彭岳:贸易规制视域下数据隐私保护的冲突与解决

选择字号:   本文共阅读 497 次 更新时间:2018-09-07 19:19:37

进入专题: 贸易规制   数据隐私保护  

彭岳  
然而,通过贸易协定推行国际统一标准,因偏离贸易自由化主旨、严重限制各国规制主权而备受质疑。比如,WTO《实施卫生与植物卫生措施协定》以及《技术性贸易壁垒协定》在引入相对客观的国际标准时,设置了诸多限制性条件,防止对贸易产生不必要的障碍。[43]如上所述,各国之所以能够在贸易协定项下讨论数据隐私规制的协调与合作问题,主要原因在于各方均认识到,减少数字贸易壁垒(如滥用数据隐私规制权)可促进数字贸易的发展。不难想象,当欧盟在国际贸易协定中引入主观性更强的数据隐私保护标准时,很难获得其他国家的认同,自然进展有限。

   在利用国际贸易协定推行统一数据隐私保护标准,促使各国数据隐私法趋同发展不可行的情况下,我们有必要认真对待美国方案。值得注意的是,在美国主导的TPP协定中,各缔约方已经认识到非歧视原则无法充分保护数据隐私。为回应缔约国关于个人数据隐私保护的特别需求,TPP第14.11条和第14.13条采用了“原则+例外”的规制结构。[44]在这一结构下,当数据输入国的数据隐私保护水准达不到数据输出国的要求时,后者可以通过寻求例外的方式拒绝数据跨境流动。与欧盟试图利用其市场优势地位,强行在国际层面推行其数据隐私保护标准的做法不同,美国方案更为灵活,也更有助于不同隐私保护水准的国家之间达成协议。因此,尽管美国政府退出了TPP,但TPP关于数据隐私保护构成跨境数据流动例外的规定依然可能成为此后多边贸易协定处理类似问题的范本。

  

四、中国数据隐私法的特点以及参与国际数据治理的模式选择


   (一)注重网络安全的中国数据隐私保护体制

   与美国类似,中国并无综合性的数据隐私法,相关规定散见于主旨有别、内容差异较大的单行法律、行政法规或行政规章之中。[45]从一开始,中国关于个人数据和信息的立法就表现出与欧盟和美国截然不同的价值取向。2000年12月,全国人大常委会通过的《关于维护互联网安全的决定》是我国以法律规范互联网的开端。该决定除了对利用互联网构成犯罪的行为作出规定之外,主要关注互联网运行安全问题,仅附带提及个人数据保护问题。[46]2012年12月,全国人大常委会通过《关于加强网络信息保护的决定》,该决定第1条明确规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。由此,网络安全被划分为网络运行安全和网络信息安全的格局大致形成。2016年11月,全国人大常委会通过的《网络安全法》延续这一模式,分专章规定网络运行安全和网络信息安全。其中,个人信息保护被归属为网络信息安全问题。实体内容上,《网络安全法》就网络信息安全设置了三大原则。

   一是保密原则。《网络安全法》第40条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为此,第42条要求网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。第44条规定任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。第45条要求依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

   二是合法、正当和必要原则。《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”根据第43条,如果个人发现网络运营者违法或违约收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求更正。

   三是内容审查原则。《网络安全法》第47条规定:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。”根据第50条,国家网信部门和有关部门发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于境外的上述信息,应当通知有关机构采取措施阻断传播。

   上述三大实体原则中的第一项注重信息作为载体的安全,第三项注重信息内容本身的安全,这两项原则共同构成了《网络安全法》网络信息安全的主体内容,相对而言,专门针对个人信息收集和使用的规定过于宽松。比如,对于用户同意可否构成网络运营者有权收集和使用个人信息的充分要件,欧盟和美国基本持否定态度。在欧盟数据隐私法的框架下,即使数据主体作出同意表示,数据处理人的行为也要符合“2016条例”的其他规定;在美国数据隐私法的框架下,隐私消费者的同意以数据处理人遵守相关强制披露标准为前提,并可获得联邦贸易委员会提供的事后救济,免受商业中的不公平和欺诈。虽然中国《网络安全法》关于用户同意的规定更接近于美国数据隐私法,但缺少类似独立执法机构以防止发生不公平和欺诈。[47]可以说,中国长期以来对个人数据和个人信息保护水准偏弱的局面未有根本突破。[48]

   需要说明的是,就数据跨境自由流动问题,《网络安全法》分别从不同的角度作出了规定。就数据流入而言,第50条规定,国家网信部门和有关部门对来源于境外的非法信息,有权通知有关机构采取技术措施和其他必要措施阻断传播;就数据流出而言,第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。从篇章结构来看,第37条和第50条分属于网络运行安全和网络信息安全,因此,不能将第37条的安全评估规定与第50条的信息安全内容审查相混同。从内容来看,第37条所指向的行为人为关键信息基础设施的运营者,与第50条所针对的网络运营者和用户也存在差异。可以认为,尽管《网络安全法》建立起中国特色的“安全话语”,但主要限于国家安全例外、公共道德和公共秩序例外,与个人数据隐私保护问题无直接关联。

   (二)中国参与国际数据隐私治理的路径选择

   数字经济的发展以及由此引发的数据隐私保护问题冲击着现有国际贸易规则。由欧盟“权利话语”和美国“市场话语”构建的国际数据隐私治理框架凭借其先发优势和市场影响力而备受新兴市场国家的关注。理论上,中国可选择跟随、协作或引领等策略,参与国际数据隐私治理。

   一般情况下,如果某一类市场具有高度集中性,则主导该市场的国家也将在国际层面拥有较大的规制话语权。欧盟数据隐私法之所以具有国际影响力,一是因为欧盟设置了较高的数据隐私保护标准,从而实质性地影响到了数据跨境自由流动;二是因为欧盟市场规模庞大,构成全球数字经济中重要的一极。如果美国公司不在欧洲开拓业务,则相关空白会被其他国家的竞争者迅速填补。正是利用其市场吸引力,欧盟成功地将带有“权利话语”特色的数据隐私法扩张到与欧盟有关的数据跨境流动事项之中。

   然而,如上所述,历史传统与价值导向的不同在很大程度上决定了各国数据隐私法的差异。虽然一些拥有全球性市场的国家可借助市场力量推行本国数据隐私法,但仅以潜在的合规收益大于合规成本为限。一旦超出该范围,则市场主体可以选择用脚投票。这说明,通过市场力量获得的规制优势仍需受制于市场竞争逻辑。正是在这一意义上,在贸易规制视域下分析数据隐私法问题有助于我们明确数据隐私法自身的局限性,彰显跨境数据流动作为贸易法和数据隐私法交汇事项的独特性。

   与美国和欧盟类似,中国数字经济发展迅速,规模日益庞大。这意味着,他国企业如欲在中国境内从事相关业务,必须遵守中国相关法律、行政法规的规定。不仅如此,中国还可以借鉴欧盟的做法,对相关数据跨境流动施加同样要求,主张域外管辖权。同样,如果相关要求对数据跨境流动施加了过多的限制,则会影响到中国市场自身的吸引力,最终会损害国内规制得以立基和扩张的物质基础。因此,中国有必要以数据跨境流动规制为突破口,择机采取跟随、协作和引领策略,妥当处理好贸易法与数据隐私法之间的关系。

   首先,从维护本国产业利益的角度出发,我们应当看到,欧盟在国际层面推行高保护标准不仅因为相关价值值得保护,还因为推行国际统一保护标准可以抬升他国企业合规成本,降低它们所享有的制度比较优势。对于这一贸易保护主义措施,中国应如同美国那样,采取协作策略,通过订立国际条约的方式约束欧盟单边主义行为。

   其次,从保护本国非贸易利益的角度出发,我们应当看到,美国在国际层面主张数据自由流动不仅因为美国诸多企业在数字经济领域具有非常强的竞争优势,还因为数据自由流动本身就彰显着美国独有的价值取向和历史传统。对于这一有绝对自由化色彩的措施,中国应如同欧盟那样,采取引领策略,利用全球性市场话语权,推行中国特色的网络安全观。

   再次,从保护数据隐私权的角度出发,我们应当看到,当前中国对于个人数据隐私的保护水准不仅不及欧盟,与美国相比也有较大的差距。这意味着,在很长一段时期内,为进入欧美市场,中国将采取跟随策略,以中国企业适应更高的数据隐私保护标准为基本样态。

   综合考量之后,可以发现,尽管中国与欧美等国在数据隐私保护的价值内涵与制度表现方面存在差异,这三大国际法主体之间依然可在国际贸易规制的框架下寻找到合作点:就反对欧盟强行在国际层面推行其数据隐私保护标准的做法,中国与美国有共同利益;就反对美国在国际层面推行跨境自由流动的主张,中国与欧盟有共同利益。考虑到中国并无综合性的数据隐私保护法的现实状况,以及中国专注于维护网络安全的价值诉求,一个可行的策略是采取“原则+例外”的规制框架来缓和数据跨境自由流动与数据隐私保护之间的冲突。通过该框架,数据跨境自由流动成为常态,而较高保护水准的数据隐私保护要求,以及涉及国家安全、公共道德和公共秩序的内容审查机制均可被纳入例外,只有在符合一定的采纳和实施要件之后才能阻止数据流动。

   总而言之,数字经济全球化意味着拥有世界级市场的国家将拥有国际规制话语权。无须如同英国通过海外殖民推行英国法律制度,也无须如同美国通过跨国公司海外投资传播美国法律制度,数字经济时代,世界级市场所在国的法律制度可以随着数据流动而扩张到其他国家之中。为缓和各国法律制度之差异所引发的规制冲突,促进贸易自由化,各国在国际层面进行协调与合作有其正当性。现有研究表明,市场全球化的形态不同,与之相关的规制协调与合作模式也有所不同。[49]鉴于中国数据隐私保护标准相对较低,内容审查标准相对较高,当前应支持采用“原则+例外”的规制框架。该框架不仅可以促进贸易自由化,防止欧盟数据隐私保护标准演化成为国际统一标准,还能够将中国特色的安全价值纳入例外之中,防止数据跨境自由流动损害到公共道德和扰乱公共秩序。

  

四、结论


WTO法律制度是前数字经济时代的产物,未能确立数据跨境自由流动原则。GATS项下,(点击此处阅读下一页)

    进入专题: 贸易规制   数据隐私保护  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/112190.html
文章来源:中国法学网

1 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统