宋瑞琛 馮純純

數(shù)據(jù)跨境流動(dòng)為國(guó)際貿(mào)易的發(fā)展提供了極大便利, 但也可能對(duì)國(guó)家安全、 個(gè)人隱私等產(chǎn)生不利影響。 2019 年1 月25 日, 76 個(gè)WTO 成員共同發(fā)起電子商務(wù)談判, 數(shù)據(jù)跨境流動(dòng)就是核心議題之一; 區(qū)域和雙邊的國(guó)際貿(mào)易規(guī)則中也納入了有關(guān)數(shù)據(jù)跨境流動(dòng)的專門條款。 中美兩國(guó)都是數(shù)字大國(guó), 數(shù)字平臺(tái)市值共占全球的90%, 但對(duì)數(shù)據(jù)跨境流動(dòng)采取了不同的國(guó)際法規(guī)制路徑, 并且目前仍存在著不少分歧。 因此, 分析這些分歧, 尋找中國(guó)的因應(yīng)之策,不僅能夠協(xié)調(diào)中美兩國(guó)的利益訴求, 而且對(duì)發(fā)展數(shù)據(jù)跨境流動(dòng)的國(guó)際規(guī)則具有重要意義。

一、 中美兩國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)的不同認(rèn)識(shí)

中美兩國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)的國(guó)際法規(guī)制路徑不同, 源于對(duì)數(shù)據(jù)跨境流動(dòng)的認(rèn)識(shí)不同。 這種不同認(rèn)識(shí)主要體現(xiàn)在以下三個(gè)方面(見(jiàn)表1):

(一) 數(shù)據(jù)跨境流動(dòng)對(duì)數(shù)字貿(mào)易發(fā)展產(chǎn)生的影響

美國(guó)具有數(shù)據(jù)技術(shù)優(yōu)勢(shì), 其數(shù)據(jù)產(chǎn)業(yè)基礎(chǔ)好、發(fā)展快, 能夠更好地利用數(shù)據(jù)跨境流動(dòng)提高效率和降低成本, 強(qiáng)調(diào)數(shù)據(jù)跨境流動(dòng)帶來(lái)的商業(yè)價(jià)值。 尤其在新冠肺炎疫情影響下, 美國(guó)認(rèn)為數(shù)據(jù)跨境流動(dòng)對(duì)保障數(shù)字服務(wù)和跨國(guó)業(yè)務(wù)的連續(xù)性至關(guān)重要。 中國(guó)則認(rèn)為發(fā)展中國(guó)家的數(shù)據(jù)技術(shù)和產(chǎn)業(yè)相對(duì)薄弱,過(guò)于自由的數(shù)據(jù)跨境流動(dòng)可能會(huì)對(duì)傳統(tǒng)產(chǎn)業(yè)和起步較晚的國(guó)內(nèi)數(shù)字產(chǎn)業(yè)造成沖擊, 容易使數(shù)據(jù)集中在具有數(shù)據(jù)技術(shù)和產(chǎn)業(yè)優(yōu)勢(shì)的發(fā)達(dá)國(guó)家手中, 從而加劇發(fā)展中國(guó)家與發(fā)達(dá)國(guó)家在數(shù)字貿(mào)易領(lǐng)域的差距,因此對(duì)數(shù)據(jù)跨境流動(dòng)持較為審慎的立場(chǎng)。

(二) 數(shù)據(jù)跨境流動(dòng)對(duì)國(guó)家安全的威脅

中美兩國(guó)均認(rèn)為數(shù)據(jù)跨境流動(dòng)會(huì)對(duì)國(guó)家安全產(chǎn)生影響。 中國(guó)認(rèn)為, 如果允許無(wú)限制的數(shù)據(jù)跨境流動(dòng), 國(guó)內(nèi)的基礎(chǔ)設(shè)施、 網(wǎng)絡(luò)系統(tǒng)等可能被攻擊而引發(fā)國(guó)家安全風(fēng)險(xiǎn), 因此會(huì)基于特定目標(biāo)采取數(shù)據(jù)本地化措施加以規(guī)制。 美國(guó)則采取“雙重標(biāo)準(zhǔn)”: 一方面, 認(rèn)為本國(guó)數(shù)據(jù)跨境流動(dòng)至外國(guó)會(huì)對(duì)美國(guó)國(guó)家安全產(chǎn)生重大影響, 因此采取嚴(yán)格限制。 例如, 通過(guò)外資安全審查限制儲(chǔ)存在美國(guó)境內(nèi)的特定數(shù)據(jù)跨境流動(dòng); 另一方面, 為獲得商業(yè)價(jià)值, 卻鼓勵(lì)外國(guó)更少限制數(shù)據(jù)跨國(guó)流動(dòng)至美國(guó), 在數(shù)字貿(mào)易談判中指責(zé)中國(guó)等發(fā)展中國(guó)家的數(shù)據(jù)本地化措施對(duì)貿(mào)易設(shè)置了障礙, 要求中國(guó)等國(guó)降低對(duì)數(shù)據(jù)的保護(hù)水平。

表1 中美兩國(guó)關(guān)于數(shù)據(jù)跨境流動(dòng)的不同認(rèn)識(shí)

(三) 數(shù)據(jù)跨境流動(dòng)與個(gè)人信息保護(hù)之間的關(guān)系

美國(guó)為了促進(jìn)商業(yè)利益, 更強(qiáng)調(diào)對(duì)消費(fèi)者隱私的保護(hù), 因此對(duì)其他數(shù)據(jù)跨境流動(dòng)中的個(gè)人信息保護(hù)采取較為寬松的態(tài)度。 中國(guó)則考慮到市場(chǎng)化媒體產(chǎn)業(yè)和網(wǎng)絡(luò)對(duì)個(gè)人信息產(chǎn)生的挑戰(zhàn), 出于保護(hù)個(gè)人信息并兼顧社會(huì)信息分享的考慮, 原則上不允許個(gè)人信息跨境流動(dòng), 強(qiáng)調(diào)在維護(hù)國(guó)家安全的前提下,對(duì)個(gè)人信息實(shí)行分類保護(hù)。 因業(yè)務(wù)需要的, 個(gè)人信息處理者需滿足特定條件, 并獲得個(gè)人單獨(dú)同意,個(gè)人數(shù)據(jù)才允許跨境流動(dòng), 個(gè)人數(shù)據(jù)的處理者應(yīng)承擔(dān)數(shù)據(jù)安全保護(hù)責(zé)任①參見(jiàn)《數(shù)據(jù)安全法》 第27 條、 第29 條、 第30 條。。

二、 中美兩國(guó)關(guān)于數(shù)據(jù)跨境流動(dòng)的國(guó)際法規(guī)制路徑

雖然中美兩國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)的認(rèn)識(shí)不同, 但都在國(guó)際法層面上采取了相應(yīng)的規(guī)制, 反映出中美兩國(guó)在數(shù)據(jù)跨境流動(dòng)問(wèn)題上的分歧(見(jiàn)表2)。

(一) 美國(guó)關(guān)于數(shù)據(jù)跨境流動(dòng)的國(guó)際法規(guī)制路徑

20 世紀(jì)80 年代, 美國(guó)就試圖在經(jīng)濟(jì)合作與發(fā)展組織(OECD) 內(nèi)部推行“數(shù)據(jù)保證項(xiàng)目” 以促進(jìn)國(guó)際投資。 1997 年美國(guó)通過(guò)制定《全球電子商務(wù)框架》 明確了其在有關(guān)問(wèn)題上的立場(chǎng)和國(guó)際談判中的路線圖。 從2001 年起, 美國(guó)與約旦、 澳大利亞、智利、 新加坡等國(guó)簽訂了雙邊自由貿(mào)易協(xié)定(FTA),并在其中納入電子商務(wù)章節(jié), 開始關(guān)注數(shù)據(jù)跨境流動(dòng)的規(guī)制措施。 以?shī)W巴馬政府時(shí)期制定的《數(shù)字24條》 (The Digital 2 Dozen) 為基礎(chǔ), 2010 年美韓FTA 中首次納入了專門的數(shù)據(jù)跨境流動(dòng)條款, 但僅強(qiáng)調(diào)了數(shù)據(jù)跨境流動(dòng)的重要性, 未對(duì)締約方提出強(qiáng)制要求。

2011 年11 月13 日, 美國(guó)開始不斷推進(jìn)并主導(dǎo)APEC 跨境隱私規(guī)則體系(CBPRs), 旨在通過(guò)區(qū)域規(guī)則要求締約方確保數(shù)據(jù)跨境的自由流動(dòng)。 2015 年美國(guó)主導(dǎo)促成的《跨太平洋伙伴關(guān)系協(xié)定》 (TPP)中也專門設(shè)置了商業(yè)信息跨境自由傳輸條款, 成為對(duì)締約方有約束力的條款, 并在 《美墨加協(xié)定》(USMCA) 和《美日數(shù)字貿(mào)易協(xié)定》 (USJDTA) 中將該條款的適用范圍不斷擴(kuò)大。 《大西洋貿(mào)易與投資伙伴關(guān)系協(xié)定》 (TTIP) 中, 美國(guó)還極力要求將數(shù)據(jù)跨境流動(dòng)規(guī)則適用于所有部門。

此外, 美國(guó)還致力于在WTO 多邊框架下推行其數(shù)據(jù)跨境流動(dòng)的主張。 2013 年起, 美國(guó)將其數(shù)據(jù)跨境流動(dòng)主張納入《服務(wù)貿(mào)易協(xié)定》 (TISA) 談判,主張信息跨境自由流動(dòng), 反對(duì)WTO 成員以數(shù)據(jù)本地化作為允許服務(wù)提供者在本國(guó)提供服務(wù)的前提條件。2016 年, 美國(guó)向WTO 總理事會(huì)提交的關(guān)于電子商務(wù)的非立場(chǎng)文件和2018 年提交的《關(guān)于電子商務(wù)的聯(lián)合聲明》 的議案中, 也都明確提出要確保數(shù)據(jù)自由流動(dòng), 限制數(shù)據(jù)本地化。

(二) 中國(guó)關(guān)于數(shù)據(jù)跨境流動(dòng)的國(guó)際法規(guī)制路徑

中國(guó)是數(shù)據(jù)大國(guó), 一直積極為全球數(shù)據(jù)治理貢獻(xiàn)中國(guó)方案。 2004 年中國(guó)與其他APEC 成員共同簽署了《APEC 隱私保護(hù)框架》, 明確了成員間數(shù)據(jù)跨境流動(dòng)的基本原則, 即數(shù)據(jù)的跨境流動(dòng)應(yīng)獲得數(shù)據(jù)主體的同意。 2019 年中國(guó)與其他國(guó)家在《大阪數(shù)字經(jīng)濟(jì)宣言》 中明確了 “基于信任的數(shù)字流動(dòng)” 概念, 倡議建立兼顧個(gè)人隱私、 知識(shí)產(chǎn)權(quán)、 網(wǎng)絡(luò)安全、倫理的數(shù)據(jù)跨境流動(dòng)規(guī)則。 2020 年中國(guó)提出的《全球數(shù)據(jù)安全倡議》 和2021 年與阿拉伯國(guó)家聯(lián)盟共同發(fā)表的《中阿數(shù)據(jù)安全倡議》 中都表達(dá)了中國(guó)關(guān)于數(shù)據(jù)跨境流動(dòng)的主張, 即在相互尊重國(guó)家安全的基礎(chǔ)上解決數(shù)據(jù)跨境流動(dòng)問(wèn)題。

從雙邊層面來(lái)看, 在中國(guó)已經(jīng)簽署并生效的雙邊FTA 中, 中國(guó)—澳大利亞FTA、 中國(guó)—新加坡關(guān)于升級(jí)FTA 的議定書、 中國(guó)—韓國(guó)FTA 中已經(jīng)納入了單獨(dú)的電子商務(wù)章節(jié)①參見(jiàn)中國(guó)—澳大利亞FTA 第12 章、 中國(guó)—新加坡關(guān)于升級(jí)FTA 的議定書中第15 章、 中國(guó)—韓國(guó)FTA 第13 章。, 尤其是2020 年中國(guó)香港—澳大利亞FTA 第11 章中突破性地納入了信息跨境流動(dòng)、計(jì)算機(jī)設(shè)備位置、 個(gè)人信息保護(hù)等承諾。 此外, 中國(guó)還與《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》 (DEPA) 的三方(新加坡、 新西蘭和智利) 均簽署了雙邊FTA, 并且在中新FTA 和中智FTA 中納入了電子商務(wù)章節(jié)。 雖然上述FTA 中都未設(shè)置專門的數(shù)據(jù)跨境流動(dòng)條款,但都體現(xiàn)了中國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)持有的開放態(tài)度。

從區(qū)域?qū)用鎭?lái)看, 中國(guó)加入的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》 (RCEP) 已經(jīng)生效, 這是中國(guó)首次加入設(shè)置了專門的數(shù)據(jù)跨境流動(dòng)條款的國(guó)際貿(mào)易協(xié)定。 RCEP 第12 章(電子商務(wù)章節(jié)) 肯定了電子商務(wù)的重要性, 體現(xiàn)了現(xiàn)階段中國(guó)在數(shù)據(jù)跨境流動(dòng)問(wèn)題上的主張。 此外, 2021 年中國(guó)申請(qǐng)加入的《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》 (CPTPP) 和DEPA也都設(shè)置了專門的數(shù)據(jù)跨境流動(dòng)條款。

從多邊層面來(lái)看, 2016 年中國(guó)首次向WTO 提交了有關(guān)電子商務(wù)的建議書。 2019 年1 月, 中國(guó)與76 個(gè)WTO 成員一起簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》, 共同發(fā)起了電子商務(wù)談判。 2019 年4 月,中國(guó)通過(guò)WTO 散發(fā)了電子商務(wù)談判的首輪提案, 提案文件中強(qiáng)調(diào)了數(shù)據(jù)跨境流動(dòng)的前提是安全, 因此主張尊重成員對(duì)數(shù)據(jù)跨境流動(dòng)的監(jiān)管權(quán), 允許各國(guó)通過(guò)制定國(guó)內(nèi)法保障數(shù)據(jù)安全、 有序、 自由地流動(dòng)。

三、 中美數(shù)據(jù)跨境流動(dòng)國(guó)際法規(guī)制的分歧

在國(guó)際法規(guī)制路徑上, 美國(guó)試圖以其主導(dǎo)的CBPRs 為基礎(chǔ), 使企業(yè)自愿獲得認(rèn)證, 實(shí)現(xiàn)數(shù)據(jù)自由傳輸, 從而使全球企業(yè)認(rèn)同“美式數(shù)據(jù)跨境流動(dòng)標(biāo)準(zhǔn)”。 中國(guó)則主張?jiān)诰S護(hù)各國(guó)數(shù)據(jù)主權(quán)的基礎(chǔ)上,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù), 實(shí)行多元化的數(shù)據(jù)治理。本文以中國(guó)加入的RCEP 與美國(guó)加入的USMCA 為例進(jìn)行比較, 分析中美在數(shù)據(jù)跨境流動(dòng)國(guó)際法規(guī)制上的分歧(見(jiàn)表3)。

(一) 金融信息的跨境流動(dòng)②RCEP 和USMCA 中均使用了“金融信息” 的表述, 而我國(guó)國(guó)內(nèi)法律法規(guī)采用了“金融數(shù)據(jù)” 和“金融信息” 的表述但未做區(qū)分。 事實(shí)上, 金融數(shù)據(jù)比金融信息范圍更廣, 在立法上應(yīng)加以區(qū)別或統(tǒng)一。 但鑒于本文的主題, 本文不做專門區(qū)分表述和分析, 采用法律文本原本的表述。

RCEP 第12.1 條(b) 款和第12.15 條第2 款明確排除了金融服務(wù)章節(jié)中定義的金融機(jī)構(gòu)、 公共實(shí)體和金融服務(wù)提供者, 即禁止金融信息跨境提供,原則上實(shí)行本地化。 RCEP 第8 章附件一(金融服務(wù))第9 條第3 款和第4 款中進(jìn)一步規(guī)定了締約方出于監(jiān)管或?qū)徤髟? 或根據(jù)法律法規(guī)維護(hù)個(gè)人數(shù)據(jù)、 個(gè)人隱私、 個(gè)人記錄和賬戶機(jī)密性, 可以對(duì)金融數(shù)據(jù)采取本地化措施, 但不得以此作為規(guī)避RCEP 項(xiàng)下義務(wù)的手段。 中國(guó)法律法規(guī)中也規(guī)定了金融數(shù)據(jù)是重要數(shù)據(jù),原則上禁止跨境流動(dòng), 實(shí)行本地存儲(chǔ); 因業(yè)務(wù)需求跨境流動(dòng)的須經(jīng)安全評(píng)估。 可見(jiàn), RCEP 不僅強(qiáng)調(diào)了金融信息的重要性, 也兼顧了締約方監(jiān)管需求和維護(hù)個(gè)人數(shù)據(jù)安全的權(quán)利, 這與中國(guó)相關(guān)立法理念較為一致。

表2 中美兩國(guó)關(guān)于數(shù)據(jù)跨境流動(dòng)的國(guó)際法規(guī)制路徑

表3 中美兩國(guó)數(shù)據(jù)跨境流動(dòng)國(guó)際法規(guī)制的核心分歧

USMCA 中則納入了“金融信息的自由轉(zhuǎn)移” 條款(第17.17 條)。 第17.17 條第1 款規(guī)定了締約方不得阻止在其許可、 授權(quán)、 注冊(cè)范圍內(nèi)為開展業(yè)務(wù)以電子方式進(jìn)行信息(包括個(gè)人信息) 跨境傳輸, 不僅將數(shù)據(jù)跨境流動(dòng)范圍擴(kuò)大到金融信息, 而且明確了數(shù)據(jù)范圍是經(jīng)許可、 授權(quán)、 注冊(cè)為開展業(yè)務(wù)需要的信息。 第17.17 條還規(guī)定了不限制締約方采取或維持保護(hù)個(gè)人數(shù)據(jù)、 隱私、 記錄和賬戶機(jī)密措施的權(quán)利,前提是這些措施不能減損第17.17 條項(xiàng)下的義務(wù)。此外, USMCA 第17.18 條還規(guī)定了“只要締約方的金融機(jī)構(gòu)出于監(jiān)管目的, 能夠?qū)τ?jì)算設(shè)施上處理和存儲(chǔ)的相關(guān)人員的信息進(jìn)行及時(shí)、 直接、 完整和持續(xù)的訪問(wèn), 任何締約方就不得以所涉之人必須使用其境內(nèi)計(jì)算設(shè)施或?qū)⒂?jì)算設(shè)施設(shè)于其境內(nèi)作為其在該締約方境內(nèi)開展業(yè)務(wù)的條件”。 可見(jiàn), USMCA 通過(guò)17.18 條取消了金融數(shù)據(jù)存儲(chǔ)本地化的要求, 也賦予了監(jiān)管機(jī)構(gòu)獲取金融信息的權(quán)利。

(二) 數(shù)據(jù)跨境流動(dòng)的例外情形

數(shù)據(jù)跨境流動(dòng)雖然會(huì)促進(jìn)國(guó)際貿(mào)易發(fā)展, 但也可能對(duì)國(guó)家安全和個(gè)人隱私產(chǎn)生威脅, 因此各國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)采取了不同程度的限制。 中美兩國(guó)在該問(wèn)題上也存在著分歧:

1. 數(shù)據(jù)跨境流動(dòng)條款中的例外情形

首先, RCEP 第12.15 條第2 款和USMCA 第19.11 條第1 款都規(guī)定了締約方不應(yīng)阻止基于商業(yè)行為的數(shù)據(jù)跨境流動(dòng), 這為締約方設(shè)置了強(qiáng)制性義務(wù)。 USMCA 進(jìn)而在第19.11 條第2 款列出了例外情形, 即允許締約方為實(shí)現(xiàn)合法公共政策目標(biāo)采取對(duì)數(shù)據(jù)跨境流動(dòng)的限制措施, 但必須滿足三個(gè)條件:一是不能構(gòu)成任意的或不合理的歧視; 二是不能構(gòu)成對(duì)貿(mào)易的變相限制; 三是對(duì)信息傳輸不能施加超出實(shí)現(xiàn)目標(biāo)必要的限度。 RCEP 第12.15 條第3 款(a) 則規(guī)定了“締約方可以為實(shí)現(xiàn)其所認(rèn)為的合法公共政策目標(biāo)采取本地化措施”, 刪除了USMCA 第19.11 條第2 款中的第三個(gè)條件, 但比USMCA 增加了“其所認(rèn)為” (it considers) 的措辭, 從而為締約方判斷本地化措施的必要性留下了較大裁量權(quán)。 此外, RCEP 第12.15 條第3 款(b) 還增加了“基本安全例外”, 即締約方認(rèn)為其基于維護(hù)基本安全利益而采取的必要措施, 其他利益方不得對(duì)此類措施提出異議, 不僅擴(kuò)大了允許采取本地化措施的范圍,而且將采取措施的必要性交由締約方自己決定, 這實(shí)際上是賦予了締約方?jīng)Q定性的權(quán)利, 為締約方將來(lái)采取本地化措施留下了很大空間。

2. 計(jì)算機(jī)設(shè)置條款中的例外情形

RCEP 第12.14 條第1 款賦予了締約方對(duì)計(jì)算設(shè)施使用(或設(shè)置) 的監(jiān)管要求。 在例外規(guī)定上,RCEP 第12.14 條第3 款采取了與第12.15 條第3 款一致的規(guī)定。 USMCA 第19.12 條則完全刪除了合法公共政策目標(biāo)例外, 意味著在任何情況下締約方都不得將在其境內(nèi)使用或設(shè)置計(jì)算設(shè)施作為在其境內(nèi)開展業(yè)務(wù)的條件。 可見(jiàn), USMCA 否定了為公共政策目標(biāo)采取計(jì)算設(shè)施本地化措施的正當(dāng)性, 強(qiáng)化了數(shù)據(jù)跨境流動(dòng)條款的執(zhí)行力, 旨在更大限度地促進(jìn)數(shù)據(jù)跨境的自由流動(dòng)。

由此可見(jiàn), RCEP 的締約方采取數(shù)據(jù)本地化措施有較大彈性, 而USMCA 則逐漸壓縮數(shù)據(jù)本地化措施的空間, 這反映了在該問(wèn)題上中國(guó)更加強(qiáng)調(diào)數(shù)據(jù)主權(quán), 美國(guó)更加強(qiáng)調(diào)數(shù)據(jù)最大限度的自由流動(dòng)。

(三) 數(shù)據(jù)跨境流動(dòng)中的個(gè)人信息保護(hù)

在個(gè)人信息保護(hù)問(wèn)題上, 美國(guó)強(qiáng)調(diào)對(duì)個(gè)人數(shù)據(jù)進(jìn)行商業(yè)利用, 弱化對(duì)個(gè)人隱私干預(yù)。 因此, 反對(duì)限制數(shù)據(jù)跨境流動(dòng), 極力推行行業(yè)自律模式, 即企業(yè)可以自愿接受行業(yè)隱私規(guī)則, 也可以接受獨(dú)立第三方隱私認(rèn)證機(jī)構(gòu)對(duì)其隱私政策的審核, 并獲得認(rèn)證標(biāo)識(shí), 顯示出美國(guó)試圖避免通過(guò)統(tǒng)一法律對(duì)數(shù)據(jù)活動(dòng)過(guò)多干預(yù), 以使企業(yè)自由發(fā)揮數(shù)據(jù)技術(shù)優(yōu)勢(shì),獲得相關(guān)商業(yè)利益。

在國(guó)際貿(mào)易協(xié)定中, 美國(guó)極力推行其企業(yè)自律模式。 首先, USMCA 第19.8 條第2 款明確了締約方保護(hù)數(shù)字貿(mào)易中個(gè)人信息的法律框架的發(fā)展, 所參考的 “原則和指南” 應(yīng)是CBPRs 和2013 年《OECD 理事會(huì)關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》 (以下簡(jiǎn)稱《OECD 指南》 )。 CBPRs 是政府支持的信息隱私認(rèn)證, 認(rèn)證對(duì)象是企業(yè)。 如果企業(yè)加入CBPRs 并通過(guò)第三方機(jī)構(gòu)認(rèn)證, 那么該企業(yè)與參與CBPRs 的經(jīng)濟(jì)體之間就可以實(shí)現(xiàn)信息自由流動(dòng)?？梢?jiàn), CBPRs 的認(rèn)證機(jī)制與美國(guó)企業(yè)自律模式一致。 其次, USMCA 第19.8 條第3 款還明確了第19.8 條第2 款中的“原則” 應(yīng)包括“限制收集、 選擇、 數(shù)據(jù)質(zhì)量、 目的規(guī)范、 使用限制、 安全保障、透明度、 個(gè)人參與和責(zé)任”, 這八項(xiàng)原則實(shí)際上是美國(guó)公平信息行為準(zhǔn)則的內(nèi)容。 USMCA 還要求締約方個(gè)人信息的保護(hù)措施、 數(shù)據(jù)跨境流動(dòng)的限制措施應(yīng)具有必要性和與風(fēng)險(xiǎn)相稱的限度。 以上反映出美國(guó)強(qiáng)調(diào)其企業(yè)自律模式與CBPRs 一致的合法性, 并借CBPRs 意圖主導(dǎo)個(gè)人信息保護(hù)的國(guó)際標(biāo)準(zhǔn)。

中國(guó)加入的RCEP 第12.8 條也規(guī)定了“締約方應(yīng)采用或維持保護(hù)電子商務(wù)用戶個(gè)人信息的法律框架, 法律框架的制定應(yīng)考慮相關(guān)國(guó)際機(jī)構(gòu)的原則和指南”, 但并未明確“相關(guān)國(guó)際機(jī)構(gòu)的原則和指南”的范圍。 第12.8 條的注釋8 進(jìn)一步規(guī)定了法律的執(zhí)行方式可以是國(guó)家主導(dǎo)下通過(guò)立法保護(hù)個(gè)人信息,也可以是企業(yè)自律模式, 但前提是該國(guó)具有強(qiáng)制執(zhí)行該義務(wù)的法律法規(guī)①RCEP 第12.8 條的注釋8 規(guī)定, “為進(jìn)一步明確, 一締約方可以通過(guò)采取或維持全面的隱私權(quán)和個(gè)人信息保護(hù)的法律和法規(guī), 或涉及個(gè)人信息保護(hù)的具體部門法律和法規(guī), 或確保執(zhí)行企業(yè)法人承擔(dān)的與保護(hù)個(gè)人信息相關(guān)的合同義務(wù)的法律和法規(guī)等措施來(lái)遵守本款項(xiàng)下的義務(wù)”。。 可見(jiàn), RCEP 對(duì)個(gè)人信息保護(hù)方式較為包容, 為締約方提供了更多選擇。

此外, 面對(duì)各國(guó)會(huì)采取不同法律方式保護(hù)個(gè)人信息, USMCA、 RCEP 都規(guī)定了締約方應(yīng)鼓勵(lì)建立促進(jìn)不同體制之間的兼容性機(jī)制, 但在機(jī)制安排上規(guī)定不同。 RCEP 肯定了機(jī)制的多樣性, 規(guī)定了該機(jī)制應(yīng)包括對(duì)監(jiān)管結(jié)果的承認(rèn), 無(wú)論是自主給予還是通過(guò)共同安排, 或通過(guò)更廣泛的國(guó)際框架, 未否定個(gè)人信息保護(hù)的企業(yè)自律模式, 但也未承認(rèn)CBPRs 企業(yè)自律模式的有效性。 而USMCA 則強(qiáng)調(diào)了應(yīng)以CBPRs 引導(dǎo)兼容性機(jī)制。

總體而言, RCEP 對(duì)個(gè)人信息保護(hù)的要求相對(duì)寬松, 尊重不同國(guó)家個(gè)人信息保護(hù)法律的差異性。USMCA 比RCEP 的個(gè)人信息保護(hù)要求更多, 增加了對(duì)個(gè)人信息保護(hù)措施必要性和限度的要求, 還對(duì)制定法律框架的原則、 指南以及合作機(jī)制做出了規(guī)定;并將其主導(dǎo)的CBPRs 作為締約方參考的個(gè)人信息保護(hù)標(biāo)準(zhǔn), 體現(xiàn)了美國(guó)在個(gè)人信息保護(hù)規(guī)則上爭(zhēng)奪主導(dǎo)權(quán)的意圖。

四、 中國(guó)的因應(yīng)

針對(duì)中美兩國(guó)在數(shù)據(jù)跨境流動(dòng)上的不同立場(chǎng)和國(guó)際法規(guī)制路徑, 我國(guó)可以從以下四個(gè)方面加以應(yīng)對(duì):

(一) 進(jìn)一步明確金融數(shù)據(jù)跨境流動(dòng)的范圍和情形

首先, 中美兩國(guó)在金融數(shù)據(jù)跨境流動(dòng)問(wèn)題上還存在分歧。 我國(guó)《數(shù)據(jù)安全法》 和《網(wǎng)絡(luò)安全法》雖然明確了金融數(shù)據(jù)應(yīng)境內(nèi)存儲(chǔ), 因業(yè)務(wù)需要確需向境外提供的, 應(yīng)當(dāng)經(jīng)安全評(píng)估①參見(jiàn)《數(shù)據(jù)安全法》 第31 條、 《網(wǎng)絡(luò)安全法》 第31 條和第37 條。, 但并未規(guī)定“因業(yè)務(wù)需要” 的具體情形、 允許跨境流動(dòng)的金融數(shù)據(jù)范圍。 因此, 我國(guó)立法中應(yīng)明確“因業(yè)務(wù)需要” 的具體情形, 即哪些是日常經(jīng)營(yíng)所必需的, 哪些是國(guó)外監(jiān)管要求的金融數(shù)據(jù)跨境流動(dòng)等。 這樣不僅能夠使中美在該問(wèn)題上獲得更多合集, 而且能夠使我國(guó)相關(guān)立法更具操作性。

其次, 我國(guó)法律法規(guī)中金融數(shù)據(jù)的分類與跨境流動(dòng)關(guān)聯(lián)小。 我國(guó)《數(shù)據(jù)安全法》 將數(shù)據(jù)分為核心數(shù)據(jù)、 重要數(shù)據(jù)或一般數(shù)據(jù), 并根據(jù)數(shù)據(jù)類型、 是否有業(yè)務(wù)需求等規(guī)定是否允許跨境流動(dòng)。 但2011 年中國(guó)人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人信息保護(hù)工作的通知》 中將個(gè)人金融信息分為個(gè)人身份信息、 財(cái)產(chǎn)信息、 賬戶信息等; 2020 年發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》 中又將個(gè)人金融信息分為賬戶信息、 金融交易信息等, 以上分類不統(tǒng)一, 與《數(shù)據(jù)安全法》 分類也不同, 且未明確金融信息屬于《數(shù)據(jù)安全法》 中的哪類數(shù)據(jù), 在何種情形下允許跨境流動(dòng)。 這些規(guī)定含糊不清, 可能導(dǎo)致金融機(jī)構(gòu)在具體操作中缺乏統(tǒng)一的規(guī)則指導(dǎo), 也可能導(dǎo)致正常業(yè)務(wù)需要的金融信息難以跨境流動(dòng)。因此, 我國(guó)應(yīng)將金融信息按照《數(shù)據(jù)安全法》 規(guī)定分類, 以金融信息所屬的數(shù)據(jù)類別作為判斷是否允許跨境流動(dòng)的依據(jù)。 例如, 會(huì)計(jì)數(shù)據(jù)等敏感數(shù)據(jù)可列入核心數(shù)據(jù)禁止跨境流動(dòng), 僅在特定需求時(shí)允許跨境流動(dòng); 因業(yè)務(wù)需求的賬戶信息等則可以列入重要數(shù)據(jù), 經(jīng)過(guò)數(shù)據(jù)主體同意和評(píng)估后允許跨境流動(dòng)。

(二) 完善個(gè)人信息保護(hù)的行業(yè)自律規(guī)則

中美雖然在個(gè)人信息跨境流動(dòng)問(wèn)題上仍存在分歧, 但RCEP 中未否定通過(guò)行業(yè)自律模式保護(hù)個(gè)人信息, 而RCEP 成員與APEC 成員也存在重合, 因此, 將來(lái)中美仍有可能在行業(yè)自律規(guī)則方面產(chǎn)生關(guān)聯(lián), 我國(guó)個(gè)人信息的行業(yè)自律規(guī)則也應(yīng)進(jìn)一步明確。

首先, 我國(guó)存在著《網(wǎng)絡(luò)數(shù)據(jù)和用戶個(gè)人信息、 收集使用自律公約》 等行業(yè)自律規(guī)則, 但司法定位模糊, 法律效力不清。 因此, 我國(guó)目前雖無(wú)意愿接受CBPRs 和USMCA 中的相關(guān)條款, 但也有必要將行業(yè)自律規(guī)則視為CPTPP 第14.8 條注釋6 的“自愿承諾” 或RCEP 第12.8 條注釋8 中的“合同義務(wù)”, 視其具有約束力, 從而與RCEP 和CPTPP一致。

其次, RCEP 生效后, 我國(guó)也面臨著判斷他國(guó)行業(yè)自律規(guī)則是否與RCEP 規(guī)定一致的問(wèn)題, 因此需要建立起對(duì)他國(guó)行業(yè)自律規(guī)則的評(píng)估機(jī)制。 我國(guó)對(duì)他國(guó)行業(yè)自律規(guī)則的評(píng)估標(biāo)準(zhǔn)不宜過(guò)嚴(yán), 他國(guó)的行業(yè)自律規(guī)則與中國(guó)的標(biāo)準(zhǔn)基本一致即可。 也可要求他國(guó)行業(yè)自律規(guī)則與我國(guó)一樣在司法上具有可執(zhí)行性, 從而判斷他國(guó)行業(yè)自律規(guī)則是否具有可強(qiáng)制執(zhí)行性而非流于形式。

(三) 建立對(duì)數(shù)據(jù)規(guī)制措施必要性的評(píng)估制度

數(shù)據(jù)本地化措施對(duì)于維護(hù)國(guó)家安全和個(gè)人信息安全具有重要意義, 但締約方也容易就數(shù)據(jù)本地化措施的必要性產(chǎn)生爭(zhēng)議。 因此, 我國(guó)可以建立對(duì)數(shù)據(jù)規(guī)制措施必要性的評(píng)估制度, 為我國(guó)采取本地化措施提供依據(jù)。 例如, 歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR) 中建立了數(shù)據(jù)保護(hù)影響評(píng)估制度, 旨在評(píng)估數(shù)據(jù)規(guī)制措施的必要性和適當(dāng)性。 澳大利亞2020年也發(fā)布了《隱私影響評(píng)估準(zhǔn)則》 以評(píng)估數(shù)據(jù)規(guī)制措施對(duì)個(gè)人隱私安全產(chǎn)生的影響。 我國(guó)也可以建立相關(guān)的評(píng)估制度, 根據(jù)數(shù)據(jù)類型、 數(shù)據(jù)處理行為類型、 數(shù)據(jù)處理行為可能產(chǎn)生的風(fēng)險(xiǎn)程度等因素來(lái)評(píng)估數(shù)據(jù)規(guī)制措施的必要性, 明確必要性的內(nèi)涵, 發(fā)布評(píng)估指南, 這樣不僅能夠?yàn)轭A(yù)防風(fēng)險(xiǎn)提供方案, 而且能夠?yàn)橄嚓P(guān)主體采取數(shù)據(jù)規(guī)制措施提供參考。

(四) 完善標(biāo)準(zhǔn)合同條款的設(shè)計(jì)和數(shù)據(jù)出境評(píng)估機(jī)制

我國(guó)《個(gè)人信息保護(hù)法》 中規(guī)定了在數(shù)據(jù)主體同意下, 數(shù)據(jù)跨境流動(dòng)的傳輸工具包括安全評(píng)估、認(rèn)證機(jī)制和標(biāo)準(zhǔn)合同三種, 但中國(guó)目前有關(guān)安全評(píng)估和標(biāo)準(zhǔn)合同的規(guī)定都仍處于設(shè)計(jì)和征求意見(jiàn)稿階段。

首先, 《數(shù)據(jù)出境安全評(píng)估辦法》 第8 條和第9條、 《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿) 》第13 條至第15 條提供了合同標(biāo)準(zhǔn)化的路徑, 但這些條款設(shè)計(jì)都比較原則性。 對(duì)于標(biāo)準(zhǔn)化合同的設(shè)計(jì),我國(guó)可以借鑒歐盟標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款(standard data protection clauses) 中的模塊化設(shè)計(jì)①2021 年6 月4 日, 歐盟委員會(huì)發(fā)布的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款替代了之前2001 年、 2004 年以及2010 年出臺(tái)的標(biāo)準(zhǔn)合同條款。 2021 年歐盟委員會(huì)發(fā)布的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款中區(qū)分了四種數(shù)據(jù)傳輸模式: 一是控制者到控制者; 二是控制者到處理者; 三是處理者到處理者; 四是處理者到控制者。 四種不同數(shù)據(jù)傳輸模式下, 數(shù)據(jù)處理者的責(zé)任義務(wù)不同。, 區(qū)分個(gè)人信息處理者和控制者之間的多種跨境傳輸場(chǎng)景, 并進(jìn)一步明確信息處理者、 控制者和接收者在不同傳輸場(chǎng)景下的相應(yīng)義務(wù)。 從而使商事主體能夠根據(jù)自身需求選擇, 滿足不同的跨境傳輸業(yè)務(wù)。 但是在借鑒中, 應(yīng)區(qū)分我國(guó)相關(guān)法律中與歐盟標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款中處理者和控制者的不同。

其次, 完善中國(guó)數(shù)據(jù)出境評(píng)估機(jī)制。 第一, 我國(guó)可進(jìn)一步明確評(píng)估事項(xiàng)中數(shù)據(jù)出境的合法性、 正當(dāng)性、 必要性和風(fēng)險(xiǎn)可控性, 以便相關(guān)評(píng)估部門具體操作。 合法性應(yīng)評(píng)估數(shù)據(jù)是否屬于法律所禁止或有關(guān)部門認(rèn)定不能出境的數(shù)據(jù)類型; 正當(dāng)性應(yīng)評(píng)估個(gè)人數(shù)據(jù)是否獲得授權(quán)同意, 或獲得授權(quán)同意但對(duì)國(guó)家安全有潛在重大風(fēng)險(xiǎn)等; 必要性應(yīng)評(píng)估數(shù)據(jù)出境是否因業(yè)務(wù)需要, 或?yàn)槁男形覈?guó)法定義務(wù)、 國(guó)際條約義務(wù)或合同義務(wù)所必需等; 風(fēng)險(xiǎn)可控性應(yīng)評(píng)估出境數(shù)據(jù)屬性、 類型及敏感程度、 是否可能發(fā)生安全風(fēng)險(xiǎn)等。 第二, 明確數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告的內(nèi)容, 以便數(shù)據(jù)處理者自我評(píng)估。 自評(píng)估報(bào)告可以包括數(shù)據(jù)出境目的、 數(shù)據(jù)類型和范圍、 數(shù)據(jù)出境傳輸工具、 潛在風(fēng)險(xiǎn)、 數(shù)據(jù)發(fā)送方和接收方, 以及接收方所在國(guó)家的數(shù)據(jù)保護(hù)能力等。 第三, 建立白名單機(jī)制。 可以視外國(guó)數(shù)據(jù)法律的完善程度, 允許我國(guó)與部分國(guó)家之間數(shù)據(jù)自由跨境流動(dòng), 這些國(guó)家應(yīng)滿足一定條件。 例如, 達(dá)到我國(guó)數(shù)據(jù)保護(hù)的最低水平; 獲取數(shù)據(jù)的權(quán)利受到我國(guó)相關(guān)法律約束; 國(guó)內(nèi)數(shù)據(jù)法律立法、 執(zhí)法透明并存在救濟(jì)措施等。 同時(shí),保持對(duì)白名單的評(píng)估和更新, 既可以減輕企業(yè)合規(guī)和審查機(jī)構(gòu)的負(fù)擔(dān), 也可以實(shí)現(xiàn)國(guó)家安全和審查效率的平衡。