《歐盟跨境數據流動法律規(guī)制經驗探析綜述》3200字

歐盟跨境數據流動法律規(guī)制經驗分析綜述—以人權保護為核心的統一立法模式1.1逐步實現歐盟數字單一市場戰(zhàn)略歐盟關于個人數據跨境流動規(guī)制的立法體系主要由108號公約[[]全稱1981年《有關個人數據自動化處理的個人保護公約》]、95指令[[][]全稱1981年《有關個人數據自動化處理的個人保護公約》[]全稱1995年《關于涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》[]全稱2016年《通用數據保護條例》108號公約是歐洲首個針對數據跨境流動進行規(guī)定的區(qū)域性法律文件，最初是為了減少歐洲內部國內法對數據流動造成的障礙；出于適應新形態(tài)的經濟與社會發(fā)展需要，108號公約進行了四次的修訂和補充，歷經近四十年的演進更新，公約完成了其“現代化”的過程，繼續(xù)推動歐盟之外國家向歐盟數據保護標準靠攏，實現歐盟為數據跨境設計的理想框架?，F在的公約旨在確保處理個人數據過程中對個體給予適當保護的同時，促進數據不分國界實現自由流動[[][]108號公約（2018年修訂版）第3章第14條詳細規(guī)定了個人數據跨境流動的要求，原則上締約方不得僅為保護個人數據之目的在向另一締約方管轄下的接收方傳輸數據時設置禁止性或特別授權措施；如果接收方位于非公約締約方管轄之下，但滿足基于公約規(guī)定的確?！斑m當水平保護”，也要確保數據能夠自由跨境傳輸。95指令的出臺以強制約束力的形式為歐盟成員國確立了較高的統一數據保護標準，在進一步增強歐盟內部數據流動性的基礎上，提出了著名的“充分性保護原則”，開始限制向歐盟區(qū)域外傳輸數據的行為，同時規(guī)定不具備“充分保護水平”的地區(qū)僅在提供充分保障且滿足數據主體明確表示同意、保護重大公共利益等例外情況下，個人數據才能向“第三國”傳輸。由此，歐盟以“地理區(qū)域為基準”的跨境數據流動治理途徑初具雛形。隨著歐盟數字單一市場戰(zhàn)略的啟動，解決數據保護立法碎片化問題、統一數字立法成為了關鍵著力點。2016年至2018年，歐盟先后通過GDPR和《非個人數據在歐盟境內自由流動框架條例》（以下簡稱《框架條例》）。GDPR通過在成員國層面的直接適用，一方面加強對個人數據的保護，另一方面則消除因歐盟各國數據保護的差異而對數據流動造成的障礙，努力實現個人數據保護與數據自由流動之間的平衡?！犊蚣軛l例》致力于取消各成員國對數據本地化的規(guī)定，阻止非公平的限制待遇影響數據在歐盟各地存儲和處理，使得成員國有權機關可以及時順利地調取數據，讓有需求的專業(yè)用戶自由遷移數據；它和GDPR形成了數據治理的一體化框架，實現了個人數據保護、數據利用安全和數字經濟之間的平衡發(fā)展。2019年，歐盟又通過了《非個人數據自由流動框架條例指南》（以下簡稱《條例指南》），旨在幫助以中小企業(yè)為主體的用戶厘清遇到由個人數據和非個人數據的組成的混合數據集時，上述兩個條例之間的適用關系，闡明在處理個人數據和非個人數據時適用的規(guī)則，同時明確了數據領域各市場參與主體的自我監(jiān)管義務。2020年2月，《歐洲數據戰(zhàn)略》的發(fā)布更體現了歐盟希望促進尚未被有效利用的數據在歐盟境內以及各行業(yè)之間充分自由流動從而構建數字單一市場的決心?？傮w來看，在規(guī)制框架上，從108號公約、95指令到GDPR，這三個標志性文件具有鮮明的代際關系，內部個人數據流動障礙在逐漸減少，與之對應的數據保護標準和外部條款適用范圍在不斷提升和擴大，加強了內外溝通，也提高了數據保護水平[[][]楊希.歐盟個人數據保護體系的代際發(fā)展及借鑒——內部規(guī)制與外部擴展的典范[J].國際商務(對外經濟貿易大學學報),2019(05):145-156.1.2確立不同場景下跨境數據流動的多種方式在對待跨境數據流動的問題上，GDPR雖然繼承了95指令的規(guī)制模式，沒有做根本性修改，但它為跨境數據流動引入了新的法律依據，在某些方面做出了重大改變。首先，新增可攜權這一數據權利[[]GDPR第20條對數據可攜權進行了規(guī)定，它是指數據主體有權以結構化、常用和機器可讀的格式獲得其提供給控制者的有關他或她的個人數據，或在技術可行的情況下，有權無障礙地將此類數據從其提供給的控制者那里傳輸給另一個控制者。它由兩項相互獨立的請求權構成，即（1）數據主體獲得個人數據的權利，和（2）要求數據控制者和處理者向其他主體提供個人數據的權利。前者是獲取個人數據副本的權利，后者是將數據從某一控制者直接傳輸到另一控制者的權利。]，它的創(chuàng)新之處在于從數據主體視角設計數據流動規(guī)則，讓用戶在自由遷移數據的體驗中，得以和平臺分享其數據產生的價值，不至于被某一平臺鎖定。此權利促進了數據在歐盟境內的自由流通，但一定程度上也會使數據控制者間的競爭加劇。[[][]GDPR第20條對數據可攜權進行了規(guī)定，它是指數據主體有權以結構化、常用和機器可讀的格式獲得其提供給控制者的有關他或她的個人數據，或在技術可行的情況下，有權無障礙地將此類數據從其提供給的控制者那里傳輸給另一個控制者。它由兩項相互獨立的請求權構成，即（1）數據主體獲得個人數據的權利，和（2）要求數據控制者和處理者向其他主體提供個人數據的權利。前者是獲取個人數據副本的權利，后者是將數據從某一控制者直接傳輸到另一控制者的權利。[]2017年4月，第29條工作組通過了最終版本的《數據可攜權指南》，以幫助數據控制者更清楚地了解自身義務和規(guī)范數據主體對此權利的行使。指南包括五部分內容，對數據可攜權的要素、數據可攜權的適用條件、規(guī)范數據主體行使權力的一般規(guī)則如何適用于數據可攜權進行了說明，最后從安全性、便利性以及合法性等角度，對企業(yè)在提供可攜數據的技術手段和應采用何種的數據格式給出了指導和參考意見。[]第3條1.本條例適用于在歐盟境內設有商業(yè)存在的數據控制者或處理者進行的對個人數據的處理行為，不論其處理行為是否發(fā)生在歐盟境內；2.本條例適用于如下相關活動中的個人數據處理，即使數據控制者或處理者不在歐盟設立：（a）為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價；或（b）對發(fā)生在歐洲范圍內的數據主體的活動進行監(jiān)控。3.本條例適用于在歐盟之外設立，但基于國際公法成員國的法律對其有管轄權的數據控制者的個人數據處理。2019年11月，EDPB發(fā)布了GDPR地域適用的最終指南，對該條的具體適用標準進行了明確。在歐盟范圍內處理個人數據的企業(yè)或組織實施數據跨境流動活動，主要有三種合法方式：（1）獲得歐盟“充分決定”；（2）提供適當保障措施；（3）特定情況下的例外規(guī)定。在第一種方式下，如果歐盟委員會認定第三國、其境內的地區(qū)、特定行業(yè)或國際組織，對個人數據提供了與歐盟“實質上相當”的充分保護水平，那么個人數據向上述地區(qū)的流動無需進一步的批準或其他保障措施。這樣的要求事實上將歐盟對境內數據所施加的控制投射至境外，確保個人對傳輸至境外的數據保持很強的控制能力。作為正面白名單機制，歐盟進行充分性評估的依據是廣泛且嚴格的，從比較宏觀的法律保護水平和人權保護狀況，到具體的法律條文和數據保護機關（DPA）的執(zhí)法狀況，都在其評估范圍之內，而且每四年還會進行一次復核。目前僅有12個國家或地區(qū)通過了歐盟的認定。[[][]包括安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭，2021年3月30日，歐委會宣布，歐盟與韓國之間的充分性認定談判已經完成，在正式做出充分性認定之前，還需要歐洲數據保護委員會的官方意見和歐盟成員國代表組成的委員會的正式批準。如若未獲得充分性認定，數據控制者或處理者只有在提供適當保障措施，以及保障數據主體權利可強制執(zhí)行，和擁有對數據主體的有效法律補救措施的情況下，才可以將個人數據向外傳輸。保障措施可以通過以下方式來提供：約束性公司規(guī)則、已獲批準的行為準則或認證機制、標準合同條款等。同時，還可以通過公共機構間具有法律約束力和可強制執(zhí)行的文書，或得到主管監(jiān)管機構的批準，加入公共機構間的行政安排中的規(guī)定來提供。如果上述兩種方式都未成功，那么僅在滿足：存在潛在風險但數據主體已明確同意、履行合同所必需、公共利益要求等七種條件之一時方可跨境傳輸數據。一般來說，規(guī)模化的數據跨境流動需要穩(wěn)定的合法性基礎，才能保證正常的經貿活動，但這些例外情形可適用的場景過少，不能形成日常所需的長效通道，而“正面白名單”機制適用標準較高，并未得到足夠利用，因此充分保障措施機制仍是歐盟各國數據保護機構管理過程中最主要的著力點。不過，在歐盟理事會最新發(fā)布的《關于GDPR適用的立場與發(fā)現》報告中，歐盟吸收了比利時、德國等成員國提出的“通過充分性認定的國家與地區(qū)數量偏少”的問題，指出要繼續(xù)擴充“白名單”，以進一步擴展可以合法自由流動的區(qū)域與部門；對于“白名單”之外的其他合法流動機制，歐盟也將發(fā)布更多的標準合同模板，以滿足不同類型的數據控制者和處理者的數據跨境流動需求。1.3推進犯罪數據的境外調取歐盟成員國之間電子數據的跨境存儲已是固定化現象，而在歐盟成員國之外，為打擊犯罪也迫切需要固定電子工具，查找犯罪線索，因此萌生了旺盛的數據調取需求。然而在眾多刑事案件中，歐盟成員國的調查取證需求未得到滿足和正視。雖然傳統“倒U型”的國際刑事司法協助有助于尊重他國主權，但由于其程序復雜、冗長、緩慢且不利于程序參與者的權利保障，歐美開始著力構建“一字型”直接取證程序，尤以執(zhí)法機構與服務提供者直接合作最為常見[[]此外還包括請求國執(zhí)法機構與被請求國的執(zhí)法機構、數據權利人直接合作的取證程序。]，美國CLOUD法案就遵循了這一取證機制，執(zhí)法部門通過服務提供者這一橋梁便可輕松獲得存儲于境外的電子數據，實現本國特定的需求和利益。[]此外還包括請求國執(zhí)法機構與被請求國的執(zhí)法機構、數據權利人直接合作的取證程序。[]馮俊偉.跨境電子取證制度的發(fā)展與反思[J].法學雜志,2019,40(06):25-36.在美國的影響下，歐盟于2018年提出調取和保全刑事犯罪電子證據的提案，[[]該提案所涵蓋的電子證據包括用戶數據、訪問數據、交易數據等非內容數據以及內容數據。一般而言，用戶數據和訪問數據對于發(fā)現犯罪嫌疑人的身份非常重要；而交易數據和內容數據更為可能具有證明價值。]，該提案要求，如果面向歐盟提供服務，服務提供者應當在歐盟境內設立法定代表或安排企業(yè)實體，以接收調取和保全證據的法令[[]該提案所涵蓋的電子證據包括用戶數據、訪問數據、交易數據等非內容數據以及內容數據。一般而言，用戶數據和訪問數據對于發(fā)現犯罪嫌疑人的身份非常重要；而交易數據和內容數據更為可能具有證明價值。[]根據草案，針對所有刑事犯罪，均可以簽發(fā)用戶數據或訪問數據的歐洲數據調取令（第5條第3款），而只有在滿足第5條第4款規(guī)定的犯罪時才能簽發(fā)交易數據或內容數據的歐盟數據調取令。同時，為了防止在司法協作場合下相關數據的移除、刪除和更改，針對