摘要:目前全球规制跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。欧盟从人权保护的历史传统出发,将数据权作为一种基本人权,创建了严格限制个人数据跨境流动,以提升数据权保护水平的立法范式;美国基于其信息产业的优势地位以及对数据自由流动的依赖性,奉行以市场为主导,以行业自律为中心的个人数据保护政策,通过签订双边或多边协议,促进数据跨境,维护业已建立的“数据占有和利用”优势,获得最大的经济利益。两种规制方式在价值取向、规制路径和规制结果等方面存在巨大差异,既激烈竞争,又相互妥协和融合,构成了个人数据跨境流动规制的国际格局。在此背景下,我国的应对路径是:完善数据跨境流动立法,提升法律的可操作性;提高企业的合规遵从性,推进行业自律制度建设;大力开展国际合作,积极参与国际规则制定。
关键词:数据跨境流动 充分保护原则 安全港协议 隐私盾协议 问责制原则
伴随着互联网及经济全球化进程的不断纵深发展,数据在社会中扮演的角色日益重要,始于20 世纪六七十年代的数据跨境流动(“TransborderData Flow”,“TDR”或“Cross-borderData Flow”),今天已成为全球贸易和投资增长的主要途径。欧盟和美国出于各自的历史传统和现实诉求,创建了个人数据跨境流动规制的两大立法范式。此两大范式之间既相互竞争,又相互妥协和融合。构成了国际个人数据跨境流动规制的基本格局。深入探讨欧盟和美国立法的内容和成因,剖析其所体现的深层次国家需求和利益博弈,对于完善我国的数据跨境流动规制立法和参与国际规则的制定,都具有重要意义。
一、欧美数据跨境流动的规制体系
(一)欧盟:严格限制个人数据跨境流动的规制体系
欧盟关于个人数据跨境流动规制的立法体系主要是由1981年欧洲理事会的《公约》、1995年的《欧盟指令》和2016年的欧盟《条例》三个标志性法律文件构成的。
1981年欧洲理事会通过的《与个人数据自动化处理有关的个人保护公约》 (EuropeanTreaty Series, No. 108),是欧洲第一个针对跨境数据流动进行规制的区域性法律文件。《公约》还仅仅涉及欧洲成员国之间的数据流动,它规定:对正在或将要被自动化处理的跨境数据转移原则上是可以进行限制的,成员国可以自行制定有关跨境数据传输的限制性规定,如转移数据的类型等。但公约不允许成员国仅仅基于隐私权保护的考虑,就禁止或以特别许可授权的方式限制数据的跨境转移(第12条)。可见在这一时期,通过立法克服各国国内法造成的数据流动障碍,积极推动成员国之间的数据跨境共享,以实现欧洲内部市场人员、货物、劳务、货币自由流通的目标,是欧洲理事会进行跨境数据流动规制立法的主要关注点。
鉴于数据跨境面临的数据未经授权的收集、访问、使用、披露和篡改的潜在威胁,欧盟逐步开始考虑数据脱离欧盟管辖区的实际风险,数据跨境规制日渐严格化。欧盟1995 年发布的《个人数据保护指令》(EU Directive 95/46/EC)即建立了较高的数据保护标准,其中提出了著名的“充分保护原则”。《指令》第25条规定:只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下,才可以进行数据转移,从而确立了欧盟个人在电子商务和借助大跨国公司经营的社交媒体和邮件通信时的隐私权保护规范。欧盟承认的具有充分数据保护能力的国家仅包括加拿大、瑞士、阿根廷等12 个。
为了回应新兴技术特别是大数据、云计算、智能终端等对个人数据保护造成的冲击,建立统一的内部法律框架应对新技术的发展,并克服成员国立法保护水平差异给数据经济市场发展造成的障碍,欧洲议会和欧盟理事会于2016年4月14日通过了新的个人数据保护法,即《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)。该条例将于2018年5月25日正式生效。GDPR不仅在所有成员国范围内直接具有法律约束力,而且谋求更大的域外效力,明确规定条例对在欧盟境外处理个人数据的行为也具有适用效力,即向欧盟公民提供服务或在欧盟市场内经营的公司,GDPR都有管辖权。在数据跨境问题上,GDPR增加了更多可实现个人数据跨境转移的条件,并再次强调欧盟不允许将其公民的个人数据转移至那些不能提供充分保护的地区和国家。GDPR被称为史上最严格、保护水平最高的数据保护规则。
总之,上述“公约”、“指令”和“条例”三个法律文件的约束力逐渐增强,对个人数据跨境转移的限制越来越严格,充分表明了欧盟希望通过立法的不断完善保障欧洲共同体整体数据保护水平的诉求,也反映了欧盟希望通过构建“数字单一市场”提升数字经济竞争力的愿望。
(二)美国:通过双边或多边协议强化数据跨境的规制体系
在“得数据者得天下”的新信息时代,对跨境数据的收集和分析是掌握国际经济动向,促进本国经济发展的重要方式。据美国国际贸易委员会(ITC) 估计,数据流动使得美国的GDP增加了3.4-4.8个百分点,创造了240 万个就业。美国基于其信息产业的优势地位以及对数据自由流动的依赖性,通过多种途径促进数据跨境,主要作法有以下两种:
1.与欧盟签订双边协议,为企业获得数据跨境传输资格。由于美国对于个人数据保护未能达到欧盟要求的“充分保护”水平,美国企业在欧盟开展业务,从事相关的跨境个人数据传输与交易活动受到严重限制。美国需要找到本国企业可以符合欧盟数据保护指令简单又高效的办法;欧盟也考虑到与美国之间经济联系密切的现实,在商业利益驱动下,经过漫长的谈判,美国商务部与欧盟委员会于2000年11月1日达成了《美欧安全港协议》(U.S.-EU Safe Harbor Framework)。《安全港协议》规定了七项隐私权保护原则:通知原则、选择原则、向前转移原则、安全原则、数据完全性原则、接入原则和执行原则。欧盟委员会认为美国的商业机构只要能够制定并遵守符合上述安全港原则的隐私保护政策,就可以加入安全港并被认定为达到《欧盟指令》所要求的“充分保护水平”,进而可以接收和处理来自欧盟的个人数据。如果违反一系列隐私原则,欧盟数据保护机构有权中止数据跨境流动。《安全港协议》暂时缓和了欧盟强制规范与美国行业自律之间的矛盾,促进了美国企业在欧洲的发展与扩张。
但是,《安全港协议》的达成无法作为长久的解决方案,因为美欧双方关于数据隐私保护法律的巨大差异仍然存在。欧美数据流动制度不协调的矛盾因斯诺登事件的曝光而更加凸显,并最终导致安全港协议的失效。2013年,前NSA雇员爱德华.斯若登曝光大量来自美国情报机构的机密文件,其中不乏对欧洲领导人的监控。而苹果、微软等这样的大型科技公司都有意或无意地参与了NSA的监控行动。2015 年10月6日,在签订了15 年之后,欧盟法院( Court of Justice of the European Union (CJEU)裁定基于商业目的的个人数据在欧盟28个成员和美国之间合法转移的安全港协议无效,裁定的原因是认为安全港协议目前已经无法达到欧盟的数据保护标准,无法阻止公司将数据文件泄露给未授权方。然而,就在安全港协议失效的一年内,欧美在跨境数据流动创造的商业利益驱使下,于2015年末起重新谈判,经过反复磋商和多次修改,于2016年7月12日达成《欧美隐私盾协议》(EU-U.S. Privacy Shield Framework),成为规制双方数据流动的新妥协方案。
《隐私盾协议》的核心是对大西洋两岸跨境转移个人数据的隐私保护进行规范,为大西洋两岸的欧洲和美国企业从欧盟向美国传输个人数据过程中提供欧盟数据保护规定的合规机制,并支持跨大西洋商业合作的发展。与《安全港协议》相同,美国企业也采取自愿加入的方式接受《隐私盾协议》,也要遵守《安全港协议》提出的七项基本原则;但是《隐私盾协议》克服了《安全港协议》存在的一些缺陷及弊端,对美国公司施加更重的个人数据保护义务,在《安全港协议》七大原则的具体实施上要求美国公司从欧盟进口数据履行更多承诺。此外,《隐私盾协议》强化了监督与实施机制,赋予欧盟公民更丰富的救济权利和救济手段:一是它赋予欧盟数据保护机构对数据接收者的第三国的数据保护水平享有充分的调查权,突出强调了公司对隐私盾协议相关质询回应的及时性;二是确保公司一旦违反了隐私盾的条件就要受到制裁,而不像安全港协议缺乏惩罚性手段。制裁的方式包括对与原则不一致的裁定结果必须公开以及要求在特定条件下删除数据。对于情节较为严重的,如长期不履行隐私盾协议的公司,将被移除隐私盾协议的名单,并勒令他们交回或者删除此前在协议下收集的个人信息。三是赋予欧盟公民向企业申诉的权利,这意味着欧盟公民首次获得了依据数据保护规则向美国企业主张权利的途径。
美欧在个人数据保护方式、思路、宗旨等方面存在着巨大差异,《隐私盾协议》从本质上看,仍然是双方相互妥协、让步的产物。从内容来讲,它更多地体现出欧盟数据保护制度的最新改革成果,进一步拓展了欧盟在国际规则制定中的影响力。从意义来看,《隐私盾协议》为欧盟和美国企业的商业活动提供了制度支持和保障,进一步加强了对欧盟公民个人数据的保护力度,它还标志性地宣告了公权力对个人权利侵犯应当受到严格限制的理念。但是,《隐私盾协议》的程序性规章仍存在走过场、不透明等问题,其宣示意义更大于实质意义。“棱镜门”事件的曝光者斯诺登就将《隐私盾协议》称为“说明性盾牌”,美国法律仍缺少对来自欧洲数据的充分保护。
2.借助亚太区域经济合作推广自身模式,争取数据跨境领域的话语权。与欧盟相比,美国在参与数据跨境流动规制方面少有话语权。随着全球进入信息社会,美国并不甘心在这一领域处于由其他经济体制制定规则的地位,它依靠其在亚太地区的政治经济影响力推动构建有别于欧盟的规则体系,并使之逐渐获得了执行力与约束力。
亚洲太平洋经济合作组织(APEC)于2004年通过的“隐私框架”(APEC Privacy Framework),是亚太地区达成的第一份关于数据跨境流动规制的区域性指导文件。“隐私框架”从促进跨境数据自由流动的思想和目的出发,显然是美国起主导作用的产物。整个框架都将“促进亚太地区电子商务”作为目标;在“框架”第4章,要求成员经济体“采取一切合理及适当步骤避免和消除任何不必要的信息流动障碍”;框架多次提及要在隐私保护中发挥“行业自律”的作用,这些都明显地打上了美国数据规制特征的印记。
经合组织的《跨境隐私规则体系》(Cross-Border Privacy Rules,CBPRs)于2012 年正式启动,并于2013年通过。CBPRs 是美国加入和支持的数据保护倡议。它以APEC 隐私框架为基础,也是旨在确保个人信息的跨境自由流动。不同的是,CBPRs 引入了隐私执法机构和问责代理机构,因而对加入的企业形成了实际的约束作用。
近年来,美国又将跨境数据流动内容纳入自由贸易协定(FTA)谈判,以期借助政治经济实力在这些具有较强约束力的“一揽子”协议中推行自己的数据跨境规则。2012年达成的《美韩自由贸易协定》(U.S.-South Korea FreeTrade Agreement)第一次在FTAs电子商务章节引入跨境数据流动规则,其中第15.8条规定,成员方应努力避免对跨境电子信息流动施加或维持不必要阻碍。2015 年,在美国主导下达成的《跨太平洋战略经济伙伴关系协定》(TPP) 中也专门引入了“商业信息跨境自由传输条款”。在现已公布的电子商务章节中,各成员方承诺在维护特定合法政策目标(如个人信息保护) 的前提下确保数据在全球的自由流动以推动数字经济的发展。TPP明确规定成员方可以为了实现特定合法公共政策目标而采取限制性措施,前提是“该措施不构成任意或不合理歧视的手段或构成对贸易的变相限制”。总之,由美国主导将跨境数据流动规则纳入自由贸易协定谈判,使自己“跨境数据自由流动”的主张和规则在一定条件下为缔约国所接受,并具有较强的约束力。
二、个人数据跨境流动欧美两大规制体系的比较分析
个人数据跨境流动的国际基本格局由欧盟和美国两大规制体系构成,为了对这一基本格局有更深刻的理解与更准确的把握,有必要在前面分述两大规制体系立法框架和实践模式的基础上,进一步从价值取向、规制路径和规制结果三个方面对欧美两大体系作一比较分析。
(一)价值取向:个人数据权保护与数据跨境自由流动
个人数据跨境流动欧美两大规制体系在价值取向上存在数据权保护与数据自由流动的不同诉求。
欧盟更强调个人数据权的保护,这与欧洲的人权保护传统有着密切的关系。早在1953年,欧洲理事会就批准了《人权保护及基本自由公约》,即著名的《欧洲人权公约》。在公约列明的权利中,第8条规定了“对隐私及家庭生活尊重的权利”。这种历史文化传统使欧洲国家通过立法保护个人隐私处于领先地位,1973年至1984年全球共有13个国家制定了数据保护法,其中就有8个欧洲国家。长期以来。欧洲数据保护都是与隐私权相联系的,通说认为数据权是隐私权的一部分,所谓的个人数据和信息保护不过是从“信息视角”对隐私权的一种解读。这也构成欧盟在跨境数据流动规制上的基本立场。
与欧盟将数据权作为一种基本人权,并通过苛严的立法提升保护水平的作法不同,美国政府和实务界反对立法规范个人数据处理行为,认为强硬的法律结构会“不可避免地阻碍商业活动”,而奉行以市场为主导,以行业自律为中心的个人数据保护政策。这种立场从根本上决定了美国在跨境数据流动上的诉求是更加看重数据自由流动和经济利益,更希望通过促进数据跨境维护业已建立的信息优势。在大数据时代,美国更清醒地意识到数据利用意味着价值和机遇,也更透彻地理解促进数据跨境流动对国家利益产生的潜在裨益。为此,它更加重视通过鼓励数据跨境流动确立和固化“数据占有和利用”的优势,最大限度地攫取“数据金矿”。
在数据跨境流动的价值目标中,数据自由流动和数据权保护两者缺一不可。一方面,跨境数据流动在全球的价值创造能力不容忽视,不仅欧美之间有巨大的跨境数据流动需求,而且在全球范围内一半的服务贸易要依靠跨境数据流动实现;另一方面,不断提高个人数据权保护水平对于提振消费者对数字贸易的信心有积极作用,也是社会发展进步的必然要求。如何在未来的规则设计中,实现数据权保护与数据自由流动两大目标的协调,是一个值得深入探讨的课题。
(二)规制路径:“充分性”原则与“问责制”原则
欧盟和美国对跨境数据流动采用了不同的规制路径,欧盟是“以地理区域为基准”,依据“充分性”原则,进行事前防范的规制路径;美国则是“以组织机构为基准”,依据“问责制”原则,进行事后问责的规制路径。
欧盟的规制路径对于欧盟内部和外部的数据流动采用了不同标准。它通过立法(如1995年的《欧盟个人数据保护指令》),在欧盟内部确立了禁止成员国借数据保护的名义限制个人数据在欧盟境内自由流动的标准;但却禁止个人数据转移到欧盟以外的地理区域,除非欧盟以外的国家政府能够提供“充分的”数据保护。《欧盟数据指令》还说明了如何认定一国是否提供“充分”数据保护的依据,即通过考察数据传输的整体过程来判断一国相关法律的完备程度和执行情况,此外还要考虑数据的性质、数据处理的目的和期限、数据来源国和传输目的国等因素。
美国的规制路径是在原则上允许数据跨境流动的前提下( 不论数据在何地理位置) ,要求控制数据的机构( 或数据控制者)确保个人数据在跨境传输过程中的安全。亚洲太平洋经济合作组织(APEC)于2012 年在美国主导下建立的《跨境隐私规则体系》(Cross Border Privacy Rules system,CBPRs),就带有明显的美国规制路径的特征。GBPRs 规范的对象是涉及到个人数据跨境传输的企业,在“问责制”的基础上采用行业自律模式。首先企业要进行自我评估,然后接受问责代理机构评估,若通过评估获得了CBPRs 认证,即被认可为符合隐私保护标准的企业,并且在认证目录网站可查,对于违反《APEC 隐私框架》相关条款的企业,由隐私保护执行机构进行问责处罚。
欧美两种不同的规制路径和原则反映出对于跨境数据流动规制的两种不同立场,各有其合理性,也各有其不足。欧盟“以地理区域为基准”、“以充分性为原则”的规制路径,为数据跨境流动设置了统一的标准,有利于建立稳定的个人数据保护秩序并为个人提供合理的权利预期。但不可否认的是,由于该路径下的“充分性”认定的高标准和批准程序的复杂性,导致了对于数据跨境自由流动的严格限制,很可能对贸易造成不必要的阻碍。美国“以组织机构为基准”,“以问责制为原则”的规制路径,一方面确定了数据控制机构(数据控制者) 在确保个人数据安全中所应遵守的原则,另一方面规定违反原则所应承担的责任。政府仅在该组织机构导致了违反义务的结果时事后问责,从而大大减轻了对跨境数据流动的限制。但“问责制”以数据控制机构(数据控制者) 会自觉遵守个人数据保护原则为预设立场,如果某数据控制机构或组织缺乏自觉性,就有可能导致政府或监管者在事前或事中对数据控制机构或组织的失控。
(三)规制结果:超强影响力与提升话语权
从1980年OECD出台与数据跨境流动相关的规则(Guidelines on the Protection of Privacy and TransborderFlows of Personal Data)至今,30多年来,欧盟与美国分别主导构建了两种迥然不同的跨境数据流动规制体系,深刻地影响了各国的相关立法。
从欧盟体系来看,不仅欧盟成员国将《个人数据保护指令》、《通用数据保护条例》的内容内化为本国数据保护法的具体规定,而且许多非欧盟成员国也按照欧盟数据保护标准提升其国内个人数据和信息保护水平。不少东欧国家如阿尔巴尼亚、玻利维亚、克罗地亚、马其顿、安道尔等国,甚至俄罗斯联邦都陆续按照欧盟指令和条例制定或修订了其个人数据保护法律,以确保国内立法与欧盟规定相一致。其他地区,如加拿大、阿根廷、澳大利亚、纽西兰、我国香港、台湾及澳门都制定了新的个人信息保护法律,以确保涉及个人数据传输的国际贸易不至于因不符合欧盟指令而遭到质疑。这些都充分显示了欧盟在数据跨境流动国际规则制定中的超强影响力。
从美国体系来看,其促进个人数据跨境自由流动的理念与规则不仅对经合组织(OECD)、亚太经合组织(CBPR)的成员国具有指引、劝导等柔性规范的作用,而且通过将自身的跨境数据流动规则融入全球经贸规则体系而获得较强的约束力,起到一定的刚性约束作用。由此,美国也提升了自己在跨境数据流动国际规则制定中的话语权。
三、我国数据跨境传输立法应对
(一)我国数据跨境传输立法现状
在全球经济联系日益紧密的今天,越来越多的国家和地区需要进行数据交换,个人数据跨境传输变得愈加平凡。中国作为世界第二大经济体, 有着庞大的跨境数据流动需求,并且发展潜力巨大。据阿里研究院统计,2015 年中国跨境电商交易规模达4.8万亿元,同比增长28%,预计到2020年跨境电商交易规模将达到12 万亿元,占中国进出口总额的约37.6%。此外,越来越多的中国企业正在成长为全球企业开始“走出去”,加之国家“一带一路”战略给跨境电商带来的广阔发展空间,数据跨境流动对我国对外贸易及经济发展有着重大的意义。另一方面,当前迅速普及的云计算、大数据、移动互联网、智能终端等新技术对隐私和数据安全带来了新的威胁,我国保护个人信息安全和国家信息安全的现实需求日益强烈。在这一背景下,立足当下个人数据跨境流动规制的国际格局,审视我国相关立法,探讨构建我国数据跨境规则的具体路径,是摆在我们面前的重要任务。
我国在数据跨境流动规制领域起步较晚,近年来政府已开始关注数据跨境传输问题,但至今仍没有独立的关于数据跨境流动的法律,相关内容散现于各类法律法规、部门规章之中,较为零散。已有法规的内容总体而言是严格限制国内数据向境外转移。其中既限制个人数据,2013年《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.4.5节规定:“未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”;也限制个人健康和金融信息,2011年1月21日中国人民银行发布的部门规章《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”;对于国家秘密,更是严格限制出境,非法邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境等行为,都会受到刑事责任的追究( 2010 年《保守国家秘密法》第48 条) 。
2015 年8 月19 日,国家层面的《关于促进数据发展的行动纲要》正式通过,为全面推进我国数据发展和应用,加快建设数据强国提供了行动纲要。2016年11月7日,《中华人民共和国网络安全法》 (以下简称《网络安全法》) 经十二届全国人大常委会第24次会议通过后正式颁布,于2017年6月起正式实施。作为中国网络领域的基本法律,《网络安全法》首次对关键信息基础设施的数据跨境传输从法律层面上进行了规制。该法第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。” 该条文在社会上引起了广泛关注,有学者认为这样的规定有利于保障我国的国家安全、公共安全和个人的隐私安全;也有专家认为这样的规定会对贸易产生负面影响,乃至于影响整体经济的发展。
(二)我国数据跨境传输立法评析
以上列举表明,我国力图通过数据本地化留存避免跨境数据可能产生的国家安全隐患和个人隐私风险,效果总的来看是好的,但是我们也应该看到,在数据跨境流动作为经济引擎的环境下,这种保护措施可能加剧信息不对称现象,从而影响我国的国际竞争力。因为苛严的跨境数据流动限制,可能使某一市场被孤立或者受到局限,本国相关企业难以参与到国际化的竞争,消费者也无法享受全球规模带来的好处,给经济发展带来负面影响。而且当一国实施较为严格的数据跨境流动限制后,其他国家出于对等原则也可能采取相似的跨境流动限制。对于数据跨境流动限制可能带来直接的经济损失,来自欧盟的一份公告指出,如果我国的数据本地化策略得到全面的实施,可能减少GDP的1.1%、推动中国出口和长期增长的境外对我国直接投资的1.8%和出口的1.7%。因而,如何平衡加强国家安全防范和个人信息保护与促进跨境数据流动的关系,是我国数据跨境流动规制立法需要解决的难题。
(三)数据跨境流动规制国际格局下我国的应对路径
目前全球跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。在这一国际格局下,我国的应对路径是:
1.完善数据跨境流动立法,提升法律的可操作性。不论是欧盟范围内还是欧盟与美国之间已经实现的数据跨境流动,都是在一定法律框架或相关规范下进行的,我国的数据跨境流动也需要完善的法律制度提供保障。然而,我国个人信息保护层面上的数据法制缺位,关涉商业秘密或国家安全的商业数据或政府数据方面的法制也一样阙如。现有的数据跨境流动和个人数据保护的立法不仅不成系统,还缺乏可操作性。比如2017年6月1日起施行的《中华人民共和国网络安全法》首次对关键信息基础设施的数据跨境传输从法律层面上进行了规定,但却未明确关键信息基础设施的具体范围和保护措施,只是授权国务院制定。因此后续国务院应当加快推进与网络安全法相配套的法规制定。
法治国家精神要求跨境数据流动的规范与约束,须有法可依。科学合理的规范体系,能够为数据跨境流动提供依据和保障。笔者的具体建议:一是在后续配套法规中,对不同类型的数据采取不同的管理方法。对于涉及国家秘密、国家安全以及经济安全的数据严格禁止跨境,要求必须在境内的数据中心存储和处理;对于政府和公共部门掌握的其他数据实施跨境数据流动的条件限制,例如要进行安全风险评估;对普通的个人数据则允许跨境流动,但要满足安全管理要求,可采用问责制、合同干预等形式进行管理。国家依法采取措施对承载着不同利益层次和位阶诉求的数据流动予以规范和约束,妥善规定禁止和限制数据跨境流动的范围和标准,减少其对经济和技术发展的阻碍,从而在安全和经济发展之间谋求平衡,达到在保护本国个体、社会和国家利益的同时也能实现数据跨境流动与分享的理想状态。二是加强立法的科学性和可操作性。只有通过科学立法以明确可跨境流动数据的类型、范畴、处理方式、保护措施、风险防范等要素和内容,才能既为数据的跨境流动合法与否提供判断依据,增强行为的可预见性;也为国家对数据的跨境流动规制提供审查或执法依据,确保数据分享的安全性。
2.提高企业的合规遵从性,推进行业自律制度建设。企业是社会的主要组成单元,企业对数据、信息安全法规遵从义务履行的成熟度是衡量社会整体数据、信息安全保障水平的重要标尺。由于大量的数据涉及到国家安全、基础设施状况和个人隐私等信息,掌握数据的企业有义务保障其控制范围内数据的安全,防止数据泄漏损害国家利益及侵犯个人隐私。在跨境问题上,企业还面临国内外公权力机关依本国法所提出的数据要求,如欧盟通过标准合同或约束性企业规则要求数据转移者承担数据转移安全的直接责任。在这一背景下,企业应从构成IT 社会一员的立场出发,从公司法人治理的高度,将数据、信息安全注入企业文化,形成企业内部人员上至总裁下至普通员工,都以自觉遵从保护个人数据、信息安全的国家法律法规以及企业规章制度为荣;以不履行保护义务的行为为耻的良好风气。
规制跨境数据流动,除了通过完善立法和加强政府监管外,还应依靠行业自律制度。各行业应根据自身特点确立行业保护个人数据、信息安全的保障义务,并通过行业规章、标准等予以具体落实。规制跨境数据流动的行业自律制度的主要内容应包括:企业是否审慎保管其掌控的数据?是否采取了足够的安全保障措施?企业对内部员工行为是否有及时的培训和全面的安全纪律?对跨境数据,转出企业是否充分尊重数据主体的意志或知情权?是否足够了解数据后期的存储使用情况及安全保障情况?数据接收国对本国企业数据安全保障义务的法规完善程度如何、企业的数据安全保障能力如何、承担责任的能力如何?等等。此外,为防止个人数据被滥用、失窃、非法交易等行为的发生,行业自律制度还可以采用一定的惩罚性赔偿措施。总之,行业自律制度可以为企业间的数据跨境流动提供更具灵活性的制度安排和安全保障。
3.大力开展国际合作,积极参与国际规则制定。在互联、协作、开放和共享成为主题的时代,国际层面就跨境数据流动规制展开合作是不可避免的。目前,尽管诸如欧盟等地区或国家对跨境数据流动实施了积极监管,但就全球范围内来说尚未形成统一的国际规则或条约规范。在这个统一规则尚未形成的窗口期,我国需要对跨境数据流动的全球规则做前瞻性思考,提早部署研究,争取做国际规则制定的构建者,而不应成为规则的被动接受者。
具体实践中,我国可以一方面积极参与国际平台上有关跨境数据流动规则的研讨,代表中国企业利益发出中国声音;另一方面可考虑借助RCEP、FTAAP 等区域谈判寻求建立符合中国利益的跨境数据流动规则。在这方面可以借鉴美国的做法,美国亦不被认为是能充分保护数据权的国家,但《安全港》使得数以千计的美国企业得以在欧洲开展业务。建立类似于“安全港”的合作或加入CBPR 这样的国际体系,可以增进国际市场对中国企业的信任,为企业争取参与全球竞争的机会,并在这一过程中培育行业的自律,促进我国数据保护水平的提升和相关行业的可持续发展。随着我国在国际事务中地位的提升,我国更可以利用诸如博鳌论坛、亚洲基础设施开放银行、金砖国家、“一带一路”战略等之便开展跨境数据流动的区域性合作协议或规则谈判,以增强中国在此领域的话语权。总之,我国通过多层次国际规则的谈判或构建,树立与我国国际地位相匹配的数据大国形象,这不仅是维护国内利益的需要,也是保证跨境数据流动国际合作的健康开展与可持续发展的要求。