邮发代号 2-786
征订热线:010-82341063
数据跨境流动的复杂性为全球数据规制的多样化提供了充分依据,其中,国际法和国内法等制度能够为数据跨境流动提供法律确定性。目前,国际社会对数据跨境流动进行规制的法律方式可划分为以下四类:国内法等单边机制、数据流动的诸边协定、国际贸易协定中的数据流动条款、数据标准和技术驱动的国际性倡议。单边机制旨在规范特定类型数据在受限条件下向域外转移的情形,主要依托国内法规实现,如《美国隐私法案》《韩国个人信息保护法》等,其规则设计包括事前约束和事后问责两类。
事前约束是在数据流动尚未发生前就确保转移数据得到保障的法律手段,要求流动数据在目的地管辖范围内获得与数据输出地相一致的保护水平,具体方式包括标准合同条款和有约束力的企业规则等内容,欧盟、韩国等国际组织、国家和地区的立法中均设定了上述规则。例如,《欧盟通用数据条例》第46条规定,允许个人数据在满足特定条件下向未被欧盟认定为具有“足够的数据保护水平”的国家、地区或国际组织转移:(1)基于政府等公共机构之间具有约束力和可执行力的协议进行跨境转移;(2)企业制定有约束力的规则,且该规则获得了数据保护机关的批准;(3)数据出口方与数据进口方签署标准合同条款,进口方通过合同义务对流动的个人数据实行与欧盟同等水平的保护;(4)基于行业协会或经济组织所制定且经过批准的行为守则进行转移;(5)基于经批准的认证机制进行转移。事后问责允许数据在无额外法律限制的情况下跨境流动,但若出现域外误用或滥用情况,则需监管国的数据控制者承担法律责任。其适用范围囊括所有缺少具体跨境流动国内法规则的数据类型,通常会要求数据控制者内部建立风控和问责机制,并对执法机构设置额外的监管职责,基本运行模式是:“强化‘告知与同意’框架、注重数据控制者自律、强调事后严格责任。”实践中,一方面通过立法赋予数据流动国内法的域外效力;另一方面要求数据控制者建立数据安全评估机制,如《澳大利亚隐私法》第6条规定,数据流动实体在采取措施确保域外接收者不违反澳大利亚隐私原则时,允许其数据进行跨境流动,否则将承担侵权责任。诸边协定是多个国家或地区专门就数据跨境流动的规则和标准所达成的国际协定,涵盖数据转移、保护、安全、使用权限和商业流通等领域,旨在平衡数据经济价值与隐私保护、安全保障等需求。典型的诸边协定包括经济合作与发展组织的《隐私保护与个人数据跨境流动准则》、亚太经济合作组织的《跨境隐私规则体系》和欧洲委员会的《关于个人数据自动处理过程中的个人保护公约》等。诸边协定有以下两种表现形式:
一是具有约束力的诸边协定,如亚太经济合作组织的《跨境隐私规则体系》,是政府支持的数据隐私认证框架,市场主体可自愿加入,以此证实符合隐私保护原则与执行机制,一旦通过跨境隐私规则体系认证将对所有的体系成员承担相应法律责任,从而最终实现跨境隐私规则的“硬法化”。二是灵活的合作框架和指导原则等非强制性的诸边协定,其主要通过国际软法方式推动各方采纳数据保护原则,以促进隐私保护制度间的互操作性。如经济合作与发展组织《隐私保护与个人数据跨境流动准则》提出了收集限制、数据品质等一系列全球性的数据流动指导原则,在保障隐私权益的同时防止对数据流动的过度限制。《东盟数字数据治理框架》则是区域性非强制诸边协定的例证,它涵盖了包括个人数据在内的各类数据流动问题,明确提出数据跨境流动等四项东盟数据治理战略重点以及东盟数据跨境流动机制、东盟数据分类框架等四大倡议,虽然其作为规划指南和框架协议不具有强制性,但也为各成员在数据治理领域制定监管政策提供了根本指引。诸边协定中的共同程序和基本原则常被各成员内化为国内立法,从而减少了全球数据跨境流动中隐私保护水平的不确定性。但逆向效应同样存在,即不同理念国家会基于对数据自由和数据主权的规制偏好选择不同协定,并依赖甚至强化后续的政策偏向,最终将抬高甚至固化不同协定间的规则壁垒。截至2024年10月,全球已有超过340项国际、区域、双边贸易协定包含数据跨境流动条款,其在内容和约束力上差异显著。新型数字贸易协定如《数字经济伙伴关系协定》《全面与进步跨太平洋伙伴关系协定》等通过专章形式明确提出了整套具有法律约束力的数据跨境流动原则及其执行机制,而传统型贸易协定如《韩国—秘鲁自由贸易协定》等则未设定强制性义务,允许数据流动规则的多样性和本地化。此外,世界贸易组织电子商务联合声明倡议等有关数据跨境流动的全球性讨论亦在同步开展。
尽管贸易协定在数据覆盖范围上普遍较为宽泛,但在流动规制的强制性方面存在显著差异。第一类协定如《韩国—秘鲁自由贸易协定》《中美洲—墨西哥自由贸易协定》。其引入数据流动的非约束性指导原则,包括但不限于“各成员申明努力保持数据跨境流动的重要性及广泛性”等条款,但缺乏具体的执行机制。第二类协定以《全面与进步跨太平洋伙伴关系协定》和《美墨加协定》为代表且数量持续增加。这类协定明确规定了有法律约束力的数据流动条款,范围上涵盖所有类型的数据,并配备专门的执行机制。第三类协定如《欧盟—日本经济伙伴关系协定》。虽然该类协定对数据跨境流动规则进行了文本留白,但其要求协定成员在未来修订中进行重新评估,且普遍支持数据自由流动的政策方向。随着数据跨境流动在规模和种类上的扩大,数据流动的安全性和可靠性等“信任”议题日益受到重视,如《欧盟—新加坡数字伙伴关系协定》就设置了“具有信任关系的数据自由流动”的条款。基于贸易协定对“促进”和“限制”数据跨境流动的双重目的,使得具有约束力的协定条款会要求或鼓励缔约方制定个人信息保护的国内法框架,并参照相应国际规则,因此在贸易协定中普遍存在“具有约束力的数据流动条款”与“合法的公共政策目标和隐私及消费者保护条款的例外情况”并存的现象,数据跨境流动条款与个人信息数据保护议题相互绑定的趋势愈发明显。未来,贸易协定中涉及数据跨境流动的谈判进程,将可能依赖于个人数据保护标准和各方共识水平方能得以推进,这也将成为国际社会数据规制乃至制度竞争的重点领域。在数据跨境流动的国际治理中,国际数据标准和技术驱动的国际性倡议是促进数据获取的关键工具,旨在实现数据的有效访问和安全传输,包括国际标准化组织等制定的数据流动标准及隐私增强技术等国际性技术倡议。
在国际标准领域,国际标准化组织、国际电信联盟等标准化组织已建立涉及数据管理、数据治理等一系列标准化工作机制,并被沿用在数据要素跨境流动领域。例如,ISO/IEC 27701∶2019标准制定了建立、实施、维护和改进隐私信息管理系统的规则,其通过管理个人数据的应用框架来实现隐私控制等功能集成,促使市场主体遵守欧盟《通用数据条例》《美国加州消费者隐私法》等域内法律。在跨境收集和处理个人身份信息方面,该标准要求市场主体明确记录数据转移的国家、地区和国际组织,拒绝无法律约束力的披露要求,并及时通知客户合法的第三方披露要求。隐私增强技术是保护个人数据机密性的数字技术集合,包括数据混淆、加密数据处理、联邦和分布式分析以及数据问责四种类型。因其能提高数据效用、减少收集处理需求、增强流通信任、提升安全和隐私保护,正逐渐被政策制定者和执法机构纳入法律框架,相关国际准则和公报亦有涉及,例如经济合作与发展组织《隐私保护与个人数据跨境流动准则》和七国集团数据保护和隐私机构2022年圆桌会议公报《通过信任和知识共享促进数据自由流动——关于国际数据空间的前景》均有相关技术性倡议。在技术层面,如同态加密技术可加密数据云端操作,并确保解密结果与明文操作一致。该技术能在非信任环境分析数据并保护隐私,但由于同态加密应用程序的普及,如何依法认定同态加密模型中数据的法律性质及其权属已成为数据规制中需要解决的现实问题。再如数据沙盒通过隔离虚拟环境实现数据访问分析,分析结果只在安全或受信环境下才会输出,从而实现特定类型数据的跨境访问。数据标准和隐私增强技术为数据跨境流动提供了规则和技术框架,对提高全球数据流动的信任度和构建国际数据治理体系具有重要意义。随着数据跨境流动规模的扩大,这些技术工具和国际倡议在保护个人隐私和数据安全领域的作用将日益凸显,并成为国际社会信息保护和数据流动新范式的技术基础。【本文系中共浙江省委政法委员会浙江省法学会2024年度法学研究课题“商事司法服务保障浙江营商环境高质量发展研究”(编号:2024NC04)的阶段性成果】(来源:人民法院报)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664231353&idx=4&sn=99fb473ec1650cc11f9b6161c18ea8a3&chksm=8b59f340bc2e7a56ea6d1e7cf7bcae7e637f2eaccb293ea9298469ac87391e6ed4200e4b4958&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh