在数字技术快速变革和全球化挑战加剧的背景下,数据跨境流动的安全与合规已成为全球数据治理的重要议题。近些年,欧盟在跨境数据流动治理方面的立法和政策调整持续发挥着全球影响力。本期专题文章梳理了欧盟在数据跨境流动治理中的主要模式及其全球辐射效应,深入分析了最新动态和未来趋势,并为中国监管机构和跨国企业提供了实践中的应对策略。
数据跨境流动治理对于确保国际数据交换的安全和合规至关重要,尤其在数字技术变革和全球化挑战的背景下尤为关键。本文首先梳理了欧盟在数据跨境流动治理的主要模式及其产生全球影响力的主要渠道。接下来,本文以欧盟《数据法案》和《人工智能法案》为例,进一步探讨欧盟跨境数据流动治理的最新动态和未来趋势,展示了其政策的持续进化。此外,本文为中国监管机构和跨国企业提供了实践中的应对策略。
本文认为,欧盟数据跨境流动治理模式不应被孤立地看待,必须认识到其治理策略的动态演变,以及它在全球数据治理复杂格局中的角色。这种理解有助于更全面地应对全球层面的数据治理挑战,促进国际间的协调与合作。
一、欧盟数据跨境流动的治理模式
(一)显性规制
1.国别层面治理
欧盟在国别层面的数据跨境流动治理主要通过充分性认定(Adequate Decision)实现。根据《通用数据保护条例》(GDPR)第45条,欧盟委员会评估某个国家、地区或特定领域的数据保护水平是否“确保了与本条例所要求的保护相当的保障”。被认定为充分的国家或地区,可以无障碍地接收来自EU/V的个人数据,而无需采取其他保护措施。充分性认定机制简化了数据流向这些国家或地区的处理流程,意在提高国家间数据处理的效率。
2.交易层面治理
对于尚未通过充分性认定的国家的数据流动,欧盟主要通过交易层面的标准合同条款(Standard Contractual Clauses,SCCs)和有约束力的公司规则(Binding Corporate Rules,BCRs)进行治理。SCCs是欧盟委员会预先批准的合同模板,旨在保障个人数据在传输到第三国时的保护水平。例如,元宇宙平台(Meta Platforms, Inc.,前脸书Facebook, Inc.)将SCCs作为其法律机制之一,以便将欧洲用户的数据传输到美国服务器进行处理和存储。BCRs则是跨国企业为自身集团内部制定的数据传输政策,一经所在成员国的数据保护监管机构批准,便在集团内具有法律约束力,确保企业内部数据保护的高标准和一致性。此外,欧盟也允许在没有SCCs或BCRs的情况下,指导特定豁免情形下的数据传输,如基于明确同意、合同执行、重要公共利益、法律要求或保护关键利益。这些豁免情形通常被视为最后手段,并在使用时严格限定条件。
3.个人层面治理
在个人层面的数据治理上,欧盟通过强化个人数据控制权来实现。GDPR赋予了个人在数据出境时的明确同意权、数据访问权、数据可携带权和被遗忘权。这意味着个人可以直接控制其信息的使用和流动,增加了数据处理的透明度。除了GDPR,其他欧盟法律如电子通信数据保护指令(ePrivacy Directive)也规定,在进行任何形式的数据存储或访问前(例如使用Cookie),必须获得用户明确同意。这些法律和政策共同构成了一个强大的明文框架,用以规范数据跨境流动。
(二)隐性规制
1.司法审查渠道
在明文规定的数据跨境法规之外,欧盟也通过在司法审查中调整审查对象与裁判依据,向域外输出数据跨境流动标准。例如,2020年7月,欧洲法院对“施雷姆斯II”(“Schrems II”)案件作出判决。虽然该判决没有完全废止SCCs作为数据传输的机制,但要求数据导出者在使用SCCs进行数据传输时必须评估第三国的法律和实践,以确保能够提供与GDPR相当的保护水平。该案例凸显了美国监控程序与GDPR标准的不符,并导致“隐私盾”框架的无效声明。2023年5月,爱尔兰数据保护委员会针对元宇宙(Meta)的数据跨境转移保障不足进行了制裁[1],通过打击大型“守门人”企业突显欧盟司法审查对域外数据政策的影响力。
[1] Data Protection Commission: Data Protection Commission announces conclusion of inquiry into Meta Ireland,2023年5月22日,全文见:
https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland, 最后访问时间 2024 年 4 月 15 日。
2.监管外溢渠道
欧盟数据跨境流动治理也间接地通过其他国家构建应对措施来扩大国际影响力。一些国家为了确保其本国企业继续在欧盟市场上运营,开始改革本国的数据保护法律,使之与GDPR相兼容。例如,日本为了符合欧盟标准,改革了个人信息保护法,并获得了欧盟的“数据保护充分性认定”。美国加利福尼亚州隐私权法案(California Consumer Privacy Act, CCPA)和巴西通用数据保护法(Lei Geral de Proteção de Dados, LGPD)在许多核心原则和具体要求上也与GDPR保持一致。此外,印度、印度尼西亚、哥伦比亚等国家也效仿GDPR,开始研究制定数据保护法。
3.跨国经营渠道
作为国际贸易的主体,跨国公司通过内部调整合规政策来应对欧盟治理规则,从而在全球范围内扩散了欧盟数据治理标准。例如,微软依据GDPR调整合规政策,更新其隐私仪表盘,增强了用户对数据的访问和控制能力,使用户能够查看、导出甚至删除与其账户相关的数据。微软与其客户和供应商的合同也相应更新,确保所有数据处理条款符合GDPR要求。
二、欧盟数据跨境流动治理的最新进展与趋势预判
(一)最新进展
1.从分行业扩展到全行业
欧盟既往的数据跨境流动治理以区分特定部门设定具体规则(Sector-specific Rules)的纵向监管路径为主。自2022 年《数据法案》(Data Act)开始,欧盟向为所有行业部门设定基本规则横向草案和横向规则(Horizontal Proposal and Rules)的全行业监管扩展。《数据法案》特别规定了数据控制者和处理者在数据分享能够促进公共利益、提供公共服务或确保产品和服务连续性时的共享义务。这意味着无论企业属于何种行业,所有涉及数据生成和处理的实体都必须遵守这些共享原则和义务,从而确保数据在更广泛范围内的有效利用和公正访问。
2.从个人数据扩展到非个人数据
《数据法案》的监管范围也超出了GDPR规定的个人数据,向非个人数据扩展[2]。在《数据法案》中,数据定义为包括行为、事实或信息的任何数字表示,以及包括声音、视觉或视听记录的形式的任何汇编。这一定义使得几乎所有类型的数据都受到监管,强调了对连接设备生成的数据的可访问性的提升。此外,《数据法案》增强了在国际数据传输中非个人数据的保护,例如要求云服务提供商采取措施保护客户数据,以此免受外国政府法律的侵害。需要注意的是,数据跨境可能需要同时遵守不同的标准,特别是在个人数据与非个人数据的界限不明确时,对具体规则的解释可能产生混淆,这可能会放大欧盟对特定情形的自由裁量权与解释权。
[2] Meredith Broadbent: The EU Data Act: The Long Arm of European Tech Regulation Continues,2023 年 6 月 29 日,全文见:
https://www.csis.org/analysis/eu-data-act-long-arm-european-tech-regulation-continues, 最后访问时间2024年4月15日。
3.区分特定应用场景
随着人工智能技术加速落地,欧盟的数据治理开始区分应用场景。2023年12月8日,欧盟成员国和欧洲议会就《人工智能法案》(Artificial Intelligence Act)达成一致,成为全球首部全面的人工智能监管法规。《人工智能法案》为多个技术应用场景(例如生物识别、医疗、交通、司法等)划定了风险等级,从最低级别的“无风险”或“最小风险”到最高级别的“不可接受风险”,在应用场景层面对数据要素的使用作了更细化的规定。尤其是高风险的AI系统,欧盟要求相关企业在整个生命周期内建立风险和数据管理制度,并制定详细的技术标准和留存记录。同样需要注意的是,《人工智能法案》与GDPR在具体治理规则上存在潜在冲突。例如,训练语言AI模型(如ChatGPT)需要个人信息的大数据集,这与GDPR的数据最小化原则和使用限制相矛盾。尽管《人工智能法案》不是针对数据跨境流动的规则,但其与 GDPR的互动将会对数据跨境治理产生深刻影响[3]。
[3] Alex Engler: The EU AI Act will have global impact, but a limited Brussels Effect,2022年 6 月 8 日,全文见:
https://www.brookings.edu/articles/the-eu-ai-act-will-have-global-impact-but-a-limited-brussels-effect/,最后访问时间 2024 年 4 月 15 日。
4.强调利用数据流动驱动创新
认识到数据是创新和经济增长的重要资源,欧盟的数据跨境流动规制逐渐从强调严格监管到鼓励创新。根据欧盟委员会报告,大约80%的欧盟工业数据从未被使用过;《数据法案》则意在解决导致数据未能充分利用的法律、经济和技术问题,通过数据流动增强创新动能,计划到2028年创造2700亿欧元的额外GDP[4]。此外,欧盟在 2020 年通过了“欧洲数据战略”(A European Strategy for Data),通过建立“单一欧洲数据空间”来增强数据主权和竞争力,在确保更多的数据可用性的同时,保持数据生成者对其数据的控制。
[4] European Commission: European data strategy,2022年 6 月 8 日,全文见:https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en,最后访问时间 2024 年 4 月 15 日。
(二)趋势预判
1.显性规制层面:延续“强监管”态度
欧盟继续在显性规制层面展现其“强监管”态度,这体现在监管的广度和深度仍在不断强化。一方面,欧盟越发倾向于拓宽与其他国家和地区的协作,输出其监管实践。例如,欧盟与多个国家探讨了基于《欧洲委员会处理个人数据保护公约》(“第108+号公约”)建立多边数据流动的框架。加入该公约将被视为满足欧盟跨境数据流“充分保护”标准的重要参考,截至2022年,已有55个国家加入了公约。另一方面,欧盟对违规行为的处罚力度也在深化。例如,《人工智能法案》设有严厉的惩罚措施支持执行,违反该法规的行为可能导致公司面临高达1500万欧元或全球年营业额3%的罚款,而操纵技术或使用生物识别数据推断私人信息,罚款可达3500万欧元或全球年营业额7%[5]。
[5] Concil of the EU: Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world,2023年 12 月 9 日,全文见:
https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/,最后访问时间 2024 年 4 月 15 日。
2.隐性规制层面:与国际贸易深度整合
欧盟的数据跨境治理密切与其经济政策相连,未来可能更频繁地通过国际贸易间接输出其数据跨境治理战略。《数字经济伙伴关系协定》(DEPA)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)及《区域全面经济伙伴关系协定》(RCEP)均突出了数据跨境流动的重要性。这些协议反映了欧盟对数据跨境流通价值的重视,并根据交易各方的产业和国家公共政策需求积极整合数据流动规则,共同助力发展战略差异化和治理模式多样化两大诉求[6]。
[6] 吴沈括:《数据跨境流动的治理态势与规则建构》,载《中国网信》,2024(2)。
三、中国对欧盟数据跨境治理动态的响应
(一)监管部门
1.加快数据跨境流动治理政策的国别研究,加速构建中国合规框架
中国应加速构建灵活的数据跨境合规框架,以适应技术变化和国际竞争。具体而言,监管部门可以从细化数据分类切入,包括考虑数据传输双方性质、数据自身性质、用途、数据量级等分类方式。在分级分类的基础上,一方面明确数据跨境的一般规则,对数据跨境的共性问题作出详细规定,提高数据治理的可预测性;另一方面,对特定豁免情形与高风险场景设计特别规范,以增强应对全球治理动态的灵活性。
2.积极推动国际数字贸易合作,破除数据跨境流动壁垒
中国应积极推动多边数字贸易合作,通过国际贸易协议优化数据跨境流动治理。目前,已有不少自贸区正在密切跟进相关政策和清单的制定,例如上海临港行片区和天津自贸试验区先后于2024年初发布了数据跨境流动分类分级管理办法,为数据跨境流动规则的进一步优化打下基础。中国应继续在自贸区推广这些实践,优化数据流动管理[7]。
[7] 李瑞等:《<促进和规范数据跨境流动规定>:六大亮点和实操问题探讨》,2024 年 3 月 24日,全文见:https://mp.weixin.qq.com/s/zOhjnFrt_D0c7EJ0UiG21A,最后访问时间 2024 年 4 月 15 日。
3.强化跨境数据安全作为国家安全的一部分
随着经济全球化的深入,数据安全概念的内涵和外延变得更加丰富和复杂,其特点是连通性、跨国性和多样性,这要求强化跨境数据安全,并在实施国际合作方面进行创新。首先,必须深入理解各国对贸易和安全概念的如何演变,以及这些变化如何反映全球经济治理的动态。其次,审视网络安全、数据治理与国际贸易法之间的相互关系,探索通过法律和政策调整来增强这些领域的协同作用。最后,创新地利用网络外交、国际监管合作等方法,调和扩大的安全问题与贸易义务之间的平衡[8]。
[8] Chin, Y. C., & Zhao, J. (2022). Governing cross-border data flows: International trade agreements and their limits. Laws, 11(4), 63.
(二)跨国公司
1.充分了解数据跨境合规的复杂性
跨境数据流动是国际贸易和数字服务的关键支柱。然而,在“竞争标准”和“规则重叠”的背景下,全球各个司法辖区对数据转移的限制和数据本地化要求迅速涌现。这些协议包括GDPR、美国的隐私盾、日本的充分性决定和补充规则,以及其他情况下的SCCs 和BCRs。尽管随着国际范围内形成了向GDPR看齐的趋势,但各司法辖区的数据规制细则仍然存在差异,各国数据治理规则本身也随着时间与技术不断更新。跨国公司必须深入了解并适应这些复杂性。具体而言,跨国企业应绘制详尽的数据流动地图,确保合同中明确规定了数据流供应链上下游企业的数据安全和透明度要求,持续跟进数据跨境领域的立法和司法动态。
2.开展全面的数据转移影响评估
跨国公司必须尽快开展全面的数据转移影响评估,自查并管理跨境数据转移的潜在风险。这一过程涉及细致分析数据的性质、用途、体量及其敏感度。特别对于涉及敏感或战略数据的转移,如使用人工智能处理健康数据,公司应单独评估数据处理活动的合规性。这包括检查算法是否可能无意中暴露个人敏感信息,评估和限制数据访问权限,以及确保所有处理活动均有适当的法律依据和用户同意。
3.注重企业社会责任,倡导负责任和可持续的数据跨境应用方案
跨国企业应开发一套伦理准则,指导数据的跨境使用,确保其应用项目在设计和实施阶段均考虑到伦理、透明度和公平性。例如,在开发推荐系统时,跨国公司应确保算法不会因偏见或不公平的数据集而歧视特定用户群体。此外,跨国公司应公开其数据处理政策和算法的工作原理,以增强各国用户对其技术的信任。
4.研发标准化技术,提高数据兼容性
跨国公司可以考虑开发区块链技术来标准化数据管理。例如,通过使用区块链记录所有数据访问和处理活动,可以为数据交易提供不可篡改的证据,增强合规性审核的有效性。区块链技术还可用于自动执行数据使用协议,例如引入智能合约自动处理数据删除请求,确保按照数据保护规定执行。