互联网上的跨境数据流动无处不在,个人用户通过手机商店下载App,跨国企业在不同国家的分支机构之间传输商业数据,这些日常的个人和企业 行为都引发了跨境数据流动。在“互联网+”时代,互联网与各行业深度结合,跨境数据流动牵涉范围更广,对公民个人权益、企业商业利益乃至国家安全影响更 深,成为政府管理关注的重点。
综合分析世界主要国家跨境数据流动安全管理经验,国家在设计制度时一般都以维护本国关键利益为出发点,以数据分类管理和数据主体责任两项基本制度为支柱,以融合国家间制度差异的非强制性规则和国家间互信机制为纽带,构筑一套较为完善的跨境数据安全管理制度。
围绕本国关键利益设置跨境数据流动规则
美国等制度较为成熟的国家,其跨境数据流动管理思路紧密围绕本国的核心利益,为产业发展和国家安全保驾护航。以美国在TPP贸易协定谈判中提出的知 识产权条款为例,美国为保护其文化产业,尤其是好莱坞娱乐巨头的经济利益,将其《千禧年数字版权法案》中严格的知识产权侵权责任条款照搬进TPP谈判中, 主张允许知识产权人追踪互联网服务提供者为用户所提供的音视频、图片等信息产品,这将赋予知识产权人跨国收集用户信息的合法权利。例如,美国的知识产权人 可以要求他国网站在向他国国民提供有关节目下载服务时,实时向美国知识产权人提供用户下载信息,意在以此约束盗版行为,维护美国知识产权人的利益。
作为信息技术先进国家,美国拥有***的云计算服务产业,美国在TPP中推行跨境数据自由流动,反对他国政府设置互联网数据跨境流动限制措施,反对他国的数据本地存储要求,意在为美国相关企业开拓国际市场扫清障碍。
建立跨境流动数据分级分类标准和管理制度
就跨境数据流动安全管理总体框架而言,目前世界各国尚无统一制度,但一般的通行思路都是对不同数据采取分级分类管理,并有针对性地采取不同的保护措施,确保跨境数据流动不得危及公民权益和国家安全。
一是重要的数据禁止跨境流动。例如,俄罗斯通过法令,要求本国公民信息必须存储在俄罗斯境内;澳大利亚规定安全等级较高的政府数据不能存储在任何离 岸公共云数据库中,而必须存储在具有较高安全协议的私有云数据库中;韩国则规定通信服务提供商应采取必要手段,防止有关工业、经济、科学技术等重要信息通 过互联网向国外流动。
二是政府和公共部门的一般数据和行业技术数据有条件的限制跨境流动。例如,澳大利亚将政府信息分级,要求对其中的非保密信息也必须经过安全风险评估后才能实施外包。
三是普通个人数据允许跨境流动,但需要数据流入国满足一定安全认证要求。目前多个国家都参与了数据跨境流动的国际或国家间认证,为本国数据流出和接受他国数据流入搭建通道。
明确设置数据相关主体的权利责任
目前国际上主要存在两种跨境数据流动的权责模式:一是知情同意模式,欧盟、日本、俄罗斯等大多数国家都规定,收集数据时必须取得数据提交人的明示同 意,以作为后续数据流动的必要条件,强调数据提交人的知情权。二是目的限制模式,美国法律规定,数据收集后的再利用必须秉持正当目的,强调通过数据利用的 具体情境判断数据流动的合法性。
综合来看,以上两种模式各有利弊。知情同意模式较为严厉,但复杂冗长的隐私条款往往使得数据提交人的知情权流于形式;目的限制模式较为宽松,但事后控制不利于提前发现和预防数据泄露、滥用,且对社会法治化程度要求较高。
推行非强制性管理手段弥合制度差异
欧盟为建立统一市场,消除各成员国既有制度对跨境数据流动形成的阻碍,采取了一系列非强制性的管理手段,创造一个尽可能统一的法制环境。此类制度虽 然不具备强制性,但采纳实施的国家或企业将获得数据流动方面的便利。这种管理手段也被其他国家逐渐接受,成为跨境数据流动监管方面的典型制度。
一是国家间层面的“白名单”制度。欧盟将数据保护水平的充分性作为欧盟与境外国家跨境数据流动的基本原则。如果在欧盟成员国以外国家的企业需要处理 来自欧盟成员国的跨境数据,企业所在国就要事先通过欧盟委员会或成员国的数据保护水平认证。欧盟委员会或成员国可通过以下两个关键要素判定跨境数据流入国 是否达到了“充分性”保护要求:要素一是跨境数据流入国的数据处理规则必须符合欧盟的要求,要素二是要有确保规则有效实施的机制。只有对于被认定为满足 “充分性”要求的国家(即“白名单”国家),欧盟成员国才可自由向该国企业转移数据。
二是企业间层面的标准合同制度。欧盟标准合同以数据主体权益保护为目的,规定了数据转移当事方和数据主体在数据保护上的权责分配关系。如果一国企业 在与欧盟成员国企业的经济往来中使用了标准合同,承诺按照合同履行其数据保护义务,便可以认定其满足了数据保护“充分性”要求。
三是特殊情境下的约束性公司规则,该规则适用于在跨国企业内部、位于不同国家的分支机构之间的数据转移。这一规则协议范本规定了数据保护原则、数据 主体的权利、跨国企业的责任及争议解决方式和救济措施等事项。该规则需要得到分支机构所在国的批准,并可成为成员国向不具备“充分性”保护水平的国家转移 数据的法律依据。
积极参与或建立国家间认证等信任机制
跨境数据流动是一个国家间问题,各国正积极争取获得重要贸易伙伴国的数据保护认证。
一方面,欧美发达国家通过认证等双边机制建立信任关系。例如,美国与欧盟之间曾长期履行 “安全港”协议,承诺遵守“安全港”协议的美国企业能够获得数据保护“充分性”的认定,获得处理来自欧盟成员国数据的资格。虽然“安全港”协议已于 2015年10月被欧盟司法机构认定为无效,但认证协议已经成为国家间跨境数据流动的基本模式,几经周折,目前美欧间也已达成新的数据转移协议。此外,巴西、新加坡、墨西哥等国家为融入跨境数据流动国际协作也加快了本国数据保护立法和加入国际间认证机制的进程。
另一方面,国际组织也在积极构建跨境数据流动认证体系。2011年,亚太经合组织建立跨境商业个人隐私保护规则体系,由获得认可的评估机构对商业机构保护个人隐私与信息的水平进行认证并公布,企业可自愿参与。美国为保障自身安全、***化自身经济利益积极加入这一体系, 极大提升了该体系的国际影响力,使体系未来可能成为地区主导的跨境数据流动框架。
