互联网跨境数据流动无处不在。个人用户通过手机商店下载应用程序,跨国公司在不同国家的分支机构之间传输业务数据。这些日常的个人、企业和企业行为都会触发跨境数据流动。“互联网+”时代,互联网与各行各业深度融合,数据跨境流动涉及范围更广,对公民人身权益、企业利益乃至国家安全产生更深层次的影响,成为政府管理的重点。综合分析世界主要国家数据出境安全管理的经验表明,各国在制度设计时,普遍从维护自身核心利益出发,采取数据分类管理和数据主体两大基本制度。责任为支柱,融合各国制度差异。以国家间非强制性规则和互信机制为纽带,构建较为完备的跨境数据安全管理体系。围绕国家核心利益制定数据跨境流动规则在美国等制度相对成熟的国家,数据跨境流动管理思路紧密围绕国家核心利益,保护产业发展和国家安全。以美国在TPP贸易协定谈判中提出的知识产权条款为例。为了保护本国文化产业,特别是好莱坞娱乐巨头的经济利益,美国将其严格的知识产权侵权责任条款复制到TPP谈判中,声称允许知识产权所有者追踪音视频等信息产品。互联网服务提供商向用户提供的图片,这将赋予知识产权所有者跨境收集用户信息的合法权利。例如,美国的知识产权权利人在向其他国家的国民提供相关程序下载服务时,可以要求其他国家的网站向美国知识产权权利人实时提供用户的下载信息,以遏制盗版和保护美国知识产权所有者的利益。美国作为信息技术发达的国家,拥有最大的云计算服务产业。美国在TPP中推动数据跨境自由流动,反对他国政府设定的对互联网数据跨境流动的限制,反对他国数据本地存储要求。为美国相关企业开拓国际市场扫清障碍。建立数据跨境流动分类标准和管理体系就数据跨境流动整体安全管理框架而言,目前世界各国尚无统一的体系,但总体思路是采用分级并对不同数据进行分类管理,并有针对性地在不同地方采取不同的保护措施,确保数据跨境流动不危及公民权利和国家安全。一是禁止重要数据跨境流动。例如,俄罗斯通过了一项法令,要求其公民的信息必须存储在俄罗斯境内;澳大利亚规定高安全级别的政府数据不能存储在任何离岸公有云数据库中,必须存储在具有高安全协议的私有云数据库中韩国规定通信服务提供商应采取必要措施防止重要信息泄露与产业、经济、科技相关的信息通过互联网流向境外。二是有条件地限制政府和公共部门通用数据和行业技术数据出境。例如,澳大利亚对政府信息进行了分类,要求非机密信息必须经过安全风险评估后才能外包。三是允许普通个人数据跨境流动,但数据流动所在国需要满足一定的安全认证要求。目前,很多国家都参与了数据跨境流动的国际或国家间认证,建立了国内数据流出和其他国家数据流入的通道。明确数据相关主体的权利和义务。目前,国际上主要有两种数据跨境流动的权利和义务模式:一种是知情同意模式。欧盟、日本、俄罗斯等多数国家规定,采集数据时必须取得数据提交者。作为后续数据流动的必要条件,强调了数据提交者的知情权。第二种是目的限制模型。美国法律规定数据收集后的再利用必须维护合法目的,强调数据流动的合法性应通过数据使用的具体情境来判断。总的来说,以上两种模式各有优缺点。知情同意模式较为严格,但复杂冗长的隐私条款往往使数据提交者的知情权流于形式;目的限制模式相对宽松,但事后管控不利于及早发现和预防数据泄露和滥用,对社会法治程度产生负面影响。更高的要求。推动非强制管理手段弥合制度差异为建立统一市场,消除成员国现有制度对数据跨境流动形成的障碍,欧盟采取了一系列非强制管理手段,创造一个尽可能统一的法律环境。虽然这样的系统不是强制性的,但采用它的国家或公司将获得数据流动的便利。这种管理方式也逐渐被其他国家所接受,成为数据跨境流动监管的典型制度。一是国家间的“白名单”制度。欧盟将数据保护水平的充分性作为欧盟与外国数据跨境流动的基本原则。非欧盟成员国企业如需处理来自欧盟成员国的跨境数据,企业所在国家需提前通过欧盟委员会或成员国的数据保护等级认证。欧盟委员会或成员国可以通过以下两个关键要素来判断跨境数据流入国是否满足“充分”保护要求:第一要素是跨境数据流入国的数据处理规则必须满足欧盟的要求,第二个要素是有适当的机制来确保规则的有效执行。只有被认为满足“充分”要求的国家(即“白名单”国家),欧盟成员国才可以自由地将数据传输到该国的公司。二是企业间标准合同制。欧盟标准合同旨在保护数据主体的权益,规定了数据传输双方与数据主体在数据保护方面的权利和责任分配。如果一国公司在与欧盟成员国公司的经济交易中使用标准合同,并承诺按照合同履行数据保护义务,则可以认定其满足数据保护的“充分性”要求。三是特殊情况下具有约束力的公司规则,适用于跨国公司内部以及位于不同国家的分支机构之间的数据传输。该规则示范协议规定了数据保护的原则、数据主体的权利、跨国公司的责任、争议解决方式和救济措施等,该规则需要分支机构所在国家的批准,可以成为法律成员国将数据传输到没有“充分”保护水平的国家的基础。积极参与或建立跨国认证等信任机制。跨境数据流动是国家之间的问题。各国正积极争取获得重要贸易伙伴国家的数据保护认证。一方面,欧美发达国家通过认证等双边机制建立信任关系。例如,美国和欧盟长期实施“安全港”协议,承诺遵守“安全港”协议的美国企业可以获得数据保护“充分性”的认定,并获得处理来自欧盟成员国的数据的资格。尽管“安全港”协议于2015年10月被欧盟司法机构认定为无效,但认证协议已成为各国数据跨境流动的基本模式。几经周折,美欧之间达成了新的数据传输协议。此外,巴西、新加坡、墨西哥等国家也加快了国家数据保护立法和加入国际认证机制的进程,以融入跨境数据流动的国际合作。另一方面,国际组织也在积极构建跨境数据流动认证体系。2011年,APEC建立了跨境商业个人隐私保护规则体系,由经认可的评估机构对商业组织个人隐私和信息保护水平进行认证和公布,企业可自愿参与。美国为保护自身安全和实现自身经济利益最大化,积极加入该体系,大大提升了该体系的国际影响力,使该体系成为以区域为主导的跨境数据成为可能。未来的流程框架。
