互聯網上的跨境數據流動無處不在,個人用戶通過手機商店下載App,跨國企業在不同國家的分支機構之間傳輸商業數據,這些日常的個人和企業行為都引發了跨境數據流動。在“互聯網+”時代,互聯網與各行業深度結合,跨境數據流動牽涉范圍更廣,對公民個人權益、企業商業利益乃至國家安全影響更深,成為政府管理關注的重點。
綜合分析世界主要國家跨境數據流動安全管理經驗,國家在設計制度時一般都以維護本國關鍵利益為出發點,以數據分類管理和數據主體責任兩項基本制度為支柱,以融合國家間制度差異的非強制性規則和國家間互信機制為紐帶,構筑一套較為完善的跨境數據安全管理制度。
圍繞本國關鍵利益設置跨境數據流動規則
美國等制度較為成熟的國家,其跨境數據流動管理思路緊密圍繞本國的核心利益,為產業發展和國家安全保駕護航。以美國在TPP貿易協定談判中提出的知識產權條款為例,美國為保護其文化產業,尤其是好萊塢娛樂巨頭的經濟利益,將其《千禧年數字版權法案》中嚴格的知識產權侵權責任條款照搬進TPP談判中,主張允許知識產權人追蹤互聯網服務提供者為用戶所提供的音視頻、圖片等信息產品,這將賦予知識產權人跨國收集用戶信息的合法權利。例如,美國的知識產權人可以要求他國網站在向他國國民提供有關節目下載服務時,實時向美國知識產權人提供用戶下載信息,意在以此約束盜版行為,維護美國知識產權人的利益。
作為信息技術先進國家,美國擁有世界領先的云計算服務產業,美國在TPP中推行跨境數據自由流動,反對他國政府設置互聯網數據跨境流動限制措施,反對他國的數據本地存儲要求,意在為美國相關企業開拓國際市場掃清障礙。
建立跨境流動數據分級分類標準和管理制度
就跨境數據流動安全管理總體框架而言,目前世界各國尚無統一制度,但一般的通行思路都是對不同數據采取分級分類管理,并有針對性地采取不同的保護措施,確保跨境數據流動不得危及公民權益和國家安全。
一是重要的數據禁止跨境流動。例如,俄羅斯通過法令,要求本國公民信息必須存儲在俄羅斯境內;澳大利亞規定安全等級較高的政府數據不能存儲在任何離岸公共云數據庫中,而必須存儲在具有較高安全協議的私有云數據庫中;韓國則規定通信服務提供商應采取必要手段,防止有關工業、經濟、科學技術等重要信息通過互聯網向國外流動。
二是政府和公共部門的一般數據和行業技術數據有條件的限制跨境流動。例如,澳大利亞將政府信息分級,要求對其中的非保密信息也必須經過安全風險評估后才能實施外包。
三是普通個人數據允許跨境流動,但需要數據流入國滿足一定安全認證要求。目前多個國家都參與了數據跨境流動的國際或國家間認證,為本國數據流出和接受他國數據流入搭建通道。
明確設置數據相關主體的權利責任
目前國際上主要存在兩種跨境數據流動的權責模式:一是知情同意模式,歐盟、日本、俄羅斯等大多數國家都規定,收集數據時必須取得數據提交人的明示同意,以作為后續數據流動的必要條件,強調數據提交人的知情權。二是目的限制模式,美國法律規定,數據收集后的再利用必須秉持正當目的,強調通過數據利用的具體情境判斷數據流動的合法性。
綜合來看,以上兩種模式各有利弊。知情同意模式較為嚴厲,但復雜冗長的隱私條款往往使得數據提交人的知情權流于形式;目的限制模式較為寬松,但事后控制不利于提前發現和預防數據泄露、濫用,且對社會法治化程度要求較高。
推行非強制性管理手段彌合制度差異
歐盟為建立統一市場,消除各成員國既有制度對跨境數據流動形成的阻礙,采取了一系列非強制性的管理手段,創造一個盡可能統一的法制環境。此類制度雖然不具備強制性,但采納實施的國家或企業將獲得數據流動方面的便利。這種管理手段也被其他國家逐漸接受,成為跨境數據流動監管方面的典型制度。
一是國家間層面的“白名單”制度。歐盟將數據保護水平的充分性作為歐盟與境外國家跨境數據流動的基本原則。如果在歐盟成員國以外國家的企業需要處理來自歐盟成員國的跨境數據,企業所在國就要事先通過歐盟委員會或成員國的數據保護水平認證。歐盟委員會或成員國可通過以下兩個關鍵要素判定跨境數據流入國是否達到了“充分性”保護要求:要素一是跨境數據流入國的數據處理規則必須符合歐盟的要求,要素二是要有確保規則有效實施的機制。只有對于被認定為滿足“充分性”要求的國家(即“白名單”國家),歐盟成員國才可自由向該國企業轉移數據。
二是企業間層面的標準合同制度。歐盟標準合同以數據主體權益保護為目的,規定了數據轉移當事方和數據主體在數據保護上的權責分配關系。如果一國企業在與歐盟成員國企業的經濟往來中使用了標準合同,承諾按照合同履行其數據保護義務,便可以認定其滿足了數據保護“充分性”要求。
三是特殊情境下的約束性公司規則,該規則適用于在跨國企業內部、位于不同國家的分支機構之間的數據轉移。這一規則協議范本規定了數據保護原則、數據主體的權利、跨國企業的責任及爭議解決方式和救濟措施等事項。該規則需要得到分支機構所在國的批準,并可成為成員國向不具備“充分性”保護水平的國家轉移數據的法律依據。
積極參與或建立國家間認證等信任機制
跨境數據流動是一個國家間問題,各國正積極爭取獲得重要貿易伙伴國的數據保護認證。
一方面,歐美發達國家通過認證等雙邊機制建立信任關系。例如,美國與歐盟之間曾長期履行 “安全港”協議,承諾遵守“安全港”協議的美國企業能夠獲得數據保護“充分性”的認定,獲得處理來自歐盟成員國數據的資格。雖然“安全港”協議已于2015年10月被歐盟司法機構認定為無效,但認證協議已經成為國家間跨境數據流動的基本模式,幾經周折,目前美歐間也已達成新的數據轉移協議。此外,巴西、新加坡、墨西哥等國家為融入跨境數據流動國際協作也加快了本國數據保護立法和加入國際間認證機制的進程。
另一方面,國際組織也在積極構建跨境數據流動認證體系。2011年,亞太經合組織建立跨境商業個人隱私保護規則體系,由獲得認可的評估機構對商業機構保護個人隱私與信息的水平進行認證并公布,企業可自愿參與。美國為保障自身安全、最大化自身經濟利益積極加入這一體系, 極大提升了該體系的國際影響力,使體系未來可能成為地區主導的跨境數據流動框架。
京公網安備 11010502049343號