摘要:为了保护隐私权,欧盟制定了《一般数据保护条例》(GDPR),保护个人数据和规范数据跨境流动是其两大目标。为了符合GDPR的要求,非欧盟企业客观上只有两种选择:要么撤出欧盟市场,要么将数据本地化,否则将面临巨额罚款。实际上,数据本地化构成了贸易壁垒,违反了《国际服务贸易总协定》第16和17条。为了促进数字贸易,以《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《欧盟日本经济伙伴关系协定》(EPA)和《美墨加协定》(USMCA)为代表的新型区域贸易协定禁止数据中心本地化设置。为此,欧盟应设法消除任何数据本地化要求的可能性,同时应设法完善GDPR下的充分性决定机制。GDPR客观上对国际服务贸易规则产生了深远而广泛的影响。为了因应国际服务贸易规则的新发展,中国应引导与推动《服务贸易总协定》(GATS)的改进,加速构建促进个人信息保护、数据有序流动和保护公共利益相协调的新型数字贸易规则;借鉴欧盟与美国缔结的《隐私盾协议》,与欧盟开展有关数据跨境流动的双边协议谈判。
关键词:数据保护;数据流动;贸易壁垒;服务贸易;《一般数据保护条例》
一、引言
受欧洲一体化的影响,欧盟在数据立法上始终采用综合性立法方式。从《有关个人数据自动化处理之个人保护公约》到《关于个人数据处理保护与自由流动指令》(简称《数据保护指令》),再到《一般数据保护条例》(GeneralDataProtectionReg⁃ulations,GDPR),历经从指导、建议性的软法规范到强制性遵从的硬法规范的过程[1]。其中,GDPR因其严苛的规定、广泛的适用范围、高昂的罚款,被称为“史上最严格的个人数据保护法”,对国际贸易特别是服务贸易产生深远影响。同时,由于GDPR的“长臂管辖”原则,其适用范围已扩大到非欧盟企业[2]。GDPR下的合规要求对非欧盟企业产生巨大影响——或将这些企业排除出欧盟市场,或推动它们在欧盟内的任何与数据相关的活动本地化。因此,GDPR阻止了服务的跨国自由流动,违反了《服务贸易总协定》(GeneralAgreementonTradeinServices,GATS)第16条、第17条。
虽然GDPR旨在保护个人数据,但在商务活动中,将数据明显区分为个人数据与非个人数据是很困难的,即使可能,成本也极高。进入后疫情时代,传统贸易模式受到很大影响,企业不能参展,不能出国拜访,不能地推,转型线上开展国际贸易已成大势所趋。商家不可避免地要使用搜索引擎、海关数据、社交媒体、地图、黄页等客户开发渠道。当客户在欧盟地区时,受GDPR的影响与约束将不可避免。
欧盟的这种数据监管制度与现有的世界贸易组织规则,特别是国际服务贸易规则之间存在一定的冲突。世界数字经济产业发展客观上需要调整国际贸易特别是数字贸易的新规则,但世界贸易组织自2001年开始的多哈回合谈判一直处于停滞状态[3]。因此,以GDPR为代表,包括《跨太平洋伙伴关系全面进步协定》(ComprehensiveandPro⁃gressiveAgreementforTrans-PacificPartnership,CPTPP)、《欧盟日本经济伙伴关系协定》(EU-Ja⁃panEconomicPartnershipAgreement,EPA)、《美墨加协定》(TheUnitedStates-Mexico-CanadaAgree⁃ment,USMCA)的新型区域贸易协定,主导并确立了关于个人隐私保护、跨境数据流动以及推动数字经济发展的新型贸易规则。中国作为数字经济大国,应正确研判国际贸易规则的发展形势,把握发展机遇,提高在多边、区域或国际贸易谈判中的话语权。同时,中国也应在不违反国际贸易规则的前提下,构建促进国家网络安全、企业公平竞争及个人信息保护协调发展的新型数字贸易规则[4]。
二、GDPR的立法背景与合规要求
欧盟的数据保护立法历经了从指令到法规的演变过程。与追求跨境数据流动高标准的CPTPP和USMCA不同,欧盟的数据监管制度相对保守,分析GDPR的立法背景,可以看出:欧盟历来重视保护个人信息权和隐私权等权利,并实施强立法保护模式;欧盟目前没有大型互联网企业,严格的数据监管制度客观上有利于抵制美、中等国互联网企业对欧盟市场的侵占,借机培育、发展欧盟内的互联网企业。
(一)GDPR的立法背景
隐私权是欧盟法律不可分割的一部分,被认为是一项基本人权。《欧盟基本权利宪章》第7条和第8条明文规定了私人生活、通讯和个人信息保护的权利。随着科技的进步,越来越多的日常生活、工作和学习从线下转移到线上,且需要在各种数字交易平台中输入个人信息,由此产生了个人信息泄露的问题。数字贸易给人们带来便利的同时,也带来了隐私保护和个人数据如何合法地收集、处理和流动等问题。早在1980年9月,经济合作与发展组织(OECD)就发布了《关于隐私保护与个人数据跨界流动的指导方针》,建立了保护个人数据的指南,但指南作为软法,对成员国并没有法律约束力。
1995年,欧盟制定了《关于个人数据处理保护与自由流动指令》,以规范个人数据的处理及跨境移动。欧盟对数据跨境转移进行规制,是基于以下两个原因:一是加强保护与个人数据相关的权利,特别是隐私权;二是维护欧盟信息主权和保障经济发展[5]。《关于个人数据处理保护与自由流动指令》统一了欧盟成员国内的数据保护标准,允许个人数据在欧盟内的自由流动,而对欧盟之外的国家,则采取以充分性决定机制为主的跨境数据转移规则。但在接下来的15年里,随着技术的进步,个人数据不仅需要进一步的保护,而且充分性决定机制需要统一实施。为此,欧盟议会于2016年4月通过了GDPR,在经过两年的缓冲期后,于2018年5月25日开始生效。
作为综合性数据保护条例,GDPR不仅适用于欧盟内部的组织,也适用于欧盟以外的企业(如果它们向欧盟内的数据主体提供商品或服务,或者监督欧盟内部人员的行为)。GDPR的影响范围已扩大到欧盟之外,成为许多国家制定个人数据保护法的基准。不仅欧盟成员国更新了其个人数据保护法,许多中东欧国家、欧洲经济区域会员国、韩国、日本甚至俄罗斯都参照GDPR制定了个人数据保护法。
(二)GDPR的适用范围
GDPR适用于所有完全或部分通过自动化方式处理的个人数据,并致力于管理上述数据的自由流动。任何收集、传输、保留或处理涉及欧盟所有成员国内个人信息的机构、组织均受GDPR约束。
根据GDPR规定,个人数据是指任何可用于识别自然人的资料,例如姓名或与某人的外貌、遗传、经济或社会身份有关的其他因素。除少数情况外,禁止处理属于特殊类别的个人数据,包括个人健康、性生活、种族、性取向和宗教或政治信仰等。
GDPR将参与数据收集、处理的实体分为“控制者”(Controller)或“处理者”(Processor),并赋予不同的责任。数据“控制者”为决定主体,是单独或联合决定个人数据处理目的和方式的自然人、机构或企业,而数据“处理者”是受委托,为控制者处理个人数据的自然人、机构或企业。“控制者”负责确保控制数据处理的措施已经到位,以确保所有操作都符合GDPR[1]。GDPR适用于欧盟境内的控制者和处理者,无论其数据处理行为是否发生在欧盟境内。GDPR也适用于非欧盟的数据控制者和处理者对欧盟境内的主体开展个人数据处理的行为。
以中国金融业为例,以下几种情况都可能受GDPR管辖:在欧盟有分支机构;某金融企业或其服务提供商为欧盟境内主体提供商品或服务(如在西班牙提供支付服务);某金融企业或其服务提供商对数据主体在欧盟境内的行业进行监控(如作为监控在西班牙办理的信用卡余额的第三方);处理居住在中国境内的欧盟居民的数据。
(三)GDPR下的数据跨境转移规则
随着数字技术的发展,数字贸易已成为国际服务贸易的重要部分,而数据跨境流动是数字贸易的内在要求。GDPR下的数据跨境转移规则对跨境服务贸易者造成很重的合规负担,本文第三部分将分析其是否构成贸易壁垒。
相关知识推荐:国际贸易专业有什么论文题目容易发表
欧盟GDPR关于数据跨境转移的规则是在1995年《关于个人数据处理保护与自由流动指令》的基础上发展完善的。GDPR的数据跨境传输规则既要满足一般性原则,又要符合三项具体的数据转移规则。根据一般性原则,个人数据只有在符合GDPR规定的前提下才可以传输给第三国或者国际组织。三项具体的规则分别为:基于充分性认定的数据跨境传输规则,提供适当保障措施的数据跨境传输规则及特殊情况下的数据跨境传输规则。其中充分性决定机制是“一劳永逸”的,因为该决定消除了从欧盟到该第三国的数据传输的任何障碍,而无需任何进一步的数据保护要求。目前仅有12个国家获得充分性认定。如果第三国不属于充分性认定范围的,该国应对转让的数据提供以下保障措施之一:标准合同条款(Stan⁃dardContractualClause,SCC);具有约束力的企业规则(BindingCorporateRules,BCRs);行为准则;经欧盟委员会认可的第三方认证等。但是这些保障措施必须得到欧盟数据委员会或某个欧盟成员国数据保护局的批准。以中国的金融机构为例,这些机构一般采用标准合同条款(SCC)或有约束力的公司规则(BCRs)这两种保障性措施。如果第三国不能提供相应的保障措施,则只能采用第三种方式“特殊情况下的数据跨境传输规则”,即存在下列情况时,可以进行个人数据传输:数据主体同意为了特殊目的处理其数据;签订或履行合同的需要;公共利益的需要;建立、行使或捍卫法律主张的需要;保护数据主体或其他自然人切身利益的需要;公共登记数据的需要。
根据GDPR关于数据自由流动的“充分保护原则”,欧盟对第三国的数据保护水平进行评估。被列入“充分保护决定”的国家、地区和国际组织,无需经过欧盟数据监管机构事前授权,就可以与欧盟之间实现数据自由流动。2020年7月以前,有12个国家和地区(包括美国)获得欧盟充分决定的认证。2020年7月之后,美国被排除在外。
美国没有数据保护方面的综合性立法,而是采用了行业自律为主的监管模式,因此不符合欧盟对个人数据给予充分保护的要求。为了双方的贸易合作,欧盟与美国达成《信息安全港框架协议》(SafeHarborFramework),规定双方之间数据跨境自由流动仅限于受美国联邦贸易委员会监管的行业,而将通信行业和交通行业排除在外。斯诺登事件后,欧盟法院通过Schrems案件裁定《信息安全港框架协议》无效,理由是该框架允许美国以国家安全、公共利益、执法为由规避监管,从而导致实施15年的欧盟与美国数据跨境流动机制被撤销。2016年,美国调整保护框架内容,将限制公权力的措施写入《隐私盾协议》(PrivacyShield),并获得欧盟委员会充分性决定。但在2020年7月的DataProtectionCommissionerv.FacebookIreland案中,欧盟法院认为欧盟委员会的充分性决定是无效的,因为提供的保护不满足对等要求[6]。
三、GDPR对国际服务贸易的影响
数据本地化要求所有数据都驻留在特定的位置,通常是收集数据的同一国家、区域等。对于来自未被充分性决策覆盖的国家的公司来说,数据本地化是最简单的,在某些情况下也是唯一的、符合要求的解决方案。即使企业的总部位于与欧盟有协议的国家之中,它们的安全也难以得到保证,也需要数据本地化。GDPR生效后不到一个月,微软office,一家通过PrivacyShield认证的美国企业,在德国黑森州被发现不再符合GDPR[7]。导致这一决定的一个主要因素是微软公司关闭了德国境内的MicrosoftOffice数据服务器。因此,为了解决不合规问题,微软被建议重新开放上述服务器。
在GDPR下的众多义务中,数据转移到第三国的严苛合规义务是否构成贸易壁垒,进而违反《服务贸易总协定》存在争议。数据究竟是一种商品还是一种服务的问题在学术界也存在争议。如果数据是服务,就要在《服务贸易总协定》下讨论。如果是商品,那就要在《关税及贸易总协定》(Gen⁃eralAgreementonTariffsandTrade,GATT)下讨论。本文认为数据是一种服务,并在此基础上分析GDPR是如何通过其所确立的数据跨境转移规则来影响数字贸易规则,进而影响国际服务贸易。
(一)GDPR下的数据跨境转移规则造成数字封锁,构成了贸易障碍
个人数据保护和数据自由流动是欧盟数据保护相关立法的两大目标。欧盟先后通过1995年《关于个人数据处理保护与自由流动指令》、2016年GDPR统一了成员国之间的数据保护水平,从而实现数据在欧盟各成员国内的自由流动。对于数据向欧盟外国家、地区流动的情形,欧盟提出了充分保护原则,对数据接收国的数据保护水平进行评估。当接收国满足欧盟的数据保护原则后,个人数据的跨境传输将被批准。——论文作者:陈鼎庄
转载请注明来自:http://www.lunwencheng.com/lunwen/jgu/19736.html
