數據安全:數據跨境流動
大數據時代,數據成為人類社會生存和發展的基礎性戰略資源,深刻影響著國防軍事能力、經濟運行機制、社會生活方式及國家治理能力,國家之間、企業之間對數據資源的爭奪日益激烈。各國政府和企業對數據資源的價值與意義已經形成共識,新一輪大國競爭在很大程度上是通過大數據增強全球影響力和主導權。
1. 美國方案:服務于貿易的寬松政策
受貿易利益驅動,美國推行寬松的數據跨境流動政策,在確保國家安全利益的前提下最大程度地促進數據自由流動。同時,美國建立了個案式的事后監管機制,對聯邦政府的重要數據采取較為嚴格的管理措施,在投資、采購等方面及環節予以限制,提出數據本地化要求。例如,《國防部采購條例補編》要求“不得將為聯邦提供云計算的服務器設于本土大陸之外”,即除非有官方另行授權,云計算服務提供商需要確保其服務器位于50個州、哥倫比亞特區或偏遠地區的美國境內。當承包商被允許在美國境外保存政府數據時,締約官員應向承包商提供書面通知。此外,美國通過安全審查等方式滿足特定情形下的本地化需求。例如,在外國投資安全審查中,美國通過與外國投資者簽訂協議的方式控制數據流動。
在國際上,美國通過TPP等在全球宣揚數據自由流動理念,防止其他國家對數據的嚴格控制。具體條款主要在第14章——電子商務。TPP第14章第11條要求:出于商業所需時,各方應當允許數據(包括個人信息)的跨境流動;但是,各方為實現正當的公共政策目標,可采取限制措施,只要這樣的措施不構成恣意、無正當理由的歧視,以及超過實現政策目標所需。第13條要求:各方不應當將使用境內的計算設施作為在其境內開展商業活動的條件之一;但是,各方為實現正當的公共政策目標,可采取限制措施,只要這樣的措施不構成恣意、無正當理由的歧視,以及超過實現政策目標所需。其中提到的“計算設施”顯然包括數據中心。把上述兩條內容合起來解釋,就是如果沒有正當的公共政策目標,不得限制數據跨境流動,而且不得強制在本地存儲數據的副本。
2017年1月23日,美國總統特朗普簽署了上任后的第一份行政命令,正式宣布美國退出TPP。奧巴馬執政期間,美國在數據流動方面的政策主張是希望能夠建立保數據自由流動的國際經貿規則。特朗普退出TPP的舉動引發了業界對美國是否堅持奧巴馬時代的數據跨境流動政策的猜測,一些公司甚至已經考慮重新修訂個人數據保護制度以適應未來的趨勢。然而,退出TPP是否意味著美國有限制數據跨境自由流動的趨勢,仍有待觀察。
2. 歐盟方案:尋求個人信息保護與數據自由流動的平衡
歐洲委員會(Council of Europe)是世界范圍內最早對個人數據跨境流動進行規制的區域性組織之一,建立了較完善的數據流動規則。先后通過了108號公約、108號公約附加議定書、95指令,GDPR最終確立了歐盟數據跨境流動管理方案。
108號公約是首個關于數據保護的有法律約束力的國際公約,也是歐洲首個針對數據跨境流動進行規定的法律文件。公約原則上促進數據自由流動,禁止僅因保護本國公民個人隱私而對個人數據的跨境流動進行限制。只有在兩種例外情況下可以限制:一是在因個人數據自身性質而需要特別保護的情況下,數據進口方必須達到與出口方同等的保護水平;二是數據進口成員國為了規避數據保護監管,將其引入的個人數據轉移至另一非成員國,出口成員國可以禁止數據輸出。
歐洲委員會于2001年通過了《108號公約關于監管機構及跨境數據流動的附加議定書》。相比108號公約,該附加議定書對個人數據跨境流動的保護理念發生了重大變化,原則上不得將個人數據轉移給任何非成員國或組織,除非該國或組織能夠對將要轉移的數據提供適當的保護,或以保護數據主體的合法權益、公共利益為目的。
歐盟意識到抓住數字經濟發展機遇至關重要,提出要打破數字經濟壁壘,建設內部單一的數字市場。但是,歐盟現有的一些法律制度對此構成了阻礙,各國數據保護水平的差異不僅影響了數據保護的實施效果,也阻礙了數據在歐盟內部的自由流動。因此,95指令在個人數據跨境流動中對個人數據進行全方位保護,建立了較高的統一數據保護標準。為平衡個人數據保護和數據自由流動的矛盾,95指令設立了一套內外有別的規制制度。對于個人數據在歐盟內部成員國之間跨境流動的情況,兼顧保護個人數據和促進個人數據自由流動,95指令既要求成員國達到充分性保護要求,確保個人數據在跨境流動中的基本權利,又要求成員國不得以保護個人數據權利為借口限制個人數據跨境自由流動;而對于個人數據從歐盟成員國向第三國流動的情況,原則上禁止成員國作為數據輸出國向未達到歐盟個人數據保護水平的第三國進行數據轉移,除非涉及國家安全、公共利益等例外情形,并通過“適當的合同條款”等變通方式來增強制度的靈活性。
近年來,各國對數據的依賴程度快速上升,爭奪日益激烈,維護數據主權成為國家主權的重要內容。2013年,斯諾登披露,包括谷歌和微軟等在內的科技、金融及制造業企業都與美國NSA、CIA和FBI等情報機構保持著緊密的合作關系,向其提供個人敏感信息。因此,歐盟急需完善原有95指令規定的數據跨境流動的相關規則,以有效維護數據主權。GDPR在95指令模式的基礎上進一步完善了跨境數據管理舉措,數據控制方和處理方都要遵守歐盟數據保護規則,對內通過統一制度標準確保所有成員國遵守數據保護規則,對外禁止個人數據流向不符合95指令標準的第三國。同時,歐盟在一定程度上兼顧數據的自由流動,采取了一系列消除限制數據跨境流動的一切不合理障礙的措施,如“適當的合同條款”和“約束性企業規則”,以克服同一法律規制的局限性,增強了制度的靈活性。歐盟數據跨境流動的主要方式說明如表1所示。
表1 歐盟數據跨境流動的主要方式
雖然歐盟數據跨境流動的要求嚴格,但其針對不同場景設置了多種方式。
第一,白名單機制。歐盟公民的個人數據只能向那些已經達到歐盟數據保護要求的國家和地區流動,如果歐盟委員會已確認第三國或國際組織可以提供充分的保護,則可向其轉移個人數據,不要求任何特定授權。審查標準參照歐盟數據保護要求,主要考慮相關法律規定及其落實情況,對人權和基本自由的尊重、相關的普通法和行業法,是否存在獨立監督機構以確保數據保護規定的遵守及其執行等隱私。此外,第三國應承諾其提供了與歐盟同等程度的數據保護,包括具有獨立且有效的數據保護監管、行政和司法救濟機制,以及與成員國數據保護機構的合作機制。歐盟對通過審查的國家進行定期評審,評審至少每四年進行一次。目前,除了歐盟成員國以外,只有加拿大、阿根廷、瑞士等少數國家達到標準。
第二,采用歐盟委員會通過的標準數據保護條款或經監督機構認可的合同條款。如果進口方所屬國未達到歐盟數據保護要求,數據出口方和進口方可以通過采用標準合同條款達成協議,確保離開歐盟的個人數據以歐盟的數據保護標準進行處理。實施這項機制,應確保第三國符合數據保護要求,并維護數據主體對歐盟境內所作數據處理享有的適當權利。
對于適當的合同條款內容,歐盟委員會于2001年、2002年和2004年頒布了三個標準合同文本,針對歐盟境內的數據控制者和境外的數據控制者之間、歐盟境內的數據控制者和境外的數據處理者之間的個人數據跨境流動進行規制。標準合同文本的出現,為不同制度下的個人數據跨境流動所涉及的復雜法律問題提供了有效的解決方案,在充分保護個人數據權利的前提下促進個人數據在各國之間的自由流動,并且為國際貿易中涉及的個人數據跨境流動提供了一個相對寬松且安全的替代性解決方案。不僅如此,適用標準合同文本對個人數據跨境流動進行保護,還可以降低數據轉移成本,促進個人數據跨境流動規則的融合與統一。
第三,制定具有約束力的企業規章制度。如果企業自身的規章制度中對個人數據流動的保障措施達到了歐盟數據保護的充分性標準,歐盟數據保護機構可以授權其處理歐盟的個人數據。以這種方式得到授權的企業必須通過歐盟數據監管機構的審核。一是申請歐盟境內數據監管機構作為其主管機構。企業自行擬定關于約束自身的數據跨境流動和個人數據保護規則草案,申請歐盟境內某一成員國中有資質的數據監管機構作為其主管機構,經同意后向其提交規則草案。二是通過歐盟數據監管機構審核。申請企業在主管機構的指導下修改規則草案,并在完成后提交給其他成員國數據監管機構以征求意見。主管機構根據反饋意見確定規則草案的最終版本,提交其他成員國的監管機構進行確認后,約束性企業規則獲批生效,報送歐盟數據保護工作組進行備案。三是執行嚴格的監督機制。申請企業定期對其落實情況進行內部審核,并由經認證的審核機構實施外部監督,將相關的內外審核情況向數據管理機構進行報備。數據管理機構也可以自行或指定獨立機構對企業的數據保護情況進行審核。同時,申請企業應提供合理的配套爭議解決機制,并在必要時請求數據管理機構介入此類程序。
第四,為保護公共利益、個人合法權益等例外情況。為了數據主體的生命安全,保障公共利益、法律權利及合同執行等,可以向非歐盟成員國傳輸數據,但這些例外情況受到了嚴格的限制。一是為公共利益進行的數據跨境流動,例如,競爭監管部門、稅務機關或海關之間,金融監管部門之間,社會保障服務機構之間,或為了公共衛生進行的國際數據交換。二是如果某一權益事關數據主體或其他人的切身利益,包括人身安全,即使數據主體不具備給予同意的能力,也可進行數據傳送。三是為了完成《日內瓦公約》規定的任務或遵守適用于武裝沖突的國際人道法的規定,可向國際人權組織傳送此等個人資料。四是數據控制者合法權益優先。針對控制方所追求的重大迫切的合法權益優于數據主體的權益與自由,且控制方已對數據傳送涉及的所有情況做出評估時,可進行僅涉及有限數據主體的、不重復的數據傳送。
第五,經批準的認證機制、封印或標識,包括獲得批準的認證機制,以及第三國控制方或處理方為應用相應保障措施而做出的、有約束力且可強制執行的承諾。鼓勵建立數據保護認證機制和數據保護印章標記,證明控制方和處理方的數據處理操作遵守歐盟數據保護要求。認證應為自愿認證,并可通過透明的流程獲得。此類情形主要適用于公共機構之間的數據轉移活動。行為準則與認證機制是引入的新型的合規機制,以最大化發揮第三方監督與市場自律作用。
第六,成員國對某些特殊情況可以另做具體規定。授權成員國對在特殊情形下進行數據傳送的可能性做出具體的規定。一是數據主體已給予明確同意,而數據傳送又是偶爾為之,且對于合同或法律索償來說是必要的。二是歐盟或成員國法律因公共利益而要求進行數據傳送,或依法建立的登記冊會提供信息供公眾或擁有合法權益的人士查閱。
此外,如果政府當局或組織之間具有法律效力且可強制執行的文件,也可不經授權而進行跨境流動。同時,經過根據主管監督機構的授權,在以下兩種情況也可提供保障措施:一是控制方或處理方與第三國或國際組織的接收者之間的合約條款;二是政府當局或組織之間行政管理安排的規定,包括可強制執行的有效數據主體權利。
根據歐盟95指令和GDPR,只有當第三方國家通過歐盟認可達到為個人數據提供充分保護的要求時,才允許將歐盟公民個人信息轉移、存儲到該國進行處理。而美國采取行業分散保護機制,并不符合歐盟的要求。但鑒于與美國頻繁的貿易往來,對個人數據的跨境流動需求極大,歐盟與美國通過國際協定折中解決制度間障礙,設立了美歐之間的數據流通特殊“管道”。
管道之一:“安全港”協定
由于美國互聯網產業的迅速發展,跨境收集、轉移、處理個人數據的需求日益增大。為了滿足歐盟對數據安全充分性保護的要求,便于美國互聯網企業開拓歐洲市場,雙方于2000年達成了“安全港”協定。“安全港”協定是指美國商務部建立一個公共目錄,聯邦交易委員會和美國交通運輸部管轄下的任何組織加入“安全港”協定,并公開承諾遵守“安全港”協定的要求,就可以將歐盟公民個人信息轉移到美國境內進行處理。加入“安全港”協定必須采取以下措施之一:參加符合“安全港”協定原則的自律性隱私權保護項目;制定符合“安全港”協定原則的自律政策;遵守有關保護個人隱私權的法律規范。機構采取上述三項措施之一,并以“安全港”協定成員的身份從事電子商務,自愿做出承諾遵守“安全港”協定的七條隱私保護原則,這些機構就被假定達到了“充分保護”的要求,可以繼續接受、傳輸來自歐盟的個人數據。
“安全港”協定為美國企業確立了七大隱私原則:通知原則,即企業必須通知收集使用個人信息的目的;選擇原則,即企業收集個人信息必須征求個人信息主體同意;向前傳遞責任原則,即與第三方簽訂協議以明確個人信息用于特定、有限用途,并且第三方也能提供同等水平的保護;安全原則,即采取合理的預防措施,防止個人信息濫用、丟失、暴露;目的限制原則,即個人信息必須與使用的目的相關,企業必須有合理的步驟確保數據是可靠的、準確的、完整的和有時效的;接入原則,即個人必須有渠道接觸到企業持有的其個人信息,個人有權更正、刪除個人信息;追索、責任和實施原則,即有效的隱私保護必須包括確保遵守的機制,提供可用的、可負擔的、獨立的追索機制。
2013年,美國監控丑聞曝光,歐盟成員國數據保護機構開始質疑“安全港”協定的合法性。2015年10月,歐盟法院判決“安全港”協定無效,主要包括兩個原因。一是美國政府當局并不受“安全港”協定制約,國家安全、執法訴求等凌駕于“安全港”協定之上,不加區分地實施大規模監控、數據攔截, NSA、FBI等聯邦機構就極有可能非法獲取轉移到美國的歐盟公民個人數據。二是“安全港”協定沒能達到95指令對個人數據充分保護的要求,無法阻止企業將數據文件泄露給未授權方,實際上限制了各成員國數據保護機構的獨立監管職能。
管道之二:“隱私盾”協議
跨大西洋的數據流動因美歐之間網絡經濟上的緊密聯系而成為不可逆的趨勢,在美歐“安全港”協定廢除后,雙方談判加速。2016年2月2日,雙方已經達成新協定“歐盟-美國隱私盾”(EU-SU Privacy Shield),即“隱私盾”協議。“隱私盾”協議實質上是歐洲委員會和多個美國高級官員之間的行政協議,主要包括三個部分,分別是“隱私盾”原則,有關美國商務部具體舉措和仲裁事項的兩個附件,以及來自聯邦貿易委員會、運輸部、國家情報總監辦公室、國務院、司法部的五封信。協議主要要求接受歐盟個人數據的美國企業必須滿足相應的隱私保護特權,可以通過兩種方式獲得權限:一是選擇與美國商務部達成一個含有示范條款的合同協議,采用包含“隱私盾”協議的企業規則;二是選擇與單獨的歐洲公民達成明晰的知情同意書。相比“安全港”協定,“隱私盾”協議更好地體現了歐盟95指令關于數據處理者與數據控制者的義務履行以及數據主體權利的規定,并特別強調了監管措施的執行,主要表現如下。
第一,企業承擔更嚴格的數據保護義務。“隱私盾”協議補充更新了“安全港”協定的七原則,做出了更詳細的規定,為數據主體提供了更具體的法律依據,使其能與個人數據保持更緊密的聯系,隨時知悉個人數據被處理的真實情況。
第二,監督機制更有力。首先,企業通過自主認證“自愿加入”后,必須公示其“入盾承諾”及相應的隱私政策,力圖減少此前“安全港”協定企業缺少公眾隱私保護政策或在政策中沒有提及協議內容的現象。其次,企業在“入盾”后還需完成定期自證審查,并接受聯邦貿易委員會、運輸部等部門的調查與監督。再次,當企業未完成定期驗證時,商務部將撤銷其“入盾”的資格,企業也將歸還或刪除相應的數據。美國商務部定期更新公布“入盾”名單,將此前曾“入盾”但現在已經退出的企業的名單公之于眾,并告知公眾這些企業已經不再是盾內企業,企業也不能采取模棱兩可的態度給公眾造成它仍在盾內的假象,否則將面臨關于從事欺騙性營業活動的指控。
第三,規范對象更廣泛。規范對象不僅包括名單內企業,還包括退出名單的企業及第三方。首先,名單內企業必須遵守“隱私盾”協議規定,已經退出“隱私盾”協議名單的企業如果繼續存儲根據協議獲得的個人數據,也必須就對應的個人數據履行“隱私盾”協議規定的義務。其次,按照“隱私盾”協議的“責任轉移原則”,名單內企業將個人數據傳送給第三方時必須通知數據主體,由數據主體選擇是否可傳送,還必須與第三方簽訂合同,以確保這些個人數據被用在有限且特定的地方,享受至少同等水平的保護措施。此外,名單內企業必須采取合理的措施,阻止第三方對傳輸的個人數據從事任何未經授權的行為。
第四,為歐洲公民提供了更多救濟途徑。歐洲公民在認為其個人數據受到侵害時,可以采取以下途徑進行求助:向企業進行投訴,企業應當在45日內給予答復;向本國的數據保護機構投訴,該機構可與美國商務部、聯邦貿易委員會合作進行調查和處理;求助于免費的替代性糾紛解決機制(ADR),名單內企業都必須加入這項機制,必須在其公開的個人數據保護章程中寫明獨立的糾紛解決機構,而且必須提供這一機構的網頁鏈接,商務部將對此進行監督檢查;如果以上方式都無法解決問題,可以求助于隱私保護專家組進行仲裁,專家組可以對名單內企業做出約束性裁決,以確保每個投訴都能完善解決。“隱私盾”協議首次讓歐洲人有一種途徑能對美國代理商訪問其根據該協議傳輸的數據提出投訴,這使公民隱私保護的有效性得到了大大提高。
3. 對我國的啟示
隨著我國數字經濟的繁榮發展,我國越來越多的企業正在“走出去”。國家“一帶一路”倡議促進了跨境電子貿易的繁榮,數據跨境流動日益頻繁,對數據跨境流動規則的需求也更迫切。為了確保安全和發展的平衡,我國應在充分考慮國家安全因素的前提下,借鑒歐美的規則模式,與國際接軌。
第一,建立重要數據分級分類管理制度。歐美有關數據跨境流動的統一規定主要集中在個人信息,對關系國家安全、社會公共利益的重要數據跨境流動的限制,主要根據具體行業數據的特性,在投資、采購及傳輸等各個環節予以體現,確保對數據流動的限制處在合理范圍內。我國應借鑒國際經驗,對重要數據和個人信息的跨境流動進行區分管理,而對于重要數據應采取分級分類管理措施,并進行分業管理,根據數據特性及出境影響采取多樣化的控制措施。例如,對于涉及國家秘密、國家安全以及經濟安全的數據,嚴格禁止跨境,必須在境內的數據中心存儲和處理;對于政府和公共部門掌握的其他數據,實施數據跨境流動的條件限制;對于普通的個人信息,通過落實數據控制主體的安全責任及合同監管實施保護。
第二,針對不同場景設置多樣化的數據跨境流動機制。從國外來看,數據跨境流動的管理并非一刀切的模式,而是根據不同情形建立多元化的管理手段。歐盟不斷在數據流動與確保個人信息安全之間尋找平衡,GDPR確認了白名單、標準合同、風險評估、協議控制等多種方式。美國為了確保互聯網企業在歐盟市場的順利運作,也通過與歐盟簽訂協議的方式遵循歐盟的相關要求。目前,我國的管理思路還集中在采用風險評估這種單一手段。一方面,評估工作量大,實施有難度;另一方面,加劇企業負擔,導致數據流動的滯后性,阻礙數字經濟的發展。此外,我國還容易被西方國家扣上“貿易壁壘”的帽子,對我國企業“走出去”產生消極影響。在政策制定中,我國可根據企業數據跨境流動的場景、需求、目的,增加標準合同、協議控制等方式,為企業創造良好的政策環境。
第三,推動建立數據跨境流動行業自律制度。從美歐數據跨境流動監管的演化來看,美國的行業自律制度在美歐數據跨境流動中發揮了積極的作用。近年來,隨著我國企業在國際上開展的業務逐漸增多,這些企業面臨國外政府和隱私保護部門對其個人數據和隱私保護水平的嚴格監管,行業協會組織應積極發揮行業自律作用。尤其是開展國際業務的跨國企業集團,更應該推動建立我國的行業自律制度,引入國際知名的信息安全管理標準。
第四,強化國際合作,積極參與制定國際規則。隨著數字經濟的快速發展,全球化趨勢日益明顯,國際合作將是數據跨境流動監管的必然途徑。開展數據跨境流動互認等合作,也是確保國外消費者信任我國企業個人信息保護能力的最佳方法。我國應積極參與APEC跨境隱私規則(CBPRs)等得到一定國際認可的區域數據保護體系,提高本國的數據跨境流動規則。同時,在全球尚未形成統一的數據跨境流動規則的情況下,我國與“一帶一路”沿線國家展開雙邊談判,與日本、印度、韓國等其他國家加強溝通,提出中國主張,力爭在法律、監管和技術等方面更多參與建立新時期數據跨境傳輸的國際標準和相關規則,保障數據跨境流動規定的公平。
