摘 要: 在WTO框架下, 成员方在对于跨境数据流动进行国内监管享有自主权的同时, 也需要遵守WTO的规定。本文在分析国际上对于跨境数据流动监管的三种主要方式后, 指出在成员方就相关服务做出承诺的情况下, 通过立法对跨境数据流动设置限制条件以及设置本地数据中心要求时, 违反了GATS第6条国内法规、第16条市场准入和第17条国民待遇的相关规定。同时, 在援引GATS第6条“国际标准”和第14条“隐私例外”和“安全例外”作为抗辩理由时也存在条文解释和举证责任等困难。因此, 作者在考察我国数据流动监管措施后, 建议我国在制定相关国内法规时不仅可以借鉴欧美的做法扩大监管范围, 还可以通过采用实施国际标准、积极参加谈判将网络安全例外引入国际规则等方法, 来减少我国相关监管措施违背GATS规定的风险。
关键词: 跨境数据流动; 数据流动限制措施; 国际标准; 隐私例外; 网络安全例外;
随着信息科技的发展及其在商业中的应用, 跨境数据流动在全球经济中所占的比重日益上升。根据麦肯锡咨询公司的分析:在2014年, 数据流动促进全球GDP增长约2.8万亿美元;同时数据流动能直接促进全球GDP每年增加3%[1] (p77) 。
随着数据流动对经济增长重要性的增加, 跨境数据流动的监管开始成为各国国内监管的重要议题。首先, 监管数据流动对保护个人数据主体的合法权益非常必要。早期的“跨境数据流动”被认为是点对点的数据传输, 例如公司内部对客户信息、客户对服务的评价等信息的传输[2] (p201) , 这种数据传输一般是有意的, 个人可控的。但是, 随着信息科技的发展, 特别是云计算和“物联网”的应用, 个人日常生活和商业活动的数据无需人为输入, 只需要相关设备直接接入网络, 数据便有可能自行在全球范围内传输。而作为数据提供者的个人, 很容易在不知情的情况下, 数据被输出或者被输入不必要的信息。其次, 跨境数据流动还涉及到社会文化和国家安全等诸多国家政策考量。特别在斯诺登事件后, 各国对跨境数据流动的关注达到前所未有的高度, 欧盟、巴西、印度尼西亚等多个国家都采取了不同的跨境数据流动限制措施(1)[3]。
但是各国对跨境数据流动的监管措施很容易被滥用为贸易保护主义的工具, 美国就认为包括欧洲在内的其他国家是利用斯诺登事件从美国互联网企业中抢占其国内市场[4]。在WTO框架下, 一个国家在行使国内监管自主权时需要遵守其在WTO下的承诺。因此, 一国在实施跨境数据流动监管措施时, 也需要遵守其在GATS (1) 协议下的义务和承诺。
一、各国对跨境数据流动的主要监管措施
各国基于本国的数字贸易状况和政策考量, 对于跨境数据流动的监管范围和监管幅度都不一样。总体来说, 在国内立法中对于跨境数据流动的规制主要有以下三种监管方式。
(一) 对跨境数据流动不进行立法限制
对跨境数据流动不进行限制是指一个国家不通过国内立法对之进行直接的限制。采用这种模式的国家主要是美国, 通过自我规制路径。即提倡行业自律, 要求企业自我评估, 自我管制。联邦贸易委员会提供包括行业规范, 商业组织以及第三方程序在内的诸多方法促使业者自我监督。如果企业未遵守上述方法自我管制, 将被视为欺诈或不公平竞争之行为, FTC处以罚款或是提起诉讼解决。
美国能采取此方式主要基于以下两个原因。第一, 美国互联网企业对全球数据的掌控。在全球前十大互联网公司中, 除了中国的四家企业 (阿里巴巴、腾讯、百度、京东) , 其余全部都是美国的互联网企业。因此, 在世界大部分国家的境内, 最大互联网服务和产品提供者都是美国互联网企业, 可以说美国互联网企业掌控着全球绝大部分互联网上的数据。第二, 美国通过一系列的国内立法使得美国政府能够和企业共享信息。2015年《网络安全信息共享法案》要求企业将网络威胁指标实时分享给联邦政府[5]。美国《电子通信隐私法案》规定, 政府向科技企业索取用户电子邮件等数据时, 可以要求企业对政府请求予以保密。另外, 美国域外法权也为美国政府获得国内企业的域外数据提供法律基础, 美国司法部曾多次要求微软、苹果向政府提供位于境外的数据并引发多起诉讼。与此同时, 旨在限制宽带互联网接入服务 (BIAS) 运营商使用或者共享用户信息的《宽带用户隐私保护法案》于2017年却被美国众议院否决。因此, 美国通过与其国内互联网企业共享信息, 可以获得全球互联网大部分数据, 对跨境数据流动限制不符合其国家利益。
但是, 美国虽然没有对跨境数据流动进行直接的立法限制, 却在实践中采取了其他的监管措施。美国《联邦政府云计算战略》就要求审查企业根据美国的网络安全审查制度签署网络安全协议, 而协议通常包括:通信基础设施必须位于美国境内, 通信数据、交易数据、用户信息等仅存储在美国境内。美国外国投资委员会也在实践中经常以“威胁美国国家安全”为由拒绝外国服务提供商进入美国市场。
(二) 立法对跨境数据流动设置限制条件
通过立法对跨境数据流动设置限制条件指一国通过立法在特定范围内禁止, 或者在特定条件下允许数据跨境自由流动。目前, 对数据流动的限制主要设置两种条件。第一是设立许可规定, 即要求机构获得个人对数据传输的同意。这种同意可能是个人积极的许可, 例如巴西和阿根廷立法要求银行获得客户明确的书面批准才能转移他们的数据;也可能是“不禁止即许可”, 例如瑞士和卢森堡立法允许客户禁止银行跨境发送数据。第二是设立标准规定, 即要求数据流动需要满足其立法要求的某种标准, 例如隐私标准、安全标准等, 才能流出或者流入其境内。
目前对于数据流动立法最为全面的是欧盟。2016年, 欧盟通过了GDPR (《一般数据保护条例》) 明确规定对于数据处理必须以合法, 公正和透明的方式进行。只有在告知数据主体其数据被谁收集并将如何使用后, 在获得数据主体的允许下, 数据控制者和数据处理者才能使用其数据。同时, 欧盟还对其管辖权范围做了扩大的规定, 即无论数据处理公司的位置或者数据处理的位置是否在欧盟境内, 主要相关数据能够确定居住在欧盟境内的数据主体的身份 (可确定身份的信息包括直接或间接地通过参考诸如姓名、身份证号码、位置数据、在线标识符等, 或者对身体、生理、遗传、精神、经济、文化或社会认同) 都属于欧盟管辖权范围。
另外, 为了加强“单一数字市场”的安全性和可靠性, 欧盟委员会于2017年1月10日通过了“隐私与电子通讯指令” (e Privacy Directive, 简称e PD) 的修订草案, 作为特别法, 它与GDPR中关于数据保护的规定相一致, 同时补充GDPR中关于电子通信部门的一般规则。e PD修正案在GDPR的基础上扩充了以下内容: (1) 增加适用主体, 将新兴的电子通信服务提供者, 比如Whats App、Facebook Messenger、Skype等纳入监管范围; (2) 扩大监管电子通信数据的范围, 无论数据在境内还是境外, 无论是电子通信内容 (短信、语音、视频、图像和声音) 还是和电子通信的相关信息元数据 (日期、时间、地点、通话时间、通信类型) [6], 都纳入e PD的监管范围; (3) 将数据分为通信内容和元数据 (通话时间、位置等) , 两者都被包括在隐私保护的范畴之内, 但是两者的允许使用条件规定不同。目前, e PD的草案已经进入了欧盟立法程序。虽然很多成员国都认为同时审查两部法律草案是不现实的[6] (p6) , 而且e PD和争议很大的电信条例修改的联系非常紧密, 因此, 2018年是否两个法案能够共同对欧盟的数据流动进行监管尚有疑问。但是, 欧盟对于数据流动的限制仍然被认为是最严格的。
(三) 本地数据中心要求
本地数据中心要求是指要求企业在该国提供特定数字服务就需要在其境内设立数据中心, 数据必须存储在数据中心。实践中, 数据中心又分为两类:第一是“数据复制不能离开”, 即要求数据的存储和处理都在其境内, 这方面的限制一般限于金融领域;第二是“数据复制能离开”, 即允许数据在国外进行复制以供处理, 但是需要在本地基础设施中有复制数据。印度尼西亚2016年要求提供公共服务网络服务提供者必须在印度尼西亚境内储存数据, 但是对数据在国外处理不做限制 (1) 。
包括越南、韩国、巴西、俄罗斯等国在内的部分国家已将数据中心本地化要求纳入到计划实施或已实施的进程中。例如越南要求Facebook、谷歌等提供互联网服务的企业必须在本国设置数据中心。印尼出台的本地数据中心法草案也提出, 不管是外国银行还是移动网络服务提供商, 只要属于数据携带者, 都需要在本国设置数据中心。
综上所述, 目前各国对跨境数据流动的限制措施主要包括通过国内法规设置限制条件 (许可或标准) 和要求设立本地数据中心。下面将从GATS第6条、第16条、第17条和第14条对上述两种措施进行合规性分析, 来确定相关措施是否符合GATS的一般义务和具体承诺。
二、GATS框架下跨境数据流动限制的合规性分析
对跨境数据流动不进行限制的监管措施很明显不需要进行合规性审查, 下面主要对各国限制跨境数据流动实施的措施, 包括设立标准规定是否符合了GATS项下第6条“国内法规”的要求, 本地数据中心要求是否违反GATS第16条市场准入、第17条国民待遇的义务规定, 另外, 能否通过GATS第14条相关条款作为抗辩理由。
(一) 国内法规限制跨境数据流动在GATS第6条第5款下的合规性分析
GATS第6条第5款规定:“在一成员已作出具体承诺的部门中……该成员不得以以下方式实施使此类具体承诺失效或减损的许可要求、资格要求和技术标准…… (b) 在确定一成员是否符合 (上述) 义务时, 应考虑该成员所实施的有关国际组织的国际标准。”并在注释中标明“有关国际组织”指成员资格对至少所有WTO成员的有关机构开放 (open) 的国际机构 (international bodies) (2) 。因此, 对于已经对数据服务作出承诺的成员方, 是不能再通过国内法规损害对其所作承诺进行限制的。但是, 如果国内法规的相关规定是在实施“国际标准”, 就可以认为该成员方没有违背其承诺义务。
1. 国际标准的认定。
不同于TBT协定和SPS协定, GATS第6条第5款并没有对“国际标准”进行具体规定, 只是认为应“考虑”其所实施的“有关国际组织”的“国际标准”。目前关于跨境数据流动, 主要有3个国际标准。
第一是联合国的《关于计算机处理的个人数据文件指南》。指南规定:当两国或两国以上跨国数据流通的立法为保护隐私提供可比较的保障时, 信息应该能够在每个有关领土内自由流通。尽管原文用的是“may”, 但还是指出国内规制对于数据流通的限制不能单独基于保护隐私一个政策考量。
第二是OECD在1988年制定的隐私指南, 其目的旨在为隐私和个人数据保护确立最低的标准, 并且尽可能地消除限制跨境数据流动的因素。OECD在2013年又通过了隐私指南的修订版——《关于隐私保护与个人数据跨境流动的指南 (2013) 》 (以下简称《修订指南》) 。《修订指南》在保留原隐私指南的八项核心原则 (1) 的基础上, 对其进行了进一步更新或澄清, 并引入了隐私管理程序 (privacy management programs) 、安全漏洞通知 (security breach notification) 、国家隐私策略 (national privacy strategies) 等新的概念和规则。
第三是《APEC隐私框架》。APEC于2005年制定了《APEC隐私框架》, 主张在不设置不必要障碍限制跨境数据流动的前提下有效保护个人隐私。为了使APEC隐私框架得到切实贯彻, APEC于2012年设立了《跨境隐私规则体系》, 规范牵涉到个人数据跨境传输的企业。要求企业通过对照自评以及问责代理机构评估, 通过后获得CBPRs认证, 即被认可为符合隐私保护标准的企业, 可以在亚太各国从事涉及个人信息跨境收集、加工、利用以及传输的业务。
2. 国际组织的认定。
GATS第6条第5款在其文本下脚注3将“国际组织”解释为“成员资格对至少所有WTO成员的有关机构开放 (open) 的国际机构”。但是在注释中将“orgnization”解释为“body”的做法令人不解。在金枪鱼II案中, 专家组认为“国际机构” (international body) 和“国际组织” (international organization) 是有区别的 (2) [7] (p135) 。但是在GATS注释的解释下, 国际机构和国际组织似乎是没有区别, 可以替换的。在金枪鱼II案, 上诉机构根据牛津字典的含义, 认为open的意思是“无障碍可进入[7] (p138) ”而且不被限制, 即全部成员方都可以进入。考虑到联合国只对主权国家开放, APEC只覆盖亚太地区, 上面的三个国际标准只有OECD的修订指南满足条件。
所以, 如果实施OECD修订指南的成员方, 根据指南规定采取限制数据流动措施, 可以使用GATS第6条第5款“国际标准”为抗辩理由, 使其措施合规化。
(二) 本地数据中心要求在GATS第16条、第17条下的合规性分析
GATS下的市场准入义务 (第16条) 和国民待遇义务 (第17条) 仅限于成员方在减让表中做出承诺的服务部门。GATS的减让表采用的是“正面清单”模式, 即各成员方在承诺表中列明自己承诺开放的服务部门, 如果没有对数据服务做出具体承诺, 那么就可以不给予其他成员方市场准入和国民待遇。
即使对于数据服务作出具体承诺, 本地数据中心要求是否会违背“市场准入”承诺这个命题本身是存疑的。将设立“数据中心”作为展开业务的条件, 这里的“条件”是允许境外服务提供者市场准入的前置条件, 还是进入国内市场后提供服务的条件?如果将“条件”认为是允许其市场准入的前置条件, 就和对商业存在的规定冲突。如果认为某国已经就相关服务部门承诺市场准入, 那么市场进入后有可能限制它进入市场的条件还适用吗?有人认为不需要, 因为承诺的是市场准入, 在美国博彩案中, 上诉机构就认为不论 (美国) 对于国内在线赌博如何规定, 其在国外在线赌博服务上就不应当做出任何限制, 否则就是通过“零配额”实施了数量限制, 违背了GATS第16条的规定[8] (p78-84) 。但这对成员监管服务贸易自主权的影响也是广为诟病的。
“本地数据中心要求”是否违背国民待遇除了取决于成员方的具体承诺, 还取决于是否对本国服务或者或服务提供者采取了相同的要求, 如果对本地服务提供者也要求设立数据中心, 那么就不应当被认为是违背了国民待遇的义务。反之, 就有可能违背GATS第17条的规定。
(三) GATS第14条 (c) 项能否作为限制跨境数据流动的抗辩理由
GATS第14条一般例外条款规定:“在此类措施的实施不在情形类似的国家之间构成任意或不合理歧视的手段或构成对服务贸易的变相限制的前提下, 本协定的任何规定不得解释为阻止任何成员采取或实施以下措施:…… (ii) 保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性”。
该条款目前尚未被适用过, 但是按照WTO的惯例, 如果适用该条款, 应该同时满足三个条件:第一, 有关措施是为了保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性。第二, 该项措施是为了实现上述政策目标所必需的措施。第三, 必须同时满足前言的要求。
第一, 有关措施是为了保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性。在这里“保护与个人信息处理和传播有关的个人隐私”与“保护个人记录和账户的机密性”使用“和”作为联结词。这与第14条 (a) 款为“保护公共道德或维护公共秩序”用“或”作为联结词不同。那么, 在 (a) 款下, 成员方可以选择采用“公共道德”或者采用“公共秩序”作为抗辩理由。但是在本款下, 既然选择了不同的表达方式, 那么其目的就是需要“保护与个人信息处理和传播有关的个人隐私”和“保护个人记录和账户的机密性”的重叠适用。另外, 保护的目的必须是为了个人的隐私、个人记录和账户的机密性。欧盟基于“种族或者族裔出身, 政治观点, 宗教或哲学信仰, 工会会员”等原因的限制数据流动就不应该属于此范围内。本款涉及的对象是“个人信息”“个人记录”和“个人账户”。如果某数据或者某群数据即使属于一个数据主体, 但是不能表达有关数据主体的任何信息, 例如匿名数据, 那么也不应该属于此范围内。另外, 本款只涉及信息的“处理”和“传播”, 并不涉及信息的储存。因此, 本地数据中心要求也是不能援引该条款的。
第二, 在评估该措施时, 还应该考虑“手段” (means) 与“目的” (ends) 之间是否有“合理联系[9] (p51-53) ” (reasonably related) 来证明限制数据流动的措施与“隐私保护”之间存在“合理联系”, 各国采取的数据流动限制措施是否是为了保护隐私所必需的措施。在“中美出版物和视听产品案”中, 中美双方均认同文化产品与公共道德的密切相关性, 但是因此限制贸易权是否保护公共道德所“必需”的措施就需要进一步考察。专家组就认为“必需”一词的含义广于“不可或缺”, 但又不限于简单的“有助于”[10] (p132) 。具言之, 对“必需”一词的考察要考虑涉诉措施所保护价值的重要性、涉诉措施对公共道德保护的贡献度以及涉案措施的必要性。按照WTO争端机制“遵循先例”的原则, 如果有成员方试图援引GATS第14条 (c) 项作为限制跨境数据流动的抗辩理由, 那么必须就其涉案措施对保护隐私的重要性和贡献度提供证据。同时, 因为对方往往会提出替代措施, 因此还需要被诉方证明其采取的措施比替代措施更合理, 在“中美出版物和视听产品案”中, 就是因为中国无法提供充分证据证明美国提出的“替代措施”加大负担而败诉。因此, 采取限制数据流动措施的成员方在援引本条款时无论在条文解释上还是举证责任上都面临相当的困难。
(四) GATS第14条能否作为限制跨境数据流动的抗辩理由
在前文提到很多国家以国家安全为由, 采取措施限制数据流动。GATS第14条即国家安全例外条款规定:“本协定的任何规定不得解释为:要求任何成员方提供其认为如披露则会违背其基本安全利益的任何信息;或阻止任何成员方采取其认为对保护其基本安全利益所必需的任何行动: (1) 与裂变和聚变物质或衍生这些物质的物质有关的行动; (2) 与武器、弹药和作战物资的贸易有关的行动, 及与此类贸易所运输的直接或间接供应军事机关的其他货物或物资有关的行动; (3) 在战时或国际关系中的其他紧急情况下采取的行动;或阻止任何成员为履行其在《联合国宪章》项下的维护国际和平与安全的义务而采取的任何行动。”
上述三款中, 第1、2款是以保障国家安全为目的的例外, 第3款是为维护国际和平与安全而采取的措施。其中, 第1款允许成员方以“如披露则会违背其基本安全利益”作为抗辩理由, 但是此处仅限于“披露”相关信息, 而不包括限制信息的自由流动, 也就是说将数据限制在某地储存或者要求以特定方式处理数据的措施都不在第1款涵盖范围内。在第2款中, 虽然允许成员方采取“其认为对保护其基本国家安全利益所必需的任何行动”, 但是也规定这些措施需要“与裂变和聚变物质或衍生这些物质的物质有关”“与武器、弹药和作战物资的贸易有关”和“战时或国际关系中的其他紧急情况”。而一般日常中的数据处理很难被认定满足上述条件。第3款虽然包括进口或出口限制在内的“任何行动”, 但是却需要以联合国安理会实施经济制裁为前提。
有学者认为, 除了类似2007年4月爱沙尼亚在全国范围内受到的大规模网络攻击和2010年伊朗核设施受到的“震网”病毒攻击等极少数事例外, 一国基于维护网络安全或其他非传统安全理由所采取的措施都难以构成“战时或国际关系中的其他紧急情况”[11] (p12) 。因此, 对于基于网络安全为目的的数据流动限制措施很难以GATS第14条作为抗辩理由而使措施获得合规性。
三、我国跨境数据流动监管措施及合规性分析
我国《“十三五”国家信息化规划》明确提出强化数据资源管理, 注重数据安全保护, 建立跨境数据流动安全监管制度, 保障国家基础数据和敏感信息安全的要求。在立法层面, 于2016年通过的《网络安全法》主要规制我国“境内”网络的“建设”“运营”“维护”和“使用”以及网络安全。并在第41条明确规定了对信息处理的要求, 即要求“网络运营者收集、使用个人信息, 应当遵循合法、正当、必要的原则, 公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意”。我国采用了通过国内法规设置许可要求的限制措施。鉴于《网络安全法》的规定非常原则化, 我国正在制定《关键信息基础设施安全保护条例》《个人信息和重要数据出境安全评估办法》, 对数据流动监管进行具体规定。我国采取的相关措施是否有违背我国GATS义务之嫌?首先需要看我国对数据服务是否作出具体承诺。
(一) 我国在GATS中有关数据服务做出的承诺
中国2001年加入WTO时, 服务减让表的分类主要按照了《联合国临时核心产品分类目录》 (Provisional Central Product Classification, CPCprov版本) 。其中, 我国对数据处理服务 (编码CPC843) 下的输入准备服务 (编码8431) 的模式1 (跨境提供) 和模式2 (境外消费) 作出了“没有限制”的承诺, 模式3作出了“允许设立外商独资企业”的承诺;对于数据处理和制表服务 (编码8432) 和分时服务 (编码8433) 在模式1、模式2和模式3下都做了“没有限制”的承诺。而其他数据处理服务 (编码8439) 我国并没有列入减让表, 也就是没有作出承诺。同时, 根据CPCprov的解释性说明, “输入准备服务” (编码8431) 是指“键盘穿孔、光学扫描和其他数据输入方法”;处理服务 (编码84320) 包括数据处理, 制表服务, 计算机计算服务, 以及计算机时间的租用服务[14]。那么, 除了输入准备服务、数据处理和制表服务, 以及分时服务外, 我国是没有作出承诺的, 因此我国在相关服务部门中采用的限制措施并不违背我国GATS下义务规定。但是, 在上述三项服务中, 我国在模式1和模式2都承诺不做限制, 即WTO其他成员方可以在境外直接向我国提供相关服务。同时, 我国在“输入准备服务”允许设立外商独资企业;在“数据处理服务”的模式3商业存在也不做限制, 即外国企业可以通过设立独资企业、合资企业、子公司、代表处等形式在我国展开业务。
但是, CPCpro版本较早, 在随后的CPC1.1版本中对CPCpro版本843进行了更新, 其中CPC843名称从“数据处理服务”改为“在线内容”, 而“数据处理服务”归于CPC8596[15]。那么, 更新的CPC版本是否会对我国的减让表产生影响?答案是否定的。各国对服务部门做出“正面清单”承诺的时候, 其缔约意图肯定是根据当时已经出现的服务部门做出的承诺。在美国博彩案中, 上诉机构也明确表示W120是“解释之补充资料”, 其对应的也是CPCpro版本, 因此CPC版本的更新对我国现有的GATS义务是没有影响的。但是, 随着数字技术的进一步发展, 早期的分类难免会和现有的技术不符, 因此, 我国应该就相关问题积极展开谈判, 设置更为明确的承诺表。
(二) 我国有关数据存储的限制性规定
《网络安全法》第31条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等关键信息基础设施……实行重点保护”。在《关键信息基础设施安全保护条例》 (征求意见稿) 中第18条将“电信网、广播电视网、互联网等信息网络, 以及提供云计算、大数据和其他大型公共信息网络服务的单位”纳入了关键信息基础设施的范围。另外, 在第29条要求运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
云计算和大数据属于“数据处理服务” (CP-Cprov编码84320) , 我国对此项服务做出了对跨境提供和境外消费“不做限制”的承诺。如果要求云计算和大数据处理中的数据存储在我国境内不能流出国境的话, 那么相当于相关的数据处理业务只能通过商业存在的模式在中国展开, 而无法通过跨境提供或者境外消费两种模式展开相关业务, 这在实质上有可能被认为是在相关承诺部门上采取了数量限制措施, 违背了我国的WTO义务。而前文部分也分析过, 网络安全目前并不能作为例外条款使不符措施合法化, 即使相当一部分国家在实践中都采用网络安全这一提法。
(三) 我国有关数据输出的限制性规定
首先, 《网络安全法》要求对于关键信息基础设施的运营者对在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。在境外存储数据和输出数据时, 应当进行安全评估。另外, 《网络安全法》规定对网络产品强制性要求设立国家标准。网络产品、服务具有收集用户信息功能的, 其提供者应当向用户明示并取得同意。
其次, 在《个人信息和重要数据出境安全评估办法》 (征求意见稿) 中详细规定网络运营者应在数据出境前, 自行组织对数据出境进行安全评估, 并对评估结果负责。安全评估的内容包括“数据出境的必要性, 个人信息情况以及信息主体是否同意, 重要数据情况, 数据接收方情况, 数据出境后风险和数据汇聚风险”。对于“数量大”“数据内容重要”“关键信息基础设施运营者向境外提供”以及其他可能影响国家安全和社会公共利益的应该由行业主管或者监管部门安全评估。同时, 还限制“未经个人信息主体同意”以及“可能侵害个人利益”, 对我国政治、经济、科技、国防有风险, 以及影响国家安全、社会公共利益的信息出境。
可以看出, 我国对跨境数据流动采取了限制的监管措施, 既采取了设立许可的措施也采取了设立标准的措施。但是, 对于我国做出承诺的数据服务部门, 在制定国内法规监管数据流动时, 应该遵循GATS第六条的规定, 并可以参考实施OECD隐私指南的规定以降低违规风险。
四、结论
目前, 各国基于本国的国情, 对数据流动采取了不同程度的限制措施。WTO规则产生于数字贸易大规模发展之前, 很多规则的制定以及成员方的承诺都没有考虑到数据流动的重要性, 因此目前各国采取的数据流动限制措施在很多WTO规则下, 特别是GATS规则下有违规之嫌。同时, 以欧盟为代表的国家以OECD隐私指南为基础, 已经在国际上开始建立了新的数据流动规则, 我国在制定规则上应该参考这些已经成为“国际标准”的规则, 并借用其他的先进立法技巧。
第一, 可以借鉴美国的《网络安全信息共享法案》的做法, 要求企业将相关信息共享给政府。美国基于国内互联网企业的发达, 将产业置于数据流动限制规则之上。我国也是数据大国, 通过数据共享, 既能避免违背WTO下的义务充分及时地保护网络安全, 也能保护我国产业不受限制, 充分利用数据更好地发展。
第二, 我国对于数据监管范围定义过窄。《网络安全法》第37条只要求“关键信息基础设施的运营者”就其“在中华人民共和国境内运营中收集和产生的个人信息和重要数据”实施数据出境安全评估, 而并非所有的“网络运营者”及其所收集的相关数据。同时, 只对出境的数据进行了规定, 但是没有对境外运营中手机和产生的个人信息和重要数据进行规定。因此, 可以借鉴欧盟的数据监管范围的规定, 不仅包括我国境内运营产生的个人信息和重要数据, 还应该包括我国公民所有 (无论境内还是境外) 的个人信息和重要数据。
第三, 我国将数据出境的范围界定过窄。《个人信息和重要数据出境安全评估办法》将“数据出境”定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据, 提供给位于境外的机构、组织、个人”。该条款限制了数据流动的监管范围, 正如序言所说, 如今的数据流动很多数据输出并不是有意的, 全球分布的服务器使国内的数据在传输中也有可能跨境流动, 因此, 将数据出境限定在“提供”上, 那么数据处理中经过境外服务器的数据就不在此范围内。建议直接采用描述的方式定义数据出境, 即“数据”流出国境, 以扩大对我国数据安全的保护。
第四, 我国应积极推动“网络安全例外”条款纳入WTO规则。网络安全作为限制跨境数据流动的理由目前很难援引GATS的例外条款而获得合法性, 尽管网络安全是网络主权的行使, 也是国家主权在网络空间的延伸, 但是, 除非我国积极推进将“网络安全例外”纳入国际贸易规则体系, 否则在现有的贸易规则下, 是很难援引网络安全作为国内监管措施损害到贸易自由化的抗辩理由的。网络安全不仅关系到我国的重大安全利益, 也是世界上大部分国家利益考量因素, 实践中, 采用“网络安全”提法的国家也很多。因此, 我国应该在国际贸易规则谈判中寻求合作, 争取将“网络安全例外”条款纳入WTO规则中。
第五, 在制定跨境数据流动限制措施时, 积极参考国际标准, 特别是OECD制定的标准。采用该标准不仅有利于避免我国在采取监管措施时违背WTO义务, 同时可预测的和协调一致的跨境数据流动监管政策也有利于中国企业走出去。
参考文献:
[1]James Manyika, Susan Lund, Jacques Bughin, etal.Digital globalization:The new era of global flows, Mc Kinsey&Company 2016[EB/OL].https://www.mck-insey.com/~/media/Mc Kinsey/Business%20Functions/Mc Kinsey%20Digital/Our%20Insights/Digital%20glo-balization%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.ashx, 2017-12-01.
[2]J.M.Carroll.The Problem of Transnational DataFlows.[M]//Policy Issues in Data Protection and Privacy, Proceedings of the OECD Seminar 24th to 26th June1974.
[3]Chander, Anupam, Uyên P.Lê, Data nationalism, Emory LJ 64 (2014) [EB/OL].http://law.emory.edu/elj/content/volume-64/issue-3/articles/data-nationalism.html#section-c94d487f630c 275b466ee7e3d3dc7114, 2017-12-01.
[4] 美国《网络安全信息共享法案》sec 105 (3) (a) [EB/OL].https://www.congress.gov/bill/114th-congress/senate-bill/754/text#toc-id7aa014d8219640b0be5ba8486e0f5776, 2017-12-01.
[5] The Proposed Regulation for the e Privacy Regu-lation 7.1, 7.2条[EB/OL]..https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications, 2017-12-01.
[6]European Council progress report, p.6, Brussels, 24 may 2017[EB/OL].http://data.consilium.europa.eu/doc/document/ST-9324-2017-INIT/en/pdf, 2017-12-01.
[7]Appellate Body Report, US—Tuna II (Mexico) , WT/DS381/AB/R, para 356, 364.
[8]Appellate Body Report, US—Gambling, WT/DS285/AB/R.para 228-252.
[9]Appellate Body Report, United States–ImportProhibition of Certain Shrimp and, Shrimp Products, WT/DS58/AB/R, para 135, 141.
[10]Appellate Body Report, China—Publicationsand Audiovisual Products, WT/DS363/AB/R, para.310.
[11]黄志雄.网络安全规制的WTO法律问题探析:以2014年中国银行业网络安全和信息化法规为中心[J].中国软科学, 2016 (9) .
[12] 联合国统计署.CPCprov code[EB/OL].https://unstats.un.org/unsd/cr/registry/regcs.asp?Cl=9&Lg=1&Co=849, 2017-12-01.
[14] 联合国统计署.CPC Ver.1.1 code[EB/OL].https://unstats.un.org/unsd/cr/registry/regcs.asp?Cl=16&Lg=1&Co=85960, 2017-12-01.
注释:
1 在斯诺登事件前, 各国其实已经对于数据流动采取了一定的限制措施, 参见Maxwell, Winston, andChristopher Wolf, A Global Reality:Governmental Access to Data in the Cloud, white paper, Hogan Lovells.而在斯诺登事件后, 对数据流动限制措施普遍化, 主要包括制定信息跨境规则, 跨境传输需要信息主体同意, 信息需要储存在境内或者有复印件在境内, 数据出口征税等措施。
2 WTO下, GATT规范货物贸易, GATS规范服务贸易。早在1981年, 联合国跨国公司中心将“跨境数据流动”是“跨越国界对机器可读的数据进行处理、存储和读取等。其后OECD在1985年的《跨境数据流动宣言》中, 将跨境数据流动定义为“计算机化的数据或者信息在国际层面的流动”。无论是数据的处理、存储、读取还是传输在《联合国核心产品分类目录》 (CPC) 中都属于服务。在CPC临时版本中, 与数据相关的活动在“计算机以及相关服务”项下, 在CPC1.1中, 即使数据处理目录由CPC8432变为CPC85960, 但是与数据相关的活动也包含在“商业与生产服务”项下 (详细参见联合国统计署网站:https://unstats.un.org/unsd/cr/registry/regcs.asp?Cl=16&Lg=1&Co=84300) 。因此, 与数据流动有关的经济活动归于服务贸易总协定 (GATS) 。
3 印度尼西亚数据保护法全称是“Protection of Personal Data in Electronic Systems”, 对境内和离境 (off-shore) 数据进行了区分, 该法对境内数据的处理进行了规定, 但是对于离境数据的处理交由通信与信息部 (MOCI) 在将来做进一步规定。
4 在GATS文本中, 该条款其下注释3原文是"relevant international organizations"refers to internationalbodies whose membership is open to the relevant bodies of at least all Members of the WTO
5 这八项原则分别是:限制收集原则、数据质量原则、目的明确原则、限制使用原则、安全保障原则、公开原则、个人参与原则以及问责原则。
6 上诉机构认为在TBT协议中用的是"body", 而不是"organization", 并在附件1.4中对“international bodyor system”进行了定义, 而不是对“international organization”定义就意味着国际组织并不一定等同于国际机构。