谭观福:数字贸易中跨境数据流动的国际法规制

选择字号:   本文共阅读 144 次 更新时间:2022-06-27 23:27:27

进入专题: 数字贸易   跨境数据流动   国际法   WTO   FTA  

谭观福  

   第二种情形为一般数据处理者处理重要数据(主体为一般主体,客体为重要数据)。根据《汽车数据安全管理若干规定(试行)》第3条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。现行立法未对该种情形作出明确规定,根据我国数据安全法第31条,应由国家网信部门会同国务院有关部门制定相应的出境安全管理办法。《汽车数据安全管理若干规定(试行)》针对此种情形规定了一种数据出境条件,即原则上应将数据存储在境内,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。

   第三种情形为重要数据处理者处理个人信息或重要数据(主体为重要主体,客体为个人信息和重要数据)。重要数据处理者主要是关键信息基础设施运营者,根据我国个人信息保护法,还包括处理个人信息达到国家网信部门规定数量的个人信息处理者和国家机关。此种情形的数据出境条件为,原则上应当在境内存储,确需向境外提供的,应当通过国家网信部门组织的安全评估。

   第四种情形为外国司法或执法机构请求提供数据。我国数据安全法第36条和个人信息保护法第41条对此均有规定,数据出境的条件是依据国际条约、协定,或者按照平等互惠原则,且经过主管机关批准,该规定旨在从司法和行政执法层面阻却境外机构对境内机构和个人实施的长臂管辖。

   (二)我国的国内规制措施已经与国际接轨

   我国立法对跨境数据流动设定了一定的条件,此种限制可以构成国际经贸协定中的“限制措施”。那么,此种限制措施能否通过国际经贸协定中的压力测试?下文将以CPTPP为参考对象,对该问题稍作分析。CPTPP第14.11.2条是关于跨境数据流动的核心义务,具有强制性。我国立法允许为业务等需要进行跨境数据流动。我国对跨境数据流动的限制措施,如出境安全评估、个人信息保护认证或标准合同,本质上是对跨境数据流动规定了“监管要求”,与CPTPP第14.11.1条的规定相契合,并非不允许数据出境。因此,我国对跨境数据流动的国内规制措施不违反CPTPP第14.11.2条。至于CPTPP第14.13条规定的计算设施本地化问题,在一些特定行业(如互联网地图、网络出版)的立法中,确实存在计算设施本地化的要求,但由于这些行业具有特殊性,此类要求往往可以援引协定中的例外条款免责。

   假设我国的规制措施违反了CPTPP第14.11.2条,我国还可以援引CPTPP中的例外条款进行抗辩。我国对于跨境数据流动特别强调“安全、有序”,安全是首要价值。有少数关涉国家安全的核心数据可能被禁止出境,数据出境安全评估和数据安全审查措施都可能需要援引基本安全例外条款。CPTPP第32章的安全例外可以涵盖网络安全和数据安全的需要。当然,在具体适用时需要满足必需性的要求。因此,接受CPTPP中的跨境数据流动规则时,需要对安全例外作出相应安排。

   CPTPP第14.11.3条还规定了合理公共政策目标例外。个人信息保护认证和标准合同是其他国家普遍使用的机制,应该不会遭致违反CPTPP第14.11.2条的质疑。CPTPP第14.11.3条有三项核心义务:第一项义务是要求限制措施是为实现合法公共政策目标。数据出境安全评估是我国相对独特的机制,评估的目的是为了保障国家安全、公共利益、个人或者组织合法权益。CPTPP第14.11.3条的合法公共政策目标没有明确列举,外延很广,可以涵盖数据出境安全评估的前述目的。第二项义务是要求限制措施的实施不构成不合理的歧视或对国际贸易的变相限制。国家网信办已经起草了《数据出境安全评估办法(征求意见稿)》,规定了安全评估的情形、重点评估事项、评估程序等,相关的制度和标准正在形成过程中。由国家网信部门统一组织的安全评估只要适用客观标准,就不会造成不合理的歧视或对国际贸易的变相限制。第三项义务是限制措施应满足“必需性”测试要求,即不存在同样能实现合法政策目标,但对贸易的限制性影响更小的合理可行的替代性措施。我国的数据出境安全评估制度针对的是关键信息基础设施运营者或处理个人信息达到国家网信部门规定数量的个人信息处理者,或者重要数据的出境,在其他国家很少有类似的制度实践,因而也较难提出合理可行的替代性措施。总体上,我国对于跨境数据流动的国内规制措施已经与国际接轨。

   (三)完善跨境数据流动规制的建议

   我国对跨境数据流动规制的制度逐渐走向完善,但其他国家对我国的规制措施仍有猜疑或不甚了解。跨境数据流动议题本身具有涉外性,各国是在国内规制的基础上进行国际规则的协调。只有不断完善国内制度,才能准确把握对外谈判立场,并引领国际规则。个人信息保护认证在我国还处于制度设计阶段,哪类机构可以进行认证,怎样确定该专业机构的专业资质和可信性,如何认证等问题有待后续立法加以明确。标准合同条款也还处于制定过程中。数据出境安全评估办法应细节明确,标准客观、一致,并考虑国际规则的合规问题(例如,应符合《关于进一步加强贸易政策合规工作的通知》的要求),避免造成歧视性后果。通过加强国内规制和国际经贸规则的协调,提高国内治理水平,营造良好的营商环境。在时机成熟时,我国可以发布跨境数据流动白皮书,以宣传阐释我国的跨境数据流动政策。我国并非反对跨境数据流动,也没有过于强调数据本地化,而是要求保障数据依法有序自由流动。

   在对外协调方面,我国还可以依据GATS第7条,与相关国家就数据保护标准进行互相承认的谈判并签订数据出境的相关协议,以促进跨境数据流动。我国可以借鉴美国和欧盟在处理跨境数据流动问题上的经验,从双边层面开始探索。我国还应尽快加入APEC的《跨境隐私规则体系》,以提升数据传输便利性。从欧盟对跨境数据流动的规制历史来看,建构跨境数据流动的全面机制是一个长期动态调整的过程。开展个人数据跨境流动的国际合作需要以基本的政治互信为基础。欧盟委员会在批准个人数据保护的充分性认定资格时,一国的人权和法治状况是其评估的重要因素。欧盟的对外贸易政策是欧盟对外人权政策发挥作用的主要领域。为全面贯彻人权主流化目标,欧盟不断强化贸易与人权的联结。鉴于欧盟和我国在人权等关键价值观上仍存在一定的分歧,我国和欧盟如果就个人数据保护的充分性认定展开谈判,将面临一定的障碍。

  

   谭观福,中国社会科学院国际法研究所助理研究员,《国际法研究》编辑部编辑。

   来源:《比较法研究》2022年第3期。为阅读便利,注释从略,建议阅读原文。

  

    进入专题: 数字贸易   跨境数据流动   国际法   WTO   FTA  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 国际法学
本文链接:http://www.aisixiang.com/data/134959.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统