前沿 | 数据跨境流动治理的立法实践
2024-2-6 16:40:0 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 中南财经政法大学法学院国际法学博士 高峰
随着数字经济全球化的浪潮袭来,海量数据在全球互联网中跨境传输,数据跨境流动正日益成为促进跨境贸易增长、投资增长的重要引擎。然而,数据跨境流动在给全球各国带来经济收益的同时,也带来了一定的安全风险。
数据的跨境流动关乎国家利益、数字产业利益及风险控制三者之间的动态平衡。当国家选择宽松的数据跨境流动政策时,虽然有助于数字技术产业发展,但是有可能损害本国的国家安全利益。反之,严格的数据跨境流动政策则在一定程度上有碍于国家的数字经济发展。域外立法实践表明,大部分国家及国际组织倾向于对数据跨境流动采取限制措施。

欧盟的立法实践

欧盟注重个人数据的保护,在一定程度上限制数据跨境流通。《通用数据保护条例》(以下简称《条例》)是欧盟近半个世纪以来个人数据保护制度的重要成果,是欧盟个人数据保护标准最高的法规。从1981年《个人数据自动化处理中的个人保护公约》、1995年《数据保护指令》,到2018年《条例》的相关条款可以看出,欧盟的数据法律制度从抽象的原则演变为具体的规则,法律效力也由弱转强。《条例》中的充分性认定机制与充分性保障机制在协调成员国数据立法上迈进了一大步。

充分性认定机制是指,只有第三国、国际组织对数据流动提供充分保障并且得到欧盟委员会认可时,才允许个人数据从欧盟境内向境外转移。根据《条例》第45条规定,充分性认定的实体标准包括但不限于以下三项:有效的数据保护体系;有效的数据保护监管机构;国际义务的履行。在这三项标准中,第一项标准的自由裁量空间非常之大。欧盟委员会可以依据欧盟的价值观,来评估第三国的数据保护体系。第一,第三国的数据保护体系囊括的范围十分广泛,既包括正式的法律渊源(如法律规范),还包括非正式的法律渊源(如专业规则)。此外,不限于数据相关的法律规范,还包括国家安全、刑法领域的法律规范。第二,欧盟委员会在评估第三国数据保护体系时,需考察其法治水平、尊重人权与基本自由的情况,如数据主体权利能否得到行政机关和司法机关的有效保护与救济。第三国仅仅在立法层面存在数据保护的规定远远不够,还需要设立独立且有效运行的监管机构保障数据规则的实施,并且与欧盟成员国的监管机构合作。这也是第二项标准的要求。就第三项标准而言,第三国加入与个人数据保护相关的国际条约是重要考量因素。
充分性认定机制是一种整体审查机制,通过对域外国家或国际组织的数据保护标准进行全面审查,认定其能否提供与《条例》相当的数据保护标准。这种充分保护标准只要求实质相当,不苛求在法律制度方面完全一致。只有在第三国或国际组织符合充分性认定标准的前提下,欧盟才将其纳入“白名单”。目前,欧盟认可的“白名单”国家或地区共有15个,包括韩国、阿根廷和新西兰等。在具体实践中,认定结果并非一成不变,欧盟委员会将会对“白名单”国家进行持续审查与监控,每四年进行一次,并在不符合要求的情形下废止此前的认定结果。
充分性认定机制与充分性保障机制的适用存在先后顺序。前者是境外国家首选的评估方式。对于无法满足前者要求的国家,可以通过充分性保障机制将个人数据传输至欧盟境外。充分性保障机制包括标准合同条款与约束性公司规则。
标准合同条款是一种由欧盟委员会预先批准的合同模板。若欧盟和第三国的企业之间传输数据,应事先签订此种合同。合同签订之后,意味着第三国的企业已经在法律层面承诺达到《条例》规定的数据保护标准。标准合同条款的价值在于合同义务的标准化,以合同义务形式来确定《条例》中的个人数据保护标准。最新版本的标准合同条款进一步细化《条例》中数据控制者和数据处理者的权利义务,这有助于提升《条例》中数据跨境传输规则的现实可操作性。
约束性公司规则是一种便利不同主权国家管辖的大型跨国公司的法律机制。位于欧盟境内的跨国公司总部、子公司或者分支机构只需要向相应成员国的数据保护机构提交文件,申请加入约束性公司规则,并且作出接受管辖的承诺,就可以免去每次签订标准合同条款的负担。在法律责任的承担上,《条例》第42条规定,若欧盟境外的公司成员违反了约束性公司规则,欧盟境内的公司成员应作为责任承担者。这有助于保证数据主体的权益可以获得充分、及时的救济。

美国的立法实践

美国采取“宽流入、严流出”的数据跨境流动措施。凭借在信息技术领域与国际经济市场的优势地位,美国在国际层面主张“网络自由”“全球公域”原则,并且通过贸易谈判等方式陆续与其他国家或区域性组织达成自由贸易协定,明确提出禁止数据本地化措施,推动数据在全球自由流动。

早在《美国-韩国自由贸易协定》《跨太平洋伙伴关系协定》中,美国就意识到数据跨境流动有助于促进贸易发展,并且强调缔约国应尽量避免对数据跨境流动施加不必要的限制。之后,美国在与欧盟的《跨大西洋贸易与投资伙伴关系协定》谈判中,同样主张减少双方的数据流动壁垒,并实行趋同监管。此外,美国一直倡导其他国家采用亚太经济合作组织的《跨境隐私保护规则》,声称该规则对成员国造成的负担较小且能够达到保护个人隐私的目标,以此推动成员国采用较低的保护标准。最新达成的《美国-墨西哥-加拿大协定》同样延续着禁止数据本地化措施的规定。
然而,美国在国内法层面上,却规定了十分严格的数据流出措施。美国先后颁布《金融服务现代化法案》《国际武器贸易条例》《出口管理条例》及其他专业领域的法律法规,进行数据分类管理。《出口管理条例》规定,与美国境内技术相关的数据出口应当申请并经过法定机关认可。不仅如此,美国专家组需要区分数据的类型以及相应国家的等级,禁止向特定国家出口。

俄罗斯的立法实践

俄罗斯采取严格的数据跨境流动限制措施。俄罗斯等信息技术发展中国家在科技领域处于弱势地位,因此始终以保障国家主权、抵御数据跨境流动的风险作为核心诉求,要求数据流动均在国内进行。

《俄罗斯联邦关于信息、信息技术和信息保护法》和《俄罗斯联邦个人数据法》是俄罗斯关于数据存储的两部立法。经过修改后,明确规定个人数据必须在本国存储与处理,严格限制数据跨境流动。在数据存储方面,《〈俄罗斯联邦关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》规定,网络数据运营者有义务在对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对之后的半年内,将这些信息数据存储于俄罗斯境内。在数据处理方面,《关于“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》对《俄罗斯联邦关于信息、信息技术和信息保护法》第16条以及《俄罗斯联邦个人数据法》第18条进行了修改,明确规定网络数据运营者需要保证使用俄罗斯境内的数据存储系统,才能对俄罗斯公民的个人数据进行收集、记录、整理、保存、核对和提取。这些修改在法律层面上确立了数据本地化留存与处理规则。
此外,与欧盟类似,俄罗斯实施“白名单”制度,严格限制数据流出。除了1981年《个人数据自动化处理中的个人保护公约》缔约国以及“白名单”确定的国家之外,其他国家的数据控制者或处理者需在满足一定条件下才可以将个人数据转移出境。其中,包括数据主体的书面同意、保护数据主体的生命利益、保护俄罗斯国家安全等条件。【本文系国家社会科学基金重大项目“国际私法视域下中国法域外适用的制度构建研究”(20&ZD203);国家社会科学基金一般项目“《中国国际私法典》涉外民事专属管辖权规则编撰”(23BFX148)的阶段性成果】

(来源:人民法院报)

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664204853&idx=3&sn=83d97b15e30f187a1c6e06067222a2c7&chksm=8b5988ccbc2e01dadc8ac8e0aae699ee0215372e234d00d2900155946c27dd460efb0008c565&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh