數(shù)據(jù)跨境流動規(guī)制企業(yè)合規(guī)的法治保障
作者:何興馳 2021-07-29導(dǎo)語
從在美國的悄然上市,到應(yīng)用APP下架、勒令整改,“滴滴”事件所折射的多面鏡之中,“企業(yè)在跨境貿(mào)易中的數(shù)據(jù)合規(guī)”這一面應(yīng)當(dāng)有一席之地。在數(shù)據(jù)時代,跨境數(shù)據(jù)流動對于我國在對外貿(mào)易及經(jīng)濟發(fā)展上有著重大意義,但因各國數(shù)據(jù)規(guī)制不同、數(shù)據(jù)立法紛繁復(fù)雜,我國企業(yè)在“走出去”時必然且已經(jīng)面臨種種法律風(fēng)險。應(yīng)當(dāng)通過科學(xué)立法、完善監(jiān)管機制、強化企業(yè)主體保障個人數(shù)據(jù)安全的義務(wù)等方式解決這一迫在眉睫的經(jīng)濟發(fā)展問題。
一、引言 數(shù)字經(jīng)濟時代,數(shù)據(jù)日益成為最重要的生產(chǎn)資料。數(shù)據(jù)資源的快速擴張對全球經(jīng)濟產(chǎn)生了深遠(yuǎn)影響。始于20世紀(jì)70年代的跨境數(shù)據(jù)流動,[1]當(dāng)下已成為全球貿(mào)易和投資增長的主要途徑。[2]根據(jù)學(xué)者對五個主營業(yè)務(wù)板塊(電子商務(wù)、云計算、第三方支付、物流平臺、軟件服務(wù))的跨境數(shù)據(jù)流動活動進行的田野調(diào)查和深度訪談,數(shù)據(jù)跨境流動直接影響了其成本、收益、創(chuàng)新能力乃至實現(xiàn)商業(yè)模式的全球擴張,以及幫助企業(yè)融入全球供應(yīng)鏈。[3]同時,由于跨境數(shù)據(jù)流動降低了企業(yè)貿(mào)易和交易的成本,使大量中小型公司幾乎和大型企業(yè)具有了同樣的國際貿(mào)易能力。在我國企業(yè)“走出去”的同時,國外不少企業(yè)也紛紛來我國投資。在數(shù)據(jù)跨境問題上,“走出去”和“引進來”的企業(yè)都面臨必須滿足國內(nèi)外公權(quán)力機關(guān)依本國法所提出的數(shù)據(jù)收集、傳輸和使用等要求,即實現(xiàn)雙向合規(guī)。 然而由于網(wǎng)絡(luò)本身具有脆弱性,[4]數(shù)據(jù)接收國(輸出國)的法律規(guī)制、社會環(huán)境不可控,如果缺乏法律約束機制,數(shù)據(jù)跨境后輕則侵犯個人隱私,公司、企業(yè)遭受財產(chǎn)損失,重則泄露國家秘密、擾亂社會秩序甚至威脅政權(quán)。因此,完善數(shù)據(jù)立法、加強監(jiān)管等法治保障對于跨境數(shù)據(jù)流動的規(guī)范和風(fēng)險防范具有至關(guān)重要的作用,尤其對于保證我國在“走出去”過程中的企業(yè)合規(guī)經(jīng)營意義不可低估。 二、 “走出去”所應(yīng)對的跨境數(shù)據(jù)流動規(guī)制法律風(fēng)險大 (一)跨境數(shù)據(jù)流動規(guī)制各國立法紛繁復(fù)雜 雖然全球規(guī)制與引導(dǎo)跨境數(shù)據(jù)流動的統(tǒng)一規(guī)則尚未形成,據(jù)不完全統(tǒng)計,在全球總計231個國家(地區(qū))中,已經(jīng)有超過135個國家(地區(qū))出臺數(shù)據(jù)保護法,其中大多數(shù)有跨境數(shù)據(jù)流動法律或政策,[5]但毋庸置疑,現(xiàn)有的規(guī)則仍主要以歐美為首的發(fā)達(dá)國家所引領(lǐng)。 歐盟關(guān)于個人數(shù)據(jù)跨境流動規(guī)制的立法體系主要由1981年歐洲理事會的《與個人數(shù)據(jù)自動化處理有關(guān)的個人保護公約》(EuropeanTreatySeries,No.108)、[6]1995年的《個人數(shù)據(jù)保護指令》(EUDirective95/46/EC)[7]以及2016年通用數(shù)據(jù)保護條例》(GeneralDataProtectionRegulation)(以下簡稱GDPR)[8]三個標(biāo)志性法律文件構(gòu)成,從而確立其嚴(yán)格限制個人數(shù)據(jù)跨境流動的規(guī)制體系;[9]而美國則主要通過與歐盟簽訂雙邊協(xié)議、借助亞太區(qū)域經(jīng)濟合作推廣自身的兩種方式確立了雙邊或多邊協(xié)議強化數(shù)據(jù)跨境的規(guī)制體系。[10]兩種體系所對應(yīng)的價值取向大致可概括為:歐盟更為強調(diào)個人數(shù)據(jù)的保護,美國則奉行以市場為主導(dǎo)、以行業(yè)自律為中心來保護個人數(shù)據(jù)。 在各國跨境數(shù)據(jù)流動法律、法規(guī)的歷史根源、立法模式、規(guī)制方式以及司法確認(rèn)都各不相同、數(shù)據(jù)保護標(biāo)準(zhǔn)不統(tǒng)一這一大背景下,我國企業(yè)“走出去”面對的法律風(fēng)險是巨大的,如果企業(yè)事先對跨境數(shù)據(jù)法律風(fēng)險準(zhǔn)備不足,事中對風(fēng)險又不善應(yīng)對,就可能會導(dǎo)致“走出去”后因觸犯當(dāng)?shù)赜嘘P(guān)數(shù)據(jù)傳輸?shù)南拗菩砸?guī)定而遭受巨額罰款。 (二) 我國與他國之間存在數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突 自2013年起,中國超過美國成為世界上最大的貿(mào)易國,并稱是國際貿(mào)易的“里程碑”事件。[11]在國際貿(mào)易實踐中,國外監(jiān)管機構(gòu)可能會依照監(jiān)管職能或調(diào)查權(quán)限,要求我國相關(guān)企業(yè)提供中國法律法規(guī)規(guī)定限制跨境傳輸或不可披露的特定類型數(shù)據(jù),這樣一來便會與中國法律法規(guī)發(fā)生正面沖突。其典型案例為美國證券交易委員會(SecuritiesandEx-changeCommission,以下簡稱SEC)要求中國五家會計師事務(wù)所提供在美上市公司審計底稿一案。2012年12月3日,SEC起訴德勤等四大會計師事務(wù)所,外加立信大華的會計師事務(wù)所拒絕提交中國客戶的審計文件。聲明調(diào)查這些數(shù)據(jù)是為了配合調(diào)查在美國涉嫌欺詐的中國概念股。[12]但我國法律法規(guī)規(guī)定實行檔案、審計底稿保密制度。目前該制度有進一步加強的趨勢,根據(jù)原《中華人民共和國檔案法》《注冊會計師法》等法的規(guī)定,2016年7月財政部、國家檔案局制定了《會計師事務(wù)所審計檔案管理辦法》,其第13條規(guī)定“會計師事務(wù)所對審計檔案負(fù)有保密義務(wù),一般不得對外提供......”[13]2017年3月新修訂的《中華人民共和國檔案法實施辦法》[14]第18條進一步加強了對檔案出境的嚴(yán)格限定。2014年1月23日,SEC行政審判法官卡梅倫·埃利奧特(CameronElliot)用長達(dá)112頁的判決,對四大會計師事務(wù)所中國所作出初審判決:暫停其在美國的業(yè)務(wù)6個月。[15]2014年2月,四大會計師事務(wù)所中國所就SEC的判決正式提出上訴。在長達(dá)12天的聽證會和一年的談判后,四大會計師事務(wù)所中國所與美國SEC達(dá)成和解。[16]根據(jù)和解協(xié)議,每家會計師事務(wù)所同意支付50萬美元,并承認(rèn)在2012年對其提起訴訟之前并未出示任何文件。[17] 上述案例表明,我國“走出去”企業(yè)面臨跨境數(shù)據(jù)流動規(guī)制的法律風(fēng)險,不僅來自數(shù)據(jù)輸出國限制數(shù)據(jù)收集、傳輸和使用的立法,也來自其行政監(jiān)管和司法訴訟實踐。 三、跨境數(shù)據(jù)流動企業(yè)合規(guī)難的原因分析 企業(yè)在“走出去”的過程中所遭遇的跨境數(shù)據(jù)流動規(guī)制合規(guī)難問題,其原因是多方面的,既有網(wǎng)絡(luò)信息提供者拒不履行安全管理義務(wù)的因素,也存在越來越多的大數(shù)據(jù)公司非法獲取計算機信息系統(tǒng)數(shù)據(jù),頻繁惡意利用和買賣離境數(shù)據(jù)的情況,而各國數(shù)據(jù)保護標(biāo)準(zhǔn)不一致,造成數(shù)據(jù)在全球范圍內(nèi)流動缺乏安全可信的在線環(huán)境。從我國現(xiàn)狀分析來看,跨境數(shù)據(jù)流動難主要的原因在于以下幾點: (一)制度不完善,缺乏頂層設(shè)計之下的規(guī)范體系 2017年4月11日,網(wǎng)信辦發(fā)布《個人信息出境安全評估辦法(征求意見稿)》(舊辦法),同年,《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(征求意見稿)》發(fā)布,提出了詳細(xì)的個人信息和重要數(shù)據(jù)出境的安全評估流程、要點和方法。2019年6月13日,網(wǎng)信辦發(fā)布《個人信息出境安全評估辦法(征求意見稿)》(新辦法),將個人信息和重要數(shù)據(jù)出境的安全評估區(qū)別對待,并較舊辦法擴大了個人信息出境的評估范圍,明確了個人信息出境的申報評估要求、申報材料、重點評估內(nèi)容等,就關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)出境提出了安全評估要求,對安全評估的責(zé)任主體、管理對象、管理要求等內(nèi)容進行了限定。近年來,國內(nèi)相關(guān)監(jiān)管部門也開始留意和關(guān)注到數(shù)據(jù)境內(nèi)留存問題,在金融、征信行業(yè)、網(wǎng)絡(luò)車行業(yè)、網(wǎng)絡(luò)出版和網(wǎng)絡(luò)地圖行業(yè)、醫(yī)療衛(wèi)生等特殊領(lǐng)域,都明確要求相關(guān)數(shù)據(jù)必須首先本地化存儲。比如2016年2月發(fā)布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》第8條要求,“網(wǎng)絡(luò)出版服務(wù)的相關(guān)服務(wù)器和存儲設(shè)備”必須存放在中國境內(nèi)。此外,還有民航、域名服務(wù)、人口健康等其他行業(yè),不一而足。 由上述法律和部門規(guī)章共同構(gòu)成的我國跨境數(shù)據(jù)流動制度零亂而不系統(tǒng),僅有的一條法律規(guī)定過于簡單,對哪些屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”、“重要信息”如何認(rèn)定、什么是“境內(nèi)收集信息”、[18]哪些情形屬于“境外提供”[19]都尚不明確。其余規(guī)定散落于若干行業(yè)管理規(guī)范中,制度位階層次頗低,可操作性和協(xié)調(diào)性不足。此外,我國《個人信息保護法》至今還未出臺,個人信息保護呈現(xiàn)滯后性。 《網(wǎng)絡(luò)安全法》雖然在現(xiàn)有條件下加強和明確了個人信息保護方面的要求,作出了統(tǒng)一的基本性規(guī)定,卻缺乏具體的差別化執(zhí)行細(xì)則。無論是數(shù)據(jù)單向合規(guī)或是雙向合規(guī),首先都要有頂層設(shè)計下的系統(tǒng)規(guī)范體系,以全流程地引導(dǎo)、保證企業(yè)跨境數(shù)據(jù)流動的規(guī)范性操作,減少企業(yè)合規(guī)的不確定性,降低企業(yè)的合規(guī)成本。 (二)機構(gòu)不明,缺乏獨立的數(shù)據(jù)跨境風(fēng)險管理機構(gòu) 當(dāng)前,我國統(tǒng)一的個人信息保護法闕如,法律未確立獨立的數(shù)據(jù)保護執(zhí)法機構(gòu),數(shù)據(jù)保護領(lǐng)域存在執(zhí)法機構(gòu)不明、監(jiān)管職能不清等現(xiàn)實困境。由于長期以來我國對數(shù)據(jù)保護采取“分行業(yè)監(jiān)管”的模式,各行各業(yè)的監(jiān)管部門僅在各自領(lǐng)域內(nèi)發(fā)揮監(jiān)督管理職能,相關(guān)監(jiān)管機構(gòu)各自適用法律條文不同,具體執(zhí)法標(biāo)準(zhǔn)也不統(tǒng)一,又沒有一個統(tǒng)一的最終監(jiān)督部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)。以金融信息和金融數(shù)據(jù)保護為例,中國人民銀行、中國銀保監(jiān)會分別出臺規(guī)范性文件,國家網(wǎng)信辦出臺規(guī)章,中國人民銀行、中國銀保監(jiān)會、中國證監(jiān)會以及國家網(wǎng)信辦四個部門之間監(jiān)管職責(zé)“打架”。再如消費者保護,市場監(jiān)管總局、中國人民銀行與中國銀保監(jiān)會的消費者權(quán)益保護局、中國證監(jiān)會的投資者保護局之間權(quán)限劃分不清晰,各個行政執(zhí)法部門有時搶著執(zhí)法、監(jiān)管競爭;有時又互相推諉無人執(zhí)法,出現(xiàn)“多頭執(zhí)法”“重復(fù)監(jiān)管”和“監(jiān)管真空”并存的監(jiān)管失靈現(xiàn)象,導(dǎo)致侵犯個人數(shù)據(jù)權(quán)益和企業(yè)商業(yè)秘密的行為得不到有效遏制。2017年6月1日開始實施的《網(wǎng)絡(luò)安全法》賦予國家網(wǎng)信部門、工業(yè)和信息化部以及公安部執(zhí)法權(quán)。2019年1月至12月,中國網(wǎng)信辦、工業(yè)和信息化部、公安部和國家市場監(jiān)管總局四部門聯(lián)合開展了App違法違規(guī)收集使用個人數(shù)據(jù)專項治理行動。[20]雖然我國已經(jīng)將《個人信息保護法》和《數(shù)據(jù)安全法》列入2020年立法規(guī)劃,而對于各行業(yè)來說,目前只有短時間內(nèi)的清理整頓行動在形式上為行業(yè)發(fā)展設(shè)立了一條合法與違規(guī)的紅線。從長遠(yuǎn)來看,法定的獨立執(zhí)法主體的缺位無法形成長效的執(zhí)法機制,以保護跨境數(shù)據(jù)流動中的個人、企業(yè)乃至國家的數(shù)據(jù)權(quán)利;數(shù)據(jù)跨境企業(yè)也因為缺乏統(tǒng)一的管理者和執(zhí)法者,致使雙向合規(guī)難以保證。 (三)手段單一,缺乏完整健全的數(shù)據(jù)跨境執(zhí)法流程 從我國數(shù)據(jù)跨境領(lǐng)域來看,執(zhí)法與監(jiān)管的特點主要集中在以下幾點。第一,行政禁令多,綜合措施少。目前我國有關(guān)部門主要以單純行政禁令的方式,如2017年網(wǎng)信辦發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,以及《評估指南(征求意見稿)》等規(guī)范性文件,要求企業(yè)將特定數(shù)據(jù)留存在本地,即使個人信息和重要數(shù)據(jù)確需出境,也必須遵循安全評估流程、要點和方法。[21]第二,運動式執(zhí)法多,常規(guī)性執(zhí)法少。自《網(wǎng)絡(luò)安全法》實施以來,我國開展了多項以國家網(wǎng)信辦牽頭的個人數(shù)據(jù)保護專項整治活動。運動式執(zhí)法固然能夠整合不同部門監(jiān)管資源,在短期內(nèi)迅速提高監(jiān)管效率,打擊違法行為,規(guī)范市場秩序。但運動式執(zhí)法的單向一維性、倉促性、滯后性、被動性、整治結(jié)果的反彈性[22]以及可能存在的對法治安定和公平原則的破壞性等弊端,使得其監(jiān)管績效往往備受詬病。[23]第三,事后懲罰性執(zhí)法多,事前、事中預(yù)防性執(zhí)法少。事后執(zhí)法手段主要包括警告、停業(yè)整頓以及罰款等,且又處罰不嚴(yán),對涉事企業(yè)的實際處罰與事件的危害后果往往不相匹配,不僅未對違法違規(guī)企業(yè)形成有效震懾,而且導(dǎo)致公眾的數(shù)據(jù)安全意識普遍不強。 相比之下,歐盟在數(shù)據(jù)保護法案的全面規(guī)范之下,建立起覆蓋事前、事中、事后,形成有一系列配套措施的體系化、全方位監(jiān)管流程。歐盟于2018年大幅提升數(shù)據(jù)保護法令的處罰金額,GDPR對違反核心合規(guī)義務(wù)罰款的最高限額是上年度公司全球營業(yè)額的4%或2000萬歐元,而其他非核心合規(guī)義務(wù)的罰款最高限額為上年度全球營業(yè)額的2%或1000萬歐元。[24]2018年3月19日,F(xiàn)acebook導(dǎo)致5000萬用戶信息泄露,也就是震驚世界的劍橋公司“竊取” Facebook用戶信息事件,扎克伯格先后多次出席美國和歐洲議會聽證會并接受質(zhì)詢。歐美政府不斷對企業(yè)施壓使扎克伯格不得不放棄Facebook原有的商業(yè)模式,[25]于2019年確定以加密數(shù)字貨幣作為新的戰(zhàn)略突破口。相比來看,我國單一、簡單的執(zhí)法手段已經(jīng)無法適應(yīng)大數(shù)據(jù)時代的監(jiān)管執(zhí)法,也無法反制外國對中國企業(yè)的過度監(jiān)管和不合理審查以及懲戒措施。 三、法治保障跨境數(shù)據(jù)流動雙向合規(guī)的應(yīng)對路徑 (一)完善數(shù)據(jù)跨境流動立法,提升法律的可操作性。 目前全球跨境數(shù)據(jù)流動的統(tǒng)一規(guī)則尚未形成,現(xiàn)有規(guī)則主要以歐美為首的發(fā)達(dá)國家所引領(lǐng)。在這一國際格局下,我國在立法上的的應(yīng)對路徑應(yīng)是完善數(shù)據(jù)跨境流動相關(guān)立法,提升法律的可操作性。 不論是歐盟范圍內(nèi)還是歐盟與美國之間已經(jīng)實現(xiàn)的數(shù)據(jù)跨境流動,都是在一定法律框架或相關(guān)規(guī)范下進行的,我國的數(shù)據(jù)跨境流動也需要完善的法律制度提供保障。2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》雖首次對關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)跨境傳輸從法律層面上進行了規(guī)定,但卻未明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護措施,只是授權(quán)國務(wù)院制定。因此后續(xù)國務(wù)院應(yīng)當(dāng)加快推進與網(wǎng)絡(luò)安全法相配套的法規(guī)制定。 在法律的價值取向方面,由于對數(shù)據(jù)跨境流動的管控上必須考慮到數(shù)據(jù)跨境流動是互聯(lián)網(wǎng)和大數(shù)據(jù)發(fā)展的必然要求,因此不能一味地追求數(shù)據(jù)本地化政策。從各國的數(shù)據(jù)立法來看,嚴(yán)格追求數(shù)據(jù)本地化政策的國家大多是互聯(lián)網(wǎng)和數(shù)據(jù)技術(shù)不發(fā)達(dá)的國家,數(shù)據(jù)本地化政策是一種防守性政策,可以作為這些國家與其他國家和互聯(lián)網(wǎng)公司談判的籌碼,但這種政策的效果如何目前尚不明朗。但可以預(yù)見到的是,各種嚴(yán)格的數(shù)據(jù)本地化政策不利于全球互聯(lián)網(wǎng)和大數(shù)據(jù)的發(fā)展,而中國在這個方面處于優(yōu)勢地位,應(yīng)該采取更開放的政策,鼓勵數(shù)據(jù)在做出特定保護后的自由流通,這樣才有助于中國的互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司參與全球化的競爭,利于中國互聯(lián)網(wǎng)企業(yè)和大數(shù)據(jù)公司的全球發(fā)展,實現(xiàn)中國大數(shù)據(jù)國家戰(zhàn)略。[26] (二)完善政府監(jiān)管機制 我國應(yīng)從設(shè)立機構(gòu)、明確監(jiān)管方式、權(quán)力約束三個方面加強和改進行業(yè)監(jiān)管。[27]第一,加強數(shù)據(jù)管理機構(gòu)對外職責(zé),加強與各國數(shù)據(jù)保護機構(gòu)的對話協(xié)作,掌握國際上個人數(shù)據(jù)保護最新動向,為應(yīng)對國際談判中涉及的數(shù)據(jù)流動規(guī)則奠定基礎(chǔ)。第二,加強國內(nèi)政府監(jiān)管,明確主動和被動兩種監(jiān)督審查方式。主動審查是指政府有關(guān)部門建立跨境數(shù)據(jù)流動的審核評估機制,對數(shù)據(jù)是否跨境流動進行核準(zhǔn),并定期對進行過跨境數(shù)據(jù)流動的企業(yè)進行檢查;被動審查是指有關(guān)部門應(yīng)及時處置個人或企業(yè)投訴,啟動對涉事企業(yè)的檢查、處理問題,確保企業(yè)遵守法律法規(guī)。第三,立法明確政府的合法偵聽權(quán)。“隱私盾”協(xié)議[28]在一定程度上平衡了美國政府合法偵聽權(quán)與歐洲公民個人數(shù)據(jù)安全之間的訴求。鑒于每個國家對這兩方面的權(quán)衡各有差異,我國應(yīng)當(dāng)研究建立自己的合法偵聽制度,從法律的角度明確合法偵聽的權(quán)力、實施機構(gòu)和范圍等。 (三)強化企業(yè)主體保障個人數(shù)據(jù)安全的義務(wù) 提高企業(yè)的合規(guī)遵從性,推進行業(yè)自律制度建設(shè)。企業(yè)是社會的主要組成單元,企業(yè)對數(shù)據(jù)、信息安全法規(guī)遵從義務(wù)履行的成熟度是衡量社會整體數(shù)據(jù)、信息安全保障水平的重要標(biāo)尺。由于大量的數(shù)據(jù)涉及到國家安全、基礎(chǔ)設(shè)施狀況和個人隱私等信息,掌握數(shù)據(jù)的企業(yè)有義務(wù)保障其控制范圍內(nèi)數(shù)據(jù)的安全,防止數(shù)據(jù)泄漏損害國家利益及侵犯個人隱私。在跨境問題上,企業(yè)還面臨國內(nèi)外公權(quán)力機關(guān)依本國法所提出的數(shù)據(jù)要求,如歐盟通過標(biāo)準(zhǔn)合同或約束性企業(yè)規(guī)則要求數(shù)據(jù)轉(zhuǎn)移者承擔(dān)數(shù)據(jù)轉(zhuǎn)移安全的直接責(zé)任。在這一背景下,企業(yè)應(yīng)從構(gòu)成IT社會一員的立場出發(fā),從公司法人治理的高度,將數(shù)據(jù)、信息安全注入企業(yè)文化,形成企業(yè)內(nèi)部人員上至高層管理人員下至普通員工,都以自覺遵從保護個人數(shù)據(jù)、信息安全的國家法律法規(guī)以及企業(yè)規(guī)章制度為榮;以不履行保護義務(wù)的行為為恥的良好風(fēng)氣。 各行業(yè)應(yīng)根據(jù)自身特點確立行業(yè)保護個人數(shù)據(jù)、信息安全的保障義務(wù),并通過行業(yè)規(guī)章、標(biāo)準(zhǔn)等予以具體落實。規(guī)制跨境數(shù)據(jù)流動的行業(yè)自律制度的主要內(nèi)容應(yīng)包括:企業(yè)是否審慎保管其掌控的數(shù)據(jù);是否采取了足夠的安全保障措施;企業(yè)對內(nèi)部員工行為是否有及時的培訓(xùn)和全面的安全紀(jì)律強調(diào);對跨境數(shù)據(jù),轉(zhuǎn)出企業(yè)是否充分尊重數(shù)據(jù)主體的意志或知情權(quán);是否足夠了解數(shù)據(jù)后期的存儲使用情況及安全保障情況;數(shù)據(jù)接收國對本國企業(yè)數(shù)據(jù)安全保障義務(wù)的法規(guī)完善程度如何、企業(yè)的數(shù)據(jù)安全保障能力如何、承擔(dān)責(zé)任的能力如何等。此外,為防止個人數(shù)據(jù)被濫用、失竊、非法交易等行為的發(fā)生,行業(yè)自律制度還可以采用一定的懲罰性賠償措施。總之,行業(yè)自律制度可以為企業(yè)間的數(shù)據(jù)跨境流動提供更具靈活性的制度安排和安全保障。[29] 結(jié)語 大數(shù)據(jù)時代,跨境數(shù)據(jù)流動成為世界各國競爭與合作交替進行的重要領(lǐng)域。正如有學(xué)者所言,數(shù)據(jù)是一種具有經(jīng)濟價值的商品,其價值取決于數(shù)據(jù)質(zhì)量。[30]因而,如何產(chǎn)出有質(zhì)量的數(shù)據(jù)成為數(shù)據(jù)價值實現(xiàn)的必要前提,在法學(xué)界努力解決有質(zhì)量數(shù)據(jù)確權(quán)難題的同時,各國數(shù)據(jù)規(guī)制的“互聯(lián)網(wǎng)巴爾干化”和跨境數(shù)據(jù)流動自由化之間的緊張關(guān)系亦不容忽視,以雙邊和多邊條約協(xié)定為表現(xiàn)形式的數(shù)據(jù)跨境合作并不能掩蓋或代替國家間緊張與競爭的關(guān)系,其背后仍隱藏著經(jīng)濟利益或政治主張等有形或無形的訴求。因此,具有明顯主權(quán)色彩或國家利益傾向的數(shù)據(jù)并非毫無約束地跨境流動,與他國實現(xiàn)“共享”數(shù)據(jù)必須找到正當(dāng)依據(jù)。跨境數(shù)據(jù)流動規(guī)制是一個多元法律框架,很難用單一的監(jiān)管理論囊括多層次的規(guī)則、參與方與執(zhí)行機制。[31]本國個人信息保護、經(jīng)濟利益保障和國家安全維護,要求國家必須以“良法善治”對承載著不同利益層次、位階訴求的數(shù)據(jù)流動予以規(guī)范和約束,并通過獨立的數(shù)據(jù)保護機構(gòu)、強化企業(yè)保障數(shù)據(jù)安全的義務(wù)達(dá)到將規(guī)范落到實處的目的,以求得在保護本國個人、社會和國家利益的同時達(dá)到數(shù)據(jù)跨境流動與分享之間的平衡。 注釋 [1]跨境數(shù)據(jù)流動(Trans-borderDataFlow,簡稱TDF)概念于20世紀(jì)70年代末80年代初首先由經(jīng)濟發(fā)展合作組織(OECD簡稱經(jīng)合組織)采用,1980年經(jīng)合組織頒布的《關(guān)于保護隱私與個人數(shù)據(jù)跨境流通的準(zhǔn)則》里首次出現(xiàn)跨境數(shù)據(jù)流動的提法,其界定為個人數(shù)據(jù)的跨越國界流動。當(dāng)前,國際上對跨境數(shù)據(jù)流動的理解有兩種:一是數(shù)據(jù)跨越國界的傳輸和處理;二是數(shù)據(jù)在一國境內(nèi),但能被第三國主體訪問。聯(lián)合國跨國公司中心給出的定義是:“跨越國界對存儲在計算機里的機器可讀的數(shù)據(jù)進行處理、存儲和檢索”。 [2]許多奇.論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué),2020(02):186. [3]參見惠志斌:《數(shù)據(jù)經(jīng)濟時代企業(yè)跨境數(shù)據(jù)流動風(fēng)險管理》,社會科學(xué)文獻出版社2018年版,第102-107頁。 [4]許多奇.論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué),2020(02):186. [5]See GrahamGreenleaf,Asia'sDataPrivacyDilemmas2014-2019:NationalDivergences,Cross-BorderGridlock,UNSWLawResearchPaperNo.19-103,August2019,p.52. [6]ConventionfortheProtectionofIndividualswithregardtoAutomaticProcessingofPersonalData,Strasbourg,28.I.1981. [7]Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata,OfficialJournalL281,23/11/1995P.0031-0050. [8]REGULATION(EU)2016/679OFTHEEUROPEANPARLIAMENTANDOFTHECOUNCILof27April2016. [9]許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇,2018,33(03):130-137. [10]同上注。 [11]SeeChinaSurpassesUSAsWorldLargestTradingNation, 載https://www.theguardian.com/business/2014/jan/10/china-surpasses-us-world-largest-trading-nation. [12]SeeSECChargesChinaAffiliatesofBigFourAccountingFirmswithViolatingU.S.SecuritiesLawsinRefusingtoProduceDocuments,載 https://money.cnn.com/2012/12/03/investing/sec-chinaaccounting/。 [13]參見《關(guān)于印發(fā)〈會計師事務(wù)所審計檔案管理辦法〉的通知》(財會(2016)1號)。 [14]《中華人民共和國檔案法實施辦法》由于國家檔案局1999年6月7日發(fā)布,根據(jù)2017年3月1日《國務(wù)院關(guān)于修改和廢止部分行政法規(guī)的決定》實施修訂。 [15]沈祎:《“四大”會計師事務(wù)所在美國被罰的背后》,載《國際市場》2014年第2期。初審判決對立信大華會計師事務(wù)所施加懲罰,但并未停業(yè)6個月。 [16]參見中國會計視野:《四大中國所與SEC和解恢復(fù)審計資格》,轉(zhuǎn)引自鄧志松、戴健民:《限制數(shù)據(jù)跨境傳輸?shù)膰H沖突與協(xié)調(diào)》,載《汕頭大學(xué)學(xué)報(人文社會科學(xué)版)》2017年第7期。 [17]SeeSECImposesSanctionsAgainstChinaBasedMembersofBigFourAccountingNetworksforRefusingtoProduceDocuments,https://www.sec.gov/news/pressrelease/2015-25.html. [18]網(wǎng)絡(luò)運營商是否在境內(nèi)開展業(yè)務(wù)是判斷是否在境內(nèi)收集相關(guān)數(shù)據(jù)的重要依據(jù),其包括:在境內(nèi)設(shè)立服務(wù)器,在境內(nèi)設(shè)立商業(yè)實體,向境內(nèi)提供產(chǎn)品或服務(wù)等行為。 [19]目前,我國采取嚴(yán)格解釋,集團內(nèi)部之間跨境轉(zhuǎn)移數(shù)據(jù),即使通過鏡像等方式訪問境內(nèi)數(shù)據(jù),極端情況下向位于境內(nèi)的境外機構(gòu)或個人提供數(shù)據(jù)或開放訪問權(quán)限,都屬于向境外提供。 [20]參見許多奇.論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué),2020(02):191. [21]參見黃春林:《網(wǎng)絡(luò)與數(shù)據(jù)法律實務(wù)——法律適用及合規(guī)落地》,人民法院出版社2019年版,第121頁。 [22]所謂整治結(jié)果的反彈性,是指在治理行動結(jié)束后,專項整治的打擊對象又重復(fù)出現(xiàn),甚至出現(xiàn)程度更甚的反彈,從而導(dǎo)致一種“治標(biāo)不治本”的惡性循環(huán)的出現(xiàn)。 [23]參見許多奇、唐士亞:《運動式監(jiān)管向信息監(jiān)管轉(zhuǎn)化研究——基于對互聯(lián)網(wǎng)金融風(fēng)險專項整治行動的審視和展望》,載《證券法苑》第22卷,法律出版社2017年版,第25-26頁。 [24]DLAPIPER,AGuidetotheGeneralDataProtectionRegulation,2019,p.18. [25]Facebook原有的商業(yè)模式,就是通過無償或者低成本占有用戶數(shù)據(jù),通過高水平的大數(shù)據(jù)分析準(zhǔn)確刻畫用戶特征和偏好,精確推送廣告,賺取廣告費。參見孟巖、邵青:《Facebook數(shù)字貨幣的起源、意義和后果》,載《LIBRA:一種金融創(chuàng)新實驗》,東方出版社2019年版,第19頁。 [26]翟志勇.數(shù)據(jù)主權(quán)的興起及其雙重屬性[J].中國法律評論,2018(06):196-202. [27]齊愛民.中華人民共和國個人信息保護法示范法草案學(xué)者建議稿[J].河北法學(xué),2005(06). [28]參見劉耀華,石月.歐美“隱私盾”協(xié)議及對我國網(wǎng)絡(luò)數(shù)據(jù)保護的啟示[J].現(xiàn)代電信科技,2016,46(05):12-16. [29]許多奇.個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對[J].法學(xué)論壇,2018,33(03):130-137. [30]SeeBorisOtto&StephanAier,BusinessModelsintheDataEconomy:ACaseStudyfromtheBusinessPartnerDataDomain,WirtschaftsinformatikProceedings,2013,p.475. [31]SeeChristopherKuner,TransborderDataFlowRegulationandDataPrivacyLaw,London:OxfordUniversityPress,2013,pp.8-12.
