摘 要:随着数字时代的发展和全球化进程的加快,跨境数据流动已成为关键生产要素,催生出新的商业模式。跨境数据流动因涉及数据资产的跨境传输,存在个人隐私泄露、网络安全侵害甚至公共利益、国家利益损害等危险,如何平衡跨境数据自由传输和防范数据风险成为关键。本文以跨境电商这一新兴商业模式作为研究对象,系统分析跨境电商数据跨境流动面临的治理困境,并针对性地提出构建完善治理体系的对策建议,以供参考。
关键词:跨境电商;跨境数据流动;数据治理;软法规则;新兴商业模式;数据安全
中图分类号:F242;D923 文献标识码:A 文章编号:2096-0298(2025)03(b)--04
数字经济规模已由2012年11.2万亿增长至2023年的53.9万亿元,11年间规模扩张了3.8倍。[1]总体规模多年位居世界第二。“要大力发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”。[2]数字技术的发展对经济具有倍增效应,数字经济凭借高效、融合的特性,能够提升传统产业资源配置的效率,推动传统产业转型升级,催生新的产业形态。
数字经济是以信息网络为载体,以数字化转型为重要推动力的新经济形态,其中最关键的要素是数据资源,因此数据权属的确定、高效安全的跨境数据流动体系的建立,以及实施安全有效的数据监管,具有理论研究和实践应用的意义。在此背景下,本文从数据跨境现状出发,以数据跨境中的跨境贸易为具体研究对象,从国际贸易跨境数据规则和监管视角,探索保障对外贸易数据跨境安全的路径。
1 引言
1.1 跨境电商业务现状
中央经济工作会议提出,“要加快培育外贸新动能,巩固外贸外资基本盘,拓展中间品贸易、服务贸易、数字贸易、跨境电商出口。”近年来,跨境电商已成为发展速度最快、潜力最大、带动作用最强的外贸新业态。2023年,我国跨境电商进出口总额2.38万亿元,增长15.6%。[3]2022年1月1日,《区域全面经济伙伴关系协定》(RCEP)生效实施,全球规模最大、发展潜力最大、成员结构最多元的自由贸易区起航,也为跨境贸易的发展注入了新活力。
海关总署最新初步测算数据显示,2024年前三季度,我国跨境电商进出口1.88万亿元,同比增长11.5%,高于同期我国外贸整体增速6.2个百分点。从目的地和来源地来看,2024年上半年,我国跨境电商对美国出口占34.2%、英国占8.1%、德国占6.2%、法国占4.5%,对马来西亚、新加坡、泰国、越南、日本等亚洲市场出口表现也比较活跃。美国进口占16.7%、澳大利亚占11.3%、日本占10.6%,德国、法国、新西兰等也是主要的进口来源地。[4]
数字时代,数字技术蓬勃发展,跨境电商以科技创新为驱动,是科技创新和外贸产业相结合的新业态,也是数字时代“互联网+”的创新体现。与此同时,跨境电商主体规模迅速扩张。据统计,全国跨境电商企业数量已超12万家,跨境电商产业园区超1000个,建设海外仓超2500个。[5]
1.2 跨境电商的数据出境
1.2.1 数据出境
数据出境是指数据作为对象跨越边境,进入不同司法管辖区域的行为,即把从境内收集的数据提供给境外,以不同司法管辖区域为标准。在我国现行法律中,“数据”的定义并不统一,存在广义和狭义之分。例如,《中国人民银行法》36条“统一编制金融统计数据”和《广告法》第11条“广告使用数据应当真实、准确”意为数字形成的统计信息。《数据安全法》对数据的定义是“任何以电子或者其他方式对信息的记录”,这里的数据强调以电子方式记录。
在数字时代,伴随计算机技术的应用和普及,信息更多地以数据形式存在,数据和信息两者呈现形式和内容的关系,借助于计算机技术,数据成为信息最重要最有效的表现形式,数据以前所未有的数量涌现,经过处理,形成更有价值的商业数据,应用于智能医疗、智能办公、精准营销、智慧政府等场景。数据出境的数据应采用狭义解释,即以“0”和“1”计算机可读语言存在的数据形式。《个人信息保护法》第四十条规定:“应当将在中华人民共和国境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估”。《数据安全法》第31条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定”。综上所述,数据出境中的“数据”指的是在境内收集和产生的、以计算机可读语言形式存在的,并表现为信息的数据。
数据出境主要看境内收集和产生的数据是否达到被境外主体实际控制的效果。[6]数据实际跨越边境或司法管辖区域当然属于数据出境,数据没有跨越但是被境外主体实际掌控,也应当认为其属于数据的出境。数据出境往往伴随数据的交易和数据处理,可能触及个人信息、公共利益和国家安全。
1.2.2 跨境电商中的数据出境主体和客体
数据出境要遵守《个人信息保护法》《数据安全法》《网络安全法》等法律的规范要求,要遵循《网络数据安全管理条例》(2025年1月1日实施)行政法规,也要符合《个人信息出境标准合同办法》《数据出境安全评估办法》等部门规章的规定。
法律关系包含主体、客体和内容。确定主体和客体是分析法律关系内容,确定法律关系的前提。商业模式存在出口和进口的区别,但不论出口还是进口,因信息技术的应用和跨境电商行业的迅猛发展,各数据主体均有意无意地创造出众多数据,并以计算机可读的形式存储下来。
从跨境电商数据出境主体来看,有数据主体、数据处理者、境外数据接收方以及数据出境主管部门。首先,数据主体,即数据来源主体,是数据的源头。欧盟在GDPR第4条定义中对个人数据进行了定义,指出个人数据是与任何已识别或可识别的自然人(“数据主体”Data Subject)相关的信息,对数据主体的定义是个人信息主体。在国内法律中,“数据主体”一词出现的频率并不高,《医疗卫生机构网络安全管理办法》第22条“不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能”也是将数据主体概念和个人信息主体概念等同,在其他法律法规中,更是直接使用“个人信息主体”的表述,例如《信息安全技术 个人信息安全规范》(GB/T 35273—2020)对个人信息主体的定义是个人信息所标识或关联的自然人、《互联网个人信息安全保护指南》定义为个人信息所标识的自然人。综上所述,数据主体可以视为个人信息主体,是个人信息所标识或关联的自然人。跨境活动中,数据主体是和个人相关的信息主体。其次,数据处理者是跨境主体中的第二类主体,数据处理者包括个人和组织,例如《个人信息出境标准合同办法》《个人信息保护认证实施规则》等规范性文件都有个人信息处理者的相关规定及应用。再次,境外数据接收方,指的是位于境外并从个人信息处理者处接收个人信息的组织或个人,以是否跨越司法管辖区域为标准。最后,数据出境主管部门。数据出境不仅仅关系到上述主体的经济利益,更涉及个人信息主体、社会公共利益和国家利益。因此,数据出境不能完全适用契约主体间的合同自由,必须有代表个人信息主体利益、公共利益和国家利益的主管部门介入,即数据出境主管部门。从《个人信息保护法》《网络数据安全管理条例》《数据出境安全评估办法》以及已出台的地方性数据条例的具体规定来看,数据主管部门统一由网信部门负责,并未按行业或者领域归口到相应部门,这种统一对口管理模式能发挥专业性和效率。
从跨境电商数据出境客体来看,应该是跨境电商数据。2018年通过的《电子商务法》尚未对数据出境作出规范,《个人信息保护法》设立专章详解个人信息跨境提供的规则,对个人信息出境予以了规范,要求开展安全评估、进行保护认证、遵循标准合同规定的权利义务,《数据出境安全评估办法》《个人信息出境标准合同》也对个人信息出境进行了详细规定。《网络数据安全管理条例(2025年1月1日实施)中对个人信息和重要数据出境进行了规范。由此可见,数据出境客体主要针对个人信息和重要数据。
2 跨境电商数据跨境流动的治理困境
2.1 跨境电商主要进出口国数据治理规则具有一定的影响力
在我国跨境电商主要的进出口国家中,美国和欧盟排名前列,因此这两者的跨境数据治理规则值得我们关注。早在1973年美国提出公平信息实践之前,德国黑森州便于1970年颁布了《数据保护法》。在大数据时代来临之前,欧洲的个人信息保护理念就已与隐私作为基本人权的观念紧密相连。1948年的《世界人权宣言》、1950年的《欧洲人权公约》以及1966年的《公民权利和政治权利国际公约》,均将个人的隐私权作为基本权利载入公约。不过,在当时受技术条件的限制,个人信息的收集效率较低,其产生的影响也相对较小。
随着技术的不断发展,尤其是互联网的兴起,个人信息的收集和传播方式发生了翻天覆地的变化。在此背景下,欧洲各国开始通过专门的立法来制定相关原则,以规范个人信息的保护工作。欧洲在个人信息保护立法方面的先行先试,也使其在国际个人信息保护领域占据了重要的话语权。欧盟模式视个人信息为基本人权,其数据治理模式是在启蒙理念下形成的以基本权利为基础的保护模式。在欧盟层面的立法,特别是GDPR实现了欧盟内部的统一规范,实现了欧盟内部数据的自由流动。在欧盟外部,也因其严格的数据管控,增加了其他国家的立法和监管成本,许多国家或地区为了达到欧盟的数据保护标准,不得不调整其数据处理方式,甚至修改其国内的法律法规,这种现象被称为“布鲁塞尔效应”。[7]
美国的数字贸易具有绝对优势,因此美国在数据跨境政策上也体现为数字贸易服务,积极倡导数据自由流动的特点,抵制其他国家的数据本地化政策,以维护其数字贸易的优势,更是在2018年美国颁布了《澄清域外合法使用数据法案》,一如既往地贯彻其长臂管辖原则,即政府可以调取美国数据控制者掌握的数据,无论数据是否存储在美国境内,均体现了其数据治理领域的霸权主义。
2.2 跨境电商数据出境主体的特殊性
数据出境过程中可能面临安全问题,比如数据丢失、篡改、泄露等,还有因境内外法律规则不同产生的法律问题。跨境电商作为数字经济背景下经济全球化的重要表现形式,各种贸易的数字化是数字时代贸易的一大特征,具有数据进出的现实需求,成为顺应数字经济发展的必然趋势。在行业迅猛发展的同时数据安全问题凸显,尤其是数据安全与国家安全日益紧密,平衡数据出境需求与国家安全维护之间的关系日益重要。
跨境电商行业在发展的同时,从业者的数量越来越多,达到12万家之多,主体的数量众多,规模大小参差不齐,很多中小型跨境电商主体,也可能作为跨境数据的主体参与到跨境数据交易活动中。从现有的数据出境管理法律法规来看,主要规范的是个人信息和重要信息的数据出境,《个人信息保护法》对何为个人信息做了定义。从概念上来看,采取了 “已识别”加“可识别”,即“识别说”和“关联说”相结合[8]。从文义解释的角度看,实质上拓展了个人信息的定义。[9]但是对于重要信息尚未有更为明确的规范,具有模糊性和不确定性。
3 对跨境电商数据跨境流动规制的完善建议
3.1 适时制定并调整跨境电商数据跨境流动监管规则
国内监管规则是参与数据跨境流动监管合作的基础, 应就国内监管体系不完善以及监管规则与国际规则不适配等问题, 对数据的跨境流动监管规则进行调整与改进, 构建一种符合国际高水平、高标准、高效率的国内监管体系。[10]
上文对跨境电商数据出境主体分析过程已作分析,目前法律法规对数据出境的客体主要采用狭义的理解,即针对的是个人信息和重要数据。但对于重要数据的重要标准尚未有明确具体的规范,即将实施的《网络数据安全管理条例》(2025年1月1日实施》第29条明确,“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护”。据此,重要数据将以正面清单形式进行规范,采取分级分类保护原则。但具体的内容还有待进一步完善,建议能针对跨境电商这一发展迅速,且天然涉及数据跨境的行业进行额外关注,跨境电商行业近些年发展迅速,尤其是其行业门槛较低,参与主体众多且主体分散,存在较多中小型数据主体,而在跨境电商运营中,根据跨境电商模式的不同,存在平台方店铺和自建店铺的区别,应根据行业特点制定详细有针对性的监管规则,尽快出台分层重点数据目录。
3.2 积极参与并引导国际数据跨境监管合作
数据治理协议碎片化的根本原因在于数据主权及数字经济利益博弈。[11]受限于法律环境、 地理位置等因素, 境内各方了解境外接收方所在国家或地区个人信息保护政策和法律具有较大难度。[12]正因如此,双边或者多边规则有助于数据跨境的监管,尤其是数据跨境传输后的持续监管行为。
跨境电商天然存在跨境因素,涉及不同司法管辖区域,在数据的跨境传输过程中,各司法管辖区能否达成共识影响数据跨境的自由流动。尽管数据是各国争夺的重要战略资源,但在数据跨境自由流动问题上存在合作共赢的可能。我国应积极应对,主动参与并引导国际数据跨境监管的合作。以WTO多边磋商为基础,以对接《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)等国际高标准经贸规则为契机,与世界主要国家尤其是跨境电商主要进出口国之间建立监管合作,在维护国家主权、数据安全的前提下,推进数据跨境流动。加强对跨境数据流动的监管和执法力度,并加强与联合国(UN)、二十国集团(G20)、世界贸易组织(WTO)等多边国际组织的规则协调对接,建成良好的数据安全生态系统。[13]
数据跨境监管合作要有针对性和灵活性,根据合作的对象适时调整合作方式。一方面,美国的数据产业、数据治理能力更加完善,在跨境电商贸易中,坚守数据主权和数据安全底线;另一方面,对于数据监管要求更高、规范性更强的欧盟,则要考虑监管成本。此外,“一带一路”很多国家也是跨境电商贸易新兴体,重要性愈发突显,跨境电商业务量伴随数据产量,应努力拓展在“一带一路”的影响力和规则话语权。
3.3 重视软法规则,推动软法硬法协同共治
国家软法规则在国际贸易中发挥着重要作用,最为人所熟知的当属国际贸易术语。例如,《跟单信用证统一惯例》《国际贸易术语解释通则》虽然属于软法规范,但适用范围广泛,一旦当事人选用,即发生硬法般的效力。
当前,个人信息跨境保护国际软法中的监管型规则和市场型规则均已呈现出大国先占优势,尤其是监管型规则中各国分歧较难弥合。因此,为完善个人信息跨境保护的国际软法理论与实践,我国可以发挥非政府力量,改善在个人信息跨境保护市场型软法规范制定上处于低位的现状,积极鼓励跨国数字企业、产业联盟,甚至专家个人参与相关软法的制定。[14]
4 结语
跨境电商作为数字时代技术和传统外贸相融合的创新商业模式,正以迅猛的速度蓬勃发展。在跨境电商商业模式下,数据主体有意或无意产生了大量数据,而数据作为重要战略资源,是可交易的客体。在跨境电商实际运作中,因涉及数据的跨境流动,相关主体不能完全适用私法契约自由的理论,更要关注个人信息主体利益、公共利益和国家利益,而各司法管辖主体间的政策规则不一致,给数据跨境监管带来了诸多难题。随着跨境电商贸易的进一步发展,我国应以WTO多边磋商为基础,以对接CPTPP和DEPA等国际高标准经贸规则为契机,根据不同主体特征,采取差异化策略,与世界主要国家,尤其是跨境电商主要进出口国构建监管合作机制,力求完善数据跨境规制制度,并促进行业的健康发展,平衡跨境数据安全和数据自由流动,更好地发挥数据资源的价值。
参考文献
从11.2万亿元到53.9万亿元: 数字经济发展动能强劲[EB/OL]. 中国政府网, https://www.gov.cn/yaowen/liebiao/202409/content_ 6976033.htm,2024-09-24.
习近平: 在党的二十届三中全会第二次全体会议上的讲话[EB/OL]. 理论网, https://www.cntheory.com/xwtt/202409/t20240915_ 66743.html,2024-09-15.
海关总署: 2023年我国跨境电商进出口2.38万亿元 增长15.6%[EB/OL].中国经济新闻网, https://www.cet.com.cn/cjpd/qwjd/ 10003982.shtml,2024-1-12.
1.88万亿元!前三季度我国跨境电商继续“加速跑”[EB/OL]. 新华社, https://www.gov.cn/lianbo/bumen/202410/content_6980 300.htm,2024-10-14.
新华鲜报跨境电商贸易规模增长超10倍!这个“仓”不一般[EB/OL].新华社, https://news.cnr.cn/native/gd/20240615/t20240615_526747902.shtml,2024-06-15.
魏远山.论跨境数据流动的内涵与原理[J].政法学刊, 2021, 38(1): 110-121.
申明浩, 姚凯辛, 沈晓娟.数据自主权、数据保护与数据流动的不可能三角问题: 以粤港澳大湾区跨境数据治理为例[J].南方经济, 2024(9): 45-55.
于晓洋, 何波.我国《个人信息保护法》立法背景与制度详解[J].大数据, 2021, 12: 5.
李静宇.数字时代个人信息保护与合理使用[J].未来与发展, 2022, 46(6): 36-41.
文铭,谭榕. 数据主权视阈下数据跨境流动监管合作及中国因应[J]. 国际贸易, 2024(6): 5-14.
岳树梅,徐昌登. BRI数据安全治理协同机制构建研究[J/OL]. 南京邮电大学学报(社会科学版), 1-17[2024-10-23].
梅傲,谢冰姿. 全球数据监管竞争下我国个人信息出境标准合同研究[J].国际贸易, 2024(6): 15-23.
赵祺. 中国-东盟跨境数据流动治理合作: 现实与路径选择 [J]. 南洋问题研究, 2024(3): 85-98.
姚若楠.个人信息跨境保护的国际软法之治与中国路径 [J/OL]. 武大国际法评论, 2024(4): 56-75[2024-10-23].https://kns.cnki.net/kcms2/article/abstract?v=_GofKS1StuTXrqOXfq-RgrJZ8jPcFYwmscSnkaZigCcGP4ty5lTD7E5-A4UWzKIHTanljbDe7gmJZ10BomCcIOQTwR2AdybwmJ8MiwcxWeJziKVZX3hZbASyMQbuQWVc2HOnNf7Uilsw-acSDUDgVY-fU5aLNbANbv4MtIjvXw-B2N9yhqZ6kCIPtDFeXRTIamp;uniplatform=NZKPTamp;language=CHS
