北京物流信息联盟

专家|黄道丽 何治乐:欧美数据跨境流动监管立法的“大数据现象”及中国策略

公安三所网络安全法律研究中心 2020-10-16 15:43:16

摘要: [目的/意义]数据跨境流动已成为全球贸易和投资增长的主要途径,但云计算、大数据等新技术的发展也使得跨境数据的安全风险骤增。数据跨境流动的立法监管折射出个人数据安全保护、执法便利提升和国家主权维护等多元诉求。美国和欧盟代表了全球数据跨境流动监管的两大立法范式,研究其在大数据环境下数据跨境流动监管的立法应对和冲突协调,对制定和完善我国相关立法具有重要的参考意义。[方法/过程]研究欧盟和美国数据跨境流动监管立法的“大数据现象”,在考察实践发展基础上解析立法间的控制与反控制措施,剖析其所体现的深层次国家需求和利益博弈,研判立法趋势。[结果/结论]建议我国完善数据跨境流动的管辖权、确立执法权力、增强法律的可操作性并加强国际协作,提升我国跨境数据流动的安全应对能力。 

关键词:大数据; 数据跨境;安全港协议;欧盟;美国

1

引 言


“大数据”概念出现伊始,全球对“大数据”的关注尚停留在“技术促进”层面的欣喜之中。边际成本的不断下降、即时通讯工具的风靡、国家战略和政策的高度重视等多因素聚集,大数据迅速成为信息技术领域最炙手可热的话题。万维网之父“蒂姆·伯纳斯-李”甚至将下一代互联网的本质称为“数据网”(Web of Data),表明数据对社会发展的重要意义。大数据提供了对数据深度挖掘的可能,原本无意义或碎片化的数据可以进行关联度分析并加以商业利用,数据的潜在价值通过大数据技术得以充分体现,数据成为分析过去和预测未来的关键因素。

数据跨境流动始于20世纪六七十年代,是信息通信技术发展以及国际经济贸易交往的自然过程和重要诉求。大数据环境下,更大规模和复杂的数据跨境流动成为全球常态。据美国国际贸易委员会估计,数据流动使得美国的GDP增加了3.4至4.8个百分点,同时创造了240万个就业岗位。美国商界强调,跨境数据流通在维持日常业务运营和产业突破发展方面具有强大的革命性力量。然而,“机会与风险并存”的技术利用悖论在大数据环境下体现得尤为明显。数据跨境过程中产生的不确定性因素严重威胁着数据安全,数据滥用和数据监控成为大数据利用挥之不去的阴霾。

在当今世界严峻的网络安全形势下,全球数据跨境流动监管面临共同的挑战。研判欧盟和美国数据跨境流动监管的立法框架,剖析其所体现的深层次国家需求和利益博弈,对完善我国大数据环境下的数据跨境流动监管立法具有重要的参考意义。


2

数据跨境流动监管立法的多元诉求


     1980年,经济合作与发展组织首次正式提出数据跨境的概念,即指“个人数据的移动跨越了国家边界”。近年来,尽管企业、甚至政府的数据也存在跨境共享的客观事实,但法律意义上的数据跨境仍然仅指个人数据跨境。本文亦仍从个人数据范围研究数据跨境的监管问题。大数据技术的普及在一定程度上促使个人数据跨境成为常态,跨越传统物理国家边界的数据利用削弱了附加于数据之上的“控制权”,这种“控制权”既包括基于数据所有权的数据主体控制权,也包括基于数据主权的国家控制权。数据脱离“控制”,特别是在数据接受国缺乏必要的数据保护能力的情况下,数据将面临未经授权的收集、访问、使用、披露和篡改的风险。因此,国家会通过立法对数据跨境流动实施有效监管,实现不同主体的基本诉求。数据跨境流动的立法监管折射了个人数据安全保护、执法便利提升和国家主权维护等多元诉求。

个人数据安全保护诉求
1

     大数据技术促使个人数据流通和融合的速度加快,经济资源价值不断攀升。个人数据不仅成为企业实现利润最大化的驱动因素,也成为国家关键基础设施的核心组成要素之一。个人数据的价值和重要性决定了其被觊觎的高概率,一方面,个人数据受到恐怖分子和违法犯罪活动“青睐”。全球数据黑色产业链日益成熟,离境数据被恶意利用和买卖的现象频发,个人数据泄露事件不断发生。另一方面,企业倾向于管理和使用更多的个人数据以占据市场主动权,这对企业个人数据安全保护提出了更高的要求。大数据环境下,“从网络时代对个人信息的精确收集转向基于大数据样本中数据挖掘产生相关个人信息的关联集成,这颠覆了过去隐私保护以个人为中心的思想。”企业原本遵循的传统收集公开原则和安全保障原则过于泛化,不能给个人数据保护建筑牢固的安全屏障。构建更合理有效的个人数据安全保护要求并指导企业合规实践成为监管立法的必然诉求。

     此外,跨境法域的合规要求和冲突也进一步加剧了个人数据的安全风险,个人数据的完整性和保密性受到前所未有的冲击。个人数据流动和转移次数难以估算,全球范围内个人数据立法碎片化和数据管理规则相对割裂的现状,造成无法为个人数据提供安全可信的在线环境。完善统一规则保障个人数据的安全流动也成为监管立法的必然诉求。

执法便利提升诉求
2

     大数据时代,犯罪技术更加具有隐蔽性,“跳板技术”等新兴犯罪手段可以更加容易的掩盖攻击源头。数据跨境使得大量数据流向境外,执法机关提取有价值的证据需要耗费更多的时间和人力资源,高效甄别数据价值的挑战更大。在跨境数据取证的合作过程中,执法活动会受到预防能力或补救权利不足的实际阻碍,使得域外取证处于被动地位。也就是说,数据离境会增加执法成本。当然,在不同司法管辖区域内的执法活动可以通过司法互助双边协议予以实现,但效果并不明显,例如印度提请美国进行数据协助执法的请求屡屡遭拒。为弥补跨国犯罪管辖权不足、提升执法便利,对数据跨境进行必要且适度的监管,如明确数据跨境前实施强制性备份等要求成为监管立法的必然诉求。

国家主权维护诉求
3

      大数据时代,“国家拥有数据的规模、流动、利用等能力将成为综合国力的重要组成部分。”包括个人、企业和国家数据等在内的数据早已不仅是国家“软实力”体现,更关涉军事、国防领域,成为国家主权的重要组成部分。数据对国家主权维护有重要意义,是支撑国家安全与发展的重要战略资源,具有极为重要的主权保护价值。管辖权不明、网络攻击日益复杂猖獗、跨境数据监管失效等因素对国家安全造成了严重威胁。早在1978年,由78国代表团参加的政府间信息局国际会议就发表报告认为,跨境数据流动“将国家置于危险境地”。信息通讯技术如日中天,经济制度、技术水平的差异扩大了各国的数字鸿沟,置身事外和闭关锁国只会创造信息孤岛,扩大数字鸿沟,拒绝数据跨境流动则会使国家被排除在世界网络体系之外。数据跨境流动不可避免,经济价值也有目共睹,然而对每一个国家,尤其是立法不完善和技术不发达的信息化弱国而言,将会直接给国家主权的完整性带来严峻挑战。如何调整数据跨境流动监管机制,解决数据跨境流动过程中的权利冲突以及数据管辖权异议问题,最终实现国家主权维护的目的成为监管立法的必然诉求。


3

欧美数据跨境监管立法的“大数据现象”

     随着大数据技术的蓬勃发展,更加凸显的网络社会地缘化特征使得欧美在制定立法时更为谨慎。尽管欧美面临相同的现实问题,但却采取了截然不同的立法态度,形成了颇具特色的欧美国家数据跨境监管立法的“大数据现象”。在棱镜门等数据滥用事件引发欧盟日益收紧其隐私保护法律政策之际,欧美在跨境数据流动方面的新一轮立法值得高度关注。


欧盟逐渐紧缩数据跨境监管
1

欧盟具有悠久的数据保护立法传统,以苛刻的数据保护合规性要求著称。鉴于数据跨境对数据安全产生的潜在威胁,特别是在棱镜门事件披露出大规模外国政府监听丑闻之后,欧盟逐步开始考虑数据脱离欧盟管辖区的实际风险,数据跨境监管日渐严格化。欧盟1995年发布的《数据保护指令》(Directive 95/46/EC)即建立了较高的数据保护标准,明确充分性保护原则。欧盟承认的具有充分数据保护能力的国家仅包括加拿大(对于某些目的)、瑞士、阿根廷等12个。在早期,尽管美国并没有达到欧盟的数据保护标准,但考虑到欧盟与美国之间的经济联系密切,且存在着大量数据交换和共享的事实,在商业利益的驱动下,2000年美国暂时向欧盟妥协签订了《安全港协议》。《安全港协议》实质上是美国对欧盟所关注的个人信息跨境流通问题的回应,给予收集和使用数据的美国企业更多的责任和义务,是美国分散立法体制对欧盟统一个人数据保护立法模式的退让与折衷处理。

《安全港协议》对收集和使用个人数据的企业有严格要求,曾被认为能够比美国法律提供更高的数据保护标准,是保障欧美数据跨境流动安全的桥梁和纽带。然而,近些年美国利用遍布各地、被人们广泛使用的软硬件优势,打着维护国家安全的旗号对世界进行监视和控制,尤其是棱镜门事件的曝光使得《安全港协议》形同虚设,破坏了美欧之间的信任。“棱镜门”事件使各国政府对数据安全采取了史无前例的审慎态度,数据离境给国家安全、社会稳定和个人隐私带来的潜在威胁促使各国广泛开始调整立法态度。在“被遗忘权”风靡欧洲大陆和世界人民数据保护意识日益增强之际,奥地利人Max Schrems对Facebook向美国政府提供了欧洲公民相关数据的诉讼引起欧盟最高法院的高度重视,成为《安全港协议》废止的导火索。2015年10月,欧盟法院作出判决,认为美国以国家安全、公共利益和执法需求为借口漠视隐私保护,《安全港协议》不能约束政府机构的数据审查行为,不能满足充分性保护的原则,因此予以撤销。

在欧盟开始新一轮的数据跨境流动保护协议谈判之际,鉴于在数据保护与国家安全之间的权衡有所差异,新协议的形成被认为可能需要花费较长时间。然而仅在半年之后的2016年7月12日,欧美通过了新的数据跨境协议《隐私盾框架》(Privacy Shield Framework),体现出欧盟解决数据跨境风险、提升数据保护水平的决心。在该协议中,欧盟除重申了包括知情原则、选择原则、安全原则、数据完整性原则、目的限制原则、访问原则、传输原则和责任原则之外,特别强调了欧美数据跨境传输的透明度管理问题,强制要求建立合规性审查和争议解决机制,对加入隐私盾协议的美国公司也提出了更高的数据保护要求。《隐私盾框架》被认为是“消除了跨大西洋数据流动法律缺失的障碍,为跨大西洋的数据流动提供一个新的安全框架。”

与此同时,“大数据从根本上改变了搜索和提取信息的方式,但也导致个人信息的曝光超过我们所希望的尺度。”欧盟开始深化被遗忘权的法律适用问题。2007年的《欧盟基本权利宪章》第8条中就明确规定“人人均有权享有个人信息之保护”且“人人均有权了解其个人信息,并有权要求销毁其个人信息。” 2012年欧盟《一般数据保护条例》更是在95指令的基础上规定了更为全面、严格的数据保护措施,其中第17条明确提出被遗忘和删除权。该法案颁布后,被遗忘和删除权在世界范围内引起了极大反响,虽然对其评价褒贬不一,但是并不影响其实际的可操作性。包括谷歌、Facebook在内的跨国企业都被命令删除用户“有权被遗忘”的数据。2014年11月27日,欧盟委员会要求谷歌将被遗忘权延伸至全球,虽然谷歌董事长施密特表示没有必要将其延伸至美国站点,但这一想法并不能阻止被遗忘权实施的脚步。

美国通过信息共享强化数据跨境
2

与欧盟通过收紧数据跨境政策,提升个人数据保护水平的努力不同,美国更希望通过促进数据跨境维护业已建立的信息优势。美国清醒地意识到在大数据时代,数据利用意味着价值和机遇,也更透彻地理解促进数据跨境流动对国家利益产生的潜在裨益。为此,尽管同样拥有悠久的隐私保护传统,但美国更加重视通过鼓励数据跨境流动确立和固化“数据占有和利用”的优势,最大限度地攫取“数据金矿”。虽然美国跨国企业的市场地位能够为美国掌控数据资源提供便利,但监控丑闻带来的负面影响也迫使美国必须审慎对待通过跨境方式获取数据的合法性问题。为了摆脱谷歌等跨国公司进退维谷的两难局面,并挽救棱镜门事件引发的信任危机,美国至少在以下两方面寻求强化数据跨境的策略。

其一是修正和弥补棱镜门事件的消极影响,适度作出妥协和让步。以欧美签订《隐私盾框架》为例,首先,与《安全港协议》柔性的约束架构不同,《隐私盾框架》要求加入的企业必须公示相关承诺及隐私政策,并要求企业定期进行自证明审查,通过偏强制性的刚性要求,避免再次出现美国企业无视《安全港协议》的尴尬局面。这意味着美国企业获得欧盟数据面临更为严格的数据保护合规要求,而且必须证明相关保护措施已经得到了切实履行。其次,《隐私盾框架》确立了更为严格监管机制,并特别强调监管措施执行的及时性和有效性。在美国政府访问欧盟数据的情况下,《隐私盾框架》甚至要求设立专员监督数据跨境的相关情况。事实上迫使美国承认了欧盟数据保护规则的域外效力。再次,《隐私盾框架》赋予了欧盟公民向企业申诉的权利,这意味着欧盟公民首次获得了依据数据保护规则向美国企业主张权利的途径。此外,2014年6月和2015年6月,美国连续通过两部抑制国安局数据收集行为的法案,希望通过限制政府的大规模数据收集项目重塑信任,以此再次促进美国在全球范围内的数据跨境流动。

其二是通过信息共享立法强化数据跨境。美国在数据跨境问题上的妥协并不是一味的让步,以国家安全为名,要求执法机构与科技公司进行信息共享成为美国避过数据保护屏障的一种选择。2016年2月由苹果公司拒绝协助FBI解锁加州枪击案凶犯 iPhone加密资料事件,引起的有关国家安全和个人隐私的争议,导致美国政府和立法机构中“国安安全派”官员重新审视美国相关立法,关于执法机构与科技公司共享数据的呼声不绝于耳。2015年10月,美国通过《网络安全信息共享法案》,无视隐私斗士、公民自由团体等的不满和反对,通过国土安全部建立起企业与联邦调查局和国家安全局之间的密切关联,以“阻止网络攻击”名义收集用户数据和隐私。对于数据跨界中一直争论不休的管辖权问题,该法案确定了“定罪无国界”的惩罚模式,对于盗窃、侵犯美国公民数据的外国人均可定罪。

具体到大数据环境下,美国对大数据这种新技术的异质性、快速集聚特质有更早更深入的理解和运用。早在2012年美国就通过《大数据研究和发展倡议》,在将大数据上升为国家意志的同时,动员所有美国民众的加入,以期创造巨大的经济和社会效益。近些年,利用大数据战略促进数据共享和交流成为美国政府收集跨境数据的重要手段,2016年5月,美国发布《联邦大数据研究与开发战略计划》,作为2012年战略的升级版,要求通过促进数据共享和管理政策来提高数据的价值,提出要了解大数据的收集、共享和使用方面的隐私、安全和道德问题。该计划明确指出,私人领域的数据共享是国家大数据收集的关键环节,然而为了控制和持续数据传播过程中不同利益相关者之间的相互信任,该计划在强调数据共享的同时,也强调安全的至关重要性,明确实施数据共享行动和举措时必须注重对敏感数据的隐私保护。

虽然美国出台该计划的目的没有直接针对其他国家的跨境数据,但数据共享的战略内容表明美国以信息共享的行动方案加强对数据收集的态度。该计划对安全的考虑也单纯是为了避免缺乏隐私保护策略阻碍到数据的收集和潜在的数据共享。在软实力和巧实力成为网络空间博弈资源的大数据时代,美国悄无声息的数据共享策略必然能为其赢得战略优势,短时间内美国的网络霸主地位不会因为他国反对的政策和法律而有所动摇。然而,在世界人民日益重视隐私保护和棱镜门余波尚在的今天,美国的立法态度定会引起新一轮的争议和质疑。


4

欧美数据跨境监管立法“大数据现象”的原因分析

   “民主、自由、信任”的新型网络文化在全球蔓延,倒逼政府重新审视安全与自由的关系。在监控活动和恐怖袭击持续并存的大数据时代,偏向“国家主权模式”的美国和致力于“隐私保护模式”的欧盟之间的对立更加鲜明。美国和欧盟在数据跨境流动监管方面有着本质上的观念和范式之差,主要原因在于二者政治观念、文化传统和经济形态方面的差别。


美国政府国家利益至上的观念
1

      虽然美国的历史较短,但在相信数据、依靠数据进行理性分析并制定政策方面位居世界前列,“除了上帝,任何人都必须用数据来说话”的意识在美国社会根深蒂固。海量数据可以提高分析的精确性,预防网络攻击并预测未来。为了占据全球经济市场和政治生活中的控制地位,也为了预防愈发高明的犯罪攻击,美国需要源源不断的数据分析别国的社会发展形态。鉴于美国发达的通信系统和情报搜集手段,利于大型跨国企业控制的数据进行监控成为美国现在获得数据的主要途径。针对全人类的“巴黎9·11”恐怖袭击和“ISIS”事件发生后,美国对互联网社会的治理更加迫切,提出法案试图使监听合法化。这种以维护国家安全和利益为名牺牲个人隐私的行动在美国不是第一次,1941年珍珠港事件和2001年9·11恐怖袭击发生后美国发生过类似情况,然而由于美国民众普遍强烈的民主意识,美国政府的计划并未顺利进行。

     棱镜门事件曝光后,为了平息国内外民众的愤慨缓解信任危机,美国颁布了一系列法规:2014年,提出修正1986年《电子通信隐私法》,颁布《国家网络安全保护法》明确数据泄露通知政策;2015年3月,通过《消费者隐私权法案(草案)》和《美国自由法案》。在跨境数据的保护方面,2014年6月,美国司法部部长承诺将1974年《隐私权法案》扩展到欧盟,加强跨大西洋之间的合作。美国最近两年出台的个人数据保护立法,不仅是平息民众的权宜之计,也体现了美国对民权的关注。然而,相比隐私和自由,特定历史背景下,美国政府更致力于扩大监控以维护国家主权和安全。2015年《网络安全信息共享法案》允许政府分享企业的网络安全威胁信息,表面看来,这是为了增加预防攻击的能力避免威胁和侵害,实际是从国家利益出发,获得更多的数据控制权。此法案一经通过立刻引起苹果、推特、Facebook、谷歌等企业的公开反对,认为这会导致企业失去信任影响其商业发展。欧盟《安全港协议》的废除,逼迫美国大型跨国科技公司调整政策,删除相关个人数据,已经对其运营和收益都产生了负面影响,该法案的出台无疑会雪上加霜。

    美国的监听历史由来已久。早在1978年,美国就通过了《外国情报监听法案》,界定了情报机构监听的对象和场所。但在反恐战争持续进行的2008年,美国修订此法案,扩大了监听权利,规定只需有合理理由(超过51%的概率) 相信监听对象在美国境外,情报机构便可实施监听。棱镜门事件和《网络安全共享法案》的出台充分显示了美国对待跨境数据流动的态度,相比个人数据安全而言,美国政府更加重视国家利益,重视网络攻击的预防和其霸主地位的维持,这也是欧盟废除《安全港协议》,导致欧美数据跨境立法冲突加剧的重要原因。

欧盟尊重个人自由的传统
2

     欧盟的个人数据保护立法一向处于国际前沿领域,欧盟95指令就强调数据主体的知情同意和控制者的透明度,成为欧盟个人数据保护历史的里程碑,也对全球立法产生深远影响。2007年的《欧盟基本权利宪章》第8条明确指出“人人均有权享有个人信息之保护”,将个人信息保护作为公民的基本人权。为了建立统一的内部法律框架应对新技术的发展,并克服成员国立法保护水平差异给数据经济市场发展造成的障碍,2016年欧盟正式通过《一般数据保护条例》(以下称GDPR),提出一系列更为严格的数据保护规则,将提供跨境服务的企业纳入规制范围,扩大了对数据跨境流动的监管范围。该条例开创性的引入被遗忘权,更是震动各国政府和产业界,引起了大数据时代世界各国隐私保护的示范效应,2015年7月15日俄罗斯通过的《联邦法律第264-FZ号》,就赋予公民类似的被遗忘权。欧盟在GDPR中强调,“该数据保护框架依赖执法。个人应当有能力控制自己的数据,法律和实践对于个人应当具有确定性”。随着数据流转中个人数据控制权的削弱,欧盟加紧推进被遗忘权的实际执行力。

     2014年5月,欧盟法院通过“被遗忘权”的裁决,判决搜索引擎必须遵守隐私,移除公民请求删除的相关链接。2015年11月27日,谷歌发布声明将删除一切用于研究目的的数据,以响应欧盟法院的裁决,并满足用户透明度的要求。据估算,谷歌使用了约1235473 URLs来满足348508份移除信息的请求,其中绝大多数都是从其研究报告中移除的。Facebook,YouTube,Badoo等知名网站也做出了类似调整。

    美国对个人的保护侧重于隐私,但1974年颁布的《隐私权法案》没有明确提出隐私的概念,以“个人记录”替代。美国的海关与边境安全保护局可以出于国家安全的需要,搜查个人携带的手机、电脑、硬盘等各种设备乃至里面的内容记录,这在欧盟国家中是没有发生过的。欧盟95指令已经明确界定了个人数据,GDPR中又扩大了个人数据的保护范围,更是加入“个人数据违反”等新概念,对“基因数据”和“生物特征识别数据”给予特殊保护。同时,欧盟还出台《欧洲议会和理事会关于数据保护主体在主管当局为了预防、调查、侦查或起诉刑事犯罪或执行刑事处罚时对个人数据的处理和数据自由流动指令的提议》,作为GDPR的补充和辅助法案,为个人数据构筑更实际的安全屏障。

监控项目曝光加剧立法冲突
3

     欧盟的最初成立是为了制约美国政治上的全球扩张,但又在经济上过分依赖美国,这种冲突和暗合在网络战争中迅速扩大。《安全港协议》的废止使网络立法战争达到了历史巅峰,使得美欧之间的对立明面化,国际局势也深受影响。美国凭借技术上的优势和遍布全球的情报网无视国际社会的共同准则,对《安全港协议》的七大原则表面遵从,实则漠视。“棱镜门”、“主干道”、“码头”、“核子”等四大监控项目暴露了美国占有数据的野心,使得欧美之间的控制与反控制矛盾激化,双方对个人数据保护的不同价值观分歧更加严重。为了限制美国科技巨头将跨境数据交至国家安全局,降低监控给欧盟公民带来的不良后果,欧盟加快推动实施被遗忘权。在“得数据者得天下”的新信息时代,对跨境数据的收集和分析是掌握国际经济动向和政策布局的主要方式,欧盟的新政策势必对“循数管理”的美国产生负面影响,也导致二者的数据跨境立法冲突加剧。

     美国监控项目曝光导致欧美之间产生嫌隙,欧盟对互联网巨头向美国提供数据颇为不满,认为他们将美国法律置于欧盟公民的基本权利之上,这无疑是对欧盟立法的漠视。为了缓解监控项目给美国国家战略和政策带来的强烈冲击,美国先后通过《美国自由法案》和《消费者隐私法案(草案)》,承诺会对大规模监控项目实施改革,赋予公民更多隐私权。但奥巴马政府的承诺并未付诸实施,反而以反恐、防止黑客等事由为监控项目辩护。在《安全港协议》废止之际通过的《网络安全信息共享法案》,更是以减轻网络安全威胁名义企图将高强度的监控合法化,引起跨国企业的不满甚至美国国土安全部的反对,更使得欧美关系雪上加霜


5

大数据环境下我国数据跨境监管的立法应对

    近几年,我国也开始进行大数据发展策略的顶层设计,2015年8月19日,国家层面的《关于促进数据发展的行动纲要》正式通过,为全面推进我国大数据发展和应用,加快建设数据强国提供了行动纲要。2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》,提出了关键信息基础设施领域数据跨境的安全评估制度,其中第三十七规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”《网络安全法》被定位为我国网络空间保护的基本法和综合性保障法,本条内容表明并确立了我国对待数据跨境问题的基本立法态度。然而,目前我国关于数据跨境流动的“底层”法律较为零散,总体是严格限制个人数据(2013年《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.4.5节),尤其是敏感数据的跨境流动(2015年《关于加强党政部门云计算服务网络安全管理的意见》第2条),并倾向于在境内建立数据中心。对于国家秘密,严格限制出境,包括邮寄、托运等行为都会收到刑事责任的追究(2010年《保守国家秘密法》第48条);对于个人金融和健康信息,也实行严格的禁止出境的监管制度(2011年《关于银行业金融机构做好个人金融信息保护工作的通知》第6条);为政府提供服务的信息技术服务是关系国计民生的关键行业,要求通过这些服务产生的数据留存在境内(2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》),我国力图通过数据本地化留存避免跨境数据可能产生的国家安全和个人隐私风险。在数据跨境流动作为经济引擎的大数据环境下,这种保护措施会加剧信息不对称现象,从而影响我国的国际竞争力。

     构建“网络空间命运共同体”,搭建互联互通、共享共治的网络社会治理平台,不仅是我国信息化发展的战略诉求,也是预防数据跨境流动中攻击事件和降低风险的有效手段。随着“数据网”在世界范围内的逐渐形成,“国际话语权”的争夺日益激烈,美欧之间的冲突也不断升级。观察大数据环境下欧美对数据跨境的立法态度,剖析两者冲突的原因,可以明确我国至少应完善以下方面的立法:

    第一,明确管辖权和国际执法地位。数据跨境流动导致信息的存储与权限边界极为模糊,尚未解决的国际管辖权问题日益凸显。美国的《网络安全信息共享法案》403条明确美国对“国际网络罪犯”的管辖,在跨境数据流动中对:被认为参与了侵犯美国或美国公民利益,且已由美国法官签发逮捕令;或者已经被国际刑警组织进行国际通缉的网络罪犯具有逮捕和起诉权。我国的网民和数据流量都冠于全球,数据的资产价值越发凸显,但数据占有和使用相分离的状态削弱了数据主体对数据资源的控制力。为了国家主权和个人数据安全,应尽快明确数据跨境纠纷的管辖权和执法地位。

    第二,提升法律的可操作性。现阶段,我国有关“数据本地化”和个人数据保护的立法不成系统,散见于《宪法》《刑法》《国家安全法》等法律法规中。然而,现有条款的最大弊端便是缺乏操作性,由于法律执行缺乏细化和监督,企业的遵从意识较差。实践中,我国的数据跨境和个人数据保护立法的可操作性与欧盟相去甚远,不仅立法需要完善,法律的可操作性更待提升。应该有专门机关对企业的个人数据保护政策进行审计和评估,促进企业对立法的认同和接受,并制定相应的处罚措施激励其完善相关策略。

    第三,加强国际协作。法律的天然滞后和延迟响应使其遥遥落后于科技创新,不同国家间的技术水平、文化制度、意识形态等差异扩大了跨境数据流动法律水平的差距,网络社会的互通互联决定了各国必须加强沟通协作才能有效控制安全威胁。国际组织一直以来都重视跨境数据流动的安全和风险应对,早在1980年经济合作发展组织就提出了《保护个人信息跨国传送及隐私权指导纲领》,亚太经济合作组织则历时十年构建了跨境隐私规则体系。泛在的数据跨境流动淡化了地缘边界,恐怖袭击和黑客攻击遍布全球。我国应该秉着合作共赢的态度和构建“网络空间命运共同体”的目标,加强国际协作,完善数据跨境流动相关立法,提高满足国际社会期望的个人数据保护能力,消除企业在国际市场竞争中的不利地位。

6

结 语

     在新技术奔腾、新应用爆炸的数字时代,单纯的个人分享信息的“认知盈余”时代已经被淹没在数字洪流中,取而代之的是跨国界、跨区域的数据流动和共享。打击恐怖袭击、网络黑客等成为国际社会的核心,美国企图利用海量数据和信息社会“老大哥”的地位监控全球,增加了跨境数据的复杂性和不可控特征,使得各国的立法行动和态度更为审慎。隐私权是现代社会文明进步的象征和大数据时代“数字公民”的价值观,跨境数据的保护则是维护各国开放、交流、共享格局,构建全球网络空间命运共同体的基础。在互联、协作、开放和共享成为主题的时代,如何加强国际合作,提高信息弱国的技术水平,增强数据流动性缩小数据鸿沟;如何寻求有效措施应对恐怖袭击对全球网络治理空间的挑战;如何化解政府威权机制对跨境数据的威胁,平衡安全和隐私的关系成为国际互联网持续健康发展亟需解决的难题。

作者简介:

黄道丽,西安交通大学法学院博士研究生;公安部第三研究所副研究员

何治乐,公安部第三研究所助理研究员

 本文发表于《情报杂志》2017年第4期,转载已获作者授权。为编辑需要,已隐去脚注和参考文献。