数据跨境传输规则的新发展与中国因应

从欧美《隐私盾协议》失效到欧盟委员会新近对欧盟-美国数据隐私框架作出充分性决定,欧美间的数据博弈既反映了欧盟“权利本位”与美国“市场本位”的价值取向之争,又体现了欧盟利用“布鲁塞尔效应”扩大其监管力的基本策略。标准合同条款在数据跨境传输中发挥着重要作用,欧盟也在新一轮数据博弈中对相关规则进行了更新。欧盟关于数据跨境传输规则的调整在给中国企业的数据跨境传输带来消极影响的同时,也为中国数据保护水平的提升提供了新的机遇。在规则变革的浪潮下,中国应当倡导融合性价值取向,对内完善自身的数据跨境传输制度,对外加强数据传输的国际合作,提升中国在国际数据规则制定中的话语权。     

论数据使用保护的国际知识产权制度

商业组织在全球范围内使用数据获得法律保护是数据经济进一步发展的基石。对数据使用的知识产权保护意味着保护“数据”的各种外在呈现形式,尤其是数据集合。数据经营者对数据经济的贡献、数据主权和数字人权带来的现实障碍提出了迫切要求。以德国、美国和日本为代表的主要国家对数据使用保护进行的知识产权立法为数据跨境流动相关制度研究提供了基础。世界贸易组织、世界知识产权组织以及欧盟对数据使用提供了现实保护,但是现有国际法律制度无法对大量存在的非独创性数据集合提供充分保护。其原因包括各国发展水平不一致、数据主权和个人数据保护受到更多关注、国际法碎片化发展趋势等。对此,应在数据相关制度和实践中坚持促进数据使用为指导原则;在TRIPs体系内构建非独创性数据集合制度,该制度在保护数据集合专有权的同时应注重平衡个人数据保护、数据主权和公众信息获取权。立足中国参与全球数据治理现状,中国应在著作权法体系下构建非独创性数据集合有限排他权,并完善相关立法和实施以促进跨境数据流动。     

数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察

欧盟《一般数据保护条例》是个人数据保护的重要立法之一,而其中的“长臂管辖”条款是最有特色并颇受争议的规则。从内在视角来看,欧盟语境下个人数据的特殊含义和重要地位,是“长臂管辖”的正当性基础。而其在制度上形成内外联动的局面,是因为欧盟想扭转其在全球互联网和信息产业的劣势地位,并增强其在全球数据保护立法的话语权,同时更好地保护个人数据和国家安全。对此,中国未来的数据保护立法应结合自身数据产业的特点,明确立法旨意,形成内外联动,在国际互联网和数据治理中采取积极有为的态度,掌握该领域的话语权。     

欧盟跨境数据流动的法律探究

本文对欧盟数据保护的法律渊源和跨境数据流动的法律设计进行了分析，研究了欧盟数据跨境流动的基本法律原则和不同实践形式，提出了建立数据跨境流动的设计原则。     

云数据跨境流动的监管

<正>数字经济发展进程中，云数据具有极高的经济价值和战略价值。当下“云端”安全的内涵和外延发生了深刻变化，涵盖跨境数据流动。对云数据跨境流动的监管，是“云端”安全防护的题中应有之义。跨境数据安全随着企业数据跨境传输、访问、使用频次和容量大幅上升，跨境数据流动的风险越来越大。据《企业跨境数据流动安全合规白皮书（2023）》，当前企业在跨境数据流动上面临多重挑战：一是跨境数据流动面临流出国与流入国之间在数据保护、数据监管等方面的法律冲突；二是依据我国相关法律法规，企业须识别跨境数据在境内、     

欧盟跨境刑事取证的立法模式

随着欧洲一体化进程的深入,欧盟及其成员国在打击跨境犯罪和犯罪分子自由流动上存在着共同利益,但要制定一部超越国别的欧盟刑事证据法典依然遥不可期.在跨境刑事取证立法中,欧盟存在着统一规则和相互承认两种立法模式,从现有立法看,后一种模式已成为欧盟立法者的现实选择.在后里斯本时代,欧盟在跨境刑事取证上实现了“超国家”的立法运作,欧盟跨境刑事取证立法存在着两种模式融合的趋势.欧盟的立法经验对中国区际刑事取证立法有重要启示.     

欧盟的规则，全球的标准? 数据跨境流动监管的“逐顶竞争”

欧盟的数据政策，对内始终服务于以公平贸易与基本权利为代表的欧盟共同价值观，对外则具有明确的法律输出动机，从附带性输出发展为战略性输出，意在成为全球数据规则和标准的制定者。欧盟数据跨境流动监管表现为两类法律输出途径，一是数据规则的显性输出，以充分性认定和标准合同条款为典型，二是数据标准的隐性输出，以欧洲法院司法审查为代表。欧盟数据监管模式的全球输出是数据监管全球趋同的范例，对此，传统法律移植、私人法律移植、规范性力量和布鲁塞尔效应可以提供多元理论解释。欧盟模式的全球化表明，数据规则和标准越严格，法律趋同越容易实现，现阶段数据跨境流动的全球监管也确实呈现“逐顶竞争”趋势。但在全球价值链下，特定数据监管模式的全球扩张暗含价值提取逻辑，欠发达国家恐面临“数据殖民”风险，强监管的局限性和破坏性尚未被充分识别。市场才是全球数据监管竞争的底层逻辑，我国应对数据市场松化监管，坚持自由市场和合同自由原则，为数字产品和服务的典型合同设置任意性规范，为数字产品和服务提供替代市场。     

企业数据合规的构建与落地

2022年,党的二十大报告指出,要“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”。数字经济已成为产业变革的重要引擎,是高质量发展的核心驱动力。伴随数字经济时代的到来,国内数据保护立法取得了飞跃式发展。网络安全法、数据安全法、个人信息保护法等共同构建了我国数据保护领域的行政监管法律体系,其中不仅规定了数据处理基本规则,还规定了企业数据合规管理义务,这种预防性监管方式标志着数据领域全行业强制合规制度的确立。     

跨境电子支付服务风险监管法律问题研究

“支付”作为给付行为的重要形式,是保证交易顺利完成的标志性事实。以计算机信息技术为特征的技术创新使得现代支付体系产生了革命性的变化．电子支付服务正深深地影响着国际商务和个人跨境消费。电子技术本身的特殊性、支付主体和接收主体的多样性及不同国家电子支付监管规则的差异性造成跨境电子支付服务中存在多重风险．这需要完善相关国际法规则、协调主权国家之间进行电子支付法律规范及加强法律技术合作等。我国电子支付服务监管立法应当以传统监管体制为基础．以跨境电子支付风险特征为核心．构建以中央银行监管为主体的多层次监管结构,以此促进安全、高效的跨境电子支付服务。     

语音数据法律风险防范的本土制度构建

伴随着智能语音助手的广泛运用,语音数据的重要性开始逐步显现,必须在语音数据独特性的基础上重新认识“语音”这一特殊的数字资源。单纯地借鉴《欧盟一般数据保护条例》的统一立法模式或者是美国目前的领域立法模式,均无法适应我国的数据治理现状。语音数据自身的特殊性使得其有可能触发的风险与规制都需要予以特别关注。语音的交互性是人工智能发展的重要条件,语音数据的画像性使得其所包含的个人信息更为多元,而语言的使用又让语音数据展现出一定的地域性和族群性特征。在我国强调构建数据基础制度的大背景下,可以从法律规则和监管规则上进行创新,以市场自律的方式建立最佳实践准则,同时以中国标准指导具体路径的实施,守护好我国的数字主权。     

云计算背景下欧盟消费者个人敏感数据的法律保护

在云计算背景下,欧盟个人数据保护立法中对于个人敏感数据的差别化保护标准已不能适应新技术的发展要求,在数据处理、身份和访问管理以及云服务协议方面存在适用困境。欧盟在新一轮的立法改革中对消费者个人敏感数据保护问题予以了特别关注,对个人敏感数据的涵义进行了扩展与补充、强化了数据处理者及数据控制者的说明责任并引入了新型消费者数据权利,这些规则为消费者个人信息提供了更为全面的保护,但同时也存在待完善之处。在大数据时代,我国应当借鉴欧盟立法改革的经验,在个人信息保护立法中制定特别适用于消费者的敏感信息保护规则,从而更好地维护消费者利益。     

欧盟信息保护立法与美国域外取证的冲突和启示

在全球化和信息化的时代背景下,数据信息安全的保护成为各国积极研究的课题,欧盟历经近30年的摸索与实践,逐步建立起了以《欧盟数据保护指令》为核心的信息数据保护体系。该体系的建立对于保护个人信息安全具有十分重要的积极意义,但同时也对国际司法协助的开展产生一定的影响,尤其欧盟与美国域外取证之间的冲突和矛盾,至今无法解决。而我国信息安全立法的缺失,常常使司法机关在外国提起的调查取证中处于被动地位,因此欧盟的信息保护立法对我国今后的相关立法具有重要的参考价值。     

个人数据跨境流动规制中的“长臂管辖”及我国的对策

数据是数字化时代关键的国家战略资源,数据安全是国家安全与发展的核心利益所在。在大数据背景下,欧盟出台了旨在保护个人数据的《通用数据保护条例》,美国出台了旨在数据自由的《澄清域外合法使用数据法》,上述规则中的“长臂管辖”条款在全球颇具特色且备受争议。欧美个人信息跨境流动规制中的“长臂管辖”对我国的国家安全、商业利益保护和个人隐私保护构成了重大挑战。中国必须秉持主权平等与自主发展原则和合作与共治原则,以坚定个人数据跨国流通的安全性为前提,健全相应法规保障制度,并出台个人数据跨国流通行业自律标准指南,积极参与个人数据跨国流通的全球规范制订。     

论欧盟金融服务法中的母国控制原则

在欧盟金融服务法中,母国控制原则是指跨境金融服务应主要遵循母国的监管规则,相应的监管责任也主要由母国监管当局承担。母国控制原则不能适用于未经金融服务指令协调的领域。相互承认原则是母国控制原则的前提和基础,母国控制原则又是实施相互承认原则的必然要求和具体体现。这一原则的形成与欧盟金融服务市场一体化方法的转变有着密切联系,其发展也是这种新的一体化模式广泛推行的必然结果。立法和司法实践表明,母国控制原则的适用范围尚不明确,其价值没有得到充分的体现。为了消除跨境金融服务的法律壁垒,推动金融服务市场的一体化进程,欧盟金融服务立法应向协调行为规则、进一步明确划分监管责任并扩大母国控制范围的方向发展。     

法经济学视野下数据保护的规则适用与选择

数据保护制度应兼顾数据红利与数据安全。在“卡-梅框架”基础上进行扩展和重构而成的“规则菜单”,为数据保护制度的规则选择提供了分析框架。单一地考察无为规则、禁易规则、管制规则、财产规则、责任规则在数据保护上的适用效果,可知将数据法益配置给数据产生者,同时适用财产规则是一条相对优选的路径。整体上而言,对数据进行类型化并采用“菜单规则”的保护模式,能更有效地实现数据保护中的利益衡平。我国宜采用终端规则的组合模式进行数据保护:将数据管制规则和数据禁易规则平行设置,以数据管制规则为主,以数据禁易规则为补充;在数据管制规则之下平行设置数据财产规则与数据责任规则,以数据财产规则为主,以数据责任规则为补充。     

商业数据的反不正当竞争保护规则构建

当前司法实践确立了“实质性替代”等商业数据反不正当竞争保护标准，日本、美国和欧盟也分别通过立法和司法实践形成了一定的商业数据保护规则。《反不正当竞争法（修订草案征求意见稿）》在当前司法实践基础上，借鉴国外相关制度经验形成了数据专条，规定了“破坏技术管理措施获取商业数据”和“实质性替代”使用商业数据两种不正当竞争行为类型。这两种不正当竞争类型所适用的商业数据范围、保护前提条件等存在差别，不宜统一适用于相同类型的商业数据。建议分别构建适用于仅提供给特定对象且采取技术管理措施的商业数据的“破坏技术管理措施”不正当获取商业数据规则，以及普遍适用于所有商业数据的以盗用理论为基础的“实质性替代”规则。     

“一带一路”背景下中国跨境破产的发展路径选择——新加坡跨境破产发展历程的经验与启示

近年来,新加坡配合经济发展国际化、市场化的需求,积极参与跨境破产合作和协助的磋商,通过谈判加入国际合作模式、修改国内立法等方式,与全球多个国家和地区建立了跨境破产协作关系,在跨境破产领域取得了长足发展,在建立国际跨境破产和债务重整主要中心的道路上稳步前进.①而这一举措也切实为新加坡经济发展带来新的机遇。本文以新加坡跨境破产制度发展的经验为视角,在梳理新加坡跨境破产制度在规则层面的立法演变和司法实践创新的基础上,结合我国的跨境破产现状,提出“一带一路”背景下我国跨境破产发展的路径与方向。     

药品数据保护的比较分析与立法选择

TRIPS协议第39.3条首次在国际层面规定了数据保护的义务。我国是否履行了该义务的入世承诺,是中美之间重要的争议。为缓解相关的国际压力,需要构建合理的数据保护制度,梳理世界各国如何实施第39.3条具有重要的借鉴意义。从数据保护的属性来看,包括禁止占用（商业秘密）、数据专有权和市场专有权等立法模式。在具体制度上,依据TRIPS协议第39.3条,各国详细规定药品数据受保护的条件,重点界定新型化学成分与新药的关系及其范围,明确数据保护的权利内容和保护期限,构建保障公共健康的数据保护限制制度。我国应借鉴这些规定,修订《药品管理法》以完善药品数据的保护。     

中欧上市公司审计监管合作法律问题研究

审计是上市公司信息披露质量的保证,对于完善公司治理结构具有重要意义;资本流动的全球化使得上市公司审计监管的国际合作十分必要。就此而言存在着两种主要模式:以美国萨班斯法为代表的信任本国和域外监管模式,以及以欧盟公司法第8号指令为代表的相互信任和母国监管模式。欧盟于2011年对我国上市公司的审计监管体制作出等效性认定,为中国和欧盟成员国的合作开创了重要条件,也对中美谈判产生了积极影响。中国应充分利用欧盟的等效性认定,完成与欧盟成员国的谈判并缔结工作安排,完善有关立法,并联合欧盟应对美国的联合检查要求。     

我国反不正当竞争法商业数据专条的制度构建——兼评《反不正当竞争法(修订草案征求意见稿)》第18条

从我国近年来的商业数据行业状态和司法实践来看,《反不正当竞争法(修订草案征求意见稿)》第18条(商业数据专条)在概念界定、行为类型化、例外规则上均存不足。为更好协调商业数据保护与利用,参考日、韩等国的数据保护竞争立法经验,应从以下方面构建商业数据专条：一是从“质”“量”及与商业秘密的关系维度,科学合理界定商业数据范围;二是依据行为人及其主观过错来类型化不正当竞争行为,着重规制以不正当方式获取他人商业数据及后续使用或披露行为,并将帮助他人以不正当方式获取商业数据的行为纳入规制范围;三是优化例外规则以平衡私人利益与公共利益;四是无需在商业数据专条中设置兜底条款。