盡管網(wǎng)絡(luò)信息技術(shù)不斷促進(jìn)全球各地互通互聯(lián),但各國(guó)或地區(qū)不但沒(méi)有放棄地域維度的管控思路,數(shù)據(jù)治理的地域化反而借由數(shù)據(jù)本地化等立法有所強(qiáng)化。
一、各國(guó)或地區(qū)關(guān)于數(shù)據(jù)本地化立法現(xiàn)狀
關(guān)于何為數(shù)據(jù)本地化,目前存在多種定義。從廣義上理解,數(shù)據(jù)本地化可以視為任何對(duì)數(shù)據(jù)跨境流動(dòng)加以限制的制度。全球互聯(lián)網(wǎng)治理委員會(huì)(Global Commission on InternetGovernance)在其 2015 年的報(bào)告《數(shù)據(jù)本地化規(guī)則對(duì)金融服務(wù)的影響》(Addressing the Impact of Data Location Regulation inFinancial Services)中,將數(shù)據(jù)本地化概括為四種類(lèi)型:一是數(shù)據(jù)出境的地域限制,即要求數(shù)據(jù)必須于某一國(guó)家或區(qū)域境內(nèi)存儲(chǔ)和處理;二是數(shù)據(jù)位置的地域限制,即允許數(shù)據(jù)副本出境處理,但在本國(guó)或本區(qū)域內(nèi)必須存有副本;三是基于許可制的數(shù)據(jù)出境限制,即要求數(shù)據(jù)出境需經(jīng)有權(quán)機(jī)關(guān)許可;四是基于標(biāo)準(zhǔn)體系的數(shù)據(jù)出境限制,即要求數(shù)據(jù)出境必須采取標(biāo)準(zhǔn)化的步驟以確保數(shù)據(jù)安全和隱私保護(hù)。其中,前兩種類(lèi)型會(huì)直接限制數(shù)據(jù)跨境流動(dòng),是當(dāng)前世界數(shù)據(jù)本地化立法的主要類(lèi)型。
無(wú)論是以上何種類(lèi)型,均包含對(duì)數(shù)據(jù)出境的限制。經(jīng)濟(jì)合作與發(fā)展組織(OECD)在其 2019 年的調(diào)查報(bào)告《貿(mào)易與跨境數(shù)據(jù)流動(dòng)》(Trade and Cross-Border Data Flows)中,將數(shù)據(jù)跨境流動(dòng)的管制強(qiáng)度由弱到強(qiáng)分為四個(gè)層級(jí):第一層級(jí)是對(duì)數(shù)據(jù)跨境流動(dòng)不設(shè)任何法律限制,該層級(jí)多出現(xiàn)于最不發(fā)達(dá)國(guó)家;第二層級(jí)是不對(duì)數(shù)據(jù)跨境做事前限制,但設(shè)置事后審查和追責(zé)機(jī)制;第三層級(jí)是規(guī)定數(shù)據(jù)出境條件和情形,并對(duì)數(shù)據(jù)接收國(guó)設(shè)置資質(zhì)限制,例如歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)采用的就是這種思路;第四層級(jí)是最高限制層級(jí),即數(shù)據(jù)能否跨境流動(dòng)需要經(jīng)過(guò)個(gè)案審查。
各國(guó)或地區(qū)要求本地化的數(shù)據(jù)類(lèi)型,大致可以分為兩類(lèi):一類(lèi)針對(duì)公民個(gè)人信息,例如澳大利亞《由個(gè)人控制的電子健康記錄法》(PCEHR Act)針對(duì)公民健康類(lèi)數(shù)據(jù),而俄羅斯和馬來(lái)西亞則要求存儲(chǔ)本國(guó)公民的各類(lèi)個(gè)人數(shù)據(jù);另一類(lèi)則涉及非個(gè)人數(shù)據(jù),例如德國(guó)《電子通信法》(TKG)對(duì)原始數(shù)據(jù)的本地存儲(chǔ)進(jìn)行規(guī)定,印度《國(guó)家數(shù)據(jù)分享和準(zhǔn)入政策》(NDSAP)則要求所有通過(guò)使用公共基金收集的數(shù)據(jù)均存儲(chǔ)于本國(guó)境內(nèi),而我國(guó)《網(wǎng)絡(luò)安全法》基于保障網(wǎng)絡(luò)數(shù)據(jù)安全的考量,明確要求在境內(nèi)存儲(chǔ)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”。
除本地化存儲(chǔ)要求外,各國(guó)的一些配套措施也在不同程度上推進(jìn)數(shù)據(jù)本地化,例如越南的《互聯(lián)網(wǎng)服務(wù)和在線(xiàn)信息管理、提供和使用條例》(Decreeon the Management,Provision and Use of InternetServices and Online Information)要求信息收集網(wǎng)站、社交網(wǎng)站、移動(dòng)通信網(wǎng)絡(luò)服務(wù)提供者、在線(xiàn)游戲服務(wù)提供者等,至少將一個(gè)服務(wù)器設(shè)置在越南境內(nèi);法國(guó)也曾建議對(duì)收集、管理和商業(yè)應(yīng)用本國(guó)境內(nèi)人員個(gè)人數(shù)據(jù)的行為征稅,其中,數(shù)據(jù)的異地存儲(chǔ)有可能因?yàn)椴煌耆弦?guī)而被征收更高的稅額。
數(shù)據(jù)跨境流動(dòng)的限制必然伴隨復(fù)雜的安全評(píng)估和審查程序。例如,根據(jù)歐盟 GDPR 規(guī)定,在向歐盟境外第三國(guó)傳輸數(shù)據(jù)時(shí)需要經(jīng)過(guò)兩個(gè)步驟的審查:其一是數(shù)據(jù)傳輸行為本身是否有合法授權(quán)和依據(jù);其二是數(shù)據(jù)接收國(guó)是否符合歐盟委員會(huì)的相關(guān)安全性要求。我國(guó)于 2019 年頒布的《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》也有類(lèi)似機(jī)制,要求將需要進(jìn)行出境前安全評(píng)估的個(gè)人信息擴(kuò)展至各類(lèi)網(wǎng)絡(luò)運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)過(guò)程中收集的信息,而不僅限于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。該征求意見(jiàn)稿一方面明確禁止特定情形下的個(gè)人信息出境,另一方面則搭建起個(gè)人信息安全評(píng)估出境的一般性流程。
類(lèi)似的安全評(píng)估和風(fēng)險(xiǎn)評(píng)估要求同樣體現(xiàn)在我國(guó)的《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》中。2021 年 4 月的《數(shù)據(jù)安全法(草案)》二次審議稿要求建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查;同時(shí),重要數(shù)據(jù)處理者應(yīng)當(dāng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告;此外,境外司法或執(zhí)法機(jī)構(gòu)要求調(diào)取中國(guó)境內(nèi)數(shù)據(jù)時(shí),非經(jīng)中國(guó)主管機(jī)關(guān)批準(zhǔn),不得提供。2021 年 4 月的《個(gè)人信息保護(hù)法(草案二次審議稿)》第三章,從跨境數(shù)據(jù)流動(dòng)角度規(guī)定了個(gè)人信息保護(hù)相關(guān)規(guī)則,重申了《網(wǎng)絡(luò)安全法》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者處理個(gè)人信息的境內(nèi)存儲(chǔ)規(guī)則,亦對(duì)其本地化要求進(jìn)行了擴(kuò)充,即將境內(nèi)存儲(chǔ)要求擴(kuò)展至處理個(gè)人信息達(dá)到國(guó)家規(guī)定數(shù)量的其他個(gè)人信息處理者;同時(shí),第三章也就其他情形下的個(gè)人信息出境設(shè)置了限制性條件;此外,國(guó)家機(jī)關(guān)處理的個(gè)人信息原則上也應(yīng)當(dāng)在中國(guó)境內(nèi)存儲(chǔ)。這些規(guī)定總體上呈現(xiàn)出以強(qiáng)化數(shù)據(jù)本地化來(lái)提升數(shù)據(jù)控制和保護(hù)的立法思路。
二、數(shù)據(jù)本地化的立法動(dòng)因與挑戰(zhàn)
數(shù)據(jù)本地化這種強(qiáng)調(diào)數(shù)據(jù)地域?qū)傩缘淖龇ǎ从趪?guó)家主權(quán)、數(shù)據(jù)安全、個(gè)人信息保護(hù)等多種因素。根據(jù)經(jīng)合組織于 2020 年發(fā)布的報(bào)告《數(shù)據(jù)本地化趨勢(shì)和挑戰(zhàn):基于隱私指南的考量》(DataLocalization Trends and Challenges:Considerationsfor the Review of the Privacy Guidelines),數(shù)據(jù)本地化的立法動(dòng)因主要集中在九個(gè)方面:一是保障網(wǎng)絡(luò)安全;二是防范外國(guó)網(wǎng)絡(luò)間諜;三是協(xié)助執(zhí)法機(jī)關(guān)和國(guó)家安全機(jī)關(guān)獲取數(shù)據(jù);四是減少網(wǎng)絡(luò)犯罪并服務(wù)于其偵查;五是保護(hù)個(gè)人數(shù)據(jù);六是提升網(wǎng)絡(luò)事件響應(yīng)能力;七是形成地緣政治優(yōu)勢(shì);八是確保政府獲取特定類(lèi)型數(shù)據(jù);九是形成經(jīng)濟(jì)競(jìng)爭(zhēng)優(yōu)勢(shì)。
盡管存在上述動(dòng)因,但需要注意到的是,數(shù)據(jù)本地化與全球信息網(wǎng)絡(luò)化大潮之間仍然存在兼容問(wèn)題。
首先,數(shù)據(jù)本地化與互聯(lián)網(wǎng)基本架構(gòu)和新興信息技術(shù)之間存在技術(shù)沖突。在信息網(wǎng)絡(luò)技術(shù)的支撐下,數(shù)據(jù)本身呈現(xiàn)出去地域化的特征,數(shù)據(jù)的全球高速流動(dòng)和分散存儲(chǔ)是現(xiàn)代互聯(lián)網(wǎng)的內(nèi)在屬性,云計(jì)算正是這一屬性的典型例證。數(shù)據(jù)存儲(chǔ)于何地,以何種方式存儲(chǔ),是以數(shù)據(jù)高效流動(dòng)和使用為決定因素,這與當(dāng)前各國(guó)數(shù)據(jù)本地化立法的出發(fā)點(diǎn)存在分歧。從這個(gè)角度看,數(shù)據(jù)本地化也不可避免地與數(shù)字經(jīng)濟(jì)發(fā)展產(chǎn)生沖突。
其次,數(shù)據(jù)本地化可能造成不同地域之間新的法律沖突。不同國(guó)家和地區(qū)對(duì)本地化的數(shù)據(jù)類(lèi)型和范圍要求不盡相同,對(duì)數(shù)據(jù)的分類(lèi)也存在較大差異,這種差異將直接反映在網(wǎng)絡(luò)信息業(yè)者的合規(guī)義務(wù)以及可能由此產(chǎn)生的合規(guī)沖突之上。應(yīng)對(duì)合規(guī)要求以及化解合規(guī)沖突需要網(wǎng)絡(luò)信息企業(yè)建立起相應(yīng)的內(nèi)部合規(guī)機(jī)制,而該機(jī)制的有效運(yùn)行又依賴(lài)于相應(yīng)的專(zhuān)業(yè)人員和技術(shù)支撐,此時(shí),合規(guī)義務(wù)不可避免地會(huì)轉(zhuǎn)化為企業(yè)的合規(guī)成本,從而加重企業(yè)的運(yùn)營(yíng)負(fù)擔(dān)。考慮到網(wǎng)絡(luò)信息業(yè)者自身經(jīng)營(yíng)能力差異,這種合規(guī)負(fù)擔(dān)對(duì)于中小微互聯(lián)網(wǎng)企業(yè)發(fā)展的影響尤為嚴(yán)重。
再次,在數(shù)據(jù)全球分布和流動(dòng)成為網(wǎng)絡(luò)信息產(chǎn)業(yè)的基本要求和核心生命力的背景下,數(shù)據(jù)本地化制度不可避免地會(huì)提高網(wǎng)絡(luò)信息業(yè)者的經(jīng)營(yíng)成本,一方面體,現(xiàn)在網(wǎng)絡(luò)信息業(yè)者需要通過(guò)建立當(dāng)?shù)財(cái)?shù)據(jù)存儲(chǔ)中心以符合本地化要求,另一方面,也體現(xiàn)在可能形成新的數(shù)據(jù)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這些成本不可避免地會(huì)轉(zhuǎn)嫁至消費(fèi)者端,一定程度上可能迫使網(wǎng)絡(luò)信息業(yè)者避免在某些國(guó)家或地區(qū)開(kāi)展業(yè)務(wù),并可能進(jìn)一步阻礙新技術(shù)和新產(chǎn)品在全球范圍內(nèi)的擴(kuò)展。
最后,即便以強(qiáng)化數(shù)據(jù)治理為由,數(shù)據(jù)本地化亦有可能損及網(wǎng)絡(luò)空間治理的實(shí)際效能。以網(wǎng)絡(luò)犯罪為例,數(shù)據(jù)本地化的重要正當(dāng)性事由之一,在于強(qiáng)化本國(guó)偵查機(jī)關(guān)的數(shù)據(jù)取證能力,但該事由并非必然成立。一方面,數(shù)據(jù)本地化制度大多并非針對(duì)所有數(shù)據(jù),因此,無(wú)法確保與具體刑事案件證據(jù)材料需求相匹配。另一方面,犯罪分子通常會(huì)采取多種方式,利用刑事訴訟的地域管轄權(quán)限制,將相關(guān)數(shù)據(jù)轉(zhuǎn)移至境外,從而人為造成取證困難。更重要的是,在跨境數(shù)據(jù)取證需求普遍化的當(dāng)下,數(shù)據(jù)本地化制度對(duì)他國(guó)取證形成的限制會(huì)借由對(duì)等和互惠原則傳遞至本國(guó),反噬本國(guó)偵查機(jī)關(guān)的跨境取證能力。
數(shù)據(jù)本地化所呈現(xiàn)出的多重弊端也反映在一些國(guó)家或地區(qū)對(duì)該制度的猶疑搖擺態(tài)度之上。以歐盟為例,歐盟曾于 2013 年提出強(qiáng)化對(duì)云計(jì)算的管理,對(duì)歐盟境內(nèi)的數(shù)據(jù)出境設(shè)置更高的門(mén)檻,并重新審視歐盟與美國(guó)之間關(guān)于數(shù)據(jù)跨境流動(dòng)的“安全港”規(guī)則。歐洲法院在 2020 年的施雷姆斯二號(hào)案(Schrems II)中,進(jìn)一步宣布隱私盾協(xié)議無(wú)效。
然而,促進(jìn)形成單一數(shù)據(jù)市場(chǎng)又是歐盟的一貫?zāi)繕?biāo)。在其 2018 年 6 月形成的歐美內(nèi)部政治協(xié)議中,歐盟單一數(shù)字市場(chǎng)副主席安德魯斯·安西普(AndrusAnsip)明確表示,“數(shù)據(jù)本地化是典型的保護(hù)主義,它與單一市場(chǎng)不相兼容。在實(shí)現(xiàn)人員、貨物、服務(wù)和資金自由流動(dòng)后,通過(guò)此項(xiàng)協(xié)議支持非個(gè)人數(shù)據(jù)的自由流動(dòng),以促進(jìn)技術(shù)和商業(yè)模式創(chuàng)新。”在此背景下,2018 年《歐盟非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例 》(Regulation on A Framework for the Free Flowof Non-Personal Data in the European Union),明確要求除非基于公共安全考量,否則禁止針對(duì)非個(gè)人數(shù)據(jù)的本地化要求。
三、數(shù)據(jù)本地化立法的發(fā)展趨勢(shì)
從當(dāng)前世界主要國(guó)家和地區(qū)的數(shù)據(jù)政策和立法發(fā)展?fàn)顩r看,以數(shù)據(jù)本地化為代表的網(wǎng)絡(luò)和數(shù)據(jù)的地域性分割趨勢(shì)非但不會(huì)削弱,反而可能在復(fù)雜的國(guó)際形勢(shì)下被進(jìn)一步強(qiáng)化。同時(shí),不同國(guó)家或地區(qū)對(duì)數(shù)據(jù)本地化的態(tài)度往往與所涉視角緊密相關(guān):一方面,針對(duì)商業(yè)貿(mào)易和網(wǎng)絡(luò)信息產(chǎn)業(yè)發(fā)展而言,去本地化要求是較為普遍的觀點(diǎn),例如,于 2020 年7 月生效的《美墨加三國(guó)協(xié)議》(USMCA)也從促進(jìn)區(qū)域貿(mào)易的角度,對(duì)數(shù)據(jù)本地化持否定態(tài)度;另一方面,從數(shù)據(jù)主權(quán)、國(guó)家和公共安全以及個(gè)人信息保護(hù)角度看,加強(qiáng)本地化要求又成為重要手段之一,例如,歐盟 GDPR 即反映出此類(lèi)思路。但是,這些方面的考量因素并非彼此獨(dú)立,而是在網(wǎng)絡(luò)信息時(shí)代相互交織,共同作用于各個(gè)領(lǐng)域的網(wǎng)絡(luò)和數(shù)據(jù)治理規(guī)則。
在互聯(lián)互通的網(wǎng)絡(luò)全球化時(shí)代,建構(gòu)開(kāi)放、包容的命運(yùn)共同體更為關(guān)鍵,如何在尊重國(guó)家主權(quán)和保障公民基本權(quán)利的前提下,推動(dòng)網(wǎng)絡(luò)空間國(guó)際治理整體能力的提升,促進(jìn)數(shù)據(jù)資源發(fā)揮最大效能,是網(wǎng)絡(luò)信息時(shí)代提出的重大命題。
圍繞數(shù)據(jù)本地化的立法爭(zhēng)議正是這一重大命題的集中體現(xiàn)?;庠摖?zhēng)議、最大限度推動(dòng)國(guó)際共識(shí)和規(guī)范的形成,需要建立在數(shù)據(jù)跨境流動(dòng)的場(chǎng)景化的基礎(chǔ)之上,針對(duì)不同類(lèi)型的數(shù)據(jù)在不同場(chǎng)景下的流動(dòng)特征,設(shè)置不同層級(jí)的跨境傳輸限制規(guī)則。
首先,在網(wǎng)絡(luò)空間治理層面,需要正視數(shù)據(jù)本地化制度對(duì)數(shù)據(jù)跨境流動(dòng)在客觀上造成的阻礙。從網(wǎng)絡(luò)信息技術(shù)發(fā)展的內(nèi)在屬性出發(fā),立法者應(yīng)當(dāng)以推動(dòng)數(shù)據(jù)合理、高效流動(dòng)為基本原則,數(shù)據(jù)本地化規(guī)則作為例外情形適用。這一原則需要國(guó)際層面的共同推動(dòng),促進(jìn)本地化基本原則和規(guī)則體系國(guó)際共識(shí)的形成。
其次,在需要適用本地化數(shù)據(jù)治理的情形下,應(yīng)當(dāng)進(jìn)一步區(qū)分不同場(chǎng)景,其核心在于,一方面,就不同場(chǎng)景背后所保護(hù)的具體權(quán)益進(jìn)行分類(lèi)、分層,另一方面,對(duì)該場(chǎng)景下數(shù)據(jù)跨境的具體特征加以明晰。特別是需要區(qū)分商業(yè)場(chǎng)景與社會(huì)公共治理場(chǎng)景,以及區(qū)分?jǐn)?shù)據(jù)跨境傳輸?shù)某B(tài)化場(chǎng)景和個(gè)案化場(chǎng)景。
再次,在區(qū)分?jǐn)?shù)據(jù)本地化適用場(chǎng)景的前提下,應(yīng)當(dāng)就本地化措施本身進(jìn)行細(xì)化和階層化,避免一刀切式地采用最為嚴(yán)格的出境限制。具體而言,這種階層化包含以下兩個(gè)層面的含義:一是就本地化規(guī)則區(qū)分嚴(yán)格境內(nèi)存儲(chǔ)、副本境內(nèi)存儲(chǔ)等不同層級(jí);二是就數(shù)據(jù)出境規(guī)則設(shè)置審批制、備案制、標(biāo)準(zhǔn)制等不同層級(jí)。這意味著,一方面,需要針對(duì)特定場(chǎng)景下特定本地化層級(jí)的立法設(shè)置依據(jù)比例原則進(jìn)行評(píng)估,另一方面,需要針對(duì)具體的數(shù)據(jù)跨境活動(dòng)建立起數(shù)據(jù)出境的個(gè)案影響評(píng)估機(jī)制。
最后,數(shù)據(jù)本地化規(guī)則不能脫離數(shù)據(jù)治理體系單獨(dú)建設(shè),需要將本地化要求放置在網(wǎng)絡(luò)空間治理的整體框架下,將數(shù)據(jù)本地化要求與網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)、網(wǎng)絡(luò)空間管轄權(quán)等相關(guān)領(lǐng)域立法相配合,突破部門(mén)法的分割視野,形成數(shù)據(jù)治理領(lǐng)域法的協(xié)同建設(shè)。