齊 鵬

(西安交通大學 法學院,陜西 西安 710049)

運用文字及圖像等數據促進思想交流,是數字經濟時代的重要基礎。數據作為重要生產要素,現已演變?yōu)榫哂兄匾獞?zhàn)略價值的信息載體。隨著跨境數據傳輸活動展開,原本繁復的數據服務工作細化分包,生產效率顯著提高,數據后續(xù)利用價值不斷增值。然而,數據規(guī)?；缇尺h程交互流轉,在給人們便捷生活帶來數據智慧共享的同時,人們已無法全面及時掌握并控制自身數據被使用所產生的風險[1]464。數據傳輸零地理邊界的跨國特征,一方面將各類數據保護放置于洪荒之地,在數據跨境流動中,數據保護與其他權利價值位階的沖突性激增;另一方面,數據高度國際化將促使其渾然不覺地突破諸多邊界限制,無限挖掘濫用數據資源,擴大侵權范圍,形成跨境數據壟斷控制等。

面對上述問題,東盟十國及中國、日本、韓國、澳大利亞、新西蘭于2020年11月正式簽署區(qū)域全面經濟伙伴關系協(xié)定(RECP),并設專章對跨境數據傳輸進行規(guī)制,盡管如此,目前為止全球仍然尚未形成關于數據跨境傳輸統(tǒng)一的約束性立法。對跨境數據自由搜集、處理、控制和使用審慎思維已成為信息化時代維護國家網絡主權的重大現實命題[2]。如何在“一帶一路”數字經濟發(fā)展背景下營造合理化數據聚集秩序和規(guī)則,平衡好數據權屬保護與共享發(fā)展關系,營造沿線各國數字經濟共同體的良好外部環(huán)境,已成為當前亟需思考的問題。

一、“一帶一路”數字經濟數據跨境風險系統(tǒng)性應對邏輯的建構緣由

萬物互聯(lián)時代,數據使用價值并非源于其本身用途,而在于對數據的再次利用。數據風險也并非僅僅產生于數據信息收集前端,更多側重顯現在具體使用環(huán)節(jié)。同時,為減少數據所有者與使用、處理者間的力量懸殊,包括“一帶一路”國家在內的國際社會已經注意到將數字經濟發(fā)展作為建設現代化經濟體系、推動經濟高質量發(fā)展的新方向[3]。為實現數據跨境傳輸風險有效應對抵御,各國立法者正競相形成新一輪數據跨境風險規(guī)制規(guī)則。目前為止,已有135個國家或地區(qū)出臺跨境數據流動規(guī)則,其中,“一帶一路”沿線已有66個國家頒布數據保護立法,14個國家公布相關立法草案。總體觀之,雖然沿線國家和地區(qū)已開始嘗試探索形成兼顧國情多樣化的數字經濟監(jiān)管立法,但現行整體法律治理水平遠遠落后數字經濟發(fā)展需求,還需及時建立“一帶一路”沿線數字經濟數據跨境風險的系統(tǒng)性應對邏輯。

究其緣由,主要在于以下五點:第一,當前“一帶一路”數據跨境傳輸風險應對規(guī)則法律體系仍以國內法為主要法律淵源,且尚未形成統(tǒng)一的連貫性國際標準。具體而言,由于沿線各國數字經濟發(fā)展國情、訴求不同,制定使用的數據跨境流動立法政策也存在差異,且沿線國家和地區(qū)法律體系分屬不同法系和法源[4],這給沿線數字經濟貿易各方相互了解、適用沿線各國法律制度帶來極大不便。即便排除以上因素,對沿線各國所有法律法規(guī)逐條理解也將是各國企業(yè)十分艱巨的任務及壓力。第二,沿線各國法律體系分布類型復雜,大多并非僅僅基于英美法系形成現行立法特點,若對沿線各國整體堅持沿用既有英美普通法系制度,則可能有損數據公平自由傳輸,而且會與各國法律傳統(tǒng)文化格格不入。第三,由于“一帶一路”沿線數據保護標準不一,也為跨境數據傳輸相關法律規(guī)制運行增加諸多障礙。第四,“一帶一路”沿線主要為發(fā)展中國家,數字信息技術及數字經濟發(fā)展與發(fā)達國家相比存在顯著不足,若簡單使用西方發(fā)達國家跨境數據傳輸規(guī)則,則可能陷入大國掣肘,不利于沿線國家和地區(qū)數字經濟自主發(fā)展,且“一帶一路”沿線國家和地區(qū)現行規(guī)則大多側重貨物服務貿易方面,與數字經濟發(fā)展方向無法及時匹配。第五,部分西方國家運用經濟、法律杠桿不同程度阻撓干預沿線各國友好合作,“一帶一路”沿線數字經濟發(fā)展也面臨被鎖定在“全球價值鏈中低端”的風險[5]。

事實上,信息大爆炸下的跨境數據傳輸保護并非僅僅依靠一國國內立法即可解決相關沖突,還需依賴數據跨境傳輸各環(huán)節(jié)密切協(xié)調。為此,有必要在“一帶一路”多元法律體系下,在與沿線國家和地區(qū)共建共享合作基礎上,對標構建人類命運共同體目標要求,對數字經濟跨境數據傳輸解紛機制構建系統(tǒng)性思考,結合“一帶一路”建設實踐所需,及時調整完善現行規(guī)制措施,促進多元價值碰撞,探尋普遍適用的規(guī)則對話機制。源于上述緣由,本文根據2019年7月中央全面深化改革委員會第九次會議審議通過的《關于加快建立網絡綜合治理體系的意見》,基于數據傳輸時間邏輯,嘗試設計搭建跨境數據全流域風險系統(tǒng)應對體系(見圖1),主要包括:數據傳輸前端建構數據傳輸安全禁輸管理體系;傳輸中前端形成合理化數據跨境傳輸監(jiān)管管轄體系;傳輸中設計數據本地存儲豁免體系準則;傳輸末端營造普適于“一帶一路”統(tǒng)一的數據安全執(zhí)法體系。在此設計基礎上,建立起涵蓋數據分類、管轄監(jiān)管、內容管控、社會協(xié)同的網絡綜合治理體系,為營造“一帶一路”合理化數據聚集秩序規(guī)則,促進數字經濟時代“一帶一路”命運共同體更加蓬勃發(fā)展形成制度保障。

圖1 “一帶一路”數字經濟數據跨境風險的系統(tǒng)性應對體系

二、“一帶一路”數字經濟數據跨境的四重風險

數字貿易已成為全球經濟增長新動力,為獲得競爭優(yōu)勢,市場機制參與者競相利用跨境數據流動獲取數據資源。本文依據前文以時間邏輯建構的數據跨境傳輸風險的應對體系,從四個方面對主要風險因素進行梳理。

(一)數據跨境禁輸管理體系不合理

數據傳輸前形成合理化安全等級分類,是保障相關數據安全傳輸的重要防控依據。檢視目前“一帶一路”沿線國家和地區(qū)相關數據傳輸限制管理體系,主要存在以下不足:

1.各國數據本地化禁輸分級差異化

數字絲綢之路建設過程中,各類數據廣泛傳輸,其中不乏涉及個人隱私、國家安全的重要內容信息。為警惕解密軟件對跨境數據非法分析后,利用金融服務、公共衛(wèi)生、基礎服務等領域數據漏洞形成虛假輿情,危害社會公共安全,多數國家對于上述相關數據傳輸自由化采取本地屬地管理態(tài)度。這種立法策略絕非人為粗暴推動數字經濟發(fā)展巴爾干化,而是致力形成“一帶一路”數據跨境傳輸安全管理體系?？v觀“一帶一路”沿線現行數據跨境禁輸監(jiān)管現狀,主要形成以下不同模式的屬地限制分級:

(1)對于一般數據僅須在其境內存儲,對于處理、訪問地點則未作要求。如俄羅斯2015年生效的第242-FZ聯(lián)邦法要求所有境外法人須在俄境內的服務器中存儲收集到的數據,但并未對存儲后的處理、訪問等行為地點限制。印度2018年的《個人數據保護法(草案)》第40條“跨境傳輸個人數據的限制”第2款中,也明確要求數據僅能在其境內數據中心存儲,絕對禁止數據離境傳輸,此外,《印度電子商務國家政策框架草案》也堅持建立本地化數據中心立場。不過,上述國別化立法中,對于一般數據類型均僅僅要求在其境內存儲,未強制要求處理、訪問過程限于某種環(huán)境。(2)對于重要數據傳輸要求存儲、處理等活動僅限在其境內實施,但允許境外訪問。如俄羅斯作為數據監(jiān)管程度較高的國家之一,在2015年的《個人數據保護法》中嚴格要求,對于俄羅斯公民個人信息數據的存儲、處理、檢索、修改等只能存儲于俄境內數據庫中,同時要求數據供應商就相關數據至少保留12小時,以便為俄羅斯聯(lián)邦安全局提供數據資料。(3)對于涉及公共安全的重要行業(yè)數據內容,無論存儲、處理或訪問活動,均須在其境內進行。如印尼《關于提供系統(tǒng)和電子交易的監(jiān)管條例》要求涉及公共服務的經營者應將數據中心設置在境內,互聯(lián)網提供商必須使用本地IP號碼并在境內存儲數據。越南2019年的《網絡安全法》也要求將有關醫(yī)療保健、社會保障、保險、金融及電信等特定類型的數據在本地存儲。此外,印度中央銀行也強勢推進支付數據本地化,土耳其亦要求在其境內的支付企業(yè)開展電子支付交易應在其境內存儲。我國對于個人金融信息數據保護也采取了與上述國家同樣的管理態(tài)度,如《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》中要求:除法律法規(guī)及中國人民銀行另有規(guī)定外,銀行業(yè)金融機構不得向境外提供境內個人金融信息。

前文已經述及,各國現行數據傳輸分級限制并非人為阻卻數據跨境匯集,而在于形成共享全球數字經濟發(fā)展紅利基礎,將有悖沿線數字經濟發(fā)展安全的數據內容實施個別監(jiān)管,提升區(qū)域內數據傳輸安全感,增強沿線數據跨境活動吸引力。同時,還應注意的是,在共享跨境數據傳輸帶來的紅利成果時,還需考量如何統(tǒng)一各國數字經濟發(fā)展程度差異化的數據禁輸分級目錄,并基于目錄重構權利保護與數字經濟發(fā)展相平衡的數據管理體系,進而推動“一帶一路”沿線數據交融匯聚。

2.各國際組織或國際協(xié)議對跨境數據傳輸合理化限制標準缺失

為突破上述以隱私權保護為名對部分數據內容人為設置的不當障礙,促進“一帶一路”更為深入的數據流動,各國際組織紛紛參與形成了多樣化的禁輸標準。如經合組織(OECD)在《關于隱私保護和個人數據跨境流動指南》中要求,數據自由傳輸并非毫無限制的自由流動,還須防止自然人、法人或其他組織以保護個人隱私或公共安全為由肆意設置無差別的禁輸壁壘。亞太經合組織(APEC)在《跨境隱私規(guī)則體系》中也明確要求減少不合理的數據分級傳輸限制,推動跨境數據在該區(qū)域自由傳輸?！犊缣窖髴?zhàn)略經濟伙伴關系協(xié)定》(TPP)雖然并未最終付諸實踐,但其根據《關稅貿易總協(xié)定》第24條及WTO第5條規(guī)定,亦表現出對于數據傳輸合理化轉移的支持(1)TPP第14.11條通過電子方式跨境傳輸信息規(guī)定:(a)不得以構成任意或不合理歧視的方式適用,或對貿易構成變相限制;(b)不對信息傳輸施加超出實現目標所需限制。。值得注意的是,RECP明確提出不得阻止為商業(yè)目的而開展的數據跨境活動,換言之,即對于各類商業(yè)數據傳輸不再局限于特定地域管轄監(jiān)管,這種開放性嘗試將打破地域管轄束縛,有利于促進沿線各區(qū)域各類商業(yè)數據迅速傳遞。基于此,應當在“一帶一路”相關制度設計中予以移植。

雖然上述國際組織或多邊協(xié)議均致力于消除各國數字經濟發(fā)展中可能形成的人為性障礙,探索形成相對緩和的數據安全傳輸限制模式,但是該禁輸手段是否與數據匯集存儲目標相適應尚未形成定論,在相關協(xié)議中也并未明確表明在哪種情形下對哪些數據內容進行限制。從法律效果看,當目的—手段難相適應時,這種形同虛設的區(qū)域性數據傳輸保護措施也難以發(fā)揮抵御各類數據跨境傳輸風險的作用,最終也不能彌補各國各地區(qū)自身立法設置差異化的困境。因此,有必要慎思跨境數據自由傳輸目的與保護手段比例原則是否合理,如何選取恰當方式規(guī)范公權力數據限制措施與數據存儲目的相稱,謹防數據本地化存儲限制界限超越合理比例原則而構成數據禁輸壁壘,有悖國際組織或多邊協(xié)議制度條款設計初衷。

(二)數據跨境傳輸前端風險監(jiān)管管轄沖突

出于國家安全、社會穩(wěn)定、個人隱私等諸多保護緣由,數據跨境傳輸前應明確禁輸等級標準。為及時應對之后的各類風險,數據傳輸中首要考慮的應是數據管轄問題?？v觀數字經濟發(fā)展全球化過程,對數據風險的監(jiān)管主要側重于本地化存儲,即通過屬地管轄權減少相關風險。然而,由于“一帶一路”國家和地區(qū)法律稟賦、法律淵源差異較大,加之倡議參與國家數量激增,與之相伴的法律適用連接點隨之增多,伴隨著數據資源價值的提升,各國法律管轄沖突也成為制約數據跨境傳輸的重要因素。具體表現如下:

1.現行公約無法覆蓋沿線數據傳輸管轄范圍

數字經濟發(fā)展中數據傳輸無國籍邊界的特征模糊了傳統(tǒng)屬地管轄物理疆界,對傳統(tǒng)管轄制度發(fā)起挑戰(zhàn)。在網絡空間面前已無法適用以較為固定的國籍為限的屬人管轄,而屬地管轄則由于遵從較為固定的行為發(fā)生地或結果發(fā)生地等地理空間標準,相較屬人管轄更能減少管轄沖突,更易于確定數據流動傳輸管轄對象,因此,在數字經濟發(fā)展過程中備受青睞[6]。

然而,由于“一帶一路”覆蓋區(qū)域國家和地區(qū)數量較多、數據主體類型多元,現行區(qū)域性多邊條約地域管轄已難以普遍適用。一方面,現行多邊條約所管轄的國家和地區(qū)無法覆蓋“一帶一路”全域范圍。如RECP第12章“計算機設備位置”條款為兼顧該區(qū)域各國數字經濟發(fā)展特點,促進區(qū)域內數字經濟更快發(fā)展,故暫時做出對部分條約國實施地域保護,這就造成在相關時限內無法完全覆蓋該區(qū)域所有數據類型。此外,APEC提出的跨境隱私規(guī)則體系(CBPR)旨在設置區(qū)域內統(tǒng)一的數據認定標準,加快獲得認定的企業(yè)數據流動,然而,CBPR僅有8個國家和地區(qū)加入(2)截至2020年2月,澳大利亞、加拿大、日本、墨西哥、韓國、新加坡、美國和中國臺灣開始實施CBPR措施。,亦無法全面覆蓋“一帶一路”所有國家和地區(qū)。另一方面,跨境數據傳輸受制主體范圍呈現復雜性,現行多邊條約大多實施了限縮規(guī)定。如RECP適用主體類型將金融機構投資者或金融服務提供者等予以排除,CBPR也僅適用于成員國或政府以外的各類企業(yè),即便是尚未付諸實踐的TPP管轄范圍設想,也規(guī)定排除政府采購行為。

誠然,基于主權國家價值觀的不同,“一帶一路”國別化的屬地管轄暫時無法消除,但是拓寬區(qū)域間可相互操作的管轄范圍框架,無疑將減少各國數字經濟貿易摩擦及數據傳輸監(jiān)管負擔。

2.長臂管轄阻斷措施模糊

事實上,長臂管轄并非數字經濟發(fā)展產物,而是美國民事訴訟域外國際管轄沖突中法院屬人管轄權適用地域限定的司法擴張。該制度肇始于非居民與法院地所在州有最低聯(lián)結因素關聯(lián),進而擴大形成以最密切聯(lián)系原則為基礎的法院特殊屬人管轄權標準。自1945年“國際鞋業(yè)公司訴華盛頓州”案確立長臂管轄權以來,美國利用《出口管理法》《武器出口管制法》《國際突發(fā)事件經濟權力法》《美國海外反腐敗法》和《薩班斯一奧克斯利公司治理法案》等直接主張對與其有任何聯(lián)系的活動均具有管轄權。數字經濟發(fā)展新時代,為更大程度和范圍上實現美國數據交易主體數據權保護,2018年美國通過《澄清域外合法使用數據法案》,從立法層面宣示其域外效力,并根據《電子通信隱私法案》設置寬泛管轄范圍,單方擴張其跨境數據域外執(zhí)法權[7]295-307,擁有超美國區(qū)域域外管轄效力,可直接主張對存儲于境外數據的司法管轄權,不再局限于數據存儲于何處。

近年來,該規(guī)則影子在“一帶一路”部分國家中也有所體現,如俄羅斯2015年《個人數據保護法》、印度2018年《個人數據保護法草案》等亦通過長臂管轄模式擴大其管轄范圍,突破數據主體屬人局限,明確規(guī)定其管轄主要取決于數據處理行為是否在其范圍內發(fā)生,而不論數據控制主體是否在其境內。然而,數字經濟發(fā)展中,各交易主體聯(lián)系將更加緊密,連結因素也將更加豐富,適用長臂管轄無疑將加大與數據存儲地國家主權沖突?；诖?有必要形成完備的數字經濟發(fā)展長臂管轄阻斷措施,通過沿線各國交流合作,形成命運共同體合力,實現對這種管轄權濫用行為的實質性否定。

(三)數據傳輸過程中本地化存儲豁免標準未明確

綜合分析數據跨境傳輸中的本地化存儲豁免風險,主要存在以下幾種情形:

1.數據主體明示同意程序模糊

數據權屬依附于數據所有者,往往體現其財產價值及人身權特點。實現數據價值剝離必然需要脫離其歸屬關系,也須獲得數據主體意思允諾。建立數據主體間“告知—同意”機制,是尊重數據所有者數據信息自治權、保障數據傳輸符合其預期期待的重要體現。然而,司法實踐中,數據接收者告知義務與數據所有者同意過程往往并未固定程序,多數情況下數據所有者更關心合同條款早日締結而很少關注數據傳輸真實意愿,尤其表現在以下兩種合同中:

第一種,對于一般合同條款同意規(guī)則而言,印度、馬來西亞等均已規(guī)定公開相關數據前應經數據所有者同意(3)印度2018年《個人數據保護法(草案)》第40條規(guī)定:除個人敏感數據外,中央政府可根據國家必要性和戰(zhàn)略利益,對于某些類別數據的個人數據豁免存儲備份。對于一般數據除滿足數據接收方許可外,還應數據主體同意轉移。馬來西亞2010年《個人數據保護法案》規(guī)定在處理使用任何個人數據前,數據使用者須獲得數據所有者明確的同意并盡快書面通知使用數據的目的。。我國亦建立起數據主體明示同意的本地化存儲豁免規(guī)則,主要表現在以《網絡安全法》《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》為代表(4)《網絡安全法》第22條第3款規(guī)定:網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定。《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第12條規(guī)定:網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息,造成他人損害,被侵權人請求其承擔侵權責任的,人民法院應予支持。的法律規(guī)范層面,以及《個人信息出境安全評估辦法(征求意見稿)》《信息安全技術數據出境安全評估指南(草案)》在內的行政法規(guī)中,上述法律法規(guī)均表明未經數據所有者同意許可,對于可能侵害個人、國家安全、公共利益的數據禁止離境。這種制度設計旨在實現數據控制者對自身數據實現控制[8],充分尊重數據所有者的數據權屬。然而,上述立法規(guī)定均泛泛提出“知情—同意”模式,對于如何促使數據主體知情?告知時間怎樣確定?同意公開范圍主要包括哪些?怎樣確定數據所有者真實同意?諸如上述問題并未予以澄清,實踐中難免存在各種履行風險,一定程度上將影響數據傳輸效率,甚至影響沿線數字經濟發(fā)展積極性。

第二種,基于標準合同條款的數據傳輸協(xié)議,往往存在不公平條款輸入可能,如何平衡數據主體自由傳輸充分決定權與合同締約效率張力,已成為規(guī)范標準合同內容的研究聚焦。尤其在數字經濟發(fā)展進程中,數據使用者如何通過電子標準合同獲得數據所有者同意?處于劣勢地位的數據所有者對于標準合同內容如何防范不公平條款?對于數據使用目的怎樣履行告知義務?數據所有者又該如何完成“知情—同意”承諾?這些問題均是數據跨境傳輸標準合同應當著力解決的關鍵。

2.境外數據接收方與本國充分保護水平評估標準不清晰

當前,以第三方數據充分保護水平為參考的數據傳輸安全環(huán)境評估策略,已成為數據跨境傳輸本地化存儲的另一個重要豁免條件。其中,俄羅斯2015年《個人數據保護法》、印度2018年《個人數據保護法(草案)》、新加坡2014年《個人數據保護法》均就數據跨境流動設置充分保護規(guī)定,要求向境外傳輸數據時,唯有數據接收國提供與數據所有者認可的同等迫切的安全保護措施,才可免于數據所有者事前書面同意。反之,若數據保護機構認定數據使用者未能提供相當水平的安全充分保護措施,則可采取必要措施阻止數據向傳輸目的國傳輸。這種視各國對數據保護程度而定的充分保護豁免認定規(guī)定在我國《網絡安全法》中也有類似體現(5)《網絡安全法》第37條規(guī)定:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。。

“一帶一路”部分國家嘗試借鑒充分保護數據安全認定標準,雖然一定程度上有助于沿線跨境數據傳輸節(jié)約守法成本,提高地區(qū)性跨境數據自由實現,但是,目前為止,關于充分保護認定標準及程序未能明確,致使實踐中具體情境因素未能統(tǒng)一考量、評估認定時間漫長,這無疑將降低數字經濟發(fā)展中數據跨境自由傳輸效率,增加沿線數據本地化存儲風險壓力,弱化該機制適用效果及初衷。

(四)數據跨境傳輸末端離境保護執(zhí)法成本徒增

在推行數字貿易及數據自由化過程中,依托大數據網絡云存儲技術,跨境數據可以存儲在全球任意位置,與之相伴的犯罪技術更加隱蔽,執(zhí)法沖突隱患激增,相關風險防范更需加強全球執(zhí)法合作。同時,鑒于“一帶一路”法律文化差異,數據傳輸風險的應對可能因缺乏統(tǒng)一執(zhí)法機構及跨境電子數據取證多邊協(xié)議等而增加數據離境保護執(zhí)法成本。

1.“一帶一路”執(zhí)法機構缺乏統(tǒng)一合作

雖然獨立統(tǒng)一的跨境數據保護執(zhí)行機構可以消除各國執(zhí)法沖突、避免重復執(zhí)法,但是在互聯(lián)、協(xié)作、開放的“一帶一路”倡議范圍內,受沿線數字經濟主體多樣化及數據傳輸類型多元化影響,目前為止,“一帶一路”數據跨境傳輸離境執(zhí)法機構尚未嵌入統(tǒng)一合作模式。近期達成的RECP第12章第3節(jié)第8條“線上個人信息保護”設計中也僅旨在鼓勵法人在實踐中公布與個人信息保護相關的政策和程序,而并未對此設置該區(qū)域統(tǒng)一的數據傳輸保護執(zhí)法機構。雖然歐盟及部分國家也一直嘗試形成區(qū)域性或全球化統(tǒng)一執(zhí)法機制,但令人遺憾的是,迄今為止尚未搭建起執(zhí)行合作共享機制。整體而言,“一帶一路”現行跨境數據傳輸執(zhí)法機構,主要呈現出國別化不同層級管理特色(6)主要包括俄羅斯聯(lián)邦電信、信息技術和大眾通信監(jiān)管局、新加坡通訊及新聞部設立的數據保護委員會、哈薩克斯坦檢察長辦公室、馬來西亞個人數據保護委員會、也門國家信息中心、阿聯(lián)酋數據保護委員會、格魯吉亞數據保護督察員、波黑數據保護局、黑山數據跨境傳輸監(jiān)管機構、塞爾維亞則公共重要信息與個人數據保護官、馬其頓個人數據保護局等。。

此外,大數據時代涉及的數據信息類別可能覆蓋一切社會主體,并非僅僅依靠部分政府機構、企業(yè)、個人便可有效化解傳輸沖突,同時,數據流動中涉及的傳輸主體范圍也將逐步擴大,其風險也非單一主體即可應對。單一依靠政府機關形成的“一帶一路”跨境數據保護執(zhí)行機構已難以適應數字經濟發(fā)展特點,滯后的矛盾化解機制可能孵化更多矛盾沖突,為此,需盡可能地覆蓋各類數據傳輸活動參與主體,形成多元共治體系,共同負責數據傳輸風險沖突執(zhí)法事宜。

2.跨境電子數據取證機制不健全

大量數據離境傳輸背景下,由于跨境電子數據取證多邊協(xié)議缺失及現行跨境電子取證程序繁復等原因,執(zhí)法機關提取有價值的證據需要耗費更多時間和人力成本,及時高效甄別有效數據證據挑戰(zhàn)更大,先行跨境電子數據證據取證機制已無法滿足執(zhí)法機關相關證據有效調取需求。具言之:

第一,跨境電子數據取證多邊協(xié)議缺失?？缇畴娮訑祿∽C是基于現實傳統(tǒng)國別地域基礎,對虛擬空間執(zhí)法活動的擴展。傳統(tǒng)跨境證據取證主要基于數據主權原則,有限時間內在有限主權區(qū)域獲取有效證據,而數字經濟發(fā)展背景下,跨境數據依托虛擬世界自由傳輸,加快了對同時間不同地域的多維度沖擊,涉及的電子數據證據也可能分布在不同國家或地區(qū)。數據傳輸無地域限制的自由流動已非一國之力可以應對,傳統(tǒng)司法協(xié)助在跨境數據傳輸面前的優(yōu)勢已黯然失色。同時,“一帶一路”程序性立法差異較大,域外取證實踐中為適應不同國家或地區(qū)程序法內容,不僅將增加執(zhí)法成本,也可能造成對相關權力損失補救不及時。有鑒于此,在國際法與國內法互動發(fā)展中,形成互相尊重、高效便捷的司法取證多邊協(xié)議,共同應對沿線數字經濟風險尤為必要。

第二,現行跨境電子取證程序繁復。一是隨著全球數字經濟發(fā)展,存儲于他國或地區(qū)的跨境數據證據取證需求不斷增多,傳統(tǒng)“倒U型”(7)傳統(tǒng)“倒U型”取證方式是指以“倒U型”流程從請求國執(zhí)法機構申請取證到被請求國執(zhí)法機構收到取證請求的模式。數據取證司法協(xié)助方式往往需沿著“倒U型”穿梭于請求國到被請求國間,而數據跨境傳輸并非僅僅關聯(lián)一個國家或地區(qū)數據接收者,若同時需要在“一帶一路”數個國家或地區(qū)調取相關證據,則無法適用該傳統(tǒng)取證模式。二是上述傳統(tǒng)證據取證模式運行往往需事先了解雙方程序性立法,進而通過多部門不斷協(xié)調,最終獲得相關證據。在數字經濟迅速發(fā)展過程中,這種緩慢低效的取證程序已難以適應各方數據主體維權所需。此外,由于“一帶一路”互聯(lián)網信息技術及數字經濟發(fā)展水平不平衡,具體實踐中,可能表現出證據取證能力參差不齊,無法回應數據傳輸參與主體跨境數據取證的權利保障期待。

三、“一帶一路”數字經濟數據跨境風險的系統(tǒng)性應對

隨著數字技術迭代升級,幾乎所有行業(yè)都與數據傳輸相關,后疫情時代在線互動的數字經濟儼然已成為引領世界經濟走出低谷的重要動力。為獲取數字經濟市場紅利,特別是依賴互聯(lián)網拓寬線上境外市場時,數據跨境傳輸日益頻繁,相關傳導防控風險日益緊迫。面對這樣的風險態(tài)勢,如前所述,數據流動性導致的各類型風險非一國即可應對,還需建立“一帶一路”命運共同體共同信任支持的風險系統(tǒng)應對措施。具體而言,在未來數字經濟規(guī)則博弈中,應把握以下幾點:

(一)數據跨境傳輸前:構建數據風險分類管理體系及傳輸限制標準

“一帶一路”沿線整體數字經濟發(fā)展水平相較西方發(fā)達國家較為緩慢,若沿襲美國自由寬松的數據分類管理模式,加之受其長臂管轄影響,則可能致使區(qū)域內數據管理秩序混亂,很難實現本區(qū)域數字經濟高速發(fā)展,若堅持歐盟等嚴苛數據分類管理規(guī)則,也將嚴格束縛沿線各國參與全球數字經濟發(fā)展的步伐,不利于沿線數字經濟發(fā)展中分享全球數據跨境傳輸紅利。面對第四次工業(yè)革命發(fā)展機遇,“一帶一路”發(fā)展應摒棄博弈和對抗思維,在保障各國數據安全前提下,降低區(qū)域內數據本地化存儲要求,探索形成兼顧沿線域情的跨境數據流動傳輸限制引導模式,不斷提升后疫情時代本地區(qū)數字傳輸匯集,增加沿線數字經濟發(fā)展吸引力。

1.推進跨境數據風險分級分類管理體系建設

數據信息包羅萬象,籠統(tǒng)要求所有跨境數據本地化未能兼顧不同數據法益內容,也將增加相關風險防范溢出成本。審視“一帶一路”跨境數據分級分類管理現狀,目前尚未形成體系化規(guī)定,為提高沿線各國數據傳輸效率,加強相關傳輸風險防范,建議推進搭建“一帶一路”跨境數據風險分級分類管理體系。主要內容包括:

第一,建立跨境數據風險分級目錄。通過大數據統(tǒng)計沿線各國及地區(qū)跨境數據傳輸內容,并根據沿線國家和地區(qū)經濟、法律、文化、宗教、信仰等,基于數據脆弱性分析、可接受風險等級認定,設立數據風險名錄,以供各方數據傳輸參考。一是廓清國家安全數據范圍。主要包括涉及國家安全、影響社會穩(wěn)定的政府公共部門敏感數據,如政治、經濟、科學、國防軍工、教育、資源、醫(yī)療、遺傳生物等重要行業(yè)限制性數據,大型工程活動、海洋環(huán)境敏感地理信息數據,及有關宗教信仰傳播的重要信息等。二是明晰個人隱私、商業(yè)秘密關鍵數據內涵。主要包括有關公民個人姓名、聯(lián)系方式、密碼、財務數據、健康數據、生物識別、遺傳數據等隱私,還包括有關商業(yè)秘密的敏感數據。三是界定一般數據外延。排除上述兩類數據外,大多屬于一般數據。通過上述分類初步判定跨境數據風險等級,再行評估數據出境是否風險可控,以防其出境或再轉移后被泄露、損毀、篡改、濫用等。

第二,構建數據安全分類管理體系。當數據按照風險等級分類后,則需對其分類管理。一是在“一帶一路”數據監(jiān)管網絡平臺及時更新各國境內數據監(jiān)管立法,實時公開相關數據傳輸監(jiān)管情況。二是建立各國統(tǒng)一認可的數據存儲中心,對用于跨境傳輸的不同數據類型備份存儲,并定期公布數據存儲情況,檢查數據保存質量,保持并維護數據完整性,對此,可效仿巴林數據中心在中國西北“一帶一路”沙漠地帶,邀請各國共同打造全球數字經濟數據存儲中心。三是為尊重各國各地區(qū)數據主權,可依據其國內法對數據傳輸風險進行跨境前審批,并對數據使用情況跟蹤評價。四是就數據管理有效經驗及時共享,并定期就新興數據類型監(jiān)管辦法開展經驗交流。

2.主張跨境數據傳輸合理性限制標準

“一帶一路”沿線各國或國際組織、國際協(xié)議等公權力凝聚形成的數據傳輸限制模式,一定程度上對數據自由傳輸的安全發(fā)揮著穩(wěn)定器作用,助推數據存儲限制目的實現,但這種缺乏合理化限制標準的措施往往可能超越禁錮措施風險應對,可能形成目的手段比例原則錯位的數據禁輸壁壘,最終導致跨境數據活動目的落空。為此,有必要結合數據出境后安全風險實地分析,參照表1細化形成與數據安全保護、風險防范相適應的行業(yè)級跨境數據傳輸限制標準,通過國內自由貿易試驗區(qū)建設,以電商、旅游等行業(yè)為試點,嘗試合理平衡數據本地存儲與安全權屬保護矛盾的先行試驗,待其檢驗通過后進一步向全行業(yè)推廣,在“一帶一路”全域打造數據安全傳輸合理限制標準,謹防對一切數據類型采取統(tǒng)一的本地存儲嚴苛限制策略。

表1 “一帶一路”數字經濟數據傳輸規(guī)制標準

(二)數據傳輸中前端:拓寬數據監(jiān)管管轄范圍并細化阻斷長臂管轄機制指南

數據跨境傳輸開啟前,準確界定數據跨境風險監(jiān)管管轄范圍,細化長臂管轄阻卻規(guī)則,是當前“一帶一路”沿線數據跨境傳輸風險治理中,實現數字經濟發(fā)展治理能力現代化必須面對的司法焦點。

1.擴充數據跨境風險監(jiān)管覆蓋主體

后疫情時代依靠互聯(lián)網技術的數字經濟將進一步凸顯優(yōu)勢,為彌合立法設計與科技發(fā)展步伐不一致的矛盾,在跨境數據傳輸管轄設置中,應盡可能囊括一切數據類型,并從以下層面進行考量:

(1)隨著“一帶一路”倡議成員不斷增多,加之數字經濟發(fā)展中數據傳輸無國別化限制的自由流動特點,為有效防控沿線跨境數據風險因素,有必要沖破區(qū)域閾值限制,共商形成覆蓋“一帶一路”全域發(fā)展利益的數據管轄制度,并基于現行區(qū)域性多邊條約,拓寬數據跨境風險監(jiān)管覆蓋主體。(2)相較實體經濟建設,數字經濟風險蔓延速度更快,涉及領域也更為廣泛,其風險可能并非簡單聚焦于個別數據中,很可能影響所有數據環(huán)境,因此,對其風險監(jiān)管判定時,應盡可能囊括一切數據類型。但這種管轄權拓寬并不一定意味著對于所有數據均具有絕對管轄,還需依據相關風險實例評判是否可能觸及長臂管轄問題。

2.細化《阻斷外國法律與措施不當域外適用辦法》指南

主張數據管轄權還須同步解決管轄沖突。商務部近期在國際法框架下頒布的《阻斷外國法律與措施不當域外適用辦法》(以下簡稱《辦法》),通過阻斷法就長臂管轄問題實施阻卻,旨在解決國內執(zhí)法機構和企業(yè)面臨的數據管轄沖突問題。為更好保護沿線各國個人、法人、組織合法權益,有必要在該辦法基礎上形成配套細則,具言之:

(1)細化“不當禁止或者限制情況類型”。對于《辦法》第2條有關不當禁止或者限制情形,可關注有關長臂管轄已決案件,形成目錄名單,并將該目錄向“一帶一路”沿線及時共享,倡議形成沿線各國各地區(qū)對長臂管轄的類型否定。(2)明確國際商事立法“最密切聯(lián)系”適用標準。由于數據流動性可能觸發(fā)諸多連接點,有必要明確“最密切聯(lián)系”原則適用標準,防范部分國家司法管轄權過度濫用。一方面,要明確實體法與程序法中選擇同一連接點的依據及效果差異化,不能以實體法方式直接沿用于程序法中,最終導致“萬物都有關聯(lián)”;另一方面,應對數字經濟發(fā)展中的“最密切聯(lián)系”原則重新設計,不能簡單將實體經濟中的連接點確定模式直接適用于數字經濟發(fā)展中,尤其是數據跨境傳輸全過程。(3)起草《中華人民共和國國際民商事司法協(xié)助法(草案)》。雖然上述《辦法》就阻斷程序進行了一定說明,但其內容整體較為籠統(tǒng),有必要通過起草民商事協(xié)助法(草案)進一步細化相關程序,并設專章對數據跨境傳輸規(guī)制予以說明,不斷重塑新的數據風險規(guī)制法律體系。

(三)數據跨境傳輸中:明確跨境數據傳輸本地化存儲豁免標準

為彌補數據跨境傳輸中本地存儲豁免程序缺失可能增加數據風險評估負擔的遺憾,有必要對現行豁免標準缺失問題及時補正。

1.明晰數據主體同意本地化存儲豁免判定程序

為實現數據所有者對數據傳輸真實預期,在數據跨境傳輸合同條款同意環(huán)節(jié)的設計中,可通過在線備份締結相關證據等方式加快合同條款締結。具體操作程序如下:

(1)通過獲取并備份數據所有者書面填寫、口頭表示、發(fā)送電子郵件、互聯(lián)網跨境語音、視頻回復等方式就數據傳輸內容及時間信息確認同意。同時,有關標準合同內容提示時間節(jié)點應規(guī)定為合同訂立前或訂立時。(2)對同意公開的數據出境目的、范圍、類型、數量、社會、經濟價值、敏感程度和技術處理情況等內容,可由數據使用者事先公示出來,并對關系數據所有者的敏感信息警示標注,繼而數據所有者通過語音或視頻重復,以表明其允諾公開范圍。(3)對于標準合同條款中加重數據所有者風險負擔,降低數據適用標準的條款內容,應堅持“不利于條款擬定者”原則,除數據所有者本人確定相關合同條款內容外,一般可推斷數據所有者并未真實知情相關數據傳輸內容也并未達成真正合意。

2.細化數據充分保護安全風險評估豁免認定條件

為降低跨國數據傳輸守法成本,提高“一帶一路”跨境數據傳輸本地存儲豁免機率,提高沿線跨境數據傳輸效率,對充分保護認定標準及程序界定時,可從以下幾個維度思考:

(1)對數據保護水平評估時需設計明確考量標準。主要包括兩個層面:一是對數據本身的評估。相關檢視因素包括數據性質、將進行的數據處理操作的目的和持續(xù)時間、敏感度、傳輸數量等。二是對數據接收國安全保障水平的判定。主要參考依據包括第三國現行的一般性數據保護規(guī)定和部門性數據保護規(guī)定以及該國施行的專業(yè)規(guī)則和安全措施、法治水平、人權保護水平、獨立監(jiān)管機構的有效運行、接收者的財務、參與的國際條約等。(2)建立“一帶一路”數字經濟數據安全評價程序。具體操作如下:一是從“一帶一路”全域提供的相關領域專家名單中抽調專家組成專業(yè)化評估小組,并建立專家培訓機制,確保被培訓人員達到數據傳輸安全評價工作要求,由專業(yè)化評估小組進行數據資料收集并對數據接收國數據傳輸環(huán)境安全程度進行勘察;二是對相關危險源及可能造成的危險情形進行警示,將風險影響因素進行說明,以便數據傳輸雙方做好提前預警研判,當數據離境可能對數據主體權益產生危害時,應立即終止傳輸活動,并將問題原因及臨時處置方案等上報評估小組;三是做出是否符合數據自由傳輸的評價,對于基本符合但存在一定安全風險的數據接收環(huán)境,可要求其提出相關安全應對措施,重新評估數據出境安全風險;四是綜合一定時期內各方數據傳輸風險狀況,及時發(fā)布并更新數據傳輸充分保護安全風險白名單及灰名單,以供沿線數據傳輸活動參與主體參考。

(四)數據傳輸末端:著力構建“一帶一路”跨境數據傳輸離境執(zhí)法機制

數據天然流動性要求構筑跨境數據傳輸末端保護執(zhí)法機構必須立足全球視野,加強國際執(zhí)法協(xié)作,推動建立數字經濟統(tǒng)一的多邊跨境數據保護執(zhí)法機制,不斷提升抵御各類風險的應對能力,為實現域內數字經濟安全發(fā)展形成機制保障。

1.添設數字經濟數據跨境風險合作統(tǒng)一執(zhí)法機制

為提升“一帶一路”跨境數據傳輸執(zhí)法便利性,減少法律文化及行政權力制約影響,同時為滿足不同數據傳輸主體所需,應建立合作統(tǒng)一的跨境數據傳輸執(zhí)法機制并形成多元化執(zhí)法隊伍。具言之:

(1)可由各國推薦組建“一帶一路”數字經濟發(fā)展普遍認可的統(tǒng)一的執(zhí)法機制。一是通過沿線各國共同參與、共同商議,推薦組成沿線多邊執(zhí)行機構,形成沿線各國治理合力,且該機構僅對各國共同意志負責,并依據風險應對多邊協(xié)定獲得具體執(zhí)法權限;二是可充分利用現有合作機制,通過區(qū)域性自由貿易試驗區(qū)、金磚國家峰會、APEC會議等形成各機制中的執(zhí)法合作框架,并逐步向“一帶一路”沿線國家和地區(qū)推廣經驗,在各領域嘗試探索建構執(zhí)法機制、完善相關程序,最終構建普適于沿線各國各地區(qū)的數據跨境傳輸統(tǒng)一執(zhí)法合作機制。(2)“一帶一路”數字經濟發(fā)展主體訴求各異,有必要統(tǒng)一共識形成多元化跨境數據傳輸執(zhí)法隊伍。一是邀請第三方中立組織、各國或地區(qū)從事相應工作的組織、法人或個人,統(tǒng)籌各方合力,盡可能發(fā)揮各類主體智慧優(yōu)勢;二是吸取沿線各國及地區(qū)專家學者,成立具有專業(yè)知識的專家?guī)?并不斷更替庫存名單,提升專家?guī)鞕嗤?從庫存專家名單中定期隨機抽取一定數量人員共同參與形成執(zhí)法隊伍;三是為保障執(zhí)法隊伍獨立性,應嘗試探索形成與國內行政管理相區(qū)別的執(zhí)法人員人事管理及財務配套制度。

2.締結跨境電子數據取證多邊協(xié)議

隨著數字經濟的發(fā)展,“一帶一路”覆蓋國家及地區(qū)數量不斷增多,然而由于各國法律文化、宗教信仰等差異較大,數據離境勢必增加執(zhí)法成本。為此,有必要從以下維度提高跨境電子數據取證效率:

(1)通過締結多邊公約加強數據傳輸電子數據取證的司法協(xié)助?！耙粠б宦贰睌底纸洕l(fā)展水平差異較大,其跨境數據傳輸取證程序性立法也各不相同,時時反映著主權有限與數字經濟犯罪無界的矛盾沖突。為保障沿線數字經濟健康發(fā)展,有必要對各國及各地區(qū)現行跨境電子證據取證規(guī)則進行比較,總結各國各地區(qū)立法異同,建立起尊重“一帶一路”國內立法及習慣法的數據取證多邊協(xié)議。(2)構建跨境電子數據取證簡易程序。傳統(tǒng)司法協(xié)助程序存在程序冗長、效率低下等缺陷,難以滿足數字經濟發(fā)展中跨境電子數據取證實踐的需要。對此,司法協(xié)助中司法執(zhí)法機關間、司法執(zhí)法機關與數據所有者間在取證程序方面應減少其他環(huán)節(jié)的直接合作。此外,還需建立個案數據協(xié)助取證機制,不再受統(tǒng)一取證時間要求的束縛,及時防控數據傳輸風險,獲得提取、接收存儲在他國境內的數據法定權限,保障“一帶一路”沿線各方數據參與者合法權益。

四、結語

總的來看,數據跨境傳輸風險分歧制約著“一帶一路”數字經濟發(fā)展,為回應電子信息技術對數據保護的沖擊,實現各國各地區(qū)跨境數據傳輸自由流動,應以提高沿線數字經濟命運共同體為核心,及時梳理相關風險的系統(tǒng)性應對邏輯,審視數據傳輸過程中的風險合規(guī)現狀,秉承求同存異的態(tài)度,努力克服現行差異化數據傳輸風險應對措施對數據自由流動造成的障礙,探索形成普適性的數據跨境傳輸風險應對策略,增強抵御各類風險的能力,引領“一帶一路”沿線國家和地區(qū)實現后疫情時代數字經濟更加蓬勃發(fā)展。