美国著名政治学者小约瑟夫·奈在《理解国际冲突:理论与历史》一书中指出,一场信息革命正在改变世界政治,处于信息技术领先地位的国家可攫取更大的权力,相应地,信息技术相对落后的国家则会失去很多权力。数据跨境流动不仅仅是传统上个人隐私保护的问题,还牵涉商业层面是企业之间跨境贸易和企业走出去的问题,而数据流通的基础规则,在很大程度上决定了国际贸易的规则,牵涉国家安全和国家主权。
目前,国际上对跨境数据流动没有统一的界定。从国际组织以及其他国家对跨境数据流动的管理与制度来看,主要有两类理解:一是数据跨越国界的传输和处理;二是数据虽然没有跨越国界,但能够被第三国的主体访问。跨境数据流通机制的总体原则是,数据在国外主体处受到的保护程度,不低于在国内保护的程度。
在数字贸易环境下,跨境数据流动成为重要的推动因素,对全球经济的发展起到重要作用。2014年,麦肯锡全球研究院发布报告《数字时代的全球流动:贸易、金融、人和数据如何连接全球经济》,指出全球的五流(商品、服务、金融、人员和数据)正在不断增长,对全球GDP增长的贡献为每年2500亿至4500亿美元,相当于全球经济增长的15%至25%。报告指出,与连通性较低的经济体相比,连通性较高的经济体获得的收益最多高出40%。美国作为全球数字贸易最发达的国家,得益于数据的跨境流动。据美国国际贸易委员会(ITC)估计,数据流动使得美国的GDP增加了3.4至4.8个百分点,同时创造了240万个就业岗位。
麦肯锡公司的数据显示,单就数据流动而言,数据联通最强的都是发达国家,而且多数为西方国家。荷兰是欧洲互联网流量的中心,排在第一位,接下来为德国、英国、法国、瑞典、新加坡和美国。不过,欧洲除外的每个洲消费的超过一半的数字化内容是美国生产的,美国作为全球数字化网络的中心受益匪浅。
最典型的框架是亚太隐私保护规则体系(CBPRs),该体系对我国的影响也比较大。
2011年,亚太经合组织(APEC)建立跨境商业个人隐私保护规则体系(CBPR),由获得认可的评估机构对商业机构保护个人隐私与信息的水平进行认证并公布,企业可自愿参与。美国为保障自身安全、最大化自身经济利益积极加入CBPR,极大提升了CBPR的国际影响力,使CBPR未来可能成为地区主导的跨境数据流动框架。
CBPRs从国家层面来看,是非约束性的体系。国家推出责任代理机构,由它认定各个国家的企业是否遵循了CBPRs的体系,如果遵循的话,在企业加入这个体系以后,企业和企业之间可以进行数据的自由交换。2015年8月底CBPRs和欧盟BCR(欧盟企业之间约束性企业规则)的起草单位就双方融合之后的可行性进行了探讨,一旦体系互认以后会具有非常广泛的覆盖性。
BCR和SCC(标准合同条款)国际上用的最好的协议规则,尤其是BCR比较成熟,企业用起来比较灵活和方便。标准格式合同管理模式即由政府对跨境数据处理合同条款中应当包含的安全管理内容进行规定。例如,在欧盟,由数据保护主管部门制定标准格式合同条款,在条款中依据数据保护法的原则纳入数据保护的要求,企业之间签订的跨境数据流动处理合同如果包含了格式合同的条款,则无需经数据保护主管部门同意即可实现跨境数据流动。
跨境数据流动是一个国家间问题,各国正积极争取获得重要贸易伙伴国的数据保护认证。例如,美国与欧盟之间曾长期履行“安全港”协议,承诺遵守“安全港”协议的美国企业能够获得数据保护“充分性”的认定,获得处理来自欧盟成员国数据的资格。该协议确认安全港隐私原则及附属条款对个人数据的保护达到了欧盟的充分保护要求。
“2013年,美国监控丑闻曝光,欧盟成员国数据保护机构纷纷质疑安全港协定;于是,2014年1月,欧盟和美国开始启动谈判,磋商新的数据跨境协定,以取代当时还有效的安全港协定。2015年10月6日,欧盟法院一纸判决否决了安全港协定,数千美国企业跨大西洋转移欧盟公民个人数据失去庇护。11月6日,欧洲委员会发布指南,在督促尽快达成新协定的同时,为保障跨大西洋转移个人数据提出其他可选方案,包括合同方案和有效公司规则。2016年2月2日,欧洲委员会宣布,双方已经达成一个新协定,名曰“欧盟-美国隐私护盾”(EU-SU Privacy Shield)。2月29日,隐私护盾公之于众。”
同安全港一样,隐私护盾也包含七大隐私原则,但是内涵要比安全港隐私原则丰富。
表1:隐私护盾七大隐私原则
此外,巴西、新加坡、墨西哥等国家为融入跨境数据流动国际协作也加快了本国数据保护立法和加入国际认证机制的进程。美国构建全球隐私保护执法网络(GPEN),目前认同程度不高,成效还有待观察。
分级分类管理政策
就跨境数据流动安全管理总体框架而言,目前世界各国尚无统一制度,但一般的通行思路都是对不同数据采取分级分类管理,并有针对性地采取不同的保护措施,确保跨境数据流动不得危及公民权益和国家安全。
一是重要的数据禁止跨境流动。例如,俄罗斯通过法令,要求本国公民信息必须存储在俄罗斯境内;澳大利亚规定安全等级较高的政府数据不能存储在任何离岸公共云数据库中,而必须存储在具有较高安全协议的私有云数据库中;韩国《信息通信网络的促进利用与信息保护法》第51条规定,政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过通信网络向国外流动。二是政府和公共部门的一般数据和行业技术数据有条件的限制跨境流动。例如,澳大利亚将政府信息分级,要求对其中的非保密信息也必须经过安全风险评估后才能实施外包。三是普通个人数据允许跨境流动,但需要数据流入国满足一定安全认证要求。目前多个国家都参与了数据跨境流动的国际或国家间认证,为本国数据流出和接受他国数据流入搭建通道。
美国等制度较为成熟的国家,其跨境数据流动管理思路紧密围绕本国的核心利益。以美国在TPP贸易协定谈判中提出的知识产权条款为例,美国为保护其文化产业,将其《千禧年数字版权法案》中严格的知识产权侵权责任条款照搬进TPP谈判中,主张允许知识产权人追踪互联网服务提供者为用户所提供的音视频、图片等信息产品。在欧盟,根据1995年《数据保护指令》,在实施数据处理之前,数据控制者应当向监管机构报告;对可能给数据主体的权利和自由带来特殊危险的数据处理行为在实施之前进行审查。
立法与配套手段建立
目前国际上主要存在两种跨境数据流动的权责模式:
一是知情同意模式,欧盟、日本、俄罗斯等大多数国家都规定,收集数据时必须取得数据提交人的明示同意,以作为后续数据流动的必要条件,强调数据提交人的知情权。
二是目的限制模式,如美国法律规定,数据收集后的再利用必须秉持正当目的,强调通过数据利用的具体情境判断数据流动的合法性。
跨境数据流通的主要合法性机制除国际框架和协议之外,还包括充分性认定、当事人同意、企业自我评估及数据本土化等思路和机制。
充分性认定以欧盟为例,欧盟有自己的法律规定就是数据要流通到资料保护充分的国家和地区,目前认定的有加拿大、阿根廷等,但是这个认定非常局限,认定的国家的法律模式都是遵循欧盟而来的。
当事人同意是合法的,但当事人可以随时撤销,认定充分性有很高的门槛。在网络条件下没有达到充分性,经常有可能被撤回,对企业来说是非常不划算的,这是风险非常高的机制。
企业自我认证和自我评估以英国为例,英国数据保护机构ICO出台了一个隐私保护的指导方案,企业可以进行自我评估,评估数据流通的状况是否符合国际上遵循的标准,如果自我评估良好的话,可以对对方国家进行认证和证明,然而欧盟层面不赞同这个机制。安全评估认证制度主要是指数据控制者在将数据转移至境外前,要对数据安全风险进行评估或者认证。从目前来看,风险评估主要是针对政府和公共部门的数据转移至境外的情况。根据《澳大利亚政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》所述,澳大利亚的政府信息分为几个层级。其中对于非保密的信息,要求政府机构须经安全风险评估之后才能实施外包。
推行非强制性管理手段弥合制度差异。欧盟为建立统一市场,消除各成员国既有制度对跨境数据流动形成的阻碍,采取了一系列非强制性的管理手段,创造一个尽可能统一的法制环境。此类制度虽然不具备强制性,但采纳实施的国家或企业将获得数据流动方面的便利。这种管理手段也被其他国家逐渐接受,成为跨境数据流动监管方面的典型制度。
流动限制之利弊
目前对跨境数据流动的限制,主要是两个方面,一是要求在境内建设数据中心;二是要求数据必须存储在境内。一些国家将企业在境内建立数据中心作为允许其开展服务的条件之一。越南在2013年发布法令,要求所有的互联网服务提供者,例如Google、Facebook等公司在境内建设至少一个自己的数据中心。巴西也在2013年开始制定政策,要求Google、Facebook等公司在境内建立数据中心。印度政府要求公司须将部分IT基础设施放在境内,给检察部门用于访问加密信息。马来西亚已经通过了一个要求设置本地数据服务器的立法。除此以外,俄罗斯、委内瑞拉和尼日利亚也制定了相关立法,要求用于处理支付信息的IT基础设施在境内存放。
大多数国家除了前述数据中心本地化的要求以外,还要求数据在境内存储。表2对这些国家的做法进行了梳理。
表2:部分提出数据本地存储要求的国家的做法
2014年,欧盟国际政治经济中心(ECIPE)通过研究,模拟了跨境数据的影响,结果显示,在短期来看,限制跨境数据流动将会对GDP的增长造成影响。例如巴西从2.3%降低到1.5%,印度从4.4%降低到3.6%,印尼从5.8降低到5.1%,韩国从2.8%降低到1.7%,欧盟从﹣0.5%降低到﹣1.6%。同时,数据中心对能源需求较大,根据美国的预算,数据中心会消耗2%的能源供应,并且这个比例还在上升。一旦出现能源短缺或者黑客攻击等安全事故,导致境内数据中心瘫痪,将无法有效利用境外资源。特别在发展中国家,信息通信领域的技术和设施还相对落后,因此构建数据中心的成本可能高于其他国家,要求企业只能使用国内数据中心可能造成企业的成本增高。表3分别对数据跨境流动进行限制的利弊进行了总结。
表3:对跨境数据流动进行限制的利与弊