根据中国信通院最新发布的《中国数字经济发展与就业白皮书(2018年)》显示,近年来中国数字经济规模保持快速增长,2017年我国数字经济总量达到27.2万亿元,数字经济对GDP的贡献为55%,占GDP比重达到32.9%,数字经济已成为近年来带动经济增长的核心动力。[ 中国信通院政策与经济研究所 ,2018年04月25日,http://www.caict.ac.cn/kxyj/caictgd/201804/t201804 28_159830.htm] 2015年李克强总理在第十二届全国人民代表大会上提出制定“互联网+”的行动计划,这是我国在顶层制度设计上对互联网领域发展提出的战略要求;紧接着2016年习近平总书记又提出了“要加快网络立法进程,完善依法监管措施,化解网络风险”的要求;同年11月我国又出台了首部《网络安全法》,个人数据保护已在我国受到重点关注。
《网络安全法》首次明确了中国数据跨境流动的基本政策,其相关配套规定《个人信息和重要数据出境安全评估办法(征求意见稿)》以及《信息安全技术数据出境安全评估指南(草案)》也以“维护国家安全、社会公共利益,保护公民、法人和其他组织的合法权益”作为立法目标。[ 参见《网安法》第1条、《个人信息和重要数据出境安全评估办法(征求意见稿)》第1条。 ] 这些实体法的出台填补了我国在个人数据保护上的空白,对我国国家安全以及公民个人隐私数据保护有着重大意义。
其次,在FTA实践层面,2018年10月中国与智利的自贸协定升级协议获智议会批准。升级后的中智自贸协定包括政府采购,竞争政策和电子商务等规则,并通过精简海关手续等措施促进电子商务。这也是中国首次与拉丁美洲国家完成的自由贸易协定升级。[ 中国日报网,2017年11月23日,http://europe.chinadaily.com.cn/business/2017-11/23/content_34882792. htm]
(一)完善我国国内个人数据保护体系
1. 完善我国有关个人数据保护的立法
我国目前已经着手出台个人数据保护方面的法律规范,但相比于欧盟成熟且完善的体系性立法,我国国内法在保护个人数据以及跨境数据流通方面依然薄弱,仅涉及个人数据国内保护,对于个人数据保护的具体规则不够细致和全面,也未对跨境数据转移限制做出明确规定。[ 张金平:“跨境数据转移的国际规制及中国法律的应对—兼评我国《网络安全法》上的跨境数据转移限制规则》”,《政治与法律》,2016年第12期。 ]同样,我国在区域以及双边贸易领域虽有立法尝试,[ 我国所签署的多数投资条约都遵循欧式投资条约的模式,在内容规定上十分简单。即便晚近签署的条约和自由贸易协定,如中加投资协定、中日韩投资协定、中澳自贸协定和中韩自贸协定,开始贯彻可持续发展的理念,重视外资保护与东道国规制权之间的平衡,但是目前没有一个协定明确涉及跨境数据流动。]但与欧盟已经在协定中明确规定跨境数据流动不同,我国目前所签订的投资协定中并未具体涉及该问题。这就导致国内较低的立法保护水平与外国高水平立法之间的差距令我国在处理国际个人数据保护法律问题时显得越加捉襟见肘。为此对数字经济制定完善的法律规范已迫在眉睫。
因此,我国应该积极借鉴欧盟发达国家和组织的经验,明晰个人信息保护法律体系的立法思路,完善实体法律规范,深度考量如何采取科学有效机制,以有效平衡数据流动所带来的发展与安全利益,并在促进我国国际贸易发展的同时,实现并维护国公民个人隐私权利和国家的主权安全的平衡。
2. 突出我国个人数据保护规制的特点
各国政府都承认保护个人数据隐私的必要性,但在跨境数据使用和保护领域,美欧这两大阵营有着不同的倾向性。在立法原则方面,欧盟则更加关注合同的实质内容,公司与用户在数据使用和保护方面不对等的权力结构与潜在风险是其主要的考量因素;而美国的数据隐私保护坚持“法无禁止即可为”的合同原则,即没有明确的法律限制,公司可自由使用个人数据。因此归根到底产生这两种不同的治理机制在于各国的规制传统与制度体系的差异,欧盟以数字保护为主,而美国则更关注数字贸易的数字性。
一国的数据治理机制和规制传统密不可分。一方面,我国是发展中国家身份以及我国与欧盟和美国的政治体制差异决定了我国不能全盘接受欧盟或者美国的数据治理模式;另一方面,我国对数据跨境流动活动的干预似乎更深更直接。因此,如何在与欧盟以及美国进行双边投资条约谈判中提出中国立场和有利于我国自身的主张,并展示出我国自身的个人数据保护的特点,就显得尤为关键。因此,我国在构建个人数据保护的制度框架时,应该借鉴欧盟的经验,在原则和立场上给予重点关注,形成中国模式。