3.3 数据跨境流动监管
数据跨境流动和贸易政策如下所述。
在考虑对数据跨境流动进行监管的过程中,政策与贸易和人权问题混杂在一起,在信息自由流动方面尤为如此[54](见下文4.1节)。
由于缺少可执行的全球在线数据跨境流动或人权标准,各国一直通过国际贸易条约直接或间接解决有关数据权利的部分政策性问题。关于信息服务贸易和电子商务监管的谈判反映了这一点。各贸易协定均允许政府在其认为必要时限制信息流动,以实现重要的国内政策目标。“虽然信息流动的相关国际人权义务是明确的,在全球范围内却并不具有约束力或可执行性。然而,贸易协定中的义务既具有约束力又具有执行性”。[55]
通常认为德国联邦黑森州的法律是首个数据保护法,该法于1970年通过,对数据跨境流动未作任何限制。不久后,欧洲多个国家颁布包含限制数据跨境流动的数据保护法;此类国家包括奥地利、芬兰、法国、爱尔兰、卢森堡和瑞典。这些早期法律规范数据跨境流动的主要动机在于避免个人数据被传输至无数据保护法的国家以规避对数据处理的法律保护。早期法律中的限制范围包括将个人数据传至国外前须获得数据保护机构的明确授权(如,奥地利和瑞典的法律);原文通过《欧洲理事会第108号公约》第十二条的规定;数据被传输的个人必须同意传输,或数据进口国必须具有保护水平相当的数据保护法。然而,尽管有此类规定,在起草首部数据保护法时,个人数据的跨境流动似乎被视为特例而非规定的对象。[56]
20世纪八九十年代,美国决策部门试图将促进信息自由流动的措辞纳入贸易协定。其他国家将此视作对主权的威胁,亦担心美国将主导电子商务和互联网治理。[57]此关切延续至今,斯诺登事件后,部分国家开始为此类贸易制造障碍或创造条件。美国称此类政策为“数字保护主义”。
《服务贸易总协定》(GATS)曾考虑过信息服务贸易,但贸易协定未明确涉及人权问题。隐私等非经济价值不属于作为经济产品的“数据”的范畴。对数据流的访问被视为经济问题而非人权问题。[58]
贸易谈判仅限于商业活动。互联网被视为跨境买卖产品和服务的平台。部分国家认为贸易谈判有利于壮大国家和跨国公司而非公民。这引发了围绕数据问题的重要“过程”问题。贸易谈判通常是秘密进行的。互联网治理是基本透明的。[59]贸易条约在国家间缔结;互联网决策基于透明的多利益攸关方治理。[60]互联网治理天然倾向于避免可能限制、破坏或割裂互联网的行为,例如数据本地化。[61]专注于互联网的组织,如互联网治理论坛,强烈支持在全局背景下处理人权问题,而非通过贸易规则处理。在贸易方面,审查、侵犯人权和侵犯隐私只能通过显示其对贸易产生的可衡量的影响加以解决。[62]
美国致力推动贸易协议中的约束条款,促进信息的自由流动,对其他国家有关隐私和服务器位置的政策提出挑战,称其为贸易壁垒。但美国在条款中未包含互联网监管环境的相关表述:自由表达、公平使用、法治和正当程序。[63]
20世纪90年代,技术创新彻底转变了通过大量数据存储介质进行的零星数据跨境传输。个人数据的流动更加自由,对本国的依存度更低,且确实代表了全球化进程背后的一支重要力量。个人数据变为新型的“原材料”,数据跨境传输成为跨国公司的生命线。
对数据跨境流动的监管可能会限制跨境服务的提供,从而引起《服务贸易总协定》(GATS)下的问题。《总协定》由世界贸易组织(WTO)于1995年通过,第9段指出,“当跨境数据流涉及的两个或两个以上国家的立法提供的隐私保护水平相当时,信息应能够在各相关领土范围内自由流通。若无互惠保障措施,则不得过度强加对此类流通的限制,且有关限制应仅限于保护隐私的要求”。数据保护法规(包括数据跨境流动的监管措施)在GATS下免于审查,但仅限于法规未变相限制贸易的情况。[64]
全球统一(欧盟)或可互操作(美国)的规则没有一套适用于国家间数据流动,对可能构成此类规则的基础规范也不存在共识。[65]部分双边或多边协议仅适用于某些方面。双方存在类似的充分数据保护时往往如此。[66]