摘要
在当前的数据安全环境中,数据跨境流动成为一个不能被轻视的重要议题。20世纪70年代初期经济合作与发展组织的科学技术政策委员会已经开始关注这一议题,并发布了《跨境数据流动宣言》。直到现在,随着数字时代的发展和经济全球化的推进,数据跨境流动已经变成了一个显著的时代标志,在大量的数据跨境流动中伴随着各种安全隐患,这不仅威胁到个人的信息安全,还可能对国家的信息安全造成威胁。因此,如何更好地管理数据跨境流动成为了一个受到广泛关注的问题。2022年1月,国务院公布了“十四五”数字经济发展计划,该计划强调了完善和强化数据跨境流动的安全管理制度,并围绕数据跨境流动等核心问题,探讨制定相应的治理策略,显示了国家对数据跨境流动监管的高度关注和前瞻规划。 在数字贸易中数据跨境流动缺乏规制的国际背景下,以亚太,欧盟,美加墨为主要的世界数字贸易经济体积极探索数据治理全球方案。CPTPP跨境流动规则内容在第14章电子商务章节中,其高度强调了数据跨境流动的自由化,并为数据自由流动提出了更高的标准要求。通过与其他主要的区域贸易协定( USMCA、RCEP、DEPA)中的数据跨境流动规则进行对比分析,发现晚近区贸协定对数据监管呈现出多元化发展和高标准自由流动趋势。此外,CPTPP与其他主要的区域贸易展示了数据跨境流动的不同自由度:USMCA未肯定缔约方在数据监管方面的主权,数据流动的自由度最高;RCEP则更加强调在缔约方的监管下进行数据流动,相应地限制了数据传输的自由程度;CPTPP和DEPA的规则相似,其自由程度介于两者之间,既确认了缔约方在特殊情况下可以限制数据跨境流动,也限制了缔约方在特殊情况下的自由裁量权。 我国逐步形成了以《国家安全法》为核心,以《数据安全法》、《网络安全法》及《个人信息保护法》为基本内容,以一系列有关的行政法规和行政规章作为补充的数据安全法律治理体系,同时根据数据主体和客体的不同进行分级分类管理。我国适配CPTPP高自由度的数据传输要求最大的阻碍在限制数据跨境流动规则,通过检视我国限制数据跨境流动规则,发现限制或禁止出境规则挑战CPTPP“应当允许”数据自由流动理念,数据本土化规则与CPTPP禁止数据本土化规则形成鲜明对照,数据跨境安全网关规则和对等反制规则难以符合例外条款要求。 “明者因时而变,知者随事而制。”鉴于数据跨境流动的规模增长、速度提升和风险上升,我国应在五个关键领域完善数据跨境流动制度设计。一是继续坚持数据安全可控理念,统筹协调安全和发展的关系,在保护国家安全的基本立场上进一步规范和促进数据依法有序自由流动。二是加强数据分级分类管理的统筹兼顾和上层建筑建设,差别化建立针对不同国家的重要数据目录,利用高新技术促进数据分级分类的智能化并建立动态的数据分级分类管理制度。三是建立第三方认证制度,增加标准合同的适用范围,限缩安全审查、安全评估、对等保护适用范畴来放松数据跨境流动监管力度。四是借鉴欧盟GDPR通过“充分性认证”和“充分性保障”来实现对数据本土化制度优化的做法,建立“白名单”制度,鼓励企业自主参与数据治理。五是将数据跨境安全网关规则将数据跨境流动议题中剥离出来,调整采取对等反制措施的顺位,进一步强调我国对等反制规则的防御立场。
NETL