盘点：数据跨境流通国际攻防战

　　从进攻角度看，核心在于加强境外数据的获取，美国的《澄清域外合法使用数据法案》（Clarify Lawful Overseas Use of Data）和欧盟《涉刑事电子证据生成和存留命令条例（建议稿）》（Proposal for a Regulation on European Production and Preservation Orders for Electronic Evidence in Criminal Matters）均以此为核心。数据跨境流通中的进攻策略主要包括以下三个方面。第一是强化企业的配合执法义务，从以往公对公的数据流通模式转变为直接针对企业本身的模式。第二是弱化程序性限制，特别表现为强烈的去司法化和强行政化特征。第三是加强数据获取方对流通过程的控制，即以企业配合为原则，辅之以特殊情形下与第三国的沟通机制。

　　从防守角度看，核心在于限制境内数据的出境，GDPR和欧盟《有权机关为刑事犯罪预防、侦查、起诉、刑罚执行处理个人数据中的自然人保护指令》（Directive on the Protection of Natural Persons with Regard to the Processing of Personal Data by Competent Authorities for the Purposes of the Prevention, Investigation, Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties），即《2016/680指令》，即承担该任务。数据防守相关策略的核心在于制造权益冲突，具体表现为两套思路。第一套思路是强化本国监管，主要表现为对于数据属地的强制性规定，以及对于数据安全的评估和审查，该思路的运行结果是形成数据监管层面“权力——权力”冲突。第二套思路是强化基本权利保护，主要表现为加强数据主体对于个人信息的控制和司法救济，同时强化企业的数据保护义务，该思路运行的结果是形成数据保护层面“权力——权利”冲突。

　　（三）GDPR为代表的欧盟数据攻防机制

　　GDPR对于国际数据跨境流通秩序的影响必须放置在欧盟整体数据策略之下进行分析。这主要包括两个方面的含义。

　　首先，对于GDPR的影响分析需要结合欧盟其他相关立法活动。GDPR仅涉及欧盟数据攻防策略的一小部分，对于基于公共利益和刑事司法等方面考量的数据流通需求，在防守的层面有与GDPR同期制定的《2016/680指令》，在进攻层面有《涉刑事电子证据生成和存留命令条例（建议稿）》，这些立法活动彼此相互配合、补充，共同构成欧盟的数据攻防法律体系。

　　其次，对于GDPR的影响分析还需要结合相关判例。包括欧洲人权法院（European Court of Human Rights，ECtHR）和欧洲法院（European Court of Justice，ECJ）等在内作出的司法裁判不仅会直接涉及GDPR相关条文，还会通过对特定概念的解释影响GDPR的实际应用效力。例如欧洲法院在2018年6月5日作出判决（第C-210/16号判决），就认定在Facebook上创建粉丝页面（fan page）的企业在获取用户数据的问题上同属于“数据控制者”。尽管ECJ的判决针对的是1995年《指令》，但是鉴于GDPR照搬了1995年《指令》关于“控制人”（controller）的定义，该判决将同样影响GDPR的适用，进而意味着未来可能面临违规风险的不仅仅是网信企业，还可能涉及普通企业。

　　结合以上两点，可以看到，GDPR不仅仅是欧盟个人信息保护规则体系的组成部分，还是当前各国或各区域数据主权争议的集中映射。从这个角度讲，不应仅将GDPR理解为一部私权保护法，而是需要关注到其在制造“权力—权利”冲突方面的重要作用，这种冲突形成欧盟对于数据出境的重要保护屏障，特别是考虑到充分性认定的相关规定，第三国的权利保护水平也会成为欧盟数据跨境流通中的防守机制的组成部分。

　　三、数据跨境流通攻防的中国应对

（编辑：网站开发网_盐城站长网 ）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!