随着现代科技的迅猛发展,经济社会各领域信息化程度不断提高,其所赖以存在的载体数据之重要性亦随之日显。尤其是,在互联网之下、以共享经济之名,数据变得愈发重要。然而,静态的数据拥有并不能产生人们所期待的效益,唯有在交易流动中方能凸显数据在现代经济生活中的作用并促其效益最大化。互联网的发达,为数据的流动和共享带来巨大便利;互联网的无国界,也为数据的跨境流动提供了可能性。也因为此,与数据流动相关的规制与治理面临更多挑战,暴露或诱发更多的安全隐患,继而需要国家依法对此予以回应并采取相应措施付诸实践。
跨境数据流动及其风险
跨境数据流动源于个人信息保护立法之中,通常被纳入个人数据保护法范畴之内,其目的在于规范和保护个人数据的跨境传播和使用。遗憾的是,尽管互联网在我国经济生活中的发展速度和规模影响今非昔比,在世界范围内也不容忽视,但跨境数据流动至今仍未进入法制范畴。近来,随着“互联网+”行动计划的推进和实践,云计算和大数据等现代信息工具和方法的运用,跨境数据已经超越了个人信息保护范畴,而相继以商业数据、政府数据等形式出现,因而其作用范围和外部影响也仅非限于个人信息或隐私保护层面,更是上升至商业秘密、国家安全等高度。
相较于欧盟或美国等发达经济体来说,我国个人信息保护层面上的数据法制缺位,关涉商业秘密或国家安全的商业数据或政府数据方面的法制也一样阙如,从而给跨境数据流动留了制度借口。
由于跨境数据流动在实践中通常呈现为两种情形:一是在日常交易或其他活动中所收集形成的数据跨越国境的传播或处理;另一是虽未跨越国境却可以为第三国经济或非经济主体访问。当然,无论哪一种情形,相关数据都可能被跨越国境而“分享”,但在缺乏法治约束机制的情况下,数据跨境流出后不能排斥被滥用的可能并造成消极甚至否定性的外部性问题,轻则侵犯个人隐私,公司企业遭受财产损失或人身损害,重则泄露国家秘密、诱发意识形态危机、扰乱社会秩序甚至威胁政权。因此,法治机制的建立和健全对于跨境数据流动的规范和风险防范具有至关重要的作用。
跨境数据流动治理及其思路
法治缺位,将会使跨境数据流动失去了规范约束也同样失去相应的制度保障。在经济一体化和全球化趋势加剧的背景下,表面上的合作和共享实际并不能代替或掩盖国家间紧张与竞争的关系,其背后仍隐藏着经济利益或政治主张等有形或无形的诉求。因此,具有明显的主权色彩或国家利益倾向的数据并不是毫无约束、毫无保留地跨境流动,与他国实现“共享”,或者仅仅是“单向流动”。这不仅冒进,也是冒险的。本国个人信息保护、经济利益保障和国家安全保卫,要求国家必须依法采取措施对承载着不同利益层次、位阶诉求的数据流动予以规范和约束,从而达到在保护本国个体、社会和国家利益的同时也能实现数据跨境流动与分享。
首先,加强跨境数据流动相关立法,以确立跨境数据流动治理的规范体系。法治国家精神要求跨境数据流动的规范与约束,须有法可依。科学合理的规范体系,能够为数据跨境流动提供依据和保障。质言之,经济社会和国家治理体系中,不同主体所拥有或掌握的数据关涉到经济、文化、政治、军事等方方面面,也牵涉到作为个体的自然人、作为现代经济细胞的企业、公权力代表的国家,当然各自权重和影响力有所差异,但皆需要法治提供强有力的保障。为此,国家理应通过科学立法以明确可跨境流动的数据类型、范畴、处理方式、保护措施、风险防范等要素和内容,不仅为数据的跨境流动合法与否提供判断依据、增强其行为的可预见性,也为国家对数据的跨境流动监管提供审查或执法依据、确保数据分享的安全性。
但值得警惕的是,加强跨境数据流动的相关立法并非就是要求国家立法机关或相关主管部门不断制定或出台法律法规,形成极其丰富的文本依据。相反,跨境数据流动规范体系的建设,须先对既有的规范体系作相应的评估,以检验和确认诸如民法、行政法等法律法规能否通过解释等法运用技术一定程度上消解规范供给不足的缺口;并在此基础上,对诸如可跨境流动的数据类型范畴、条件要求等方面在后继的《网络安全法》、《个人信息保护法》甚至刑法修正案等法律法规的制定或修订中予以拾遗补缺,以构建合理而完备的跨境数据流动规范体系。但这种规范体系并不是要局限于传统的民法、行政法或刑法等部门法思维,而是要以上至宪法下至部门规章、国内法国际法并举的思维方式而展开和塑造。
其次,积极参与跨境数据流动的国际规则制定,以保障跨境数据流动的可持续性。诚然,互联网无国界,但数据却有主权归属。因此,数据的跨境流通不仅要受内国法的约束和影响,更应在国际化背景下培养和拥有国际法意识,在积极主张或包含本国内利益的同时,也要通过谈判、商谈等方式积极组织参与、主导负责跨境数据流动的多层次合作协议或规则,以保障数据跨境流动的可能性、可行性和公平性。
目前,尽管诸如欧盟等地区或国家对跨境数据流动实施了积极监管,但就全球范围内来说尚未形成统一的国际规则或条约规范,因此,我国应积极参与或主导国际网络空间规则的制定,多层次、多方位地推进形成跨境数据流动管理机制,从而不断提升我国互联网治理能力和跨境数据流动的管理水平。具体实践中,不妨首推双边数据流动规则或协议的谈判,但这种形式的谈判并不要求谈判双方形成相对独立的跨境数据流动协议,而是在进行双边贸易协定、自由贸易协议等谈判中予以提及和商定。
此外,中国还应积极利用诸如博鳌论坛、亚洲基础设施开发银行、金砖国家、“一带一路”战略等之便在开展跨境数据流动的区域性合作协议或规则谈判,以增强中国在此领域的话语权。当然,在恰当的时候,中国通过诸如G20峰会等国际场合或机会推进包含跨境数据流动等内容的经济类多变合作协议或机制谈判。因此,中国通过多层次国际规则的谈判或构建,树立与互联网、数据等方面优势地位相匹配的国际大国形象,不仅可以维护国内利益,也可以合理保证跨境数据流动的国际合作与可持续性。
另外,在构建国内和国际规则的同时,应积极构建合理的实施机制,以确保上述规则能够发挥切实作用。徒法不足以自行,程序是法律的生命之所在。合理的规范体系需要有健全的实施机制和程序机制与其相匹配,从而力求实现规范制定初衷。由于跨境数据流动,不仅涉及个人信息保护、商业秘密隶维护,还包括国家安全保障、意识形态建设等问题,客观上就要求能有一个专业而又高效的主管机构,并配给其相应的执法权。依此,主管机构能够对跨境数据流动作出相应的评估、许可或者禁止等裁判,或者处理与他国谈判、合作等事务,以维护个人信息、商业利益和国家安全。在构建主动执法的主管机构同时,也不应忽视对因跨境数据流动可能引发相关纠纷或矛盾的处理。这实际上就客观上要求,国家设置或完善跨境数据流动纠纷解决机制,不仅仅局限于传统的司法裁判,还应针对跨境数据流动纠纷的特点积极推进或塑造相应的仲裁机制,以为相关当事方提供多元而有效的解决机制。
众所周知,跨境数据流动是互联网环境下一个颇具挑战性的话题或课题,值得研究,但其难度不言而喻。实践中,倘若能够切实有效地实现和保障数据的跨境流动,不仅需要通过内国法、国际规则的建立来予以构造和完善,更需要国家彼此间能够减少敌对态度而持包容之心客观平等地对待和处理相互之间的数据流动问题。也唯有此,跨境数据流动方有实现的可能性,也才能获得可持续性的保障;否则,也只是,学者或平民百姓的一厢情愿。