数据跨境转移的欧盟规则及对中国的启示_梅傲.pdf

数字贸易数据跨境转移的欧盟规则及对中国的启示 梅 傲 黄林羚内容摘要:数字经济已经进入新的发展阶段,正成为重组全球要素资源、改变国际竞争格局的关键力量。数据跨境转移作为数字经济驱动的产物,在促进全球经济发展方面发挥着重要作用,在数字经济时代,数据跨境转移规则设计已引起各国重视。欧盟较早对数据跨境转移进行探索,其数据跨境转移规则走在世界前沿。欧盟数据跨境转移规则立法经历了从公约到指令再到条例的法律层级变化,实现了从建议性规范到强制性规范的法律效力升级,在全球树立了数据立法的“欧盟模式”。相较于数字经济规模的快速扩张,我国的数据跨境转移规则制定仍处于发展阶段。我国数据跨境转移规则的框架虽已基本形成,但仍存在数据跨境转移规则立法碎片化、数据跨境转移监管较为薄弱及国际数据跨境转移规则制定话语权尚未掌握等缺憾。为进一步巩固数据跨境转移监管的法治基础,我国应借鉴欧盟经验,健全数据跨境转移规则体系、完善数据跨境转移监管机制、增强全球数据跨境转移规则制定话语权,形成数据跨境转移的规则体系的“中国方案”。关 键 词:数据跨境转移 欧盟 数字经济 数据监管 数据治理 随着国际社会数字贸易和物联网的迅速发展,以及新冠疫情蔓延引发的数字化加速,数据跨境转移已经成为大国博弈的新焦点、全球治理的新议题。联合国贸易和发展会议发布的2021 年数字经济报告指出:“数据跨境转移是所有快速发展的数字技术的核心,例如数据分析、区块链、人工智能等。”数据跨境转移对全球经济增长、社会良好运转的重要性愈发凸显,各国对数据跨境转移的需求逐步增大。并且,国际数据公司(IDC)发布的数字化世界 从边缘到核心预测中国数据量将于 2025 年增至 48.6ZB,占全球 27.8%,届时中国或将成为全球最大数据圈。中国信息通信研究院发布的全球数字经济白皮书(2022 年)也指出,2021 年中国数字经济高速增长,在全球数字经济规模上仅次于美国。在此背景下,为激活数据要素潜能,促使数据发挥更大价值,我国在中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要提出,要加快数字化发展,建设数字中国,打造数字经济新优势。数据跨境转移是数字经济发展的前提,面对日益复杂的数据跨境转移场景和严峻的数据竞争局势,我国数据跨境转移规则仍有优化空间。如何进一步完善我国数据转移规则,推动数字强国的建设,是我国数据跨境转移方面亟待思考与解决的关键问题。与此同时,欧盟已通过一系列数据战略及法律法规来完善数据跨境转移制度,颁布通用数据保护条例(General Data Protection Regulation,GDPR)加强对数据资源的掌控力,扩张域外管辖权,提升其规则影响力,逐步形成了在数据跨境转移中的“欧盟模式”,并在数字时代的国际格局中占据了优势地位。鉴于此,本文通过分析欧盟数据跨境转移规则,探究其数据跨境转移的模式和内在逻辑,并在厘清我国数据跨境转移规则缺憾的基础上,找寻我国数据跨境转移规则的发展途径,为完善具有中国特色73国际贸易2023 年第 3 期课题信息本文是重庆市社科规划项目“一带一路倡议下中国企业海外发展的域外法律保护问题研究”(2019YBFX026)与司法部国家法治与法学理论项目“英国脱欧对中英双边法律制度的影响研究”(17SFB3040)的阶段性成果。作者信息梅傲,西南政法大学争端解决国际竞争力研究中心研究员;黄林羚,西南政法大学争端解决国际竞争力研究中心助理研究员。通讯作者:梅傲,电子邮箱:meiao3344 。作者感谢匿名审稿专家们的宝贵意见和建议,当然文责自负。DOI:10.14114/ki.itrade.2023.03.003数字贸易的数据跨境转移规则提供借鉴。一、欧盟数据跨境转移规则的主要内容及评析欧盟在数据跨境转移规则方面有较为丰富的实践经验。从早期个人数据自动化处理中的个人保护公约的探索,到里程碑式的欧洲议会和欧盟理事会 1995 年 10 月 24 日与个人数据处理有关的个人保护以及此类数据的自由流动指令,再到新时代GDPR 的颁布,欧盟数据跨境转移规则立法经历了从公约到指令再到条例的法律层级变化,从建议性规范到强制性规范的法律效力升级。当前,GD-PR 规定了欧盟现行数据跨境转移规则,并因其内容创新成为各国数据跨境转移立法的范本,在世界范围产生了一定影响(谭观福,2022)。因此,我国可以借鉴欧盟立法规定来完善我国数据跨境转移规则。在研究欧盟数据跨境转移规则主要内容的过程中,要考虑到欧盟立法的实践效果并进行一定分析,从中探究我国数据跨境转移规则的发展路径。(一)欧盟数据跨境转移规则的主要内容欧盟 GDPR 以专章形式规定了欧盟数据转移到目标国或国际组织的有关规则,同时也为企业或其他组织指明了不同的数据合规途径,例如充分性认定、适当保障措施等。1.数据跨境转移的具体规则(1)充分性认定GDPR 第 45 条规定了基于认定具有充足保护的跨境转移规则,即欧盟委员会的充分性认定。该制度规定,当欧盟委员会对数据传输目标国整体或特定部门或区域、国际组织作出充分性认定,认为其对数据具有充足保护,保护水平与欧盟实质相当时,则可以将数据进行跨境转移,且无需进一步的数据保护措施或其他特殊授权。并且,欧盟委员会通过制定实施性法案来确定数据传输目标国或国际组织是否进行充分保护,而且会对取得充分性认定的国家或地区进行持续的监督,以保护数据主体的权利。截至 2023 年 3 月,已经获取欧盟委员会充分性认定的国家或地区仅有 14 个。(2)适当保障措施由于充分性认定的标准较为严苛及涉及国家主权等,获取欧盟委员会充分性认定的国家和地区有限,满足转移所需要的适当保障措施是大多数主体选择进行数据跨境转移的方式。GDPR 第 46 条规定的适当保障措施中,应用较多的是有约束力的公司规则和标准合同条款。有约束力的公司规则主要适用于跨国公司通过内部自我约束以实现数据跨境转移的情形。如果跨国公司具备经欧盟数据监督机构批准的有约束力的公司规则,则可以将欧盟境内的数据转移到欧盟境外尚未达到适当数据保护水平的其他分公司,且数据主体可以依据该规则向公司主张数据权利与救济。标准合同条款是指由欧盟委员会制定并颁布的一项标准合同框架。该条款的作用是为数据跨境转移提供适当的保障,因此数据控制者和处理者不能任意将其中的条款进行修改,但是可以将标准合同条款纳入更广泛的合同中,添加其他条款,提供额外的保障等。不过,添加的内容不能与标准合同条款相抵触或损害数据主体的权利(Landau,2015)。2021 年 6 月,欧盟委员会发布了最新标准合同条款来解决之前标准合同条款中的缺陷,促进数据跨境有效转移(金晶,2021)。(3)特定情形豁免在不满足充分性认定和适当保障措施的情形下,GDPR 第 49 条规定了跨国数据跨境转移特定情形下的豁免条件。例如,数据主体明知存在风险仍表示同意、涉及重要的公共利益、根据公共登记册进行等情形,而且该传输是具有必要性的,才能进行相应的数据跨境转移。同时,本条具有特例性质,是对一般原则的豁免,需要对其中的豁免条件加以限制性解释,以免例外成为规则(Ohm,2012)。且该条适用场景主要涉及偶发性和非重复性的数据处理活动,为此欧盟委员会依据 GDPR 发布了关于 GD-PR 第 49 条豁免条款的 2/2018 号指南来指导条款的适用。2.数据跨境转移规则的执行数据逐渐成为数字经济发展的关键要素。全球83国际贸易2023 年第 3 期数字贸易数字经济的迅速发展催生大量数据的快速转移,但数据跨境转移涉及个人隐私、数据安全和国家安全等多方面(唐彬彬,2022)。鉴于此,欧盟对数据跨境转移进行了一定的监管,包括政府监管、行业监管和数据处理者自我监管。首先,政府监管由欧盟和各成员国合作完成。欧盟设立了具有独立性的数据保护委员会(European Data Protection Board,EDPB)作为监管机构,其主要职责是统一 GDPR 在各成员国的实施标准,推动各成员国监管机构的联合,协助处理个人隐私保护的相关问题。同时,各成员国也可以自主设立监管机构,行使数据监管权力,促进欧盟内部个人数据的自由转移。其次,行业监管主要是通过行业行为准则和认证机制进行监管。根据 GDPR 第 41 条、第42 条规定,欧盟鼓励协会以及代表数据控制者或处理者的实体根据部门的特点及在特定要求的基础上制定行为准则来约束其行为,也鼓励建立数据保护认证机制、数据保护印章和标记等证明将数据转移到第三国或国际组织的情况已采取安全措施,减轻政府监管的压力。最后,数据处理者自我监管主要通过数据保护影响评估和数据保护官(Data Protec-tion Officer,DPO)两个方面体现。数据保护影响评估属于事前监管,是指当数据处理者进行某种类型的处理可能对数据主体的权利和自由造成高风险时,必须对数据保护影响进行评估(田晓萍,2019)。同时,GDPR 也规定,数据处理者为公共机构或公共实体进行操作或需要大规模性地对数据主体进行常规和系统性的监控等情形,需要设立 DPO。DPO 必须具备数据保护法规与实践的专业知识及相关能力,以保证数据处理者的相关行为符合条例规范。如果数据处理者的行为不符合相关规定,DPO 也需要承担相应的责任。(二)欧盟数据跨境转移规则评析欧盟立足具体国情制定数据跨境转移规则来规范数据流通,促进数字经济发展。下文将从规则标准、规则执行、规则影响三个层面对欧盟数据跨境转移规则进行探析。1.规则标准层面GDPR 中数据跨境转移规则规定了多层次、多类型的数据转移方式,能够满足不同场景下数据跨境转移的需要。并且,GDPR 不仅只规定数据跨境转移途径,也进一步规定了满足数据跨境转移途径所要达到的具体标准,提高了规则的操作性。例如,GDPR 第 47 条第 2 款规定了有约束力的公司规则需要满足的条件,包括但不限于:规则的法律约束力、对一般数据保护原则的适用、申诉程序等。但部分数据跨境转移途径的具体要求在操作上有一定自由裁量性,包含除数据权利保护外的政治考量。例如,GDPR 的充分性认定要求数据传输目标国数据保护水平与欧盟标准“实质等同”,具体需要评估他国法治、对人权与自由的尊重等方面,这一认定已经涉及政治方面的考量。不仅如此,该评估还是以欧盟自身为衡量标准,评估过程具有主观性和不透明性,极易引起国家层面的纠纷,影响两国关系。2.规则执行层面由于历史传统、文化教育背景不同,欧盟相比其他国家或地区更加重视数据主体的权利保护(梅傲和苏建维,2021)。为此,欧盟通过立法确定层次分明的监管制度保障数据跨境转移规则的实施,保护数据主体权利。从欧盟层面的 EDPB,到成员国层面的独立监管部门,再到企业层面的 DPO,呈现出监管机构的体系完整,分工明确。但也应注意到,欧盟通过这一系列监管机构对数据跨境转移进行监督,一方面增强了对个人数据的保护力度,将个人数据保护置于优先位置,表现了其重视人权的价值理念;另一方面,将大幅提高跨国企业与欧盟进行经贸往来中的合规成本,这不仅不利于企业自身的经济发展,也使得欧盟数据市场自由流通存在一定的障碍。3.规则影响层面2018 年,GDPR 的出台表明欧盟数据立法更具先进性,使得欧盟走在了世界前列,树立了世界数据保护的新标准,形成了数据立法的“欧洲模式”。并且欧盟现在开始在数据跨境转移方面化被动为主动,积极扩大欧盟数据跨境转移规则的影响力,向93国际贸易2023 年第 3 期数字贸易全世界推广欧洲模式,促进全球数据保护发展(李墨丝,2021)。与此同时,GDPR 项下数据跨境转移规则中的充分性认定机制也推动了国际合作的发展。随着欧盟在数字市场的地位愈发凸显,部分国家为了能与欧盟开展数据贸易,纷纷通过制定或修改国内法律来提高数据保护水平,以此与欧盟展开充分性认定谈判。但事实上,欧盟严苛的数据跨境转移规则在一定程度上也成为贸易壁垒(许可,2018)。GD-PR 对数据自由转移的限制较为严格,使得数据不能更好地实现自由流通。且欧盟通过 GDPR 第 3 条确定了长臂管辖,实现了对