邵 懌

(南方科技大學(xué)廉潔研究院,廣東 深圳 518055)

對于數(shù)據(jù)跨境流動的規(guī)制,在過去的十?dāng)?shù)年間,國際社會經(jīng)歷了一個由“自由化”走向“本地化”、再有限回歸“自由化”的思潮轉(zhuǎn)變過程。在二十一世紀(jì)初期,基于網(wǎng)絡(luò)自由主義思潮,對于數(shù)據(jù)流動,國際間普遍遵從市場的導(dǎo)向作用,強(qiáng)調(diào)網(wǎng)絡(luò)作為“公共領(lǐng)域”所應(yīng)保持的獨(dú)立性與開放性。然而,自由化的數(shù)據(jù)跨境流動并沒有使信息技術(shù)革命的成果普遍惠及于各個國家,尤其是沒有惠及廣大發(fā)展中國家,[1]強(qiáng)者恒強(qiáng)弱者恒弱的局面并沒有得到改變。因而,從2016年開始,基于維護(hù)本國數(shù)據(jù)安全與推動本國產(chǎn)業(yè)發(fā)展等因素,包括俄羅斯、越南乃至歐盟等在內(nèi)的部分國家,開始以立法的形式限制數(shù)據(jù)的跨境流出,以實(shí)現(xiàn)將特定數(shù)據(jù)本地化管控的訴求。數(shù)據(jù)本地化在過去十年間迎來了一個立法高峰期,據(jù)經(jīng)濟(jì)合作與發(fā)展組織的統(tǒng)計,在2017年,除了一些信息化水平較低的地區(qū)外,全球絕大多數(shù)國家均已實(shí)施了不同程度的數(shù)據(jù)本地化管控,立法所涉及的數(shù)據(jù)類型包括個人數(shù)據(jù)、金融數(shù)據(jù)、醫(yī)療數(shù)據(jù)等。[2]P11-12但數(shù)據(jù)自由化也并沒有完全退出歷史舞臺,在部分場景之下甚至依舊占據(jù)主流,如國際貿(mào)易與金融等?？紤]到數(shù)據(jù)自由流動與經(jīng)貿(mào)發(fā)展的正相關(guān)作用,在各國新一輪多邊以及雙邊自由貿(mào)易談判中,倡導(dǎo)數(shù)據(jù)自由化流動與減少貿(mào)易壁壘也已經(jīng)成為了公認(rèn)的重要議題。

具體到我國,自2016年《網(wǎng)絡(luò)安全法》以來,已經(jīng)實(shí)現(xiàn)了跨境數(shù)據(jù)流動規(guī)制的初步體系化,國內(nèi)層面,我國以立法的形式明確了數(shù)據(jù)出境的若干合法要件,同時確立了安全評估制度,國際層面,我國以雙多邊貿(mào)易為載體,對部分類型數(shù)據(jù)的流動進(jìn)行了規(guī)制。但長久以來的“領(lǐng)土依附”傳統(tǒng)限制了我國對部分合法域外數(shù)據(jù)的利益獲取,同時嚴(yán)格本地化的規(guī)制模式也開始落后于我國國際經(jīng)濟(jì)合作與數(shù)據(jù)治理實(shí)踐。因此,如何在本地化與自由化并存的背景之下平衡二者的沖突,如何在維護(hù)國家安全的同時最大化數(shù)據(jù)自由流動所能帶來的正向作用,對此,本文將在對國際間主流立法加以梳理的基礎(chǔ)之上,以概念的解構(gòu)與引入作為起點(diǎn),通過定性研究來概括國際間主流規(guī)制手段的路徑特征與場景例外,通過量化分析來尋找自由化與本地化模式形成的內(nèi)部成因與外部驅(qū)動,最終加以綜合研判并提出跨境數(shù)據(jù)流動規(guī)制的中國方案。

一、自由化:基于國際貿(mào)易的衍生

在非干預(yù)的前提下,數(shù)據(jù)天然的具有流動性,然而,數(shù)據(jù)的跨境流動并不是內(nèi)生的,其從無到有、從個案到常態(tài),都可以視為國際貿(mào)易推動的結(jié)果,[3]具體來說,二者的結(jié)合與互動主要有以下四種形式:一是通過網(wǎng)絡(luò)的貨物進(jìn)出口,主要是數(shù)字平臺;二是與網(wǎng)絡(luò)數(shù)據(jù)相關(guān)服務(wù)的提供與消費(fèi);三是基于進(jìn)出口貨物價值與需求的數(shù)據(jù)收集與分析;最后是數(shù)據(jù)流動本身所帶來的就業(yè)機(jī)會。此外,數(shù)據(jù)的跨境流動與經(jīng)濟(jì)的發(fā)展也處于一種正相關(guān)的關(guān)系之中,充分的數(shù)據(jù)跨境流動往往能夠帶動經(jīng)濟(jì)增長的最大化,據(jù)經(jīng)合組織的統(tǒng)計,在2016年,數(shù)據(jù)的跨境自由流動給全球經(jīng)濟(jì)貢獻(xiàn)了約2.8萬億美元生產(chǎn)總值,約占全球生產(chǎn)總值的百分之三點(diǎn)五,并且,這一數(shù)據(jù)在2025年預(yù)估將達(dá)11萬億美元。[4]從另一個角度來看,也有調(diào)查研究表明,全球貨物貿(mào)易中,約百分之十二是通過國際間數(shù)字商業(yè)平臺開展的,如阿里巴巴、亞馬遜等。[5]P90但技術(shù)較為成熟的發(fā)達(dá)國家成為了主要的受益者,據(jù)統(tǒng)計,在過去的五年里,全球前十大經(jīng)濟(jì)體的國內(nèi)生產(chǎn)總值有百分之十是由網(wǎng)絡(luò)所直接貢獻(xiàn)的,每2.6個工作崗位中,就有一個直接與網(wǎng)絡(luò)相關(guān),同時網(wǎng)絡(luò)數(shù)據(jù)的跨境流動也為全球帶來了巨大的收益,這其中有百分之三十由美國所直接占有。[5]P91不難發(fā)現(xiàn),由于技術(shù)層面的差距,網(wǎng)絡(luò)與數(shù)據(jù)流動對于發(fā)展中國家經(jīng)濟(jì)與貿(mào)易的總體貢獻(xiàn)依舊是遠(yuǎn)低于發(fā)達(dá)國家的。[6]如果認(rèn)為數(shù)據(jù)的跨境流動是自由貿(mào)易與自由市場發(fā)展的必然產(chǎn)物,是貿(mào)易全球化的重要保障,那么,僅從歷史發(fā)展的角度來論證,我們似乎可以得出一個直接的結(jié)論,即純粹的數(shù)據(jù)跨境流動,尤其是商業(yè)數(shù)據(jù),基于市場導(dǎo)向的自由流動顯然是無可厚非的,過度的干預(yù)無疑會對經(jīng)濟(jì)與貿(mào)易的發(fā)展造成不必要的阻礙。此外,數(shù)據(jù)的跨境流動直接受益于全球化與國際經(jīng)貿(mào)往來,但也并不局限于此,其也已經(jīng)滲透到了包括醫(yī)療、教育、體育等幾乎所有產(chǎn)業(yè)領(lǐng)域并逐漸常態(tài)化。①數(shù)據(jù)的跨境流動已經(jīng)不再僅僅起到便利國際貿(mào)易與提高經(jīng)濟(jì)效率的作用,也推動了社會的整體進(jìn)步,包括社會福利與生活質(zhì)量的直接提升。[7]

然而,自由化的內(nèi)核是去法治與無監(jiān)管,隨著數(shù)據(jù)類型的多樣化以及數(shù)據(jù)重要性的增加,完全的放任也可能會造成如下四個方面的弊端:首先,個人信息數(shù)據(jù)的跨境流動往往不可避免地對隱私權(quán)構(gòu)成了潛在的威脅,尤其是當(dāng)前跨國公司對于數(shù)據(jù)的過度收集更加劇了這一擔(dān)憂;其次,數(shù)據(jù)在便利跨國經(jīng)貿(mào)往來的同時,也降低了跨國犯罪的成本,并且,完全自由化的數(shù)據(jù)跨境流動也會為犯罪的調(diào)查與取證帶來程序上的負(fù)擔(dān),不利于責(zé)任的追究;再次,數(shù)據(jù)流動本身是以數(shù)據(jù)包的形式在網(wǎng)絡(luò)介質(zhì)中加以傳播,其本身并不含有實(shí)質(zhì)性內(nèi)容,[8]加之傳播數(shù)據(jù)的體量之大,因而對于其內(nèi)容的即時檢索與解讀存在技術(shù)上的困難,這既不利于監(jiān)管的開展,也客觀上為數(shù)據(jù)侵權(quán)提供了便利;[9]最后,考慮到數(shù)據(jù)在互聯(lián)網(wǎng)時代的重要價值,當(dāng)一國的重要數(shù)據(jù)流入并存儲于他國服務(wù)器時,也會相應(yīng)地對國家安全造成一定的威脅,[10]“棱鏡門”事件便是一個極為深刻的實(shí)例。在此背景之下,對于廣大發(fā)展中國家和技術(shù)欠發(fā)達(dá)國家而言,一方面,網(wǎng)絡(luò)與數(shù)據(jù)自由化的紅利并未大量獲取,另一方面,自由化背后的弊端卻實(shí)實(shí)在在地承受著,換言之,跨境數(shù)據(jù)流動的完全自由化措施雖然能夠有利于經(jīng)濟(jì)與貿(mào)易的發(fā)展,但其在安全、公平等方面的弊端也是上述國家所難以承受的。在經(jīng)濟(jì)發(fā)展與數(shù)據(jù)安全的雙向價值訴求之下,自由主義思潮開始在網(wǎng)絡(luò)空間逐漸退卻,隨之而來的是網(wǎng)絡(luò)空間主權(quán)思想的興起,具體到數(shù)據(jù)跨境流動層面便是數(shù)據(jù)自由化跨境流動被或激進(jìn)或溫和的數(shù)據(jù)本地化政策與立法取代。但二者并非處于一個非此即彼的對立狀態(tài),而是在不同的領(lǐng)域,按照動態(tài)的比例,處于一種衡平的互動之中。

二、本地化:基于限制程度的初步解讀

數(shù)據(jù)本地化首先基于一個基本的共識,即數(shù)據(jù)之于當(dāng)前數(shù)字世界具有關(guān)鍵性作用,因此,其必須被限制在一國領(lǐng)土范圍之內(nèi),[11]因此,其通常要求特定類型的數(shù)據(jù)在境內(nèi)存儲、處理和管理,而不允許或限制將這些數(shù)據(jù)跨境傳輸?shù)狡渌麌一虻貐^(qū)。數(shù)據(jù)本地化的核心要求是通過對數(shù)據(jù)“流出”環(huán)節(jié)采取限制,以將特定數(shù)據(jù)保留在國內(nèi)服務(wù)器上,進(jìn)而便利本國公權(quán)力主體能夠更好地監(jiān)管和管理這些數(shù)據(jù),同時也可以避免數(shù)據(jù)被不受信任的第三方訪問。但數(shù)據(jù)本地化從立法角度看,所期望達(dá)成的價值是多樣化的,對于如何限制數(shù)據(jù)的外流,各國普遍采取了區(qū)別但相似的數(shù)據(jù)流動規(guī)范,相似在于各國立法或政策的出發(fā)點(diǎn)主要與數(shù)字工業(yè)政策或經(jīng)濟(jì)保護(hù)主義相關(guān)聯(lián),同時也蘊(yùn)含著對公共政策或國家安全的追求;[12]區(qū)別則在于限制程度之上,具體可以量化為下表:

表1 數(shù)據(jù)跨境流出的限制模式

(一)有條件的自由流動

上表中,最為極端的情況是完全的無限制和完全的禁止流出,采納這兩種立法模式的國家并不多見,對于后者,具有代表性的當(dāng)屬俄羅斯2019年《主權(quán)互聯(lián)網(wǎng)法案》,其規(guī)定:俄方相關(guān)部門在“緊急情況下可將本國網(wǎng)絡(luò)與全球互聯(lián)網(wǎng)斷開”,具體實(shí)踐可以參考2022年俄羅斯與烏克蘭的沖突,此次沖突中,俄方于3月正式斷開與全球互聯(lián)網(wǎng)的連接,轉(zhuǎn)而使用本土互聯(lián)網(wǎng)Runet。[13]相應(yīng)的,另一個極端,即無限制模式也并不多見,通常主要集中在互聯(lián)網(wǎng)普及較低以及網(wǎng)絡(luò)技術(shù)發(fā)展較為落后的國家。從整體來看,各國實(shí)踐主要還是集中在有條件流出這一區(qū)間,其中,模式1,即“隱私責(zé)任限制”,并不禁止數(shù)據(jù)的跨境流出,也不要求數(shù)據(jù)流出應(yīng)當(dāng)具備特定的條件,但對于數(shù)據(jù)輸出方一般都明確規(guī)定了事后問責(zé)機(jī)制以確保數(shù)據(jù)不被加以濫用。[14]模式2,即“適格主體評價或條約機(jī)制授權(quán)”,在當(dāng)前得到了較多的立法實(shí)踐,在此情況下,數(shù)據(jù)接收方通常被要求具有充分或?qū)Φ鹊臄?shù)據(jù)保護(hù)等級,或是基于國際性公約機(jī)制,在上述條件都不具備的情況下,只要滿足如下要求,數(shù)據(jù)依舊可以流入第三方,包括:數(shù)據(jù)主體同意、數(shù)據(jù)傳輸是基于合同履行的需要、基于公共利益,以及數(shù)據(jù)傳輸對于保護(hù)數(shù)據(jù)主體重要利益是必要的等。[15]

而模式3,即基于“具有約束力的公司規(guī)則”而進(jìn)行的跨境數(shù)據(jù)傳輸,其限制程度要明顯強(qiáng)于模式1和2,但相應(yīng)的,其適用場景具有一定的局限性,主要涉及特定的行業(yè)數(shù)據(jù),要求跨國公司能夠?yàn)閿?shù)據(jù)保護(hù)提供有效的權(quán)利保障與法律救濟(jì)機(jī)制,即便數(shù)據(jù)流入國并非適格主體,只要保證數(shù)據(jù)在企業(yè)內(nèi)部系統(tǒng)流動,依然可以被允許。然而,公司規(guī)則的認(rèn)可往往需要經(jīng)過輸入與輸出國兩方的數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn),而這一批準(zhǔn)過程往往需要耗費(fèi)較長時間,并且其結(jié)果也往往不具有可預(yù)測性。因而,也有部分國家采取了“標(biāo)準(zhǔn)合同條款”的模式來加以代替,[16]即對于數(shù)據(jù)向第三方的流入,數(shù)據(jù)保護(hù)機(jī)構(gòu)預(yù)先準(zhǔn)備好相關(guān)規(guī)范,加入上述規(guī)范的合同可以自動被視為能夠提供充足的數(shù)據(jù)安全保障,因而可以便利向第三國進(jìn)行傳輸,但這一條款也具有一定的缺陷,主要在于具體權(quán)責(zé)往往難以實(shí)現(xiàn),同時也會導(dǎo)致更高的行政成本。并且,數(shù)據(jù)流動也會融入到一個龐大且錯綜復(fù)雜的產(chǎn)業(yè)鏈中,無論是標(biāo)準(zhǔn)合同條款亦或是約束力公司規(guī)則,實(shí)際上也很難防止數(shù)據(jù)接受方的下游主體對數(shù)據(jù)加以濫用。

(二)臨時性流出

相比較模式1至3,模式4即“臨時性流出”,主要針對的是非適格的數(shù)據(jù)接收主體,通常指數(shù)據(jù)輸出國的有關(guān)公權(quán)力機(jī)關(guān),根據(jù)接收國有關(guān)公權(quán)力機(jī)關(guān)的請求,臨時性地對特定數(shù)據(jù)的跨境流出進(jìn)行許可,并且面向的是相對具體的場景,或較為特殊的數(shù)據(jù)類型。模式4最為常見的適用場景當(dāng)屬傳統(tǒng)的司法互助協(xié)議,這一程序主要針對的是司法審判與個案相關(guān)的數(shù)據(jù),數(shù)據(jù)存儲國往往首先基于接收國的司法或外交部門請求,針對個案進(jìn)行臨時性的數(shù)據(jù)跨境傳輸。此外,模式4也可用以針對部分特殊類型數(shù)據(jù)的跨境傳輸,如我國《網(wǎng)絡(luò)安全法》第37條規(guī)定:“對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在我國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù),因業(yè)務(wù)需要,確需向境外提供的,依據(jù)國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估,評估通過方可流出”。不可否認(rèn)的是,模式4往往伴隨著較為復(fù)雜的程序,如基于司法互助協(xié)議的數(shù)據(jù)跨境傳輸,通常包括“申請-審查-批準(zhǔn)-篩選”等環(huán)節(jié),[17]這一過程是耗時且低效的。同時,模式4與公司規(guī)則一樣,也缺乏可預(yù)測性,無論是安全評估或者合規(guī)性審查,各國相關(guān)實(shí)踐的范圍和標(biāo)準(zhǔn)并不明晰,其中也不乏政治因素的導(dǎo)向,這也注定了模式4只能作為常規(guī)程序外的補(bǔ)充而存在。

(三)“生成地”與“來源地”的介入

在確定數(shù)據(jù)跨境流動規(guī)制之前,我們依舊有一個前置性的工作需要完成,即對于數(shù)據(jù)境內(nèi)與境外的區(qū)分。該問題看似簡單,因?yàn)槲覀兯坪蹩梢酝ㄟ^數(shù)據(jù)所處的服務(wù)器位置來判斷其與特定領(lǐng)土的聯(lián)系,但實(shí)則不然。網(wǎng)絡(luò)空間與實(shí)體領(lǐng)土的割裂被技術(shù)的進(jìn)步所進(jìn)一步放大,尤其是云儲存與大數(shù)據(jù)的發(fā)展,將不可避免地剝離數(shù)據(jù)行為、數(shù)據(jù)儲存與數(shù)據(jù)主體三者在地理上的聯(lián)系。因此,我們有必要引入兩個全新的介入概念,即“生成地”與“來源地”,[2]P29二者是具有顯著區(qū)別的,所面對的數(shù)據(jù)類型也并不相同,數(shù)據(jù)的生成是一個收集性的行為,其主要代指通過對單一數(shù)據(jù)源的定性研究而形成的數(shù)據(jù),其包含有數(shù)據(jù)加工與再處理的環(huán)節(jié),可以說,生成數(shù)據(jù)是多個原始數(shù)據(jù)的集合,但對于生成國而言,其所使用的原始數(shù)據(jù)既可能來源于本地,也可能來源于第三方,即數(shù)據(jù)的生成地與來源地可能位于不同的主權(quán)領(lǐng)土之內(nèi)。以分布式儲存為例,數(shù)據(jù)α來源于A國,其后發(fā)送至B國,并在此與來自C國的其他數(shù)據(jù)共同形成新的數(shù)據(jù)集合β。那么,在這一過程中,A國可以視為原始數(shù)據(jù)α的來源地(唯一)與生成數(shù)據(jù)β的來源地(之一),而B國則是β數(shù)據(jù)的生成地。但如下兩個問題也隨之而來:首先,B國可否將數(shù)據(jù)β視為境內(nèi)數(shù)據(jù),進(jìn)而加以上述的本地化管控;其次,A國與C國可否主張生成數(shù)據(jù)β為境內(nèi)數(shù)據(jù),進(jìn)而加以本地化管控。

對于上述兩個問題,目前并沒有一個統(tǒng)一且權(quán)威的回答,并且基于不同的觀點(diǎn)與立場,具體到數(shù)據(jù)跨境流動管制這一環(huán)節(jié),也衍生出了兩種補(bǔ)充模式:首先,雙本地化管控模式,即以數(shù)據(jù)主體為判斷標(biāo)準(zhǔn),同時認(rèn)定來源于本國(包括來源于境外的本國主體)以及生成于本國的數(shù)據(jù)都為境內(nèi)數(shù)據(jù),進(jìn)而依照同樣的標(biāo)準(zhǔn)來加以跨境流動管制;其次,生成地管控,即以數(shù)據(jù)行為為判斷標(biāo)準(zhǔn),僅認(rèn)定生成于本國的數(shù)據(jù)為境內(nèi)數(shù)據(jù),并加以管控,無論其來源是否為本國,反之則為境外數(shù)據(jù)。[2]P23當(dāng)然,上述兩種模式實(shí)際上都較為寬泛,實(shí)踐中,各國普遍采取的主要是管控程度有所區(qū)別的中間模式,通常情況下,基于對等原則,往往會以“來源地例外”模式或“白名單”制度作為補(bǔ)充,包括在一般性的數(shù)據(jù)本地化規(guī)制措施之外,允許生成的數(shù)據(jù)向來源國自由回流,或允許其在白名單國家或來源地國家間自由流動。[18]P6總的來說,依照限制程度的不同,主要可以歸納為下表所示的四種類型。

表2 結(jié)合來源地與生成地的數(shù)據(jù)跨境管控模式

三、基于主要經(jīng)濟(jì)體立法的量化分析

(一)一個初步的結(jié)論

如果將上述跨境數(shù)據(jù)流出的四種模式與數(shù)據(jù)的“生成”與“來源”兩地加以排列組合,會得出一個極其復(fù)雜且無序的圖譜,但如果依據(jù)限制程度的不同,同時結(jié)合當(dāng)前各國的立法實(shí)踐,除了絕對自由化和嚴(yán)格本地化這兩個極端之外,我們可大致將數(shù)據(jù)跨境流動規(guī)制的主流模式分為三類:一、相對寬松的本地化模式,即有條件地允許本地數(shù)據(jù)向特定國家跨境傳輸;二、相對嚴(yán)格的本地化模式,即臨時性流出與“來源地”例外或“白名單”模式的結(jié)合;三,嚴(yán)格的本地化模式,即“雙管控”模式與臨時性流出或禁止流出模式的結(jié)合。據(jù)經(jīng)濟(jì)合作與發(fā)展組織的統(tǒng)計,就國際間已有的數(shù)據(jù)本地化立法而言,當(dāng)前獲得較多認(rèn)同的是相對寬松的模式,約占百分之四十二;其次是相對嚴(yán)格的模式,約占百分之三十三,而嚴(yán)格的本地化模式與其他則僅有約百分之二十五的國家支持。[2]P37

(二)變量的引入:數(shù)據(jù)類型

不可否認(rèn),上述結(jié)論僅僅是靜態(tài)層面的,也僅能夠粗略地反映一國立法對于數(shù)據(jù)跨境流動的整體態(tài)度,若以數(shù)據(jù)類型來加以再考量的話,我們則會得出另一組數(shù)據(jù),即基于數(shù)據(jù)類型的本地化規(guī)制趨勢。具體而言,對于數(shù)據(jù)的類型,目前參照經(jīng)濟(jì)合作組織的標(biāo)準(zhǔn),主要可以分為三類:首先是個人數(shù)據(jù)或個人識別信息,其次是特定行業(yè)數(shù)據(jù),包括商業(yè)、金融、健康數(shù)據(jù)等,最后一類是與國家安全、經(jīng)濟(jì)發(fā)展、社會與公共利益密切相關(guān)的“重要”或“關(guān)鍵”數(shù)據(jù),通常包括能源、軍事、關(guān)鍵性基礎(chǔ)設(shè)施、核武等。[2]P22筆者選取了具有代表性的二十國集團(tuán),以數(shù)據(jù)類型與本地化模式類型為參考指標(biāo),可以得出下表:②

表3 基于數(shù)據(jù)類型的20國集團(tuán)數(shù)據(jù)本地化立法統(tǒng)計

通過對上述國家立法的一個定量分析,我們可以對上述觀點(diǎn)加以進(jìn)一步的優(yōu)化,首先,在數(shù)據(jù)本地化成為國際主流的大背景下,各國將立法與政策的主要焦點(diǎn)落實(shí)在了個人數(shù)據(jù)的保護(hù)之上,換言之,個人數(shù)據(jù)立法具有較高的優(yōu)先級,并且,對于個人數(shù)據(jù)的跨境流動規(guī)制,相對寬松的限制模式是一種主流選擇,因此,上文非量化分析的結(jié)果更多反映的僅是個人數(shù)據(jù)的本地化規(guī)制,不具有普適性;此外,作為另一個主要的著力點(diǎn),對于金融與商業(yè)數(shù)據(jù)的跨境流動規(guī)制,往往是經(jīng)濟(jì)發(fā)展程度越高的國家與地區(qū)越趨向于寬松化的管制,而經(jīng)濟(jì)發(fā)展程度較低的國家與地區(qū)則采取較為嚴(yán)格的本地化管制;最后,對于重要數(shù)據(jù)與個人健康數(shù)據(jù),基于國家安全的考慮,各國普遍都是采取了相對嚴(yán)格的本地化措施?？偟膩碚f,各國已經(jīng)普遍認(rèn)識到,數(shù)據(jù)跨境流動規(guī)制并非是一個“一刀切”或“一攬子”的過程,而是一個在區(qū)別數(shù)據(jù)類型基礎(chǔ)之上加以動態(tài)調(diào)整的過程。

(三)變量的引入:國際合作與協(xié)調(diào)機(jī)制

即便我們針對數(shù)據(jù)跨境流動規(guī)制加以了分類調(diào)整,但這依舊不夠全面與動態(tài),原因在于我們僅以國家或國際組織作為單位,以國內(nèi)立法或區(qū)域間立法為分析對象,忽視了另一個重要介入因素的影響,即地緣政治。經(jīng)合組織將數(shù)據(jù)本地化立法分為三種,除了國內(nèi)立法之外,還包括雙邊規(guī)范或政策以及政府間協(xié)議。[18]P5以美國為例,其有關(guān)國內(nèi)數(shù)據(jù)立法并不發(fā)達(dá),主要原因在于其更傾向于通過簽訂自由貿(mào)易協(xié)定的方式來點(diǎn)對點(diǎn)地確立數(shù)據(jù)自由流動的“白名單”制度,或者通過政府間協(xié)議的方式來參與乃至構(gòu)建國際公約機(jī)制,以在特定共同體內(nèi)實(shí)現(xiàn)基于市場導(dǎo)向的數(shù)據(jù)流動。如APEC隱私框架下的“跨境隱私規(guī)則體系”,這一體系共有包括美國及其傳統(tǒng)“盟友”在內(nèi)共計八個國家或地區(qū)的加入,是當(dāng)前多邊監(jiān)管中較為成熟的機(jī)制;又如在2011年《跨太平洋伙伴關(guān)系協(xié)定》中,也以專章的形式納入了具有約束力的條款用以規(guī)制數(shù)據(jù)跨境流動以限制數(shù)據(jù)本地化存儲,但參與協(xié)議的國家也還是主要以美國傳統(tǒng)盟友為主。在構(gòu)建“白名單”之外,美國的國內(nèi)立法,如尚未生效的《國家安全和個人數(shù)據(jù)保護(hù)法案2019》,也點(diǎn)對點(diǎn)地為某些“特別關(guān)注”國家或機(jī)構(gòu)設(shè)立“黑名單”,以形成數(shù)據(jù)的禁流區(qū)。③采取類似措施的國家還包括歐盟、印度、巴西等,以歐盟為例,其規(guī)定個人數(shù)據(jù)可以在成員國之間自由流動,但對于向非成員國的流動,則設(shè)立了諸多的門檻,其所加以考量的標(biāo)準(zhǔn)包括有“個人數(shù)據(jù)保護(hù)法治”、“人權(quán)保障”等,④這一具有明顯意識形態(tài)與地緣政治色彩的標(biāo)準(zhǔn),對于我國而言顯然是不友好的。此外,APEC在《隱私框架2005》以及配套的“隱私開創(chuàng)者計劃”中也設(shè)立了包括國內(nèi)司法、隱私保護(hù)執(zhí)法機(jī)構(gòu)、信任標(biāo)志提供商、隱私法規(guī)是否與APEC隱私框架的一致性等準(zhǔn)入門檻,[19]上述標(biāo)準(zhǔn)的滿足對于我國而言,依舊是不現(xiàn)實(shí)的。更為直接的排斥還可以參考?xì)W盟發(fā)布的《數(shù)字服務(wù)新發(fā)展》研究報告,其中直接提議建立與歐盟政治價值觀配套的網(wǎng)絡(luò)防火墻,限制國際互聯(lián)網(wǎng)服務(wù)。[20]因此,不難看出,就優(yōu)先級較高的數(shù)據(jù)來說,如健康數(shù)據(jù)、重要數(shù)據(jù)等,嚴(yán)格本地化或者相對嚴(yán)格的本地化依舊是國際間的一致趨勢,受到地緣政治的影響較小,但就個人數(shù)據(jù)、金融數(shù)據(jù)以及商業(yè)數(shù)據(jù)這三者而言,當(dāng)前國際間的主流模式可以進(jìn)一步歸納為在“共同體”內(nèi)自由流動,而“共同體”外則限制乃至禁止流動。

在此,經(jīng)過動態(tài)與靜態(tài)層面的分析,同時結(jié)合宏觀國際政治環(huán)境,就跨境數(shù)據(jù)流動規(guī)制的國際主流模式與樣貌,我們可以得出一個綜合且完善理論:首先,數(shù)據(jù)跨境流動,無論是完全的市場導(dǎo)向,亦或是完全的本地化約束,兩種極端的做法都不是當(dāng)前各國的主流選擇;其次,在肯定了數(shù)據(jù)本地化的必要性之后,對于采取何種程度的本地化措施,實(shí)際上取決于多方面的因素,目前并沒有一個國際間的通用標(biāo)準(zhǔn)或模式,需要加以考慮的客觀因素包括有數(shù)據(jù)類型、數(shù)據(jù)重要程度、經(jīng)濟(jì)發(fā)展程度等,需要考慮的主觀因素包括有各國的現(xiàn)實(shí)社會需要、技術(shù)發(fā)展水平等;最后,基于地緣政治與意識形態(tài)的影響,逆全球化思潮已經(jīng)在網(wǎng)絡(luò)空間興起,強(qiáng)區(qū)域化趨勢與數(shù)字保護(hù)主義也已經(jīng)逐漸成為主流。因此,如何突破“集團(tuán)封鎖”與“數(shù)字鴻溝”,[21]進(jìn)而最大化與均衡化數(shù)據(jù)紅利的獲取,對于包括我國在內(nèi)的廣大發(fā)展中國家而言,都是至關(guān)重要且亟待突圍的難題。

四、我國的選擇:被動防御亦或主動突圍

嚴(yán)格的數(shù)據(jù)本地化在一定意義上具有防御他國惡意管轄與維護(hù)本國合法數(shù)據(jù)權(quán)益的作用,然而,正如上文所述,絕對的本地化是不現(xiàn)實(shí)的,跨境數(shù)據(jù)流動的規(guī)制必然要考慮不同主權(quán)國家之間的規(guī)則銜接與可能的立法沖突。作為網(wǎng)絡(luò)大國與數(shù)據(jù)大國,我國自然也無法閉門造車,也需要考慮域內(nèi)立法與域外規(guī)則的對接,以及法律規(guī)范與技術(shù)標(biāo)準(zhǔn)的協(xié)調(diào)。參考相關(guān)立法,2011年《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》可以視為是我國對跨境數(shù)據(jù)流動規(guī)制的第一次嘗試,其在第六條中規(guī)定:“在中國境內(nèi)收集的個人金融信息的儲存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。除法律法規(guī)及中國人民銀行另有規(guī)定外,銀行業(yè)金融機(jī)構(gòu)不得向境外提供境內(nèi)個人金融信息”。從文義上來看,對于我國公民的金融數(shù)據(jù),該《通知》已經(jīng)明確了嚴(yán)格的本地化的立法思想,對于數(shù)據(jù)的域外流動采取了完全禁止的態(tài)度。在后續(xù)的2014年《人口健康信息管理辦法(試行)》、2015年《地圖管理?xiàng)l例》、2016年《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等立法中,嚴(yán)格的本地化依舊是主導(dǎo)取向,當(dāng)然,這也是與彼時我國的經(jīng)濟(jì)與技術(shù)發(fā)展水平相適應(yīng)的。但隨著相對寬松本地化管控的勢起,我國也開始逐步轉(zhuǎn)變傳統(tǒng)立法思想,如代表性的《網(wǎng)絡(luò)安全法》以及《數(shù)據(jù)安全法》,二者確立了數(shù)據(jù)出境安全評估機(jī)制,規(guī)定對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在我國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù),原則上必須存儲于我國境內(nèi),確需跨境傳輸?shù)?應(yīng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估,亦即數(shù)據(jù)跨境流出的前置性程序。同時,2021年《個人信息保護(hù)法》也規(guī)定了個人信息處理者向境外傳輸個人信息所應(yīng)當(dāng)具備的四種條件,除了安全評估之外,還包括有“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證”、“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同”、“個人的單獨(dú)同意”以及根據(jù)我國“締結(jié)或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求”。可以確定的是,《個人信息保護(hù)法》就數(shù)據(jù)跨境流出這一環(huán)節(jié)來說,已經(jīng)開始融入“適格主體評價或條約機(jī)制授權(quán)”與“具有約束力的公司規(guī)則”這兩種模式,相較之早期的立法,這是一個重大的改變。但這也依舊僅僅是一種被動的防御措施,其實(shí)質(zhì)是與國際主流標(biāo)準(zhǔn)的被動接軌而非突破,成為網(wǎng)絡(luò)強(qiáng)國需要我國實(shí)現(xiàn)話語權(quán)的掌握,也需要完成由運(yùn)動員向裁判員的轉(zhuǎn)型,換言之,即主動突圍“集團(tuán)封鎖”并構(gòu)建跨境數(shù)據(jù)流動的中國模式,然而,預(yù)期達(dá)成上述愿景,我們當(dāng)下首先需要解決如下三個困境。

(一)領(lǐng)土化依附:以《個人信息保護(hù)法》第三條為起點(diǎn)

比較來看,作為法律的適用條款,我國《個人信息保護(hù)法》第三條與歐盟《通用數(shù)據(jù)保護(hù)條例》的第三條在內(nèi)容上是高度相似的,后者規(guī)定“為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)主體支付對價”、“對發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動進(jìn)行監(jiān)控”,而我國規(guī)定“(境外活動)以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的”以及“分析、評估境內(nèi)自然人的行為”。但在合規(guī)對象這一問題之上,歐盟是圍繞“人”展開的,既包括與歐盟公民有關(guān)的域內(nèi)外數(shù)據(jù)行為,亦包括歐盟境內(nèi)設(shè)立的數(shù)據(jù)處理者與控制者的域內(nèi)外數(shù)據(jù)行為;而我國是圍繞“領(lǐng)土”展開的,既包括境內(nèi)(信息)活動,也包括對境內(nèi)產(chǎn)生影響的境外活動。具體到應(yīng)用場景之中,首先,面對來源地為他國,而生成地為我國的數(shù)據(jù),如我國境內(nèi)相關(guān)主體對他國金融或商業(yè)數(shù)據(jù)加以分析,并隨之生成了新數(shù)據(jù),那么上述兩種模式并無區(qū)別。但如果將上述過程倒置,對于來源于或儲存于我國,但后續(xù)在境外生成的數(shù)據(jù),如我國公民或法人在境外旅游、貿(mào)易、教育等過程中所產(chǎn)生并為他國所收集、處理的數(shù)據(jù),在我國法律體系下則屬于境外信息活動,進(jìn)而無法加以有效地保護(hù)或提出正當(dāng)獲取的訴求。此外,對于來源與生成都在境外,但處理者與控制者為我國主體的數(shù)據(jù),如我國互聯(lián)網(wǎng)企業(yè)在域外服務(wù)器所獲取的本地數(shù)據(jù),按照我國目前的規(guī)定,也依舊屬于境外信息活動,不受我國立法的約束,也不存在合規(guī)義務(wù)。然而,后兩種假設(shè)場景如果適用歐盟或美國立法,結(jié)論是完全相反的。

(二)生成數(shù)據(jù)與交叉數(shù)據(jù)的規(guī)制盲區(qū)

目前我國依舊僅僅實(shí)現(xiàn)了規(guī)制與管控體系的初步完備,在整體之下依舊存在著盲區(qū)與沖突,尤其是規(guī)則適用與權(quán)責(zé)劃分領(lǐng)域,問題比較集中,并且也直接關(guān)系到了安全評估機(jī)制的實(shí)際效能與執(zhí)行。具體來說包括兩點(diǎn):首先,交叉數(shù)據(jù)的管控,以個人收入信息為例,其可為金融機(jī)構(gòu)所持有,進(jìn)而定性為金融數(shù)據(jù),也可為電子商務(wù)平臺所獲得,進(jìn)而歸納為商業(yè)數(shù)據(jù)或個人信息,亦或者,即便是在個人信息這一大類之下,也可能含有教育、醫(yī)療、隱私、未成年人信息等若干級別完全不同的子類。換言之,同樣內(nèi)容的數(shù)據(jù)可以為不同行業(yè)所獲取或留存,或基于不同的標(biāo)準(zhǔn),進(jìn)而被同時歸入不同的兩個或多個類別之中,或適用不同的跨境流出標(biāo)準(zhǔn)。對于交叉數(shù)據(jù)的規(guī)制,多標(biāo)準(zhǔn)與多法律的競合將是不可避免的,尤其是在數(shù)據(jù)跨境流通這一環(huán)節(jié)上,考慮到我國《數(shù)據(jù)出境安全評估辦法》中存在有關(guān)“敏感程度”的評估,對于交叉數(shù)據(jù)的分類將直接關(guān)系到其后續(xù)出境所面臨的審查標(biāo)準(zhǔn)與程序;其次,對于生成數(shù)據(jù)或數(shù)據(jù)集合的監(jiān)管盲區(qū),以個人主體為例,當(dāng)某一數(shù)據(jù)處理者同時收集消費(fèi)、隱私、健康、金融等多類數(shù)據(jù),并加以“用戶畫像”,那么對于新生成的數(shù)據(jù)集合,我們?nèi)暨x擇將其視為一個整體并使用單一程序與標(biāo)準(zhǔn)對其加以跨境評估,那么我們依舊會回到上述交叉數(shù)據(jù)的監(jiān)管難題之上,若選擇回歸原數(shù)據(jù)、加以分別評估的話,一方面在效率層面是不可行的,另一方面也會面臨一個難題,即是否需要因?yàn)閭€別數(shù)據(jù)的禁止出境而否定整體數(shù)據(jù)集合的出境。不可否認(rèn),無論是交叉數(shù)據(jù)亦或是生成數(shù)據(jù),對于其跨境流動的規(guī)制向來是各國立法所面臨的公認(rèn)難題,但主動突圍與話語權(quán)的獲取,首先需要的便是對爭議話題與前言領(lǐng)域的提前布局與介入,這可以視為是由運(yùn)動員向裁判轉(zhuǎn)型的有效路徑。

(三)雙/多邊國際合作的不足

在域內(nèi)立法的革新之外,主動突圍的另一個直接思路便是國際合作治理的參與,隨著APEC跨境隱私規(guī)則體系的建立以及新一輪國際間貿(mào)易協(xié)定的出臺,如《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(以下簡稱CPTPP)、《跨太平洋伙伴關(guān)系協(xié)定》(以下簡稱TPP)等對數(shù)據(jù)跨境自由流動的強(qiáng)調(diào),我國也逐漸意識到域外國際合作立法的重要性,尤其是在國際貿(mào)易與數(shù)字貿(mào)易的規(guī)則制定、數(shù)據(jù)保護(hù)與隱私法律、爭端解決機(jī)制等方面,我國進(jìn)行了諸多積極的嘗試,如將相關(guān)規(guī)則嵌入“自由貿(mào)易協(xié)定”(FTA)、“區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定”(RECP)等雙邊或多邊貿(mào)易談判之中。[22]前者參考已經(jīng)達(dá)成的雙邊協(xié)議,如“中國-新加坡”、“中國-瑞士”、“中國-澳大利亞”等,我國普遍在“具體承諾減讓表”中授予了他國銀行與保險業(yè)金融部門或分部門跨境提供金融信息或金融數(shù)據(jù)服務(wù)的權(quán)利,這實(shí)際上已經(jīng)構(gòu)成了對上述國內(nèi)早期相關(guān)立法的突破,摒棄了嚴(yán)格的本地化模式,并且與部分國家實(shí)現(xiàn)了“點(diǎn)對點(diǎn)”的自由流動。但就個人數(shù)據(jù)與商業(yè)數(shù)據(jù)的跨境流動規(guī)制,在當(dāng)前我國所達(dá)成的相關(guān)協(xié)定則較為模糊,且存有進(jìn)一步解釋的空間。⑤以最新的“中國-新加坡升級自由貿(mào)易協(xié)定”為例,在其第新十五章中,參考對于商業(yè)數(shù)據(jù)和個人數(shù)據(jù)的跨境流動僅明確了如下兩方面,首先,根據(jù)第二條及第三條規(guī)定,支持電子商務(wù)的發(fā)展,減少不必要的壁壘是雙方都期望達(dá)成的共識,因此對于商業(yè)數(shù)據(jù)的監(jiān)管應(yīng)“最小化”,應(yīng)最大限度的實(shí)現(xiàn)商務(wù)數(shù)據(jù)的自由流動。但就適用標(biāo)準(zhǔn)而言,協(xié)議僅補(bǔ)充規(guī)定了可“適當(dāng)考慮其他相關(guān)的國際標(biāo)準(zhǔn)”,但并未明確相關(guān)標(biāo)準(zhǔn)為何。此外,在協(xié)議的第七條與第八條中也加入了對于個人信息的保護(hù)條款,強(qiáng)調(diào)“雙方應(yīng)盡力就各自體制進(jìn)行信息交換,提升相互之間的兼容性”,這一表述無疑明確了兩國就個人信息的跨境流動應(yīng)當(dāng)以非本地化為努力方向,但由于雙方在體制與立法層面的不同,如同商業(yè)數(shù)據(jù)一樣,對于如何具體進(jìn)行個人信息的交換以及基于何種標(biāo)準(zhǔn)交換,實(shí)際上依舊暫未明確。⑤

在多邊國際治理參與層面,進(jìn)展也較為緩慢,我國當(dāng)前最具代表性的多邊成果是在2020年11月通過的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》,在《協(xié)定》中,與點(diǎn)對點(diǎn)的FTA一樣,我國已經(jīng)明確了部分金融數(shù)據(jù)在成員國之間的自由流動,但在此之外,對于其他類型的數(shù)據(jù),則并未或較少涉及。⑥考慮到我國國內(nèi)立法的嚴(yán)格屬地傳統(tǒng),WTO所倡導(dǎo)的“謀求禁止數(shù)據(jù)本地化”主張目前很難與我國立法完全相融合,并且,中國問題并非獨(dú)有,而是發(fā)展中國家的普遍擔(dān)憂,早在2011年TPP第七輪談判中,美國便主張將強(qiáng)制性的跨境數(shù)據(jù)流動規(guī)制列入草案文本中,然而,這遭到了包括越南、馬來西亞等國的直接反對,認(rèn)為這直接與國家安全相沖突。[23]自此,不難看出,在國際合作的層面,我國已經(jīng)開始逐漸嘗試由相對嚴(yán)格的本地化模式向相對寬松的本地化模式轉(zhuǎn)變,但預(yù)期通過加入已有體系來達(dá)成規(guī)則與標(biāo)準(zhǔn)的對接,顯然存在著一定的困難,也不符合我國作為最大發(fā)展中國家的定位,因此,主動突圍與另起爐灶成為了我國的首選。

五、突圍的應(yīng)然路徑

當(dāng)確定了主動突圍是我國當(dāng)下網(wǎng)絡(luò)數(shù)據(jù)立法的應(yīng)然選擇,那么,我們便需要就如下三項(xiàng)工作提前布局:首先,概念的再釋義與統(tǒng)一,主要針對的是領(lǐng)土化依附傾向所導(dǎo)致的數(shù)據(jù)控制弱勢以及交叉數(shù)據(jù)管控盲區(qū)這兩個困境;其次,區(qū)域的能動與創(chuàng)新的發(fā)揮,主要解決的是生成數(shù)據(jù)管控空白這一問題,同時,也為我國數(shù)據(jù)跨境流出提供了“法中法”選項(xiàng);最后,基于信任體系的國際規(guī)則建立,主要服務(wù)于我國國際數(shù)據(jù)合作與治理的參與,可以視為是“法外法”選項(xiàng)。

(一)去“領(lǐng)土依附”與“本地化”概念的再明確

“領(lǐng)土依附”的傳統(tǒng)間接導(dǎo)致了我國在數(shù)據(jù)跨境流動規(guī)制中重“生成”、輕“來源”,對于很多本應(yīng)屬于我國或來源于我國的數(shù)據(jù)會由于無法可依而難以有效獲取并加以管控。為此,結(jié)合國際間主流立法選擇,有效突圍的關(guān)鍵在于應(yīng)釋明“境內(nèi)”與“境外”的標(biāo)準(zhǔn),具體來說:首先,積極尋求立法的去“領(lǐng)土依附”,參考?xì)W盟、美國有關(guān)的立法實(shí)踐,應(yīng)以“人”和“數(shù)據(jù)來源”作為辨別境內(nèi)與境外的主要標(biāo)準(zhǔn),對于來源地和生成地都為我國的數(shù)據(jù),應(yīng)視為完全的境內(nèi)數(shù)據(jù),進(jìn)而參照當(dāng)前立法予以相應(yīng)的規(guī)制;其次,對于我國主體在境外生成的數(shù)據(jù),如我國公民在域外產(chǎn)生的金融、醫(yī)療、教育等數(shù)據(jù),應(yīng)確定“本地(我國)留存”制度,包括一方面基于對等原則,允許其相對自由地域外儲存,另一方面也要求新生成數(shù)據(jù)應(yīng)在我國留有備份;最后,對于我國境內(nèi)生成或儲存的境外主體的數(shù)據(jù),我國也應(yīng)當(dāng)基于對等原則,確立點(diǎn)對點(diǎn)的數(shù)據(jù)流通機(jī)制,確保數(shù)據(jù)能在生成地(我國)與來源地(境外)之間自由流動,這是尊重他國數(shù)據(jù)主權(quán)與數(shù)據(jù)安全的應(yīng)有之意,但對于此類數(shù)據(jù),我國也應(yīng)當(dāng)保有“本地留存”的權(quán)利。

此外,也需要指出,去領(lǐng)土依附并不與我國所倡導(dǎo)的網(wǎng)絡(luò)空間主權(quán)思想相抵觸,承認(rèn)并尊重他國網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)與管轄權(quán)域外行使之間是可以達(dá)成應(yīng)然平衡的,同樣,數(shù)據(jù)管控權(quán)的域外行使與網(wǎng)絡(luò)數(shù)據(jù)跨境流動之間也可以實(shí)現(xiàn)自由與有序的統(tǒng)一。這需要我們嚴(yán)格堅持以實(shí)害結(jié)果為導(dǎo)向,對于直接主體與本國主體加以優(yōu)先管控,對于上下游的間接主體和域外主體,非基于國家安全與公共利益,則弱管控;此外,考慮到自歐盟《通用數(shù)據(jù)保護(hù)條例》以來,域外數(shù)據(jù)流動的雙管控模式已經(jīng)成為了國際間立法的主流模式,我國的立法跟進(jìn)從另一個角度來看,也有利于自身數(shù)據(jù)利益與司法主權(quán)的維護(hù),尤其是在面對域外國家惡意干涉的情況下,可以形成有效的戰(zhàn)略緩沖,進(jìn)而實(shí)現(xiàn)國家對數(shù)據(jù)的最高控制權(quán)。

(二)重視“分級分類分區(qū)域”立法的創(chuàng)新價值

對于交叉數(shù)據(jù)與生成數(shù)據(jù)的管控直接關(guān)系到我國跨境安全評估機(jī)制的落實(shí)與否,因此,下一階段我國立法的補(bǔ)修應(yīng)以實(shí)現(xiàn)整體統(tǒng)一與局部創(chuàng)新為目標(biāo),具體來說,首先,統(tǒng)一是整體規(guī)則與標(biāo)準(zhǔn)的統(tǒng)一,對于關(guān)鍵性基礎(chǔ)概念,我國各級各類立法中仍有沖突發(fā)生,因此,下一階段的立法應(yīng)加以統(tǒng)一釋義,提高立法質(zhì)量,以良法促善治,[24]對已有的各級各類數(shù)據(jù)與網(wǎng)絡(luò)法規(guī)、政策、文件等加以主動審查與專項(xiàng)審查,一方面允許并支持差異化立法的存在,另一方面也應(yīng)避免下位法與上位法之間、同級立法之間的沖突;其次,明確數(shù)據(jù)的一級分類,并匹配與之相應(yīng)的跨境流動安全評估兜底標(biāo)準(zhǔn)與一般程序,對于交叉數(shù)據(jù),則加以二級分類,如在個人信息一級分類之下,依據(jù)敏感級別的不同,細(xì)分出個人金融信息、個人健康信息、個人消費(fèi)信息等,并在上述兜底標(biāo)準(zhǔn)與程序的基礎(chǔ)之上,進(jìn)行或嚴(yán)或松的微調(diào);最后,整體的統(tǒng)一并不意味著管控權(quán)力的絕對集中,我們允許相對的集中評估審批,但考慮到數(shù)據(jù)跨境流動規(guī)則與經(jīng)濟(jì)發(fā)展以及產(chǎn)業(yè)需求呈現(xiàn)出一定的正相關(guān)關(guān)系,因此也應(yīng)允許部分有條件的區(qū)域與地方發(fā)揮創(chuàng)新性示范作用,[25]在整體架構(gòu)之內(nèi)建設(shè)“數(shù)據(jù)跨境流通自由港”與“個人數(shù)據(jù)跨境流動白名單”。正如《粵港澳大灣區(qū)發(fā)展規(guī)劃綱要》、《中共中央國務(wù)院關(guān)于支持深圳建設(shè)中國特色社會主義先行示范區(qū)的意見》等文件中多次提出的“深港澳數(shù)據(jù)融通機(jī)制”,便可以視為單一地方立法向區(qū)域協(xié)同監(jiān)管的一次積極探索與創(chuàng)新?？梢源_定,擴(kuò)大局部數(shù)據(jù)自由流動水平、優(yōu)化評估審查程序,在規(guī)則協(xié)調(diào)以及概念統(tǒng)一的前提之下構(gòu)建符合地方經(jīng)濟(jì)與技術(shù)發(fā)展水平的“法中法”是一個兼顧防御與突圍的中間選擇,一方面,“數(shù)據(jù)特區(qū)”的確立可以促進(jìn)我國域內(nèi)規(guī)則與國際標(biāo)準(zhǔn)的接軌,減少與避免不同法域間的規(guī)則硬沖突,同時,對于國際數(shù)據(jù)要素市場的建立,可以視為是一種正向反饋;另一方面,在特區(qū)的內(nèi)與外設(shè)定不同的本地化標(biāo)準(zhǔn),也可以積極引導(dǎo)數(shù)據(jù)的分類配置與自主流動,換言之,對于重要數(shù)據(jù),主要配置于特區(qū)之外,并加以嚴(yán)格限流,而對于非重要數(shù)據(jù),則可以依據(jù)其敏感程度加以定點(diǎn)儲存,允許其有序的跨境流動,或是賦予數(shù)據(jù)相關(guān)主體以法律與標(biāo)準(zhǔn)選擇的機(jī)會,在確立若干兜底條款的前提之下,發(fā)揮市場對于數(shù)據(jù)資源配置的作用。

(三)信任體系與國際規(guī)則話語權(quán)的同步建立

構(gòu)建數(shù)據(jù)跨境流動的中國模式一方面需要在國內(nèi)立法中構(gòu)建“法中法”,進(jìn)一步多樣化本國的相關(guān)規(guī)制,力求在攻防兩端維護(hù)我國對于數(shù)據(jù)的最高控制權(quán);另一方面,也應(yīng)著眼于國際,通過構(gòu)建雙邊信任體系以及參與多邊治理規(guī)則的制定來發(fā)展“法外法”,以中國話語權(quán)的獲取來破除集團(tuán)化與區(qū)域化的數(shù)據(jù)封鎖。具體來說,我國可以就如下三個方面加以階段性的努力:第一,重視“戰(zhàn)略互信”的構(gòu)建。如上文所述,由于國家安全、產(chǎn)業(yè)競爭力等復(fù)雜因素,數(shù)據(jù)跨境流動的信任大多建立在長期的政治盟友、經(jīng)貿(mào)伙伴以及具有相同價值目標(biāo)的基礎(chǔ)上,因此,構(gòu)建大國之間或區(qū)域之間的“戰(zhàn)略互信”是數(shù)據(jù)跨境流動有序?qū)崿F(xiàn)的必要前提,也是避免出現(xiàn)競爭性的壁壘升級與政策扶植的必要前提。因此,下一階段我國立法無疑要對各國數(shù)據(jù)跨境的基本政策與立法框架加以總結(jié),并找尋不同框架下的政策、法律差異,以及形成這些差異的緣由,進(jìn)而有針對性地形成國內(nèi)立法與國際合作的“預(yù)銜接”。第二,不同的跨境政策,其后也有不同的技術(shù)能力、算法認(rèn)同等方面的支撐,應(yīng)從歷史沿革和技術(shù)演化的長期過程充分考究邏輯、統(tǒng)計等不同學(xué)科對數(shù)據(jù)技術(shù)和算法的影響,以及當(dāng)前和未來的發(fā)展趨勢,我國也應(yīng)當(dāng)在新技術(shù)變革帶來產(chǎn)業(yè)升級的戰(zhàn)略背景下構(gòu)建跨境數(shù)據(jù)流動規(guī)則。第三,加快國際合作的步伐,如嘗試加入CPTPP或者APEC隱私框架協(xié)議,但也不應(yīng)因噎廢食,為了國際合作而全盤否定或推倒當(dāng)前國內(nèi)現(xiàn)有的規(guī)制體系。合理的做法是,在規(guī)范與完善數(shù)據(jù)跨境流動規(guī)制的基礎(chǔ)上,審慎研判全球數(shù)字保護(hù)主義博弈的潛在風(fēng)險,深化我國與其他國家在世貿(mào)組織、亞太經(jīng)合組織等大框架內(nèi)的大合作,強(qiáng)化“人類命運(yùn)共同體”與“網(wǎng)絡(luò)空間命運(yùn)共同體”概念,促進(jìn)創(chuàng)新協(xié)同發(fā)展,破除保護(hù)主義對全球發(fā)展的阻礙。尤其是要進(jìn)一步推進(jìn)與友好國家在數(shù)字科技領(lǐng)域與經(jīng)貿(mào)領(lǐng)域的小合作,這將一方面有利于我國經(jīng)濟(jì)與技術(shù)的持續(xù)向好發(fā)展,另一方面也有利于我國完成從參與者到規(guī)則制定者的身份轉(zhuǎn)變。換言之,數(shù)據(jù)的跨境流動源于國際間的經(jīng)貿(mào)往來,并與之相互作用,那么,下一階段,預(yù)期突圍“集團(tuán)封鎖”與“技術(shù)鴻溝”,我國也仍應(yīng)以經(jīng)濟(jì)合作為著力點(diǎn),以貿(mào)易合作帶動數(shù)據(jù)合作,以經(jīng)濟(jì)利益緩減政治敵意。

結(jié) 語

數(shù)據(jù)作為新時期的國家基礎(chǔ)性戰(zhàn)略資源,對其開發(fā)利用的能力與水平,將深刻影響一個國家的科技進(jìn)步和經(jīng)濟(jì)發(fā)展。[26]對于跨境數(shù)據(jù)流動的規(guī)制,在保護(hù)主義與逆全球化抬頭的當(dāng)下,我國下一階段的立法工作應(yīng)繼續(xù)堅持兩個“摒棄”與一個“開放”相結(jié)合的策略。首先,需要“摒棄”的是長期以來在我國國內(nèi)立法中已經(jīng)形成的本地化偏好與固有的“領(lǐng)土依附”,隨著中國數(shù)字經(jīng)濟(jì)全球競爭力的提升和高科技企業(yè)全球化布局加速,帶來的是中國企業(yè)對全球數(shù)據(jù)控制力的提升,因此,對于數(shù)據(jù)的域內(nèi)與域外判斷,不能一刀切地以領(lǐng)土為判斷標(biāo)準(zhǔn),而應(yīng)更多地關(guān)注數(shù)據(jù)的來源與數(shù)據(jù)主體的擴(kuò)張價值,這一方面將有助于我國進(jìn)一步維護(hù)與落實(shí)自身合法數(shù)據(jù)權(quán)益,另一方面也為我國開展數(shù)據(jù)跨境流動的國際合作奠定了基礎(chǔ)。其次,“開放”即合作渠道的開放,包括主動參與國際數(shù)據(jù)規(guī)則議題談判和國際協(xié)議制定,在數(shù)據(jù)安全可控的前提下,我國應(yīng)選擇性地擴(kuò)大對外數(shù)據(jù)合作的范圍與程度,加強(qiáng)與新興國家之間的科技合作,利用多邊機(jī)制的召集力和廣泛影響力,著力推進(jìn)“一帶一路”合作框架下數(shù)據(jù)流動協(xié)議與標(biāo)準(zhǔn)的制定,構(gòu)建數(shù)字空間命運(yùn)共同體,推動全球跨境數(shù)據(jù)流動規(guī)制形成新局面。正如習(xí)近平總書記所提出的,網(wǎng)絡(luò)安全領(lǐng)域的博弈,在當(dāng)今的世界,本質(zhì)上就是國家主權(quán)在網(wǎng)絡(luò)空間的投影和互動博弈。[27]因此,合作與共贏應(yīng)當(dāng)是我們堅定不移的重要主張,這體現(xiàn)了中國對網(wǎng)絡(luò)空間全球治理的擔(dān)當(dāng),也成為指引中國推進(jìn)網(wǎng)絡(luò)空間國際合作和全球治理的核心理念。我國推動網(wǎng)絡(luò)空間治理的目標(biāo)從根源上看,不是阻斷數(shù)據(jù)的自由流動,而是為了更進(jìn)一步地構(gòu)建雙邊和多邊的數(shù)據(jù)跨境流動信任體系。

注釋：

① 參照經(jīng)濟(jì)合作組織的標(biāo)準(zhǔn),數(shù)據(jù)主要可以分為三類:首先是個人數(shù)據(jù)或個人識別信息,其次是特定行業(yè)數(shù)據(jù),包括商業(yè)、金融、健康數(shù)據(jù)等,最后一類是難以準(zhǔn)確定義的“重要”數(shù)據(jù)。參見http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En,2023-8-31.

② 表格信息根據(jù)信息技術(shù)和創(chuàng)新基金會報告《Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?》以及經(jīng)濟(jì)合作與發(fā)展組織報告《Trade and cross-border data flows》總結(jié)整理,數(shù)據(jù)截止2023年7月。其中,首先,美國僅統(tǒng)計聯(lián)邦層面立法,各州立法未予統(tǒng)計;其次,印度《個人信息保護(hù)法案2019》已經(jīng)廢除,因而有關(guān)個人數(shù)據(jù)的部分,參考性較弱;最后,歐盟作為一個整體加以統(tǒng)計,部分成員國內(nèi)部的專門性立法則不予以統(tǒng)計。參見http://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost/;http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En,2023-8-31.

③ 參見美國《國家安全和個人數(shù)據(jù)保護(hù)法案2019》SEC.3及SEC.4。

④ 參見歐盟《通用數(shù)據(jù)保護(hù)條例》第45/46條。

⑤ 類似規(guī)定還可參見“中國-澳大利亞自由貿(mào)易協(xié)定”第八章。

⑥ 參見《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》第八章。