通过《数据出境安全评估办法》和《通用数据保护条例》中关于数据出境影响评估规定的比较研究,分析两者具有的相似需求和理念,以及在规制对象、用户画像、监管与救济要求、评估程序几大方面法律条文和涉及内容的差异,同时分析差异存在的规范内部原因和战略目标、法理基础两个整体性因素。通过比较研究发现《数据出境安全评估办法》的优势,并从《通用数据保护条例》的欠缺之中找出我国数据出境评估体系的改进方向,提出符合我国人类命运共同体战略,保护数据主权与保证数据流动并重的改进措施。
数字经济时代产品和服务全球化的背景下,数据跨境流动在贸易活动与国际交流占据愈发重要的地位,推动加强数据跨境流动管理成为主要国家的共识。我国数据安全法、网络安全法、个人信息保护法在法律层面对数据出境作出原则性规定,随着《数据出境安全评估办法》的出台实施,我国数据出境安全制度已初步建立。作为数字经济主要主体之一的欧盟出台《通用数据保护条例》(GDPR),规范欧盟成员国之间和与其他地区之间的数据资源流动,其具有具体的法律规范并形成较为完善的法律体系,是全球多国家多地区数据出境安全规制的蓝本。
本文通过《数据出境安全评估办法》和欧盟通用数据保护法的比较研究,厘清中欧之间数据出境安全规则的共同点、差异以及各自优势和特点,为中欧数据出境安全领域工作提供较为直观的法律比较,契合数据全球化趋势,具备实践指导作用。
其次,比较研究帮助找出我国数据出境法律规制的优势所在和制度合理性、独特性,帮助认识法律法规并使其得到更合理地适用,找到我国成为数据出境安全规则方面的世界标准的突破口;同时,有助于加强对我国数据出境安全规则的反思,通过对比找出《数据出境安全评估办法》及以其为核心的数据出境安全规制体系的优化方向,顺应国际相关立法和数字经济发展趋势,为法律体系的完善和改进提供方向和指导,以及逐步改进我国法律制度,为兼顾数据出境安全和全球数据灵活流通提供法律保障。
第三,数据出境安全规则具有鲜明的实践特征,对通用数据保护法(GDPR)进行研究,明确其实施过程中所反映的问题本身,以及其基于问题而提出的优化方向和改进措施,对我国评估办法的落实和在实施方面的制度优化有借鉴作用。
在《数据出境安全评估办法》出台实施之后,根据知网查询结果,国内尚无学者针对该办法与欧洲相关法律法规进行比较研究,仅有分别对单个法律法规的研究。自2018年开始,陆续有学者对数据出境提出问题并进行研究。丁晓东提出《数据出境安全评估办法》等数据出境制度整体上与数据安全主权的法理高度吻合,但在风险认知和具体法律工具上需要进行改进。该文为目前唯一直接对《数据出境安全评估办法》及其所构建起的数据出境安全规则进行评析并对规则提出改进建议的研究,点明我国数据出境安全保护规则的优势和法理基础,并作出反思。但该研究虽然主要关注我国立法,但局限于从理论角度进行评析,缺少对具体法律法规内容的研究。赵精武提出我国数据出境安全制度目前存在的现实问题,并指出解决实施层面的现实问题需要细化数据安全风险分类并优化数据安全风险管理逻辑,为数据出境安全评估制度提供优化途径建议。但该文章是从我国法律体系角度在应用中存在问题的角度出发,与本文有不同的角度,能够形成互补。徐程锦则分析了我国数据跨境流动的法律规制框架,并指出我国特殊的数据跨境流动限制,能够为本文的写作提供参考,但该文章旨在证明我国数据跨境流动规制与CPTPP规则的适配性,因而对法律制度框架构建的影响因素缺乏探究。崔聪聪、许智鑫在2020年发表的“数据保护影响评估制度:欧盟立法与中国方案”根据欧盟通用数据保护法对我国数据出境安全保护规则提出建议,其研究内容从GDPR的内容出发,对我国的数据出境安全保护规则提出展望,但该研究发表于《数据出境安全评估办法》出台实施之前,缺少针对性。王敏、曹放在2022年发表的“GDPR时代数据保护的欧美标准与中国策略”具有同样的问题,但该研究相对更为整体化,整体研究了欧盟和美国相关立法,将两者进行比较,再为中国策略提出建议,且建议相对能够构成体系。
国外同样没有学者与本文有同样的研究切入点,将欧洲相关立法与我国《数据出境安全评估办法》进行比较研究。但学者们同样注意到对较为成熟的数据出境安全法律体系的比较研究可以对本国相关立法提供借鉴,Branko Marovic,Vasa Curcin对通用数据保护法进行了较为全面的研究,并对比了塞尔维亚的数据保护情况,但塞尔维亚作为欧盟候选国家之一,使研究又侧重于法律适配性而非新的立法。Chacko Mathew,Mishra Shambhavi两人对印度前数据保护法(草案)、欧盟《通用数据保护条例》、美国加州消费者隐私法三者进行比较研究,与本文研究思路类似,能够为本文写作思路提供借鉴,但侧重于个人信息保护方面的研究,相对本文研究内容涵盖面较小。Clare Sullivan对欧盟GDPR与APECCBPR进行比较研究,比较完整地分析了欧盟和美国的数据出境传输机制,为理解欧盟数据出境管理体系提供帮助。总体来说,国外学者的相关研究可以为本文提供研究方向、研究内容和写作思路的参考,但更多研究则关于数据出境法律规制在具体应用领域内产生的影响。
我国《数据出境安全评估办法》规范了我国数据出境的安全评估机制,其确定与数据出境安全法律体系的构架一定程度参考欧盟《通用数据保护条例》,同时,我国与欧盟在数据跨境流动和跨境贸易中占据重要地位,因此两者关于数据出境的评估机制之间存在相似之处,也因政治环境、经济要素等具备各自特征,使其符合国家或地区的发展要求。
《数据出境安全评估办法》应用于数据处理者和关键基础设施运营者向境外提供中华人民共和国境内运营中收集和生产的重要数据和个人信息的安全评估的情形;《通用数据保护条例》规制欧盟内数据控制者或处理者对个人数据的处理活动,根据条例第35条,其中的数据出境评估机制相关规制用于在数据处理之前评估处理行为可能带来的影响,规范数据控制者和处理者为保护出境的个人信息安全所进行的数据处理行为。两者的规制目标不同,《数据出境安全评估办法》主要规制数据评估行为,而《通用数据保护条例》的相关规定规制数据处理行为。因此两者的评估对象也存在差别,办法的评估对象为重要数据和个人数据,在办法中保护数据安全的要点为保证出境的信息存在的安全风险尽可能小;而条例中评估机制的评估对象为数据处理行为带来的潜在安全风险,要点为处理行为是否会导致风险。对数据的处理行为通常发生于数据出境之前,可以得出《通用数据保护条例》中规定的数据评估这种保护行为偏重于数据出境的事前评估;《数据出境安全评估办法》对于出境数据的评估聚焦于数据本身,因此对其监管自出境前延续至出境后,可以根据实际需要进行调整,更具有灵活性。
《通用数据保护条例》对个人信息作出的定义是任何指向一个已识别或可识别的自然人(“数据主体”)的信息。囊括主体为某一自然人的全部信息,只要数据能够用于直接或间接地识别个人,就认定为是个人信息。我国民法典对个人信息的定义为:以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。而在个人信息保护法中又指出个人信息不包括匿名化处理后的信息,认为匿名信息不属于能够识别特定自然人的信息,对我国所保护个人信息的范围作出限制。欧盟立法不对信息的实名制提出要求,可见其对这一特定性的要求较低。
对于需要通过安全评估或认证等数据出境保护机制的个人数据范围,两法又做出不同规定。国内立法中,在符合《数据出境安全评估办法》所明确规定的五种情形的条件下,个人信息向境外传输必须通过申报数据安全评估,否则采用订立标准合同的措施以达到数据保护的目的,五种情形中两种涉及敏感数据,包括有:关键信息基础设施运营者向境外提供个人信息;数据处理者向境外提供重要数据。《通用数据保护条例》相比更为严格,要求只要是个人信息出境活动,即需要进行事前风险评估,没有数据类型的条件限制,又列举:个人信息的自动化决策、委托处理、转移、公开活动。
关于个人信息的处理,在《通用数据保护条例》中,其是指对个人数据或个人数据集进行的任何操作或一系列操作,并且无论该种处理活动是否通过自动化手段,保护范围涵盖所有物联网数据处理活动。《个人信息跨境处理活动安全认证规范》规定了需要进行规范的数据跨境处理活动范围,即所有个人信息处理者开展的数据处理活动,《数据出境安全评估办法》补充关键信息基础设施运营者的数据处理活动。数据安全法又表明,数据的处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等。中欧立法整体基本相似但也有较小的差别。
个人信息指向识别自然人的信息,其中的敏感个人信息这一特殊类别在欧盟与我国立法中都被特殊保护,但存在明显差别,首先在符合“敏感”要求的个人信息范围上,欧盟与我国立法就存在较大差异。《通用数据保护条例》规定的特殊类别个人信息,即敏感个人信息,包括:种族或民族信息、政治观点、宗教、哲学信仰、工会成员信息、健康、自然人性生活或性取向。主要为隐私等个人不愿意为他人所了解的信息,针对内容除身份识别标签如定位信息、姓名等外,包括心理、社会身份、文化、生理等揭示个人政治观点、宗教信仰、健康状况的要素,多与我国立法中隐私权所对应保护的内容相重合。我国立法中规定的个人敏感信息包括:身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下儿童的个人信息等。主要集中于准确唯一的身份识别信息、政治背景、财产活动相关信息、通讯信息、位置信息等,该设定中敏感信息的披露与否紧密联系信息是否能够得到匿名化处理。不同于我国,欧盟立法提倡数据匿名化和假名化的数据处理方式。并且《通用数据保护条例》中对于匿名与实名信息采取同等的保护要求,在任何条件下,个人定位信息、通讯、生物识别信息等在未得到数据主体同意披露前都不得进行披露,主要服务于实名制管理的个人信息在该条件下确定作为敏感个人信息的价值显然相比较低。该类信息被披露,则难以匿名,不被披露,则匿名处理得到实现,我国数据出境安全管理体系对匿名与实名信息采取不同的管理办法,因此该类信息对于我国个人数据出境管理尤为重要,能够决定其被列为敏感信息。而在匿名管理的情况下,宗教信仰、性向、哲学观点等无法与确定的个人相联结,无法用于识别出某一特定自然人,从我国立法立场角度来看缺少列为敏感个人信息的价值。
此外,对敏感信息的范围确认与也与两方不同的立法基础相对应,欧盟的人权保护立场使其对敏感信息的确认也注重于个人隐私的保护,严格保护披露可能导致舆论压力的信息,以达到高标准的人权保护。我国立场则是在保护个人利益的同时促进数据流动,以达到数据经济加快发展的效果,没有欧洲严苛的人权保护要求,该种立场下设置的信息传递机制对于数据的评估侧重于:与自然人人身财产安全、自然人市场身份和市场活动密切相关的信息,对自然人和市场安全风险影响的程度基本能够决定敏感信息的范围。值得注意的是,我国立法对儿童个人信息进行特殊保护,将儿童全部个人信息列为敏感个人信息,进行高标准保护,这是基于人权保护的理论,《通用数据保护条例》中对人权的保护水平在同领域法律法规或条例中已经处于世界最高水平,对于儿童个人信息无须做特殊保护要求。
用户画像是对个人信息的处理活动,《通用数据保护条例》将用户画像作为典型的自动化决策类型进行特别举例强调,具体指任何以评估个人的特定方面为目的,通过自动化方式处理个人信息的活动,用于评估、分析以及预测个人的特定方面,可能包括工作表现、经济状况、消费取向、位置、健康状态、个人偏好、可信赖度或者行为表现等。除此之外也包括形成或旨在形成用户画像的活动,将范围扩大至个人信息处理活动阶段之前,加强预防性保护。
我国立法中的用户画像定义为:通过收集、汇聚、分析个人信息,对特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成个人特征模型的过程。该定义能够概括为处理个人信息的活动,但与GDPR所给出的定义不同的是不包括旨在形成用户画像的活动,例如定位信息,相对范围较窄。此外,我国数据出境安全法律规制体系所建立的个人信息处理活动包括有两条建立途径:识别和关联,识别即查找特定自然人的遗留信息,该条途径下通过对筛选到的用户在不同平台所留下的信息进行整合形成用户画像,关联即联结信息,将用户在平台之间分布的零散信息通过特定个人信息特征进行关联整合,成为能够反映用户特定方面的信息整体。
《通用数据保护条例》中对用户画像的规制主要包括必要性、法律授权、用户知情同意。其中用户知情同意是最重要也是最具有实践性的条件,其为用户提供反对权和免受自动化决策影响力提供了法律依据,规定了“重大影响”这一标准,虽然没有明确何种基于用户画像与自动化决策所产生结果属于对数据主体产生的“重大影响”,但其赋予了数据主体直接反对的权利,并规定数据控制者在实施自动化处理对用户个人进行精准评价时,应采取适当的措施来保障数据主体的权益。条例也对欧盟内部国家主体对用户画像的特别规制提供范围,以《通用数据保护条例》给予数据控制者根据欧盟成员国立法调整数据处理行为的权力。
我国法律对用户画像提出的要求为:必要性和消除明确身份指向性。不同于欧盟立法明确要求信息处理活动需要信息主体的授权,我国立法将用户画像是否会产生不利影响的评估权统一由数据处理部门和评估部门行使,在该种机制下,消除明确身份指向性,匿名处理的要求补充保护了数据主体意愿。对比来看,在用户画像的规制问题上,《通用数据保护条例》提出更严格和具体的标准。
在出境数据安全评估监管上,欧盟和我国立法都有针对评估机构人员的保密规定,用以规制数据的非法、不必要传播,减少数据泄露风险。此外《通用数据保护条例》和《数据出境安全评估办法》存在较大差异。欧盟体系对数据出境监管由行业、企业和监管部门共同完成,注重自主监管和政府监管的同步进行,减轻政府监管的负担,提高监管效率。《通用数据保护条例》中规定了数据出境评估的执行由数据控制者进行,必要时需要对评估进行审查,其主体也是数据控制者,但设置了数据处理的事前咨询机制,依据咨询结果获得监督机构的授权再进行处理。事前咨询是对评估之后数据处理行为的监督机制,是欧盟立法在重视事前监督的特点下的特殊机制,需要向监督机构提供的材料包括:控制者和处理者的职责和处理过程、处理目的和手段、保障措施、数据保护评估、联系方式。此外,由于欧盟由多个国家主体组成的特征,条例保证各国家可以设立独立的监督机关,各监督机关拥有在各领土之上的管辖权限和义务。提出数据主体的自主决策权,注重保护数据主体对个人信息的处分权利,保障数据主体的监管行为。根据《数据出境安全评估办法》的规定,数据出境安全评估由国家网信部门主导,多部门联动配合,国家网信部门负责统筹协调,省级网信部门、专门机构、行业主管部门、国务院有关部门相互配合。数据评估权力主体具有多样性,但办法第13条规定对评估结果异议的复评主体限于国家网信部门,与欧盟相比较我国立法中所规定享有监管权的主体相对单一。法律要求数据处理者在提交相关部门进行评估之前先行自评估,设立监管部门的全面评估机制。
《通用数据保护条例》在条文中明确规定了数据主体对数据安全受到威胁的情况可以进行司法救济,司法救济途径为诉讼,该种救济途径针对数据控制者、处理者和监督机关。司法救济与行政救济是任何主体在受到任何侵害时能够采取的主要救济途径,《通用数据保护条例》的特征为,立法者对救济途径的相对对象进行了直接具体规定,而并非需要根据其他上位法确定。行政救济途径为举报,针对数据控制者和处理者,受理主体为监督机关,类似《数据出境安全评估办法》中的“复评”,但申请主体存在差别。我国立法中没有特别规定数据主体认为个人数据安全受到侵害时的救济途径,《数据出境安全评估办法》仅在第18条指出可以依据网络安全法、数据安全法、个人信息保护法等法律寻求司法或行政救济。但《数据出境安全评估办法》中针对数据安全问题做出了较高标准的保护性规定,规定任何发现数据安全违法行为的组织或个人都可以作为行政救济的主体,也为数据处理者提供了向国家网信部门申请复评行政救济途径。
《数据出境安全评估办法》第17条规定了持续监督的机制,用以避免已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求而导致数据安全风险,持续监督的对象可以包括数据情况、数据处理活动、接收地的情况等。监督主体国家网信部门在该情况下具有书面通知数据处理者中止数据出境活动的义务,而被要求中止出境的数据的再次出境需重新完成出境评估程序。《通用数据保护条例》同样设置有持续监督机制,但监督对象和范围具有明显差别,条例第45条第3款规定欧盟有权定期审查域外国家的数据保护水平,至少每四年一次,持续性监督对象为域外国家的数据保护水平,在监督范围上小于《数据出境安全评估办法》的规定,但其严格的数据接收国数据保护充分性要求能够使其持续性监督的有效性。
《数据出境安全评估办法》规定数据出境安全评估的有效期为两年,有办法第14条规定的两种情形的,即使在有效期内,需要重新进行数据安全评估,重新评估需要在有效期届满前的60个工作日之前进行申请。有效期届满后数据依旧需要跨境处理的,应当重新进行评估。《通用数据保护条例》中未对评估的有效期作出规定,但对由专门机关作为执行主体的“认证”机制,则规定有三年有效期。
《通用数据保护条例》和《数据出境安全评估办法》都以不同方式对数据出境提出监管要求,在《数据出境安全评估办法》中,将数据出境的监管分为权力机关的评估程序与风险自评估,风险自评估是数据处理者在申报数据评估之前的法定必要程序,满足风险自评估所要求达到的条件,可以开展权力机关评估程序。《通用数据保护条例》则规定了数据跨境传输机制和机制运行的必要条件,必要条件需被数据处理者和收集者严格遵守。从内容范围和适用程序上看,风险自评估高度类似《通用数据保护条例》数据跨境传输机制中对数据处理者和收集者提出的条件,程序上都处于开展数据出境安全评估的首要阶段,内容上都有关于可出境数据的范围。差异之处在于在未满足《通用数据保护条例》所规定的条件,又无法律明确的例外规定时,数据不被允许跨境流动,而风险自评估程序作为评估程序的一部分,评估内容不仅限于数据是否满足跨境流动的最低要求,也包括数据的风险等级以便确定所对应的保障力度,即对出境数据重要性的评价,根据出境数据的规模、范围、种类、敏感程度评估数据出境可能给国家、团体、自然人带来的安全风险。
两者所要求的必要条件都对接收地水平和本地数据可出境情况作出限制,在接收地水平限制上,两者都要求对数据接收地数据安全保护水平要求达到同等水平,并在条文中作出明确规定。《通用数据保护条例》允许将数据传输到欧盟委员会认为提供“充分”个人数据保护的国家,即要求第三国或地区需要确保其数据保护水平基本等同于欧盟立法中的充分保护水平。对于数据接收地是否满足“充分保护”的要求,由欧盟委员会根据具体的数据处理活动、相关人权规范、接收地数据保护相关立法和一般法律和规范评估决定。为综合数据流通的需要,在“充分性”的要求之外法律规定有三项例外情况,以满足一定的灵活性需求,包括:(1)能够确定数据控制者或处理者采取适当的保障措施;(2)欧盟委员会已经确定数据接收方对获取的信息有足够的级别保护;(3)基于法院、法庭判决或第三国行政当局要求转让,并得到承认或强制执行。《数据出境安全评估办法》也提出了充分保护的要求,不同于欧盟立法之初在于保护要求更为具体,也同样意味着相对更具有灵活性,其要求可以概括为:(1)接收方具有能保障数据安全的技术或能力;(2)数据安全风险发生后对个人权益的维护能力。
在本地限制上则体现出明显不同,《通用数据保护条例》和《数据出境安全评估办法》对本地数据可出境的情况做出不同的规定,但总体都是较严格的风险预防法律体系,具有对外高要求的特点。欧盟立法中遵循禁止性原则,规定在无法律规定的充分性特殊减损和例外条件下,欧盟内个人数据被禁止传输至欧盟之外的国家或地区,即原则上任何正在处理中或正在传输中的个人数据的转让都必须符合《通用数据保护条例》数据接收地拥有充分数据保护水平的要求,而在特定情况下能够不必须达到该项要求,这些特定情况可以概括为三大类:(1)数据出境得到数据主体的明确同意或为满足数据主体的合同要求;(2)为保护数据主体、公共利益或其他一般人利益或司法程序的进行而使得数据出境是必要的;(3)满足欧盟或欧盟成员国法律规定的特定条件。我国数据出境安全法律体系整体遵循数据本地化要求,对于可出境的数据在数据类型和风险预防措施上作出限制,对于个人数据采取同等保护原则,对于特殊数据的出境则原则上禁止,评估数据出境的合法性和正当性,并要求数据出境具备:有法律保障效力的文件或约定。
《通用数据保护条例》所构建起的数据出境传输机制要求高度保障人权,认为“可能对自然人的权利和自由造成高风险”,需要进行数据保护影响评估,特殊高风险情形在《通用数据保护条例》第35条第三款进行列明,此外,欧盟以外地区的数据跨境传输都需要进行数据保护影响评估(DPIA)。DPIA是欧盟数据出境安全评估的具体实施办法,由于人权保护的一贯立场,其偏重个人信息出境处理活动前的评估分析,评估潜在对自然人权利与自由存在的风险,以达到源头性避免数据安全风险。《数据出境安全评估办法》对于适用对象的范围明显较小,对于重要信息和关键基础设施运营者向境外提供的信息提出高要求,而对于个人信息,在达到特定的数量要求后才纳入评估范围。对数据出境处理活动前或出境处理活动中都提出要求,在灵活性上具有优势。
《数据出境安全评估办法》第4条规定了触发评估程序的条件,办法规定的四种情形对于需要进行出境安全评估的数据需满足数据重要性或者特殊传输主体的条件,对于重要数据和国家网信部门特别规定的数据一律需要进行评估,而对于个人数据,只有当传输主体为:关键信息基础设施运营者和处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者时才需要进行出境安全评估。在《通用数据保护条例》中,要求在数据处理行为之前对所有的操作方式可能产生的影响进行评估,并在35条第3款特别强调规定三种触发评估程序的情形,涵盖广泛,追求事前评估的覆盖性,在《数据出境安全评估办法》规定下的评估触发条件显然更有利于数据的出境流通。
《数据出境安全评估办法》规范了以评估为数据出境安全风险防范措施的数据传输机制,评估流程开始于数据处理者风险自评估,自评估完成后整理所需申报材料提交省级网信部门,材料包括申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的法律文件、安全评估工作需要的其他材料,省级网信部门在5个工作日完成完备性检查后根据材料情况报送国家网信部或要求数据处理者补充材料,由国家网信部门7个工作日内确定是否受理并书面通知数据处理者,并根据申报情况组织国务院有关部门、省级网信部门、专门机构进行安全评估,评估工作应在45个工作日内完成,评估结果书面通知数据处理者。欧盟立法中数据出境评估的主体是数据控制者,因此评估无须申报,条例也没有明确规定评估期限,只对监督机关的事前咨询期限作出规定,要求在八周内作出决定,特殊情况可延长六周。流程简单,在由数据控制者进行评估后由监督机关作出咨询意见,其后可以进行数据处理行为。欧盟立法鉴于《通用数据保护条例》是欧盟数据保护的最基本规范,在未满足其所规定的除例外情况的充分性条件时数据出境会受到限制与阻碍,在确定不能满足条例所规定的必要条件这一要求时,可以选择遵循其他的数据出境管理制度。
《通用数据保护条例》第35条第7款第1项:对于设想机制以及处理目的的系统性描述和第2项:对于处理目的的相关的处理机制必要的评估对应《数据出境安全评估办法》第8条第1款对应合理性,第2款充分性,第6款对合法性和第3款对重要性的要求。第3项对应办法第4条数据安全和用户权益保障能力的要求。第4项内容对应办法第5条对于法律性文件的要求,两者都有关于风险保障措施,在《通用数据保护条例》中未进行具体列举,具有更大的评估范围。两者对评估内容的条文基本对应,对评估对象的差别在上文已进行论述。
国家或地区的政治制度能够影响该国家或地区的法律体系构建,欧盟与我国存在的巨大政治体制差异是两地有关数据出境安全体系构建存在差异的重要原因。一方面欧盟作为国家联合,其立法需要协调欧盟成员国整体立法倾向,而我国作为单一国家主体和成文法体系国家,立法更具体系化优势,所需协调内容更少,也更便于采取具体列举的方式制定规范。另一方面政体和国体的不同会导致体系构建的衡量因素的不同,影响法律保护的偏向。
欧盟是欧洲一体化战略的表现形式之一,欧洲一体化战略展望形成欧洲统一大市场,因而要求减少成员国之间贸易壁垒,同时要求对欧盟成员国之间内部市场进行保护。在数字经济腾飞的国际经济贸易形势下,数据作为一种重要资源在欧盟各国之间的流动要求更便捷、更高效,以推动内部数字经济的协调发展,形成统一数据市场,降低内部流通成本,提高数字对外贸易的优势。对于欧盟成员国以外国家,则要求形成能够保护成员国在欧盟内部的竞争优势的策略。从而形成欧盟对内标准宽松,对外严格标准的数据出境制度。
我国自2012年以来一直致力于推动人类命运共同体战略的构建,该理念旨在追求本国利益时兼顾他国合理关切,在谋求本国发展中促进各国共同发展,要求相互依存的国际权力观、共同利益观、可持续发展观和全球治理观。在这种理念的推动下,我国数字跨境安全体系的构建要求不仅能够有利于我国国内数据贸易的发展,也要求推动全球其他国家与地区数字经济的发展,以自身发展促进周边发展乃至全球发展,从而形成我国数据出境安全评估体系原则上的开放性。
欧洲在个人数据保护与数据跨境流动方面的法律规制是以人权保护理论为中心建立。《通用数据保护条例》在条文中直接指出个人数据被保护权为一种基本人权。在这种原则上,欧盟要求数据原则上只能在内部流通或传播到与欧盟有同等数据保护水平的国家或地区,强调“充分性”要求,仅在条例规定的几种特殊情况下可以适当降低流通要求,以最大程度保证数据主体的人权得到保障。
但在我国,数据作为新兴领域,我国更注重的是伴随数据的相关风险,该种立场明确体现于我国数据相关立法,网络安全法、数据安全法等一系列数据安全性法律法规的制定和实施具体证明我国数据监管的风险进路是以数据安全主权为本,在此基础上寻求高度的数据流通,既要求保障主权又要求多边经济合作。在这种原则上,我国数据安全法律规制体系采取特殊数据禁止出境,重要数据和特定个人信息进行安全评估,其他数据原则上流通的策略。
相比《通用数据保护条例》,《数据出境安全评估办法》为核心的我国数据安全法律规制体系具备更灵活的数据安全风险预防机制,避免了类似欧盟“充分性”原则所带来的数据流动壁垒,注重数据安全风险的监管但强调安全与发展兼顾,坚持从数据安全与发展角度阐释全球安全立场,保障在保障国内数据安全的同时积极参与全球数字经济建设,有利于我国人类命运共同体战略的建构;兼顾发展与安全,提供数据对外战略,并且构建相比欧盟体系更易于参与的数据流动传输关系,有助于培养发展中国家对数据跨境流动中国策略的拥护,有利于发展独立自主的数据话语体系。同时,该种数据安全主权为主兼顾发展的数据跨境流动安全体系也更有利于全球数据的合理流动。
就《数据出境安全评估办法》本身而言,其设立更具体、全面的风险评估范围,建立了更科学的评估程序,使数据评估流程明确,有利于规避数据出境中可能产生的风险。事前评估和持续监督相结合原则,避免刻板评估制度同时保证数据风险的有效规避,实现数据出境安全评估监管闭环。
欧盟在数据跨境流动法律体系构建上具有明显的人权立场意识形态化特征,因而对个人数据风险的接受度较低,期望能够对个人数据安全做到最大限度保护,从而在法律体系中引入更多预防性原则,形成更完善的数据安全风险预防机制。欧盟注重人权保护的数据安全立场具有其合理性,使欧盟成为世界上对个人信息安全保护最为严谨的地区,但同时不可避免地存在数字经济发展阻碍因素,高强度的数据人权保护可能导致单边主义与长臂管辖,如《通用数据保护条例》规定只要数据控制者或处理者位于欧盟境内,其在欧盟境外的数据处理行为同样受到《通用数据保护条例》的管辖,再如数据接收方对个人数据的保护水平必须达到与欧盟同等要求,高保护水平必然导致高保护成本,此类高标准要求明显阻碍大部分发展中国家与欧盟之间的数据流动,不利于全球化背景下的数字经济发展。优势在于该条例为构建欧盟统一数据市场提供法律支持,推动欧盟数据一体化进程,统一欧盟整体数据保护标准,有利于欧盟内部数字经济的发展,同时也呼应构建人权保护标杆战略,以欧盟体系为主导的全球数据安全体系。
目前,我国现有数据出境安全法律规制的理论体系和国际数字经济发展趋势高度符合,在该种理论支撑下,数据跨境既能够保证安全又能够得到高效流动。但与之相对是我国相对偏向欧盟立场的数据出境预防机制和风险评估制度,因此可以得出探索与优化风险评估制度框架并加强依法监管是我国数据出境法律规制体系的改进方向。需要明确没有绝对安全,导致数据安全风险的因素不仅局限于数据出境,因此需要优化风险防范模式与防范方案,同时需要注意的是,刻板预防机制对数据流动的阻碍作用背离我国数据安全与发展并重的理念,因此需要采取开放、灵活的防范原则。还需关注发展问题,可以灵活开放数据主权,针对数据保护水平要求较高的欧盟采取相对封闭的数据安全主权,针对要求较低的国家或地区则采取相对开放的数据安全主权,加强对外数据交流,顺应数据开放的全球趋势。
目前《数据出境安全评估办法》仅针对个人敏感信息和特殊类型信息进行分类处理,考虑到不同的数据类型所能够带来的风险程度不同,带来风险的可能性也不同,但这种分类尚较为粗略,难免忽略一些需要进行重点风险评估的数据或是对一些可能风险等级较低的数据投入过多评估成本,因而还需进一步细化风险评估方式,针对细化的分类再精确评估内容,避免评估内容的泛化,构建我国特有的风险评估制度,降低对其他地区法律评估方法的依赖性。
目前我国已经形成数据安全风险评估制度,目前提高数据安全保障效率,加强可出境数据跨境流动,需要建立风险应对体系。可以建立“识别—评估—缓解—预防”的风险应对体系,对识别出的风险先行风险等级评估,对不同等级的风险区别设定管理办法,后在对风险进行大数据分析的基础上提出对不同种风险具有针对性的有效预防措施。对于持续监督机制探索运行成本更低和更有利于数据开放的模式,可以学习欧盟对一个对象为监督要点进行持续监督的方式,减轻持续监督的资源投入。
数据的流通在数据全球化经济中占据最重要的地位,而数据主权、数据安全又是国家和地区稳定发展的基础之一,因此以合理方式平衡数据跨境流动和保障数据安全之间的关系尤为关键。对比《数据出境安全评估办法》和《通用数据保护条例》可得两者在订立目的、域外保护水平要求、安全风险防范等方面具有相似的需求和理念,但由于双方存在差异的政治战略目标和立法的法理学基础,两者确立的数据出境安全规制存在明显的差别。
在规制对象方面,《数据出境安全评估办法》主要规制数据评估行为,而《通用数据保护条例》的相关规定规制数据处理行为,评估对象也存在差别,也就导致两者对数据出境的评估侧重阶段的不同。两者对需要进行跨境保护的重要概念:个人信息与敏感个人信息的概念和规制范围也不尽相同。我国规制中不将匿名信息纳入需要保护的范围,而欧盟则未作出规定,其对于需要进行评估的个人信息与敏感个人信息的范围确定也大于《数据出境安全评估办法》的规定。可得在此方面我国立法重点偏重于数据流通,提供更大的数据流动可能性。
在用户画像方面,办法与条例对其定义略有差别,办法要求消除明确身份指向性,将用户画像是否会产生不利影响的评估权统一由数据处理部门和评估部门行使,欧盟立法则明确要求信息处理活动需要信息主体的授权。因此对比来看,在用户画像的规制问题上,《通用数据保护条例》提出更严格和具体的标准。
在监管与救济方面两者相关规定存在较大差异,监督主体、监督机制、必要材料、持续监督机制、救济途径上均有所不同。欧盟中事前监督的规制方向使其具有独特的事前咨询机制,阶段上对应我国规制中网信部门的评估,内容上多有不同,也体现出监督主体更为多样化的特点,正是办法所确立的出境规制体系尚显欠缺之处。对于持续监督的问题,办法的要求显然有更广泛的覆盖面和更具体明确的体系,但欧盟将出境后的监督聚焦于接收地水平的模式针对性强执行成本低。两者对于救济的保障措施都在行政与司法两方面作出规定,也基本可以相互对应。
在监管要求方面,两者都要求“两步走”,分别形成“风险自评估+网信部门评估”与“充分性条件+数据出境影响评估”模式,在规制内容上存在差别。《通用数据保护条例》对接收地水平的“充分性”作出广泛严格的要求,《数据出境安全评估办法》对充分保护的要求则更为具体,都对数据出境具有较高的要求,但相比较欧盟模式全球数据经济中有更强数据贸易壁垒。
在评估程序方面,《数据出境安全评估办法》确立的规制对适用评估的要求更为严格,需要进行评估的出境数据范围较小,形成更有利于数据流动的评估触发机制,确定更系统化的评估流程,二者具有诸多的不同,而办法确定的评估程序在应用中以其特点更清晰而便捷,《通用数据保护条例》则具有更全面的保护范围。
我国与欧盟在平衡数据跨境流动和保障数据安全的关系时各有侧重,也就导致了两者在:对象、用户画像、监管救济、评估程序方面的差异。不同的规则具有不同的优势,通过两者的比较研究明确了我国数据出境评估体系相对有所欠缺的方面,也从《通用数据保护条例》的劣势中发掘我国数据出境规制的发展趋势与方向。
制度和战略的差异以及法理学基础的不同导致了《数据出境安全评估办法》与《通用数据保护条例》一脉相承却存在较大的差异。欧盟需要首先保护内部成员国利益,推动欧洲一体化战略,使其制度形成对外严格对内宽松的格局;以人权保护为基石的立法理念使其数据出境影响评估制度强调对自然人权利的保护,成为目前全球数据出境管理制度对数据出境要求最为严格的规制。我国对人类命运共同体的构建理念和数据安全主权的立场决定了我国的数据出境制度在保护数据主权的同时需要保证数据能够便捷流动,便于参加全球数据贸易。
《数据出境安全评估办法》所构建的数据出境安全保护体系兼顾发展与安全,提供数据对外战略,形成的贸易壁垒较弱,有助培养发展中国家对数据跨境流动中国策略的拥护,有利于发展独立自主的数据话语体系,符合我国的规则设置目标。与《通用数据保护条例》的比较凸显出办法所设制度的适用和优势,也显示在一些规则设立方面需要学习欧盟,进行具体的说明,欧盟用于强调其保护力度,我国制度的优化可以此对不必要的保护范围做减法。
田华 陈晓龙|人民法院推进行政争议“实质性”解决的价值标准和实现路径
翟文豪|区块链智能合约的合同属性困境及其化解
初亦周|我国阅读障碍者合理使用规则研究
王勇|表见代理中本人可归责性问题研究
陈恋|大数据时代监视型侦查程序研究
严雨晗|新加坡调解公约视角下我国自贸区国际商事调解制度的完善
上海市法学会官网
http://www.sls.org.cn
特别声明:本文经上观新闻客户端的“上观号”入驻单位授权发布,仅代表该入驻单位观点,“上观新闻”仅为信息发布平台,如您认为发布内容侵犯您的相关权益,请联系删除!
热门跟贴