数字杂志阅读
快速下单入口 快速下单入口
首页> 数字杂志> 中国外汇 >2021年度 >2021年第16期

聚焦跨境数据披露与国家安全审查

来源:《中国外汇》2021年第16期

随着全球经济逐步进入数字化时代,大规模跨境数据流动日渐频繁,越来越多的国家都更加重视跨境数据流动的安全问题,主要国家的跨境数据监管与国家安全审查博弈也开始进入“强对流”时代。美国力求主导全球网络空间,并奉行单边主义,而其他多国都坚定捍卫数据主权。在此背景下,跨国经营的企业需要兼顾境内外数据的监管要求,做好合规工作安排。

美、欧跨境数据披露和监管态势

美国跨境数据披露和监管特点

由于数据所有者、存储者与使用者在地理位置上的分离,导致国际上对究竟以何为标准划定数据主权,长期存在争议。美国在2018年发布的《澄清域外合法使用数据法案》(以下简称《云法案》)要求,以数据控制者为标准划定数据主权,强调无论数据存储于何地,只要数据由美国主体所控制,则美国便有权获取,相关主体也有义务提供。参考TikTok(抖音海外版)在美国受到数据安全挑战的案例,可以看出,虽然TikTok反复证明相关数据存储于美国境内且未交予中国政府,美国也依旧表示担忧数据的安全性。除政治因素外,有业内专家认为,如果美国认可了TikTok的抗辩,无疑就削弱了其以数据控制者为核心的数据主权界定,进而会弱化美国对全球数据治理规则的话语权。

当前,在全球数据流动规则的博弈中,美国实际上奉行的是双重标准:一方面,其不容许其他国家未经其批准获取其本国数据;另一方面,倚仗其技术优势在全球任意获取数据,以破除他国数据保护并实现美国的利益,体现出美国的特权主义色彩。对于外国政府,想要获取存储在美国的数据十分耗时耗力。根据美国与其他国家签署的双边协议,这些外国政府必须经过漫长而繁琐的申请流程(Mutual Legal Assistance Treaties,MLAT),且美国司法部和地方法院对此几乎拥有绝对的审批决定权,审批标准的具体内容也很模糊。《云法案》颁布后,仅有极少数美国认可的盟友国家才可不经过MLAT程序获取储存在美国的数据。

根据《云法案》,无论数据存储于何地,只要其最终控制人是美国企业,美国政府就可以调取相关数据;同时,由于世界主流信息通信技术企业多为美国企业,美国实际上凭借《云法案》取得了直接获取海量数据的法律依据,且可以绕过其他国家的司法申请流程。例如,微软一度以数据储存在爱尔兰而拒绝执行纽约南区联邦法院发出的数据调取命令,但联邦第二巡回法庭驳回了微软的抗辩。而随着《云法案》的出台,该案件终止审理,微软最终还是向美国法院提交了相关数据。

欧盟跨境数据披露和监管特点

当前,欧盟在数据经济中的地位与其在全球经济中的地位并不相称,世界主要互联网领军企业多为美国公司或中国公司。为了扭转不利地位,欧盟致力于加强与数据相关的人权保护,扩大法律适用范围,引导市场选择,增大其在数据跨境国际规则方面的话语权。2018年5月欧盟全面实施《一般数据保护条例》(General Data Protection Regulation,GDPR),该条例是欧盟在数据保护方面的重要立法,其赋予欧盟主管机关广泛的管辖权,包括属地管辖权和属人管辖权。根据GDPR第3款,几乎任何收集、传输、存储或者处理活动,如果由设立于欧盟成员国的机构组织来从事,均受GDPR管辖。即使在欧盟境内未设立实体且仅提供免费服务的欧盟境外的组织机构,如果向欧盟成员国的信息主体提供了服务,或监控了其在成员国内的行为,则也受GDPR管辖。此外,欧盟坚持严格的数据出境审查,以较高的隐私保护水平来确保数据跨境流动的安全性。GDPR只允许向达到欧盟认可的隐私保护水平的第三国传输个人信息。目前,仅有阿根廷、日本、新西兰、韩国、英国等十几个国家达到了该标准。

GDPR所采用的“充分性认定白名单”制度,使欧盟得以在国际数据博弈过程中,向其他国家推广欧盟标准和欧盟价值观,完成其国内法向国际法的转化。如果无法达到“充分性认定标准”,则GDPR第46款还提供了其他个案适用的跨境传输方案,包括采用监管机构批准的 “标准合同条款”(Standard Clause Contract)及“约束性公司规则”(Binding Corporate Rules)等。通过构建较高的欧盟标准,欧盟也希望最终能够促使更多企业出于合规方面的考虑而选择将数据存储在欧盟境内,并在欧盟境内进行数据处理。

美、欧在跨境数据传输规则上的博弈

由于美欧在跨境数据传输规则方面的立场并不相同,从而导致了二者在该问题上频繁拉锯。美国采取全球主义立场,希望欧盟等世界各国减少对数据跨境流动的干预,以促进“数据自由流动”;而欧盟则致力于建构以数据存储者为核心的数据主权概念,并重视数据的本地化存储,无论是GDPR还是其前身1995年的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》,都强调欧盟有权介入数据的跨境流动并有责任对第三国的数据保护做出评估,凸显其属地主义原则的数据主权立场。

2020年7月,欧盟法院做出判决,认定欧盟与美国在2016年签署的、关于跨境数据传输的《隐私盾协议》无效,从而使美国公司无法继续通过该协议将欧盟的个人数据传输到美国,也将迫使美国继续向欧盟隐私保护制度做出让步,接受欧盟越来越高的隐私保护标准。该判决进一步加剧了美欧在跨境数据领域的紧张关系,并将产生深远影响。美国前任商务部部长威尔伯罗斯称,对这一判决“深感失望”,并表示美国将继续与欧盟就此事保持密切联系。

我国跨境数据披露监管范围扩大

近年来,我国日益重视数据安全,跨境数据法律监管体系可概括为“1+3+N”的格局。“1”是指《国家安全法》,这是我国跨境数据法律规范

阅读全部文章,请登录数字版阅读账户。 没有账户? 立即购买数字版杂志