随着数字技术的发展,数据跨境流动日益频繁。2016年以来,美西方主导的《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)等数字贸易协定开始包含数据跨境流动规则,但这些规则因从属于侧重经济维度的贸易谈判,并未解决数据跨境流动引发的国家安全等重大关切。尤其是近年来,某些国家试图以经济手段拉拢部分国家搞排他性“小圈子”“筑墙设垒”。这不仅无视中国等多数国家的正当关切,更复杂国际背景下的全球治理雪上加霜。
党的二十大报告指出:“中国积极参与全球治理体系改革和建设,践行共商共建共享的全球治理观,坚持真正的多边主义,推进国际关系民主化,推动全球治理朝着更加公正合理的方向发展。”对于数据跨境流动治理,一方面,我国积极完善国内立法,正式申请加入CPTPP、DEPA等,积极推进数字治理国际合作,努力“跟跑”和“并跑”,值得高度肯定。另一方面,也有必要从数据跨境流动的非经济性共同关切入手,结合自身探索,在贸易谈判之外提出新的议题框架和中国方案,积极推动数据跨境流动全球治理体系变革,努力在探索数字治理国际规则中“领跑”。
数字贸易规则的局限性
第一,数据跨境流动不仅会涉及跨境贸易,也会涉及国家安全、主权管辖、私权保护等非经济关切。数据跨境流动既涉及个人信息,也涉及商业数据、公共数据,甚至涉及与国家安全有关的数据。这使得其既有促进贸易的经济面向,也会带来一系列非经济性挑战。首先就是国家安全挑战。在“斯诺登事件”披露大规模监控计划之后,各国日益重视数据跨境流动引发的国家安全风险,开始限制或禁止金融、医疗健康等敏感领域的数据跨境流动。其次,数据大规模跨境流动,极大冲击了基于国家疆界以属地管辖为主的传统国家主权,尤其是一国的司法执法管辖权。对此,各国纷纷出台维护主权管辖的立法,既包括禁止境外司法执法机构不经本国同意调取数据的“阻断条款”,也包括将某些重要领域数据留存在本国境内的“数据本地化存储要求”。最后,企业数据、个人信息等跨境流动,也会引发跨境私权保护的关切。
第二,数字贸易规则因仅侧重经贸维度的局限,无法解决数据跨境流动引发的各国在国家安全、主权管辖等方面的重大关切和规制分歧,亟须探讨制定新的全球治理框架。目前美西方发起策动的数字贸易谈判只涵盖了上述部分关切,除了纳入欧盟极力主张的个人信息保护议题外,国家安全关切只是作为自由贸易的“例外情形”,对司法执法管辖则完全没有涉及。对于数据跨境流动的国家安全关切,尽管CPTPP、DEPA等规定了专门例外,即“为实现合法公共政策目标可以对信息跨境流动采取或维持限制措施”,但是“合法公共政策目标”的内涵并不明确,且该模式下国家安全例外仅是自由贸易的“例外情形”,适用往往非常困难,因而普遍认为这些例外规定难以作为基于国家安全对跨境数据流动实施普遍规制措施的正当依据。
第三,某些国家将“数据自由流动”与“贸易自由流动”捆绑设置议题是有意为之。以美国为例,美国最早将二者捆绑讨论,并以贸易谈判为由忽略国家安全等其他关切。究其原因,表面上看是限于数字贸易主题,但考虑到美国对数据安全和数据管辖的高度关切和大量立法,例如近年颁行的《外国投资风险审查现代化法》《澄清境外合法使用数据法》以及《保护美国人的敏感数据不受外国对手侵害》行政命令等。这背后的深意在于:美国借用“贸易自由流动”的概念框架,提出“数据自由流动”这种迷惑性口号,通过主张彻底的数据跨境自由流动,支持其先进的数字技术企业发展全球市场,使得海量数据流回美国,从而保持其在全球数字市场和网络空间的主导地位。
构建具有兼容性框架的中国方案
我国很早就认识到仅从贸易角度探讨数据跨境流动的局限性。近年来,我国提出“数据跨境安全流动”理念,发起《全球数据安全倡议》,从数据跨境流动重大关切入手,构建了数据出境规制“双轨并行”的制度框架:一是《个人信息保护法》规定的旨在保护个人权益的“个人信息跨境提供制度”,为个人信息跨境流动提供了多种合法途径,有利于推动我国与其他经济体接轨。二是《数据安全法》和《网络安全法》规定的旨在维护国家安全的“重要数据出境安全管理制度”,从世界范围来看该制度探索极大发展了基于国家安全关切规制数据跨境流动的法治架构,为全球应对这一挑战提供了新的制度选项。
以我国制度探索为基础,推动数据跨境流动全球治理体系变革,就应该坚持党的二十大报告所强调的“统筹推进国内法治和涉外法治”,既要考虑规范“数据外流”,避免数据被境外不当获取,也要同步考虑规制措施对我国企业“数据内流”的影响,避免我国被误解为以“安全”为由阻碍数据流动和制造贸易壁垒,如此才能真正适应我国在数字经济全球化中的全面布局。这应该以我国提出的“尊重网络主权、构建网络空间命运共同体”为基本前提,推动各国就共同关切达成全球治理的兼容性框架。
第一,确立基本治理理念:促进正当可控的数据跨境流动。从《数据安全法》规定看,我国提出的“数据跨境安全流动”的“安全”,实际上已经超越了传统数据安全的理解,在内涵上还包括数据利用安全。这种利用安全是强调数字经济时代下数据大规模流动和利用的正当性和可控性,而正当性和可控性完全应当涵盖国家安全、主权管辖、私权保护等共同的正当关切。为了准确表达共同治理关切和更具号召力,建议将数据跨境“安全流动”理念升级为数据跨境“正当可控流动”理念。该理念相较于2019年《G20大阪数字经济宣言》“基于信任的跨境数据流动”,更强调客观性、正当性和包容性,更有利于推动各国携手迈向合作共赢的全球治理。
第二,防范国家安全风险:厘清重要数据范围以明确“负面清单”。在国际层面,应该将为了维护国家安全、公共利益而管控重要数据作为独立议题提出,不再认为其仅属于“例外条款”。在数字贸易谈判中,可以拟定并提出单独的“重要数据条款”。鉴于重要数据可能严重影响国家安全、公共利益,在规制手段上应以事前监管为主、事中事后监管为辅,我国近期出台的数据出境安全评估制度就是事前监管的重要抓手。就制度兼容而言,由于重要数据关系国家安全,与一国国情等密不可分,其具体范围可以允许各国自行确定,但应该确立一些基本的原则性共识,如“不得阻碍正当可控的数据流动”等。在国内层面,应该在总体国家安全观指导下尽快厘清重要数据的范围,明确我国数据出境的“负面清单”。考虑到不同行业不同领域的复杂性,可以通过规定重要数据认定制度来代替直接列举重要数据的具体范围。
第三,维护司法执法管辖:关注数据访问权而非依赖本地化存储。传统司法协助程序需要通过双方的专责机关沟通处理,往往复杂冗长低效,已经越来越不适应数字经济全球化发展和争议快速解决的需要。在这种情况下,出现了从“数据掌控者”直接调取数据的模式,这种关注数据访问权的模式使得司法执法效率有了极大提升,值得借鉴。实际上,对于司法执法跨境调取数据而言,数据存储的位置不是关键,关键是确保数据的访问权。为了保障这种数据访问权,可以规定义务主体不及时提供数据时应当承担的法律责任。如此,可以大大减少因司法执法管辖而要求的数据本地化存储。
第四,保护个人信息权益:健全跨境问责制以缓和事前监管压力。个人信息在保护水平存在差异的国家或地区流动,关键是应该如何促进不同水平保护制度的兼容。就我国个人信息跨境规则与其他国家兼容而言,可以借鉴欧盟和美国的做法,兼采事前监管模式和事后问责模式,在双边或者多边谈判中根据对等原则建立“白名单”制度;考虑到事前监管的压力、事中事后监管的需要以及经专业机构认证等事前途径的成本,也应该同步研究健全境外处理者问责机制,以避免过于依赖事前机制而对数据流动造成不当阻碍;应该将这种事后问责机制纳入我国与其他国家缔结的双边或者多边司法协助协定之中,以增强事后问责的执行力。此外,出于疫苗研究等科研需要,还应该考虑就科研领域的个人信息出境制定特殊规则。
(本文系中国法学会部级课题“完善数据跨境流动全球治理体系的中国方案”(CLS(2022)C56)阶段性成果)(作者系中国法学会法治研究所研究员)
