宋瑞琛 馮純純

數(shù)據(jù)跨境流動為國際貿(mào)易的發(fā)展提供了極大便利, 但也可能對國家安全、 個人隱私等產(chǎn)生不利影響。 2019 年1 月25 日, 76 個WTO 成員共同發(fā)起電子商務(wù)談判, 數(shù)據(jù)跨境流動就是核心議題之一; 區(qū)域和雙邊的國際貿(mào)易規(guī)則中也納入了有關(guān)數(shù)據(jù)跨境流動的專門條款。 中美兩國都是數(shù)字大國, 數(shù)字平臺市值共占全球的90%, 但對數(shù)據(jù)跨境流動采取了不同的國際法規(guī)制路徑, 并且目前仍存在著不少分歧。 因此, 分析這些分歧, 尋找中國的因應(yīng)之策,不僅能夠協(xié)調(diào)中美兩國的利益訴求, 而且對發(fā)展數(shù)據(jù)跨境流動的國際規(guī)則具有重要意義。

一、 中美兩國對數(shù)據(jù)跨境流動的不同認識

中美兩國對數(shù)據(jù)跨境流動的國際法規(guī)制路徑不同, 源于對數(shù)據(jù)跨境流動的認識不同。 這種不同認識主要體現(xiàn)在以下三個方面(見表1):

(一) 數(shù)據(jù)跨境流動對數(shù)字貿(mào)易發(fā)展產(chǎn)生的影響

美國具有數(shù)據(jù)技術(shù)優(yōu)勢, 其數(shù)據(jù)產(chǎn)業(yè)基礎(chǔ)好、發(fā)展快, 能夠更好地利用數(shù)據(jù)跨境流動提高效率和降低成本, 強調(diào)數(shù)據(jù)跨境流動帶來的商業(yè)價值。 尤其在新冠肺炎疫情影響下, 美國認為數(shù)據(jù)跨境流動對保障數(shù)字服務(wù)和跨國業(yè)務(wù)的連續(xù)性至關(guān)重要。 中國則認為發(fā)展中國家的數(shù)據(jù)技術(shù)和產(chǎn)業(yè)相對薄弱,過于自由的數(shù)據(jù)跨境流動可能會對傳統(tǒng)產(chǎn)業(yè)和起步較晚的國內(nèi)數(shù)字產(chǎn)業(yè)造成沖擊, 容易使數(shù)據(jù)集中在具有數(shù)據(jù)技術(shù)和產(chǎn)業(yè)優(yōu)勢的發(fā)達國家手中, 從而加劇發(fā)展中國家與發(fā)達國家在數(shù)字貿(mào)易領(lǐng)域的差距,因此對數(shù)據(jù)跨境流動持較為審慎的立場。

(二) 數(shù)據(jù)跨境流動對國家安全的威脅

中美兩國均認為數(shù)據(jù)跨境流動會對國家安全產(chǎn)生影響。 中國認為, 如果允許無限制的數(shù)據(jù)跨境流動, 國內(nèi)的基礎(chǔ)設(shè)施、 網(wǎng)絡(luò)系統(tǒng)等可能被攻擊而引發(fā)國家安全風(fēng)險, 因此會基于特定目標采取數(shù)據(jù)本地化措施加以規(guī)制。 美國則采取“雙重標準”: 一方面, 認為本國數(shù)據(jù)跨境流動至外國會對美國國家安全產(chǎn)生重大影響, 因此采取嚴格限制。 例如, 通過外資安全審查限制儲存在美國境內(nèi)的特定數(shù)據(jù)跨境流動; 另一方面, 為獲得商業(yè)價值, 卻鼓勵外國更少限制數(shù)據(jù)跨國流動至美國, 在數(shù)字貿(mào)易談判中指責(zé)中國等發(fā)展中國家的數(shù)據(jù)本地化措施對貿(mào)易設(shè)置了障礙, 要求中國等國降低對數(shù)據(jù)的保護水平。

表1 中美兩國關(guān)于數(shù)據(jù)跨境流動的不同認識

(三) 數(shù)據(jù)跨境流動與個人信息保護之間的關(guān)系

美國為了促進商業(yè)利益, 更強調(diào)對消費者隱私的保護, 因此對其他數(shù)據(jù)跨境流動中的個人信息保護采取較為寬松的態(tài)度。 中國則考慮到市場化媒體產(chǎn)業(yè)和網(wǎng)絡(luò)對個人信息產(chǎn)生的挑戰(zhàn), 出于保護個人信息并兼顧社會信息分享的考慮, 原則上不允許個人信息跨境流動, 強調(diào)在維護國家安全的前提下,對個人信息實行分類保護。 因業(yè)務(wù)需要的, 個人信息處理者需滿足特定條件, 并獲得個人單獨同意,個人數(shù)據(jù)才允許跨境流動, 個人數(shù)據(jù)的處理者應(yīng)承擔(dān)數(shù)據(jù)安全保護責(zé)任①參見《數(shù)據(jù)安全法》 第27 條、 第29 條、 第30 條。。

二、 中美兩國關(guān)于數(shù)據(jù)跨境流動的國際法規(guī)制路徑

雖然中美兩國對數(shù)據(jù)跨境流動的認識不同, 但都在國際法層面上采取了相應(yīng)的規(guī)制, 反映出中美兩國在數(shù)據(jù)跨境流動問題上的分歧(見表2)。

(一) 美國關(guān)于數(shù)據(jù)跨境流動的國際法規(guī)制路徑

20 世紀80 年代, 美國就試圖在經(jīng)濟合作與發(fā)展組織(OECD) 內(nèi)部推行“數(shù)據(jù)保證項目” 以促進國際投資。 1997 年美國通過制定《全球電子商務(wù)框架》 明確了其在有關(guān)問題上的立場和國際談判中的路線圖。 從2001 年起, 美國與約旦、 澳大利亞、智利、 新加坡等國簽訂了雙邊自由貿(mào)易協(xié)定(FTA),并在其中納入電子商務(wù)章節(jié), 開始關(guān)注數(shù)據(jù)跨境流動的規(guī)制措施。 以奧巴馬政府時期制定的《數(shù)字24條》 (The Digital 2 Dozen) 為基礎(chǔ), 2010 年美韓FTA 中首次納入了專門的數(shù)據(jù)跨境流動條款, 但僅強調(diào)了數(shù)據(jù)跨境流動的重要性, 未對締約方提出強制要求。

2011 年11 月13 日, 美國開始不斷推進并主導(dǎo)APEC 跨境隱私規(guī)則體系(CBPRs), 旨在通過區(qū)域規(guī)則要求締約方確保數(shù)據(jù)跨境的自由流動。 2015 年美國主導(dǎo)促成的《跨太平洋伙伴關(guān)系協(xié)定》 (TPP)中也專門設(shè)置了商業(yè)信息跨境自由傳輸條款, 成為對締約方有約束力的條款, 并在 《美墨加協(xié)定》(USMCA) 和《美日數(shù)字貿(mào)易協(xié)定》 (USJDTA) 中將該條款的適用范圍不斷擴大。 《大西洋貿(mào)易與投資伙伴關(guān)系協(xié)定》 (TTIP) 中, 美國還極力要求將數(shù)據(jù)跨境流動規(guī)則適用于所有部門。

此外, 美國還致力于在WTO 多邊框架下推行其數(shù)據(jù)跨境流動的主張。 2013 年起, 美國將其數(shù)據(jù)跨境流動主張納入《服務(wù)貿(mào)易協(xié)定》 (TISA) 談判,主張信息跨境自由流動, 反對WTO 成員以數(shù)據(jù)本地化作為允許服務(wù)提供者在本國提供服務(wù)的前提條件。2016 年, 美國向WTO 總理事會提交的關(guān)于電子商務(wù)的非立場文件和2018 年提交的《關(guān)于電子商務(wù)的聯(lián)合聲明》 的議案中, 也都明確提出要確保數(shù)據(jù)自由流動, 限制數(shù)據(jù)本地化。

(二) 中國關(guān)于數(shù)據(jù)跨境流動的國際法規(guī)制路徑

中國是數(shù)據(jù)大國, 一直積極為全球數(shù)據(jù)治理貢獻中國方案。 2004 年中國與其他APEC 成員共同簽署了《APEC 隱私保護框架》, 明確了成員間數(shù)據(jù)跨境流動的基本原則, 即數(shù)據(jù)的跨境流動應(yīng)獲得數(shù)據(jù)主體的同意。 2019 年中國與其他國家在《大阪數(shù)字經(jīng)濟宣言》 中明確了 “基于信任的數(shù)字流動” 概念, 倡議建立兼顧個人隱私、 知識產(chǎn)權(quán)、 網(wǎng)絡(luò)安全、倫理的數(shù)據(jù)跨境流動規(guī)則。 2020 年中國提出的《全球數(shù)據(jù)安全倡議》 和2021 年與阿拉伯國家聯(lián)盟共同發(fā)表的《中阿數(shù)據(jù)安全倡議》 中都表達了中國關(guān)于數(shù)據(jù)跨境流動的主張, 即在相互尊重國家安全的基礎(chǔ)上解決數(shù)據(jù)跨境流動問題。

從雙邊層面來看, 在中國已經(jīng)簽署并生效的雙邊FTA 中, 中國—澳大利亞FTA、 中國—新加坡關(guān)于升級FTA 的議定書、 中國—韓國FTA 中已經(jīng)納入了單獨的電子商務(wù)章節(jié)①參見中國—澳大利亞FTA 第12 章、 中國—新加坡關(guān)于升級FTA 的議定書中第15 章、 中國—韓國FTA 第13 章。, 尤其是2020 年中國香港—澳大利亞FTA 第11 章中突破性地納入了信息跨境流動、計算機設(shè)備位置、 個人信息保護等承諾。 此外, 中國還與《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》 (DEPA) 的三方(新加坡、 新西蘭和智利) 均簽署了雙邊FTA, 并且在中新FTA 和中智FTA 中納入了電子商務(wù)章節(jié)。 雖然上述FTA 中都未設(shè)置專門的數(shù)據(jù)跨境流動條款,但都體現(xiàn)了中國對數(shù)據(jù)跨境流動持有的開放態(tài)度。

從區(qū)域?qū)用鎭砜? 中國加入的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》 (RCEP) 已經(jīng)生效, 這是中國首次加入設(shè)置了專門的數(shù)據(jù)跨境流動條款的國際貿(mào)易協(xié)定。 RCEP 第12 章(電子商務(wù)章節(jié)) 肯定了電子商務(wù)的重要性, 體現(xiàn)了現(xiàn)階段中國在數(shù)據(jù)跨境流動問題上的主張。 此外, 2021 年中國申請加入的《全面與進步跨太平洋伙伴關(guān)系協(xié)定》 (CPTPP) 和DEPA也都設(shè)置了專門的數(shù)據(jù)跨境流動條款。

從多邊層面來看, 2016 年中國首次向WTO 提交了有關(guān)電子商務(wù)的建議書。 2019 年1 月, 中國與76 個WTO 成員一起簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》, 共同發(fā)起了電子商務(wù)談判。 2019 年4 月,中國通過WTO 散發(fā)了電子商務(wù)談判的首輪提案, 提案文件中強調(diào)了數(shù)據(jù)跨境流動的前提是安全, 因此主張尊重成員對數(shù)據(jù)跨境流動的監(jiān)管權(quán), 允許各國通過制定國內(nèi)法保障數(shù)據(jù)安全、 有序、 自由地流動。

三、 中美數(shù)據(jù)跨境流動國際法規(guī)制的分歧

在國際法規(guī)制路徑上, 美國試圖以其主導(dǎo)的CBPRs 為基礎(chǔ), 使企業(yè)自愿獲得認證, 實現(xiàn)數(shù)據(jù)自由傳輸, 從而使全球企業(yè)認同“美式數(shù)據(jù)跨境流動標準”。 中國則主張在維護各國數(shù)據(jù)主權(quán)的基礎(chǔ)上,對數(shù)據(jù)實行分類分級保護, 實行多元化的數(shù)據(jù)治理。本文以中國加入的RCEP 與美國加入的USMCA 為例進行比較, 分析中美在數(shù)據(jù)跨境流動國際法規(guī)制上的分歧(見表3)。

(一) 金融信息的跨境流動②RCEP 和USMCA 中均使用了“金融信息” 的表述, 而我國國內(nèi)法律法規(guī)采用了“金融數(shù)據(jù)” 和“金融信息” 的表述但未做區(qū)分。 事實上, 金融數(shù)據(jù)比金融信息范圍更廣, 在立法上應(yīng)加以區(qū)別或統(tǒng)一。 但鑒于本文的主題, 本文不做專門區(qū)分表述和分析, 采用法律文本原本的表述。

RCEP 第12.1 條(b) 款和第12.15 條第2 款明確排除了金融服務(wù)章節(jié)中定義的金融機構(gòu)、 公共實體和金融服務(wù)提供者, 即禁止金融信息跨境提供,原則上實行本地化。 RCEP 第8 章附件一(金融服務(wù))第9 條第3 款和第4 款中進一步規(guī)定了締約方出于監(jiān)管或?qū)徤髟? 或根據(jù)法律法規(guī)維護個人數(shù)據(jù)、 個人隱私、 個人記錄和賬戶機密性, 可以對金融數(shù)據(jù)采取本地化措施, 但不得以此作為規(guī)避RCEP 項下義務(wù)的手段。 中國法律法規(guī)中也規(guī)定了金融數(shù)據(jù)是重要數(shù)據(jù),原則上禁止跨境流動, 實行本地存儲; 因業(yè)務(wù)需求跨境流動的須經(jīng)安全評估。 可見, RCEP 不僅強調(diào)了金融信息的重要性, 也兼顧了締約方監(jiān)管需求和維護個人數(shù)據(jù)安全的權(quán)利, 這與中國相關(guān)立法理念較為一致。

表2 中美兩國關(guān)于數(shù)據(jù)跨境流動的國際法規(guī)制路徑

表3 中美兩國數(shù)據(jù)跨境流動國際法規(guī)制的核心分歧

USMCA 中則納入了“金融信息的自由轉(zhuǎn)移” 條款(第17.17 條)。 第17.17 條第1 款規(guī)定了締約方不得阻止在其許可、 授權(quán)、 注冊范圍內(nèi)為開展業(yè)務(wù)以電子方式進行信息(包括個人信息) 跨境傳輸, 不僅將數(shù)據(jù)跨境流動范圍擴大到金融信息, 而且明確了數(shù)據(jù)范圍是經(jīng)許可、 授權(quán)、 注冊為開展業(yè)務(wù)需要的信息。 第17.17 條還規(guī)定了不限制締約方采取或維持保護個人數(shù)據(jù)、 隱私、 記錄和賬戶機密措施的權(quán)利,前提是這些措施不能減損第17.17 條項下的義務(wù)。此外, USMCA 第17.18 條還規(guī)定了“只要締約方的金融機構(gòu)出于監(jiān)管目的, 能夠?qū)τ嬎阍O(shè)施上處理和存儲的相關(guān)人員的信息進行及時、 直接、 完整和持續(xù)的訪問, 任何締約方就不得以所涉之人必須使用其境內(nèi)計算設(shè)施或?qū)⒂嬎阍O(shè)施設(shè)于其境內(nèi)作為其在該締約方境內(nèi)開展業(yè)務(wù)的條件”。 可見, USMCA 通過17.18 條取消了金融數(shù)據(jù)存儲本地化的要求, 也賦予了監(jiān)管機構(gòu)獲取金融信息的權(quán)利。

(二) 數(shù)據(jù)跨境流動的例外情形

數(shù)據(jù)跨境流動雖然會促進國際貿(mào)易發(fā)展, 但也可能對國家安全和個人隱私產(chǎn)生威脅, 因此各國對數(shù)據(jù)跨境流動采取了不同程度的限制。 中美兩國在該問題上也存在著分歧:

1. 數(shù)據(jù)跨境流動條款中的例外情形

首先, RCEP 第12.15 條第2 款和USMCA 第19.11 條第1 款都規(guī)定了締約方不應(yīng)阻止基于商業(yè)行為的數(shù)據(jù)跨境流動, 這為締約方設(shè)置了強制性義務(wù)。 USMCA 進而在第19.11 條第2 款列出了例外情形, 即允許締約方為實現(xiàn)合法公共政策目標采取對數(shù)據(jù)跨境流動的限制措施, 但必須滿足三個條件:一是不能構(gòu)成任意的或不合理的歧視; 二是不能構(gòu)成對貿(mào)易的變相限制; 三是對信息傳輸不能施加超出實現(xiàn)目標必要的限度。 RCEP 第12.15 條第3 款(a) 則規(guī)定了“締約方可以為實現(xiàn)其所認為的合法公共政策目標采取本地化措施”, 刪除了USMCA 第19.11 條第2 款中的第三個條件, 但比USMCA 增加了“其所認為” (it considers) 的措辭, 從而為締約方判斷本地化措施的必要性留下了較大裁量權(quán)。 此外, RCEP 第12.15 條第3 款(b) 還增加了“基本安全例外”, 即締約方認為其基于維護基本安全利益而采取的必要措施, 其他利益方不得對此類措施提出異議, 不僅擴大了允許采取本地化措施的范圍,而且將采取措施的必要性交由締約方自己決定, 這實際上是賦予了締約方?jīng)Q定性的權(quán)利, 為締約方將來采取本地化措施留下了很大空間。

2. 計算機設(shè)置條款中的例外情形

RCEP 第12.14 條第1 款賦予了締約方對計算設(shè)施使用(或設(shè)置) 的監(jiān)管要求。 在例外規(guī)定上,RCEP 第12.14 條第3 款采取了與第12.15 條第3 款一致的規(guī)定。 USMCA 第19.12 條則完全刪除了合法公共政策目標例外, 意味著在任何情況下締約方都不得將在其境內(nèi)使用或設(shè)置計算設(shè)施作為在其境內(nèi)開展業(yè)務(wù)的條件。 可見, USMCA 否定了為公共政策目標采取計算設(shè)施本地化措施的正當(dāng)性, 強化了數(shù)據(jù)跨境流動條款的執(zhí)行力, 旨在更大限度地促進數(shù)據(jù)跨境的自由流動。

由此可見, RCEP 的締約方采取數(shù)據(jù)本地化措施有較大彈性, 而USMCA 則逐漸壓縮數(shù)據(jù)本地化措施的空間, 這反映了在該問題上中國更加強調(diào)數(shù)據(jù)主權(quán), 美國更加強調(diào)數(shù)據(jù)最大限度的自由流動。

(三) 數(shù)據(jù)跨境流動中的個人信息保護

在個人信息保護問題上, 美國強調(diào)對個人數(shù)據(jù)進行商業(yè)利用, 弱化對個人隱私干預(yù)。 因此, 反對限制數(shù)據(jù)跨境流動, 極力推行行業(yè)自律模式, 即企業(yè)可以自愿接受行業(yè)隱私規(guī)則, 也可以接受獨立第三方隱私認證機構(gòu)對其隱私政策的審核, 并獲得認證標識, 顯示出美國試圖避免通過統(tǒng)一法律對數(shù)據(jù)活動過多干預(yù), 以使企業(yè)自由發(fā)揮數(shù)據(jù)技術(shù)優(yōu)勢,獲得相關(guān)商業(yè)利益。

在國際貿(mào)易協(xié)定中, 美國極力推行其企業(yè)自律模式。 首先, USMCA 第19.8 條第2 款明確了締約方保護數(shù)字貿(mào)易中個人信息的法律框架的發(fā)展, 所參考的 “原則和指南” 應(yīng)是CBPRs 和2013 年《OECD 理事會關(guān)于保護隱私和個人數(shù)據(jù)跨境流動指南》 (以下簡稱《OECD 指南》 )。 CBPRs 是政府支持的信息隱私認證, 認證對象是企業(yè)。 如果企業(yè)加入CBPRs 并通過第三方機構(gòu)認證, 那么該企業(yè)與參與CBPRs 的經(jīng)濟體之間就可以實現(xiàn)信息自由流動?？梢? CBPRs 的認證機制與美國企業(yè)自律模式一致。 其次, USMCA 第19.8 條第3 款還明確了第19.8 條第2 款中的“原則” 應(yīng)包括“限制收集、 選擇、 數(shù)據(jù)質(zhì)量、 目的規(guī)范、 使用限制、 安全保障、透明度、 個人參與和責(zé)任”, 這八項原則實際上是美國公平信息行為準則的內(nèi)容。 USMCA 還要求締約方個人信息的保護措施、 數(shù)據(jù)跨境流動的限制措施應(yīng)具有必要性和與風(fēng)險相稱的限度。 以上反映出美國強調(diào)其企業(yè)自律模式與CBPRs 一致的合法性, 并借CBPRs 意圖主導(dǎo)個人信息保護的國際標準。

中國加入的RCEP 第12.8 條也規(guī)定了“締約方應(yīng)采用或維持保護電子商務(wù)用戶個人信息的法律框架, 法律框架的制定應(yīng)考慮相關(guān)國際機構(gòu)的原則和指南”, 但并未明確“相關(guān)國際機構(gòu)的原則和指南”的范圍。 第12.8 條的注釋8 進一步規(guī)定了法律的執(zhí)行方式可以是國家主導(dǎo)下通過立法保護個人信息,也可以是企業(yè)自律模式, 但前提是該國具有強制執(zhí)行該義務(wù)的法律法規(guī)①RCEP 第12.8 條的注釋8 規(guī)定, “為進一步明確, 一締約方可以通過采取或維持全面的隱私權(quán)和個人信息保護的法律和法規(guī), 或涉及個人信息保護的具體部門法律和法規(guī), 或確保執(zhí)行企業(yè)法人承擔(dān)的與保護個人信息相關(guān)的合同義務(wù)的法律和法規(guī)等措施來遵守本款項下的義務(wù)”。。 可見, RCEP 對個人信息保護方式較為包容, 為締約方提供了更多選擇。

此外, 面對各國會采取不同法律方式保護個人信息, USMCA、 RCEP 都規(guī)定了締約方應(yīng)鼓勵建立促進不同體制之間的兼容性機制, 但在機制安排上規(guī)定不同。 RCEP 肯定了機制的多樣性, 規(guī)定了該機制應(yīng)包括對監(jiān)管結(jié)果的承認, 無論是自主給予還是通過共同安排, 或通過更廣泛的國際框架, 未否定個人信息保護的企業(yè)自律模式, 但也未承認CBPRs 企業(yè)自律模式的有效性。 而USMCA 則強調(diào)了應(yīng)以CBPRs 引導(dǎo)兼容性機制。

總體而言, RCEP 對個人信息保護的要求相對寬松, 尊重不同國家個人信息保護法律的差異性。USMCA 比RCEP 的個人信息保護要求更多, 增加了對個人信息保護措施必要性和限度的要求, 還對制定法律框架的原則、 指南以及合作機制做出了規(guī)定;并將其主導(dǎo)的CBPRs 作為締約方參考的個人信息保護標準, 體現(xiàn)了美國在個人信息保護規(guī)則上爭奪主導(dǎo)權(quán)的意圖。

四、 中國的因應(yīng)

針對中美兩國在數(shù)據(jù)跨境流動上的不同立場和國際法規(guī)制路徑, 我國可以從以下四個方面加以應(yīng)對:

(一) 進一步明確金融數(shù)據(jù)跨境流動的范圍和情形

首先, 中美兩國在金融數(shù)據(jù)跨境流動問題上還存在分歧。 我國《數(shù)據(jù)安全法》 和《網(wǎng)絡(luò)安全法》雖然明確了金融數(shù)據(jù)應(yīng)境內(nèi)存儲, 因業(yè)務(wù)需要確需向境外提供的, 應(yīng)當(dāng)經(jīng)安全評估①參見《數(shù)據(jù)安全法》 第31 條、 《網(wǎng)絡(luò)安全法》 第31 條和第37 條。, 但并未規(guī)定“因業(yè)務(wù)需要” 的具體情形、 允許跨境流動的金融數(shù)據(jù)范圍。 因此, 我國立法中應(yīng)明確“因業(yè)務(wù)需要” 的具體情形, 即哪些是日常經(jīng)營所必需的, 哪些是國外監(jiān)管要求的金融數(shù)據(jù)跨境流動等。 這樣不僅能夠使中美在該問題上獲得更多合集, 而且能夠使我國相關(guān)立法更具操作性。

其次, 我國法律法規(guī)中金融數(shù)據(jù)的分類與跨境流動關(guān)聯(lián)小。 我國《數(shù)據(jù)安全法》 將數(shù)據(jù)分為核心數(shù)據(jù)、 重要數(shù)據(jù)或一般數(shù)據(jù), 并根據(jù)數(shù)據(jù)類型、 是否有業(yè)務(wù)需求等規(guī)定是否允許跨境流動。 但2011 年中國人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機構(gòu)做好個人信息保護工作的通知》 中將個人金融信息分為個人身份信息、 財產(chǎn)信息、 賬戶信息等; 2020 年發(fā)布的《個人金融信息保護技術(shù)規(guī)范》 中又將個人金融信息分為賬戶信息、 金融交易信息等, 以上分類不統(tǒng)一, 與《數(shù)據(jù)安全法》 分類也不同, 且未明確金融信息屬于《數(shù)據(jù)安全法》 中的哪類數(shù)據(jù), 在何種情形下允許跨境流動。 這些規(guī)定含糊不清, 可能導(dǎo)致金融機構(gòu)在具體操作中缺乏統(tǒng)一的規(guī)則指導(dǎo), 也可能導(dǎo)致正常業(yè)務(wù)需要的金融信息難以跨境流動。因此, 我國應(yīng)將金融信息按照《數(shù)據(jù)安全法》 規(guī)定分類, 以金融信息所屬的數(shù)據(jù)類別作為判斷是否允許跨境流動的依據(jù)。 例如, 會計數(shù)據(jù)等敏感數(shù)據(jù)可列入核心數(shù)據(jù)禁止跨境流動, 僅在特定需求時允許跨境流動; 因業(yè)務(wù)需求的賬戶信息等則可以列入重要數(shù)據(jù), 經(jīng)過數(shù)據(jù)主體同意和評估后允許跨境流動。

(二) 完善個人信息保護的行業(yè)自律規(guī)則

中美雖然在個人信息跨境流動問題上仍存在分歧, 但RCEP 中未否定通過行業(yè)自律模式保護個人信息, 而RCEP 成員與APEC 成員也存在重合, 因此, 將來中美仍有可能在行業(yè)自律規(guī)則方面產(chǎn)生關(guān)聯(lián), 我國個人信息的行業(yè)自律規(guī)則也應(yīng)進一步明確。

首先, 我國存在著《網(wǎng)絡(luò)數(shù)據(jù)和用戶個人信息、 收集使用自律公約》 等行業(yè)自律規(guī)則, 但司法定位模糊, 法律效力不清。 因此, 我國目前雖無意愿接受CBPRs 和USMCA 中的相關(guān)條款, 但也有必要將行業(yè)自律規(guī)則視為CPTPP 第14.8 條注釋6 的“自愿承諾” 或RCEP 第12.8 條注釋8 中的“合同義務(wù)”, 視其具有約束力, 從而與RCEP 和CPTPP一致。

其次, RCEP 生效后, 我國也面臨著判斷他國行業(yè)自律規(guī)則是否與RCEP 規(guī)定一致的問題, 因此需要建立起對他國行業(yè)自律規(guī)則的評估機制。 我國對他國行業(yè)自律規(guī)則的評估標準不宜過嚴, 他國的行業(yè)自律規(guī)則與中國的標準基本一致即可。 也可要求他國行業(yè)自律規(guī)則與我國一樣在司法上具有可執(zhí)行性, 從而判斷他國行業(yè)自律規(guī)則是否具有可強制執(zhí)行性而非流于形式。

(三) 建立對數(shù)據(jù)規(guī)制措施必要性的評估制度

數(shù)據(jù)本地化措施對于維護國家安全和個人信息安全具有重要意義, 但締約方也容易就數(shù)據(jù)本地化措施的必要性產(chǎn)生爭議。 因此, 我國可以建立對數(shù)據(jù)規(guī)制措施必要性的評估制度, 為我國采取本地化措施提供依據(jù)。 例如, 歐盟《通用數(shù)據(jù)保護條例》(GDPR) 中建立了數(shù)據(jù)保護影響評估制度, 旨在評估數(shù)據(jù)規(guī)制措施的必要性和適當(dāng)性。 澳大利亞2020年也發(fā)布了《隱私影響評估準則》 以評估數(shù)據(jù)規(guī)制措施對個人隱私安全產(chǎn)生的影響。 我國也可以建立相關(guān)的評估制度, 根據(jù)數(shù)據(jù)類型、 數(shù)據(jù)處理行為類型、 數(shù)據(jù)處理行為可能產(chǎn)生的風(fēng)險程度等因素來評估數(shù)據(jù)規(guī)制措施的必要性, 明確必要性的內(nèi)涵, 發(fā)布評估指南, 這樣不僅能夠為預(yù)防風(fēng)險提供方案, 而且能夠為相關(guān)主體采取數(shù)據(jù)規(guī)制措施提供參考。

(四) 完善標準合同條款的設(shè)計和數(shù)據(jù)出境評估機制

我國《個人信息保護法》 中規(guī)定了在數(shù)據(jù)主體同意下, 數(shù)據(jù)跨境流動的傳輸工具包括安全評估、認證機制和標準合同三種, 但中國目前有關(guān)安全評估和標準合同的規(guī)定都仍處于設(shè)計和征求意見稿階段。

首先, 《數(shù)據(jù)出境安全評估辦法》 第8 條和第9條、 《個人信息出境安全評估辦法(征求意見稿) 》第13 條至第15 條提供了合同標準化的路徑, 但這些條款設(shè)計都比較原則性。 對于標準化合同的設(shè)計,我國可以借鑒歐盟標準數(shù)據(jù)保護條款(standard data protection clauses) 中的模塊化設(shè)計①2021 年6 月4 日, 歐盟委員會發(fā)布的標準數(shù)據(jù)保護條款替代了之前2001 年、 2004 年以及2010 年出臺的標準合同條款。 2021 年歐盟委員會發(fā)布的標準數(shù)據(jù)保護條款中區(qū)分了四種數(shù)據(jù)傳輸模式: 一是控制者到控制者; 二是控制者到處理者; 三是處理者到處理者; 四是處理者到控制者。 四種不同數(shù)據(jù)傳輸模式下, 數(shù)據(jù)處理者的責(zé)任義務(wù)不同。, 區(qū)分個人信息處理者和控制者之間的多種跨境傳輸場景, 并進一步明確信息處理者、 控制者和接收者在不同傳輸場景下的相應(yīng)義務(wù)。 從而使商事主體能夠根據(jù)自身需求選擇, 滿足不同的跨境傳輸業(yè)務(wù)。 但是在借鑒中, 應(yīng)區(qū)分我國相關(guān)法律中與歐盟標準數(shù)據(jù)保護條款中處理者和控制者的不同。

其次, 完善中國數(shù)據(jù)出境評估機制。 第一, 我國可進一步明確評估事項中數(shù)據(jù)出境的合法性、 正當(dāng)性、 必要性和風(fēng)險可控性, 以便相關(guān)評估部門具體操作。 合法性應(yīng)評估數(shù)據(jù)是否屬于法律所禁止或有關(guān)部門認定不能出境的數(shù)據(jù)類型; 正當(dāng)性應(yīng)評估個人數(shù)據(jù)是否獲得授權(quán)同意, 或獲得授權(quán)同意但對國家安全有潛在重大風(fēng)險等; 必要性應(yīng)評估數(shù)據(jù)出境是否因業(yè)務(wù)需要, 或為履行我國法定義務(wù)、 國際條約義務(wù)或合同義務(wù)所必需等; 風(fēng)險可控性應(yīng)評估出境數(shù)據(jù)屬性、 類型及敏感程度、 是否可能發(fā)生安全風(fēng)險等。 第二, 明確數(shù)據(jù)出境風(fēng)險自評估報告的內(nèi)容, 以便數(shù)據(jù)處理者自我評估。 自評估報告可以包括數(shù)據(jù)出境目的、 數(shù)據(jù)類型和范圍、 數(shù)據(jù)出境傳輸工具、 潛在風(fēng)險、 數(shù)據(jù)發(fā)送方和接收方, 以及接收方所在國家的數(shù)據(jù)保護能力等。 第三, 建立白名單機制。 可以視外國數(shù)據(jù)法律的完善程度, 允許我國與部分國家之間數(shù)據(jù)自由跨境流動, 這些國家應(yīng)滿足一定條件。 例如, 達到我國數(shù)據(jù)保護的最低水平; 獲取數(shù)據(jù)的權(quán)利受到我國相關(guān)法律約束; 國內(nèi)數(shù)據(jù)法律立法、 執(zhí)法透明并存在救濟措施等。 同時,保持對白名單的評估和更新, 既可以減輕企業(yè)合規(guī)和審查機構(gòu)的負擔(dān), 也可以實現(xiàn)國家安全和審查效率的平衡。