【摘要】 数字经济时代,数据跨境自由流动与数据隐私保护之间的冲突日益突出。在隐私保护的价值预设和制度设计方面,美国主导的“市场话语”和欧盟主导的“权利话语”存在严重分歧。在贸易规制协调与合作的语境下处理数据隐私保护问题有助于欧美之间达成“浅层次”的共识。就灵活性和可行性而言,美国主张的“原则 例外”规制模式优于欧盟提出的国际统一标准规制模式。鉴于该模式可容纳中国倡导的网络安全价值,中国应予以支持。
【中文关键词】 贸易规制;数据隐私保护;数据跨境自由流动
数字经济是指以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。[1]在经济全球化的背景下,数据能否跨境自由流动直接影响到数字经济的发展。[2]同时,作为信息载体,数据跨境自由流动也会引发诸如国家安全、公共道德和个人隐私保护等正当政策关切。其中,个人数据隐私保护因为涉及面广泛而备受关注。由于各主要国家关于数据隐私的价值定位和制度设计各不相同,必然会就如何保护个人数据隐私产生分歧。在此情况下,如何妥当解决数据隐私保护与数据跨境自由流动之间的冲突,促进贸易自由化,同时不过分限制各国规制空间,成为数字经济时代国际社会必须要解决的顶层设计问题之一。[3]
一、数据隐私保护与数据跨境自由流动的冲突及制度回应
(一)数字经济全球化背景下数据隐私保护与数据跨境自由流动的冲突
早在1990年代后半期,数字经济已在美国初现端倪,后逐渐扩充到世界各地。数字经济不仅仅是传统经济的互联网化,而是一种新的经济业态。其中,信息数字化与互联网相结合构成一种有别于传统的通用技术。该通用技术的历史地位类似于蒸汽机和电力,能够激发大量新的可能组合,促进经济发展,主要表现为四个方面:传统行业生产能力的增强,行业内部经济活动的重构,市场效率的提高以及新产品和新行业的兴起等。[4]
当前,数字化、网络化、智能化的信息通信技术使现代经济活动更加灵活、敏捷、智慧。互联网、云计算、大数据、物联网、金融科技与其他新的数字技术被应用于数据的采集、存储、分析和共享,推动了智能制造、个性定制、协同生产和其他新型生产方式和商业模式的发展。在这一背景下,数据本身成为重要的生产要素和市场资源。[5]数据是信息得以形成的事实或细节,一般情况下,零星、分散的数据很少发挥作用,只有把数据放置在某一具体语境下进行加工、组织、构造或展示,才可能构成关于某一特定事件或主题的信息。因此,数据是杂乱的可被计算机读取的信息,信息是处理后的可被人类理解的数据。
就技术层面而言,数字经济天然无地域限制,数据跨境流动的成本与国内流动的成本也相差无几。理论上,如果数据可以跨境自由流动,则以互联网平台为依托的数字经济一开始所对应的不再是国内市场或区域市场,而是一个真正的全球化市场。对于从事国际经营的企业而言,利用智能互联网技术在全球系统地获取各类信息和进行趋势预测,可以增强其核心竞争力,真正做到以人为中心。然而,未来的各行各业愈是以人为中心,[6]则愈是难以回避一个问题:当企业利用数据挖掘和大数据技术获取、分析、利用具有高度可识别性的用户画像(user profile)时,如何保护个人隐私?
当前,就如何保护个人数据隐私,各国规定不一。[7]仅从国内市场角度来看,旨在保护数据隐私的措施,如强制性的数据收集、加工、分析和使用规则不会根本性地影响到企业之间的竞争关系,毕竟从事数字经济的各类企业所承受的制度成本基本一致。然而,如果将个人数据隐私保护问题放置在市场全球化的背景下考察,则竞争场域不平等以及国内数据隐私保护不周全的问题将会凸显。前者主要表现为,在全球从事贸易、投资或金融业务的企业不仅要遵守公司或行为所在地的数据隐私法,还可能要遵守数据来源地或应用地乃至数据主体所属国的相关法律规定;后者主要表现为,数据一旦出境,则数据来源地、应用地或数据主体所属国的法律很可能鞭长莫及,囿于某一管辖区域的个人数据隐私保护效果不彰。因此,如何妥当处理数据隐私保护与数据跨境自由流动之间的冲突成为一个亟待解决的难题。
(二)平衡数据隐私保护与数据跨境自由流动冲突的制度回应
数字经济的发展依赖于数据跨境自由流动,而数据跨境自由流动会引发数据隐私保护不足的问题。当前,主导国家主要利用国际协调与合作机制,对数字经济全球化引发的特殊冲突作出回应。相关模式大致可分为三类:多边模式、双边或区域模式以及单边模式。
多边模式的雏形源于世界贸易组织(wto)下辖的服务贸易协定(gats)。wto协定是互联网尚未普及的前数字经济时代的产物。在乌拉圭回合期间,数字经济处于萌芽状态,很少有条文专门针对数字贸易。wto成立之后,成员方除了在1996年就信息技术产品贸易和基础电信服务达成协议之外,再无其他突出成果。[8]不过,由于wto的制度框架相对完善,当数字贸易争议提交至贸易争端解决机构(dsb)时,专家组和上诉机构仍可通过条约解释加以应对。比如,在us - gambling案中,专家组认为,如果一成员在具体承诺表示市场准入一栏就跨境服务提供方式不加限制,则意味着涵盖以任何方式提供的该类服务,包括技术进步之后引入的新方式。专家组强调,这一“技术中立”原则已成为诸多wto成员的共识。[9]问题是,即便通过“技术中立”原则将wto成员限制数据自由流动的措施纳入gats的管辖范围,该类措施很可能符合gats第14(c)(ii)项下的例外:一国可采取或实施必要措施使相关法律或法规得到遵守,只要该法律或法规内容涉及“保护与个人数据处理和传播有关的个人隐私及保护个人记录和账户的机密性”。因此,在gats项下,数据跨境自由流动面临法律上的双重不确定性:一是数据跨境自由流动并非原则,而是具体承诺,需要专家组个案认定;二是任何涉及数据隐私的法律和法规均可能限制数据跨境自由流动。为消除法律上的不确定性,一些wto成员,如美国、欧盟、日本、加拿大、澳大利亚、韩国等于2013年启动专门的服务贸易协定(tisa)谈判,以实现更大的市场准入承诺和更深层次的规制安排。[10]值得注意的是,就数字贸易而言,tisa禁止当地存在、当地含量和其他运行要求。[11]由于欧美在诸多关键问题上存在对立,谈判各方能否就tisa文本最终达成一致并顺利生效还有待观察。
双边模式或区域模式因是否由欧美主导而分为三种类型。(1)美国主导模式,倾向于数据跨境自由流动。自2002年以来,美国已与澳大利亚、巴林、智利、摩洛哥、阿曼、秘鲁、新加坡、中美洲诸国、巴拿巴、哥伦比亚以及韩国等签订双边自由贸易协定。协定中的电子商务、跨境服务、信息通讯技术合作和知识产权保护等章均涉及数字贸易,并规定了贸易自由化的原则。在美韩自由贸易协定的跨境服务一章,相关条款禁止新设数字贸易壁垒。[12]除双边协定之外,美国还主导了跨太平洋贸易与投资伙伴关系协定(tpp)谈判,缔约各方就数字贸易达成了丰硕成果。其中,电子商务一章共18个条款,基本以美国的数字贸易规制模板为原型,内容涵盖国内电子交易框架、线上消费者保护、个人信息保护、通过电子方式跨境传输信息、互联网互联费用分享、计算设备的安置、源代码以及争端解决等方面。[13](2)欧盟主导的模式,倾向于数据隐私保护。如加拿大-欧盟双边贸易协定特设专门条款针对电子商务中的信任和隐私问题,并要求缔约方采取或维持法律、法规或行政措施,参照国际数据保护标准,保护电子商务使用者的个人信息。[14](3)美欧抗衡的模式,数据隐私保护与数据跨境自由流动诉求相持不下。在跨大西洋贸易与投资伙伴关系协定(ttip)谈判中,障碍之一是欧盟将数据隐私上升到基本权利和自由的高度。如schrems案所揭示的那样,欧洲法院倾向于严格审查欧盟委员会任何可能背离保护个人隐私和个人数据的行为。由于此类权利和自由不容减损,致使谈判举步维艰。受schrems案的影响,欧美之间重新缔结隐私盾协定,代替被欧盟法院认定为非法的安全港协定。[15]
单边模式集中体现为欧盟的相关指令和条例。在数字经济发展初期,欧盟意识到,各成员国关于数据处理的个人隐私保护水准各有不同,该不一致很可能影响到数据在欧盟市场的自由流动。“为消除个人数据流动障碍,与此类数据加工有关的个人权利和自由的保护水准应在成员国之间等同。”[16]鉴于单一成员国难以完成该目标,欧盟制定了1995年的《数据保护指令》(以下简称“1995指令”,directive 95/46/ec),促使各国数据隐私法的规定相互接近。在1995指令中,欧盟强调,各国关于数据加工的国内法旨在于保护基本权利和自由,特别是隐私权,该权利和自由为《保护人权和基本自由欧洲公约》第8条所承认,因此,使各国法律相互接近的目的不是要削弱保护,而是要在欧盟层面确保高的保护水准。这意味着,欧盟所建构的是一种以高保护水准为前提的数据自由流动内部市场。根据该逻辑,只有当第三国“确保充分保护水准”时,个人数据才能在欧盟和第三国之间自由流动。[17]由于各国在实施1995指令的过程中存在碎片化现象,影响到数据在欧盟成员国之间的自由流动,2016年,欧盟通过新的《一般数据保护条例》(以下简称“2016条例”,regulation (eu)2016/679),确保各国保护水准的一致性。与此同时,“2016条例”延续了“1995指令”关于跨境数据流动的规制措施,即数据跨境自由流动应以第三国提供充分的数据保护水准为前提。
综上所述,数字经济背景下数据隐私保护与数据跨境自由流动之间的冲突已然成为争议焦点。在gats允许各国以数据隐私保护为名限制数据自由流动的背景下,各国纷纷采取数据本地化措施,导致天然具有全球化市场特征的数字经济被分割为国家市场或区域市场。[18]数据是企业全球价值链得以建构和维系的重要资源,此类市场分割必然会提高生产经营成本、减损经济效率。当前,欧盟和美国等试图通过双边或区域模式以及单边模式作出回应,虽然取得了若干进展,但隐私保护法差异依然存在。借助条约机制,此类差异呈现出两极分化的趋势。理解分歧是解决争议的第一步。为此,有必要深入探讨欧盟和美国数据隐私法的价值根源与制度表现,并在此基础上,寻求最低共识,客观评估欧美主导的国际体制,提出中国应对方案。
二、欧盟与美国数据隐私法存在差异的价值根源与制度表现
(一)欧盟“权利话语”与美国“市场话语”间的价值分歧
虽然政治制度类似、经济发展程度相当,但在如何看待个人数据隐私方面,欧盟和美国的法律存在巨大差异。前者倾向于将数据隐私视为基本权利和自由的一种,与此“权利话语”(rights talk)相关,作为法益承担者的个人被设想为应受到法律保护的数据主体(data subjects)。后者倾向于将数据隐私视为市场利益的一种,与此“市场话语”(market discourse)有关,作为法益承担者的个人被设想为应免受市场欺诈和不公平对待的隐私消费者(privacy consumers)。[19]
就如何理解欧盟“权利话语”和美国“市场话语”之间的价值分歧,学界存在两种思路。一种思路从隐私是人类最高的善以及构成生活核心价值的角度出发,说明隐私保护具有超越历史和超越地域的重要性。易言之,如果没有隐私,个人将丧失其完整性。[20]另一种思路则从这样一个基本的现实出发:人们关于隐私的直觉思考受到社会中盛行的法律和社会价值的型塑。欧盟与美国之间的价值分歧在很大程度上源于不同的社会、政治和法律传统。[21]前一种思路表面上研究终极的实在,骨子里却想保存社会传统中所包含的宝贵精粹,[22]或引入新的价值。该思路最大的问题在于,它不经辩论就断言隐私具有价值,并预设了一个有待追求的理想隐私状态,是隐藏或回避了问题,而非解决问题。反之,第二种思路并不寻求抽象的原则上的价值共识,而是承认分歧,并力图理解产生该分歧的原因,更具建设性。
当前,依循第二种思路,相关研究认为,欧美之间的分歧实为作为尊严的隐私与作为自由的隐私之争。[23]长期以来,欧洲大陆社会存在着封建等级制,直至20世纪初,只有身居高位的人才会期望在日常生活中获得他人尊重,并能通过法院维护其“个人荣誉”。当前,普通个人的人格受到尊重,则是源于社会变迁导致礼仪特权逐渐扩散和普及到一般民众身上。[24]受欧洲社会传统和文化的影响,由此类特权演化而来的隐私权,其核心内容仍集中在个人有权控制自身公共形象之上。与之不同,当欧洲大陆将自由出版和自由市场视为可能侵害人格尊严的洪水猛兽时,美国却一直为自由言论和自由市场大唱赞歌,而隐私保护也以维护个人自由为限。比如,美国普通法关于侵害隐私权的四种类型——私密的侵入、公开披露与公众正当关切无关的私人事实、以扭曲形象的方式公开披露个人事实、盗用他人姓名和类似行为——多与个人自由有关。[25]特别是,住宅视为个人主权之领地,隐私权的功能在于防范国家干预个人生活,保证个人住宅不受侵入。
因此,在数据隐私保护方面,欧盟的“权利话语”与美国的“市场话语”之间存在分歧有其深厚的历史传统和明确的价值取向,这一分歧将长期存在。这意味着,欧盟和美国很难通过达成价值共识的方式促进数据隐私法的一体化。
(二)欧盟“权利话语”与美国“市场话语”间的制度差异
法律价值的不同或多或少地体现在法律制度之上。欧盟数据隐私法可分为两个层面。在欧盟基本法层面,《基本权利宪章》第8(1)条明确规定,每个人有权保护个人数据。即使相关数据处理为涉及敏感数据或者未对个人造成损害,该基本权利仍应受到保护。[26]在欧盟立法层面,无论是“1995指令”还是“2016条例”均包含六项关于数据的公平信息实践(fips)要求:(1)公平处理数据;(2)出于特定目标处理数据;(3)基于同意或其他合法基础处理数据;(4)接触数据权;(5)更正数据权;(6)独立数据保护机构确保规则遵守。如果数据主体与数据处理人就隐私保护和数据自由流动发生争议,欧洲法院主要采用比例原则分析方法。在欧盟“权利话语”下,数据自由流动的经济利益虽然重要,但仍需受制于对尊严、隐私和数据的保护。[27]
当欧盟法律制度力图从基本人权的角度保护数据隐私时,美国将数据隐私放置在市场的环境内加以考虑。在宪法层面,与欧盟法数据主体不同,美国法项下的隐私消费者不享有基本的宪法权利,[28]反倒是数据自由流动获得了充分的宪法保障。[29]在成文法层面,不同于欧盟法,美国法以数据自由流动为原则,除非存在法律限制。当个人数据隐私的确需要得到保护时,美国无意制定一部综合性的数据保护法,而是采取了随机立法的方式。[30]实践中,主要由联邦贸易委员会根据联邦贸易委员会法第5条——禁止“商业中或影响商业的不公平或欺诈行为或实践”——进行执法,并形成了一套普通法做法。[31]在美国“市场话语”下,个人信息只不过是市场中可交易的商品而已,数据隐私法的功能限于规范个人数据交换的公平性和防止欺诈,隐私消费者的隐私利益被认为内嵌在特定市场和特定消费关系之内。
总而言之,美国通过产业自治来保护隐私的体制与欧盟通过综合立法保护隐私的体制形成了鲜明对比。与此相适应,两类法律制度对于个人数据隐私的规制模式也存在显著差异。当代规制理论认为,政府可以基于经济目标或非经济目标介入市场。其中,经济目标主要表现为“市场失灵”,非经济目标包括诸如分配正义、家长主义和共同体价值等。[32]在欧盟“权利话语”下,个人隐私属于欧盟公民的基本权利和自由,是促成泛欧洲身份认同的重要组成部分。相关数据隐私具有高度不可让渡性,数据主体很难通过合同或同意等方式交易或放弃受保护的权利。比如,“2016条例”明确将合同作为合法使用个人数据的基础之一,但相关条款应符合必要性要件和目的限制要件。类似地,数据主体依据其个人意愿,可通过陈述或积极行为同意他人处理其个人数据,但相关声明不得违反“2016条例”、数据主体有权在任何时候撤销其同意等。[33]在美国“市场话语”下,隐私消费者的合理期待受到侵害被认为是“市场失灵”的表现形式之一。美国联邦贸易委员会主要从理性消费者的角度出发,要求数据处理人作出相关披露,而非如“2016条例”那样,强调数据处理的合法性。由于美国法缺少关于个人数据处理需要法律依据的规定,因此,数据处理人无需与隐私消费者订立合同就可以筹集和使用个人数据。在这一情况下,即使隐私消费者试图从合同角度维护其数据隐私权利,也很少得到法院的支持。[34]根据强制披露的规制哲学,如果某一公司已就其隐私政策作出通告,则消费者随后分享其个人信息的行为被认为构成同意。这一“通知—同意”框架彰显了消费者主权,构成美国隐私自治机制的核心。[35]
三、数据隐私保护作为贸易事项的协调与合作
(一)欧美就数据隐私保护进行协调与合作的基础
无论是将数据誉为新经济的“石油”抑或“现金”,[36]其暗含的前提之一是数据能够跨境自由流动,否则,此类“石油”或“现金”的价值将大大减损。如上所述,欧盟和美国在数据隐私法方面的差异并非仅仅体现为规则上的不同,更是源于价值上的深刻分歧,并为现有的法律制度所固化。在此情况下,期望欧盟和美国解决价值分歧,统一数据隐私法不具现实性。
需要强调的是,欧盟和美国数据隐私法在价值和制度方面存在“深层次”差异并不妨碍它们在贸易自由化方面进行“浅层次”的合作。问题的关键在于找出双方均认可的共同点作为联结纽带,并以此为基础,在不危及各国数据隐私保护底线的前提下,逐步推进跨境数据自由流动。
首先,在目标层面,欧盟和美国均承认保护数据隐私以及促进数据自由流动构成正当的规制目标。这意味着,尽管各有侧重,两类国际法主体不会将其中一类目标予以绝对化和神圣化。以欧盟为例,一方面,个人隐私权属于基本权利之一种,欧盟就此设定了较高的保护标准;另一方面,数据自由流动被视为欧盟内部市场一体化的重要组成部分,各成员国不得限制欧盟内部数据自由流动。只不过,当他国数据隐私保护标准不符合欧盟规定时,欧盟将会对跨境数据自由流动施加限制。
其次,在手段层面,欧盟和美国均认为仅仅依靠个人自治,特别是同意方式来保护数据隐私存在着重大的缺陷。比如,欧盟将个人隐私视为不可让渡之权利,除非符合特定要求,否则数据主体不得通过同意方式放弃该基本权利。美国则认为,在市场压力之下,个人之同意很可能是不充分或不合理的,隐私消费者应被告知相关隐私政策。在此情况下,欧盟和美国均会采取措施,对企业滥用数据行为实施规制。
最后,在条件层面,欧盟与美国存在着极为密切的经济联系,两大数字经济市场的融合给两大法律体系施加了巨大的压力。特别是,美国的高科技企业在欧洲有大量的商业活动,每天有源源不断的数据从欧洲传输到美国,数据隐私规则之间的差异必然影响到数字经济的效率。[37]这一市场压力必然传输到政治决策层,后者基于本国利益之考量,需要与他国合作,解决该棘手问题。
总体而言,欧盟和美国均认同数据隐私保护和数据跨境自由流动两大规制目标,并且均认识到市场自治的不足,在面对数字经济全球化的诉求时,存在着规制协调与合作的空间。由于欧盟和美国在数据隐私保护的价值和制度方面存在深度分歧,相关规制的协调与合作在很大程度上由促进数据跨境自由流动这一目标加以统合。在数字经济时代,数据跨境自由流动与国际贸易息息相关,利用现有相对成熟的国际贸易法框架缓解欧盟和美国数据隐私法之间的冲突也就顺理成章。
(二)国际贸易法框架下就数据隐私保护进行协调与合作的路径选择
将数据隐私保护事项纳入国际贸易规制的框架下加以考虑有其优势。一是欧盟和美国分别利用其市场的经济优势,已与其他国家签订了相关贸易协定,对数字贸易作出了规定。通过最惠国待遇条款,这些规定很容易扩散到其他贸易协定之中。二是欧盟与美国之间正在磋商的ttip已然涉及数据隐私保护与数据跨境自由流动事项。[38]鉴于欧盟和美国在全球数字经济中的影响力,相关贸易协定条款的规定必然具有强烈的示范效应。
问题是,以wto法为代表的国际贸易规制哲学有其层次,即便将数据隐私保护问题纳入国际贸易法,仍需选择适当的协调与合作路径。如果相关的国际协调与合作要求过度限制了一国规制主权,即便理论上有助于形成高度一致的规制体制,也因为缺乏现实基础的支撑而流于空谈。以较为成熟的货物贸易规制为例,依据各国规制主权受到国际条约限制的严重程度,相关规制协调与合作可分为如下几类:[39](1)旨在约束不平等贸易的规制协调与合作。在gatt项下,允许一国对进口外国产品进行合法歧视的最为重要的方式是征收关税。gatt第2条关于减让表的规定实质上约束的是一国不得过度歧视外国产品。[40](2)旨在追求平等贸易竞争条件的规制协调与合作。主要表现为wto的非歧视原则,包括最惠国待遇和国民待遇。(3)旨在限制不公平贸易的规制协调与合作。涉及针对补贴和倾销的反补贴和反倾销措施。(4)旨在促成国际统一标准的规制协调与合作。涉及卫生与植物卫生检验检疫措施以及技术性贸易壁垒等。从促进贸易自由化的角度而言,前两类为基本的措施;[41]后两类则涉及更高层次的协调与合作。[42]
当前,由欧盟主导和由美国主导的国际贸易协定采取了不同的协调与合作策略,以平衡数据隐私保护与数据跨境自由流动之间的冲突。根据现有贸易协定的规定,美国主要采用上述第(2)种路径,即只要一国对外国数据的保护不低于对本国数据的保护水准,就被认为符合贸易协定的要求,相关数据可以跨境自由流动。欧盟主要采用上述第(4)种路径,即只有一国数据隐私保护符合国际标准,相关数据方可跨境自由流动。由于目前国际层面缺乏统一的数据隐私保护标准,该国际标准实际上就是欧盟标准。表面上看,这两条路径分别代表着国内相对标准与国际绝对标准之争,最终仍是数据隐私保护水平的主导权之争。申言之,如果采取相对标准,则数据隐私保护水平相对较低的美国就无需采取额外措施保护源于欧盟的数据。反之,如果采取国际统一标准,则欧盟自然可以美国数据隐私保护水平不符合要求而拒绝数据输出。
从确保个人数据隐私在全球层面获得保护的角度分析,欧盟采用第(4)种路径,推行国际统一标准有其合理性。毕竟,非歧视原则仅限于追求竞争条件的平等,无法给跨境数据提供充分的隐私保障。然而,通过贸易协定推行国际统一标准,因偏离贸易自由化主旨、严重限制各国规制主权而备受质疑。比如,wto《实施卫生与植物卫生措施协定》以及《技术性贸易壁垒协定》在引入相对客观的国际标准时,设置了诸多限制性条件,防止对贸易产生不必要的障碍。[43]如上所述,各国之所以能够在贸易协定项下讨论数据隐私规制的协调与合作问题,主要原因在于各方均认识到,减少数字贸易壁垒(如滥用数据隐私规制权)可促进数字贸易的发展。不难想象,当欧盟在国际贸易协定中引入主观性更强的数据隐私保护标准时,很难获得其他国家的认同,自然进展有限。
在利用国际贸易协定推行统一数据隐私保护标准,促使各国数据隐私法趋同发展不可行的情况下,我们有必要认真对待美国方案。值得注意的是,在美国主导的tpp协定中,各缔约方已经认识到非歧视原则无法充分保护数据隐私。为回应缔约国关于个人数据隐私保护的特别需求,tpp第14.11条和第14.13条采用了“原则 例外”的规制结构。[44]在这一结构下,当数据输入国的数据隐私保护水准达不到数据输出国的要求时,后者可以通过寻求例外的方式拒绝数据跨境流动。与欧盟试图利用其市场优势地位,强行在国际层面推行其数据隐私保护标准的做法不同,美国方案更为灵活,也更有助于不同隐私保护水准的国家之间达成协议。因此,尽管美国政府退出了tpp,但tpp关于数据隐私保护构成跨境数据流动例外的规定依然可能成为此后多边贸易协定处理类似问题的范本。
四、中国数据隐私法的特点以及参与国际数据治理的模式选择
(一)注重网络安全的中国数据隐私保护体制
与美国类似,中国并无综合性的数据隐私法,相关规定散见于主旨有别、内容差异较大的单行法律、行政法规或行政规章之中。[45]从一开始,中国关于个人数据和信息的立法就表现出与欧盟和美国截然不同的价值取向。2000年12月,全国人大常委会通过的《关于维护互联网安全的决定》是我国以法律规范互联网的开端。该决定除了对利用互联网构成犯罪的行为作出规定之外,主要关注互联网运行安全问题,仅附带提及个人数据保护问题。[46]2012年12月,全国人大常委会通过《关于加强网络信息保护的决定》,该决定第1条明确规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。由此,网络安全被划分为网络运行安全和网络信息安全的格局大致形成。2016年11月,全国人大常委会通过的《网络安全法》延续这一模式,分专章规定网络运行安全和网络信息安全。其中,个人信息保护被归属为网络信息安全问题。实体内容上,《网络安全法》就网络信息安全设置了三大原则。
一是保密原则。《网络安全法》第40条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为此,第42条要求网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。第44条规定任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。第45条要求依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
二是合法、正当和必要原则。《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”根据第43条,如果个人发现网络运营者违法或违约收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求更正。
三是内容审查原则。《网络安全法》第47条规定:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。”根据第50条,国家网信部门和有关部门发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于境外的上述信息,应当通知有关机构采取措施阻断传播。
上述三大实体原则中的第一项注重信息作为载体的安全,第三项注重信息内容本身的安全,这两项原则共同构成了《网络安全法》网络信息安全的主体内容,相对而言,专门针对个人信息收集和使用的规定过于宽松。比如,对于用户同意可否构成网络运营者有权收集和使用个人信息的充分要件,欧盟和美国基本持否定态度。在欧盟数据隐私法的框架下,即使数据主体作出同意表示,数据处理人的行为也要符合“2016条例”的其他规定;在美国数据隐私法的框架下,隐私消费者的同意以数据处理人遵守相关强制披露标准为前提,并可获得联邦贸易委员会提供的事后救济,免受商业中的不公平和欺诈。虽然中国《网络安全法》关于用户同意的规定更接近于美国数据隐私法,但缺少类似独立执法机构以防止发生不公平和欺诈。[47]可以说,中国长期以来对个人数据和个人信息保护水准偏弱的局面未有根本突破。[48]
需要说明的是,就数据跨境自由流动问题,《网络安全法》分别从不同的角度作出了规定。就数据流入而言,第50条规定,国家网信部门和有关部门对来源于境外的非法信息,有权通知有关机构采取技术措施和其他必要措施阻断传播;就数据流出而言,第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。从篇章结构来看,第37条和第50条分属于网络运行安全和网络信息安全,因此,不能将第37条的安全评估规定与第50条的信息安全内容审查相混同。从内容来看,第37条所指向的行为人为关键信息基础设施的运营者,与第50条所针对的网络运营者和用户也存在差异。可以认为,尽管《网络安全法》建立起中国特色的“安全话语”,但主要限于国家安全例外、公共道德和公共秩序例外,与个人数据隐私保护问题无直接关联。
(二)中国参与国际数据隐私治理的路径选择
数字经济的发展以及由此引发的数据隐私保护问题冲击着现有国际贸易规则。由欧盟“权利话语”和美国“市场话语”构建的国际数据隐私治理框架凭借其先发优势和市场影响力而备受新兴市场国家的关注。理论上,中国可选择跟随、协作或引领等策略,参与国际数据隐私治理。
一般情况下,如果某一类市场具有高度集中性,则主导该市场的国家也将在国际层面拥有较大的规制话语权。欧盟数据隐私法之所以具有国际影响力,一是因为欧盟设置了较高的数据隐私保护标准,从而实质性地影响到了数据跨境自由流动;二是因为欧盟市场规模庞大,构成全球数字经济中重要的一极。如果美国公司不在欧洲开拓业务,则相关空白会被其他国家的竞争者迅速填补。正是利用其市场吸引力,欧盟成功地将带有“权利话语”特色的数据隐私法扩张到与欧盟有关的数据跨境流动事项之中。
然而,如上所述,历史传统与价值导向的不同在很大程度上决定了各国数据隐私法的差异。虽然一些拥有全球性市场的国家可借助市场力量推行本国数据隐私法,但仅以潜在的合规收益大于合规成本为限。一旦超出该范围,则市场主体可以选择用脚投票。这说明,通过市场力量获得的规制优势仍需受制于市场竞争逻辑。正是在这一意义上,在贸易规制视域下分析数据隐私法问题有助于我们明确数据隐私法自身的局限性,彰显跨境数据流动作为贸易法和数据隐私法交汇事项的独特性。
与美国和欧盟类似,中国数字经济发展迅速,规模日益庞大。这意味着,他国企业如欲在中国境内从事相关业务,必须遵守中国相关法律、行政法规的规定。不仅如此,中国还可以借鉴欧盟的做法,对相关数据跨境流动施加同样要求,主张域外管辖权。同样,如果相关要求对数据跨境流动施加了过多的限制,则会影响到中国市场自身的吸引力,最终会损害国内规制得以立基和扩张的物质基础。因此,中国有必要以数据跨境流动规制为突破口,择机采取跟随、协作和引领策略,妥当处理好贸易法与数据隐私法之间的关系。
首先,从维护本国产业利益的角度出发,我们应当看到,欧盟在国际层面推行高保护标准不仅因为相关价值值得保护,还因为推行国际统一保护标准可以抬升他国企业合规成本,降低它们所享有的制度比较优势。对于这一贸易保护主义措施,中国应如同美国那样,采取协作策略,通过订立国际条约的方式约束欧盟单边主义行为。
其次,从保护本国非贸易利益的角度出发,我们应当看到,美国在国际层面主张数据自由流动不仅因为美国诸多企业在数字经济领域具有非常强的竞争优势,还因为数据自由流动本身就彰显着美国独有的价值取向和历史传统。对于这一有绝对自由化色彩的措施,中国应如同欧盟那样,采取引领策略,利用全球性市场话语权,推行中国特色的网络安全观。
再次,从保护数据隐私权的角度出发,我们应当看到,当前中国对于个人数据隐私的保护水准不仅不及欧盟,与美国相比也有较大的差距。这意味着,在很长一段时期内,为进入欧美市场,中国将采取跟随策略,以中国企业适应更高的数据隐私保护标准为基本样态。
综合考量之后,可以发现,尽管中国与欧美等国在数据隐私保护的价值内涵与制度表现方面存在差异,这三大国际法主体之间依然可在国际贸易规制的框架下寻找到合作点:就反对欧盟强行在国际层面推行其数据隐私保护标准的做法,中国与美国有共同利益;就反对美国在国际层面推行跨境自由流动的主张,中国与欧盟有共同利益。考虑到中国并无综合性的数据隐私保护法的现实状况,以及中国专注于维护网络安全的价值诉求,一个可行的策略是采取“原则 例外”的规制框架来缓和数据跨境自由流动与数据隐私保护之间的冲突。通过该框架,数据跨境自由流动成为常态,而较高保护水准的数据隐私保护要求,以及涉及国家安全、公共道德和公共秩序的内容审查机制均可被纳入例外,只有在符合一定的采纳和实施要件之后才能阻止数据流动。
总而言之,数字经济全球化意味着拥有世界级市场的国家将拥有国际规制话语权。无须如同英国通过海外殖民推行英国法律制度,也无须如同美国通过跨国公司海外投资传播美国法律制度,数字经济时代,世界级市场所在国的法律制度可以随着数据流动而扩张到其他国家之中。为缓和各国法律制度之差异所引发的规制冲突,促进贸易自由化,各国在国际层面进行协调与合作有其正当性。现有研究表明,市场全球化的形态不同,与之相关的规制协调与合作模式也有所不同。[49]鉴于中国数据隐私保护标准相对较低,内容审查标准相对较高,当前应支持采用“原则 例外”的规制框架。该框架不仅可以促进贸易自由化,防止欧盟数据隐私保护标准演化成为国际统一标准,还能够将中国特色的安全价值纳入例外之中,防止数据跨境自由流动损害到公共道德和扰乱公共秩序。
四、结论
wto法律制度是前数字经济时代的产物,未能确立数据跨境自由流动原则。gats项下,相关部门数据跨境自由流动以成员方作出具体承诺为前提,且此类流动随时可因涉及数据隐私而被限制或阻断。由于对个人数据隐私保护存在深刻的价值分歧,欧盟和美国对于数据跨境自由流动规制有两极分化的趋势,并分别体现在两者主导的国际协定之中。当前,美国主要采用“原则 例外”模式推行数据自由流动,对一国规制权限制程度较轻,而欧盟则极力主张更具限制性的国际统一标准模式。鉴于美国和欧盟之间有类似的政策关切、承受着共同的市场压力,这一两极分化趋势很可能会随着数字经济全球化程度的加深以及规模的扩大而有所缓和。美国政府先后与欧盟委员会订立安全港协定、隐私盾协定的做法表明,双方均认为数据隐私保护和数据跨境自由流动不可偏废。重要的是采取何种路径进行规制协调与合作。从灵活性和可接受度而言,美国方案对包括中国在内的非欧盟国家更具吸引力。
将数据隐私保护问题放置在国际贸易规制的视域下分析,意味着必须要虑及各国产业利益的竞争问题。在全球市场竞争中,拥有世界级市场有助于中国获取国际规则话语权。然而,中国限制数据流入和流出的规定大多涉及网络安全,相关措施可被纳入国家安全例外、公共道德和公共秩序例外,即使与个人数据隐私保护存在关联,也是附带性的和第二位的。因此,在当前关于数据隐私保护的冲突中,中国的“安全话语”并未成为可与美国的“市场话语”以及欧盟的“权利话语”相抗衡的价值端。在由“市场话语”和“权利话语”主导的架构下,中国参与国际数据隐私治理的选择相当有限:就数据跨境自由流动方面,可选择联欧阻美;在数据隐私保护方面,可选择联美阻欧。至于最终结果如何,仍需依赖于数字经济的发展状况和各大全球性数字市场之间的力量对比。
【注释】 *南京大学法学院教授,法学博士。
[1]《二十国集团数字经济发展与合作倡议》,2016年9月20日,available at: http://www.g20chn.org/hywj/dncgwj/201609/t20160920_3474.html, 2017年12月20日最后访问。
[2]see joshua p. meltzer, the internet, cross -border data flows and international trade, 2 asia & the pacific policy studies 90,92(2014).
[3]参见黄宁、李杨:《“三难选择”下跨境数据流动规制的演进与成因》,载《清华大学学报》(哲学社会科学版)2017年第5期,第172页。
[4]see bo carlsson, the digital economy: what is new and what is not?15 structural change and economic dynamics 245,246(2004).
[5]untad, data protection regulations and international data flows:implications for trade and development, unctad/web/dtl/stict/2016/1/ipub.
[6]关于未来行业以人为中心的断言,可参见马化腾等:《互联网 国家战略行动路线图》,中信出版社2015年版,第417页。
[7]see anupam chander & uyên p. lê, data nationalism, 64 emory l. j.677,727(2015).
[8]see wto, ministerial declaration on trade in information technology products, wt/min(96)/16,dec.13,1996; fourth protocol to the general agreement on trade in services, apr.30,1996,annex 1,wto doc. s/l/20.
[9]panel report, us -gambling, para.6.285.
[10]see juan a. marchetti & martin roy, the tisa initiative: an overview of market access issue, wto staff working paper no. ersd -2013-11,at *27(nov.27,2013).
[11]see trade in service agreement (tisa) localization provisions, june 2016,available at: https://wikileaks.org/tisa/document/201606_tisa_annex - on - localisation/201606_tisa_annex - on - localisation.pdf, 2017年12月25日最后访问。
[12]korus fta art.12.5.
[13]具有讽刺意味的是,在各方就tpp条文达成一致之后,美国政府却首先表态不会寻求参议院的批准,这就使得tpp的生效疑影重重。尽管如此,tpp代表了欧盟以外国家就数据跨境流动和数据保护所能达到的最高规制共识,其关于数据本地化措施的规定具有重要的标杆意义。
[14]art.16.4 of comprehensive economic and trade agreement between canada of the one part, and the european union and its member states, of the other part, sept.14,2016,2016/206(nle).
[15]see martin a. weiss & christin archick, u. s.-eu data privacy: from safe harbor to privacy shield, at *8,may 19,2016,congressional research service 7-5700 www.crs.gov r44257.
[16]recital (10) of directive 95/46/ec of the european parliament and of the council of 24 october 1995(no l 281/31) on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
[17]recital (56) of directive 95/46/ec.
[18]参见李海英:《数据本地化立法与数字贸易的国际规则》,载《信息安全研究》2016年第9期,第784页;iva mihaylova, could the recently enacted data localization requirements in russia backfire?50 j. world trade 313,316-317(2016).
[19]see paul m. schwartz & karl - nikolaus peifer, transatlantic data privacy law, 106 geo. l. j.115,119(2017).
[20]see charles fried, privacy, 77 yale l. j.475,477(1968); jonathan kahn, privacy as a legal principle of identity maintenance, 33 seton hall l. rev.371(2003).
[21]see james q. whitman, the two western cultures of privacy: dignity versus liberty, 113 yale l. j.1153,1160(2004).
[22]此处借用杜威对传统哲学的评价,参见[美]杜威:《哲学的改造》,商务印书馆1958年版,第15页。
[23]see robert c. post, three concepts of privacy, 89 geo. l. j.2087(2001).
[24]see james q. whitman, enforcing civility and respect: three societies, 109 yale l. j.1279,1320-1330(2000).
[25]see william l. prosser, privacy, 48 cal. l. rev.383,389(1960).
[26]see case c -131/12,google spain v. aedp, 2014 e. c. r.317 at 96(may 13,2014); case c -362/14,schrems v. data prot.comm’r, 2015 e. c. r.650 at 87(oct.6,2015).
[27]case c -131/12,google spain v. aedp, 2014 e. c. r.317 at 80(may 13,2014).
[28]美国宪法第四修正案仅涉及“物理”搜查的合理性与否,与当前政府通过常规数据库使用个人数据没有关联。虽然联邦最高法院曾指出,美国宪法第十四条修正案隐含关于“信息隐私”的一般权利,该观点是否构成先例存疑(whalen v. roe, 429 u. s.589,605-06(1977); nasa v. nelson, 562 u. s.134,138(2011))。关于roe案的宪法意义,可参见贺栩栩:《比较法上的个人数据信息自决权》,载《比较法研究》2013年第2期,第71-72页。
[29]如宪法第一修正案的言论自由条款,宪法第三条的诉讼资格条款等均与数据自由流动有关(sorrel v. ims health care, 564 u. s. 552,557(2011); spokeo, inc.v. robins, 136 s. ct.1540,1550(2016))。
[30]美国最为重要的关于隐私保护的法律是1974年隐私法。该法律适用于联邦机构控制数据,并对私人公司将数据转移给另外私人主体施加了限制。但未涉及私人行业向政府机构披露信息。另外,该法律还规定了12种例外事项,使得几乎所谓未经私人许可的披露信息均可被涵盖在例外事项之中。see privacy act of 1974,5. u. s. c.552a (2012).
[31]see generally daniel j. solove & woodrow hartzog, the ftc and the new common law of privacy, 114 colum. l. rev.583,676(2014).
[32]参见[英]安东尼?奥格斯:《规制:法律形式与经济学理论》,骆梅英译,中国人民大学出版社2008年版,第29-30、47-55页;[美]史蒂芬?布雷耶:《规制及其改革》,李洪雷、宋华琳、苏苗罕、钟瑞华译,北京大学出版社2008年版,第52-54页;robert baldwin, martin cave & martin lodge, understanding regulation: theory, strategy, and practice 15(oxford university press 2012).
[33]参见“2016条例”第4条、第6条和第7条。
[34]就此,美国法院的观点可分为两派。一派观点认为,不应将公司关于隐私的政策声明视为合同条款(in re nw. airlines privacy litigation.,2004 wl 1278459,at*6(d. minn june 6,2004));另一派承认公司可与消费者之间成立合同,但消费者很难证明存在损害(in re jetblue airways corp. privacy litigation, 379 f. supp.2d 299(e. d. n. y.2005))。
[35]see daniel j. solove, introduction: privacy self -management and the consent dilemma, 127 harv. l. rev.1879(2013).
[36]the world’s most valuable resource is no longer oil, but data, economist, available at: http://www.economist.com/news/leaders/21721656- data - economy - demands - new - approach - antitrust - rules - worlds - most - valuable - resource; brad nisbet, data is money: why the cloud is transforming data into a new global currency, forbes, available at: https://www.forbes.com/sites/netapp/2014/06/24/cloud - data - global - currency/.
[37]margaret byrne sedgewick, trans -border data privacy as trade, 105 cal. l. rev.1513,1529(2017).
[38]就此,美国的主流观点是将数据隐私保护问题纳入ttip,欧盟的主流观点认为应延续现有的做法,不应将之纳入ttip。see christopher wolf, trade law and privacy law come together, available at: https://iapp.org/news/a/trade - law - and - privacy - law - come - together/.
[39]see generally peter van den bossche & denise prevost, essentials of wto law (cambridge university press 2016).
[40]see mitsuo matsushita, thomas j. schoenbaum, petros c. mavroidis & michael hahn, the world trade organization: law, practice, and policy 215(oxford university press 2015).
[41]gatt1994前言第3段明确规定:“期望通过达成互惠互利安排,实质性削减关税和其他贸易壁垒,消除国际贸易中的歧视待遇,从而为实现这些目标作出贡献。”
[42]货物贸易的谈判历史也间接印证了这一点。在gatt早期的回合中,缔约方主要关注关税减让问题。随着关税税率实质性的降低,缔约方开始关注补贴与反补贴、反倾销等问题。及至乌拉圭回合,与会各方才开始引入国际统一标准,限制各国滥用检验检疫措施和技术标准等。
[43]参见《实施卫生与植物卫生措施协定》第3.1条、第3.2条,《技术性贸易壁垒协定》第2.2条、第2.3条、第2.6条。
[44]see neha mishra, the role of the trans -pacific partnership agreement in the internet ecosystem: uneasy liaison or synergistic alliance? 20 j. int’l econ. l.31,38(2017).
[45]参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期,第44页。
[46]依据《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条第2项的规定,非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密,构成犯罪的,依照刑法有关规定追究刑事责任。
[47]我国《民法总则》第111条就此所提供的救济有限。个人信息和数据的救济应主要依据第127条,即“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。
[48]参见张新宝:《中国个人数据保护立法的现状与展望》,载《中国法律》2007年4月号,第21页。
[49]see veijo heiskanen, the regulatory philosophy of international trade law, 38 j. world trade 1(2004).
【期刊名称】《比较法研究》【期刊年份】 2018年 【期号】 4