许多奇:个人数据跨境流动规制的国际格局及中国应对

选择字号:   本文共阅读 356 次 更新时间:2018-05-19 03:43:20

进入专题: 数据跨境流动   充分保护原则   安全港协议   隐私盾协议   问责制原则  

许多奇  

   摘要:目前全球规制跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领。欧盟从人权保护的历史传统出发,将数据权作为一种基本人权,创建了严格限制个人数据跨境流动,以提升数据权保护水平的立法范式;美国基于其信息产业的优势地位以及对数据自由流动的依赖性,奉行以市场为主导,以行业自律为中心的个人数据保护政策,通过签订双边或多边协议,促进数据跨境,维护业已建立的“数据占有和利用”优势,获得最大的经济利益。两种规制方式在价值取向、规制路径和规制结果等方面存在巨大差异,既激烈竞争,又相互妥协和融合,构成了个人数据跨境流动规制的国际格局。在此背景下,我国的应对路径是:完善数据跨境流动立法,提升法律的可操作性;提高企业的合规遵从性,推进行业自律制度建设;大力开展国际合作,积极参与国际规则制定。

   关键词:数据跨境流动 充分保护原则 安全港协议 隐私盾协议 问责制原则

  

   伴随着互联网及经济全球化进程的不断纵深发展,数据在社会中扮演的角色日益重要,始于20 世纪六七十年代的数据跨境流动(“TransborderData Flow”,“TDR”或“Cross-borderData Flow”),今天已成为全球贸易和投资增长的主要途径。欧盟和美国出于各自的历史传统和现实诉求,创建了个人数据跨境流动规制的两大立法范式。此两大范式之间既相互竞争,又相互妥协和融合。构成了国际个人数据跨境流动规制的基本格局。深入探讨欧盟和美国立法的内容和成因,剖析其所体现的深层次国家需求和利益博弈,对于完善我国的数据跨境流动规制立法和参与国际规则的制定,都具有重要意义。


一、欧美数据跨境流动的规制体系


   (一)欧盟:严格限制个人数据跨境流动的规制体系

   欧盟关于个人数据跨境流动规制的立法体系主要是由1981年欧洲理事会的《公约》、1995年的《欧盟指令》和2016年的欧盟《条例》三个标志性法律文件构成的。

   1981年欧洲理事会通过的《与个人数据自动化处理有关的个人保护公约》 (EuropeanTreaty Series, No. 108),是欧洲第一个针对跨境数据流动进行规制的区域性法律文件。《公约》还仅仅涉及欧洲成员国之间的数据流动,它规定:对正在或将要被自动化处理的跨境数据转移原则上是可以进行限制的,成员国可以自行制定有关跨境数据传输的限制性规定,如转移数据的类型等。但公约不允许成员国仅仅基于隐私权保护的考虑,就禁止或以特别许可授权的方式限制数据的跨境转移(第12条)。可见在这一时期,通过立法克服各国国内法造成的数据流动障碍,积极推动成员国之间的数据跨境共享,以实现欧洲内部市场人员、货物、劳务、货币自由流通的目标,是欧洲理事会进行跨境数据流动规制立法的主要关注点。

   鉴于数据跨境面临的数据未经授权的收集、访问、使用、披露和篡改的潜在威胁,欧盟逐步开始考虑数据脱离欧盟管辖区的实际风险,数据跨境规制日渐严格化。欧盟1995 年发布的《个人数据保护指令》(EU Directive 95/46/EC)即建立了较高的数据保护标准,其中提出了著名的“充分保护原则”。《指令》第25条规定:只有当数据转移目的国达到欧盟所认可的充分保护水平的条件下,才可以进行数据转移,从而确立了欧盟个人在电子商务和借助大跨国公司经营的社交媒体和邮件通信时的隐私权保护规范。欧盟承认的具有充分数据保护能力的国家仅包括加拿大、瑞士、阿根廷等12 个。

   为了回应新兴技术特别是大数据、云计算、智能终端等对个人数据保护造成的冲击,建立统一的内部法律框架应对新技术的发展,并克服成员国立法保护水平差异给数据经济市场发展造成的障碍,欧洲议会和欧盟理事会于2016年4月14日通过了新的个人数据保护法,即《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)。该条例将于2018年5月25日正式生效。GDPR不仅在所有成员国范围内直接具有法律约束力,而且谋求更大的域外效力,明确规定条例对在欧盟境外处理个人数据的行为也具有适用效力,即向欧盟公民提供服务或在欧盟市场内经营的公司,GDPR都有管辖权。在数据跨境问题上,GDPR增加了更多可实现个人数据跨境转移的条件,并再次强调欧盟不允许将其公民的个人数据转移至那些不能提供充分保护的地区和国家。GDPR被称为史上最严格、保护水平最高的数据保护规则。

   总之,上述“公约”、“指令”和“条例”三个法律文件的约束力逐渐增强,对个人数据跨境转移的限制越来越严格,充分表明了欧盟希望通过立法的不断完善保障欧洲共同体整体数据保护水平的诉求,也反映了欧盟希望通过构建“数字单一市场”提升数字经济竞争力的愿望。

   (二)美国:通过双边或多边协议强化数据跨境的规制体系

   在“得数据者得天下”的新信息时代,对跨境数据的收集和分析是掌握国际经济动向,促进本国经济发展的重要方式。据美国国际贸易委员会(ITC) 估计,数据流动使得美国的GDP增加了3.4-4.8个百分点,创造了240 万个就业。美国基于其信息产业的优势地位以及对数据自由流动的依赖性,通过多种途径促进数据跨境,主要作法有以下两种:

   1.与欧盟签订双边协议,为企业获得数据跨境传输资格。由于美国对于个人数据保护未能达到欧盟要求的“充分保护”水平,美国企业在欧盟开展业务,从事相关的跨境个人数据传输与交易活动受到严重限制。美国需要找到本国企业可以符合欧盟数据保护指令简单又高效的办法;欧盟也考虑到与美国之间经济联系密切的现实,在商业利益驱动下,经过漫长的谈判,美国商务部与欧盟委员会于2000年11月1日达成了《美欧安全港协议》(U.S.-EU Safe Harbor Framework)。《安全港协议》规定了七项隐私权保护原则:通知原则、选择原则、向前转移原则、安全原则、数据完全性原则、接入原则和执行原则。欧盟委员会认为美国的商业机构只要能够制定并遵守符合上述安全港原则的隐私保护政策,就可以加入安全港并被认定为达到《欧盟指令》所要求的“充分保护水平”,进而可以接收和处理来自欧盟的个人数据。如果违反一系列隐私原则,欧盟数据保护机构有权中止数据跨境流动。《安全港协议》暂时缓和了欧盟强制规范与美国行业自律之间的矛盾,促进了美国企业在欧洲的发展与扩张。

   但是,《安全港协议》的达成无法作为长久的解决方案,因为美欧双方关于数据隐私保护法律的巨大差异仍然存在。欧美数据流动制度不协调的矛盾因斯诺登事件的曝光而更加凸显,并最终导致安全港协议的失效。2013年,前NSA雇员爱德华.斯若登曝光大量来自美国情报机构的机密文件,其中不乏对欧洲领导人的监控。而苹果、微软等这样的大型科技公司都有意或无意地参与了NSA的监控行动。2015 年10月6日,在签订了15 年之后,欧盟法院( Court of Justice of the European Union (CJEU)裁定基于商业目的的个人数据在欧盟28个成员和美国之间合法转移的安全港协议无效,裁定的原因是认为安全港协议目前已经无法达到欧盟的数据保护标准,无法阻止公司将数据文件泄露给未授权方。然而,就在安全港协议失效的一年内,欧美在跨境数据流动创造的商业利益驱使下,于2015年末起重新谈判,经过反复磋商和多次修改,于2016年7月12日达成《欧美隐私盾协议》(EU-U.S. Privacy Shield Framework),成为规制双方数据流动的新妥协方案。

   《隐私盾协议》的核心是对大西洋两岸跨境转移个人数据的隐私保护进行规范,为大西洋两岸的欧洲和美国企业从欧盟向美国传输个人数据过程中提供欧盟数据保护规定的合规机制,并支持跨大西洋商业合作的发展。与《安全港协议》相同,美国企业也采取自愿加入的方式接受《隐私盾协议》,也要遵守《安全港协议》提出的七项基本原则;但是《隐私盾协议》克服了《安全港协议》存在的一些缺陷及弊端,对美国公司施加更重的个人数据保护义务,在《安全港协议》七大原则的具体实施上要求美国公司从欧盟进口数据履行更多承诺。此外,《隐私盾协议》强化了监督与实施机制,赋予欧盟公民更丰富的救济权利和救济手段:一是它赋予欧盟数据保护机构对数据接收者的第三国的数据保护水平享有充分的调查权,突出强调了公司对隐私盾协议相关质询回应的及时性;二是确保公司一旦违反了隐私盾的条件就要受到制裁,而不像安全港协议缺乏惩罚性手段。制裁的方式包括对与原则不一致的裁定结果必须公开以及要求在特定条件下删除数据。对于情节较为严重的,如长期不履行隐私盾协议的公司,将被移除隐私盾协议的名单,并勒令他们交回或者删除此前在协议下收集的个人信息。三是赋予欧盟公民向企业申诉的权利,这意味着欧盟公民首次获得了依据数据保护规则向美国企业主张权利的途径。

   美欧在个人数据保护方式、思路、宗旨等方面存在着巨大差异,《隐私盾协议》从本质上看,仍然是双方相互妥协、让步的产物。从内容来讲,它更多地体现出欧盟数据保护制度的最新改革成果,进一步拓展了欧盟在国际规则制定中的影响力。从意义来看,《隐私盾协议》为欧盟和美国企业的商业活动提供了制度支持和保障,进一步加强了对欧盟公民个人数据的保护力度,它还标志性地宣告了公权力对个人权利侵犯应当受到严格限制的理念。但是,《隐私盾协议》的程序性规章仍存在走过场、不透明等问题,其宣示意义更大于实质意义。“棱镜门”事件的曝光者斯诺登就将《隐私盾协议》称为“说明性盾牌”,美国法律仍缺少对来自欧洲数据的充分保护。

   2.借助亚太区域经济合作推广自身模式,争取数据跨境领域的话语权。与欧盟相比,美国在参与数据跨境流动规制方面少有话语权。随着全球进入信息社会,美国并不甘心在这一领域处于由其他经济体制制定规则的地位,它依靠其在亚太地区的政治经济影响力推动构建有别于欧盟的规则体系,并使之逐渐获得了执行力与约束力。

   亚洲太平洋经济合作组织(APEC)于2004年通过的“隐私框架”(APEC Privacy Framework),是亚太地区达成的第一份关于数据跨境流动规制的区域性指导文件。“隐私框架”从促进跨境数据自由流动的思想和目的出发,显然是美国起主导作用的产物。整个框架都将“促进亚太地区电子商务”作为目标;在“框架”第4章,要求成员经济体“采取一切合理及适当步骤避免和消除任何不必要的信息流动障碍”;框架多次提及要在隐私保护中发挥“行业自律”的作用,这些都明显地打上了美国数据规制特征的印记。

   经合组织的《跨境隐私规则体系》(Cross-Border Privacy Rules,CBPRs)于2012 年正式启动,并于2013年通过。CBPRs 是美国加入和支持的数据保护倡议。它以APEC 隐私框架为基础,也是旨在确保个人信息的跨境自由流动。不同的是,CBPRs 引入了隐私执法机构和问责代理机构,因而对加入的企业形成了实际的约束作用。

近年来,美国又将跨境数据流动内容纳入自由贸易协定(FTA)谈判,以期借助政治经济实力在这些具有较强约束力的“一揽子”协议中推行自己的数据跨境规则。2012年达成的《美韩自由贸易协定》(U.S.-South Korea FreeTrade Agreement)第一次在FTAs电子商务章节引入跨境数据流动规则,(点击此处阅读下一页)

    进入专题: 数据跨境流动   充分保护原则   安全港协议   隐私盾协议   问责制原则  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 刑法学
本文链接:http://www.aisixiang.com/data/110024.html
文章来源:《法学论坛》2018年第3期(第130-137页)

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2018 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网