*本文首发于期刊《深圳法治评论》2023年第3期(总第15期)
2023年5月13日,爱尔兰数据保护委员会(Data Protection Commission,以下简称DPC)作出决定,要求美国互联网巨头Meta限期停止跨境数据传输与处理活动,并对其开出12亿欧元的巨额罚单。2023年7月10日,欧盟委员会通过《欧盟—美国数据隐私框架》(EU-US Data Privacy Framework,以下简称《数据隐私框架》)充分性决定。这两起事件反映出当前欧盟与美国争夺数据主权的斗争格局与发展趋势,同时也将对存在跨境数据流动需求的跨国公司产生重大影响。
一、《数据隐私框架》出台的政策基础及影响
《数据隐私框架》充分性决定的通过标志着欧美跨境数据流动常态化机制的恢复,是关系跨大西洋数字经济产业合作的重大事件,受到各利益相关方的高度重视。
(一)欧美数据跨境传输的法规与政策基础
根据欧盟颁布的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)第五章的规定,自欧盟境内向第三国/ 地区或国际组织传输个人数据有三种合法机制:一是欧盟委员会的充分性决定(Adequacy Decision,GDPR第45条);二是履行适当的保障措施(GDPR第46条);三是义务克减情形(GDPR第49条)。《数据隐私框架》正是通过其中的“充分性决定”机制产生效力的。充分性决定可以被视为一项针对第三国或国际组织的数据跨境传输“白名单”,由欧盟委员会对第三国或国际组织是否为个人数据提供了“充分保护”(adequate level of protection)进行判断并作出决定。通过后的充分性决定能够为数据跨境传输提供常态化保障,从欧盟境内向被决定确认的第三国进行数据跨境传输无需逐次获取具体授权。
考虑到美国与欧盟成员国之间一直存在频繁的数据传输活动,而且此类活动通常涉及大量商业实体的利益,因此美国政府一直致力于通过充分性决定的方式在政府层面与欧盟建立稳定的数据传输框架。
(二)《数据隐私框架》下的个人权利保护机制
《数据隐私框架》包含7项个人数据保护基本原则、16项补充原则,以及附件一中对救济与执行的规定。与此同时,为满足在《数据隐私框架》中的承诺,美国拜登政府于2022年10月发布第14086号行政命令,对情报活动提出“国家安全目标”与“优先情报事项”两项要求,由此对情报活动的范围和方式施加比例原则和必要性的限制,并设立公民自由保护官与数据保护审查法庭的双层救济与审查机制。即便如此,由于美国联邦情报机构的执法权力过度延伸,以及行政命令的不稳定性(可能被后续行政命令终止),欧盟方面仍有观点认为,《数据隐私框架》未能提供充分保护。
此外,《数据隐私框架》虽然由欧盟委员会通过,但并不构成严格意义上的欧盟法律,因为其内容由充分性决定进行规定,只是用于实施作为欧盟法律的GDPR的措施。因此,《数据隐私框架》未来仍有可能面对欧盟委员会与成员国数据保护机构的定期审查,以及潜在的欧盟法院诉讼。
二、欧美数据跨境流动受阻的原因:主权冲突与争夺
欧盟与美国在数据跨境流动机制上的拉锯战,不仅体现出双方在个人权利保护与政府执法规制上的价值差异,而且暴露出双方在数据主权问题上所秉持的不同原则,以及在数据跨境流动治理过程中频频发生且不断升级的数据主权争夺。
(一)欧盟的数据主权原则与政策
欧盟的数据主权原则较为集中地体现在其数据保护法规中,它采取的是“数据跨境限制+保护性域外管辖”的模式。
在数据跨境规则与本地化要求方面,GDPR虽然没有直接的数据本地化要求,但对数据跨境传输施加了较为严格的限制。实际上,欧盟借助对充分性决定机制的控制,以内部市场为杠杆,以充分性决定机制为支点,通过撬动立法的方式强化内部数据保护规则与价值输出,逐步将GDPR等欧盟法规打造成为全球范围内的数据保护标准范式。
在与数据相关的管辖权规则方面,GDPR第3条提供了保护性的域外管辖条款。GDPR第3条以个人数据保护为核心,确立“经营场所”和“处理目的”两个平行的判断标准。在“经营场所”标准下,无论数据处理主体的行为是否发生在欧盟境内,都将受到GDPR 的管辖;在“处理目的”标准下,只要相关主体的行为涉及“向欧盟数据主体提供商品或服务”或“对欧盟数据主体在欧盟境内的活动进行监控”,就会受到GDPR的管辖。
(二)美国的数据主权原则与政策
美国在联邦层面缺少统一的数据保护法规,相关的政策散见于联邦立法中。但总体而言,美国在数据主权方面采取的是“数据自由流动+扩张性域外管辖”的模式。
在数据跨境规则与本地化要求方面,美国在联邦层面一贯采取数据跨境自由流动的态度,联邦立法至今未见对数据跨境传输的一般性限制,也没有本地化要求的一般性规定。与此同时,美国通过亚太经合组织跨境隐私规则认证体系(Cross-Border Privacy Rules)推动加入这一体系的成员经济体之间数据自由流动。由于通过认证的公司绝大多数为美国公司,因此这一体系实际上为美国通过跨国公司获取境外用户数据提供了便利。
在与数据相关的管辖权规则方面,美国于2018年通过《澄清域外合法使用数据法案》(Clarifying Overseas Use of Data Act),要求电子通信服务与远程计算服务商,根据美国联邦执法部门的要求披露其拥有、保管或控制的存储在境外的数据。该法与《涉外情报监控法案》(Foreign Intelligence Surveillance Act)一脉相承,从程序上降低了美国联邦执法机关获取境外数据的难度。与此同时,借助美国互联网公司的全球性业务布局,美国实质上将网络与数据主权扩展到世界各个角落,使得美国联邦执法机关可以在一定程度上忽略国界的限制,在境外数据主体不知情的情况下获取相关数据。
(三)实践中的数据主权争夺
数据主权原则及政策规则相对抽象,但在其指导下开展的监管实践非常具体,涉及的冲突在相关文件中得到了清晰的展现。
以Meta受处罚为例,DPC 在决定中通过援引“Schrems II案”判决的方式,屡次提及《涉外情报监控法案》第702条,并确认美国并未向遭受搜查的欧盟数据主体提供救济措施。这一观点直指美国的扩张性数据管辖权政策,它指出,在该政策下欧盟数据主体缺乏救济措施,因此美国法律无法提充分保护。通过这种方式,欧盟实际上将美国的扩张性管辖权规则作为欧盟有针对性地限制跨境数据传输的理由,并通过限制数据跨境传输的方式对抗美国的扩张性管辖权政策。从美国政府在14086号行政命令中做出的相关让步可以看出,欧盟的这一策略的确行之有效。
此外,欧盟通过《数字服务法案》(Digital Services Act)与《数字市场法案》(Digital Market Act)对在线平台施加义务,并对“守门人”平台企业施加额外的升格限制,防止对中小型企业与消费者的合法权益造成侵害。由于美国企业在互联网市场中的优势,加之这些企业作为美国联邦执法机关获取境外个人数据的渠道,欧盟的上述法案实质上是通过限制美国企业在欧盟境内业务扩张的方式,进而限制美国扩张性数据管辖政策的实施。
三、对我国跨境数据治理的启示及粤港澳大湾区数据跨境传输政策的建议
党的二十大报告强调要强化网络、数据安全保障体系建设,分析欧美数据主权之争能够为我国加强网络安全、维护数据主权与建设网络强国提供重要启示。
(一)对我国跨境数据治理的启示
1. 网络空间主权与数据主权
网络空间主权是数据主权的基石,数据是网络空间的内容载体与组成部分,只谈数据主权而不论网络空间主权会催生网络空间霸权主义,进而纵容具备网络执法能力优势与跨国公司市场优势的国家跨越网络空间的边界获取数据,侵害他国国民的个人权利。因此,我国应该积极推动网络空间主权国际规则的确立与丰富,并且在与网络空间主权基本政策协调一致的基础上,积极发展数据主权。
2. 数据跨境流动管理与域外管辖
在数据主权的国家实践中,跨境数据流动的管理与数据处理活动的域外管辖具备互补性。跨境数据流动的管理能力决定了国家对数据主权范围内的数据的控制能力,数据处理活动的域外管辖能力决定了国家数据主权能够实际覆盖的范围。我国在关注数据跨境管理水平提升的同时,也应注重数据处理活动域外管辖具体规则的制定与落地实施,将主权可控范围内的“数据蛋糕”做大。
3. 推广中国模式的国家实践
一国在数据保护国际标准的制定中是否占据主导权,可体现出国内数据法规的成熟度,以及在全球数字经济中的话语权。数据保护国际标准的确立是一个动态的过程,我国应不断提升国内市场的竞争力与数字经济活力,以此为杠杆,为跨国企业境内数据合规提供动力,并通过成熟的认证、备案等机制与科学的监管体系,为跨国企业开展合规活动提供通道与保障。
(二)对粤港澳大湾区数据跨境传输试点的建议
2019年2月,中共中央、国务院印发《粤港澳大湾区发展规划纲要》,要求推进共建粤港澳大湾区大数据中心和综合试验区建设。2021年9月,中共中央、国务院印发《横琴粤澳深度合作区建设总体方案》,要求促进国际互联网数据跨境安全有序流动,开展数据跨境传输安全管理试点。2023年6月,国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。面对数字经济全球化与地缘政治逆全球化的发展格局,我国可以立足粤港澳大湾区的独特区位优势,持续推进数据跨境传输安全管理试点。
1. 完善数据跨境传输技术标准
建议结合内地与港澳地区数据出境法律法规特点,利用深圳经济特区与广东自贸试验区的政策优势,聚焦人工智能、工业互联网、跨境电商等关键领域,完善数据跨境传输基础制度与技术标准,并以国内数字经济市场为基础,参与跨境数据流动国际规则制定。
2. 探索跨境数据传输创新机制
建议聚合深圳经济特区与广东自贸试验区入驻企业的前沿技术能力和创新能力,积极探索跨境数据通信中心、传输专线、交易中心、产业园区、验证平台等创新机制,为大湾区数据出境构建统一可信的安全基础,赋能数字经济产业发展。
3. 探索企业跨境数据流动自评估制度和备案体系
建议在法规框架内优化数据流动路径和安全保障机制,为符合条件的企业提供便捷的数据跨境流动安全通道,探索灵活合理的自评估制度和备案体系,在多地政府的支持下,根据企业实际需求高效促进数据的有序跨境流动,减轻企业的程序性负担。
4. 建立健全基础性和保障性制度
积极响应数据要素流通的顶层设计,建立健全数据确权、交易流通等基础性制度,完善交易鉴证、传输保护等保障性制度,在法规框架内依托大湾区数据跨境传输通道,提升数据要素市场价值,激发数据交易市场活力。