性虎精品无码AV导航,日本无码全黄二区三区大片免费看,在线播放五十路熟妇,日韩AV高清无码

田旭

上海政法學(xué)院講師

要目

一、過去與現(xiàn)在——數(shù)據(jù)跨境傳輸規(guī)則的內(nèi)部演進

二、數(shù)據(jù)流通的意義——貿(mào)易自由、隱私保護與數(shù)據(jù)安全的價值博弈

三、數(shù)據(jù)跨境傳輸?shù)膰H機制

四、數(shù)據(jù)跨境傳輸規(guī)則的立法定位與構(gòu)建思路

五、自貿(mào)區(qū)內(nèi)數(shù)據(jù)跨境規(guī)則制定原則與可行性舉措建議

摘要

任何交易均伴隨信息的交換，而信息技術(shù)的革新無疑對大規(guī)模的貿(mào)易產(chǎn)生積極影響，網(wǎng)絡(luò)的運用正在重塑國際貿(mào)易的基本模式。以數(shù)據(jù)為載體的信息通過網(wǎng)絡(luò)進行的跨境傳輸行為作為信息交換的重要形式，正在受到日益強化的本地化主義影響。自由貿(mào)易試驗區(qū)作為新時代經(jīng)濟改革的重要試驗場，有必要就數(shù)字貿(mào)易領(lǐng)域的新問題進行積極探索。數(shù)據(jù)跨境傳輸是開展數(shù)字貿(mào)易的基礎(chǔ)活動，基于個人數(shù)據(jù)保護和信息安全角度實施的數(shù)據(jù)跨境傳輸限制應(yīng)當(dāng)建立在必要性和比例性基礎(chǔ)之上，兼顧數(shù)據(jù)保護和數(shù)據(jù)流通，為自貿(mào)區(qū)先行先試提供了契機和挑戰(zhàn)。

由于缺乏成文法規(guī)的明確指導(dǎo)，數(shù)據(jù)跨境傳輸作為協(xié)調(diào)和促進數(shù)字貿(mào)易的重要活動形式缺乏穩(wěn)定的監(jiān)管原則，從而極大地增加了企業(yè)合規(guī)難度和業(yè)務(wù)經(jīng)營的不確定性。本文所探討的內(nèi)容是數(shù)據(jù)跨境流動中的法律規(guī)制問題，以及它正在如何影響國際經(jīng)貿(mào)關(guān)系，并以自貿(mào)區(qū)改革為出發(fā)點，探索區(qū)內(nèi)數(shù)據(jù)跨境傳輸規(guī)則應(yīng)當(dāng)如何拓展。

一、過去與現(xiàn)在——數(shù)據(jù)跨境傳輸規(guī)則的內(nèi)部演進

傳統(tǒng)上的數(shù)據(jù)本地化存儲的原則

數(shù)據(jù)本地化，也稱數(shù)據(jù)駐留（data residency），通常指在數(shù)據(jù)發(fā)生跨境傳輸前，要求對其收集、處理和存儲均發(fā)生在數(shù)據(jù)產(chǎn)生國境內(nèi)的一項要求，傳統(tǒng)上這一要求的目的是保護個人數(shù)據(jù)不被侵犯。本文認(rèn)為，數(shù)據(jù)本地化是一項專門針對數(shù)據(jù)跨境傳輸行為所產(chǎn)生的術(shù)語，對數(shù)據(jù)本地化的強調(diào)源于數(shù)據(jù)主權(quán)概念的普及。但在貿(mào)易領(lǐng)域，嚴(yán)格的數(shù)據(jù)本地化政策已經(jīng)站到了貿(mào)易自由化的對立面，由模糊的法律規(guī)則、繁瑣的審核程序與復(fù)雜的技術(shù)要求所帶來的高昂法律合規(guī)成本越來越成為跨國企業(yè)逐漸難以承受之負擔(dān)。

我國網(wǎng)絡(luò)安全法也同樣采用相對嚴(yán)苛的數(shù)據(jù)本地化要求，第37條規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估?！边@一條明確了我國法律對于數(shù)據(jù)跨境傳輸?shù)幕緫B(tài)度，即原則上要求本數(shù)據(jù)境內(nèi)存儲，如需出境的，需要經(jīng)過網(wǎng)信部門的安全評估。由此看來，相較于對個人信息權(quán)益保護的單一目的而言，我國網(wǎng)絡(luò)安全法將數(shù)據(jù)本地化立法原則指向更為宏觀的利益——即數(shù)據(jù)安全。

數(shù)據(jù)跨境規(guī)則為網(wǎng)絡(luò)帶來巴爾干化影響

巴爾干化（Balkanization）是一個常帶有貶義的地緣政治學(xué)術(shù)語，可以被定義為：一個較大的國家或地區(qū)分裂成較小的國家或地區(qū)的過程，這些國家或地區(qū)關(guān)系緊張甚至處于敵對狀態(tài)。20世紀(jì)70年代初，由于經(jīng)濟發(fā)展模式的逐步變遷，美國各州貿(mào)易規(guī)則分歧越來越大，在著名的Hughes v. Oklahoma案中，法官將提出了貿(mào)易規(guī)則的巴爾干化，并直指該現(xiàn)象將導(dǎo)致貿(mào)易壁壘的加高。網(wǎng)絡(luò)技術(shù)實際上源于美國的軍事技術(shù)，由于在其民用普及初期，使用網(wǎng)絡(luò)的國家大部分為發(fā)達國家，這種數(shù)據(jù)保護規(guī)則分歧所導(dǎo)致的數(shù)據(jù)傳遞不暢問題還未被我國學(xué)界所察覺，但是歐美之間長期形成的數(shù)據(jù)保護規(guī)則差異而逐漸發(fā)展處歐洲保守的數(shù)據(jù)本地化規(guī)則，取代了美國發(fā)展互聯(lián)網(wǎng)技術(shù)的初衷，從而下形成了網(wǎng)絡(luò)的巴爾干化（Cyber balkanization）。現(xiàn)實中，這種網(wǎng)絡(luò)巴爾干化現(xiàn)象隨著發(fā)展中國家網(wǎng)絡(luò)技術(shù)的普及和成熟顯得更加明顯。貿(mào)易電子化革命和全球電子商務(wù)發(fā)展，使得數(shù)據(jù)傳輸成為一項越來越重要的貿(mào)易輔助活動，甚至成為貿(mào)易活動本身。

從現(xiàn)實角度看，數(shù)據(jù)本地化業(yè)已成為國際間數(shù)據(jù)傳輸限制性新型壁壘，這種限制也被美國學(xué)者納入為一種本地化貿(mào)易壁壘（Localization Barriers to Trade, LBT）。在一份專門研究信息和通信技術(shù)（“ICT”）與國際經(jīng)貿(mào)關(guān)系的報告中，學(xué)者將ICT本地化壁壘歸結(jié)為三大類：第一，直接針對“ICT基礎(chǔ)設(shè)施”的本地化要求；第二，是對數(shù)據(jù)存儲的本地化要求；第三，是對本地內(nèi)容的本地化要求。這份報告同時羅列了提出相應(yīng)要求的國家和地區(qū)，中國在這三個方面均被明列其中。本地化政策與數(shù)據(jù)的全球流通自由相對，屬于較為保守的ICT政策，這種政策取向顯然已經(jīng)不太符合國際經(jīng)貿(mào)流通的需求，構(gòu)成了對國際經(jīng)貿(mào)發(fā)展的阻礙。

上海自貿(mào)區(qū)之探索——以數(shù)據(jù)流通自由為導(dǎo)向

2019年7月27日，國務(wù)院印發(fā)《關(guān)于中國（上海）自由貿(mào)易試驗區(qū)臨港片區(qū)總體方案的通知》（下稱“臨港方案”），其中就實施互聯(lián)網(wǎng)跨境安全有序流通有一些宏觀性表述。自由貿(mào)易試驗區(qū)作為政策的先行先試的場域，有條件針對數(shù)據(jù)領(lǐng)域的流通規(guī)則構(gòu)建更加積極的規(guī)則，以促進和配套自貿(mào)區(qū)的改革。就此，上海市政府率先于2019年8月20日頒布《中國（上海）自由貿(mào)易試驗區(qū)臨港片區(qū)管理辦法》（“《管理辦法》”），其中就跨境數(shù)據(jù)流動議題提出“構(gòu)建安全便利的國際互聯(lián)網(wǎng)數(shù)據(jù)專用通道、試點開展數(shù)據(jù)跨境流動的安全評估、建立數(shù)據(jù)保護能力認(rèn)證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流通和交易風(fēng)險評估等數(shù)據(jù)安全管理機制”等模式，以應(yīng)對法律層面數(shù)據(jù)跨境傳輸規(guī)則的滯后，將數(shù)據(jù)跨境傳輸規(guī)則創(chuàng)新性構(gòu)建的任務(wù)交給了臨港新片區(qū)。2020年11月15日，上海再次發(fā)布《上海市全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點實施方案》（下稱“《服務(wù)創(chuàng)新實施方案》”），提出“探索數(shù)據(jù)跨境流動分類監(jiān)管模式、開展數(shù)據(jù)跨境傳輸安全管理試點”，奠定了以促進數(shù)據(jù)跨境傳輸為導(dǎo)向的立法模式。

二、數(shù)據(jù)流通的意義——貿(mào)易自由、隱私保護與數(shù)據(jù)安全的價值博弈

世界范圍內(nèi)，數(shù)據(jù)跨境可以分為自由流動派和原則禁止派。其中，自由流動派主要以美國為代表，無論是國內(nèi)法或是對外簽署的貿(mào)易協(xié)定，美國都一直主張反對數(shù)據(jù)跨境傳輸施加限制，而力求建立一個自由的互聯(lián)網(wǎng)。另一方面，歐盟雖然也主張數(shù)據(jù)自由流動，但是這種自由是建立在他國提供歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)的前提下的，由于歐盟采用極高的個人數(shù)據(jù)保護標(biāo)準(zhǔn)，這種高標(biāo)準(zhǔn)實際上構(gòu)成了一堵隱形的高墻，將歐盟個人數(shù)據(jù)牢牢鎖住。而最新的數(shù)據(jù)本地化政策理由則聚焦于信息安全，其理論背景甚至延伸到國家主權(quán)概念，這種概念的泛化進一步加劇了數(shù)據(jù)流通不暢。

數(shù)據(jù)本地化的原點——個人信息權(quán)的保護

從立法模式角度看，數(shù)據(jù)跨境傳輸規(guī)則常常作為數(shù)據(jù)保護法的一部分被嵌入數(shù)據(jù)保護法下，以《通用數(shù)據(jù)保護條例》（GDPR）為例，這是一部綜合性的個人數(shù)據(jù)保護立法，而數(shù)據(jù)跨境傳輸規(guī)則作為一項保護措施規(guī)定在該法律項下。這一嵌入式的立法形態(tài)最早可追溯至1973年瑞典數(shù)據(jù)法，它規(guī)定“若據(jù)合理推斷，個人數(shù)據(jù)將在境外受到處理時，數(shù)據(jù)僅在數(shù)據(jù)管理當(dāng)局（Datainspektionen）許可下方可披露。并且這種許可是建立在這項披露不導(dǎo)致對個人數(shù)據(jù)的過度侵犯。”個人數(shù)據(jù)跨境傳輸限制規(guī)則被后來更多的歐洲國家數(shù)據(jù)保護立法參照，后又被旨在協(xié)調(diào)歐洲數(shù)據(jù)保護法一體化的歐盟數(shù)據(jù)保護指令（即1995/EC/46指令，以下簡稱“95指令”）和GDPR相繼發(fā)展和繼承，并形成一套完善的數(shù)據(jù)跨境傳輸規(guī)則，上述“不導(dǎo)致過度侵犯”原則的認(rèn)定進而演化為歐洲委員會對第三方國家數(shù)據(jù)保護的充分性認(rèn)定。針對充分性的認(rèn)定，在歐盟法院關(guān)于Scheme案的判決中，歐盟法院認(rèn)為“充分性”建立在第三國保護水平與歐盟“實質(zhì)性等同（essentially equivalent）”的情形下，本文認(rèn)為，歐盟個人數(shù)據(jù)出境限制實際上采用的是一個危邦不入的理念，它將任何未施行歐盟標(biāo)準(zhǔn)的第三國都視為數(shù)據(jù)保護洼地，變相地要求只要當(dāng)境外采用類似歐盟的立法模式后才能獲得相應(yīng)的充分性認(rèn)定。

由此可見，在數(shù)據(jù)安全概念提出之前，限制數(shù)據(jù)跨境傳輸?shù)淖钪饕睦碛墒腔趯€人數(shù)據(jù)權(quán)的保護。個人數(shù)據(jù)保護法是國家對于公民個人數(shù)據(jù)權(quán)的確認(rèn)和保護，系國內(nèi)立法，其效力應(yīng)當(dāng)僅及于域內(nèi)，除經(jīng)“沖突法”規(guī)則指引而被適用的情形外，則不應(yīng)具有域外效力。但是，由于對個人數(shù)據(jù)權(quán)的保障方式在于限制其他主體對個人數(shù)據(jù)的收集、處理、使用以及傳輸，因此個人數(shù)據(jù)權(quán)的保障與數(shù)據(jù)傳輸行為本身形成了不可分割的聯(lián)系。在網(wǎng)絡(luò)時代，數(shù)據(jù)傳輸早已經(jīng)打破了國境限制，由于它具有無體性和虛擬性，個人數(shù)據(jù)傳輸并不受制于地域的限制，以立法方式限制數(shù)據(jù)傳輸至境外看似成為一項數(shù)據(jù)保護的必然選擇。

自由與安全的艱難權(quán)衡

自由便利的數(shù)據(jù)跨境傳輸規(guī)則在貿(mào)易協(xié)定談判中是一項共同的訴求，但談判分歧就在于是否引入、以及引入何種程度的限制性措施。美國作為互聯(lián)網(wǎng)技術(shù)的開拓者，在信息技術(shù)領(lǐng)域一直占據(jù)領(lǐng)先位置，因此它對數(shù)據(jù)傳輸所可能帶來的侵害并不如歐盟那么恐懼，其信息隱私立法也更加開放，最初是通過“信息控制權(quán)”理論修正其隱私權(quán)概念，為個人對其信息的積極控制提供支持。另一方面，相較于歐盟的個人數(shù)據(jù)權(quán)理論，美國運行一套截然不同的隱私規(guī)則，美國憲法中未規(guī)定個人數(shù)據(jù)權(quán)這樣一種權(quán)利，但根據(jù)憲法第四修正案，公民享有隱私合理期待情形下，有權(quán)主張隱私以對抗政府取證，這種隱私保護相對于歐洲個人數(shù)據(jù)權(quán)而言，是一種消極對抗權(quán)。美國憲法第四修正案進而發(fā)展出“第三方學(xué)說（Third-Party Doctrine）”，即“當(dāng)一個人主動向第三方提供其信息，他將不再享有第四修正案項下的合理隱私期待?！本C上而言，作為信息技術(shù)優(yōu)勢一方，美國似乎更加重視和強調(diào)網(wǎng)絡(luò)的自由價值，而不是安全價值。

然而，對于后發(fā)國家而言，在使用互聯(lián)網(wǎng)過程中也逐步開始關(guān)心數(shù)據(jù)自由化對信息安全帶來的消極影響。周漢華認(rèn)為，“對于信息控制者而言，從信息安全角度來保護個人信息，本來應(yīng)該是順理成章的事情……但是，過去對于信息安全約定俗稱的理解，信息安全并不包括個人信息安全和隱私保護?！边@一理解將安全和隱私兩個問題進行區(qū)分，為我們厘清了數(shù)據(jù)傳輸規(guī)則所涉及第三種法律利益——安全。我國國家安全法第25條將信息安全這一概念正式納入國家安全范疇，并規(guī)定“國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護能力，加強網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用，實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。也就是說，可控性是我國在信息安全領(lǐng)域的核心要義，數(shù)據(jù)本地化措施似乎是實現(xiàn)數(shù)據(jù)可靠性的重要手段。但是事實真是如此嗎？實際上，數(shù)據(jù)本地化無法從根本上解決數(shù)據(jù)的可控性問題，因為數(shù)據(jù)本地存儲不意味著數(shù)據(jù)可以當(dāng)然地拒絕異地訪問，也就是說數(shù)據(jù)仍然可以為境外的個體所獲取，因此是否仍舊以本地化作為數(shù)據(jù)監(jiān)管的要求，還是另辟蹊徑，以貿(mào)易自由為出發(fā)點探索更加開放的數(shù)據(jù)跨境規(guī)則？答案顯而易見。

三、數(shù)據(jù)跨境傳輸?shù)膰H機制

作為國際經(jīng)貿(mào)規(guī)則的必備要素的數(shù)據(jù)傳輸規(guī)則

信息化引發(fā)的網(wǎng)絡(luò)空間中數(shù)據(jù)跨境傳輸在國際經(jīng)貿(mào)活動中廣泛存在，這顯然并不局限于ICT行業(yè)。在傳統(tǒng)貨物貿(mào)易領(lǐng)域，貿(mào)易平臺的數(shù)字化促進了電子商務(wù)的極大發(fā)展，跨境電子商務(wù)是通過電子交易平臺下單，進而通過線下物流服務(wù)完成跨境交付，既包括貨物，也包括服務(wù)。其中，貨物需要有物流和配送服務(wù)，而服務(wù)主要是指數(shù)據(jù)傳輸。在服務(wù)貿(mào)易領(lǐng)域，數(shù)字服務(wù)囊括了搜索引擎服務(wù)、社交網(wǎng)絡(luò)服務(wù)、應(yīng)用軟件服務(wù)以及商業(yè)機構(gòu)之間的計算資源共享服務(wù)。數(shù)字化戰(zhàn)略浪潮下，數(shù)據(jù)傳輸業(yè)已成為越來越成為企業(yè)經(jīng)營的主要活動之一，但由于各國數(shù)據(jù)保護法規(guī)則的差異，數(shù)據(jù)本地化和跨境數(shù)據(jù)傳輸限制正在逐漸成為一項主流。

瑞典國家貿(mào)易委員會Kommerskollegium在一份冠以《沒有傳輸就沒有貿(mào)易（No Transfer, No Trade）》為名的報告中揭示了數(shù)據(jù)流通對國際貿(mào)易的重要意義，它通過訪談形式調(diào)查了15家跨國公司的真實情況，分析了數(shù)據(jù)流通對于企業(yè)的商業(yè)模式、全球化服務(wù)、基礎(chǔ)運營、供應(yīng)鏈管理等領(lǐng)域均具有重要意義。這份樣本調(diào)查既包含以ICT業(yè)務(wù)為主營業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)和電信企業(yè)（如谷歌、愛立信、eBuilder），還分析了一些立足于傳統(tǒng)產(chǎn)業(yè)的生產(chǎn)型企業(yè)（如沃爾沃、Scania）。這意味著隨著電信和互聯(lián)網(wǎng)技術(shù)的普遍應(yīng)用，電子信息系統(tǒng)業(yè)已成為諸多行業(yè)不可或缺的基礎(chǔ)性生產(chǎn)要素，而數(shù)據(jù)傳輸作為維系電子信息系統(tǒng)運行的必要條件，也成為一項不容忽視的國際貿(mào)易需求。

國際經(jīng)貿(mào)協(xié)議中的數(shù)據(jù)傳輸規(guī)則

新一輪的貿(mào)易談判已經(jīng)將問題直接指向數(shù)字貿(mào)易中的國家行為，其中如何平衡個人數(shù)據(jù)保護與數(shù)據(jù)自由流通成為一項普遍討論的議題。國際經(jīng)貿(mào)談判中并未徹底否認(rèn)國家以個人數(shù)據(jù)保護為由實施的數(shù)據(jù)跨境傳輸限制措施，但是這種限制措施應(yīng)當(dāng)被克制且遵循比例原則。多邊層面，WTO作為全球貿(mào)易多邊機制開始逐漸重視數(shù)字貿(mào)易，但是相較于區(qū)域性經(jīng)濟組織，WTO數(shù)字貿(mào)易規(guī)則建立相當(dāng)滯后。WTO至今未能形成與貿(mào)易相關(guān)的數(shù)據(jù)保護和數(shù)據(jù)跨境流動原則，GATs對于數(shù)據(jù)相關(guān)領(lǐng)域的服務(wù)準(zhǔn)入也語焉不詳。但是，該組織顯然已經(jīng)意識到數(shù)字經(jīng)濟對全球貿(mào)易和WTO組織的重要性，WTO總干事Roberto Azevedo在《2018世界貿(mào)易報告》中指出，“WTO框架，尤其是GATs與數(shù)字貿(mào)易息息相關(guān)，并且WTO成員們已經(jīng)在現(xiàn)有框架尋求促進數(shù)字經(jīng)濟之道?！彪m然WTO就電子商務(wù)（Electronic Commerce），但是如何讓數(shù)字貿(mào)易融合到現(xiàn)有WTO框架中，似乎還需要對“數(shù)字服務(wù)”（Digital Service）進行定義。在GATs框架內(nèi)建立數(shù)字服務(wù)規(guī)則地想法仍然停留在學(xué)術(shù)討論的層面。

TPP是全球第一個針對數(shù)據(jù)本地化限制進行反向規(guī)定的貿(mào)易條約，它代表美國的數(shù)據(jù)跨境流通主張，有一定的代表意義。TPP第14.13條明確限制“為處理和存儲商業(yè)信息的計算機服務(wù)器和存儲設(shè)備”進行本地化規(guī)定，并且限制成員國不得規(guī)定“使用本地計算設(shè)備為前提，才能在其轄區(qū)內(nèi)從事商業(yè)活動”。然而，針對數(shù)據(jù)跨境流通，TPP對于“為公共政策的目的”而限制數(shù)據(jù)跨境進行了免責(zé)，具體免責(zé)需要滿足四項要求。上述免責(zé)事由實際上是TPP允許了成員國建立一套本地的安全港規(guī)則。但是隨后規(guī)定了具體的免責(zé)條件。正如有學(xué)者指出，盡管TPP是首個提出隱私和貿(mào)易關(guān)聯(lián)的貿(mào)易協(xié)定，但是其影響也不應(yīng)當(dāng)被過分放大，首先它更多地代表美國利益，并且它也未能形成全球性的數(shù)據(jù)保護法規(guī)制，也沒能就現(xiàn)存的數(shù)據(jù)跨境傳輸障礙進行直接應(yīng)對。TPP之后，2020年11月15日，由東南亞國家聯(lián)盟（ASEAN）的成員和五個區(qū)域伙伴的15個國家簽署了區(qū)域全面經(jīng)濟伙伴關(guān)系（RCEP），這可以說是歷史上最大的自由貿(mào)易協(xié)定。RCEP延續(xù)了TPP的傳統(tǒng)，同樣規(guī)定了貿(mào)易領(lǐng)域下的數(shù)據(jù)流通條款，在其第12章第15條明確規(guī)定締約方不得阻止條約涵蓋的人為商業(yè)目的所進行的數(shù)據(jù)傳輸，但是也明確了締約方可以規(guī)定數(shù)據(jù)監(jiān)管標(biāo)準(zhǔn)。

此外，值得注意的是，新加坡作為RCEP和CPTPP（TPP的更新版本），分別新西蘭和智利（DEPA），以及與澳大利亞（SADEA）簽署了兩份數(shù)字貿(mào)易協(xié)定，并且正在與韓國進行數(shù)字經(jīng)濟協(xié)議談判。上述協(xié)議相較于多邊自由貿(mào)易協(xié)議，它更加專注于數(shù)字經(jīng)濟領(lǐng)域的細節(jié)問題，其除了遵守RCEP和CPTPP框架下所設(shè)定的基本權(quán)利與義務(wù)外，就數(shù)字經(jīng)濟更加細節(jié)問題，例如數(shù)據(jù)處理、數(shù)字身份認(rèn)證、受信任的數(shù)據(jù)環(huán)境等等問題做出了更加積極的探索，并且專門就數(shù)字經(jīng)濟所發(fā)生的爭議創(chuàng)設(shè)爭端解決機制。本文認(rèn)為，這代表著數(shù)字經(jīng)濟領(lǐng)域談判的發(fā)展方向。

專門性的數(shù)據(jù)跨境傳輸條約失靈

在GDPR生效前，歐洲經(jīng)濟體（EEA）與美國之間的數(shù)據(jù)跨境傳輸是在隱私盾協(xié)議指引下進行的，隱私盾為可進行數(shù)據(jù)傳輸?shù)钠髽I(yè)樹立了7項數(shù)據(jù)保護要求。但在2020年7月16日，歐盟法院對Facebook愛爾蘭公司訴Schrems一案做出裁決，并正式確認(rèn)使用為期四年的“美歐隱私盾協(xié)議”因違反GDPR中數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)而無效。這意味著美歐之間不再存在政府層面的數(shù)據(jù)傳輸安排，美歐數(shù)據(jù)傳輸雙邊機制的真空為企業(yè)帶來了極大的不安全感。2020年8月10日，美國商務(wù)部長威爾伯·羅斯（Wilbur Ross）和歐洲司法專員迪迪爾·雷因德斯（Didier Reynders）發(fā)表聯(lián)合聲明，指出“美國商務(wù)部和歐盟委員會已開始討論，以評估增強歐盟-美國隱私保護的可能性遵守歐洲法院7月16日關(guān)于Schrems II案的判決的框架?！?/span>

美國與歐洲之間的隱私盾框架的失效意味著歐盟對于雙邊框架的不信任以及對GDPR項下的數(shù)據(jù)跨境傳輸規(guī)則的堅持，這對中國而言意味著與歐盟達成雙邊性的數(shù)據(jù)傳輸框架將更加困難。因應(yīng)這種趨勢與變化，中國應(yīng)當(dāng)一方面完善自身的數(shù)據(jù)保護法律體系，另一方面應(yīng)當(dāng)盡快提出一套完善的數(shù)據(jù)傳輸機制。

四、數(shù)據(jù)跨境傳輸規(guī)則的立法定位與構(gòu)建思路

厘清數(shù)據(jù)跨境傳輸規(guī)則的立法原則和關(guān)鍵性利益

數(shù)據(jù)跨境傳輸?shù)牧⒎ㄔ瓌t是根據(jù)其背后的關(guān)鍵性利益所決定的，立法的偏向與價值的選擇具有高度關(guān)聯(lián)性。數(shù)據(jù)跨境傳輸是貿(mào)易自由、個人隱私和信息安全這三種價值的權(quán)衡，其中廣義的信息安全也覆蓋了個人隱私。因此，如何權(quán)衡自由與安全這兩種價值就是立法原則的起點?！斗?wù)創(chuàng)新實施方案》實際上在數(shù)據(jù)跨境傳輸立法原則方面探索出一條與網(wǎng)絡(luò)安全法截然的不同的路徑。首先，網(wǎng)絡(luò)安全法未對數(shù)據(jù)類型進行明確分類，其主要規(guī)制對象為關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，對于其他類型的個人數(shù)據(jù)處理者如何向境外傳輸數(shù)據(jù)的，則未做明確規(guī)定。其次，這一點在個人信息保護法（草案）（以下簡稱“草案”）中得到相應(yīng)完善，對于一般個人數(shù)據(jù)處理者向境外傳輸數(shù)據(jù)的，草案明確了在數(shù)據(jù)主體同意的大前提下，個人數(shù)據(jù)處理者可在監(jiān)管部門安全評估、專業(yè)機構(gòu)認(rèn)證、境外機構(gòu)合同約定這三種方式下?lián)褚欢校瑢嶋H上給予了個人數(shù)據(jù)處理者更大的傳輸自由。第三，《服務(wù)創(chuàng)新實施方案》提出了更加務(wù)實的數(shù)據(jù)跨境傳輸機制構(gòu)建思路，明確了工作任務(wù)在于數(shù)據(jù)跨境流動安全評估試點、數(shù)據(jù)保護能力認(rèn)證機制、數(shù)據(jù)流通備份審查機制、跨境數(shù)據(jù)流動和交易風(fēng)險評估等數(shù)據(jù)安全管理機制等機制的建立，但問題在于上述機制仍然沒有明確建立，也沒有回答這些機制在先行法律下實際運行作用和效果將會如何這一關(guān)鍵問題。但至少，《服務(wù)創(chuàng)新實施方案》已經(jīng)為自貿(mào)區(qū)數(shù)據(jù)跨境傳輸機制探索明確了立法原則和關(guān)鍵性利益，那就是更加傾向貿(mào)易自由的數(shù)據(jù)傳輸機制。

框定數(shù)據(jù)跨境傳輸規(guī)則的規(guī)范行為與對象

《服務(wù)創(chuàng)新實施方案》僅提出了區(qū)內(nèi)構(gòu)建數(shù)據(jù)傳輸機制的方向，但是具體實施細則還未落實。換言之，具體的規(guī)范行為和規(guī)范對象亟須框定。美國政策分析師雷歇爾在一份國會研究服務(wù)報告中指出，“數(shù)據(jù)跨境傳輸即指位于不同國家服務(wù)器中的數(shù)據(jù)之間的移動”。數(shù)據(jù)是經(jīng)過數(shù)字化的信息，數(shù)據(jù)傳輸就是電子信息交換。數(shù)據(jù)傳輸就是以比特為單位的信息在不同載體之間，運用光電原理通過光纜、電纜、路由器等基礎(chǔ)設(shè)備進行交互存儲的行為，傳輸本質(zhì)是信息在不同載體中的相繼存儲，這種存儲可能是臨時性的緩存，也可能是長期性的存儲。數(shù)據(jù)傳輸行為造成的結(jié)果是數(shù)據(jù)異地存儲，存儲的目的往往是進一步處理。進言之，數(shù)據(jù)的跨境傳輸勢必造成數(shù)據(jù)的境外存儲，并且有可能造成數(shù)據(jù)的境外處理，其中存儲和處理行為在傳輸后都將發(fā)生于境外，而脫離了本地數(shù)據(jù)法和執(zhí)法機關(guān)的控制與管轄。因此，有學(xué)者稱，“數(shù)據(jù)跨境限制規(guī)則的根本目的在于防止數(shù)據(jù)控制者人為將數(shù)據(jù)轉(zhuǎn)移至數(shù)據(jù)保護法更為寬松的第三國（“數(shù)據(jù)天堂”）?！绷碛袑W(xué)者指出，“對數(shù)據(jù)跨境傳輸進行限制措施，是建立在數(shù)據(jù)存儲地域非法侵入行為之間的相關(guān)性假設(shè)之上?！贝鎯κ翘幚淼那疤?，因此如果需要處理境外數(shù)據(jù)時，境內(nèi)的數(shù)據(jù)處理者必須首先獲得境外數(shù)據(jù)的訪問權(quán)限，訪問本身就是數(shù)據(jù)傳輸，因為只要訪問行為一經(jīng)發(fā)生，訪問端服務(wù)器向被訪問端服務(wù)器發(fā)出指令，觸發(fā)其API機制，從而獲取數(shù)據(jù)，相關(guān)信息則就已經(jīng)緩存在訪問者的服務(wù)器之中。因此，限制數(shù)據(jù)傳輸，實際上就限制了數(shù)據(jù)跨境訪問，當(dāng)然這種限制是有限的。但是，無論是實踐中還是法律規(guī)定中對于這一點都沒有充分澄清，有據(jù)可查的是歐盟法院做出的Lindquist案件。

就規(guī)范對象而言，未來的自貿(mào)區(qū)數(shù)據(jù)跨境傳輸實施細則中的安全評估、安全認(rèn)證、數(shù)據(jù)備份以及數(shù)據(jù)傳輸合同等機制僅針對區(qū)內(nèi)企業(yè)還是面向全國也是一個值得思索的問題。本著自貿(mào)區(qū)先行先試的政策功能，自貿(mào)區(qū)的數(shù)據(jù)跨境傳輸機制適用對象理應(yīng)被明確限制為區(qū)內(nèi)注冊的企業(yè)，這種做法一方面縮小了機制所適用的范圍，另一方面也為機制鋪設(shè)更加前瞻與大膽的改革提供動力。

明確數(shù)據(jù)監(jiān)管措施的著力方向——單向限制與雙向推動

跨境的概念本身暗含著數(shù)據(jù)出境和數(shù)據(jù)入境這兩個方向的數(shù)據(jù)流動，然而縱觀相關(guān)的數(shù)據(jù)跨境傳輸內(nèi)國規(guī)則，出境和入境這兩個層面的規(guī)制程度卻并不平衡。從法律監(jiān)管角度看，數(shù)據(jù)出境是整個數(shù)據(jù)跨境傳輸規(guī)則的中心，而數(shù)據(jù)的入境則面對較少限制。以歐盟為例，歐盟的個人數(shù)據(jù)保護法下，數(shù)據(jù)跨境傳輸規(guī)則只規(guī)定數(shù)據(jù)出境行為，而不規(guī)制數(shù)據(jù)入境行為。也就是說歐盟對于域外數(shù)據(jù)進入歐盟并不加以干涉。

但是，世界范圍內(nèi)仍然存在部分?jǐn)?shù)據(jù)入境的限制措施，其中包括強制性的數(shù)據(jù)輸入規(guī)則，典型的就是美國的云法案，即在法院開出搜查令時，即便是域外的數(shù)據(jù)仍然有義務(wù)傳輸回美國，以供司法行政機關(guān)進行案件調(diào)查。但是，美國云法案所指向的境外數(shù)據(jù)的輸入是建立在法院出具開示令狀的前提之下的，實際上并不是法律直接規(guī)定了數(shù)據(jù)跨境輸入要求，它的要求間接的來源于法院的司法權(quán)。此外，我國也有對于一些境外網(wǎng)站的訪問限制，這種訪問限制從結(jié)果上看實際上也是限制了數(shù)據(jù)的輸入境內(nèi)，但是這種限制更多的是從技術(shù)手段上進行規(guī)制，而不涉及法律層面。

雖然從物理層面看，不同方向的數(shù)據(jù)傳輸雖然均屬于數(shù)據(jù)跨境流動的范疇，但是監(jiān)管一詞的含義就意味著這種傳輸是被動的且具有潛在危險性的，實施數(shù)據(jù)出境的主體對應(yīng)的是國際經(jīng)貿(mào)活動中的企業(yè)，這種傳輸是企業(yè)自發(fā)性的，對于監(jiān)管主體而言，這種傳輸是被動的且具有潛在危險性的（威脅信息隱私及重要數(shù)據(jù)安全）。但數(shù)據(jù)取證的實施主體一般是司法機關(guān)，這種由外而內(nèi)的數(shù)據(jù)傳輸實則是主動的，且不具有可預(yù)測的危險性。綜上，本文認(rèn)為，數(shù)據(jù)跨境傳輸監(jiān)管應(yīng)當(dāng)限制為數(shù)據(jù)出境監(jiān)管，對于跨境取證中的數(shù)據(jù)從外向內(nèi)的數(shù)據(jù)傳輸應(yīng)當(dāng)被排除在機制之外。

五、自貿(mào)區(qū)內(nèi)數(shù)據(jù)跨境規(guī)則制定原則與可行性舉措建議

逐步提高區(qū)內(nèi)個人數(shù)據(jù)保護標(biāo)準(zhǔn)

以GDPR第5章為代表的數(shù)據(jù)跨境傳輸規(guī)則，即以評估第三國數(shù)據(jù)保護能力的方式已經(jīng)成為主流。換言之，我國企業(yè)要想在國際市場對數(shù)據(jù)領(lǐng)域有所作為，應(yīng)當(dāng)逐步接受這種模式的全球化。近年來，隨著我國大力發(fā)展數(shù)字貿(mào)易平臺，我國互聯(lián)網(wǎng)企業(yè)在眾多領(lǐng)域已經(jīng)取得較強的競爭力。而相較于美國，我國在搜索引擎、社交網(wǎng)絡(luò)、電子商務(wù)等領(lǐng)域仍然存在差距，有學(xué)者總結(jié)導(dǎo)致這些差距的原因主要集中在三個方面：第一，核心技術(shù)能力，數(shù)字貿(mào)易平臺操作系統(tǒng)和相關(guān)核心技術(shù)仍然掌握在美國企業(yè)手中；第二，語言和文化習(xí)慣，主要表現(xiàn)在美國企業(yè)相比較而言，語言和文化習(xí)慣更加接近歐洲，因此能夠更加便利的進入歐洲市場；第三，對于嚴(yán)苛的數(shù)據(jù)保護法律的合規(guī)能力，相比而言，美國企業(yè)能夠更好的適應(yīng)歐盟嚴(yán)格的個人數(shù)據(jù)保護法，而我國企業(yè)在這方面能力相對較弱。自美歐隱私盾協(xié)議失效的背景下，美國對外貿(mào)易機關(guān)仍然積極就數(shù)據(jù)跨境傳輸問題與歐盟方面進行協(xié)調(diào)，且在美國企業(yè)自身發(fā)達的法律基礎(chǔ)和合規(guī)能力加持下，美歐企業(yè)仍然能夠在較低水平實現(xiàn)其業(yè)務(wù)的全球化，只是將遭遇更多的罰單和困難。而問題投射回國內(nèi)，我國應(yīng)當(dāng)順應(yīng)潮流，積極利用自由貿(mào)易試驗區(qū)這一政策培養(yǎng)皿，積極探索更高的數(shù)據(jù)保護標(biāo)準(zhǔn)，以應(yīng)對全球數(shù)據(jù)保護標(biāo)準(zhǔn)提高的浪潮。

區(qū)內(nèi)對標(biāo)國外高規(guī)格的數(shù)據(jù)保護標(biāo)準(zhǔn)

自貿(mào)區(qū)數(shù)據(jù)保護標(biāo)準(zhǔn)的設(shè)立可以參考歐盟數(shù)據(jù)保護標(biāo)準(zhǔn)。首先，中國互聯(lián)網(wǎng)服務(wù)領(lǐng)先于歐盟，特別是在大數(shù)據(jù)和云計算領(lǐng)域。阿里巴巴集團旗下的阿里云已經(jīng)成為繼美國亞馬遜云之后的全球第二大云服務(wù)提供商。大大節(jié)省互聯(lián)網(wǎng)企業(yè)走出去的合規(guī)成本，如果要獲取歐盟數(shù)據(jù)，企業(yè)還是需要主動遵守歐盟規(guī)范，自貿(mào)區(qū)統(tǒng)一按照歐盟的保護標(biāo)準(zhǔn)，相對于幫助區(qū)內(nèi)企業(yè)直接獲得隱私盾認(rèn)證，這一方面可以吸引更多的企業(yè)來區(qū)內(nèi)增加投資，以減少合規(guī)成本，另一方面也可以提高我國企業(yè)在國際市場中的競爭力。并且，自貿(mào)區(qū)中對企業(yè)進行統(tǒng)一管理，自貿(mào)區(qū)甚至可以設(shè)置歐盟數(shù)據(jù)監(jiān)督機制，引入歐盟專家，這將大大吸引歐盟市場中的企業(yè)使用中國提供的數(shù)字服務(wù)。

此外，就前文所提起的由新加坡等國家主導(dǎo)的數(shù)字經(jīng)濟協(xié)定中所創(chuàng)設(shè)的保護標(biāo)準(zhǔn)，以及數(shù)據(jù)傳輸規(guī)則，也可以在創(chuàng)建自貿(mào)區(qū)數(shù)據(jù)傳輸機制過程中予以吸收與借鑒。上述協(xié)定雖然并未形成具有代表性的國際經(jīng)貿(mào)協(xié)定，但由于數(shù)字經(jīng)濟所代表的虛擬經(jīng)濟占經(jīng)濟加權(quán)不斷提升，這種更加全面的數(shù)字經(jīng)濟協(xié)定必將成為主流。自貿(mào)區(qū)作為改革試點，有必要采用更加積極和開放的政策，以應(yīng)對快速變化的國際經(jīng)貿(mào)環(huán)境。

構(gòu)建與完善區(qū)內(nèi)數(shù)據(jù)保護保障機制

2020年10月1日，由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會完成修訂的《信息安全技術(shù)-個人信息安全規(guī)范》（《標(biāo)準(zhǔn)》）正式生效，這一標(biāo)準(zhǔn)第8.8條對于個人數(shù)據(jù)處理者建立投訴機制予以規(guī)定。但不得否認(rèn)，《標(biāo)準(zhǔn)》將數(shù)據(jù)保護投訴受理權(quán)交由企業(yè)，而疏于建立政府層面的數(shù)據(jù)投訴受理機關(guān)。換言之，目前國內(nèi)仍然缺乏具有公信力的數(shù)據(jù)保障機制。本文建議，自貿(mào)區(qū)內(nèi)應(yīng)當(dāng)探索與建立類似于歐盟數(shù)據(jù)保護委員會（EDPB）這樣的監(jiān)管與保障相統(tǒng)一的獨立數(shù)據(jù)保護機構(gòu)，用以為數(shù)據(jù)保護所產(chǎn)生的爭議提供保障渠道。數(shù)據(jù)保護保障機制應(yīng)具有一定程度的立法權(quán)限與執(zhí)法權(quán)限，其功能需包括數(shù)據(jù)保護政策的制定與修改、區(qū)內(nèi)企業(yè)與境外企業(yè)所發(fā)生的數(shù)據(jù)爭議投訴處理。