查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《经贸法律评论》
美国跨境数据流动的国际法规制路径与中国的因应
【英文标题】 The International Law Regulation Path of Cross-border Data Flows by the United States and China's Countermeasures
【作者】 张生
【作者单位】 西安交通大学法学院{副教授,博士生导师、法学博士}
【分类】 国际法学
【中文关键词】 跨境数据流动;数据保护主义;隐私权;多边规则体制
【英文关键词】 Cross-border Data Flows;[63]Data Protectionism;[64]Privacy;[65]Multilateral Regulation System
【期刊年份】 2019年【期号】 4
【页码】 79
【摘要】 作为互联网大国,美国在规制跨境数据流动方面从一开始就确立了重数据自由流动而轻政府监管的路径,并将之贯穿于历届政府的对外贸易政策,以及世界贸易组织框架下的相关议题谈判和自由贸易协定谈判。这样的路径背后体现出美国国内法与国际法的紧密联系、更加关注消费者权利保护等特点。对其他国家所采取的限制数据流动的措施,美国常将之认定为“数据保护主义”,但这样的认定带有明显的“双重标准”。对于我国而言,除了完善有关个人隐私保护的国内法,也应当通过政府间的磋商机制与美国展开双边层面的谈判,厘清数据保护主义与数据保护之间的界限。从宏观层面上看,我国也应当推动国际社会针对跨境数据流动形成多边国际法规范。
【英文摘要】 As a big Internet country, the United States has established a path by focusing on free data flow with little government supervision from the very beginning in regulating cross-border data flows. Such path has been used throughout the foreign trade policies of the successive governments, and the negotiations of related issues under the framework of the World Trade Organization and free trade agreements. It reflects the close interrelationship between domestic law and international law, and the protection of consumer rights. The measures taken by other countries to restrict data flow are often recognized by the United States as “data protectionism”, yet such a determination bears a clear ‘double standard’. For China, in addition to perfecting the domestic law on personal privacy protection, it should also conduct bilateral-level negotiations with the United States through an intergovernmental consultation mechanism to clarify the line between data protectionism and data protection. From a macro perspective, China should also promote the formation of multilateral international law norms for cross-border data flows by the international community.
【全文】法宝引证码CLI.A.1271132    
  
  自人类开始贸易时,数据或信息就是人们交易的内容。比如古代人们通过信息交换以确定与另一个部落之间的关系,商人也会将数据作为提升产品质量、效率以及价格的主要参考。但是近年来,数据在全球贸易和投资中的作用已发生了根本性的改变。借由互联网的飞速发展,数据的运用催生了很多新的部门和服务,包括云空间、人工智能和App等,由此产生了建立在跨境数据流动基础上的数字经济,我们也正迈入数字全球化的时代。[1]有学者甚至称数据已经成为当今全球经济的“生命之血”。[2]在过去十年间,跨境数据流动的体量增长超过了45倍。自2015年起,数据流动的价值已经超过了货物贸易的价值。[3]数据流动也几乎推动了所有工业的发展。[4]尽管跨境数据有着如此大的重要性,但它也会对国家安全、个人隐私保护以及公平竞争产生一些负面影响,因此各国针对数据流动都采取一些规制措施。在国际法层面,目前针对跨境数据流动也没有一个多边的国际条约,多数时候都是由各国通过区域或双边自由贸易协定进行规定。这方面美国、欧盟和中国的实践有代表性,也会对未来跨境数据流动的国际法发展产生重要影响。[5]互联网时代美国一直是全球互联网经济的领导者,包括亚马逊、苹果、脸书、谷歌、英特尔和微软在内的重要互联网品牌都来自美国。为了推动互联网经济的发展,美国早针对跨境数据流动制定了相关的贸易政策,在国际法实践中,美国一直推行其较为自由化的规制路径。美国也早对数据保护主义进行界定,但是美国在认定保护主义方面秉持着明显的“双重标准”,这就导致我国所采取的一些互联网规制措施常常被看作数字贸易的障碍。本文将通过梳理美国有关跨境数据流动的贸易政策发展,分析美国的国际法规制路径,并在此基础上分析美国路径的特点,以及它对于我国的借鉴意义和我国的应对。
  一、有关跨境数据流动的贸易政策发展
  美国是世界上早考虑在国际经贸协定中涉及跨境数据流动的国家,早在里根政府时期美国就意识到跨境数据流动在投资中的重要性。1983年里根政府发布了一份针对国际投资政策的声明,指出美国将通过积极的国际投资政策致力于减少阻碍或扭曲投资流动的政府行为,并在国民待遇和惠国待遇原则的基础上推动建立一个有关投资的国际体系。为此,美国政府将在经济合作与发展组织(Organization for Economic Co-operation and Development, OECD)内部推动“数据保证”(data pledge)项目,确保发达国家不会对数据流动施加新的限制,并鼓励所有国家与美国一起采取更加开放和宽松的跨境数据流动政策。[6]考虑到当时计算机技术刚起步,而且多集中于发达国家,也就不难理解美国政府要致力于在OECD框架下推动有关跨境数据流动的国际政策了。
  1997年,克林顿政府制定了《全球电子商务框架》,确立了一套有关跨境数据流动治理的全球准则。在这一份文件中,美国明确了政府在一系列与电子商务有关的重要问题上的立场,并且为有关的国际谈判制定了路线图。文件还特别指出为了确保世界各国的不同政策不会阻碍数据的跨境流动,美国将会与其主要贸易伙伴展开谈判,以构建解决隐私问题的产业发展方案,并就私人数据处理形成客户满意的市场驱动机制。除了与欧盟国家和欧盟委员会进行相关政策讨论外,美国也通过现有的双边论坛以及亚洲太平洋经济合作组织(Asia-Pacific Economic Cooperation, APEC)等区域论坛与贸易伙伴进行对话。[7]
  《全球电子商务框架》确立了美国规制跨境数据流动的基础,克林顿还要求商务部形成一套统一的国际商事法律框架,以承认、推动和促进全球范围的电子交易,并且与国内私人部门合作以确立国内网络隐私标准。同样,在美国的推动下,世界银行也与联合国贸易与发展会议(United Nations Conference on Trade and Development, UNCTAD)合作帮助发展中国家制定有效的且支持其发展的电子商务政策。
  小布什总统时期,美国开始在其签署的自由贸易协定中涉及电子商务条款,但是这样的做法也没有适应互联网的迅速发展。随着该行业在其他国家的崛起和发展,美国的互联网巨头感受到了竞争的压力,也对其他国家所采取的限制跨境数据流动的措施感到焦虑。于是这些企业联合起来开始向美国政府施压,要求政府限制相关规制措施。为此,谷歌还资助相关智库就世界上四十多个国家的数据信息流动限制措施进行了研究。[8]
  奥巴马总统时期,美国已经将数字贸易作为重点关注对象,并将影响美国互联网企业发展的政策界定为保护主义。2016年美国国会通过的《两党贸易优先权和责任法》确定了美国在货物和服务的数字贸易以及跨境数据流动方面的主要谈判目标,主要包括:确保目前世界贸易组织(World Trade Organization, WTO)协定和双边及区域协定下的义务、规则、原则和承诺适用于服务贸易和跨境数据流动;确保以电子方式传输的货物和服务在贸易规则和承诺下获得的待遇不低于以实物形式交付的产品所享受的待遇,以及确保此类产品和服务的分类能完全涵盖现有的和新的贸易类型,并能够使相关产品享受自由的贸易待遇;确保政府不采取措施妨碍货物和服务数字贸易、限制跨境数据流动或要求数据在本地存储或处理;如果政府出于合法政策目标采取限制性的国内法措施,则此类措施应当是能对贸易带来少限制、非歧视的和透明度的,而且是能促进开放的市场环境的措施。[9]
  这些政策目标成为美国进行有关贸易谈判的重要指引。考虑到WTO在推动相关议题方面进展缓慢,美国重点通过双边或区域贸易协定实现其目标。这一时期,在奥巴马的积极推动下,《美国?韩国自由贸易协定》和《跨太平洋伙伴关系协定》(Trans- Pacific Partnership Agreement, TPP)中都包含了有关的电子商务条款。
  特朗普上台后采取了完全不同的贸易政策,比如退出TPP,重新就《北美自由贸易协定》展开谈判。这样的实践也招致不少学者和公众对于其执政政策的质疑。[10]不过新签署的《美国?墨西哥?加拿大协定》(《美墨加协定》)表明在跨境数据流动方面,特朗普并没有太多偏离之前的政策路径。
  除了联邦政府层面的相关措施,美国不少州也针对数字贸易和跨境数据流动制定了相应的法律规定,特别是在欧盟通过《一般数据保护条例》后,加利福尼亚、阿拉巴马、亚利桑那、科罗拉多、爱荷华、路易斯安那、内布拉斯加和弗吉尼亚等州都通过了或相应修订了本州的数据侵权通知法。[11]
  二、美国的相关国际缔约实践
  (一)WTO框架下的尝试
  美国一直是WTO层面电子商务国际规则谈判积极的推动者之一。2011年,美国和欧盟已经就电子商务问题联合提出了一些一般性的原则,这些原则以不影响现有的规则和承诺为前提,旨在构建一个基本的和统一化的框架,推动各国政府以技术中立的方式规制电子商务,并将这样的政策引入双边和多边协定谈判。这些基本原则包括:确保相关规制措施是透明的;促进网络开放;确保数据能够自由流动;不施加数据本地化要求;确保无线电波的有效和非歧视使用;设立独立的监管机构;简化审查流程;以及确保国际合作,特别是在化解数字政策差异和提升数字文化方面的合作。2017年同样在美国和欧盟的推动下,WTO第十一届次部长会议通过了《关于电子商务的联合声明》。在稍早的2016年美国已经就如何在WTO框架下开展电子商务有关的谈判向WTO提交了建议。尽管在该份建议中,美国指出它并没有预设有关电子商务谈判的佳方案,也不主张WTO应当重点关注电子商务的哪些方面,建议的主要目的仅仅是为了推动成员方之间建设性的讨论等。但是这一份建议与美国在《服务贸易协定》(TISA)和TPP中的主张十分相似。在这份建议中,美国同样主张为跨境数据流动创造有利条件,允许企业和消费者以他们认为适当的方式转移数据。而有不少国家通过国内立法限制信息的自由流动,使一些从事数字经营的企业在竞争中处于劣势,因此适当的数字贸易规则应当限制此类措施来保护数据的自由流动,不过美国同时也同意允许国家在合理情况下采取措施保障消费者的权利。[12]
  第十一届部长会议结束后,美国贸易代表莱特希泽就表示美国将在电子商务等领域与其他具有相似想法和共同意愿的成员方合作,打破WTO僵局,寻求新的开始。[13]2018年4月12日,美国向WTO总理事会提交了对联合声明的新议案(JOB/GC/178),该文件提出了七项议题,信息自由流动便是其中议题之一。在信息自由流动方面,美国主张允许消费者和企业对数据进行跨境传输,成员方不应对此施加任意或歧视性限制。禁止数据本地化,确保企业无须在运营地设立或购买数字基础设施,以及确保各成员方不得自己或要求网络服务提供者任意阻挡或过滤在线内容。
  此外,美国积极倡导在TISA谈判中纳入与电子商务有关的规制措施。美国也在其谈判提议中主张信息应当在服务提供者的商业活动中跨境自由流动。成员方也不应要求服务提供者将数据在本国存储或者处理作为允许服务提供者在本国进行提供服务或进行投资的前提。[14]
  (二)美国与欧盟的相关安排
  1.“安全港框架”
  欧盟在跨境数据流动规制方面同样有着悠久的历史传统。1995年欧盟委员会就发布了《数据保护指令》,确定了欧盟在数据保护方面的充分性(adequacy)保护原则,禁止将个人数据传输到不符合欧盟隐私保护的充分性标准的非欧盟国家。考虑到美国在个人隐私方面采取不同的规制路径,为了弥补两者之间的差异,并方便美国企业满足欧盟的充分性标准,美国商务部与欧盟委员会协商制定了“安全港框架”(Safe Harbor Framework),并于2000年获得了欧盟的批准。从本质上看,“安全港框架”实际上是美国针对欧盟所关注的个人信息跨境流动问题的回应[15],以确保美国企业在与欧盟的商事交易活动中不会遭受欧盟及其成员国依据隐私法进行的干预。美国企业可以自愿加入该框架,加入的企业会被视作满足了欧盟的充分性标准,因此欧盟成员国不再要求数据传输需经事前批准,或者使企业自动获得相关许可。美国企业的合规审查也更加简单化,而且相应成本也有所降低。在加入“安全港框架”时,美国企业需要满足框架协议的要求,也要就此作出公开的声明。为了能持久享受“安全港框架”的优惠,美国企业每年需要向美国商务部书面自证其同意遵守“安全港框架”规定的七项原则:通知原则、选择权原则、向前传输数据原则、信息获取原则、信息安全原则、信息完整性原则和执行原则。[16]
  从总体上看,“安全港框架”的执行机制主要在美国并依据美国法律实施,而且通常都依赖于私人部门的自我规制,但是当企业未能遵守自我规制的要求,或者企业自身不具备加入“安全港框架”的条件时,政府部门会依据联邦或州政府有关禁止不公平或欺骗性行为的法律规定介入。美国联邦贸易委员会和美国交通部都曾致信欧盟委员会表示它们会对那些表面声称遵守框架协议但实质上没有达到相关要求的企业采取执法行动。
  “安全港框架”在施行后,曾被看作是保障欧美跨境数据流动安全的重要保障。但是近年来美国利用其自身的技术优势,以维护国家安全为名义对世界进行监控,2013年的“棱镜门”事件使得“安全港框架”形同虚设。[17]2014年,奥地利人Maximilian Schrems发现脸书在爱尔兰的分支机构将他的个人数据传输到脸书美国服务器,于是他向爱尔兰数据保护委员会提出申诉,但申诉遭到了否决。此后Maximilian Schrems向高等法院起诉,由于该案涉及欧盟委员会“安全港框架”的效力问题,而只有欧盟法院有权对欧盟法律的效力作出认定,因此爱尔兰高等法院提请欧盟法院对相关法律问题作出初步裁决。2014年10月,欧盟法院作出判决,认定“安全港框架”是无效的,理由主要包括:第一,欧盟委员会怠于履行其职责。即使第三国通过的相应措施在文本上能确保企业符合“安全港框架”的要求,欧盟委员会仍须考察相关措施在实践中是否能有效确保第三国对于个人数据的保护能够在实质上与欧盟所提供的保护等同[18];第二,“安全港框架”只适用于从欧盟获得个人数据的自认证的美国企业,而美国公共当局却不用遵守这些规则[19];第三,根据“安全港框架”的规定,国家安全、公共利益或法律执法要求优先于框架中设定的原则,这就导致当这些价值与“安全港框架”原则相冲突时,加入框架的企业必然会无视“安全港框架”[20];第四,“安全港框架”并没有提供个人获取、修改、清楚其个人数据的救济。[21]
  2.“隐私盾框架”(Privacy Shield Framework)
  鉴于欧美在跨境数据流动方面存在着巨大的商业利益,“安全港框架”失效后,经过多轮对话和磋商,美国与欧盟于2016年达成了“隐私盾框架”。该框架由美国商务部和欧盟委员会设计,其主要目的仍然是确保当数据从欧盟转移到美国时能够符合欧盟的数据保护要求。与“安全港框架”相似,“隐私盾框架”仍采用企业自愿接受的方式,也同样采纳了原框架中的七项隐私保护原则,但是也在此基础上作出了系列修正,以为欧盟个人数据保护提供强有力的和更易执行的保护。
  “隐私盾框架”的保护具体体现在以下几个方面。
  第一,赋予来自欧盟的个人更强有力的权利和更多的法律救济途径。比如个人可以直接针对“隐私盾框架”的参与者提出诉请,而且参与者应当在45日内作出答复;如果个人将相关诉请提交欧盟的数据保护机构,美国商务部应尽全力促进争端解决,并且应在90日内向欧盟机构作出答复;美国联邦贸易委员会应当与欧盟数据保护机构紧密合作,确保“隐私盾框架”的执行;个人也可以通过在美国法院起诉或者将案件交由有拘束力的仲裁的方式维护自己的权利。
  第二,更强有力的管理和监督。美国商务部承诺通过事前认证、事后跟踪、定期评估的方式对“隐私盾框架”下的企业进行更有效的监管。同时,商务部也承诺加强与欧盟数据保护机构的合作,主要包括建立专门的联络点、向数据保护机构提供与“隐私盾框架”有关的信息以提高透明度、与执法机关交换信息、与联邦贸易委员会和其他利益相关者召开年度会议以讨论与“隐私盾框架”的功能、实施、监管和执行等有关的事项。
  第三,更广泛的规制对象。“隐私盾框架”除了规制自愿申请加入该框架的企业外,也规定已经退出框架的企业若要继续存储根据框架获得的个人数据,也须就该类数据的保护履行相关的框架义务。此外,根据“向前转移责任原则”,如果框架下的企业将个人数据传输给第三方时,应当通知并征得数据主体同意,同时也应与第三方签署协议,以确保个人数据被用于特定的用途,并且提供至少同等水平的保护。框架下企业也应采取合理措施阻止第三方对个人数据从事任何未经授权的行为。
  第四,行政权力受到更多限制。“隐私盾框架”要求美国政府作出书面声明,承诺政府机构维护国家安全的行为将受到约束,具体包括政府若以国家安全为由访问有关个人数据,应当有明确的条件限制,并不得破坏框架所设立的原则,相关数据也只能用于反恐和网络安全等特定目的。框架也要求美国设立一个独立于国家安全机构的监察员机制,专门负责和处理个人提出的诉请和咨询。[22]
  不难看出,“隐私盾框架”仍然体现出欧美在个人跨境数据流动规制方面的相互妥协,但从内容上看,它也更多地体现出欧盟在相关规则制定方面的影响力。[23]
  3.跨大西洋贸易和投资伙伴协定(TTIP)谈判
  2013年7月欧盟和美国启动了TTIP谈判,双方旨在达成一个全面的且雄心勃勃的贸易协定。由于启动谈判时美国尚未与欧盟就个人数据跨大西洋流动的保护达成一致,跨境数据流动一度在TTIP谈判中被搁置。[24]即便如此,数据保护仍被看作是美欧之间具争议的问题。[25]在TTIP谈判中,美国希望能够沿用《美国?韩国自由贸易协定》和TPP中的版本,但欧盟则表现得十分谨慎,并继续倾向于要求其合作伙伴采用强化版的个人数据保护框架[26],比如目前的“隐私盾框架”,而非采用一个默认的模板。也有学者认为TTIP将是美国和欧盟跨境数据流动政策融合的契机[27],但是美国总统特朗普上台后,TTIP谈判进展缓慢,欧盟委员会也认为TTIP谈判已经陷入僵局。[28]
  (三)相关的自由贸易协定实践
  多哈回合谈判后,在多边层面推动《服务贸易总协定》(GATS)项下贸易自由化谈判步伐停滞,促使不少国家通过自由贸易协定等方式在双边或复边层面对数字产品贸易进行规制。2010年美国与约旦签署的自由贸易协定已经开始涉及电子商务,但是只简单规定了缔约方不能针对电子传输课以关税或施加不必要的限制。[29]自2004年起,美国在其自由贸易协定中引入了更加全面的电子商务条款:一方面,将与电子商务有关的内容单独作为一章进行规定;另一方面,相关规定也从初的禁止性规定,向要求缔约方采取积极措施推动电子商务发展。
  美国与韩国于2007年签署的自由贸易协定在跨境数据流动方面包含了比较详细的内容。该协定在第15章“电子商务”第8条“跨境信息流动”部分规定缔约双方意识到信息自由流动在促进贸易方面的重要性,以及保护个人信息的重要性,缔约双方应

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1271132      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】

热门视频更多