国、日本、美国、欧盟在内的24个国家和地区签署了“大阪数字经济宣言”, 启动“大阪轨道”。根据宣言,各方承诺在世贸组织就电子商务与贸易有关问题推动制定国际规则, 在2020年6月举行的世贸组织第十二次部长级会议之前进一步努力,使谈判取得实质性进展。在数据流动方面,《二十国集团领导人大阪峰会宣言》表示:为了建立信任和促进数据的自由流动,有必要尊重国内和国际的法律框架。合作以鼓励不同框架之间的互操作性,并确认数据在发展中的作用。
(三)发展中国家坚守发展权要求保留产业政策空间
尽管G20峰会上有24个国家签署了“大阪数字经济宣言”,但印度、南非、印尼等发展中国家并未签字。与美国等发达国家主张建立数据自由流动国际规则、促进数字贸易全球发展不同的是,印度等发展中国家由于在数字经济发展中的滞后性,当前主要关注如何改善数字鸿沟、提升能力建设的问题,坚持保留国内产业政策空间,要求数字经济增长不仅要关注效率还需关注公平。不支持对跨境数据流动、电子传输免征关税等国际规则进行授权性谈判,以避免挤压发展中国家制定产业政策和追赶发达国家的能力。
正如2017年非洲集团在WTO提交的JOB/GC/133文案中指出,发展中国家需要“智能产业政策”或“强大的保护主义工具”来创造、培育和发展国内产业,包括数据本地化要求、互联网过滤和技术转移要求。印度商业部长戈亚尔(Piyush Goyal)也曾在2019年6月8日的日本筑波G20部长级会议上表示,数据跨国间的分隔与流通“严重阻碍发展中国家从数据贸易中获利”。发展中国家需要时间来训练、建设数据基础设施,从而克服能力上的短板,这对于各国在数字经济领域公平竞争十分重要。
(四)发达国家正在推动区域性互操作机制的建立
鉴于WTO、FTA框架下电子商务规则的缓慢进展,美日欧等发达国家开始寻求其他能够让更多国家以更便利方式参与的跨境数据流动互操作机制。可以看到,除了美日间已经开始通过APEC跨境隐私规则体系(CBPR)进行实质性合作外,欧盟也开始展现与美日之间探讨共同建立数据流动圈的意愿。
美国方面,目前看起来将CBPR作为突破口。CBPR是一种自愿性、基于责任的在APEC经济体内部推行的个人数据跨境流动机制,加入的企业遵守的是《APEC隐私框架》中的个人数据保护原则。该机制并不改变各国国内的个人数据立法,但是要求加入的经济体必须签署《跨境隐私执法协议》以便于执法。目前共有美国、日本、澳大利亚、加拿大、新加坡、中国台北、韩国、墨西哥八个国家和地区参与了该机制,而真正通过CBPR认证的公司只有26家美国企业和3家日本企业。美国不仅寻求在APEC内部扩大范围,还寻求将CBPR扩大至APEC之外,特别是推动CBPR与GDPR的互通来促进数据跨境流动。目前CBPR成员中仅有美国、日本和加拿大通过了GDPR的充分性认定。
欧盟方面,一方面优先采用GDPR中的充分性认定来推动双边国际合作,扩大跨境数据流动范围。当前获得欧盟同等保护水平充分性认定的共有安道尔、阿根廷、加拿大(限于商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于隐私盾协议)13个国家和地区。在当前与未来的充分性认定谈判安排上,欧委会将韩国、印度、印度尼西亚、部分拉丁美洲国家(如巴西、智利)以及东欧和南欧邻国作为优先谈判与合作的对象。另一方面,除了充分性认定,欧盟也愿意与志同道合的国家,在第108号公约或者日本提出的“可信数据自由流动”的基础上,探讨建立多边数据流动圈的可能。[1]
日本作为CBPR的成员及获得认证机构资质的国家,一方面在积极推动APEC经济体参与到CBPR体系中来,并修订国内个人数据保护法,认可CBPR作为一种跨境数据转移机制。同时,由于日本同时是CBPR机制和欧盟充分性认定的成员,其希望扮演桥梁连接美、日、欧及其他经济体之间的数据流通。另一方面,日本首相安倍在2019年年初的达沃斯会议上提出了“可信数据自由流动”的概念,并在《G202大阪领导人宣言》中得以体现,包括中国、美国、日本和欧盟等24个国家和地区签署了这一宣言。宣言称,将在尊重国内和国际法律框架的基础上,鼓励不同框架之间的互操作性。
二、国际经贸框架下的跨境数据流动规则分析与比较
当前,在已签署或生效的FTA中,包含跨境数据流动规则的仅有美韩FTA、CPTPP和USMCA三项。美韩FTA签署时间最早,跨境数据流动条款采用软义务的表达方式,灵活性最高,而在《跨太平洋伙伴关系协定》(TPP)之后出现的条款表述更具强制性。基本可以将后TPP时代出现的跨境数据流动规则分为两种模式——美国主导的TPP模式以及欧盟模式。其中,TPP模式已经在在USMCA、CPTPP等FTA中得以采用,在WTO框架下,也有巴西等国以TPP模式为基础提出自己的规则草案。而欧盟模式以其自身优先立场的独特性以及出现时间较晚(2018年提出),当前只有欧盟本身在推行。
(一)TPP模式下的跨境数据流动规则
USMCA、CPTPP、巴西WTO电子商务提案(INF/ECOM/27)中的跨境数据流动条款均以TPP条款为范本,但是其条款的具体差异会导致各国在行使数据主权及数据管理时拥有不同程度的灵活性。
USMCA、CPTPP、巴西WTO提案的跨境数据流动条款都以TPP为范本,其中,CPTPP基本上完全采用了TPP中的规定,三者中包含的共同内容如下:
(1)出于开展业务的需要,各缔约方应允许通过电子方式进行信息的跨境转移;
(2)允许各缔约方采取或维持与前述条款不一致的措施以实现合法公共政策目标,只要该措施不构成专断或不公正的歧视或者变相障碍。
三者相比较而言,巴西WTO提案给各国监管机构保留的跨境数据流动管理空间最大,其次为CPTPP,最严格的是美国主导的USMCA。在USMCA的条款语境下,一国的跨境数据流动管理措施被另一国挑战的概率最大。
CPTPP和巴西WTO提案均保留着TPP中“承认各国可以拥有自己的信息转移监管要求”的条款,而USMCA中去除了这一条款。得益于这一条款的灵活运用空间,作为CPTPP成员的越南在2019年1月开始实施《网络安全法》并提出数据本地化要求,而马来西亚正在修订本国的个人数据保护法。
巴西WTO提案中列出了多项一般例外与安全例外条款,以给本国监管措施提供兜底保护。这些例外条款中大多数与《服务贸易总协定》(GATS)中的相同,例如,可以采取必要的保护公共道德或维护公共秩序的措施。此外,巴西还提出了一些新的例外条款。例如,允许成员国采取必要的确保通过电子手段公平有效地征收与贸易相关的直接税的措施;不得阻止任何成员国采取其认为有必要的保护其根本安全利益的措施,这些措施与军事通信的跨境信息转移有关。
USMCA、CPTPP均强调了所采取的达成合法公共政策目标的措施应当是“必要的”,而巴西WTO提案中并无此要求。必要性判断标准的存在,将增大国际争议的风险。
在USMCA中,除了“跨境数据流动”条款,还在“个人信息保护”条款当中增加了承认CBPR作为一种有效的促进跨境信息转移机制的要求,这相当于缔约国之间在授权个人数据出境方面接受《APEC隐私框架》的相关原则作为统一的保护标准,由于《APEC隐私框架》相当于1980年版的OECD隐私指南,因此实际上CBPR对数据保护标准较低的国家有利。
除了数据流动条款,USMCA和CPTPP中均设有计算设施位置条款,而巴西WTO提案中并未设有该条款。UMSCA直接禁止一切将计算设施放置于一国境内或使用一国境内计算设施的本地化要求,而CPTPP中虽然承认禁止设施本地化是一般要求,但仍允许各国可有各自使用计算设施的法规要求,包括寻求确保通讯安全与机密的要求,以及为达到正当公共政策目标可采取不符措施,只要其不构成专断或无理的歧视或变相贸易限制,或超过达成目标所需程度。
(二)欧盟模式下的跨境数据流动规则
2018年1月,欧委会签署了拟在欧盟贸易协定中使用的数据流动和个人数据保护条款,并且用于与印度尼西亚的自贸协定谈判,这些条款也包含在欧盟2019年4月向WTO提交的电子商务提案(INF/ECOM/22)当中。
欧盟条款在优先保护个人数据的前提下,对促进跨境数据流动提出了要求:
一方面,跨境数据流动条款禁止成员通过如下方式限制跨境数据流动:要求使用其境内符合认证要求的计算设施进行处理,要求数据在该国境内存储或处理,不允许在其他国家境内存储和处理数据,或者要求使用该国境内计算设施或遵守该国本地化要求作为允许跨境数据转移的前提条件。
另一方面,在个人数据保护条款中,明确要求各方承认个人数据和隐私保护是一项基本人权,高保护标准有助于建立数字经济信任与促进贸易发展。各方有权采取和维持其认为恰当的个人数据保护措施,包括制定和采用个人数据跨境转移规则。
此外,在监管合作条款中,欧委会再次强调了个人数据保护规则和措施并不包含在监管合作与对话的范畴。
将欧盟条款与TPP模式下的条款相比较而言,欧盟条款明显将个人数据保护置于优先位置,是不容谈判、挑战甚至磋商的,并且坚持其高标准要求。
而在个人数据之外,欧盟条款实际比TPP模式下的条款采取了更高的承诺标准:一是并未对其他公共政策或者国家安全目的予以考虑;二是对限制数据流动的具体方式直接做出了禁止,例如,不允许要求在本国境内计算设施上进行数据处理,而TPP模式下的条款仅对出境目的提出了要求,而对具体方式并没有直接的限制。
三、美欧不同国际规则主张背后的原因分析
(一)美国——确保国家安全前提下的贸易利益扩张
美国是跨境数据自由流动规则的倡导者,其认为,数据和信息的自由流动才是真正意义上的21世纪贸易协定的关键要素[2]。毋庸置疑,美国对跨境数据自由流动的主张来源于其重大经济利益诉求。2019年全球市值最高的100家企业中美国占了54家,其次为中国,占据了12家。在互联网领域,美国企业具有巨大的先发和主导优势,在社交媒体、搜索引擎、电子商务、云计算等领域都处于全球主导地位。根据欧委会联合研究中心的研究,2015年全球不到1%的在线服务提供商提供了全球近半数的在线服务出口,其中绝大多数都是美国企业(根据网站的页面访问量进行统计)。经济上的领先地位以及全球化发展要求决定了美国对于数据跨境自由流动具有最迫切的需求。
但是,支撑美国主张跨境数据自由流动的背后,除了经济利益还有其能够对本国数据实现有效管控的自信,主要表现在如下几方面:
第一,互联网企业先发优势带来的天然的数据本地化存储及全球数据管理权。麦肯锡2013年的报告称,美国存储了全球三分之一的数据,欧洲为19%,中国为12%[3]。美国存储的数据不仅来自本国,还包含了其他国家的数据。例如印度司法部任命的一个专家委员会称,谷歌、Facebook、亚马逊、Uber等互联网巨头搜集的大部分印度公民的数据都被存储在美国或其他国家[4]。2018年,亚马逊、微软、谷歌、IBM四家美国企业在全球IaaS公共云服务市场上的份额将近70%,美国云计算企业在全球IaaS市场上的巨大市场份额,赋予其对全球数据的巨大控制权或管理权,而无需担心本国会有大规模数据转移到国外。
第二,美国政府对关键部门、行业和领域的数据跨境流动实施了分散、隐蔽但有效的管控。根据当前的研究,尽管美国不存在普遍性的跨境数据流动立法,但是至少在政府、电信、科技、国家顶级域名、卫生医疗、外商投资等关键部门、行业和领域已经建立了分散化、非显性化的跨境数据流动管理要求,部分要求通过公共采购合同、网络安全协议等方式得以体现。同时可以发现,除了通过云计算企业在全球的主导地位确保对全球数据的控制或管理权外,美国对于可能涉及大规模数据出境的行业(例如电信业),也有着严格的管制。
在公共服务领域,2015年国防部修订规则,要求所有为国防部工作的云计算服务提供商仅在国内存储数据。2016年美国国家税务局发布《联邦、州和本地机构税务信息安全指南》,要求联邦机构必须将接收、处理、存储、传输联邦税务信息的信息系统的位置限制在美国领土、大使馆或军事设施内的区域。据美国信息技术与创新基金会的报告称,数据国内存储要求在一些联邦机构、州和本地政府的公共采购合同中有时也会存在[5]。
在电信领域,美国在拥有AT&T和Verizon两家全球最大的本土电信运营商的同时,当外资电信运营商收购其他美国电信运营商或申请新牌照时,如若被认为存在安全风险,外资运营商通常被要求与美国国防部、司法部、国土安全部组成的电信小组签署网络安全协议,以确保执法侦听、政府通信和阻止恐怖主义等管理要求得以实施。安全协议中包含的常见条款如:所有存储的国内通信数据、国内通信公司客户接收到的或存储在其账户内的通信数据、与国内通信相关的交易数据(呼叫识别信息、与用户位置或身份相关的信息、电话号码、域名、IP地址等)和呼叫相关数据、CPNI和用户数据、用户账单记录、网络管理信息、涉密信息和敏感信息等都应仅在美国境内存储。这一规定隐藏在电信业新设投资或并购审查环节所签署的内部文件之内,并无体现在明文的法规政策。
对于科技数据,通过《2018年出口管制法》、《出口管制条例》(EAR)等规定可达到限制科技信息出境的目的。根据美国规定,出口可包含任何将受管制物项(商品、软件或技术)运送或传输至美国境外的方式,电子方式、口头和书面交流当然也包含在内。同时,外国人在美国境内获得受管制技术的信息也被认定为“视同出口”,应受到与其他出口相同的管制。如果一个物项出口到某个目的地需要许可证,则学术机构或企业聘用从该目的地来的人将同样需要获得许可证,但是一般基础研究会排除在外。目前美国商务部工业安全局比较关注外国学生(尤其是中国学生)在美国学习应用科学和技术是否会产生视同出口问题,并正在美国大学和研究实验室中开展外展活动,使其意识到出口管制的许可要求[6]。此外,美国商务部正考虑扩大管制的技术范围,在电子设计、开发和生产,计算机,电信,信息安全等十类技术实施管制的基础上,将增能制造、先进计算、先进监听、人工智能和机器学习、数据分析、机器人、微处理器技术等新兴和基础技术纳入管制。
.US域名数据被要求在美国境内存储。从2001年开始,美国商务部国家电信和信息管理局(NTIA)将.US域名的具体管理职能以合同方式授权给美国公司Neustar进行管理,NTIA负责监督Neustar的合同执行情况。在与Neustar签署的合同中,美国政府对.US注册信息的境内托管,注册者资质以及注册信息的及时性、准确性均提出了很高要求。在对.US注册信息的存储方面,要求Neustar必须能证明其所有主要的注册处服务都位于美国境内.US的域名注册信息必须托管在位于美国境内的计算机上,分包商必须实施基于位置的.US顶级域名结构和二级域名结构。
在卫生医疗领域[7],尽管依据《1996年健康保险流通与责任法》(HIPPA)相关规则,并不限制相关医疗机构将受保护的电子医疗信息给云服务提供商在境外存储,但是必须与云服务提供商签署商业伙伴协议并遵守HIPPA规则。同时,美国卫生部民权办公室也强调了医疗信息的风险会由于地理位置的不同而产生很大差异。特别是,将医疗信息在海外存储可能会提升信息的风险或脆弱性,以及可能要对隐私和安全保护的可执行性提出特殊考虑。如果要在一个有越来越多的黑客或其他恶意软件攻击企图的国家或地区进行保存,则应考虑此类风险,并且必须实施合理且适当的技术保护措施来应对此类威胁。
在外商投资领域,2018年发布的《外国投资风险审查现代化法》明确将涉及收集美国公民敏感个人数据的外国投资(包括非控制性投资)纳入审查范围,防止外国企业涉足处理美国公民敏感个人数据的美国企业。
第三,对国际规则具有高度的主导权、话语权和解释权。美国作为国际贸易规则的主导者,对国际规则具有很强的话语权和解释权,可以灵活利用规则赋予的空间维护本国利益,甚至在贸易摩擦等极端情形下直接藐视规则,这对于其他国家特别是发展中国家是难以复制的。例如,WTO等国际贸易规则中通常存在“安全例外”和“一般例外”原则,美国在外资审查、出口管制、进口管理等多个领域以国家安全为由行使相关管理措施,其中一些措施并非通过明文规定的方式进行,其他国家很难对美国进行全面而透彻的了解,也难以理解安全例外规则的界限在哪里,也就难以利用国际贸易争端工具捍卫自身的利益。
在跨境数据流动领域也是如此,尽管美国基于国家安全可以实施不同的跨境数据流动限制措施,并根据需求适时修正制定国内立法,但其不一定认同其他国家基于本国所认为的国家安全所构建的制度和措施。正如美国贸易代表处发布的《国家贸易壁垒报告》每年都跟踪各个国家的数据本地化措施,一旦有新的动向便加以指责干预,但是却从未全面梳理和公布本国的跨境数据流动限制措施。
第四,执法机构享有对境外数据实施长臂管辖的广泛权力。2018年出台的CLOUD法案明确赋予美国执法机构跨境调取数据的权力,这就使得对于境外存储的数据,美国也可以出于公共安全等目的进行调取。可调取的数据范围并不限于美国人的数据,在满足一定条件的情形下也可调取非美国人的数据;可调取数据的企业范围也并不仅限于美国企业或总部在美国的企业,外国企业如果在美国提供业务并且与美国发生了充分的联系,也可能被要求提供境外数据,因为“美国管辖权是不受限制的”[8]。
(二)欧盟——确保人权优先前提下的贸易利益平衡
由于将个人数据保护视为一项基本人权,欧盟在2018年之前在国际经贸框架下对跨境数据流动规则并无相关主张,甚至并不愿意就跨境数据流动规则进行谈判。由于GDPR将在2018年5月生效,同时欧盟正在与数个国家和地区进行FTA、BIT谈判,例如印度尼西亚、菲律宾、MERCOSUR,与澳大利亚、新西兰的谈判也在计划当中。其中部分国家和地区可能尚未具备与欧盟达成充分性认定的实际可能性。欧盟一方面不希望自身的个人数据保护规则在谈判中被挑战,另一方面也担心对方对数据流动实施保护主义。于是欧委会在2018年1月提出了兼顾个人数据保护优先和促进跨境数据流动的条款。
如上所说,欧盟条款除了将个人数据保护置于不可谈判和挑战的优先位置之外,其承诺开放的程度比TPP模式更高,并未对其他公共政策目标及监管措施加以任何保留,这也与欧盟的一贯风格较为一致。从历史上看,欧盟对电信业的开放程度以及对外国投资安全审查的重视程度,历来要比美国宽松得多。美国历来比较重视国家安全的规则操作空间,在其签署的FTA协定中,美国通常设置了比WTO中更为宽泛的安全例外条款。
实际上欧盟内部对于数据跨境流动议题也存在一定的分歧[9],例如,德国和法国主张数据本地化,德国在2016年年底针对某一类型的电信元数据推出了数据本地化存储的要求(但由于面临多项法律挑战当前尚未生效),其商业和税收规定中也有相关信息本地化的要求。法国在医疗、信息通信等领域也存在相关的数据出境限制要求。与之相反,英国和瑞典主张跨境数据自由流动。
四、跨境数据流动规则进展引发的思考和猜想
(一)国际贸易规则和国内规则,谁在引领全球数据跨境流动规则的发展?
尽管美国致力于在WTO、FTA、国际经济论坛、国际经济合作组织等框架下制定国际规则来规范各国做法,促进数据流动。但是迄今来看,国际规则的发展和引领作用要落后于国家事实规则标准的发展,特别是大国事实规则标准的发展。并且国际规则在尊重一国监管要求的情形下(例如CPTPP中的规定),其实际应用效果会受限于后者。
在国际规则进展方面,目前WTO刚启动对数据跨境流动的探讨,而FTA层面仅在USMCA(尚未生效)、CPTPP中存在有约束力的数据跨境流动规则。CBPR机制是美国推动和期待的一个用于实践操作的全球个人数据跨境流动的一个自愿性的互通机制,但是成立八年以来目前仅有美国和日本的总共二十多家企业通过了CBPR认证。笔者认为,虽然导致的原因有多种(例如,该机制属于自愿性质,部分CBPR成员本身内部个人数据保护标准已经高于CBPR,如日本,因此没有必要再通过参与该机制来合规),但主要原因之一可能是美国国内并没有一个全国性的个人数据保护要求,从而大大降低了其他成员参与该机制的动力。
而在国内规则方面,尽管欧盟GDPR树立了最严格的个人数据保护标准,但当前已经成为众多国家制定个人数据保护立法的范本(例如印度、阿根廷、巴西),以便本国企业能够与欧盟正常进行涉及个人数据传输的国际贸易。当前通过欧盟充分性认定的已经有包含美国、加拿大、日本在内的13个国家,并且正在或计划与一些已经或正在制定个人数据保护立法的亚洲、拉丁美洲国家(如韩国、巴西、印度)进行磋商。甚至一些美国行业和消费者团体也希望美国政府按照GDPR的标准来制定全国性隐私保护法律[10]。由于GDPR的引领速度要远远领先于国际机制,美国也在担心,欧盟GDPR正在全球树立一种高标准的数据保护模式,其他国家正在模仿GDPR建立本国的数据保护体系,通过贸易协定或其他机制,欧盟可能会建立一种事实上的全球个人数据流通圈。
从当前进展来看,在不损害国家安全和国家利益的前提下,庞大的经济体量、开放的经济体制、明确的国内规则要求加上严格的惩罚机制,看起来对全球数据跨境流动规则的制定和发展有更强的引领作用。
(二)是否会形成不同的全球数据流动圈?
如果关于大国国内规则标准引领全球数据跨境流动规则发展的观点成立,不难想象,如果不同大国出于不同优先立场制定不同的跨境数据流动规则和标准,将会造就不同的全球数据流动圈。
从国际经贸利益角度考虑,大国之间存在毋庸置疑的合作需求。但是从实际情形看,即便是美国与欧盟之间要通过CBPR和GDPR机制打通数据流动圈,仍存在着很大难度。从欧盟来看,基本不可能放弃其对于GDPR的高标准要求,并且欧盟法庭还在评估美欧隐私盾协议在保护个人数据方面的有效性[11]。而从CBPR来看,其遵循的《2005年APEC隐私框架》仅相当于《1980年OECD隐私指南》的水平,而GDPR相当于在《2013年OECD隐私指南》基础上的升级版本[12]。水平差异将是GDPR和CBPR之间互通的核心障碍。不过,当前OECD隐私指南正在修订,美国希望新的隐私指南出来后APEC成员能够修订现有的框架和原则[13]。如果CBPR真的能提升至新的OECD隐私指南水平,其和GDPR之间互通的可能性将大大提升,但这仍需要一定时间。
从不同地缘政治的大国来看,仍缺乏基本的互信基础,至少美欧在制定跨境数据流动相关规则的合作伙伴标准时,就体现了其对世界观和价值观一致性的高要求。例如,在个人数据跨境流动合作方面,要获得欧委会批准的充分性认定资格,一国法治,人权以及安全、国防、刑事等部门获取个人数据的相关立法是欧盟评估的首要因素。并且如上文所说,欧盟明确提出,在构建多边数据流动圈时寻求的是与之志同道合(like mind)的合作伙伴。在跨境数据执法合作方面,美国CLOUD法案规定能够与其进行境外数据执法合作的“适格外国政府”,必须符合法治、人权、有充分的电子证据实体和程序立法等核心标准。如果中西方长期以来形成的衡量标准不能改变,双方很难在国家层面推动实质性的深入合作。
除了大国之间,从全球来看,各国间的利益和立场存在着巨大差异,甚至是冲突。如印度司法部专家委员会指出,倡导数据自由流动只符合美国等少数在数字经济发展上具有先动优势的国家利益。而发展中国家、欠发达国家更关注数字基础设施、数字化技能等电子商务准备的发展,希望通过数据本地化存储来促进本国数字产业的发展。
因此从当前来看,要建立单一的全球数据圈并不可行。从现状推断,未来方向有可能是基于不同大国国内规则标准、不同互信国家或地区、不同互信合作机制、甚至不同行业或类别的数据流动圈。
(三)什么影响一国在国际经贸合作框架下的跨境数据流动合作策略选择?
跨境数据流动对各种国家重大利益的交织及对未来全球经济发展的深刻含义,使得一国在选择国际间合作策略时需要做出非常谨慎的衡量,即在什么范围或什么合作机制下,以什么样的态度(主动、接受和拒绝)采取什么样的规则主张来进行合作。在不考虑国际政治和经贸关系等外部因素的情形下,一国合作策略的选择从内部来看至少会受到如下两个因素的影响:
一是国家优先目标很大程度上决定其在国际合作上采取主动还是保守策略。优先目标越单一,保障措施越完备,越容易选择策略。美国以产业国际竞争优势和利益为先并且有强大灵活的保障措施,因而采取主导策略。欧盟以隐私保护优先,同时各国对数据本地化的态度存在差异,因而采取保守向前的策略。印度以发展国内数字经济为重,因此拒绝进行国际规则授权谈判。而中国一方面在现实的国际政治环境下需要以国家安全为第一要务,另一方面国内信息通信产业在国际上的不断发展壮大以及在全球贸易体系中不断提升的国际地位也要求给予充分重视和平衡,但在保障措施尚未完善的情形下,需要在探索中前行。
二是对数据跨境流动管理和保障措施的完备性、可操作性影响一国对国际合作机制及国际规则的具体设计和选择。只有根据本国管理目的,明确具体的数据管理范围、分级和分类,并形成足够细分颗粒度的数据跨境流动管理策略,才能够做出有效的国际合作机制及规则选择和设计。
因为如此,已经具备明确的数据跨境流动管理策略的美国、欧盟等发达国家,才能够率先引领跨境数据流动合作机制和国际规则的制定,而多数国家仍在制定本国国内的跨境数据流动立法的进程当中,难以迅速地在国际合作机制中做出有效反应和主导规则设计。特别是,随着云计算、大数据分析、AI、深度伪造等技术的发展,数据利用可能带来的安全隐患日益明显,会进一步加深以国家安全为优先目标的国家的担忧,并影响其对跨境流动数据管理范围和机制的选择,从而进一步影响其国际合作策略的选择。
(四)如何看待中美欧跨境数据流动管理策略的差异及走向?
尽管跨境数据流动规则的设计面临着多项复杂因素的交织影响,但在数字经济全球化的潮流下,如何在保障本国优先目标的前提下构建多样、灵活的数据跨境流动管理策略,对于每一个想要积极参与全球化分工的国家而言都是必须面对的一个课题。
如上所说,美国和欧盟当前已经具备明确的数据跨境流动管理策略[14]。美国在对重要行业和领域数据实施有效管控的前提下积极推动数字化产业的国际扩张,倡导包括个人数据在内的数据自由流动,同时通过出台CLOUD法、修订《外国情报监视法》进一步扩张美国安全和执法机构在全球的数据主权。以隐私保护为优先目的欧盟侧重于对个人数据进行跨境流动管理,并开发了从国家到行业到企业层面的一整套有条件出境的跨境数据流动机制,对于重要行业数据的限制仅在某些成员国内部存在(如法国对于电信数据的存储要求)。
以保护国家安全为优先目的同时要兼顾产业国际化发展的中国,正在探索数据跨境流动管理策略的进程当中,当前已经初步构建了一个数据分级分类管理的顶层设计框架。针对网络运营者的个人信息和重要数据出境,根据《网络安全法》、《数据安全管理办法(草案)》、《个人信息出境安全评估办法(草案)》目前正在构建安全评估机制。在部分重要行业(如金融、征信、人口健康、保险、互联网地图),已经建立了初步的数据本地化要求。对其他一般个人数据和商业数据[15],当前并没有对跨境流动作出明显的法律规制,专门的个人数据保护法目前正在制定当中。
与美国相比较而言,在信息通信产业国际竞争力相对较弱,美国云计算等互联网企业主导全球数据管理权,同时美国实施积极的数据主权扩张战略的前提下,中国出于国家安全自然而然需要选择较为保守的数据出境管理策略。
与欧盟比较来看,尽管中国当前针对网络运营者采用的安全评估机制与欧盟的个人数据跨境流动机制相比具有一定的单一性,但是欧盟个人跨境数据流动管理机制适用的范围要大于中国目前安全评估适用的范围。
安全评估也是中国在跨境流动机制建立初期较为稳妥的选择,尽管目前看来似乎出境机制与欧盟相比过于单一,但是造成这一问题的原因是:欧盟对数据出境进行限制的原因是担心接收国家或接收企业无法达到本国同样的个人数据保护标准,而全球目前已经对个人数据保护的核心原则有了较普遍的共识,在各国采取水平较一致的个人数据保护立法或者企业愿意采取合规措施的基础上,较容易设计出充分性认定等多重机制。而对于国家安全的认识各国存在很大的差异,没有全球统一标准,并根据数据规模、类型、范围、接收国的网络安全环境和数据保护立法、外交关系、国际政治经济形势、新技术发展等因素的变化而产生变化,其具体评价标准在跨境数据流动机制建立初期较难确定,而安全评估是一种较好的探查方式。
长期来看,跨境数据流动机制的全面建立应该是一个长期动态调整的过程,安全评估不应该被视为最终唯一的出境机制。正如欧盟从1995年的《数据保护指令》到2016年的GDPR走过了21年的时间仍在不断进行优化和改良,禁止各成员国采取许可管理的做法,增加了充分性认定的对象类型,扩展了“标准合同条款”,并且增加了认证机制这一新的方式[16]。与此同时也仍存在着不足和被质疑。
理想情形下,安全评估应该被作为一种探索手段,通过安全评估的应用实践、总结和反思,以及具体评估标准的确立,寻求在国家和地区层面、行业层面、企业层面建立不同跨境流动管理机制的可能性。
中国的《个人信息保护法》正在制定当中,在重要行业数据及网络运营者的个人数据和重要数据建立了较为严格的出境机制的前提下,应当允许其他一般个人数据比网络运营者的个人数据出境具备更多的灵活性,这一方面,欧盟及其他国家的相关经验提供了很好的借鉴。
依照当前的立法趋势,中国最终将建立起对重要行业数据、网络运营者的个人数据和重要数据、一般个人数据和商业数据分别适用不同跨境流动管理机制的分级分类管理制度[17],并在此基础上建立符合自身安全标准和产业利益需求的国际间数据流动圈。
五、结束语
跨境数据流动如此重要,跨境数据流动牵涉的利益又如此复杂。美欧等部分发达国家已经刻画好自身的跨境数据流动管理与国际合作策略,而包括中国在内的更多国家仍在探索中前行。没有一条适合所有国家的普遍道路,重要的是时刻保持着审慎、积极、开放的心态,一路寻找能够保障自身优先目标而又适应全球化进程的最佳方法。
作者简介:杨筱敏,中国信息通信研究院互联网法律研究中心主任工程师
[1]“ Data protection rules as a trust-enabler in the EU and beyond –taking stock”, COM(2019) 374 final,欧委会,2019年7月24日
[2] JoshuaP.Meltzer,ANewDigitalTradeAgenda,ICTSD,2015年8月。
[3]参见https://qz.com/104868/the-us-is-home-to-one-third-of-the-worlds-data-heres-whos-storing-it/
[4]“A Free and Fair Digital Economy:Protecting Privacy, Empowering Indians”,Committee of Experts under theChairmanship of Justice B.N. Srikrishna,第92页,2018年。
[5] “Cross-Border Data Flows: Where Are the Barriers,and What Do They Cost?”,第30页,ITIF,2017年5月。
[6]参见美国国会研究局报告《Export Controls: New Challenges》,2019年3月22日。
[7]参见https://www.hhs.gov/hipaa/for-professionals/faq/2083/do-the-hipaa-rules-allow-a-covered-entity-or-business-associate-to-use-a-csp-that-stores-ephi-on-servers-outside-of-the-united-states/index.html
[8]见美国司法部《云法案目的和影响白皮书》,第15页, 2019年4月。
[9]“Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?”,ITIF,2017年5月
[10]“ EU Data Protection Rulesand U.S. Implications”,第2页,美国国会研究局,2019年8月。
[11]https://hsfnotes.com/data/2019/06/05/european-court-to-rule-on-validity-of-gdpr-standard-contractual-clauses/
[12] http://www.dgcs-research.net/a/Opinion/2018/0201/100.html
[13] “Data Flows, Online Privacy, and Trade Policy”,第8页,美国国会研究局,2019年4月。
[14]在国际贸易中关注的跨境流动的数据大体包括三类:个人数据、重要行业数据(如电信、电子商务、互联网、金融、医疗)以及其他商业数据,在本文中不讨论政府数据。
[15]涉及商业秘密、知识产权等领域的商业数据由相关法律进行规制,不纳入本文探讨范围。
[16]《数据跨境流动政策认知与建议》,王融,来自https://www.secrss.com/articles/637。
[17]本文中并不 政府数据纳入讨论范围,政府数据也并不是国际贸易活动中探讨的主题。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
