作者简介:薛亦飒,女,博士研究生,主要从事经济法研究。
文章来源:原文发表于《西北民族大学学报》2020年第6期,感谢作者授权推送。
目次
一、低效根源:安全至上理念为核心的保守制度
二、价值补阙:数据自由流动价值的重申
三、冲突化解:安全与自由价值的平衡
四、进路优化:多层次数据出境体系的构建
摘要
数据流动自由是跨境贸易自由化和便利化的前提。当前我国跨境传输立法重安全、轻效率,严重阻碍数据流动自由,有必要变革数据出境的实质性审查制度,代之以合同机制进行统一规范,通过强化事中事后规制,补充惩罚性赔偿举措敦促数据控制人防范数据泄露。为进一步提升数据出境效率,应将数据细分为商事数据、重要数据和侦查数据。商事数据的出境应以效率为导向,用标准合同机制予以规范;重要数据以安全为导向,经由国家间自由贸易协定实现数据共享;国际侦查数据应以合作为导向,设置克减条款满足紧急安全需要情况下的数据出境。
关键词
数据跨境流动;实质性审查制度;克减条款;信义义务;SCC条款
数据被誉为信息化时代的石油,顺丰与菜鸟、腾讯与华为、新浪微博与今日头条,境外的亚马逊与沃尔玛都曾为数据所有权归属展开争夺,甚至不惜对簿公堂。数据蕴含的经济价值毋庸置疑,而数据在全球范围内的流动则进一步释放了数据的经济价值,自2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资。推动数据自由流动,加强全球资源共享,早已成为世界各国的共识。
据美国商会(American chamber of commerce)统计,2019年有79%的美国跨国公司在中国因数据跨境传输障碍而导致成本升高。欧洲商会(European chamber of commerce)调查发现,有超过25%的在华欧盟跨国公司认为,由于他们面临向境外传输数据的困难,导致其生产力降低。此外,数据传输困难对中小企业的打击更致命,数据传输困难不仅提升了众多小企业的生产作业成本,减少其获得全球服务的机会,还扼杀了技术创新。更令人担忧的是,相比大数据交易所乏善可陈的交易额,国内黑灰产业规模更是达到千亿元级别,活跃的专业技术黑灰产业平台更是多达数百个。由于数据非法出境泛滥所引发的个人信息泄露造成的危害更无需赘述。这一系列现象直指我国数据跨境传输正常通道存在的障碍,致使数据正常跨境传输受阻,不得不转由地下数据传输链实现。规制数据跨境传输早已不是新鲜命题,经济合作与发展组织早在上世纪70年代就已提出,近年随着以互联网为引擎的数字经济在我国国民经济中所占比例的不断增大,提升数据跨境传输效率的重要性日益凸显。若制度环境不能促进数据传输体系良性发展,将会阻碍以数据为载体的电子贸易的增长,妨碍我国实现跨境贸易便利化的制度目标,进而阻碍优化营商环境的整体进程。本文以提升数据的自由流动价值为目标优化,以实现数据的安全与自由流动利益平衡为关键突破,建构多层次数据出境体系,进一步提升跨境数据传输制度的生命力。
一、低效根源:安全至上理念为核心的保守制度
当前我国规制数据跨境流动共有两部立法,一般法层面是2017年6月1日出台的《网络安全法》,部门规章层面是国家网络信息办公室2019年6月13日发布的《个人信息出境安全评估办法》(以下简称《办法》)。《网络安全法》第三十七条首次以法律的形式对个人数据跨境流动信息的种类和出境方式作出规定,明确了我国立法对数据跨境流动的基本态度面向:数据本地化为一般情况;数据出境为特殊例外,确需出境信息,需由企业上报网信部门,取得行政许可方可出境。相比《网络安全法》对跨境数据传输较为笼统概括的规定,《办法》则针对出境数据的范围、出境方式、信息主体的保护策略作出了更为明确的规定。《办法》共计22个条文,其中排除对有关专业术语的解释、兜底条款、立法宗旨,对数据出境作出实体及程序规范的条文一共有15条,其中有14条是关于如何保障信息主体权利的,共有11条是基于国家安全与公共利益需要对数据出境提出的规范性要求(国家安全保护和个人信息保护条文存在交叉重叠,一个条文中同时涵盖国家安全和个人信息保护)。
由此可见,国家安全(公共利益)与公民个体权利保护(个人信息权、隐私权等)构成了《办法》规范的全部内容,安全利益和公民个人权利保护是我国数据传输立法价值判断的核心。为了确保这两项价值的实现,《办法》将网信部门的批准作为个人数据出境的基本原则,具体包括:凡涉及数据出境,控制者需向省级网信部门申报个人信息安全评估;网信部门将组织专家对提交材料进行安全评估;将个人信息出境安全评估情况报国家网信部门;网络运营者年底将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门;省级网信部门定期组织检查个人信息出境情况,必要时组织控制者整改;国家监管机关有权要求网络运营者停止向外传输数据。不难看出,无论是事前的实质性审核制度,还是监管机构对数据出境暂停或终止的行政权限,均反映出我国立法对数据出境的严格管制程度,也从中折射出立法者“安全至上”的规制逻辑。
政府活动边界的过度扩张,造成的结果是国家利益至上,市场利益式微。信息应是政府有效提供和监管的全球公共物品,当国家限制信息自由流动时,它们就会缩小信息的获取范围,这不仅会降低本国的经济增长速度,影响生产力和创新能力,而且会削弱全球范围的经济增长。“凡出必审”的实质性审核模式和限制性规则的背后,是立法对数据自由流动的严格限制,必然造成数据出境速度和规模无法满足跨国公司和民营企业的交易需求。
二、价值补阙:数据自由流动价值的重申
如果法律是一副绘画,那么它的底色一定是自由权。数据自由流动的起点是对公民通讯自由权的保障。英国哲学家洛克认为,生命、自由、财产为天赋人权,应当被置于万法之上。这种权利中心论塑造了现代法律的内核。《世界人权宣言》也提出,“人人有主张及发展自由之权;这项权利包括主张不受干涉的自由,及经由任何办法不分国界以寻求、接受并传播消息之自由”。从权利中心论的角度而言,数据跨境自由流动不应受到过分限制。互联网经济的蓬勃发展发掘出数据流动的经济价值,自2008年以来,数据流动对全球经济增长的贡献已经远远超过传统跨国贸易和投资,为提高全球生产效率发挥了不可忽视的作用。研究表明,最近10年,数据流动使全球GDP贡献增长了10.1%,与连通性较低的经济体相比,连通性较高的经济体获得的收益最多高出40%。
以美国、欧盟为首的发达经济体均是数字经济模式的开拓者和受益者,回溯他们规制数据传输的立法脉络,无一例外都重视数据流动自由的重要性。美国政府将确保自由开放的互联网作为政策优先事项,将推动数据流动自由作为数字贸易产业政策的基石,美国是第一个在其贸易协定中纳入有关跨境信息流动规定的国家,也是第一个使用贸易政策来管理跨境信息流动的国家。早在1997年美国政府就推出全球电子商务框架(Framework for Global Electronic Commerce),支持跨越边境实现最大范围信息自由流动。为保障其数据能够充分自由流动,美国先后推动跨太平洋合作伙伴关系(TPP)、跨太平洋伙伴全面进展协定(CPTPP)、北美自由贸易协议(USMCA)、欧盟—美国安全港协议、欧盟—美国隐私盾协议、美国—韩国自由贸易协定、美国—日本自由贸易协定的签订,每一部自由贸易协定都专章约定数据在贸易区内的自由流动。欧盟2015年单一数字市场计划的目标之一便是发挥数字经济的增长潜力,通过欧洲的“数据自由流动计划”和“欧洲云计划”促进数据的自由流动。
尽管欧盟始终将保护个人隐私权置于整个权利体系和价值秩序的顶端,对数据流动的监管极为严格,并凭借《数据保护指令》(data protection directive, DPD)《一般数据保护法》(General data protection regulation, GDPR)《电子隐私法》(e-privacy regulation)构筑起一堵保护数据隐私的“围墙”,迄今为止,仅有11个国家能够满足欧盟隐私保护的要求,可以与欧盟进行不受约束的数据传输。然而,欧盟很快就意识到了过于严苛的数据保护将阻碍其继续受益于互联网经济的发展,对其企业后续的数据分析、补充、拓展和再利用造成明显障碍,其立法开始逐步回应日益频繁的跨境数据交易需求,欧盟的围墙正在逐步对数据自由流动开放。2001年欧盟引入标准合同条款(SCC),2008年引入公司约束性规则(binding corporate rule,简称BCR),便于欧盟境内的公司能够与不符合欧盟认定的11国名单以外的境外公司进行数据贸易。2018年5月25日起实施的GDPR向来以严格保护数据安全为立法主旨,被世界各国奉为数据保护制度的圭臬,其第一条第三款也言明:不得以个人数据处理相关的自然人为由,限制或禁止数据在欧盟境内的自由流动。2019年欧盟更是签署了历史上第一份有关数据跨境流动的自由贸易协定(Free data agreement,FDA),为便利区域内数据自由流动创造更大的空间。可见,即使是在数据保护严苛的欧盟,亦将数据自由流动视为数字经济产业发展的命脉,竭力为数据的自由流动创造制度空间。
如果我国立法者只关注数据安全价值,忽略数据自由流动对经济贸易发展的重要作用,一味实施严格的出境审核制度,将导致外国金融服务提供商或跨国公司无法进行整个公司的大数据分析,这些公司不得不将其在中国的业务与世界其他地区分开,这不仅增加成本,更阻碍了我国电子贸易自由化进程,错失数字经济时代数据充分流动、共享带来的产业升级、侧供给改革红利,最终妨碍我国在电子化贸易中获利。另外,即使按照当前的立法思路,将数据留存本地化也不能全然阻断网络黑客的威胁,近年来黑客袭击本地服务器的实例比比皆是,本地服务器更有可能形成数据孤岛(数据已经破坏则永久无法修复),反而会增加网络攻击对数据安全造成的破坏性影响。黑灰产业链的兴盛,从侧面印证了管制数据出境非但难以实现保护数据安全的初始目标,还会使公民个人数据被非法贩卖出境,增加公民信息泄露的风险。
数字全球化是不可逆的趋势,为避免我国在数字经济时代落伍,同时也为了解决我国当下所面临的数据黑灰产业链交易猖獗的现实问题(其根源就在于数据出境通道狭隘,企业对数据的需求不得不借由地下产业链实现),有必要革新当下过于保守的制度架构,探讨当前国家安全—公民权利保护这套二元价值论的科学性。1981年欧洲理事会通过的《与个人数据自动化处理有关的个人保护公约》第十二条规定,禁止成员国以特别许可的方式限制数据跨境转移,目的就是为了克服数据流动障碍。当前,欧盟和美国都适用了自由的数据流动政策,同时兼顾数据安全。立法价值选择在数据自由流动与数据安全之间无需做非此即彼的牺牲,可以“鱼与熊掌兼得”。我国立法应当摒弃绝对安全至上的价值导向,建立以“数据自由流动—国家安全—公民隐私安全”三元价值指导的新数据传输制度。
由此需进一步探讨的问题是,从立法模式和立法技术角度完善我国的跨境传输制度,实现数据的自由流动。确保数据的自由流动,绝不能以让渡安全利益为代价,要在保护方式、策略、配套机制方面进一步创新和完善,妥善解决数据自由流动与国家安全、企业利益、个人权利保护的矛盾。
三、冲突化解:安全与自由价值的平衡
梳理世界有关数据跨境流动的立法体系,大致可以分为两派:一是以美国为代表的自由流动范式;二是以欧盟为代表的数据保护体例。在选择域外立法模式时,应当借鉴与我国价值判断相似的经验,避免具体制度设计与上层价值导向不符。尽管数据自由流动的价值需要予以关注,但其价值显然不及国家安全、公民权利保护重要,在中国特色社会主义法治视角下,只有集体利益得到维护,才能捍卫个人权利。由此确立我国数据跨境传输立法的价值秩序,即国家安全第一,公民权利保护次之,数据自由流动保障居第三位。
美国以自由规范和市场力量为制度核心,将数据自由流动视为制度基础,显然与我国立法价值判断格格不入。欧盟的数据市场制度始终以个人权利保护为中心,逐步兼容数据流动,更契合我国立法的价值秩序和立法目标。
(一)数据自由流动与公民权利保护冲突的化解
数据的自由流动不可避免带来数据泄露的风险,将公民的隐私权、个人信息权置于被第三方损害的危险之下。我国对每一批出境数据进行严格的实质性审核(安全评估),确保数据控制人提供了充分的安全防护措施才能出境,在提高安全系数的同时,也降低了整体数据出境效率,无法满足大规模、成批次数据出境的需求。
为解决实质性审核的低效问题,欧盟于2001年和2004年推出两套标准合同条款(Standard contract clauses,下文简称SCC)。SCC是欧盟依照数据安全标准制定的官方格式条款,其条款能够确保数据主体得到充分保护。剖析SCC条款,它是数据控制人与境外数据接收人签订的、第三方数据主体权益保护合同,其实质是第三人利益合同。如果直接适用该格式条款,进行数据跨境传输的公司将无需欧洲数据保护机构审查、评估其数据传输风险,从而避免实质审核。
第一套SCC条款颁布于2001年,除了规定数据主体对数据享有删除权、知情权、访问权等基本数据权以外,关键的制度设计在于要求数据控制人与境外数据接收人对数据主体遭受的损失承担连带责任。数据跨境流动隐含的风险在于境外数据接收人不为本国司法所管辖,且可能出现数据接收人消失、破产等情形,这使得跨境传输数据主体面临的风险较一般境内数据传输更大。要求数据控制人为境外数据接收人造成的损害后果承担责任,实质上就是通过加重数据控制人责任,确保数据主体不会面临损失无法赔偿的局面,从而保护数据主体权利。
欧洲商会于2014年推出第二套SCC条款,2018年经由GDPR效力认定,同样作为官方授权使用的标准合同条款。与欧盟委员会(the council of the European union)作为官方数据保护机构不同,欧洲商会(European Union)是独立的第三方商事组织,因而其推出的第二套SCC条款更像是企业自律条款,也更能反映企业的真实需求。从第一套SCC到第二套SCC,制度严苛性的减弱主要体现在责任设置部分,第二套SCC条款第二款取消了数据控制人与境外接收人需承担连带责任,取而代之的是以数据控制人对数据主体的信义义务。信义义务范围界定为:数据控制人除了需要履行审慎保管、使用数据的义务外,还需对境外接收人进行尽职调查,调查内容包含境外接收人的财务状况、为数据提供保护的水平等。换言之,数据控制人需谨慎选择数据接收人,确保其能够履约且具有赔偿能力。除此以外,如果发生境外接收人侵权事件,数据主体无需直接向境外接收人主张,而有权请求数据控制人采取措施保护其数据,如果在30天内数据控制人没有采取行动,数据主体可起诉数据控制人渎职,数据控制人需证明自己无过错。
两套SCC条款都是通过加重数据控制人责任来保护数据主体的,不同之处在于:第一套通过事后的连带赔偿责任实现对数据主体的保护;第二套则是通过对事中数据控制人的义务规范来规避风险。另外,欧盟对数据控制人责任的追究不止通过私法路径,还通过欧洲数据保护机关对违反数据保护的企业处以巨额罚款,处罚金额的考量因素包括:违规的性质、严重性和持续时间、侵权的故意或过失特性、自然人或法人的责任程度,该人先前的违法行为、实施技术、组织措施、程序(作为保护数据的一部分)以及与监管机构的合作程度。欧盟委员会据此对数据控制人处以罚金,某些情况下可将罚款提高到公司全球收入的2%。
SCC条款的适用大大提高了欧盟的数据传输速度,补强了以充分性标准为核心的原有规制体系的实用性。SCC条款的成功实践,也让欧盟的立法者意识到,加强数据控制人的义务和责任是保护数据主体权利的可行路径。2018年欧盟GDPR进一步规定了数据处理者的责任,补强SCC规定:第一,GDPR要求数据控制方与数据接收方签订的合同中,必须包含处理时长(duration of processing);第二,涉及数据在欧盟境外的再传输(onward transfer),数据处理者必须通知数据控制者;第三,保密条款(confidentiality provision)要求数据处理者及其授权部门必须在数据处理过程中承担数据保密责任;第四,当数据主体行使GDPR赋予对数据控制权人的权利时,数据处理者有义务配合数据控制人;第五,数据处理者需配合数据控制人完成“数据保护影响力测试”(data protection impact assessment);第六,出现数据外泄(data breach),数据处理者有义务配合数据控制权人调查。由于政府无权对境外数据接收人进行规制,GDPR的有关要求同样需要落实到数据控制人与数据接收人签订的合同中,通过补充数据接收人的注意义务,由数据控制人确保接收人履行职责,以此进一步加强事前风险防范。
在大数据产业发展过程中不应忽略的是,以Facebook、GoogleAmazon为首的跨国企业巨头都逐步建立了自有数据跨境传输系统,满足企业内部业务需求。为进一步加快商事数据的传输,针对这部分对数据跨境传输有巨大需求的企业,欧盟对传输主体作了进一步区分。对于大型跨国企业,包括注册地在欧盟境内成员国、主要营业活动发生在欧盟境内成员国、有分支机构在欧盟境内成员国的,欧洲联盟第二十九条资料保护工作组(Article 29 Data Protection Working Party,下文简称第二十九条工作组)和国家数据保护专员推出公司约束性规则(Binding Corporate Rule,简称BCR)。获得BCR认证的公司,能为数据主体提供充分保护,能与数据监管机构良好合作,可以在BCR使用授权的有效期内,在公司内部或关联公司之间实施跨境数据传输自由。2018年BCR的效力获得了GDPR认可。BCR使用的关键在于获得本地数据保护机构的支持,对于跨成员国边境传输的公司,则需要获得涉及数据发送和接收的各个所在地数据保护机构的认证。例如,公司希望通过BCR实现德国和法国之间的数据传输自由,则需要同时得到法国、德国数据保护机构的认可。为了减少商事公司获得多地认可所花费的时间,2007年1月第二十九条工作组对授权审核流程进行了简化,采用“牵头监管机构”的方式,公司只需按照申请程序,将申请提交给牵头主管数据保护机构,无需再获得多地数据保护机构的许可。这一简化举措大大提升了BCR的使用效率。就本质而言,SCC条款是依照合同机制约束数据控制人与境外接收人的,而BCR条款则属于公司法范畴,是基于利益平衡对公司行为的指导和规制。可见,立足提升数据跨境传输效率的基本思路,以合同机制或公司法规制范式均可兼顾数据安全的制度价值。
(二)数据自由流动与国家安全冲突的化解
之所以要区分公民权利保护与国家安全,是因为涉及公民权利保护的数据完全可以由标准合同条款予以保障,而危及国家安全的数据则由于关涉利益重大,应当采取更为审慎保守的举措。当前重要数据全部本地化的“一刀切”举措是否妥当,是否存在涉及国家安全与公民安全的重要数据需要出境之例外情形,以往学界对欧盟数据保护法的研究局限于GDPR,以为GDPR是明确欧盟数据出境路径的唯一立法。事实上,紧随GDPR(2016/679号条例)之后,欧盟颁布了《2016/680号指令》(下文简称《指令》),其立法目的是为了保护处于境外的本国公民切身利益,防止对成员国或第三国公共安全造成直接或严重威胁,同时也为了刑事侦查需要进行的数据传输提供法律依据。这也表明,为保护紧急情形下的国家安全或公民切身利益,存在国家与国家之间破例共享数据的例外情形。欧盟《指令》通过第三十六条至三十八条规定,确立了例外情形下的数据出境制度。由于这类重要数据出境是为了与境外刑事侦查机关的合作,可以适用司法互助条约(Derogations Clauses,又称克减条款)。《指令》第三十八条对司法互助条款有清晰表述:如果为了保护数据主体或第三人的切身利益、或维护数据主体的合法利益、防止对成员国或第三国的公共安全造成直接和严重威胁,在缺少充分性保证且没有提供适当保障的情形下,依然可以进行跨境数据传输。
随着全球化的发展,很多网络作案也呈现全球化态势,如暗网交易、跨境电信诈骗、黑客组织袭击等,这些犯罪侵害的不仅是公民个体利益、企业利益,亦是对国家主权安全的侵犯。对于这类案件的处理,执法机构的跨境合作显得尤为重要,出于跨境合作需要而进行的数据传输也变得越来越频繁。我国数据传输制度之所以未涵盖刑事侦查,根源在于当前立法对于国家安全的认识局限,应当纳入国家安全范畴考量的行为不仅包括对特定人员的数据分析而干扰其职务行为、通过对特定人群数据分析进而引导、影响社会公众舆论等违法行为,还应当包括正向行为如开展跨境执法等,排除我国境外公民人身安全威胁的行为同样应纳入国家安全范畴。因而不能在涉及国家安全的问题上禁止所有的相关数据流动,必须为境内外执法工作所需数据传输共享活动提供法律文本依据。
第三十八条克减条款对数据输出门槛的放松有助于刑事侦查活动在紧急情况下开展数据共享。但其不足之处在于稍有不慎,该条款的滥用会打破欧盟苦心孤诣建设的严格数据体系,给出境数据安全带来风险。欧盟数据保护监督机构(EDPS)提出,应当进一步限制克减条款的适用范围:包括明确的授权;符合当事人的利益;获得当事人的同意;为防止严重而迫切的危险等。此外,较大规模的数据传输也不能依据《指令》第三十八条防范大规模信息泄露的风险,这会将该条款的适用导向另一处模糊地带,即多大规模的数据可以适用《指令》第三十八条。数字经济时代的数据价值本身来自数据的积聚,单个数据本身并不具备价值。寻求出境的数据一定具有规模性,如何确定可以适用第三十八条的数据规模是决定克减条款立法成败的关键,亟待欧盟立法解决。
四、进路优化:多层次数据出境体系的构建
现阶段我国立法对全部的数据类型(且大部分是商事数据)统一实施实质性审核,造成了数据出境低效的窠臼,就规则本源看,是限制性规则的泛滥与开放性规则的不足。对于任何国家,保障数据安全同时最大限度促进数据经济利益最大化,都是数据传输制度构筑的价值导向与核心内容。构建多层次数据出境体系,是依据数据风险的大小配置出境程序繁简不同的规则路径,引导立法对不同类型的数据出境方式进行贴切调适,避免单一行政审核模式由于行政程序过于繁琐降低数据出境效率,最终实现安全与自由价值兼得。
(一) 一般商事数据出境商事数据
主要应用于电子商务、服务外包、社交媒体业、电子数码媒体业等。商事数据出境是推动经济贸易全球化的基本要素,也是迫切需要自由流动的一类数据,其在整体出境数据中占有极大比例,美国和欧盟之间40%的数据流是商事数据。
一般商事数据并不涉及国家安全威胁,通过实质性审核程序显然不契合其数据出境“高需求、低风险”的特性。对于这部分数据的出境,应当由官方颁布能为数据主体提供充分保护的合同条款样本,确保只要公司采用该格式条款,就无需网信部门组织专家或技术力量进行安全评估便可直接出境,以提高商事数据出境效率。《办法》要求网络运营者与境外数据接收者签订的合同,要保障数据主体的知情权、删除权;在举证环节设置过错推定;在赔偿环节设置先行赔付制度。这一系列制度设计能够为信息主体权利保护提供基础性保障,已初步具备标准合同条款的要求,可直接吸纳到我国的标准合同条款中。不足之处是《办法》对数据控制人的追责机制基本空白,无法引导控制人审慎履行合同义务。数据较一般商品有其独特之处,由于数据泄露对数据主体造成极为严重的后果,可能损害数据主体的声誉、情感和社会地位。此外,数据控制人通过互联网手段将数据打散、重新组合,数据控制人如何处理、使用、分享数据,数据主体无从得知,相比数据控制人,数据主体处于极度弱势地位。数据在跨境传输中也不可避免许多无法预料的风险,一旦放开实质审查,就需要进一步规范数据控制人的责任和义务、提高违约成本,确保标准合同条款的有效性。
应当如何给数据控制人的责任定性,遭受侵权的数据主体可向其主张何种侵权责任,《办法》第十三条第三款规定:信息主体合法权益受到损害,可以自行向网络运营者或者接收者或者双方索赔,网络运营者或接收者应当予以赔偿,除非证明没有责任。为何对数据控制人课以先行赔付责任,这是基于公平原则保障弱势群体的“补偿”机制,也是基于数据控制人自身过错的损害赔偿机制。只有准确定性数据控制人责任,才能打击数据控制人规避责任的机会主义,提高其违法、违规传输数据的法律成本,实现立法对数据主体倾斜保护的制度目标。从法律内部逻辑分析,跨境数据传输中一共有三方主体,数据主体基于信赖将数据交付给数据控制人,由数据控制人传输给了境外接收者,数据接收人掌控数据的同时也增加了数据泄露的风险。换言之,境外接收人由于主观故意或过失导致数据泄露,这一隐患是数据控制人的传输行为导致的(如果没有数据控制人的传输行为,当然不会发生数据泄露),因而数据控制人存在风险传递与风险扩大化的嫌疑。跨境数据流动中的个体公民权利保护与一般信息保护的最大差异在于,数据接收人有很大可能是处于司法管辖范围之外,数据主体有更大概率陷入无法找到侵权人或者司法无法管辖的困境,这进一步加剧了数据主体与数据控制人之间力量的不平衡。如果不将跨境数据传输中控制人责任加重至平均水平以上,敦促其更加审慎履行跨境传输中的注意义务,将使数据主体无法信任其对数据的保护,加剧数据主体的不安,不利于双方善意信赖关系的建立,从长远来看无益于数据产业的发展。因此,立法设计应当基于数据主体天然弱势地位的考量,通过立法设计对双方权利(力)失衡进行矫正。无论从内部逻辑还是从外部必要性看,加重数据控制人责任都有助于遏制数据跨境传输中的数据泄露,是数据主体权利保护的必由之路。在我国的侵权责任体系中,连带责任是最严格的责任形式,如果立法明确对数据控制人与数据境外接收人课以连带责任,不仅为数据控制人的先行赔偿责任提供法理基础,更能起到敦促数据控制人审慎处理数据的最终目的。
(二)其他数据出境
1.重要数据
对于部分重要信息,尤其是大批量的个人信息出境,发生数据泄露等安全隐患较大,应当原则上禁止出境。在域外立法中,GDPR对犯罪、金融、科研、基因设置了更为严苛的出境标准。重要数据具体有哪些种类,现有立法尚未总结,但是可以参考既有立法要求数据本地化留存的数据类型(立法明确要求数据本地化可以从侧面印证该数据安全价值之大)。2011年中国人民银行下发银发(2011)17号《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,禁止离岸分析、处理或存储我国的个人金融信息;2013年我国颁布《征信业管理条例》,要求将所有关于中国公民的信用信息必须在境内进行处理和存储;2014年卫生和计划生育委员会出台了《人口健康信息管理办法(试行)》(国卫规划发〔2014〕24号),要求将健康和医疗信息存储在境内;2016年我国出台《网络安全法》,要求互联网和电信公司以及其他“关键信息基础设施”提供商将数据存储在境内服务器。基于我国立法已有规定,可以初步判定以下五类数据应当被重点关注:个人金融信息、个人征信报告、个人健康和医疗信息、保险业有关信息、互联网地图信息。对上述数据应当坚持数据本地化的一般原则,落实技术保护升级,确保数据安全,但不应忽略该类数据也具有适度流动的必要,如金融数据不公开就会降低整个金融体系的运转效率,助长金融垄断,而只有消除金融行业数据割裂和分散,才能实现金融效率最大化。在我国全面推行金融双向对外开放的形势下,确保金融数据安全、有秩序的跨境流动势在必行,因此不可要求重要数据的绝对本地化。对于金融数据出境,立法应延用实质性审核制度,确保数据的共享方和接收方对数据安全给予充分保障。
近年来,部分国家或地区之间通过签订双边或多边自由贸易协定(free trade agreement, FTA)推动数据安全、自由流动。2013年8月我国签署《多边税收征管互助公约》,承诺实施AEIO标准。AEIO标准是居民税收账户信息进行交换所依据的准则。这是我国政府层面通过签订公约实现区域内重要信息交互共享的首例。虽然我国目前签署的自由贸易协定内容尚未涉及数据跨境(不设限的)自由流动,但是2017年我国与智利签署的《中华人民共和国政府与智利共和国政府关于修订〈自由贸易协定〉及〈自由贸易协定关于服务贸易的补充协定〉的议定书》首次将电子商务的跨境业务纳入其中。2018年9月我国与澳大利亚签署《中澳自由贸易协定》,规定中澳之间电子传输免收关税,同时中国还是区域全面经济伙伴关系协定(regional economic comprehensive economic partnership negotiations)的成员国。借由自由贸易协定的形式,通过政府谈判约定双方重要数据互通,由政府信用背书,可以确保重要信息在具备充足保护的前提下流动和共享。
2.侦查数据
立法应当正视国际刑事侦查合作、打击跨国犯罪、解决突发性安全事件、应对一国境外居民的安全威胁,随着我国与境外电子化贸易的深入,也出现他国公民个人数据遭遇我国数据接收人侵权等犯罪案件。数据跨境制度需要针对例外情形设置特许出境制度,允许监管机构之间进行紧急数据传输。如果我国立法对这类情形视若无睹,或实施非公开透明的执法策略,不利于我国刑事司法活动与国际对接,更遑论开展国际执法合作。立法应当考虑单一民事数据出境渠道的不足,设置跨境执法所需的数据交换路径,尤其是快速传输路径(克减条款),确保这类可能侵犯公民隐私甚至事关国家安全的数据能够及时与监管当局共享。同时需防范克减条款的滥用,上文提到欧盟《指令》第三十八条克减条款在适用中遇到了困境,即EDPS无法确定何种体量的数据可以适用克减条款,即使辅助以其他判断要件,如情况的紧急性等,但本质上能否适用该条款依旧取决于执法机关的自由裁量权,因此我国在批判借鉴欧盟克减条款之时,应限制执法机关自由裁量权的范围,相比采用比例原则或解释性原则等模糊抽象的判断标准,更具有实际操作性的举措是对适用的执法机关实施再监管,通过设置双层监管机制,规避单一监管者滥用、不恰当适用克减条款的弊端,将处置责任分散到两层监管者身上,实现监管者之间相互监督,正确适用克减条款。
所谓“法因时而进”,指立法应当回应经济发展与风险防范交织下的制度革新需求,通过建设多层次数据出境体系,为商事数据的出境拓宽渠道,发挥数据的经济价值;同时保障重要数据的本地化,通过政府间签订的自由贸易协定等安全路径,实现重要数据安全利益与自由流动利益的平衡。之所以将侦查数据单列为一类,意在突出以侦查数据为代表的国际合作所需的数据共享之潜在需求,借鉴欧盟克减条款的立法样本,引入双层监管制度破解其在实践中的适用困境,扬长避短,最终通过构建多层次数据出境体系,实现数据自由流动与国家安全及公民个人权利保护的平衡。
免责声明:
上文内容仅供天风证券股份有限公司(以下简称“本公司”)的客户使用。本公司不会因为任何机构或个人接收到上文而视其为本公司的当然客户。上文基于已公开的资料或信息撰写,但本公司不保证该等信息及资料的完整性、准确性。客户不应将上文为作出其投资决策的唯一参考因素,亦不应认为上文可以取代客户自身的投资判断与决策。客户应自主作出投资决策并自行承担投资风险。在任何情况下,上文中的信息或所表述的意见均不构成对任何人的投资建议。在任何情况下,本公司不对任何人因使用本文中的任何内容所引致的任何损失负任何责任。市场有风险,投资需谨慎。
作者简介:薛亦飒,女,博士研究生,主要从事经济法研究。
文章来源:原文发表于《西北民族大学学报》2020年第6期,感谢作者授权推送。
目次
一、低效根源:安全至上理念为核心的保守制度
二、价值补阙:数据自由流动价值的重申
三、冲突化解:安全与自由价值的平衡
四、进路优化:多层次数据出境体系的构建
摘要
数据流动自由是跨境贸易自由化和便利化的前提。当前我国跨境传输立法重安全、轻效率,严重阻碍数据流动自由,有必要变革数据出境的实质性审查制度,代之以合同机制进行统一规范,通过强化事中事后规制,补充惩罚性赔偿举措敦促数据控制人防范数据泄露。为进一步提升数据出境效率,应将数据细分为商事数据、重要数据和侦查数据。商事数据的出境应以效率为导向,用标准合同机制予以规范;重要数据以安全为导向,经由国家间自由贸易协定实现数据共享;国际侦查数据应以合作为导向,设置克减条款满足紧急安全需要情况下的数据出境。
关键词
数据跨境流动;实质性审查制度;克减条款;信义义务;SCC条款
数据被誉为信息化时代的石油,顺丰与菜鸟、腾讯与华为、新浪微博与今日头条,境外的亚马逊与沃尔玛都曾为数据所有权归属展开争夺,甚至不惜对簿公堂。数据蕴含的经济价值毋庸置疑,而数据在全球范围内的流动则进一步释放了数据的经济价值,自2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资。推动数据自由流动,加强全球资源共享,早已成为世界各国的共识。
据美国商会(American chamber of commerce)统计,2019年有79%的美国跨国公司在中国因数据跨境传输障碍而导致成本升高。欧洲商会(European chamber of commerce)调查发现,有超过25%的在华欧盟跨国公司认为,由于他们面临向境外传输数据的困难,导致其生产力降低。此外,数据传输困难对中小企业的打击更致命,数据传输困难不仅提升了众多小企业的生产作业成本,减少其获得全球服务的机会,还扼杀了技术创新。更令人担忧的是,相比大数据交易所乏善可陈的交易额,国内黑灰产业规模更是达到千亿元级别,活跃的专业技术黑灰产业平台更是多达数百个。由于数据非法出境泛滥所引发的个人信息泄露造成的危害更无需赘述。这一系列现象直指我国数据跨境传输正常通道存在的障碍,致使数据正常跨境传输受阻,不得不转由地下数据传输链实现。规制数据跨境传输早已不是新鲜命题,经济合作与发展组织早在上世纪70年代就已提出,近年随着以互联网为引擎的数字经济在我国国民经济中所占比例的不断增大,提升数据跨境传输效率的重要性日益凸显。若制度环境不能促进数据传输体系良性发展,将会阻碍以数据为载体的电子贸易的增长,妨碍我国实现跨境贸易便利化的制度目标,进而阻碍优化营商环境的整体进程。本文以提升数据的自由流动价值为目标优化,以实现数据的安全与自由流动利益平衡为关键突破,建构多层次数据出境体系,进一步提升跨境数据传输制度的生命力。
一、低效根源:安全至上理念为核心的保守制度
当前我国规制数据跨境流动共有两部立法,一般法层面是2017年6月1日出台的《网络安全法》,部门规章层面是国家网络信息办公室2019年6月13日发布的《个人信息出境安全评估办法》(以下简称《办法》)。《网络安全法》第三十七条首次以法律的形式对个人数据跨境流动信息的种类和出境方式作出规定,明确了我国立法对数据跨境流动的基本态度面向:数据本地化为一般情况;数据出境为特殊例外,确需出境信息,需由企业上报网信部门,取得行政许可方可出境。相比《网络安全法》对跨境数据传输较为笼统概括的规定,《办法》则针对出境数据的范围、出境方式、信息主体的保护策略作出了更为明确的规定。《办法》共计22个条文,其中排除对有关专业术语的解释、兜底条款、立法宗旨,对数据出境作出实体及程序规范的条文一共有15条,其中有14条是关于如何保障信息主体权利的,共有11条是基于国家安全与公共利益需要对数据出境提出的规范性要求(国家安全保护和个人信息保护条文存在交叉重叠,一个条文中同时涵盖国家安全和个人信息保护)。
由此可见,国家安全(公共利益)与公民个体权利保护(个人信息权、隐私权等)构成了《办法》规范的全部内容,安全利益和公民个人权利保护是我国数据传输立法价值判断的核心。为了确保这两项价值的实现,《办法》将网信部门的批准作为个人数据出境的基本原则,具体包括:凡涉及数据出境,控制者需向省级网信部门申报个人信息安全评估;网信部门将组织专家对提交材料进行安全评估;将个人信息出境安全评估情况报国家网信部门;网络运营者年底将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门;省级网信部门定期组织检查个人信息出境情况,必要时组织控制者整改;国家监管机关有权要求网络运营者停止向外传输数据。不难看出,无论是事前的实质性审核制度,还是监管机构对数据出境暂停或终止的行政权限,均反映出我国立法对数据出境的严格管制程度,也从中折射出立法者“安全至上”的规制逻辑。
政府活动边界的过度扩张,造成的结果是国家利益至上,市场利益式微。信息应是政府有效提供和监管的全球公共物品,当国家限制信息自由流动时,它们就会缩小信息的获取范围,这不仅会降低本国的经济增长速度,影响生产力和创新能力,而且会削弱全球范围的经济增长。“凡出必审”的实质性审核模式和限制性规则的背后,是立法对数据自由流动的严格限制,必然造成数据出境速度和规模无法满足跨国公司和民营企业的交易需求。
二、价值补阙:数据自由流动价值的重申
如果法律是一副绘画,那么它的底色一定是自由权。数据自由流动的起点是对公民通讯自由权的保障。英国哲学家洛克认为,生命、自由、财产为天赋人权,应当被置于万法之上。这种权利中心论塑造了现代法律的内核。《世界人权宣言》也提出,“人人有主张及发展自由之权;这项权利包括主张不受干涉的自由,及经由任何办法不分国界以寻求、接受并传播消息之自由”。从权利中心论的角度而言,数据跨境自由流动不应受到过分限制。互联网经济的蓬勃发展发掘出数据流动的经济价值,自2008年以来,数据流动对全球经济增长的贡献已经远远超过传统跨国贸易和投资,为提高全球生产效率发挥了不可忽视的作用。研究表明,最近10年,数据流动使全球GDP贡献增长了10.1%,与连通性较低的经济体相比,连通性较高的经济体获得的收益最多高出40%。
以美国、欧盟为首的发达经济体均是数字经济模式的开拓者和受益者,回溯他们规制数据传输的立法脉络,无一例外都重视数据流动自由的重要性。美国政府将确保自由开放的互联网作为政策优先事项,将推动数据流动自由作为数字贸易产业政策的基石,美国是第一个在其贸易协定中纳入有关跨境信息流动规定的国家,也是第一个使用贸易政策来管理跨境信息流动的国家。早在1997年美国政府就推出全球电子商务框架(Framework for Global Electronic Commerce),支持跨越边境实现最大范围信息自由流动。为保障其数据能够充分自由流动,美国先后推动跨太平洋合作伙伴关系(TPP)、跨太平洋伙伴全面进展协定(CPTPP)、北美自由贸易协议(USMCA)、欧盟—美国安全港协议、欧盟—美国隐私盾协议、美国—韩国自由贸易协定、美国—日本自由贸易协定的签订,每一部自由贸易协定都专章约定数据在贸易区内的自由流动。欧盟2015年单一数字市场计划的目标之一便是发挥数字经济的增长潜力,通过欧洲的“数据自由流动计划”和“欧洲云计划”促进数据的自由流动。
尽管欧盟始终将保护个人隐私权置于整个权利体系和价值秩序的顶端,对数据流动的监管极为严格,并凭借《数据保护指令》(data protection directive, DPD)《一般数据保护法》(General data protection regulation, GDPR)《电子隐私法》(e-privacy regulation)构筑起一堵保护数据隐私的“围墙”,迄今为止,仅有11个国家能够满足欧盟隐私保护的要求,可以与欧盟进行不受约束的数据传输。然而,欧盟很快就意识到了过于严苛的数据保护将阻碍其继续受益于互联网经济的发展,对其企业后续的数据分析、补充、拓展和再利用造成明显障碍,其立法开始逐步回应日益频繁的跨境数据交易需求,欧盟的围墙正在逐步对数据自由流动开放。2001年欧盟引入标准合同条款(SCC),2008年引入公司约束性规则(binding corporate rule,简称BCR),便于欧盟境内的公司能够与不符合欧盟认定的11国名单以外的境外公司进行数据贸易。2018年5月25日起实施的GDPR向来以严格保护数据安全为立法主旨,被世界各国奉为数据保护制度的圭臬,其第一条第三款也言明:不得以个人数据处理相关的自然人为由,限制或禁止数据在欧盟境内的自由流动。2019年欧盟更是签署了历史上第一份有关数据跨境流动的自由贸易协定(Free data agreement,FDA),为便利区域内数据自由流动创造更大的空间。可见,即使是在数据保护严苛的欧盟,亦将数据自由流动视为数字经济产业发展的命脉,竭力为数据的自由流动创造制度空间。
如果我国立法者只关注数据安全价值,忽略数据自由流动对经济贸易发展的重要作用,一味实施严格的出境审核制度,将导致外国金融服务提供商或跨国公司无法进行整个公司的大数据分析,这些公司不得不将其在中国的业务与世界其他地区分开,这不仅增加成本,更阻碍了我国电子贸易自由化进程,错失数字经济时代数据充分流动、共享带来的产业升级、侧供给改革红利,最终妨碍我国在电子化贸易中获利。另外,即使按照当前的立法思路,将数据留存本地化也不能全然阻断网络黑客的威胁,近年来黑客袭击本地服务器的实例比比皆是,本地服务器更有可能形成数据孤岛(数据已经破坏则永久无法修复),反而会增加网络攻击对数据安全造成的破坏性影响。黑灰产业链的兴盛,从侧面印证了管制数据出境非但难以实现保护数据安全的初始目标,还会使公民个人数据被非法贩卖出境,增加公民信息泄露的风险。
数字全球化是不可逆的趋势,为避免我国在数字经济时代落伍,同时也为了解决我国当下所面临的数据黑灰产业链交易猖獗的现实问题(其根源就在于数据出境通道狭隘,企业对数据的需求不得不借由地下产业链实现),有必要革新当下过于保守的制度架构,探讨当前国家安全—公民权利保护这套二元价值论的科学性。1981年欧洲理事会通过的《与个人数据自动化处理有关的个人保护公约》第十二条规定,禁止成员国以特别许可的方式限制数据跨境转移,目的就是为了克服数据流动障碍。当前,欧盟和美国都适用了自由的数据流动政策,同时兼顾数据安全。立法价值选择在数据自由流动与数据安全之间无需做非此即彼的牺牲,可以“鱼与熊掌兼得”。我国立法应当摒弃绝对安全至上的价值导向,建立以“数据自由流动—国家安全—公民隐私安全”三元价值指导的新数据传输制度。
由此需进一步探讨的问题是,从立法模式和立法技术角度完善我国的跨境传输制度,实现数据的自由流动。确保数据的自由流动,绝不能以让渡安全利益为代价,要在保护方式、策略、配套机制方面进一步创新和完善,妥善解决数据自由流动与国家安全、企业利益、个人权利保护的矛盾。
三、冲突化解:安全与自由价值的平衡
梳理世界有关数据跨境流动的立法体系,大致可以分为两派:一是以美国为代表的自由流动范式;二是以欧盟为代表的数据保护体例。在选择域外立法模式时,应当借鉴与我国价值判断相似的经验,避免具体制度设计与上层价值导向不符。尽管数据自由流动的价值需要予以关注,但其价值显然不及国家安全、公民权利保护重要,在中国特色社会主义法治视角下,只有集体利益得到维护,才能捍卫个人权利。由此确立我国数据跨境传输立法的价值秩序,即国家安全第一,公民权利保护次之,数据自由流动保障居第三位。
美国以自由规范和市场力量为制度核心,将数据自由流动视为制度基础,显然与我国立法价值判断格格不入。欧盟的数据市场制度始终以个人权利保护为中心,逐步兼容数据流动,更契合我国立法的价值秩序和立法目标。
(一)数据自由流动与公民权利保护冲突的化解
数据的自由流动不可避免带来数据泄露的风险,将公民的隐私权、个人信息权置于被第三方损害的危险之下。我国对每一批出境数据进行严格的实质性审核(安全评估),确保数据控制人提供了充分的安全防护措施才能出境,在提高安全系数的同时,也降低了整体数据出境效率,无法满足大规模、成批次数据出境的需求。
为解决实质性审核的低效问题,欧盟于2001年和2004年推出两套标准合同条款(Standard contract clauses,下文简称SCC)。SCC是欧盟依照数据安全标准制定的官方格式条款,其条款能够确保数据主体得到充分保护。剖析SCC条款,它是数据控制人与境外数据接收人签订的、第三方数据主体权益保护合同,其实质是第三人利益合同。如果直接适用该格式条款,进行数据跨境传输的公司将无需欧洲数据保护机构审查、评估其数据传输风险,从而避免实质审核。
第一套SCC条款颁布于2001年,除了规定数据主体对数据享有删除权、知情权、访问权等基本数据权以外,关键的制度设计在于要求数据控制人与境外数据接收人对数据主体遭受的损失承担连带责任。数据跨境流动隐含的风险在于境外数据接收人不为本国司法所管辖,且可能出现数据接收人消失、破产等情形,这使得跨境传输数据主体面临的风险较一般境内数据传输更大。要求数据控制人为境外数据接收人造成的损害后果承担责任,实质上就是通过加重数据控制人责任,确保数据主体不会面临损失无法赔偿的局面,从而保护数据主体权利。
欧洲商会于2014年推出第二套SCC条款,2018年经由GDPR效力认定,同样作为官方授权使用的标准合同条款。与欧盟委员会(the council of the European union)作为官方数据保护机构不同,欧洲商会(European Union)是独立的第三方商事组织,因而其推出的第二套SCC条款更像是企业自律条款,也更能反映企业的真实需求。从第一套SCC到第二套SCC,制度严苛性的减弱主要体现在责任设置部分,第二套SCC条款第二款取消了数据控制人与境外接收人需承担连带责任,取而代之的是以数据控制人对数据主体的信义义务。信义义务范围界定为:数据控制人除了需要履行审慎保管、使用数据的义务外,还需对境外接收人进行尽职调查,调查内容包含境外接收人的财务状况、为数据提供保护的水平等。换言之,数据控制人需谨慎选择数据接收人,确保其能够履约且具有赔偿能力。除此以外,如果发生境外接收人侵权事件,数据主体无需直接向境外接收人主张,而有权请求数据控制人采取措施保护其数据,如果在30天内数据控制人没有采取行动,数据主体可起诉数据控制人渎职,数据控制人需证明自己无过错。
两套SCC条款都是通过加重数据控制人责任来保护数据主体的,不同之处在于:第一套通过事后的连带赔偿责任实现对数据主体的保护;第二套则是通过对事中数据控制人的义务规范来规避风险。另外,欧盟对数据控制人责任的追究不止通过私法路径,还通过欧洲数据保护机关对违反数据保护的企业处以巨额罚款,处罚金额的考量因素包括:违规的性质、严重性和持续时间、侵权的故意或过失特性、自然人或法人的责任程度,该人先前的违法行为、实施技术、组织措施、程序(作为保护数据的一部分)以及与监管机构的合作程度。欧盟委员会据此对数据控制人处以罚金,某些情况下可将罚款提高到公司全球收入的2%。
SCC条款的适用大大提高了欧盟的数据传输速度,补强了以充分性标准为核心的原有规制体系的实用性。SCC条款的成功实践,也让欧盟的立法者意识到,加强数据控制人的义务和责任是保护数据主体权利的可行路径。2018年欧盟GDPR进一步规定了数据处理者的责任,补强SCC规定:第一,GDPR要求数据控制方与数据接收方签订的合同中,必须包含处理时长(duration of processing);第二,涉及数据在欧盟境外的再传输(onward transfer),数据处理者必须通知数据控制者;第三,保密条款(confidentiality provision)要求数据处理者及其授权部门必须在数据处理过程中承担数据保密责任;第四,当数据主体行使GDPR赋予对数据控制权人的权利时,数据处理者有义务配合数据控制人;第五,数据处理者需配合数据控制人完成“数据保护影响力测试”(data protection impact assessment);第六,出现数据外泄(data breach),数据处理者有义务配合数据控制权人调查。由于政府无权对境外数据接收人进行规制,GDPR的有关要求同样需要落实到数据控制人与数据接收人签订的合同中,通过补充数据接收人的注意义务,由数据控制人确保接收人履行职责,以此进一步加强事前风险防范。
在大数据产业发展过程中不应忽略的是,以Facebook、GoogleAmazon为首的跨国企业巨头都逐步建立了自有数据跨境传输系统,满足企业内部业务需求。为进一步加快商事数据的传输,针对这部分对数据跨境传输有巨大需求的企业,欧盟对传输主体作了进一步区分。对于大型跨国企业,包括注册地在欧盟境内成员国、主要营业活动发生在欧盟境内成员国、有分支机构在欧盟境内成员国的,欧洲联盟第二十九条资料保护工作组(Article 29 Data Protection Working Party,下文简称第二十九条工作组)和国家数据保护专员推出公司约束性规则(Binding Corporate Rule,简称BCR)。获得BCR认证的公司,能为数据主体提供充分保护,能与数据监管机构良好合作,可以在BCR使用授权的有效期内,在公司内部或关联公司之间实施跨境数据传输自由。2018年BCR的效力获得了GDPR认可。BCR使用的关键在于获得本地数据保护机构的支持,对于跨成员国边境传输的公司,则需要获得涉及数据发送和接收的各个所在地数据保护机构的认证。例如,公司希望通过BCR实现德国和法国之间的数据传输自由,则需要同时得到法国、德国数据保护机构的认可。为了减少商事公司获得多地认可所花费的时间,2007年1月第二十九条工作组对授权审核流程进行了简化,采用“牵头监管机构”的方式,公司只需按照申请程序,将申请提交给牵头主管数据保护机构,无需再获得多地数据保护机构的许可。这一简化举措大大提升了BCR的使用效率。就本质而言,SCC条款是依照合同机制约束数据控制人与境外接收人的,而BCR条款则属于公司法范畴,是基于利益平衡对公司行为的指导和规制。可见,立足提升数据跨境传输效率的基本思路,以合同机制或公司法规制范式均可兼顾数据安全的制度价值。
(二)数据自由流动与国家安全冲突的化解
之所以要区分公民权利保护与国家安全,是因为涉及公民权利保护的数据完全可以由标准合同条款予以保障,而危及国家安全的数据则由于关涉利益重大,应当采取更为审慎保守的举措。当前重要数据全部本地化的“一刀切”举措是否妥当,是否存在涉及国家安全与公民安全的重要数据需要出境之例外情形,以往学界对欧盟数据保护法的研究局限于GDPR,以为GDPR是明确欧盟数据出境路径的唯一立法。事实上,紧随GDPR(2016/679号条例)之后,欧盟颁布了《2016/680号指令》(下文简称《指令》),其立法目的是为了保护处于境外的本国公民切身利益,防止对成员国或第三国公共安全造成直接或严重威胁,同时也为了刑事侦查需要进行的数据传输提供法律依据。这也表明,为保护紧急情形下的国家安全或公民切身利益,存在国家与国家之间破例共享数据的例外情形。欧盟《指令》通过第三十六条至三十八条规定,确立了例外情形下的数据出境制度。由于这类重要数据出境是为了与境外刑事侦查机关的合作,可以适用司法互助条约(Derogations Clauses,又称克减条款)。《指令》第三十八条对司法互助条款有清晰表述:如果为了保护数据主体或第三人的切身利益、或维护数据主体的合法利益、防止对成员国或第三国的公共安全造成直接和严重威胁,在缺少充分性保证且没有提供适当保障的情形下,依然可以进行跨境数据传输。
随着全球化的发展,很多网络作案也呈现全球化态势,如暗网交易、跨境电信诈骗、黑客组织袭击等,这些犯罪侵害的不仅是公民个体利益、企业利益,亦是对国家主权安全的侵犯。对于这类案件的处理,执法机构的跨境合作显得尤为重要,出于跨境合作需要而进行的数据传输也变得越来越频繁。我国数据传输制度之所以未涵盖刑事侦查,根源在于当前立法对于国家安全的认识局限,应当纳入国家安全范畴考量的行为不仅包括对特定人员的数据分析而干扰其职务行为、通过对特定人群数据分析进而引导、影响社会公众舆论等违法行为,还应当包括正向行为如开展跨境执法等,排除我国境外公民人身安全威胁的行为同样应纳入国家安全范畴。因而不能在涉及国家安全的问题上禁止所有的相关数据流动,必须为境内外执法工作所需数据传输共享活动提供法律文本依据。
第三十八条克减条款对数据输出门槛的放松有助于刑事侦查活动在紧急情况下开展数据共享。但其不足之处在于稍有不慎,该条款的滥用会打破欧盟苦心孤诣建设的严格数据体系,给出境数据安全带来风险。欧盟数据保护监督机构(EDPS)提出,应当进一步限制克减条款的适用范围:包括明确的授权;符合当事人的利益;获得当事人的同意;为防止严重而迫切的危险等。此外,较大规模的数据传输也不能依据《指令》第三十八条防范大规模信息泄露的风险,这会将该条款的适用导向另一处模糊地带,即多大规模的数据可以适用《指令》第三十八条。数字经济时代的数据价值本身来自数据的积聚,单个数据本身并不具备价值。寻求出境的数据一定具有规模性,如何确定可以适用第三十八条的数据规模是决定克减条款立法成败的关键,亟待欧盟立法解决。
四、进路优化:多层次数据出境体系的构建
现阶段我国立法对全部的数据类型(且大部分是商事数据)统一实施实质性审核,造成了数据出境低效的窠臼,就规则本源看,是限制性规则的泛滥与开放性规则的不足。对于任何国家,保障数据安全同时最大限度促进数据经济利益最大化,都是数据传输制度构筑的价值导向与核心内容。构建多层次数据出境体系,是依据数据风险的大小配置出境程序繁简不同的规则路径,引导立法对不同类型的数据出境方式进行贴切调适,避免单一行政审核模式由于行政程序过于繁琐降低数据出境效率,最终实现安全与自由价值兼得。
(一) 一般商事数据出境商事数据
主要应用于电子商务、服务外包、社交媒体业、电子数码媒体业等。商事数据出境是推动经济贸易全球化的基本要素,也是迫切需要自由流动的一类数据,其在整体出境数据中占有极大比例,美国和欧盟之间40%的数据流是商事数据。
一般商事数据并不涉及国家安全威胁,通过实质性审核程序显然不契合其数据出境“高需求、低风险”的特性。对于这部分数据的出境,应当由官方颁布能为数据主体提供充分保护的合同条款样本,确保只要公司采用该格式条款,就无需网信部门组织专家或技术力量进行安全评估便可直接出境,以提高商事数据出境效率。《办法》要求网络运营者与境外数据接收者签订的合同,要保障数据主体的知情权、删除权;在举证环节设置过错推定;在赔偿环节设置先行赔付制度。这一系列制度设计能够为信息主体权利保护提供基础性保障,已初步具备标准合同条款的要求,可直接吸纳到我国的标准合同条款中。不足之处是《办法》对数据控制人的追责机制基本空白,无法引导控制人审慎履行合同义务。数据较一般商品有其独特之处,由于数据泄露对数据主体造成极为严重的后果,可能损害数据主体的声誉、情感和社会地位。此外,数据控制人通过互联网手段将数据打散、重新组合,数据控制人如何处理、使用、分享数据,数据主体无从得知,相比数据控制人,数据主体处于极度弱势地位。数据在跨境传输中也不可避免许多无法预料的风险,一旦放开实质审查,就需要进一步规范数据控制人的责任和义务、提高违约成本,确保标准合同条款的有效性。
应当如何给数据控制人的责任定性,遭受侵权的数据主体可向其主张何种侵权责任,《办法》第十三条第三款规定:信息主体合法权益受到损害,可以自行向网络运营者或者接收者或者双方索赔,网络运营者或接收者应当予以赔偿,除非证明没有责任。为何对数据控制人课以先行赔付责任,这是基于公平原则保障弱势群体的“补偿”机制,也是基于数据控制人自身过错的损害赔偿机制。只有准确定性数据控制人责任,才能打击数据控制人规避责任的机会主义,提高其违法、违规传输数据的法律成本,实现立法对数据主体倾斜保护的制度目标。从法律内部逻辑分析,跨境数据传输中一共有三方主体,数据主体基于信赖将数据交付给数据控制人,由数据控制人传输给了境外接收者,数据接收人掌控数据的同时也增加了数据泄露的风险。换言之,境外接收人由于主观故意或过失导致数据泄露,这一隐患是数据控制人的传输行为导致的(如果没有数据控制人的传输行为,当然不会发生数据泄露),因而数据控制人存在风险传递与风险扩大化的嫌疑。跨境数据流动中的个体公民权利保护与一般信息保护的最大差异在于,数据接收人有很大可能是处于司法管辖范围之外,数据主体有更大概率陷入无法找到侵权人或者司法无法管辖的困境,这进一步加剧了数据主体与数据控制人之间力量的不平衡。如果不将跨境数据传输中控制人责任加重至平均水平以上,敦促其更加审慎履行跨境传输中的注意义务,将使数据主体无法信任其对数据的保护,加剧数据主体的不安,不利于双方善意信赖关系的建立,从长远来看无益于数据产业的发展。因此,立法设计应当基于数据主体天然弱势地位的考量,通过立法设计对双方权利(力)失衡进行矫正。无论从内部逻辑还是从外部必要性看,加重数据控制人责任都有助于遏制数据跨境传输中的数据泄露,是数据主体权利保护的必由之路。在我国的侵权责任体系中,连带责任是最严格的责任形式,如果立法明确对数据控制人与数据境外接收人课以连带责任,不仅为数据控制人的先行赔偿责任提供法理基础,更能起到敦促数据控制人审慎处理数据的最终目的。
(二)其他数据出境
1.重要数据
对于部分重要信息,尤其是大批量的个人信息出境,发生数据泄露等安全隐患较大,应当原则上禁止出境。在域外立法中,GDPR对犯罪、金融、科研、基因设置了更为严苛的出境标准。重要数据具体有哪些种类,现有立法尚未总结,但是可以参考既有立法要求数据本地化留存的数据类型(立法明确要求数据本地化可以从侧面印证该数据安全价值之大)。2011年中国人民银行下发银发(2011)17号《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,禁止离岸分析、处理或存储我国的个人金融信息;2013年我国颁布《征信业管理条例》,要求将所有关于中国公民的信用信息必须在境内进行处理和存储;2014年卫生和计划生育委员会出台了《人口健康信息管理办法(试行)》(国卫规划发〔2014〕24号),要求将健康和医疗信息存储在境内;2016年我国出台《网络安全法》,要求互联网和电信公司以及其他“关键信息基础设施”提供商将数据存储在境内服务器。基于我国立法已有规定,可以初步判定以下五类数据应当被重点关注:个人金融信息、个人征信报告、个人健康和医疗信息、保险业有关信息、互联网地图信息。对上述数据应当坚持数据本地化的一般原则,落实技术保护升级,确保数据安全,但不应忽略该类数据也具有适度流动的必要,如金融数据不公开就会降低整个金融体系的运转效率,助长金融垄断,而只有消除金融行业数据割裂和分散,才能实现金融效率最大化。在我国全面推行金融双向对外开放的形势下,确保金融数据安全、有秩序的跨境流动势在必行,因此不可要求重要数据的绝对本地化。对于金融数据出境,立法应延用实质性审核制度,确保数据的共享方和接收方对数据安全给予充分保障。
近年来,部分国家或地区之间通过签订双边或多边自由贸易协定(free trade agreement, FTA)推动数据安全、自由流动。2013年8月我国签署《多边税收征管互助公约》,承诺实施AEIO标准。AEIO标准是居民税收账户信息进行交换所依据的准则。这是我国政府层面通过签订公约实现区域内重要信息交互共享的首例。虽然我国目前签署的自由贸易协定内容尚未涉及数据跨境(不设限的)自由流动,但是2017年我国与智利签署的《中华人民共和国政府与智利共和国政府关于修订〈自由贸易协定〉及〈自由贸易协定关于服务贸易的补充协定〉的议定书》首次将电子商务的跨境业务纳入其中。2018年9月我国与澳大利亚签署《中澳自由贸易协定》,规定中澳之间电子传输免收关税,同时中国还是区域全面经济伙伴关系协定(regional economic comprehensive economic partnership negotiations)的成员国。借由自由贸易协定的形式,通过政府谈判约定双方重要数据互通,由政府信用背书,可以确保重要信息在具备充足保护的前提下流动和共享。
2.侦查数据
立法应当正视国际刑事侦查合作、打击跨国犯罪、解决突发性安全事件、应对一国境外居民的安全威胁,随着我国与境外电子化贸易的深入,也出现他国公民个人数据遭遇我国数据接收人侵权等犯罪案件。数据跨境制度需要针对例外情形设置特许出境制度,允许监管机构之间进行紧急数据传输。如果我国立法对这类情形视若无睹,或实施非公开透明的执法策略,不利于我国刑事司法活动与国际对接,更遑论开展国际执法合作。立法应当考虑单一民事数据出境渠道的不足,设置跨境执法所需的数据交换路径,尤其是快速传输路径(克减条款),确保这类可能侵犯公民隐私甚至事关国家安全的数据能够及时与监管当局共享。同时需防范克减条款的滥用,上文提到欧盟《指令》第三十八条克减条款在适用中遇到了困境,即EDPS无法确定何种体量的数据可以适用克减条款,即使辅助以其他判断要件,如情况的紧急性等,但本质上能否适用该条款依旧取决于执法机关的自由裁量权,因此我国在批判借鉴欧盟克减条款之时,应限制执法机关自由裁量权的范围,相比采用比例原则或解释性原则等模糊抽象的判断标准,更具有实际操作性的举措是对适用的执法机关实施再监管,通过设置双层监管机制,规避单一监管者滥用、不恰当适用克减条款的弊端,将处置责任分散到两层监管者身上,实现监管者之间相互监督,正确适用克减条款。
所谓“法因时而进”,指立法应当回应经济发展与风险防范交织下的制度革新需求,通过建设多层次数据出境体系,为商事数据的出境拓宽渠道,发挥数据的经济价值;同时保障重要数据的本地化,通过政府间签订的自由贸易协定等安全路径,实现重要数据安全利益与自由流动利益的平衡。之所以将侦查数据单列为一类,意在突出以侦查数据为代表的国际合作所需的数据共享之潜在需求,借鉴欧盟克减条款的立法样本,引入双层监管制度破解其在实践中的适用困境,扬长避短,最终通过构建多层次数据出境体系,实现数据自由流动与国家安全及公民个人权利保护的平衡。
免责声明:
上文内容仅供天风证券股份有限公司(以下简称“本公司”)的客户使用。本公司不会因为任何机构或个人接收到上文而视其为本公司的当然客户。上文基于已公开的资料或信息撰写,但本公司不保证该等信息及资料的完整性、准确性。客户不应将上文为作出其投资决策的唯一参考因素,亦不应认为上文可以取代客户自身的投资判断与决策。客户应自主作出投资决策并自行承担投资风险。在任何情况下,上文中的信息或所表述的意见均不构成对任何人的投资建议。在任何情况下,本公司不对任何人因使用本文中的任何内容所引致的任何损失负任何责任。市场有风险,投资需谨慎。