數(shù)據(jù)跨境流動(dòng)規(guī)制企業(yè)合規(guī)的法治保障
作者:何興馳 2021-07-29導(dǎo)語(yǔ)
從在美國(guó)的悄然上市,到應(yīng)用APP下架、勒令整改,“滴滴”事件所折射的多面鏡之中,“企業(yè)在跨境貿(mào)易中的數(shù)據(jù)合規(guī)”這一面應(yīng)當(dāng)有一席之地。在數(shù)據(jù)時(shí)代,跨境數(shù)據(jù)流動(dòng)對(duì)于我國(guó)在對(duì)外貿(mào)易及經(jīng)濟(jì)發(fā)展上有著重大意義,但因各國(guó)數(shù)據(jù)規(guī)制不同、數(shù)據(jù)立法紛繁復(fù)雜,我國(guó)企業(yè)在“走出去”時(shí)必然且已經(jīng)面臨種種法律風(fēng)險(xiǎn)。應(yīng)當(dāng)通過(guò)科學(xué)立法、完善監(jiān)管機(jī)制、強(qiáng)化企業(yè)主體保障個(gè)人數(shù)據(jù)安全的義務(wù)等方式解決這一迫在眉睫的經(jīng)濟(jì)發(fā)展問(wèn)題。
一、引言 數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)日益成為最重要的生產(chǎn)資料。數(shù)據(jù)資源的快速擴(kuò)張對(duì)全球經(jīng)濟(jì)產(chǎn)生了深遠(yuǎn)影響。始于20世紀(jì)70年代的跨境數(shù)據(jù)流動(dòng),[1]當(dāng)下已成為全球貿(mào)易和投資增長(zhǎng)的主要途徑。[2]根據(jù)學(xué)者對(duì)五個(gè)主營(yíng)業(yè)務(wù)板塊(電子商務(wù)、云計(jì)算、第三方支付、物流平臺(tái)、軟件服務(wù))的跨境數(shù)據(jù)流動(dòng)活動(dòng)進(jìn)行的田野調(diào)查和深度訪談,數(shù)據(jù)跨境流動(dòng)直接影響了其成本、收益、創(chuàng)新能力乃至實(shí)現(xiàn)商業(yè)模式的全球擴(kuò)張,以及幫助企業(yè)融入全球供應(yīng)鏈。[3]同時(shí),由于跨境數(shù)據(jù)流動(dòng)降低了企業(yè)貿(mào)易和交易的成本,使大量中小型公司幾乎和大型企業(yè)具有了同樣的國(guó)際貿(mào)易能力。在我國(guó)企業(yè)“走出去”的同時(shí),國(guó)外不少企業(yè)也紛紛來(lái)我國(guó)投資。在數(shù)據(jù)跨境問(wèn)題上,“走出去”和“引進(jìn)來(lái)”的企業(yè)都面臨必須滿足國(guó)內(nèi)外公權(quán)力機(jī)關(guān)依本國(guó)法所提出的數(shù)據(jù)收集、傳輸和使用等要求,即實(shí)現(xiàn)雙向合規(guī)。 然而由于網(wǎng)絡(luò)本身具有脆弱性,[4]數(shù)據(jù)接收國(guó)(輸出國(guó))的法律規(guī)制、社會(huì)環(huán)境不可控,如果缺乏法律約束機(jī)制,數(shù)據(jù)跨境后輕則侵犯?jìng)€(gè)人隱私,公司、企業(yè)遭受財(cái)產(chǎn)損失,重則泄露國(guó)家秘密、擾亂社會(huì)秩序甚至威脅政權(quán)。因此,完善數(shù)據(jù)立法、加強(qiáng)監(jiān)管等法治保障對(duì)于跨境數(shù)據(jù)流動(dòng)的規(guī)范和風(fēng)險(xiǎn)防范具有至關(guān)重要的作用,尤其對(duì)于保證我國(guó)在“走出去”過(guò)程中的企業(yè)合規(guī)經(jīng)營(yíng)意義不可低估。 二、 “走出去”所應(yīng)對(duì)的跨境數(shù)據(jù)流動(dòng)規(guī)制法律風(fēng)險(xiǎn)大 (一)跨境數(shù)據(jù)流動(dòng)規(guī)制各國(guó)立法紛繁復(fù)雜 雖然全球規(guī)制與引導(dǎo)跨境數(shù)據(jù)流動(dòng)的統(tǒng)一規(guī)則尚未形成,據(jù)不完全統(tǒng)計(jì),在全球總計(jì)231個(gè)國(guó)家(地區(qū))中,已經(jīng)有超過(guò)135個(gè)國(guó)家(地區(qū))出臺(tái)數(shù)據(jù)保護(hù)法,其中大多數(shù)有跨境數(shù)據(jù)流動(dòng)法律或政策,[5]但毋庸置疑,現(xiàn)有的規(guī)則仍主要以歐美為首的發(fā)達(dá)國(guó)家所引領(lǐng)。 歐盟關(guān)于個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的立法體系主要由1981年歐洲理事會(huì)的《與個(gè)人數(shù)據(jù)自動(dòng)化處理有關(guān)的個(gè)人保護(hù)公約》(EuropeanTreatySeries,No.108)、[6]1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》(EUDirective95/46/EC)[7]以及2016年通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtectionRegulation)(以下簡(jiǎn)稱GDPR)[8]三個(gè)標(biāo)志性法律文件構(gòu)成,從而確立其嚴(yán)格限制個(gè)人數(shù)據(jù)跨境流動(dòng)的規(guī)制體系;[9]而美國(guó)則主要通過(guò)與歐盟簽訂雙邊協(xié)議、借助亞太區(qū)域經(jīng)濟(jì)合作推廣自身的兩種方式確立了雙邊或多邊協(xié)議強(qiáng)化數(shù)據(jù)跨境的規(guī)制體系。[10]兩種體系所對(duì)應(yīng)的價(jià)值取向大致可概括為:歐盟更為強(qiáng)調(diào)個(gè)人數(shù)據(jù)的保護(hù),美國(guó)則奉行以市場(chǎng)為主導(dǎo)、以行業(yè)自律為中心來(lái)保護(hù)個(gè)人數(shù)據(jù)。 在各國(guó)跨境數(shù)據(jù)流動(dòng)法律、法規(guī)的歷史根源、立法模式、規(guī)制方式以及司法確認(rèn)都各不相同、數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不統(tǒng)一這一大背景下,我國(guó)企業(yè)“走出去”面對(duì)的法律風(fēng)險(xiǎn)是巨大的,如果企業(yè)事先對(duì)跨境數(shù)據(jù)法律風(fēng)險(xiǎn)準(zhǔn)備不足,事中對(duì)風(fēng)險(xiǎn)又不善應(yīng)對(duì),就可能會(huì)導(dǎo)致“走出去”后因觸犯當(dāng)?shù)赜嘘P(guān)數(shù)據(jù)傳輸?shù)南拗菩砸?guī)定而遭受巨額罰款。 (二) 我國(guó)與他國(guó)之間存在數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突 自2013年起,中國(guó)超過(guò)美國(guó)成為世界上最大的貿(mào)易國(guó),并稱是國(guó)際貿(mào)易的“里程碑”事件。[11]在國(guó)際貿(mào)易實(shí)踐中,國(guó)外監(jiān)管機(jī)構(gòu)可能會(huì)依照監(jiān)管職能或調(diào)查權(quán)限,要求我國(guó)相關(guān)企業(yè)提供中國(guó)法律法規(guī)規(guī)定限制跨境傳輸或不可披露的特定類型數(shù)據(jù),這樣一來(lái)便會(huì)與中國(guó)法律法規(guī)發(fā)生正面沖突。其典型案例為美國(guó)證券交易委員會(huì)(SecuritiesandEx-changeCommission,以下簡(jiǎn)稱SEC)要求中國(guó)五家會(huì)計(jì)師事務(wù)所提供在美上市公司審計(jì)底稿一案。2012年12月3日,SEC起訴德勤等四大會(huì)計(jì)師事務(wù)所,外加立信大華的會(huì)計(jì)師事務(wù)所拒絕提交中國(guó)客戶的審計(jì)文件。聲明調(diào)查這些數(shù)據(jù)是為了配合調(diào)查在美國(guó)涉嫌欺詐的中國(guó)概念股。[12]但我國(guó)法律法規(guī)規(guī)定實(shí)行檔案、審計(jì)底稿保密制度。目前該制度有進(jìn)一步加強(qiáng)的趨勢(shì),根據(jù)原《中華人民共和國(guó)檔案法》《注冊(cè)會(huì)計(jì)師法》等法的規(guī)定,2016年7月財(cái)政部、國(guó)家檔案局制定了《會(huì)計(jì)師事務(wù)所審計(jì)檔案管理辦法》,其第13條規(guī)定“會(huì)計(jì)師事務(wù)所對(duì)審計(jì)檔案負(fù)有保密義務(wù),一般不得對(duì)外提供......”[13]2017年3月新修訂的《中華人民共和國(guó)檔案法實(shí)施辦法》[14]第18條進(jìn)一步加強(qiáng)了對(duì)檔案出境的嚴(yán)格限定。2014年1月23日,SEC行政審判法官卡梅倫·埃利奧特(CameronElliot)用長(zhǎng)達(dá)112頁(yè)的判決,對(duì)四大會(huì)計(jì)師事務(wù)所中國(guó)所作出初審判決:暫停其在美國(guó)的業(yè)務(wù)6個(gè)月。[15]2014年2月,四大會(huì)計(jì)師事務(wù)所中國(guó)所就SEC的判決正式提出上訴。在長(zhǎng)達(dá)12天的聽(tīng)證會(huì)和一年的談判后,四大會(huì)計(jì)師事務(wù)所中國(guó)所與美國(guó)SEC達(dá)成和解。[16]根據(jù)和解協(xié)議,每家會(huì)計(jì)師事務(wù)所同意支付50萬(wàn)美元,并承認(rèn)在2012年對(duì)其提起訴訟之前并未出示任何文件。[17] 上述案例表明,我國(guó)“走出去”企業(yè)面臨跨境數(shù)據(jù)流動(dòng)規(guī)制的法律風(fēng)險(xiǎn),不僅來(lái)自數(shù)據(jù)輸出國(guó)限制數(shù)據(jù)收集、傳輸和使用的立法,也來(lái)自其行政監(jiān)管和司法訴訟實(shí)踐。 三、跨境數(shù)據(jù)流動(dòng)企業(yè)合規(guī)難的原因分析 企業(yè)在“走出去”的過(guò)程中所遭遇的跨境數(shù)據(jù)流動(dòng)規(guī)制合規(guī)難問(wèn)題,其原因是多方面的,既有網(wǎng)絡(luò)信息提供者拒不履行安全管理義務(wù)的因素,也存在越來(lái)越多的大數(shù)據(jù)公司非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù),頻繁惡意利用和買賣離境數(shù)據(jù)的情況,而各國(guó)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不一致,造成數(shù)據(jù)在全球范圍內(nèi)流動(dòng)缺乏安全可信的在線環(huán)境。從我國(guó)現(xiàn)狀分析來(lái)看,跨境數(shù)據(jù)流動(dòng)難主要的原因在于以下幾點(diǎn): (一)制度不完善,缺乏頂層設(shè)計(jì)之下的規(guī)范體系 2017年4月11日,網(wǎng)信辦發(fā)布《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》(舊辦法),同年,《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(征求意見(jiàn)稿)》發(fā)布,提出了詳細(xì)的個(gè)人信息和重要數(shù)據(jù)出境的安全評(píng)估流程、要點(diǎn)和方法。2019年6月13日,網(wǎng)信辦發(fā)布《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》(新辦法),將個(gè)人信息和重要數(shù)據(jù)出境的安全評(píng)估區(qū)別對(duì)待,并較舊辦法擴(kuò)大了個(gè)人信息出境的評(píng)估范圍,明確了個(gè)人信息出境的申報(bào)評(píng)估要求、申報(bào)材料、重點(diǎn)評(píng)估內(nèi)容等,就關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)出境提出了安全評(píng)估要求,對(duì)安全評(píng)估的責(zé)任主體、管理對(duì)象、管理要求等內(nèi)容進(jìn)行了限定。近年來(lái),國(guó)內(nèi)相關(guān)監(jiān)管部門也開(kāi)始留意和關(guān)注到數(shù)據(jù)境內(nèi)留存問(wèn)題,在金融、征信行業(yè)、網(wǎng)絡(luò)車行業(yè)、網(wǎng)絡(luò)出版和網(wǎng)絡(luò)地圖行業(yè)、醫(yī)療衛(wèi)生等特殊領(lǐng)域,都明確要求相關(guān)數(shù)據(jù)必須首先本地化存儲(chǔ)。比如2016年2月發(fā)布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》第8條要求,“網(wǎng)絡(luò)出版服務(wù)的相關(guān)服務(wù)器和存儲(chǔ)設(shè)備”必須存放在中國(guó)境內(nèi)。此外,還有民航、域名服務(wù)、人口健康等其他行業(yè),不一而足。 由上述法律和部門規(guī)章共同構(gòu)成的我國(guó)跨境數(shù)據(jù)流動(dòng)制度零亂而不系統(tǒng),僅有的一條法律規(guī)定過(guò)于簡(jiǎn)單,對(duì)哪些屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”、“重要信息”如何認(rèn)定、什么是“境內(nèi)收集信息”、[18]哪些情形屬于“境外提供”[19]都尚不明確。其余規(guī)定散落于若干行業(yè)管理規(guī)范中,制度位階層次頗低,可操作性和協(xié)調(diào)性不足。此外,我國(guó)《個(gè)人信息保護(hù)法》至今還未出臺(tái),個(gè)人信息保護(hù)呈現(xiàn)滯后性。 《網(wǎng)絡(luò)安全法》雖然在現(xiàn)有條件下加強(qiáng)和明確了個(gè)人信息保護(hù)方面的要求,作出了統(tǒng)一的基本性規(guī)定,卻缺乏具體的差別化執(zhí)行細(xì)則。無(wú)論是數(shù)據(jù)單向合規(guī)或是雙向合規(guī),首先都要有頂層設(shè)計(jì)下的系統(tǒng)規(guī)范體系,以全流程地引導(dǎo)、保證企業(yè)跨境數(shù)據(jù)流動(dòng)的規(guī)范性操作,減少企業(yè)合規(guī)的不確定性,降低企業(yè)的合規(guī)成本。 (二)機(jī)構(gòu)不明,缺乏獨(dú)立的數(shù)據(jù)跨境風(fēng)險(xiǎn)管理機(jī)構(gòu) 當(dāng)前,我國(guó)統(tǒng)一的個(gè)人信息保護(hù)法闕如,法律未確立獨(dú)立的數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu),數(shù)據(jù)保護(hù)領(lǐng)域存在執(zhí)法機(jī)構(gòu)不明、監(jiān)管職能不清等現(xiàn)實(shí)困境。由于長(zhǎng)期以來(lái)我國(guó)對(duì)數(shù)據(jù)保護(hù)采取“分行業(yè)監(jiān)管”的模式,各行各業(yè)的監(jiān)管部門僅在各自領(lǐng)域內(nèi)發(fā)揮監(jiān)督管理職能,相關(guān)監(jiān)管機(jī)構(gòu)各自適用法律條文不同,具體執(zhí)法標(biāo)準(zhǔn)也不統(tǒng)一,又沒(méi)有一個(gè)統(tǒng)一的最終監(jiān)督部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)。以金融信息和金融數(shù)據(jù)保護(hù)為例,中國(guó)人民銀行、中國(guó)銀保監(jiān)會(huì)分別出臺(tái)規(guī)范性文件,國(guó)家網(wǎng)信辦出臺(tái)規(guī)章,中國(guó)人民銀行、中國(guó)銀保監(jiān)會(huì)、中國(guó)證監(jiān)會(huì)以及國(guó)家網(wǎng)信辦四個(gè)部門之間監(jiān)管職責(zé)“打架”。再如消費(fèi)者保護(hù),市場(chǎng)監(jiān)管總局、中國(guó)人民銀行與中國(guó)銀保監(jiān)會(huì)的消費(fèi)者權(quán)益保護(hù)局、中國(guó)證監(jiān)會(huì)的投資者保護(hù)局之間權(quán)限劃分不清晰,各個(gè)行政執(zhí)法部門有時(shí)搶著執(zhí)法、監(jiān)管競(jìng)爭(zhēng);有時(shí)又互相推諉無(wú)人執(zhí)法,出現(xiàn)“多頭執(zhí)法”“重復(fù)監(jiān)管”和“監(jiān)管真空”并存的監(jiān)管失靈現(xiàn)象,導(dǎo)致侵犯?jìng)€(gè)人數(shù)據(jù)權(quán)益和企業(yè)商業(yè)秘密的行為得不到有效遏制。2017年6月1日開(kāi)始實(shí)施的《網(wǎng)絡(luò)安全法》賦予國(guó)家網(wǎng)信部門、工業(yè)和信息化部以及公安部執(zhí)法權(quán)。2019年1月至12月,中國(guó)網(wǎng)信辦、工業(yè)和信息化部、公安部和國(guó)家市場(chǎng)監(jiān)管總局四部門聯(lián)合開(kāi)展了App違法違規(guī)收集使用個(gè)人數(shù)據(jù)專項(xiàng)治理行動(dòng)。[20]雖然我國(guó)已經(jīng)將《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》列入2020年立法規(guī)劃,而對(duì)于各行業(yè)來(lái)說(shuō),目前只有短時(shí)間內(nèi)的清理整頓行動(dòng)在形式上為行業(yè)發(fā)展設(shè)立了一條合法與違規(guī)的紅線。從長(zhǎng)遠(yuǎn)來(lái)看,法定的獨(dú)立執(zhí)法主體的缺位無(wú)法形成長(zhǎng)效的執(zhí)法機(jī)制,以保護(hù)跨境數(shù)據(jù)流動(dòng)中的個(gè)人、企業(yè)乃至國(guó)家的數(shù)據(jù)權(quán)利;數(shù)據(jù)跨境企業(yè)也因?yàn)槿狈y(tǒng)一的管理者和執(zhí)法者,致使雙向合規(guī)難以保證。 (三)手段單一,缺乏完整健全的數(shù)據(jù)跨境執(zhí)法流程 從我國(guó)數(shù)據(jù)跨境領(lǐng)域來(lái)看,執(zhí)法與監(jiān)管的特點(diǎn)主要集中在以下幾點(diǎn)。第一,行政禁令多,綜合措施少。目前我國(guó)有關(guān)部門主要以單純行政禁令的方式,如2017年網(wǎng)信辦發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》,以及《評(píng)估指南(征求意見(jiàn)稿)》等規(guī)范性文件,要求企業(yè)將特定數(shù)據(jù)留存在本地,即使個(gè)人信息和重要數(shù)據(jù)確需出境,也必須遵循安全評(píng)估流程、要點(diǎn)和方法。[21]第二,運(yùn)動(dòng)式執(zhí)法多,常規(guī)性執(zhí)法少。自《網(wǎng)絡(luò)安全法》實(shí)施以來(lái),我國(guó)開(kāi)展了多項(xiàng)以國(guó)家網(wǎng)信辦牽頭的個(gè)人數(shù)據(jù)保護(hù)專項(xiàng)整治活動(dòng)。運(yùn)動(dòng)式執(zhí)法固然能夠整合不同部門監(jiān)管資源,在短期內(nèi)迅速提高監(jiān)管效率,打擊違法行為,規(guī)范市場(chǎng)秩序。但運(yùn)動(dòng)式執(zhí)法的單向一維性、倉(cāng)促性、滯后性、被動(dòng)性、整治結(jié)果的反彈性[22]以及可能存在的對(duì)法治安定和公平原則的破壞性等弊端,使得其監(jiān)管績(jī)效往往備受詬病。[23]第三,事后懲罰性執(zhí)法多,事前、事中預(yù)防性執(zhí)法少。事后執(zhí)法手段主要包括警告、停業(yè)整頓以及罰款等,且又處罰不嚴(yán),對(duì)涉事企業(yè)的實(shí)際處罰與事件的危害后果往往不相匹配,不僅未對(duì)違法違規(guī)企業(yè)形成有效震懾,而且導(dǎo)致公眾的數(shù)據(jù)安全意識(shí)普遍不強(qiáng)。 相比之下,歐盟在數(shù)據(jù)保護(hù)法案的全面規(guī)范之下,建立起覆蓋事前、事中、事后,形成有一系列配套措施的體系化、全方位監(jiān)管流程。歐盟于2018年大幅提升數(shù)據(jù)保護(hù)法令的處罰金額,GDPR對(duì)違反核心合規(guī)義務(wù)罰款的最高限額是上年度公司全球營(yíng)業(yè)額的4%或2000萬(wàn)歐元,而其他非核心合規(guī)義務(wù)的罰款最高限額為上年度全球營(yíng)業(yè)額的2%或1000萬(wàn)歐元。[24]2018年3月19日,F(xiàn)acebook導(dǎo)致5000萬(wàn)用戶信息泄露,也就是震驚世界的劍橋公司“竊取” Facebook用戶信息事件,扎克伯格先后多次出席美國(guó)和歐洲議會(huì)聽(tīng)證會(huì)并接受質(zhì)詢。歐美政府不斷對(duì)企業(yè)施壓使扎克伯格不得不放棄Facebook原有的商業(yè)模式,[25]于2019年確定以加密數(shù)字貨幣作為新的戰(zhàn)略突破口。相比來(lái)看,我國(guó)單一、簡(jiǎn)單的執(zhí)法手段已經(jīng)無(wú)法適應(yīng)大數(shù)據(jù)時(shí)代的監(jiān)管執(zhí)法,也無(wú)法反制外國(guó)對(duì)中國(guó)企業(yè)的過(guò)度監(jiān)管和不合理審查以及懲戒措施。 三、法治保障跨境數(shù)據(jù)流動(dòng)雙向合規(guī)的應(yīng)對(duì)路徑 (一)完善數(shù)據(jù)跨境流動(dòng)立法,提升法律的可操作性。 目前全球跨境數(shù)據(jù)流動(dòng)的統(tǒng)一規(guī)則尚未形成,現(xiàn)有規(guī)則主要以歐美為首的發(fā)達(dá)國(guó)家所引領(lǐng)。在這一國(guó)際格局下,我國(guó)在立法上的的應(yīng)對(duì)路徑應(yīng)是完善數(shù)據(jù)跨境流動(dòng)相關(guān)立法,提升法律的可操作性。 不論是歐盟范圍內(nèi)還是歐盟與美國(guó)之間已經(jīng)實(shí)現(xiàn)的數(shù)據(jù)跨境流動(dòng),都是在一定法律框架或相關(guān)規(guī)范下進(jìn)行的,我國(guó)的數(shù)據(jù)跨境流動(dòng)也需要完善的法律制度提供保障。2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》雖首次對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸從法律層面上進(jìn)行了規(guī)定,但卻未明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護(hù)措施,只是授權(quán)國(guó)務(wù)院制定。因此后續(xù)國(guó)務(wù)院應(yīng)當(dāng)加快推進(jìn)與網(wǎng)絡(luò)安全法相配套的法規(guī)制定。 在法律的價(jià)值取向方面,由于對(duì)數(shù)據(jù)跨境流動(dòng)的管控上必須考慮到數(shù)據(jù)跨境流動(dòng)是互聯(lián)網(wǎng)和大數(shù)據(jù)發(fā)展的必然要求,因此不能一味地追求數(shù)據(jù)本地化政策。從各國(guó)的數(shù)據(jù)立法來(lái)看,嚴(yán)格追求數(shù)據(jù)本地化政策的國(guó)家大多是互聯(lián)網(wǎng)和數(shù)據(jù)技術(shù)不發(fā)達(dá)的國(guó)家,數(shù)據(jù)本地化政策是一種防守性政策,可以作為這些國(guó)家與其他國(guó)家和互聯(lián)網(wǎng)公司談判的籌碼,但這種政策的效果如何目前尚不明朗。但可以預(yù)見(jiàn)到的是,各種嚴(yán)格的數(shù)據(jù)本地化政策不利于全球互聯(lián)網(wǎng)和大數(shù)據(jù)的發(fā)展,而中國(guó)在這個(gè)方面處于優(yōu)勢(shì)地位,應(yīng)該采取更開(kāi)放的政策,鼓勵(lì)數(shù)據(jù)在做出特定保護(hù)后的自由流通,這樣才有助于中國(guó)的互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司參與全球化的競(jìng)爭(zhēng),利于中國(guó)互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司的全球發(fā)展,實(shí)現(xiàn)中國(guó)大數(shù)據(jù)國(guó)家戰(zhàn)略。[26] (二)完善政府監(jiān)管機(jī)制 我國(guó)應(yīng)從設(shè)立機(jī)構(gòu)、明確監(jiān)管方式、權(quán)力約束三個(gè)方面加強(qiáng)和改進(jìn)行業(yè)監(jiān)管。[27]第一,加強(qiáng)數(shù)據(jù)管理機(jī)構(gòu)對(duì)外職責(zé),加強(qiáng)與各國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)的對(duì)話協(xié)作,掌握國(guó)際上個(gè)人數(shù)據(jù)保護(hù)最新動(dòng)向,為應(yīng)對(duì)國(guó)際談判中涉及的數(shù)據(jù)流動(dòng)規(guī)則奠定基礎(chǔ)。第二,加強(qiáng)國(guó)內(nèi)政府監(jiān)管,明確主動(dòng)和被動(dòng)兩種監(jiān)督審查方式。主動(dòng)審查是指政府有關(guān)部門建立跨境數(shù)據(jù)流動(dòng)的審核評(píng)估機(jī)制,對(duì)數(shù)據(jù)是否跨境流動(dòng)進(jìn)行核準(zhǔn),并定期對(duì)進(jìn)行過(guò)跨境數(shù)據(jù)流動(dòng)的企業(yè)進(jìn)行檢查;被動(dòng)審查是指有關(guān)部門應(yīng)及時(shí)處置個(gè)人或企業(yè)投訴,啟動(dòng)對(duì)涉事企業(yè)的檢查、處理問(wèn)題,確保企業(yè)遵守法律法規(guī)。第三,立法明確政府的合法偵聽(tīng)權(quán)。“隱私盾”協(xié)議[28]在一定程度上平衡了美國(guó)政府合法偵聽(tīng)權(quán)與歐洲公民個(gè)人數(shù)據(jù)安全之間的訴求。鑒于每個(gè)國(guó)家對(duì)這兩方面的權(quán)衡各有差異,我國(guó)應(yīng)當(dāng)研究建立自己的合法偵聽(tīng)制度,從法律的角度明確合法偵聽(tīng)的權(quán)力、實(shí)施機(jī)構(gòu)和范圍等。 (三)強(qiáng)化企業(yè)主體保障個(gè)人數(shù)據(jù)安全的義務(wù) 提高企業(yè)的合規(guī)遵從性,推進(jìn)行業(yè)自律制度建設(shè)。企業(yè)是社會(huì)的主要組成單元,企業(yè)對(duì)數(shù)據(jù)、信息安全法規(guī)遵從義務(wù)履行的成熟度是衡量社會(huì)整體數(shù)據(jù)、信息安全保障水平的重要標(biāo)尺。由于大量的數(shù)據(jù)涉及到國(guó)家安全、基礎(chǔ)設(shè)施狀況和個(gè)人隱私等信息,掌握數(shù)據(jù)的企業(yè)有義務(wù)保障其控制范圍內(nèi)數(shù)據(jù)的安全,防止數(shù)據(jù)泄漏損害國(guó)家利益及侵犯?jìng)€(gè)人隱私。在跨境問(wèn)題上,企業(yè)還面臨國(guó)內(nèi)外公權(quán)力機(jī)關(guān)依本國(guó)法所提出的數(shù)據(jù)要求,如歐盟通過(guò)標(biāo)準(zhǔn)合同或約束性企業(yè)規(guī)則要求數(shù)據(jù)轉(zhuǎn)移者承擔(dān)數(shù)據(jù)轉(zhuǎn)移安全的直接責(zé)任。在這一背景下,企業(yè)應(yīng)從構(gòu)成IT社會(huì)一員的立場(chǎng)出發(fā),從公司法人治理的高度,將數(shù)據(jù)、信息安全注入企業(yè)文化,形成企業(yè)內(nèi)部人員上至高層管理人員下至普通員工,都以自覺(jué)遵從保護(hù)個(gè)人數(shù)據(jù)、信息安全的國(guó)家法律法規(guī)以及企業(yè)規(guī)章制度為榮;以不履行保護(hù)義務(wù)的行為為恥的良好風(fēng)氣。 各行業(yè)應(yīng)根據(jù)自身特點(diǎn)確立行業(yè)保護(hù)個(gè)人數(shù)據(jù)、信息安全的保障義務(wù),并通過(guò)行業(yè)規(guī)章、標(biāo)準(zhǔn)等予以具體落實(shí)。規(guī)制跨境數(shù)據(jù)流動(dòng)的行業(yè)自律制度的主要內(nèi)容應(yīng)包括:企業(yè)是否審慎保管其掌控的數(shù)據(jù);是否采取了足夠的安全保障措施;企業(yè)對(duì)內(nèi)部員工行為是否有及時(shí)的培訓(xùn)和全面的安全紀(jì)律強(qiáng)調(diào);對(duì)跨境數(shù)據(jù),轉(zhuǎn)出企業(yè)是否充分尊重?cái)?shù)據(jù)主體的意志或知情權(quán);是否足夠了解數(shù)據(jù)后期的存儲(chǔ)使用情況及安全保障情況;數(shù)據(jù)接收國(guó)對(duì)本國(guó)企業(yè)數(shù)據(jù)安全保障義務(wù)的法規(guī)完善程度如何、企業(yè)的數(shù)據(jù)安全保障能力如何、承擔(dān)責(zé)任的能力如何等。此外,為防止個(gè)人數(shù)據(jù)被濫用、失竊、非法交易等行為的發(fā)生,行業(yè)自律制度還可以采用一定的懲罰性賠償措施。總之,行業(yè)自律制度可以為企業(yè)間的數(shù)據(jù)跨境流動(dòng)提供更具靈活性的制度安排和安全保障。[29] 結(jié)語(yǔ) 大數(shù)據(jù)時(shí)代,跨境數(shù)據(jù)流動(dòng)成為世界各國(guó)競(jìng)爭(zhēng)與合作交替進(jìn)行的重要領(lǐng)域。正如有學(xué)者所言,數(shù)據(jù)是一種具有經(jīng)濟(jì)價(jià)值的商品,其價(jià)值取決于數(shù)據(jù)質(zhì)量。[30]因而,如何產(chǎn)出有質(zhì)量的數(shù)據(jù)成為數(shù)據(jù)價(jià)值實(shí)現(xiàn)的必要前提,在法學(xué)界努力解決有質(zhì)量數(shù)據(jù)確權(quán)難題的同時(shí),各國(guó)數(shù)據(jù)規(guī)制的“互聯(lián)網(wǎng)巴爾干化”和跨境數(shù)據(jù)流動(dòng)自由化之間的緊張關(guān)系亦不容忽視,以雙邊和多邊條約協(xié)定為表現(xiàn)形式的數(shù)據(jù)跨境合作并不能掩蓋或代替國(guó)家間緊張與競(jìng)爭(zhēng)的關(guān)系,其背后仍隱藏著經(jīng)濟(jì)利益或政治主張等有形或無(wú)形的訴求。因此,具有明顯主權(quán)色彩或國(guó)家利益傾向的數(shù)據(jù)并非毫無(wú)約束地跨境流動(dòng),與他國(guó)實(shí)現(xiàn)“共享”數(shù)據(jù)必須找到正當(dāng)依據(jù)。跨境數(shù)據(jù)流動(dòng)規(guī)制是一個(gè)多元法律框架,很難用單一的監(jiān)管理論囊括多層次的規(guī)則、參與方與執(zhí)行機(jī)制。[31]本國(guó)個(gè)人信息保護(hù)、經(jīng)濟(jì)利益保障和國(guó)家安全維護(hù),要求國(guó)家必須以“良法善治”對(duì)承載著不同利益層次、位階訴求的數(shù)據(jù)流動(dòng)予以規(guī)范和約束,并通過(guò)獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)、強(qiáng)化企業(yè)保障數(shù)據(jù)安全的義務(wù)達(dá)到將規(guī)范落到實(shí)處的目的,以求得在保護(hù)本國(guó)個(gè)人、社會(huì)和國(guó)家利益的同時(shí)達(dá)到數(shù)據(jù)跨境流動(dòng)與分享之間的平衡。 注釋 [1]跨境數(shù)據(jù)流動(dòng)(Trans-borderDataFlow,簡(jiǎn)稱TDF)概念于20世紀(jì)70年代末80年代初首先由經(jīng)濟(jì)發(fā)展合作組織(OECD簡(jiǎn)稱經(jīng)合組織)采用,1980年經(jīng)合組織頒布的《關(guān)于保護(hù)隱私與個(gè)人數(shù)據(jù)跨境流通的準(zhǔn)則》里首次出現(xiàn)跨境數(shù)據(jù)流動(dòng)的提法,其界定為個(gè)人數(shù)據(jù)的跨越國(guó)界流動(dòng)。當(dāng)前,國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)的理解有兩種:一是數(shù)據(jù)跨越國(guó)界的傳輸和處理;二是數(shù)據(jù)在一國(guó)境內(nèi),但能被第三國(guó)主體訪問(wèn)。聯(lián)合國(guó)跨國(guó)公司中心給出的定義是:“跨越國(guó)界對(duì)存儲(chǔ)在計(jì)算機(jī)里的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲(chǔ)和檢索”。 [2]許多奇.論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué),2020(02):186. [3]參見(jiàn)惠志斌:《數(shù)據(jù)經(jīng)濟(jì)時(shí)代企業(yè)跨境數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)管理》,社會(huì)科學(xué)文獻(xiàn)出版社2018年版,第102-107頁(yè)。 [4]許多奇.論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué),2020(02):186. [5]See GrahamGreenleaf,Asia'sDataPrivacyDilemmas2014-2019:NationalDivergences,Cross-BorderGridlock,UNSWLawResearchPaperNo.19-103,August2019,p.52. [6]ConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData,Strasbourg,28.I.1981. [7]Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata,OfficialJournalL281,23/11/1995P.0031-0050. [8]REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016. [9]許多奇.個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局及中國(guó)應(yīng)對(duì)[J].法學(xué)論壇,2018,33(03):130-137. [10]同上注。 [11]SeeChinaSurpassesUSAsWorldLargestTradingNation, 載https://www.theguardian.com/business/2014/jan/10/china-surpasses-us-world-largest-trading-nation. [12]SeeSECChargesChinaAffiliatesofBigFourAccountingFirmswithViolatingU.S.SecuritiesLawsinRefusingtoProduceDocuments,載 https://money.cnn.com/2012/12/03/investing/sec-chinaaccounting/。 [13]參見(jiàn)《關(guān)于印發(fā)〈會(huì)計(jì)師事務(wù)所審計(jì)檔案管理辦法〉的通知》(財(cái)會(huì)(2016)1號(hào))。 [14]《中華人民共和國(guó)檔案法實(shí)施辦法》由于國(guó)家檔案局1999年6月7日發(fā)布,根據(jù)2017年3月1日《國(guó)務(wù)院關(guān)于修改和廢止部分行政法規(guī)的決定》實(shí)施修訂。 [15]沈祎:《“四大”會(huì)計(jì)師事務(wù)所在美國(guó)被罰的背后》,載《國(guó)際市場(chǎng)》2014年第2期。初審判決對(duì)立信大華會(huì)計(jì)師事務(wù)所施加懲罰,但并未停業(yè)6個(gè)月。 [16]參見(jiàn)中國(guó)會(huì)計(jì)視野:《四大中國(guó)所與SEC和解恢復(fù)審計(jì)資格》,轉(zhuǎn)引自鄧志松、戴健民:《限制數(shù)據(jù)跨境傳輸?shù)膰?guó)際沖突與協(xié)調(diào)》,載《汕頭大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2017年第7期。 [17]SeeSECImposesSanctionsAgainstChinaBasedMembersofBigFourAccountingNetworksforRefusingtoProduceDocuments,https://www.sec.gov/news/pressrelease/2015-25.html. [18]網(wǎng)絡(luò)運(yùn)營(yíng)商是否在境內(nèi)開(kāi)展業(yè)務(wù)是判斷是否在境內(nèi)收集相關(guān)數(shù)據(jù)的重要依據(jù),其包括:在境內(nèi)設(shè)立服務(wù)器,在境內(nèi)設(shè)立商業(yè)實(shí)體,向境內(nèi)提供產(chǎn)品或服務(wù)等行為。 [19]目前,我國(guó)采取嚴(yán)格解釋,集團(tuán)內(nèi)部之間跨境轉(zhuǎn)移數(shù)據(jù),即使通過(guò)鏡像等方式訪問(wèn)境內(nèi)數(shù)據(jù),極端情況下向位于境內(nèi)的境外機(jī)構(gòu)或個(gè)人提供數(shù)據(jù)或開(kāi)放訪問(wèn)權(quán)限,都屬于向境外提供。 [20]參見(jiàn)許多奇.論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué),2020(02):191. [21]參見(jiàn)黃春林:《網(wǎng)絡(luò)與數(shù)據(jù)法律實(shí)務(wù)——法律適用及合規(guī)落地》,人民法院出版社2019年版,第121頁(yè)。 [22]所謂整治結(jié)果的反彈性,是指在治理行動(dòng)結(jié)束后,專項(xiàng)整治的打擊對(duì)象又重復(fù)出現(xiàn),甚至出現(xiàn)程度更甚的反彈,從而導(dǎo)致一種“治標(biāo)不治本”的惡性循環(huán)的出現(xiàn)。 [23]參見(jiàn)許多奇、唐士亞:《運(yùn)動(dòng)式監(jiān)管向信息監(jiān)管轉(zhuǎn)化研究——基于對(duì)互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)專項(xiàng)整治行動(dòng)的審視和展望》,載《證券法苑》第22卷,法律出版社2017年版,第25-26頁(yè)。 [24]DLAPIPER,AGuidetotheGeneralDataProtectionRegulation,2019,p.18. [25]Facebook原有的商業(yè)模式,就是通過(guò)無(wú)償或者低成本占有用戶數(shù)據(jù),通過(guò)高水平的大數(shù)據(jù)分析準(zhǔn)確刻畫(huà)用戶特征和偏好,精確推送廣告,賺取廣告費(fèi)。參見(jiàn)孟巖、邵青:《Facebook數(shù)字貨幣的起源、意義和后果》,載《LIBRA:一種金融創(chuàng)新實(shí)驗(yàn)》,東方出版社2019年版,第19頁(yè)。 [26]翟志勇.數(shù)據(jù)主權(quán)的興起及其雙重屬性[J].中國(guó)法律評(píng)論,2018(06):196-202. [27]齊愛(ài)民.中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué),2005(06). [28]參見(jiàn)劉耀華,石月.歐美“隱私盾”協(xié)議及對(duì)我國(guó)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的啟示[J].現(xiàn)代電信科技,2016,46(05):12-16. [29]許多奇.個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局及中國(guó)應(yīng)對(duì)[J].法學(xué)論壇,2018,33(03):130-137. [30]SeeBorisOtto&StephanAier,BusinessModelsintheDataEconomy:ACaseStudyfromtheBusinessPartnerDataDomain,WirtschaftsinformatikProceedings,2013,p.475. [31]SeeChristopherKuner,TransborderDataFlowRegulationandDataPrivacyLaw,London:OxfordUniversityPress,2013,pp.8-12.
