论文部分内容阅读
本文系围绕数据跨境传输(Transborder Data Flow,TBDF)规则展开。第一章以时间轴为线索,阐述了TBDF规则的演进和发展,此章节主要目的是作为引子,引出所讨论的关键问题——TBDF规则,以供下文对现行规则进行分析和讨论。第一,本章第1节讨论了TBDF规则的含义和产生。在TBDF规则的含义项下,本文首先指出了TBDF规则系一种技术引发的现象,该现象并不具有新颖性,但是随着技术的发展,技术对隐私造成了越来越大的威胁,以至于引起了法律对该现象的担忧。此外,第1节还引出了TBDF规则与网络空间管辖之间的联系。本文认为,TBDF规则体现了是国家管辖权在网络空间的行使,这种国家管辖权在现行国际法中并不存在无可争议的通说,国家对网络的监管在近年来还一直是一个备受争议的问题,而TBDF规则的制定合法性无法回避此问题。第1节第2部分讨论了TBDF规则是如何产生的,主要论点在于指出TBDF规则是源于欧盟对个人数据权的保护,并且指出TBDF规则的产生引发了争议,原因是不同立法价值的冲突,即不同立法者对信息流通自由和个人信息自由的不同理解。此外,该部分重点分析了欧盟逐步采用TBDF限制性规则以规范数据传输的原因,指出TBDF规则制定的表面原因是基于个人数据权的保护,而深层次原因则包含经济原因和政治原因。在论证TBDF产生原因的表里关系时,本文通过讨论现行规则的目标有效性(针对数据保护的目标有效性)质疑了欧盟TBDF规则目的单纯性。第二,本章第二节标题为“单边性TBDF规则的立法模式”。从现实角度看,TBDF规则更多地仍然是一项国内法(由于欧盟个人数据保护法已经完成了统一化工作,因此本文将以GDPR为代表的欧盟个人数据保护法视为国内法)。第2节,本文主要选取了美国和中国作为欧盟立法的对照,即是从立法的体系性和规则完成度方面,这两者都无法与欧盟相提并论,但是由于美国和中国在经济体量方面与欧盟处于相当水准,且立法模式与欧盟具有显著区别,因此这两者的立法模式均具有显著的参考性。第三,本文第3节介绍和讨论了关于TBDF的国际多边规则。TBDF规则演进的重要特点就是国内规则与国际规则是交替前行且互相影响,其中以发达国家经济组织OECD规则为先导,逐步向其他地区衍伸。第3节第1部分分析了影响TBDF规则形成的重要软法性文件,包括(1)1980年OECD指南,该指南的意义在于它集成了部分西欧国家的前瞻性立法,并且概括了八大隐私保护原则,且提出了隐私保护得以作为数据流通之例外,其最早提出的框架对OECD成员国国家数据隐私立法起到了较为深刻地影响。(2)APEC隐私框架是亚太地区首个多边隐私框架,其规定的隐私保护规则在保护程度上略弱于OECD指南,但是在该框架下,2011年APEC提出了CBPR数据跨境传输框架,这一框架虽然不具有约束性,但某种程度上填补了多边数据跨境传输机制的空白。第3节第2部分主要分析了与TBDF规则相关的区域性公约,包括人权性质的108公约,国际经贸性质的TPP公约和WTO下的GATS。第一章力求全面引出TBDF规则在各个层面的存在,为本文后续讨论奠定了讨论的基础。第二,本文第二章则重点就数据跨境限制规则将会面临的现行挑战。数据跨境传输并非是一项当然的立法举措,其在制定和实施过程中面临着境内境外的双重压力,这种压力表现为三个方面。即包括技术方面、外国立法方面以及理论方面的三方面挑战。该章即对此三方面挑战进行着重分析,进而为下文的论述提供纾解思路。本章第一节主要讨论了TBDF规则所面临的理论困境。网络空间因其无体性和虚拟性,其并不存在类似于实体空间的边境,因此欧盟TBDF规则建立时所忽略的理论前提,就是国家得通过设置边境的方式对数据跨境传输行为进行管制。该问题被主要分为两个层面:第一,是否存在独立的网络空间法?第二,国际网络空间和国际物理空间存在哪些差异?首先,本文论述了网络空间规则有哪些区别于实体空间的规则,并且这些区分的原因是什么。第二节讨论了TBDF规则的现实挑战,主要包括两个方面:其一,执法力不足;其二,外国法的挑战。执法力不足业已在本文第二章即第三章中予以讨论,而本章所讨论的外国法的挑战主要是来自于美国的境外数据调取法。该部分第一个研究对象是美国FISA法案,其授权政府在调查涉及外国情报监事过程中,得以调取外国人的数据信息,其中包含个人数据。并且分析了欧盟法如何就此作出应对以及其应对实效。本文认为,欧盟TBDF规制在面对境外数据调取时实际上是难以应对的,一方面,GDPR排除了涉及公共安全的数据处理行为。另一方面,欧盟无法针对境外数据调取行为实施惩罚性反制措施。该部分第二个研究对象系美国云法案,该法案的通过意味着美国将境外数据调取行为的范围从国家安全理由拓宽至严重的刑事犯罪,欧盟TBDF机制对此也束手无策,现有框架难以应付和解决。第三节讨论了现有数据跨境传输机制在应对新技术过程中面临的挑战,此部分以云计算技术为例,讨论了在云计算场景下,欧盟范式下的TBDF机制因其以数据存储地为限制依据无论从监管层面还是执行层面均不能应对云计算场景中的数据跨境需求。一方面,若执法过于严苛,即会耗费巨大的监管成本,同时也势必将对云计算产业造成实质性限制;另一方面,由于云计算场景的数据碎片化、分布式存储特征,以及云计算基础设施数据中心的全球布局,导致云计算在处理数据过程中无时无刻不发生着数据跨境传输,而监管机构显然不具备足够的资源因应这种现象。因此,本文在此部分判断,在云计算场景下,基于个人信息保护衍生以限制数据存储地和传输地法律规范为内容的欧盟TBDF立法模式无法因应新技术带来的挑战。本文第三章就TBDF规则的各项要素进行解构分析。本文提出,TBDF规则作为一项规范,其具有角色要素、法益要素和行为要素三项要素。第一,在第1节标题为“TBDF监管概述”,该小节包含两个部分,第一部分介绍并讨论了TBDF监管的具体表现,该部分提出了“单边直接性监管”和“单边间接性监管”的相关概念,所谓单边即一国未经国际协商程序而自行作出的限制性规定,所谓“直接”,即直接以数据位置作为衡量标准的监管方式,所谓间接,则不以数据位置为基准,而需要考虑到数据传输者和数据接收者的自身素质。除此之外,该部分还讨论了为何欧盟范式难以成为全球监管范式以及重塑直接性单边监管的立法逻辑的必要性,并且提出了单边监管向联合监管(通过国际合作)转化的可能性。第1节第2部分分析了欧盟TBDF监管范式中存在的两个问题:一是,它缺乏对网络空间管辖权的论证,并且讨论了为什么在TBDF规则中网络空间管辖权国家实施单边监管的先决条件;二是,分析了TBDF规则的本质是一项技术性规范,其随着技术的发展而更新,法律规范难以对技术更新作出积极和及时回应,并且以SWIFT案件作为论据予以支撑。第二,本章第2节则讨论了TBDF规则的内容,具体包括实施TBDF监管的主体、受监管的对象、监管所保护的利益。首先,在监管主体部分,本文分析了单边机制中的独立监督机构,这一概念源自欧盟个人数据保护法,并且结合了我国的具体情况讨论该监管主体是否在我国具有可参照性。另外,以美欧安全港协议中的设置的联合监管主体为例,讨论了在双边或多边协议下通过国家合作联合监管的可能性即参照意义。其次,在受保护利益方面,讨论了TBDF规则所保护的利益,即个人数据保护权,并且结合美国的信息隐私权以及我国民法学界广泛讨论的个人信息权,从该权利的历史沿革、发展演化以及现行讨论为基础,讨论不同路径下,对受保护利益的认识区分是否影响TBDF监管路径,以及如何影响,并且提出了个人信息权不应当仿效欧盟自我实现和个人信息自决权理论,并论述相关原因。最后,在监管的对象方面,讨论了受监管对象包括数据传输者和数据接收者,对应欧盟的概念即数据处理者、数据控制者以及二次传输下的数据传输者。在数据传输者部分,本文主要分析了在从指令到GDPR发展的过程中,数据处理者是如何逐步被纳入到数据传输者的,并且比较了欧盟和美国以及中国关于数据传输者范围的不同理解,前者不加区分的将任何类型的数据控制者和处理者均纳入到数据传输者范围中,而后两者则区分了营利性企业和非营利性企业,且对数据传输者进行了营业额,数据处理规模等方面的限制,结合它们的不同,本文得出结论倾向于限制数据传输者的范围。就数据接收者而言,本文通过解释TBDF规则的本质,即保护数据隐私利益从而得出欧盟关于数据接收者的规定并不完全遵守其立法目的,原因在于欧盟未对传输进行定义,且未将披露作为传输的要件,这使得数据接收者的范围不应其接受数据是否经受披露而进一步筛选。换句话说,欧盟模式中,数据接收者的范围不正当地被扩大了。本文就此建立应当对数据接收者接受的数据本身是否经受披露作出具体要求,对于已经严格加密的数据且数据接收者不具备访问权限的,应当排除在适格的接收者范围外。第三,本章第3节讨论了“传输”的含义。正如文章中所指出的,传输是TBDF监管的核心概念,对这一概念的认识不清将直接导致监管的模糊和法则的适用性。第3节首先创新性的提出了积极传输和消极传输的概念,这一组概念在现有的学术界缺乏客观的讨论,但是本文认为TBDF规则的制定有必要区分或者说有必要明确积极传输和消极传输。所谓积极传输就是境内的传输者故意地将数据传输至境外的接收者的行为,其接收者一般是明确的和固定的;而消极的传输,传输者可能仅仅将数据传输至公开的服务器中,世界上任何人通过访问其传输的服务器都可能获取相关个人数据,这种传输就是消极的。此外,针对积极传输和消极传输,本文引用了欧洲法院(Court of Justice of EU,ECJ)最著名的案例予以论证,即Lindqvist案,该案例首先提出了数据上传至本地服务器是否构成传输行为这一问题,然而这一案例是不充分的。因为它没有回答输出传输至域外服务器,或者说数据经境外明确的数据接收者获取这些情形。因此,本文根据该判决的逻辑,展开了进一步的推演和论证。复次,第3节还重点讨论了数据二次传输问题,所谓二次传输,即数据传输给境外的数据接收者后,数据接收者将数据二次传输至第三国的行为是否应当或者通过何种方式受到TBDF监管的问题。本文认为,GDPR中的二次传输限制来源于数据接收者和欧盟之间的协议,这种协议赋予了二次传输的约束力,但是GDPR第44条直接将二次传输作为限制的对象因其缺乏管辖权而无拘束力。就欧盟二次传输规则,本文结合张新宝与葛鑫关于《个人信息保护法专家意见稿》以及《个人数据安全出境评估办法(征求意见稿)》,讨论了我国现阶段针对数据二次传输规定中存在的问题。本章最后一部分讨论了本文对传输限制本质的认识,本文认为,对传输行为限制的本质是一种国家对网络空间行为的管辖权行使,因此不能脱离对这种管辖权的合理性论证。本文第四章是论文较为核心的部分,该部分主要研究TBDF的机制,即其立法者如何针对数据跨境传输进行限制。由于欧盟业已形成完整的TBDF机制,因此主要围绕欧盟展开。第一,第1节标题为TBDF机制的类型和目标,此节主要目的是厘清在全球范围内,TBDF机制主要存在那些类型,并且该机制实施的具体目标是什么。该节首先注意到,TBDF机制系针对个人信息权进行保护的一项机制,因此它与个人信息保护模式的选取密切相关,因此第1节第一部分首先对个人信息保护的几种模式进行了比较。第一种模式是基于信息自决理论的综合性保护模式,欧盟选取了该模式,其所采取的信息自决权理论直接导致了“跨境”因素成为传输限制依据;第二种模式是基于领域理论的美国信息隐私权分散性保护模式,美国法将信息隐私作为隐私权保护的一项分支。而隐私是对于公共领域之外的领域的保护。这种严苛区分隐私领域和非隐私领域,使得并非全部的可识别个人信息均受美国信息隐私法保护,而不具备隐私属性的可识别个人信息不受信息隐私法保护,因此美国分散性保护模限制对象远小于欧盟所确定的范围。此外,该部分还分析了外国民法学界对于个人信息权基础理论的讨论,这部分是我国制定个人数据保护法的关键,也是我国如何选择TBDF规制模式的关键。本文注意到,我国民法学界普遍对欧盟绝对化的个人信息权理论持怀疑和批判态度,个人信息自决权在我国目前的学术领域未能形成共识。从部分立法实践看,又可以发现我国对于信息隐私权存在兼有综合性立法草案,也有分散性立法实践的矛盾状态,这表明我国学界似乎还没有真正就如何进行信息隐私保护达成共识。反映到TBDF规则上,就是鲜有如何规制的讨论。第1节第二部分讨论了TBDF机制的类型。大体分为三种类型:其一,以禁止跨境传输为原则,以允许数据跨境传输为例外。根据允许传输的原因不同,又分为数据传输地法律满足一定条件型(即欧盟充分性认定型)和境内传输者提供担保型(合同型)两种;其二,以促进流通为原则,以限制流通为例外。这种类型的TBDF规则主要见于多边的数据隐私框架,这是因为涉及隐私保护的国际协议大部分是以促进数据跨境流通为基本原则的,而隐私保护是在数据跨境流通中出现的新问题,这一问题不应当成为数据跨境流通的阻碍,但可以基于隐私保护原因准许国家制定相关的数据跨境传输例外。第三种模式是不区分内外,采用相同的传输监管原则。这种模式潜台词是认为网络空间类似于一种全球公域,国家管辖权不必然映射到网络空间。该观点不承认网络空间存在所谓的边境,国家基于一般的管辖原则就可以针对网络空间中的行为实施管辖,而国内法当然适用于发生在境外服务器中的数据传输行为。采用这一模式以美国最为典型。第1节第三部分讨论了欧盟采取限制性TBDF机制的目的。虽然欧盟一直表明,GDPR旨在促进数据自由流通,但前提是数据接收地国或国际组织可以提供欧盟同等的数据保护标准。但显然,其他地区要想达到欧盟的标准需要经过长期的立法转变,并非一朝得以完成。也就是说,欧盟立法客观上限制数据的跨境传输。本文认为,欧盟立法的目的更多是基于经济和政治的考量。欧盟作为技术上较为落后,但市场又极具竞争力的地区,其在经济上占据了相关立法的话语权。且世界上绝大部分国家和地区在数字服务市场均处于较为弱势地位,欧盟立法可以互换这些地区的同理心。此外,欧盟虽然由于技术相对实力和经济相对实力都在走下坡路,但是近年来欧盟一直在通过制定严苛的跨境法规以扩大其在全球市场中的政治影响力,立法业已成为欧盟在当今世界展示影响力的重要手段。就此,本文认为这种通过立法来扩大自身影响力的做法实际上值得我们学习,特别是在TBDF规则的制定方面,我国具有一定的市场优势和技术优势,其规则制定不能人云亦云,应当充分结合自身的产业政策。第二,本章第2节讨论的内容是欧盟TBDF的具体规定,主要围绕GDPR第44条至49条规定所展开,并且结合95指令中的相关规定来研究欧盟规定是如何逐步发展的。欧盟机制下的TBDF机制是建立在数据接收地能够提供与欧盟相似的保护标准的基础上的,第一条路径就是经过欧盟委员会的充分性认定。因此,第2节首先讨论了什么是充分性认定、以及充分性认定的程序和内容以及充分性认定中存在的问题,最后结合中国现阶段的实际情况分析,提出中国无法在整体上满足欧盟的充分性认定标准,但并不意味着该规定对中国而言无任何实际意义。第2节讨论了在不满足充分性认定情况下的TBDF变通机制,在GDPR中,这样的变通机制被称为“受保障的传输”。GDPR下,受保障的传输主要包括标准合同条款(SCC)和约束企业规则(BCR),前者适用于一般企业,而后者由于复杂的程序和高昂的成本仅仅面向具有实力的跨国公司。无论是SCC还是BCR,均是境外的企业主体主动表示受欧盟TBDF规则的管辖,欧盟的管辖是基于涉事企业的同意,即欧盟委员会于企业之间订立的合同。但本文在研究过程中认识到,这两者均存在一个问题,就是双方的合同效力是无法对抗数据接收地国的法律强制性规定。然而,我国立法中,以2019年《个人数据安全出境评估管理办法(征求意见稿)》为例,部分地吸收和借鉴了SCC中的规定,但是未能直接解决合同效力无法对抗法律效力这一问题。此外,GDPR还规定了克减规则,即在缺少充分性认定和受保障的传输机制时,仍然可以通过克减途径获得合法性的数据跨境传输。第三,本文第3节讨论了美欧关于TBDF达成的双边协议,该机制是为了在美欧之间信息隐私法律保护路径的巨大差异的前提下,解决双方的数据跨境传输需求。但安全港协议应斯诺登事件引发的Schrems案,业已废止。且现阶段的隐私盾协议仍然处于不稳定状态中,存在随时被弃用的可能性。该部分最后还讨论了美欧旅客姓名记录协议(PNR),该协议针对具体种类的个人数据,自2004年首次签订至今,经过修改一直沿用至今。这一协议对于构建具体类型的双边TBDF规则具有一定的参考价值。第四,第4节是本章的核心部分,是对上述讨论的一个总结。该部分本文提出了本文的重要观点,就是现行欧盟TBDF规则不仅为数据跨境流通带来了实际的阻碍,且它的实施也并不是充分有效的,不能满足该规则制定的初衷。效果不佳的主要反映在于:一是执法资源不足与数据流量长期增长之间的矛盾,二是欧盟TBDF机制根本上与网络技术发展不兼容。此外,该部分还针对数据传输中违反欧盟机制的原因作出总结,一是欧盟TBDF机制过于复杂,以至于很多企业根本不知悉或熟悉该规则;其次,由于守法成本过于高昂,通过精密计算,很多企业宁愿故意违反TBDF机制也不去遵守。最后,本文就欧盟TBDF机制进行评价,认为其在比较法中客观上是针对数据跨境传输最为完善的一项机制,但是其政策功能大于法律功能、宣誓意义大于规制意义。除此以外,欧盟TBDF机制也并非无任何启示意义,至少它提示后来者要重视市场在数据跨境立法中的关键意义,利用本身的市场优势服务于立法目的。此外,造法能力也是塑造一国国际话语权的关键,我国也应当在国际立法中强化自身的造法能力和说理能力。最后,窥一斑以见全豹子,欧盟的TBDF规则正好反映了全球日益严苛的个人数据保护环境,它似乎像环保议题一样越来越成为关注的的焦点。本文最后一章着重讨论了中国将从以欧盟TBDF立法为主的数据跨境传输法律机制中获得的启示,以及应当如何因应。首先,本文认为应当厘清TBDF机制的监管逻辑,应当是基于国家安全之理由而非个人数据保护,这是因为中国至今未确立宪法性和人权性的个人数据保护权,个人数据保护权的本质是一种个人隐私利益,其应当在民法框架下予以处理。然而,针对个人数据出境限制是一项公法性的措施,它应当建立在更加合理的框架之下,本文坚持认为国家安全是一项合理的限制逻辑。其次,本文还针对美国境外数据收集法(即FISA和云法案)提出相应建议,认为第一,应当在法律中引入数据加密要求。原因在于数据的安全并非基于数据在何地存储,而是基于数据的控制权,即访问权和限制他人访问的权限,数据加密显然比属地化要求更加直击问题所在;其次,数据本地化概念在国际社会评价较为负面,它常常被视为一项新型的贸易壁垒被予以批判,因此应当严格的限制《网络安全法》第37条中的数据本地化适用范围。最后,本文还以第三国视角分析中国政府及中国企业应当如何应对欧盟范式下的TBDF机制,对政府建议是以自贸区为基础建立欧盟标准的数据安全港以吸引境内外互联网企业。对大型互联网企业而言,在现行环境下,可以采用BCR实施与欧盟间的合规性数据传输,对一般企业可以考虑以SCC模式进行合规性传输。