內在的事務撮要:列國近年來就數據跨境能否以不受拘束活動為準繩、數據跨境管束能否具有合法性等議題存在嚴重不合。我國《數據平安法(草案)》初次提出“數據平安不受拘束活動準繩”,將“數據不受拘束活動”作為基本性準繩,將“數據平安活動”作為限制性準繩,以均衡對外開放和國度平安的雙重目的,為全球數據管理供給了謹慎包涵、激勵一起配合的中國計劃。不外,數據不受拘束活動與數據平安活動的沖突并不會天然消解,其有賴于分歧數據跨境類型下的準繩衡量。在數據出境的場景中,數據“靜”的平安(數據完全性、可用性、保密性)是不受拘束活動的條件,數據“動”的平安(主要數據可控和非主要數據可托)則組成不受拘束活動的硬束縛和軟束縛。在數據調取的場景中,我國可基于“主要數據可控”事由調取境外主要數據,同時亦應依據互惠準繩,為他國調取我國數據供給軌制化渠道。
要害詞:數據跨境;數據平安;數據當地化;數據調取
這是一個數據全球化的時期。從小我隱私到數據應用,從國際商業到國度監控,從數字經濟到收集主權,在瞬息萬變的全球收集管理中,還沒有哪類議題能像數據跨境活動一樣,激起出這般之多的價值不合和軌制沖突。舊規定不夠實用,新次序遠未成型。就此而言,作為數據基礎法之一的《數據平安法(草案)》恰逢當時。面臨數據跨境活動的“風暴之眼”,《數據平安法(草案)》第10條教學場地旗號光鮮地聲名了“數據平安不受拘束跨境活動”的基礎準繩,這是對《收集平安法》第12條“收集信息依法有序不受拘束活動”的嚴重轉變。那么,若何懂得這一準繩?它將若何結構我國將來的數據跨境活動軌制?又將若何影響世界數據管理規定?本文試圖在全球視野和中國實行的雙重佈景下,答覆這些題目。為此,本文第一部門將勾畫數據跨境活動的基礎架構和重要類型,經由過程對國際規定的梳理展示既有爭議;第二部門將深刻分析作為基本準繩的“數據不受拘束活動”和作為限制準繩的“數據平安活動”;最后將采用準繩衡量方式,依據數據跨境活動的分歧類型,測驗考試提出我國數據跨境活動的軌制構思。
一、數據跨境活動:基礎架構與全球實行
自1980交流年經濟一起配合與成長組織《隱私維護和小我數據跨境活動指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)將“數據跨境活動”歸入法令議題以來,跟著跨境活動數據質與量的飆升,數據跨境活動的管與控亦急劇增多,截至2017年,在全球64個重要經濟體中,對數據跨境活動加以限制的國度已近90%。為了掌握數據跨境活動管束的全景,無妨先從會商數據跨境活動的基礎架構開端。
(一)數據跨境活動的基礎架構
“數據跨境活動”意指“在一國際天生電子化的信息記載被他國境內的私主體或公權利機關讀取、存儲、應用或加工(合稱‘處置’)”。就活動標的目的而言,其可分為“跨境流出”和“跨境流進”;就處置主體而言舞蹈場地,其可分為“私主體跨境處置”和“公權利機關跨境處置”,由此構成如下架構:
在“數據進境”的場景中,“媳婦!”國度管束表現為對一國之內小我、企業或其他私家組織對境外數據處置的限制上。回想汗青,假如我們將數據轉換為信息內在的事務的話,那么這種“進境管束”積厚流光。現實上,從印刷品的海關檢討到國際無線電通信的攪擾辦法,從衛星技巧的禁令到internet的“防火墻”,從美國、加拿年夜到印度、韓國、馬來西亞,基于國度“信息主權”的信息進進把持不足為奇。1972年,結合國教科文組織《為信息不受拘束暢通,擴展教導范圍和成長文明交通而應用衛星無線電播送的領導準繩宣言》(Declaration of Guiding Principles on the Use of Satellite Broadcasting for the Free Flow of Information, the Spread of Education and Greater Cultural Exchange)第6條確認了國度對流進信息內在的事務的自立決議權。國際電聯《組織法》第180、181段亦重申:各成員國有權對迫害國度平安、違背法令、妨害公共次序或傷風敗俗的電報、電信結束傳遞或予以截斷。一國對“數據進境”的管控,基礎出于國度平安、文明平安以及平易近族認同、認識形狀等緣由。而在文明多元的世界中,該管控不成防止地與他國產生沖突,2000年雅虎納粹物品拍賣案便顯示出數字時期把持數據跨境流進的法令之爭。
在“數據出境”的場景中,國度管控表現為對一國境內的數據被他國小我、企業或其他私家組織處置的限制,人們往往將該等“出境數據管控”稱為“數據當地化”(data localization),但這種說法能夠疏忽了兩者奧妙而嚴重的差別。“數據當地化”的要害在于當地化存儲或處置數據或其正本,而不在于制止數據被他國處置。相似地,實行“數據出境管控”也不料味著數據必定做當地化存儲。有鑒于此,本文將“出境數據管控”和“數據當地化”視為分歧的軌制design。
數據出境下的管控類型紛紛雜亂。此中,歐盟《普通數據維護條例》(GDPR)是針對小我數據出境最廣泛、最嚴厲的管把持度之一。為防止歐盟小我數據維護程度的減損,《普通數據維護條例》第44條至第50條制止將境內小我數據傳輸至維護充足性缺乏、無恰當平安保護辦法、亦不合適特定規外情形的第三國。歐盟的強硬態度表現在Schrems II案件中。在該案中,歐洲法院指出,美國《本國諜報監控法案》(Foreign Intelligence Surveillance Act)的存在,使之能夠跨越需要限制拜訪所傳輸的數據,且無法給歐盟居平易近供給需要接濟,是以宣佈美歐《隱私盾協定》有效。就非小我數據而言,美國依據《出口治理條例》(Export Administration Regulations)、《國際兵器商業條例》(International Traffic In Arms Regulations),限制出口管束物品、商品、技巧、軟件或其他類型的非密受控信息(CUI)的出境,未經當局批準,不得向本國國民或實體表露。盡管尚無任何一個國度周全制止數據出境,但列國聚會場地或基于特定行業而施加限制,如安康、財政、稅收、博彩、金融、輿圖和政務數據,或基于特定流程或辦事而施加規制,如在線的出書、賭錢、金融買賣等。
在“數據調取”的場景中,國度管控浮現出一體兩面的面孔,既表示為本國機關強迫調取存儲于本國的非公然數據(數據進境),也表示為本國機關強迫調取存儲于本國的非公然數據(數據出境)。美國2018年《廓清境外符合法規應用數據法》(下稱“云法案”)是這一場景的典範立法。云法案源起于2016年美國當局訴微軟案。在該案中,美國聯邦法院第二巡回法院以為,由于用戶通信內在的事務的數據貯存地在愛爾蘭,微軟必需自愛爾蘭數據中間掏出數據并“入口”至美國境內,但美國《貯存通信法》(Stored Communication Act)并未答應法院以搜尋令的方法請求微軟提交存于境外辦事器上的數據。為了轉變法令約束,云法案旗號光鮮地采取了數據把持者尺度,將數據主權從物理層鴻溝延長到技巧上的“把持鴻溝”,即受權美法律王法公法院向受管轄的科技公司收回法令號令,以獲得該公司所擁有、保管或把持的數據,而非論數據存儲于何處。放寬視野看,云法案是對刑事司法範疇雙邊合作公約和協議缺乏的回應和調劑。跟著世界的數字化轉型,刑事查詢拜訪中的電子證據多少數字激增。在美國,2017年國際事務辦公室處置的來自本國的司法協助懇求數增添了85%,討取數據記載的懇求數增添了10倍以上。顯然,復雜冗長的司法協助機制已不夠實用,國度雙方倡議的數據調取由此成為能夠的處理計劃。
美國對境外數據的調取并不限于云法案,正如“棱鏡打算”所提醒的,美國收集全球監控是持久和體系性的。9·11事務之后,美國經由過程《愛國者法案》(USA Patriot Act)、《準確法案》(Accuracy for Adoptees Act)和《本國諜報監控法案》,配合織就了一張宏大的收集諜報監督收集。此中,《愛國者法案》第215條規則,為本國諜報彙集和國際可怕主義查詢拜訪獲取貿易記載,可懇求本國諜報監督法庭傳票,請求從運營商獲取辦事器日志,并對“好心表露”賜與寬免。《本國諜報監控法案》修訂案第702條進一個步驟指出,司法部長和國度諜報總監可以受權諜報機構對非美國居平易近的通訊或會話停止監控,時光最長可達一年。
(二)全球數據跨境活動管控的嚴重不合
盡管世界列國紛紜針對數據跨境活動采取法令辦法,但就數據跨境能否以不受拘束活動為準繩、數據跨境管束的合法化事由安在等最基礎性題目卻遠未告竣共鳴。
1. 關家教于數據不受拘束活動準繩的爭議
所謂“數據不受拘束活動”,意指數據把持者不受限制地將數據由一國活動到他國的狀況、才能和權力。數據不受拘束活動的請求因場景而變更。在數據進境和數據出境中,其表現為積極性的“主意”,以消除國度能夠的干預;在數據調取中,其表現為消極性的“寬免”,國度無權強迫數據活動。還需求闡明的是,“有準繩恒有破例”,以數據不受拘束活動為準繩,并不料味著不存在“破例”的限制,現實上,世界上不存在對數據跨境活動不做任何限制的國度。是以,題目不在于能否“限制”,而是“限制”的范圍與水平。
在“數據進境”和“數據出境”的場景下,美國事數據不受拘束活動準繩的果斷提倡者,并一向經由過程雙邊和多邊的公約實行該準繩。2004年,美國在亞太經合組織(APEC)經由過程的《隱私框架》中就請求“成員國采取一符合理步調防止任何不用要的數據活動妨礙”。跟著電子商務市場進一個步驟擴大與成長,美國在其主導的《跨承平洋伙伴關系協議》(Trans-Pacific Partnership Agreement, TPP)中進一個步驟提出“貿易信息跨境不受拘束傳輸條目”,即在維護小我信息等符合法規公共政策目的獲得保證的條件下,確保全球信息和數據不受拘束活動,以驅動internet和數字經濟。不受拘束活動準繩光鮮表現在美國《收集空間國際計謀:互連世界的繁華、平安與開放》的下述表述之中:“國度沒有,也不用在信息的不受拘束暢通和其收集的平安性之間做出選擇……收集空間……不是國度肆意損壞信息不受拘束活動以發明不公正上風的場合。”不外,在數據調取的場景下,美國一改初志,不單經由過程長臂管轄權強化國度對境外數據的管束力,並且應用技巧上風和收集霸權完成跨地區的全球監控。
假如我們將美國視為數據不受拘束活動一極的話,那么在另一極就是印度。早在1993年,印度《公共記載法》第4條即規則,未經中心當局事前批準,任何人不得將任何公共記載帶離印度。跟著數字經濟全球競爭的白熱化,印度以“數據平易近族主義”為抓手,誇大數據當地化政策的需要性,傳播鼓吹印度需求同科技公司與友好國度濫用數據“作斗爭”。2019年《國度電子商務政策》草案充足說明了這一態度:“印度及其國民對其數據享有主權,這種權力不該擴大到非印度人(相似地,非印度人對印度煤礦也不享有任何原初權力或訴求)。”2020年,印度的管控進一個步驟進級,其電子和信息技巧部以《信息技巧法案》第69A條“制止拜訪規定”為根據,以機密傳輸用戶數據至印度以外辦事器為由,封禁59款中國佈景的手機利用法式。但在另一方面,印度在“數據調取”的場景仍然保持《布達佩斯條約》的實用性,并不追求經由過程境外的數據管轄權。
無疑,從數據不受拘束活動到數據限制活動是一個突變的光譜,在美國和印度之間存在無限的能夠性。總體而言,在數據進境和數據出境的場景中,非洲團體、俄羅斯、土耳其、印度尼西亞、越南、尼日利亞等傾向于“國度數據管控”,歐盟、加拿年夜、japan(日本)、韓國、新加坡、智利、哥倫比亞、科特迪瓦、墨西哥、巴拉圭等傾向于“數據不受拘束活動”,在“數據調取”的場景中,澳年夜利亞、加拿年夜、新西蘭、英國和歐盟等國傾向于“國度數據管控”,相反,其他國度多傾向于“數據不受拘束活動”。
2. 關于數據管控合法性事由的爭議
假如說數據不受拘束活動和國度數據管控是抽象準繩之爭,那么數據管控的合法性事由就是詳細規定之爭。鑒于列國政策目的的多元性,本文試圖從小我權力、國度平安、公共次序、經濟成長四個維度,作出類型化梳理。
其一,維護小我權力是數據管控中被廣泛承認的事由。經合組織《關于維護隱私和小我數據跨境活動指南》明文規則,各成員國應撤消限制小我數據活動的規則,但所轉移的國度并無隱私權維護規則的不在此限。跟著時期變遷,歐盟以《歐洲人權條約》為基,逐步將“小我數據受維護權”上升為基礎人權,成為制約數據活動的焦點來由。2013年,亞太經濟一起配合組織《跨境隱私規定系統》異樣將“小我信息的隱私與平安樹立有興趣義的維護”作為數據跨境暢通的條件。
其二,國度平安是數據管控的重要事由教學。非論是《辦事商業總協定》(GATS)和《技巧性商業壁壘協議》(TBT),仍是《周全與提高跨承平洋伙伴關系協議》(CPTPP),均秉承“國度平安破例”(National Security Exceptions)準繩,列國不得接收或請求他國供給違背其國度主要平安好處之信蔡修立即彎下膝蓋,默默道謝。息。在數據出境的場景下,美國以金融平安、國防、核不分散目的等國度平安為由限制數據出境。在法國,“主權云”用于貯存和處置公共部分的數據,此外,未經法院批准,訴訟相干數據不得傳輸境外。在“數據調取”的場共享會議室景下,美歐“平安港協定”中明白將國度平安(如反恐、收集戰和收集特務等)作為破例。響應地,棱鏡門打算曝光后,限制數據出境防范本國監控,轉而成為俄羅斯、印度和印度尼西亞的主要關心。
其三,公共次序是數據管控的主要事由。《跨承平洋伙伴關系協議》等一系列主要國際商業協議均將“合法的公共政策目的”作為數據不受拘束活動的破例。相似地,歐盟《非小我數據在歐盟境內不受拘束活動框架條例》也將“公共平安緣由”作為數據活動限制或制止根據。但作甚“公共政策”或“公共平安”?就“公共政策”而言,無妨鑒戒GATS普通破例條目,將其進一個步驟區分為“公共品德”和“公共次序”,前者系一國支撐的對的的行動尺度,后者系對特定社會基礎個人空間好處的保護。據此,“數據出境”的場景下,國度可以冤仇談吐、極端主義、色情淫穢、平易近族輕視、反人性等事由,限制數據活動。就“公共平安”而言,依據《歐盟運作公約》第52條,其包括了刑事犯法的偵察、告狀運動,以及保護國度機關、公共辦事、生齒保存等基礎社會好處和交際關系、軍事好處等國度好處。據此,刑事司法的跨境數據調獲得以合法化。
其四,經濟成長是數據管控的又一考量。“數據就是石油”的標語激起了列國爭取數據的熱忱,數據日益被視為展示政治、軍事和貿易影響力的杠桿。在此佈景下,一種經由過程數據活動管控推進本國數字財產繁華的“數據重商主義”開端呈現。以印度為例,增進立異和經濟增加是數據管控的重要目的。《維護隱私、賦能印度的不受拘束公正數字經濟》的官方陳述指出,限制數據跨境活動有助于增添對數字基本舉措措施的本國直接投資,應用數據中間當地市場的溢出功效,發明失業機遇及專門研究職員,樹立印度的人工智能生態體系。異樣,在全球電子商務會談中,南非WTO代表以為,跨境數據活動不受拘束化是妨害當地企業成長的“反成長”(Anti-DeveloIpment)規定,進而主意擁有較為機動的數據當地化辦法,在采取數據維護辦法上具有“必定自立權”,以抵御發財國度對本國數字財產的腐蝕。
二、數據不受拘束活動準繩與數據平安活動準繩
面臨列國對數據跨境活動法令準繩和管控事由的各種不合,《數據平安法(草案)》初次提出“數據平安不受拘束活動”準繩,這既彰顯出在逆全球化和平易近粹主義鼓起的潮水下我國保持對外開放與國際一起配合的基礎態度(“不受拘束活動”),又彰顯出對國度平安的高度關心(“數據平安”)。但是,若何懂得這一數據跨境活動的中國計劃?本文試圖將之拆解為數據不受拘束活動準繩和數據平安活動準繩,以期分析機理和辨明意蘊。
(一)“數據不受拘束活動”作為基本準繩
1. 數據不受拘束活動的空間構造
數據作為收集“內在的事務層”的構成部門,深深嵌進在“無國界”的收集空間的架構之中。在技巧層面上,internet“端對端”(End-End)架構最年夜水平地簡化了人際復雜互動,“信息瞬時可達”年夜幅緊縮了時空,虛擬空間、活動空間和無界空間接踵發生。在收集空間中,劃分區域的尺度是IP地址和與之對應的域名,而非國度或地域之間的地區疆界,只需法令答應,用戶就可以在全球各地登錄任何國度的網站,進進全球性的信息交通和社會互動平臺。不只這般,跟著云存儲、云盤算、物聯網等信息技巧的迭代,收集空間“無國界性”進一個步驟加劇了。作為一種自力于地位的盤算機資本無縫分派計劃,云盤算打破了辦事器、數據中間、物理裝備之間的劃分,以完成靜態應用和集中治理物理資本和虛擬資本、進步體系構造的彈性、下降本錢和削減風險等目標。由于蔡修鬆了口氣。總之,把小姐姐完好的送回聽芳園,然後先過這一關。至於女士看似異常的反應,她唯一能做的,就是如實向虛擬化技巧,數據看似是單個盤算的邏輯抽象,現實上倒是在分歧的硬件中以物理分布方法存儲,這意味著一個數據集將被邏輯切分為大批碎片,再依據存儲裝備的空間限制和機能在分歧地位存儲,是以云存儲不單是長途的,並且是不斷定的。在歐洲,這一新的技巧曾經對歐洲主權和《普通數據私密空間維護條例》的實行提出了挑釁:若何判定誰是數據把持者?若何認定命據流出歐盟?歐洲的管轄權能否跟著云存儲全球化而籠罩全球?這些題目還沒有謎底。
收集空間“無國界性”亦被法令所承認。在American Library Ass’n v. Pataki案中,法院以為小樹屋:“internet協定旨在疏忽而不是記載地輿地位。internet對地輿地位完整不敏感。internet用戶既不清楚也不關懷他們拜訪收集資本的物理地位。”而在收集法奠定性文獻中,戴維·約翰遜(David Johnson)和戴維·波斯特(David Post)也指出,收集行動具有衝破國界線制的自然屬性,是以對跨越物理國界的電子數據暢通停止把持時,假如仍以空間作為管束范圍的尺度之一,那么其盡力很能夠是白費的。
2.講座場地 數據不受拘束活動的“事物實質”
“事物實質”一向是法令的合法性基本之一,它請求法令必需與生涯現實保持分歧,彼此彼此順應,立法者應依據事物屬性作出調劑,而不該“悖離事理”。據此,數據不受拘束活動準繩亦樹立對“數據”性質的深入熟悉之上。
2017年,《經濟學人》雜志以衝動人心的口氣說道:“數據之于本世紀,就像石油之于上世紀:它是成長和轉變的動力。”正如20世紀繚繞石油迸發數次戰鬥一樣,《經濟學人》預言:“將來,良多戰鬥將繚繞誰應當擁稀有據和從數據中獲利睜開。”一語成讖,跟著數據價值的飆升,經由過程商業或非商業壁壘,將這一資本盡能夠保存在本國把持之下,成為列國的優先選擇。數據國際規定的缺掉強化了“數據國度主義”。正如波斯納所洞察的,在無法可依的社會中,“報復之要挾是維系初平易近社會公共次序的基礎機制”,假如一國或地域率進步前輩行數據截留,那么他國不得不競相效尤。但是,這種數據博弈完整曲解了數據的性質,數據盡非真正的石油。
起首,數據并不稀缺。總量無限的石油緊緊把控在多數產油年夜國的手中。相反,數據無處不在且綿綿不斷。跟著internet、物聯網和智能終真個成長,新的數據每分每秒都在發生。其次,數據是“非競爭的”。石油只能被特定的企業占有和花費,而數據被一家企業搜集、應用并不以排擠別人為價格。“多重回屬”的收集經濟特徵,將數據疏散到各個收集平臺上,以致于沒有企業可以獨占一切數據。再次,數據是高度差別化的。以一國公民生物數據練習出來的人臉辨認算法,對于他國能夠用途寥寥。最后,數據價值并不永遠。作為典範的時效品,老數據不如新數據值錢,並且跟著時光推移,前者越來越沒有價值。年夜數據與其說是“年夜”的數據,毋寧是及時在線的“活”的數據。所以,因數據累積而構成的上風會敏捷消失,由於其壽命無限。
總之,將數據視為相似于地盤的資產并嚴厲管控的做法,悖離了數據作為“活動性財富”(fugitive property)的性質。正如對年夜數據的界定所表白的,只要在人、物、組織之間高速活動的數據,才幹退化為領導當下、猜測將來、引領成長的“數據智能”。經濟學研討早已指出,在變更不居的數字經濟中,簡直沒有任何證據表白,僅僅擁稀有據就能充足排擠更優的產物或辦事的供應。要想樹立可連續的競爭上風,數字計謀的重點應該放在若何應用數字技巧以史無前例的方法發明價值上。就此而言,“數據是石油”還有一層隱含的意義,那就是占稀有據遠沒有開闢數佔有價值,正如石油年夜國往往不是經濟強國,而這未嘗不是“資本咒罵”的另類應用。
3. 數據不受拘束活動的經濟基本
起首,數據不受拘束活動是經濟全球化的不竭動力。假如說20世紀的全球化是貨色和資金的全球化,那么21世紀就是數據的全球化。年夜型電商平臺經由過程internet獲取、聚集、處置和傳輸數據,將至公司主宰的國際商業改變為有數花費者和中小企業湊集的無國界社區。其次,數據不受拘束活動仍是數字經濟的立異引擎。研討表白,跨境數據在2005到2015年間使全球GDP增加了10%,2015年數據流附加值估量為2.8萬億美元,已跨越了貨色商業的進獻。最后,數據活動和會聚所構成的數據智能,不單能晉陞貿易效力,並且有助于協助迷信發明、監測天然體系、促進對社會的靜態懂得并處理嚴重全球題目。正因這般,國度的數據管控無疑形成了晦氣影響。歐洲國際私密空間政治經濟研討中間的陳述指出,數據跨境管控招致歐盟0.48%、印度0.25%、中國0.55%的GDP喪失。2019年,世界銀行梳理了東亞15國的數字政策,應用定量研討的方式得出“數字限制指數”,直不雅展示出數據跨境管控與企業立異之間的負相干關系。
我國事經濟全球化和家教不受拘束商業的介入者、受害者和提倡者,從不受拘束商業區到“一帶一路”建議,中國一直果斷支撐開放、包涵、共贏的全球化,增進全球商業和投資不受拘束化和方便化。同時,我國仍是數字經濟的引領者。結合國《2017世界投資陳述》梳理了收集平臺、電子商務、數字內在的事務、IT、電信舉措措施等重要數字經濟