个人数据跨境传输限制及其解决方案.docx

??

?

??

个人数据跨境传输限制及其解决方案

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

张继红

内容摘要：商事交易的国际化使得个人数据跨境传输日趋频繁，而各国立法规则及执法体制差异性较大，以欧盟为代表的数据本地化政策严格限制个人数据的跨境传输，与数据贸易全球化趋势存在内在冲突。如何协调个人数据跨境传输与个人数据保护之间的矛盾，成为亟待解决的现实问题。随着《安全港协议》的失效，欧美开启新一轮谈判，并于2016年达成“隐私盾协议”，从内容上更多体现了欧盟数据保护法制的最新成果。在跨境数据传输领域，欧盟采用单边保护措施，推定其所信奉的数据保护价值理念，具有较强的对立性，难以实现理想效果；双边协议则可在短期内调和两国之间的矛盾；但从长远看，个人数据跨境传输本质上具有全球化属性，需要多个国家及地区共同参与并达成多边协议才能提供根本性解决方案。

关键词：跨境传输个人数据保护隐私盾协议安全港协定

商事交易的国际化使得个人信息跨境传输变得愈加頻繁，数以千万计的个人数据通过网络在全世界传输，以完成各种交易或管理行为。例如，美国企业TRWInformationServices（消费者信用信息收集机构）与日本信用组织签署协议，允许相互利用对方的数据库，以核查居住在本国的对方侨民的信用记录。〔1〕为了降低高昂的劳动成本、节约资源，一些企业还会把部分工作外包给其他国家的机构，将包括身份证、信用记录、税务、保险等个人数据跨国转移至一些人工成本相对较低的热门地区，如印度、菲律宾等国。这种境外安排将工作拆分为数个能够有效管理的部分，使企业能够将有限资源集中在核心领域，可大大提升其市场竞争力。〔2〕

大数据、云计算、互联网等科技手段的广泛应用，使得数据处理和传输愈加便捷，但也增加了监控和管理的难度。个人数据可能在A地收集、B地处理、C地储存、D地使用，跨境因素的介入使得个人数据保护问题变得更加错综复杂。一些大型跨国企业的服务外包业务（特别是外包机构位于个人数据保护水平较差地区），使得数据安全问题愈加严峻。〔3〕而作为执法部门的数据监管机构却因为涉及境外个人数据控制者或处理者，其调查及制裁程序难以开展及执行。如何在大数据、云计算等新技术背景下促进个人数据的跨境流动并确保安全，有效协调各国数据保护法制的差异性，是一个亟待解决的现实问题。

一、跨境数据流动政策的矛盾与冲突：数据本地化与数据自由化

（一）跨境数据传输限制：数据本地化

针对跨境数据传输问题，为了实现对本国公民个人数据的保护，很多国家及地区都在某种程度上追求数据收集、存储和利用本地化，限制或禁止数据的跨境流动。这里，数据跨境传输的限制形式有所差异，有些要求数据输入地区达到“充分保护”标准，有些则对受益方施加特定要求如履行合同义务、取得同意或附加其他条件等。

第一类，严格限制数据跨境传输的国家及地区，以欧盟最为典型。1995年《个人数据保护指令》（以下简称《欧盟指令》）就数据跨境流动问题进行了专门规定，确立了“充分保护原则”。〔4〕如果查明第三国未能提供其所要求的“充分保护”时，成员国应当采取必要措施以阻止任何相同类型的数据向第三国传输。〔5〕受其影响，欧洲主要国家如法国、德国、瑞典、西班牙、荷兰、比利时、奥地利、冰岛、匈牙利、瑞士等都采用严格限制跨境数据传输的立法模式。2016年《通用数据保护条例》（以下简称GDPR）替代了《欧盟指令》，进一步扩大了条例的域外管辖权，明确规定GDPR对在欧盟境外处理个人数据的行为也具有适用效力。尽管欧盟指令也宣示其域外效力，但其从未明确说明拥有超欧盟区域的域外管辖效力。〔6〕这次对指令的修改，再次强调欧盟不允许将其公民的个人数据转移至那些不能提供充分保护的地区或国家，充分表明了欧盟希望通过立法的不断完善以保障欧盟整体数据保护水平。〔7〕

当然，该模式亦会提供一些例外情形，类似《欧盟指令》第26条规定，如获得数据主体的明确同意，基于当事人的利益而履行合同、采用标准合同条款、维护重大公共利益等。然而，实践中数据监管机构通常会对上述例外作狭义解释，以严格限制其适用，从而确保其本国或本区域公民的个人数据转移安全。

第二类，针对数据传输第三方施加义务和责任的国家，如加拿大、日本。相比较而言，此种模式对数据是经跨境传输、还是在国内转移至第三方并不作具体区分，而是适用统一规则。这里的“第三方”，包括附属机构、关联机构以及母公司等，而不论其所处地点在哪里。简言之，上述两国立法要求传输机构对于将数据传输至第三方应承担相应的个人数据保护之责，通常采用合同形式明确彼此之间的数据保护义务及责任。例如，位于加拿大的公司，如果将其所持有的个人数据转移至第三方，必须在合同中明确数据保护条款，以确保第三方机构能够提供同等水平的保护。

第三，取