数据跨境转移的欧盟规则及对中国的启示_梅傲.pdf
《数据跨境转移的欧盟规则及对中国的启示_梅傲.pdf》由会员分享,可在线阅读,更多相关《数据跨境转移的欧盟规则及对中国的启示_梅傲.pdf(8页珍藏版)》请在咨信网上搜索。
1、数字贸易数据跨境转移的欧盟规则及对中国的启示 梅 傲 黄林羚内容摘要:数字经济已经进入新的发展阶段,正成为重组全球要素资源、改变国际竞争格局的关键力量。数据跨境转移作为数字经济驱动的产物,在促进全球经济发展方面发挥着重要作用,在数字经济时代,数据跨境转移规则设计已引起各国重视。欧盟较早对数据跨境转移进行探索,其数据跨境转移规则走在世界前沿。欧盟数据跨境转移规则立法经历了从公约到指令再到条例的法律层级变化,实现了从建议性规范到强制性规范的法律效力升级,在全球树立了数据立法的“欧盟模式”。相较于数字经济规模的快速扩张,我国的数据跨境转移规则制定仍处于发展阶段。我国数据跨境转移规则的框架虽已基本形成
2、,但仍存在数据跨境转移规则立法碎片化、数据跨境转移监管较为薄弱及国际数据跨境转移规则制定话语权尚未掌握等缺憾。为进一步巩固数据跨境转移监管的法治基础,我国应借鉴欧盟经验,健全数据跨境转移规则体系、完善数据跨境转移监管机制、增强全球数据跨境转移规则制定话语权,形成数据跨境转移的规则体系的“中国方案”。关 键 词:数据跨境转移 欧盟 数字经济 数据监管 数据治理 随着国际社会数字贸易和物联网的迅速发展,以及新冠疫情蔓延引发的数字化加速,数据跨境转移已经成为大国博弈的新焦点、全球治理的新议题。联合国贸易和发展会议发布的2021 年数字经济报告指出:“数据跨境转移是所有快速发展的数字技术的核心,例如数
3、据分析、区块链、人工智能等。”数据跨境转移对全球经济增长、社会良好运转的重要性愈发凸显,各国对数据跨境转移的需求逐步增大。并且,国际数据公司(IDC)发布的数字化世界 从边缘到核心预测中国数据量将于 2025 年增至 48.6ZB,占全球 27.8%,届时中国或将成为全球最大数据圈。中国信息通信研究院发布的全球数字经济白皮书(2022 年)也指出,2021 年中国数字经济高速增长,在全球数字经济规模上仅次于美国。在此背景下,为激活数据要素潜能,促使数据发挥更大价值,我国在中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要提出,要加快数字化发展,建设数字中国,打造数字经
4、济新优势。数据跨境转移是数字经济发展的前提,面对日益复杂的数据跨境转移场景和严峻的数据竞争局势,我国数据跨境转移规则仍有优化空间。如何进一步完善我国数据转移规则,推动数字强国的建设,是我国数据跨境转移方面亟待思考与解决的关键问题。与此同时,欧盟已通过一系列数据战略及法律法规来完善数据跨境转移制度,颁布通用数据保护条例(General Data Protection Regulation,GDPR)加强对数据资源的掌控力,扩张域外管辖权,提升其规则影响力,逐步形成了在数据跨境转移中的“欧盟模式”,并在数字时代的国际格局中占据了优势地位。鉴于此,本文通过分析欧盟数据跨境转移规则,探究其数据跨境转移
5、的模式和内在逻辑,并在厘清我国数据跨境转移规则缺憾的基础上,找寻我国数据跨境转移规则的发展途径,为完善具有中国特色73国际贸易2023 年第 3 期课题信息本文是重庆市社科规划项目“一带一路倡议下中国企业海外发展的域外法律保护问题研究”(2019YBFX026)与司法部国家法治与法学理论项目“英国脱欧对中英双边法律制度的影响研究”(17SFB3040)的阶段性成果。作者信息梅傲,西南政法大学争端解决国际竞争力研究中心研究员;黄林羚,西南政法大学争端解决国际竞争力研究中心助理研究员。通讯作者:梅傲,电子邮箱:meiao3344 。作者感谢匿名审稿专家们的宝贵意见和建议,当然文责自负。DOI:10
6、.14114/ki.itrade.2023.03.003数字贸易的数据跨境转移规则提供借鉴。一、欧盟数据跨境转移规则的主要内容及评析欧盟在数据跨境转移规则方面有较为丰富的实践经验。从早期个人数据自动化处理中的个人保护公约的探索,到里程碑式的欧洲议会和欧盟理事会 1995 年 10 月 24 日与个人数据处理有关的个人保护以及此类数据的自由流动指令,再到新时代GDPR 的颁布,欧盟数据跨境转移规则立法经历了从公约到指令再到条例的法律层级变化,从建议性规范到强制性规范的法律效力升级。当前,GD-PR 规定了欧盟现行数据跨境转移规则,并因其内容创新成为各国数据跨境转移立法的范本,在世界范围产生了一定
7、影响(谭观福,2022)。因此,我国可以借鉴欧盟立法规定来完善我国数据跨境转移规则。在研究欧盟数据跨境转移规则主要内容的过程中,要考虑到欧盟立法的实践效果并进行一定分析,从中探究我国数据跨境转移规则的发展路径。(一)欧盟数据跨境转移规则的主要内容欧盟 GDPR 以专章形式规定了欧盟数据转移到目标国或国际组织的有关规则,同时也为企业或其他组织指明了不同的数据合规途径,例如充分性认定、适当保障措施等。1.数据跨境转移的具体规则(1)充分性认定GDPR 第 45 条规定了基于认定具有充足保护的跨境转移规则,即欧盟委员会的充分性认定。该制度规定,当欧盟委员会对数据传输目标国整体或特定部门或区域、国际组
8、织作出充分性认定,认为其对数据具有充足保护,保护水平与欧盟实质相当时,则可以将数据进行跨境转移,且无需进一步的数据保护措施或其他特殊授权。并且,欧盟委员会通过制定实施性法案来确定数据传输目标国或国际组织是否进行充分保护,而且会对取得充分性认定的国家或地区进行持续的监督,以保护数据主体的权利。截至 2023 年 3 月,已经获取欧盟委员会充分性认定的国家或地区仅有 14 个。(2)适当保障措施由于充分性认定的标准较为严苛及涉及国家主权等,获取欧盟委员会充分性认定的国家和地区有限,满足转移所需要的适当保障措施是大多数主体选择进行数据跨境转移的方式。GDPR 第 46 条规定的适当保障措施中,应用较
9、多的是有约束力的公司规则和标准合同条款。有约束力的公司规则主要适用于跨国公司通过内部自我约束以实现数据跨境转移的情形。如果跨国公司具备经欧盟数据监督机构批准的有约束力的公司规则,则可以将欧盟境内的数据转移到欧盟境外尚未达到适当数据保护水平的其他分公司,且数据主体可以依据该规则向公司主张数据权利与救济。标准合同条款是指由欧盟委员会制定并颁布的一项标准合同框架。该条款的作用是为数据跨境转移提供适当的保障,因此数据控制者和处理者不能任意将其中的条款进行修改,但是可以将标准合同条款纳入更广泛的合同中,添加其他条款,提供额外的保障等。不过,添加的内容不能与标准合同条款相抵触或损害数据主体的权利(Land
10、au,2015)。2021 年 6 月,欧盟委员会发布了最新标准合同条款来解决之前标准合同条款中的缺陷,促进数据跨境有效转移(金晶,2021)。(3)特定情形豁免在不满足充分性认定和适当保障措施的情形下,GDPR 第 49 条规定了跨国数据跨境转移特定情形下的豁免条件。例如,数据主体明知存在风险仍表示同意、涉及重要的公共利益、根据公共登记册进行等情形,而且该传输是具有必要性的,才能进行相应的数据跨境转移。同时,本条具有特例性质,是对一般原则的豁免,需要对其中的豁免条件加以限制性解释,以免例外成为规则(Ohm,2012)。且该条适用场景主要涉及偶发性和非重复性的数据处理活动,为此欧盟委员会依据
11、GDPR 发布了关于 GD-PR 第 49 条豁免条款的 2/2018 号指南来指导条款的适用。2.数据跨境转移规则的执行数据逐渐成为数字经济发展的关键要素。全球83国际贸易2023 年第 3 期数字贸易数字经济的迅速发展催生大量数据的快速转移,但数据跨境转移涉及个人隐私、数据安全和国家安全等多方面(唐彬彬,2022)。鉴于此,欧盟对数据跨境转移进行了一定的监管,包括政府监管、行业监管和数据处理者自我监管。首先,政府监管由欧盟和各成员国合作完成。欧盟设立了具有独立性的数据保护委员会(European Data Protection Board,EDPB)作为监管机构,其主要职责是统一 GDPR
12、 在各成员国的实施标准,推动各成员国监管机构的联合,协助处理个人隐私保护的相关问题。同时,各成员国也可以自主设立监管机构,行使数据监管权力,促进欧盟内部个人数据的自由转移。其次,行业监管主要是通过行业行为准则和认证机制进行监管。根据 GDPR 第 41 条、第42 条规定,欧盟鼓励协会以及代表数据控制者或处理者的实体根据部门的特点及在特定要求的基础上制定行为准则来约束其行为,也鼓励建立数据保护认证机制、数据保护印章和标记等证明将数据转移到第三国或国际组织的情况已采取安全措施,减轻政府监管的压力。最后,数据处理者自我监管主要通过数据保护影响评估和数据保护官(Data Protec-tion Of
13、ficer,DPO)两个方面体现。数据保护影响评估属于事前监管,是指当数据处理者进行某种类型的处理可能对数据主体的权利和自由造成高风险时,必须对数据保护影响进行评估(田晓萍,2019)。同时,GDPR 也规定,数据处理者为公共机构或公共实体进行操作或需要大规模性地对数据主体进行常规和系统性的监控等情形,需要设立 DPO。DPO 必须具备数据保护法规与实践的专业知识及相关能力,以保证数据处理者的相关行为符合条例规范。如果数据处理者的行为不符合相关规定,DPO 也需要承担相应的责任。(二)欧盟数据跨境转移规则评析欧盟立足具体国情制定数据跨境转移规则来规范数据流通,促进数字经济发展。下文将从规则标准
14、、规则执行、规则影响三个层面对欧盟数据跨境转移规则进行探析。1.规则标准层面GDPR 中数据跨境转移规则规定了多层次、多类型的数据转移方式,能够满足不同场景下数据跨境转移的需要。并且,GDPR 不仅只规定数据跨境转移途径,也进一步规定了满足数据跨境转移途径所要达到的具体标准,提高了规则的操作性。例如,GDPR 第 47 条第 2 款规定了有约束力的公司规则需要满足的条件,包括但不限于:规则的法律约束力、对一般数据保护原则的适用、申诉程序等。但部分数据跨境转移途径的具体要求在操作上有一定自由裁量性,包含除数据权利保护外的政治考量。例如,GDPR 的充分性认定要求数据传输目标国数据保护水平与欧盟标
15、准“实质等同”,具体需要评估他国法治、对人权与自由的尊重等方面,这一认定已经涉及政治方面的考量。不仅如此,该评估还是以欧盟自身为衡量标准,评估过程具有主观性和不透明性,极易引起国家层面的纠纷,影响两国关系。2.规则执行层面由于历史传统、文化教育背景不同,欧盟相比其他国家或地区更加重视数据主体的权利保护(梅傲和苏建维,2021)。为此,欧盟通过立法确定层次分明的监管制度保障数据跨境转移规则的实施,保护数据主体权利。从欧盟层面的 EDPB,到成员国层面的独立监管部门,再到企业层面的 DPO,呈现出监管机构的体系完整,分工明确。但也应注意到,欧盟通过这一系列监管机构对数据跨境转移进行监督,一方面增强
16、了对个人数据的保护力度,将个人数据保护置于优先位置,表现了其重视人权的价值理念;另一方面,将大幅提高跨国企业与欧盟进行经贸往来中的合规成本,这不仅不利于企业自身的经济发展,也使得欧盟数据市场自由流通存在一定的障碍。3.规则影响层面2018 年,GDPR 的出台表明欧盟数据立法更具先进性,使得欧盟走在了世界前列,树立了世界数据保护的新标准,形成了数据立法的“欧洲模式”。并且欧盟现在开始在数据跨境转移方面化被动为主动,积极扩大欧盟数据跨境转移规则的影响力,向93国际贸易2023 年第 3 期数字贸易全世界推广欧洲模式,促进全球数据保护发展(李墨丝,2021)。与此同时,GDPR 项下数据跨境转移规
17、则中的充分性认定机制也推动了国际合作的发展。随着欧盟在数字市场的地位愈发凸显,部分国家为了能与欧盟开展数据贸易,纷纷通过制定或修改国内法律来提高数据保护水平,以此与欧盟展开充分性认定谈判。但事实上,欧盟严苛的数据跨境转移规则在一定程度上也成为贸易壁垒(许可,2018)。GD-PR 对数据自由转移的限制较为严格,使得数据不能更好地实现自由流通。且欧盟通过 GDPR 第 3 条确定了长臂管辖,实现了对他国主权的超越,会违背国际法原则,不利于国际合作(刘天骄,2020)。二、当前中国数据跨境转移规则的缺憾近年来,为了维护国家安全和数据安全、紧跟数字时代发展趋势,我国先后出台了国家安全法(2015 年
18、)、网络安全法(2017 年)、数据安全法(2021 年),以及个人信息保护法(2021 年)等法律,数据跨境转移规定则分散在上述法律中。关于数据跨境转移具体要求的配套规则除了 2022 年出台的数据出境安全评估办法,其他大多处于草案状态尚未出台,如信息安全技术-数据出境安全评估指南(征求意见稿)信息安全技术-个人信息跨境传输认证要求(征求意见稿)等。因此,相较我国数字经济规模的快速扩张,数据跨境转移规则仍处于发展阶段。(一)数据跨境转移规则立法碎片化为保障数据流通和国家安全,我国已经开始在相关领域立法,但国内对数据的规定主要见于 2010年之后的法律法规,起步时间较晚,尚未建立较为系统、完整
19、的数据跨境规则体系。我国关于数据的各种规范仍在探索中,滞后于数字经济发展和国际社会实践(冉从敬等,2021)。当前,网络安全法数据安全法个人信息保护法初步搭建了数据跨境转移规则的基本框架,但数据跨境转移规则在立法层面仍存在不少问题。第一,现有法律关于数据跨境转移的规定较为散乱,尚未形成体系。我国网络安全法中关于数据跨境转移的规定在第 37 条才有所体现,随后出台的数据安全法 并未就数据跨境转移作出详细规定,直到 2021 年颁布的个人信息保护法才以专章形式就个人信息跨境转移规则进行规定。并且,特定行业的数据跨境转移规则也主要是分散规定,比如网络出版服务管理规定网络预约出租汽车经营服务管理暂行办
20、法等。第二,现有法律规定的数据跨境转移途径有限,滞后于我国数字经济发展。当前,我国对于数据跨境转移立法的价值理念是保障数据主权和数据安全,主张通过“安全评估”制度,对重要数据和部分行业敏感数据等进行本地化存储,优先保护国家安全利益。例如,个人信息保护法规定个人信息向境外转移仅有三条合法途径。尽管欧盟与我国数据跨境治理方针较为相似,但 GDPR 中仍增加了充分性认定、特定情形豁免等更为灵活的数据跨境转移规定。相比之下,我国数据跨境转移严格且途径有限,容易加重企业数据跨境转移的成本,可能面临国外企业的强烈反对,降低本国市场的吸引力,阻碍我国数字经济产业发展。第三,法律关于数据跨境转移规定的配套细则
21、尚未出台,缺少执行细节,可操作性弱。相较于欧盟为了促使 GDPR 更好地适用,促进数据跨境转移,陆续发布GDPR 同意指南数据保护影响评估指南等一系列指南和措施,我国数据跨境转移规则相关配套措施存在较大缺口,可操作性亟待增强。例如,个人信息保护法规定个人信息处理者可以通过专业机构进行个人信息保护认证,但是我国信息安全技术-个人信息跨境传输认证要求尚在征求意见中,数据出境安全评估办法与相关国际条约的衔接也有待完善及落地。(二)数据跨境转移监管较为薄弱数据跨境转移不仅促进了全球经济的发展,还涉及个人隐私保护和国家数据安全,因此数据跨境转移的监管备受国内外关注(梅傲和侯之帅,2021)。在数据跨境转
22、移监管方面,我国立法模式属于分散立法,相关监管规定较为笼统,监督管理体制尚未清晰统一。04国际贸易2023 年第 3 期数字贸易第一,我国数据跨境转移监管权力分散。按照网络安全法第 8 条、数据安全法第 6 条规定,数据监管主体为国家网信部门、国务院相关主管部门、公安部门和其他机关以及县级以上地方人民政府有关部门等,可以看出我国数据监管主体多,权力分散。并且,在实践中监管主体的工作内容主要是按照数据所涉及的领域进行划分监管。例如,国家网信部门监管网络运营中的数据安全,电信、医疗健康、金融征信等领域的数据,监管则由工信部、卫健委、人民银行等相关部门依据职责进行。由于划分数据所涉领域的标准并不明确
23、,该数据可能涉及多个领域,呈现出职能重叠、监管不力的局面,进而使得数据主体权利受侵害后寻求救济困难。第二,我国数据跨境转移监管模式单一,效率低下。数据跨境转移监管模式不仅有法律监督,还包括市场监督、行业监督、平台监督、企业监督等。我国主要是利用法律进行监督,忽略了其他监督模式,没有发挥各种监督模式的协同作用进行高效监督,所以监督效率较低。并且由于处罚力度不够大,并不能形成有效震慑。以数据安全法中的条款为例,其第 45 条规定,违反国家核心数据管理制度,危害国家主权、安全等,处罚金额最高为 1000 万元。相比之下,欧盟 GDPR 中最低一档的最高处罚金额也能达到 1000 万欧元或公司全球营收
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 转移 欧盟 规则 中国 启示 梅傲
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。