查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《政治与法律》
跨境数据转移的国际规制及中国法律的应对
【副标题】 兼评我国《网络安全法》上的跨境数据转移限制规则
【英文标题】 International Regulation of Cross-border Data Flows and China??s Legal Countermeasure
【作者】 张金平【作者单位】 北京大学法学院
【分类】 国际法学
【中文关键词】 隐私;国家安全;个人数据;跨境数据转移;国际规则;网络安全法
【文章编码】 1005-9512-(2016)12-0136-19【文献标识码】 A
【期刊年份】 2016年【期号】 12
【页码】 136
【摘要】 在国家层面,世界上近七十个国家基于GATS隐私例外条款依法限制跨境数据转移:假定第三国的数据保护水平不及本国,如果企业将数据从本国转移到第三国,则属于规避本国法律,应当予以限制;在具体操作上,有第三国适当性评估、数据控制者担保和数据主体的同意等三种模式可供选择。在国际层面,OECD指南和《APEC隐私框架》均为推荐性指南,而TPP、TTIP和TISA在跨境数据转移方面搁置争议、回归GATS规则基本成为定局。在这一背景下,我国《网络安全法》在跨境数据转移规制方面比较好地做到了消费者利益、产业利益和国家安全利益的平衡;国内市场和国际市场的平衡;国内立法和国际规则的平衡。
【全文】法宝引证码CLI.A.1219581    
  
  在全球化和数字化背景下,个人数据跨平台、跨法域的收集、存储、处理、使用和转移已经成为常态。跨境数据流动有利于促进技术的革新、经济的发展以及缩小各国的经济文化差异,甚至有利于打击跨国犯罪和恐怖主义。然而,企业进行个人数据转移也可能是为了规避本国保护个人数据方面的法律,并滥用这些数据侵害相关主体的个人数据权或隐私权,甚至,这些数据可能被第三国政府用于跨国情报监听。因此,出于对公民合法权益的保护、企业的监管以及国家安全的考虑,世界各国大多对个人数据进行不同程度地立法保护,限制个人数据的跨境转移。例如,欧盟1995年《数据保护指令》(以下简称:《指令》)和2016年《通用数据保护条例》(以下简称:《通用条例》)都明确限制跨境数据转移。在此种立法压力下,为了本国企业在欧盟的利益,美国政府于2001年和2016年先后被迫向欧盟委员会妥协,签订安全港框架协议和隐私盾协议。又如,我国的全国人大常委会在2015年7月和2016年6月先后发布《网络安全法》草案一稿和草案二稿,其中规定企业在中国境内存储个人数据,经安全评估后方可跨境转移。2016年11月7日,全国人大常委会通过了我国《网络安全法》,该法第37条保留了草二稿第35条提供的方案,规定关键信息基础设施的运营者因业务需要,确需向境外提供个人信息和重要数据的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
  考虑到不少外国企业和部分政府对于上述方案仍有若干批评意见,[1]笔者于本文中拟结合关于跨境数据转移的现有国际规则以及未来十年内可能的发展趋势,尝试从国际法和国内法相交错的视角客观评价我国《网络安全法》的有关规定,并就未来关键信息基础设施运营者的跨境数据转移的安全评估办法的制定提出若干建议。
  一、跨境数据转移国际规制的缘起
  通常而言,跨境数据转移是指数据在不同法域之间流动。[2]使用“转移”的称谓,主要是考虑了数据流动中涉及的两个不同法域下的不同主体。跨境数据转移面临的问题,主要是指数据出口国(数据流出国)和数据进口国(数据流入国)之间对于数据保护和数据跨境监管的法律冲突与调和。
  (一)欧美经济政治博弈所引发的法制变革
  二十世纪七十年代,美国的阿帕网开始由军用转为民用,逐渐发展成为人们熟知的互联网。美国的IBM等公司依靠其技术和商业优势在世界各国(尤其是欧洲发达国家)开展跨国业务,每年出口超过120亿美元的计算机设备和系统,并通过这些设备和系统形成的局域网及互联网,收集、存储和跨境转移大量数据,掌握其他国家绝大多数的政府机构、企业、科研机构、个人的信息,抢占了全球与计算机有关产业的半壁江山。[3]对此,欧洲共同体委员会在1973年指出,在数据处理产业,欧共体内部还没有足够大的公司(即使是最大的几家大公司合并仍不够大)能够与美国第二梯队的公司进行竞争,更别说与美国处于第一梯队的IBM公司竞争。[4]欧共体理事会在1974年指出,目前全世界数据处理产业的结构很不平衡,欧共体内部的数据处理应用令人堪忧,因此有必要在进出口信息处理系统、航空管制数据处理系统、计算机辅助设计等数据处理行业进行重点投入,并且在欧共体内部采取统一的数据处理政策,争取在二十世纪八十年代建立起欧共体强大的计算机相关产业。[5]事后看,欧洲方面的担心并不是杞人忧天——2013年的“棱镜门事件”便是最好的证据。
  1.美国反对欧洲各国制定个人数据保护法限制数据转移
  面对前所未有的挑战,欧洲各国纷纷开始思考法制应对之策。
  前西德的黑森州在1970年通过世界上第一部《数据保护法》,并成立数据保护委员会,专门监管黑森州政府官方文件(但不适用于个人文件)的存储、传输,防止非法地获取、修订和破坏。[6]由此可见,前西德的数据保护法其实是倾向于从政府安全的角度进行立法。该法通过后,前西德其他州也相继通过类似的法律。
  瑞典在1973年选择从保护个人数据的角度通过《瑞典数据保护法》。该法是世界上第一部明确限制个人跨境数据转移的法律:设立瑞典数据监管委员会,所有自动处理个人数据的计算机系统须经数据监管委员会许可后才能设立,所有跨境数据转移都必须事先获得数据监管委员会的批准。同时,该法还首次明确赋予个人数据权,包括知情、同意权,获取、修订权。[7]这部法律不仅限制美国企业处理瑞典公民的个人数据,也给瑞典公民个人在互联网上开展活动(如设立BBS)设置了障碍,因此受到很多自由言论人士的诟病。
  法国议会在1972年曾提议进行个人数据保护立法,但当时法国国内对于《法国民法典》第9条规定的隐私权与计算机处理的个人数据之间的关系并没有达成共识:民法典的隐私权范畴只是由法院来界定的,而在实践中个人能够对计算机处理的个人数据提出何种主张并不确定。[8]直到1978年,法国才通过《信息技术、数据文件与民事自由法》,首次超越《法国民法典》有关隐私的规定,明确赋予法国公民对其个人数据享有系列权利:知情同意权、反对权、获取权、修改权、被遗忘权(the right to be forgotten)。数据控制者收集和处理个人数据必须基于合法目的,且事先获得数据主体的同意。[9]
  之后,丹麦、奥地利、挪威、卢森堡、英国、葡萄牙、西班牙、比利时等国都从个人数据保护的角度、相继出台了个人数据保护法,并以明示(如瑞典)或默示(如法国)的方式限制数据的跨境转移。
  欧洲国家选择以个人数据保护为由限制数据的跨境转移,引起了美国企业界和政府的强烈反对。对于美国企业而言,数据就是金钱,切断数据流动就等于扼住美国企业的喉咙。[10]美国驻经济合作与发展组织代表黛安娜·杜根曾这样指责欧洲国家的有关做法:“如果这些数据立法的目的是为了保护公共秩序、财产权或扼制潜在竞争对手其它方面的发展,那么这些目的都应当在立法中直接进行明确。我们不接受以‘保护文化完整性’等借口进行信息控制,特别是这些立法常常只是经济保守主义或是言论监控的幌子。我们认为,信息跨境自由流动是民主社会的传统,我们的法律制度应当设计为鼓励信息自由获取、限制信息滥用。”[11]
  2.OECD指南的有限协调
  由于各国经济发展越来越受跨境数据转移的影响,欧洲各国不同数据保护法不仅给这些国家与美国的跨境数据转移造成影响,也限制了欧洲国家之间的数据转移。因此,欧共体委员会在1976年就开始召集各成员国在经济合作与发展组织(OECD)的代表,共同研究解决方案。[12]欧洲各国在欧共体委员会的组织和努力下,联合加拿大和澳大利亚等国,于1980年使《关于隐私保护和个人跨境数据转移的指南》(以下简称:OECD指南)得以通过。
  OECD指南包括5部分22条。第1部分为一般条款,规定该指南为数据保护的最低标准。第2部分规定成员国内部适用层面的8大数据处理原则,包括限制收集原则、数据质量原则、目的明确原则、使用限制原则、安全保障原则、透明原则、个人参与原则和责任原则。第3部分规定国际适用层面数据跨境自由流动和正当限制的基本原则:成员国应当避免以隐私保护和个人自由为名义出台立法或政策限制数据的自由流动;但特殊情况下可以限制跨境数据转移。所谓特殊情况,指的是成员国认为其他成员国未对特定类型数据采取同等保护。
  实践中,虽然欧共体委员会及其成员国对OECD指南充满希望,但它仅是推荐性指南,并没有强制力,无法真正统一欧洲各国的立法,美国也未采纳它。
  为了坚定欧洲各国的立场、进一步协调欧洲共同体成员国的数据保护立法,欧共体理事会在1981年出台《关于个人数据自动处理过程涉及的各国监管机构与跨境数据转移的个人保护公约》(以下简称:欧共体公约)。与OECD指南不同的是,该公约对欧共体成员国具有约束力,其内容简短,目的明确。该公约仅3条,其第2条规定向非成员国进行跨境数据转移的前提是该非成员国对个人数据提供了适当保护;所谓适当保护的评估,成员国当局既可以根据非成员国的立法确定,也可以通过对数据转移合同条款的评估而决定。从效果上看,该公约强化了欧洲国家对于数据跨境流动的立场,也导致欧美在数据跨境问题上的分歧越来越大。尽管如此,欧共体议会下设的法律委员会仍不满意。在1981年12月,该委员会建议欧共体议会考虑,“将个人数据保护的权利以一种人权明确规定在《欧洲人权公约》第六议定书的可行性和必要性。基于OECD指南和欧共体公约,我们已经采取了具体措施来协调成员国数据保护法,下一步就要考虑欧共体层面是否有必要出台更强有力的法律”。[13]
  (二)WTO隐私保护例外条款及其对各国法制变革的影响
  在国际法律层面,欧美之间的分歧并没有得到有效解决。然而,这种通过个人数据保护限制跨境数据转移的做法,在1994年WTO框架下的《服务贸易总协定》(GATS)中得到了明确——成员国可以隐私保护为由限制跨境服务贸易。
  1.GATS隐私保护例外条款
  GATS是第一个规范跨境服务贸易的国际条约,目的在于协调各成员国在服务贸易方面的法律和政策,在适用范畴上覆盖了除政府部门提供的服务和空运服务之外的其他所有服务,其成员国达到140多个。GATS将服务细分成四种形式:跨境交付;境外消费;在他国设立商业存在;通过派遣职员到他国提供服务。因此,电子商务自然被纳入其中。成员国一旦以积极列表的方式承诺了纳入GATS规制的服务,就受到GATS的管辖。
  由于跨境服务贸易政策不可避免地涉及成员国的主权和国内政策,GATS第14条“一般例外”条款规定了成员国可以在一定条件下——“如果下列措施的实施在相同情况的国家间不构成任意的或者无端的歧视,或者不构成变相的服务贸易限制”——采取的四大类措施:(a)为保护公共道德或维持公共秩序的必要措施;(b)为保护人类、动物、植物的生命和健康而采取的措施;(c)为了确保与本协定不会构成不一致的法律或法规得到遵守所必需采取的措施;(d)虽然与第17条不一致,但该措施针对另一成员国的服务或服务提供者收取公平有效的直接税收,以及虽然与第2条不一致,但该措施涉及的不同待遇是为了避免双重课税。GATS第14条第(c)款又细分了三种可采取例外措施的情形:(1)防止欺诈或处理服务合同违约而产生的影响;(2)保护数据处理和传播中的个人隐私和个人记录及账户的保密性(以下简称:“隐私例外条款”);(3)安全(以下简称:“安全例外条款”)。
  由此可见,欧洲各国在欧共体委员会的联合组织下,成功通过WTO“一国一票”的投票规则,将成员国对数据处理和传播过程中的个人数据保护立法转变为一种合法限制国际自由贸易的措施。
  2.欧盟《关于个人数据自动处理和自由流动的个人保护指令》及其影响
  基于GATS隐私例外条款提供的国际法依据,以及欧盟经济一体化的目标,欧盟在1995年快速通过了《关于个人数据自动处理和自由流动的个人保护指令》(以下简称:《指令》),名正言顺地限制成员国向非成员国的跨境数据转移。
  《指令》以法国数据保护法和OECD指南为蓝本,分8章34条。其第2章规定合法处理个人数据的基本原则:合法处理原则;目的限制原则;同意处理原则;敏感信息特别处理原则;处理与言论自由冲突时的比例原则;透明原则;保密处理和安全处理原则。其第4章规定数据向非成员国跨境转移的规则。《指令》大大强化了欧盟各国个人数据的保护水平,明确了成员国必须设立数据监管部门进行个人跨境数据转移的事先审查制度和批准制度。《指令》对欧盟28个成员国有约束力,各成员国必须通过国内立法予以执行。
  不仅如此,《指令》还掀起了其他国家和地区进行数据保护立法的新浪潮。据不完全统计,除了欧盟成员国执行《指令》之外,冰岛、阿根廷、墨西哥、毛里求斯、韩国、日本等七十多个国家和地区参考《指令》制定了有关数据保护的规定。[14]有69个国家和地区的有关数据保护的规定明确限制跨境数据转移:欧盟28个成员国、3个欧盟经济区国家(冰岛、挪威、列支敦斯登)、欧洲14个其他国家和地区(瑞士、卢森堡、圣马力诺、阿尔巴尼亚、安道尔、波黑、克罗地法罗群岛、根西岛、马恩岛、泽西岛、马其顿、摩尔多瓦、摩纳哥、塞尔维亚)、北美洲3个国家(加拿大、巴哈马、墨西哥)、南美洲3个国家(阿根廷、哥伦比亚、乌拉圭)、非洲6个国家(贝宁、布基纳法索、毛里求斯、摩洛哥、塞内加尔、突尼斯)、亚洲10个国家和地区(亚美尼亚、迪拜自贸区、以色列、马来西亚、韩国、我国台湾地区、我国香港特别行政区、我国澳门特别行政区、俄罗斯)、大洋洲2个国家(新西兰、澳大利亚)。由此,《指令》被称为世界数据保护立法的引擎。[15]
  二、各国跨境数据转移限制的立法模式及其利弊
  纵观世界各国数据限制性立法,其背后的基本逻辑都是推定第三国的个人数据保护水平没有达到本国的同等水平,进而以保护个人数据为名限制数据的跨境转移,认为如果企业将个人数据从本国转移到第三国就构成规避本国法律。因此,为了支撑这个假定,世界各国在进行数据保护立法时,基本上都援引宪法,欧盟更是将个人数据权独立于隐私权而直接规定于《欧盟基本权利宪章》第8条。
  虽然限制跨境数据转移的假设性前提是第三国的个人数据保护水平不及本国,但全球化背景下企业进行跨境数据转移却是国际贸易的必然需求。事实上,完全禁止跨境数据转移并不现实,也无法操作,而且还背负经济保护主义的骂名。因此,各国在限制跨境数据转移的时候,也提供了推翻这个假设性前提的不同机制:一是本国对第三国的个人数据保护水平进行适当性评估;二是数据出口者担保数据进口者遵守本国个人数据保护法;三是数据主体通过同意等方式自愿放弃在第三国享受等同本国保护水平的待遇。具有代表性的国家和地区限制跨境数据转移的立法模式有以下三种。
  (一)第三国适当性评估模式
  《指令》第四章专门规定个人数据向非成员国跨境转移的规则。其第25条规定,成员国必须确保跨境数据转移的前提是第三国为个人数据提供了适当水平的保护,第三国适当性评估由欧盟委员会根据第三国的所有情况(包括国内法、国际承诺、与欧盟委员会关于适当性谈判的结果)以决议形式作出。
  实践中,欧盟委员会的评估非常严苛,目前仅有11个国家和地区获得适当性评估:安道尔、阿根廷、加拿大、瑞士、法罗群岛、根西岛、马恩岛、泽西岛、以色列、新西兰、乌拉圭东岸共和国。另外,美国商务部在2001年通过与欧盟委员会签订安全港框架协议而被认定为通过了适当性评估。不过,“棱镜门事件”之后,欧盟法院通过施姆雷斯案判决该协议无效。[16]2016年2月2日,美国商务部进一步向欧盟委员会让步,签订隐私盾协议。[17]
  此后,欧盟于2016年4月27日通过替代《指令》的《通用条例》,进一步强化了第三国适当性评估的要求。《通用条例》第45条详细规定了欧盟委员会对第三国进行适当性评估时应当考虑的因素:一是第三国的法治情况,包括了是否尊重人权、是否有具体立法保护个人数据、是否有跨境数据转移规则、对个人数据权保护的执法和司法情况等;二是否有专门机构负责数据保护的执法;三是已经缔结的、涉及个人数据保护的多边条约或双边条约。
  欧盟的适当性评估的标准非常抽象和主观,因此受到不少学者的诟病。例如,欧盟隐私法专家库勒指出:“外界普遍认为欧盟做出适当性评估的程序过于繁琐和低效,自《指令》生效十多年以来只有少数几个国家或地区通过适当性评估。另外,在评估第三国是否符合适当性要求时还加入了政治因素的考虑。”[18]
  (二)数据控制者担保模式
  俄罗斯和澳大利亚都是《APEC隐私框架》(APEC Privacy Framework)的成员,不同程度上执行该框架采取的有关跨境数据转移的数据控制者担保模式(《APEC隐私框架》属推荐性协议)。
  澳大利亚1988年的《隐私法》禁止跨境数据转移(仅有个别例外),但澳大利亚政府发现这样的做法无法适应日新月异的电子商务发展趋势,[19]于是在2006年修订该法时增订了跨境数据转移的机制。修订后的澳大利亚《隐私法》编目一第三部分第8.1条规定,数据控制者在向第三国数据接收者转移个人数据之前,原则上必须采取“在当时情况下所有合理措施”确保第三国接收者并没有违反澳大利亚隐私原则(透明原则除外)。对于“在当时情况下所有合理措施”的理解,澳大利亚信息局局长办公室发布的《澳大利亚隐私原则指南》(2014版)指出:“这是一个客观标准,而且是数据控制者有责任去判断是否采取了所有的合理措施。”[20]实践中,这一标准应当具体如何操作,以及这种担保模式的效果,目前尚不清楚。[21]
  俄罗斯2006年通过的《个人数据保护法》第12条第1款规定,数据向第三国转移的,数据控制者应当确认第三国提供了“充分水平的保护”。至于何为“充分水平的保护”,该法并未加以明确。不过,俄罗斯信息监管局在2013年公布,只要第三国是欧共体公约的签约国,或者是进入该局特别列明的国家名单,都属于提供充分水平保护的国家。[22]值得注意的是,该法第12条第2款还规定,即使第三国提供了充分水平的保护,俄罗斯当局也可以国家安全、国家防卫、保护公众合法权益为由禁止或者进一步限制数据转移。而且,俄罗斯2014年底通过了《数据本土化法》(Federal Law No.526-FZ),要求所有搜集俄罗斯公民个人数据的数据控制者都应当将其服务器设置在俄罗斯境内。[23]尽管该法并没有直接限制跨境数据转移,但也间接限制了数据的跨境转移。因此,俄罗斯采取的数据控制者担保模式,其实更类似于欧盟的第三国适当性评估,而且更直接地体现了国家主权和国家安全方面的考虑。
  (三)数据主体同意模式
  日本《个人数据保护法》虽然没有直接规定跨境数据转移问题,但该法第23条规定了向第三者提供的限制。该法第23条并没有对“第三者”进行限定,所以日本境内的第三者以及日本境外的第三者都受该条约束。根据该法第23条的规定,个人数据控制者事先未获得数据主体的同意的,不得将其个人数据向第三者提供,但下列四种情形除外:一是根据法律法规向第三者提供;二是为保护生命、身体和财产安全而有必要提供,但获得数据主体同意却很困难;三是为保障公共卫生或者儿童健康而特别需要提供,但获得数据主体同意却很困难;四是为了配合国家机关、当地政府或者授权组织履行法律法规规定的公务而有必要提供,但获得数据主体同意将妨碍前述公务的开展。对于“同意”的做出方式,该法并没有明确。根据日本经济、贸易与工业部发布的《经济与工业领域个人数据保护指南》,同意的方式包括了口头和书面的同意,以及点击网页上有关同意的确认键。[24]不过,考虑到数据主体做出同意后又可能要求数据提供者停止向第三者提供的情况,该法第23条还规定,尽管数据控制者同意了数据主体的停止请求,但随后及时通知或者让数据主体可以获悉相关政策的,仍可以向第三方提供。
  由此可见,在日本法规定的默示限制跨境数据转移的机制下,跨境数据转移考验的是数据控制者处理数据主体做出的同意以及撤回同意的技巧,至于四种无须数据主体同意的例外情形,则仍须依赖日本当局的个案解释,因而存在不确定性。
  (四)小结:上述三种立法模式的利弊
  上述三种限制跨境数据转移的立法模式各有其自身的利弊,并且,限制他国企业跨境转移数据,必然会影响国际贸易和国际关系,因此各国大多根据其宪法、法律以及经济、政治和文化等因素选用符合自身情况的立法模式。
  1.限制跨境数据转移的优点
  一般而言,对数据的跨境转移进行限制有三大优点。其一,确保消费者的合法权益在其数据被转移到第三国之后仍然得到保障。尽管世界各国基本认可隐私权是一项基本人权,但在电子商务时代,并不是每个国家都主动将隐私保护延伸至个人数据的保护上。因此,消费者个人数据可能在转移到第三国之后无法得到有效的保护,跨境数据转移限制是一个将本国法律延伸至域外的有效机制,它至少能够让第三国尊重本国的个人数据保护,并在行之有效的情况下保障个人数据在第三国获得等同于本国的保护水平。[25]其二,提振消费者对电子商务的信心。电子商务是计算机技术发展和应用的产物,通常,人们所熟悉的是传统的面对面交易,对于网上交易和社交的场景并不熟悉,也无法评估自己在享受电子商务的同时是否会受到个人隐私或个人数据的侵害和损失。因此,只有消费者能够相信他们的数据得到充分的保护,他们才能继续相信这个交易,并许可使用其个人数据,在网上消费。[26]其三,可以防止企业和第三国规避本国的个人数据保护立法,确保本国立法得到遵守和执行,实现立法初衷,维护国家主权。
  具体而言,不同的限制跨境数据转移的立法模式有不同的优点。第三国适当性评估模式下,本国政府把握主动权,可以依法评估第三国的个人数据保护水平,给企业提供一种明确的法律预见性,减轻企业向通过评估的国家跨境转移数据的成本。数据控制者担保模式的优点是让跨境数据转移的限制机制回归市场机制。[27]换言之,企业作为市场主体,为了迎合消费者的需求,担保跨境数据转移的接受者能够遵守数据出口国的个人数据保护法,可以确保消费者个人数据的保护水平不因跨境转移而减损,推动消费者积极消费。数据主体同意模式的优点是让消费者——个人数据的权利主体——全权管理自己的权利,国家并不直接干涉个人数据的跨境转移。
  2.限制跨境数据转移的缺点
  世界各国出于保护隐私的原因或捍卫国家主权的原因,假定第三国的个人数据保护水平不如本国,从而选择限制数据的跨境转移。然而,这样的做法与全球化大趋势和市场机制并不融合,容易领受国家保守主义的骂名。具体而言,三种限制跨境数据转移的立法模式的缺点也有所不同。
  (1)第三国适当性评估模式
  第三国适当性评估模式的最大缺点是一国政府是否会歧视性地评估第三国的个人数据保护水平,从而可能违反GATS“一般例外”条款(有关隐私保护例外)的条件——成员国采取的措施应当不构成“任意的”或“无端的”歧视,或者“变相的服务贸易限制”。
  目前在WTO仅有一个案件即美国网络赌博案涉及GATS“一般例外”条款的解释和适用,尚没有出现直接涉及隐私例外的案件。因此,具体一国的跨境数据转移限制立法是否违反GATS仍不清楚。
  在美国网络赌博案中,WTO上诉机构指出:“GATS一般例外条款的设置方式如同《关税及贸易总协定》(GATT)一般例外条款的设置,这两个例外都是确认成员国有权根据在协定例外条款所列的范围内进行立法。尽管这样的立法可能会与协定其他条款相违背,但只要该立法符合例外条款设定的要求即可。”[28]至于具体如何判断成员国采取的国内立法是否符合GATS第14条“一般例外”的要求,WTO上诉机构提出了“双层分析法”:“GATS第14条,一如GATT第20条,应用‘双层分析法’来考察一个成员国采取的措施是否合规。专家组首先应当确定涉案的措施是否符合第14条中某个具体例外的规定。这就要求分析涉案措施是否涉及该具体例外规定的特定利益,并且该措施与该利益是否具有充分的关联度。(根据GATS第1条第3款,成员国采取的“措施”包括中央和地方政府以及政府授权机构作出的措施,这些措施包括立法和政策。笔者注)所谓‘关联度’应当通过使用‘与…相关’(relating to)或者‘有必要就…作出规定’(necessary to)等术语明确体现在涉案措施中。一旦确认涉案措施落入第14条的具体例外规定,那么专家组应当考虑涉案措施是否满足第14条序言(chapeau)所设定的条件。”[29]关于GATS第14条序言所设定的条件,WTO上诉机构指出:“通过要求成员国采取的措施不应构成‘任意的’或‘无端的’歧视,或者‘变相的服务贸易限制’,确保了成员国可以合理利用该例外条款,又不至于影响其他成员国通过GATS获得的权力。”[30]
  在实践中,美国曾在欧美安全港框架协议谈判和隐私盾协议谈判过程中提出《指令》有违反GATS“一般例外”之虞,但最后美方都选择了让步,未将该争议提交到WTO。[31]
  (2)数据控制者担保模式
  数据控制者担保模式的缺点在于个人数据保护的重心落在企业,由此企业每次进行跨境数据转移,都要担保数据进口者遵守数据出口国的法律。一方面,企业的自律很难监督,尤其是涉及数据进口者是否遵守数据出口国的法律时。另一方面,数据控制者担保模式对于中小企业尤其是初创企业而言,操作起来成本过高。这一点不同于第三国适当性评估模式——只要向通过适当性评估的第三国转移数据,就可以免担保、大批量的自由转移数据。
  (3)数据主体同意模式
  数据主体同意模式有三大缺点。其一,国家假定所有消费者都具备比较高的隐私保护意识和自我管理能力。事实上,并不是所有的消费者都具备这样的能力,而且很多进行电子商务的消费者还是未成年人。其二,企业可以通过多种形式逼迫消费者为了免费服务而选择同意。例如,企业有关用户使用守则通常内容非常多而且字体非常小,消费者通常不愿意细读而直接选择同意。其三,对于企业而言每次的跨境数据转移都要一一获得数据主体的同意,成本非常高。况且,云计算、大数据等技术不断发展革新,企业所处理的个人数据量日益庞大,一一授权模式与市场发展的趋势严重不符,容易让企业(特别是中小企业)丧失交易机会。
  三、跨境数据转移的国际条约及其发展趋势
  在国际层面,如果说OECD指南仅是推荐性标准,并且欧共体公约仅是欧洲共同体内部的条约,那么1995年1月施行的GATS就是一个全球性国际条约,并且,其明确赋予WTO成员国有权以隐私保护为由通过数据保护方面的法律。WTO曾被批评为逼迫其成员国政府放弃国内隐私立法(尤其是互联网隐私领域)。对此,WTO专门进行过澄清:“这样的提法很难理解。WTO对互联网隐私保护从来没有采取过任何决定和行动。WTO对互联网隐私从来没做过什么,更别说‘逼迫政府放弃国内隐私立法’,事实上WTO在任何情况下都没有权力这样做。而且,GATS本身就将个人隐私保护问题纳入到整个协议的框架内。GATS第14条的一般例外条款——凌驾于协议的其他条款——就规定了政府可以在其认为必要的时候采取措施‘保护数据处理和传播中的个人隐私和个人记录及账户的保密性’。”[32]总体而言,目前已经缔结的和正在谈判的国际条约(如TTIP、TISA)在跨境数据转移问题上基本都搁置争议而回归GATS的隐私例外规则。
  (一)《APEC隐私框架》:数据控制者担保模式
  亚太经济合作组织(APEC)在1998年提出《电子商务行动计划》,特别强调电子商务的未来发展不能脱离政府与商业的合作,如此才能共同确保安全可靠的信息传输系统,并处理好隐私保护的问题。[33]认识到有效隐私保护和信息亚太区域自由流动的平衡对于提振消费者信心和确保电子商务发展的重要性,APEC成员国在2004年达成了《APEC隐私框架》。
  1.《APEC隐私框架》的理念及核心内容
  虽然《APEC隐私框架》在形式上类似OECD指南,都是由原则为核心构建的保护框架(而且大部分原则都相类似),都不具有约束力,不过,在指导思想上两者间却存在根本性差异:《APEC隐私框架》仍然建立在传统隐私侵权法律制度之上,重点解决各成员都非常关注的意外侵害和滥用个人信息带来的隐私侵权损害;OECD指南则鼓励成员国建立积极的个人数据权利体系。
  在这一思想的指导下,《APEC隐私框架》对于个人数据的范畴界定也有意排除了政府部门有关数据主体的公开纪录、新闻报道、法律要求公开的信息等三种已经处于公开状态的个人数据,如果数据控制者从这三种数据源而非从数据主体处获得(即这种获得对于数据主体而言并不意外),则不受该框架的约束。这就大大缩小了《APEC隐私框架》的适用范围,有利于数据更加自由的流动。这种个人数据的界定方法不同于欧盟成员国或者欧盟采取的界定方法,后者把所有可能的个人数据都纳入管辖范围。
  在该思想的指导下,防止损害原则成为《APEC隐私框架》九大原则之首。防止损害原则是指承认个人对于其合法预期的隐私保护,个人信息的保护制度应当设计成防止这些信息的滥用的制度,并且,为应对滥用可能带来的损害危险,成员在设计法律法规时有必要考虑对数据控制者在收集、使用和转移个人数据上设置特定的义务,提供在侵害可能性和损害程度方面符合比例原则的救济方式。
  在防止损害原则的统帅下,《APEC隐私框架》的其他八个原则,即通知原则、收集限制原则、使用限制原则、选择原则、个人数据完整性原则、安全保障原则、获取与修改原则(但数据主体的获取权和修改权并不是绝对的,而应当考虑该成本与具体个案的侵权危险程度相一致)、责任原则的设计也非常务实。
  值得强调的是,责任原则要求数据控制者对第三者转移数据(不论是境内还是跨境)时都要事先获得数据主体的同意,或者采取合理措施确保数据接收者遵守前述八大原则。对于责任原则的理解,有两点值得注意。其一,该原则不同于OECD指南的责任原则,后者仅要求数据控制者本人遵守该指南的其他原则,而前者不仅要求数据控制者本人遵守《APEC隐私框架》的其他原则,还专门强调跨境数据转移上的责任问题。其二,具体设计数据控制者在向第三方(不论是在境内还是在境外)进行跨境数据转移的责任时,《APEC隐私框架》提供了两种解决方案:获得数据主体的同意或者担保数据接收者遵守数据出口国个人数据保护法。并且,《APEC隐私框架》还强调这两种方案是一种互动机制,如果数据控制者与数据接收者的关系不复存在,数据控制者就无法担保数据接收者遵守原则,此时,应当有数据主体的同意。
  2.《APEC隐私框架》的执行
  尽管《APEC隐私框架》仅是推荐性标准,但澳大利亚、俄罗斯等14个成员通过立法予以采纳。[34]
  为了推进各成员的统一执行,APEC委员会在2007年出台《APEC跨境隐私规则体系》。数据控制者可以自由选择采用该体系规定的“跨境隐私规则”(CBPR),一旦获得认证,该数据控制者就受该规则的约束。该体系有要求和法律效力两大重点内容。在要求上,CBPR包括以下四大要素。一是自我评估:数据控制者根据APEC制定的“跨境隐私规则问卷”进行自我评估。二是合规性审核:数据控制者将填好的问卷以及相关文件提交给APEC认证的隐私责任评估机构,由后者按照《APEC跨境隐私规则体系》的要求进行审核。三是认证和公开:通过审核的数据控制者将公布在APEC网站上,公布的内容包括该数据控制者、隐私责任机构和隐私执法当局的联系方式。四是争议解决与执行:获得认证的数据控制者,将受到该CBPR的约束,隐私责任评估机构可以按照当地法和合同执行跨境隐私规则,隐私执法当局也可以按照本国法对经认证的数据控制者采取相应的执法措施。在法律效力上,该体系并不替代成员本身的相关法律法规,如果成员本身没有相应的法律法规,该体系可以作为该成员的最低保护标准;如果该成员有相应的法律法规,但其要求低于该体系要求,并且数据控制者自愿采用该体系的,应该遵守高于成员法律法规的额外要求。[35]目前,加拿大、日本、墨西哥和美国等四个成员采纳了该体系。
  为了推动与非APEC成员的隐私执法合作,APEC于2009年提出与OECD指南兼容的《APEC关于跨境隐私执行合作的计划》。该计划希望各国通过一个标准的“请求协助表”就可以与其他国家进行跨境隐私执法方面的合作。[36]
  (二)TPP:没有超越GATS
  泛太平洋合作伙伴关系协议(TPP)是以2005年文莱、智利、新西兰和新加坡四国达成的泛太平洋战略经济合作伙伴协议为基础,在美国、澳大利亚、加拿大、日本、马来西亚、墨西哥、越南和秘鲁等八国加入后扩展谈判而成,旨在建构超越WTO系列协议标准之上的劳工、环境和知识产权等方面的新国际保护标准。该协议于2016年2月4日获得签署,目前尚未完成生效程序。
  在TPP谈判过程中,美国商务部等机构和产业联盟在2012年联合发表声明指出,在21世纪的知识经济时代,信息与通讯技术的发展与应用已经成为全球经济增长的火车头,不管是农业、制造业还是服务业,都越来越依赖全球通讯网络和跨境信息与数据流动来管理业务。其中,尤为重要的是中小企业的创新与发展,中小企业很大程度上需要依赖这种低成本、高效率的信息通讯技术和跨境数据自由流动。因此,实现跨境信息与数据自由流动是美国的必然诉求。[37]
  不过,根据新西兰政府公开的TPP第14章(电子商务),在跨境数据转移问题上,TPP并没能实现实质性突破:(1)原则上所有的成员应当允许信息(包括个人信息)通过电子形式进行跨境转移,只要这个转移是为了该特定个人而进行的商业活动(第14章第11条第2款);(2)成员须认可其他成员已有的有关个人数据转移方面的法律法规(第14章第11条第1款),并且不能妨碍成员采取或者维持这些法律法规,条件是“这样的措施并不构成任意的或者无端的歧视,或者变相的贸易限制;而且不会施加超出该措施目的之外的额外限制”(第14章第11条第3款);(3)原则上成员不得将数据存储本土化作为企业在本土经营的条件,但这并不能妨碍成员采取或者维持这些规范性要求,条件是“这样的措施并不构成任意的或者无端的歧视,或者变相的贸易限制;而且不会施加超出该措施目的的额外限制”(第14章第13条)。
  应当说,表面上美国通过谈判实现了跨境数据自由流动的目的。实际上,TPP除了象征性地表示自己的进步——增加“不会施加超过该措施目的之外的额外限制”——之外,在实质内容上并没有超出GATS关于限制服务贸易的“一般例外”规定。质言之,关于跨境数据转移问题,信息跨境自由流动只能是美国的一个不可能实现的梦想——其他国家对美国的防备之心从未消解。[38]因此,世界各国之间关于跨境数据转移的分歧一直未能消除,GATS谈判搁置的隐私例外争议在22年后的TPP谈判中也无法解决,只能维持现状。或许,这是最好的结果,至少从国家主权和国家经济发展的平衡

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1219581      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多