摘要
信息技术的急速发展使数据成为了数字经济时代的核心生产要素之一。而在经济全球化的作用下,数据更是开始频繁地跨越国境进行流动,个人数据在其中占比极大,大型的跨国互联网企业,如美国的谷歌、苹果、Alphabet,我国的阿里巴巴、字节跳动等的运营均离不开个人数据的收集、传输和处理。与数字经济发展和个人数据跨境流动规模相适应,全球在最近十年内可谓是掀起了个人数据领域的新一轮立法浪潮。不同国家(地区)基于不同的经济、政治等考量采取了不同的个人数据跨境流动政策,总体上来看,个人数据跨境流动的规则呈现出了明显的碎片化特点并伴随着潜在的法律冲突。跨国企业是个人数据跨境流动的重要推动力量,这些企业在全球开展业务的过程中必须满足不同国家(地区)对个人数据跨境流动的多样化监管要求,这使得企业的合规成本与合规风险急剧上升。 本论文的第一章为“跨国企业面临的个人数据跨境流动全球规则碎片化风险”。本章首先对涉及个人数据跨境流动的WTO相关规则进行了论述。WTO体系下并未对个人数据跨境流动进行直接规制,但GATS的“一般例外条款”在一定程度上可以协调个人数据自由跨境流动与国家监管权之间的冲突。通过“美国——赌博案(DS285)”与援引GATT“一般例外条款”的“中国—出版物和视听产品案(DS363)”两个案件,笔者对“一般例外条款”的“必要性”判断进行了论述,指出一国想通过援引WTO的“一般例外条款”以获得限制个人数据跨境流动措施在WTO下的合规性,可能存在一定难度。本章其次对FTA中的个人数据跨境流动规则进行了论述,具体包括CPTPP、DEPA与RCEP。CPTPP和DEPA原则上均支持个人数据的跨境流动,但同时也允许缔约国出于保护个人数据、公共政策目标、基本安全利益等目的采取一定的限制措施。RCEP同样也采取了“原则+例外”的模式来规制个人数据的跨境流动,但是需要注意的是,RCEP强调合法公共政策目标的必要性问题交由缔约国自行判断,对基本安全利益更是规定了其它缔约国不得对一国的相关措施提出异议。此外,笔者还对FTA中不同例外条款的适用问题进行了分析。本章最后OECD指南和APEC的CBPR机制进行了分析,指出上述两种软法机制仅能发挥有限的协调作用。从本章的论述可以看出,当前个人数据跨境流动的国际规制呈现明显的碎片化特点,跨国公司在开展全球运营的过程中需要遵守不同体系下的规则,导致合规成本与风险急速上升。 本论文的第二章为“跨国企业面临的个人数据跨境流动管辖规则冲突风险”。本章首先论述了GDPR长臂管辖规则确立的“市场地原则”,并通过比利时雅虎案阐释了欧盟对域外个人数据控制者的管辖思路。本章其次从民事与刑事两个方面对美国在个人数据跨境流动问题上的长臂管辖规则进行了分析。民事方面以CCPA为代表,与GDPR类似,CCPA也引入了“市场地原则”来确定对域外个人数据控制者的管辖,但同时也附加了一定的适用条件。刑事方面的代表为CLOUD法案,该法案虽然为美国执法机构跨境调取个人数据提供了法律依据,但具有强烈的单边主义色彩,极有可能侵犯他国主权。从本章的论述可以看出,长臂管辖规则使跨国企业在全球运营的过程中极易陷入国家间管辖冲突的“漩涡”之中,轻则传输个人数据受阻,无法顺利开展业务;重则面临失去海外市场的风险。 本论文的第三章为“风险成因分析——个人数据跨境流动中的关键议题与分歧”,对前两章提出的跨国企业所面临风险的成因进行了分析。本章首先论述了个人数据跨境流动中的经济关切,以典型代表为美国,美国基于其产业优势与技术优势,为促进本国数字经济发展而力主个人数据的自由流动。本章其次论述了个人数据跨境流动中的非经济关切,分别为个人权利保护、国家安全防范和数据主权维护。笔者通过Schrems I和SchremsⅡ两个案件阐述了欧盟在个人数据跨境流动中的个人权利保护立场;通过分析我国的个人数据出境规则指出我国在该问题上更加关注国家安全风险防范,不过需要注意的是,美国国内同样不乏防范国家安全的数据立法;此外,数据主权维护是个人数据跨境流动中的另一重要议题,尽管网络与数据的虚拟性对国家主权构成了一定的挑战,但是各国仍应当坚持“数据主权论”,不应当一味追求个人数据的自由跨境流动而忽略了其带来的不平等竞争等后果。 本论文的第四章为“个人数据跨境流动的中国应对”,主要论述了我国如何为跨国企业在全球运营中更好地进行个人数据合规提供制度支持。本章首先提出我国在个人数据跨境流动这个问题上应当积极地参与全球治理,可以利用WTO谈判机制开展诸边谈判,为多边协议的形成打下基础;此外,鉴于我国已申请加入CPTPP与DEPA,那么我国的个人数据出境规则是否具备CPTPP和DEPA下的合规性及如何做好相应的对接工作就成为了重点目标;我国还可以积极参加针对个人数据流动本身的治理,例如与他国建立个人数据保护的互认机制,签订个人数据传输协议等。本章其次从国内层面展开论述,积极参与国际治理的基础是国内法律体系的健全,我国需要完善个人数据出境体系,明确个人数据出境三种机制的规制逻辑与定位,并解决部分规定较为原则性、较为模糊的问题;我国还应当对他国的长臂管辖进行适当的阻断与反制,坚持属地管辖原则与属人管辖原则,坚持通过主权国家间的平等协商机制进行跨境个人数据调取,并在此基础上探索相应的双边方案或区域方案。
NETL