王 倩 刘杨钺 牛 昊
(国防科技大学 长沙 410073)
随着全球数据爆发式增长与大规模跨境流动,数据泄露、窃取、滥用等事件不断增多,引发各国对数据安全的关注和担忧,并加强了对跨境数据流动的管控与规制。在这一过程中,欧盟与美国形成两种不同的跨境数据流动规制模式。其模式差异既对全球跨境数据治理产生深刻影响,也对我国构建符合主权、安全与发展需要的数据治理体系有重要借鉴意义。本文试图在指出跨境数据流动规制重要性的基础上,对欧美跨境数据流动的规制机理进行探究,并通过分析双方在跨境数据流动方面存在的矛盾与博弈,探讨跨境数据流动全球治理面临的深层次问题,为各国跨境数据流动规制提供建设性意见。
虽然国际社会对“跨境数据流动”并未形成明确定义,但综合来看,其涉及数据在不同政治主体间的存储、获取和使用等问题。基于过往研究,本文认为,个人数据无论是存储在国内,还是实际上以跨越国界的形式存在,只要能够被境外主体获取并使用,就可以称为跨境数据流动[1-3]。跨境数据流动如同一把双刃剑,在带来经济红利的同时,也对国家、企业和个人安全造成极大威胁。世界各国纷纷采取措施,对跨境数据流动进行规制,以维护国家主权、安全和发展利益。
1.1 应对数据安全风险挑战的现实要求
数据作为国家重要的生产要素和战略资源,其跨境流动在带来数字经济发展红利的同时,也伴随着日益上升的国家安全风险隐患。尤其是某些关键重要数据的泄露,不仅会使各国经济遭受打击,而且会严重威胁国家主权、安全与发展利益。据斯诺登公开宣称,包括微软、雅虎、谷歌、脸书、苹果等互联网巨头在内的美国网络科技公司都加入了“棱镜计划”,任何使用以上公司服务的境外客户及与国外人士通信的美国公民都成了该计划允许监听的对象[4]。另据德国《明镜周刊》报道,美国国家安全局(NSA)在2009年针对一百多名他国政要进行暗中监视,并为此设置了专门数据库,其中包含数百份关于德国前总理默克尔、马来西亚前总理巴达维和乌克兰前总理季莫申科的报告[5]。此外,中国互联网络信息中心(CNNIC)于2022年9月发布的第50次《中国互联网络发展状况统计报告》显示:截至2022年6月,我国网民遭遇个人信息泄露的比例有21.8%[6];
国家互联网网络经济技术处理协调中心(CNCERT)于2022年7月检测发现我国境内被篡改网站数量为3 713个,其中被篡改政府网站数量为22个 (政府网站是指英文域名以“. GOV. CN“结尾的网站)。境内被植入后门的网站数量为1 960个,其中政府网站有17个。国家信息安全漏洞共享平台(CNVD)收集整理信息系统安全漏洞2 066个。其中,高危漏洞730个,可被利用来实施远程攻击的漏洞1 613个[7](数据为《CNCERT 互联网安全威胁报告》的月度数据)。
跨境数据安全尤其是跨境数据泄露展现出巨大威胁:数据泄露国家的公民数据被他国所窃取、利用,个人隐私受到侵犯;
上升来看,一系列国家领导人受到暗中监视、国家重要数据泄露,对一国政治安全和经济安全构成巨大威胁,严重侵害国家主权、安全和发展利益。对跨境数据进行规制,将跨境数据置于组织管理和法律规范之下,将促进跨境数据合法有效流动、减少数据泄露事件、缓解数据泄露危害,有效防范化解数据安全重大风险。
1.2 增强数据治理能力的内在要求
对跨境数据流动进行规制,既是其内涵和外延不断深化的过程,也是各国相关法律法规不断完善、数据治理能力不断提升的过程。“9·11”事件后美国推出《外国情报监视法》,使美国外国情报监视法庭有权签署秘密指令,授权联邦调查局(FBI)获取第三方的数据记录。其虽然作为“棱镜门”的掩护形态出现,但反映出国家在面对跨境数据流动造成的威胁时,法律法规的制定和完善不失为一种有效的数据治理方式。
同时,跨境数据流动作为发展数字经济必不可少的环节,不仅可以促进各国经济发展,同时还能提高综合国力。2021年,全球 47 个主要经济体数字经济规模为 38.1 万亿美元,较去年增长 5.1 万亿美元,数字经济发展活力持续释放。发达国家数字经济占 GDP 比重为55.7%,发展中国家数字经济占 GDP 比重为 29.8%,与发达国家数字经济占比的差距较去年稍有扩大。其中美国数字经济蝉联世界第一,2021 年达到 15.3 万亿美元,中国位居第二,规模为 7.1 万亿美元[8]。跨境数据流动中所包含的国家、企业与个人的各种数据信息,已经成为跨境贸易、网络交易、人员流动、国际交往等领域的重要组成部分,蕴藏巨大商业价值。对跨境数据流动进行规制将推动跨境数据高效流动,提升数据信息的利用水平,推动经济社会发展和综合国力提升。
1.3 提升网络空间制度性话语权的战略要求
随着互联网技术高速发展,网络空间成为继陆地、海洋、天空、太空之外的“第五空间”[5],为全球带来高额利润和重大发展机遇。仅仅是数据分析产业,目前在全球估值已超1000亿美元,而且还在以每年10%的速度不断扩张[1]。在此情况下,各国纷纷试图把握先机,争夺话语权。一方面,作为信息技术领域霸主的美国始终谋求对网络空间的控制和主导。各国在网络空间的发展除面临技术难题之外,也受到美国技术霸权主义的威胁与遏制。美依靠其先进的互联网技术和管理方法,掌握着全球绝大部分互联网的控制权。当前,全球13台用来管理互联网主目录的“根服务器”中,美国独占10台;
负责分配互联网协议(IP)地址、管理国家和地区顶级域名(ccTLD)系统的互联网名称与数字地址分配机构(ICANN),虽然在名义上已经与美国脱离,但其实质仍是在美国政府监督管理下最核心的互联网资源[9]。另一方面,欧盟在互联网技术方面优势不足,但立法体系较为成熟,因而正试图通过统一立法等措施构建区域性单一数字市场。盖亚X(Gaia-X)计划以及“欧盟数字新政”的出台使欧盟在网络空间中的博弈优势不断增强,构建单一数字市场的目标规划稳步推进。跨境数据流动蕴含巨大价值,谁能从数据流动中获取更多信息,就能在网络空间中占据有利位置,从而获得更多网络空间话语权。
作为全球两大主要经济体,美国和欧盟在跨境数据流动规制过程中,逐渐形成以消除网络空间壁垒、试图控制全球网络空间主导权为导向的“美国模式”,和以保护个人权利为名、增强网络空间竞争优势为实的“欧盟模式”。对两种规制模式进行对比分析、经验总结,有利于把握欧美规制模式差异本质,为全球和我国跨境数据流动规制提供参考借鉴。
2.1 欧盟跨境数据流动规制模式
欧盟以其独特的历史背景,在不断探索中形成独具特色的规制模式。探究欧盟跨境数据流动规制目标、规制形式、规制特点,有助于更好把握欧盟跨境数据流动规制模式,为透析全球数据治理现状与趋势提供参考。
2.1.1规制目标:保护个人权利为名、增强网络空间竞争优势为实
从表面上看,欧盟的数据治理侧重个人数据安全保护。1981年《有关个人数据自动化处理的个人保护公约》(以下简称《公约》)提出各成员国需要平衡个人隐私保护与个人数据跨境流动之间的关系;
1995年《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(以下简称《指令》)提出“充分性保护水平”;
2018年《通用数据保护条例》(GDPR,以下简称《条例》)进一步扩大数据主体权利,增加被遗忘权、限制处理权、持续控制权以及拒绝权等,都体现出欧盟对个人数据权利及安全的高度重视。但其通过法律法规来维护个人数据权利只是表象,实质目的是增强欧盟自身在网络空间的竞争优势。欧盟“长臂管辖”最鲜明的体现是“充分性保护”模式的运用,此模式要求所有试图与其进行数据跨境传输的国家拥有和其同等程度的数据保护水平,这一做法在很大程度上迫使许多国家不得不修改国内相关法律法规,以迎合欧盟高标准的准入门槛。该模式虽然使欧盟保护基本人权的目标得到较高程度实现,但其实质上反映出欧盟试图通过以一系列法律法规来主导网络空间规则制定,以增强其在网络空间的竞争优势,继而在国际竞争中占据有利位置的鲜明意图。
2.1.2规制形式:统一立法,事前规制
欧盟在数据立法上贯穿始终的一个特点是:始终致力于推动成员国内部形成统一的跨境数据立法规则。1981年制定的《公约》作为首个欧洲大陆上以跨境数据流动为主要内容的区域性立法,对当时促进欧共体成员国内部数据传输起到很大作用;
1995年制定的《指令》作为欧洲国家个人数据保护进入到“大一统”时代的标志,奠定了欧盟在跨境数据流动领域的主导地位,成为个人数据隐私保护的标杆[10]。2018年《条例》颁布,其作为当前欧盟地区跨境数据流动政策的主要指导性法律文件,被认为是目前全球最严格的数据保护法[11]。欧盟提出的一系列法律法规,都表明在跨境数据规制过程中,统一立法始终是其主要手段与有效措施。同时,在规制过程中,形成以“充分性保护水平”为主,“适当性保障措施”和“例外情况”为补充的事前规制模式。“充分性保护”要求数据接收国必须具备符合欧盟价值观、具有明确标准、所提供的数据保护水平相当于欧盟内部水平,拥有独立数据保护监督机制等条件。“适当性保障措施”和“例外情况”作为“充分性保护水平”的补充措施,为他国与欧盟之间进行数据传输提供了一条稍为可行的路径。欧盟长期形成的这种事前规制模式,在数据进行跨境传输之前设置了一层牢固屏障,使数据除受本国充分保护之外,还受数据接收国同样水平的保护。
2.1.3规制特点:外严内松,内外兼顾
欧盟在进行跨境数据流动规制的过程中,出于对基本人权和构建单一数字市场的双重考虑,形成“外严内松,内外兼顾”的规制特点。与他国跨境数据交流过程中,欧盟呈现出较为保守且严格的态势。而与欧盟在对外数据保护政策上表现的高标准严要求倾向不同,对内打造单一数字市场是欧盟长期以来的数字目标。在此目标下,欧盟国内立法呈现出宽松态势。1981年《公约》的主要目标是减少欧洲内部国内法对数据流动造成的障碍,实现区域内数据自由流动。2016年《条例》提高了区域内成员国数据跨境流动效率,降低了数据传输成本与时间。2019年部署建设的网络云设施“盖亚X”计划,旨在创建一个面向欧洲、强大而有竞争力、安全可靠的数据基础框架,力图打造一个区域性单一数字市场。2020年2月,欧盟委员会发布《欧盟数字化总体规划》《欧洲数据战略》以及《人工智能白皮书》,开展“欧盟数字新政”,其核心要义是要求欧盟有依据自我价值实现自我掌控数据资源的技术能力[12],旨在助力单一数字市场构建。总体而言,欧盟在跨境数据流动规制方面始终致力于维持欧盟内部和外部平衡,在打造内部统一市场,维护基本人权与争夺网络空间竞争优势之间不断尝试和制衡。
2.2 美国跨境数据流动规制模式
美国作为促进跨境数据充分流动的代表,研究其规制目标、规制形式、规制特点,有助于为其他倾向于跨境数据自由流动的国家提供参考价值,为我国跨境数据流动提供借鉴意义。
2.2.1规制目标:消除网络空间壁垒,获取和维护全球网络空间主导权
一方面,美国积极倡导签订跨境数据流动双边或多边协定,以消除网络空间壁垒、加强自身优势和主导地位。2004年,美国主导并促成亚太经济合作组织(APEC)成员国签订亚太地区第一份关于跨境数据流动规制的区域性指导性文件——《APEC隐私框架》(以下简称《框架》),旨在推进亚太地区电子商务发展,实现区域内跨境数据自由流动,进一步把握亚太地区网络空间主导权。为促进《框架》运行,美国极力推动APEC于2012年正式启动《APEC跨境隐私规则体系》(以下称CBPRs),形成较为成熟的多边监管机制,以减少组织内各经济体之间的贸易壁垒,降低亚太地区法规遵从成本,实现经济体之间跨境数据的尽可能无障碍流通,进一步增强美国在亚太地区的网络空间主导地位。另一方面,美国充分利用本国高科技产业力量,主导网络空间,攫取大量政治和经济利益。为控制全球网络空间主导权,美国常常对别国数据流动法律法规置之不理或横加指责,并制定和推动 “互联网自由战略”,以打造自身“维护”信息自由流动的形象,但实际上则通过实施“棱镜计划”等大规模网络监控秘密行动,掌控全球重要信息,为其政治和经济利益服务。
2.2.2规制形式:行业自律,事中、事后规制
与“欧盟模式”不同,美国的跨境数据流动规制以协约各方均自觉遵循协约为前提,通过设立不同的组织机构,制定符合共同利益的规范,推动各方以充分行业自律来保证数据跨境行为的顺畅与高效。强调行业自律是《框架》的显著特点,《框架》屡次提到,要通过加强公共部门和私营部门之间的合作发挥出行业本身具有的约束作用,主要依靠部门自身自律来保证两个部门间的合作。CBPRs启动后,其以隐私执法机构、问责代理机构以及企业为三大主体[13],其中问责代理机构作为第三方监督机构是行业自律原则的充分体现。这种以行业自律为基础的模式,往往只能进行事中、事后规制。虽然使数据实现了充分自由流动,有助于各成员国最大程度获取数据收益。但这种规制模式,实际以各成员国之间的相互信任机制为依托。一旦有一国发生失信毁约行为,将使正在进行中的协议暂停或终止,协议一方或双方遭受巨大损失。
2.2.3规制特点:长臂管辖,重在控制
美国长期在互联网领域占据优势,霸权主义和强权政治思想已深深植入其在新兴领域的基本战略。依靠强大的科技力量,在进行跨境数据流动规制时,其表现出对数据强烈的掌控欲望。对于域外数据,美国于2018年通过Cloud Act法案(《澄清境外数据的合法使用法案》),规定无论数据存储在哪个国家,本国执法机构都能进行访问。法案以“数据控制者”标准代替以往以地理界限为标准的模式,实质上赋予美国“长臂管辖”的权利,为其实现数据霸权主义的野心提供了法律依据,使其控制网络空间主导权的意图合法化。同时,这一法案作为美国“长臂管辖”的合理性依据,不断衍生出新内容。2021年12月15日,美国与澳大利亚签署《澄清境外合法使用数据法案》协议,规定无论用户数据是否存储在美国境内,对用户数据进行实际控制的服务提供商均有义务按照法案规定保存、备份甚至是披露用户数据[14]。此协议为Cloud Act法案的延伸,是在该法案框架下达成的第二份双边协议,进一步扩大了美国获取全球数据的范围,其实质是美国利用其技术优势不断压榨其他国家在网络空间领域的发展空间、维护其全球数字霸权。
美国在跨境数据规制中呈现出“长臂管辖,重在控制”的特点,其规制模式属于对外扩张型。最终目的是利用其网络强国地位实现对其他国家数据资源的争夺与攫取,尽可能多地控制网络空间中的数据资源,掌握网络空间主导权,最大化美国国家安全及社会经济利益。
总的来看,欧美在规制过程中,形成以消除网络空间壁垒,获取和维护全球网络空间主导权为导向的“美国模式”和以保护个人权利为名、增强网络空间竞争优势为实的“欧盟模式”。一方面,两种不同规制模式体现出双方不同的战略考量,为各国跨境数据规制提供了可选择的实践路径;
另一方面,规制目标、规制形式、规制特点等要素方面的差异,将成为双方博弈过程中不可忽略的重要因素(见表1)。
表1 欧美跨境数据流动规制模式对比
随着互联网全球化进程加快,跨境数据成为各国争相竞争的重要资源。一方面,全球各国关于跨境数据流动争相发力,通过促进数据充分自由流动实现经济利益最大化,如2022年3月21日,英国国际数据传输协议(IDTA)正式生效。另一方面,自“斯诺登”事件以来,数据泄露带来的严重后果使许多国家纷纷采取一定程度的“数据本地化”政策,如俄罗斯第242-FZ号联邦法在第二条规定:“必须使用位于俄罗斯的服务器来处理俄罗斯公民的个人数据”[15]。全球各国应充分认识到,美欧作为“促进数据充分自由流动”与“数据本地化”政策的典型代表,始终在全球数据竞争中占据优势地位。从《安全港协议》到《隐私盾协议》,再到前不久《跨大西洋数据隐私框架》的提出,美欧双方就跨境数据治理在过去20多年中展开了多轮博弈。充分了解双方跨境数据流动规制模式及博弈过程,有助于全球各国跟踪跨境数据流动最新进展,研判数据治理最新形势,找出跨境数据规制过程中存在的一般性矛盾问题,探讨利于跨境数据流动的对策建议。
3.1 反复较量:从《安全港协议》到《隐私盾协议》
欧美双方就跨境数据流动展开多轮博弈。起始的标志是2000年11月1日达成的《安全港协议》,其使美国的法律制度不需要符合“充分性保护水平”,只需有具体合作要求和合作意向的企业做出调整。大大减少了合作过程中在操作程序上所花费的时间和精力,是在美国难以达到欧盟“充分性保护水平”,但无法舍弃欧盟经济利益的情况下达成的协议,是一次越过“充分性保护水平”达成合作的崭新尝试,为许多不满足“充分性保护水平”,但渴望和欧盟达成合作的国家和企业提供了一条可行的路径。
《安全港协议》的签订虽然为欧美合作开启了暂时可行的通路,但存在诸如个人数据在遭遇损害之后并没有相应救济措施;
以行业自律为原则的企业被赋予较高权利和自由,可能会为了获益而损害公民个人数据;
规制对象仅限于自愿加入《安全港协议》的企业,而美国当局不用遵守这些规则等问题。同时,随着“棱镜门事件”爆发,以及施雷姆斯指控脸书将其上传于爱尔兰的个人数据传输到了美国总部的服务器,可能存在侵犯其数据权利一案引起全球对数据安全的广泛关注,欧盟开始对数据安全产生极大担忧。出于本国数据安全考虑,欧盟在2015年10月6日宣布《安全港协议》无效,首轮博弈落下帷幕。
《安全港协议》失效后,美欧出于经济利益考量,终于在2016年7月签订了《隐私盾协议》。该协议的核心是“为大西洋两岸的欧洲和美国企业从欧盟向美国传输个人数据过程中提供欧盟数据保护规定的合规机制,并支持跨大西洋商业合作的发展”[16]。2017年7月,欧美新一轮博弈“大幕”揭开。起因是施雷姆斯再次控告位于爱尔兰的脸书即使遵守了“标准合同条约”,也无法确保其传向美国的个人数据得到充分保护。经过爱尔兰高等法院的一系列认定和审查,认为美国确实没有为欧盟成员提供符合充分认定标准的保护水平。同时,《隐私盾协议》在实际操作过程中,仍存在并未从根本上解决美欧之间关于保护个人基本权利和促进数据充分自由流动等核心问题。此外,美国不一定能完全执行《隐私盾协议》中的要求与内容;
其整体法律制度并未做出相应调整,导致美国政府在进行相应法律制定时常陷入两难境地等问题,成为美欧《隐私盾协议》破产的隐患。2020年7月16日,长达5年之久的《隐私盾协议》宣告破产。
《隐私盾协议》作为《安全港协议》之后美国对欧盟跨境数据流动规制的第二次让步,一方面反映出欧盟扩大数据保护域外效应的意图;
另一方面反映出后斯诺登时代美国试图重建欧美信任机制的努力。其破产意味着美欧双方就跨境数据流动规制问题存在深层次矛盾。同时,由欧盟委员会宣告《隐私盾协议》破产,也表明欧盟在本次博弈中占据了有利位置,将有利于其区域性单一数字市场建立、技术主权争夺、全球性跨境数据流动规制影响力的提升。
3.2 再度弥合:《跨大西洋数据隐私框架》提出
继《隐私盾协议》破产后,欧美双方经过多轮博弈,在2022年3月25日达成《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)(以下简称为“新框架”)。这是继《隐私盾协议》失效后,欧美关于跨境数据流动规制领域进行博弈的最新进展,目前双方已就该协议达成原则性共识。“新框架”的主要目的是促进跨大西洋数据自由流动,解决双方就《隐私盾协议》的弥留问题。
根据欧盟公布的“新框架”概括表(https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100),目前“新框架”已经确定了以下主要原则:a.在新框架的基础上,数据将能够在欧盟和参与新框架的美国公司之间自由、安全地流动。b.实施一套新的规则和有约束力的保障措施,将美国情报部门对数据的访问限制在保护国家安全所必要且相称的范围内;
美国情报机构将采取相应程序进行有效监督,确保符合新的隐私和公民自由标准。c.建立一个新的两级救济机制,调查并解决欧盟个人就美国情报部门获取其数据提出的投诉。d.对处理传输自欧盟的数据的美国公司,施加严格的义务。e.建立具体的监督和审查机制。
欧美双方在跨境数据规制方面的矛盾冲突呈现松动迹象,美国方面在“新框架”的达成中做出了前所未有的承诺,欧盟在这一次博弈中仍然占据上风。欧美双方就协议给予高度肯定,但仍有部分隐私专家认为,“新框架”是否会重蹈覆辙仍未可知,因为目前达成的仅仅是“原则性协议”,还不确定该框架是否能通过欧盟法院的测试,而即便就算通过测试,法律文本的制定与运用仍需时间观察。
3.3 美欧博弈中反映出的规则矛盾问题
从《安全港协议》到《隐私盾协议》的破产,再到“新框架”的提出,呈现出欧美双方频繁产生冲突与摩擦而不断推翻协议的表象,其实质是双方就矛盾问题的不可调和。在对比双方规制模式的基础上,分析其博弈过程,反映出以下矛盾和问题。
a.远程数据控制侵犯劣势方数据主权。
美国长期在互联网空间的霸主地位,以及试图控制网络空间主导权的治理目标,使其在进行跨境数据规制时,表现出较为强硬的手段与措施。Cloud Act法案的颁布确定了“长臂管辖”权,为其攫取全球各国数据资源提供合法理论基础。“长臂管辖”表面上解决了执法所需的数据存储在国外以及外国政府需要访问存储在美国的数据这两大难题,但实际受益方仍是美国。美国可以轻易获取国外公民的数据,但外国政府想获取美国存储数据难度很大,美国政府所保有的数据访问能力将造成数据被获取方遭遇数据泄露、损害个人信息、危害国家安全等严重后果。
b.救济措施缺乏损害政府威信及民众生活。造成《安全港协议》破裂的其中一个原因便是欧盟法院判定该协议并未提供获取、修改、清除个人数据的救济,违反了安全港协议隐私权原则中的救济原则。同样,《隐私盾协议》破产的诱因之一是欧盟法院认为欧盟公民在美国缺乏获得司法救济的有效途径,不能获得和美国公民同样的救济权利。个人数据在遭到损害后缺乏强有力的救济措施,一方面将影响政府公信力,危害国家数据主权;
另一方面将直接干扰民众正常生活甚至威胁其生命和财产安全[1]。
c.监督和审查机制缺位影响规制效力。
《隐私盾协议》无效认定的其中一个原因是美国对欧盟个人数据开展的情报活动不符合比例原则。欧盟的判例法中对比例原则的要求是对欧盟个人信息权和隐私权进行限制的立法必须明确规定限制措施的范围和适用,而美国《外国情报监视法》的第702条并未涉及对政府监控计划进行限制的内容。同时,其监察员制度存在是否独立于美国国务院存在、是否具有法律效力等问题。由此,监督和审查机制作为确保双方协约有效性的重要保证,若其缺位将使跨境数据规则变为纸上条约,存在其中一方不遵守约定,损害另一方数据安全的风险。
从欧美跨境数据流动规制模式对比到双方博弈分析,反映出当前跨境数据流动领竞争激烈,欧美已占据有利位置。充分了解双方跨境数据流动规制模式及博弈过程有助于各国研判数据治理最新形势,探讨利于跨境数据流动的对策建议。我国在此方面正处于初步阶段,应结合欧美在跨境数据流动方面的规制经验,进行跨境数据流动治理。
2017年6月出台的《中华人民共和国网络安全法》是我国第一部对网络空间进行系统化规划的法律文件,是我国网络空间安全领域的纲领性文件,标志着我国互联网立法从“诸法分立”走向“协调统一”[17]。其虽然试图建立一个统一的基础性法律框架,但存在许多问题。2021年6月,《数据安全法》的颁布实施从多方面对数据安全前提下的跨境数据流动规则进行规定,是一部数字安全领域的基础性法律。但其存在原则性条例过多、操作空间不足、调整对象过于宽泛等问题,仍需不断更正和完善。2021年8月,《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则,对跨境数据传输进行了较为具体的规定与阐述,具体效果与作用仍有待观察。
我国当前数据保护规则具有明显的欧盟印记,从欧美规制模式差异及博弈过程出发分析我国跨境数据规制,首先有利于深刻了解欧美规制模式,追踪其最新发展动态,为我国个人数据保护规制提供多样化的参考建议。其次,应该深刻认识到我国不应全盘照搬欧盟规制模式。欧美规制模式各有特色,应分析和总结优缺点,在充分汲取双方优势的基础上,结合我国国情,制定最有利于我国数据治理和经济社会长远发展的政策建议。最后,分析欧美跨境数据的博弈过程以及博弈中所反映出的规则矛盾问题,将有利于我国跨境数据规制中类似矛盾问题的解决。
4.1 完善相关领域立法,提高数据安全系数
就跨境数据流动规制中外国政府保有的数据访问能力可能造成数据泄露、数据主权损害这一问题,我国在进行跨境数据流动规制时,可借鉴欧盟维护个人基本权利、注重数据安全的措施。通过一系列强制性法律规范,提升数据安全系数。尽可能以系统化、整体化、全面化、规范化视角进行规制,形成一套较为充分且全面的政策法律规制体系。出台个人数据和隐私保护战略,从顶层设计的角度研究数据安全与数据流动之间的关系,制定相关法律法规与政策;
完善互联网领域中信息收集、处理、存储、共享、监督、管理等个人数据和隐私保护标准,建立覆盖信息生命周期的标准体系[18];
要提高跨境数据在宪法、民法典等上位法中的地位,明确个人数据、个人隐私的法律属性;
在开放数据的过程中要分级进行审查,严格分析数据,以确保数据与法律规定允许开放之情形相符[19];
不断强化和加快落实《个人信息保护法》,使个人信息、隐私的安全性得到增强;
对《个人信息出境安全评估办法(征求意见稿)》和《数据出境安全评估办法(征求意见稿)》等法律的制定必须充分考虑维护数据安全等因素,对相关定义和实施细节进行全面化、系统化和整体化解释,促使我国跨境数据流动立法朝规范化、系统化方向迈进。
4.2 建立“事前+事后”两级救济机制,确保数据全生命周期安全
为确保数据安全,数据从产生、获取到销毁的全过程应受救济机制保障。较之以往,《隐私盾协议》较有突破的提出“事前+事后”救济机制,事前救济重在以制度规范提供可预见性,事后救济侧重于规范申诉、裁决、补偿等救济途径。我国在进行跨境数据规制时,可实行“事前+事后”救济机制,以确保数据全生命周期安全。在进行事前规制时,应为数据主体设置更详细的保护范围,严格监督数据控制者履行其义务,对能够访问数据的第三方机构进行约束。在进行事后规制时,可根据数据遭遇损害情况提供救济途径。当数据遭到损害时,首先应该进行申诉;
若申诉未取得较好结果时,可以为案件提供替代性解决方案:当经过申诉及替代性纠纷解决方案仍未取得满意结果时,可申请仲裁以维护合法权益。
4.3 明确划分规制职责,建立健全数据监督和审查机制
监督和审查机制作为跨境规则执行过程中的有力保障,对跨境数据规则能否落实到位起到重要作用。欧美在进行跨境数据流动规制过程中,始终较为注重监督和审查机制的设置。欧盟的数据监管机构呈现从上到下的金字塔形,美国形成由联邦政府主导,通过数据治理专职机构向下辐射多部门、跨行业紧密协作的大数据综合治理体系。我国应建立单独的数据监督机构,负责监督和管理各行业、各领域的监督机构,根据情况制定统一标准以及允许各监督机构灵活应对实际情况;
在制定和通过《个人信息出境安全评估办法(征求意见稿)》和《数据安全管理办法(征求意见稿)》的过程中,可以加强对数据监督和审查机制的设置,对关键数据,如军事、医疗、安全等领域进行严格把控,禁止出境;
对可以实现信息共享的基础信息,实行尽可能宽松的出境政策等。
面对跨境数据这一重要资源,全球各国伺机而动,力图抢占先机,在国际上占据有利位置。欧美在激烈竞争中长期处于优势地位,但双方规制模式的迥异影响其形成长期友好合作状态,其具体表现为双方就跨境数据流动展开多轮博弈。基于双方数据跨境规制本质原因及表现形式的充分剖析,有利于深刻把握当前跨境数据流动规制中的规则矛盾问题,为全球各国跨境数据流动规制提供参考路径。我国若想占据有利位置,就必须直面挑战、抓住机遇,积极参与国际合作,在合作过程中献智、献力、献策,展现大国担当,努力争取网络空间话语权。
猜你喜欢网络空间规制跨境主动退市规制的德国经验与启示南大法学(2021年4期)2021-03-23共建诚实守信网络空间公民与法治(2020年4期)2020-05-30跨境支付两大主流渠道对比谈中国外汇(2019年20期)2019-11-25在跨境支付中打造银企直联中国外汇(2019年14期)2019-10-14关于促进跨境投融资便利化的几点思考中国外汇(2019年21期)2019-05-21网络空间并非“乌托邦”传媒评论(2018年8期)2018-11-10保护与规制:关于文学的刑法刑法论丛(2018年4期)2018-05-21网络空间安全人才培养探讨网络与信息安全学报(2016年2期)2016-06-15跨境直投再“松绑”中国外汇(2015年11期)2015-02-02内容规制现代出版(2014年6期)2014-03-20