论文部分内容阅读
随着新技术的出现,通过电子渠道的全球互联改变了人们互动,沟通和企业运作的方式。迅速发展的互联网为人们提供了互相联系的关键平台之一。因此,通过手机和互联网的连接,越来越多的社交和经济活动在网上得到推广。然而,为了查清各种潜在有用的信息,分析已有的知识,并最终可以将其转化为新的知识,一个开放的互联网和全球数据自由流动的环境是必不可少的。
众所周知,互联网已经改变了世界的社会与经济。世界经济正在转变为由数据库管理技术驱动的信息时代。这种转变导致社会和政府面临了信息爆炸,与此同时使得大量数据跨境流动成为常态。开放的互联网及其发展变革使没一个个体更多地参与进其所在地区以外的信息传输。现如今,通过互联网信息的共享和传输不仅可以解锁新的知识来源,教育机会,还可以提供经济价值。跨境数据传输或全球数据流动不再被视为一个小问题。跨境数据流动的能力已成为各国提升生活质量和发展和国际商贸的必要组成部分。
然而,数据和信息的跨境流动对司法管辖权构成挑战。由于全球性,区域性和国家间监管体制的分散,与数据保护和跨境数据传输有关的国家立法数量又迅速增加,这导致在不同的体制下的法律适用和法律解释会产生不同的含义。例如,一些国家将隐私保护视为一项基本权利,而另一些国家则在其他政府政策或侵权行为中保护隐私权。此外,随着IT技术的快速发展,一些数据保护法和相关机制已经过时,需要进行审查和修订。这些法律适用的差异和问题不仅广泛地影响个人而且影响企业,尤其是与国际贸易有关的企业,因为跨境的数据传输可能受到不同国家法律制度的制约。本研究主要探讨跨境数据流动的背景和意义,相关数据驱动创新(data-driven innovation)的应用,跨境数据流动议题中的争论,国际和国内跨境数据流动的监管框架。加之,探讨区域贸易协定的TPP/ CPTPP框架的应用以及中国与东盟国家之间连通性的拟议机制。每章的具体细节如下:
第1章 跨境数据流动的背景和争论。首先,本文说明了数据生命周期(data lifecycle)的定义和阶段,以了解数据的性质和背景。本章接着解释相关的数据驱动创新以及可能影响跨境数据的创新技术应用。本章还阐明了跨境数据流动的论点和理由。
数字化和新技术不仅影响着人们的生活,也改变了传统行业和企业的运作方式。以前由于技术限制,传统企业数据收集、存储、处理和共享遇到了困难。进入21世纪以后,互联网和数字技术支持了数据跨境自由流动,并将业务和服务的性质转向贸易的全球化。因此现在的挑战就是如何使用、控制数据和使数据更有效地运作。随着新技术的出现,创建和使用数据的方式发生了巨大的变化。决策者和监管者必须清楚地了解数据的性质和数据生命周期,从而能够建立清晰和实用的框架。数据生命周期可以解释特定数据从最初的数据获取或数据收集到最后的数据传输和(或)重用的各个阶段的顺序。
关于如何存储数据和控制数据传输以提高生产率,确保数据的安全性,是一个涉及创新和监管措施的广泛问题。在数字时代,从经济增长质量、创造就业和改善治理的角度来看,数据驱动的创新被视为近期的新常态。数据驱动的创新是通过复杂和庞大的数据量来构成数据评估和分析的价值。这些数据驱动的创新包括大数据,物联网(IoT),云计算以及区块链。在数据传输监管的背景下,有许多定义上的不确定性取决于数据和机制的类型。除了各种数据保护制度之间的定义不同,跨境数据传输的机制也不同,例如地理和非地理(如组织基础)。
跨国数据治理甚至可以追溯到19世纪中叶。跨境数据流的立法最初旨在提供监管方法和机制,以促进跨境数据流动,同时保护国家在没有适当法律保障的情况下处理涉及国家安全的数据和数据库。目前,跨境数据流的框架和规则源于各国法律传统和文化。几乎所有地区都颁布了相关国内法。一方面,政府认识到跨境信息流动的重要性日益增加,特别是在教育,国际贸易,医疗保健和创新等问题上。另一方面,这些政府必须实现其相关的法律和政策目标,如网络安全,道德理性,医疗信息,隐私保护,国内产业保护。因此,跨境数据流动的监管方法有两个不同论点,即跨境数据流的限制和跨境数据的自由流动。
第2 章国际层面跨境数据传输的监管框架。本章首先介绍了国际层面的重要机构和协议,接着提出详细背景和相关监管框架。本章还指出了法律域外效力的重要性及其在国际层面的影响。
与跨境数据传输有关的国际规范不断地发展,特别是在经济方面。国际层面跨境数据流动的监管框架诸多,包括OECD《个人数据隐私和跨境流动保护准则》(简称为《经合组织准则》)、APEC采用的《隐私框架》、欧盟《一般数据保护条例》和美国与韩国之间的自由贸易协定(KORUS)。上述准则和协定都旨在减少跨国数据自由流动的法律障碍,同时平衡全球数据流动和对个人数据及成员国或缔约方公共利益的保护。
20世纪80年代初经合组织(OECD)对跨境数据保护发挥重要作用。经合组织于1980年制定了《个人数据隐私和跨境流动保护准则》(《经合组织准则》),旨在平衡隐私保护和个人跨境传输其数据的权利和自由,并协调各国之间的数据保护法。该准则没有法律约束力,而是对没有数据保护立法的经合组织成员国的立法予以指导。准则在各成员国不同的法律结构和技术环境中均能良好适用。此外,该准则有助于协调成员国其国内隐私立法,避免跨境数据流动受阻。
亚太经合组织成员经济体(APEC)于2005年就《隐私框架》达成一致意见。该框架以1980年《经合组织准则》为蓝本。2015年隐私框架得到更新,借鉴了OECD 2013准则中提到的一些关键概念。APEC《隐私框架》目的是促进APEC区域数据隐私保护的灵活方法,同时避免了数据流动的不必要障碍。该框架主要是为了提高客户对隐私和在线信息操作安全性的信任和信心。
在欧洲,欧洲公约理事会是处理数据保护和跨境数据流动问题的另一重要机构。欧盟委员会认识到欧盟国家之间数据保护立法的差异,引起欧盟内部数据自由流动的障碍。因此,欧洲议会和欧洲理事会于1995年颁布了欧盟保护个人数据处理和数据自由流动的指令(简称为《数据保护指令》,Directive 95/46/EC)。然而,2016年颁布的欧盟《一般数据保护条例》取代了1995年的《数据保护指令》。该条例自2018年5月25日起在欧盟区域自动具有约束力。条例主要目的是给予欧盟公民对个人数据的控制,以及加强和协调区内国际业务的数据保护监管框架。该条例可以说是对数据隐私监管域外管辖权的最重大改变。虽然数据保护的关键原则保持不变,但该条例提出了一些将影响全球企业和组织的新规则,例如扩大领土范围、数据泄露通知、数据主体明确同意和法律制裁。
美欧《隐私盾协议》是美国和欧盟之间达成的协议,旨在使美国公司能够加入该协议并承诺遵守其法律要求。参与该协议的美国公司必须自愿进行自我认证。一旦承诺美国法项下可强制执行,该公司可以将欧盟区域的数据传输到美国。美欧《隐私盾协议》取代了欧洲法院(ECJ)在2015年10月6日决定无效的《安全港协议》。该协议反映了美国公司在保护欧盟个人数据方面的更多法律义务。协议规定的美国公司保护欧盟个人数据的法律义务主要包括公司接收数据的义务、数据访问的保障、个人的保护和补救以及年度联合审查机制。
美韩自由贸易协定(KORUS)不仅可以降低韩国进口美国商品的关税,还可以促进商品和服务的出口。目前,韩国是世界上个人电脑使用量增速最快和互联网接入率最高的国家之一。此外,韩国具有相对先进的信息技术基础设施,并采用了与亚洲电子商务相关的最全面的政策框架之一。 因此,KORUS双方不仅意识到跨境数据流的重要性,而且还努力避免对数据流动施加不必要的障碍。
跨太平洋伙伴关系协定(TPP)是由12个国家在2016年签署的区域自由贸易协定,该协定在覆盖8亿人口的成员国之间对于重新塑造跨境数据流动机制发挥关键作用。TPP成员国占世界总产值的40%,占全球贸易量的1/3。与其他双边或多边贸易协定相比,TPP促进了大型自由贸易协定的发展,并为推进贸易议程提供了又一个平台。TPP电子商务章节已提供了一个法律框架,政府在保护个人信息时允许数据自由流动,禁止数据中心在其所在地境内将数据本地化,并限制开放软件源代码。由于TPP成员国的法律框架和技术不同,本文指出了TPP中与跨境数据流动有关的条款的一些问题,如不同国家之间的不同法律义务和政策、TPP条款中的自律监管机制,禁止开放源代码的影响。
第3章 《一般数据保护条例》和多边自由贸易协定(TPP和CPTPP)- 国际层面重新塑造跨境数据流动机制的案例。首先,本章阐述贸易和地缘政治语境下《一般数据保护条例》和多边自由贸易协定(TPP)的背景和重要性。接着,本章讨论GDPR 与域外法律效力,TPP中电子商务一节与跨境数据流动相关的条款以及此规定的意义。最后,本章介绍了《一般数据保护条例》对国际贸易的影响、美国总统唐纳德特朗普退出TPP贸易协定后CPTPP建立的详细情况以及同其他区域机制的合作情况。
在数字时代,“无国界”网络空间的复杂性从领土原则方面挑战着国家主权。虽然欧洲议会和欧洲理事会通过的《一般数据保护条例》中的单方面域外管辖权是为了解决国际层面数据保护制度的复杂问题,但是该条例的域外法律效力对国际贸易机制提出了新挑战。本章还讨论了该法规域外效力对作为欧盟贸易伙伴的亚洲和非洲国家的影响。
虽然政府可以采取政策或措施限制访问互联网的能力和限制数据跨境自由流动,但区域自由贸易协定(RTA)被认为是跨境数据流动监管协调的重要机制。TPP着重关注贸易和地缘政治。该协定还被称为美国对亚太区域的战略再平衡。虽然一些国家对数据保护和跨境数据流动已经考虑收回控制,甚至呼吁国家将这些数据保护问题视为政治领域议题。但是,美国作为之前TPP的成员国却强调支持个人数据保护时的数据跨境自由流动。可见,美国通过以全面市场开放、监管协调、贸易自由化以及克服不必要的障碍为由的区域贸易协定机制,试图渗透和主导区域的经济。TPP旨在联系和促使TPP成员国逐步使用数字平台接触新客户,并逐步依靠跨境数据流动来监控其业务。TPP成员国关注精简和监管协调。国家和国际层面的法律框架的法律原则一致,则有助于后果可预测。
虽然美国总统唐纳德特朗普退出了这一贸易协定,但TPP框架内包括跨境数据流动监管在内的高标准要求并未消失。 TPP 11剩余成员国在原则上同意修订TPP贸易协定,称为CPTPP(跨太平洋伙伴关系全面进步协议)。目前,已有七个国家批准了CPTPP协定,包括澳大利亚、加拿大、日本、墨西哥、新西兰、新加坡和越南。在CPTPP电子商务章节的语境下,CPTPP要求各方允许跨境数据自由流动,以保护电子商务用户的个人数据,并禁止维护特定位置的算机服务器。这些法律框架与最初的TPP协定是类似的。
由于12个TPP成员国是APEC的成员经济体,CPTPP框架被认为会在三个方面影响APEC论坛的未来谈判,即数据隐私,数据本地化和数据自由流动。此外, CPTPP还与RCEP建立合作伙伴关系表示出兴趣,因为除加拿大、智利、墨西哥和秘鲁之外,大多CPTPP的成员国也加入了RCEP贸易协定。而且,RCEP还吸收 了中国和印度这种大国。 因此,TPP剩余成员国已全力推动该协定的实施,并期望高标准的CPTPP框架可能成为其他多边贸易谈判的典范,特别是东盟主导的区域全面经济伙伴关系(RCEP)协定。
CPTPP对美国具有重大政策影响,因为美国在RCEP和CPTPP两个主要区域贸易协定的缺席可能会影响其在亚太地区的影响力,特别是在建立国际框架机制和贸易投资的方面。此外,日益增长的贸易协定网络使成员国在贸易和投资方面越来越具有吸引力。最近,韩国、泰国、英国和哥伦比亚表示有意愿加入CPTPP协定。
第4章 国家层面跨境数据流动规则之比较。本章首先提出了全球互联网使用的情况,然后简要概述一些国家监管框架和法律机制,国家包括美国(U.S.),欧洲国家,一些亚洲国家,以及非洲国家跨境数据流动的法律要求的清单。本章接着将国家监管规则与隐私保护、数据保护主义、法律域外管辖权和法律处罚方面进行重点介绍和进行比较。此外,本章也探讨国际层面、国家层面和系统层面执法的有趣现象。
虽然跨境数据的使用和分析可以促进各国的经济增长,但是,在政策层面上,政府需要密切监管跨境数据流动。跨境数据传输可能受制于不同的国家法律制度,因此数据和信息的跨境流动在管辖范围内产生了挑战,对于数据不同程度的保护上会导致其社会和企业带来不同的结果。数据保护规定在过度严格的监管会产生贸易壁垒并影响业务流程和信任。国家立法和监管框架可以反映该国的国际政治和利益的现实。本文主要将各国数据保护法进行比较,以了解当前数字治理的差异和存在的挑战。这些国家包括美国,欧洲国家,亚洲国家(不包括东盟国家),非洲国家。
在互联网普及的早期阶段,美国在网络通信领域适用不同政策已达到治理目的。美国隐私和数据保护制度的性质相对灵活,主要依赖于政府事后执法和私人诉讼,而不是具体的予以限制。在美国隐私保护法的背景之下,有一系列联邦法律规范了个人数据的收集和使用。在州法律层面上,数据向境外限制传输的法规较少。此外,美国私营企业作为政策制定的正式部分已发挥重要作用。美国还采用了数据保护制度的自律监管机制。美国政府以最少的干涉,支持私营企业、鼓励行业进行自律监管机制推动了电子商务。美国重视并充分保护可能受到影响的行使职责的机构,包括系统、组织、授权机构,因此,风险管理是美国监控和管理相关风险的关键措施。
在欧洲国家区域内,数据传输主要依赖于欧盟数据保护法, 即欧盟《一般数据保护条例》。该法主要目的是协调欧盟区内的数据保护。然而,欧盟成员国也可以将其重要的公共政策制定为其国内数据保护法,如言论自由,国家安全,刑事执法。目前,欧盟成员国一直在努力实施该法规及其各自立法的草案。本文还介绍了比利时针对该条例的实施情况。
在亚洲国家当中,中国、俄罗斯和日本在数据流动机制的领域是最重要的国家。中国于2017年6月1日实施了第一个国家数据保护综合立法,称为《网络安全法》,旨在加强管理网络和系统安全。此外,政府还制定了一系列与跨境传输个人数据相关的规定。这些规定的目的在于规范数据保护。俄罗斯政府也实施了第242-FZ号俄罗斯联邦法,补充了第152-FZ号联邦法,这是一项前所未有的个人数据保护法规。俄罗斯联邦法第242-FZ号也被称为数据本地化法。日本政府于2017年颁布了一系列有关个人数据保护的法律。其法律制定的原因是跨境数据传输全球化对ICT的需求为日本商业创造了新机会。日本政府还采用了一系列对特定实体或机构具有约束力和可执行性新的法规,以弥合法律方法的差异。
目前,已有99个国家颁布了有关数据保护和隐私的立法,限制个人数据或敏感数据的使用和传输。大多数法律主要重视保护个人隐私权和防止滥用个人数据。然而,不同国家对数据保护和隐私问题采取了不同的方法。例如,美国和欧盟虽然有时会采用相同的政策和结论。然而,两者的概念核心是存在差异的,即欧洲国家重视数据保护的综合方法,而美国则没有全面的国家法律来规范收集和传输数据。
数据本地化监管和跨境数据流动的限制问题日益受到争论。各国之间的数据本地化立法在性质和范围上各有不同。数据本地化策略通常涉及诸如数据处理只在本地区内、使用本地提供的设备或本地存储等要求。此外,数据保护主义也处于一些特定的范围,如数字主权,契约性机制中的数据保护主义。
现代数据保护和隐私现状促使政府和企业改革其法律框架或法规,以适合快速发展的技术和用户需求。例如,欧盟《一般数据保护条例》和美国CLOUD法都规定了法律适用范围扩大的新概念。本文阐述了这些条款之间法律义务相冲突时的法律要求和重点。在现有的数据隐私和数据保护立法中,需要建立各国之间协调一致的可强有力执法的数据保护规则。由此而言,为方便经济领域的跨境数据流动, 建立数据保护和隐私的标准化和协调性的共同规则显得尤为必要。弥合各国差异的协调性法律框架,目的在于确保政策的适用不会造成任意的歧视或施加超出实现合法利益所需的限制。
第5章 中国-东盟, 在国家层面不同法律机制下的连通性。本章首先阐述东盟的建立,中国重要的“一带一路”(OBOR)倡议和东盟2025年东盟连通总体规划(MPAC 2025)的关键项目。本章接着详细阐述了各国跨境数据流的相关规定,旨在指出形成问题的法律要求和政策的差异,并提出如何协调监管框架和机制以实现中国东盟连通性的目的。
东盟国家认识到数字时代的抓住机遇以及区域内促进跨境贸易的必要性。因此,东盟开发了东盟单一窗口(ASW),旨在联通和整合东盟成员国,将其作为加速贸易和海关文件信息在线交换的单一窗口。此外,东盟国家试图根据《2017-2025年东盟电子商务工作计划》制定《东盟电子商务协定》。目前,东盟经济共同体(AEC)有力推动了更广泛贸易协定的发展,这些协定致力于促进区域内货物,服务和数据自由流动。例如,跨太平洋伙伴关系全面进步协定(CPTPP)和区域全面经济伙伴关系协定(RCEP)。虽然东盟成为数字革命的重要参与者,但是,由于互联网使用等一些关键因素,东盟各国数字经济发展速度各有不同。因此,东盟实施2025年东盟连通性总体规划(MPAC 2025)是为了增加区域内的连通性。MPAC 2025的主要目的是建立一个无缝,全面连接和整合的东盟共同体。由于文化和社会的多样性和复杂性,更强的联通性将促进以下三个主要的支柱更强的共同体性质, 即政治安全、经济、社会文化方面。中国的“一带一路”倡议,也称为“一带一路”是由中国国家主席习近平发起一个经济和外交政策项目。该项目的名称来自中国重要的出口产品——丝绸,即丝绸贸易之路。中国的“一带一路”项目也被视为中国未来经济活力的关键。
尽管数字化具有全球化趋势,但是中国和东盟国家仍然通过了跨境数据传输的各种法律规定。这导致不同国际政策进程中的数据保护存在差距。因此,有必要对中国和东盟国家现有的数据保护和跨境数据传输法律机制以及实践中的差距加深了解,使得政府和国际组织可以采用协调的法律框架。
跨国公司或国际组织都要遵守其业务开展国法律和法规。因此,各国之间不同法律规范和政策造成困难。同时,缺乏足够的基础设施或不同的数字经济发展速度仍是主要问题。此外,语言和文化障碍也成为一个重大的障碍。东盟国家与中国之间的合作工作组或任务组是解决问题的关键方法。此外,该国还需要以符合法律的方式解释不同的法律要求和框架,否则,数据处理和数据传输将在各国之间产生广泛争议。在解决该地区各国之间的差异方面,没有一个放之四海而皆准的方案。因此,制定区域数字规范时应考虑建立协调性的法律机制。
第6章 结论。本章总结了第1章至第5章所提出的关键问题和影响。关键是强调数字时代数据的重要性和数据应用、国际层面和国家层面采用的监管框架以及这些相关法规提出的意义和问题。此外,本文总结了贸易和地缘政治语境下国际层面的执法情况。在国家层面上,跨境数据流动在各司法管辖区未能提供相当数据保护水平的问题已日益受到公共和私营行业的关注。本文旨在通过比较相关的法律法规塑造不同法律要求的问题,并提出法律协调的解决方案。
众所周知,互联网已经改变了世界的社会与经济。世界经济正在转变为由数据库管理技术驱动的信息时代。这种转变导致社会和政府面临了信息爆炸,与此同时使得大量数据跨境流动成为常态。开放的互联网及其发展变革使没一个个体更多地参与进其所在地区以外的信息传输。现如今,通过互联网信息的共享和传输不仅可以解锁新的知识来源,教育机会,还可以提供经济价值。跨境数据传输或全球数据流动不再被视为一个小问题。跨境数据流动的能力已成为各国提升生活质量和发展和国际商贸的必要组成部分。
然而,数据和信息的跨境流动对司法管辖权构成挑战。由于全球性,区域性和国家间监管体制的分散,与数据保护和跨境数据传输有关的国家立法数量又迅速增加,这导致在不同的体制下的法律适用和法律解释会产生不同的含义。例如,一些国家将隐私保护视为一项基本权利,而另一些国家则在其他政府政策或侵权行为中保护隐私权。此外,随着IT技术的快速发展,一些数据保护法和相关机制已经过时,需要进行审查和修订。这些法律适用的差异和问题不仅广泛地影响个人而且影响企业,尤其是与国际贸易有关的企业,因为跨境的数据传输可能受到不同国家法律制度的制约。本研究主要探讨跨境数据流动的背景和意义,相关数据驱动创新(data-driven innovation)的应用,跨境数据流动议题中的争论,国际和国内跨境数据流动的监管框架。加之,探讨区域贸易协定的TPP/ CPTPP框架的应用以及中国与东盟国家之间连通性的拟议机制。每章的具体细节如下:
第1章 跨境数据流动的背景和争论。首先,本文说明了数据生命周期(data lifecycle)的定义和阶段,以了解数据的性质和背景。本章接着解释相关的数据驱动创新以及可能影响跨境数据的创新技术应用。本章还阐明了跨境数据流动的论点和理由。
数字化和新技术不仅影响着人们的生活,也改变了传统行业和企业的运作方式。以前由于技术限制,传统企业数据收集、存储、处理和共享遇到了困难。进入21世纪以后,互联网和数字技术支持了数据跨境自由流动,并将业务和服务的性质转向贸易的全球化。因此现在的挑战就是如何使用、控制数据和使数据更有效地运作。随着新技术的出现,创建和使用数据的方式发生了巨大的变化。决策者和监管者必须清楚地了解数据的性质和数据生命周期,从而能够建立清晰和实用的框架。数据生命周期可以解释特定数据从最初的数据获取或数据收集到最后的数据传输和(或)重用的各个阶段的顺序。
关于如何存储数据和控制数据传输以提高生产率,确保数据的安全性,是一个涉及创新和监管措施的广泛问题。在数字时代,从经济增长质量、创造就业和改善治理的角度来看,数据驱动的创新被视为近期的新常态。数据驱动的创新是通过复杂和庞大的数据量来构成数据评估和分析的价值。这些数据驱动的创新包括大数据,物联网(IoT),云计算以及区块链。在数据传输监管的背景下,有许多定义上的不确定性取决于数据和机制的类型。除了各种数据保护制度之间的定义不同,跨境数据传输的机制也不同,例如地理和非地理(如组织基础)。
跨国数据治理甚至可以追溯到19世纪中叶。跨境数据流的立法最初旨在提供监管方法和机制,以促进跨境数据流动,同时保护国家在没有适当法律保障的情况下处理涉及国家安全的数据和数据库。目前,跨境数据流的框架和规则源于各国法律传统和文化。几乎所有地区都颁布了相关国内法。一方面,政府认识到跨境信息流动的重要性日益增加,特别是在教育,国际贸易,医疗保健和创新等问题上。另一方面,这些政府必须实现其相关的法律和政策目标,如网络安全,道德理性,医疗信息,隐私保护,国内产业保护。因此,跨境数据流动的监管方法有两个不同论点,即跨境数据流的限制和跨境数据的自由流动。
第2 章国际层面跨境数据传输的监管框架。本章首先介绍了国际层面的重要机构和协议,接着提出详细背景和相关监管框架。本章还指出了法律域外效力的重要性及其在国际层面的影响。
与跨境数据传输有关的国际规范不断地发展,特别是在经济方面。国际层面跨境数据流动的监管框架诸多,包括OECD《个人数据隐私和跨境流动保护准则》(简称为《经合组织准则》)、APEC采用的《隐私框架》、欧盟《一般数据保护条例》和美国与韩国之间的自由贸易协定(KORUS)。上述准则和协定都旨在减少跨国数据自由流动的法律障碍,同时平衡全球数据流动和对个人数据及成员国或缔约方公共利益的保护。
20世纪80年代初经合组织(OECD)对跨境数据保护发挥重要作用。经合组织于1980年制定了《个人数据隐私和跨境流动保护准则》(《经合组织准则》),旨在平衡隐私保护和个人跨境传输其数据的权利和自由,并协调各国之间的数据保护法。该准则没有法律约束力,而是对没有数据保护立法的经合组织成员国的立法予以指导。准则在各成员国不同的法律结构和技术环境中均能良好适用。此外,该准则有助于协调成员国其国内隐私立法,避免跨境数据流动受阻。
亚太经合组织成员经济体(APEC)于2005年就《隐私框架》达成一致意见。该框架以1980年《经合组织准则》为蓝本。2015年隐私框架得到更新,借鉴了OECD 2013准则中提到的一些关键概念。APEC《隐私框架》目的是促进APEC区域数据隐私保护的灵活方法,同时避免了数据流动的不必要障碍。该框架主要是为了提高客户对隐私和在线信息操作安全性的信任和信心。
在欧洲,欧洲公约理事会是处理数据保护和跨境数据流动问题的另一重要机构。欧盟委员会认识到欧盟国家之间数据保护立法的差异,引起欧盟内部数据自由流动的障碍。因此,欧洲议会和欧洲理事会于1995年颁布了欧盟保护个人数据处理和数据自由流动的指令(简称为《数据保护指令》,Directive 95/46/EC)。然而,2016年颁布的欧盟《一般数据保护条例》取代了1995年的《数据保护指令》。该条例自2018年5月25日起在欧盟区域自动具有约束力。条例主要目的是给予欧盟公民对个人数据的控制,以及加强和协调区内国际业务的数据保护监管框架。该条例可以说是对数据隐私监管域外管辖权的最重大改变。虽然数据保护的关键原则保持不变,但该条例提出了一些将影响全球企业和组织的新规则,例如扩大领土范围、数据泄露通知、数据主体明确同意和法律制裁。
美欧《隐私盾协议》是美国和欧盟之间达成的协议,旨在使美国公司能够加入该协议并承诺遵守其法律要求。参与该协议的美国公司必须自愿进行自我认证。一旦承诺美国法项下可强制执行,该公司可以将欧盟区域的数据传输到美国。美欧《隐私盾协议》取代了欧洲法院(ECJ)在2015年10月6日决定无效的《安全港协议》。该协议反映了美国公司在保护欧盟个人数据方面的更多法律义务。协议规定的美国公司保护欧盟个人数据的法律义务主要包括公司接收数据的义务、数据访问的保障、个人的保护和补救以及年度联合审查机制。
美韩自由贸易协定(KORUS)不仅可以降低韩国进口美国商品的关税,还可以促进商品和服务的出口。目前,韩国是世界上个人电脑使用量增速最快和互联网接入率最高的国家之一。此外,韩国具有相对先进的信息技术基础设施,并采用了与亚洲电子商务相关的最全面的政策框架之一。 因此,KORUS双方不仅意识到跨境数据流的重要性,而且还努力避免对数据流动施加不必要的障碍。
跨太平洋伙伴关系协定(TPP)是由12个国家在2016年签署的区域自由贸易协定,该协定在覆盖8亿人口的成员国之间对于重新塑造跨境数据流动机制发挥关键作用。TPP成员国占世界总产值的40%,占全球贸易量的1/3。与其他双边或多边贸易协定相比,TPP促进了大型自由贸易协定的发展,并为推进贸易议程提供了又一个平台。TPP电子商务章节已提供了一个法律框架,政府在保护个人信息时允许数据自由流动,禁止数据中心在其所在地境内将数据本地化,并限制开放软件源代码。由于TPP成员国的法律框架和技术不同,本文指出了TPP中与跨境数据流动有关的条款的一些问题,如不同国家之间的不同法律义务和政策、TPP条款中的自律监管机制,禁止开放源代码的影响。
第3章 《一般数据保护条例》和多边自由贸易协定(TPP和CPTPP)- 国际层面重新塑造跨境数据流动机制的案例。首先,本章阐述贸易和地缘政治语境下《一般数据保护条例》和多边自由贸易协定(TPP)的背景和重要性。接着,本章讨论GDPR 与域外法律效力,TPP中电子商务一节与跨境数据流动相关的条款以及此规定的意义。最后,本章介绍了《一般数据保护条例》对国际贸易的影响、美国总统唐纳德特朗普退出TPP贸易协定后CPTPP建立的详细情况以及同其他区域机制的合作情况。
在数字时代,“无国界”网络空间的复杂性从领土原则方面挑战着国家主权。虽然欧洲议会和欧洲理事会通过的《一般数据保护条例》中的单方面域外管辖权是为了解决国际层面数据保护制度的复杂问题,但是该条例的域外法律效力对国际贸易机制提出了新挑战。本章还讨论了该法规域外效力对作为欧盟贸易伙伴的亚洲和非洲国家的影响。
虽然政府可以采取政策或措施限制访问互联网的能力和限制数据跨境自由流动,但区域自由贸易协定(RTA)被认为是跨境数据流动监管协调的重要机制。TPP着重关注贸易和地缘政治。该协定还被称为美国对亚太区域的战略再平衡。虽然一些国家对数据保护和跨境数据流动已经考虑收回控制,甚至呼吁国家将这些数据保护问题视为政治领域议题。但是,美国作为之前TPP的成员国却强调支持个人数据保护时的数据跨境自由流动。可见,美国通过以全面市场开放、监管协调、贸易自由化以及克服不必要的障碍为由的区域贸易协定机制,试图渗透和主导区域的经济。TPP旨在联系和促使TPP成员国逐步使用数字平台接触新客户,并逐步依靠跨境数据流动来监控其业务。TPP成员国关注精简和监管协调。国家和国际层面的法律框架的法律原则一致,则有助于后果可预测。
虽然美国总统唐纳德特朗普退出了这一贸易协定,但TPP框架内包括跨境数据流动监管在内的高标准要求并未消失。 TPP 11剩余成员国在原则上同意修订TPP贸易协定,称为CPTPP(跨太平洋伙伴关系全面进步协议)。目前,已有七个国家批准了CPTPP协定,包括澳大利亚、加拿大、日本、墨西哥、新西兰、新加坡和越南。在CPTPP电子商务章节的语境下,CPTPP要求各方允许跨境数据自由流动,以保护电子商务用户的个人数据,并禁止维护特定位置的算机服务器。这些法律框架与最初的TPP协定是类似的。
由于12个TPP成员国是APEC的成员经济体,CPTPP框架被认为会在三个方面影响APEC论坛的未来谈判,即数据隐私,数据本地化和数据自由流动。此外, CPTPP还与RCEP建立合作伙伴关系表示出兴趣,因为除加拿大、智利、墨西哥和秘鲁之外,大多CPTPP的成员国也加入了RCEP贸易协定。而且,RCEP还吸收 了中国和印度这种大国。 因此,TPP剩余成员国已全力推动该协定的实施,并期望高标准的CPTPP框架可能成为其他多边贸易谈判的典范,特别是东盟主导的区域全面经济伙伴关系(RCEP)协定。
CPTPP对美国具有重大政策影响,因为美国在RCEP和CPTPP两个主要区域贸易协定的缺席可能会影响其在亚太地区的影响力,特别是在建立国际框架机制和贸易投资的方面。此外,日益增长的贸易协定网络使成员国在贸易和投资方面越来越具有吸引力。最近,韩国、泰国、英国和哥伦比亚表示有意愿加入CPTPP协定。
第4章 国家层面跨境数据流动规则之比较。本章首先提出了全球互联网使用的情况,然后简要概述一些国家监管框架和法律机制,国家包括美国(U.S.),欧洲国家,一些亚洲国家,以及非洲国家跨境数据流动的法律要求的清单。本章接着将国家监管规则与隐私保护、数据保护主义、法律域外管辖权和法律处罚方面进行重点介绍和进行比较。此外,本章也探讨国际层面、国家层面和系统层面执法的有趣现象。
虽然跨境数据的使用和分析可以促进各国的经济增长,但是,在政策层面上,政府需要密切监管跨境数据流动。跨境数据传输可能受制于不同的国家法律制度,因此数据和信息的跨境流动在管辖范围内产生了挑战,对于数据不同程度的保护上会导致其社会和企业带来不同的结果。数据保护规定在过度严格的监管会产生贸易壁垒并影响业务流程和信任。国家立法和监管框架可以反映该国的国际政治和利益的现实。本文主要将各国数据保护法进行比较,以了解当前数字治理的差异和存在的挑战。这些国家包括美国,欧洲国家,亚洲国家(不包括东盟国家),非洲国家。
在互联网普及的早期阶段,美国在网络通信领域适用不同政策已达到治理目的。美国隐私和数据保护制度的性质相对灵活,主要依赖于政府事后执法和私人诉讼,而不是具体的予以限制。在美国隐私保护法的背景之下,有一系列联邦法律规范了个人数据的收集和使用。在州法律层面上,数据向境外限制传输的法规较少。此外,美国私营企业作为政策制定的正式部分已发挥重要作用。美国还采用了数据保护制度的自律监管机制。美国政府以最少的干涉,支持私营企业、鼓励行业进行自律监管机制推动了电子商务。美国重视并充分保护可能受到影响的行使职责的机构,包括系统、组织、授权机构,因此,风险管理是美国监控和管理相关风险的关键措施。
在欧洲国家区域内,数据传输主要依赖于欧盟数据保护法, 即欧盟《一般数据保护条例》。该法主要目的是协调欧盟区内的数据保护。然而,欧盟成员国也可以将其重要的公共政策制定为其国内数据保护法,如言论自由,国家安全,刑事执法。目前,欧盟成员国一直在努力实施该法规及其各自立法的草案。本文还介绍了比利时针对该条例的实施情况。
在亚洲国家当中,中国、俄罗斯和日本在数据流动机制的领域是最重要的国家。中国于2017年6月1日实施了第一个国家数据保护综合立法,称为《网络安全法》,旨在加强管理网络和系统安全。此外,政府还制定了一系列与跨境传输个人数据相关的规定。这些规定的目的在于规范数据保护。俄罗斯政府也实施了第242-FZ号俄罗斯联邦法,补充了第152-FZ号联邦法,这是一项前所未有的个人数据保护法规。俄罗斯联邦法第242-FZ号也被称为数据本地化法。日本政府于2017年颁布了一系列有关个人数据保护的法律。其法律制定的原因是跨境数据传输全球化对ICT的需求为日本商业创造了新机会。日本政府还采用了一系列对特定实体或机构具有约束力和可执行性新的法规,以弥合法律方法的差异。
目前,已有99个国家颁布了有关数据保护和隐私的立法,限制个人数据或敏感数据的使用和传输。大多数法律主要重视保护个人隐私权和防止滥用个人数据。然而,不同国家对数据保护和隐私问题采取了不同的方法。例如,美国和欧盟虽然有时会采用相同的政策和结论。然而,两者的概念核心是存在差异的,即欧洲国家重视数据保护的综合方法,而美国则没有全面的国家法律来规范收集和传输数据。
数据本地化监管和跨境数据流动的限制问题日益受到争论。各国之间的数据本地化立法在性质和范围上各有不同。数据本地化策略通常涉及诸如数据处理只在本地区内、使用本地提供的设备或本地存储等要求。此外,数据保护主义也处于一些特定的范围,如数字主权,契约性机制中的数据保护主义。
现代数据保护和隐私现状促使政府和企业改革其法律框架或法规,以适合快速发展的技术和用户需求。例如,欧盟《一般数据保护条例》和美国CLOUD法都规定了法律适用范围扩大的新概念。本文阐述了这些条款之间法律义务相冲突时的法律要求和重点。在现有的数据隐私和数据保护立法中,需要建立各国之间协调一致的可强有力执法的数据保护规则。由此而言,为方便经济领域的跨境数据流动, 建立数据保护和隐私的标准化和协调性的共同规则显得尤为必要。弥合各国差异的协调性法律框架,目的在于确保政策的适用不会造成任意的歧视或施加超出实现合法利益所需的限制。
第5章 中国-东盟, 在国家层面不同法律机制下的连通性。本章首先阐述东盟的建立,中国重要的“一带一路”(OBOR)倡议和东盟2025年东盟连通总体规划(MPAC 2025)的关键项目。本章接着详细阐述了各国跨境数据流的相关规定,旨在指出形成问题的法律要求和政策的差异,并提出如何协调监管框架和机制以实现中国东盟连通性的目的。
东盟国家认识到数字时代的抓住机遇以及区域内促进跨境贸易的必要性。因此,东盟开发了东盟单一窗口(ASW),旨在联通和整合东盟成员国,将其作为加速贸易和海关文件信息在线交换的单一窗口。此外,东盟国家试图根据《2017-2025年东盟电子商务工作计划》制定《东盟电子商务协定》。目前,东盟经济共同体(AEC)有力推动了更广泛贸易协定的发展,这些协定致力于促进区域内货物,服务和数据自由流动。例如,跨太平洋伙伴关系全面进步协定(CPTPP)和区域全面经济伙伴关系协定(RCEP)。虽然东盟成为数字革命的重要参与者,但是,由于互联网使用等一些关键因素,东盟各国数字经济发展速度各有不同。因此,东盟实施2025年东盟连通性总体规划(MPAC 2025)是为了增加区域内的连通性。MPAC 2025的主要目的是建立一个无缝,全面连接和整合的东盟共同体。由于文化和社会的多样性和复杂性,更强的联通性将促进以下三个主要的支柱更强的共同体性质, 即政治安全、经济、社会文化方面。中国的“一带一路”倡议,也称为“一带一路”是由中国国家主席习近平发起一个经济和外交政策项目。该项目的名称来自中国重要的出口产品——丝绸,即丝绸贸易之路。中国的“一带一路”项目也被视为中国未来经济活力的关键。
尽管数字化具有全球化趋势,但是中国和东盟国家仍然通过了跨境数据传输的各种法律规定。这导致不同国际政策进程中的数据保护存在差距。因此,有必要对中国和东盟国家现有的数据保护和跨境数据传输法律机制以及实践中的差距加深了解,使得政府和国际组织可以采用协调的法律框架。
跨国公司或国际组织都要遵守其业务开展国法律和法规。因此,各国之间不同法律规范和政策造成困难。同时,缺乏足够的基础设施或不同的数字经济发展速度仍是主要问题。此外,语言和文化障碍也成为一个重大的障碍。东盟国家与中国之间的合作工作组或任务组是解决问题的关键方法。此外,该国还需要以符合法律的方式解释不同的法律要求和框架,否则,数据处理和数据传输将在各国之间产生广泛争议。在解决该地区各国之间的差异方面,没有一个放之四海而皆准的方案。因此,制定区域数字规范时应考虑建立协调性的法律机制。
第6章 结论。本章总结了第1章至第5章所提出的关键问题和影响。关键是强调数字时代数据的重要性和数据应用、国际层面和国家层面采用的监管框架以及这些相关法规提出的意义和问题。此外,本文总结了贸易和地缘政治语境下国际层面的执法情况。在国家层面上,跨境数据流动在各司法管辖区未能提供相当数据保护水平的问题已日益受到公共和私营行业的关注。本文旨在通过比较相关的法律法规塑造不同法律要求的问题,并提出法律协调的解决方案。