吳沈括:數據治理的全球態勢及中國應對策略
轉載請註明「刊載於《電子政務》2019年第1期」。
引用參考文獻格式:
吳沈括. 數據治理的全球態勢及中國應對策略[J]. 電子政務,2019(01): 2-10.
摘 要:時至今日,海量數據的處理與應用構成了新型數字經濟樣態存在與發展的關鍵性必要條件,數據作為基礎性戰略資源的論斷已然成為國際社會的普遍共識,數據治理成為網路空間國際治理領域對話博弈的核心命題之一。國際數據治理的話語對象逐漸從個人數據延伸到非個人數據昭示著世界各國圍繞數據的合作與競爭的持續深化。細加審視,目前以歐美為代表的國際數據治理進路已然呈現從立法執法到國際博弈的多層次新走向。面對世界各國藉助政策戰略尤其是法律制度設計強化數據治理、數據資源控制的新態勢,立足於維護我國數據主權、促進數字經濟發展的基本價值立場,為更有效地實現國家對數據的最高控制權、助益培育數字經濟競爭優勢,有必要統籌研判數據治理與數據主權、數字經濟的內在邏輯聯繫和外在規範支撐,進而構想中國具體應對策略的工作抓手。
關鍵詞:數據治理;GDPR;數據主權;數字經濟;個人數據;非個人數據
DOI:10.16582/j.cnki.dzzw.2019.01.001
前言:新型信息技術與數據治理相關機遇風險
在數字經濟浪潮席捲全球的時代背景下,世界各國都面對著一系列全新的治理挑戰。無可否認,海量數據的處理與應用構成了新型數字經濟樣態存在與發展的關鍵性必要條件,時至今日,數據作為基礎性戰略資源的論斷已然成為國際社會的普遍共識。[1]
在此圖景下,對於數據治理議題而言,已經在全世界範圍內聚集了空前廣泛的關注度,成為網路空間國際治理領域對話博弈的核心命題之一。不可否認,數據治理問題本身具有非常複雜、寬廣的視域,而系統檢視這一問題、尋求應對方案的邏輯主線應當是新一代網路信息技術的發展態勢以及與數據處理應用相伴隨的機遇和風險類型考察。
就此應當指出的是,一方面,圍繞各類數據的利用,在以大數據、雲計算、物聯網以及人工智慧等為代表的新一代信息技術的普及應用過程當中,人們不斷擁抱更多的發展機遇;另一方面,圍繞各類數據的保護,民眾在快速數字化的環境中也持續面對來源更為廣泛、程度更為深刻的安全風險。
作為發展成就的示例,根據中國互聯網路信息中心2018年發布的《第41次中國互聯網路發展狀況統計報告》[2]顯示,我國的網民規模已達到7.72億,手機網民規模達到7.53億,互聯網普及率為55.8%,境內外上市互聯網企業數量達到102家,總體市值達到8.97萬億人民幣。而就信息基礎設施而言,我國伺服器部署數量也已達到118萬台。
與此同時,作為風險威脅的示例,Norton(諾頓)公司於2018年1月發布了一項關於網路安全及數據安全的研究報告[3],該報告統計分析了包括中國在內的20個世界主要國家和地區在2017年遭受網路犯罪的情況,據其顯示,2017年全世界約有9.78億人受到了網路犯罪的影響,全世界的消費者因黑客攻擊共遭受了約1720億美元的損失。
基於系統化的考察視角,就新型信息技術與數據治理相關機遇而言,我們獲得了新的技術支持,例如大數據、人工智慧等;也發展了新的業務樣態,例如雲計算、物聯網等;還產生了新的應用內容,例如新式安保監測、遠程診療、健康保障以及生活娛樂等。
另一方面,就新型信息技術與數據治理相關風險而言,我們面臨著新的技術要素風險,例如新型木馬、病毒以及殭屍網路威脅等;也面臨著新的組織管理風險,例如新型電信網路詐騙侵害等;還面臨著新的在線內容風險,例如兒童色情、暴恐信息以及虛假消息等。
綜上而言,面對這幅錯綜斑斕的數據治理畫卷,全球各國正立足於本國的核心價值訴求,積極醞釀出台其數據治理戰略政策以及法律規範,試圖通過建構系統化的制度配套以及多層次的執法司法機制在國際合作與競爭中取得理想的博弈地位。當下具有突出的典型路徑意義的是歐盟與美國的數據治理方案,其鮮明地反映了各自的數據治理立場,產生了廣泛的國際迴響,對歐盟與美國各自數據治理路徑的全面理解有助於檢視並研判我國在數據治理領域的應對之策。
一、歐盟有關數據治理的規範設計與價值訴求
著眼歐盟的數據治理思路,首先有必要考察的是自2018年5月25日起正式施行的《一般數據保護條例》(General Data Protection Regulation,GDPR)注1。作為相對歐盟個人數據保護1995年指令的升級規範,GDPR在新一代歐盟數據治理規範發展歷程中具有里程碑意義,面對歐盟境內數字經濟與信息社會2.0的新發展與新趨勢,歐洲立法者建構的回應方案是引入具有普遍約束力的歐盟統一立法,提升個人數據流轉的治理水平,這同時也對全球數據治理的未來走向產生了現實的深刻影響。[4]
(一)GDPR的價值追求與邏輯內核
在GDPR長達四年的文本醞釀出台過程中,歐盟範圍內經歷了廣泛、複雜的利益博弈,這本身反映了GDPR的制度意義遠超技術層面的個人數據規範框架,而是構成了一套蘊含國際博弈、產業競爭以及社會模式等多樣要素的多重價值體系。
申言之,一方面,歐盟立法者希望通過GDPR的體系化制度設計強化提升歐盟主體對於自身個人數據享有充分的控制權,同時通過統一化的規範設計改進現有的監管機制,為個人數據處理主體的合規風控提供更為明晰的行為指南,降低業務運營的不確定性。另一方面,通過提升數據治理水平助益歐盟的「數字單一市場」建設規劃,進而在數字經濟浪潮中謀求世界級領袖地位。
需要指出的是,GDPR並非孤立的制度安排,在數據安全層面,歐盟《2016年網路與信息系統安全指令》是歐盟數據治理法制框架的另一重要支柱,為GDPR的實施提供安全形度的進一步的制度配合與保障。
在此意義上,可以認為GDPR更深層次的邏輯內核是在網路空間和數據領域延伸、拓展傳統國家主權理念的各項基本價值追求,進而確保歐盟對其數據享有獨立自主開發、佔有、管理和處置的最高權力,是為歐盟版本的數據主權理念。
申言之,GDPR反映出歐盟試圖捍衛其數據產業獨立、自主的發展權,確保獨立開發並選擇應用數據技術,以優先滿足自身各種產業競爭的需要;同時,確保歐盟在數據領域擁有制定配套法律法規的最高立法權力,保證根據自己的意志自行決定如何制定有關數據的法規與制度,而不受任何外部技術優勢力量的影響或者支配,甚至培育相應的反制能力。
(二)GDPR的制度特色與核心規範
關於GDPR的制度特色,需要指出的是,它在很大程度上反映了歐盟立法者面對雲計算、大數據以及數字單一市場的深入發展,互聯網金融以及跨境電商等新經濟樣態的伴生風險而傾向採納的風險管理新路徑。
由此不難理解,在宏觀框架層面,GDPR對於公民權利、經濟自由、數據主權、公共安全等多重訴求在不同產業、不同情境中引入了新的動態平衡取捨,包括充實個人的權利內容,提升歐盟內部市場的價值位階,強調規範落實的機制保障以及建構個人數據跨境傳輸的全球化管控機制。
在微觀制度層面,應當強調的是,一方面,根據GDPR的條文設計,歐盟個人數據治理的制度規範將擴展適用於處理歐盟主體個人數據的所有外國主體;另一方面,GDPR廣受注目的新舉措是適應新技術新應用的具體場景,為歐盟公民和居民提供了一系列新型「數字權利」,包括被遺忘權、數據可攜權等。此外,GDPR還引入了極為嚴格的責任條款,並通過最高處罰為涉事主體全球營收總額4%的懲罰機制予以強化,引領了高額處罰的國際潮流。
在此圖景下,值得給予特別關注的GDPR制度規範涵蓋一系列條款,包括第7條關於強化監督數據持有第三方的規定、第8條關於兒童特別保護的規定、第12-14條關於權利人被告知權的規定、第17條關於被遺忘權的規定、第20條關於數據可攜權的規定、第21條關於數據挖掘限制的規定以及第33、34條關於嚴重數據侵權事件報告制度的規定,等等。
(三)GDPR的實施前景與全球影響
GDRP各項制度規範的落地執行是一個立體的機制體系,從相關指南到各類行政、司法判例都是需要深入研判的組成要素。從歐洲數據保護專員公署(EDPS,2018年5月25日後成為歐洲數據保護局EDPB的常設秘書處)的工作部署來看:
其一,貫徹落實GDPR規範內容的主要切入點是里斯本條約等確認的個人數據權等「基本權利」,在遵循歐盟委員會有關數字單一市場的總體安排的前提下,以保護歐盟公民和統一市場為直接的制度目標。
其二,相對於歐盟《1995年個人數據保護指令》,歐盟全境範圍內有關個人數據保護的執法力度在2018年5月25日後會絕對加強,構成歐盟各成員國必須履行的、不可剋扣的政治責任,其總體強度將類似於歐盟目前有關反不正當競爭、反壟斷領域的執法力度。
其三,GDPR的執法主體主要是各國個人數據保護機關(DPAs),突出「一站式」執法模式,由某執法對象(例如某跨國公司)主要營業地的成員國個人數據保護機關履行首要的監管保護職能,而2018年5月25日正式投入運行的歐洲數據保護委員會(European Data Protection Body,EDPB)的主要職能在於協調成員國個人數據保護機關的執法工作。
其四,在國際博弈合作層面,GDPR後續實施過程中會根據實際情況進一步考慮彈性的國際對話機制,包括發揮「約束性公司規則」和「標準條款」兩個機制的彈性功能,以減少法定強制情形尤其是「充分性認定」機制的適用場景。
不難想像,通過上述多層次規範實施機制,GDPR將漸次展現其廣泛的國際影響力。特別地,一方面,其規範約束更深刻地介入數據處理的全生命周期,進而對於大數據、雲計算以及人工智慧等以數據收集、處理為核心要素的新技術應用產生顯著的導向意義;另一方面,以「設計隱私(privacy by design)」為突出代表的新的數據保護機制將會對全球數據處理主體的現有業務運營模式產生深度的邏輯變革,進一步滲透歐盟特有的數據治理理念;此外,以個人數據跨境制度為有力抓手,GDPR還會對他國的數據治理框架產生跨地域的持續制約,進而對未來國際數據治理生態帶來更多的制度變數。
二、美國有關數據治理的制度建設與價值取向
無可否認,憑藉GDPR等專項規範的密集醞釀出台,歐盟不但在全球數據治理博弈中取得了制度性優勢地位,而且已經對包括美國在內的世界各國的數據治理進程產生了廣泛的政策規範影響。在此意義上,美國法制框架下目前最具風向標色彩的立法動向莫過於2018年6月28日由加州州長簽署公布、將於2020年1月1日起正式施行的《加利福尼亞州消費者隱私保護法案》[5](California Consumer Privacy Act of 2018,CCPA)注2。
CCPA旨在改變企業在這個人口眾多的州進行數據處理的方式,法案一經生效,包括Google和Facebook在內的科技公司將面臨非常嚴格的隱私保護要求,包括披露其收集的關於消費者的個人信息的類別和具體要素、收集信息的來源、收集或出售信息的業務目的以及與之共享信息的第三方的類別等。正如美國電子隱私信息中心執行主任Marc Rotenberg先生指出,該法案的公布是美國隱私法律發展的一個里程碑時刻,它表明人們高度關注隱私,立法者也將採取行動保護隱私。
(一)CCPA的總體概況
CCPA的主要內容涉及四項要素:法案出台的背景、消費者的權利、企業的義務以及法案中一些用語的詳細解釋等。
關於法案出台的時代背景,法案表明隱私權是加州憲法中規定的一項不可剝奪的權利,隨著消費者與企業共享的個人數據數量的激增,消費者數據泄露將會為個人帶來諸如財務欺詐、身份盜竊、聲譽損害等破壞性影響,因此為了防止企業濫用個人信息、保護個人對於隱私信息的控制權,特制定該法案。
對於消費者的權利內容,該法案規定了消費者對於個人數據信息所擁有的一系列權利,這些權利包括:①要求收集消費者個人信息的企業向消費者披露企業收集的個人信息的類別和具體要素的權利;②要求商家刪除其所收集的有關消費者的個人信息的權利;③要求企業向消費者披露收集個人信息的目的以及與之共享信息的第三方的權利;④選擇不出售個人數據信息的權利;等等。
有關企業的義務範圍,CCPA法案規定:①企業根據消費者的要求披露收集信息的種類和目的以及共享數據的第三方的義務;②根據消費者的要求刪除所收集信息的義務;③尊重消費者選擇不出售個人數據信息權利的義務,不得通過拒絕給消費者提供商品或服務,對商品或者服務收取不同的價格或費率等方式來歧視消費者行使該項權利等。
關於相關術語的界定,該法案對「個人信息」「商業目的」「收集」「處理」等詞語進行了詳細的立法解釋。其中「個人信息」是指能夠直接或間接地識別、描述與特定的消費者或家庭相關或合理相關的信息,這些信息包括但不限於真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯網協議地址、電子郵件地址、生物信息、商業信息、地理位置數據以及教育信息等。
此外,根據該法案的規定,一旦企業違反隱私保護要求,將面臨支付給每位消費者最高750美元的損害賠償金。加利福尼亞總檢察長將負責決定是否針對違法企業採取法律行動。該法案中的主體規定與歐盟《一般數據保護條例》(GDPR)相類似,但並非完全是該條例的翻版,例如並沒有如GDPR一樣規定告知消費者數據泄露事件的特定時限。
(二)CCPA的制度建構
總體而言,CCPA法案在規範設計上比較集中地反映了美國政府在個人數據、個人隱私治理領域的基本價值追求,其制度性努力突出表現在以下多個方面:
其一,該法案以控制、透明為制度邏輯核心。其強調加利福尼亞州的消費者應該能夠控制他們的個人信息,並且他們應當確保有保護措施防止濫用其個人信息。企業既可以尊重消費者的隱私,也可以為他們的商業行為提供高水平的透明度。
其二,該法案以細分權能為制度框架主軸。其意圖是通過確保各項細分權利,為消費者提供控制其個人信息的有效方式,從而進一步加強加州消費者的隱私權,包括但不限於有權知道正在收集哪些個人信息,有權知道他們的個人信息是否被出售或披露以及出售或者披露給誰,有權拒絕出售個人信息,有權訪問個人信息以及享有平等獲得服務和價格的權利,等等。
其三,該法案以處理規則為制度設計依託,注重權益衡量。一方面,該法案圍繞數據流轉生命周期中的收集、處理、出售、披露、保存以及共享等各個環節,建構各方主體的具體行為規則;另一方面,該法案注意在特定數據處理場景中引入權益平衡規則,尤其是強調如果企業或服務提供商有必要維護消費者個人信息的,其不應被要求遵守消費者請求刪除其個人信息的規定,進而助益提供消費者要求的商品或服務,檢測安全事件防止惡意的、欺騙的、虛假的或非法活動,調試以識別和修復因損害現有預期功能而產生的錯誤,行使言論自由以及參與公開的或有同行評審的科學、歷史或統計研究,等等。
(三)CCPA的機制配套
在制度框架的系統設計以外,CCPA法案的立法者還試圖在執法配套機制上提升數據治理規範的實際施行。為此,一方面,美國立法者引入公權力監管模式兼以私權救濟途徑,強調權利宣示兼以程序設定,以求實現清晰可行的主體落實機制。
特別地,《加州法案》明確由州總檢察長根據相關規範負責執行該法案,並賦予訴訟私權以應對未經授權的訪問和泄露、盜竊或披露消費者未加密或未編輯個人信息等特定行為,同時賦予每位加利福尼亞州人法定且可執行的隱私權,通過「選擇退出」(opt-out)機製得到充分實現。
另一方面,美國立法者試圖通過明晰的作為義務設定、合理的權利實現保障、經濟的權利實現渠道以及嚴密的責任追究機制來確保務實便利的權利實現。
尤其是,《加州法案》明確企業從可驗證的消費者處接收到要求訪問個人信息的請求後,應立即採取措施向消費者免費披露和提供所要求的個人信息。個人信息的提供可通過郵件或電子方式,如果以電子方式提供,信息應以攜帶型方式提供,並且在技術上是可行的,且採用易於使用的格式,允許消費者無障礙地將此信息傳輸給其他實體。並且企業不得因為消費者行使其權利而歧視消費者,包括但不限於拒絕向消費者提供商品或服務,對商品或服務收取不同的價格或費率,向消費者提供不同等級或質量的商品或服務,以及提示消費者將獲得不同價格或費率的商品或服務,等等。
三、國際數據治理未來走向與中國的應對策略
(一)國際數據治理的新延伸:非個人數據規制浮現
如果說歐盟GDPR與美國CCPA更多地反映了世界各國在個人數據治理領域的現時博弈態勢,那麼當下已然浮現、需要我們即時給予同樣高度重視的國際數據治理新區域則以非個人數據為突出表徵。
事實上,歐美普遍關注到,非個人數據流轉問題作為數據流轉的B面,提出了與個人數據治理不同的規制要求,其言說背景主要在於隨著技術驅動的不斷創新,數據的流轉機制在不斷演進,同時伴隨技術的發展與改革、數據流轉的各種模式在不斷發生變化,數據經濟、數字經濟樣態也在不斷發展。
特別地,歐盟認為,在技術驅動創新的大數據時代,非個人數據同樣逐漸以核心競爭力的姿態出現,並持續顯現其在競爭上的戰略性價值:對於經濟的發展以及創新點的拓展開發而言,非個人數據正在以新型數據流的形式參與數字經濟的打造與建設。注3同時,非個人數據與技術的發展互為扶持,數據為技術提高競爭水平,以其形成的數據框架體系為技術的發展提供新的搭載平台與服務模式,而技術則進一步刺激非個人數據的價值提升,開發數據的潛質滿足數據交換的需求,進而共同助益歐盟單一數字經濟市場。
以此為思想基礎,歐盟《非個人數據自由流動條例》於2018年10月4日由歐洲議會正式通過注4,非個人數據流轉的總體目標在條例文本中得以系統展現,其明確了該條例意圖解決的問題:①改善單一市場跨境的非個人數據的流動性;②確保主管當局為監管控制目的要求和接收非個人數據的權力不受影響;③使非個人數據存儲或其他處理服務的專業用戶更容易切換服務提供商和埠數據,同時避免為服務提供商帶來過度負擔以及扭曲市場。
該條例力求使得非個人數據存儲及其處理行為可以在廣義概念上被使用的同時,追求與現有政策領域的相關歐盟政策規定保持一致,進而在此體制之下,為數據存儲以及其他處理服務創建高效的歐盟數字單一市場框架。其明確在歐盟成員國實施數據自由流動的過程中,應當確保數據經濟發展的關鍵要素的確定性以及完備性,同時在數據和雲服務的安全性方面取得進一步改進,而這些問題的解決將有助於優化和完善數據的跨境存儲與傳輸,甚至可以使數據在雲伺服器和IT系統之間獲得更有效的自由流轉。
為此,該條例試圖通過在成員國之間建立明確的框架並與會員國進行合作的同時,憑藉自律規制提高法律確定性和信任水平,並且藉助成員國的單一聯絡點長期保持制度的相關性和有效性,以確保合作的靈活性與可延展性。
總體而言,該條例的立法政策性目標追求與該政策領域的現有規定保持一致,從其政策目標來看,條例追求限定數據本地化規則、促進數據流動市場環境的活躍度與積極性,可以認為,歐盟對於非個人數據跨境的流動保護規則的設定,反映出歐盟在數據治理以及數據有效利用環節新的治理立場。歐盟明確指出現存數據本地化要求的弊端,強調對此類要求進行評估以及必要的限制,並且強調法律確定性的改善是歐盟境內外高效處理跨境數據以及處理可能產生的衝突的有效措施。凡此種種,都在歐盟2018年《非個人數據自由流動條例》的規範設計中得到了充分的展現。
(二)國際數據治理的新走向:立法執法與國際博弈
綜上所述,國際數據治理的話語對象逐漸從個人數據延伸到非個人數據昭示著世界各國圍繞數據的合作與競爭的持續深化。細加審視,目前以歐美為代表的國際數據治理進路已然呈現從立法執法到國際博弈的多層次新走向。
⒈立法趨勢層面
就立法趨勢層面考察,在立法推進方面,美歐後續的立法指向在技術應用層面呈現更聚焦的趨勢,尤其是人工智慧、雲服務、區塊鏈以及數字加密等,普遍認為這些是未來網路治理、數據治理的策略優先項,並且美歐各方也特別關注他國在這些領域的立法規劃與戰略安排。
同時,在數據類型方面,美歐的立法涉及面將呈現進一步擴張的趨勢,包括對於非個人數據治理的更多關注,特別是歐盟《非個人數據自由流動條例》(Regulation on the Free Flow of Non-personal Data)正式施行後將統一歐盟境內的非個人數據流動標準,與GDPR一起增強了歐盟監管機關與執法部門對於所有數據集的獲取和監管權力。
並且,預計在2019年5月歐盟大選前還可能出台歐盟《網路安全法案》(條例)、《電子隱私條例》以及《電子證據條例》等規範。歐盟委員會對此正大力積極推動,一方面是為了兌現大選前實現歐盟「數字單一市場」建設的政治承諾,為大選造勢,另一方面也是為了加速布局制度立法、搶先於他國完成法律體系建設,在網路治理、數據治理的國際博弈中取得制度先機,以彌補歐盟在技術研發上的相對劣勢。這些立法將進一步統一歐盟的立法標準,針對範圍覆蓋所有數據類型,通過削減成員國的獨立對外權力,使歐盟以集體抱團的方式一致應對他國在網路空間的治理主張。
此外,在規範體系上,美歐的新動向突出反映在注重推進明文立法的同時開始著力在全球推廣數據治理「軟法」的建設。具體表現為推廣以網路企業為對象的、自律性質的「行為守則」的制定,承諾為遵守其制定的「行為守則」的企業提供更多的優惠待遇,包括市場准入的優待、認證評估與標準適用的優惠等。[5]
另外,美歐各方已積極推廣「倫理設計」(ethics by design)的新主張,側重在符合法律規範的合規要求之外,進一步要求網路企業在設計產品和服務的過程中必須考慮倫理道德的因素,符合當地市場的基本倫理道德標準,從而在實質上使得外國企業認同並落實美歐的倫理道德標準。
⒉執法動向層面
就執法動向層面考察,在執法機制方面,美歐普遍認為立法的關鍵支撐在於經濟高效的執法機制的建設,尤其是數據治理領域中的跨國執法機制建設。
對此,歐盟後續的努力方向主要反映為兩個層次:一方面,在歐盟內部將加速推進各類針對特定具體問題(例如恐怖主義在線融資、非個人數據跨境執法調用等等)的專項「信息化聯結點」(一種在線數字化信息交換工作平台),實現成員國之間各項執法情報與執法請求的高速共享與處理。特別是對於非個人數據治理問題,要求在《非個人數據自由流動條例》生效後18個月內完成歐盟層面集中的「信息化聯結點」建設,專門處理成員國為了司法或執法目的跨境調取網路企業的非個人數據。
另一方面,歐盟還將在數據安全問題上更多結合網路犯罪《布達佩斯公約》的執法機制,同時藉助歐洲刑警的執法力量強化歐盟數據治理規範的落地程度。
而美國後續的努力方向將更多地反映在兩個方面:一方面,意圖通過推動聯邦層面的統一國家隱私立法引入相對中央集中的執法體制,突出地表現為以總檢察長為核心的執法體制。而對於隱私的統一國家立法,以蘋果、谷歌以及微軟等為代表的大型跨國企業持積極的支持態度,因為可以有助於消除對其不利的、相對更為嚴格的地方立法規範以及分散執法體制。另一方面,美國也將在數據安全問題上更多結合網路犯罪《布達佩斯公約》的執法機制,同時藉助國際刑警的執法力量強化美國數據治理規範的落地程度,並且輔以適用《雲法案》等域外管轄規範,打造跨境執法獲取數據的實際案例。
特別值得注意的是,美歐在執法機制建設方面雖有方向性差異,但對於能力建設問題卻有著同樣的高度重視程度:歐盟委員會後續將著力推動歐盟「網路安全能力建設中心」的設立,通過匯聚政府、企業、智庫以及各種網路安全專業人士,推動網路空間治理能力建設的水平,其中特別包括數據治理標準、監管工具以及監管人員培訓方案研發等工作。
而美國後續的著力點則是通過對外支援外國執法機關的能力建設,間接打造美方具有支配力的全球執法合作網路,其工作重點將會是亞洲(菲律賓、斯里蘭卡為優先重點工作區域)、非洲(奈及利亞、南非為優先重點工作區域)以及拉美南美地區(巴拿馬、巴西、哥倫比亞以及阿根廷為優先重點工作區域)。
⒊國際博弈層面
就國際博弈層面考察,首先需要特別注意的是歐盟委員會自GDPR正式施行5個多月以來在一些GDPR重大制度上的基本立場有了明顯的演進變化:一方面,對於數據跨境「充分性認定」(adequacy decision)機制而言,從最初的「整體國別認定」變化為也可以接受「部分充分性認定」,也就是可以對一個國家中的部分行政區域例如某個州、某個省做出充分性認定(目前對於加拿大進行中的談判思路就是如此),還可以對一個國家的某個特定行業或者部門例如金融行業、銀行部門做出充分性認定(例如對於日本、韓國,就是重在認定私營部門的充分性,而沒有意圖包括公營部門),甚至不排除將來對特定的若干大型企業集團做出充分性認定。
另一方面,對於數據跨境中的「約束性公司規則」機制而言,從最初的不可更改、不可談判變化為可以在國家層面單獨針對某個國家通過談判改變部分規則設計,例如目前印度正在由其政府統一出面與歐盟談判適用於印度企業的一套特別「約束性公司規則」。
而美國在數據治理的國際博弈問題上一方面較為認同以歐美「隱私盾協議」為代表的協議談判模式,另一方面也依然堅持在全球推廣由其主導的CBPR(跨境隱私保護框架體系)。其中,需要注意的是,雖然美方極力強調「隱私盾協議」的實際執行效果,但歐盟委員會目前實際上對「隱私盾協議」依然存在不滿,更明確表明今後在與其他國家的談判中不會再複製類似美歐「隱私盾協議」的做法。
此外,雖然形式上美歐之間有著共通的價值立場,但在有關數據治理的諸多問題上仍然沒有達成實質的一致。[6]尤其是數據處理原則(如歐方主張opt-in機製為主,美方主張opt-out機製為主)以及優先價值排列(如歐方主張人權保護優先,美方主張市場自由優先)等問題上,諸多美國企業雖然表面贊同歐盟GDPR的制度設計,但在實際的業務模式、技術研發上依然是強烈的美國風格,對歐盟而言依然存在相當的不透明度,目前歐盟各級監管機關對此有明顯的關切與擔憂,這一切都會對未來的國際數據治理態勢產生深遠的影響。[7]
(三)國際數據治理的新應對:數據主權與數字經濟
毋庸置疑,面對世界各國藉助政策戰略尤其是法律制度設計強化數據治理、數據資源控制的新態勢,立足於維護我國數據主權、促進數字經濟發展的基本價值立場,為更有效地實現國家對數據的最高控制權、助益培育數字經濟競爭優勢,有必要統籌研判數據治理與數據主權、數字經濟的內在邏輯聯繫和外在規範支撐,特別需要考慮以下四個方面的工作作為進一步構想中國後續具體對策的有力抓手:
第一,全面動態的全球規則演進研判。「新技術-經濟」條件下,數據主權、數字經濟已經成為包括歐盟以及美國在內的國際各方高度關注的全球性問題,各方立足自身實際情況和政策基準制定這一領域的數據治理規範,會對他國產生「規範溢出」的影響,同時也無可避免地會受到他國規則的反向制約。由此意味著我國在加速建構、完善相關制度過程中,非常有必要重視實時追蹤全球規則變動,實現系統動態研判,持續、及時評估國際博弈各方的力量對比變動,既為有效借鑒域外有益經驗,更是為了及時調整國內規範、科學應對國際挑戰。
第二,價值清晰的頂層設計框架建構。數據治理、數據主權事關國家的安全與主權,有效的規則體系的建立需要指向明確、邏輯清晰的頂層制度設計。在此環節,應當以總體國家安全觀為指導,在網路安全、信息安全的高度將數據的可控性、可用性、完整性與保密性四項核心訴求作為數據治理、數字經濟建設的價值出發點與落腳點。與此同時,作為頂層設計的重要組成部分,有必要專門授權成立專業、獨立的數據監管機關,負責數據規範的具體落實、數據傳輸的國際協調以及數據安全的風險評估等職能活動,確保在該領域可以保持不間斷的能力建設,也能更好地完成國際博弈任務。
第三,系統可行的差別規範制度安排。在具體制度的規範設計層面,需要特別注意數據領域的特殊性,尤其是數據的性質、種類等問題。申言之,在網路空間中流轉的數據並不都具有相同的意義,特別地,在普通數據與敏感、戰略性數據之間有著顯著的價值差異。為此,通過加速我國個人信息保護以及數據安全等專項立法進程,一方面引入有關數據治理的一般性、普遍性規則,就該領域的共性問題做詳盡的規定,另一方面有必要就特定種類的敏感、戰略性數據差別設計相應的特別規範,從而提升、強化針對某些特殊場景、特殊要素的規制保護力度。
第四,經濟便利的權利責任落實途徑。毋庸置疑,數據在信息社會2.0的今天具有全行業的基礎性意義,是幾乎所有行業良性發展的物質基礎。而各行業部門內部實際上有著不同的利益結構,在交通、電商、醫療、教育以及徵信等不同的領域,國家主權、公共安全、公民權利與經濟收益等要素在不同歷史階段有著不同的內涵與權重,需要配備針對性的規範。
因此,就數據主權、數字經濟問題付諸數據治理規範實踐時,需要深入考察我國具體行業領域的實際運行情況,及時在法律條文規定中體現其現實情況和態勢更新。申言之,在數據治理國際博弈過程中需要通過成文規範、技術標準以及司法判例等多重資源,更多、更靈活地導入利益平衡規則,設定多樣的、具有經濟性與便利性的權利實現方案以及責任追究方式,為具體場景、具體部門提供更具個性化的規範方案支撐。
注2:有關《加州法案》的最新官方文本,參見https://www.caprivacy.org/(最後訪問:2018年11月28日)。
注3:關於歐盟對此的官方價值立場,部分地反映在歐盟委員會2017年9月19日的動議之中,參見http://europa.eu/rapid/press-release_MEMO-17-3191_en.htm(最後訪問:2018年10月30日)。
注4:有關歐盟《非個人數據自由流動條例》的最新官方文本,參見https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data(最後訪問:2018年12月20日)。
參考文獻:
(略)
作者簡介:
吳沈括,北京師範大學刑事法律科學研究院暨法學院副教授,碩士生導師。
基金項目:國家社會科學基金項目「新一代信息技術與個人信息刑法保護」(批准號:15CFX035)。
TAG:網路犯罪工作坊 |