在推进区域数字经济贸易的同时,应扫除中国参与国际数据治理时域外司法及执法中的障碍。
2022年7月,滴滴全球股份有限公司(在开曼群岛注册成立,于美国纽约证券交易所上市)被罚80.26亿元。这不仅是中国《个人信息保护法》颁布以来首次开出高额罚单,也是该法首次对境外主体发挥效用,追究境外实际控制主体在中国境内业务所负的法律责任。
中国《个人信息保护法》第三条规定,“以向境内自然人提供产品或者服务为目的”或者“分析、评估境内自然人的行为”,均适用该法。虽然上述域外适用规定在较大程度上借鉴了欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR),但尚未能如GDPR产生全球性的域外适用效力。
首先,中国与欧盟对个人数据的法律定位有较大差异。欧盟将个人数据权利公法化,视为“基本权利”,从公法角度施以强有力的行政监管。中国对个人信息的保护主要依赖私法体系,公权力对个人信息的保护介入程度有限。《民法典》第111条、第999条等条款确立了“个人信息”的法律定位,纳入人格权编,将个人信息作为一种“人格权权益”加以保护。
其次,虽然《个人信息保护法》第66条补充了新的行政责任形式,明确了高管等责任人员的行政责任,引入了“限制从业”,并将处罚标准提升至上一年度营业额的5%,但不同于欧盟,中国未设立专门的数据监管机构。现行监管体系中,国家互联网信息办公室的职责主要是落实互联网信息传播方针政策、互联网信息内容管理、查处违法网站等,通常情况下,仍由市场监督管理、证券监督管理等部门按照各自监管原则,分头监管各领域的数据保护问题,监管模式较分散。
再者,GDPR通过“充分性保护白名单”、数据保护委员会等机制,向其他国家输出其监管框架工具,扩大了GDPR保护标准在全球市场的影响力。中国相关配套合作机制相对匮乏。
为进一步扩大《个人信息保护法》域外适用效力,有必要从两个方面继续完善配套机制。一是建立统一的个人信息监管部门,搭建常态化的行政监管机制,加快数据安全认证等各项数据治理实施细则的落地实施,提供可预期的规则指引;二是借助《区域全面经济伙伴关系协定》(RCEP)以及申请加入《数字经济贸易伙伴协定》(DEPA)的契机,推动“充分性保护白名单”、跨境数据调取等国际合作机制的建设,搭建数字经济合作伙伴关系。在推进区域数字经济贸易的同时,扫除中国参与国际数据治理时域外司法及执法中的障碍。
(黄楚芳系必赢626net入口首页贸易谈判学院研究生;应品广系必赢626net入口首页国际经贸治理与中国改革开放联合研究中心研究员)