这是一个数据全球化的时代。从个人隐私到数据利用,从国际贸易到国家监控,从数字经济到网络主权,在瞬息万变的全球网络治理中,还没有哪类议题能像数据跨境流动一样,激发出如此之多的价值分歧和制度冲突。1旧规则不敷适用,新秩序远未成型。就此而言,作为数据基本法之一的《数据安全法(草案)》恰逢其时。面对数据跨境流动的“风暴之眼”,《数据安全法(草案)》第10条旗帜鲜明地申明了“数据安全自由跨境流动”的基本原则,这是对《网络安全法》第12条“网络信息依法有序自由流动”的重大改变。那么,如何理解这一原则?它将如何构造我国未来的数据跨境流动制度?又将如何影响世界数据治理规则?本文试图在全球视野和中国实践的双重背景下,回答这些问题。为此,本文第一部分将勾勒数据跨境流动的基本架构和主要类型,通过对国际规则的梳理展现既有争议;第二部分将深入剖析作为基础原则的“数据自由流动”和作为限制原则的“数据安全流动”;最后将采用原则权衡方法,根据数据跨境流动的不同类型,尝试提出我国数据跨境流动的制度构想。

一 数据跨境流动:基本架构与全球实践

自1980年经济合作与发展组织《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data )将“数据跨境流动”纳入法律议题以来,随着跨境流动数据质与量的飙升,数据跨境流动的管与控亦急剧增多,截至2017年,在全球64个主要经济体中,对数据跨境流动加以限制的国家已近90%。2为了把握数据跨境流动管制的全景,不妨先从讨论数据跨境流动的基本架构开始。

(一)数据跨境流动的基本架构

“数据跨境流动”意指“在一国内生成电子化的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工(合称‘处理’)”。3就流动方向而言,其可分为“跨境流出”和“跨境流入”;就处理主体而言,其可分为“私主体跨境处理”和“公权力机关跨境处理”,由此形成如下架构:

表1 数据跨境流动架构 导出到EXCEL

在“数据入境”的场景中,国家管制体现为对一国之内个人、企业或其他私人组织对境外数据处理的限制上。回顾历史,如果我们将数据转换为信息内容的话,那么这种“入境管制”源远流长。事实上,从印刷品的海关检查到国际无线电通讯的干扰措施,从卫星技术的禁令到互联网的“防火墙”,从美国、加拿大到印度、韩国、马来西亚,4基于国家“信息主权”的信息进入控制屡见不鲜。51972年,联合国教科文组织《为信息自由流通,扩大教育范围和发展文化交流而使用卫星无线电广播的指导原则宣言》(Declaration of Guiding Principles on the Use of Satellite Broadcasting for the Free Flow of Information, the Spread of Education and Greater Cultural Exchange)第6条确认了国家对流入信息内容的自主决定权。国际电联《组织法》第180、181段亦重申:各成员国有权对危害国家安全、违反法律、妨碍公共秩序或有伤风化的电报、电信停止传递或予以截断。一国对“数据入境”的管控,基本出于国家安全、文化安全以及民族认同、意识形态等原因。6而在文化多元的世界中,该管控不可避免地与他国发生冲突,2000年雅虎纳粹物品拍卖案便显示出数字时代控制数据跨境流入的法律之争。7

在“数据出境”的场景中,国家管控体现为对一国境内的数据被他国个人、企业或其他私人组织处理的限制,人们往往将该等“出境数据管控”称为“数据本地化”(data localization),但这种说法可能忽略了两者微妙而重大的差异。“数据本地化”的关键在于本地化存储或处理数据或其副本,而不在于禁止数据被他国处理。8类似地,实施“数据出境管控”也不意味着数据一定做本地化存储。有鉴于此,本文将“出境数据管控”和“数据本地化”视为不同的制度设计。9

数据出境下的管控类型纷繁芜杂。其中,欧盟《一般数据保护条例》(GDPR)是针对个人数据出境最普遍、最严格的管控制度之一。为避免欧盟个人数据保护水平的减损,《一般数据保护条例》第44条至第50条禁止将境内个人数据传输至保护充分性不足、无适当安全维护措施、亦不符合特定例外情况的第三国。欧盟的强硬立场体现在Schrems II案件中。在该案中,欧洲法院指出,美国《外国情报监控法案》(Foreign Intelligence Surveillance Act)的存在,使之可能超过必要限度访问所传输的数据,且无法给欧盟居民提供必要救济,因此宣告美欧《隐私盾协议》无效。10就非个人数据而言,美国根据《出口管理条例》(Export Administration Regulations)、《国际武器贸易条例》(International Traffic In Arms Regulations),限制出口管制物品、商品、技术、软件或其他类型的非密受控信息(CUI)的出境,未经政府批准,不得向外国公民或实体披露。尽管尚无任何一个国家全面禁止数据出境,但各国或基于特定行业而施加限制,如健康、财务、税收、博彩、金融、地图和政务数据,或基于特定流程或服务而施加规制,如在线的出版、赌博、金融交易等。11

在“数据调取”的场景中,国家管控呈现出一体两面的面貌,既表现为本国机关强制调取存储于外国的非公开数据(数据入境),也表现为外国机关强制调取存储于本国的非公开数据(数据出境)。12美国2018年《澄清境外合法使用数据法》(下称“云法案”)是这一场景的典型立法。云法案源起于2016年美国政府诉微软案。在该案中,美国联邦法院第二巡回法院认为,由于用户通讯内容的数据储存地在爱尔兰,微软必须自爱尔兰数据中心取出数据并“进口”至美国境内,但美国《储存通讯法》(Stored Communication Act)并未允许法院以搜查令的方式要求微软提交存于境外服务器上的数据。为了改变法律束缚,云法案旗帜鲜明地采取了数据控制者标准,将数据主权从物理层边界延伸到技术上的“控制边界”,即授权美国法院向受管辖的科技公司发出法律命令,以取得该公司所拥有、保管或控制的数据,而不论数据存储于何处。13放宽视野看,云法案是对刑事司法领域双边互助条约和协定不足的回应和调整。随着世界的数字化转型,刑事调查中的电子证据数量激增。在美国,2017年国际事务办公室处理的来自外国的司法协助请求数增加了85%,索取数据记录的请求数增加了10倍以上。14显然,复杂冗长的司法协助机制已不敷适用,国家单方发起的数据调取由此成为可能的解决方案。

美国对境外数据的调取并不限于云法案,正如“棱镜计划”所揭示的,美国网络全球监控是长期和系统性的。159·11事件之后,美国通过《爱国者法案》(USA Patriot Act)、《精确法案》(Accuracy for Adoptees Act)和《外国情报监控法案》,共同织就了一张巨大的网络情报监视网络。其中,《爱国者法案》第215条规定,为外国情报搜集和国际恐怖主义调查获取商业记录,可请求外国情报监视法庭传票,要求从运营商获取服务器日志,并对“善意披露”给予豁免。16《外国情报监控法案》修订案第702条进一步指出,司法部长和国家情报总监可以授权情报机构对非美国居民的通信或会话进行监控,时间最长可达一年。

(二)全球数据跨境流动管控的重大分歧

尽管世界各国纷纷针对数据跨境流动采取法律措施,但就数据跨境是否以自由流动为原则、数据跨境管制的正当化事由何在等根本性问题却远未达成共识。

1.关于数据自由流动原则的争议

所谓“数据自由流动”,意指数据控制者不受限制地将数据由一国流动到他国的状态、能力和权利。数据自由流动的要求因场景而变化。在数据入境和数据出境中,其体现为积极性的“主张”,以排除国家可能的干涉;在数据调取中,其体现为消极性的“豁免”,国家无权强制数据流动。17还需要说明的是,“有原则恒有例外”,以数据自由流动为原则,并不意味着不存在“例外”的限制,事实上,世界上不存在对数据跨境流动不做任何限制的国家。因此,问题不在于是否“限制”,而是“限制”的范围与程度。

在“数据入境”和“数据出境”的场景下,美国是数据自由流动原则的坚定倡导者,并一直通过双边和多边的条约实践该原则。2004年,美国在亚太经合组织(APEC)通过的《隐私框架》中就要求“成员国采取一切合理步骤避免任何不必要的数据流动障碍”。随着电子商务市场进一步扩张与发展,美国在其主导的《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement, TPP)中进一步提出“商业信息跨境自由传输条款”,即在保护个人信息等合法公共政策目标得到保障的前提下,确保全球信息和数据自由流动,以驱动互联网和数字经济。自由流动原则鲜明体现在美国《网络空间国际战略:互连世界的繁荣、安全与开放》的下述表述之中:“国家没有,也不必在信息的自由流通和其网络的安全性之间做出选择……网络空间……不是国家任意破坏信息自由流动以创造不公平优势的场所。”不过,在数据调取的场景下,美国一改初衷,不但通过长臂管辖权强化国家对境外数据的管制力,而且利用技术优势和网络霸权实现跨地域的全球监控。

如果我们将美国视为数据自由流动一极的话,那么在另一极就是印度。早在1993年,印度《公共记录法》第4条即规定,未经中央政府事先批准,任何人不得将任何公共记录带离印度。随着数字经济全球竞争的白热化,印度以“数据民族主义”为抓手,强调数据本地化政策的必要性,宣称印度需要同科技公司与敌对国家滥用数据“作斗争”。182019年《国家电子商务政策》草案充分阐明了这一立场:“印度及其公民对其数据享有主权,这种权利不应扩展到非印度人(类似地,非印度人对印度煤矿也不享有任何原初权利或诉求)。”2020年,印度的管控进一步升级,其电子和信息技术部以《信息技术法案》第69A条“禁止访问规则”为依据,以秘密传输用户数据至印度以外服务器为由,封禁59款中国背景的手机应用程序。但在另一方面,印度在“数据调取”的场景依然坚持《布达佩斯公约》的适用性,并不寻求通过境外的数据管辖权。

无疑,从数据自由流动到数据限制流动是一个渐变的光谱,在美国和印度之间存在无穷的可能性。总体而言,在数据入境和数据出境的场景中,非洲集团、俄罗斯、土耳其、印度尼西亚、越南、尼日利亚等偏向于“国家数据管控”,欧盟、加拿大、日本、韩国、新加坡、智利、哥伦比亚、科特迪瓦、墨西哥、巴拉圭等偏向于“数据自由流动”,19在“数据调取”的场景中,澳大利亚、加拿大、新西兰、英国和欧盟等国偏向于“国家数据管控”,相反,其他国家多偏向于“数据自由流动”。

2.关于数据管控正当性事由的争议

如果说数据自由流动和国家数据管控是抽象原则之争,那么数据管控的正当性事由就是具体规则之争。鉴于各国政策目标的多元性,本文试图从个人权利、国家安全、公共秩序、经济发展四个维度,作出类型化梳理。

其一,保护个人权利是数据管控中被普遍认可的事由。经合组织《关于保护隐私和个人数据跨境流动指南》明文规定,各成员国应取消限制个人数据流动的规定,但所转移的国家并无隐私权保护规定的不在此限。随着时代变迁,欧盟以《欧洲人权公约》为基,逐渐将“个人数据受保护权”上升为基本人权,成为制约数据流动的核心理由。2013年,亚太经济合作组织《跨境隐私规则体系》同样将“个人信息的隐私与安全建立有意义的保护”作为数据跨境流通的前提。

其二,国家安全是数据管控的主要事由。不论是《服务贸易总协议》(GATS)和《技术性贸易壁垒协定》(TBT),还是《全面与进步跨太平洋伙伴关系协定》(CPTPP),均秉承“国家安全例外”(National Security Exceptions)原则,各国不得接受或要求他国提供违反其国家重要安全利益之信息。20在数据出境的场景下,美国以金融安全、国防、核不扩散目标等国家安全为由限制数据出境。在法国,“主权云”用于储存和处理公共部门的数据,此外,未经法院同意,诉讼相关数据不得传输境外。在“数据调取”的场景下,美欧“安全港协议”中明确将国家安全(如反恐、网络战和网络间谍等)作为例外。相应地,棱镜门计划曝光后,限制数据出境防范外国监控,转而成为俄罗斯、印度和印度尼西亚的重要关切。

其三,公共秩序是数据管控的重要事由。《跨太平洋伙伴关系协定》等一系列重要国际贸易协定均将“正当的公共政策目标”作为数据自由流动的例外。类似地,欧盟《非个人数据在欧盟境内自由流动框架条例》也将“公共安全原因”作为数据流动限制或禁止依据。但何为“公共政策”或“公共安全”?就“公共政策”而言,不妨借鉴GATS一般例外条款,将其进一步区分为“公共道德”和“公共秩序”,21前者系一国支持的正确的行为标准,后者系对特定社会基本利益的维护。据此,“数据出境”的场景下,国家可以仇恨言论、极端主义、色情淫秽、民族歧视、反人道等事由,限制数据流动。就“公共安全”而言,根据《欧盟运作条约》第52条,其包含了刑事犯罪的侦查、起诉活动,以及维护国家机关、公共服务、人口生存等基本社会利益和外交关系、军事利益等国家利益。据此,刑事司法的跨境数据调取得以正当化。

其四,经济发展是数据管控的又一考量。“数据就是石油”的口号激发了各国争夺数据的热情,数据日益被视为展现政治、军事和商业影响力的杠杆。在此背景下,一种通过数据流动管控推动本国数字产业繁荣的“数据重商主义”开始出现。以印度为例,促进创新和经济增长是数据管控的首要目标。《保护隐私、赋能印度的自由公平数字经济》的官方报告指出,限制数据跨境流动有助于增加对数字基础设施的外国直接投资,利用数据中心本地市场的溢出效用,创造就业机会及专业人员,建立印度的人工智能生态系统。22同样,在全球电子商务谈判中,南非WTO代表认为,跨境数据流动自由化是妨碍本地企业发展的“反发展”(Anti-Development)规则,进而主张拥有较为灵活的数据本地化措施,在采取数据保护措施上具有“一定自主权”,以抵御发达国家对本国数字产业的侵蚀。

（本文为文章摘录版，如需引用，参阅原文）

文章来源：《环球法律评论》2021年第1期