个人金融数据跨境流动规制研究

随着数字科技与金融服务的深度融合,个人金融数据跨境流动已成为不可逆趋势。域外数据立法试图以规制的方式寻求个人金融数据跨境自由流动同个人金融数据保护两者之间的平衡。我国个人金融数据经历了从绝对本地化要求到有条件跨境流动的过程。个人金融数据跨境流动规制面临多重困境：个人金融数据跨境流动规范不清晰和不统一;个人金融数据跨境流动安全审查未引入针对金融行业的考量因素;个人金融数据跨境流动国际规则制定中难以形成我国影响力。在未来完善个人金融数据跨境流动规制的进程中,“进”应树立动态的个人金融数据价值观,细化个人金融数据跨境流动具体规制措施,为个人金融数据跨境流动的不同场景构建区别化的规制模式;“退”则通过识别个人金融数据跨境流动过程中的不同法益,在现行法律体系框架下积极寻求和探索综合且多元的个人金融数据保护路径。     

跨境数据流动国内规则体系的困境与完善

跨境数据流动对国际贸易活动具有积极意义,却因牵涉国家安全利益而面临规制的需要。梳理跨境数据流动国际规则的发展历程,发现数据流动自由与国家安全保护之间的竞争始终存在,两者之间冲突的平衡与一国有关数据保护的国内规则密切相关,如何促进数据跨境流动的同时不减损国家安全利益,成为国内规则体系构建与完善的重要关切。具体到我国,RCEP的签署和CPTPP的申请进程,对我国数据保护规则提出了与国际规则相衔接、相适应的要求;现行具体规则规制的不足与网络空间主权理论引发的冲突,使数据保护陷入规制不足与规制过度的双重困境。我国跨境数据流动规则体系应被进一步完善,例如以专业机构认证代替行政控制、类别化处理跨境数据,以及在互信互认基础上构建国家统一担保体系。     

跨境数据流动贸易规制之例外条款：定位、范式与反思

近年来,跨境数据流动成为数字经济新常态。各国对跨境数据流动进行立法管控形成了新型贸易壁垒并抑制全球经济活力的释放,跨境数据流动的贸易规制问题逐渐受到广泛关注。全球层面的跨境数据流动贸易规制,面临良好数据保护与数据自由流动两个规制目标之间的平衡难题,关涉个人隐私、国家安全、数据自由流动等诸多利益诉求。当前,由于每个国家在社会、文化、政治、经济等方面的差异导致难以对规制目标的价值判断达成一致。不同规制目标间分歧的协调成为跨境数据流动贸易规制的重要任务。作为灵活性规则的例外条款,其独特的制度功能可以协调不同规制目标,达到不同规制目标间动态平衡的兼容效果,缓和公共政策保留要求与营造开放数字贸易环境之间的紧张关系。例外条款是跨境数据流动贸易规制的重要内容。现有跨境数据流动贸易规制体系中的例外条款存在不同范式,主要包括WTO例外条款、CPTPP例外条款以及RCEP例外条款三种类型。不同范式下例外条款规则设计在结构、语言表述、适用条件等方面差异明显,对不同规制目标可实现程度进行平衡与协调的能力也有所区别,各有优势但也面临不同程度的适用难度和不确定性。中国参与跨境数据流动新规则构建已经成为不可回避的任务,应当充分利用例外条款的制度功能提升我国制度话语权的对外输出能力。我国在例外条款范式选择上:一是,立足内在基准,需要实现参与者向共建者的角色转变,从完善国内数字法治出发,明晰跨境数据流动贸易规制的基本立场,寻求制度协调效应,避免恶性制度竞争;二是,寻求外在策略,坚持渐进式的功能转向策略,从追求宽松或模糊向明确或清晰的例外条款范式转变,逐渐由追求务实灵活的"契约"式合作向有拘束力"规则"式合作转型。     

跨境数据流动的全球治理:权力冲突与政策合作——以欧美数据跨境流动监管制度的演进为例

数字经济的全球扩张已经使得跨境数据流动成为常态,但不同国家间规制传统与制度环境的差异使得跨境数据流动的全球治理成为难题。不过即便如此,在各国不对其国内规制制度做出重大调整的前提下,政策共识与国际合作依然可能存在。《安全港协议》代表了欧美在承认制度差异前提下的政策共识,"9·11事件"后,美国国内政策的转折为当前冲突的爆发埋下了伏笔,《隐私盾协议》为新的国际合作打开了窗口。欧盟与美国跨境数据流动监管制度的演进历史,淋漓尽致地体现了跨境数据流动全球治理冲突与合作的反复与交替。     

国际贸易规则下跨境数据流动分析

随着全球数字经济的发展,跨境数据流动成为国际贸易规则中日益重要的议题。文章介绍了WTO规则体系下跨境数据流动规则的最新进展,梳理了当前多、双边自由贸易谈判中跨境数据流动议题的情况,同时分析了我国参与的多、双边国际贸易规则以及影响。最后,文章展望了未来跨境数据流动与国际规则发展趋势,分析并提出了我国的应对策略。     

数据跨境流动刑事保护的困境与破解

数据跨境流动的刑事保护是推进“一带一路”进程不可避免且亟待解决的重大议题。当前数据跨境流动的刑事保护存在结果导向规制模式无法满足维护数据主权需求、双重犯罪限制在应对数据跨境流动犯罪时自限手脚、忽视刑事执法管辖规范导致扩张立法管辖权的现实意义大幅削减等困境。据此,应基于数据主权,在刑事立法层面设立直接规制数据非法跨境流动行为本身的专门罪名,以在行为阶段阻断其可能导致的无法预测的潜在风险;在刑事立法管辖权层面消除保护管辖中的双重犯罪限制和选择性适用条款;在刑事执法管辖权层面以数据存储地模式为原则,以对他国数据控制者模式进行对等反制为例外,并通过与他国签订双边多边条约消解数据存储地模式的消极影响。     

数据全球化与数据主权的对抗态势和中国应对 ——基于数据安全视角的分析

数据主权是网络主权延伸到数据层面的必然结果,其背后折射的是国家主权利益,但在行使方式上可能存在不同的利益诉求,并将深刻影响数据跨境流动的效率和成本.自"棱镜门"等多起网络安全事件爆发后,出于维护国家安全、加强公众个人信息保护和促进数字经济发展的现实需要,世界各国(地区)政府纷纷采取措施规制数据跨境流动,催生了美国"云法案"等一批将传统管辖权伸及网络空间的制度设计,深刻地挑战了网络空间秩序,印度等新兴市场国家则通过数据本地化措施予以应对.数据安全属于非传统安全,中国应坚持数据安全流动的基本立场,完善数据跨境流动统一立法,在国际治理中主动开展国际合作,以更具建设性的姿态融入数据全球化进程之中.     

系统观念下数据跨境流动的治理困境与法治应对

作为数据共享与开放的重要途径与形态，数据跨境流动能够通过提高数据要素的生产和流通效率，实现数据资源要素的高效分配，推动全球社会福祉的整体增进。数据跨境流动不仅关乎国家主权、公共安全、商业利益、个人隐私等多元价值和多维利益，还需统筹兼顾与域外法律制度和执法方式的衔接，因而数据跨境流动治理具有系统性、整体性和包容性。故此，须引入系统观念，考察数据跨境流动治理，以推动形成系统效能最优。具体而言，将系统观念作为数据跨境流动治理的认识论、方法论和实践论，以系统观念为指引理念，完善我国数据跨境流动法治规则，特别是完善数据跨境分级分类监管制度及数据出境安全评估体系；以系统观念为指引方法，建立数据跨境流动协同共治机制，强化各行业、各部门、各区域的联动监管和信息互通互认；以系统观念为指引路径，拓宽数据跨境自由流动的合法性渠道，推进数据跨境流动治理国际合作机制建设与完善，积极主动推动数据跨境流动国际法治规则的设定与施行，构筑国际竞争新优势。     

论中国数据跨境制度的现状、问题与纾困路径

中国已经建立了以“安全评估、标准合同、保护认证”为核心、以行业规定为配套的数据跨境制度体系,形成了既保安全又促发展的中国方案。但在具体立法中,该制度在理论与实践上存在双重失衡,在理论上缺乏完善的基础理论支撑,在实践中未能形成系统完整的制度体系,且其在适用关系上出现龃龉,与国际规则之间也存在割裂导致难以衔接,致使数据处理者在合规实践中面临较大成本,难以获得预期成效。不同于美国的“市场话语”和欧盟“权利本位”的数据跨境理论基础,中国应当基于国情明确利益平衡体系下的数据主权理论建构数据出境制度体系,矫正实践中过度保障安全的规制思路,通过单列安全评估、制定行业性与地方性特殊制度等措施,完善相关制度之间、国内法与国际规则之间的适用衔接,着力降低合规成本,保障制度落到实处。     

数字化视角下的数据生产要素与资源配置重构研究: 新零售与数字化转型

借助流动性风险理论,解释数据强连接性反应的强流动性与数据泄露反应的流动性风险之间存在的张力,有效弥补“场景—风险”理论聚焦具体化规制思路而忽视上位性抽象概念逻辑涵摄的不足。其具体指向包含跨境数据控制者对数据流动样态引起的损害可能性与不确定性认知、流动性与风险度的正相关关系和风险承担模式的判断。在此基础上构建跨境数据泄露通知制度是数据泄露通知制度与数据跨境保护规则交融的规范逻辑,实现数据安全与跨境自由流动、技术扩张与规则限制、规则保护与监管制约的有效平衡价值。尝试构建针对性的跨境数据泄露通知规则、明确数据跨境泄露通知的监管联动与多边合作,助力形成体系化跨境数据泄露保护框架,有效实现数据安全保障的实践逻辑。     

“三难选择”下跨境数据流动规制的演进与成因

近年来,跨境数据流动规制问题引起了广泛关注。实际上跨境数据流动规制已经有30多年的发展历史,并演化出分别由欧盟和美国主导的两套规制体系。但全球层面的规制却存在"三难选择",无法同时兼顾"良好的数据保护""跨境数据自由流动"和"数据保护自主权"。在此框架下,规制目标之间的平衡、参与主体之间的竞争以及规制本身对约束力和执行力的诉求构成了推动规制演进的三重因素。结合这些规律,中国应借鉴欧盟与美国的规制方法,推进国内规制实践,确立最合适的规制模式,尽快参与规制竞争。     

RCEP数据跨境流动基本安全例外条款与中国方案

数据跨境流动是促进数字经济发展的关键要素,数据跨境流动规则因此成为RCEP电子商务章节的重要条款。RCEP确立了数据跨境自由流动原则,同时规定了公共政策目标和基本安全例外。当前,中国“本地储存,出境评估”的数据跨境流动监管模式与数据跨境自由流动的要求还存在不尽协调的问题,在现有立法下,应充分考虑基本安全例外条款的适用,以满足RCEP对数据跨境流动监管的要求。为此,应推动数据立法完善,在明确例外条款适用标准的基础上,强调数据跨境自由流动原则,统一相关概念的界定,健全数据分级分类监管规则。     

数据跨境流动的约束性企业规则研究

欧盟《一般数据保护条例》确立的约束性企业规则是欧盟个人数据跨境传输规则中的适当保障措施之一，它作为数据跨境流动的合规工具具有显著优势。我国自2021年施行的《个人信息保护法》中仅参照引入了标准合同条款，约束性企业规则还未明确在我国法律中引入。为了便利我国企业“走出去”，我国应引入约束性企业规则。为此，我国应明确约束性企业规则的上位法依据，同时合理借鉴他国实践经验，打造中国式约束性企业规则。     

主权财富基金信息披露制度多维性与我国立法适应性

主权财富基金投资活动的跨国性决定了其信息披露的国际规制与东道国、母国国内规制的多维性品性。尽管目前国际规制仅以软法规范存在,但是通过母国国内法确立主权财富基金强制性信息披露制度来自律遵守国际软法规则,能够更加体现母国自觉实施该规则的行动,可以减缓东道国对主权财富基金在其境内投资的政治目的的担忧。审视我国现有主权财富基金信息披露制度对于主权财富基金规制的空白,我国应当从国内立法层面适应国际上有关主权财富基金信息披露的多维规制,以完善《公司法》中国有独资公司股东知情权内容为主线,制定专门法规范我国各类主权财富基金,确立强制性信息披露制度,以切实消除主要投资东道国对我国主权财富基金政治投资目的的担忧。     

我国农业数据跨境传输规制标准构建

为纵深推进数字农业新发展格局,拉动我国农业迈入国际化快车道,有必要审视我国现行农业数据跨境传输规制标准问题,参照并适应CPTTP、RCEP相关规定,从四个维度扫清农业数据国际流通标准障碍：(1)建构数据安全传输本地化分级分类管理标准,廓清农业数据跨境安全分级管理目录,制定数字农业数据跨境传输本地化安全管理标准;(2)形成农业数据风险管理标准,界定农业数据传输三层级风险范围,细化农业数据不同风险等级控制措施;(3)设计农业数据跨境传输合理安全阀标准,细化数据“等效性”保护标准条件,设定数据跨境传输“等效性”具体认定规则;(4)打造农业数据跨境传输处理流程标准,具化数据传输具体审查业务,建立数据传输及时认证制度,设立数据进口风险实时检查机制,形成数据传输处理紧急应对措施。     

DEPA数据安全规则解析及对中国的启示 ——基于和CPTPP/USMCA/RCEP的比对

构建数据安全规则是推进全球数字贸易治理的重要关切,中国申请加入《数字经济伙伴关系协定》(DEPA)后,需要在RTAs框架下,基于数据安全视角对DEPA 进行规则解析。采用自然语言识别法梳理DEPA数据安全规则体系,针对数据安全核心议题——跨境数据自由流动、数据存储非强制本地化、个人信息保护等,结合“特定规则”和“一般性规则”分析,通过文本比较评析DEPA和CPTTP、USMCA、RCEP等既有协定在这些议题上的覆盖范围、承诺深度的趋同和分歧。研究认为,DEPA针对跨境数据自由流动和数据存储非强制本地化所构建的规则,在推动数据流动自由化和保留自主监管空间两方面都处于中游水平; DEPA的个人信息保护覆盖范围比较广泛,特别强调数据保护可信任标志的使用。中国申请加入DEPA能够推动中国和DEPA在数据流动等议题上进一步确定和磋商,推进中国参与国际层面规则构建的进程、完善国内法律法规的有关规制,对中国申请加入CPTPP乃至其他RTAs协议的谈判都有积极作用,能够提高中国在数字贸易治理中的国际影响力。     

跨境数据流动中的基本安全利益例外

《区域全面经济伙伴协定》首次将基本安全利益例外条款纳入跨境数据流动规则中,并不允许其他成员国提出异议.其内涵并非一成不变,但始终与一国根本的国家安全紧密相关且不具有歧视性,需要各国遵循善意原则加以合理援引,否则易造成条款的滥用.为确保我国跨境数据流动管理模式与国际规则的衔接,在加入《区域全面经济伙伴协定》后,我国需要数据分类管理制度、加强技术安全建设,实现保障本国基本安全利益与促进数据自由跨境流动的平衡状态.     

硬规则时代的数据自由与隐私边界

人类社会正从软规则时代走向硬规则时代,其推动力量源于数据和算法。数据主义是21世纪的新宗教,数据自由是硬规则运行的前提。数据主义以产业发展与人类便利等“善”为由,呼吁数据自由与分享经济,但越来越多的事件表明不加控制的数据自由流动带来了严重的隐私安全隐患。隐私是人格尊严的先决条件,也是社会组织、道德伦理、法律问责机制的基石,规制数据权力与算法权力,保护隐私已变得刻不容缓。通过公法路径,以数据主权与数据监管对算法权力进行规制,通过私法路径,设置新型权利实现以权利稀释权力。构建适应硬规则时代的软规则体系,强化数据权力主体的自律与数据权利主体的自治,构建与硬规则相适应的软规则体系,守护好隐私边界。     

主权克制下的平台自决之惑——数字平台规制的国际协调与中国因应

数字平台规制的国际协调目前面临三重难题：一国基于公共道德的平台规制措施很可能影响他国私权保护；一国权利保护措施可能对他国权利设置产生影响；数字平台内部“准立法权”与“准司法权”可能违反主权国家管辖权与国际跨境送达规则。在此进程中，主权国家对其主权的行使体现出了相当的克制与礼让，但主权的自我设限不可避免地造成了对平台内部治理干预的力所不逮。平台自决很可能导致较强势国家的法律与价值观对弱势国家造成不利影响，数字平台的全球布局还会造成对弱势国家主权的有意规避。数字平台国际规制表面上看是国家与平台间博弈，但本质上属于“国家-平台-他国”三角博弈。对此，我国有必要灵活处理数字平台服务条款中的争端解决条款效力问题，以保障我国司法主权对争议的覆盖；同时适当允许司法介入平台内部治理。在对外缔约当中，我国应精心设计服务贸易“不符清单”,同时以相对克制的方式实施互联网内容审查规则。     

论美国跨境电子取证与我国数据安全立法的冲突与对策

美国跨境取证与他国主权的冲突,在数字时代聚焦为跨境电子取证与他国数据出境管制之间的冲突。在跨境电子取证当中,电子证据同时具有证据与数据双重特性;而对美国实践的实证研究表明,美国既无视作为证据的数据背后的他国司法主权,也无视作为数据的电子证据背后的他国数字主权。鉴于当前国际社会已在一定程度上接受了司法机关直接向他国网络服务提供商取证,我国不宜固守司法协助渠道的唯一性。但在接受直接取证或特派员取证时应坚持本国主管机关的审批前置;同时以数据分级分类为基础区分设计各类电子证据出境审查标准。我国阻断法律未必能够直接适用于美国跨境电子取证,但仍可以用于阻断美国授权下对我国当事人的制裁行为。