張奕欣 王一楠 呂欣潤 卓子寒 邢瀟

【內(nèi)容摘要】各國規(guī)則標(biāo)準的差異會阻礙數(shù)據(jù)跨境自由流動，影響產(chǎn)業(yè)發(fā)展。為此各國重視主導(dǎo)推動合作機制以構(gòu)建數(shù)據(jù)跨境自由流動圈。我國應(yīng)關(guān)注國際數(shù)據(jù)跨境流動管理策略的現(xiàn)狀和發(fā)展趨勢，探索自身管理體系和國際合作策略。

【關(guān) 鍵 詞】數(shù)據(jù)跨境流動;安全評估;國際規(guī)則

中圖分類號：D922.16 文獻標(biāo)識碼：A 文章編號：2095-4379-（2020）02-0113-02

一、數(shù)字經(jīng)濟發(fā)展伴隨數(shù)據(jù)跨境流動風(fēng)險

中國信通院2019年10月發(fā)布的《全球數(shù)字經(jīng)濟新圖景（2019年）》顯示，全球數(shù)字經(jīng)濟蓬勃發(fā)展在國民經(jīng)濟中占據(jù)核心地位，47個國家數(shù)字經(jīng)濟總規(guī)模超過30.2萬億美元，占GDP比達40.3%。美、中、歐盟位居前三，日、韓、印、加緊隨其后。

數(shù)字經(jīng)濟發(fā)展關(guān)鍵要素是數(shù)據(jù)。近年來，在經(jīng)濟全球化浪潮下，數(shù)據(jù)在國際間大規(guī)模、高頻率流動成為推動國際貿(mào)易和投資要素跨境流動的重要力量。同時世界范圍重大數(shù)據(jù)泄露事件頻發(fā)和數(shù)據(jù)黑色產(chǎn)業(yè)鏈日益成熟引發(fā)廣泛擔(dān)憂。數(shù)字跨境流動引發(fā)的安全風(fēng)險促使各國加快該領(lǐng)域立法步伐。

二、多國數(shù)據(jù)跨境流動立法情況

（一）歐盟

歐盟各國視隱私為基本人權(quán)，與他國兼顧其他價值不同，歐盟將隱私權(quán)置于不可挑戰(zhàn)的位置。2018年全面實施的《通用數(shù)據(jù)保護條例》（GDPR）將保護標(biāo)準提高到一個新高度，被稱為“史上最嚴”個人數(shù)據(jù)保護法律。

GDPR在滿足“充分性認定”條件下，歐盟數(shù)據(jù)可以出境。數(shù)據(jù)接收國需證明其本國隱私保護水平與歐盟“實質(zhì)上相當(dāng)”，考量因素包括：現(xiàn)有法律和立法體系、行政和司法救濟有效性、與第三國簽訂的國際公約等。至今為止，僅有阿根廷、新西蘭、以色列等13個非歐國家和地區(qū)被認定滿足該條件。

如數(shù)據(jù)進口國未達到歐盟標(biāo)準，進口國企業(yè)或組織可在遵守適當(dāng)保障措施條件下通過歐盟提供“綠色通道”來取得數(shù)據(jù)：建立具有約束力的公司制度、標(biāo)準合同條款、批準的行為規(guī)范、批準的認證機制和豁免情形等。該機制雖為進入歐盟市場企業(yè)提供了多樣化的數(shù)據(jù)跨境替代方案，但并非完美。實施BCR和SCC所需投入時間和金錢成本較高，而ACC和ACM有效性在2017年愛爾蘭Facebook案件中受到挑戰(zhàn)，豁免情形無法滿足企業(yè)高頻海量數(shù)據(jù)需求。

（二）美國

美國尚無統(tǒng)一隱私和數(shù)據(jù)保護法，相關(guān)保護僅通過保護消費者權(quán)益以及規(guī)范涉及敏感個人信息的行業(yè)（如電信、科技、醫(yī)療衛(wèi)生）和商業(yè)行為（如電話營銷和色情信息郵件強行推送）進行。

數(shù)據(jù)出境方面，政府對敏感行業(yè)進行分散限制。如《出口管制法》要求受管制的科技信息出口需要取得許可，《1996年健康保險流通與責(zé)任法》要求醫(yī)療機構(gòu)將電子醫(yī)療信息在海外云存儲前需簽署隱私安全保護協(xié)議。

數(shù)據(jù)入境方面，2018年出臺《澄清合法使用境外數(shù)據(jù)法案》賦予執(zhí)法機構(gòu)調(diào)取境外存儲信息的權(quán)力，即政府在一定條件下可要求美企或與美發(fā)生充分聯(lián)系的外國企業(yè)提供在境外存儲的數(shù)據(jù)。

美國立法現(xiàn)狀反映崇尚數(shù)據(jù)跨境自由流動理念，背后是其數(shù)字經(jīng)濟巨大產(chǎn)業(yè)優(yōu)勢自然驅(qū)動。數(shù)據(jù)作為企業(yè)經(jīng)營的“血液”自然從產(chǎn)業(yè)競爭力弱的國家流向競爭力較強的國家，而美企在社交媒體、云計算、電子商務(wù)、搜索引擎等領(lǐng)域處于全球主動地位。此外美國憑借其國家實力不斷擴大其境內(nèi)法的域外適用范圍以促進境外數(shù)據(jù)內(nèi)流。

（三）印度

印度立法主要為服務(wù)出口和促進數(shù)字經(jīng)濟發(fā)展。數(shù)據(jù)跨境流動對服務(wù)出口至關(guān)重要。2016-2017年期間，印度23%技術(shù)服務(wù)出口歐盟。而提供這些服務(wù)常需處理歐盟居民信息，受GDPR管轄和影響。印度在隱私保護方面立法起步較晚，2010年歐盟白皮書曾認定印度的隱私保護水平不足。為滿足其數(shù)字經(jīng)濟發(fā)展需要，印度正積極推動相關(guān)國內(nèi)法律的制定和修改。2018年《個人數(shù)據(jù)保護法案》草案對數(shù)據(jù)跨境流動要求甚至比GDPR更為嚴格：一般和敏感個人數(shù)據(jù)需在印度境內(nèi)留有副本，關(guān)鍵個人數(shù)據(jù)禁止離境。這反映出印度希望盡快提高保護水平以早日達到歐盟“充分性”認定，并希望通過數(shù)據(jù)本地化存儲來促進本國數(shù)字產(chǎn)業(yè)發(fā)展。

三、數(shù)據(jù)跨境流動的國際合作機制

近年來，各國基于各自立場向WTO多次提交數(shù)據(jù)跨境流動條款提案。但囿于利益、價值觀等存在較大差異，短期內(nèi)聯(lián)合國或WTO多邊機制很難形成各方接受的單一數(shù)據(jù)流動規(guī)則。于是數(shù)字經(jīng)濟大國開始通過雙邊談判和多邊合作以推動更加靈活的數(shù)據(jù)跨境流動國際合作。

（一）雙邊談判

國家地區(qū)間設(shè)立“白名單”制度以歐盟GDPR項下的“充分性”認定最為典型。越來越多的國家正在推動國內(nèi)法律的制定或修改以期盡快與歐盟開展充分性認定談判。美國與歐盟采用更加靈活的形式–隱私盾（Privacy Shield）。根據(jù)隱私盾協(xié)議，自愿參加的美企需向美國商務(wù)部提交自我確認書，確認其完全遵守其中所有隱私原則等要求。商務(wù)部、聯(lián)邦貿(mào)易委員會、交通部等負責(zé)監(jiān)督參加隱私護盾的美企履行義務(wù)并做出處罰和制裁。

俄羅斯也對達到其認可數(shù)據(jù)保護水平的國家采用白名單制，目前共有23個國家進入其白名單。日本在《個人信息法》（APPI）中也將白名單制列為三種向境外轉(zhuǎn)移個人數(shù)據(jù)合法方法之一。

（二）多邊合作等機制

1.CPTPP與USMCA模式

美國正式退出TPP后，2017年11月11日，除美國外的11國就繼續(xù)推進TPP正式達成一致，簽署新的自由貿(mào)易協(xié)定，新名稱為“全面且先進的跨太平洋貿(mào)易伙伴關(guān)系”（CPTPP）。CPTTP對數(shù)據(jù)跨境流動進行了原則性規(guī)定，即除為“正當(dāng)公共政策之目的”外，應(yīng)允許為數(shù)據(jù)主體利益而進行的數(shù)據(jù)跨境傳輸。

2018年11月30日，美國、墨西哥、加拿大三國簽署《美墨加三國協(xié)議》（USMCA）。USMCA在數(shù)據(jù)跨境流動方面與CPTPP基本保持一致，可見美國推動數(shù)據(jù)自由流動的態(tài)度從2002年的TPP到2018年的USMCA并未發(fā)生根本性變化。

2.APEC的CBPR機制

APEC自2003年起不斷完善隱私規(guī)則，最終于2011年建立“跨境隱私規(guī)則”（CBPR）。目前共有美國、墨西哥、日本、韓國、澳大利亞、加拿大、新加坡和中國臺北8個國家和地區(qū)加入該機制。CBPR體系是一項自愿認證體系，也是APEC跨境商業(yè)個人隱私保護的核心內(nèi)容，通過認證的企業(yè)可相互之間自由傳輸數(shù)據(jù)。但至今僅有20余家美國和日本企業(yè)通過認證。

四、制定跨境數(shù)據(jù)流動國際標(biāo)準的引領(lǐng)和數(shù)據(jù)流動圈的形成

為便于與歐盟開展數(shù)據(jù)貿(mào)易，多國正仿照歐盟GDPR建立本國隱私保護立法體系，引領(lǐng)數(shù)據(jù)保護國際標(biāo)準樹立。同時歐盟充分性認定清單也不斷擴大，甚至數(shù)據(jù)保護價值觀迥異的美國也試圖以隱私盾等靈活形式達到歐盟充分性認定目的。事實上世界正在形成以歐盟為核心的全球數(shù)據(jù)流動圈。

美國作為數(shù)據(jù)自由流動的倡導(dǎo)者，一直試圖通過主導(dǎo)建立TPP、USMCA、CBPR等來促進數(shù)據(jù)跨境流動。當(dāng)前美國正致力將CBPR作為突破口，將APEC以外的其他國家和地區(qū)都納入到CBPR體系來，建立以美為核心的全球流動圈。

五、結(jié)語

我國近年也在建立數(shù)據(jù)跨境流動管理體系。制度構(gòu)建需要平衡國家安全、個人隱私保護、產(chǎn)業(yè)競爭等多方利益。同時數(shù)據(jù)天然流動性和經(jīng)濟全球化要求其不斷跨境交換。一味追求安全而強調(diào)對數(shù)據(jù)絕對控制將導(dǎo)致網(wǎng)絡(luò)空間分裂和數(shù)據(jù)流動停滯。我們應(yīng)密切關(guān)注國際數(shù)據(jù)跨境流動管理發(fā)展趨勢，積極參與國際合作交流，探索自身數(shù)據(jù)跨境流動管理體系和國際合作策略，最終建立以我國為主導(dǎo)的多邊貿(mào)易規(guī)則體系，形成符合國家安全和產(chǎn)業(yè)利益的全球數(shù)據(jù)流動圈。

參考文獻：

[1]中國信息通信研究院《全球數(shù)字經(jīng)濟新圖景（2019年）——加速騰飛重塑增長》[Z].2019-10-11.

[2]360安全監(jiān)測與響應(yīng)中心、360威脅情報中心、360行業(yè)安全研究中心《2018年暗網(wǎng)非法數(shù)據(jù)交易總結(jié)》[Z].2019-1-10.

[3]茶洪旺，付偉，鄭婷婷.數(shù)據(jù)跨境流動政策的國際比較與反思[J].電子政務(wù)，2019（05）：123-129.

[4]Aaditya Mattoo Journal of International Economic Law December 1，2018.

[5]上海社會科學(xué)院，阿里巴巴數(shù)據(jù)安全研究院.全球數(shù)據(jù)跨境流動政策與中國戰(zhàn)略研究報告[Z].2019-8-28.