《歐盟跨境數(shù)據(jù)流動(dòng)法律規(guī)制經(jīng)驗(yàn)探析綜述》3200字

歐盟跨境數(shù)據(jù)流動(dòng)法律規(guī)制經(jīng)驗(yàn)分析綜述—以人權(quán)保護(hù)為核心的統(tǒng)一立法模式1.1逐步實(shí)現(xiàn)歐盟數(shù)字單一市場(chǎng)戰(zhàn)略歐盟關(guān)于個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的立法體系主要由108號(hào)公約[[]全稱1981年《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》]、95指令[[][]全稱1981年《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》[]全稱1995年《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的第95/46/EC號(hào)指令》[]全稱2016年《通用數(shù)據(jù)保護(hù)條例》108號(hào)公約是歐洲首個(gè)針對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行規(guī)定的區(qū)域性法律文件，最初是為了減少歐洲內(nèi)部國(guó)內(nèi)法對(duì)數(shù)據(jù)流動(dòng)造成的障礙；出于適應(yīng)新形態(tài)的經(jīng)濟(jì)與社會(huì)發(fā)展需要，108號(hào)公約進(jìn)行了四次的修訂和補(bǔ)充，歷經(jīng)近四十年的演進(jìn)更新，公約完成了其“現(xiàn)代化”的過(guò)程，繼續(xù)推動(dòng)歐盟之外國(guó)家向歐盟數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)靠攏，實(shí)現(xiàn)歐盟為數(shù)據(jù)跨境設(shè)計(jì)的理想框架。現(xiàn)在的公約旨在確保處理個(gè)人數(shù)據(jù)過(guò)程中對(duì)個(gè)體給予適當(dāng)保護(hù)的同時(shí)，促進(jìn)數(shù)據(jù)不分國(guó)界實(shí)現(xiàn)自由流動(dòng)[[][]108號(hào)公約（2018年修訂版）第3章第14條詳細(xì)規(guī)定了個(gè)人數(shù)據(jù)跨境流動(dòng)的要求，原則上締約方不得僅為保護(hù)個(gè)人數(shù)據(jù)之目的在向另一締約方管轄下的接收方傳輸數(shù)據(jù)時(shí)設(shè)置禁止性或特別授權(quán)措施；如果接收方位于非公約締約方管轄之下，但滿足基于公約規(guī)定的確?！斑m當(dāng)水平保護(hù)”，也要確保數(shù)據(jù)能夠自由跨境傳輸。95指令的出臺(tái)以強(qiáng)制約束力的形式為歐盟成員國(guó)確立了較高的統(tǒng)一數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，在進(jìn)一步增強(qiáng)歐盟內(nèi)部數(shù)據(jù)流動(dòng)性的基礎(chǔ)上，提出了著名的“充分性保護(hù)原則”，開始限制向歐盟區(qū)域外傳輸數(shù)據(jù)的行為，同時(shí)規(guī)定不具備“充分保護(hù)水平”的地區(qū)僅在提供充分保障且滿足數(shù)據(jù)主體明確表示同意、保護(hù)重大公共利益等例外情況下，個(gè)人數(shù)據(jù)才能向“第三國(guó)”傳輸。由此，歐盟以“地理區(qū)域?yàn)榛鶞?zhǔn)”的跨境數(shù)據(jù)流動(dòng)治理途徑初具雛形。隨著歐盟數(shù)字單一市場(chǎng)戰(zhàn)略的啟動(dòng)，解決數(shù)據(jù)保護(hù)立法碎片化問(wèn)題、統(tǒng)一數(shù)字立法成為了關(guān)鍵著力點(diǎn)。2016年至2018年，歐盟先后通過(guò)GDPR和《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》（以下簡(jiǎn)稱《框架條例》）。GDPR通過(guò)在成員國(guó)層面的直接適用，一方面加強(qiáng)對(duì)個(gè)人數(shù)據(jù)的保護(hù)，另一方面則消除因歐盟各國(guó)數(shù)據(jù)保護(hù)的差異而對(duì)數(shù)據(jù)流動(dòng)造成的障礙，努力實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)自由流動(dòng)之間的平衡。《框架條例》致力于取消各成員國(guó)對(duì)數(shù)據(jù)本地化的規(guī)定，阻止非公平的限制待遇影響數(shù)據(jù)在歐盟各地存儲(chǔ)和處理，使得成員國(guó)有權(quán)機(jī)關(guān)可以及時(shí)順利地調(diào)取數(shù)據(jù)，讓有需求的專業(yè)用戶自由遷移數(shù)據(jù)；它和GDPR形成了數(shù)據(jù)治理的一體化框架，實(shí)現(xiàn)了個(gè)人數(shù)據(jù)保護(hù)、數(shù)據(jù)利用安全和數(shù)字經(jīng)濟(jì)之間的平衡發(fā)展。2019年，歐盟又通過(guò)了《非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例指南》（以下簡(jiǎn)稱《條例指南》），旨在幫助以中小企業(yè)為主體的用戶厘清遇到由個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)的組成的混合數(shù)據(jù)集時(shí)，上述兩個(gè)條例之間的適用關(guān)系，闡明在處理個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)時(shí)適用的規(guī)則，同時(shí)明確了數(shù)據(jù)領(lǐng)域各市場(chǎng)參與主體的自我監(jiān)管義務(wù)。2020年2月，《歐洲數(shù)據(jù)戰(zhàn)略》的發(fā)布更體現(xiàn)了歐盟希望促進(jìn)尚未被有效利用的數(shù)據(jù)在歐盟境內(nèi)以及各行業(yè)之間充分自由流動(dòng)從而構(gòu)建數(shù)字單一市場(chǎng)的決心?？傮w來(lái)看，在規(guī)制框架上，從108號(hào)公約、95指令到GDPR，這三個(gè)標(biāo)志性文件具有鮮明的代際關(guān)系，內(nèi)部個(gè)人數(shù)據(jù)流動(dòng)障礙在逐漸減少，與之對(duì)應(yīng)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和外部條款適用范圍在不斷提升和擴(kuò)大，加強(qiáng)了內(nèi)外溝通，也提高了數(shù)據(jù)保護(hù)水平[[][]楊希.歐盟個(gè)人數(shù)據(jù)保護(hù)體系的代際發(fā)展及借鑒——內(nèi)部規(guī)制與外部擴(kuò)展的典范[J].國(guó)際商務(wù)(對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)學(xué)報(bào)),2019(05):145-156.1.2確立不同場(chǎng)景下跨境數(shù)據(jù)流動(dòng)的多種方式在對(duì)待跨境數(shù)據(jù)流動(dòng)的問(wèn)題上，GDPR雖然繼承了95指令的規(guī)制模式，沒有做根本性修改，但它為跨境數(shù)據(jù)流動(dòng)引入了新的法律依據(jù)，在某些方面做出了重大改變。首先，新增可攜權(quán)這一數(shù)據(jù)權(quán)利[[]GDPR第20條對(duì)數(shù)據(jù)可攜權(quán)進(jìn)行了規(guī)定，它是指數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、常用和機(jī)器可讀的格式獲得其提供給控制者的有關(guān)他或她的個(gè)人數(shù)據(jù)，或在技術(shù)可行的情況下，有權(quán)無(wú)障礙地將此類數(shù)據(jù)從其提供給的控制者那里傳輸給另一個(gè)控制者。它由兩項(xiàng)相互獨(dú)立的請(qǐng)求權(quán)構(gòu)成，即（1）數(shù)據(jù)主體獲得個(gè)人數(shù)據(jù)的權(quán)利，和（2）要求數(shù)據(jù)控制者和處理者向其他主體提供個(gè)人數(shù)據(jù)的權(quán)利。前者是獲取個(gè)人數(shù)據(jù)副本的權(quán)利，后者是將數(shù)據(jù)從某一控制者直接傳輸?shù)搅硪豢刂普叩臋?quán)利。]，它的創(chuàng)新之處在于從數(shù)據(jù)主體視角設(shè)計(jì)數(shù)據(jù)流動(dòng)規(guī)則，讓用戶在自由遷移數(shù)據(jù)的體驗(yàn)中，得以和平臺(tái)分享其數(shù)據(jù)產(chǎn)生的價(jià)值，不至于被某一平臺(tái)鎖定。此權(quán)利促進(jìn)了數(shù)據(jù)在歐盟境內(nèi)的自由流通，但一定程度上也會(huì)使數(shù)據(jù)控制者間的競(jìng)爭(zhēng)加劇。[[][]GDPR第20條對(duì)數(shù)據(jù)可攜權(quán)進(jìn)行了規(guī)定，它是指數(shù)據(jù)主體有權(quán)以結(jié)構(gòu)化、常用和機(jī)器可讀的格式獲得其提供給控制者的有關(guān)他或她的個(gè)人數(shù)據(jù)，或在技術(shù)可行的情況下，有權(quán)無(wú)障礙地將此類數(shù)據(jù)從其提供給的控制者那里傳輸給另一個(gè)控制者。它由兩項(xiàng)相互獨(dú)立的請(qǐng)求權(quán)構(gòu)成，即（1）數(shù)據(jù)主體獲得個(gè)人數(shù)據(jù)的權(quán)利，和（2）要求數(shù)據(jù)控制者和處理者向其他主體提供個(gè)人數(shù)據(jù)的權(quán)利。前者是獲取個(gè)人數(shù)據(jù)副本的權(quán)利，后者是將數(shù)據(jù)從某一控制者直接傳輸?shù)搅硪豢刂普叩臋?quán)利。[]2017年4月，第29條工作組通過(guò)了最終版本的《數(shù)據(jù)可攜權(quán)指南》，以幫助數(shù)據(jù)控制者更清楚地了解自身義務(wù)和規(guī)范數(shù)據(jù)主體對(duì)此權(quán)利的行使。指南包括五部分內(nèi)容，對(duì)數(shù)據(jù)可攜權(quán)的要素、數(shù)據(jù)可攜權(quán)的適用條件、規(guī)范數(shù)據(jù)主體行使權(quán)力的一般規(guī)則如何適用于數(shù)據(jù)可攜權(quán)進(jìn)行了說(shuō)明，最后從安全性、便利性以及合法性等角度，對(duì)企業(yè)在提供可攜數(shù)據(jù)的技術(shù)手段和應(yīng)采用何種的數(shù)據(jù)格式給出了指導(dǎo)和參考意見。[]第3條1.本條例適用于在歐盟境內(nèi)設(shè)有商業(yè)存在的數(shù)據(jù)控制者或處理者進(jìn)行的對(duì)個(gè)人數(shù)據(jù)的處理行為，不論其處理行為是否發(fā)生在歐盟境內(nèi)；2.本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或處理者不在歐盟設(shè)立：（a）為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)——不論此項(xiàng)商品或服務(wù)是否要求數(shù)據(jù)主體支付對(duì)價(jià)；或（b）對(duì)發(fā)生在歐洲范圍內(nèi)的數(shù)據(jù)主體的活動(dòng)進(jìn)行監(jiān)控。3.本條例適用于在歐盟之外設(shè)立，但基于國(guó)際公法成員國(guó)的法律對(duì)其有管轄權(quán)的數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)處理。2019年11月，EDPB發(fā)布了GDPR地域適用的最終指南，對(duì)該條的具體適用標(biāo)準(zhǔn)進(jìn)行了明確。在歐盟范圍內(nèi)處理個(gè)人數(shù)據(jù)的企業(yè)或組織實(shí)施數(shù)據(jù)跨境流動(dòng)活動(dòng)，主要有三種合法方式：（1）獲得歐盟“充分決定”；（2）提供適當(dāng)保障措施；（3）特定情況下的例外規(guī)定。在第一種方式下，如果歐盟委員會(huì)認(rèn)定第三國(guó)、其境內(nèi)的地區(qū)、特定行業(yè)或國(guó)際組織，對(duì)個(gè)人數(shù)據(jù)提供了與歐盟“實(shí)質(zhì)上相當(dāng)”的充分保護(hù)水平，那么個(gè)人數(shù)據(jù)向上述地區(qū)的流動(dòng)無(wú)需進(jìn)一步的批準(zhǔn)或其他保障措施。這樣的要求事實(shí)上將歐盟對(duì)境內(nèi)數(shù)據(jù)所施加的控制投射至境外，確保個(gè)人對(duì)傳輸至境外的數(shù)據(jù)保持很強(qiáng)的控制能力。作為正面白名單機(jī)制，歐盟進(jìn)行充分性評(píng)估的依據(jù)是廣泛且嚴(yán)格的，從比較宏觀的法律保護(hù)水平和人權(quán)保護(hù)狀況，到具體的法律條文和數(shù)據(jù)保護(hù)機(jī)關(guān)（DPA）的執(zhí)法狀況，都在其評(píng)估范圍之內(nèi)，而且每四年還會(huì)進(jìn)行一次復(fù)核。目前僅有12個(gè)國(guó)家或地區(qū)通過(guò)了歐盟的認(rèn)定。[[][]包括安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭，2021年3月30日，歐委會(huì)宣布，歐盟與韓國(guó)之間的充分性認(rèn)定談判已經(jīng)完成，在正式做出充分性認(rèn)定之前，還需要?dú)W洲數(shù)據(jù)保護(hù)委員會(huì)的官方意見和歐盟成員國(guó)代表組成的委員會(huì)的正式批準(zhǔn)。如若未獲得充分性認(rèn)定，數(shù)據(jù)控制者或處理者只有在提供適當(dāng)保障措施，以及保障數(shù)據(jù)主體權(quán)利可強(qiáng)制執(zhí)行，和擁有對(duì)數(shù)據(jù)主體的有效法律補(bǔ)救措施的情況下，才可以將個(gè)人數(shù)據(jù)向外傳輸。保障措施可以通過(guò)以下方式來(lái)提供：約束性公司規(guī)則、已獲批準(zhǔn)的行為準(zhǔn)則或認(rèn)證機(jī)制、標(biāo)準(zhǔn)合同條款等。同時(shí)，還可以通過(guò)公共機(jī)構(gòu)間具有法律約束力和可強(qiáng)制執(zhí)行的文書，或得到主管監(jiān)管機(jī)構(gòu)的批準(zhǔn)，加入公共機(jī)構(gòu)間的行政安排中的規(guī)定來(lái)提供。如果上述兩種方式都未成功，那么僅在滿足：存在潛在風(fēng)險(xiǎn)但數(shù)據(jù)主體已明確同意、履行合同所必需、公共利益要求等七種條件之一時(shí)方可跨境傳輸數(shù)據(jù)。一般來(lái)說(shuō)，規(guī)模化的數(shù)據(jù)跨境流動(dòng)需要穩(wěn)定的合法性基礎(chǔ)，才能保證正常的經(jīng)貿(mào)活動(dòng)，但這些例外情形可適用的場(chǎng)景過(guò)少，不能形成日常所需的長(zhǎng)效通道，而“正面白名單”機(jī)制適用標(biāo)準(zhǔn)較高，并未得到足夠利用，因此充分保障措施機(jī)制仍是歐盟各國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)管理過(guò)程中最主要的著力點(diǎn)。不過(guò)，在歐盟理事會(huì)最新發(fā)布的《關(guān)于GDPR適用的立場(chǎng)與發(fā)現(xiàn)》報(bào)告中，歐盟吸收了比利時(shí)、德國(guó)等成員國(guó)提出的“通過(guò)充分性認(rèn)定的國(guó)家與地區(qū)數(shù)量偏少”的問(wèn)題，指出要繼續(xù)擴(kuò)充“白名單”，以進(jìn)一步擴(kuò)展可以合法自由流動(dòng)的區(qū)域與部門；對(duì)于“白名單”之外的其他合法流動(dòng)機(jī)制，歐盟也將發(fā)布更多的標(biāo)準(zhǔn)合同模板，以滿足不同類型的數(shù)據(jù)控制者和處理者的數(shù)據(jù)跨境流動(dòng)需求。1.3推進(jìn)犯罪數(shù)據(jù)的境外調(diào)取歐盟成員國(guó)之間電子數(shù)據(jù)的跨境存儲(chǔ)已是固定化現(xiàn)象，而在歐盟成員國(guó)之外，為打擊犯罪也迫切需要固定電子工具，查找犯罪線索，因此萌生了旺盛的數(shù)據(jù)調(diào)取需求。然而在眾多刑事案件中，歐盟成員國(guó)的調(diào)查取證需求未得到滿足和正視。雖然傳統(tǒng)“倒U型”的國(guó)際刑事司法協(xié)助有助于尊重他國(guó)主權(quán)，但由于其程序復(fù)雜、冗長(zhǎng)、緩慢且不利于程序參與者的權(quán)利保障，歐美開始著力構(gòu)建“一字型”直接取證程序，尤以執(zhí)法機(jī)構(gòu)與服務(wù)提供者直接合作最為常見[[]此外還包括請(qǐng)求國(guó)執(zhí)法機(jī)構(gòu)與被請(qǐng)求國(guó)的執(zhí)法機(jī)構(gòu)、數(shù)據(jù)權(quán)利人直接合作的取證程序。]，美國(guó)CLOUD法案就遵循了這一取證機(jī)制，執(zhí)法部門通過(guò)服務(wù)提供者這一橋梁便可輕松獲得存儲(chǔ)于境外的電子數(shù)據(jù)，實(shí)現(xiàn)本國(guó)特定的需求和利益。[]此外還包括請(qǐng)求國(guó)執(zhí)法機(jī)構(gòu)與被請(qǐng)求國(guó)的執(zhí)法機(jī)構(gòu)、數(shù)據(jù)權(quán)利人直接合作的取證程序。[]馮俊偉.跨境電子取證制度的發(fā)展與反思[J].法學(xué)雜志,2019,40(06):25-36.在美國(guó)的影響下，歐盟于2018年提出調(diào)取和保全刑事犯罪電子證據(jù)的提案，[[]該提案所涵蓋的電子證據(jù)包括用戶數(shù)據(jù)、訪問(wèn)數(shù)據(jù)、交易數(shù)據(jù)等非內(nèi)容數(shù)據(jù)以及內(nèi)容數(shù)據(jù)。一般而言，用戶數(shù)據(jù)和訪問(wèn)數(shù)據(jù)對(duì)于發(fā)現(xiàn)犯罪嫌疑人的身份非常重要；而交易數(shù)據(jù)和內(nèi)容數(shù)據(jù)更為可能具有證明價(jià)值。]，該提案要求，如果面向歐盟提供服務(wù)，服務(wù)提供者應(yīng)當(dāng)在歐盟境內(nèi)設(shè)立法定代表或安排企業(yè)實(shí)體，以接收調(diào)取和保全證據(jù)的法令[[]該提案所涵蓋的電子證據(jù)包括用戶數(shù)據(jù)、訪問(wèn)數(shù)據(jù)、交易數(shù)據(jù)等非內(nèi)容數(shù)據(jù)以及內(nèi)容數(shù)據(jù)。一般而言，用戶數(shù)據(jù)和訪問(wèn)數(shù)據(jù)對(duì)于發(fā)現(xiàn)犯罪嫌疑人的身份非常重要；而交易數(shù)據(jù)和內(nèi)容數(shù)據(jù)更為可能具有證明價(jià)值。[]根據(jù)草案，針對(duì)所有刑事犯罪，均可以簽發(fā)用戶數(shù)據(jù)或訪問(wèn)數(shù)據(jù)的歐洲數(shù)據(jù)調(diào)取令（第5條第3款），而只有在滿足第5條第4款規(guī)定的犯罪時(shí)才能簽發(fā)交易數(shù)據(jù)或內(nèi)容數(shù)據(jù)的歐盟數(shù)據(jù)調(diào)取令。同時(shí)，為了防止在司法協(xié)作場(chǎng)合下相關(guān)數(shù)據(jù)的移除、刪除和更改，針對(duì)