个人金融数据跨境流动规制研究

随着数字科技与金融服务的深度融合，个人金融数据跨境流动已成为不可逆趋势。域外数据立法试图以规制的方式寻求个人金融数据跨境自由流动同个人金融数据保护两者之间的平衡。我国个人金融数据经历了从绝对本地化要求到有条件跨境流动的过程。个人金融数据跨境流动规制面临多重困境：个人金融数据跨境流动规范不清晰和不统一；个人金融数据跨境流动安全审查未引入针对金融行业的考量因素；个人金融数据跨境流动国际规则制定中难以形成我国影响力。在未来完善个人金融数据跨境流动规制的进程中，“进”应树立动态的个人金融数据价值观，细化个人金融数据跨境流动具体规制措施，为个人金融数据跨境流动的不同场景构建区别化的规制模式；“退”则通过识别个人金融数据跨境流动过程中的不同法益，在现行法律体系框架下积极寻求和探索综合且多元的个人金融数据保护路径。     

欧美隐私盾协议及其对我国的启示

欧美隐私盾协议为欧盟个人数据保护提供更多的救济途径,加大了企业和美国政府的义务,对美国政府的数据获取进行了限制.该协议贯彻了欧盟网络安全战略,平衡了欧美数据保护政策,促进了欧美间跨境数据流动,有助于加快跨大西洋商贸往来.我国应尽快出台个人信息保护法,构建个人信息保护法律体系;建立专门的个人信息保护监管机构;完善个人信息跨境流动的监管制度和机制;出台跨境数据流动行业标准,加强行业自律;加强国际合作,构建中欧数据安全对话机制,积极参与网络空间国际规则的制定.     

跨境数据流动贸易规制之例外条款：定位、范式与反思

近年来,跨境数据流动成为数字经济新常态。各国对跨境数据流动进行立法管控形成了新型贸易壁垒并抑制全球经济活力的释放,跨境数据流动的贸易规制问题逐渐受到广泛关注。全球层面的跨境数据流动贸易规制,面临良好数据保护与数据自由流动两个规制目标之间的平衡难题,关涉个人隐私、国家安全、数据自由流动等诸多利益诉求。当前,由于每个国家在社会、文化、政治、经济等方面的差异导致难以对规制目标的价值判断达成一致。不同规制目标间分歧的协调成为跨境数据流动贸易规制的重要任务。作为灵活性规则的例外条款,其独特的制度功能可以协调不同规制目标,达到不同规制目标间动态平衡的兼容效果,缓和公共政策保留要求与营造开放数字贸易环境之间的紧张关系。例外条款是跨境数据流动贸易规制的重要内容。现有跨境数据流动贸易规制体系中的例外条款存在不同范式,主要包括WTO例外条款、CPTPP例外条款以及RCEP例外条款三种类型。不同范式下例外条款规则设计在结构、语言表述、适用条件等方面差异明显,对不同规制目标可实现程度进行平衡与协调的能力也有所区别,各有优势但也面临不同程度的适用难度和不确定性。中国参与跨境数据流动新规则构建已经成为不可回避的任务,应当充分利用例外条款的制度功能提升我国制度话语权的对外输出能力。我国在例外条款范式选择上:一是,立足内在基准,需要实现参与者向共建者的角色转变,从完善国内数字法治出发,明晰跨境数据流动贸易规制的基本立场,寻求制度协调效应,避免恶性制度竞争;二是,寻求外在策略,坚持渐进式的功能转向策略,从追求宽松或模糊向明确或清晰的例外条款范式转变,逐渐由追求务实灵活的"契约"式合作向有拘束力"规则"式合作转型。     

DEPA数据安全规则解析及对中国的启示 ——基于和CPTPP/USMCA/RCEP的比对

构建数据安全规则是推进全球数字贸易治理的重要关切,中国申请加入《数字经济伙伴关系协定》(DEPA)后,需要在RTAs框架下,基于数据安全视角对DEPA 进行规则解析。采用自然语言识别法梳理DEPA数据安全规则体系,针对数据安全核心议题——跨境数据自由流动、数据存储非强制本地化、个人信息保护等,结合“特定规则”和“一般性规则”分析,通过文本比较评析DEPA和CPTTP、USMCA、RCEP等既有协定在这些议题上的覆盖范围、承诺深度的趋同和分歧。研究认为,DEPA针对跨境数据自由流动和数据存储非强制本地化所构建的规则,在推动数据流动自由化和保留自主监管空间两方面都处于中游水平; DEPA的个人信息保护覆盖范围比较广泛,特别强调数据保护可信任标志的使用。中国申请加入DEPA能够推动中国和DEPA在数据流动等议题上进一步确定和磋商,推进中国参与国际层面规则构建的进程、完善国内法律法规的有关规制,对中国申请加入CPTPP乃至其他RTAs协议的谈判都有积极作用,能够提高中国在数字贸易治理中的国际影响力。     

“三难选择”下跨境数据流动规制的演进与成因

近年来,跨境数据流动规制问题引起了广泛关注。实际上跨境数据流动规制已经有30多年的发展历史,并演化出分别由欧盟和美国主导的两套规制体系。但全球层面的规制却存在"三难选择",无法同时兼顾"良好的数据保护""跨境数据自由流动"和"数据保护自主权"。在此框架下,规制目标之间的平衡、参与主体之间的竞争以及规制本身对约束力和执行力的诉求构成了推动规制演进的三重因素。结合这些规律,中国应借鉴欧盟与美国的规制方法,推进国内规制实践,确立最合适的规制模式,尽快参与规制竞争。     

系统观念下数据跨境流动的治理困境与法治应对

作为数据共享与开放的重要途径与形态，数据跨境流动能够通过提高数据要素的生产和流通效率，实现数据资源要素的高效分配，推动全球社会福祉的整体增进。数据跨境流动不仅关乎国家主权、公共安全、商业利益、个人隐私等多元价值和多维利益，还需统筹兼顾与域外法律制度和执法方式的衔接，因而数据跨境流动治理具有系统性、整体性和包容性。故此，须引入系统观念，考察数据跨境流动治理，以推动形成系统效能最优。具体而言，将系统观念作为数据跨境流动治理的认识论、方法论和实践论，以系统观念为指引理念，完善我国数据跨境流动法治规则，特别是完善数据跨境分级分类监管制度及数据出境安全评估体系；以系统观念为指引方法，建立数据跨境流动协同共治机制，强化各行业、各部门、各区域的联动监管和信息互通互认；以系统观念为指引路径，拓宽数据跨境自由流动的合法性渠道，推进数据跨境流动治理国际合作机制建设与完善，积极主动推动数据跨境流动国际法治规则的设定与施行，构筑国际竞争新优势。     

跨境数据流动的全球治理:权力冲突与政策合作——以欧美数据跨境流动监管制度的演进为例

数字经济的全球扩张已经使得跨境数据流动成为常态,但不同国家间规制传统与制度环境的差异使得跨境数据流动的全球治理成为难题。不过即便如此,在各国不对其国内规制制度做出重大调整的前提下,政策共识与国际合作依然可能存在。《安全港协议》代表了欧美在承认制度差异前提下的政策共识,"9·11事件"后,美国国内政策的转折为当前冲突的爆发埋下了伏笔,《隐私盾协议》为新的国际合作打开了窗口。欧盟与美国跨境数据流动监管制度的演进历史,淋漓尽致地体现了跨境数据流动全球治理冲突与合作的反复与交替。     

跨境数据流动中的基本安全利益例外

《区域全面经济伙伴协定》首次将基本安全利益例外条款纳入跨境数据流动规则中,并不允许其他成员国提出异议.其内涵并非一成不变,但始终与一国根本的国家安全紧密相关且不具有歧视性,需要各国遵循善意原则加以合理援引,否则易造成条款的滥用.为确保我国跨境数据流动管理模式与国际规则的衔接,在加入《区域全面经济伙伴协定》后,我国需要数据分类管理制度、加强技术安全建设,实现保障本国基本安全利益与促进数据自由跨境流动的平衡状态.     

数据全球化与数据主权的对抗态势和中国应对 ——基于数据安全视角的分析

数据主权是网络主权延伸到数据层面的必然结果,其背后折射的是国家主权利益,但在行使方式上可能存在不同的利益诉求,并将深刻影响数据跨境流动的效率和成本.自"棱镜门"等多起网络安全事件爆发后,出于维护国家安全、加强公众个人信息保护和促进数字经济发展的现实需要,世界各国(地区)政府纷纷采取措施规制数据跨境流动,催生了美国"云法案"等一批将传统管辖权伸及网络空间的制度设计,深刻地挑战了网络空间秩序,印度等新兴市场国家则通过数据本地化措施予以应对.数据安全属于非传统安全,中国应坚持数据安全流动的基本立场,完善数据跨境流动统一立法,在国际治理中主动开展国际合作,以更具建设性的姿态融入数据全球化进程之中.     

论中国数据跨境制度的现状、问题与纾困路径

中国已经建立了以“安全评估、标准合同、保护认证”为核心、以行业规定为配套的数据跨境制度体系,形成了既保安全又促发展的中国方案。但在具体立法中,该制度在理论与实践上存在双重失衡,在理论上缺乏完善的基础理论支撑,在实践中未能形成系统完整的制度体系,且其在适用关系上出现龃龉,与国际规则之间也存在割裂导致难以衔接,致使数据处理者在合规实践中面临较大成本,难以获得预期成效。不同于美国的“市场话语”和欧盟“权利本位”的数据跨境理论基础,中国应当基于国情明确利益平衡体系下的数据主权理论建构数据出境制度体系,矫正实践中过度保障安全的规制思路,通过单列安全评估、制定行业性与地方性特殊制度等措施,完善相关制度之间、国内法与国际规则之间的适用衔接,着力降低合规成本,保障制度落到实处。     

限缩与扩张：个人信息跨境流动中的标准合同

标准合同作为欧盟个人信息跨境流动规则之一,被我国个人信息立法首次引进。但我国个人信息跨境流动标准合同存在以下立法困境：标准合同规范的价值冲突;缺乏标准合同文本样式及适用有局限性;标准合同适用频次及适格主体存在问题;信息主体的权利保障实效不明。标准合同的法律构造应发挥境内行为规范与境外延伸指导的作用。破解个人信息跨境流动标准合同的立法困境应平衡国家、个人、市场立法价值理念关系;丰富标准合同文本样式及拓展替代性规则;构建内外并重的个人信息跨境流动国际、国内规则;优化信息主体的权利保障实效。     

国际贸易规则下跨境数据流动分析

随着全球数字经济的发展,跨境数据流动成为国际贸易规则中日益重要的议题。文章介绍了WTO规则体系下跨境数据流动规则的最新进展,梳理了当前多、双边自由贸易谈判中跨境数据流动议题的情况,同时分析了我国参与的多、双边国际贸易规则以及影响。最后,文章展望了未来跨境数据流动与国际规则发展趋势,分析并提出了我国的应对策略。     

数据保护规制国际概述及对我国网络安全治理的启示

在信息经济时代,个人数据成为推动网络活动的原动力,各国纷纷出台相关政策法规进行规制。本文主要通过分析联合国贸易和发展会议(UNCTAD)发布的《数据保护规制和国际数据流动:对贸易和发展的影响》报告,审视各国及多利益攸关方的数据治理经验与框架,把握数据保护与隐私立法中的关键问题,并总结未来可能采取的政策选择,以期为我国的网络安全治理提供有益参考。     

变革中的国际经贸规则与跨境电商立法的良性互动

跨境电子商务是互联网时代国际经贸领域的新型业态,其快速发展在促进国际经济新增长的同时,也带来了一系列新挑战,使国际经贸规则呈现相应变革,各国亦纷纷立法对跨境电子商务予以规制。跨境电子商务全球性、跨国界的特征要求国内、国际相关规则的协调统一。为更好地促进我国跨境电子商务的有序发展,有必要采取相应措施进一步促进国际规则与国内立法间的良性互动：应积极参与双边、区域、多边谈判,根据国际规则及时调整国内跨境电子商务立法、司法、执法,促进国际、国内规则的统一;主动借鉴国际社会的立法经验及先进做法,完善国内跨境电商立法;并整合多样推力,通过渐进方式,不断将国内先进规则供给到国际社会。     

RCEP数据跨境流动基本安全例外条款与中国方案

数据跨境流动是促进数字经济发展的关键要素,数据跨境流动规则因此成为RCEP电子商务章节的重要条款。RCEP确立了数据跨境自由流动原则,同时规定了公共政策目标和基本安全例外。当前,中国“本地储存,出境评估”的数据跨境流动监管模式与数据跨境自由流动的要求还存在不尽协调的问题,在现有立法下,应充分考虑基本安全例外条款的适用,以满足RCEP对数据跨境流动监管的要求。为此,应推动数据立法完善,在明确例外条款适用标准的基础上,强调数据跨境自由流动原则,统一相关概念的界定,健全数据分级分类监管规则。     

论数据保护法的域外效力

受信息技术挑战、多元价值冲突与国内外规则互动关系等多方面因素的影响，域外效力成为中国数据保护立法必须认真对待的法律问题。当前国际社会主要通过立法路径与司法路径扩张国内规则的适用范围，其中，司法路径一定程度填补了传统数据立法在域外效力问题上的缺失，但具有一定局限。当本国数据保护政策具有明显扩张需求时，立法有必要对域外效力问题作出直接宣示。直观来看，数据立法的适用范围取决于一国主权的自主选择，如果做全面考量，域外效力的确定仍然需要经过国际法层面的审视。考虑到数据保护政策与参与全球数据治理的需要，中国应在立法中确立域外效力条款，以设立机构标准和效果原则为基础对外适用数据保护规则。在实施阶段，应强化法院在适用域外效力规则中的作用，支持法院综合个案事实对中国数据保护立法的效力范围进行解释，从而与立法、行政机关之间形成良性互动，推动中国数据治理体系的构建。     

我国农业数据跨境传输规制标准构建

为纵深推进数字农业新发展格局,拉动我国农业迈入国际化快车道,有必要审视我国现行农业数据跨境传输规制标准问题,参照并适应CPTTP、RCEP相关规定,从四个维度扫清农业数据国际流通标准障碍：(1)建构数据安全传输本地化分级分类管理标准,廓清农业数据跨境安全分级管理目录,制定数字农业数据跨境传输本地化安全管理标准;(2)形成农业数据风险管理标准,界定农业数据传输三层级风险范围,细化农业数据不同风险等级控制措施;(3)设计农业数据跨境传输合理安全阀标准,细化数据“等效性”保护标准条件,设定数据跨境传输“等效性”具体认定规则;(4)打造农业数据跨境传输处理流程标准,具化数据传输具体审查业务,建立数据传输及时认证制度,设立数据进口风险实时检查机制,形成数据传输处理紧急应对措施。     

数据跨境流动的约束性企业规则研究

欧盟《一般数据保护条例》确立的约束性企业规则是欧盟个人数据跨境传输规则中的适当保障措施之一，它作为数据跨境流动的合规工具具有显著优势。我国自2021年施行的《个人信息保护法》中仅参照引入了标准合同条款，约束性企业规则还未明确在我国法律中引入。为了便利我国企业“走出去”，我国应引入约束性企业规则。为此，我国应明确约束性企业规则的上位法依据，同时合理借鉴他国实践经验，打造中国式约束性企业规则。     

商业数据保护的竞争之维：理论证成、实践面向与进路设想

关于商业数据的保护模式，理论上有既有部门法权利保护、新设权利保护和竞争法权益保护等多种路径，实践中多以竞争法规制具体侵权行为以回应个案的权益诉求。我国《反不正当竞争法(修订草案征求意见稿)》“商业数据专条”延续了既往的司法理路，但存在保护范围较窄、制度创新不足等问题，对商业数据的统一定义也无法满足具体类型数据的差异化利益诉求。现有的商业数据保护模式有权利法和竞争法两种路径，但未根据商业数据的形成过程对其进行类型化界分。有必要为公开与未公开商业数据分别创设符合其利益的保护路径，以加快数据市场化流通，完善数据要素市场。     

限制数据跨境传输的国际冲突与协调

《中华人民共和国网络安全法》于2017年6月1日起施行,其中第三十七条系我国第一次从法律层面上对限制数据跨境传输做出规定。在世界范围内此类规定并不少见,但各国规制模式有所不同并且存在紧张和冲突关系。限制数据跨境传输的国际冲突,对各国数据监管提出重大挑战,也对企业的跨国经营带来风险与不确定性。基于对主要司法区的限制数据传输规制模式差异的现状与原因的比较研究,本文探讨了协调的可能路径以及中国的合理对策。