《美国跨境数据流动法律规制经验探析综述》4200字

美国跨境数据流动法律规制经验分析综述—以自由流动为核心的分散立法模式1.1利用优势主张数据跨境自由流动由于控制着全球数字经济关键领域和产业链环节，美国希望在确保国家安全利益的前提下，最大限度地促进数据自由流动。得益于美国在亚太地区的政治经济影响力，它在双多边协议中增加消除数据流动壁垒的条款，推动建立了与大洋彼岸差异明显的规则体系。在十余年前亚太经合组织建立APEC隐私框架时，美国便将自己的数据规制色彩渗入到规则之中，不仅要求成员经济体尽己所能避免和消除不必要的数据流动障碍，名曰“促进地区电子商务发展”，而且重视发挥行业自律的作用，着重提到公私部门加强相互合作。之后，跨境隐私规则体系（CBPRs）也在美国的支持下通过，它也顺势加入，在数据保护倡议中继续重申自己的观点。不同于欧盟“充分性原则”下以“地理区域为基准”的规制路径，APEC隐私框架采取了“问责制原则”下以“组织机构为基准”的规制路径，数据出口商有责任确保向其他组织传输的个人数据得到持续保护，无论这些组织的地理位置在哪。[[]KunerC.RegulationofTransborderDataFlowsUnderDataProtectionandPrivacyLaw:Past,Present,andFuture[J].SocialScienceElectronicPublishing,2010.[]KunerC.RegulationofTransborderDataFlowsUnderDataProtectionandPrivacyLaw:Past,Present,andFuture[J].SocialScienceElectronicPublishing,2010.近年来，美国又将自由贸易协定的谈判作为推行自身想法的落脚石，将跨境数据流动内容纳入“一揽子”协议，期待利用较强的约束力固定其实力，对他国形成压迫，令其妥协。具体内容如表2所示。表2美国与其他国家签订的FTA中对跨境数据流动的规定Table2RegulationsontransborderdataflowinFTAsignedbytheUnitedStatesandothercountries协定名称签订时间具体规定美韩FTA2012年各方应努力避免对跨境的电子信息流施加或维持不必要的障碍（第15.8条）；每一缔约方应允许另一方的金融机构以电子或其他形式将信息传入和传出其领土，以便该机构在日常业务过程中需要此类数据时可以进行数据处理（金融服务附件13-B）。跨太平洋战略经济伙伴关系协定（TPP）2015年（2017年1月美国正式退出）各方应当允许由于商业所需的数据（包括个人信息）跨境流动，不应当将使用境内的计算设施作为在其境内开展商业活动的条件之一；各方为实现正当的公共政策目标可采取限制措施，只要这样的措施不构成恣意、无正当理由的歧视，以及超过实现政策目标所需。美墨加贸易协定（USMCA）2018年17.17条：当金融机构或跨境金融服务提供者在授权许可的范围内为商业目的而活动时，任何缔约方不得阻止其以电子或其他方式进行包括个人数据在内的跨境数据传输。17.18条：金融数据非本地存储的前提条件是，各方金融监管机关能够及时、有效地监管本国金融数据。任何缔约方均不得要求金融机构或跨境金融服务提供者在该缔约方境内使用计算机设施或将其置于缔约国境内，作为在该领土内开展业务的条件。这些条款不仅最大限度地减少了数据存储与处理地点的限制，使缔约各方避免了对跨境电子数据流施加或维持障碍，充分发挥了数据价值，也使得作为数据大国和强国的美国在国际贸易中更占据优势地位。2020年8月，美国向APEC成员经济体提出了将CBPR独立于APEC框架之外的方案，意在将非美国盟友排除在CBPR体系之外，在数据跨境流动方面令非盟友国家与全球脱节。这种仅以自身发展为中心的趋势，罔顾广大发展中国家的发展需求。1.2严格管控国内重要行业、领域的数据出境在重大经济利益诉求之外，美国主张数据跨境自由流动还源自其对本国数据实现有效管控的自信，表现之一就是限制重要数据出口和特定数据领域的外国投资，表面上是重视国家安全，实际上是想遏制竞争对手比如中国、俄罗斯的发展，防止其他国家通过获取行业数据推导出美国的发展现状，确保自身在科技领域的全球领导地位和超级大国优势。尽管美国不存在普遍性的跨境数据流动立法，但它也有类似“重要数据”的概念，被称为“受控非密信息”，通过罗列庞杂种类中详细具体的分类方式，进行规范化改革，确立了较为严格的管理措施；另一方面，美国在政府、电信、科技、卫生医疗、外商投资等关键部门、行业和领域专门立法中提出了限制数据出境或严格审查的要求，部分要求通过公共采购合同、网络安全协议等方式得以体现。在公共服务领域，美国信息技术与创新基金会（ITIF）发布的《跨境数据流动：障碍在哪里？代价是什么？》[[]ITIF:Cross-BorderDataFlows:WhereAretheBarriers,andWhatDoTheyCost?[EB/OL].[]ITIF:Cross-BorderDataFlows:WhereAretheBarriers,andWhatDoTheyCost?[EB/OL]./publication/333292633_Cross-Border_Data_Flows_Where_Are_the_Barriers_and_What_Do_They_Cost,2020-4-8在外商投资审查和电信领域，安全协议作为一项辅助性制度设计通常会被引入来约束外国投资者，许多协议文本会对数据跨境存储和访问进行明确限制。2007年《外国投资与国家安全法》便赋予美国外资投资委员会或其指定的主管机构签署安全协议的权力，以削减任何交易相关方对国家安全可能造成的风险。2018年修订的《外商投资风险评估现代化法案》规定，美国可以对涉及收集、处理、存储美国公民个人敏感数据的外商投资进行审查，防止外国企业涉足处理美国公民个人敏感数据的美国高科技企业。[[]修订后的《外国投资风险审查现代化法》拓展了CFIUS的审查权限，将涉及所谓“关键技术”、“关键基础设施”的公司以及外国人对保存或收集美国公民敏感个人数据的公司进行非控制性、非被动性投资都纳入其审查范围，同时调整了CFIUS的审查程序，赋予了CFIUS更多以前未涉及到的新权力。]在电信业等核心领域，电信小组[[]修订后的《外国投资风险审查现代化法》拓展了CFIUS的审查权限，将涉及所谓“关键技术”、“关键基础设施”的公司以及外国人对保存或收集美国公民敏感个人数据的公司进行非控制性、非被动性投资都纳入其审查范围，同时调整了CFIUS的审查程序，赋予了CFIUS更多以前未涉及到的新权力。[]由美国联邦政府下辖国务院、司法部、国防部、国土安全部、财政部、商务部和贸易代表署和联邦调查局等部门官员组成的跨部门工作小组，负责审查FCC转来的、关于正在等待申请或已颁发的许可中所涉及实体的外国所有权所带来的国家安全风险。2019年《国家安全与个人数据保护法》（NSPDPA）提案，旨在通过实施数据安全要求和加强对外国投资的审查，保护美国人的数据不受外国政府的威胁。提案的适用范围是“科技企业”对“特别关注国家”的数据跨境传输和存储行为，对运营或影响洲际/跨境贸易、提供网站或互联网应用程序等以数据为基础服务的企业（包括特别关注科技企业和其他科技企业）均提出了严格的数据出境限制要求，禁止向特别关注国家传输用户数据或可结合数据破译（密钥等）所需的信息，仅设置了两种例外允许情形[[][]一是应非特别关注国家的司法和军事协助要求，二是个人用户间的数据共享，且数据仅保留在个人用户的设备上从美国近期的立法趋势看，由于中国和俄罗斯是目前其明确列举出来的“特别关注国家”，美国以保护国家安全为名义，阻止美国公民或居民的数据向中国、俄罗斯和其他可能威胁美国国家安全的国家流动，针对中国实施“数据封锁”的意图非常明显。从这个角度看，我国还是应该坚持数据本地化存储，有效限制部分外资企业在境外存储受到我国出境安全评估机制管控的各种数据，减少数据外泄风险，在国际数据竞争的舞台上对美国形成对抗与制约。1.3跨境调取数据执法中“长臂管辖”原则的确立美国对本国数据实现有效管控的自信的表现之二就是通过法案明确赋予美国执法机构跨境调取数据的权力。2013年“微软诉美国政府境外数据索取案”中，美国联邦第二巡回法院依据的《存储通信法案》（SCA）在核心问题的认定上出现了模糊，未明确美国政府的搜查令是否能要求通信服务商提交存储在境外的数据，双方基于对自己有利的角度做出了不同解释，这也是导致官司一路上诉至美国联邦最高法院的主要争议点。这个案件也暴露出SCA已明显滞后于当下海量数据跨境流动的时代背景，CLOUD法案应势出台。按CLOUD法案的规定，美国各监管和司法部门拥有极大的数据调取权力，只要其一声令下，并且公司经营活动与美国存在足够的联系，通信服务提供者均应当按照美国法律的要求，保存、备份、披露、记录其所拥有、管控的数据信息，无论这些信息是否存储在美国境内；法案设定“适格外国政府”这一主体，允许其放弃数据本地化的要求，向美国公司调取用于侦查执法的数据。从积极的意义层面看，CLOUD法案有针对性地改革了SCA法案，巧妙回避双边司法协助条约/协定的磋商对话环节，不仅破解了获取本国数据控制者跨境存储的电子数据的难题，厘清了法律的模糊地带，也让其他国家有机会获得美国数据控制者掌控的电子数据，让依赖此项交往活动才能得到清晰判决的案件早日得到确定的结论。[[][]夏燕,沈天月.美国CLOUD法案的实践及其启示[J].中国社会科学院研究生院学报,2019(05):105-114.虽然初看起来，CLOUD法案实现了美国与其他相对弱小国家的交互，并提供了交流协作平台，但它对于“适格的外国政府”的认定标准极为严格，需要考虑专家的意见以及多重因素[[]一是关于网络犯罪和电子证据充分的实体法和程序法，是否加入了《布达佩斯网络犯罪公约》，或其国内法与该公约第1章和第2[]一是关于网络犯罪和电子证据充分的实体法和程序法，是否加入了《布达佩斯网络犯罪公约》，或其国内法与该公约第1章和第2章内容相吻合；二是尊重法治和不歧视原则；三是遵守适用的国际人权义务；四是明确的关于电子证据收集、留存、使用和共享的法律授权和程序；五是关于电子证据收集和使用的的问责和透明机制；六是对信息自由流动和全球互联网的明确承诺。[]何治乐,安会杰.网络主权视野下的美国域外执法权改革及中国应对[J].信息安全与通信保密,