个人数据跨境流动规制中的“长臂管辖”及我国的对策

数据是数字化时代关键的国家战略资源,数据安全是国家安全与发展的核心利益所在。在大数据背景下,欧盟出台了旨在保护个人数据的《通用数据保护条例》,美国出台了旨在数据自由的《澄清域外合法使用数据法》,上述规则中的“长臂管辖”条款在全球颇具特色且备受争议。欧美个人信息跨境流动规制中的“长臂管辖”对我国的国家安全、商业利益保护和个人隐私保护构成了重大挑战。中国必须秉持主权平等与自主发展原则和合作与共治原则,以坚定个人数据跨国流通的安全性为前提,健全相应法规保障制度,并出台个人数据跨国流通行业自律标准指南,积极参与个人数据跨国流通的全球规范制订。     

我国数据出境安全治理的多重困境与路径革新

数字经济时代,数据的出境治理关乎国家安全、经济发展和贸易繁荣。当前,我国的数据出境安全治理面临着多重困境,主要表现在数据安全的概念过于模糊难以成为法治价值目标,数据出境规则设计不周延难以有效监管数据出境,数据出境监管过严导致黑灰数据产业难以遏制等。数据出境安全治理的困境根源在于技术安全难以保障,数据出境安全治理的本质价值在于确保政治安全,信用法治是合理平衡个人隐私安全与商业利益安全的创新路径。通过对我国数据出境安全治理规则的界定、解读与适用的思辨研究,建议我国在立法上确保个人权益与商业利益保护之间的合理平衡以促进数字技术的提高,进一步丰富数据出境安全治理规则以确保政治安全,多措并举引导数据出境安全治理规则的灵活适用以建设信用法治,多元共治推动数据出境安全治理的深入落实以实现我国数据出境的路径革新。     

云数据跨境流动的监管

<正>数字经济发展进程中，云数据具有极高的经济价值和战略价值。当下“云端”安全的内涵和外延发生了深刻变化，涵盖跨境数据流动。对云数据跨境流动的监管，是“云端”安全防护的题中应有之义。跨境数据安全随着企业数据跨境传输、访问、使用频次和容量大幅上升，跨境数据流动的风险越来越大。据《企业跨境数据流动安全合规白皮书（2023）》，当前企业在跨境数据流动上面临多重挑战：一是跨境数据流动面临流出国与流入国之间在数据保护、数据监管等方面的法律冲突；二是依据我国相关法律法规，企业须识别跨境数据在境内、     

论数据出境评估、合同与认证规则的体系化

《数据出境安全评估办法》的施行与《个人信息出境标准合同规定(征求意见稿)》的公布意味着我国数据出境安全制度初步形成。不过，这种制度仍然存在体系程度不足的现实问题：一是内在体系层面的部分制度内容交叉；二是外在体系层面的制度关联性不足；三是现有体系架构有待上位法依据支撑。数据出境安全规则具有鲜明的实践特征，仅以信息自主权等理论难以解释制度实施层面的现实问题，因而有必要按照“识别、评估、缓解、预防”的数据安全风险管理逻辑，将数据出境风险划分为国家安全风险、违约责任风险、技术安全风险、其他未知风险四类，并按照风险水平采用“安全评估单列，其他制度互补”的体系架构解决对应的数据出境安全风险。     

数据法律冲突中适用国际礼让原则的理论基础、实践应用与中国镜鉴

近年来国家间数据主权倾轧导致数据法律冲突愈演愈烈。由荷兰法学家优利克·胡伯提出、美国法学家柯里完善的“国际礼让原则”经过法院的不断演绎,逐渐细化为以存在真实法律冲突为前提、以衡量各方利益为方法、以主权的自我约束为本质的具体规则。国际礼让原则服务于政治目标的单边主义倾向不言而喻,但是其多元化分析的特点加上对主权权力的克制,在协调国家之间数据法律冲突方面有突出的作用。在数据法律冲突主要存在的数据立法的域外适用、数据执法机构获取域外数据和跨境数据企业在一国执行他国数据相关判决三个情形当中,国际礼让的适用已经体现出了维护本国固有利益、缓和数据主权冲突的正面意义。国际礼让原则虽然不是我国正式的法律渊源,但在我国走向全面开放的历史新格局中,在立法、执法、司法方面适当借鉴国际礼让的适用规则,既符合我国谋求国际合作的一贯立场,也能为我国提升国际话语权、建立负责的大国司法形象提供帮助。     

论数据使用保护的国际知识产权制度

商业组织在全球范围内使用数据获得法律保护是数据经济进一步发展的基石。对数据使用的知识产权保护意味着保护“数据”的各种外在呈现形式,尤其是数据集合。数据经营者对数据经济的贡献、数据主权和数字人权带来的现实障碍提出了迫切要求。以德国、美国和日本为代表的主要国家对数据使用保护进行的知识产权立法为数据跨境流动相关制度研究提供了基础。世界贸易组织、世界知识产权组织以及欧盟对数据使用提供了现实保护,但是现有国际法律制度无法对大量存在的非独创性数据集合提供充分保护。其原因包括各国发展水平不一致、数据主权和个人数据保护受到更多关注、国际法碎片化发展趋势等。对此,应在数据相关制度和实践中坚持促进数据使用为指导原则;在TRIPs体系内构建非独创性数据集合制度,该制度在保护数据集合专有权的同时应注重平衡个人数据保护、数据主权和公众信息获取权。立足中国参与全球数据治理现状,中国应在著作权法体系下构建非独创性数据集合有限排他权,并完善相关立法和实施以促进跨境数据流动。     

论数据垄断:大数据视野下反垄断的法理思考

大数据对传统反垄断理论在法理层面提出了挑战,数据垄断需要重新思考市场力量判断、必要设施原理与消费者保护问题.通过对大数据的特征与反垄断理论进行法理层面的分析.首先,大数据对企业市场力量或垄断地位的强化非常复杂,不能一概而论,应当根据企业的所涉及的平台类型、网络效应特征、多宿主等情况来分类分析.其次,法律可以结合不同数据的类型,促进数据的合理共享流通.最后,数据隐私保护可能构成反垄断议题,但应避免将数据收集增加简单等同于产品质量下降.应注意数据隐私保护与反垄断制度的分工与配合,法律不应过多依赖反垄断法解决数据隐私保护,但可以将数据隐私保护作为衡量企业市场力量的参照.     

论刑事跨境取证中的数据先行冻结

网络犯罪的有效打击依赖于及时获取相关数据。在刑事跨境数据取证场景中,数据的高灭失风险与复杂的取证程序之间的矛盾催生了数据保全的客观需求。数据先行冻结作为一项证据保全措施,针对的是具体案件中可能作为证据使用的数据,在其存在灭失、损毁风险的情况下,通过先行固定该目标数据以化解上述矛盾。数据先行冻结具有附属性、临时性、保全性、非必要性等特征,其功能主要在于服务后续跨境侦查取证措施,不仅可以与各类跨境取证措施相衔接,同时对于国家主权和公民个人信息保护等权益的干预程序亦相对较低,可以有效弱化跨境取证中的规则冲突。在其具体程序建构中,需要国内法和国际法相配合以提供正当性基础,明确其程序要素,并着重为网络信息业者和个人信息主体提供必要的权益保障机制。     

DEPA个人信息跨境流动的规则检视与中国法调适

数字经济背景下,世界主要国家均在积极探索协调个人数据信息保护规则与跨境自由流动规则。《数字经济伙伴关系协定》(DEPA)要求成员国寻找到个人数据信息跨境自由流动及其安全权益保护的合理平衡点,以期形成统一的个人信息跨境流动保护与监管的合作机制。我国正推进加入DEPA谈判,但国内法关于个人数据信息跨境流动的规则,与DEPA有关规则之间存在立法理念目标、规则设计目的和限制判定标准等方面的差异。中国式涉外法治现代化语境下,为更好调适融通我国国内法与DEPA的个人信息跨境流动规则以促进数字贸易发展,应合理援引例外条款维护国家主权安全利益,完善个人信息保护可信任标志及认证制度,厘清需要严格保护的个人信息的范围与内容,加强与DEPA成员国之间的个人信息跨境流动保护与监管合作机制。     

论跨境数据流动的内涵与原理

通过以技术发展、作用对象和概念术语为视角对跨境数据流动的演进历程进行梳理,并分别从"数据""跨境"和"流动"三个维度把握其内涵与外延,发现数据跨越国界并非跨境数据流动的必需环节,不发生地理位置变化的跨境访问也可实现数据被境外主体掌控的效果。因此,将跨境数据流动界定为一国非公开机器可读的数据,可被境外主体控制或处理的过程,并据此勾勒出跨境数据流动的一般原理。     

数据生产论下的平台数据安全保障义务

《数据安全法(草案)》构建了平台数据安全保障义务框架,包含着数据安全制度、个人信息权利保护与监管配合义务三个维度。传统的民事侵权责任理论已经无力解释平台的数据安全保障义务的庞杂体系与多样化内容。应从数据社会生产的角度分析,平台已经成为了数据生产要素提取加工者、数字经济基础设施、数字经济多边市场。根据霍菲尔德的"特权-无权力"框架分析,平台的数据安全保障义务的扩张,实际上是数字经济社会生产中膨胀的平台权力的纠偏机制。合理的平台数据安全保障义务应以数字生产论为基础,合理设置平台对数字产品的质量责任与安全生产义务,划定平台数据安全保障义务的边界,促进数字经济发展。     

欧盟跨境数据流动的法律探究

本文对欧盟数据保护的法律渊源和跨境数据流动的法律设计进行了分析，研究了欧盟数据跨境流动的基本法律原则和不同实践形式，提出了建立数据跨境流动的设计原则。     

享受美好数字生活,数据“安全锁”必不可少

随着数字经济的加速发展,加强数据治理、保护数据安全,为数字经济持续健康发展筑牢安全屏障,成为时代发展的客观需要近年来,中国网络空间的法治化建设按下了“加速键”。《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》陆续施行,《网络数据安全管理条例(征求意见稿)》向社会公开征求意见,与数据治理、数据安全相关的法律法规体系得到进一步完善。     

信息技术与主权概念

威斯特伐利亚体系中的主权概念总是与一定的地理空间相关联。虚拟世界与地理空间相对疏离,信息技术对主权概念构成冲击。其中,互联网技术对主权概念的冲击尤为强烈。应对这种冲击的进路包括区隔的进路和关联的进路。区隔的进路主张虚拟世界自身生成主权概念,这种主张无法逻辑圆融,其中的自由主义进路和制度主义进路均无法提供可行的实践方案,需要国家主权进入。关联的进路关注虚拟世界和真实世界的关联,着力思考国家对跨境信息流动的管制,形成强主权模式、弱主权模式和程序主义模式三种观点,各有优劣。信息主权是处理国家主权与信息技术关系的核心概念,包括信息保护权、信息管理权和信息资源共享权,信息主权的行使应符合辅助原则。     

数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失.在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确.在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定"知道或应当知道"、"采取必要措施"以及"违反安全保障(数据安全保护)义务"的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任.     

后“SchremsⅡ案”时期欧盟数据跨境流动法律监管的演进及我国的因应

“SchremsⅡ案”对以隐私权和数据保护为核心构建的欧盟数据跨境流动规则体系产生重大影响,它要求无论使用何种数据跨境流动工具,都必须确保第三国能够提供与欧盟同等的保护水平。在该案的影响下,《欧盟基本权利宪章》在数据保护领域的地位进一步提高,保障措施的适用愈发严苛,欧洲数据保护委员会在数据保护领域将扮演更重要的角色,数据跨境流动欧盟法规则与国际贸易法的不兼容问题日益凸显。欧盟虽然结合SchremsⅡ案的判决完善了对数据跨境的法律监管,但依然没有减少外界对其监管合理性的质疑。我国对数据跨境流动的监管存在着配套立法不健全、规则可操作性差、多元价值失衡、缺乏内外联动的“中国方案”等问题。对此,应完善我国相关立法,加强中欧国际合作,共同引领构建数据跨境流动的国际规则。     

刑事司法中的数据安全保护问题研究

刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注.刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管.具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度.     

论数据犯罪的立法重塑

当前《刑法》所规定的数据犯罪主要源于前数字经济时代，所保护的数据类型及对侵害行为的规制皆无法适应数字经济时代的发展需要，对既有规范的刑法解释亦无法实现对数据法益的妥善保护，立法断层与司法瓶颈并存。数据分类分级保护制度为刑法介入数据保护划定了合理界限，值得刑法保护的数据应被限定为《数据安全法》等前置法所特别保护的重要数据，一般数据不宜过早地被纳入刑法保护范畴。承载私法益的个人数据和企业数据能够通过《刑法》所确立的关联犯罪得到妥善保护，没有必要通过增设新罪予以重复保护。基于对数据犯罪立法的体系性考察，建议增设非法处理重要数据罪，以衔接《数据安全法》等，弥补对关乎国家安全、公共利益的重要数据的保护空隙，同时对侵犯公民个人信息罪进行必要的立法扩容，以回应实现全流程规制非法处理个人信息数据行为的实践期待。     

跨境电子数据取证中的冲突与对策

刑事案件跨境电子数据的取证中面临着两个难点:电子数据侦查与公民个人信息保护之间的冲突、跨境电子取证与司法管辖权之间的冲突。应平衡案件侦查与公民个人信息保护之间的关系,建立网络服务商义务协助机制、完善公民个人信息保护的相关法律。平衡跨境电子取证与司法管辖权之间的关系,在坚持我国司法主权独立的基础上加强跨境电子数据取证的合作,基于公民隐私程度、案件危害程度、不同对象、取证阶段等因素建立分层次的电子数据跨境取证模式。跨境电子数据取证中保证各类电子数据的完整性,提高侦查技术水平。     

论国际刑事法院管辖权的社会基础

国际社会的主权体制与全球化的客观趋势，构成国际刑事法院管辖权的社会基础。主权体制与全球化存在一定的矛盾，主权国家的社会体制要求以国家主权原则作为社会运行的基本准则，全球化的国际社会则强调人类利益的总体保护，要求贯彻全球治理的原则。但二者又具有契合点，即国际社会的正常秩序。国际社会主权体制与全球化的矛盾与统一必然反映到国际刑事法院的管辖权上，国际刑事法院管辖权一方面要尊重国家主权，但同时也不免带有超国家权力的因素。