代蘇婉,陳朝暉

(大連海洋大學(xué), 遼寧 大連 116023)

根據(jù)中國信息通信研究院最新發(fā)布的《全球數(shù)字經(jīng)濟(jì)新圖景(2022)》數(shù)據(jù)估算,數(shù)據(jù)源在規(guī)模上呈現(xiàn)快速增長的趨勢,對(duì)當(dāng)前全球大數(shù)據(jù)的蓬勃高速發(fā)展起到了有力的推動(dòng)作用。數(shù)據(jù)在快速發(fā)展的同時(shí)也衍生出了一系列問題。一方面由于對(duì)用戶使用個(gè)人數(shù)據(jù)資源采集、檢索、利用和互聯(lián)網(wǎng)傳輸?shù)姆绞疆a(chǎn)生了較大程度的改變和影響。另一方面,云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)系統(tǒng)等新興互聯(lián)網(wǎng)數(shù)字信息技術(shù)的日益發(fā)展和大規(guī)模應(yīng)用,也加劇了我國各類個(gè)人信息數(shù)據(jù)庫安全侵害事件在社會(huì)上的多發(fā)和反復(fù)。然而,我國到目前為止仍尚未制定一項(xiàng)較為通行一致的,且較為全面、體系完整可行的國際互聯(lián)網(wǎng)數(shù)據(jù)安全跨境管理法律。在信息跨境流動(dòng)方面,目前實(shí)施的《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等法規(guī),雖然對(duì)互聯(lián)網(wǎng)個(gè)人信息有專門的保障,但對(duì)個(gè)人敏感數(shù)據(jù)、關(guān)鍵信息的安全保障范圍、信息安全風(fēng)險(xiǎn)評(píng)估的要求、流程細(xì)化等方面,還沒有做出專門的要求,對(duì)信息本地保存的要求還比較籠統(tǒng)。

一、歐、美數(shù)據(jù)跨境流動(dòng)監(jiān)管的經(jīng)驗(yàn)做法

(一) 歐、美對(duì)個(gè)人跨境數(shù)據(jù)信息的監(jiān)管

1.歐盟對(duì)個(gè)人跨境數(shù)據(jù)的監(jiān)管。歐盟的數(shù)據(jù)跨境監(jiān)管最早可以追溯至二戰(zhàn)時(shí)期。從二十世紀(jì)七十年代開始,全球信息新興技術(shù)快速發(fā)展使得個(gè)人隱私數(shù)據(jù)跨境逐漸被惡意使用。為保證公民權(quán)利與數(shù)據(jù)的正當(dāng)合理使用,歐洲理事會(huì)部長委員會(huì)制定并推出了一些跨境數(shù)據(jù)標(biāo)準(zhǔn)化指南,從而開始推動(dòng)各成員國個(gè)人數(shù)據(jù)跨境流動(dòng)有關(guān)立法[1]。目前對(duì)世界影響力最為廣泛的是在2016年4月推出的《通用數(shù)據(jù)保護(hù)條例》。新規(guī)定中關(guān)于切實(shí)保障廣大公民個(gè)人信息方面有幾大看點(diǎn)。第一,對(duì)個(gè)人數(shù)據(jù)的定義不斷擴(kuò)張。除了保護(hù)常規(guī)公民的個(gè)人信息(個(gè)人的姓名、身份號(hào)碼、通訊地址數(shù)據(jù)等)外,還相應(yīng)增加了包括基因數(shù)據(jù)、生物細(xì)胞識(shí)別功能數(shù)據(jù)以及其它和個(gè)體健康發(fā)展相關(guān)的數(shù)據(jù),以及政治觀點(diǎn)、性取向等信息。第二,增強(qiáng)數(shù)據(jù)主體權(quán)利。除了在個(gè)人隱私信息的安全保護(hù)中規(guī)定一些常規(guī)的知情同意權(quán)外,條例還適當(dāng)增強(qiáng)并明確了數(shù)據(jù)主體的權(quán)利[2]。該條例不僅明確了個(gè)人數(shù)據(jù)保護(hù)的適用范圍,而且統(tǒng)一了歐盟內(nèi)部數(shù)據(jù)處理的法律原則,使數(shù)據(jù)的跨境傳輸更具靈活性及多樣性,被評(píng)價(jià)為是目前全球最嚴(yán)格的數(shù)據(jù)保護(hù)法。

2.美國對(duì)個(gè)人跨境數(shù)據(jù)的監(jiān)管。美國主張對(duì)跨境數(shù)據(jù)流動(dòng)采取寬松的監(jiān)管政策,以鼓勵(lì)數(shù)據(jù)跨境自由流動(dòng)。美國政府則以2018年頒布的《澄清域外合法使用數(shù)據(jù)法案》為主要司法管理制度手段,從數(shù)據(jù)分析信息的自主流轉(zhuǎn)向管理的主要工作目標(biāo),即CLOUD法案。構(gòu)成國際跨境數(shù)據(jù)信息流動(dòng)管理應(yīng)用范式的“數(shù)據(jù)自由論”[3]。這一標(biāo)準(zhǔn)有三類資質(zhì)認(rèn)證,其一,對(duì)數(shù)據(jù)的利用、調(diào)取、信息資源共享及監(jiān)督管理等有具體的法律規(guī)范和法律程序,并同時(shí)具備了相應(yīng)的激勵(lì)機(jī)制來處理數(shù)據(jù)活動(dòng)。其二,外國政府部門應(yīng)當(dāng)是《布達(dá)佩斯網(wǎng)絡(luò)犯罪公約》的會(huì)員國,或至少符合公約對(duì)公民數(shù)據(jù)信息合理使用的規(guī)定。其三,各國政府也應(yīng)當(dāng)遵守相應(yīng)的普世價(jià)值,如嚴(yán)格遵守各國人權(quán)義務(wù)、享有對(duì)世界數(shù)據(jù)信息的自由流動(dòng)權(quán)利和保護(hù)互聯(lián)網(wǎng)技術(shù)開放、分布、互聯(lián)本質(zhì)的決心以及承諾等。這一措施致使各國數(shù)據(jù)信息只能單方面地進(jìn)入美國政府內(nèi)部,從而造成了數(shù)據(jù)信息自由流動(dòng)的壁壘,而這也就是美國單邊主義的霸權(quán)思想在跨國數(shù)據(jù)流動(dòng)范疇內(nèi)的進(jìn)一步擴(kuò)張,同時(shí)美國政府也通過此立法保護(hù)本國的跨境數(shù)字信息。

(二) 歐、美對(duì)企業(yè)跨境數(shù)據(jù)信息監(jiān)管的經(jīng)驗(yàn)做法

1.歐盟對(duì)企業(yè)跨境數(shù)據(jù)信息的監(jiān)管。歐盟在企業(yè)數(shù)據(jù)信息監(jiān)管方面,建立了CBPR體系,該體系是在2004年達(dá)成的《APEC隱私框架》基礎(chǔ)上建立的。APEC所有成員國的企業(yè)都可以隨時(shí)根據(jù)實(shí)際業(yè)務(wù)服務(wù)需求,自行加入并受其管理制度束縛。涉及聯(lián)合資格審查專家組、隱私執(zhí)法協(xié)調(diào)機(jī)構(gòu)、成員經(jīng)濟(jì)體、責(zé)任追究與代理機(jī)構(gòu)、公司企業(yè)五大主體、三大步驟的CBPR組織的加入程序,一般都比較復(fù)雜。一是由成員經(jīng)濟(jì)體首先提出加入;二是有責(zé)任追究的代理人加盟;三是商家加盟[4]。CBPR系統(tǒng)目前主要通過兩個(gè)第三方監(jiān)管責(zé)任主體——問責(zé)代理監(jiān)管者和隱私執(zhí)法監(jiān)管者,負(fù)責(zé)嚴(yán)格監(jiān)管被認(rèn)證企業(yè)是否真實(shí)遵循了CBPR相關(guān)隱私政策要求的執(zhí)行情況。問責(zé)代理機(jī)構(gòu)可以在常規(guī)的消費(fèi)者投訴檢查和處理過程中,對(duì)認(rèn)證企業(yè)是否遵守CBPR中的隱私保護(hù)規(guī)則進(jìn)行審核,如果存在違規(guī)行為,在企業(yè)限期未改正或拒不改正的情況下,可以責(zé)令企業(yè)限期改正,使其行為符合規(guī)則要求或合同安排。問責(zé)機(jī)構(gòu)則通過通報(bào)、罰款等方式,將其從認(rèn)證名單中刪除,予以處罰。

2.美國對(duì)企業(yè)跨境數(shù)據(jù)信息的監(jiān)管。由于與美國政府“棱鏡門事件”、監(jiān)控丑聞等有關(guān)一連串的嚴(yán)重及負(fù)面事件被陸續(xù)公開披露及揭發(fā),美國政府與歐盟在2016年正式宣布由各方重新通過商談方式訂立和簽署了一項(xiàng)新協(xié)議,命名為“歐盟—美國隱私護(hù)盾”(EU-SU Privacy Shield),又稱《隱私盾協(xié)議》。該協(xié)議是指歐盟各國與美國官方的行政分支條約,在美國主要被運(yùn)用于所有想要在歐盟獲取的私人數(shù)據(jù)信息與資料,以及希望利用此方式獲取隱私盾權(quán)益的美國公司,其最主要的原則并沒有直接涉及歐盟成員國之間的私人數(shù)據(jù)處理,或是企圖改變美國政府特定法律地位下的隱私權(quán)力義務(wù)[5]。協(xié)議中特別規(guī)定,美國公司必須承諾保證跨境數(shù)據(jù)控制主體繼續(xù)擁有這種更強(qiáng)的數(shù)據(jù)權(quán),如果美國公司要直接從歐盟成員國向美國傳輸內(nèi)部數(shù)據(jù)信息。美方國家商務(wù)部負(fù)責(zé)人表示將持續(xù)督促該企業(yè)運(yùn)行,而美國聯(lián)邦貿(mào)易委員會(huì)則應(yīng)依據(jù)現(xiàn)行的美國政府法規(guī)進(jìn)一步予以保障和實(shí)施。

二、我國在跨境數(shù)據(jù)流動(dòng)監(jiān)管存在的問題

(一) 跨境數(shù)據(jù)相關(guān)立法協(xié)調(diào)性不足

近年來,我國越來越重視跨境數(shù)據(jù)流動(dòng)的發(fā)展。但是在立法方面,仍存在很多不足之處。一方面,國內(nèi)對(duì)數(shù)據(jù)跨境流動(dòng)的監(jiān)管體系還不完善。數(shù)據(jù)跨境呈現(xiàn)出日益活躍的趨勢,但我國跨境數(shù)據(jù)流動(dòng)監(jiān)管能力和保護(hù)水平仍不足,國家層面缺乏統(tǒng)一監(jiān)管機(jī)構(gòu)。另一方面,我國目前出臺(tái)的規(guī)范數(shù)據(jù)跨境流動(dòng)的法規(guī)之間仍然存在不一致的問題。我國的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》出臺(tái)后,我國目前信息跨國流通控制的立法架構(gòu)已經(jīng)初步建立,但法律上仍有不少的信息規(guī)范體系沒有進(jìn)行完善,使得全國范圍內(nèi)跨境信息交易方面出現(xiàn)分歧。因此,在2014年實(shí)施的《數(shù)據(jù)安全法》中第三十一條明確允許符合安全評(píng)估標(biāo)準(zhǔn)的數(shù)據(jù)自由出境,但2014年實(shí)施的《人口健康信息管理辦法(試行)》并沒有修訂,第十條仍然明文限制了人口健康數(shù)據(jù)外流。

(二) 缺乏國際相關(guān)合作

我國到目前為止參與跨境數(shù)據(jù)流動(dòng)的國際規(guī)則制定較少,與外國政府在跨境數(shù)據(jù)保護(hù)方面缺乏合作。雖然我國已逐步適應(yīng)當(dāng)前跨境數(shù)據(jù)流動(dòng)監(jiān)管規(guī)則的國際發(fā)展趨勢,并參與許多跨境數(shù)據(jù)流動(dòng)制度方面的國際會(huì)議,但是參與數(shù)量仍然有限,目前尚無法建立與我國國情匹配的制度優(yōu)勢。同時(shí),與其他發(fā)達(dá)國家相比,我國在相關(guān)跨境數(shù)據(jù)流動(dòng)監(jiān)管國際規(guī)則的數(shù)量和程度上發(fā)言權(quán)相對(duì)較弱,在國際監(jiān)管協(xié)調(diào)方面的實(shí)質(zhì)性競爭力相對(duì)遜色。發(fā)達(dá)國家利用自身優(yōu)勢,通過制定各種法律法規(guī),削弱發(fā)展中國家對(duì)數(shù)字貿(mào)易協(xié)定跨境數(shù)據(jù)的相關(guān)權(quán)利,旨在數(shù)據(jù)跨境流動(dòng)監(jiān)管領(lǐng)域獲得主導(dǎo)權(quán),這種國際發(fā)展趨勢對(duì)于我國是比較不利的。

(三) 跨境數(shù)據(jù)流動(dòng)主體權(quán)利義務(wù)不明確

盡管我國目前實(shí)行的相關(guān)法律中規(guī)定了數(shù)據(jù)傳播的知情權(quán)、刪除權(quán)等,并制定了極具我國特色的自然人死亡后由其近親屬行使相關(guān)權(quán)力的條款,但是基于我對(duì)于跨境數(shù)據(jù)的監(jiān)管起步較晚,很多數(shù)據(jù)主權(quán)的內(nèi)容借鑒參考?xì)W盟GDPR得來,因而存在著不完善、不成熟的地方[6]。因而,在落實(shí)跨境數(shù)據(jù)流動(dòng)監(jiān)管的基礎(chǔ)上,對(duì)自然人個(gè)人賦權(quán)并且能夠及時(shí)運(yùn)用私法進(jìn)行救濟(jì),調(diào)動(dòng)社會(huì)對(duì)于跨境數(shù)據(jù)進(jìn)行監(jiān)督,并且規(guī)定剽竊個(gè)人信息應(yīng)承擔(dān)的相應(yīng)處罰義務(wù),確保我國跨境數(shù)據(jù)有序、合法地開展,是目前我國迫切明確和加強(qiáng)我國跨境數(shù)據(jù)主體權(quán)利的主要途徑。

三、我國數(shù)據(jù)跨境流動(dòng)監(jiān)管的策略

(一) 完善數(shù)據(jù)跨境流動(dòng)相關(guān)立法

我國擁有著全球最多的網(wǎng)民,數(shù)據(jù)的跨境和流動(dòng)總體規(guī)模相當(dāng)巨大,在國家立法制度上,我國關(guān)于個(gè)人隱私數(shù)據(jù)信息如何跨境和流動(dòng)問題的相關(guān)規(guī)則尚不成完整體系。立法應(yīng)著重確定個(gè)人數(shù)據(jù)保護(hù)權(quán)的具體內(nèi)涵及其法律基礎(chǔ)的各項(xiàng)權(quán)利與權(quán)責(zé),并將這些主要內(nèi)容及時(shí)妥善地融合應(yīng)用到相關(guān)立法中去,使我國立法制度在合理衡量人權(quán)保障和個(gè)人跨境數(shù)據(jù)流通之間體現(xiàn)的法治價(jià)值不偏不倚。我國應(yīng)修改或者完善國家其它法律中關(guān)于我國個(gè)人數(shù)據(jù)保護(hù)的條款,使新形成的專門保護(hù)法與現(xiàn)行部門法在個(gè)人數(shù)據(jù)規(guī)范層面可以充分互相配合溝通交流與協(xié)調(diào),在具體機(jī)構(gòu)的職能設(shè)置層次上,建立并支撐起機(jī)構(gòu)內(nèi)權(quán)責(zé)界限分明、功能分工職能明確的監(jiān)管體系。

(二) 積極尋求各方合作,打造聯(lián)合監(jiān)管同盟

從美國和歐盟各國的實(shí)際經(jīng)驗(yàn)可以看出,數(shù)據(jù)信息跨境流動(dòng)及監(jiān)管需要多國之間的良好協(xié)作相互配合。如美國致力于構(gòu)建經(jīng)貿(mào)領(lǐng)域數(shù)據(jù)跨境流動(dòng)規(guī)則,在APEC“跨境隱私保護(hù)規(guī)則”下形成區(qū)域數(shù)據(jù)自由流動(dòng)圈;歐盟以GDPR為基準(zhǔn),使各國的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)向其靠攏,并利用數(shù)據(jù)保護(hù)立法的先發(fā)優(yōu)勢。美和歐盟之間的在信息跨境管理上的自由貿(mào)易協(xié)定則更注重于對(duì)市場準(zhǔn)入信息的交換,而美歐安全港模式則代表著一種新的信息數(shù)據(jù)交換模式——數(shù)據(jù)目的國保證用自身標(biāo)準(zhǔn)保護(hù)了外國居民信息的數(shù)據(jù)安全,而作為回報(bào)來源美國則保證不對(duì)信息的跨境流動(dòng)范圍進(jìn)行限制,使得世界各國(地區(qū))之間正常的跨境信息交流實(shí)現(xiàn)了一個(gè)新高度,并在跨境信息管理方法上也采取了不同的管理手段。我國可以借鑒美國與歐盟的“安全港模式”,與世界其他重要經(jīng)濟(jì)伙伴建立類似于“安全港模式”的跨境數(shù)據(jù)合作模式,最大限度地降低因國內(nèi)法律不同而造成的彼此間貿(mào)易壁壘。對(duì)此提出框架建議,第一,對(duì)于跨國隱私數(shù)據(jù),通知?dú)W洲另一特定經(jīng)濟(jì)體成員或者國家安全局指定的相關(guān)公共專業(yè)機(jī)構(gòu)對(duì)跨國隱私數(shù)據(jù)執(zhí)法案件開展調(diào)查,并提供對(duì)應(yīng)歐盟GDPR,核實(shí)有關(guān)違法行為性質(zhì)及對(duì)個(gè)人權(quán)力造成的嚴(yán)重侵害。第二,建立合理有效合作的對(duì)話機(jī)制,在有關(guān)跨境隱私犯罪調(diào)查取證和案件執(zhí)行上加強(qiáng)與歐盟、美國等多個(gè)國家和地區(qū)間進(jìn)行法律信息共享。第三,建立針對(duì)隱私侵權(quán)執(zhí)法涉外案件的調(diào)查及協(xié)助處理機(jī)制,在國際事務(wù)上進(jìn)行跨部門多邊交流合作。

(三) 加強(qiáng)數(shù)據(jù)流動(dòng)主體權(quán)力

依據(jù)對(duì)于本國數(shù)據(jù)資源實(shí)際保障情況及對(duì)等政策,建立適合我國國情的白名單機(jī)制,將這些區(qū)域數(shù)據(jù)資源引入可合法自由對(duì)外數(shù)據(jù)流轉(zhuǎn)的相關(guān)發(fā)達(dá)國家與地方。例如,在美國CLOUD法案中的“適格外國政府”名單則明文規(guī)定可以促進(jìn)與其開展有關(guān)境外跨境數(shù)據(jù)信息自主傳播流動(dòng)執(zhí)行合作框架協(xié)議則應(yīng)當(dāng)符合有關(guān)法律、權(quán)利保護(hù)以及跨境信息數(shù)據(jù)保護(hù)實(shí)體的基本標(biāo)準(zhǔn)。若是傳輸個(gè)人隱私數(shù)字信息數(shù)據(jù)向白名單之外的各國,只要提前獲得信息數(shù)據(jù)控制者事先同意,數(shù)據(jù)信息資源就可以隨時(shí)跨境流動(dòng)。從當(dāng)前國內(nèi)企業(yè)實(shí)踐和結(jié)果反饋看,跨境數(shù)據(jù)信息數(shù)據(jù)充分性的保障安全措施主要因素包含具有約束力的一些大型集團(tuán)企業(yè)規(guī)則、標(biāo)準(zhǔn)合同應(yīng)用條款、事先經(jīng)管理層嚴(yán)格審批的認(rèn)證準(zhǔn)則機(jī)制等。國際標(biāo)準(zhǔn)合同條款應(yīng)按照國際標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)原則,由各政府部門牽頭制定,利用實(shí)際標(biāo)準(zhǔn)化合同制度體系來達(dá)到精準(zhǔn)控制各種數(shù)據(jù)出境問題。一旦國際標(biāo)準(zhǔn)合同條款在跨國數(shù)據(jù)控制者、數(shù)據(jù)分析者、數(shù)據(jù)處理者等主體間被使用,在沒有主管機(jī)關(guān)批準(zhǔn)的前提下,此類協(xié)議可依法獲準(zhǔn)開展合法有效的信息數(shù)據(jù)跨境流動(dòng),而無需在有關(guān)機(jī)關(guān)備案。我國已經(jīng)加入了RCEP體系,在推進(jìn)全球數(shù)字貿(mào)易服務(wù)新體系模式下,我國跨境貿(mào)易及數(shù)據(jù)信息服務(wù)新規(guī)則制度體系建設(shè)中,也已經(jīng)開始嘗試實(shí)現(xiàn)貿(mào)易與全球數(shù)字世界服務(wù)的接軌。