美欧跨境数据流动监管演化及对我国的启示

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 美欧跨境数据流动监管演化及对我 国的启示 摘要：大规模的跨境数据流动在 一定程度上促进了全球经济和国际贸易 的快速发展，但也使公民隐私、企业商 业秘密和国家安全遭到了极大威胁，这 引起了国际组织、各国政府管理部门和 隐私保护机构的高度关注。本文在厘定 跨境数据流动概念的基础上，重点研究 美欧跨境数据流动监管机制的演化过程 和最新进展，指出我国一方面要抓紧推 出个人数据保护法，将跨境数据流动监 管纳入其中，并落实企业在个人数据保 护方面的义务，另一方面要积极参与国 际上现有的跨境数据流动监管框架，通 过各种双边和多边谈判，推动制定新的 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 跨境数据流动规则。 中国论文网 /8/view-12938715.htm 关键词：跨境数据流动；个人数 据保护；安全港；隐私盾 中图分类号：TP393 文献标识码： A 文章编号： 1009-3044（2017）08- 0052-03 云计算、大数据和移动互联网等 新兴信息技术的发展和应用，一方面大 幅改变了个人数据收集、检索、利用和 传输的方式，另一方面也造成了各种个 人信息安全侵害事件的频繁发生。在全 球贸易和跨境电子商务蓬勃发展、跨境 数据流动的地域越来越广，内容越来越 丰富的大背景下，为进一步避免本国公 民个人数据和企业商业数据被不当传输 到信息安全保护机制不完备的国家或地 区，愈来愈多的国际组织和国家出台跨 境数据流动监管文件，比如美欧隐私盾 协议和保护伞协议、俄罗斯限制跨境数 据流动行为的数据本地化法律、澳大利 亚禁止将能够识别个人的健康数据跨境 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 流动、 中华人民共和国反恐怖主义法 、 中华人民共和国网络安全法等。本 文将对有效支撑互为对方最重要贸易伙 伴的美国与欧盟长期开展跨大西洋贸易 的跨境数据流动监管演化进行研究，以 期为我国在下一步参与双边和多边的跨 境数据流动监管谈判时提供借鉴。 1 跨境数据流动的概念和内涵 关于跨境数据流动的概念和内涵， 国内尚无法律依据，也无统一定义。因 此，国际组织有关跨境数据流动监管的 法律法规所下的定义，都有助于本文关 于跨境数据流动概念和内涵的确定。跨 境数据流动的概念最早出现在个人隐私 和数据保护条款中，其英文是 Trans- borderDataFlows。经济发展与合作组织 （OECD）在 1980 年出台的关于隐私 保护和个人数据跨境流动的指南中曾 指出，个人数据跨境流动（Trcms- border，flows ofpersonal data）是指个人 数据点到点的跨越国家、政治疆界进行 传输（movements of personal data across -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 national borders） 。随着国家贸易的开展 和跨境数据流动的日益频繁，跨境数据 流动监管的范围已经不再局限于个人数 据，而是包含商业数据、政府部门数据 等更为多样的形式，因而其作用范围和 外部影响也仅非局限于个人数据或隐私 保护层面，更是上升到商业秘密、国家 安全等高度。虽然跨境数据流动已经成 为现代社会生存和发展的一个重要基础， 在一定程度上促进了全球经济和国际贸 易的发展，但也对部分国家的公民隐私、 数据主权和国家安全产生了一定的危害。 跨境数据流动监管是典型的多边、多学 科交织的复杂领域，该问题至少涉及国 际法学、国际政治学、国际关系学、管 理学、计算机科学等学科，需要多学科 人才来共同研究推进。 2 美欧跨境数据流动监管的演化 美W 之间的跨境数据流动监管 主要经历了三个阶段，第一阶段为个 人数据保护指令生效后双方在 2000 年 7 月签署的安全港协议阶段，第二阶 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 段为安全港协议被宣告无效后， “标准合 同条款”和“约束性企业规则 ”发挥作用 的过渡阶段，第三阶段为“隐私盾协议” 和“保护伞协议 ”阶段。 2.1 安全港协议阶段（2000 年 7 月-2015 年 10 月） 欧盟是以法律手段严格保护个人 数据和隐私安全的区域， 个人数据保 护指令则是全球个人数据保护法律法 规中最具影响力的法律。 个人数据保 护指令在第 25 条明确要求欧盟成员 国在进行跨境数据传输时应遵循一系列 重要原则，其中第 1 项规定，因数据处 理而传输到第三国，或拟传输到第三国 进行处理的个人数据，成员国应确保第 三国在个人数据保护方面已经具备“充 分性保护水平” ，同时还应遵守指令中 所规定的其他国内法律法规。当欧盟委 员会或成员国认定第三国的个人数据安 全保护措施不具备“ 充分性保护水平 ”时， 成员国则应相互通报其情况。如果欧盟 委员会根据第 31 条第 2 项规定，认为 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 第三国采取的个人数据安全保护措施没 有达到“充分性保护水平 ”，除所列举的 豁免情况外，欧盟成员国应当采取必要 的措施，防止同类数据传输到该第三国。 虽然个人数据保护指令并没有对 “充分性保护水平 ”的含义及其认定标准 进行说明，但在第 25 条第 2 项对有关 因素进行了说明，即“ 所有与跨境数据 流动有关的情形，包括数据的性质、数 据处理的目的、数据来源国及最终目的 地国以及该第三国现行的有效法律规定 及实行的行业规则及安全措施”等因素。 而美国作为信息技术遥遥领先的 国家，拥有占据绝对优势地位的物联网、 云计算和大数据等信息服务产业，对于 国内公民个人数据和隐私安全保护的价 值取向和模式有别于欧盟委员会和各个 成员国，虽然国内也有一系列保护个人 数据和隐私安全的法律法规，但分散于 若干政府机构之中，主要依赖于行业自 律。相较于欧盟，美国更多的鼓励推进 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 跨境数据流动，反对外国政府设置各种 有碍跨境数据流动的各种措施，因此为 了弥补美欧双方在个人数据和隐私安全 保护机制上的差距，并顺利开展美欧跨 境数据流动，促进美欧跨大西洋贸易， 美国商务部在 2000 年 7 月正式提出了 基于企业“自我认证 ”和“自我评估”的“安 全港隐私保护原则” ，即美欧 “安全港协 议”（Safe Hot-bor） ，并在同年得到欧盟 委员会的认可。企业自主选择加入安全 港协议后，必须每 12 个月接受验证， 确认该企业是否符合有关标准，并借此 对接个人数据保护指令所说的“充 分性保护水平” 标准。安全港协议的惩 罚措施主要包括收回认证、公布企业的 侵权行为、提交联邦贸易委员会并采取 法律行动等。安全港协议的签订过程提 高了欧洲数据保护监管部门和立法部门 对企业自律行为的接受程度。 2.2 过渡阶段（2015 年 10 月-2016 年 2 月） 奥地利人施雷姆斯（Schrems） -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 在 2013 年向爱尔兰数据保护监管部门 提起集体诉讼，质疑美国社交网站脸谱 网利用安全港协议将欧盟成员国公民个 人数据传输到美国的合法性，整个诉讼 经爱尔兰高等法院向欧盟法院提起后， 欧盟法院在 2015 年 10 月 6 日作出判决， 宣布安全港协议无效。为了帮助美欧企 业渡过安全港协议无效，而新协议尚未 签订的真空期，减轻对美欧跨大西洋贸 易和跨境电子商务的不良影响，欧盟数 据保护监管部门认为个人数据保护指 令中提及的“ 标准合同条款 ” （Standard Contractual Clauses，SCC ） 和在 2003 年由第 29 条工作组提出来的 “约束性企业规则 ”（Birnding Corporate Rules，BCR ）仍可适用于美欧跨境数据 传输，但数据保护监管部门均须进行个 案审查来保护数据主体的权益。 一般情况下，如果无法获得数据 主体的同意，原则上应禁止该个人数据 的跨境传输，但如果美国企业与欧盟成 员国企业签订了“ 标准合同条款 ”，承诺 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 按照合同履行有关的数据保护义务，则 可以进行跨境数据传输。标准合同条款 以数据主体权益保护为目的，它的调整 对象为数据传输当事人和数据主体在数 据保护上的权、责分配关系，其将个 人数据保护指令的数据保护原则纳入 其中，从传输者和接收者的义务、数据 主体作为第三方受益人、责任承担、救 济、监管、法律适用等方面进行了规定， 比如当损害发生时，由于违反第三方受 益人条款，传输方以及接受者须承担连 带责任。在美欧各国数据保护法律法规 差异较大的情况下，标准合同条款降低 了相关主体签订合同的成本，为不同体 制下跨境数据传输涉及的法律差异提供 了解决方案。 “约束性企业规则 ”是欧盟数据保 护监管部门第 29 条工作组在 2003 年提 出来的，主要是规范分支机构位于不同 国家的跨国企业内部的跨境数据流动。 该规则需要得到负责处理个人数据的分 支机构所在国家数据保护监管部门的批 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 10 准。第 29 条工作组一开始仅将该规则 当成一种解决手段，但随着外界环境的 变化和规则本身的发展，如今该规则已 被直接提出作为安全港协议的替代方案， 也被越来越多的监管者和立法者视为符 合全球组织内部个人数据跨境流动要求 的等量有效机制，认为其提供了一个适 用于全球企业进行跨境数据流动的共同 标准且符合各国的数据存留条例。签订 约束性企业规则的好处，在于为跨国企 业集团制定了统一的数据保护政策框架， 有助于通过合同、政策和纪律等手段统 一协调跨国企业集团内部个人数据保护 的实务操作。该规则得到了个人数据 保护指令第 25 条、第 26 条的认可， 确保能向尚未被认定为具备“充分性保 护水平”国家的分支机构进行跨境数据 传输，有效降低了相关风险，也减轻了 企业之间频繁签订合同的负担。 2.3 隐私盾协议和保护伞协议阶 段（2016 年 2 月至今） 随着新兴信息技术的发展和个人 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 11 数据保护复杂性的增加，欧盟委员会在 2012 年提出的一般数据保护规章 （General DataProtectionRegulation， GDPR） 在 2016 年 4 月获得欧洲议会批准，将于 2018 年 5 月在整个欧盟境内实施，并替 代现行的个人数据保护指令 。 一般 数据保护规章在跨境数据流动监管方 面一方面继承了个人数据保护指令 的精髓，另一方面新增了若干要求，比 如第三国是否拥有独立且有效执法的监 管部门、第三国是否符合国际标准或签 订其他现行有效的多边或区域体系中个 人数据保护条款。 美欧双方在 2016 年 2 月 2 日宣 布达成新的跨境数据流动协议欧美 隐私盾协议（EU-U.S.Privacy Shield） ， 以替代被宣告无效的安全港协议。隐私 盾f 议也包含七大数据保护原则，但 其内容要比安全港隐私协议的七大原则 更为丰富，比如在数据传输原则中，将 第三方细分为作为数据控制者的第三方 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 12 和作为代理人的第三方；在数据主体参 与原则中，增加了“ 更正、补充或者删 除违反数据保护原则进行处理的信息” 这一内容。总的来说，该协议不但加强 了美国企业使用个人数据的义务，还提 供了欧盟成员国公民寻求各种救济的可 能性。如果美国企业要将个人数据从欧 盟各个成员国传输到美国，则必须承诺 保证数据主体拥有更强的权利。美国商 务部将监督该企业公开其承诺，而美国 联邦贸易委员会则根据美国法律加以执 行。另外，任何处理来自欧盟人力资源 数据的企业，都必须承诺遵守欧盟数据 保护监管部门的有关决定。美国必须提 供书面保证，确保政府机构基于执法和 国家安全等理由获取个人数据时，将受 到明确的限制和监督；不会对进入美国 的欧盟成员国公民个人数据进行无差别、 大规模监视；会有一年一度的联合审查 机制定期监督隐私盾协议的运作，并将 及时公开审查报告。如果美国政府部门 和有关企业的行为没有符合标准，欧盟 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 13 委员会将会暂停隐私盾协议的运行。如 果欧盟成员国公民认为其个人数据遭到 错误使用时，其将拥有多种救济渠道： 欧盟成员国公民可直接向美国企业进行 投诉，该企业必须在 45 天内进行回应； 欧盟成员国的数据保护监管部门可将有 关投诉移交给美国商务部和联邦贸易委 员会，由其协助调查和解决纠纷；美国 企业必须提供替代性纠纷解决方案帮助 欧盟成员国公民进行投诉并免付投诉费 用。欧美隐私盾协议实际上为双方“跨 大西洋贸易与投资伙伴协议”中的数据 留存和传输条款提供了借鉴，有助于双 方打造一个共赢、互利的数字商业体系。 另外，为了加强欧盟和美国执法 部门数据交换和处理的信任度，欧美保 护伞协议（EU- U.S.UmbrellaAgreement）于 2016 年 12 月 1 日获得欧洲议会正式批准。欧美保 护伞协议为欧美执法合作建立了一个综 合的数据保护框架，涵盖了欧盟和美国 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 14 之间以犯罪预防、侦查、调查和起诉刑 事犯罪为目的而交换的所有个人数据。 保护伞协议将使欧盟成员国公民隐私受 到侵犯时，与美国公民享有同等的司法 赔偿权。保护伞协议主要包含 6 项内容： 1）数据使用限制，即个人数据只能用 于包含预防、调查、侦查或起诉刑事犯 罪在内的各种目的，且不得超过这个范 围；2）数据传输条件，即当个人数据 将被传输到非美国、非欧盟国家或国际 组织时，必须事先获得原本传输个人数 据的国家数据保护监管部门的同意； 3）数据存留期限，即个人数据存留不 得超过必要或适当的时间，且必须公布 或以其他方式公开存留期限；4）数据 获得与修改，即在特定执法背景下，任 何公民都有权获得其数据，且当数据发 生错误时，能请求有关部门进行修改； 5）数据泄露通知，即当数据发生泄露 时，将通知数据监管部门，而如果情况 允许，将同时通知数据主体；6）司法 救济与执行，即如果美国执法部门拒绝 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 15 欧盟成员国公民获得、修改或非法泄露 其个人数据时，欧盟成员国公民有权向 美国法院寻求司法赔偿。 3 对我 国的启示 3.1 抓紧出台专门的个人数据保 护法，设立综合性的个人数据保护监管 部门 从全球个人数据保护立法现状和 美欧跨境数据流动监管演化来看，出台 个人数据保护法，提升本国的个人数据 保护水平，实现数据主体的权益保护仍 然是跨境数据流动的重要前提。虽然安 全港协议、标准合同条款、约束性企业 规则以及隐私盾协议等都是在没有提供 充分性保护水平的国家中允许跨境数据 流动的进行，其实质都是严格贯彻个 人数据保护指令所规定的数据主体权 益保护框架。鉴于我国至今没有出台专 门的个人数据保护法，当务之急是借鉴 欧盟一般数据保护规章 、台湾地区 个人资料保护法 ，香港个人资料 （隐私）条例的立法理念，出 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 16 _个人数据保护法 ，界定新兴信息技 术背景下个人数据的概念和内涵，区分 一般个人数据和个人敏感数据，建立个 人数据保护的原则体系，明确规定个人 数据收集、处理、使用等环节中的问题， 引入团体诉讼的理念，大幅度提高违法 侵权的成本，尤其要将个人数据跨境流 动的规则纳入其中，建立以数据传输方 为中心的责任分担机制，使其实际承担 担保责任和连带责任，平衡个人数据保 护与跨境数据流动的关系。针对一般 数据保护规章和隐私盾协议中对设立 个人数据监管部门的要求，我国应梳理 和整合现有与个人数据监管有关的各个 部门的职能，设立综合性的个人数据监 管部门，配备足够的执法人员和相应职 权，完善监管手段，推进实施跨境数据 流动风险评估和跨境数据流动技术监测， 让跨境数据流动不再处于“裸奔” 状态。 3.2 推动建立行业自律制度，严 格落实企业保护公民个人数据的责任 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 17 从美欧跨境数据流动监管演化来 看，美国的行业自律制度在美欧跨境数 据流动中发挥了积极的作用，在一定程 度上保证了企业对欧盟成员国公民个人 数据的保护。近些年，随着我国企业在 国际上开展业务的逐渐增多，这些企业 日益感受到国外政府和隐私保护部门对 其个人数据和隐私保护水平的要求，因 此作为除政府部门以外掌握公民个人数 据最多的企业，尤其是开展国际业务的 跨国企业集团，