田旭
上海政法學院講師
要目
一、過去與現在——數據跨境傳輸規則的內部演進
二、數據流通的意義——貿易自由、隱私保護與數據安全的價值博弈
三、數據跨境傳輸的國際機制
四、數據跨境傳輸規則的立法定位與構建思路
五、自貿區內數據跨境規則制定原則與可行性舉措建議
摘要
任何交易均伴隨信息的交換,而信息技術的革新無疑對大規模的貿易產生積極影響,網絡的運用正在重塑國際貿易的基本模式。以數據為載體的信息通過網絡進行的跨境傳輸行為作為信息交換的重要形式,正在受到日益強化的本地化主義影響。自由貿易試驗區作為新時代經濟改革的重要試驗場,有必要就數字貿易領域的新問題進行積極探索。數據跨境傳輸是開展數字貿易的基礎活動,基于個人數據保護和信息安全角度實施的數據跨境傳輸限制應當建立在必要性和比例性基礎之上,兼顧數據保護和數據流通,為自貿區先行先試提供了契機和挑戰。
由于缺乏成文法規的明確指導,數據跨境傳輸作為協調和促進數字貿易的重要活動形式缺乏穩定的監管原則,從而極大地增加了企業合規難度和業務經營的不確定性。本文所探討的內容是數據跨境流動中的法律規制問題,以及它正在如何影響國際經貿關系,并以自貿區改革為出發點,探索區內數據跨境傳輸規則應當如何拓展。
一、過去與現在——數據跨境傳輸規則的內部演進
傳統上的數據本地化存儲的原則
數據本地化,也稱數據駐留(data residency),通常指在數據發生跨境傳輸前,要求對其收集、處理和存儲均發生在數據產生國境內的一項要求,傳統上這一要求的目的是保護個人數據不被侵犯。本文認為,數據本地化是一項專門針對數據跨境傳輸行為所產生的術語,對數據本地化的強調源于數據主權概念的普及。但在貿易領域,嚴格的數據本地化政策已經站到了貿易自由化的對立面,由模糊的法律規則、繁瑣的審核程序與復雜的技術要求所帶來的高昂法律合規成本越來越成為跨國企業逐漸難以承受之負擔。
我國網絡安全法也同樣采用相對嚴苛的數據本地化要求,第37條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”這一條明確了我國法律對于數據跨境傳輸的基本態度,即原則上要求本數據境內存儲,如需出境的,需要經過網信部門的安全評估。由此看來,相較于對個人信息權益保護的單一目的而言,我國網絡安全法將數據本地化立法原則指向更為宏觀的利益——即數據安全。
數據跨境規則為網絡帶來巴爾干化影響
巴爾干化(Balkanization)是一個常帶有貶義的地緣政治學術語,可以被定義為:一個較大的國家或地區分裂成較小的國家或地區的過程,這些國家或地區關系緊張甚至處于敵對狀態。20世紀70年代初,由于經濟發展模式的逐步變遷,美國各州貿易規則分歧越來越大,在著名的Hughes v. Oklahoma案中,法官將提出了貿易規則的巴爾干化,并直指該現象將導致貿易壁壘的加高。網絡技術實際上源于美國的軍事技術,由于在其民用普及初期,使用網絡的國家大部分為發達國家,這種數據保護規則分歧所導致的數據傳遞不暢問題還未被我國學界所察覺,但是歐美之間長期形成的數據保護規則差異而逐漸發展處歐洲保守的數據本地化規則,取代了美國發展互聯網技術的初衷,從而下形成了網絡的巴爾干化(Cyber balkanization)。現實中,這種網絡巴爾干化現象隨著發展中國家網絡技術的普及和成熟顯得更加明顯。貿易電子化革命和全球電子商務發展,使得數據傳輸成為一項越來越重要的貿易輔助活動,甚至成為貿易活動本身。
從現實角度看,數據本地化業已成為國際間數據傳輸限制性新型壁壘,這種限制也被美國學者納入為一種本地化貿易壁壘(Localization Barriers to Trade, LBT)。在一份專門研究信息和通信技術(“ICT”)與國際經貿關系的報告中,學者將ICT本地化壁壘歸結為三大類:第一,直接針對“ICT基礎設施”的本地化要求;第二,是對數據存儲的本地化要求;第三,是對本地內容的本地化要求。這份報告同時羅列了提出相應要求的國家和地區,中國在這三個方面均被明列其中。本地化政策與數據的全球流通自由相對,屬于較為保守的ICT政策,這種政策取向顯然已經不太符合國際經貿流通的需求,構成了對國際經貿發展的阻礙。
上海自貿區之探索——以數據流通自由為導向
2019年7月27日,國務院印發《關于中國(上海)自由貿易試驗區臨港片區總體方案的通知》(下稱“臨港方案”),其中就實施互聯網跨境安全有序流通有一些宏觀性表述。自由貿易試驗區作為政策的先行先試的場域,有條件針對數據領域的流通規則構建更加積極的規則,以促進和配套自貿區的改革。就此,上海市政府率先于2019年8月20日頒布《中國(上海)自由貿易試驗區臨港片區管理辦法》(“《管理辦法》”),其中就跨境數據流動議題提出“構建安全便利的國際互聯網數據專用通道、試點開展數據跨境流動的安全評估、建立數據保護能力認證、數據流通備份審查、跨境數據流通和交易風險評估等數據安全管理機制”等模式,以應對法律層面數據跨境傳輸規則的滯后,將數據跨境傳輸規則創新性構建的任務交給了臨港新片區。2020年11月15日,上海再次發布《上海市全面深化服務貿易創新發展試點實施方案》(下稱“《服務創新實施方案》”),提出“探索數據跨境流動分類監管模式、開展數據跨境傳輸安全管理試點”,奠定了以促進數據跨境傳輸為導向的立法模式。
二、數據流通的意義——貿易自由、隱私保護與數據安全的價值博弈
世界范圍內,數據跨境可以分為自由流動派和原則禁止派。其中,自由流動派主要以美國為代表,無論是國內法或是對外簽署的貿易協定,美國都一直主張反對數據跨境傳輸施加限制,而力求建立一個自由的互聯網。另一方面,歐盟雖然也主張數據自由流動,但是這種自由是建立在他國提供歐盟數據保護標準的前提下的,由于歐盟采用極高的個人數據保護標準,這種高標準實際上構成了一堵隱形的高墻,將歐盟個人數據牢牢鎖住。而最新的數據本地化政策理由則聚焦于信息安全,其理論背景甚至延伸到國家主權概念,這種概念的泛化進一步加劇了數據流通不暢。
數據本地化的原點——個人信息權的保護
從立法模式角度看,數據跨境傳輸規則常常作為數據保護法的一部分被嵌入數據保護法下,以《通用數據保護條例》(GDPR)為例,這是一部綜合性的個人數據保護立法,而數據跨境傳輸規則作為一項保護措施規定在該法律項下。這一嵌入式的立法形態最早可追溯至1973年瑞典數據法,它規定“若據合理推斷,個人數據將在境外受到處理時,數據僅在數據管理當局(Datainspektionen)許可下方可披露。并且這種許可是建立在這項披露不導致對個人數據的過度侵犯。”個人數據跨境傳輸限制規則被后來更多的歐洲國家數據保護立法參照,后又被旨在協調歐洲數據保護法一體化的歐盟數據保護指令(即1995/EC/46指令,以下簡稱“95指令”)和GDPR相繼發展和繼承,并形成一套完善的數據跨境傳輸規則,上述“不導致過度侵犯”原則的認定進而演化為歐洲委員會對第三方國家數據保護的充分性認定。針對充分性的認定,在歐盟法院關于Scheme案的判決中,歐盟法院認為“充分性”建立在第三國保護水平與歐盟“實質性等同(essentially equivalent)”的情形下,本文認為,歐盟個人數據出境限制實際上采用的是一個危邦不入的理念,它將任何未施行歐盟標準的第三國都視為數據保護洼地,變相地要求只要當境外采用類似歐盟的立法模式后才能獲得相應的充分性認定。
由此可見,在數據安全概念提出之前,限制數據跨境傳輸的最主要的理由是基于對個人數據權的保護。個人數據保護法是國家對于公民個人數據權的確認和保護,系國內立法,其效力應當僅及于域內,除經“沖突法”規則指引而被適用的情形外,則不應具有域外效力。但是,由于對個人數據權的保障方式在于限制其他主體對個人數據的收集、處理、使用以及傳輸,因此個人數據權的保障與數據傳輸行為本身形成了不可分割的聯系。在網絡時代,數據傳輸早已經打破了國境限制,由于它具有無體性和虛擬性,個人數據傳輸并不受制于地域的限制,以立法方式限制數據傳輸至境外看似成為一項數據保護的必然選擇。
自由與安全的艱難權衡
自由便利的數據跨境傳輸規則在貿易協定談判中是一項共同的訴求,但談判分歧就在于是否引入、以及引入何種程度的限制性措施。美國作為互聯網技術的開拓者,在信息技術領域一直占據領先位置,因此它對數據傳輸所可能帶來的侵害并不如歐盟那么恐懼,其信息隱私立法也更加開放,最初是通過“信息控制權”理論修正其隱私權概念,為個人對其信息的積極控制提供支持。另一方面,相較于歐盟的個人數據權理論,美國運行一套截然不同的隱私規則,美國憲法中未規定個人數據權這樣一種權利,但根據憲法第四修正案,公民享有隱私合理期待情形下,有權主張隱私以對抗政府取證,這種隱私保護相對于歐洲個人數據權而言,是一種消極對抗權。美國憲法第四修正案進而發展出“第三方學說(Third-Party Doctrine)”,即“當一個人主動向第三方提供其信息,他將不再享有第四修正案項下的合理隱私期待。”綜上而言,作為信息技術優勢一方,美國似乎更加重視和強調網絡的自由價值,而不是安全價值。
然而,對于后發國家而言,在使用互聯網過程中也逐步開始關心數據自由化對信息安全帶來的消極影響。周漢華認為,“對于信息控制者而言,從信息安全角度來保護個人信息,本來應該是順理成章的事情……但是,過去對于信息安全約定俗稱的理解,信息安全并不包括個人信息安全和隱私保護。”這一理解將安全和隱私兩個問題進行區分,為我們厘清了數據傳輸規則所涉及第三種法律利益——安全。我國國家安全法第25條將信息安全這一概念正式納入國家安全范疇,并規定“國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。也就是說,可控性是我國在信息安全領域的核心要義,數據本地化措施似乎是實現數據可靠性的重要手段。但是事實真是如此嗎?實際上,數據本地化無法從根本上解決數據的可控性問題,因為數據本地存儲不意味著數據可以當然地拒絕異地訪問,也就是說數據仍然可以為境外的個體所獲取,因此是否仍舊以本地化作為數據監管的要求,還是另辟蹊徑,以貿易自由為出發點探索更加開放的數據跨境規則?答案顯而易見。
三、數據跨境傳輸的國際機制
作為國際經貿規則的必備要素的數據傳輸規則
信息化引發的網絡空間中數據跨境傳輸在國際經貿活動中廣泛存在,這顯然并不局限于ICT行業。在傳統貨物貿易領域,貿易平臺的數字化促進了電子商務的極大發展,跨境電子商務是通過電子交易平臺下單,進而通過線下物流服務完成跨境交付,既包括貨物,也包括服務。其中,貨物需要有物流和配送服務,而服務主要是指數據傳輸。在服務貿易領域,數字服務囊括了搜索引擎服務、社交網絡服務、應用軟件服務以及商業機構之間的計算資源共享服務。數字化戰略浪潮下,數據傳輸業已成為越來越成為企業經營的主要活動之一,但由于各國數據保護法規則的差異,數據本地化和跨境數據傳輸限制正在逐漸成為一項主流。
瑞典國家貿易委員會Kommerskollegium在一份冠以《沒有傳輸就沒有貿易(No Transfer, No Trade)》為名的報告中揭示了數據流通對國際貿易的重要意義,它通過訪談形式調查了15家跨國公司的真實情況,分析了數據流通對于企業的商業模式、全球化服務、基礎運營、供應鏈管理等領域均具有重要意義。這份樣本調查既包含以ICT業務為主營業務的互聯網企業和電信企業(如谷歌、愛立信、eBuilder),還分析了一些立足于傳統產業的生產型企業(如沃爾沃、Scania)。這意味著隨著電信和互聯網技術的普遍應用,電子信息系統業已成為諸多行業不可或缺的基礎性生產要素,而數據傳輸作為維系電子信息系統運行的必要條件,也成為一項不容忽視的國際貿易需求。
國際經貿協議中的數據傳輸規則
新一輪的貿易談判已經將問題直接指向數字貿易中的國家行為,其中如何平衡個人數據保護與數據自由流通成為一項普遍討論的議題。國際經貿談判中并未徹底否認國家以個人數據保護為由實施的數據跨境傳輸限制措施,但是這種限制措施應當被克制且遵循比例原則。多邊層面,WTO作為全球貿易多邊機制開始逐漸重視數字貿易,但是相較于區域性經濟組織,WTO數字貿易規則建立相當滯后。WTO至今未能形成與貿易相關的數據保護和數據跨境流動原則,GATs對于數據相關領域的服務準入也語焉不詳。但是,該組織顯然已經意識到數字經濟對全球貿易和WTO組織的重要性,WTO總干事Roberto Azevedo在《2018世界貿易報告》中指出,“WTO框架,尤其是GATs與數字貿易息息相關,并且WTO成員們已經在現有框架尋求促進數字經濟之道。”雖然WTO就電子商務(Electronic Commerce),但是如何讓數字貿易融合到現有WTO框架中,似乎還需要對“數字服務”(Digital Service)進行定義。在GATs框架內建立數字服務規則地想法仍然停留在學術討論的層面。
TPP是全球第一個針對數據本地化限制進行反向規定的貿易條約,它代表美國的數據跨境流通主張,有一定的代表意義。TPP第14.13條明確限制“為處理和存儲商業信息的計算機服務器和存儲設備”進行本地化規定,并且限制成員國不得規定“使用本地計算設備為前提,才能在其轄區內從事商業活動”。然而,針對數據跨境流通,TPP對于“為公共政策的目的”而限制數據跨境進行了免責,具體免責需要滿足四項要求。上述免責事由實際上是TPP允許了成員國建立一套本地的安全港規則。但是隨后規定了具體的免責條件。正如有學者指出,盡管TPP是首個提出隱私和貿易關聯的貿易協定,但是其影響也不應當被過分放大,首先它更多地代表美國利益,并且它也未能形成全球性的數據保護法規制,也沒能就現存的數據跨境傳輸障礙進行直接應對。TPP之后,2020年11月15日,由東南亞國家聯盟(ASEAN)的成員和五個區域伙伴的15個國家簽署了區域全面經濟伙伴關系(RCEP),這可以說是歷史上最大的自由貿易協定。RCEP延續了TPP的傳統,同樣規定了貿易領域下的數據流通條款,在其第12章第15條明確規定締約方不得阻止條約涵蓋的人為商業目的所進行的數據傳輸,但是也明確了締約方可以規定數據監管標準。
此外,值得注意的是,新加坡作為RCEP和CPTPP(TPP的更新版本),分別新西蘭和智利(DEPA),以及與澳大利亞(SADEA)簽署了兩份數字貿易協定,并且正在與韓國進行數字經濟協議談判。上述協議相較于多邊自由貿易協議,它更加專注于數字經濟領域的細節問題,其除了遵守RCEP和CPTPP框架下所設定的基本權利與義務外,就數字經濟更加細節問題,例如數據處理、數字身份認證、受信任的數據環境等等問題做出了更加積極的探索,并且專門就數字經濟所發生的爭議創設爭端解決機制。本文認為,這代表著數字經濟領域談判的發展方向。
專門性的數據跨境傳輸條約失靈
在GDPR生效前,歐洲經濟體(EEA)與美國之間的數據跨境傳輸是在隱私盾協議指引下進行的,隱私盾為可進行數據傳輸的企業樹立了7項數據保護要求。但在2020年7月16日,歐盟法院對Facebook愛爾蘭公司訴Schrems一案做出裁決,并正式確認使用為期四年的“美歐隱私盾協議”因違反GDPR中數據跨境傳輸標準而無效。這意味著美歐之間不再存在政府層面的數據傳輸安排,美歐數據傳輸雙邊機制的真空為企業帶來了極大的不安全感。2020年8月10日,美國商務部長威爾伯·羅斯(Wilbur Ross)和歐洲司法專員迪迪爾·雷因德斯(Didier Reynders)發表聯合聲明,指出“美國商務部和歐盟委員會已開始討論,以評估增強歐盟-美國隱私保護的可能性遵守歐洲法院7月16日關于Schrems II案的判決的框架。”
美國與歐洲之間的隱私盾框架的失效意味著歐盟對于雙邊框架的不信任以及對GDPR項下的數據跨境傳輸規則的堅持,這對中國而言意味著與歐盟達成雙邊性的數據傳輸框架將更加困難。因應這種趨勢與變化,中國應當一方面完善自身的數據保護法律體系,另一方面應當盡快提出一套完善的數據傳輸機制。
四、數據跨境傳輸規則的立法定位與構建思路
厘清數據跨境傳輸規則的立法原則和關鍵性利益
數據跨境傳輸的立法原則是根據其背后的關鍵性利益所決定的,立法的偏向與價值的選擇具有高度關聯性。數據跨境傳輸是貿易自由、個人隱私和信息安全這三種價值的權衡,其中廣義的信息安全也覆蓋了個人隱私。因此,如何權衡自由與安全這兩種價值就是立法原則的起點。《服務創新實施方案》實際上在數據跨境傳輸立法原則方面探索出一條與網絡安全法截然的不同的路徑。首先,網絡安全法未對數據類型進行明確分類,其主要規制對象為關鍵信息基礎設施的運營者,對于其他類型的個人數據處理者如何向境外傳輸數據的,則未做明確規定。其次,這一點在個人信息保護法(草案)(以下簡稱“草案”)中得到相應完善,對于一般個人數據處理者向境外傳輸數據的,草案明確了在數據主體同意的大前提下,個人數據處理者可在監管部門安全評估、專業機構認證、境外機構合同約定這三種方式下擇一而行,實際上給予了個人數據處理者更大的傳輸自由。第三,《服務創新實施方案》提出了更加務實的數據跨境傳輸機制構建思路,明確了工作任務在于數據跨境流動安全評估試點、數據保護能力認證機制、數據流通備份審查機制、跨境數據流動和交易風險評估等數據安全管理機制等機制的建立,但問題在于上述機制仍然沒有明確建立,也沒有回答這些機制在先行法律下實際運行作用和效果將會如何這一關鍵問題。但至少,《服務創新實施方案》已經為自貿區數據跨境傳輸機制探索明確了立法原則和關鍵性利益,那就是更加傾向貿易自由的數據傳輸機制。
框定數據跨境傳輸規則的規范行為與對象
《服務創新實施方案》僅提出了區內構建數據傳輸機制的方向,但是具體實施細則還未落實。換言之,具體的規范行為和規范對象亟須框定。美國政策分析師雷歇爾在一份國會研究服務報告中指出,“數據跨境傳輸即指位于不同國家服務器中的數據之間的移動”。數據是經過數字化的信息,數據傳輸就是電子信息交換。數據傳輸就是以比特為單位的信息在不同載體之間,運用光電原理通過光纜、電纜、路由器等基礎設備進行交互存儲的行為,傳輸本質是信息在不同載體中的相繼存儲,這種存儲可能是臨時性的緩存,也可能是長期性的存儲。數據傳輸行為造成的結果是數據異地存儲,存儲的目的往往是進一步處理。進言之,數據的跨境傳輸勢必造成數據的境外存儲,并且有可能造成數據的境外處理,其中存儲和處理行為在傳輸后都將發生于境外,而脫離了本地數據法和執法機關的控制與管轄。因此,有學者稱,“數據跨境限制規則的根本目的在于防止數據控制者人為將數據轉移至數據保護法更為寬松的第三國(“數據天堂”)。”另有學者指出,“對數據跨境傳輸進行限制措施,是建立在數據存儲地域非法侵入行為之間的相關性假設之上。”存儲是處理的前提,因此如果需要處理境外數據時,境內的數據處理者必須首先獲得境外數據的訪問權限,訪問本身就是數據傳輸,因為只要訪問行為一經發生,訪問端服務器向被訪問端服務器發出指令,觸發其API機制,從而獲取數據,相關信息則就已經緩存在訪問者的服務器之中。因此,限制數據傳輸,實際上就限制了數據跨境訪問,當然這種限制是有限的。但是,無論是實踐中還是法律規定中對于這一點都沒有充分澄清,有據可查的是歐盟法院做出的Lindquist案件。
就規范對象而言,未來的自貿區數據跨境傳輸實施細則中的安全評估、安全認證、數據備份以及數據傳輸合同等機制僅針對區內企業還是面向全國也是一個值得思索的問題。本著自貿區先行先試的政策功能,自貿區的數據跨境傳輸機制適用對象理應被明確限制為區內注冊的企業,這種做法一方面縮小了機制所適用的范圍,另一方面也為機制鋪設更加前瞻與大膽的改革提供動力。
明確數據監管措施的著力方向——單向限制與雙向推動
跨境的概念本身暗含著數據出境和數據入境這兩個方向的數據流動,然而縱觀相關的數據跨境傳輸內國規則,出境和入境這兩個層面的規制程度卻并不平衡。從法律監管角度看,數據出境是整個數據跨境傳輸規則的中心,而數據的入境則面對較少限制。以歐盟為例,歐盟的個人數據保護法下,數據跨境傳輸規則只規定數據出境行為,而不規制數據入境行為。也就是說歐盟對于域外數據進入歐盟并不加以干涉。
但是,世界范圍內仍然存在部分數據入境的限制措施,其中包括強制性的數據輸入規則,典型的就是美國的云法案,即在法院開出搜查令時,即便是域外的數據仍然有義務傳輸回美國,以供司法行政機關進行案件調查。但是,美國云法案所指向的境外數據的輸入是建立在法院出具開示令狀的前提之下的,實際上并不是法律直接規定了數據跨境輸入要求,它的要求間接的來源于法院的司法權。此外,我國也有對于一些境外網站的訪問限制,這種訪問限制從結果上看實際上也是限制了數據的輸入境內,但是這種限制更多的是從技術手段上進行規制,而不涉及法律層面。
雖然從物理層面看,不同方向的數據傳輸雖然均屬于數據跨境流動的范疇,但是監管一詞的含義就意味著這種傳輸是被動的且具有潛在危險性的,實施數據出境的主體對應的是國際經貿活動中的企業,這種傳輸是企業自發性的,對于監管主體而言,這種傳輸是被動的且具有潛在危險性的(威脅信息隱私及重要數據安全)。但數據取證的實施主體一般是司法機關,這種由外而內的數據傳輸實則是主動的,且不具有可預測的危險性。綜上,本文認為,數據跨境傳輸監管應當限制為數據出境監管,對于跨境取證中的數據從外向內的數據傳輸應當被排除在機制之外。
五、自貿區內數據跨境規則制定原則與可行性舉措建議
逐步提高區內個人數據保護標準
以GDPR第5章為代表的數據跨境傳輸規則,即以評估第三國數據保護能力的方式已經成為主流。換言之,我國企業要想在國際市場對數據領域有所作為,應當逐步接受這種模式的全球化。近年來,隨著我國大力發展數字貿易平臺,我國互聯網企業在眾多領域已經取得較強的競爭力。而相較于美國,我國在搜索引擎、社交網絡、電子商務等領域仍然存在差距,有學者總結導致這些差距的原因主要集中在三個方面:第一,核心技術能力,數字貿易平臺操作系統和相關核心技術仍然掌握在美國企業手中;第二,語言和文化習慣,主要表現在美國企業相比較而言,語言和文化習慣更加接近歐洲,因此能夠更加便利的進入歐洲市場;第三,對于嚴苛的數據保護法律的合規能力,相比而言,美國企業能夠更好的適應歐盟嚴格的個人數據保護法,而我國企業在這方面能力相對較弱。自美歐隱私盾協議失效的背景下,美國對外貿易機關仍然積極就數據跨境傳輸問題與歐盟方面進行協調,且在美國企業自身發達的法律基礎和合規能力加持下,美歐企業仍然能夠在較低水平實現其業務的全球化,只是將遭遇更多的罰單和困難。而問題投射回國內,我國應當順應潮流,積極利用自由貿易試驗區這一政策培養皿,積極探索更高的數據保護標準,以應對全球數據保護標準提高的浪潮。
區內對標國外高規格的數據保護標準
自貿區數據保護標準的設立可以參考歐盟數據保護標準。首先,中國互聯網服務領先于歐盟,特別是在大數據和云計算領域。阿里巴巴集團旗下的阿里云已經成為繼美國亞馬遜云之后的全球第二大云服務提供商。大大節省互聯網企業走出去的合規成本,如果要獲取歐盟數據,企業還是需要主動遵守歐盟規范,自貿區統一按照歐盟的保護標準,相對于幫助區內企業直接獲得隱私盾認證,這一方面可以吸引更多的企業來區內增加投資,以減少合規成本,另一方面也可以提高我國企業在國際市場中的競爭力。并且,自貿區中對企業進行統一管理,自貿區甚至可以設置歐盟數據監督機制,引入歐盟專家,這將大大吸引歐盟市場中的企業使用中國提供的數字服務。
此外,就前文所提起的由新加坡等國家主導的數字經濟協定中所創設的保護標準,以及數據傳輸規則,也可以在創建自貿區數據傳輸機制過程中予以吸收與借鑒。上述協定雖然并未形成具有代表性的國際經貿協定,但由于數字經濟所代表的虛擬經濟占經濟加權不斷提升,這種更加全面的數字經濟協定必將成為主流。自貿區作為改革試點,有必要采用更加積極和開放的政策,以應對快速變化的國際經貿環境。
構建與完善區內數據保護保障機制
2020年10月1日,由國家市場監督管理總局、國家標準化管理委員會完成修訂的《信息安全技術-個人信息安全規范》(《標準》)正式生效,這一標準第8.8條對于個人數據處理者建立投訴機制予以規定。但不得否認,《標準》將數據保護投訴受理權交由企業,而疏于建立政府層面的數據投訴受理機關。換言之,目前國內仍然缺乏具有公信力的數據保障機制。本文建議,自貿區內應當探索與建立類似于歐盟數據保護委員會(EDPB)這樣的監管與保障相統一的獨立數據保護機構,用以為數據保護所產生的爭議提供保障渠道。數據保護保障機制應具有一定程度的立法權限與執法權限,其功能需包括數據保護政策的制定與修改、區內企業與境外企業所發生的數據爭議投訴處理。
最新論文