[摘 要]:作为数据保护的题中应有之义,跨境数据流动法律规制既具有必要性又具有现实性。在夯实总体国家安全观、促进数字贸易发展双重目标下,规范跨境数据流动法律规制体系的核心在于协调数据安全保障与数据有序流动之间的关系。然而,通过规范检视我国现有跨境数据流动法律规制体系可知,高强度的数据流动控制规则设计与数字贸易发展需求之间并不协调,有阻碍我国数据安全理念全面落实、妨碍数据贸易进一步发展之虞。为克服现有不协调之困境,一方面,应当以维护国家数据安全为基点,在跨境数据流动法律规制体系内部重塑价值位阶;另一方面,应当将内部价值外部化,通过规制设计明确数据出境限制范围之节制性,强调规制规则外部衔接之妥当性,以提升整个跨境数据流动法律规制体系的协调性。
[关键词]:跨境数据流动;数据安全;法律规制;协调性
跨境数据流动法律规制的核心功能在于通过设定法律规范,确立数据流动与数据控制之间的互动关系。前者是数字贸易发展的基础性要求,后者则是国家维护数据秩序的应用性手段,二者的需求着重点存在很大差异,需要法律尽可能地做出平衡合理的安排。我国语境下的跨境数据流动法律规制方案,从2015年的《中华人民共和国国家安全法》中初见端倪,到2017年的《中华人民共和国网络安全法》中逐渐确立,再到2021年在《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》中最终成型,其内容亦在如何兼顾双重需求问题上反复与犹疑。但在跨境数据流动法律规制全球趋严趋紧的形势推动下,协调数据流动与数据控制的难度加大,我国的跨境数据流动法律规制亦整体向重控制倾向转变,法律体系产生很大的“撕裂性”,对数字贸易的运行产生连锁效应,进而影响到跨境数据流动法律规制整体功能的实现。鉴于此,本文拟从数据安全和数字贸易协调共生的视角,对跨境数据流动法律体系之协调性展开问题检视和分析,解决法律规则协同不畅的问题,力促在更宏观、更符合我国数据安全管理和数字贸易发展诉求的基础上,预判跨境数据流动法律体系的合理建构,以便反塑一个持续发展、更为规范、更为互联的数字贸易体系。
一、文献回顾
跨境数据流动研究萌芽于20世纪70年代末期,从关注数据流动可能带来的政治和法律争议,逐渐演变为一个全新的研究领域。主要分为三个研究方向。
第一,关于美欧模式的效果验证和比对研究。雷登伯格在总结跨境数据流动法律规制发展现状时,首次提出“美欧模式二元对立说”,将跨境数据流动规制的法律关系抽象为“个人权利至上”与“市场利益至上”两种对立模式。沿着“二元对立说”,国内学者开始从美欧不同角度进行对比,运用比较经验整合,勾勒出跨境数据流动全球发展路线。程卫东从国家主权的角度出发,分析引介英国和德国对跨境数据流动监管的立法及国际合作现状。姚维保、韦景竹则介绍欧盟个人数据保护法的跨国流动国际协调机制以及执行效率。这样的分类背景下,有关跨境数据流动全球概况研究大多围绕美欧的立法模式、规则设计以及执行机制展开。此外,作为美欧二元模式的扩展,有学者将研究的触角延伸至其他国家,如日本和俄罗斯,对更广泛范围内的数据流动限制性政策进行梳理和分析。
第二,数据主权与跨境数据流动关联性研究。在数据主权概念提出后,跨境数据流动法律规制研究突破原有的国际法和民法研究范式,从新的视角研究跨境数据流动法律规制问题。吴沈括认为数据主权与数据跨境传输问题是当下重大现实问题,建议我国的跨境数据流动法律规制建设应以数据主权为核心逻辑。也有学者从数据主权的角度出发,主张域外数据执法管辖权进行单方扩张,虽然会受到一定阻力的影响,但却是维护我国数据主权的题中应有之义。
第三,求证中国治理模式的合理性和自洽性的研究。这是所有研究的精髓,无论是借助其他国家的经验总结、效果评价,抑或是运用新的研究方式,最终目的都在于借助多种路径的帮衬,对我国的跨境数据流动治理体系建设产生一定的促进作用。石静霞认为,跨境数据流动不仅是互联网技术公司的生成要素,也是国际存在企业的经营需要,建议国内采取分级分类分情况分工具手段解决规制问题,发挥跨境数据流动应有的积极作用。弓永钦等则从实际效率的角度提出“跨境隐私保护规则”体制(CBPR)更具有优势和效率,中国应当加入CBPR的结论。也有学者认为美国主导的《美墨加协定》、美国与欧盟达成的《欧盟-美国隐私盾协议》《通用数据保护条例》等都为中国探索与他国建立数据跨境共享制度提供模版示范。
从现有文献来看,他们多是立足于规范文本分析,力图形成一套圆融自洽的跨境数据流动法律体系。笔者并不反对这样研究的价值所在,只不过抛开数字贸易发展需求,单纯讨论如何在“控制”上作程度加强,其结果难免与经济发展需求产生抵牾与冲突,既不能完全揭示跨境数据流动法律规制所引发的理论与制度上的争议,也无法观照到跨境数据流动法律规制对数字贸易发展施加的连锁效应。
二、跨境数据流动法律体系之协调性应然选择
无论是数据控制抑或是数据流动,二者均具有正当性基础。鉴于此,实现跨境数据流动法律规制协调性的重点在于,平衡基于数据保护需要产生的流动控制与基于数字贸易需要产生的自由流动之间的矛盾,既要保证数字贸易市场的活跃度,又要在数据资源上保有足够的控制力。
(一)跨境数据流动控制之正当性
过去十年中,全球针对数据跨境流动进行限制的国家数量翻了一番。究其原因,主要源于主权国家作为规制主体,具有集体性的权力和职责,希望通过控制数据流动,实现强力维护国家数据秩序的集体愿景。
第一,基于维护国家数据主权之需求。数据主权的基本表征在于数据资源应受到数据存储地的法律管辖。数据如何存储以及在何地存储原本属于数据控制者和数据使用者的经营自主权范畴。然而,少数处于绝对优势地位的数据“食利者”崛起,利用数据控制者和数据使用者的趋利性,让数据自动向其汇聚,导致数据资源存储和分配的过度集中,特别是向美国管辖范围内的少数数据巨头集中,对数据流出国产生负面影响,削弱国家的数据管辖能力。2019年,全球超级数据中心达到504个,其中接近40%的超级数据中心位于美国。紧随其后的中国、日本、英国、德国和澳大利亚总共才占有32%的比例。处于控制核心节点的美国,通过积聚他国数据,固化已有的技术优势,深化他国对其经济依附和技术依赖,给他国数据主权带来威胁,对国家数据管辖能力形成挑战。基于此,许多国家在数据流动过程中确立“边疆”以控制国家核心数据的外流,维护国家对数据的管辖能力。
第二,基于保护公民数据安全之需求。公民数据权作为主观权利,其内涵包含个人数据自由、数据自我决定,强调人格尊重和行动自主。绝大多数国家对跨境数据流动进行约束的初衷,皆是保障公民数据权,实现公民的数据自由。例如,欧盟倡导的约束性规制模式就与其标定个人数据的权利属性、优先考虑保护个人数据权的立场有着密切关联。诚然,对数据流动自主权进行规制着实阻碍数据控制者的经营自主权,不利于实现数字贸易的发展。然而,之所以约束数据控制者的自主权,实则是在数据空间失去传统公权力的保护后,公民的数据权利难以得到有效保障。基于此,为保护公民数据权利之需求,通过跨境数据流动法律规制,降低公民个人数据被不当采集的风险,降低其数据主体身份被识别的风险,降低本国公民数据权倾向数据控制者的风险。
第三,基于促进数字经济发展之需求。数据已经成为数字贸易的要素资源,市场主体通过开发海量异构的数据资源取得经济收益。然而,因为数字产业竞争力差距的存在,数字贸易面临数据控制地理上的分化问题,而跨境数据流动控制被认为有助于解决分化,带动国家数字经济的发展。以俄罗斯为例,在2018年施行以数据本地化为主要特征的跨境数据流动法律规制政策后,俄罗斯的数字贸易发展得到极大推动。一方面,俄罗斯信息化基础条件不断完善。基础设施建设程度全球排名从2018年的第56位,上升至2019年的第48位。另一方面,数字技术市场规模加速扩大,以每年30%~40%的速度增长。受俄罗斯等国成功实践所影响,更多国家相信强有力的数据控制有助于本国数字经济的发展,避免不平等的数据控制关系,纠正技术差距造成的产业发展不平衡、贸易发展不均衡的问题。
(二)跨境数据自由流动之正当性
数据要素的效用发挥,不仅需要静态的海量,更需要重视动态的效能,其流动方向和流动程度极大地影响着全球数字贸易的格局和差序。无论是基于推动企业全球发展、提高生产要素配置或驱动国际贸易快速增长的需要,都赋予跨境数据有序流动的正当性。
第一,基于推动企业全球发展之需求。与传统贸易相同,数字贸易通过全球价值链实现高效分工。全球价值链中供需双方并不直接进行交易磋商,而是委托给各自的代理人决策。然而,由于数据的嵌入,数字贸易建构出一种主体多元的“网状”贸易流通体系,使得供求双方摆脱代理人、直接交易成为可能,大幅压缩了全球价值链的中间环节。一方面,数字贸易生产端参与者获取消费端反馈的成本大幅降低。另一方面,数字贸易消费端参与者针对设计、研发、制造和管理的诸多诉求能够获得生产端的快速响应和精准反馈。消费端和生产端的直接互动,大大降低企业的交易门槛,提高交易效率,价值链收益分配向前后两端迁移,让更多的企业直接融入纵横交错的价值网络,极大地推动全球商业拓展。
第二,基于提高生产要素配置效率之需求。贸易的本质在于匹配供需,无论是传统贸易还是数字贸易,目的都在于通过交换,在全球范围内有效配置生产要素,满足供需双方的需求。不过,数字贸易的供需匹配过程大不相同,具有虚拟化的特点:在虚拟化的互联网平台上达成、使用虚拟化的电子支付方式、采取虚拟化的递送交付方式,不受时空条件的约束。借助跨境数据流动,可供匹配的对象扩展至全球,支撑起几乎所有生产要素的全球化活动,产生更大的经济价值。2015年全球数字贸易价值已超过货物贸易额,2020年全球数字贸易零售交易额占全球零售贸易总额的16.13%,到2030年数字技术的使用有望使得全球贸易增加34%。
第三,基于驱动国际贸易快速增长之需求。与传统贸易一样,驱动经济增长依然是数字贸易的目的。海量异构的数据以产能输出的形式实时流出,经过不断地消化、处理,在产业上下游、协作主体之间以最低的成本流动和交换,产生增值服务,生成更多新的数据,形成实时数据回流,淡化要素的稀缺性和属地性,增加流入国的要素供给,实现更大规模的多维度联通,最终转化为数字贸易发展能量,并激发其他生产要素的潜力,大幅提高经济效率与经济效益。伴随数据流动的加快,在2015—2024年期间,数据流最低价值估计为29.7万亿美元。
上述分析显示“跨境数据流动控制需求”和“跨境数据自由流动需求”均具有正当性基础,然而二者的法律供给需求却南辕北辙:“跨境数据流动控制需求”预期高强度的法律介入以约束数据流动;“跨境数据自由流动需求”则预期低强度的法律介入以降低数字贸易发展的负荷。跨境数据流动法律规制体系则需要将二者融合在一起,不因数据控制或数据流动的单方面吁求而减损相对方的法律供应量,确保功能效益最大化。因此,以“数据控制-数据流动”的互动消长关系作为跨境数据流动法律规制缘起的原动力和发展的支撑力,是具有协调性的跨境数据流动法律规制体系的应然选择。
三、跨境数据流动法律规制之协调性实然检视
我国近年来高度重视数据出境问题。以2017年颁布实施《网络安全法》为肇始,立法者着力解决法律规制基础性法律的量度累积,形成以《数据安全法》《个人信息保护法》《网络安全法》为基本框架,以个人信息出境规范、重要数据出境规范、关键性信息基础设施规范等多个门类的法律规范为主干,以行政法规、部门规章、地方性法规等为补充的跨境数据流动“中国规制方案”。然而,根据协调性检视,我国现有跨境数据流动法律规制体系存在内外不协调的问题。
(一)我国跨境数据流动法律规制之内部体系的不协调问题
跨境数据流动法律规制的内在体系体现为“数据控制-数据流动”的价值位阶。各国的法律设计者围绕这一对矛盾,基于本国可行条件和问题的紧迫性,安排不同的价值优先顺序,通过它们之间的消长张力和互相钳制,彰显出二者的紧密联系此消彼长,衍生出不同的法律功能预设、法律结构安排、法律实施机制选择。
聚焦我国跨境数据流动法律规制内部体系,数据流动控制与数据自由流动之间并没有呈现出应有的协调互动关系,亦未对数据保护和数据流动的时空优先顺序作出安排,而是对数据流动价值呈单向性消减,作出淘汰式选择。从我国跨境数据流动法律规制的基本取向来看,“数据控制-数据流动”的消长协调的确是价值判断的主轴。无论是《个人信息保护法》的草案或是正式文本,均在有关立法目的之规定中将“保护权益”和“促进使用”两个方面纳入其中,并提供阶梯式的数据出境机制以供选择。但是,2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》,2019年的《个人信息出境安全评估办法(征求意见稿)》等配套法规,几乎全部在强调数据流动管理,注重从传统的行政管理角度限制数据流动,导致数据出境机制设计形同虚设,规制规则几乎全部压在数据出境链条前端,规定“禁出”的控制型规制规则成为目前我国主要的、甚至是唯一的发挥功能的手段。如果从数据流动秩序的初始形成与继后发展、数据主体信心的建立与维持、数据危机与系统风险的应对等方面来说,这种高强度的绝对保护是必要的。然而,它将跨境数据流动法律规制窄化为实现数据控制权最大化,甚至造成跨境数据流动法律规制等同数据禁止出境的印象,极大地压制企业的生存空间,影响数字贸易的有效运行和应有功能。笔者以为,应对跨境数据流动的挑战,不能简单地通过关闭数据流动通道来进行,这违反生产力发展的客观规律和趋势,并会因噎废食地失去数字贸易发展带来的巨大收益。
(二)我国跨境数据流动法律规制之外部体系的不协调问题
跨境数据流动法律规制的外在体系体现为系统性和体系性法律规则体系。具有协调性的外在构造,是以法律规则的形式对内在价值体系所作的阐明,反映出对数据控制和数据流动互动关系的不同预期和多元定位。它涉及对跨境数据流动的约束范围划界和规则衔接设计,将一些共通性的规定通过抽象和集中,以一套互相耦合的规则划定跨境数据流动的外部边界,实现数据控制者或处理者因具体实践而异的参照适用,实现“找法”角度集约化。具体体现在跨境数据流动的外在行为规则、程序性规则和具有特定目的的专门指令的协调,否则,法律之间相互重复、矛盾、缺乏一致性等问题就会凸显出来。
纵观我国跨境数据流动法律规制体系的外部构造,零星的立法内容大多散见于网络安全行政规范,形式上游离于数据法之外,更接近行政法体系。由于具有行政管理主义倾向,数据流动的控制范围遭遇外延扩张。按照基本框架的原本设计,数据出境的审查基准被控制在一定范围内,以有限度的数据本地化兼顾数据流动需求。无论是《国家安全法》第二十五条,抑或是《网络安全法》第三十七条均要求仅对“关键基础设施和重要领域信息系统”的“个人信息和重要数据”进行出境审查。同样,《个人信息保护法》第四十条亦规定“处理个人信息达到国家网信部门规定数量”才进行出境审查。然而,在具体的跨境数据流动法律规制方案中,数据出境审查内容远远超过上位法设定好的限度范围,而扩展至所有数据,从控制纵深性上看接近于全面审查。例如,2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条规定:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。”2019年《个人信息出境安全评估办法(征求意见稿)》第二条则规定:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照本办法进行安全评估。”两部意见稿的规定实际上确立了相当宽泛的数据境内存储要求和出境安全评估要求,数据出境控制明显泛化,“重要数据和超量个人信息出境评估”被“全覆盖数据出境评估”所替代,偏离有效协调数据流动与数据控制的目标。
此外,不协调性在规则衔接上也体现得尤为突出。在一些持有重要数据或关键信息基础设施的领域,主管部门通过大量规制规则供给来实现数据流动的安全与稳定,最后导致规则过剩,甚至规则冲突。以金融信息和金融数据保护为例,根据文件检索和分析可知,有16部规范性文件涉及数据本地化要求;有8部规范性文件涉及数据出境要求;有14部规范性文件涉及数据保密要求。规制部门包括中国人民银行、中国银保监会、中国证监会以及国家网信办等,不同的规则或指令冲突问题大量存在。例如,针对金融领域“数据本地化”,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中的数据本地化客体仅为“个人金融信息”,但是《电子银行业务管理办法》《中国银行业监督管理委员会中资商业银行行政许可事项实施办法》《非银行支付机构网络支付业务管理办法》等文件则将数据本地化范围扩展至运营系统和业务处理系统信息。笔者以为,规制规则衔接不协调的根本原因在于规则的供给不是由数据流动链条的需要决定,而是由规制机构根据自己对数据流动的判断进行输出。主管部门对数据安全的倾斜性重视、规制机构根据业务进行的条块分割、数据监管部门的职能杂糅等因素都对供给产生影响。对企业而言,规则衔接不协调增加交易成本,不符合效率原则,会给跨境数据流动带来诸如规制资源供非所求和合规成本加大等危害,最终影响跨境数据流动效能的释放。
以上描述的问题,究其根本,依然是由于规制目的的多重复杂性、不同目的的迥然差异性导致的。立法者在规制体系内外构建过程中,左右顾及不全,使得以协调为目的的规制体系最终呈现失衡的状态。当然,笔者并非反对加强数据流动控制以维护国家数据安全,而是说需要一种协调的智慧,对二者的关系进行恰当的安排,让体系内外都能够与数据保护需求相适应,能够与数字贸易的发展效率协调,这不仅有利于国家数据控制的意图,也不易造成数字贸易发展负荷过载的困境。否则,会受到经济环境的制约和排斥,有可能造成规制实质性失效的局面,打乱规制体系的正常节奏。
四、跨境数据流动法律规制之协调性重塑
鉴于此,我们有必要进一步从协调性的视角,审视数据控制与数据流动之间的关系,形成一套基准性的内在价值位阶,并重塑价值位阶的外在形式,以追寻一种理性的规制模式。
(一)跨境数据流动法律规制之内部价值位阶重塑
虽然跨境数据流动控制与跨境数据流自由流动有着不同的价值倾向,但这并不意味着不能将二者协调统一地融合在一起,关键在于如何恰当地形成一套协调自洽的位阶体系,让数据控制和数据流动在价值扩张和价值压缩的动态平衡博弈中不断交叉渗透,实现对数据流出的管控以维护国家数据秩序,同时保障投资者对中国数字贸易的信赖。纵观跨境数据流动法律规制的全球立法,各国无疑都是在数据安全需求与数字贸易需求之间浮动,最终因价值位阶不同,形成多种解决方案及模式之争。
由于我国从2014年以来一直是世界最大的跨境数据流动枢纽,就现实风险来看,在未来相当长一段时间,对跨境数据流动的控制约束要求仍然大于数据流动的激励需求。考虑到现实因素,对于我国跨境数据流动法律规制的价值位阶设计,应当以维护国家数据安全为价值基点,赋予其价值评价的功能,引导跨境数据流动法律规制发展方向。同时,内部价值体系应当重申数据流动的重要性,虽然无法上升到价值层面,但是应该成为规制的强度边界。这意味着规制的边界在于其控制力和影响力对本国以及全球数字贸易发展产生的影响和负担。总的来说,数据保护需求应以数字贸易发展需求为调节器,但是当二者发生冲突时,应当以维护国家数据安全为价值追求。
(二)跨境数据流动法律规制体系之外部范围边界重塑
跨境数据流动法律规制的抽象价值位阶方案,需要最终外化为跨境数据流动法律规制的具体内容。实现跨境数据流动法律规制的内在要求,需要将数据流动控制限定在必要的、最小限度内进行,避免规制强度失衡,这应是贯穿外部体系建构的基本理念,也是区分经济事务与法律事务的“基本纲领”。跨境数据流动法律体系作为达成建构理念之工具,至少应该做到两点:一是数据出境限制范围应具有节制性;二是规制规则衔接应具有妥当性。
第一,数据出境限制范围应具有节制性。如前所述,数据流动价值存在一定程度的虚置,突出的问题之一在于多层次的数据出境渠道化为空洞模糊的语词。多个版本的个人信息出境管理办法草案都出现数据出境范围的强势扩张,将原本有限度的数据流动控制原则扩展为全覆盖、无差别的数据出境审查制度,不仅与上位法衔接错位,也没能澄清“禁”与“流”的边界。对此,笔者认为,跨境数据流动的限制范围应在价值位阶的要求下具体考量范围是否合目的,即需要确定数据出境控制对数据控制者的约束程度以及所获的规制利益大小,判断其对数字贸易造成的干扰与预期产出的效应是否适应。具有节制性的数据出境限制范围并不是单纯地对“禁出”量进行增减的问题,也应当保有“流出”的通道。应在区别“非敏感/重要数据”“敏感/重要数据”和“关键核心数据”的基础上,仅出于保护“敏感/重要数据”及以上目的而对跨境数据流动进行限制,避免以维护数据安全为名过度限制数据的正常合理流动。让重要数据留在国内,让相对不重要的数据可以实现自由流动,尽量释放数据自由流动的空间。
第二,规制规则外部衔接应具有妥当性。在存在多重规制供给主体的情况下,还需要考量规制规则衔接的问题,避免规则供给过载及规则冲突。跨境数据流动法律规制的协调建构,在很大程度上依赖于法律、制度和技术环境“零件”协调对接的努力,以相互衔接的多层次法律规制规则巩固数据安全控制能力,同时降低数字贸易发展负荷。规则制订者应基于其认定的数据流动控制必要性,并结合数据合规成本、控制过当风险、规制收益等数字贸易市场竞争要素进行细致测算评价后,设定实现其目的之统一标准,提高规则相互之间的适配性,满足妥当性的要求。在市场环境下,规制规则供给应充分尊重数据控制者和数据主体之间的意思自治,尊重市场基于商业判断的自治性规范,只有在维护国家数据主权和公共利益等市场机制不能有效发挥选择作用时,才行使行政权力进行强制性的规则供给,不能因为过度强调数据安全的重要性而设置大量的、不必要的规则制度,加深目的实现困难或影响实现效果。
五、结语
跨境数据流动法律规制的“中国方案”侧重于满足维护国家数据主权、保护公民数据权利和保障数据资源控制力三重需求,折射出我国对跨境数据流动控制趋严趋紧的方向。然而,在构建跨境数据流动法律规制体系时,还需慎重对待跨境数据自由流动需求。它是驱动数字贸易发展的“助燃剂”,通过释放数据效能,便利全球要素资源的合理使用,对贸易价值创造和经济发展有广泛影响。基于此,跨境数据流动法律规制体系应建基于协调性基础上,有效地将跨境数据自由流动需求和跨境数据流动控制需求融合在一起。由此出发,我国跨境数据流动法律规制体系在价值位阶上,要充分发挥总体国家安全观对整个体系设计的统摄作用,以数据保护为基点,以数字贸易发展负荷为边界,预设出二者之间体系化的关系,以实现对规制底色和方向的控制。在外部构造上,通过将价值位阶外化于具体规则配置之中,以数据出境限制范围的节制性和规制规则供给的妥当性为基本要求,通过正向激励和反向约束达成法律规制目标的功效,真正发挥跨境数据流动法律规制维护国家安全利益,推动数字贸易发展的潜能效用。
