个人数据跨境流动法律规制浅析
来源:用户上传
作者:
摘 要 数据跨境流通涉及两个或两个以上国家或地区,可能会引起不同主权国家之间的对数据保护的冲突;个人数据的价值与个人隐私的保护之间的冲突也在跨境流动中愈演愈烈,对数据跨境流动进行法律规制十分必要。
关键词 个人数据 跨境流通 法律规制
1个人数据跨境流动含义
1980年经合组织《隐私保护和个人数据跨境流通指南》里已经出现“跨境数据流动”的概念。其中指的“数据”仅为个人数据,指可识别和可认定的个人的任何信息。与之不同的是,根据联合国跨国公司中心定义跨境数据流动是指“跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。”除此之外,跨太平洋伙伴关系协定(以下简称“TPP 协定”)中对跨境数据流动概念进行了扩展,主要是淡化了国界观念,强调数据的流动自由。当前,“个人数据”和“个人信息”都是跨境数据流动法律规制的对象。我国目前采用的是“个人信息”来界定数据保护对象。国际数据公司(IDC)归纳了大数据的四个特征,即海量的数据规模、快速的数据流转和动态的数据体系、多样的数据类型和巨大的数据价值。从上述的数据特征中可以看出来跨境数据流动带来的高收益和高风险。
2个人数据跨境流动法律规制的必要性
信息化和网络化的发展,使得数据的增长速度和丰富程度远超出我们的想象,大数据时代中数据的价值不言而喻。同时,数据天然具有流动性,在全球贸易中,跨境数据流动不仅对技术行业至关重要,还推动了传统行业的创新。在跨境数据流动带来精准分析和广泛应用的同时,也给个人隐私安全和国家公共安全带来了巨大的影响,因此,对数据跨境流动的法律规制极其有必要。一是数据跨境流动给国家数据主权带来挑战。个人数据跨境流通涉及多个不同的国家主体,导流经的国家皆有权对该数据行使管辖权,容易造成各国国家数据主权的交叉重叠和冲突,同时越来越多的数据被存储在“云”当中,其属于哪个主权国家管辖,存在很大争议,相关纠纷也很多。二是个人数据跨境流通对个人隐私保护带来巨大风险。个人数据跨境流通与个人隐私保护的矛盾贯穿始终,现实中大量数据泄露、交易屡禁不止,又例如美国《爱国者法案》规定其情报机构有权搜集全球人民在日常生活中所产生的所有记录和数据,并有权搜查美国互联网公司数据存储中心的所有个人数据,此举严重侵犯了全球人民的隱私权。
3国外个人数据跨境流动法律规制路径分析
个人数据的流通无可避免,但个人隐私保护刻不容缓,所以个人数据跨境流动法律规制实质是为了实现个人数据保护与自由流通的平衡。欧盟和美国在跨境数据流动法律规制方面主导形成了两个具有代表性的规则体系——即欧盟“95 指令”与 APEC“跨境隐私规则”,最终实现了数据流动体系化和制度化。
3.1欧洲
欧洲作为个人数据保护的发源地,将个人数据划为基本人权之一进行保护,并且其保护力度最为强大,所有数据的流动都要获得数据主体的同意,并且数据流入国必须满足“充分性”保护要求。
1980年颁布的《有关个人资料自动化处理个人保护公约》是欧洲首部针对跨境流动进行规制的区域性法律文件,对数据保护基本原则、跨境数据流动规制以及缔约国之间的合作做出了规定,并要求缔约国不能仅以隐私保护为由限制数据的跨境流动,但同时要求规定必须在数据流入国保证可以为数据提供“相同程度保护”的前提下适用。
1995 年的《有关个人数据处理中的个人保护与所涉及数据自由流通的第 95/46/EC 号指令》(以下简称“数据保护指令”)借鉴了《有关个人资料自动化处理个人保护公约》的内容。该指令不仅强调了数据在欧盟成员国间自由流动,同时也对向区域外进行数据转移提出了相应的要求。指令对向区域外转移数据作出了特别规制,要求只有在第三国确保能够提供适当保护水平时,才允许该转移行为的发生。但是,也存在特殊安排,主要包括标准合同条款和约束性公司规则。
《一般数据保护条例》在 2018 年实施并正式取代“指令”。依据该条例规定,欧盟关于跨境数据管理的组织架构分为三个层次。相比指令,条例对于数据保护提出了更为严苛且精准的标准要求,并且域外效力趋向性更明显,其试图将管辖范围扩大到部分设立在欧盟境外的主体;同时,条例对于向第三国或国际组织转移的个人数据信息,新增了更多的条件和适用情况。
3.2亚太地区(美国)
相对于欧盟对个人数据的强保护,美国更强调数据的自由流动,认为强行采取法律结构对其进行规制有极大的可能会“对商业活动产生不可避免的阻碍”,主张以自律规范的形式对个人隐私进行有效保护,美国形成的是以行业性联邦立法为主,以宪法、普通法和各州立法为辅的立法体系,并形成了以个人救济为中心、市场调节为主导的信息保护机制。
2004 年通过的 APEC 隐私框架是亚太地区第一个关于跨境数据流动规制的区域性指导文件。隐私框架的制定在很大程度上借鉴了OECD指南,其核心理念与指南一致,基本原则也可以与指南的八项基本原则进行一一对应。
由美国主导并于2015 年达成的区域性协定 《跨太平洋伙伴关系协定》(TPP)专门对“商业信息跨境自由传输条款”做出了规定,成为第一个将涉及数据跨境传输的约束性条款写入协定文本并在一定程度上限制了数据本地化存储的自由贸易协定(FTA),其对跨境数据流动作出相应规制,包括规制对象限定、本地化存储要求等。
参考文献
[1] 齐爱民,张才琴,李仪.大数据时代个人信息开发利用法律制度研究[M].法律出版社,2015.
[2] 陈飞等译.个人数据保护—欧盟指令及成员国经济、经合组织指导方针[M].法律出版社,2006.
转载注明来源:https://www.xzbu.com/1/view-15285619.htm
