返回上一页 文章阅读 登录

许多奇:个人数据跨境流动规制的国际格局及中国应对

更新时间:2018-05-19 03:43:20
作者: 许多奇  
其中第15.8条规定,成员方应努力避免对跨境电子信息流动施加或维持不必要阻碍。2015 年,在美国主导下达成的《跨太平洋战略经济伙伴关系协定》(TPP) 中也专门引入了“商业信息跨境自由传输条款”。在现已公布的电子商务章节中,各成员方承诺在维护特定合法政策目标(如个人信息保护) 的前提下确保数据在全球的自由流动以推动数字经济的发展。TPP明确规定成员方可以为了实现特定合法公共政策目标而采取限制性措施,前提是“该措施不构成任意或不合理歧视的手段或构成对贸易的变相限制”。总之,由美国主导将跨境数据流动规则纳入自由贸易协定谈判,使自己“跨境数据自由流动”的主张和规则在一定条件下为缔约国所接受,并具有较强的约束力。

  

二、个人数据跨境流动欧美两大规制体系的比较分析

  

   个人数据跨境流动的国际基本格局由欧盟和美国两大规制体系构成,为了对这一基本格局有更深刻的理解与更准确的把握,有必要在前面分述两大规制体系立法框架和实践模式的基础上,进一步从价值取向、规制路径和规制结果三个方面对欧美两大体系作一比较分析。

   (一)价值取向:个人数据权保护与数据跨境自由流动

   个人数据跨境流动欧美两大规制体系在价值取向上存在数据权保护与数据自由流动的不同诉求。

   欧盟更强调个人数据权的保护,这与欧洲的人权保护传统有着密切的关系。早在1953年,欧洲理事会就批准了《人权保护及基本自由公约》,即著名的《欧洲人权公约》。在公约列明的权利中,第8条规定了“对隐私及家庭生活尊重的权利”。这种历史文化传统使欧洲国家通过立法保护个人隐私处于领先地位,1973年至1984年全球共有13个国家制定了数据保护法,其中就有8个欧洲国家。长期以来。欧洲数据保护都是与隐私权相联系的,通说认为数据权是隐私权的一部分,所谓的个人数据和信息保护不过是从“信息视角”对隐私权的一种解读。这也构成欧盟在跨境数据流动规制上的基本立场。

   与欧盟将数据权作为一种基本人权,并通过苛严的立法提升保护水平的作法不同,美国政府和实务界反对立法规范个人数据处理行为,认为强硬的法律结构会“不可避免地阻碍商业活动”,而奉行以市场为主导,以行业自律为中心的个人数据保护政策。这种立场从根本上决定了美国在跨境数据流动上的诉求是更加看重数据自由流动和经济利益,更希望通过促进数据跨境维护业已建立的信息优势。在大数据时代,美国更清醒地意识到数据利用意味着价值和机遇,也更透彻地理解促进数据跨境流动对国家利益产生的潜在裨益。为此,它更加重视通过鼓励数据跨境流动确立和固化“数据占有和利用”的优势,最大限度地攫取“数据金矿”。

   在数据跨境流动的价值目标中,数据自由流动和数据权保护两者缺一不可。一方面,跨境数据流动在全球的价值创造能力不容忽视,不仅欧美之间有巨大的跨境数据流动需求,而且在全球范围内一半的服务贸易要依靠跨境数据流动实现;另一方面,不断提高个人数据权保护水平对于提振消费者对数字贸易的信心有积极作用,也是社会发展进步的必然要求。如何在未来的规则设计中,实现数据权保护与数据自由流动两大目标的协调,是一个值得深入探讨的课题。

   (二)规制路径:“充分性”原则与“问责制”原则

   欧盟和美国对跨境数据流动采用了不同的规制路径,欧盟是“以地理区域为基准”,依据“充分性”原则,进行事前防范的规制路径;美国则是“以组织机构为基准”,依据“问责制”原则,进行事后问责的规制路径。

   欧盟的规制路径对于欧盟内部和外部的数据流动采用了不同标准。它通过立法(如1995年的《欧盟个人数据保护指令》),在欧盟内部确立了禁止成员国借数据保护的名义限制个人数据在欧盟境内自由流动的标准;但却禁止个人数据转移到欧盟以外的地理区域,除非欧盟以外的国家政府能够提供“充分的”数据保护。《欧盟数据指令》还说明了如何认定一国是否提供“充分”数据保护的依据,即通过考察数据传输的整体过程来判断一国相关法律的完备程度和执行情况,此外还要考虑数据的性质、数据处理的目的和期限、数据来源国和传输目的国等因素。

   美国的规制路径是在原则上允许数据跨境流动的前提下( 不论数据在何地理位置) ,要求控制数据的机构( 或数据控制者)确保个人数据在跨境传输过程中的安全。亚洲太平洋经济合作组织(APEC)于2012 年在美国主导下建立的《跨境隐私规则体系》(Cross Border Privacy Rules system,CBPRs),就带有明显的美国规制路径的特征。GBPRs 规范的对象是涉及到个人数据跨境传输的企业,在“问责制”的基础上采用行业自律模式。首先企业要进行自我评估,然后接受问责代理机构评估,若通过评估获得了CBPRs 认证,即被认可为符合隐私保护标准的企业,并且在认证目录网站可查,对于违反《APEC 隐私框架》相关条款的企业,由隐私保护执行机构进行问责处罚。

   欧美两种不同的规制路径和原则反映出对于跨境数据流动规制的两种不同立场,各有其合理性,也各有其不足。欧盟“以地理区域为基准”、“以充分性为原则”的规制路径,为数据跨境流动设置了统一的标准,有利于建立稳定的个人数据保护秩序并为个人提供合理的权利预期。但不可否认的是,由于该路径下的“充分性”认定的高标准和批准程序的复杂性,导致了对于数据跨境自由流动的严格限制,很可能对贸易造成不必要的阻碍。美国“以组织机构为基准”,“以问责制为原则”的规制路径,一方面确定了数据控制机构(数据控制者) 在确保个人数据安全中所应遵守的原则,另一方面规定违反原则所应承担的责任。政府仅在该组织机构导致了违反义务的结果时事后问责,从而大大减轻了对跨境数据流动的限制。但“问责制”以数据控制机构(数据控制者) 会自觉遵守个人数据保护原则为预设立场,如果某数据控制机构或组织缺乏自觉性,就有可能导致政府或监管者在事前或事中对数据控制机构或组织的失控。

   (三)规制结果:超强影响力与提升话语权

   从1980年OECD出台与数据跨境流动相关的规则(Guidelines on the Protection of Privacy and TransborderFlows of Personal Data)至今,30多年来,欧盟与美国分别主导构建了两种迥然不同的跨境数据流动规制体系,深刻地影响了各国的相关立法。

   从欧盟体系来看,不仅欧盟成员国将《个人数据保护指令》、《通用数据保护条例》的内容内化为本国数据保护法的具体规定,而且许多非欧盟成员国也按照欧盟数据保护标准提升其国内个人数据和信息保护水平。不少东欧国家如阿尔巴尼亚、玻利维亚、克罗地亚、马其顿、安道尔等国,甚至俄罗斯联邦都陆续按照欧盟指令和条例制定或修订了其个人数据保护法律,以确保国内立法与欧盟规定相一致。其他地区,如加拿大、阿根廷、澳大利亚、纽西兰、我国香港、台湾及澳门都制定了新的个人信息保护法律,以确保涉及个人数据传输的国际贸易不至于因不符合欧盟指令而遭到质疑。这些都充分显示了欧盟在数据跨境流动国际规则制定中的超强影响力。

   从美国体系来看,其促进个人数据跨境自由流动的理念与规则不仅对经合组织(OECD)、亚太经合组织(CBPR)的成员国具有指引、劝导等柔性规范的作用,而且通过将自身的跨境数据流动规则融入全球经贸规则体系而获得较强的约束力,起到一定的刚性约束作用。由此,美国也提升了自己在跨境数据流动国际规则制定中的话语权。

  

三、我国数据跨境传输立法应对


   (一)我国数据跨境传输立法现状

   在全球经济联系日益紧密的今天,越来越多的国家和地区需要进行数据交换,个人数据跨境传输变得愈加平凡。中国作为世界第二大经济体, 有着庞大的跨境数据流动需求,并且发展潜力巨大。据阿里研究院统计,2015 年中国跨境电商交易规模达4.8万亿元,同比增长28%,预计到2020年跨境电商交易规模将达到12 万亿元,占中国进出口总额的约37.6%。此外,越来越多的中国企业正在成长为全球企业开始“走出去”,加之国家“一带一路”战略给跨境电商带来的广阔发展空间,数据跨境流动对我国对外贸易及经济发展有着重大的意义。另一方面,当前迅速普及的云计算、大数据、移动互联网、智能终端等新技术对隐私和数据安全带来了新的威胁,我国保护个人信息安全和国家信息安全的现实需求日益强烈。在这一背景下,立足当下个人数据跨境流动规制的国际格局,审视我国相关立法,探讨构建我国数据跨境规则的具体路径,是摆在我们面前的重要任务。

   我国在数据跨境流动规制领域起步较晚,近年来政府已开始关注数据跨境传输问题,但至今仍没有独立的关于数据跨境流动的法律,相关内容散现于各类法律法规、部门规章之中,较为零散。已有法规的内容总体而言是严格限制国内数据向境外转移。其中既限制个人数据,2013年《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.4.5节规定:“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”;也限制个人健康和金融信息,2011年1月21日中国人民银行发布的部门规章《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”;对于国家秘密,更是严格限制出境,非法邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境等行为,都会受到刑事责任的追究( 2010 年《保守国家秘密法》第48 条) 。

   2015 年8 月19 日,国家层面的《关于促进数据发展的行动纲要》正式通过,为全面推进我国数据发展和应用,加快建设数据强国提供了行动纲要。2016年11月7日,《中华人民共和国网络安全法》 (以下简称《网络安全法》) 经十二届全国人大常委会第24次会议通过后正式颁布,于2017年6月起正式实施。作为中国网络领域的基本法律,《网络安全法》首次对关键信息基础设施的数据跨境传输从法律层面上进行了规制。该法第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。” 该条文在社会上引起了广泛关注,有学者认为这样的规定有利于保障我国的国家安全、公共安全和个人的隐私安全;也有专家认为这样的规定会对贸易产生负面影响,乃至于影响整体经济的发展。

   (二)我国数据跨境传输立法评析

以上列举表明,我国力图通过数据本地化留存避免跨境数据可能产生的国家安全隐患和个人隐私风险,效果总的来看是好的,但是我们也应该看到,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/110024.html
文章来源:《法学论坛》2018年第3期(第130-137页)
收藏