引言
数据的跨境流动是经济全球化和数字经济发展的必然,对于可能出现的各类风险,不同国家的应对机制各有特点,也各有经验脉络可循。近年来中国部分领域的监管性立法倾向于采用数据本地化方式处理,较少参与数据跨境转移的国际合作。对此,我们重点考察了境外数据本地化和管辖冲突相关的政策法律,并提出对未来中国立法与监管相应的建议。
人类社会正在迈入数据时代,几乎所有的行业都在经历“数据 +”的过程。这些以“在线”与“互联”为基本特征的数据,其安全风险的蔓延与传导速度越来越快,并轻松突破地区甚至国家的边界,例如去年席卷全球的勒索病毒 WannaCry;网状多点且不断迭代的网络空间对现实社会的映射,使得国家基于物理控制构建对陆、海、空、天相对稳定的管辖权秩序,容易在网络空间失灵;市场机制下的企业,为取得竞争优势,往往倾向于尽可能多地获取与利用数据,同时为了降低运营成本,会更依赖网络而非线下实体拓展市场,特别是境外市场;大数据的利用成为“黑箱”的风险越来越高,公民合法权益保障特别是在境外法域的难度不断增高。
面对这样的安全态势,主要国家和地区纷纷对数据跨境流动采取了相应的监管措施。虽然当前各国政治法律背景和制度不同,但通过比较发现,一些国家(包括中国)有着共同的数据本地化的策略选择倾向。然而,是否数据本地化就能够消弭风险,解决问题?如何应对管辖冲突问题?基于这样的疑惑,我们结合产业实践,对近年来境外主要国家和地区数据跨境流动政策法律进行分析。
自由流动是数据的本质特征
信息是人类社会一切有组织活动的纽带。人类社会的发展史,也可以看作是信息传递方式改良与效率提升的演进史。从农业社会的纸张,到工业社会的印刷机、广播与电话,再到信息社会的计算机,在这一过程中,承载信息内容的各类载体的传播自由度和效率越来越高,成为推动社会进步的重要动力。
数据是网络空间信息内容的基本载体,互联网的本质就是数据的流动。消除信息不对称、市场壁垒以及聚合数据的价值等均离不开数据的流动,可以说数据自由流动是全球数字经济持续发展的必须基础。因此,欧美等主要国家在其政策法律文件中也纷纷强调对数据自由流动的重视。
例如,欧盟“单一数字市场”战略中提出三大支柱之一就是最大化实现数字经济的增长潜力,提出“欧洲数据自由流动倡议”,推动欧盟范围的数据资源自由流动。 2018 年 10 月4 日欧洲议会表决通过的《非个人数据自由流动条例》更是在法律层面全面阐明了欧盟对非个人数据跨境流动的立场,即在欧洲单一市场之内,要“消除非个人数据在储存和处理方面的地域限制”。该条例明确提出除法律明确声明的公共安全限制外,其他限制均必须废止。美国则长期以来一直强调“在合法公共政策目标得到保障的前提下,强调数据实现全球自由流动”。
数据本地化的缘起与表现
面对数据跨境流动风险,如何保障本国对有关数据的管辖?纵观选择数据本地化措施的国家,可以发现相关政策法律的核心问题是如何保护数据相关主体(如国家、国内企业或者个人信息主体)的权利与利益。
国家安全与利益保护的数据本地化
国家安全与利益保护目的下的数据本地化监管,通常有以下两种类型:
一是原则上特定数据须本地存储,出口需取得单独许可证。例如西方国家长期通过《瓦森纳协定》和相应出口管制法律,对涉及特定敏感技术数据出境设定许可要求。例如,在美国受管制的技术数据“传输”到位于美国境外的服务器保存或处理,需要取得商务部产业与安全局(BIS)的出口许可,即便是利用云计算或者网络邮件跨境转移数据。BIS 强调“只要是开发、生产或使用受管控产品相关所有的、非已公开的数据,一旦该服务使用超出美国国境服务器网络,数据从用户传送到服务器构成了“传输”,需要取得许可证的出口。”
二是只允许特定数据的本地存储。目前公开可查的法律中,基本未见只进行本地存储的要求,除非在国际禁运、制裁等领域,法律禁止向有关国家转移特定数据。但没有明确的法律要求,这意味着没有特定数据只进行本地存储的政策引导。典型的是西方国家普遍在政府采购和外商投资领域适用安全审查。例如,通过《联邦风险和授权管理计划》(FedRAMP)认 证 的 亚 马 逊 美 国 政 务 云 服 务(GovCloud US Region)在官网公开承诺,该政务云只能由在美国境内且具有美国公民身份的员工才能操作,美国实体和根帐户持有人必须经过审核确认其为美国公民才可以访问。美国外资投资委员会(CFIUS)发布的报告也显示在安全协议(Mitigation Measures)中往往会有只允许美国公民负责特定产品或服务,以确保相关活动或产品位于美国境内的约定内容。
需要指出的是,基于国家安全与利益保护目的而提出的数据本地化存储要求,实际适用范围非常有限。特定数据出口许可,往往实行清单式的许可管理,不会超出清单设定出口许可;只允许特定数据本地存储,往往出现在相对不公开的安全评估或者行政合同中,且仅是可能的结果之一。并且,国家安全与利益的内涵也受到严格限制,例如欧盟《非个人数据自由流动条例》使用的是非常限缩的“公共安全”的概念,即“任何成员国不得提出非个人数据的本地化(特定成员国领土)要求,除非以公共安全为理由,其他限制性立法均要在一年内废除”。即便是公共安全的理由,也要说明具体情况,通知欧盟委员会,并在线公开相关细节。
个人信息相关权利保护的数据本地化
为充分保护个人信息主体的权利,特别是出于境外国家无法充分保护欧盟公民个人信息相关权利的担心,以欧盟成员国为代表的国家对本国境内个人信息向境外转移提出了保护性要求,即要么明确取得用户的同意,要么出于法定的豁免理由,要么境外目的地与本国有相关条约约定,否则有关个人信息不得转移到本国境外。对此,近年来欧盟还强化了两方面的措施:
一是数据保护法律适用范围扩张到欧盟境外。向欧盟境内用户提供服务,或者持续监测追踪欧盟境内用户的网络服务提供者可能也需要适用欧盟数据保护相关法律规定。
二是扩大数据跨境转移的白名单国家范围。除了欧洲经济区(EEA)以及其他欧盟已认定的能够为欧盟用户提供充分保护的国家与地区,近年欧盟正在加紧与韩国、日本就数据跨境流动充分性认证进行谈判,日本有望首先与欧盟达成有关协议。欧盟与美国的隐私盾协议的实施评估也一直在进行。
这种基于个人信息相关权利保护的数据向境外转移的限制,严格说其实不属于跨境数据流动监管措施,而是属于在个人信息相关权利可能面临风险的情况下,保障用户对其数据被转移到境外的知情权和选择权。
对境外数据的管辖困境与数据本地化
本国政府主张对本国境内数据的管辖权,是无可厚非的,这是国家主权原则的体现。但是随着网络的全球化程度日深,有关国家执法部门可能遇到本国公民使用的网络服务,其服务提供方所用服务器及相应的数据不在本国境内的窘境,甚至服务提供方在本国也无任何实体或代表机构。这样的情况下,相关国家可能会有几个选择:
一是借助执法合作或者司法协助间接实现管辖权。多数国家和地区依赖这种方式实现对境外数据的管辖。其中最为传统的模式是双边或者多边司法协助,例如依托《海牙取证公约》或者双边司法协助条约。但是这类渠道耗时长,成本高,效率相对较低。对此,西方国家也通过特定领域的双边或者多边合作实现快速响应。例如,《布达佩斯网络犯罪公约》缔约国之间的网络犯罪执法协助机制,美国与欧洲执法机构在反恐、航空、金融反洗钱等领域的数据共享机制等。
二是要求数据先行进行本地化存储。目前看,在法律中提出数据先行本地化存储要求的还比较少,主要是俄罗斯、印尼及中国等。俄罗斯 2014 年修订的《个人数据保护法》要求所有数据处理者应当“确保个人相关数据的记录、系统化、积累、存储、修改和读取应当使用俄罗斯境内的数据中心,包括通过互联网的方式”。印尼《关于提供系统和电子交易的监管条例》第 17 条第 2 款规定,“公共服务电子系统运营者有义务将数据中心和灾难恢复中心设置在印尼领土内,以便于国家执法,保护和落实对其公民数据的主权”。这两个国家在法律上提出数据先行本地化存储的同时,也明确了后续个人信息若要跨境转移,需取得用户同意等条件。
三是直接主张对存储于境外数据的司法管辖权。例如,2018 年 3 月美国国会通过了《澄清合法使用数据法》(CLOUD 法案)。CLOUD法案首先确认,根据美国《电子通信隐私法案》(ECPA)而向受管辖的科技公司发出的法律程序(legal process)可以取得该公司所拥有、保管或控制的数据,无论数据存储于何处(即使存储于美国境外)。但是这样的法律规定,必然会出现与境外数据所在地国家司法主权的冲突问题,法律的有效落地实际上有赖于美国的国际经济与政治的强势地位以及与相关国家的合作。
数据跨境流动的监管原则与路径思考
综上分析可以发现,数据跨境流动的监管是无法一刀切地。在数据越来越成为驱动数字经济发展的“新能源”和相关产业乃至国家竞争的基础性资源的背景下,涉及数据跨境流动的监管更需要审慎。
主张数据本地化须坚持必要利益保护原则和市场损害最小化原则
我国在对数据跨境转移进行监管时,往往比较依赖数据本地化。例如《人口健康信息管理办法(试行)》直接禁止在境外存储人口健康信息,《保险公司开业验收指引》要求保险公司业务数据、财务数据等重要数据存放在中国境内。有些立法虽然则简单要求将服务器设置在境内,但未明确数据可否出境,实际上这种简单化立法放任了风险的存在。例如《地图管理条例》要求互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内。按照“法无禁止皆可为”的原则,互联网地图服务单位实际仍然可以在本地化服务器的基础上向境外转移数据。
数据本地化的要求,是将原本直接的境内外数据交换活动拆分为本地化存储和评估是否可出境转移两个活动。新增的两个环节,对市场成本、效率影响非常大,特别是在数据本地存储后不可再向境外转移的情况下,有关商业活动将直接被中止。为此,从国外立法上来看,主要国家的数据本地化策略是,市场仍然在数据跨境转移中发挥基础性作用,只是基于国家安全和利益的必要保护,或者个人信息相关权利的必要保护,在非常特定领域内特定类型数据需符合向境外转移的条件,否则不得出境。
当前,国际社会基本上采取数据本地化保护的数据类型及保护措施,基本集中在个人信息出境和影响国家安全和利益的数据出境。相关保护措施一旦适用方式不当或者适用范围过大,较容易被认定为贸易保护主义,从而引发国际贸易争端。
中国已在《网络安全法》第 37 条中就关键信息基础设施数据出境提出了安全评估要求,但是其涉及的重要数据和个人信息本身涉及截然不同的法益,需要结合必要利益保护原则和市场损害最小化原则,确定对应评估方式,严格限缩评估的适用范围,明确评估的各项要求与程序。
主张数据管辖权须同步解决管辖冲突
由于数据的大规模全球化流动,为保护本国法律下的重要法益,主张对境外数据实行必要的保护性管辖是必要的,无论是直接或者间接的。对于可能的管辖冲突,主要国家立法中一般会有解决方案。例如,当非欧盟企业的业务可能适用欧盟《一般数据保护条例》时,该企业所在国家可选择通过欧盟数据充分保护国家和地区认定,或者选择征得用户明确同意,或者采用约束性企业规则、行业协会认证、欧盟第三方专门认证等来进行数据的跨境流动。再如,美国调取境外存储数据的执法存在困境,迅速出台 CLOUD 法案,既明确了美国执法部门调取存储在美国境外数据的条件,也为企业拒绝提供的抗辩设定了若干条件,且为美国及可能与美国签署双边司法互惠协议的外国政府创设了新的数据跨境请求的双边协议框架。
中国的《国际刑事司法协助法》明确阻断了直接来自外国政府对境内的机构、组织和个人控制的数据的刑事司法管辖权。非经中华人民共和国主管机关同意,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和法律规定的协助。但是在仅有简单立场下,不足以解决当面国内执法机构和企业面临的数据管辖冲突问题。未来在《数据安全法》中,应当明确解决中国境内企业是否需向境外执法机构提供数据的问题,以及和数据相关的国际执法协作的框架与条件问题。
分级分类分区域推进数据跨境转移的监管措施
数据的信息内容包容万象,不同类型数据涉及的法益不同,实际的监管机制也会不一样。对于国际数据跨境流动的管理而言,坚持整体数据的有序自由流动是基本前提,涉及特殊主体权益数据的分类监管是例外。即在数据资源的全球配置过程中,市场规律依然发挥着基础作用。只是在市场容易失灵的领域,如涉及公民权利的个人信息出境,与国家安全相关,重要社会公共利益的数据出境,存在让用户参与给出同意和政府参与评估决策的立法案例。
当前,中国和其他国家一样,在数据出境如何进行分级分类监管问题上,均没有体系性立法。相比境外国家,中国有关部门更偏好本地化存储,且在提出数据本地化但未禁止数据出境的场景中,缺少相对应的程序化规定。
另外,中国还存在特殊区域的数据跨境流动法律适用问题,例如港澳台地区、内地的自由贸易试验区等。为充分利用特殊区域的政策优势、产业优势,在确保可监管或者能确信的前提下,建议对这些区域与内地其他地区之间的数据流动施行相对宽松的监管要求。
大力鼓励数据跨境流动的市场化解决方案
数据跨境流动本身属于市场化行为,市场主体应当发挥更加积极的作用。很多时候监管部门所关切的数据跨境转移背后的国家安全与利益保护、个人信息相关合法权利保护的问题,企业出于保护客户、保持竞争优势、维护市场秩序与环境等原因同样也非常关切。未来的《数据安全法》《个人信息保护法》均应当注意充分调动企业的行业自律积极性,鼓励企业参与数据安全的国内国际标准制定中,推广有关最佳实践。
着力构建数据跨境流动的国际互信合作机制
数据跨境流动的监管离不开国际互信合作。无论是欧盟和美国,都在积极对外输出数据跨境转移的监管理念与模式。例如欧盟的个人信息保护引领了全球个人信息保护与跨境转移的立法。西方国家在敏感技术数据出境许可、网络犯罪执法协助等问题上也达成了一致。美国一直坚持将数据自由流动作为贸易协议的一部分,美欧之间在个人信息跨境转移问题上也达成了《隐私盾协议》。
在数据跨境流动监管问题上,对数字经济发展负面影响最大的不是数据本地化政策本身,而是只强调或者依赖数据本地化,放任已实现本地化存储的数据出境,且怠于参加数据跨境流动的国际互信合作。建议中国在区域和双边经济合作中及“一带一路”的建设中,充分考虑构建数据跨境流动的国际互信合作机制的可行性,进一步便利中国与相关国家地区之间的数据往来。
结语
我们正处于数字经济时代,数据的全球融通,是当前大势,更是未来趋势。过于依赖数据本地化,不掌握数据管辖与国际协作的主动权,我们将无法有效利用中国巨大消费市场对全球数据的虹吸作用,甚至让境外机构望而却步。我们的数据跨境流动监管及背后的立法,不仅要看到风险,更要善于发现机遇,通过搭建有利的政策法律环境,把境内、境外数据都“吸引”到国内的数据产业链中,促使中国成为能够充分聚合和利用全球数据的网络强国。
作者:顾伟, 阿里巴巴集团法律研究中心副主任,研究方向:信息法。
(本文选自《信息安全与通信保密》2018年第十二期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。