在科技快速发展与经济深度转型的今天,数字经济对社会的影响在日益加深。数字经济的快速发展带来了大量的数据的跨境流动,跨国企业在全球的发展也越来越依靠跨境数据的自由流动。然而在经济全球化深入进行的同时,各国出于多种公共政策的考量加强了对数据跨境流动的法律规制。这对跨国企业尤其是互联网企业的数据相关业务带来了一定的风险,企业在运营中应当提前分析和预判,并采取相应的防范措施,以防患于未然。
域外数据跨境流动法律规制现状
数据的跨境流动问题已经得到了国际社会的广泛关注。国外许多国家和地区在数据跨境流动规制方面已经形成了比较完善的规则体系。欧盟在1995年即制定了《个人数据保护指令》,禁止成员国以数据保护的名义限制数据的自由流动,但同时也规定了一些例外情形。美国在2011年制定的《联邦政府云计算战略》赋予了美国联邦机构制定政策要求相关方将数据存储在指定位置的权力,在2014年又颁布了《国家网络安全保护法》《联邦信息安全管理法案》。日本也在2014年发布了《网络安全基本法》。在已经流产的《跨太平洋战略经济伙伴关系协定》(TPP协定)中也有关于数据流动的规定。该协定的电子商务章节中,各成员方承诺在维护特定合法政策目标的前提下确保数据在全球的自由流动以推动数字经济的发展。这一规定体现了数据跨境流动规制中的两项规则,一项是“数据的自由流动”,另一项是“合法政策目标”。这两项规则也体现了多数国家对数据流动的态度,即在支持数据跨境流动以促进数字经济与国际贸易等的发展的前提下,对数据的跨境流动作出限制,以实现保障国家安全与公民信息安全等政策目标。但基于国情的不同,各国对数据跨境流动的法律规制强度又有所差异。
由于没有提供登记所需的信息传播组织者联系方式,2017年5月4日,微信国际版被俄罗斯监管机构Roskomnadzor(俄罗斯联邦电信信息和大众传媒监管局)列入黑名单。俄罗斯官方报刊《俄罗斯报》称,Roskomnadzor封禁微信的依据来自于联邦法律第149号修正案第15条第4款关于数据存储的相关规定,即“外国通讯服务、搜索引擎和社交网站必须将俄罗斯用户的个人数据存储在俄罗斯境内,互联网服务供应商也必须在政府进行登记”。据报道,微信运营商腾讯公司对此事件反应及时,积极与俄罗斯监管机构沟通,一周后的5月11日,俄罗斯通讯社报道称,微信已从中国通讯服务平台从被禁网站名单上删除。
这次事件在国内引起了诸多关注。如果企业不能周全地应对经营地国家对跨境数据流动的规制,那么这些企业势必会遭受重大损失,其经营与发展也将受到很大影响。
我国对数据跨境流动的法律规制与新动向
我国在数据跨境流动领域的立法起步较晚。近年来相关法律法规迅速完善,并已经形成了较为系统的法律规制体系和行政执法机构。相关企业应当对这些关于数据跨境流动的新的变化与动向予以充分的注意与研究。
我国在跨境数据流动领域相关的法律主要有《国家安全法》《反恐怖主义法》及《网络安全法》等。2015年7月1日开始实施的《国家安全法》规定了国家安全审查和监管的制度,2016年1月1日开始实施的《反恐怖主义法》对电信业务经营者及互联网服务提供者在跨境数据流动方面也课以了相应的义务。《网络安全法》于2017年6月1日开始实施。整部法律共16次提到“数据”,可见法律制定者对数据安全的重视程度。该法第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。这一规定与上述俄罗斯联邦法律的规定有相似之处,但我国的这一“境内存储”规定针对的是关键信息基础设施的运营者。《网络安全法》第31条又规定,关键信息基础设施的具体范围和安全保护办法由国务院制定。《关键信息基础设施安全保护条例(征求意见稿)》于今年7月11日公布,该征求意见稿将电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位纳入了关键信息基础设施的运营者的范畴。
2014年2月27日,中央网络安全和信息化领导小组成立,网络安全和信息化领导小组办公室(国家互联网信息办公室)随之成立。这是我国在网络安全与数据安全管制方面的一个重要举措,标志着国家在中央层面统一规划管理信息化工作。网信办主持起草或直接颁布了大量与网络监管相关的规范性文件。2017年4月11日,网信办发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》。2017年5月27日,全国信息安全标准化技术委员会对外发布了《信息安全技术数据出境安全评估指南(草案)》(《评估指南》)的征求意见稿。该《评估指南》为推荐性国家标准,从中可以发现数据跨境流动监管机构的执法思路。依据上述规定,网络运营者应当将“合法正当”与“风险可控”作为评估要点,对出境数据的安全进行评估。此外,《评估指南》的附录《重要数据识别指南》对“重要数据”的范围也做了界定。总体来看,我国在跨境数据流动规制方面已经基本形成了以《网络安全法》为统领,相关行政法规、部门规章及技术标准等作为实施细则的法律体系,以及以网信办為主要主管部门的行政执法系统。
企业应对数据跨境流动法律规制的策略
首先,应当熟悉经营地国家相关的法律规制情况,并积极采取应对措施。
如上文所述,虽然各个国家或地区的跨境数据流动基本遵循相似的规则,但在细则方面仍存在很大不同。一些国家制定专门的法律规制数据跨境流动。而一些国家的相关规制却并不集中于某一专门法律,比如国家安全相关的数据规制与公众个人隐私相关的数据规制分处于不同的法规当中。当今数字经济的发展日新月异,对数据跨境流动的规制也在发生着深刻的变化。因此,企业需要深刻了解经营地国家的相关的规制状况,进行深入的调研,并不断更新对相关规制情况的认知。有实力的企业可以成立专门的研究机构,组建研究团队,为企业提供有效的决策参考。在出现跨境数据安全审查和评估的必要时,应积极配合政府的监管需求,提供相应的数据并采取严格的内部管理、审核机制,并在对外数据提供中建立起符合监管需要的风险控制措施。
其次,搭建信息共享平台,加强企业间和企业与政府间的沟通交流。
我们身处一个互联互通的时代,数据的跨境流通即是这一时代特点的反映。不同企业的研究实力存在较大差异,不同企业对数据跨境流动规制情况的了解的侧重方面也存在不同。构建企业间信息的共享交流平台,可以使企业更便捷地获取法律规制方面的信息,降低企业的经营成本,实现企业的共同发展。
企业因为政府的法律规制行为而遭受损失,在很多情况下是企业与政府之间的沟通不足而导致的。因此,构建企业与政府间的信息交流平台也是十分必要的。政府作为规制一方,应当承担起搭建这一平台的责任。政府通过平台主动向企业发布相关的规制信息,帮助企业更好地适应政府的规制行为。这同样可以增进企业与政府间的相互了解,形成良好的互动关系,营造良好的法律规制环境。
再次,主动进行业务调整,实现企业的本地化以适应当地政府规制。
本地化战略是国际贸易中跨国公司的一个重要战略,可以帮助企业协调与东道主国家的关系,使企业适应经营地的规制体系,实现企业在经营地更为顺畅的发展。企业的核心目的是实现盈利,追求利润应当是企业经营过程中追求的目标,因此从企业盈利的角度上分析,本地化战略是跨国公司应当采取的经营策略。2010年谷歌退出中国的事件在当时引起了轩然大波。谷歌退出的一个重要原因是不能接受中国对搜索结果的审查,也即不赞成中国对谷歌的商业运营所作的规制。在双方僵持一段时间之后,这场争执以谷歌退出中国市场结束。谷歌失去了世界上最大的互联网市场,这对谷歌这样一个互联网跨国巨头来说的影响是巨大的。企业与经营地政府的法律规制相抗衡在经济利益上通常是得不偿失的。
因此,企业应当在与当地政府充分沟通的前提下,主动进行业务调整,比如按照管制要求将数据服务器架设在经营地国家,积极实现企业的本地化。这同样有利于跨国企业的长远发展。