美國著名政治學(xué)者小約瑟夫·奈在《理解國際沖突:理論與歷史》一書中指出,一場信息革命正在改變世界政治,處于信息技術(shù)領(lǐng)先地位的國家可攫取更大的權(quán)力,相應(yīng)地,信息技術(shù)相對落后的國家則會失去很多權(quán)力。數(shù)據(jù)跨境流動不僅僅是傳統(tǒng)上個人隱私保護的問題,還牽涉商業(yè)層面是企業(yè)之間跨境貿(mào)易和企業(yè)走出去的問題,而數(shù)據(jù)流通的基礎(chǔ)規(guī)則,在很大程度上決定了國際貿(mào)易的規(guī)則,牽涉國家安全和國家主權(quán)。
美國著名政治學(xué)者小約瑟夫·奈在《理解國際沖突:理論與歷史》一書中指出,一場信息革命正在改變世界政治,處于信息技術(shù)領(lǐng)先地位的國家可攫取更大的權(quán)力,相應(yīng)地,信息技術(shù)相對落后的國家則會失去很多權(quán)力。數(shù)據(jù)跨境流動不僅僅是傳統(tǒng)上個人隱私保護的問題,還牽涉商業(yè)層面是企業(yè)之間跨境貿(mào)易和企業(yè)走出去的問題,而數(shù)據(jù)流通的基礎(chǔ)規(guī)則,在很大程度上決定了國際貿(mào)易的規(guī)則,牽涉國家安全和國家主權(quán)。
目前,國際上對跨境數(shù)據(jù)流動沒有統(tǒng)一的界定。從國際組織以及其他國家對跨境數(shù)據(jù)流動的管理與制度來看,主要有兩類理解:一是數(shù)據(jù)跨越國界的傳輸和處理;二是數(shù)據(jù)雖然沒有跨越國界,但能夠被第三國的主體訪問。跨境數(shù)據(jù)流通機制的總體原則是,數(shù)據(jù)在國外主體處受到的保護程度,不低于在國內(nèi)保護的程度。
在數(shù)字貿(mào)易環(huán)境下,跨境數(shù)據(jù)流動成為重要的推動因素,對全球經(jīng)濟的發(fā)展起到重要作用。2014年,麥肯錫全球研究院發(fā)布報告《數(shù)字時代的全球流動:貿(mào)易、金融、人和數(shù)據(jù)如何連接全球經(jīng)濟》,指出全球的五流(商品、服務(wù)、金融、人員和數(shù)據(jù))正在不斷增長,對全球GDP增長的貢獻為每年2500億至4500億美元,相當于全球經(jīng)濟增長的15%至25%。報告指出,與連通性較低的經(jīng)濟體相比,連通性較高的經(jīng)濟體獲得的收益最多高出40%。美國作為全球數(shù)字貿(mào)易最發(fā)達的國家,得益于數(shù)據(jù)的跨境流動。據(jù)美國國際貿(mào)易委員會(ITC)估計,數(shù)據(jù)流動使得美國的GDP增加了3.4至4.8個百分點,同時創(chuàng)造了240萬個就業(yè)崗位。
麥肯錫公司的數(shù)據(jù)顯示,單就數(shù)據(jù)流動而言,數(shù)據(jù)聯(lián)通最強的都是發(fā)達國家,而且多數(shù)為西方國家。荷蘭是歐洲互聯(lián)網(wǎng)流量的中心,排在第一位,接下來為德國、英國、法國、瑞典、新加坡和美國。不過,歐洲除外的每個洲消費的超過一半的數(shù)字化內(nèi)容是美國生產(chǎn)的,美國作為全球數(shù)字化網(wǎng)絡(luò)的中心受益匪淺。
國際框架協(xié)議與合作
最典型的框架是亞太隱私保護規(guī)則體系(CBPRs),該體系對我國的影響也比較大。
2011年,亞太經(jīng)合組織(APEC)建立跨境商業(yè)個人隱私保護規(guī)則體系(CBPR),由獲得認可的評估機構(gòu)對商業(yè)機構(gòu)保護個人隱私與信息的水平進行認證并公布,企業(yè)可自愿參與。美國為保障自身安全、最大化自身經(jīng)濟利益積極加入CBPR,極大提升了CBPR的國際影響力,使CBPR未來可能成為地區(qū)主導(dǎo)的跨境數(shù)據(jù)流動框架。
CBPRs從國家層面來看,是非約束性的體系。國家推出責(zé)任代理機構(gòu),由它認定各個國家的企業(yè)是否遵循了CBPRs的體系,如果遵循的話,在企業(yè)加入這個體系以后,企業(yè)和企業(yè)之間可以進行數(shù)據(jù)的自由交換。2015年8月底CBPRs和歐盟BCR(歐盟企業(yè)之間約束性企業(yè)規(guī)則)的起草單位就雙方融合之后的可行性進行了探討,一旦體系互認以后會具有非常廣泛的覆蓋性。
BCR和SCC(標準合同條款)國際上用的最好的協(xié)議規(guī)則,尤其是BCR比較成熟,企業(yè)用起來比較靈活和方便。標準格式合同管理模式即由政府對跨境數(shù)據(jù)處理合同條款中應(yīng)當包含的安全管理內(nèi)容進行規(guī)定。例如,在歐盟,由數(shù)據(jù)保護主管部門制定標準格式合同條款,在條款中依據(jù)數(shù)據(jù)保護法的原則納入數(shù)據(jù)保護的要求,企業(yè)之間簽訂的跨境數(shù)據(jù)流動處理合同如果包含了格式合同的條款,則無需經(jīng)數(shù)據(jù)保護主管部門同意即可實現(xiàn)跨境數(shù)據(jù)流動。
跨境數(shù)據(jù)流動是一個國家間問題,各國正積極爭取獲得重要貿(mào)易伙伴國的數(shù)據(jù)保護認證。例如,美國與歐盟之間曾長期履行“安全港”協(xié)議,承諾遵守“安全港”協(xié)議的美國企業(yè)能夠獲得數(shù)據(jù)保護“充分性”的認定,獲得處理來自歐盟成員國數(shù)據(jù)的資格。該協(xié)議確認安全港隱私原則及附屬條款對個人數(shù)據(jù)的保護達到了歐盟的充分保護要求。
“2013年,美國監(jiān)控丑聞曝光,歐盟成員國數(shù)據(jù)保護機構(gòu)紛紛質(zhì)疑安全港協(xié)定;于是,2014年1月,歐盟和美國開始啟動談判,磋商新的數(shù)據(jù)跨境協(xié)定,以取代當時還有效的安全港協(xié)定。2015年10月6日,歐盟法院一紙判決否決了安全港協(xié)定,數(shù)千美國企業(yè)跨大西洋轉(zhuǎn)移歐盟公民個人數(shù)據(jù)失去庇護。11月6日,歐洲委員會發(fā)布指南,在督促盡快達成新協(xié)定的同時,為保障跨大西洋轉(zhuǎn)移個人數(shù)據(jù)提出其他可選方案,包括合同方案和有效公司規(guī)則。2016年2月2日,歐洲委員會宣布,雙方已經(jīng)達成一個新協(xié)定,名曰“歐盟-美國隱私護盾”(EU-SU Privacy Shield)。2月29日,隱私護盾公之于眾。”
同安全港一樣,隱私護盾也包含七大隱私原則,但是內(nèi)涵要比安全港隱私原則豐富。
表1:隱私護盾七大隱私原則
此外,巴西、新加坡、墨西哥等國家為融入跨境數(shù)據(jù)流動國際協(xié)作也加快了本國數(shù)據(jù)保護立法和加入國際認證機制的進程。美國構(gòu)建全球隱私保護執(zhí)法網(wǎng)絡(luò)(GPEN),目前認同程度不高,成效還有待觀察。
分級分類管理政策
就跨境數(shù)據(jù)流動安全管理總體框架而言,目前世界各國尚無統(tǒng)一制度,但一般的通行思路都是對不同數(shù)據(jù)采取分級分類管理,并有針對性地采取不同的保護措施,確保跨境數(shù)據(jù)流動不得危及公民權(quán)益和國家安全。
一是重要的數(shù)據(jù)禁止跨境流動。例如,俄羅斯通過法令,要求本國公民信息必須存儲在俄羅斯境內(nèi);澳大利亞規(guī)定安全等級較高的政府數(shù)據(jù)不能存儲在任何離岸公共云數(shù)據(jù)庫中,而必須存儲在具有較高安全協(xié)議的私有云數(shù)據(jù)庫中;韓國《信息通信網(wǎng)絡(luò)的促進利用與信息保護法》第51條規(guī)定,政府可要求信息通信服務(wù)的提供商或用戶采取必要手段防止任何有關(guān)工業(yè)、經(jīng)濟、科學(xué)、技術(shù)等的重要信息通過通信網(wǎng)絡(luò)向國外流動。二是政府和公共部門的一般數(shù)據(jù)和行業(yè)技術(shù)數(shù)據(jù)有條件的限制跨境流動。例如,澳大利亞將政府信息分級,要求對其中的非保密信息也必須經(jīng)過安全風(fēng)險評估后才能實施外包。三是普通個人數(shù)據(jù)允許跨境流動,但需要數(shù)據(jù)流入國滿足一定安全認證要求。目前多個國家都參與了數(shù)據(jù)跨境流動的國際或國家間認證,為本國數(shù)據(jù)流出和接受他國數(shù)據(jù)流入搭建通道。
美國等制度較為成熟的國家,其跨境數(shù)據(jù)流動管理思路緊密圍繞本國的核心利益。以美國在TPP貿(mào)易協(xié)定談判中提出的知識產(chǎn)權(quán)條款為例,美國為保護其文化產(chǎn)業(yè),將其《千禧年數(shù)字版權(quán)法案》中嚴格的知識產(chǎn)權(quán)侵權(quán)責(zé)任條款照搬進TPP談判中,主張允許知識產(chǎn)權(quán)人追蹤互聯(lián)網(wǎng)服務(wù)提供者為用戶所提供的音視頻、圖片等信息產(chǎn)品。在歐盟,根據(jù)1995年《數(shù)據(jù)保護指令》,在實施數(shù)據(jù)處理之前,數(shù)據(jù)控制者應(yīng)當向監(jiān)管機構(gòu)報告;對可能給數(shù)據(jù)主體的權(quán)利和自由帶來特殊危險的數(shù)據(jù)處理行為在實施之前進行審查。
立法與配套手段建立
目前國際上主要存在兩種跨境數(shù)據(jù)流動的權(quán)責(zé)模式:
一是知情同意模式,歐盟、日本、俄羅斯等大多數(shù)國家都規(guī)定,收集數(shù)據(jù)時必須取得數(shù)據(jù)提交人的明示同意,以作為后續(xù)數(shù)據(jù)流動的必要條件,強調(diào)數(shù)據(jù)提交人的知情權(quán)。
二是目的限制模式,如美國法律規(guī)定,數(shù)據(jù)收集后的再利用必須秉持正當目的,強調(diào)通過數(shù)據(jù)利用的具體情境判斷數(shù)據(jù)流動的合法性。
跨境數(shù)據(jù)流通的主要合法性機制除國際框架和協(xié)議之外,還包括充分性認定、當事人同意、企業(yè)自我評估及數(shù)據(jù)本土化等思路和機制。
充分性認定以歐盟為例,歐盟有自己的法律規(guī)定就是數(shù)據(jù)要流通到資料保護充分的國家和地區(qū),目前認定的有加拿大、阿根廷等,但是這個認定非常局限,認定的國家的法律模式都是遵循歐盟而來的。
當事人同意是合法的,但當事人可以隨時撤銷,認定充分性有很高的門檻。在網(wǎng)絡(luò)條件下沒有達到充分性,經(jīng)常有可能被撤回,對企業(yè)來說是非常不劃算的,這是風(fēng)險非常高的機制。
企業(yè)自我認證和自我評估以英國為例,英國數(shù)據(jù)保護機構(gòu)ICO出臺了一個隱私保護的指導(dǎo)方案,企業(yè)可以進行自我評估,評估數(shù)據(jù)流通的狀況是否符合國際上遵循的標準,如果自我評估良好的話,可以對對方國家進行認證和證明,然而歐盟層面不贊同這個機制。安全評估認證制度主要是指數(shù)據(jù)控制者在將數(shù)據(jù)轉(zhuǎn)移至境外前,要對數(shù)據(jù)安全風(fēng)險進行評估或者認證。從目前來看,風(fēng)險評估主要是針對政府和公共部門的數(shù)據(jù)轉(zhuǎn)移至境外的情況。根據(jù)《澳大利亞政府信息外包、離岸存儲和處理ICT安排政策與風(fēng)險管理指南》所述,澳大利亞的政府信息分為幾個層級。其中對于非保密的信息,要求政府機構(gòu)須經(jīng)安全風(fēng)險評估之后才能實施外包。
推行非強制性管理手段彌合制度差異。歐盟為建立統(tǒng)一市場,消除各成員國既有制度對跨境數(shù)據(jù)流動形成的阻礙,采取了一系列非強制性的管理手段,創(chuàng)造一個盡可能統(tǒng)一的法制環(huán)境。此類制度雖然不具備強制性,但采納實施的國家或企業(yè)將獲得數(shù)據(jù)流動方面的便利。這種管理手段也被其他國家逐漸接受,成為跨境數(shù)據(jù)流動監(jiān)管方面的典型制度。
流動限制之利弊
目前對跨境數(shù)據(jù)流動的限制,主要是兩個方面,一是要求在境內(nèi)建設(shè)數(shù)據(jù)中心;二是要求數(shù)據(jù)必須存儲在境內(nèi)。一些國家將企業(yè)在境內(nèi)建立數(shù)據(jù)中心作為允許其開展服務(wù)的條件之一。越南在2013年發(fā)布法令,要求所有的互聯(lián)網(wǎng)服務(wù)提供者,例如Google、Facebook等公司在境內(nèi)建設(shè)至少一個自己的數(shù)據(jù)中心。巴西也在2013年開始制定政策,要求Google、Facebook等公司在境內(nèi)建立數(shù)據(jù)中心。印度政府要求公司須將部分IT基礎(chǔ)設(shè)施放在境內(nèi),給檢察部門用于訪問加密信息。馬來西亞已經(jīng)通過了一個要求設(shè)置本地數(shù)據(jù)服務(wù)器的立法。除此以外,俄羅斯、委內(nèi)瑞拉和尼日利亞也制定了相關(guān)立法,要求用于處理支付信息的IT基礎(chǔ)設(shè)施在境內(nèi)存放。
大多數(shù)國家除了前述數(shù)據(jù)中心本地化的要求以外,還要求數(shù)據(jù)在境內(nèi)存儲。表2對這些國家的做法進行了梳理。
表2:部分提出數(shù)據(jù)本地存儲要求的國家的做法
2014年,歐盟國際政治經(jīng)濟中心(ECIPE)通過研究,模擬了跨境數(shù)據(jù)的影響,結(jié)果顯示,在短期來看,限制跨境數(shù)據(jù)流動將會對GDP的增長造成影響。例如巴西從2.3%降低到1.5%,印度從4.4%降低到3.6%,印尼從5.8降低到5.1%,韓國從2.8%降低到1.7%,歐盟從﹣0.5%降低到﹣1.6%。同時,數(shù)據(jù)中心對能源需求較大,根據(jù)美國的預(yù)算,數(shù)據(jù)中心會消耗2%的能源供應(yīng),并且這個比例還在上升。一旦出現(xiàn)能源短缺或者黑客攻擊等安全事故,導(dǎo)致境內(nèi)數(shù)據(jù)中心癱瘓,將無法有效利用境外資源。特別在發(fā)展中國家,信息通信領(lǐng)域的技術(shù)和設(shè)施還相對落后,因此構(gòu)建數(shù)據(jù)中心的成本可能高于其他國家,要求企業(yè)只能使用國內(nèi)數(shù)據(jù)中心可能造成企業(yè)的成本增高。表3分別對數(shù)據(jù)跨境流動進行限制的利弊進行了總結(jié)。
表3:對跨境數(shù)據(jù)流動進行限制的利與弊
京公網(wǎng)安備 11010502049343號