即可将网页分享至朋友圈
伴随着信息技术的快速发展和普及应用,数据跨境流动的全球治理逐渐成为近年来的焦点议题。从技术层面来讲,数据跨境流动是指数据跨越主权国家边界的运动,在当前主要体现为数据基于通信系统在不同国家之间进行传输、存储、处理的现象。
现实需求推动全球治理
事实上,数据跨境流动并非新事物,长久以来的跨国邮件也可被视为广义上的数据跨境流动(或称为信息跨境流动)。伴随着电报的发明,现代意义上的数据跨境流动(更多以电子或数字形式)开始出现,并在集成电路、计算机、互联网等信息技术的推动下日渐发展,以致成为当前蔚为大观的全球现象。与货物、服务的跨境流动类似,数据在客观上要求自由流动以实现其潜在价值,而全球互联网的兴起与普及也推动了数据跨境流动在广度和深度上的本质性提升。而与货物、服务不同的是,数据本身与个人权利、公共安全等社会价值和政治价值紧密相关,其重要性伴随着信息社会的成熟不断凸显。
在此背景下,各国从不同价值理念出发形成了不同的数据规制制度,对从技术上完全可以实现的“数据自由流动”在政策层面作出了不同程度的限制。对于数据流出国而言,确保其规制需求在数据流入国同样能够得到保障,是其核心诉求;而对于数据流入国而言,基于主权的司法管辖权成为其抵制数据流出国规制需求的合法屏障。因此,不同国家的规制制度差异自然导致了数据跨境流动的制度屏障,而形成能够兼顾各国规制需求与数据流动需求的全球治理机制与体系,便构成了数据跨境流动全球治理的主要议题。
近年来,以微软诉美国(Microsoft Corp. v. United States,2015)、谷歌诉西班牙(Google v. Spain,2014)以及欧美《安全港协议(Safe Harbor)》(2015)破裂等一系列事件为标志,数据跨境流动出现了越来越多的国际争端,因此形成的数据本地化、数据审查等政策趋势有可能进一步加剧全球数据流动现象的破碎化程度。在此背景下,我们有必要反思导致数据跨境流动冲突的根源及其在当前的变化与发展,并在此基础上探索实现全球共识的可能路径。
总体而言,主权国家针对数据跨境流动的规制制度主要基于两条合法性需求:对于公民隐私权利的保护,以及对于公共安全的保护。一方面,公民隐私权利被视为与言论自由、信息自由处于同等地位的公民基本权利,不同国家在不同程度建立了保护公民隐私权利的法律体系。然而,隐私权利作为法律概念本身的含糊性、不同国家对于隐私权利理解的差异性,都决定了各国难以在全球范围内实现制度的统一。另一方面,数据安全正在伴随着信息技术的普及与应用在全球范围内引起重视。各国在承认数据自由流动重要性的同时,也逐渐意识到全球范围内数据权力的不均衡,以及他国可能以行政权力干涉甚至监控本国数据流动的可能性。这一担忧在“斯诺登事件”之后达到了顶点,并被转化为政策现实。当前世界主要国家都将数据安全提升到了战略高度,以抵制他国的数据监控或其他数据安全风险,而这也不可避免地造成了数据跨境流动的障碍与争端。
治理机制不断创新
就已有的治理经验而言,缓解主权国家对于隐私和安全的担忧以实现数据跨境流动的全球治理主要存在两种机制:一是基于主权国家间的共识原则,二是基于数据流动相关主体间的合同原则。
就前一机制而言,即使存在制度差异,不同国家仍然能够通过双边/多边协议或其他机制实现政策共识。1970年美国和瑞士达成的《公平信息实务准则》(Fair Information Practice Principles)和1981年经合组织形成的《隐私权和个人数据跨境流动保护的指导原则》(Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data),都可被视为相关共识的典范。更重要的是,即使国家间未能形成协议,但如果数据流出国承认并接受数据流入国国内制度在数据保护方面的效力,数据跨境流动的障碍仍然能够得以消除。这方面的典范便是1995年欧盟《数据保护指令》(EU Data Protection Directive)中提出的“充分原则”,即欧盟将对数据流入国的法律体系进行评估,如果认为后者能够达到欧盟所认可的“充分保护”标准,则允许其数据跨境流动。
就后一机制而言,当不同国家的制度差异实在难以调和时,聚焦数据跨境流动过程中相关主体的风险责任并以合同的形式确立相应责任分配原则,则成为另外一种可能的治理机制,比如2000年欧盟与美国达成的《安全港协议》。在不强迫美国改变国内法律监管环境,但同时欧盟也明确拒绝承认美国监管措施等效于欧盟标准的情况下,《安全港协议》直接要求参与数据跨境流动的美国公司遵守欧盟规则而不要求对整个国家的法律体系进行改革。为保证数据流动相关主体责任的落实,美国企业或者选择接受欧盟独立机构的监管,或者由美国联邦贸易委员会进行监督。
探寻治理新途径
上述两种机制在一定程度上实现了数据跨境流动的全球治理,但其仍然存在潜在缺陷。国家之间的共识可能在数据霸权行为(例如“斯诺登事件”)的冲击下破裂,而基于合同的责任原则则可能因缺少有效的管理与追责机制而失效。这也正是近年来数据跨境流动争端频发的原因所在。面对诸多挑战,各国政府及相关主体仍然在围绕相关机制的完善进行不懈努力。不过伴随着全球政治经济背景的变化,不同于隐私与安全这两种核心诉求的第三种诉求正在出现,而相应的治理机制创新也可能成为解决数据跨境流动冲突的新途径。
导致这一变化的原因,主要在于全球贸易结构的变化以及相应的全球化进程变迁。20世纪以货物和金融贸易为基本特征的全球化进程,正在逐渐被跨境数据流动以及依托于此的数字经济所替代。麦肯锡2016年发布的咨询报告显示,自2008年以来,全球货物和金融贸易增长就陷入停滞状态,而跨境数据流动的体量却在2005年后的10年间增长了45倍。全球范围内86%的技术创业企业具有跨境业务,而超过9亿社交网络用户具有国际联系,3.6亿网民参与过跨境电子商务。在此背景下,在自由贸易框架下讨论数据跨境流动,便成为另一条可选路径。
早在1980年代,美国就认为欧盟以及加拿大对于数据跨境流动的担忧以及相应数据保护制度的建立,主要源于各国政府对于国内产业和市场的保护,而非对于隐私或安全的保护。美国彼时对数据跨境流动的主要诉求体现在以下五点:信息的自由流动、支持发展中国家信息资源的可得性、降低信息产品及服务贸易的关税或非关税的贸易壁垒、合理的通信政策、以互相尊重的态度建立信息资源冲突的解决机制。而欧盟则在《服务贸易协定》的谈判中提出,考虑到当前数据权利已经在全球范围内形成共识,加强数据保护并不会形成贸易壁垒,反而可能是重塑消费者信任、挖掘数据价值的机会和策略,因而数据保护将促进全球贸易。
可见,从贸易角度来探讨数据跨境流动的全球治理仍然存在诸多争议。即使如此,伴随着数据跨境流动在全球贸易进程中重要性的日趋凸显,这一不同于隐私、安全的第三种视角将可能蕴含着更多制度创新的可能性。即使是相当重视隐私和安全保护的欧盟,也在通过建立数字统一市场、发展数字经济等方式积极推进数字贸易。正是在这一点上,全球不同国家具有相当共识,并可能在此框架下探索未来数据跨境流动全球治理的新路径。
(作者单位:电子科技大学公共管理学院)
报道链接:http://www.cssn.cn/zzx/201903/t20190327_4854398.shtml
编辑:陈伟 / 审核:陈伟 / 发布:陈伟
