一、个人数据跨境流动机制考察
(一)《数据保护通用条例》机制
2018年5月25日《欧盟数据保护通用条例》(以下简称GDPR)正式生效,该条例旨在保护同盟国之间的数据流动行为。该条例之所以受到国际社会的高度认可,主要基于以下原因:
第一,不再限制该条例必须符合成员国的法律才能适用,其可以直接作为成员国处理数据跨境的依据;
第二,该条例的地域适用范围极为广泛,任何机构在搜集、传送、整理、使用欧盟成员国公民的个人数据时就必须遵守GDPR条例;
第三,GDPR条例与很多国际数据条例的解释有很大不同,它对数据重新进行定义并归类,根据社会实际情况创立了“假名数据”;
第四,GDPR条例完善了数据主体的多项权利,如知情权、许可权、删除权等,这意味着数据在被使用的时候须经过数据主体的同意,如果数据主体认为行为侵犯个人隐私权益时,数据主体有权要求从数据库当中删除相关数据;
第五,GDPR条例要求企业提高数据保护标准,通过多种途径和手段妥善保存、使用个人数据,并接受相关机构的监管;
第六,GDPR条例规定了针对数据泄露的预防及补救措施,并要求企业与监管机构相互合作。
(二)《APEC跨境隐私规则》机制
亚太经合组织(APEC)设立了跨境隐私规则(以下简称CBPRs体系),旨在规范亚太地区跨境电商业务的发展,加强个人数据保护。它以自愿为原则,适用对象为在亚太地区从事数据服务的经营者,致力于实现本地区内个人数据的自由流通。CBPRs规则的独特之处在于从隐私、问责以及企业等多层面进行设计,进而协调数据流动与数据保护的需求。
1.隐私执法机构
这一类特殊的地区机构属于亚太经合组织的各成员,隐私执法机构首先要加入到跨境隐私执法安排的协议当中,这份协议将保证不同成员的隐私执法机构能够进行沟通与协作。隐私执法机构加入跨境隐私执法安排协议的门槛并不高,只需要具备基本执法能力即可。然而,想要进入CBPRs规则体系则需要具有多项执法权力,且必须接受有关国际机构严格的审核评定,当其进入体系后,还必须受到督察组的监督管理。
2.问责代理机构
问责代理机构也是属于成员的特别机构,但是该机构并非国家公权力机构,而是由具有社会公信力的第三方组成的社会机构。与隐私执法机构不同,问责代理机构享有更多的职责权限,该机构有权依据CBPRs体系的要求对企业相关规定进行审查、受理公民因数据被侵犯而提出的投诉、对违规企业采取适当的惩罚措施。此外,获准进入CBPRs体系的条件也更为严格,问责代理机构加入CBPRs体系必须得到全部经济体成员的同意,而且在进入跨境隐私体系后每年都会受到审核。
3.企业
如果亚太地区的电商企业想更好地利用数据信息,并寻求CBPRs规则体系的保护,其可以向本国的问责代理机构提出认证申请。当问责代理机构审核通过后,该企业会被认定为具有良好资质的企业,获得CBPRs规则的保护,最终实现隐私框架下数据无障碍流动的目标。
(三)《欧美隐私盾协议》机制
2015年由于“棱镜门”事件导致欧盟最高法院判决欧美之间安全港协议彻底无效,判决结果导致欧美之间跨境数据传输与转移的渠道暂时缺失,相关产业以及跨国企业的刚性需求没有办法通过合法的渠道进行消化。
2016年7月12日欧盟与美国正式对外公布《欧美隐私盾协议》(以下简称《协议》,并且在同年8月1日着手实施,《协议》是对安全港协议的继承与补充,对比安全港协议与《协议》:
第一,两份协议都是将商业活动当中个人数据跨境转移与传输作为主要的法律规制对象;
第二,两份协议执行的程序具有高度的相似性;
第三,《协议》继承安全港协议,并且更加强调数据运营商的责任;
第四,在《协议》中首次增加美国政府应该履行的国家义务。
二、跨境数据输入国/企业的保护水平要求
(一)欧盟的数据保护水平要求
从欧盟的数据流动规则(以下简称“九五指令”)颁发以来,欧盟普遍采取以地域为单位的立法模式,这种模式强调充分性与跨境控制两个层面。欧盟公民个人信息与个人隐私向境外转移的过程当中,各成员国肩负公民个人隐私与个人信息转移受法律法规和司法机构保护的责任,这两类责任分别被称为公民个人信息的限制措施与公民个人信息保护的充分性。
“九五指令”第25条A款规定,如果欧盟范围以外的其他国家能够对欧盟公民的个人隐私和数据提供非常充分的保护,满足欧盟以及欧盟成员国的法律法规,那么欧盟公民的个人隐私和数据可以从欧盟境内转移到欧盟境外的其他国家。数据接收国除了要满足对公民个人隐私信息保护的充分性,同时还要满足公民所在国对公民个人隐私数据跨境流动和转移的基本法律规定。依据“九五指令”第26条规定,如果欧盟以外的其他国家没有办法保证对欧盟境内公民的个人隐私和信息提供非常充分的保护,那么实现欧盟公民个人信息从欧盟境内向境外转移必须要征求公民个人的同意,而且要签订合同承诺保护个人的信息和隐私权利。当然欧盟已经颁布实施的GDPR继续强调欧盟境内公民的个人隐私向境外进行转移必须得到充分的保护,也就是对充分性的进一步延伸和强调,唯一的区别就是将接受公民个人数据的对象从传统的主权国家拓展为主权国家与国际组织[2-3]。
GDPR在正式具备法律效力之后,可以直接被欧盟的成员国使用,但公民个人数据完成流动与转移也必须遵守成员国国内基本法律法规。在没有违背GDPR基本原则的情形下,部分条款的内容可以根据国内的实际情况作出特殊的规定。例如:GDPR针对16岁以下未成年人所适用的相关规定,欧盟成员国可以作出较低年龄的立法限制,但较低年龄不得低于13岁。
关于如何准确认定数据接收国或国际组织具备保护水平的充分性,GDPR第45条第2款规定:对数据接收国或者国际组织,个人隐私信息保护力度充分性的考察包括三个方面:
首先,考察数据接收国的法制程度、人权与自由的保障程度、立法模式和行政组织框架,掌握公民个人数据的主体在法律层面所享有的权利,带来损害之后具体的救济机制。
其次,全面考察和掌握数据接收国或国际组织是否拥有1个以上的独立监督组织,该独立监督组织是否拥有足够的执法权力以履行监督职责。
再次,了解与掌握数据接收国或国际组织是否对公民个人隐私数据的保护作出过国际承诺或签订过国际条约。
另外,欧盟委员会与欧盟成员国会对数据接收国与国际组织进行定期或者不定期的审核,会向没有满足充分性条件的数据接收国或国际组织进行通报,并采用投票的方式作出最后决定。
(二)美国的数据保护水平要求
美国对公民个人隐私信息的保护分为两个方面:
第一,由美国在线隐私联盟向全社会公开指导如何进行隐私的保护以及界定国民个人隐私明确的界限;
第二,由美国两大隐私认证企业分别构建的隐私保护框架共同组成美国对公民个人隐私信息保护的整体。
在线隐私指引(OPA)制定的限制条件主要包括公民个人数据收集的类型与公民个人数据使用的目的,并要求使用方向OPA汇报收集的信息是否会透露给第三方。美国在线隐私联盟所制定出来的隐私保护标准主要是给另外两家隐私认证企业起示范性的作用,而由两个隐私保护企业构建的保护计划对认证企业有限制与约束作用。隐私保护计划以OPA为基础根据联邦贸易委员会的隐私保护原则进行详细的法条制定,隐私保护计划需要企业主动进行申请,制定符合FTC隐私保护原则的企业内部组织框架与政策,获得隐私认证的企业能够将认证标识投放在网站平台从而取得消费者的信任。
APEC的CBPRs体系是美国所有领域与行业自律模式的升级版本,如果经济体申请加入CBPRs体系,其必须要推荐1个以上的隐私认证机构参与到跨境隐私执法安排(CPEA)当中,依据APEC隐私保护9项具体的原则,加入CPEA的隐私认证机构需要制定出通过认证的企业在实际的市场活动当中保护公民个人隐私的规定以及企业在违反以上规定时将会采取怎样的救济措施。领域与行业的自律可以视为GDPR充分性标准的低阶版。行业自律模式对于公民个人数据与隐私的保护力度、认证门槛相对较低,以最低限度的限制与约束力推进数据和信息自由流动,为了达到这一个目的,在保护公民个人信息与数据充分性方面作出了妥协。
美国行业自律模式也存在部分弊端和不足。
第一,行业自律直接与认证会员打交道,在监管与监督的层面难以发挥有效价值,难以彻底履行监管职责。例如:TRUSTe是美国加利福尼亚州旧金山的一家公司,因在线隐私封条闻名于世,当前已经认证的网站高达5000家左右,BBBOnline已经实现在美国、加拿大、墨西哥累计会员企业达到1万家左右,境外企业已经开始意识到隐私信赖标识的竞争优势和重要性。在未来,这两大认证企业的会员企业数量将会持续增长,而隐私认证企业以及隐私保护计划能否忠实地履行计划的初衷、保护美国公民的个人隐私信息和公民个人数据是存疑的。
第二,行业自律模式的处罚力度与威慑力远远不足,较低的违约成本无法有效地保障公民个人信息与个人隐私的安全。如果会员企业在商业活动或者市场竞争当中并没有遵守或者履行隐私保护条约和协议,会员企业将会受到的主要惩罚措施仅为限期内更正,对于拒绝不履行以上惩罚的,由两大隐私认证企业撤销隐私信赖标识。而在GDPR的具体规定中,违反法律规定处罚金额高达企业年营业额的4%或是2000万欧元。
第三,TRUSTe和BBBOnline相对昂贵的会员费增加了会员企业在后期制定隐私标准的经济成本,尤其对新型互联网公司以及创新公司所带来的负担比较重,不利于小微企业与创新企业的成长和发展。
(三)保护水平要求的互相融合
2015年“棱镜门”事件震动全球,在世界范围内广泛开展了针对公民个人信息与公民个人隐私保护的争论,最后欧盟法院判决认定:安全港协议内容无效。判定使得欧盟与美国之间数据流动与转移的主要渠道直接被切断,但是随后欧盟重新发布《协议》内容并与美国进行多场合、多次数的协商和修订,在2016年《协议》正式通过并实施,成为欧盟与美国之间管理和规制跨境数据流通与转移的新机制。安全港协议发展到《协议》的过程展示了国家经济利益与公民个人隐私权益之间相互博弈,为实现经济效益和利益的最大化,公民个人的隐私与个人信息有可能会作出更大的让步。当然,这也从侧面反映出立法需要根据现实的需求作出一定的创新,在坚持社会集体利益与根本利益没有损害的基础上相互妥协和退让以求达到共同的认识。
加拿大依然采用行业自律模式作为数据安全保护的补充机制。日本2017年颁布《个人信息保护法》(简称PPC),明确规定实现日本境内个人信息或者个人隐私数据跨境转移必须满足三个层面的法律条件:
第一,数据接收国或者国际组织必须是日本所认可的;
第二,数据接收的主体需根据PPC基本原则制定并运行相关的规制与政策;
第三,公民个人认可个人数据的跨境流动、转移。日本既采纳欧盟的充分性原则,同时也接受美国行业自律模式。
日本目前的隐私保护机制与欧盟的充分性原则非常接近,均采纳以地理区域为准则的规制途径。同时,日本同样是美国之后第二个加入CBPRs的亚洲国家。
参考欧盟、美国、日本以及世界其他国家对公民个人隐私与个人信息保护的机制,我国应该结合本国的实际情况,实事求是,将一种规则与机制作为主体、兼顾吸收其他作为补充制定混合规制机制。
三、个人数据跨境流动机制评析
(一)BCR规则的实施机制评析
欧盟委员会制定了具有约束性的企业规则(以下简称BCR),BCR的主要规范对象是欧洲经营的跨国企业,其在不同国家分支机构之间的数据传输与流动属于个人数据的传输与流动。如果在欧盟向境外转移和传输个人数据的过程中,数据接收国并不符合目前欧盟所规定的充分性保护水平,“九五指令”将禁止这一种传输行为的发生。但是为了降低条件和标准对跨国企业所带来的额外运营负担,BCR明确规定:跨国企业需要根据“九五指令”的基本原则在企业内部制定出一整套保护公民隐私的措施及规定。
BCR强调在实现跨国集团内部数据传输与转移时,必须遵守欧盟个人数据保护的机制和政策,目前BCR规则以及机制只适用于跨国企业,申请加入BCR的跨国企业也必须在其内部制定出统一的个人数据处理规则与程序。比如:在欧盟成员国境内的微软公司与英特尔公司加入BCR机制后,微软公司在欧盟境内可以为成员国境内的其他微软公司或者英特尔公司传输个人数据,但是向欧盟境外传输的对象仅限于微软公司。
(二)CBPRs规则的实施机制评析
BCR机制所针对的对象局限在跨国企业,导致BCR适用的范围相对狭窄。相反,CBPRs的适用范围更为广泛,在亚太地区从事个人数据跨境流动或者传输的跨国企业、小微企业均可申请加入CBPRs机制体系,获得批准的企业可以获得CBPRs的认证标识且在亚太地区经营与从事个人隐私和个人信息的跨境流动。对比BCR,CBPRs的参与方加入了问责代理机构,问责代理机构主要履行的职责是对申请加入的企业进行全方位的评估,评价内容包括9项原则、50项具体的评估条件。如果在监督和检查的过程中发现企业经营活动违反APEC的个人数据保护要求和标准,问责代理机构有权提出限期改正、通报批评甚至是取消认证资格的要求。
(三)《欧美隐私盾协议》的实施机制评析
GDPR、CBPRs、《协议》三种数据保护机制都在努力完善对公民个人数据和隐私保护的机制与法律。其中《协议》附件第1条明确规定:如果公民个人隐私信息保护机制的体系存在差异性,然而其对公民个人数据保护的目标是统一的,允许不同的国家采取存在差异性的法律、政策或者行业自律组织等多元管理方式,以提高对个人数据和公民个人隐私信息的保护力度。
《协议》继承安全港协议的核心内容,并且更强调跨境数据收集的义务,明确从欧盟转移或者传输个人数据的美国跨国企业必须要履行和实践更为严格的承诺,重新加入协议有三个条件:
第一,美国跨国企业必须向社会透明、公开地宣布隐私政策,并且隐私政策要与《协议》保持统一;
第二,美国跨国企业在网站平台必须要明确提供能够进入《协议》名单和美国商务部网站的网址链接;
第三,美国跨国企业必须面向社会披露其收集的数据类型主体。
同时,《协议》强化机制执行的要求,在条款当中规定企业在接受到调查时必须积极地回应和辩解。
四、中国的现状及因应对策
(一)现状
随着我国社会文明程度的提高,公民对隐私的保护意识逐渐觉醒,公民对个人隐私数据保护的要求不断提高。但现在跨境数据传输中对个人数据保护仍以侵犯隐私权来界定,缺乏专门的部门法。与此同时,当前阶段我国行业自律组织与制度发展仍然存在缺陷,对隐私保护的技术标准与管理水平距离国际同行仍然存在一定的差距。
企业与政府需要不断提升隐私保护技术与管理标准,我国在落实和完善个人信息保护立法工作的同时,也应积极与国际接轨,建立相对应的配套制度。
(二)对策
1.健全国家数据保护法律体系,保障公民信息安全
2016年12月,我国颁布了《网络安全法》,将原来有关数据的法规、规章上升到法律。《网络安全法》主要是为将来可能的制度创新作出原则性规定,可操作性较低,在司法实践中很难直接适用。未来还需要政府部门继续完善相关法律,约束互联网公司遵守法律规定、合理利用消费者的有关数据、建立信息保护系统。此外,应当针对个人信息泄漏的问题设立相应的救济机制和惩罚机制。
我国既要加快国内数据信息的立法,还要密切关注国际上出现的新问题、新情况。如国际上已经有学者提出了物联网技术能够破解数据保护程序进而窃取用户信息。政府应鼓励信息技术专业人士、互联网公司等共同对当前的网络环境与数据保护进行研究,摸索出一套有特色的程序机制,协调经济社会发展和信息保护,以应对日益发展的网络科技。
2.积极参与规则制定,维护自身利益
尽管当前已经有很多数据跨境流动与保护的国际条约和协议,但大多仍以发起国的意志为主导,导致很多数据保护和数据流动的机制、认定标准存在差异。此外,这些发达国家发起并推动这些规则的目的在于争夺规则制定权,从而使本国利益最大化。
随着我国国际影响力的提升,我国应该由被动加入转向积极推动,对国际上关于数据跨境流动协议之间的争议提出自己的意见,凭借国内外优势,尝试推动构建新的跨境数据流动规则,贡献“中国智慧”,实现国家利益最大化。
3.考虑加入跨境隐私规则体系
加入APEC跨境隐私规则(CBPRs)体系对我国互联网公司进入国际市场将产生重要影响。通过享受跨境隐私规则体系的平等待遇,可以减少我国互联网公司进入亚太地区市场的障碍,促进国际数据流动,实现与国际信息保护标准的统一。我国很多网络科技公司基于拓展海外业务的需要,与很多国家的第三方认证机构建立了合作关系。截至2019年12月,已经有8个国家和地区加入CBPRs规则体系,上述国家和地区均与我国及我国的跨国公司保持着密切的经济联系,而且与韩国、日本等正在磋商有关数据保护的协议。这些国家在跨境数据流动与个人数据保护等方面的规定相对比较成熟,我国可以借助与这些国家协商的契机,了解并加入CBPRs规则体系,推动我国的互联网公司进一步拓展海外市场。
4.设立隐私执法机构,发展第三方认证机构
我国对数据流动和数据保护等方面存在明显不足,执法部门权力不集中、相互交叉。因此,建立一个职权明确、针对性强的隐私执法机构是我国与国际接轨、加强国际数据流动与数据保护的重要条件。此外,在民间建立像BBBOnline一样的第三方认证机构,增强其社会公信力和社会影响力,通过隐私执法机构和问责代理机构协同并用,既可以保护个人信息,又能减轻政府压力,确保国际数据的安全。