美國(guó)著名政治學(xué)者小約瑟夫·奈在《理解國(guó)際沖突:理論與歷史》一書中指出,一場(chǎng)信息革命正在改變世界政治,處于信息技術(shù)領(lǐng)先地位的國(guó)家可攫取更大的權(quán)力,相應(yīng)地,信息技術(shù)相對(duì)落后的國(guó)家則會(huì)失去很多權(quán)力。數(shù)據(jù)跨境流動(dòng)不僅僅是傳統(tǒng)上個(gè)人隱私保護(hù)的問(wèn)題,還牽涉商業(yè)層面是企業(yè)之間跨境貿(mào)易和企業(yè)走出去的問(wèn)題,而數(shù)據(jù)流通的基礎(chǔ)規(guī)則,在很大程度上決定了國(guó)際貿(mào)易的規(guī)則,牽涉國(guó)家安全和國(guó)家主權(quán)。
美國(guó)著名政治學(xué)者小約瑟夫·奈在《理解國(guó)際沖突:理論與歷史》一書中指出,一場(chǎng)信息革命正在改變世界政治,處于信息技術(shù)領(lǐng)先地位的國(guó)家可攫取更大的權(quán)力,相應(yīng)地,信息技術(shù)相對(duì)落后的國(guó)家則會(huì)失去很多權(quán)力。數(shù)據(jù)跨境流動(dòng)不僅僅是傳統(tǒng)上個(gè)人隱私保護(hù)的問(wèn)題,還牽涉商業(yè)層面是企業(yè)之間跨境貿(mào)易和企業(yè)走出去的問(wèn)題,而數(shù)據(jù)流通的基礎(chǔ)規(guī)則,在很大程度上決定了國(guó)際貿(mào)易的規(guī)則,牽涉國(guó)家安全和國(guó)家主權(quán)。
目前,國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)沒(méi)有統(tǒng)一的界定。從國(guó)際組織以及其他國(guó)家對(duì)跨境數(shù)據(jù)流動(dòng)的管理與制度來(lái)看,主要有兩類理解:一是數(shù)據(jù)跨越國(guó)界的傳輸和處理;二是數(shù)據(jù)雖然沒(méi)有跨越國(guó)界,但能夠被第三國(guó)的主體訪問(wèn)??缇硵?shù)據(jù)流通機(jī)制的總體原則是,數(shù)據(jù)在國(guó)外主體處受到的保護(hù)程度,不低于在國(guó)內(nèi)保護(hù)的程度。
在數(shù)字貿(mào)易環(huán)境下,跨境數(shù)據(jù)流動(dòng)成為重要的推動(dòng)因素,對(duì)全球經(jīng)濟(jì)的發(fā)展起到重要作用。2014年,麥肯錫全球研究院發(fā)布報(bào)告《數(shù)字時(shí)代的全球流動(dòng):貿(mào)易、金融、人和數(shù)據(jù)如何連接全球經(jīng)濟(jì)》,指出全球的五流(商品、服務(wù)、金融、人員和數(shù)據(jù))正在不斷增長(zhǎng),對(duì)全球GDP增長(zhǎng)的貢獻(xiàn)為每年2500億至4500億美元,相當(dāng)于全球經(jīng)濟(jì)增長(zhǎng)的15%至25%。報(bào)告指出,與連通性較低的經(jīng)濟(jì)體相比,連通性較高的經(jīng)濟(jì)體獲得的收益最多高出40%。美國(guó)作為全球數(shù)字貿(mào)易最發(fā)達(dá)的國(guó)家,得益于數(shù)據(jù)的跨境流動(dòng)。據(jù)美國(guó)國(guó)際貿(mào)易委員會(huì)(ITC)估計(jì),數(shù)據(jù)流動(dòng)使得美國(guó)的GDP增加了3.4至4.8個(gè)百分點(diǎn),同時(shí)創(chuàng)造了240萬(wàn)個(gè)就業(yè)崗位。
麥肯錫公司的數(shù)據(jù)顯示,單就數(shù)據(jù)流動(dòng)而言,數(shù)據(jù)聯(lián)通最強(qiáng)的都是發(fā)達(dá)國(guó)家,而且多數(shù)為西方國(guó)家。荷蘭是歐洲互聯(lián)網(wǎng)流量的中心,排在第一位,接下來(lái)為德國(guó)、英國(guó)、法國(guó)、瑞典、新加坡和美國(guó)。不過(guò),歐洲除外的每個(gè)洲消費(fèi)的超過(guò)一半的數(shù)字化內(nèi)容是美國(guó)生產(chǎn)的,美國(guó)作為全球數(shù)字化網(wǎng)絡(luò)的中心受益匪淺。
國(guó)際框架協(xié)議與合作
最典型的框架是亞太隱私保護(hù)規(guī)則體系(CBPRs),該體系對(duì)我國(guó)的影響也比較大。
2011年,亞太經(jīng)合組織(APEC)建立跨境商業(yè)個(gè)人隱私保護(hù)規(guī)則體系(CBPR),由獲得認(rèn)可的評(píng)估機(jī)構(gòu)對(duì)商業(yè)機(jī)構(gòu)保護(hù)個(gè)人隱私與信息的水平進(jìn)行認(rèn)證并公布,企業(yè)可自愿參與。美國(guó)為保障自身安全、最大化自身經(jīng)濟(jì)利益積極加入CBPR,極大提升了CBPR的國(guó)際影響力,使CBPR未來(lái)可能成為地區(qū)主導(dǎo)的跨境數(shù)據(jù)流動(dòng)框架。
CBPRs從國(guó)家層面來(lái)看,是非約束性的體系。國(guó)家推出責(zé)任代理機(jī)構(gòu),由它認(rèn)定各個(gè)國(guó)家的企業(yè)是否遵循了CBPRs的體系,如果遵循的話,在企業(yè)加入這個(gè)體系以后,企業(yè)和企業(yè)之間可以進(jìn)行數(shù)據(jù)的自由交換。2015年8月底CBPRs和歐盟BCR(歐盟企業(yè)之間約束性企業(yè)規(guī)則)的起草單位就雙方融合之后的可行性進(jìn)行了探討,一旦體系互認(rèn)以后會(huì)具有非常廣泛的覆蓋性。
BCR和SCC(標(biāo)準(zhǔn)合同條款)國(guó)際上用的最好的協(xié)議規(guī)則,尤其是BCR比較成熟,企業(yè)用起來(lái)比較靈活和方便。標(biāo)準(zhǔn)格式合同管理模式即由政府對(duì)跨境數(shù)據(jù)處理合同條款中應(yīng)當(dāng)包含的安全管理內(nèi)容進(jìn)行規(guī)定。例如,在歐盟,由數(shù)據(jù)保護(hù)主管部門制定標(biāo)準(zhǔn)格式合同條款,在條款中依據(jù)數(shù)據(jù)保護(hù)法的原則納入數(shù)據(jù)保護(hù)的要求,企業(yè)之間簽訂的跨境數(shù)據(jù)流動(dòng)處理合同如果包含了格式合同的條款,則無(wú)需經(jīng)數(shù)據(jù)保護(hù)主管部門同意即可實(shí)現(xiàn)跨境數(shù)據(jù)流動(dòng)。
跨境數(shù)據(jù)流動(dòng)是一個(gè)國(guó)家間問(wèn)題,各國(guó)正積極爭(zhēng)取獲得重要貿(mào)易伙伴國(guó)的數(shù)據(jù)保護(hù)認(rèn)證。例如,美國(guó)與歐盟之間曾長(zhǎng)期履行“安全港”協(xié)議,承諾遵守“安全港”協(xié)議的美國(guó)企業(yè)能夠獲得數(shù)據(jù)保護(hù)“充分性”的認(rèn)定,獲得處理來(lái)自歐盟成員國(guó)數(shù)據(jù)的資格。該協(xié)議確認(rèn)安全港隱私原則及附屬條款對(duì)個(gè)人數(shù)據(jù)的保護(hù)達(dá)到了歐盟的充分保護(hù)要求。
“2013年,美國(guó)監(jiān)控丑聞曝光,歐盟成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)紛紛質(zhì)疑安全港協(xié)定;于是,2014年1月,歐盟和美國(guó)開始啟動(dòng)談判,磋商新的數(shù)據(jù)跨境協(xié)定,以取代當(dāng)時(shí)還有效的安全港協(xié)定。2015年10月6日,歐盟法院一紙判決否決了安全港協(xié)定,數(shù)千美國(guó)企業(yè)跨大西洋轉(zhuǎn)移歐盟公民個(gè)人數(shù)據(jù)失去庇護(hù)。11月6日,歐洲委員會(huì)發(fā)布指南,在督促盡快達(dá)成新協(xié)定的同時(shí),為保障跨大西洋轉(zhuǎn)移個(gè)人數(shù)據(jù)提出其他可選方案,包括合同方案和有效公司規(guī)則。2016年2月2日,歐洲委員會(huì)宣布,雙方已經(jīng)達(dá)成一個(gè)新協(xié)定,名曰“歐盟-美國(guó)隱私護(hù)盾”(EU-SU Privacy Shield)。2月29日,隱私護(hù)盾公之于眾。”
同安全港一樣,隱私護(hù)盾也包含七大隱私原則,但是內(nèi)涵要比安全港隱私原則豐富。
表1:隱私護(hù)盾七大隱私原則
此外,巴西、新加坡、墨西哥等國(guó)家為融入跨境數(shù)據(jù)流動(dòng)國(guó)際協(xié)作也加快了本國(guó)數(shù)據(jù)保護(hù)立法和加入國(guó)際認(rèn)證機(jī)制的進(jìn)程。美國(guó)構(gòu)建全球隱私保護(hù)執(zhí)法網(wǎng)絡(luò)(GPEN),目前認(rèn)同程度不高,成效還有待觀察。
分級(jí)分類管理政策
就跨境數(shù)據(jù)流動(dòng)安全管理總體框架而言,目前世界各國(guó)尚無(wú)統(tǒng)一制度,但一般的通行思路都是對(duì)不同數(shù)據(jù)采取分級(jí)分類管理,并有針對(duì)性地采取不同的保護(hù)措施,確??缇硵?shù)據(jù)流動(dòng)不得危及公民權(quán)益和國(guó)家安全。
一是重要的數(shù)據(jù)禁止跨境流動(dòng)。例如,俄羅斯通過(guò)法令,要求本國(guó)公民信息必須存儲(chǔ)在俄羅斯境內(nèi);澳大利亞規(guī)定安全等級(jí)較高的政府?dāng)?shù)據(jù)不能存儲(chǔ)在任何離岸公共云數(shù)據(jù)庫(kù)中,而必須存儲(chǔ)在具有較高安全協(xié)議的私有云數(shù)據(jù)庫(kù)中;韓國(guó)《信息通信網(wǎng)絡(luò)的促進(jìn)利用與信息保護(hù)法》第51條規(guī)定,政府可要求信息通信服務(wù)的提供商或用戶采取必要手段防止任何有關(guān)工業(yè)、經(jīng)濟(jì)、科學(xué)、技術(shù)等的重要信息通過(guò)通信網(wǎng)絡(luò)向國(guó)外流動(dòng)。二是政府和公共部門的一般數(shù)據(jù)和行業(yè)技術(shù)數(shù)據(jù)有條件的限制跨境流動(dòng)。例如,澳大利亞將政府信息分級(jí),要求對(duì)其中的非保密信息也必須經(jīng)過(guò)安全風(fēng)險(xiǎn)評(píng)估后才能實(shí)施外包。三是普通個(gè)人數(shù)據(jù)允許跨境流動(dòng),但需要數(shù)據(jù)流入國(guó)滿足一定安全認(rèn)證要求。目前多個(gè)國(guó)家都參與了數(shù)據(jù)跨境流動(dòng)的國(guó)際或國(guó)家間認(rèn)證,為本國(guó)數(shù)據(jù)流出和接受他國(guó)數(shù)據(jù)流入搭建通道。
美國(guó)等制度較為成熟的國(guó)家,其跨境數(shù)據(jù)流動(dòng)管理思路緊密圍繞本國(guó)的核心利益。以美國(guó)在TPP貿(mào)易協(xié)定談判中提出的知識(shí)產(chǎn)權(quán)條款為例,美國(guó)為保護(hù)其文化產(chǎn)業(yè),將其《千禧年數(shù)字版權(quán)法案》中嚴(yán)格的知識(shí)產(chǎn)權(quán)侵權(quán)責(zé)任條款照搬進(jìn)TPP談判中,主張?jiān)试S知識(shí)產(chǎn)權(quán)人追蹤互聯(lián)網(wǎng)服務(wù)提供者為用戶所提供的音視頻、圖片等信息產(chǎn)品。在歐盟,根據(jù)1995年《數(shù)據(jù)保護(hù)指令》,在實(shí)施數(shù)據(jù)處理之前,數(shù)據(jù)控制者應(yīng)當(dāng)向監(jiān)管機(jī)構(gòu)報(bào)告;對(duì)可能給數(shù)據(jù)主體的權(quán)利和自由帶來(lái)特殊危險(xiǎn)的數(shù)據(jù)處理行為在實(shí)施之前進(jìn)行審查。
立法與配套手段建立
目前國(guó)際上主要存在兩種跨境數(shù)據(jù)流動(dòng)的權(quán)責(zé)模式:
一是知情同意模式,歐盟、日本、俄羅斯等大多數(shù)國(guó)家都規(guī)定,收集數(shù)據(jù)時(shí)必須取得數(shù)據(jù)提交人的明示同意,以作為后續(xù)數(shù)據(jù)流動(dòng)的必要條件,強(qiáng)調(diào)數(shù)據(jù)提交人的知情權(quán)。
二是目的限制模式,如美國(guó)法律規(guī)定,數(shù)據(jù)收集后的再利用必須秉持正當(dāng)目的,強(qiáng)調(diào)通過(guò)數(shù)據(jù)利用的具體情境判斷數(shù)據(jù)流動(dòng)的合法性。
跨境數(shù)據(jù)流通的主要合法性機(jī)制除國(guó)際框架和協(xié)議之外,還包括充分性認(rèn)定、當(dāng)事人同意、企業(yè)自我評(píng)估及數(shù)據(jù)本土化等思路和機(jī)制。
充分性認(rèn)定以歐盟為例,歐盟有自己的法律規(guī)定就是數(shù)據(jù)要流通到資料保護(hù)充分的國(guó)家和地區(qū),目前認(rèn)定的有加拿大、阿根廷等,但是這個(gè)認(rèn)定非常局限,認(rèn)定的國(guó)家的法律模式都是遵循歐盟而來(lái)的。
當(dāng)事人同意是合法的,但當(dāng)事人可以隨時(shí)撤銷,認(rèn)定充分性有很高的門檻。在網(wǎng)絡(luò)條件下沒(méi)有達(dá)到充分性,經(jīng)常有可能被撤回,對(duì)企業(yè)來(lái)說(shuō)是非常不劃算的,這是風(fēng)險(xiǎn)非常高的機(jī)制。
企業(yè)自我認(rèn)證和自我評(píng)估以英國(guó)為例,英國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)ICO出臺(tái)了一個(gè)隱私保護(hù)的指導(dǎo)方案,企業(yè)可以進(jìn)行自我評(píng)估,評(píng)估數(shù)據(jù)流通的狀況是否符合國(guó)際上遵循的標(biāo)準(zhǔn),如果自我評(píng)估良好的話,可以對(duì)對(duì)方國(guó)家進(jìn)行認(rèn)證和證明,然而歐盟層面不贊同這個(gè)機(jī)制。安全評(píng)估認(rèn)證制度主要是指數(shù)據(jù)控制者在將數(shù)據(jù)轉(zhuǎn)移至境外前,要對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估或者認(rèn)證。從目前來(lái)看,風(fēng)險(xiǎn)評(píng)估主要是針對(duì)政府和公共部門的數(shù)據(jù)轉(zhuǎn)移至境外的情況。根據(jù)《澳大利亞政府信息外包、離岸存儲(chǔ)和處理ICT安排政策與風(fēng)險(xiǎn)管理指南》所述,澳大利亞的政府信息分為幾個(gè)層級(jí)。其中對(duì)于非保密的信息,要求政府機(jī)構(gòu)須經(jīng)安全風(fēng)險(xiǎn)評(píng)估之后才能實(shí)施外包。
推行非強(qiáng)制性管理手段彌合制度差異。歐盟為建立統(tǒng)一市場(chǎng),消除各成員國(guó)既有制度對(duì)跨境數(shù)據(jù)流動(dòng)形成的阻礙,采取了一系列非強(qiáng)制性的管理手段,創(chuàng)造一個(gè)盡可能統(tǒng)一的法制環(huán)境。此類制度雖然不具備強(qiáng)制性,但采納實(shí)施的國(guó)家或企業(yè)將獲得數(shù)據(jù)流動(dòng)方面的便利。這種管理手段也被其他國(guó)家逐漸接受,成為跨境數(shù)據(jù)流動(dòng)監(jiān)管方面的典型制度。
流動(dòng)限制之利弊
目前對(duì)跨境數(shù)據(jù)流動(dòng)的限制,主要是兩個(gè)方面,一是要求在境內(nèi)建設(shè)數(shù)據(jù)中心;二是要求數(shù)據(jù)必須存儲(chǔ)在境內(nèi)。一些國(guó)家將企業(yè)在境內(nèi)建立數(shù)據(jù)中心作為允許其開展服務(wù)的條件之一。越南在2013年發(fā)布法令,要求所有的互聯(lián)網(wǎng)服務(wù)提供者,例如Google、Facebook等公司在境內(nèi)建設(shè)至少一個(gè)自己的數(shù)據(jù)中心。巴西也在2013年開始制定政策,要求Google、Facebook等公司在境內(nèi)建立數(shù)據(jù)中心。印度政府要求公司須將部分IT基礎(chǔ)設(shè)施放在境內(nèi),給檢察部門用于訪問(wèn)加密信息。馬來(lái)西亞已經(jīng)通過(guò)了一個(gè)要求設(shè)置本地?cái)?shù)據(jù)服務(wù)器的立法。除此以外,俄羅斯、委內(nèi)瑞拉和尼日利亞也制定了相關(guān)立法,要求用于處理支付信息的IT基礎(chǔ)設(shè)施在境內(nèi)存放。
大多數(shù)國(guó)家除了前述數(shù)據(jù)中心本地化的要求以外,還要求數(shù)據(jù)在境內(nèi)存儲(chǔ)。表2對(duì)這些國(guó)家的做法進(jìn)行了梳理。
表2:部分提出數(shù)據(jù)本地存儲(chǔ)要求的國(guó)家的做法
2014年,歐盟國(guó)際政治經(jīng)濟(jì)中心(ECIPE)通過(guò)研究,模擬了跨境數(shù)據(jù)的影響,結(jié)果顯示,在短期來(lái)看,限制跨境數(shù)據(jù)流動(dòng)將會(huì)對(duì)GDP的增長(zhǎng)造成影響。例如巴西從2.3%降低到1.5%,印度從4.4%降低到3.6%,印尼從5.8降低到5.1%,韓國(guó)從2.8%降低到1.7%,歐盟從﹣0.5%降低到﹣1.6%。同時(shí),數(shù)據(jù)中心對(duì)能源需求較大,根據(jù)美國(guó)的預(yù)算,數(shù)據(jù)中心會(huì)消耗2%的能源供應(yīng),并且這個(gè)比例還在上升。一旦出現(xiàn)能源短缺或者黑客攻擊等安全事故,導(dǎo)致境內(nèi)數(shù)據(jù)中心癱瘓,將無(wú)法有效利用境外資源。特別在發(fā)展中國(guó)家,信息通信領(lǐng)域的技術(shù)和設(shè)施還相對(duì)落后,因此構(gòu)建數(shù)據(jù)中心的成本可能高于其他國(guó)家,要求企業(yè)只能使用國(guó)內(nèi)數(shù)據(jù)中心可能造成企業(yè)的成本增高。表3分別對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行限制的利弊進(jìn)行了總結(jié)。
表3:對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行限制的利與弊