[中图分类号]G203 [文献标识码]A 一、引言 2019年6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》①,面向社会公开征求意见,引发人们对于数据跨境流动的关注。在当今的互联网时代,作为信息主要呈现形式的数据构成网络空间的核心要素,数据治理成为全球网络空间治理的新议题,各国在数据治理领域的不同路径选择正在重塑全球互联网治理的版图。近年来,在跨国经营的互联网公司推动下,数据的跨境流动发展迅速,联合国贸易与发展委员会援引麦肯锡全球研究院的研究报告指出,仅2014年,价值约30万亿美元的全球货物、服务和金融实现了跨境流动,使全球国内生产总值增加了约10%,相当于7.8万亿美元,而数据流动估计贡献了其中的2.8万亿美元。②与全球货物贸易相比,数据流动目前对全球GDP增长中所占份额更大,它主要通过提高生产力来促进经济增长,无论是数据流入国还是流出国都从中受益。③正因为数据流动如此重要,以至于创建于1919年、世界最大也最具代表性的商业组织——国际商会于2016年发布《数字经济贸易:决策者的全球数据流动入门》,敦促各国政府采用有利于新技术使用和全球数据流动的政策,以确保所有公民和公司都能充分利用互联网的潜力。④ 但数据跨境流动在促进产业发展的同时,也面临着个人隐私保护和国家主权维护的压力。近年来,为了应对全球性的网络窃听、网络泄密和数据滥用,全球主要经济体对日益频繁的数据跨境流动均做出了回应。根据欧洲政治经济研究院(European Institute Political Economics Research)的研究,自2006年至今,全球数据保护指数呈现持续增长(Feracane & Van der Marel,2018),数据本地化与跨境传输的矛盾日益尖锐。数据本地化回应了对国家安全的担忧和数据主权的诉求,但其对经济增长的负面影响同样不可小视。欧盟委员会曾发布报告称,对数据自由流动的不合理限制会妨碍欧盟数据经济的发展,甚至有可能使市场分裂,降低用户的服务质量和数据服务提供者的竞争力,尤其对规模较小的企业更是如此。⑤因此,如何实现个人信息流动、隐私保护和国家安全的平衡,是一个值得探讨的重大问题。 互联网是最大的全球性市场,当下个人数据的跨境流动主要依托全球互联的网络进行。它不仅为跨越国界的互联网企业节约成本、提高效率,也促进了社会福利,改善了生活标准,因而减少壁垒、促进流动是大势所趋。欧盟一贯重视对个人信息的保护,将其看作是一项基本人权,继1995年《数据保护指令》(Data Protection Directive,正式名称为Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data,简称DPD)推出后,欧洲议会于2016年4月27日通过《通用数据保护条例》(General Data Protection Regulation,简称GDPR),并于2018年5月25日起实施。本文通过对现有研究的回顾,解读GDPR的相关规定,分析欧盟对个人数据跨境流动的原则规定和流程安排,并讨论其启示意义。 二、研究回顾 跨境数据流动(Transborder Data Flow,简称TDF)这一术语被经济合作与发展组织(OECD)于1977年正式采用,1980年出版的《斯坦福国际法季刊(夏季号)》发表《跨境数据流动介绍》的普及文章,可看出其时TDF作为跨越国家政治疆界的数字化电子数据传递,主要涉及的就是个人信息领域(Fishman,1980)。此后,跨境数据流动研究的主要议题就集中在如何在数据流动中保护个人隐私不受侵犯,处理好跨境数据流动专门机制与国内数据保护法之间的复杂关系。有多位学者的研究讨论了各国在个人信息跨境流动时为隐私权监管达成的理念共识(Beling,1983;Bennett,1992;Schwartz & Reidenberg,1996;Newman,2008;Kuner,2013),亦有不少研究指出了信息跨境流动中各国法律的监管范围以及监管方式有明显不同,由此便导致了跨境数据流动的规制冲突,而美国与欧盟最为典型,一些研究者对美欧《安全港协议》与《隐私盾协议》及对全球的影响给予了关注(Wigand,Shipley,C.& Shipley,D.,1984;Newman,2008;Kuner,2003、2017;黄道丽、胡文华,2019)。 以“9·11”事件为起点,跨境数据流动与国家安全紧密联系在一起,直至斯诺登将“棱镜”计划暴露,跨境数据流动中的个人隐私、产业发展和国家安全的张力以及国家间的冲突成为关注焦点。随着信息通信技术(ICT)的高速发展,特别是移动互联网的普及和云计算、大数据技术的广泛采用,以数据自治为目标的“数据本地化”(data localization)成为显著动向,多国学者论述了数据本地化主张的理论基础,并对“数据民族主义”(data nationalism)进行了讨论(Chander & Uyên PLê,2014;Kuner,2015;王玥,2016)。沿着这个研究进路,有学者进而对数据主权的背景和政策实践进行了解析(吴沈括,2016;Robertson & Carver,2018),有研究者如WEL Grimson和Lozano-Perez(2013)、Montemerlo和Thrun(2014)对俄罗斯和澳大利亚(医疗信息)的本地化规制及影响进行了探讨,亦有对印度等发展中国家数据跨境政策的研究(胡文华、孔华锋,2019)。
