本文是一篇法学毕业论文,本文提出了相关的建议与思路。个人数据跨境流动法律规制落脚点在每一个企业上,需要每一个企业认真落实国内立法,持续推进企业数据合规,企业对于个人数据跨境流动合规路径十分重要,例如企业也可以建立自身的数据分类分级制度、完善企业自评估制度、成立数据安全委员会、规范数据收集及出境活动等。
第一章个人数据跨境流动法律规制的概述及必要性
第一节个人数据相关概述
一、个人数据的内涵界定
目前在世界范围内,危害数据安全和个人信息安全的事件频繁出现,已经严重影响了各个国家的安全。在信息化、数字化时代发展日新月异的背景下,数据安全已经成为影响网络安全的关键,也是各个国家维护国家安全的重要阵地。为探究个人数据跨境流动的相关法律规制提供通识性理解,同时也对数据安全和国家安全的维护与保障至关重要,需要首先明确“个人数据”的内涵及辨别与之相关的概念。
(一)个人数据的定义
“个人数据”概念在国际上没有统一的表达,在不同国家或地区,由于法律制度和社会背景的不同,因此个人数据在不同国家或者地区的定义与内涵也各有不同。1977年德国《联邦数据保护法》中最早出现“个人数据”的概念,该法第三条规定“个人数据指自然人或者已(能)的数据主体客观真实情况的信息。”①欧盟1995年颁布的《欧洲数据保护指令》(以下简称“95指令”)中第2(a)条将“个人数据”定义为“任何有关已识别或可识别的自然人的信息。”在这之后,欧盟《通用数据保护条例》(以下简称“GDPR”)第4(1)条,对“个人数据”(personal data)做出了更清晰和具体的界定,定义内容与之前基本相同,即“任何已识别或可识别的自然人(数据主体)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。”
第二节个人数据跨境流动相关概述
一、个人数据跨境流动的定义
个人数据跨境流动的内涵,首次在1980年经济合作与发展组织(OECD)颁布的《隐私保护与个人数据跨国流通指南》进行了规定,个人数据在不同国家间的自由流动即为个人数据跨境流动。95指令中将“数据跨境流动”定义为“在符合某些条件时,允许欧盟向符合条件的第三国转移公民的个人数据的行为”。亚太网络法律研究中心主任刘德良认为,个人数据的出境和入境活动,即为个人数据的跨境流动。各国的服务器提供流动平台,网络技术提供跨境流动的媒介,个人数据为跨境流动的内容,数据为跨境流动的表现形式。目前个人数据的跨境流动主要有以下几种形式:最通常且普遍的情况是浏览服务器在境外的商家或者网站的记录,在这个电子交易的过程中被记录的个人数据,不经意间便会将个人数据传输到国外;同时也存在非法传输个人数据的情况,个人或者机构通过爬虫技术等非法违规的技术手段盗取存储在中国境内服务器的个人数据,然后将盗取的个人数据传输到境外。除此之外,个人数据的跨境流动形式也包括跨国公司的母公司与子公司的传输活动。在中国境内设立子公司的跨国公司,境外母公司采集境内子公司的数据,其后将采集的子公司的数据传输给境外母公司。我国立法如何界定数据跨境流动及数据出境,将在后文国内立法现状一节中论述。
二、个人数据跨境流动规制的必要性
在国际经济贸易和电子商务发展的背景下,个人数据跨境流动日益频繁。一方面为各国经济发展带来更多机遇,另一方面也为各国带来数据跨境流动的风险。各国越来越重视对个人数据保护及对个人数据跨境流动的法律规制。
第二章个人数据跨境流动的立法现状及评价
第一节境外个人数据跨境流动立法模式及评价
在个人数据保护领域,目前国际上并没有形成统一的规制模式或习惯,但各个国家或地区已经形成较为成熟的规制模式。欧盟对个人数据跨境流动的法律规制采取较高标准,主要通过GDPR统一规则,形成欧盟数据单一市场,在全球范围内引导个人数据跨境流动保护体系的重新建构。欧盟通过GDPR消除欧盟境内数据跨境流动的障碍,以保障成员国可以及时获取数据。对于非成员国,在非成员国遵守适当性保障措施的前提下,GDPR规定“充分性认定”确定数据跨境流动白名单国家,使得个人数据跨境流动模式更加多元化和便利化。美国模式以维护产业竞争优势为主旨,构建数据跨境流动与限制政策。美国更加看重个人数据自由地跨境流动,美国在通信领域与电子产业具有全球领先的优势,因此可以主导数据跨境流向,美国与各国的贸易协议中,也经常要求将数据跨境流动写入条款当中,以破除他国利用跨境流动的规则设置市场准入的壁垒。不仅如此,美国还对出口和外国投资的内容进行限制,主要包括重要技术数据和特定数据领域,通过此种手段阻碍竞争对手的发展。除此之外,美国为扩大国内法律的域外适用范围,利用“长臂管辖”规则调取跨境的个人数据,以满足其执法需要。亚太经合组织也形成CBPRs体系对区域内的个人数据跨境流动进行规制,该体系强调自愿性不具有强有力的约束性,是区域个人数据跨境流动模式的创新,然而在实践中存在诸多问题。上述三种规制模式各有不同。
第二节国内最新立法现状
我国立法领域对跨境数据流动的规制起步较晚,与西方国家存在一定的差距。在以“滴滴事件”为典型的数据泄露、数据滥用、数据偷投毒等危害数据安全的事件频出后,数据安全问题已不仅仅是狭义的数据本身问题,而上升为广义的国家安全层面。①在此背景下,面对跨境数据流动的风险与挑战,2016年我国出台《网络安全法》,随后自2021年以来,我国对跨境数据流动的法律规制进一步加强,出台了多部与数据跨境流动相关的法律法规及条例(见表1),跨境数据流动与保护的法律体系逐渐完善。
其中,《网络安全法》为网络安全领域的基础性法律,奠定网络空间安全发展总基调,《网络安全审查办法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》与之配套,共同构成网络空间安全的规制框架。《数据安全法》着眼于数据安全、重要数据、国家核心数据的保护,数据的范围不仅仅限制为网络空间的数据,数据规制的范围较之前扩大,为数据安全领域的基础性法律。《个人信息保护法》细化了个人信息的保护范围,更加注重对个人信息的识别、个人信息的处理②,对个人信息的保护更加完善和细致。
第三章我国个人数据跨境流动法律规制的完善.........................30
第一节个人数据跨境流动立法新思路.......................30
一、完善立法体系,细化相关制度...................................30
二、健全监管体制,完善司法救济方式.....................31
结语.................................35
第三章我国个人数据跨境流动法律规制的完善
第一节个人数据跨境流动立法新思路
面对我国数据跨境流动规制中存在的问题,我国需要明确价值选择,确定我国数据跨境流动规制模式,健全和完善相关立法体系,细化具体法律规范和制度,健全个人数据跨境流动监管机制,积极参与个人数据跨境流动国际交流与合作,使我国个人数据跨境流动的保护能力大幅提高,在个人数据跨境流动中享有国际影响力。
一、完善立法体系,细化相关制度
《数据安全法》《网络安全法》两部基本法律虽然填补了跨境数据流动法律规制的空白,但仅靠这两部法律仍不足以支撑起整个数据跨境流动的法律体系,《个人信息保护法》在个人信息层面对跨境流动起到了相应的规范作用,但目前我国关于个人数据跨境流动的立法仍然相当分散,分布于不同的法律法规中,法律基础薄弱,立法的分散不利于不同法律法规之间的适用和衔接,因此需要继续制定关于个人数据跨境流动的立法规范。
首先,前文中论述的“关键基础设施运营者”、“重要核心数据”等概念定义不明确,需要立法进一步界定形成个人数据跨境流动的统一规范标准。其次,数据跨境流动的安全评估应予以细化规范。制定并出台个人数据跨境流动的具体评估办法,提供切实可操作的评估标准。同时,扩大第三方专业评估机构的适用范围,第三方专业机构认证方式,仍需要后续有配套措施进行明确,如专业认证需要考虑的要素、认证有效期限、认证之后是否需要在监管部门处进行登记等内容。最后,个人数据跨境流动的标准合同文本应当更加具体和规范。
结语
个人数据跨境流动复杂背景下,对个人数据跨境流动不断进行法律规制已经成为必然要求。特别是在“滴滴事件”发生后,敲响个人数据安全的警钟。然而在此要求之下,对其规制不可避免面临双重困境和挑战,一方面数据安全本身关于国家安全,一旦数据安全没有得到有效的合规监管,那么会导致国家安全受到威胁。拥有或掌握重要数据的国家将拥有更多地话语权,助长数据霸权主义风气。另一方面,技术的更新与进步,要求我国在利用好数据地同时更加保护好数据安全,避免数据安全与经济发展的冲突。目前已经有120多个国家和地区制定了个人数据保护相关的法律,其中关于个人数据跨境流动的问题在个人数据保护的专项立法中有大量体现。
当前在世界范围内,对个人数据跨境流动的规制主要以欧盟和美国的立法模式为主。欧盟模式是世界上采用最广泛的个人数据保护模式,强调对个人数据权利“充分保护”,这源自欧盟一直以来尊重和保护人权的立法价值取向。不同的是,美国则鼓励个人数据自由跨境流动,更加强调个人数据跨境流动的经济与社会效益。
参考文献(略)