温馨提示:这篇文章已超过512拥国内排名前三的搜索引擎市场,同时有着MAU超4亿的360浏览器
[39]在实证调研之前,必然是带着一定的理论框架在里面的,否则会陷入了素材的汪洋大海之中。
美国政府退出TPP并不代表对更新型经贸协定的放弃,相反其是在追求较TPP更高标准的贸易规则,《美国—墨西哥—加拿大协定》(USMCA)的达成便是有力例证。所谓两层是指在联邦和州两个层级进行各自的立法,以联邦立法为主、州立法为辅。
[56]另一方面,GDPR继续坚持数据本地主义立场,对欧盟数据的出境建立了更加完备的规制。[60]在具体规则上,其以中国为靶向展开了互联网领域的竞争,美国国会更通过出台包括《无尽前沿法案》和《2021年战略竞争法案》等立法文件进一步扩大美国在科技领域的优势,以强化在全球获取数据的技术实力。《公约》明确指出数据保护的目的在于维护欧洲公民的权利和基本自由,对隐私权的保护尤为重要。[45] 参见谭观福:《数字贸易中跨境数据流动的国际法规制》,载《比较法研究》2022年第3期,第176页。在不存在国际协议和无法证明对GDPR没有损害的前提下,美国执法机构无权调取欧盟境内数据,如果相关机构屈从于云法案便可能触发GDPR的问责与惩罚机制。
[58] See Secil Bilgic, Something Old, Something New, and Something Moot: The Privacy Crisis under the CLOUD Act, 32 Harvard Journal of Law Technology. 321,348 (2018)。该规定也在2021年出台的《深圳经济特区数据条例》第82条有所体现。另一项由美国提起,将设立一个新的政府专家组(Group of Governmental Experts, GGE),负责研究现有国际法如何适用于网络空间的国家行为,并提出促进遵守现有网络规范的途径。
自《威斯特伐利亚和约》开启现代国际法的塑造之路以来,主权便成为国际法的核心要素,并始终是民族国家头上的皇冠。在建立数据出境规则的过程中,尽管目前中国基于本地主义强调有权机关具有数据审查的职能,但是从长远来看,忽视全球主义对数据流动价值的促进,并不利于中国在数字经济时代的竞争中博取优势。《指令》的出台强化了《公约》相关规则的拘束力,尤其第32条规定的成员国必须在3年内将指令转化为国内法的要求,令成员国不得不启动对国内法的修订。当前,各国基于各自立场分别形成了倡导数据自由流动的全球主义,和以本地化存储、数据跨境审查为特征的本地主义,从而在数据的财产属性和隐私属性之间找寻平衡。
[13] 参见齐爱民:《拯救信息社会中的人格:个人信息保护法总论》,北京大学出版社2009年版,第173页。二、全球数据治理规则分歧的理论缘由 互联网自上世纪中后期走出美国的实验室后,率先在西方发达国家得以普及。
国际法下利益协调的路径无外乎硬法与软法两种。[40] 参见骆旭旭:《构建国际经济新秩序的法律工具选择——以国际软法与硬法的互动为切入点》,载《国际经济法学刊》2013年第2期,第84页。[13] 在欧陆国家立法中,虽然数据与隐私之间的联系得到认可,但二者也并非等同。所以,全球主义所倡导的数据跨境流动,实际上有助于提升数据的商业价值并扩大中国在数字经济时代的优势。
作为CPTPP成员的日本、越南等国尽管认可美式全球主义在国际经贸条约中的作用,但因CPTPP赋予了缔约国一定的数据监管权使其进一步完善本国立法。尽管主权日渐成为新兴国家参与网络治理的核心主张和依据,但是网络主权本身在理论上便存在争议。相较于美欧的技术优势与规则主导权,新兴国家作为后入场者更需借助国际法的力量维护自身利益,主权恰恰为它们提供了有力的理论支持。恰因此案,使得美国愈发认识到SCA在数据获取上的滞后,从而启动了对该法的修订。
在规则层面,美欧双方更通过影响数据跨境规则的构建来贯彻各自的理念,并以双边协调到多边合作再到单边制裁的方式展开博弈。[22]印度2019年出台的《个人数据保护法》也强调相关数据应通过境内的信息基础设施实现本地化存储,而数据出境也应按照法律规定分级别进行审查。
从而促进各国保护个人信息法律之间的兼容性和互操作性,[49]展现出打造统一数据市场的愿景。在不存在国际协议和无法证明对GDPR没有损害的前提下,美国执法机构无权调取欧盟境内数据,如果相关机构屈从于云法案便可能触发GDPR的问责与惩罚机制。
本地主义则突出表现为以国家主权边界为限要求相关数据必须存储于本国境内,且在数据跨境的过程中国家有权介入并作出限制。这让个体的身份也从过去的主权国家的国民,转变为兼具主权国家背景和世界公民色彩的双重身份。(一)数据博弈中的双边协调:从安全港到隐私盾 1995年欧盟出台的《指令》通过确立数据充分保护原则,明确禁止向保护水平低于欧盟的国家转移个人数据,[31]美国则被划入其中。[20]也正是由于概念的游离,使得如何将网络主权具象化成为难题。这三份文件无不将数据保护上升至人权层面,为数据流动设置条件,凸显了欧洲对数据存储和控制重要性的确认。第48条规定数据控制与处理者即使因外国判决或行政决定向第三国提供数据时,也应基于相关国家与欧盟的条约或不对GDPR产生负面影响。
OECD作为聚集世界上主要发达经济体的经济合作平台,首先希冀于发挥数据的商业价值和全球主义目标。从中国的立场出发,我们应坚定维护网络数据主权,在全球主义和本地主义的合流中,确立以数据本地化存储为基点的数据跨境适度审查模式,并依托软法促进相关国际规则的协调。
[11] European Commission, Study on Legal analysis of a Single Market for the Information Society, (Nov. 2009),. [12] See James Q. Whitman, The Two Western Cultures of Privacy: Dignity Versus Liberty, 113 Yale Law Journal. 1151,1161 (2004)。随着美国近年来对俄罗斯实施全面制裁,更进一步促使俄罗斯强化数据的本地化存储,通过对谷歌、推特等互联网企业合规与处罚,强调企业数据本地化存储的义务,呈现出一种孤岛式的数据保护模式。
[35] Communication from the commission to the European parliament and the council on the transfer of personal data from the EU to the United States of America under Directive 95 /46 /EC following the judgment by the Court of Justice in Case C-362 /14. [36] 参见刘碧琦:《美欧隐私盾协议评析》,载《国际法研究》2016年第6期,第36-38页。一国能否为企业提供良好的进出通道并保障其合法权益,也会影响该国的经济发展。
新世纪以来,鉴于美欧之间《安全港协议》的成型,私法协议模式得到关注。(二)数据治理的本地主义:基于人权与主权的数据保护 互联网虽诞生于美国却服务于全球,美国所倡导的全球主义并非是唯一路径。早在2003年,联合国信息社会世界峰会达成的《日内瓦宣言》就首次明确了与互联网有关的公共政策决策权是各国主权。第二,GDPR除了关注数据转移国,也将视角聚焦于数据的控制者和处理者,第46条所确立的适当保障的传输规则便针对数据控制与处理者设定了较高的标准。
在互联网诞生之初,美欧便开始关注网络空间规则的构建,并在二者的推动下促使网络空间规则走向阵营化,[4]直接导致数据层面形成了美国倡导的全球主义与欧洲倡导的本地主义的分歧。[37]因此,2020年欧盟法院以美国数据保护标准未达到欧盟人权保护水平为由判决《隐私盾协议》无效,再次中断了美欧之间的数据流动通道。
美欧分别作为全球主义与本地主义的擎旗者,在经济治理上因对政府与市场关系的认知差异而走向不同的道路。美国尽管依靠强大的技术和经济实力通过全球主义的方式推行理念,以进攻姿态在全球网罗可利用的数据,但同时其也通过完善本国法律保护自身数据主权和公民隐私权。
1980年经济合作组织(OECD)发布的《隐私保护和个人数据跨境流动指南》是最具代表性的国际软法。早在2013年,纽约南区联邦地方法院就依据1986年《存储通信法案》(Stored Communication Act,SCA)要求微软提供存储于爱尔兰的相关数据以协助毒品犯罪调查。
(三)以软法为依托推动两种主义融合 回顾网络空间规则构建的路径,从国际软法的规则示范到主权国家的意志协调再到国际硬法的规则定型,软法的硬化渐成趋势。(二)借鉴全球主义中的数据跨境审查 本地主义除了强调数据本地化存储以外,对数据跨境的审查也不容忽视。[12]因此对数据隐私的保护本质上是对基本人权的保护,而在欧洲的法律体系下自然也需要通过立法加以干预。[9] 参见个人信息保护课题组:《个人信息保护国际比较研究》,中国金融出版社2017版,第58页。
在此基础上,进一步关注数据治理规则的博弈,从双边合作到多边规则形塑再到单边制裁回潮三个层面审视当前数据规则的对垒。无论是通过GDPR建立相应的数据评估白名单还是与美国达成《安全港协议》和《隐私盾协议》,都显现出其对数据跨境流动的重视,并希望通过建立适度的数据审查模式来弥补本地主义的缺陷。
【注释】 [1] 参见习近平:《坚持可持续发展共创繁荣美好世界》,载《人民日报》2019年6月8日,第2版。同时,相关协议的内容也凸显出美国对本地主义的让步,在追求数据商业利益的同时充分尊重了欧盟对数据人权的尊重。
[34] 参见冯硕:《个人信息跨境监管背景下在线纠纷解决方式的发展困境与出路——以软法为路径》,载《国际经济法学刊》2019年第4期,第58页。一方面,GDPR第3条改变了《指令》所规定的法律仅适用于欧盟境内的原则,通过效果标准强调相关行为只要影响到欧盟数据安全,便会被GDPR所规制。
发表评论