X

自贸区内数据跨境传输机制构建刍议

田旭 上海政法学院讲师

内容摘要:任何交易均伴随信息的交换,而信息技术的革新无疑对大规模的贸易产生积极影响,网络的运用正在重塑国际贸易的基本模式。以数据为载体的信息通过网络进行的跨境传输行为作为信息交换的重要形式,正在受到日益强化的本地化主义影响。自由贸易试验区作为新时代经济改革的重要试验场,有必要就数字贸易领域的新问题进行积极探索。数据跨境传输是开展数字贸易的基础活动,基于个人数据保护和信息安全角度实施的数据跨境传输限制应当建立在必要性和比例性基础之上,兼顾数据保护和数据流通,为自贸区先行先试提供了契机和挑战。

关键词:自贸区 数据跨境传输 规则创新与开放 数据安全 数字贸易 数据流通

由于缺乏成文法规的明确指导,数据跨境传输作为协调和促进数字贸易的重要活动形式缺乏稳定的监管原则,从而极大地增加了企业合规难度和业务经营的不确定性。本文所探讨的内容是数据跨境流动中的法律规制问题,以及它正在如何影响国际经贸关系,并以自贸区改革为出发点,探索区内数据跨境传输规则应当如何拓展。

一、过去与现在——数据跨境传输规则的内部演进

(一)传统上的数据本地化存储的原则

数据本地化,也称数据驻留(data residency),通常指在数据发生跨境传输前,要求对其收集、处理和存储均发生在数据产生国境内的一项要求,传统上这一要求的目的是保护个人数据不被侵犯。本文认为,数据本地化是一项专门针对数据跨境传输行为所产生的术语,对数据本地化的强调源于数据主权概念的普及。但在贸易领域,严格的数据本地化政策已经站到了贸易自由化的对立面,由模糊的法律规则、繁琐的审核程序与复杂的技术要求所带来的高昂法律合规成本越来越成为跨国企业逐渐难以承受之负担。

我国网络安全法也同样采用相对严苛的数据本地化要求,第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”这一条明确了我国法律对于数据跨境传输的基本态度,即原则上要求本数据境内存储,如需出境的,需要经过网信部门的安全评估。由此看来,相较于对个人信息权益保护的单一目的而言,我国网络安全法将数据本地化立法原则指向更为宏观的利益——即数据安全。

(二)数据跨境规则为网络带来巴尔干化影响

巴尔干化(Balkanization)是一个常带有贬义的地缘政治学术语,可以被定义为:一个较大的国家或地区分裂成较小的国家或地区的过程,这些国家或地区关系紧张甚至处于敌对状态。20世纪70年代初,由于经济发展模式的逐步变迁,美国各州贸易规则分歧越来越大,在著名的Hughes v. Oklahoma案中,法官将提出了贸易规则的巴尔干化,并直指该现象将导致贸易壁垒的加高。网络技术实际上源于美国的军事技术,由于在其民用普及初期,使用网络的国家大部分为发达国家,这种数据保护规则分歧所导致的数据传递不畅问题还未被我国学界所察觉,但是欧美之间长期形成的数据保护规则差异而逐渐发展处欧洲保守的数据本地化规则,取代了美国发展互联网技术的初衷,从而下形成了网络的巴尔干化(Cyber balkanization)。现实中,这种网络巴尔干化现象随着发展中国家网络技术的普及和成熟显得更加明显。贸易电子化革命和全球电子商务发展,使得数据传输成为一项越来越重要的贸易辅助活动,甚至成为贸易活动本身。

从现实角度看,数据本地化业已成为国际间数据传输限制性新型壁垒,这种限制也被美国学者纳入为一种本地化贸易壁垒(Localization Barriers to Trade, LBT)。在一份专门研究信息和通信技术(“ICT”)与国际经贸关系的报告中,学者将ICT本地化壁垒归结为三大类:第一,直接针对“ICT基础设施”的本地化要求;第二,是对数据存储的本地化要求;第三,是对本地内容的本地化要求。这份报告同时罗列了提出相应要求的国家和地区,中国在这三个方面均被明列其中。本地化政策与数据的全球流通自由相对,属于较为保守的ICT政策,这种政策取向显然已经不太符合国际经贸流通的需求,构成了对国际经贸发展的阻碍。

(三)上海自贸区之探索——以数据流通自由为导向

2019年7月27日,国务院印发《关于中国(上海)自由贸易试验区临港片区总体方案的通知》(下称“临港方案”),其中就实施互联网跨境安全有序流通有一些宏观性表述。自由贸易试验区作为政策的先行先试的场域,有条件针对数据领域的流通规则构建更加积极的规则,以促进和配套自贸区的改革。就此,上海市政府率先于2019年8月20日颁布《中国(上海)自由贸易试验区临港片区管理办法》(“《管理办法》”),其中就跨境数据流动议题提出“构建安全便利的国际互联网数据专用通道、试点开展数据跨境流动的安全评估、建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制”等模式,以应对法律层面数据跨境传输规则的滞后,将数据跨境传输规则创新性构建的任务交给了临港新片区。2020年11月15日,上海再次发布《上海市全面深化服务贸易创新发展试点实施方案》(下称“《服务创新实施方案》”),提出“探索数据跨境流动分类监管模式、开展数据跨境传输安全管理试点”,奠定了以促进数据跨境传输为导向的立法模式。

二、数据流通的意义——贸易自由、隐私保护与数据安全的价值博弈

世界范围内,数据跨境可以分为自由流动派和原则禁止派。其中,自由流动派主要以美国为代表,无论是国内法或是对外签署的贸易协定,美国都一直主张反对数据跨境传输施加限制,而力求建立一个自由的互联网。另一方面,欧盟虽然也主张数据自由流动,但是这种自由是建立在他国提供欧盟数据保护标准的前提下的,由于欧盟采用极高的个人数据保护标准,这种高标准实际上构成了一堵隐形的高墙,将欧盟个人数据牢牢锁住。而最新的数据本地化政策理由则聚焦于信息安全,其理论背景甚至延伸到国家主权概念,这种概念的泛化进一步加剧了数据流通不畅。

(一)数据本地化的原点——个人信息权的保护

从立法模式角度看,数据跨境传输规则常常作为数据保护法的一部分被嵌入数据保护法下,以《通用数据保护条例》(GDPR)为例,这是一部综合性的个人数据保护立法,而数据跨境传输规则作为一项保护措施规定在该法律项下。这一嵌入式的立法形态最早可追溯至1973年瑞典数据法,它规定“若据合理推断,个人数据将在境外受到处理时,数据仅在数据管理当局(Datainspektionen)许可下方可披露。并且这种许可是建立在这项披露不导致对个人数据的过度侵犯。”个人数据跨境传输限制规则被后来更多的欧洲国家数据保护立法参照,后又被旨在协调欧洲数据保护法一体化的欧盟数据保护指令(即1995/EC/46指令,以下简称“95指令”)和GDPR相继发展和继承,并形成一套完善的数据跨境传输规则,上述“不导致过度侵犯”原则的认定进而演化为欧洲委员会对第三方国家数据保护的充分性认定。针对充分性的认定,在欧盟法院关于Scheme案的判决中,欧盟法院认为“充分性”建立在第三国保护水平与欧盟“实质性等同(essentially equivalent)”的情形下,本文认为,欧盟个人数据出境限制实际上采用的是一个危邦不入的理念,它将任何未施行欧盟标准的第三国都视为数据保护洼地,变相地要求只要当境外采用类似欧盟的立法模式后才能获得相应的充分性认定。

由此可见,在数据安全概念提出之前,限制数据跨境传输的最主要的理由是基于对个人数据权的保护。个人数据保护法是国家对于公民个人数据权的确认和保护,系国内立法,其效力应当仅及于域内,除经“冲突法”规则指引而被适用的情形外,则不应具有域外效力。但是,由于对个人数据权的保障方式在于限制其他主体对个人数据的收集、处理、使用以及传输,因此个人数据权的保障与数据传输行为本身形成了不可分割的联系。在网络时代,数据传输早已经打破了国境限制,由于它具有无体性和虚拟性,个人数据传输并不受制于地域的限制,以立法方式限制数据传输至境外看似成为一项数据保护的必然选择。

(二)自由与安全的艰难权衡

自由便利的数据跨境传输规则在贸易协定谈判中是一项共同的诉求,但谈判分歧就在于是否引入、以及引入何种程度的限制性措施。美国作为互联网技术的开拓者,在信息技术领域一直占据领先位置,因此它对数据传输所可能带来的侵害并不如欧盟那么恐惧,其信息隐私立法也更加开放,最初是通过“信息控制权”理论修正其隐私权概念,为个人对其信息的积极控制提供支持。另一方面,相较于欧盟的个人数据权理论,美国运行一套截然不同的隐私规则,美国宪法中未规定个人数据权这样一种权利,但根据宪法第四修正案,公民享有隐私合理期待情形下,有权主张隐私以对抗政府取证,这种隐私保护相对于欧洲个人数据权而言,是一种消极对抗权。美国宪法第四修正案进而发展出“第三方学说(Third-Party Doctrine)”,即“当一个人主动向第三方提供其信息,他将不再享有第四修正案项下的合理隐私期待。”综上而言,作为信息技术优势一方,美国似乎更加重视和强调网络的自由价值,而不是安全价值。

然而,对于后发国家而言,在使用互联网过程中也逐步开始关心数据自由化对信息安全带来的消极影响。周汉华认为,“对于信息控制者而言,从信息安全角度来保护个人信息,本来应该是顺理成章的事情……但是,过去对于信息安全约定俗称的理解,信息安全并不包括个人信息安全和隐私保护。”这一理解将安全和隐私两个问题进行区分,为我们厘清了数据传输规则所涉及第三种法律利益——安全。我国国家安全法第25条将信息安全这一概念正式纳入国家安全范畴,并规定“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。也就是说,可控性是我国在信息安全领域的核心要义,数据本地化措施似乎是实现数据可靠性的重要手段。但是事实真是如此吗?实际上,数据本地化无法从根本上解决数据的可控性问题,因为数据本地存储不意味着数据可以当然地拒绝异地访问,也就是说数据仍然可以为境外的个体所获取,因此是否仍旧以本地化作为数据监管的要求,还是另辟蹊径,以贸易自由为出发点探索更加开放的数据跨境规则?答案显而易见。

三、数据跨境传输的国际机制

(一)作为国际经贸规则的必备要素的数据传输规则

信息化引发的网络空间中数据跨境传输在国际经贸活动中广泛存在,这显然并不局限于ICT行业。在传统货物贸易领域,贸易平台的数字化促进了电子商务的极大发展,跨境电子商务是通过电子交易平台下单,进而通过线下物流服务完成跨境交付,既包括货物,也包括服务。其中,货物需要有物流和配送服务,而服务主要是指数据传输。在服务贸易领域,数字服务囊括了搜索引擎服务、社交网络服务、应用软件服务以及商业机构之间的计算资源共享服务。数字化战略浪潮下,数据传输业已成为越来越成为企业经营的主要活动之一,但由于各国数据保护法规则的差异,数据本地化和跨境数据传输限制正在逐渐成为一项主流。

瑞典国家贸易委员会Kommerskollegium在一份冠以《没有传输就没有贸易(No Transfer, No Trade)》为名的报告中揭示了数据流通对国际贸易的重要意义,它通过访谈形式调查了15家跨国公司的真实情况,分析了数据流通对于企业的商业模式、全球化服务、基础运营、供应链管理等领域均具有重要意义。这份样本调查既包含以ICT业务为主营业务的互联网企业和电信企业(如谷歌、爱立信、eBuilder),还分析了一些立足于传统产业的生产型企业(如沃尔沃、Scania)。这意味着随着电信和互联网技术的普遍应用,电子信息系统业已成为诸多行业不可或缺的基础性生产要素,而数据传输作为维系电子信息系统运行的必要条件,也成为一项不容忽视的国际贸易需求。

(二)国际经贸协议中的数据传输规则

新一轮的贸易谈判已经将问题直接指向数字贸易中的国家行为,其中如何平衡个人数据保护与数据自由流通成为一项普遍讨论的议题。国际经贸谈判中并未彻底否认国家以个人数据保护为由实施的数据跨境传输限制措施,但是这种限制措施应当被克制且遵循比例原则。多边层面,WTO作为全球贸易多边机制开始逐渐重视数字贸易,但是相较于区域性经济组织,WTO数字贸易规则建立相当滞后。WTO至今未能形成与贸易相关的数据保护和数据跨境流动原则,GATs对于数据相关领域的服务准入也语焉不详。但是,该组织显然已经意识到数字经济对全球贸易和WTO组织的重要性,WTO总干事Roberto Azevedo在《2018世界贸易报告》中指出,“WTO框架,尤其是GATs与数字贸易息息相关,并且WTO成员们已经在现有框架寻求促进数字经济之道。”虽然WTO就电子商务(Electronic Commerce),但是如何让数字贸易融合到现有WTO框架中,似乎还需要对“数字服务”(Digital Service)进行定义。在GATs框架内建立数字服务规则地想法仍然停留在学术讨论的层面。

TPP是全球第一个针对数据本地化限制进行反向规定的贸易条约,它代表美国的数据跨境流通主张,有一定的代表意义。TPP第14.13条明确限制“为处理和存储商业信息的计算机服务器和存储设备”进行本地化规定,并且限制成员国不得规定“使用本地计算设备为前提,才能在其辖区内从事商业活动”。然而,针对数据跨境流通,TPP对于“为公共政策的目的”而限制数据跨境进行了免责,具体免责需要满足四项要求。上述免责事由实际上是TPP允许了成员国建立一套本地的安全港规则。但是随后规定了具体的免责条件。正如有学者指出,尽管TPP是首个提出隐私和贸易关联的贸易协定,但是其影响也不应当被过分放大,首先它更多地代表美国利益,并且它也未能形成全球性的数据保护法规制,也没能就现存的数据跨境传输障碍进行直接应对。TPP之后,2020年11月15日,由东南亚国家联盟(ASEAN)的成员和五个区域伙伴的15个国家签署了区域全面经济伙伴关系(RCEP),这可以说是历史上最大的自由贸易协定。RCEP延续了TPP的传统,同样规定了贸易领域下的数据流通条款,在其第12章第15条明确规定缔约方不得阻止条约涵盖的人为商业目的所进行的数据传输,但是也明确了缔约方可以规定数据监管标准。

此外,值得注意的是,新加坡作为RCEP和CPTPP(TPP的更新版本),分别新西兰和智利(DEPA),以及与澳大利亚(SADEA)签署了两份数字贸易协定,并且正在与韩国进行数字经济协议谈判。上述协议相较于多边自由贸易协议,它更加专注于数字经济领域的细节问题,其除了遵守RCEP和CPTPP框架下所设定的基本权利与义务外,就数字经济更加细节问题,例如数据处理、数字身份认证、受信任的数据环境等等问题做出了更加积极的探索,并且专门就数字经济所发生的争议创设争端解决机制。本文认为,这代表着数字经济领域谈判的发展方向。

(三)专门性的数据跨境传输条约失灵

在GDPR生效前,欧洲经济体(EEA)与美国之间的数据跨境传输是在隐私盾协议指引下进行的,隐私盾为可进行数据传输的企业树立了7项数据保护要求。但在2020年7月16日,欧盟法院对Facebook爱尔兰公司诉Schrems一案做出裁决,并正式确认使用为期四年的“美欧隐私盾协议”因违反GDPR中数据跨境传输标准而无效。这意味着美欧之间不再存在政府层面的数据传输安排,美欧数据传输双边机制的真空为企业带来了极大的不安全感。2020年8月10日,美国商务部长威尔伯·罗斯(Wilbur Ross)和欧洲司法专员迪迪尔·雷因德斯(Didier Reynders)发表联合声明,指出“美国商务部和欧盟委员会已开始讨论,以评估增强欧盟-美国隐私保护的可能性遵守欧洲法院7月16日关于Schrems II案的判决的框架。”

美国与欧洲之间的隐私盾框架的失效意味着欧盟对于双边框架的不信任以及对GDPR项下的数据跨境传输规则的坚持,这对中国而言意味着与欧盟达成双边性的数据传输框架将更加困难。因应这种趋势与变化,中国应当一方面完善自身的数据保护法律体系,另一方面应当尽快提出一套完善的数据传输机制。

四、数据跨境传输规则的立法定位与构建思路

(一)厘清数据跨境传输规则的立法原则和关键性利益

数据跨境传输的立法原则是根据其背后的关键性利益所决定的,立法的偏向与价值的选择具有高度关联性。数据跨境传输是贸易自由、个人隐私和信息安全这三种价值的权衡,其中广义的信息安全也覆盖了个人隐私。因此,如何权衡自由与安全这两种价值就是立法原则的起点。《服务创新实施方案》实际上在数据跨境传输立法原则方面探索出一条与网络安全法截然的不同的路径。首先,网络安全法未对数据类型进行明确分类,其主要规制对象为关键信息基础设施的运营者,对于其他类型的个人数据处理者如何向境外传输数据的,则未做明确规定。其次,这一点在个人信息保护法(草案)(以下简称“草案”)中得到相应完善,对于一般个人数据处理者向境外传输数据的,草案明确了在数据主体同意的大前提下,个人数据处理者可在监管部门安全评估、专业机构认证、境外机构合同约定这三种方式下择一而行,实际上给予了个人数据处理者更大的传输自由。第三,《服务创新实施方案》提出了更加务实的数据跨境传输机制构建思路,明确了工作任务在于数据跨境流动安全评估试点、数据保护能力认证机制、数据流通备份审查机制、跨境数据流动和交易风险评估等数据安全管理机制等机制的建立,但问题在于上述机制仍然没有明确建立,也没有回答这些机制在先行法律下实际运行作用和效果将会如何这一关键问题。但至少,《服务创新实施方案》已经为自贸区数据跨境传输机制探索明确了立法原则和关键性利益,那就是更加倾向贸易自由的数据传输机制。

(二)框定数据跨境传输规则的规范行为与对象

《服务创新实施方案》仅提出了区内构建数据传输机制的方向,但是具体实施细则还未落实。换言之,具体的规范行为和规范对象亟须框定。美国政策分析师雷歇尔在一份国会研究服务报告中指出,“数据跨境传输即指位于不同国家服务器中的数据之间的移动”。数据是经过数字化的信息,数据传输就是电子信息交换。数据传输就是以比特为单位的信息在不同载体之间,运用光电原理通过光缆、电缆、路由器等基础设备进行交互存储的行为,传输本质是信息在不同载体中的相继存储,这种存储可能是临时性的缓存,也可能是长期性的存储。数据传输行为造成的结果是数据异地存储,存储的目的往往是进一步处理。进言之,数据的跨境传输势必造成数据的境外存储,并且有可能造成数据的境外处理,其中存储和处理行为在传输后都将发生于境外,而脱离了本地数据法和执法机关的控制与管辖。因此,有学者称,“数据跨境限制规则的根本目的在于防止数据控制者人为将数据转移至数据保护法更为宽松的第三国(“数据天堂”)。”另有学者指出,“对数据跨境传输进行限制措施,是建立在数据存储地域非法侵入行为之间的相关性假设之上。”存储是处理的前提,因此如果需要处理境外数据时,境内的数据处理者必须首先获得境外数据的访问权限,访问本身就是数据传输,因为只要访问行为一经发生,访问端服务器向被访问端服务器发出指令,触发其API机制,从而获取数据,相关信息则就已经缓存在访问者的服务器之中。因此,限制数据传输,实际上就限制了数据跨境访问,当然这种限制是有限的。但是,无论是实践中还是法律规定中对于这一点都没有充分澄清,有据可查的是欧盟法院做出的Lindquist案件。

就规范对象而言,未来的自贸区数据跨境传输实施细则中的安全评估、安全认证、数据备份以及数据传输合同等机制仅针对区内企业还是面向全国也是一个值得思索的问题。本着自贸区先行先试的政策功能,自贸区的数据跨境传输机制适用对象理应被明确限制为区内注册的企业,这种做法一方面缩小了机制所适用的范围,另一方面也为机制铺设更加前瞻与大胆的改革提供动力。

(三)明确数据监管措施的着力方向——单向限制与双向推动

跨境的概念本身暗含着数据出境和数据入境这两个方向的数据流动,然而纵观相关的数据跨境传输内国规则,出境和入境这两个层面的规制程度却并不平衡。从法律监管角度看,数据出境是整个数据跨境传输规则的中心,而数据的入境则面对较少限制。以欧盟为例,欧盟的个人数据保护法下,数据跨境传输规则只规定数据出境行为,而不规制数据入境行为。也就是说欧盟对于域外数据进入欧盟并不加以干涉。

但是,世界范围内仍然存在部分数据入境的限制措施,其中包括强制性的数据输入规则,典型的就是美国的云法案,即在法院开出搜查令时,即便是域外的数据仍然有义务传输回美国,以供司法行政机关进行案件调查。但是,美国云法案所指向的境外数据的输入是建立在法院出具开示令状的前提之下的,实际上并不是法律直接规定了数据跨境输入要求,它的要求间接的来源于法院的司法权。此外,我国也有对于一些境外网站的访问限制,这种访问限制从结果上看实际上也是限制了数据的输入境内,但是这种限制更多的是从技术手段上进行规制,而不涉及法律层面。

虽然从物理层面看,不同方向的数据传输虽然均属于数据跨境流动的范畴,但是监管一词的含义就意味着这种传输是被动的且具有潜在危险性的,实施数据出境的主体对应的是国际经贸活动中的企业,这种传输是企业自发性的,对于监管主体而言,这种传输是被动的且具有潜在危险性的(威胁信息隐私及重要数据安全)。但数据取证的实施主体一般是司法机关,这种由外而内的数据传输实则是主动的,且不具有可预测的危险性。综上,本文认为,数据跨境传输监管应当限制为数据出境监管,对于跨境取证中的数据从外向内的数据传输应当被排除在机制之外。

五、自贸区内数据跨境规则制定原则与可行性举措建议

(一)逐步提高区内个人数据保护标准

以GDPR第5章为代表的数据跨境传输规则,即以评估第三国数据保护能力的方式已经成为主流。换言之,我国企业要想在国际市场对数据领域有所作为,应当逐步接受这种模式的全球化。近年来,随着我国大力发展数字贸易平台,我国互联网企业在众多领域已经取得较强的竞争力。而相较于美国,我国在搜索引擎、社交网络、电子商务等领域仍然存在差距,有学者总结导致这些差距的原因主要集中在三个方面:第一,核心技术能力,数字贸易平台操作系统和相关核心技术仍然掌握在美国企业手中;第二,语言和文化习惯,主要表现在美国企业相比较而言,语言和文化习惯更加接近欧洲,因此能够更加便利的进入欧洲市场;第三,对于严苛的数据保护法律的合规能力,相比而言,美国企业能够更好的适应欧盟严格的个人数据保护法,而我国企业在这方面能力相对较弱。自美欧隐私盾协议失效的背景下,美国对外贸易机关仍然积极就数据跨境传输问题与欧盟方面进行协调,且在美国企业自身发达的法律基础和合规能力加持下,美欧企业仍然能够在较低水平实现其业务的全球化,只是将遭遇更多的罚单和困难。而问题投射回国内,我国应当顺应潮流,积极利用自由贸易试验区这一政策培养皿,积极探索更高的数据保护标准,以应对全球数据保护标准提高的浪潮。

(二)区内对标国外高规格的数据保护标准

自贸区数据保护标准的设立可以参考欧盟数据保护标准。首先,中国互联网服务领先于欧盟,特别是在大数据和云计算领域。阿里巴巴集团旗下的阿里云已经成为继美国亚马逊云之后的全球第二大云服务提供商。大大节省互联网企业走出去的合规成本,如果要获取欧盟数据,企业还是需要主动遵守欧盟规范,自贸区统一按照欧盟的保护标准,相对于帮助区内企业直接获得隐私盾认证,这一方面可以吸引更多的企业来区内增加投资,以减少合规成本,另一方面也可以提高我国企业在国际市场中的竞争力。并且,自贸区中对企业进行统一管理,自贸区甚至可以设置欧盟数据监督机制,引入欧盟专家,这将大大吸引欧盟市场中的企业使用中国提供的数字服务。

此外,就前文所提起的由新加坡等国家主导的数字经济协定中所创设的保护标准,以及数据传输规则,也可以在创建自贸区数据传输机制过程中予以吸收与借鉴。上述协定虽然并未形成具有代表性的国际经贸协定,但由于数字经济所代表的虚拟经济占经济加权不断提升,这种更加全面的数字经济协定必将成为主流。自贸区作为改革试点,有必要采用更加积极和开放的政策,以应对快速变化的国际经贸环境。

(三)构建与完善区内数据保护保障机制

2020年10月1日,由国家市场监督管理总局、国家标准化管理委员会完成修订的《信息安全技术-个人信息安全规范》(《标准》)正式生效,这一标准第8.8条对于个人数据处理者建立投诉机制予以规定。但不得否认,《标准》将数据保护投诉受理权交由企业,而疏于建立政府层面的数据投诉受理机关。换言之,目前国内仍然缺乏具有公信力的数据保障机制。本文建议,自贸区内应当探索与建立类似于欧盟数据保护委员会(EDPB)这样的监管与保障相统一的独立数据保护机构,用以为数据保护所产生的争议提供保障渠道。数据保护保障机制应具有一定程度的立法权限与执法权限,其功能需包括数据保护政策的制定与修改、区内企业与境外企业所发生的数据争议投诉处理。

来源:《上海法学研究》集刊2021年第13卷(欧盟法研究会卷)