近年来,国家间数据跨境流动愈发频繁。在跨境流动的数据中,往往包含大量的个人信息数据。因为各国对数据跨境流动的监管存在较大差异,个人信息数据跨境流动的监管也存在较大差异。个人信息数据跨境流动时出现安全隐患,危及国家主权、社会安全产生。应当合理借鉴域外的应对措施,构建我国在数据跨境流动中个人信息数据保护的特别规则。
一、数据跨境流动中个人信息保护的两种典型模式
在全球统一的跨境数据流动规则缺位的情况下,不同国家由于其社会、政治和经济背景的差异,对于跨境数据流动采取不同监管模式。数据跨境流动监管模式的差异导致跨境流动中的个人信息数据保护模式存在差异,欧盟和美国则属于两种典型模式。
欧盟延续以公民权利为导向的一贯理念,形成以人权保护为中心的数据跨境流动规则。欧盟制定《通用数据保护条例》(以下简称GDPR)。GDPR第5章赋予欧盟对各国的数据保护水平进行全面评估的权限,达标国家可获得数据进入欧盟的“白名单”。该名单的作用是保护跨境流动的数据安全,欧盟各成员国任何机构不能随意调取相关数据,其中也包括个人信息数据。未获得该名单的国家,欧盟通过标准合同条款、具有约束力的企业规则等非官方方式,确保跨境流动的数据安全,但不能完全禁止欧盟各成员国利用本土法律调取其中数据。
美国为继续拓宽全球领域范围内的数字市场,形成以市场为主导,追求商业利益,倡导数据流动自由化的数据跨境流动规则。相较于欧盟GDPR采取“原则禁止+例外允许”的模式,美国没有像欧盟一样制定专门的法规或法案,更多是通过美国与交易相对国家之间的双边协议进行规定。美国采用“数据自由流动+扩展域外管辖”的模式,将个人信息数据视为商业活动中的消费者保护问题,由行业内部制定相应规范。美国通过《澄清域外合法使用数据法案》(以下简称《云法案》)赋予美国政府在特定情况下调取境外数据的权力,这意味着跨境数据中的个人信息数据可被美国政府随意调取。
二、数据跨境流动中个人信息保护冲突成因分析
美国的市场导向模式与欧盟的人权导向模式在某些方面存在难以调和的局面。
从数据保护理念与制度设计来看。美国模式强调自由市场的灵活性和创新性,注重企业在数据处理中的自主性和数据作为经济资源的利用效率。《云法案》确定了以数据控制者的身份为依据主张数据管辖权的基本原则。凡具有美国籍的数据控制者,其保存的数据信息均受美国法律管辖。欧盟模式则以保护个人隐私和数据权利为核心,视数据为与个人自由和尊严密切相关的基本权利。GDPR对欧盟个人数据信息的收集、处理和跨境传输作出了严格规定。针对数据出境,GDPR设定“同等保护”规则,作为个人数据信息跨境流动的最低保护标准。由于欧美双方在数据保护上的理念分歧和制度上的差异,在涉及个人数据信息流动的跨境业务往来中,欧美双方往往相互掣肘,难以达成共识。
从法律冲突与管辖权问题的角度来看。欧盟的GDPR采取“原则禁止+例外允许”的模式,确保个人数据在跨境流动过程中享有与在欧盟境内相同的保护水平。美国的《云法案》则赋予美国政府在特定情况下调取境外数据的权力,其也是《云法案》与GDPR的严格保护原则产生直接冲突的根本原因。这种差异会导致美国企业需要在处理数据时同时满足欧美两地的法律要求,增加了合规成本和法律风险。
鉴于欧盟高标准的数据保护准则,美国的数据保护规则并不符合充分性认定的要求。美国需要依赖标准合同条款或其他替代性措施来确保数据的合法跨境传输。出于经济发展的需要,欧盟与美国的数据跨境流动协议经历了从“安全港”到“隐私盾”,再到“隐私盾”破裂的演变。Schrems案就是欧美双方在数据治理博弈上的集中体现。欧盟法院因美国情报机构超出必要限度采集欧盟公民数据,裁定《隐私盾协议》无效。面对美国的“数字霸权”,欧盟进行强势反击,最终促成2023年《欧美数据隐私框架》的形成。尽管双方都试图在差异中找到共同点,但两者利益的冲突使得这一关系极不稳定。欧盟与美国仍需不断地进行新的谈判和调整,以寻找可持续的合作模式。
三、个人数据信息跨境流动的应对建议
我国通过网络安全法确立数据出境的安全评估制度,2021年又出台数据安全法和个人信息保护法,这些法规已然规定了我国个人信息数据跨境流动的一些应对措施。如个人信息保护法规定跨境流动的个人信息数据需要经过我国的安全审查。《数据出境安全评估办法》《个人信息出境标准合同办法》以及《促进和规范数据跨境流动规定》等新出台的有关规定,进一步明确了个人信息数据的审查标准。新修订的民事诉讼法增设“侵权行为地”与“其他适当联系地”作为管辖依据,扩大了我国法院对涉外案件的管辖权限。这些措施整体应对我国个人信息数据跨境流动的域外保护仍显不足,如2024年美国政府起诉我国TikTok案件。我国还需要从国际交易规则方面,借鉴域外经验总结出行之有效的应对措施。
一是加入国际合作与多边协议。尽管美国和欧盟都在各自的法律框架内积极推动数据跨境流动,但两者的治理模式存在显著差异。正因此,欧美之间多是通过双边协议来实现数据的跨境流动,缓和因个人数据跨境而产生的规则冲突。我国目前签署了区域全面经济伙伴关系协定(RCEP),并申请加入全面与进步跨太平洋伙伴关系协定(CPTPP)及数字经济伙伴关系协定(DEPA),以期在国际数据保护标准的制定和实施中发挥更大作用,减少法律冲突。数据自由流动不应放弃对数据流向和使用的监管及控制。恰恰相反,这意味着对数据的管理和保护需求也在增长。TikTok案与Schrems案如出一辙。两者均是因为在未经充分授权的前提下,将本国公民的个人数据大量传输至他国,进而对数据主权和个人隐私构成潜在威胁。我国可借鉴《欧美数据隐私框架》,通过加入多边协议来实现数据跨境流动,以缓和个人数据信息跨境流动所引发的法律与政策冲突。
二是恪守本国管辖原则。我国在与不同国家和区域开展数据跨境活动时,应灵活制定最有利于本国的数据跨境流动规则。涉及个人信息数据出入境时,可引入“同等保护”规则,即评估数据接收方的保护水平是否与发送方相当,并据此采取相应措施。如,针对欧盟和美国等数据保护水平较高的国家,我国需评估其保护状况并制定相应保护水平的标准和指南,以实现同等保护。对于保护水平高但未达一定标准的国家,可在附加保护措施和合规要求下允许数据跨境流动。对于保护水平低的国家,则严格限制其数据跨境流动,只有在满足特定条件和采取严格保护措施的前提下,才可允许数据跨境传输。通过评估,确保个人信息数据在跨境流动中受到严格保护,避免因保护水平差异引发潜在风险。此外,对于他国数据的入境可参考GDPR中“充分性保护”制度。针对符合我国数据跨境审核标准的国家,可视为满足“充分性”这一条件,放宽或免除其数据入境的安全评估要求。
三是强化国内阻断立法。当他国以其法律体系对我国个人或企业实施制裁或管控时,阻断立法是维护国家主权和数据安全有效的回击手段。我国个人信息保护法第四十一条和反外国制裁法已具备阻断立法的效果,但尚未形成阻断立法完整体系。《数据出境安全评估办法》中的相关制度已通过网络安全法、数据安全法、个人信息保护法上升为法定制度,对数据跨境流动管理起关键作用。废除该项制度不切实际,但对于该制度如何具体落实,存在较大的可操作空间。我国可结合具体国情,借鉴欧盟“黑白名单”模式,明确列出适用阻断立法的主体、适用范围以及适用的条件。通过研判各国数据管理法规,将那些已与我国签订双边或多边合作协议的国家纳入“白名单”范畴。结合上文“同等保护”规则的相关规范,简化数据跨境流动的审核程序,提升效率并减少不必要的阻碍。此外,还需设立专门的监督、执行机构,负责阻断立法的实施和监督。综合考量个人信息数据跨境流动案件的实际情况。在其涉及国家安全与公共利益时,即便他国法律具有管辖权,也仍需遵守阻断立法,由我国相应的专门机关进行审查。
数据的跨境流动能够为国家、社会的发展带来诸多利益,但并不代表这需要以牺牲个人隐私权和数据安全为代价,数据的跨境流动必须建立在确保国家安全和保护个人隐私的基础之上。我国作为数据资源大国在面对个人数据信息跨境流动问题上,应制定符合本土实际情况的规则,确立具有中国特色的个人数据信息跨境保护的特别规范。
文字:林洋、蒋徐鑫
编辑:黄 敏
审核:袁 野