郭海玲 劉仲山

(河北大學(xué)管理學(xué)院 保定 071002)

0 引 言

隨著以互聯(lián)網(wǎng)產(chǎn)業(yè)化、人工智能、虛擬現(xiàn)實(shí)等為代表的第四次工業(yè)革命的發(fā)展,“數(shù)字化賦能”成為當(dāng)今社會發(fā)展變革的主要方向。與此同時(shí),在云計(jì)算、人工智能及物聯(lián)網(wǎng)等數(shù)據(jù)處理、存儲、分析技術(shù)日趨成熟的大背景下,貿(mào)易作為一種生產(chǎn)要素的社會性交換活動,也在朝著數(shù)字化方向發(fā)展。由此衍生出的數(shù)字貿(mào)易成為貿(mào)易提振升級的重要發(fā)展方向[1]。我國高度重視數(shù)字貿(mào)易發(fā)展,2022年政府工作報(bào)告中首次提到數(shù)字貿(mào)易,并將其列入到擴(kuò)大國家高水平對外開放的重要內(nèi)容中,為我國跨境數(shù)字貿(mào)易發(fā)展帶來較好的契機(jī)。與此同時(shí),我國依托先進(jìn)的信息技術(shù)與國內(nèi)數(shù)字貿(mào)易的成功經(jīng)驗(yàn),在跨境數(shù)字貿(mào)易中展現(xiàn)出較強(qiáng)的競爭優(yōu)勢。據(jù)《數(shù)字貿(mào)易發(fā)展與合作報(bào)告(2022)》顯示,2021年我國數(shù)字服務(wù)進(jìn)出口總值達(dá)3596.9億美元,同比增長22.3%,占服務(wù)進(jìn)出口比重達(dá)43.2%。

跨境數(shù)字貿(mào)易發(fā)展之所以能夠在傳統(tǒng)跨境貿(mào)易中脫穎而出,主要在于其可以通過一系列知識化、數(shù)字化服務(wù)實(shí)現(xiàn)全球范圍內(nèi)的精準(zhǔn)化貿(mào)易流通,而這種高效貿(mào)易方式的運(yùn)行需要依托海量用戶數(shù)據(jù)尤其是個(gè)人用戶數(shù)據(jù)來實(shí)現(xiàn)。然而數(shù)字貿(mào)易在貿(mào)易對象與貿(mào)易方式等方面與傳統(tǒng)貿(mào)易存在較大差距[2]。因此原有的傳統(tǒng)貿(mào)易規(guī)則并不能完全適用于數(shù)字貿(mào)易,再加之跨境數(shù)字貿(mào)易中各參與方在行為觀念、行政監(jiān)管、執(zhí)法尺度上存在固有差異等諸多因素,使得大量個(gè)人用戶數(shù)據(jù)被濫用甚至泄露[3]。這一狀況很大程度上阻礙了跨境數(shù)字貿(mào)易市場的規(guī)范與發(fā)展。

為了有效解決跨境數(shù)字貿(mào)易發(fā)展中面臨的新型個(gè)人數(shù)據(jù)安全問題,各個(gè)國家與國際組織通過相關(guān)法律法規(guī)對此進(jìn)行規(guī)制。例如:美國于2020年正式實(shí)施的《加州消費(fèi)者隱私法案》;韓國在2020年1月通過了《個(gè)人信息保護(hù)法》《信用信息法》《信息通信網(wǎng)法》的修訂案;我國在2021年11月開始實(shí)施《中華人民共和國個(gè)人信息保護(hù)法》等。上述法案的設(shè)立均是以強(qiáng)制形式來構(gòu)建新型數(shù)字貿(mào)易準(zhǔn)則,從而切實(shí)維護(hù)公民合法權(quán)益、保障企業(yè)良性發(fā)展、促進(jìn)國家網(wǎng)絡(luò)安全。這其中最具影響力與借鑒意義的是歐盟于2018年正式實(shí)施的《通用數(shù)據(jù)保護(hù)條例》(GDPR)。GDPR作為一部以正式法典形式出現(xiàn)的條例,因其對個(gè)人數(shù)據(jù)保護(hù)具有寬泛的保護(hù)范圍、極高的實(shí)施標(biāo)準(zhǔn)以及嚴(yán)苛的監(jiān)管懲罰力度,所以被稱為全球最嚴(yán)數(shù)據(jù)保護(hù)法規(guī)與世界數(shù)據(jù)保護(hù)立法標(biāo)桿,其為其他各國的個(gè)人數(shù)據(jù)保護(hù)提供了法律范本。因此,通過系統(tǒng)分析研究GDPR的內(nèi)容,明晰跨境數(shù)字貿(mào)易中現(xiàn)存的個(gè)人數(shù)據(jù)安全問題,并有針對性的探討應(yīng)對策略,不僅有助于我國跨境數(shù)字貿(mào)易企業(yè)提高對服務(wù)用戶數(shù)據(jù)的保護(hù)意識,還可以為我國跨境數(shù)字貿(mào)易企業(yè)合規(guī)經(jīng)營提供方法論的指導(dǎo)。

1 國內(nèi)外相關(guān)研究

GDPR作為個(gè)人數(shù)據(jù)保護(hù)中具有里程碑意義的條例,近年來受到大量中外學(xué)者關(guān)注并產(chǎn)生了諸多研究成果,涉及如下三個(gè)主題:①GDPR發(fā)展與影響研究,該主題主要介紹并論述了GDPR產(chǎn)生的背景條件、演進(jìn)內(nèi)容及影響意義。其中,劉云[4]從數(shù)據(jù)保護(hù)起源于對傳統(tǒng)個(gè)人隱私保護(hù)這一角度出發(fā),介紹了GDPR的產(chǎn)生背景、演進(jìn)過程與主要內(nèi)容;何治樂等[5]從法律規(guī)則、執(zhí)法負(fù)擔(dān)、全球化發(fā)展三方面分析了GDPR出臺的必要性,同時(shí)通過與《1995 年個(gè)人數(shù)據(jù)保護(hù)指令》進(jìn)行比較,總結(jié)出GDPR在國內(nèi)外的影響意義;Hoofnagle等[6]描述了GDPR的規(guī)范基礎(chǔ),并對日后GDPR實(shí)施可能產(chǎn)生的一系列影響進(jìn)行了預(yù)測;Teixeira等[7]在介紹GDPR內(nèi)容基礎(chǔ)上,確定GDPR實(shí)施的關(guān)鍵因素,并分析了GDPR帶來的機(jī)遇與風(fēng)險(xiǎn)。②針對特定數(shù)據(jù)場景的GDPR應(yīng)用性研究,許鑫等[8]在數(shù)據(jù)出版作為數(shù)據(jù)共享獨(dú)特形式的大背景下,以GDPR內(nèi)容為框架,對科研數(shù)據(jù)出版中的數(shù)據(jù)保護(hù)問題進(jìn)行分析研究并提出相應(yīng)解決對策;Guaman等[9]結(jié)合GDPR提出一種基于移動應(yīng)用程序的跨境個(gè)人數(shù)據(jù)傳輸合規(guī)性評估方法,并進(jìn)行了實(shí)證研究;Butler等[10]基于英國雇傭關(guān)系,重點(diǎn)關(guān)注GDPR實(shí)施背景下雇主以及調(diào)查公司對個(gè)體雇員背景調(diào)查數(shù)據(jù)的處理流程與程序合規(guī)性操作問題。③GDPR內(nèi)容專項(xiàng)研究。冉從敬等[11]選取GDPR中的“數(shù)據(jù)可攜帶權(quán)”進(jìn)行研究,就其演進(jìn)過程、具體內(nèi)容以及所產(chǎn)生的影響進(jìn)行介紹,明確論述了數(shù)據(jù)主體擁有獲得個(gè)人數(shù)據(jù)并傳輸給另外數(shù)據(jù)控制者的權(quán)利;Presthus等[12]通過調(diào)查GDPR實(shí)施后所發(fā)生的違規(guī)行為與制裁案例,對條例中違反和制裁的現(xiàn)有內(nèi)容進(jìn)行研究,分析違反條例的潛在后果并提供一系列適用性的見解;Muscatella[13]在歐洲相關(guān)法律的基本框架與指導(dǎo)方針基礎(chǔ)上,對GDPR所提出的“數(shù)據(jù)保護(hù)官”的角色定位、技能要求以及職責(zé)義務(wù)進(jìn)行深入研究。

根據(jù)現(xiàn)有國內(nèi)外研究成果,可以發(fā)現(xiàn)大多數(shù)研究均從GDPR本身發(fā)展歷程或條款內(nèi)容出發(fā)并結(jié)合研究領(lǐng)域進(jìn)行應(yīng)用性分析,缺少系統(tǒng)性的對跨境數(shù)字貿(mào)易中所存在的個(gè)人數(shù)據(jù)安全問題進(jìn)行分析與認(rèn)知,且缺乏對跨境數(shù)字貿(mào)易這一重要個(gè)人數(shù)據(jù)跨境流動領(lǐng)域進(jìn)行針對性的安全保護(hù)對策研究。所以本文通過引入數(shù)據(jù)生命周期理論對GDPR中有關(guān)跨境數(shù)字貿(mào)易企業(yè)的主要變革內(nèi)容進(jìn)行歸納分析,并且融合構(gòu)建跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)生命周期模型來探究跨境數(shù)字貿(mào)易中個(gè)人數(shù)據(jù)安全問題,最終以GDPR為依托,為我國跨境數(shù)字貿(mào)易企業(yè)所面臨的個(gè)人數(shù)據(jù)保護(hù)問題提出啟示建議。

2 數(shù)據(jù)生命周期視角下GDPR主要變革內(nèi)容

2.1 數(shù)據(jù)生命周期概述

生命周期最初在生物學(xué)中是指生物生老病死的客觀生命演化發(fā)展規(guī)律。而如今這一概念被廣泛應(yīng)用于社會科學(xué)研究中,特指某事物或社會現(xiàn)象在一定時(shí)間跨度內(nèi)經(jīng)歷一系列不同發(fā)展階段的歷程[14]。隨著大數(shù)據(jù)的發(fā)展,數(shù)據(jù)生命周期作為一種揭示數(shù)據(jù)自身發(fā)展規(guī)律的理論逐漸成為研究數(shù)據(jù)管理保存的重要手段[15]。但不同于傳統(tǒng)生物學(xué)中生命周期從出生到消亡的概念,數(shù)據(jù)生命周期是一個(gè)動態(tài)演進(jìn)并可再回收利用的循環(huán)過程[16]。

通過文獻(xiàn)檢索與資料查閱發(fā)現(xiàn),在諸多學(xué)科領(lǐng)域中不同機(jī)構(gòu)、學(xué)者通過構(gòu)建數(shù)據(jù)生命周期模型開展相應(yīng)的數(shù)據(jù)研究,既可以完善對數(shù)據(jù)使用的認(rèn)識又有利于系統(tǒng)分析數(shù)據(jù)流動中存在的問題。典型的數(shù)據(jù)生命周期模型有:DDI (Date Documentation Initiative)數(shù)據(jù)生命周期模型、DCC (Digital Curation Center)數(shù)據(jù)生命周期模型、DataONE (DataONE Date Lifecycle) 數(shù)據(jù)生命周期模型等。本文對國內(nèi)外代表性數(shù)據(jù)生命周期模型的來源、涉及領(lǐng)域、模式及階段劃分進(jìn)行了匯總,見表1。

表1 國內(nèi)外數(shù)據(jù)生命周期模型總結(jié)

數(shù)據(jù)生命周期模型可以識別數(shù)據(jù)管理的復(fù)雜過程,為數(shù)據(jù)管理提供理論框架指導(dǎo)。通過整理國內(nèi)外各研究領(lǐng)域數(shù)據(jù)生命周期模型后可以發(fā)現(xiàn),盡管不同數(shù)據(jù)類型的階段劃分具有一定差異性,但依然可以結(jié)合數(shù)據(jù)實(shí)際流動情況從中提取出數(shù)據(jù)從創(chuàng)建到銷毀的所有關(guān)鍵階段,即數(shù)據(jù)創(chuàng)建—數(shù)據(jù)采集—數(shù)據(jù)傳輸—數(shù)據(jù)儲存—數(shù)據(jù)處理—數(shù)據(jù)使用—數(shù)據(jù)維護(hù)—數(shù)據(jù)銷毀。其中,數(shù)據(jù)創(chuàng)建作為數(shù)據(jù)生命周期的起點(diǎn)環(huán)節(jié),其也是數(shù)據(jù)發(fā)揮其自身效能的先決條件;數(shù)據(jù)采集是數(shù)據(jù)獲取的重要手段,其目的在于收集豐富的數(shù)據(jù)資源以支持后續(xù)生命周期環(huán)節(jié)的運(yùn)行;數(shù)據(jù)傳輸是重要的資源分配環(huán)節(jié),其效果很大程度上決定了數(shù)據(jù)資源效用的實(shí)現(xiàn);數(shù)據(jù)儲存是數(shù)據(jù)生命周期的必要環(huán)節(jié),對數(shù)據(jù)資源安全與數(shù)據(jù)資源調(diào)用具有重要意義;數(shù)據(jù)處理是數(shù)據(jù)生命周期的關(guān)鍵環(huán)節(jié),其目的是在數(shù)據(jù)使用前通過技術(shù)手段對數(shù)據(jù)進(jìn)行增、刪、改、查等操作,進(jìn)而最大程度地挖掘和提升數(shù)據(jù)自身價(jià)值;數(shù)據(jù)使用是數(shù)據(jù)生命周期的目的性環(huán)節(jié),同時(shí)又能為新數(shù)據(jù)的創(chuàng)造奠定基礎(chǔ);數(shù)據(jù)維護(hù)是數(shù)據(jù)生命周期的重要環(huán)節(jié),也有助于確保數(shù)據(jù)的有效可用、持續(xù)可靠、安全穩(wěn)定;數(shù)據(jù)銷毀是數(shù)據(jù)生命周期的最終環(huán)節(jié),是防止數(shù)據(jù)泄露的最后防線。

2.2 GDPR主要變革內(nèi)容簡介

GDPR作為一部體量龐大、結(jié)構(gòu)復(fù)雜的個(gè)人數(shù)據(jù)保護(hù)法,其結(jié)構(gòu)上包括法釋和正文兩部分,其中法釋173條,正文共11個(gè)章節(jié),其下包含99條具體條款[25]。與此同時(shí),GDPR作為一部誕生于數(shù)字新時(shí)代的法律,在整合了舊有個(gè)人隱私保護(hù)指令的基礎(chǔ)上又充分結(jié)合了當(dāng)下社會發(fā)展的現(xiàn)實(shí)情況,規(guī)范并重塑了歐洲的數(shù)據(jù)隱私法律。而跨境數(shù)字貿(mào)易作為一項(xiàng)新興業(yè)態(tài),其相關(guān)企業(yè)不僅是貿(mào)易活動的主要參與者,也是跨境個(gè)人數(shù)據(jù)最重要的控制者與處理者。故GDPR中包含大量內(nèi)容對以跨境數(shù)字貿(mào)易企業(yè)為代表的數(shù)據(jù)主客體進(jìn)行概念界定、原則定義以及權(quán)責(zé)劃分(見圖1)。

圖1 GDPR主要變革內(nèi)容魚骨圖

根據(jù)GDPR主要變革內(nèi)容魚骨圖,其內(nèi)容可以歸納為基本概念界定、數(shù)據(jù)處理基本原則、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者&數(shù)據(jù)控制者義務(wù)、跨境數(shù)據(jù)轉(zhuǎn)移以及處罰等六個(gè)方面。其中,基本概念是條例的要素之一,也是利用條例進(jìn)行實(shí)際問題解決的重要工具,GDPR對個(gè)人數(shù)據(jù)、數(shù)據(jù)不同主體以及條例適用范圍等基本概念進(jìn)行了詳細(xì)界定;GDPR在數(shù)據(jù)處理方面提出了相應(yīng)的規(guī)范原則,其中重點(diǎn)強(qiáng)化了“目的限制” “收集最小化”與“數(shù)據(jù)準(zhǔn)確性”等原則;數(shù)據(jù)保護(hù)實(shí)質(zhì)上就是確保數(shù)據(jù)主體權(quán)利不受侵犯,GDPR重點(diǎn)闡述了知情權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)等多項(xiàng)數(shù)據(jù)主體權(quán)利;GDPR詳細(xì)指明了數(shù)據(jù)控制者與數(shù)據(jù)處理者針對個(gè)人數(shù)據(jù)安全保護(hù)方面的多項(xiàng)義務(wù),包括設(shè)立數(shù)據(jù)保護(hù)官、事先咨詢、數(shù)據(jù)泄露報(bào)告等義務(wù),旨在有效地對個(gè)人數(shù)據(jù)主體權(quán)益進(jìn)行全周期的保護(hù);雖然GDPR在諸多章節(jié)都突出了其鮮明的域外適用屬性,為了保證在跨境數(shù)據(jù)轉(zhuǎn)移中對自然人的保護(hù)程度不被削弱,GDPR重點(diǎn)列舉了特定情況轉(zhuǎn)移、約束性規(guī)則、提供保障措施等幾種跨境數(shù)據(jù)轉(zhuǎn)移適用機(jī)制;GDPR被稱為史上最嚴(yán)格的數(shù)據(jù)監(jiān)管條例,因此在處罰方面GDPR加重了對違反條例的數(shù)據(jù)控制者與數(shù)據(jù)處理者的賠償和處罰力度。

2.3 基于數(shù)據(jù)生命周期的GDPR主要變革內(nèi)容分析

本文基于數(shù)據(jù)生命周期的各關(guān)鍵環(huán)節(jié)作為理論框架來歸納分析GDPR的主要變革內(nèi)容。在滿足跨境數(shù)據(jù)流動總體規(guī)則的基礎(chǔ)上,重點(diǎn)對與跨境數(shù)字貿(mào)易企業(yè)相關(guān)度較大的數(shù)據(jù)處理基本原則、數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者與數(shù)據(jù)控制者義務(wù)三方面內(nèi)容進(jìn)行體系化解構(gòu)分析,見表2。

表2 基于數(shù)據(jù)生命周期的GDPR主要內(nèi)容分析

從表2中不難看出在數(shù)據(jù)處理基本原則與數(shù)據(jù)處理者與數(shù)據(jù)控制者義務(wù)中部分內(nèi)容作為基礎(chǔ)性內(nèi)容貫穿全生命周期,例如“合法性、公平性和透明性原則”“可問責(zé)原則”“設(shè)立數(shù)據(jù)保護(hù)官”等,而數(shù)據(jù)主體權(quán)利呈現(xiàn)出了更多的階段性特征?？傮w來看,GDPR具有一定的豐富性與全面性,個(gè)人數(shù)據(jù)保護(hù)已經(jīng)完全覆蓋了整個(gè)數(shù)據(jù)生命周期;同時(shí),GDPR也具備一定的連貫性與銜接性,在不同的數(shù)據(jù)生命周期環(huán)節(jié)中,相關(guān)原則與權(quán)責(zé)可以進(jìn)行有機(jī)聯(lián)通,從而確保條例的力度與效度。

3 數(shù)據(jù)生命周期視角下跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)問題分析

3.1 跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)生命周期模型構(gòu)建

跨境數(shù)字貿(mào)易主要包括跨境數(shù)字貨物貿(mào)易、跨境數(shù)字服務(wù)貿(mào)易、跨境數(shù)據(jù)貿(mào)易三個(gè)主要貿(mào)易類型,并逐漸形成了跨境數(shù)字對接、跨境數(shù)字訂購、跨境數(shù)字交付、跨境數(shù)字結(jié)算等多樣的貿(mào)易環(huán)節(jié)。而個(gè)人數(shù)據(jù)作為一種貫穿于多環(huán)節(jié)的商業(yè)要素,在跨境數(shù)字貿(mào)易中多場景都得到廣泛應(yīng)用,故其在一定程度上具有資產(chǎn)性、繁雜性等特征。本文將數(shù)據(jù)生命周期中數(shù)據(jù)創(chuàng)建、數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)據(jù)處理、數(shù)據(jù)使用、數(shù)據(jù)維護(hù)以及數(shù)據(jù)銷毀的八個(gè)階段嵌入到跨境數(shù)字貿(mào)易之中,并通過對各階段基本內(nèi)容和跨境貿(mào)易運(yùn)行關(guān)系進(jìn)行梳理來展示其整體協(xié)調(diào)運(yùn)作過程,見圖2。

圖2 跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)生命周期模型

該模型力求最大程度上還原自跨境數(shù)字貿(mào)易啟動到跨境數(shù)字貿(mào)易結(jié)束中各數(shù)據(jù)周期的銜接關(guān)系,并為下文跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)問題分析提供方向指導(dǎo)。

3.2 跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)問題分析

3.2.1數(shù)據(jù)創(chuàng)建

數(shù)據(jù)創(chuàng)建既包括對原始數(shù)據(jù)的創(chuàng)建又包括對數(shù)據(jù)使用過程中過程性數(shù)據(jù)的創(chuàng)建。在跨境數(shù)字貿(mào)易中,每個(gè)跨境數(shù)字貿(mào)易的參與者都可以成為數(shù)據(jù)創(chuàng)建者,而且數(shù)據(jù)創(chuàng)建不僅局限于對傳統(tǒng)信息資源進(jìn)行數(shù)字化呈現(xiàn),還常常衍生于跨境交易、跨境支付、跨境物流等實(shí)際貿(mào)易操作環(huán)節(jié)。由此可見,跨境數(shù)字貿(mào)易中數(shù)據(jù)創(chuàng)建通常是一種無意識的客觀貿(mào)易數(shù)據(jù)反映,所以在數(shù)據(jù)所有權(quán)與數(shù)據(jù)使用權(quán)分離的跨境數(shù)字貿(mào)易中,如何進(jìn)行數(shù)據(jù)確權(quán)、合理判斷企業(yè)是否需要遵守GDPR成為數(shù)據(jù)創(chuàng)建這一初始環(huán)節(jié)的突出問題。

3.2.2數(shù)據(jù)采集

數(shù)據(jù)采集在狹義上專指對數(shù)據(jù)的獲取與收集,但近年來隨著數(shù)據(jù)創(chuàng)建渠道的不斷豐富,數(shù)據(jù)量也迎來了爆炸式增長,數(shù)據(jù)采集逐漸演變?yōu)橐粋€(gè)包含數(shù)據(jù)獲取、數(shù)據(jù)挖掘、數(shù)據(jù)匯集及數(shù)據(jù)篩選等多流程的廣義范疇。在跨境數(shù)字貿(mào)易中,由于數(shù)據(jù)創(chuàng)建的時(shí)空跨度大、體量龐雜、形式多樣,這導(dǎo)致數(shù)據(jù)呈現(xiàn)出繁雜化的特點(diǎn),不僅影響數(shù)據(jù)采集的效率與效果,還極大提高了數(shù)據(jù)采集階段的數(shù)據(jù)保護(hù)難度。與此同時(shí),隨著公眾隱私意識的提高,數(shù)據(jù)主體對個(gè)人數(shù)據(jù)較低的共享意愿與貿(mào)易正常開展所必要的個(gè)人數(shù)據(jù)需求之間的矛盾也成為一種必然常態(tài)。所以如何規(guī)范與界定數(shù)據(jù)主體與數(shù)據(jù)獲取權(quán)限、建立數(shù)據(jù)信任、平衡數(shù)據(jù)安全與行業(yè)發(fā)展成為是關(guān)乎數(shù)據(jù)采集能否正常開展的關(guān)鍵問題。

3.2.3數(shù)據(jù)傳輸

數(shù)據(jù)傳輸是指數(shù)據(jù)在一定作用域中從一個(gè)數(shù)據(jù)源實(shí)體(個(gè)人、機(jī)構(gòu))通過特定傳輸渠道傳遞到另一個(gè)或多個(gè)數(shù)據(jù)接收實(shí)體(個(gè)人、機(jī)構(gòu))的過程。在跨境數(shù)字貿(mào)易中,數(shù)據(jù)控制者所持有的海量個(gè)人數(shù)據(jù)是用戶為了達(dá)成跨境數(shù)字貿(mào)易目的而讓渡出的個(gè)人數(shù)據(jù),包含用戶姓名、地址、定位、聯(lián)系方式甚至職業(yè)狀態(tài)等一系列隱私數(shù)據(jù),這種個(gè)人數(shù)據(jù)流動大多屬于定向傳輸。然而隨著貿(mào)易范圍的擴(kuò)大,來自不同國家的數(shù)字貿(mào)易企業(yè)與個(gè)人都不可避免地參與到數(shù)據(jù)傳輸之中。這種遠(yuǎn)距離、高頻次的跨境個(gè)人數(shù)據(jù)流動無形中增加了個(gè)人數(shù)據(jù)丟失與泄露風(fēng)險(xiǎn),嚴(yán)重影響著海內(nèi)外個(gè)人用戶甚至國家的數(shù)據(jù)安全。

3.2.4數(shù)據(jù)儲存

數(shù)據(jù)儲存是指數(shù)據(jù)資源在其生命周期中需要以某種格式并按照一定順序記錄在計(jì)算機(jī)內(nèi)部或者外部存儲介質(zhì)中,數(shù)據(jù)儲存的側(cè)重點(diǎn)在不同業(yè)務(wù)場景中會有較大差異。在跨境數(shù)字貿(mào)易中,數(shù)據(jù)儲存與數(shù)據(jù)傳輸類似,其數(shù)據(jù)保護(hù)重點(diǎn)表現(xiàn)為保持個(gè)人用戶數(shù)據(jù)安全性與完整性上。另外與數(shù)據(jù)傳輸所涉及的實(shí)時(shí)數(shù)據(jù)不同,跨境貿(mào)易個(gè)人數(shù)據(jù)的存儲不僅需要解決傳統(tǒng)的數(shù)據(jù)泄露問題,還可能會面臨著匿名訪問用戶審核、數(shù)據(jù)的密級訪問權(quán)限失控、杜絕個(gè)人數(shù)據(jù)冒名修改等在數(shù)據(jù)儲存環(huán)節(jié)亟待規(guī)范的問題。

3.2.5數(shù)據(jù)處理

數(shù)據(jù)處理是指特定的數(shù)據(jù)處理組織或機(jī)構(gòu)為了滿足實(shí)際數(shù)據(jù)需求,利用自身專業(yè)知識與數(shù)據(jù)處理工具對數(shù)據(jù)所進(jìn)行的一系列加工的活動[26]。在跨境數(shù)字貿(mào)易中,由于各國語言文字、行為習(xí)慣、標(biāo)準(zhǔn)格式以及用戶信息素養(yǎng)均有較大差異,所以原始數(shù)據(jù)必須經(jīng)過翻譯、標(biāo)準(zhǔn)化處理才能進(jìn)行后續(xù)的存儲與利用,多工序的數(shù)據(jù)處理也會無形中誘發(fā)個(gè)人數(shù)據(jù)泄露。并且跨境數(shù)據(jù)在實(shí)際操作中經(jīng)常會出現(xiàn)數(shù)據(jù)冗余、數(shù)據(jù)異常、數(shù)據(jù)缺失等情況,所以需要對數(shù)據(jù)進(jìn)行加工或分析處理,以提高相關(guān)數(shù)據(jù)的有效性、及時(shí)性和準(zhǔn)確性。與此同時(shí),在錄入、轉(zhuǎn)錄、翻譯、檢查以及描述數(shù)據(jù)中數(shù)據(jù)處理者與數(shù)據(jù)主體的權(quán)責(zé)認(rèn)知上仍有較大出入,由此造成的糾紛嚴(yán)重影響著跨境數(shù)字貿(mào)易行業(yè)進(jìn)步與發(fā)展。

3.2.6數(shù)據(jù)使用

在跨境數(shù)字貿(mào)易中,數(shù)據(jù)主體、數(shù)據(jù)處理者、數(shù)據(jù)控制者甚至數(shù)據(jù)監(jiān)管者都在使用數(shù)據(jù)。然而受到利益驅(qū)使,有大量個(gè)人用戶數(shù)據(jù)遭到非法濫用,特別在跨境數(shù)字貿(mào)易中,由于各國對數(shù)據(jù)主體權(quán)責(zé)界定與適用效力具有較大差異,造成跨境數(shù)字貿(mào)易領(lǐng)域數(shù)據(jù)使用問題頻發(fā)。并且用戶畫像、關(guān)聯(lián)推送、精準(zhǔn)投放等高強(qiáng)度數(shù)據(jù)使用行為成為跨境數(shù)字貿(mào)易主要依賴的賦能營銷模式。故成本較小的非法數(shù)據(jù)行為使用往往會擠壓正規(guī)合法數(shù)據(jù)使用行為的生存及發(fā)展空間,最終造成劣幣驅(qū)逐良幣的不良行業(yè)環(huán)境。

3.2.7數(shù)據(jù)維護(hù)

數(shù)據(jù)維護(hù)是指在數(shù)據(jù)使用基礎(chǔ)上,針對錯(cuò)漏與滯后的數(shù)據(jù)進(jìn)行更新、矯正以確保數(shù)據(jù)的準(zhǔn)確性與邏輯上的一致性?？缇硵?shù)字貿(mào)易是一種依賴于用戶個(gè)人數(shù)據(jù)的商業(yè)活動,準(zhǔn)確的個(gè)人數(shù)據(jù)是跨境數(shù)字貿(mào)易開展的重要前提。在當(dāng)前快速發(fā)展的大數(shù)據(jù)時(shí)代,除去由于系統(tǒng)及設(shè)備等硬軟件問題導(dǎo)致的數(shù)據(jù)泄露外,數(shù)據(jù)主體的部分個(gè)人數(shù)據(jù)會隨著貿(mào)易推進(jìn)發(fā)生一定的變化,并且同步個(gè)人數(shù)據(jù)實(shí)時(shí)更新、提供個(gè)人數(shù)據(jù)修改與調(diào)整服務(wù)也是當(dāng)前用戶追求個(gè)性化服務(wù)的重點(diǎn),這加大了數(shù)據(jù)維護(hù)中個(gè)人數(shù)據(jù)安全保護(hù)的難度。

3.2.8數(shù)據(jù)銷毀

數(shù)據(jù)銷毀是指通過一定手段將存儲中的指定數(shù)據(jù)進(jìn)行有效刪除,使其被恢復(fù)的可能性足夠小甚至不能被恢復(fù)[27]。跨境數(shù)字貿(mào)易中,為了提升交易效率并減少線上交易中的信息不對稱,賣家在交易中會上傳涉及個(gè)人隱私的敏感數(shù)據(jù)。如果其中個(gè)人敏感數(shù)據(jù)發(fā)生泄露,那么對個(gè)人安全乃至社會穩(wěn)定都會造成嚴(yán)重的后果,所以數(shù)據(jù)銷毀作為數(shù)據(jù)安全生命周期的最后一公里具有特殊意義。而在當(dāng)前數(shù)字貿(mào)易與云計(jì)算高度融合的背景下,如何從制度上規(guī)范和確保個(gè)人數(shù)據(jù)銷毀成為跨境數(shù)據(jù)貿(mào)易發(fā)展中急需解決的重要問題。

4 GDPR對我國跨境數(shù)字貿(mào)易企業(yè)發(fā)展的啟示

GDPR已經(jīng)實(shí)施5年左右,還未有證據(jù)能充分證明其對社會發(fā)展的正向作用,但其確立的個(gè)人信息保護(hù)標(biāo)準(zhǔn)正在成為全球標(biāo)準(zhǔn)。GDPR在擴(kuò)大對個(gè)人數(shù)據(jù)監(jiān)管范圍的同時(shí)又對個(gè)人數(shù)據(jù)利用提出了更為嚴(yán)苛的標(biāo)準(zhǔn)與要求?？缇硵?shù)字貿(mào)易中企業(yè)作為實(shí)際的數(shù)據(jù)控制者與數(shù)據(jù)處理者,如何通過數(shù)據(jù)合規(guī)來保障個(gè)人數(shù)據(jù)安全成為跨境數(shù)字貿(mào)易企業(yè)必須直面的問題。然而GDPR也并非完美,其也存在執(zhí)法性不足、適用邊界難以界定、存在大量模糊規(guī)定以及數(shù)據(jù)安全和發(fā)展沒有很好兼顧等諸多內(nèi)在缺陷。所以本文以GDPR為依托,基于數(shù)字生命周期理論對GDPR變革性內(nèi)容與跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)保護(hù)問題的分析,從全局統(tǒng)制與階段舉措兩個(gè)維度為我國跨境數(shù)字貿(mào)易企業(yè)提出具有辯證性的啟示。

4.1 全局統(tǒng)制

4.1.1強(qiáng)化GDPR認(rèn)識

由于跨境數(shù)字貿(mào)易的行業(yè)特殊性,廣大企業(yè)在實(shí)際貿(mào)易運(yùn)行中,通常會作為數(shù)據(jù)控制者和處理者來接觸來自世界各地的個(gè)人數(shù)據(jù)。然而GDPR的屬人原則在很大程度上拓寬了條例的適用范圍,并極大的提高了對違規(guī)企業(yè)的處罰力度,會導(dǎo)致企業(yè)為避免受到嚴(yán)苛懲罰而急于學(xué)習(xí)借鑒GDPR的內(nèi)容。然而法律的好壞關(guān)鍵在于是否合體,因此我國跨境數(shù)字貿(mào)易企業(yè)不應(yīng)全盤照搬GDPR的內(nèi)容,必須正確看待我國與歐盟在文化和制度上存在天然差異的基礎(chǔ)上,并通過企業(yè)學(xué)習(xí)法律知識,強(qiáng)化企業(yè)法制建設(shè)來深入細(xì)致地對比GDPR與我國跨境數(shù)字貿(mào)易發(fā)展的目標(biāo)、起點(diǎn)及可行性條件,在結(jié)合自身發(fā)展和我國國情的基礎(chǔ)上對GDPR進(jìn)行借鑒與反思。

4.1.2組織GDPR合規(guī)工作部門

合規(guī)運(yùn)營是跨境數(shù)字貿(mào)易企業(yè)避免受到GDPR處罰的關(guān)鍵,但企業(yè)往往受困于已有業(yè)務(wù)化、技術(shù)化導(dǎo)向的公司架構(gòu)與部門設(shè)置,對GDPR難以進(jìn)行系統(tǒng)化、專業(yè)化認(rèn)識理解。所以我國有實(shí)力的跨境數(shù)字貿(mào)易企業(yè)應(yīng)該充分結(jié)合研發(fā)、運(yùn)營、財(cái)務(wù)、審計(jì)等涉及個(gè)人數(shù)據(jù)處理的已有部門崗位,引進(jìn)專業(yè)合規(guī)人員進(jìn)行合規(guī)工作部門的建構(gòu)與組織。這樣做可以更好地為業(yè)務(wù)相關(guān)人員工作提供合規(guī)方面的指導(dǎo),有利于培養(yǎng)全員數(shù)字思維,進(jìn)而有效地實(shí)現(xiàn)業(yè)務(wù)全流程的合規(guī)化,避免觸碰規(guī)則紅線,并在確保充分兼顧安全和發(fā)展的前提下推進(jìn)企業(yè)合規(guī)。

4.1.3設(shè)立數(shù)據(jù)保護(hù)官

設(shè)立數(shù)據(jù)保護(hù)官是由GDPR提出的一項(xiàng)具有強(qiáng)制要求的條款。數(shù)據(jù)保護(hù)官在跨境數(shù)字貿(mào)易企業(yè)中具有一定現(xiàn)實(shí)意義。對外可以合理解答數(shù)據(jù)主體就個(gè)人數(shù)據(jù)被搜集的相關(guān)問題與明晰不同域外國家的數(shù)據(jù)保護(hù)法律,對內(nèi)既可以對企業(yè)數(shù)據(jù)處理人員提出合規(guī)化意見又可以跟進(jìn)和監(jiān)督企業(yè)對個(gè)人數(shù)據(jù)全生命流程保護(hù)措施的實(shí)施。然而,我國有大量的中小型企業(yè)從事跨境數(shù)字貿(mào)易,設(shè)立數(shù)據(jù)保護(hù)官使得企業(yè)不得不為此花費(fèi)不菲的資金,并且我國數(shù)據(jù)保護(hù)官相關(guān)法律、認(rèn)證體系以及人才培養(yǎng)等方面尚未完善?；诖爽F(xiàn)實(shí)情況,我國大量中小型跨境數(shù)字貿(mào)易企業(yè)不能盲目設(shè)立數(shù)據(jù)保護(hù)官,要結(jié)合自身與相關(guān)配套制度建設(shè)情況,現(xiàn)階段可以尋求聘請兼職數(shù)據(jù)保護(hù)官來幫助企業(yè)規(guī)范個(gè)人數(shù)據(jù)保護(hù),以實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)與企業(yè)成本管控相平衡。

4.2 階段舉措

4.2.1數(shù)據(jù)采集:建立集約化數(shù)據(jù)采集模式

依據(jù)GDPR中目的限制性原則與數(shù)據(jù)最小化原則,企業(yè)必須正視其對個(gè)人數(shù)據(jù)高頻次的收集與使用會增加數(shù)據(jù)安全隱患的現(xiàn)實(shí)。充分集合數(shù)據(jù)要素優(yōu)勢,通過審視業(yè)務(wù)發(fā)展需求與挖掘已有數(shù)據(jù)的潛能等技術(shù)管理手段,以提高單位數(shù)據(jù)的實(shí)際效益。從而在滿足業(yè)務(wù)開展的前提下,最大程度上減少對個(gè)人數(shù)據(jù)采集的數(shù)量與頻次,杜絕個(gè)人數(shù)據(jù)的泛采爛采,從數(shù)據(jù)采集層面降低數(shù)據(jù)泄露與違反條例所帶來的賠償與處罰風(fēng)險(xiǎn)。但GDPR僅對數(shù)據(jù)采集進(jìn)行原則性規(guī)范,未能考慮到跨境數(shù)字貿(mào)易中個(gè)人數(shù)據(jù)格式、類型所存在的差異,所以我國跨境數(shù)字貿(mào)易企業(yè)還需要考慮集約化數(shù)據(jù)采集的具體標(biāo)準(zhǔn),并在收集用戶數(shù)據(jù)前以清晰、簡潔的方式向數(shù)據(jù)主體說明數(shù)據(jù)采集的必要性,以征得個(gè)人用戶的同意。

4.2.2數(shù)據(jù)采集、處理及使用:細(xì)化并公布個(gè)人數(shù)據(jù)清單

訪問權(quán)和拒絕權(quán)是GDPR中基礎(chǔ)的數(shù)據(jù)主體權(quán)利,貫穿于數(shù)據(jù)采集、處理、使用等階段?？缇硵?shù)字貿(mào)易企業(yè)作為個(gè)人數(shù)據(jù)的實(shí)際控制者與處理者有責(zé)任也有義務(wù)細(xì)化并公布包括個(gè)人數(shù)據(jù)采集清單、個(gè)人數(shù)據(jù)處理清單、個(gè)人數(shù)據(jù)使用清單在內(nèi)的個(gè)人數(shù)據(jù)清單,以此來讓數(shù)據(jù)主體及時(shí)清晰的獲知個(gè)人數(shù)據(jù)的被操作情況、減少用戶對個(gè)人數(shù)據(jù)不知情的恐慌、提升數(shù)據(jù)主體的數(shù)據(jù)服務(wù)感知、方便后續(xù)數(shù)據(jù)主體有效行使被遺忘權(quán)、限制處理權(quán)、數(shù)據(jù)更正權(quán)等數(shù)據(jù)主體權(quán)利。然而GDPR在給予數(shù)據(jù)控制者在特定目的范圍內(nèi)采集、處理、使用數(shù)據(jù)權(quán)利的同時(shí),也明確指出個(gè)人數(shù)據(jù)仍然受制于數(shù)據(jù)主體的個(gè)人意志,個(gè)人有權(quán)隨時(shí)行使拒絕權(quán)。這需要企業(yè)提高反應(yīng)速率并及早做好應(yīng)急預(yù)案,配備必要的技術(shù)、管理人員以便及時(shí)響應(yīng)數(shù)據(jù)主體的多樣化數(shù)據(jù)需求。

4.2.3數(shù)據(jù)傳輸:構(gòu)建完整的數(shù)據(jù)傳輸體系

數(shù)據(jù)傳輸是聯(lián)通數(shù)據(jù)產(chǎn)生地和接收地的橋梁環(huán)節(jié),而數(shù)據(jù)跨境傳輸承擔(dān)著跨境數(shù)字貿(mào)易信息溝通與資源調(diào)配的任務(wù)。GDPR中完整與保密原則、數(shù)據(jù)可攜帶權(quán)、數(shù)據(jù)泄露報(bào)告與數(shù)據(jù)活動過程記錄等變革性內(nèi)容對數(shù)據(jù)傳輸過程進(jìn)行了規(guī)制與指導(dǎo),但由于條例從不同角度出發(fā)具有一定的分散性,難以為個(gè)人數(shù)據(jù)跨境傳輸進(jìn)行宏觀指導(dǎo)。所以我國跨境數(shù)字貿(mào)易企業(yè)需要構(gòu)建一套完整的包含與歐盟簽訂的標(biāo)準(zhǔn)合同條款、利用數(shù)據(jù)保護(hù)技術(shù)實(shí)現(xiàn)跨境數(shù)據(jù)加密傳輸、采用數(shù)據(jù)基因?qū)?shù)據(jù)傳輸過程進(jìn)行記錄的數(shù)據(jù)傳輸體系,實(shí)現(xiàn)數(shù)據(jù)的可溯源、可追蹤,并提升跨境數(shù)據(jù)的安全傳輸效率。

4.2.4數(shù)據(jù)儲存與數(shù)據(jù)維護(hù):進(jìn)行數(shù)據(jù)文檔化分級管理

個(gè)人數(shù)據(jù)作為一種資源,企業(yè)不能僅將其當(dāng)做增值獲利的工具,還必須認(rèn)識到個(gè)人數(shù)據(jù)也是企業(yè)發(fā)展的重要資產(chǎn)。依據(jù)GDPR的限期儲存原則、文檔化管理的義務(wù)以及數(shù)據(jù)主體的數(shù)據(jù)更正權(quán),應(yīng)充分激發(fā)跨境數(shù)字貿(mào)易企業(yè)在數(shù)據(jù)存儲與數(shù)據(jù)維護(hù)階段的主觀能動性,積極投入資源對所收集且持有的個(gè)人數(shù)據(jù)進(jìn)行定期清點(diǎn)與評估,但這同時(shí)也會帶來企業(yè)合規(guī)過于繁瑣復(fù)雜、企業(yè)運(yùn)營成本增加、企業(yè)創(chuàng)新熱情削弱、跨境數(shù)字貿(mào)易活力降低等問題。所以我國跨境數(shù)字貿(mào)易企業(yè)可以借助區(qū)塊鏈技術(shù)對海量個(gè)人數(shù)據(jù)進(jìn)行文檔化分級管理,進(jìn)而對不同類型的個(gè)人數(shù)據(jù)群制定特定的儲存與維護(hù)措施,在保證數(shù)據(jù)主體權(quán)利的同時(shí)對個(gè)人數(shù)據(jù)進(jìn)行精準(zhǔn)化管護(hù)。

4.2.5數(shù)據(jù)銷毀:完善數(shù)據(jù)處置制度

按照GDPR被遺忘權(quán)規(guī)定,企業(yè)在客戶要求刪除其個(gè)人數(shù)據(jù)之后必須能夠適時(shí)地對個(gè)人數(shù)據(jù)進(jìn)行刪除與銷毀?？梢钥闯鲈贕DPR中沒有對數(shù)據(jù)銷毀的標(biāo)準(zhǔn)進(jìn)行詳細(xì)的規(guī)范,這也給一些企業(yè)長期持有用戶個(gè)人數(shù)據(jù)提供了相應(yīng)的法律漏洞。在這樣的背景下,跨境數(shù)字貿(mào)易企業(yè)需要通過制定個(gè)人數(shù)據(jù)銷毀規(guī)范、并建立個(gè)人數(shù)據(jù)銷毀管理體系、設(shè)置個(gè)人數(shù)據(jù)銷毀審批與監(jiān)督環(huán)節(jié)來優(yōu)化數(shù)據(jù)銷毀制度,從制度層面確保待銷毀數(shù)據(jù)得到妥善處置,避免出現(xiàn)應(yīng)銷未銷或數(shù)據(jù)銷毀不合規(guī)等情況。

5 結(jié) 語

綜上,在全球跨境數(shù)字貿(mào)易蓬勃發(fā)展的今天,數(shù)據(jù)安全尤其是個(gè)人數(shù)據(jù)安全愈發(fā)成為國際間數(shù)字貿(mào)易摩擦博弈的焦點(diǎn)。GDPR作為一部具有全球視野的個(gè)人數(shù)據(jù)保護(hù)法,盡管其所制定的規(guī)則并非完美,但其反映出高強(qiáng)度的個(gè)人數(shù)據(jù)保護(hù)是未來跨境數(shù)字貿(mào)易發(fā)展的必然趨勢。所以在GDPR的影響下,我國跨境數(shù)字貿(mào)易企業(yè)應(yīng)該抓住機(jī)遇迎接挑戰(zhàn),順應(yīng)數(shù)據(jù)保護(hù)的發(fā)展大趨勢,發(fā)揮我國數(shù)字經(jīng)濟(jì)優(yōu)勢,努力實(shí)現(xiàn)跨境數(shù)字貿(mào)易的高質(zhì)量發(fā)展。

考慮到本文目前仍停留在理論層面,還缺乏對GDPR實(shí)際應(yīng)用過程以及宏觀制度可行性的深度剖析,并且本研究主要基于跨境數(shù)字貿(mào)易企業(yè)未對其他跨境數(shù)字貿(mào)易的參與主體進(jìn)行思考。接下來的研究可以基于我國現(xiàn)實(shí)發(fā)展背景、GDPR合規(guī)情況以及跨境數(shù)字貿(mào)易個(gè)人數(shù)據(jù)保護(hù)情況,對以GDPR為代表的國際性法律進(jìn)行觀念、效力、制度、技術(shù)等進(jìn)行多層次的比較探究,在充分尊重法律制度適用的主體性和時(shí)期性的前提下,從多主體視角出發(fā)分析GDPR對我國產(chǎn)生的影響并為跨境貿(mào)易中個(gè)人信息保護(hù)提供更加科學(xué)客觀的結(jié)論參考。