《欧盟跨境数据流动法律规制经验探析综述》3200字

欧盟跨境数据流动法律规制经验分析综述—以人权保护为核心的统一立法模式1.1逐步实现欧盟数字单一市场战略欧盟关于个人数据跨境流动规制的立法体系主要由108号公约[[]全称1981年《有关个人数据自动化处理的个人保护公约》]、95指令[[][]全称1981年《有关个人数据自动化处理的个人保护公约》[]全称1995年《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》[]全称2016年《通用数据保护条例》108号公约是欧洲首个针对数据跨境流动进行规定的区域性法律文件，最初是为了减少欧洲内部国内法对数据流动造成的障碍；出于适应新形态的经济与社会发展需要，108号公约进行了四次的修订和补充，历经近四十年的演进更新，公约完成了其“现代化”的过程，继续推动欧盟之外国家向欧盟数据保护标准靠拢，实现欧盟为数据跨境设计的理想框架。现在的公约旨在确保处理个人数据过程中对个体给予适当保护的同时，促进数据不分国界实现自由流动[[][]108号公约（2018年修订版）第3章第14条详细规定了个人数据跨境流动的要求，原则上缔约方不得仅为保护个人数据之目的在向另一缔约方管辖下的接收方传输数据时设置禁止性或特别授权措施；如果接收方位于非公约缔约方管辖之下，但满足基于公约规定的确保“适当水平保护”，也要确保数据能够自由跨境传输。95指令的出台以强制约束力的形式为欧盟成员国确立了较高的统一数据保护标准，在进一步增强欧盟内部数据流动性的基础上，提出了著名的“充分性保护原则”，开始限制向欧盟区域外传输数据的行为，同时规定不具备“充分保护水平”的地区仅在提供充分保障且满足数据主体明确表示同意、保护重大公共利益等例外情况下，个人数据才能向“第三国”传输。由此，欧盟以“地理区域为基准”的跨境数据流动治理途径初具雏形。随着欧盟数字单一市场战略的启动，解决数据保护立法碎片化问题、统一数字立法成为了关键着力点。2016年至2018年，欧盟先后通过GDPR和《非个人数据在欧盟境内自由流动框架条例》（以下简称《框架条例》）。GDPR通过在成员国层面的直接适用，一方面加强对个人数据的保护，另一方面则消除因欧盟各国数据保护的差异而对数据流动造成的障碍，努力实现个人数据保护与数据自由流动之间的平衡。《框架条例》致力于取消各成员国对数据本地化的规定，阻止非公平的限制待遇影响数据在欧盟各地存储和处理，使得成员国有权机关可以及时顺利地调取数据，让有需求的专业用户自由迁移数据；它和GDPR形成了数据治理的一体化框架，实现了个人数据保护、数据利用安全和数字经济之间的平衡发展。2019年，欧盟又通过了《非个人数据自由流动框架条例指南》（以下简称《条例指南》），旨在帮助以中小企业为主体的用户厘清遇到由个人数据和非个人数据的组成的混合数据集时，上述两个条例之间的适用关系，阐明在处理个人数据和非个人数据时适用的规则，同时明确了数据领域各市场参与主体的自我监管义务。2020年2月，《欧洲数据战略》的发布更体现了欧盟希望促进尚未被有效利用的数据在欧盟境内以及各行业之间充分自由流动从而构建数字单一市场的决心。总体来看，在规制框架上，从108号公约、95指令到GDPR，这三个标志性文件具有鲜明的代际关系，内部个人数据流动障碍在逐渐减少，与之对应的数据保护标准和外部条款适用范围在不断提升和扩大，加强了内外沟通，也提高了数据保护水平[[][]杨希.欧盟个人数据保护体系的代际发展及借鉴——内部规制与外部扩展的典范[J].国际商务(对外经济贸易大学学报),2019(05):145-156.1.2确立不同场景下跨境数据流动的多种方式在对待跨境数据流动的问题上，GDPR虽然继承了95指令的规制模式，没有做根本性修改，但它为跨境数据流动引入了新的法律依据，在某些方面做出了重大改变。首先，新增可携权这一数据权利[[]GDPR第20条对数据可携权进行了规定，它是指数据主体有权以结构化、常用和机器可读的格式获得其提供给控制者的有关他或她的个人数据，或在技术可行的情况下，有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。它由两项相互独立的请求权构成，即（1）数据主体获得个人数据的权利，和（2）要求数据控制者和处理者向其他主体提供个人数据的权利。前者是获取个人数据副本的权利，后者是将数据从某一控制者直接传输到另一控制者的权利。]，它的创新之处在于从数据主体视角设计数据流动规则，让用户在自由迁移数据的体验中，得以和平台分享其数据产生的价值，不至于被某一平台锁定。此权利促进了数据在欧盟境内的自由流通，但一定程度上也会使数据控制者间的竞争加剧。[[][]GDPR第20条对数据可携权进行了规定，它是指数据主体有权以结构化、常用和机器可读的格式获得其提供给控制者的有关他或她的个人数据，或在技术可行的情况下，有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。它由两项相互独立的请求权构成，即（1）数据主体获得个人数据的权利，和（2）要求数据控制者和处理者向其他主体提供个人数据的权利。前者是获取个人数据副本的权利，后者是将数据从某一控制者直接传输到另一控制者的权利。[]2017年4月，第29条工作组通过了最终版本的《数据可携权指南》，以帮助数据控制者更清楚地了解自身义务和规范数据主体对此权利的行使。指南包括五部分内容，对数据可携权的要素、数据可携权的适用条件、规范数据主体行使权力的一般规则如何适用于数据可携权进行了说明，最后从安全性、便利性以及合法性等角度，对企业在提供可携数据的技术手段和应采用何种的数据格式给出了指导和参考意见。[]第3条1.本条例适用于在欧盟境内设有商业存在的数据控制者或处理者进行的对个人数据的处理行为，不论其处理行为是否发生在欧盟境内；2.本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：（a）为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价；或（b）对发生在欧洲范围内的数据主体的活动进行监控。3.本条例适用于在欧盟之外设立，但基于国际公法成员国的法律对其有管辖权的数据控制者的个人数据处理。2019年11月，EDPB发布了GDPR地域适用的最终指南，对该条的具体适用标准进行了明确。在欧盟范围内处理个人数据的企业或组织实施数据跨境流动活动，主要有三种合法方式：（1）获得欧盟“充分决定”；（2）提供适当保障措施；（3）特定情况下的例外规定。在第一种方式下，如果欧盟委员会认定第三国、其境内的地区、特定行业或国际组织，对个人数据提供了与欧盟“实质上相当”的充分保护水平，那么个人数据向上述地区的流动无需进一步的批准或其他保障措施。这样的要求事实上将欧盟对境内数据所施加的控制投射至境外，确保个人对传输至境外的数据保持很强的控制能力。作为正面白名单机制，欧盟进行充分性评估的依据是广泛且严格的，从比较宏观的法律保护水平和人权保护状况，到具体的法律条文和数据保护机关（DPA）的执法状况，都在其评估范围之内，而且每四年还会进行一次复核。目前仅有12个国家或地区通过了欧盟的认定。[[][]包括安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭，2021年3月30日，欧委会宣布，欧盟与韩国之间的充分性认定谈判已经完成，在正式做出充分性认定之前，还需要欧洲数据保护委员会的官方意见和欧盟成员国代表组成的委员会的正式批准。如若未获得充分性认定，数据控制者或处理者只有在提供适当保障措施，以及保障数据主体权利可强制执行，和拥有对数据主体的有效法律补救措施的情况下，才可以将个人数据向外传输。保障措施可以通过以下方式来提供：约束性公司规则、已获批准的行为准则或认证机制、标准合同条款等。同时，还可以通过公共机构间具有法律约束力和可强制执行的文书，或得到主管监管机构的批准，加入公共机构间的行政安排中的规定来提供。如果上述两种方式都未成功，那么仅在满足：存在潜在风险但数据主体已明确同意、履行合同所必需、公共利益要求等七种条件之一时方可跨境传输数据。一般来说，规模化的数据跨境流动需要稳定的合法性基础，才能保证正常的经贸活动，但这些例外情形可适用的场景过少，不能形成日常所需的长效通道，而“正面白名单”机制适用标准较高，并未得到足够利用，因此充分保障措施机制仍是欧盟各国数据保护机构管理过程中最主要的着力点。不过，在欧盟理事会最新发布的《关于GDPR适用的立场与发现》报告中，欧盟吸收了比利时、德国等成员国提出的“通过充分性认定的国家与地区数量偏少”的问题，指出要继续扩充“白名单”，以进一步扩展可以合法自由流动的区域与部门；对于“白名单”之外的其他合法流动机制，欧盟也将发布更多的标准合同模板，以满足不同类型的数据控制者和处理者的数据跨境流动需求。1.3推进犯罪数据的境外调取欧盟成员国之间电子数据的跨境存储已是固定化现象，而在欧盟成员国之外，为打击犯罪也迫切需要固定电子工具，查找犯罪线索，因此萌生了旺盛的数据调取需求。然而在众多刑事案件中，欧盟成员国的调查取证需求未得到满足和正视。虽然传统“倒U型”的国际刑事司法协助有助于尊重他国主权，但由于其程序复杂、冗长、缓慢且不利于程序参与者的权利保障，欧美开始着力构建“一字型”直接取证程序，尤以执法机构与服务提供者直接合作最为常见[[]此外还包括请求国执法机构与被请求国的执法机构、数据权利人直接合作的取证程序。]，美国CLOUD法案就遵循了这一取证机制，执法部门通过服务提供者这一桥梁便可轻松获得存储于境外的电子数据，实现本国特定的需求和利益。[]此外还包括请求国执法机构与被请求国的执法机构、数据权利人直接合作的取证程序。[]冯俊伟.跨境电子取证制度的发展与反思[J].法学杂志,2019,40(06):25-36.在美国的影响下，欧盟于2018年提出调取和保全刑事犯罪电子证据的提案，[[]该提案所涵盖的电子证据包括用户数据、访问数据、交易数据等非内容数据以及内容数据。一般而言，用户数据和访问数据对于发现犯罪嫌疑人的身份非常重要；而交易数据和内容数据更为可能具有证明价值。]，该提案要求，如果面向欧盟提供服务，服务提供者应当在欧盟境内设立法定代表或安排企业实体，以接收调取和保全证据的法令[[]该提案所涵盖的电子证据包括用户数据、访问数据、交易数据等非内容数据以及内容数据。一般而言，用户数据和访问数据对于发现犯罪嫌疑人的身份非常重要；而交易数据和内容数据更为可能具有证明价值。[]根据草案，针对所有刑事犯罪，均可以签发用户数据或访问数据的欧洲数据调取令（第5条第3款），而只有在满足第5条第4款规定的犯罪时才能签发交易数据或内容数据的欧盟数据调取令。同时，为了防止在司法协作场合下相关数据的移除、删除和更改，针对