刘云:中美欧数据跨境流动政策比较分析与国际趋势(网络安全法 跨境)
跨境小T同学 电商综合 2023-01-10 18:01:45 · 热度999

2020年9月,国务委员兼外长王毅在全球数字 | 治理研讨会上提出《全球数据安全倡议》(以下简称《倡议》)。根据《倡议》内容,各国不得强制境外数据本地化存储,不得绕过他国法律直接向企业或者个人调取境外的数据,应当通过司法协助和多双边协议解决跨境数据调取需求,跨境调取数据应当尊重他国主权、司法管辖权和对数据的安全管理权。在推动《倡议》形成更广泛国际共识的过程中,需要避免落入数据本地化的质疑和跨境流动的陷阱,应充分了解美国、欧盟为代表的数据跨境流动模式,建立和平、安全、开放、合作、有序的网络空间命运共同体。

No.1

美国以反数据本地化的方式推行数据霸权

美国长期致力于树立数据跨境流动政策反数据本地化、维护自由贸易的形象。奥巴马政府时期签订的《跨太平洋伙伴关系协定》(TPP)第14.13条规定,缔约方不得将要求受约束的组织和个人使用该缔约方领土内的计算设施或者将设施置于其领土之内作为在其领土从事经营的条件。尽管特朗普政府退出了TPP,但是,2018年签署的《美国一墨西哥一加拿大协议》(USMCA)完全吸收了上述规定,美国也在与英国、日本、韩国等谈判的贸易协议中,积极推广上述反数据本地化政策。

美国智库和政府中存在专门围堵中国数据本地化政策的意见和措施。美国华盛顿的信息技术与创新基金会(Informaition Technology and Innovation Foundation)在其2017年发布的报告《跨境数据流动:障碍在哪里,成本是多少》(Cross-Border Data Flows:Where Are the Barriers , And What Do They Cost?)中,建议特朗普政府针对中国的数据保护政策采取法律措施。美国国会参议员乔什·霍利(Josh Hawley)在2019年提交了《国家安全和个人数据保护法议案》(National Security and Personal Data Protection Act),明确将中国、俄罗斯和国务卿指定的其他国家列为遏制对象,禁止在美国提供服务的中国应用开发者在中国存储数据,禁止美国公司在中国存储美国公民数据。尽管该议案尚未通过,但是,美国近年来发起一系列针对中国科技企业的打压行为,都反映出美国所谓的数据安全防控意识,力图将中国企业围堵在美国乃至全球网络空间之外。2020年8月,美国国务卿蓬佩奧宣布发起针对中国的“清洁网络"(Clean Network)计划,发布专门打压TikTok(抖音海外版)和WeChat(微信海外版)的两份行政令,并且意图在亚太经合组织(APEC)隐私框架下通过新的跨境转移数据缔结的跨境隐私保护规则体系(Cross-Border Privacy Rules)排挤中国。

美国倡导消除数据本地化政策与其强大的互联网企业密切相关。除了谷歌、脸谱、亚马逊、微软、苹果等一批本土巨头企业外,几乎所有国际化科技企业都会在美国设立分支机构。在这种市场分布状态下,倡导数据全球自由流动,推行较低的数据安全保护要求,实际上是为数据向美国流动营造有利的政策环境。美国的数据霸权政策并未取得广泛支持,相当一部分国家直接或者变相反对美国的数据自由流动政策。欧盟直接拒绝了美国倡导的反数据本地化要求,并且一度将美国认定为“不充分保护国家”。韩国在与美国重新签署的《美韩自由贸易协定》(K0RUSFTA)中,将反数据本地化规则修改为“避免对跨境的电子信息流施加或维持不必要的障碍”,由此对数据跨境流动进行必要控制、保留的出口。美国在对外推销反数据本地化政策的同时,于2018年2月通过了《澄清域外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act),即《云法案》(CLOUD Act),通过国内立法的方式授予本国广泛的数据权力。根据《云法案》,美国依其国家利益采用“数据控制者标准”划定管辖范围,无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按《存储通信法案》(Stored Communications Act)所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control),都可以成为调取数据的来源。此外,《云法案》允许“符合资格的外国政府”在与美国政府签订行政协定后,向美国境内的组织直接发出调取数据的命令,美国也相应可以向协议国境内的组织直接调取数据。在签订《云法案》相关的双边协议过程中,美国设立的一项条件就是取消数据本地化政策,由此让需要从美国调取数据的国家将更多的数据流向美国,最终的结果就是对美国产生更强烈的依赖。

需要说明的是,美国在推广数据自由流动政策的同时,并未放开国内重要数据的管控措施。美国外资安全审查委员会(CFIUS)具有广泛的权力阻止外资企业损害美国国家安全,可采取的措施包括要求国外网络运营商与电信小组签署安全协定、要求通信基础设施位于美国境内,以及要求通信数据、交易数据、用户信息等仅存储在美国境内。此外,美国对军用和民用相关技术数据跨境实施许可管理制度。根据《出口管理条例》(Export Administration Regulation)和《国际军火交易条例》(International Traffic in Arms Regulations)分别对非军用和军用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时,必须获得法律规定的出口许可证。其中,美国法律对数据出口的管理范围非常宽泛,即使是向美国境内的外国公民传递数据,也被视为是出口。

No.2

欧盟建立附条件的数据跨境自由流动规则

刘云:中美欧数据跨境流动政策比较分析与国际趋势(网络安全法 跨境)

欧盟致力于在成员国内部推动数据自由流动,但是,德国、法国等出于维护本国数字经济利益的需要而支持必要的数据本地化政策。欧盟在2016年颁布的《通用数据保护条例》(GDPR)和在2018年颁布的《非个人数据自由流动条例》(Regulation on the Free Row of Non-personal Data),分别对个人数据和非个人数据采取不同的跨境流动策略。

根据《通用数据保护条例》,个人数据可以在欧盟成员国内自由流动,但是,个人数据流出欧盟成员国必须满足法律所规定的条件。欧盟以是否达到“充分保护”作为首要参考规则,可以认定一国、一个区域、一个或多个特定行业或者一个国际组织具备充分保护水平,准许这些符合条件的地区、行业、组织与欧盟进行自由的数据跨境流动。欧盟目前已经认可的充分性保护地区包括安道尔、阿根廷、加拿大(仅限商业组织)、以色列、日本、新西兰、瑞士、乌拉圭,以及分别隶属于丹麦、英国的法罗群岛、根西岛、马恩岛、泽西岛。除此之外,非获认定地区的各类组织和企业可以根据欧盟认可的标准合同条款、约束性公司规则、行为规范、认证机制,或者获得数据主体的明确同意等特定减损情形,作为个人数据流出欧盟的合法根据。

在《非个人数据自由流动条例》发布之后,欧盟在2019年5月发布了《欧盟内非个人数据自由流动框架条例指南》(Guidance on the Regulation on a Framework for the Free Flow of Non-personal Data in the European Union)。欧盟旨在实现成员国内非个人数据的自由流动,激励各行业在数据服务提供商的转换和数据传输方面制定自律行为准则,禁止成员国对非个人数据的本地化要求做出规定,只能基于符合比例原则的公共安全理由做出例外要求。欧盟建立了一个合作机制,确保各主管当局能够继续行使访问其他成员国正在处理的数据的权力。然而,该条例并不能解决非个人数据向欧盟之外流动的法律要求。

欧盟的数据流动政策制定者在考虑个人信息权利保障的同时,也积极考虑对欧洲数字经济发展利益的影响。欧盟在2020年2月发布的《欧洲数据战略》(A European Strategy for Data)没有直接提及数据本地化的要求,致力于构建自由而积极的数据流动体系,但是,要求构建促使更多数据在欧盟境内存储和处理的环境,在2021年底建立欧洲数据流分析框架以监测和维护欧洲在数据跨境流动中的战略利益。此外,《欧洲数据战略》将维护公共安全、秩序和其他合法的公共政策目标作为数据自由流动的例外。欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)在2018年提出,欧盟的隐私条例应该要求数据在欧洲进行物理存储;其在2020年1月向立法者提出建议:在欧洲产生的数据应该在欧洲处理。布雷顿是法国总统马克龙的盟友,其观点得到欧洲各国数据保护、网络安全和外交官员的高调支持,其中包括德国经济部长彼得·阿尔特迈尔(Peter Altmaier)。阿尔特迈尔寻求推出名为Gaia-X的本土云存储服务,以使欧洲的云数据存储不再依赖外国供应商。阿尔特迈尔在2019年底宣布该项目时指出,欧洲需要“确保数据主权的数据基础设施”。德国在立法和实践方面,已经成为数据主权的重要倡导者。

No.3

中国以数据主权安全为数据跨境流动的前提

中国数据跨境流动始于重要数据保护的相关立法。2006年,中国颁布《电子银行业务管理办法》,确立金融数据存储地应兼顾外资企业的需求,要求中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内,外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。此后,2011年的《关于银行业金融机构做好个人金融信息保护工作的通知》、2011年的《保险公司开业验收指引》、2013年的《征信业管理条例》、2014年的《人口健康信息管理办法(试行)》、2015年的《地图管理条例》、2016年的《网络出版服务管理规定》、2016年的《网络预约出租汽车经营服务管理暂行办法》、2016年的《网络安全法》、2020年的《数据安全法(草案)》和2020年的《个人信息保护法(草案)》等,均对数据的本地化存储做了明确要求。

《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这是中国第一次对数据跨境流动做出统一规定,提出了中国数据主权的典型要求,也引发了国际社会的广泛关注。相比于(网络安全法》突出数据本地化,《数据安全法(草案)》则兼顾了数据跨境流动的需要。其第10条规定:"国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”该草案明确将数据自由流动作为中国支持的一项原则,但是其前提是能够保障数据跨境安全。此外,《数据安全法(草案)》第32条和《个人信息保护法(草案)》第三章为数据跨境流动需求提供了有效的机制安排。

刘云:中美欧数据跨境流动政策比较分析与国际趋势(网络安全法 跨境)

中国的发展面临西方国家价值观的敌视,这导致中国的主权安全威胁在网络空间更加严峻,美国对中国实施的科技围堵进一步印证了这种危险是客观存在的。据此,保障数据必要的保密性、完整性和可用性得以实现,成为中国数据安全相关立法的重要需求。此外,尽管世界各国对重要数据的跨境流动限制普遍存在,中国立法中也存在数据自由流动的机制安排,但是中国立法技术的不当处理引发了误解,导致相关问题成为国际社会关注的焦点问题。为此,《倡议》再次声明中国在数据跨境流动议题上的基本诉求,这些要求契合大多数国家的法律实践,除了在国际社会继续推动《倡议》的影响力外,还需要进一步在中国国内立法过程中采取科学的立法技术推进相关措施的落地。

No.4

全球数据主权与数据流动的平衡趋势

世界经济朝着数字化方向转型,数据驱动的趋势越来越明显,确保数据的安全、自由流动是普遍需求。同时,数据安全具有基础性、牵连性的效果,数据跨境流动政策都必然服务于本国的政治、经济利益。美国正在通过强势的外交政策推动数据自由流动和针对中国的数据封锁,这引发了印度等国家和地区的跟从。欧盟以《通用数据保护条例》的保护主义管辖权维持可控的个人数据流动,德国和法国在数字经济发展战略中意图利用数据本地化设施建设为欧洲利益服务。中国推动的《全球数据安全倡议》符合独立自主、发展中国家的发展利益,可以避免遭受数据霸权的控制。然而,如何建立具有国际共识、统一框架的方案协调数据主权和数据流动需求成为难点。

在过去的实践中,经济合作与发展组织(OECD)于1980年/1993年制定了《关于隐私保护和个人数据跨境流动的指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),联合国大会在1990年通过了《计算机处理的个人数据文档规范指南》(Guidelines for the Regulation of Computerized Personal Data Files ),亚太经合组织在2005年通过了《隐私保护框架》(Privacy Framework)(2015年修订),但是,这些规定都是由西方国家主导制定,尚未充分体现数据跨境流动的公平利益和国家安全的关切。近年来,日本政府借助世界经济论坛(World Economic Forum)和20国集团(G20)等在2019年提出了“可信任的数据自由流动”(Data Free Flow with Trust, DFFT)概念,希望在保障国内和国际法律框架都得到应有尊重的条件下,增强每个框架之间的互操作性,以促进数据更自由地流动。DFFT不依赖于单一的合作论坛,而是依赖于国际贸易、法律法规、技术和其他治理领域,利用各种双边、多边、区域、国际机制,确定面向政府、企业或用户的具有约束力和非约束性的规则,提出了十余项基本原则供各种机制推动实现。这种松散的实现方案会导致其实际作用大打折扣。

中国、美国、欧盟等主要国家和地区共同参与的数据流动框架是国际社会所缺乏的,这一缺漏也许可以借助世界贸易组织做出合理的安排。2017年12月,71个世界贸易组织成员方在世界贸易组织第11次部长级会议上发布了《电子商务联合声明》(WTO Joint Statement Initiative on E-commerce, JSI),重申全球电子商务的重要性及其为包容性贸易和发展所创造的机会。2019年1月,76个世界贸易组织成员方发布了一项新的声明,一致同意制定一个谈判日程,希望启动制定新的电子商务规则谈判,中国自此开始成为JSI行动的积极参与成员之一。在这一机制中,只有承认数据主权、有效保护重要数据、促进个人数据有序流动,才能实现符合中国预期的安排。

尽管网络空间的国家界限模糊,但是,从法律和实践的角度看,具有现实控制力的地理位置仍然很重要。通过必要的数据本地化或者跨境控制措施,将显著促进维护网络空间主权,可以获得数据,即确保本国公共机构可通过法律或技术途径获取开展公务所需的数据;保护隐私,即避免本国公民遭受来自外国政府和企业的监控;防止外国侵入,即阻止其他国家为了不良目的而获取本国公民的数据;实现内容管制,即确保国家机关能够对网络信息内容进行管控,以符合本地的法律要求;促进经济发展,即通过积累数据的方式促进和保护当地科技产业。

网络空间是一个共享领域,需要国家和全球层面的利益相关者分担责任。在《全球数据安全倡议》基础上,中国需要通过双边或者多边协议推动更多国家对中国数据保护水平的认可和有序的数据跨境流动。在中国加入的区域和国际组织中,推动数据跨境流动公约的制定和完善,也需要不断深化。

刘云:中美欧数据跨境流动政策比较分析与国际趋势,载《中国信息安全》2020年第11期网络安全法 跨境网络安全法 跨境,第75-78页。

文章推荐
跨境小T同学
2023-02-21
10152

《中华人民共和国电子商务法》对规范跨境电商的作用和意义丨研究(跨境电子商务是什么意思)

2018年8月31日,十三届全国人大常委会第五次会议通过了《中华人民共和国电子商务法》。也有人将对跨境电商的规范作为电子商务法一大亮点。从这个方面讲,电子商务立法对跨境电商的规范,确实是一个标志性事件。根据电子商务法第二条,“中华人民共和国境内的电子商务活动,适用办法。
电商综合
跨境小T同学
2023-02-21
10694

跨境并购交易中,需要特别注意的四个条款(跨境并购 大路条)

因此,对于其中的交易逻辑的设计以及具体条款的措辞等,需要律师投入极大的责任心和关注度。一般情况下,跨境并购交易主要采用欧美交易文件的格式和内容,合同结构相对标准化。在主交易文件中,最重要的条款为卖方与目标公司的陈述与保证条款,通常可以占到整个合同的1/3的内容。总结起来,在交易文件中我们需要特别注意以下四个条款:跨境并购交易条款中存在着哪些风险和雷区?跨境股权转让协议的主要风险点
电商综合
跨境小T同学
2023-02-20
8524

“山姆”名称遭擅用,沃尔玛将这几家公司告到了法院! 结果……(达伦多跨境体验店)

1996年,沃尔玛中国投资有限公司(下称沃尔玛中国公司)在深圳市投资设立了中国第一家山姆会员商店。“山姆”,遂以三公司构成不正当竞争为由将其诉至法院。关于“山姆”是否构成“有一定影响的服务名称”,法院认为,山姆会员商店遍布在全国十几个城市,经营时间长,经营地域广,经过多年的经营、宣传,山姆会员商店提供的会员制百货零售服务知名度不断提升。
电商综合
跨境小T同学
2023-02-20
8549

谨防传销!綦江警方就破获一起以“外汇投资”为噱头的跨境组织领导传销活动..(跨境 传销)

据犯罪嫌疑人冯某介绍,自己在网络上看到了关于“炒外汇,赚美金”的宣传广告,出于好奇就与对方联系,仔细询问起来。事后,经依法查明,“普顿”外汇投资网站在全国各地以拉人头加盟的方式,利用网络交易平台从事外汇炒作,涉嫌跨境组织领导传销活动,涉案金额特别巨大。专案组初步查明了该犯罪团伙的组织架构、层级关系、牟利方式、骨干成员情况,并将犯罪嫌疑人一一抓捕归案。
电商综合
跨境小T同学
2023-02-20
9500

两辆跨境货车入境澳门,四人被起诉(澳门跨境工业区口岸)

本月11日上午,一辆早前被锁定的目标货车经港珠澳大桥澳门口岸进入本澳,关员根据部署展开跟踪行动,待货车驶至北区一工业大厦,并将一批货物转移至另一辆货车时,海关立即行动,在接应货车上,查获一批未完税香烟,合共270,800支,2名涉案男司机被带返海关作进一步调查。
电商综合
跨境小T同学
2023-02-20
9500

两辆跨境货车入境澳门,四人被起诉(澳门跨境工业区口岸)

本月11日上午,一辆早前被锁定的目标货车经港珠澳大桥澳门口岸进入本澳,关员根据部署展开跟踪行动,待货车驶至北区一工业大厦,并将一批货物转移至另一辆货车时,海关立即行动,在接应货车上,查获一批未完税香烟,合共270,800支,2名涉案男司机被带返海关作进一步调查。
电商综合
跨境小T同学
2023-02-17
6945

全省打击治理跨境赌博新闻发布会全文实录(云跨境彩票)

5月14日下午3时,江苏省公安厅召开新闻发布会,通报全省打击治理跨境赌博工作有关情况。欢迎来参加在省公安厅召开的新闻发布会,今天发布会的主题是通报全省打击治理跨境赌博工作的有关情况。强化全省网络举报志愿者队伍建设,督促全省141家已公布举报受理方式网站及时处理网民举报问题,充分调动广大网民参与涉网络赌博举报的积极性,全面提升跨境网络赌博问题发现能力。
电商综合
跨境小T同学
2023-02-16
8160

打好中越边民纠纷化解“三张牌”(中越跨境民族)

打好“基础牌”涉外调解网络全覆盖打好“机制牌”联合化解涉外纠纷《关于进一步加强中越陆地边境地区(广西)涉外民间纠纷调解工作的指导意见》《崇左市跨境(越南)人民调解工作制度》《中越(崇左)边民跨国民间纠纷化解机制》《关于开展跨国民间纠纷人民调解工作的实施意见》……近年来,随着这一系列文件的相继出台,令中越双方边民纠纷调解的工作职责、工作原则和工作程序得以明确,双方涉外纠纷化解的合作联动有力推进。
电商综合
跨境小T同学
2023-02-09
12872

解读|跨境物流中货代的法律地位和风险防范(跨境货代物流)

在传统贸易的国际物流已不能完全覆盖跨境电商的需求时,有了跨境物流。随着,货代的独立经营人业务范围的扩展,法律地位也将产生差异:一份为:货代和实际承运人(船公司、航空公司)之间的运输合同,分清货代的法律关系、责任、地位和权利,也就是为避免承担法律责任,是不可被忽视的重要问题。货代的法律风险结合司法实践,货物价值应当依据报关单、商业发票以及货物的实际价值进行综合判断。
电商综合
跨境小T同学
2023-02-08
9597

拘禁逼赌、网游内置……这些跨境赌博新花样,别“跳坑”(跨境借款)

最近几年,一些犯罪团伙利用境外赌场、赌博网站,诱使国内参赌人员落入跨境赌博的重重陷阱之中。”信息里,董先生在境外认识的一个“放码客”邀请他到境外赌博,还承诺可以“放大码”,也就是提供大的赌博筹码。足不出境,也有可能陷入跨境赌博陷阱。公安部国际合作局副局长牛海峰说:“我们通过案件分析发现,很多赌博网站在后台控制输赢的比例,网络赌博可以说是十赌十骗,十赌十输。抢劫来的钱当场又投入了赌博平台,再次输光。
电商综合
1
2