[摘要] 伴随着信息技术迅速发展的进程,跨境数据流动已成为各国经济和社会发展的重要推动力。但是,跨境数据流动的国际合作治理尚处于起步与探索阶段,急待探索相关国际治理的体制与机制。当前,不同国家和地区有关跨境数据流动的法律法规存在很大差异,数据流动、隐私权保护与国家安全问题难以实现有效平衡。国际社会应推动跨境数据流动相关法律法规的协调和完善,促进跨境数据流动国际合作治理技术创新与治理机制的匹配,协调跨境数据流动国际合作治理多方利益的平衡。
[关键词] 跨境数据流动;国际合作治理;国家安全
习近平总书记指出:“数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。”跨境数据治理体系构成数据基础制度体系的重要部分,中国作为一个数据大国,在跨境数据流动的国际合作治理中,理应发挥大国应有的作用。当前,跨境数据流动面临着安全问题、隐私权保护、流动合规性等诸多挑战,迫切需要通过国际合作建立起有效的治理体系。
一、跨境数据流动国际合作治理的现状
跨境数据流动在支撑国际贸易活动、促进国际科技合作、推动全球数据资源共享方面具有十分重要的作用。但是,当前跨境数据流动国际合作治理尚处于起步与探索阶段,并没有形成完备的国际治理体制与机制。现有国际合作机制主要包括:
一些自由贸易协定中包含有关数字贸易和跨境数据流动的规定,特别是2017年以来,包含数据流动规则的自由贸易协定数量大幅增加。美国在多边自由贸易协定中多要求数据跨境自由流动,其根源在于数据流动会给美国带来巨大的经济收益。这在2018年达成的《美国-墨西哥-加拿大协定》(简称USMCA)中有明显表现,其要求将原来的数据本地化存储要求转为非必要条件,这样,就可使得美墨加三国间数据流动更为自由便捷。国家间的数字经济合作也在蓬勃发展,《日本-欧盟经济贸易协定》《墨西哥-欧盟自由贸易协定》《美国-韩国自由贸易协定》等协定均已生效,并对跨境数据流动问题进行了规定。截止目前,已经有许多区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则的专门章节或专门条款。
一些国家或地区已经签署了双边或多边的跨境数据流动协议,以促进数据的安全、畅通和合法流动。2018年,日本等11个国家共同签署了《全面与进步跨太平洋伙伴关系协定》(简称CPTPP)。该协定增强了成员之间的商品和服务贸易自由化,并制定了电子商务章节,为解决数字贸易问题打开了新局面。欧盟与日本之间签署的《欧盟-日本经济伙伴关系协定》于2019年2月生效,其中包括数据保护和数据流动的规定。2020 年 11 月 15 日,东盟十国及中日韩澳新等15个亚太地区国家正式签署《区域全面经济伙伴关系协定》(简称RCEP),在其第 12 章电子商务的框架下以专章条款规定了数据跨境流动及其相关问题,明确了各缔约方在制定本国数据跨境流动监管体系所应遵循的基本原则。这也是亚太地区首个不仅涉及面广、兼顾各方利益,而且标准较高的数据跨境流动监管规定,其为推动全球范围内构建数据跨境流动监管体系做出了贡献。2016年2月,欧盟和美国谈判代表重新就欧洲公民个人信息跨境传输问题达成了统一意见,并制定了欧美《隐私盾协议》。2020年7月,欧洲法院裁定《隐私盾协议》无效。2021年6月,美国-欧盟贸易和技术委员会(简称TTC)成立。2021年9月,TTC首次会议召开,并发表联合声明,强调要制定全球范围使用的数据标准,促进安全和可持续的数据流动。
国际组织如世界贸易组织(简称WTO)、经济合作与发展组织(简称OECD)和欧洲联盟等,在跨境数据流动治理方面也做出了贡献,它们提供指导和发出倡议,推动制定和实施相关政策与法规。WTO对于国际贸易的谈判一直致力于贸易壁垒最小化,但是,WTO的《服务贸易总协定》以及金融服务贸易协定对开展日常业务所需的金融数据跨境流动做出了规定,除此之外并无明确的数据跨境流动规则。近年来,一些国际组织出台了推动数据跨境流动国际合作治理的推荐性“软法”。 OECD是最早对数据跨境流动给出定义的机构,其于1980年出台的《关于隐私保护和个人数据跨境流动指南》被视为从全球层面对数据跨境流动进行规制的第一次尝试。1981 年 1月28日,欧洲理事会各成员国签署 《有关个人数据自动化 处理之个人保护公约》,被称为“108公约”。该公约对缔约国都具有约束力,但是仅限于经自动化处理的个人数据。2018年5月25日,欧洲联盟出台《通用数据保护条例》(简称GDPR)。这一条例被认为是当今世界上对个人数据保护水平最高的规定,其规定几乎涵盖所有个人数据,从根本上改变了全球企业处理数据的方式。
二、跨境数据流动国际合作治理所面临的问题
不同国家和地区有关跨境数据流动的法律法规存在很大差异。目前,跨境数据流动规则总体上处于探索初期,国际社会对跨境数据流动的理念、原则与机制等远未形成共识。例如:美国和西欧关于数据治理在价值理念和规制模式上存在根本差异,在隐私保护、境外管辖权和数字服务税等问题上也存在难以弥合的分歧。美国与欧洲联盟之间在跨境数据治理理念与原则上存在分歧,发展中国家与发达国家之间在跨境数据治理理念与原则上也存在严重的分歧。不同类型国家之间也因此存在经济利益和国家安全方面的冲突。
不同国家和地区对数据保护的标准与要求存在较为明显的差异,有些国家采取了较为严格的数据保护措施,而有些国家对数据保护要求较为宽松,这种差异导致数据流动存在较为难以处理的合规性问题,从而一定程度上阻碍了数据的流动和共享,影响了数据的有效利用。推动不同国家采取相对一致的数据保护原则和规则,建立跨境数据流动的合规框架,促进数据合法合规进行跨境流动,是减少不必要合规障碍的重要举措。美国在信息产业处于绝对的领先地位,是全球跨境数据流动治理规则的积极推动者,一直主张跨境数据的自由流动。但是,美国的规则并非就是全球规则,其与欧洲和其他国家对于跨境数据流动的规则体系存在很大差异,国际上也存在不同的跨境数据流动治理模式。当前,美国、欧盟在加强协调的同时,都在积极构建以其治理规则体系为主导的跨境数据流动的“朋友圈”,其跨境数据流动治理规则深刻影响了全球数字贸易和数字经济发展。[①]
一些国家要求将特定类型的数据存储在本国境内,或者对数据的流动进行限制,这与其他国家允许跨境数据流动的政策存在严重冲突。这种分歧造成不同国家和地区使用的技术标准、数据格式和网络基础设施存在差异,导致跨境数据流动面临技术障碍和互操作性问题。另外,有些国家对数据隐私和保护的权责非常清晰,而有些国家则缺乏相关的法律保护措施。如何明确各方的责任和义务,建立透明的数据治理机制,也是一个重要问题。这些差异使得如何规制数据跨境流动难以达成共识,从而对跨境数据流动的安全性和合规性产生影响,甚至在数字贸易规则制定上表现出政治化和阵营化的倾向。
目前,不同国家在数据流动、隐私权保护与国家安全问题方面难以实现有效平衡。数据自由流动是促进创新和经济发展的重要推动力,但与此同时,个人隐私权需要得到充分保护。跨境数据流动涉及大量个人隐私数据,如何防止滥用、未经授权的数据访问和处理,保护个人隐私权成为一个突出的问题。一方面,为了确保数据的安全,可能需要采取加密、访问控制等安全措施,但这可能会对个人隐私权产生影响。另一方面,为了保护隐私权,需要限制数据流动。因此,如何在数据安全和隐私保护之间找到平衡点,便成为非常关键的问题。
数字平台在运营过程中积累了海量数据,由此引发的用户隐私泄露、数据滥用等问题经常出现。当前,大型平台企业被监管事件将跨境数据流动问题由单纯的隐私保护上升到国家安全层面。[②]不同国家对于跨境数据流动采取的国家安全审查、数据安全审查和访问限制等措施也存在不同,这些措施对敏感数据的流动必然产生限制和影响,由此导致不同国家面临跨境数据流动问题时会产生冲突与矛盾。在跨境数据流动中,国家安全和隐私权之间也存在明显冲突。国家出于安全考虑,要求对数据进行审查、监控或存储在本国境内,但其可能侵犯个人隐私权。在处理国家安全和隐私权保护的关系时,需要找到平衡点,确保满足国家安全的需要,同时也尊重个人的隐私权。
三、跨境数据流动国际合作治理的展望
跨境数据国际治理有助于促进数据安全合规流动,推动全球数字化进程,从而为全球经济、社会和科技发展提供良好的国际合作环境。国际社会对跨境数据治理已经进行了初步探索,现有国际治理体系并不能适应数据跨境流动的现实需求,迫切需要国际社会对国际法治与治理体系建设加强探索,并注重平衡国际社会中各相关方的合理利益与诉求。
推动跨境数据流动相关法律法规的协调和完善。一是要推动制定跨国数据流动的共同原则和标准,促进跨境数据合规流动。应建立多边或区域性的数据流动协议,推动国际组织和标准化机构制定数据保护标准,弥合不同国家和地区之间法律法规的不一致性,以促进跨境数据流动的互操作性和合规性。各国在面临这些问题时有必要对国内法进行适当修改,包括明确个人数据权利、数据处理原则、数据安全要求等方面的规定,以提升法律法规的国际适应性。二是共同完善跨境数据流动的国际合作框架,共同解决跨境数据流动治理中的法律法规不一致和制度赤字问题。各国可以加强立法合作,通过制定相互认可的法律法规,建立起跨境数据流动的合作机制和相互信任机制。同时,各国执法机构应加强跨国合作,共同打击跨境数据流动中的违法犯罪活动,通过信息共享、证据交换、执法合作等方式,加强对跨境数据流动的监管和执法力度。
促进跨境数据流动国际合作治理技术创新与治理机制的匹配。一是鼓励和支持跨境数据流动治理技术的创新,这些技术包括数据加密技术、隐私保护技术、安全传输技术等,从而从技术层面提升跨境数据治理水平与能力。各国政府要通过政策引导、资金支持和技术合作等方式,推动技术创新,提高数据流动的安全性,保障跨境数据流动的效率和畅通。在促进技术创新和安全保护的同时,要让数据流动既能满足个人安全和社会安全的需求,又能满足国家安全的要求。要掌握最新技术发展趋势,及时调整跨境数据流动的治理机制,确保跨境数据治理能力提升与技术创新保持同步。要通过加强国际知识产权法律的保护力度,打击侵权行为,确保知识产权在跨境数据流动中得到充分的保护。二是行业组织或行业协会可以在跨境数据治理过程中发挥重要作用,相关行业组织或行业协会可以制定行业标准和自律规范,引导和规范跨境数据流动的行为,确保数据流动符合法律法规、经济发展与国家安全等方面的要求。行业组织或行业协会要加强对数据安全和知识产权保护的教育与宣传工作,帮助各相关方更好理解跨境数据治理的重要性。需要强调的是,在关注安全问题与知识产权的关系时,需要综合考虑各方的合理权益,尊重国际法基本原则,并通过多方参与和合作,达成共识,以实现全球数据流动的安全性。
平衡跨境数据流动国际合作治理多方利益。随着大国竞争日趋复杂,各国非常重视数据资源,并将其视为获取经济、科技、安全等全方位战略竞争优势的关键,围绕跨境数据流动国际规则构建的博弈更加激烈。[③]这就要求采取有效措施,推动建立多边国际合作机制,通过国际组织等平台促进多方参与和利益平衡,确保各国政府、企业、社会组织等各方诉求得到表达,尽可能实现多方互利共赢。在制定治理政策和规则时,应兼顾各方合法权益,确保各方通过合作获得正当合理的利益。欧美跨境数据流动合作产生分歧的原因包括技术能力差异、价值主张分歧和法律文化冲突,其根本分歧在于“技术主权”与“监控资本主义”的冲突。但是,欧美仍可能通过重构隐私框架、使用标准合同条款和获取充分性认定实现合作。[④]应当注意到,全球数据监管竞争的实质,是各国寻求全球数字经济中的领导地位,抢夺全球数据规则标准的话语权,抢先形成新的国家竞争优势。[⑤]国际合作治理的努力方向应是各国达成关于数据跨境流动规制的共识,并以此为基础建立起崭新的全球治理体系。国际社会要通过多边协商和谈判,寻求各方共识,并达成协议,建立国际合作框架和体制机制。要建立信息共享机制,加强跨境数据流动治理的相关培训和能力建设,提高各方对治理机制的理解和参与能力,包括加强各方对法律法规的培训、促进技术人员的交流与合作,以及提供政策指导和咨询支持。这样,才可以促进跨境数据流动国际合作治理的多方参与和利益平衡,确保各方在治理过程中的话语权,共同推动跨境数据流动的可持续发展和共同利益的实现。
(作者:熊光清,对外经济贸易大学法学院教授、博士生导师。本文发表于《前线》2023年第10期。)
[①] 隆云滔、王磊、刘海波:《跨境数据流动治理规则研究》,《数据与计算发展前沿》2022年第4期,第76页。
[②] 黄炎:《跨境数据治理体系的多维变革及因应之策》,《太平洋学报》2022年第4期,第60页。
[③] 李艳:《大国博弈下的跨境数据流动国际规则构建》,《当代世界》2023年第5期,第25页。
[④] 张倩雯、张文艺:《欧美跨境数据流动合作的演进历程、分歧溯源与未来展望》,《情报杂志》2023年第1期,第88页。
[⑤] 金晶:《欧盟的规则,全球的标准?数据跨境流动监管的“逐顶竞争”》,《中外法学》2023年第1期,第64页。
