1、-62-数字信息技术的革新推动了数字经济的快速发展,成为经济增长的重要驱动力。跨境数据流动是实现数据最大化利用和数据资源价值的必由之路,是数字经济的重要内容。从全球范围来看,以跨境数据流动治理为主要内容之一的国际数字贸易规则不仅是世界贸易组织(WTO)新一代经贸规则的核心议题,代表着21世纪国际经贸规则的方向,也是美国、欧盟以及中国等经济体争夺数字产业、数字治理话语权的关键领域1。数据治理规则成为大国博弈的一种工具和手段,竞争日趋激烈。目前全球尚未形成统一的跨境数据流动治理规则,其主要治理方式是嵌入在双边或多边的自由贸易协定中。根据各方数字经济发展水平以及利益考量的差异,形成了不同的规制范式,
2、主要有RCEP范式、美国范式和欧盟范式。RCEP明确了“有条件的跨境数据自由流动”基本原则,顾及缔约方的不同发展状况,形成了“合作共治”的模式。RCEP成员国在禁止数据本地化存储、合徐伟功,贾赫(中南财经政法大学 法学院,湖北 武汉 430073)摘要:数字经济的发展改变了全球经济运行方式,跨境数据流动是实现数据最大化利用和数据资源价值的必由之路。目前区域间跨境数据流动治理规则主要有RCEP范式、美国范式和欧盟范式。RCEP范式坚持“数字命运共同体”理念、发展权理念和有限理性的数据防御主义理念,美国范式体现美国数据霸权主义理念和数据保护主义理念,欧盟范式体现隐私保护优先理念和区域内数据共享理念
3、。各范式在“业务目的数据跨境”治理理念和“执法目的数据跨境”规则内容上具有差异,跨境数据流动治理规则本身也存在系统性与碎片化的冲突。未来我国应统筹兼顾两个层面,在国际治理层面以RCEP规则为范本推动全球性跨境数据流动机制的构建;在国内治理层面加强国内立法与RCEP规则之间的协调衔接,为跨境数据流动治理提出中国方案。关键词:数字经济;跨境数据流动;数据治理;自由流动;RCEP;数字命运共同体中图分类号:DF96 文献标识码:A 文章编号:1004-6917(2022)12-0062-08RCEP背景下跨境数据流动治理规则比较研究与中国方案文献编码DOI:10.3969/j.issn.1004-6
4、917.2022.12.009收稿日期:2022-10-09基金项目:2019年国家社会科学基金重点项目“我国涉外民事审判中法官自由裁量权实证研究”(19AFX026);2020年国家社会科学基金重大项目“国际私法视域下中国法域外适用的制度构建研究”(20ZD202);中南财经政法大学中央高校基本科研业务费专项资金(202210606)作者简介:徐伟功(1970),男,江苏丹阳人,法学博士,中南财经政法大学法学院教授,博士生导师,研究方向为国际私法、国际商事仲裁;贾赫(1996),女,河南禹州人,中南财经政法大学法学院博士研究生,研究方向为国际私法。【东盟论坛RCEP区域合作与发展】2022年
5、第12期(总第330期)-63-RCEP背景下跨境数据流动治理规则比较研究与中国方案/徐伟功 贾赫法公共政策例外、基本安全利益例外等重大问题上达成共识,关注国家安全和社会公共利益。美国范式强调“最大限度的跨境数据自由流动”原则,无论是在其主导的跨太平洋伙伴关系协定(TPP)、美墨加协定(USMCA)中,还是在美日、美韩自由贸易协定中都可见一斑。此外,美国范式还以亚太经济合作组织(APEC)的隐私框架为基础构建跨境隐私规则体系(CBPRs),打造低保护水平的数据流动秩序,确保成员国不会因“自身提供了高水平保护”为由限制数据流动。但是美国范式对于本国敏感数据向外传输又规定了严格的限制条件,同时加强
6、了对域外数据的长臂管辖权,形成了“宽进严出”的模式。欧盟范式主要体现在通用数据保护条例(GDPR)中,该条例由欧盟在2018年正式实施。其以“隐私保护优先”为首要原则,严格限制数据向欧盟域外传输,并赋予GDPR域外效力强化域外数据管辖。同时欧盟于2022年正式批准通过数据治理法(DGA),提出“数据利他主义”的新概念,明确了区域内数据共享原则,形成欧盟跨境数据流动“外严内松”的模式。跨境数据流动治理的RCEP范式、美国范式和欧盟范式不仅在治理模式上存在明显不同,而且各范式中“业务目的数据跨境”和“执法目的数据跨境”规则的差异性背后也深刻体现了国家之间的理念分歧与利益博弈,“条约拥堵”(trea
7、tycongestion)造成国际治理机制的碎片化2,引发治理规则行为体之间产生“规则竞争”趋势,增加数据流动壁垒,降低治理效率。有鉴于此,我国应在坚持RCEP“数字命运共同体”理念、“合作共治”模式原则的指引下,从国际治理和国内治理维度提出跨境数据流动治理的中国方案,加强国家间治理协作,努力弥合全球“数字鸿沟”3,促进全球数字经济的良性发展。一、跨境数据流动治理规则的三种范式跨境数据流动治理规则主要关注三个方面的问题:个人信息权益的保护、国家安全风险防范和司法执法管辖要求4。在制定区域性的跨境数据流动治理规则时,由于各国在上述三个问题上的出发点和利益考量不同,形成了跨境数据流动的不同规制范式
8、。(一)跨境数据流动治理的RCEP范式RCEP成员国既有发达国家又有发展中国家,各国数字技术以及数字经济发展水平不一,形成相互冲突的利益诉求。为了兼顾不同的立场和利益,RCEP坚持“有条件的跨境数据自由流动”原则、“合作共治”模式,并制定阻断域外国家数据长臂管辖的措施。首先,RCEP确立了“有条件的跨境数据自由流动”原则。RCEP兼顾发达国家和发展中国家的利益,设置了允许跨境数据自由流动的一般原则,同时将数据安全流动作为例外原则,兼顾数据的自由流动和充分安全保护,协调各国的利益冲突。RCEP允许跨境数据流动,第十二章第十五条第二款明确规定不得阻止投资者或服务提供者因商业行为需通过电子方式跨境传
9、输信息的行为。同时为了降低市场准入门槛、促进企业跨境投资,第十二章第十四条第二款还规定了禁止数据本地化条款。此外,RCEP也设置了一些例外原则,第十二章第十四条第三款、第十五条第三款规定了合法公共政策目标例外以及基本安全利益例外,并以脚注规定的形式赋予了缔约方自行确认实施合法公共政策是否必要的权利。这实质是体现了RCEP“有条件的跨境数据自由流动”原则,即RCEP不是仅仅追求数据自由流动带来的经济利益,而是更加注重跨境数据流动的安全性5。其次,RCEP在跨境数据流动治理上形成了“合作共治”的模式。其一,RCEP并不是只体现个别国家的利益,而是秉持多国合作共治理念。考虑到各国经济水平的差异和协定
10、落实的难易,RCEP第十二章第十四条第二款脚注、第十五条第二款脚注中为柬埔寨、老挝和缅甸等国家设置了缓冲期,增强了规则适用的灵活性;其二,RCEP推动跨境数据流动治理的“制度合作”。与美国范式、欧盟范式的“零和博弈”思路不同,RCEP倡导构建“数字命运共同体”,没有对缔约国自主施加的非歧视性监管措施进行过多限制6,使得缔约国无需对国内法作出实质性修改就可与SOCIAL SCIENCES IN GUANGXINo.12.2022(Cumulatively,No.330)-64-RCEP规则兼容。最后,RCEP规定了应对域外国家数据长臂管辖权的制度设计。2018年美国通过澄清境外合法使用数据法(“
11、CLOUD法案”),在跨境数据流动领域强化了长臂管辖权。此外,欧盟也赋予了GDPR域外效力以实现数据长臂管辖。RCEP应对域外国家数据长臂管辖权的条款主要集中在第八章附件一、附件二和第十三章,提出禁止非本地金融服务者作为委托人,通过中介机构或者作为中介机构等其他途径进行金融信息转移和数据处理,并且还规定在刑事诉讼中证据应当通过外交途径或依据缔约国的法律获取。可以说,RCEP有关阻断域外国家数据长臂管辖的条款为成员国打开了新思路,提供了制度方案。(二)跨境数据流动治理的美国范式美国依托其领先的互联网技术优势,借助经济优先的贸易理念驱动,在其主导的TPP、USMCA和美日数字贸易协定(UJDTA)
12、等双边或多边贸易协定中主张“最大可能的跨境数据自由流动”。而随着美国国内日益趋向保守,单边主义势力抬头,“美国优先”的单边保守主义逐步成为其主流国策。在其国内法层面,美国严格限制本国敏感数据对外传输,同时加强对域外数据的长臂管辖。具体而言,美国范式的主要特点如下。首先,美国在其主导签订的区域贸易协定中要求纳入“禁止限制跨境数据自由流动”的规则条款7,主张“最大可能的跨境信息自由流动”,确保“各国的监管差异不会成为实质的贸易壁垒”8。如USMCA第十九章第十一条第一款要求各方不得禁止或限制通过电子方式跨境转移基于业务活动的信息(包括个人信息)。由此来看,“禁止数据本地化措施”和“鼓励数据跨境自由
13、流动”是美国范式的核心主张。同时,美国以APEC隐私框架为基础构建的跨境隐私规则体系(CBPRs)是近年来美国在国际社会极力推行的跨境数据流动规则,通过构建低保护水平的数据流动体系,实现数据信息向美国汇聚。其次,美国在跨境数据流动上采取双重标准。一方面,美国在获取域外数据时主张“跨境数据自由流动”;另一方面,美国又对本国敏感数据向外传输进行严格限制。2018年美国通过外国投资风险审查现代化法(“FIRRMA法案”)授权外国投资委员会(CFIUS)审查针对美国“敏感个人数据”商业的外国非控制型投资,以避免这些数据被外国政府或主体获取;2019年美国签发确保信息通信技术与服务供应链安全行政命令并推
14、行“清洁网络计划”,禁止交易和使用可能对国家安全、外交政策与经济构成威胁的其他国家的信息技术和服务;2021年美国签发保护美国人的敏感数据不受外国对手侵害行政命令,避免涉及美国国家安全的敏感数据出境。最后,美国在执法跨境调取数据上规定了长臂管辖措施。2018年施行的“CLOUD法案”提出新的“数据掌控者”管辖模式,规定无论通信、记录或其他信息是否位于美国境内,美国的电子通信服务(ECS)或远程计算服务(RCS)提供者都有义务按照美国法定要求,保存、备份或者披露其拥有、监管或控制的用户或订户的通信内容以及任何记录或其他信息。该法案扩张了美国执法机构调取数据的范围,体现了美国的数据霸权主义9。此种
15、数据域外管辖措施是一种单边主义,不可避免地会与传统属地管辖产生矛盾,进而加剧各国管辖权冲突。总体来看,美国通过其主导的区域性多边主义贸易协定以及美国国内法达到了数据“宽进严出”的目的,并在国际经贸协定谈判中极力维护或植入对其产业有利的规则10,建构起数据霸权主义体系。(三)跨境数据流动治理的欧盟范式欧盟范式主要体现在2018年由欧盟正式实施的通用数据保护条例(GDPR)中。欧盟由于数字技术水平的限制,对于跨境数据流动采取“外严内松”的政策主张。对外方面,欧盟以人权和基本自由欧洲公约为基础实施GDPR以达到“隐私保护优先”的目的,并赋予GDPR域外效力以实现数据长臂管辖。对内方面,欧盟鼓励数据自
16、由流动,于2015年提出欧洲数字单一市场战-65-RCEP背景下跨境数据流动治理规则比较研究与中国方案/徐伟功 贾赫略,以期打造“数据单一市场”。具体而言,欧盟范式的主要特点如下。首先,欧盟在数据对外传输方面高度重视隐私保护。GDPR第四十五条第一款强调在充分条件基础上转移数据,即要求第三方数据接收国提供与GDPR成员国同等水平的充分性保护,且由成员国自行判断是否满足充分性保护的标准。同时,第四十六条第一款指出若第三国不满足欧盟充分性保护水平认定,数据控制者或处理者只有在提供适当的保障措施,且满足数据主体能行使权利、能获得有效的法律救济的条件时方可传输数据。包括允许公司内部转移的具有约束力的公司规则(BCR)、欧盟委员会批准的公司间转移合同条款(SCC)和欧盟批准的认证机制等;以及例外情形下的特殊条款,包括数据主体知悉风险后的明确同意、数据传输对于履行合同是必要的、保护重要的公共利益等。其次,欧盟在数据内部流动方面打造宽松的“区域数据共享模式”。2018年非个人数据自由流动条例的颁布,旨在鼓励在欧洲单一市场内实现非个人数据自由流动和共享,促进欧洲数字产业和企业的发展。2022年欧盟理事
