盘点：数据跨境流通国际攻防战

　　从进攻角度看，核心在于加强境外数据的获取，美国的《澄清域外合法使用数据法案》（Clarify Lawful Overseas Use of Data）和欧盟《涉刑事电子证据生成和存留命令条例（建议稿）》（Proposal for a Regulation on European Production and Preservation Orders for Electronic Evidence in Criminal Matters）均以此为核心。数据跨境流通中的进攻策略主要包括以下三个方面。第一是强化企业的配合执法义务，从以往公对公的数据流通模式转变为直接针对企业本身的模式。第二是弱化程序性限制，特别表现为强烈的去司法化和强行政化特征。第三是加强数据获取方对流通过程的控制，即以企业配合为原则，辅之以特殊情形下与第三国的沟通机制。

　　从防守角度看，核心在于限制境内数据的出境，GDPR和欧盟《有权机关为刑事犯罪预防、侦查、起诉、刑罚执行处理个人数据中的自然人保护指令》（Directive on the Protection of Natural Persons with Regard to the Processing of Personal Data by Competent Authorities for the Purposes of the Prevention, Investigation, Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties），即《2016/680指令》，即承担该任务。数据防守相关策略的核心在于制造权益冲突，具体表现为两套思路。第一套思路是强化本国监管，主要表现为对于数据属地的强制性规定，以及对于数据安全的评估和审查，该思路的运行结果是形成数据监管层面“权力——权力”冲突。第二套思路是强化基本权利保护，主要表现为加强数据主体对于个人信息的控制和司法救济，同时强化企业的数据保护义务，该思路运行的结果是形成数据保护层面“权力——权利”冲突。

　　（三）GDPR为代表的欧盟数据攻防机制

　　GDPR对于国际数据跨境流通秩序的影响必须放置在欧盟整体数据策略之下进行分析。这主要包括两个方面的含义。

　　首先，对于GDPR的影响分析需要结合欧盟其他相关立法活动。GDPR仅涉及欧盟数据攻防策略的一小部分，对于基于公共利益和刑事司法等方面考量的数据流通需求，在防守的层面有与GDPR同期制定的《2016/680指令》，在进攻层面有《涉刑事电子证据生成和存留命令条例（建议稿）》，这些立法活动彼此相互配合、补充，共同构成欧盟的数据攻防法律体系。

　　其次，对于GDPR的影响分析还需要结合相关判例。包括欧洲人权法院（European Court of Human Rights，ECtHR）和欧洲法院（European Court of Justice，ECJ）等在内作出的司法裁判不仅会直接涉及GDPR相关条文，还会通过对特定概念的解释影响GDPR的实际应用效力。例如欧洲法院在2018年6月5日作出判决（第C-210/16号判决），就认定在Facebook上创建粉丝页面（fan page）的企业在获取用户数据的问题上同属于“数据控制者”。尽管ECJ的判决针对的是1995年《指令》，但是鉴于GDPR照搬了1995年《指令》关于“控制人”（controller）的定义，该判决将同样影响GDPR的适用，进而意味着未来可能面临违规风险的不仅仅是网信企业，还可能涉及普通企业。

　　结合以上两点，可以看到，GDPR不仅仅是欧盟个人信息保护规则体系的组成部分，还是当前各国或各区域数据主权争议的集中映射。从这个角度讲，不应仅将GDPR理解为一部私权保护法，而是需要关注到其在制造“权力—权利”冲突方面的重要作用，这种冲突形成欧盟对于数据出境的重要保护屏障，特别是考虑到充分性认定的相关规定，第三国的权利保护水平也会成为欧盟数据跨境流通中的防守机制的组成部分。

　　三、数据跨境流通攻防的中国应对

　　面对以GDPR为代表的欧盟数据攻防策略，中国从维护本国数据主权和数据安全的角度出发，需要及时作出回应。这种回应需要考虑到中国与欧盟的业态差异，即欧盟主要作为信息服务的需求方而非提供方，因此可以采用符合需求方利益的高个人信息保护水平，并以此为基点对外辐射欧盟的数据控制。但是，中国既是信息服务的需求方，同时随着几大互联网企业的领头发展，中国也是信息服务的主要提供方。这种双重身份意味着中国不可能采用欧盟的规则思路和体系，更意味着中国对于GDPR的回应不能仅仅是被动回应，还需要形成相应的主导国际规则制定的具体策略和步骤。

　　（一）数据攻防战略策略转变

　　当前中国的数据攻防策略即不清晰也不完整，其一表现为相关探讨主要放置在网络安全的语境之下，但是数据跨境流通问题已经远远超出该范围；其二表现为主要采用“权力—权力”冲突的防守模式，尚未有效将个人信息权纳入到攻防策略中来；其三表现为进攻规则不明确，主要依靠低层级规范和个案式运行机制予以实现，使中国在国际谈判过程中容易受到攻击。

　　结合以上三点，中国要有效应对欧盟包括GDPR在内的一系列数据跨境策略，首先需要整合当前数据治理活动，明确不同政策和立法在数据攻防上的分工和配合。其次，需要强调数据治理方式的多元化，贯通政策导向、行政执法、司法救济。再次，充分调动和发挥非政府组织、研究机构、产业团体、行业协会在促进数据国际标准和策略制定过程中的作用。

　　（二）数据攻防立法思路调整

　　首先，转变以数据地理位置为管辖划定主要标准的立法思路。当前立法仍然多以地域为管辖依据，例如《网络安全法》适用于“境内建设、运营、维护和使用网络，以及网络安全的监督管理”，缺乏对域外关键信息处理能力和安全情况评估，以及数据出境后的全程评估。该思路本身即会形成中国域外执法的自我限制。

　　其次，强化个人信息保护在数据防守层面的功能。个人信息相关权利不仅仅可以对抗网信企业，还可以有效对抗域外执法活动。需要注意的是，由于权利的对抗属性依托于其普遍适用，因此这种强化不可避免地可能产生本国内部“权力—权利冲突”，需要立法者进行进一步权衡。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!