2019年5月15日晚,复旦大学金沙威尼斯欢乐娱人城许多奇教授莅临金沙威尼斯欢乐娱人城。许教授以“个人数据跨境流动的国际格局及中国应对”为题,为我院师生带来了一场精彩的讲座。讲座由金沙威尼斯欢乐娱人城副院长宋晓教授主持,宋亚辉副教授、张华副教授和章晶老师参与了此次讲座。讲座开始前,宋晓教授介绍了许多奇教授的学术成就,并对许教授的此次到来表示热烈欢迎。
许教授指出,随着互联网及经济全球的发展,数据在社会中扮演的角色日益重要。欧盟和美国出于各自的历史传统和现实诉求,创建了个人数据跨境流动规制的两大立法体系。深入探讨欧盟和美国立法的内容和成因,剖析其所体现的深层次国家需求和利益博弈,对于完善我国的数据跨境流动规制立法和参与国际规则的制定,都具有重要意义。
一、欧盟: 严格限制个人数据跨境流动的规制体系
欧盟关于个人数据跨境流动规制的立法体系主要是由1981 年欧洲理事会的《与个人数据自动化处理有关的个人保护公约》、1995 年的《欧盟指令》和2016 年的欧盟《条例》三个标志性法律文件构成的。
1981 年欧洲理事会通过的《公约》( European Treaty Series,No.108),是欧洲第一个针对跨境数据流动进行规制的区域性法律文件。《公约》规定: 对正在或将要被自动化处理的跨境数据转移原则上是可以进行限制的,成员国可以自行制定有关跨境数据传输的限制性规定,如转移数据的类型等。
欧盟逐步开始考虑数据脱离欧盟管辖区的实际风险,数据跨境规制日渐严格化。欧盟1995 年发布的《个人数据保护指令》( EU Directive 95 /46 /EC)即建立了较高的数据保护标准,其中提出了著名的“充分保护原则”。《指令》第25 条规定: 只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下,才可以进行数据转移,从而确立了欧盟个人在电子商务和借助大跨国公司经营的社交媒体和邮件通信时的隐私权保护规范。欧盟承认的具有充分数据保护能力的国家仅包括加拿大、瑞士、阿根廷等12 个。
为了回应新兴技术对个人数据保护造成的冲击,建立统一的内部法律框架应对新技术的发展,并克服成员国立法保护水平差异给数据经济市场发展造成的障碍,欧洲议会和欧盟理事会于2016 年4 月14 日通过了新的个人数据保护法,即《通用数据保护条例》( General Data Protection Regulation,以下简称GDPR) ,该条例于2018 年5 月25 日正式生效。GDPR不仅在所有成员国范围内直接具有法律约束力,而且谋求更大的域外效力,明确规定条例对在欧盟境外处理个人数据的行为也具有适用效力,即向欧盟公民提供服务或在欧盟市场内经营的公司,GDPR都有管辖权。在数据跨境问题上,GDPR增加了更多可实现个人数据跨境转移的条件,并再次强调欧盟不允许将其公民的个人数据转移至那些不能提供充分保护的地区和国家。GDPR被称为史上最严格、保护水平最高的数据保护规则。
总之,上述“公约”、“指令”和“条例”三个法律文件的约束力逐渐增强,对个人数据跨境转移的限制越来越严格,充分表明了欧盟希望通过立法的不断完善保障欧洲共同体整体数据保护水平的诉求。
二、美国: 通过双边或多边协议强化数据跨境的体系
美国通过多种途径促进数据跨境,主要作法有以下两种:
一是与欧盟签订双边协议,为企业获得数据跨境传输资格。美国商务部与欧盟委员会于2000 年11 月1 日达成了《美欧安全港协议》( U.S.-EU Safe Harbor Framework)。《安全港协议》规定了七项隐私权保护原则: 通知原则、选择原则、向前转移原则、安全原则、数据完全性原则、接入原则和执行原则。欧盟委员会认为美国的商业机构只要能够制定并遵守符合上述《安全港原则》的隐私保护政策,就可以加入安全港并被认定为达到《欧盟指令》所要求的“充分保护水平”,进而可以接收和处理来自欧盟的个人数据。如果违反一系列隐私原则,欧盟数据保护机构有权中止数据跨境流动。《安全港协议》暂时缓和了欧盟强制规范与美国行业自律之间的矛盾,促进了美国企业在欧洲的发展与扩张。
2015 年10 月6 日,欧盟法院( Court of Justice of the European Union ( CJEU)裁定《安全港协议》无效,认为安全港协议目前已经无法达到欧盟的数据保护标准,无法阻止公司将数据文件泄露给未授权方。
2016 年7 月12 日欧盟与美国达成《欧美隐私盾协议》( EU-U.S. Privacy Shield Framework) ,成为规制双方数据流动的新妥协方案。
《隐私盾协议》的核心是对大西洋两岸跨境转移个人数据的隐私保护进行规范,为大西洋两岸的欧洲和美国企业从欧盟向美国传输个人数据过程中提供欧盟数据保护规定的合规机制,并支持跨大西洋商业合作的发展。美国企业也采取自愿加入的方式接受《隐私盾协议》,也要遵守《安全港协议》提出的七项基本原则。但是《隐私盾协议》克服了《安全港协议》存在的一些缺陷及弊端,对美国公司施加更重的个人数据保护义务。此外,《隐私盾协议》强化了监督与实施机制,赋予欧盟公民更丰富的救济权利和救济手段 。
二是借助亚太区域经济合作推广自身模式,争取数据跨境领域的话语权。与欧盟相比,美国在参与数据跨境流动规制方面少有话语权。随着全球进入信息社会,美国并不甘心在这一领域处于由其他经济体制制定规则的地位,它依靠其在亚太地区的政治经济影响力推动构建有别于欧盟的规则体系,并使之逐渐获得了执行力与约束力。
亚洲太平洋经济合作组织( APEC) 于2004 年通过的“隐私框架”( APEC Privacy Framework)从促进跨境数据自由流动的思想和目的出发,显然是美国起主导作用的产物。经合组织的《跨境隐私规则体系》( Cross-Border Privacy Rules,CBPRs) 于2012 年正式启动,并于2013 年通过。CBPRs 是美国加入和支持的数据保护倡议。它以APEC 隐私框架为基础,也是旨在确保个人信息的跨境自由流动。不同的是,CBPRs 引入了隐私执法机构和问责代理机构,因而对加入的企业形成了实际的约束作用。
近年来,美国又将跨境数据流动内容纳入自由贸易协定( FTA) 谈判,以期借助政治经济实力在这些具有较强约束力的“一揽子”协议中推行自己的数据跨境规则。2012 年达成的《美韩自由贸易协定》 ( U.S.-South Korea Free Trade Agreement) 第一次在FTAs 电子商务章节引入跨境数据流动规则。2015 年,在美国主导下达成的《跨太平洋战略经济伙伴关系协定》( TPP) 中也专门引入了“商业信息跨境自由传输条款”。TPP明确规定成员方可以为了实现特定合法公共政策目标而采取限制性措施,前提是“该措施不构成任意或不合理歧视的手段或构成对贸易的变相限制”。
总之,由美国主导将跨境数据流动规则纳入自由贸易协定谈判,使自己“跨境数据自由流动”的主张和规则在一定条件下为缔约国所接受,并具有较强的约束力。
三、个人数据跨境流动欧美两大规制体系的比较分析
欧盟更强调个人数据权的保护,这与欧洲的人权保护传统有着密切的关系。早在1953 年,欧洲理事会就批准了《人权保护及基本自由公约》,即著名的《欧洲人权公约》。长期以来,欧洲数据保护都是与隐私权相联系的,通说认为数据权是隐私权的一部分,所谓的个人数据和信息保护不过是从“信息视角”对隐私权的一种解读。这也构成欧盟在跨境数据流动规制上的基本立场。
与欧盟将数据权作为一种基本人权,并通过苛严的立法提升保护水平的作法不同,美国政府和实务界反对立法规范个人数据处理行为,认为强硬的法律结构会“不可避免地阻碍商业活动”,而奉行以市场为主导,以行业自律为中心的个人数据保护政策。这种立场从根本上决定了美国在跨境数据流动上的诉求是更加看重数据自由流动和经济利益,更希望通过促进数据跨境维护业已建立的信息优势。在大数据时代,美国更清醒地意识到数据利用意味着价值和机遇,也更透彻地理解促进数据跨境流动对国家利益产生的潜在裨益。为此,它更加重视通过鼓励数据跨境流动确立和固化“数据占有和利用”的优势,最大限度地攫取“数据金矿”。
在数据跨境流动的价值目标中,数据自由流动和数据权保护两者缺一不可。一方面,跨境数据流动在全球的价值创造能力不容忽视,不仅欧美之间有巨大的跨境数据流动需求,而且在全球范围内一半的服务贸易要依靠跨境数据流动实现; 另一方面,不断提高个人数据权保护水平对于提振消费者对数字贸易的信心有积极作用,也是社会发展进步的必然要求。如何在未来的规则设计中,实现数据权保护与数据自由流动两大目标的协调,是一个值得深入探讨的课题。
欧盟的规制路径对于欧盟内部和外部的数据流动采用了不同标准。它通过立法,在欧盟内部确立了禁止成员国借数据保护的名义限制个人数据在欧盟境内自由流动的标准; 但却禁止个人数据转移到欧盟以外的地理区域,除非欧盟以外的国家政府能够提供“充分”的数据保护。《欧盟数据指令》还说明了如何认定一国是否提供“充分”数据保护的依据,即通过考察数据传输的整体过程来判断一国相关法律的完备程度和执行情况,此外还要考虑数据的性质、数据处理的目的和期限、数据来源国和传输目的国等因素。
美国的规制路径是在原则上允许数据跨境流动的前提下,要求控制数据的机构( 或数据控制者) 确保个人数据在跨境传输过程中的安全。亚洲太平洋经济合作组织 ( APEC) 于2012 年在美国主导下建立的《跨境隐私规则体系》( Cross Border Privacy Rules system,CBPRs),就带有明显的美国规制路径的特征。GBPRs 规范的对象是涉及到个人数据跨境传输的企业,在 “问责制”的基础上采用行业自律模式。首先企业要进行自我评估,然后接受问责代理机构评估,若通过评估获得了CBPRs 认证,即被认可为符合隐私保护标准的企业,对于违反《APEC 隐私框架》相关条款的企业,由隐私保护执行机构进行问责处罚。
欧美两种不同的规制路径和原则反映出对于跨境数据流动规制的两种不同立场,各有其合理性,也各有其不足。欧盟“以地理区域为基准”、“以充分性为原则”的规制路径,为数据跨境流动设置了统一的标准,有利于建立稳定的个人数据保护秩序并为个人提供合理的权利预期。但不可否认的是,由于该路径下的“充分性”认定的高标准和批准程序的复杂性,导致了对于数据跨境自由流动的严格限制,很可能对贸易造成不必要的阻碍。美国“以组织机构为基准”,“以问责制为原则”的规制路径,一方面确定了数据控制机构( 数据控制者) 在确保个人数据安全中所应遵守的原则,另一方面规定违反原则所应承担的责任。政府仅在该组织机构导致了违反义务的结果时事后问责,从而大大减轻了对跨境数据流动的限制。
四、数据跨境流动规制国际格局下我国的应对路径
目前全球跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。在这一国际格局下,我国的应对路径一是完善数据跨境流动立法,提升法律的可操作性。不论是欧盟范围内还是欧盟与美国之间已经实现的数据跨境流动,都是在一定法律框架或相关规范下进行的,我国的数据跨境流动也需要完善的法律制度提供保障。然而,我国个人信息保护层面上的数据法制缺位,关涉商业秘密或国家安全的商业数据或政府数据方面的法制也一样阙如。现有的数据跨境流动和个人数据保护的立法不仅不成系统,还缺乏可操作性。
许教授建议在后续配套法规中,对不同类型的数据采取不同的管理方法。对于涉及国家秘密、国家安全以及经济安全的数据严格禁止跨境,要求必须在境内的数据中心存储和处理; 对于政府和公共部门掌握的其他数据实施跨境数据流动的条件限制,例如要进行安全风险评估; 对普通的个人数据则允许跨境流动,但要满足安全管理要求,可采用问责制、合同干预等形式进行管理。
应对路径之二是提高企业的合规遵从性,推进行业自律制度建设。企业应从构成IT 社会一员的立场出发,从公司法人治理的高度,将数据、信息安全注入企业文化,形成企业内部人员上至总裁下至普通员工,都以自觉遵从保护个人数据、信息安全的国家法律法规以及企业规章制度为荣; 以不履行保护义务的行为为耻的良好风气。规制跨境数据流动,除了通过完善立法和加强政府监管外,还应依靠行业自律制度。各行业应根据自身特点确立行业保护个人数据、信息安全的保障义务,并通过行业规章、标准等予以具体落实。
应对路径之三是大力开展国际合作,积极参与国际规则制定。全球范围内来说尚未形成统一的国际规则或条约规范。在这个统一规则尚未形成的窗口期,我国需要对跨境数据流动的全球规则做前瞻性思考,提早部署研究,争取做国际规则制定的构建者,而不应成为规则的被动接受者。
总之,我国通过多层次国际规则的谈判或构建,树立与我国国际地位相匹配的数据大国形象,这不仅是维护国内利益的需要,也是保证跨境数据流动国际合作的健康开展与可持续发展的要求。
我院师生就讲座进行了热烈讨论,张华副教授和宋亚辉副教授分别从欧盟法的基本原理、欧美对基本权利保护的不同路径等方面作出了深刻评议和与谈。最后,许教授就学生们的提问给予了精彩的解答。本次讲座在师生们的掌声中圆满结束。
