引言
数据跨境流动,是指通过各种技术和方法,实现数据跨越国境(地理疆域)的流动。在数字经济时代,数据跨境流动广泛存在。麦肯锡全球研究院(MGI)《数据全球化:新时代的全球性流动》报告指出,自2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,不仅支撑了包括商品、服务、资本、人才等其他几乎所有类型的全球化活动,并发挥着越来越独立的作用,数据全球化成为推动全球经济发展的重要力量。
随着数字经济的发展,数据跨境流动成为关系各国政治、经济、社会的核心议题。从地缘政治层面来看,2013年“斯诺登事件”推动了各国将数据跨境流动纳入政治议题,与国家安全、网络安全、隐私保护等政策紧密挂钩,加剧了各国政府在网络空间的战略博弈与数据资源争夺。从经济贸易层面来看,数字经济发展对传统国际贸易和分工机制产生重大冲击。随着中国科技企业在全球产业价值链中的地位不断上升,以美国为首的一些西方国家经济政策开始转向“保护主义”,并在科技领域对中国实施“战略围剿”,国际经济和贸易秩序面临重大的分化与重组。从产业发展层面来看,在大数据、云计算、AI、5G等新兴技术产业领域,各国政府倾向于通过干预导向的产业政策加强本国的数字资源禀赋,与此相关的数据跨境流动的政策考量最终也成为国家间产业政策竞赛的内容之一。总体来看,各国数据跨境流动政策越来越受到地缘政治、国家安全、隐私保护、产业能力、市场准入等复杂因素的复杂影响。利益的复杂性、价值认同的差异性和国家间信任的缺乏,阻碍了各国在短期内形成规则共识。究竟是推动“数据自由流动”还是加强“数据本地化”,如何在安全性和成长性中实现平衡,考验各国政府的数据战略思维和治理能力。
作为数字经济发展最为迅速的国家之一,中国在数字经济总体规模和电子商务、金融科技等领域都位于世界前列,阿里巴巴、腾讯等互联网龙头企业位列全球上市公司中市值前十。中国在全球数字经济产业价值链中的地位迅速提升,全球新经济的地理重心从环大西洋地区转向了环太平洋地区。随着我国改革开放政策和“一带一路”倡议的持续深化推进,我国数字经济在跨境贸易和全球化方面有待进一步拓展和提升。
本文在推动大数据发展国家战略背景下,基于我国当前数字经济发展现状和产业能力,分析各国跨境数据流动规则背后的产业竞争和政策选择,探讨如何完善国内法规定,保证数据在确保安全的情况下实现自由流动,提出制定和参与国际规则的策略方案,构建我国数据资源战略和数据治理能力,具有较好的理论价值和现实意义。
一、全球数字经济发展格局与产业竞争态势
2016年9月的G20峰会上,二十国集团对数字经济的定义是:“以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。”
1. 中美两国在数字产业总体规模上优势凸显
为了清晰地观察全球数字产业规模分布情况,本报告在统计网站Statista对2019年各国数字经济发展的预测数据中,选取了50个国家的数据绘制于图1中。由图1和表1可见,全球数字产业规模分布呈现较强的不平衡状态。中美两国在数字产业领域的规模优势凸显无疑,数字产业总规模分别将达到2.56699万亿美元和1.902037万亿美元。西欧、北美地区的数字产业规模集聚程度也处于较高水平,中东欧地区国家的数字产业规模也同样较小,东南亚地区国家的数字产业主要分布于马来西亚、印度尼西亚、新加坡和泰国,非洲很多国家数字产业处于起步阶段。
图1 全球数字经济规模分布情况图(2019)
(本课题组根据Statista网站数据绘制)
表1 全球数字产业规模排名前20国家(2019) 单位:百万美元
(本课题组根据Statista网站数据制作)
本报告选取了中国、美国、欧盟、日本、韩国、印度、俄罗斯、澳大利亚、印度尼西亚和新加坡这10个积极制定数据跨境流动政策的国家/地区,对其2019年数字产业规模以及增长速度情况进行分析。根据Statista的预测数据,2019年,中国、美国和欧盟的数字产业规模位居前三位,日本和韩国紧随其后,但是其在规模上已经与中美欧存在非常显著的差距。从增长速度来看,位居前三甲的中国、美国和欧盟,中国的数字产业增长速度最高,美国其次,欧盟位于中美两国之后。印度、新加坡、澳大利亚和印度尼西亚的数字产业规模虽然较中美欧三国/地区存在很大差距,但是其在数字产业增长速度上表现出强劲的势头,照此速度,印度、新加坡、澳大利亚和印度尼西亚的数字产业在未来有望快速发展。除此之外,俄罗斯、日本和韩国的数字产业增长速度在这十个经济体当中处于较低水平。(本课题组根据Statista网站数据制作)
图2 世界主要经济体数字经济总规模与增长率情况(2019)
(本课题组根据Statista网站数据制作)
2. 中美两国在数字产业细分行业领域各有千秋
本报告对数字产业的八个细分行业数据采用功效得分公式进行百分制标准化,对上述十个主要经济体的数字产业内部细分产业发展状况进行深入分析。从数字产业构成比例来看,各国数字产业内部细分行业发展状况存在较强的异质性(参见图4)。中国在电子商务(eCommerce)和金融科技(FinTech)这两个细分行业领域规模位居全球第一,电子服务(eServices)行业规模仅次于美国,且与美国保持极小差距,但是其余五个细分行业规模得分相对较低,其中数字媒体(Digital advertising)和智能家居(Smart Home)两个细分行业规模则处于中下游水平。美国在数字媒体(Digital Media)、智能家居(Smart Home)和联网汽车(Connected Car)、电子服务(E-Services)、数字广告(Digital Advertising)、数字旅游(E-travel)这六个细分行业规模居全球首位。且与中国相比,美国的数字产业各细分行业领域发展比较均衡,呈现出结构均衡的数字产业大国形象。
图3 全球主要经济体数字产业构成
(本课题组根据Statista网站数据制作)
日本数字产业细分领域中,数字媒体(Digital Media)规模相对较高,但是其他细分行业规模与中国和美国相比均处于较低水平。欧盟的数字产业各细分行业当中,数字旅游(etravel)和联网汽车(Connected Car)规模较大,其余细分行业规模仍有待提高。除此之外,其余6个国家的数字产业规模已经与前面4个国家(或地区)存在非常显著的差距。
图4 全球主要经济体数字产业内部结构情况图
(本课题组根据Statista统计数据绘制)
3. 中国ICT服务出口落后于美欧印等国家和地区
一国数字产业的竞争力水平除了规模竞争力之外,还包括市场竞争力等因素。本文选取2017年世界银行ICT出口额统计数据,通过ICT出口数据分析主要国家数字产品和服务在国际市场上的竞争力状况。
ICT是世界经济增长的新领域,中国凭借着制造业的强大优势,在ICT商品出口方面占据了全球超过1/4的份额。但是从ICT出口的全球发展趋势来看,随着全球网络用户和移动用户渗透率趋向于饱和,设备、终端等与制造业相关的ICT需求量的增长速度趋于下降,而用户数量的增长驱动了长尾效应和用户价值的增长,ICT服务将有长期的需求。而我国虽然ICT商品出口在全球处于领先位置,但是ICT服务还缺乏出口的竞争力。ICT服务是数字经济发展的重要领域。我国国内网络用户渗透率高、用户总量大,形成了全球最大的数字经济国内市场,在数字产业总体规模上与美国相当,但是在ICT服务贸易上与美欧等发达国家和地区还有差距,甚至落后于印度,成为我国数字经济发展的一块短板(参见图5)。因此,保障数据跨境自由流动,推动我国ICT服务出口的发展,才能在未来的数字经济竞争中取得进一步的发展。
图5 主要国家2017年ICT服务出口金额(亿美元)
(本课题组根据世界银行数据绘制)
二、跨境数据流动的价值与风险
1. 数据跨境流动的价值
总体来看,跨境数据流动在促进经济增长、加速创新、推动全球化等方面发挥了积极作用,推动数据跨境自由流动能够实现保障用户权利和提升全社会经济总体效用。
(1)促进经济增长。数据的跨国界流动可以帮助企业更直接、更合理地利用全球要素资源,不仅支撑起包括商品、服务、资本、人才等其他几乎所有要素的全球化活动,也在发挥着越来越独立且重要的作用。思科公司的数据分析表明,数据跨境流动可以改善企业流程并产生巨大的经济价值。在2015-2024年期间,跨境流动潜在的最低价值(定义为包括增加的收入和降低成本的双重含义,这种价值由于互联网技术的采用而在公司和行业之间产生和转移)估计为29.7万亿美元。由此可以看出,数据跨境流动将带来全社会经济总体效用的提升,对国家和企业经济增长具有重要的积极意义。
(2)提升创新能力。数据跨境流动意味着信息、知识的传播与共享,自由流动的数据是国家创新的重要催化剂,根据 Frost & Sullivan 的2025年大趋势预测,数据支撑着未来,90%的变革性转变严重依赖于数据的流动与使用。目前,几乎所有行业都依赖于跨境数据的流动和实时分析数据的能力,以此作为其供应链、运营和商业模式创新的推动力。数据跨境流动使创新性的想法在全球扩散,使全球的互联网用户都可以接触、利用最新研究成果和技术,并激发更多创意,催生新业务、新模式和新企业,实现国家创新能力的整体提升。
(3)推动全球化发展。互联网开放互联的特性满足企业天然的全球经营需要和便利。数据是企业经营的“血液”,跨境数据流动极大地推动了企业面向全球的商业拓展。世界经济论坛《2016年全球信息技术报告》认为,正是跨越国界的数据传输能力优化了企业运营,使企业能够重新构想他们的方法。以跨境电商为例,阿里巴巴、亚马逊等互联网平台企业通过互联网获取、处理和跨境传输数据,为各类跨境贸易商构建了全球用户社区,实现了电子商务模式的全球扩张,帮助企业融入全球供应链。同时,企业跨境数据流动降低了企业贸易和交易的成本,大量中小型公司几乎和大型企业有了同样的国际贸易能力。
(4)保障用户数字权利。根据思科预测,到2021年全球云数据中心流量将达到每年19.5ZB,2021年全球将有628个超大规模数据中心。基于云计算的跨境数据流动模式弱化了存储地理位置的约束,而由用户根据服务内容、质量、成本等在全球范围内灵活地选择云计算服务商,可以提升用户服务水平和体验,保障用户合理的数字权利。
2. 数据跨境流动的风险
大数据环境下,大规模和复杂的数据跨境流动成为常态。数据跨境活动带来的风险成为许多国家实施数据本地化策略的正当性理由。尤其是网络空间博弈愈来愈与地缘政治、产业竞争、经贸关系、网络主权、权利保护等各种议题相结合,数据跨境流动也成为当前国家地区间政策博弈最为复杂的领域之一。
(1)数据跨境流动引发数据安全风险担忧。数字经济的快速发展加速了个人数据的全球流通和融合,也使其作为重要的生产要素的价值得以凸显。个人数据的价值和重要性决定了其被觊觎的高概率,全球数据黑色产业链日益成熟,离境数据被恶意利用和买卖的现象频发,个人数据泄露事件不断发生,对个人隐私、财产甚至人身安全造成威胁。与此同时,各国个人数据保护标准不一致,造成数据在全球范围内不受限制地流动缺乏安全可信的在线环境。保护标准较高的国家质疑其公民个人数据流向保护标准较低的国家将导致数据隐私和安全风险。因此,许多国家的个人数据保护立法开始提出数据跨境流动的限制性规定,比如欧盟、新加坡、日本等国提出的“相同保护水平”要求,即个人数据接收国需要达到流出国相同的数据保护水平,以为本国/地区公民个人数据安全提供保障。
(2)数据不受限制地外流影响本国数字产业发展机会。据统计,2016年全球新增数据量达到16.1ZB,预计到2025年将再增长十倍达到163ZB。从长远发展看,数据本身是生产力的资源。越来越多的互联网企业通过对海量、实时、异构的数据资源进行开发利用并取得巨大商业成功。同时,数据是国家重要的战略资源,如何积累数据、精炼数据以及加工和管控数据,将成为决定国家经济命脉的重要因素。对于许多数字产业能力不强的国家来说,放任数据不受限制地流向境外,可能损害本国企业开发利用数据资源的发展机会,影响本国数字产业和数字经济竞争力的提升。这也是许多网络用户众多,但是本国产业竞争力不足的国家出台数据本地化政策的理由,以此拉动本地数据产业的发展,保护本国产业利益。
(3)数据跨境流动阻碍政府实施执法权。大数据时代,犯罪技术更加具有隐蔽性,“跳板技术”等新兴犯罪手段可以更加容易地掩盖攻击源头。数据跨境使得大量数据流向境外,执法机关提取有价值的证据需要耗费更多的时间和人力资源,高效甄别数据价值的挑战更大。在跨境数据取证的合作过程中,执法活动会受到预防能力或补救权利不足的实际阻碍,使得域外取证处于被动地位。也就是说,数据离境会增加执法成本。当然,在不同司法管辖区域内的执法活动可以通过司法互助双边协议予以实现,但目前实施效果并不理想。为弥补跨国犯罪管辖权不足、提升执法便利性,美国依托其遍布全球的互联网跨国企业实施长臂管辖,而以俄罗斯为代表的国家则提出数据本地化备份等要求,对数据跨境活动实施监管。
(4)数据跨境流动威胁国家主权与安全。大数据时代,“国家拥有数据的规模、流动、利用等能力将成为综合国力的重要组成部分。”包括个人、企业和国家数据等在内的数据早已不仅是国家“软实力”体现,更关涉情报、军事、国防等国家安全领域。各国在新生的网络空间确立边疆追求权力,信息的流动和分享越来越受到政治性因素的影响。数据跨境流动议题由此与国家主权与安全密切联系。数据对国家主权维护有重要意义,是支撑国家安全与发展的重要战略资源,具有极为重要的主权保护价值。因为数字产业竞争力差距的存在,今天世界的基本现实是,数据产业竞争力较弱的国家的用户是数据的主要提供者,数据产业竞争力较强的国家的公司则是设备和服务的主要提供者,在不设限制的情况下,数据将自然向少数国家地理疆域之内汇聚。对于产业能力较弱的国家而言,拒绝数据跨境流动将使国家被排除在世界网络体系之外,损害数据经济发展机遇和公民福利,但是放任数据自由流动则将会引发国家安全威胁,给国家主权的完整性带来严峻挑战。因此,对数据跨境流动加以合理限制,有助于技术能力暂时处于弱势地位的国家,不会因为能力的差异而导致合法利益受到损害,使数据的使用能够促进数据初始提供者的利益,而非成为少数掌握了技术和产业优势的行为体过度追求自身利益的工具。
三、全球数据跨境法律政策与发展趋势
1.重要国家和地区的法律政策特点
(1)美国:以维护产业竞争优势为主旨,构建数据跨境流动与限制政策
一是主张个人数据跨境自由流动,利用数字产业全球领导优势主导数据流向。美国在信息通信产业和数字经济上具有全球领先优势,这一点是其主导全球跨境数据流向的前提。因此,美国在与各国的新一轮贸易谈判中都主张将“数据跨境自由流动”纳入协议条款,以破除许多国家利用数据跨境流动设置的市场准入壁垒。
二是通过限制重要技术数据出口和特定数据领域的外国投资,遏制战略竞争对手发展,确保美国在科技领域的全球领导地位。自特朗普政府大力推行“美国优先”的贸易保护主义政策以来,美国积极使用这类管制措施作为遏制中国等战略竞争对手的重要手段。美国的出口管制并不限于硬件的出口,还包括具体的技术数据,即受管制的技术数据“传输”到位于美国境外的服务器保存或处理,需要取得商务部产业与安全局(BIS)出口许可。在外国投资审查方面,改革后的《外国投资风险审查现代化法》扩大了“涵盖交易”的范围,将涉及所谓“关键技术”、“关键基础设施”的公司以及外国人对保存或收集美国公民敏感个人数据的公司进行非控制性、非被动性投资都纳入其审查范围。
三是制定受控非秘信息(controlledUnclassifiedInformation)清单,界定“重要数据”范围。根据美国总统2010年签署的13556号行政令要求,为改善美国法律、条例、政府政策文件等规定的政府受管制非秘信息过于分散,无统一要求的现状,由美国档案局牵头,各相关政府部门协同参与梳理、统一美国法律、规定、政府政策规定的受管制非秘数据分类及依据,形成管控非秘数据列表(CUI)(参见表2)。CUI详细列出了农业、受控技术信息、关键基础设施、应急管理、出口控制、金融、地理产品信息、信息系统漏洞信息、情报、国际协议、执法、核、隐私、采购与收购、专有商业信息、安全法案信息、统计、税收等17个门类。这类数据可以视为美国政府识别的“重要数据”,采取较为严格的管理措施。同时将CUI的传播范围分为七类:禁止向外国传播、联邦雇员专用、联邦雇员和承包商专用、不向承包商开放、受管制的开放列表、只允许开放给某些国民。
四是通过“长臂管辖”扩大国内法域外适用的范围,以满足新形势下跨境调取数据的执法需要。2018年,美国议会通过《澄清境外数据的合法使用法案》(ClarifyingLawfulOverseas Use ofData Act, CLOUD法案)结束了“微软vs FBI”案中关于美国执法机关是否有权获得美国企业存储在境外服务器中的用户数据的争议。通过适用“控制者原则”,该法扩大了美国执法机关调取海外数据的权力,同时为美国政府与其他国家签订双边条约设定了具体路径,允许适格外国政府(qualifying foreign government)执法机构调取美国存储的数据。CLOUD法案抛开了传统的双边或多边司法协助条约,加剧了当前国家间与数据有关的司法主权冲突,其有效落实有赖于美国的国际经济与政治的强势地位以及与相关国家的合作。其他国家要调取存储在美国的数据,则必须通过美国“适格外国政府”的审查,需满足美国所设定的人权、法治和数据自由流动标准。
(2)欧盟:统一规则实施欧盟数字化单一市场战略,以数据保护高标准引导全球重建数据保护规则体系。一是消除欧盟境内数据自由流动障碍,实施欧盟数字化单一市场战略。2015年6月,欧盟提出实施《数字化单一市场战略》,主要目的就是消除成员国间的管制壁垒,将28个成员国的市场统一成一个单一化的市场,推动欧盟数字经济发展。为了实现数字化单一市场,欧盟先后通过了《一般数据保护条例》(GDPR)和《非个人数据在欧盟境内自由流动框架条例》。通过GDPR在成员国层面的直接适用,消除成员国数据保护规则的差异性,实现个人数据在欧盟范围内的自由流动。《非个人数据在欧盟境内自由流动框架条例》则致力于消除各成员国的数据本地化要求,确保成员国有权机关能够及时获取数据,保障专业用户能够自由迁移数据。
二是通过“充分性认定”确定数据跨境自由流动白名单国家,推广欧盟数据保护立法的全球影响力。欧盟对“充分性认定”的考量因素包括了政治因素、法治因素、数据保护立法与执法情况,签订的国际协议等等。“充分性认定”规则在一定程度上对其他国家改革个人数据保护法产生了重大影响,提升了欧盟个人数据保护规则对全球的示范效应。目前欧洲委员会确认的白名单国家共有13个,包括安道尔,阿根廷,加拿大(商业组织),法罗群岛,根西岛,以色列,马恩岛,泽西岛,新西兰,瑞士,乌拉圭和美国(仅限于隐私盾框架)、日本。韩国正在与欧盟谈判之中,印度也被考虑纳入谈判议程。GDPR还允许欧盟委员会对第三国或国际组织内的特定地区、一个/多个部门进行充分性认定。这似乎为一个国家内的特定地区或经济部门提供了充分性认定的大门。
三是在遵守适当保障措施的条件下,提供多样化的个人数据跨境流动方式。在缺乏充分性认定的情况下,欧盟还为企业提供了遵守适当保障措施条件下的转移机制,包括公共当局或机构间的具有法律约束力和执行力的文件、约束性公司规则(BCRs)、标准数据保护条款(欧盟委员会批准/成员国监管机构批准欧盟委员会承认)、批准的行为准则、批准的认证机制等。这些机制为在欧盟收集处理个人数据的企业提供了可选择的数据跨境流动机制。
四是积极推进犯罪数据的境外调取。2018年4月,欧盟委员会提出了《电子证据跨境调取提案》。与美国的CLOUD法案类似,欧盟将不以数据存储位置作为确定管辖权的决定因素,只要同时满足以下条件,欧盟成员国的执法或司法当局可直接向为欧盟境内提供服务的服务提供商要求提交电子证据:(1)被要求提交的数据为刑事诉讼所需 ;(2)被要求提交的数据与服务提供商在欧盟境内提供的服务有关。
(3)新加坡:以建设亚太地区数据中心为导向,积极参与数据跨境流动合作机制。
一是主张高水平的数据保护和数据自由流动相结合,吸引跨国企业设立数据中心。新加坡是亚太地区第四大互联网数据中心,仅次于日本、中国和印度。通过“智慧国家(Smart Nation)”战略,新加坡实现了信息基础设施现代化,推动了电信业与数据中心的投资。新加坡从地理上靠近成熟的澳大利亚、日本、韩国等亚太地区公共云服务市场,这也是推动新加坡以建设亚太地区数据中心为战略目标的重要因素。新加坡建立了与欧盟类似的数据跨境传输要求,禁止向数据保护水平低于新加坡的国家或地区转移数据,但在特殊情况下,企业可以申请获得个人数据保护委员会的豁免。此外,立法还提供了“数据跨境传输合同条款”作为补充。这些弹性化的机制使新加坡成为跨国企业设立亚太区域数据中心的优先考虑之地。
二是积极加入CBPRs,寻求区域内数据自由流动。2018年2月,新加坡加入了亚太经合组织(Asia-PacificEconomicCooperation,APEC)主导的跨境隐私规则(Cross-BorderPrivacyRules, CBPR)体系。根据CBPR的文件,加入CBPR体系要求评估成员国当前的隐私保护法、隐私保护执法机构、隐私信任认证机构、隐私法与APEC隐私框架的一致性。新加坡个人资料保护委员会目前正在发开一项与CBPR对接的认证机制。获得这一认证,在新加坡经营业务的企业即可以与CBPRs成员国的认证企业自由传输数据。
(4)日本:同时与欧盟、APEC等机制对接,积极推动跨境数据自由流动规则构建
一是国内立法形式上参考欧盟,但通过更为弹性化的解释推动数据跨境自由流动。作为亚洲最为成熟的经济体,日本早在2003年就通过了《个人信息保护法》(APPI),并在2015年进行了修改。数字经济的全球化发展也推动日本在修订APPI之时引入对数据跨境转移的监管,规定了三种向境外转移个人数据的合法方法:(1)事先征得个人同意;(2)转移的目的国是个人信息保护委员会认可的具有和日本同样保护水平的国家(白名单国家);(3)接受数据的海外企业依照个人信息保护委员会的要求建立了保护数据的完善体系,能够为数据提供有效保护(与APEC跨境隐私规则体系相一致)。虽然数据跨境转移的规则形式上参考了欧盟,但日本对规则的解释更为弹性,为数据跨境自由流动提供了空间。
二是积极参与多边和双边数据跨境协定谈判,推动数据跨境自由流动规则的构建。日本积极跟随美国数据跨境自由流动的政策主张,积极参与美国为主导的跨太平洋伙伴关系协定(TPP)和APEC的CBPR规则体系,并且在美国退出TPP后成为主导“全面且先进的跨太平洋伙伴关系协定”(CPTPP)的主要成员国。同时,日本作为CBPR的成员国,通过建立认证制度,为企业遵循CBPR规则实施跨境数据传输提供保障。另一方面,日本又积极对接欧盟的数据保护规则,制定补充规则(Supplementary Rules)以弥合欧盟和日本在数据保护规则上的差异,对敏感数据、数据主体权利和继续转移源自欧盟的个人数据加强保护。2019年1月23日,欧盟通过了对日本的数据保护充分性认定,实现了日欧之间双向互认。此外,日本政府还积极推进“美国-欧盟-日本三方的数据跨境自由流动框架,并在2019年6月G20峰会期间进行磋商。
(5)印度:在融入全球化和促进本国数字经济发展之间寻求本地化中间路线
一是数据本地化政策以促进本国数字经济发展为前提。印度实施数据本地化的目的主要是为了促进本国的数据经济发展,通过落实数据本地化,进而实现数据价值的本地化。《印度电子商务国家政策框架草案》的前言部分明确提出,印度将会逐步推进数据本地化政策,要求建立数据中心。总体来看,印度并不想实施严格的“数据保护主义”,但又不能放任数据的自由流动,因此其数据本地化策略一方面想要融入数据全球化的趋势,另一方面又想要刺激印度数字经济的发展。《电子商务框架草案》列出了一系列数据本地化的豁免情形,比如初创公司的数据传输,跨国企业内部数据传输,基于合同进行的数据传输等并不加以限制。
二是对个人数据实施分级分类,实施不同的数据本地化要求。在《个人数据保护法草案2018》中,印度将个人数据分为三种类型,一般个人数据、敏感个人数据和关键个人数据,针对三种数据类型,实施不同的数据本地化和跨境流动限制。首先对于一般个人数据和敏感个人数据,草案要求这两类数据应当在印度境内存储副本,可以跨境流动。同时,印度政府可以对一般个人数据进行清单化的豁免限制。其次,关键个人数据仅能存储在印度境内的服务器/数据中心,绝对禁止离境的。
三是金融数据强制本地化存储,促进印度银行金融业发展。印度中央银行要求2018年10月15日之前,所有在印度的支付企业都要将数据强制性存储在印度本地。对此,欧盟和美国政府和企业都提出了大量的反对意见,但是印度仍强势推进了支付数据的本地化规定。有研究认为,印度在此领域强制实施本地化与其银行渗透率低下有密切关系。
(6)俄罗斯:通过数据本地化政策要求数据回流,以保护主义政策推动IT产业发展
一是数据本地化政策主要基于经济动机和执法动机。2014年,俄罗斯通过了个人数据本地化规则,要求收集和处理俄罗斯公民个人数据的所有运营者使用位于俄罗斯境内的数据中心。法律并不限制个人数据出境,但是要求数据首次存储必须在俄罗斯境内的服务器上。数据本地化法律的实施使俄罗斯快速发展起了大数据市场,并推动跨国企业兴建大量数据中心。在执法层面,俄罗斯也希望通过数据本地化存储加强政府执法权和对数据的控制力,这一点也在其反恐法修正案“Yarovaya’s Law”上得以体现。该法要求在互联网上传播信息的组织者保留俄罗斯用户的互联网通信数据、用户本身的数据和某些用户活动的数据,在俄罗斯境内留存数据6个月,并应要求向俄罗斯当局披露。
二是划定数据自由流动范围,允许自由流向“108号公约”缔约国和白名单国家。俄罗斯是“108号公约”(《关于个人数据自动处理方面保护个人公约》)的缔约国,并于2018年10月签署了欧洲委员会对“108号公约”修订后的议定书。108号公约共有53个缔约国,俄罗斯《联邦数据保护法》承认加入“108号公约”的国家为个人数据提供了充分的保护。此外,俄罗斯监管机构Roskomnadzor也确立了达到数据保护充分性水平的国家白名单,目前共有23个国家被列入白名单国家。
2. 数据跨境流动国际合作机制
(1)数据跨境流动的双边合作机制
当前,在联合国、WTO等多边机制尚未提出各方可以接受的数据跨境流动规则的情形下,数据跨境流动的双边谈判成为确保电子商务和数字贸易正常开展的主要选择。双边谈判主要分为两种形式。
一是国家/地区的监管机构间达成数据保护充分性认定。这种形式以欧盟数据保护“充分性”认定(白名单国家)最为典型。目前,欧洲委员会确认的白名单国家共有13个,包括安道尔,阿根廷,加拿大(商业组织),法罗群岛,根西岛,以色列,马恩岛,泽西岛,新西兰,瑞士,乌拉圭和美国(仅限于隐私盾框架)、日本。随着GDPR的实施,越来越多的国家通过制定或修订个人数据保护法,对接欧盟规则,试图与欧盟开展充分性认定谈判,以进入欧盟市场。目前,韩国正在与欧盟进行谈判,希望通过修订立法,赋予机构更多的独立性和执法权,以满足欧盟的要求。印度、智利、巴西等国家也正在制定或修改本国法律,以期加入与欧盟的数据保护“充分性”认定谈判。
二是在双边经贸协定的电子商务部分加入“数据自由流动”或“禁止数据本地化”等条款。据世界贸易研究所一项关于“双边贸易协定中的数据相关条款”的研究显示,自2000年起,全球共有99项双边协议中包含了至少一条电子商务和数据跨境流动的条款,其中有72项双边协议包含了电子商务和数据跨境流动的章节,美国、新加坡、澳大利亚、加拿大和欧盟是主要的规则制定者。
(2)数据跨境流动的多边合作机制
一是在多边贸易谈判中引入数据跨境自由流动条款。
WTO是国际多边贸易规则的典型代表和集大成者。随着信息通信技术的发展,数据跨境流动面临的形势发生了巨大的变化,但WTO 规则却没有随之更新。近年来,美国、日本、新加坡等国向WTO多次提交了推动电子商务谈判的提案,提出了禁止限制数据跨境流动的主张;以中国为代表的发展中国家以及欠发达国家,主张建立基于货物流动为主的跨境电子商务规则;而非洲、加勒比和太平洋岛国等相关国家,由于自身电信与互联网等基础设施较差,反对将数字贸易及跨境电子商务议题纳入多边贸易框架下讨论。目前来看,在WTO项下达成跨境数据流动规则的共识是比较困难的。
二是弹性化的多边隐私与数据保护监管合作模式取得了一定的成效。
APEC隐私框架是亚太地区第一个数据保护协同框架,并建立了一整套的落实措施,其跨境隐私规则体系(CBPR)是当前多边监管合作中较为成熟的机制。加入CBPR的评估标准包括:国内隐私法、隐私保护执法机构、信任标志(trust-mark)提供商、隐私法与APEC隐私框架的一致性等。目前共有八个国家/地区参与了CBPR,包括美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚和中国台湾。虽然CBPR规则体系具体实施效果还有待观察,但是据InformationIntegritySolutions的研究显示,加入CBPR有助于企业向欧盟成员国数据保护监管机构申请“约束力企业规则”(BindingCorporateRules)等数据跨境认证,同时日本也将企业获得CBPR的认证认为采用了“适当与合理的方式”处理数据。
表2APEC《CBPRs准备度报告》(2017)
状态 | 经济体 |
加入 | 加拿大、日本、墨西哥、美国 |
计划加入 | 韩国、菲律宾 |
考虑中 | 中国香港、俄罗斯、新加坡、越南 |
不能加入 | 文莱、中国、印尼、巴布亚新几内亚、泰国 |
无计划加入 | 智利、马来西亚 |
三是通过区域性的示范原则为成员国达成数据保护的共识提供指导。
这类隐私和数据保护框架不具有强制约束力,但是在成员国制定国内数据保护法的过程中提供了原则指导,有助于在区域内形成数据保护原则共识,推动区域经贸合作和一体化发展。经合组织OECD隐私框架(1980,2013)是全球范围内首个隐私保护框架。OECD隐私框架提出了如何在有效的隐私保护和个人数据自由流动之间达成最佳平衡,这是国际社会首次达成的共识。该框架致力于建立一套技术中立和灵活的官方指南,允许采用多种合规手段。2012年东盟部长会议通过了《东盟数据保护框架》(ASEANFrameworkonPersonal Data Protection),确立了一系列原则,指导成员国和区域层面的数据保护实践。
3.全球数据跨境流动政策发展趋势
(1)中美科技冷战背景下,地缘政治因素对数据跨境流动政策的影响将进一步加大,以“国家安全”关切为核心的“重要敏感数据”将成为跨境流动限制重心。
斯诺登事件之后,网络领域的国家安全对国际贸易体系规则的破坏一直在全球蔓延,如数据本地化政策、网络安全审查,以及自主可控等理念在全球范围开始蔓延。随着中美在高科技领域的竞争有演化为科技冷战的趋势,以“国家安全”关切为核心的“重要敏感数据”也成为跨境流动限制重心。
特朗普上台后,美国在前沿和基础技术领域对我国实施管控,限制大量技术数据和敏感个人数据的跨境转移,并通过长臂管辖和强大的情报和执法能力加以落实。与此同时,美国在此领域的强势主张势必影响其战略盟友对中国的技术转移和数据跨境流动策略,强化了以国家安全为主要考量的数据跨境流动政策的价值取向,这将进一步破坏既有的商业和贸易规则,阻碍数字贸易的全球化发展。
(2)各国数据跨境流动政策的选择极大地受制于本国数字经济产业竞争实力
除了国家安全和地缘政治因素的考量,各国对数据跨境流动政策路径的选择还极大地受制于本国产业能力和经济发展现状是否能够控制数据流向。基于不同的产业能力,目前各国政府在数据跨境流动策略选择上可以分为三种类型,包括以美国为代表的主张自由流动的进取型策略、以欧盟为代表的规制型策略和以俄罗斯为代表的出境限制策略。
从产业能力的角度来说,我国数字经济发展仅次于美国,领先于欧洲和其他国家,但是我国在此前的数据跨境流动政策上总体趋向保守,与我国目前位居第二的数字经济产业能力并不完全相符。
(3)个人数据和重要敏感数据跨境流动规制基于不同的法益价值,采取不同的监管机制
从国际上主要国家数据跨境流动管理立法与实践来看,个人数据和重要敏感数据跨境流动威胁的法益有所不同,采取的监管机制也不一样。
个人数据跨境流动监管以企业自律为基础,政府监管为保障实施。个人数据跨境流动监管主旨以个人信息安全保护为出发点,以包括数据主体同意、数据主体权益保障、境内数据转出方与境外数据接收方的合同、数据接收方所在国家、地区数据保护充分性审查等多样化机制为抓手,保护个人信息出境流动安全。其监管措施主要包括以下两种:一是由监管机构或监管机构认定的第三方机构为认证主体,采取实质性审查与形式审查相结合的方式进行评估认证,发挥行业协会等第三方监督与市场自律作用。二是合同干预制,欧盟、澳大利亚等政府部门制定并推行数据出境合同范本,合同中明确相关主体义务,从而约束数据接收方行为,对个人信息出境流动实现管理。
重要敏感数据采取一般性禁止,分级分类审查出境的监管模式。一是采取禁止出境和限制出境分级监管。根据数据属性、风险程度,并结合本国国情和政治文化差异,世界各国普遍对政府、银行、金融、征信、健康、税收等关键基础设施和重要行业/领域数据实施出境限制措施,包括完全禁止出境、选择性禁止、有条件出境等数据出境管理措施。二是采取一事一议的行政审查监管。在特定类型的重要数据出境前,数据输出方向相关政府部门提交出境申报材料,政府部门对相应出境活动进行许可审查,通过后方可出境。如美国商务部对进行境外存储和处理的受管制技术是否取得出口许可进行审查;韩国对地图数据建立出境申请协商机制,由国土地理信息院、未来创造科学部、外交部等部门联合评估风险,判断是否允许出境。
(4)大国扩张性的数据主权战略加剧了管辖权冲突
随着数据成为国家重要战略资源,对数据的积累、加工和治理成为决定国家经济命脉的重要因素。对数据资源的渴求反映在主要国家扩张性的数据主权战略之中,在立法层面体现为管辖权的扩张。
美国、欧盟的数据主权战略以“攻”为主,通过“长臂管辖”扩张其跨境数据执法权。比如,美国《澄清域外合法使用数据法案》赋予美国执法机关对美国企业“控制”的数据,不论其在美国还是在境外都享有主权,同时对美国人的数据以及在美国境内的个人数据,外国政府必须经过美国国内司法程序。这种长臂管辖,使美国的数据主权扩展至美国企业所在的全球市场。欧盟的GDPR也同样适用于所有针对欧盟用户提供产品和服务的企业,不管该企业是否位于欧盟境内。美欧的长臂管辖无疑将加大与数据存储地国家的主权冲突。
相对来说,中国、俄罗斯等国的数据主权战略以“守”为主,通过数据本地化解决法律适用和本地执法问题。此外,传统国家间的司法协助条约(MLAT)进展缓慢,也间接鼓励着各国政府更愿意选择数据本地化政策,数据存储在本地至少有执法便利,在法律适用上本身也是一个强有力的抗辩。
互联网是全球性的,然而立法与监管却是本地的。长期以来,互联网的管辖适用问题一直未得到解决。当前,数据主权扩张,导致各国法律适用连接点增多,管辖冲突给跨境服务企业带来难以解决的义务冲突问题。
(5)大国战略互信成为跨境数据流动的双边/多边合作体系建立的基础,当前数据跨境流动的朋友圈主要围绕美欧日等西方国家来划定
大国战略互信,是数据跨境流动有序实现的必要前提。缺乏信任的大国,会倾向于在网络空间采取限制性的行动,对数据流动形成事实上的壁垒,而且会出现竞争性的壁垒升级与政策复制。由于涉及国家安全、产业竞争力等复杂因素,数据跨境流动信任大多建立在长期的政治盟友、经贸伙伴以及具有相同价值目标的基础上(参见图6)。
图6 美国、欧盟、俄罗斯的数据跨境流动合作
(本课题组绘制)
四、我国数据跨境流动管理的战略分析
(一)我国数据跨境流动管理政策现状
近年来,我国数据跨境流动管理制度正在制定完善过程之中,《网络安全法》对关键信息基础设施数据提出了出境安全评估要求,此后,相关主管部门通过规章或规范性文件、标准等不断完善我国数据跨境流动管理政策体系。
一是国家加快立法构建个人信息和重要数据的出境管理框架。《网络安全法》第37条就关键信息基础设施数据出境提出了安全评估要求,对安全评估的责任主体、管理对象、管理要求等内容进行了限定,从而确立了我国数据出境安全管理框架。为了落实《网络安全法》第37条规定,国家网信办于2019年公布了《个人信息和重要数据出境安全评估办法》(征求意见稿),此后根据征求意见作出重大调整,于2019年先后发布了《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等二是行业内重要数据率先开展数据出境管理实践。前期的行业管理实践主要集中于关键信息基础设施所处重要行业领域、信息通信服务领域。主要规定了对数据存储限定是否必须在境内、数据留存时间的最短时限以及对数据出境禁止性规定。如在关键信息基础设施领域中的金融行业方面,中国人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》,明确规定“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”在信息通信服务领域中的网络约车行业方面,交通运输部、工信部等7部委共同颁布《网络预约出租汽车经营服务管理暂行办法》,规定“网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。” 《人口健康信息管理办法(试行)》禁止在境外存储人口健康信息;《保险公司开业验收指引》要求保险公司业务数据、财务数据等重要数据应存放在中国境内;《征信管理条例》规定征信机构对在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。此外,《地图管理条例》《网络出版服务管理规定》等都提出了不同程度的数据本地化要求。
(二)我国跨境数据流动环境和能力SWOT分析
制定跨境数据流动政策是一项需要综合考虑各种因素的复杂决策。本报告以SWOT方法分析探讨我国在跨境数据流动中面临的机遇、威胁、优势和劣势,以提出全面有效的数据跨境流动治理策略。
1. 机遇
(1)美国经济政策转向为中国参与构建数字经济贸易规则提供机遇窗口。
特朗普上任后推出的“全球收缩”经贸保护政策和“美国优先”国内经济政策对全球经济秩序产生重大影响。在全球经济萎靡不振,贸易增长乏力和政治不稳定叠加的背景下,贸易保护成为特朗普对外经济政策的主要议题。美国政府退出了TPP等贸易谈判,放弃既有的多边贸易机制,试图逆转经济全球化。美国退出TPP和全球战略收缩将可能为中国的“一带一路”倡议腾出空间,美国退出后在某些领域形成力量真空,成为中国参与构建数字经济贸易规则的机遇窗口。中国可以利用机遇,建立新的、中国主导的多边机制,重构全球贸易和数据治理体系。
(2)新一轮技术变革改变数据流动逻辑为我国提升全球产业价值链中的地位提供机遇
智能时代的到来,一方面将改变数据流动的底层逻辑,另一方面将使全球产业图景发生革命性的变化。我国在5G、物联网、大数据、云计算、人工智能等领域积累了良好的创新能力和技术优势,有机会通过创新实现跃升迭代,提升我国在全球产业价值链中的地位。因此,我国构建跨境数据流动规则应当在新技术变革带来产业升级的战略背景下予以考量。
(3)我国进一步扩大开放与“一带一路”倡议,推动合作共赢的“新型全球化战略”
根据国家统计局发布的信息,2018年中国大陆对外货物贸易总额达到了4.62万亿美元,再次超过美国成为全球最大的贸易国。扩大开放意味着将有更多数据跨越国境进行流动,包括境内外资企业输出数据、境内中资企业输出数据、境外中资企业输入数据等各种情形。“一带一路”相关投资从传统的基础设施项目拓宽至贸易、互联网等数据密集型行业,伴随大量双边和多边经贸合作协议的签订,以及与一带一路国家贸易关系的紧密发展,带动了双边和多边的数据交互流动的持续上升。
2. 威胁
(1)各国围绕数据主权的战略博弈呈现泛化趋势
数据全球化趋势不可避免地引发了诸多国家对数据主权(DataSovereignty)的担忧,相对领土、人口等其他类型的国家主权管辖对象,数据主权的实现又具有复杂性。首先,数据天然的流动性导致各国的数据主权管辖必然需要与其他国家进行权利交换与权力妥协。如果单方面强调对本国数据资源的绝对控制最终将导致数据流动停滞和与网络空间分裂,最终危害本国数据主权;其次,当前数据主权博弈从个人权利和产业竞争泛化到国家安全和公共安全领域,政治集团、行业巨头、人权组织等纷纷介入这一领域,从不同的角度给跨境数据流动施加非技术性的要求,使跨境数据流动问题变得异常复杂。第三,国际法规则缺失和各国法律差异/博弈导致数据主权管辖边界面临重合与冲突。第四,各国数据主权管辖能力具有不对称性。美国在网络空间基础资源和技术产业的主导地位对各国数据主权保障能力形成现实压制,即便斯诺登事件之后各国高度重视数据安全技术和产业发展,但全球数据主权保障能力不平衡的现状依然明显。
(2)以美国为首的西方发达国家贸易保护主义抬头阻碍数据跨境流动
以中国为代表的新兴大国的科技水平也在急追猛赶,使西方发达国家担心无法安居于价值链高端获得超额利润。这种战略焦虑的结果是美国加强了新兴技术出口管制和外国投资审查。美国在对华出口上奉行“推定否定”政策,即原则上不允许出口,并将众多中国公司列入出口管制实体清单,这将阻碍中国以往通过正常经贸活动获得有价值的技术数据。欧盟高标准的数据保护要求,也提高了中国企业获取欧盟公民数据的门槛。
(3)数据安全威胁泛化造成数据跨境流动风险复杂化
数据跨境流动场景下,数据安全面临更为复杂的威胁。一方面是各国数据保护标准不统一,数据从高水平保护国家流入低水平保护国家,使流出国用户的权利在数据跨境转移后难以得到保障,执法和救济存在障碍;另一方面,各种国家关键信息基础设施和重要机构承载的庞大的数据信息具有重大的国家安全战略价值,如由信息网络系统所控制的石油和天然气管道、水、电力、交通、银行、金融、军事等领域的大数据安全已经上升为国家安全极为关键的组成部分。这些领域的大量敏感数据在跨境传输中存在不可控的风险,需要国家层面加强数据安全能力和监管能力。
3. 优势
(1)我国数字经济全球竞争力持续提升,大量企业的全球化拓展步伐在加速
纵观当前全球数字经济的发展态势,以美国和中国为核心的基本格局已经逐步形成,在互联网行业、人工智能产业等数字经济的重点领域,中美在产业体量、人才集聚、技术创新、影响力等方面均表现出较强的竞争优势。一大批科技企业也依托网络进军海外,中国数字经济全球竞争力的提升和高科技企业加速全球化布局,伴随而来的是中国企业对全球数据控制力的提升,吸引全球数据向中国汇聚。
(2)制度与监管体系的完善有助于改善我国数据保护不力的国家形象
我国数据保护制度不健全长期受到国际社会的批判。无论是欧盟还是APEC的研究报告,都认为我国个人数据保护程度无法达到充分的保护水平,因此无法开展数据跨境的国际合作。随着《网络安全法》《信息安全技术信息系统安全等级保护基本要求》《信息安全技术个人信息安全规范》《信息安全技术数据安全能力成熟度模型》等法律和标准的实施,《个人数据保护法》《数据安全法》纳入立法计划,我国个人信息保护法律制度有望在近期得以完善。在监管层面,国家网信办、公安部等监管部门也针对互联网服务实施了包括隐私政策评审、对不当数据处理行为进行约谈、对侵犯公民个人信息违法犯罪活动实施专项整治,落实信息安全等级保护制度等措施。制度与监管体系的完善,有助于我国塑造良好的数据保护的国家形象,为我国开展数据跨境流动的国际合作奠定基础。
(3)部分龙头企业积极提升数据安全管理能力,推动建立行业和国际标准
除了提升数据保护合规能力以外,我国互联网龙头企业在企业自律和数据安全管理能力建设方面进行了创新性的实践。比如阿里巴巴根据多年的数据安全实践经验,提出了《信息安全技术数据安全能力成熟度模型》(DSMM),围绕数据生命周期开展DSMM评估认证工作,在行业内进行推广应用。该成熟度模型还报批成为国家标准,在此基础上,阿里巴巴还牵头制定了ITU-T、ISO的相关国际标准,将中国数据安全技术和管理经验推广至全球。阿里云还与Oracle, IBM, SAP 和Salesforce等国际科技企业合作,参与制定欧洲云计算服务商行为准则(Code of Conduct for Cloud Service Providers (EU Cloud CoC) ),并有望得到欧盟数据保护监管部门的认证。此外,蚂蚁金服、腾讯等都出台了各自的“隐私保护白皮书”,通过建立全生命周期的数据管理制度和多维度的隐私保护机制,确立最佳实践,规范个人数据保护流程。互联网龙头企业的数据安全管理能力向世界先进水平看齐,并主导国内、国际标准的建立,不仅提升了自身在跨国经营活动中的合规能力和竞争力,也拓展了我国数据跨境流动合作的空间,增强了其他国家开放数据流入我国的信任和信心。
(4)我国数据经济产业增长空间大,优势明显
中国拥有全球第一的人口基数、互联网用户数和移动互联网用户数,网络化、智能化、平台化的采购、生产、营销等开始受到越来越多的中国企业关注,中国已成为名副其实的“世界数据中心”。在数据应用方面,我国企业也取得了显著成效。比如阿里巴巴的DT(Data Technology)战略、腾讯的“大数据连接的未来”、百度的“中国大脑”战略都围绕数据驱动进行布局。在互联网产业O2O的趋势下,互联网企业逐渐将业务延伸到金融、保险、旅游、健康、教育、交通服务等多个行业领域,这极大地丰富了互联网企业的数据来源,促进了其数据分析技术的发展,进一步奠定了我国大型互联网企业在大数据领域的地位,同时也扩展了大数据分析在诸多行业的应用。
4. 劣势
(1)数据跨境流动管理的战略目标有待进一步丰富提升
当前,我国现有跨境数据流动管理政策总体是出于国家安全、执法便利等考虑,未来需要从推动实现我国企业全球化发展的战略目标出发为我国数字贸易活动正常开展提供更加多样化的机制选择。首先,个人数据和重要数据涉及两种不同的法律,面临的安全风险也并不相同,在数据跨境监管手段的选择上也应有所区分,手段也并非本地化存储这一单一路径;第二,在监管者提出了数据本地化要求,但未禁止数据出境的场景中,我国还缺乏相应的程序性规定,明确数据出境的必要条件;第三,重要数据的定义不清晰,数据跨境流动评估办法还很不成熟,企业难以把握,效率和效果上也难以适应今天的实际情况。
(2)“数据本地化”偏好对我国参与全球规则形成制约
“数据本地化”的政策偏好导致目前我国很难参与欧盟和美国主导的双边/多边机制,欧盟在数字经济发展中暂时落后,期待通过GDPR提出的高保护标准和数据向欧盟境外流动的限制措施构建面向非欧盟国家的贸易壁垒。欧盟和美国的“隐私盾协议”谈判就存在诸多波折,并且一直面临欧洲法院重新审查的威胁。中国的侧重“数据本地化”政策也不可避免会对我国与欧盟的谈判造成阻碍。而由美国主导的APEC“CBPR”体系,强调的是国家间数据的自由流动,与我国当前的本地化政策相悖。同时,目前来看,APEC也未显示出与中国积极协商的意向。
(3)数据保护重点尚未形成共识,全社会数据治理能力还不均衡
我国数据保护监管尚处于起步阶段,除了重点打击数据黑灰产之外,明确数据保护的重点,防止影响企业正常经营活动中的数据使用,还有待于形成社会共识。我国大部分企事业单位数据治理能力还存在不足,违规收集用户数据、缺乏必要的数据安全防护措施、滥用甚至贩卖用户数据、大规模数据泄露等等严重侵犯用户隐私和数据权利的事件屡见不鲜。有些组织缺乏基本的数据保护意识,也缺乏专业的数据管理人才;有些组织对数据安全有了初步的认识,但还缺乏良好的数据治理能力,无法将其转化为竞争优势;有些企业认识到了数据资源的财产价值,却滥用技术能力,为了获得商业利益而侵犯用户隐私。数据保护重点尚未形成共识,全社会数据治理能力不均衡,严重影响了我国整体数据保护能力的提升。
五、构建我国数据跨境流动管理体系
1.战略目标与原则
我国数字经济产业竞争力不断上升,大批科技企业开展了全球化布局;新一轮的技术变革为我国企业弯道超车,占领全球产业价值链的高端位置提供了战略机遇。但与此同时,地缘政治环境呈现恶化趋势,作为战略竞争对手,我国未来将面临以美国为首的西方发达国家的科技围堵和数据封锁。
在复杂形势下,构建数据跨境流动管理体系应当服务于我国建设“网络强国”的战略目标,服务于我国整体经济发展的战略需要。通过把握全球产业竞争和政策演进的趋势,认清我国当前产业能力和发展目标,明确我国国家安全和网络安全的“红线”,选择适当的数据跨境国际合作伙伴,建立确保我国数字经济全球竞争力的数据跨境流动互认区域,实现经济发展、国家安全、公民权益等多个价值目标的有机协同,真正推动我国数字经济的发展,保障数据主权。
我国构建数据跨境流动管理体系,应当遵循以下原则:
一是开放有序流动原则。数据是网络空间信息内容的基本载体和生产活动的基本材料,互联网的本质就是数据的流动。目前美国主导的数据跨境流动规则依然带有强烈的地缘政治色彩,这是霸权思维的一种表现,而这恰恰也给我国建立受更多国家欢迎的数据跨境流动规则提供了机会。相对于西方甚至开始自己打脸的所谓“数据自由流动”,中国应该主张数据有序流动要求,一方面不能一刀切地阻断“数据自由流动”来实现安全目标,失去信息技术发展带来的巨大收益;另一方面还是要根据实际情况尊重一定的规则,例如根据不同类别的数据设定宽严不同的要求,充分发挥政府监管和企业、行业、社会的自律机制和市场能动性,使流动的数据带来效益的同时不至于被严重地恶意利用。
二是安全与发展并重原则。当前,数据跨境流动政策面临复杂的决策因素,但是服务于国家发展大局是最终目标。2016年4月25日,习近平在全国网络安全和信息化工作会议上指出:网络安全是动态的而不是静态的,开放的而不是封闭的,相对的而不是绝对的。因此,在中央新一轮开放发展战略的总体指引下,我国开展跨境数据流动管理必须明确安全底线,廓清限制流动的数据范围,同时提升能力保持对跨境数据流的可知可控,保障国家安全和用户隐私。
三是合作共赢原则。网络安全领域的博弈,在当今的世界,本质上就是国家主权在网络空间的投影和互动博弈。习近平主席提出构建网络空间命运共同体的重要主张,体现了中国对网络空间全球治理的担当,成为指引中国推进网络空间国际合作和全球治理的核心理念。我国推动网络空间治理的目标不是阻断数据的自由流动,而是积极构建双边和多边的数据跨境流动信任体系。
2.实现路径
面对数字经济领域的新机遇、新挑战和新竞争,我国应当把握全球数字产业竞争和政策演进趋势,梳理各行业数据跨境流动的总体需求,充分利用自贸区等创新发展试验田的作用,探索建立一个开放、透明且可操作的数据流动监管体系。
一是制度完善与先行先试阶段(1-2年)。在1-2年内,以促进数字经济竞争力和保障安全和隐私为主旨目标制定《个人数据保护法》《数据安全法》,在顶层设计和法治基石上保障我国数字经济持续创新发展,更好参与全球数字经济竞争和治理。可优先选择上海、深圳、海南等作为先行先试地区,利用自贸区等制度创新优势,试点制定完善数据跨境传输、利用、保护、流转等方面规则体系,包括以数据自由港积极与欧盟对接商谈“充分性认定”。与战略合作伙伴和密切的贸易伙伴,包括俄罗斯、日本、韩国以及一带一路沿线重点国家开展数据跨境自由流动谈判。同时积极鼓励地方政府、行业主管部门、产业界和学术界在数据安全治理方面的创新和探索,发挥我国数字经济的特点优势,建立有国际影响力的标准体系和运行机制,为我国在全球开展有说服力的数据跨境流动规则奠定基础;
二是国内监管完善与国际合作推进阶段(3-4年)。在3-4年内,实现政府高效监管、行业严格自律、社会服务健全的高水平的数据跨境流动安全评估和治理体系,建立以主要贸易伙伴和战略合作对象为核心的数据跨境流动朋友圈,建立重要的双边、多边数据跨境流动合作体系,初步形成一套充分体现我国主张的数据跨境流动规则和模式。
三是规则主导和引领阶段(5-8年)。建立以中国为主导的多边贸易规则体系,重构数据跨境流动规则,推动一体化的数据保护标准和数据跨境流动监管机制。
3.实施策略
从实施策略上来讲,数据跨境流动政策的构建涉及隐私保护、产业竞争、国家安全等多维度命题的交织与互动。这一公共政策的复杂性体现在三重利益诉求上,一是从个人视角出发的权利保护诉求;二是产业视角的发展、创新和竞争诉求;三是从国家视角出发的数字经济国际竞争力和地缘政治影响下的数据主权安全需求。实施策略需要综合考虑多重利益诉求,实现目标与能力的平衡。
(1)加快出台数据跨境流动制度体系
由于个人数据与重要敏感数据涉及的风险和所需保护的法益各有不同,许多国家都在尝试分级分类监管的方法,通过精细化的法益衡量,确立宽严不同的数据跨境流动管理政策。
首先,对于个人数据出境,应当坚持以市场机制为主,企业自律和政府监管相结合,针对个人数据出境后可能遭遇的数据泄露、数据滥用等侵犯个人合法权益的风险制定监管规则。我国目前初步建立的数据跨境流动政策,如将数据出境安全评估作为单一合规机制,在现实中恐难以适应海量数据跨境管理需求。建议参考欧盟及其他国家经验,丰富合法出境途径及配套管理办法,设立符合我国国情需要的多样化合法流动机制。
一是根据个人数据保护状况及对等原则,将部分国家和地区纳入可自由流动的范围。与国际通行做法接轨,以国家地域为主要认定准则,对个人数据保护状况实施评估,结合对等原则,同时兼顾我国管理实际需要,梳理总结我国典型的出境商贸企业和跨国公司个人数据出境现实场景和主要目的地,兼具确定性和灵活性,形成“以数据保护水平为原则加若干例外情况”的认定方法。数据跨境流动评估主要涉及对方的法律环境、数据安全能力、合同范本等几大部分领域。其中对于国家地域法律环境评估的工作绝大多数企业缺乏这样的能力,这部分应该由政府统一组织和公布,以确保科学和标准一致。二是根据安全评估的主要标准,建立指引性的数据跨境流动协议范本,类似于欧盟、澳大利亚提出的标准合同范本,引导企业在个人数据出境活动中,通过合同法律机制来管控个人数据出境风险。三是鼓励行业协会及其他自律组织参与安全评估认证。发挥社会力量,建立竞争机制,打造具有国际水平的行业协会和第三方组织,作为市场机制补充,在安全评估中发挥作用,从而建立可落地实施,具有活力的数据管理秩序。
第二,对于重要数据出境,需结合数据出境后的安全风险进行实地分析,根据数据出境实际场景,结合重要数据的定义及范围,综合考量数据出境后产生的风险及影响,对重要数据出境实施梯度性监管。一是借鉴国外数据分类经验,按照重要行业和信息主题分类标准,合理确定我国“重要数据”内涵和范围,指导政府、信息通信、金融、交通等相关行业主管部门探索制定行业或领域内细化的重要数据列表或识别标准。二是将数据泄露、篡改或滥用对国家安全和社会公共安全影响程度为标准划分“重要数据”出境的风险等级,在实施风险评估后确定高中低风险下完全限制出境、审批后限制出境和出境后备案等不同的监管方式。三是依托大型成熟跨境企业,共同研究行业级的跨境数据流动安全管理规范,在电子商务、金融、航空、云服务等领域率先推动行业跨境数据流动标准的出台,以此来带动整个行业的数据保护和数据流动,并积极推动我国的行业标准成为国际或区域性的标准。
(2)加快构建我国数据安全治理体系,打造全球数据安全流动高地,掌握数据跨境流动话语权
构建我国数据安全治理体系,需要发挥政府、行业、企业的各自优势,实现协同共治,发挥龙头企业的引领带动作用,提升行业、国家整体数据安全治理能力,打造全球数据安全高地,以掌握数据跨境流动合作的话语权和主动权。从政府层面来说,通过制定《数据安全法》《个人数据保护法》进一步完善规则,明确主体责任和监管内容,建设良好的监督协调机制。从行业层面来说,应当深度结合行业特点,研究建立各行业数据安全相关指南、标准,鼓励行业自律,推动和监督行业性数据安全测评、监测预警、教育培训,积极提炼和推广实践经验,参与甚至引领标准,加强数据安全意识和能力教育,提升数据安全能力,让数据安全成为企业的核心竞争力。
(3)构建国家保障数据跨境流动安全的能力体系
数据跨境流动带来的国家安全威胁主要源自于数据传输至境外以后的各种不可控风险。构建国家保障数据跨境流动安全能力体系,政府必须联合实施跨境业务的企业,通过公私合作,加强对数据跨境活动中安全防护及感知、检测、溯源能力。一是加强数据泄露威胁情报共享与溯源能力,打造龙头企业、安全机构与政府机构之间的快速生态协同系统,通过产品、服务、生态协同系统共享各种数据泄露的威胁情报,加强数据安全事件的快速和响应的能力,并追踪溯源恶意行为,快速定位威胁来源。二是积极拥抱创新技术。数据跨境流动包含数据泄露、个人隐私风险、数据滥用等一系列安全风险,需要多方合作积极研发和应用创新技术如同态技术、多方计算等大量新技术来降低数据安全的威胁。三是加强政府反制和威慑能力。对国家安全构成重大威胁的数据泄露事件,综合利用外交、信息、军事、经济、情报以及执法等力量,对其进行威慑和打击,惩罚恶意网络行为者。
(4)积极推进双边、多边的数据跨境流动谈判
随着中国“一带一路”,上海合作组织、金砖国家、东盟地区论坛、中非合作论坛、中阿合作论坛、中拉合作论坛、中国-中东欧论坛等国际合作的开展,中国在全球的影响力在不断上升。这会总体上有效的提升中国应对地缘政治风险的能力。我国应当充分利用“一带一路”建设等契机,在完善国内规则的基础上,由国家网信部门负责牵头,统筹外交部、商务部等相关部门以及主要龙头科技企业,启动跨境数据流动对外合作工作推进机制。在当前各种双边、多边贸易谈判中,增加数据跨境流动的谈判内容,在加强统筹的前提下,实现数据跨境流动规则的统一。例如,可以在中日韩自贸区谈判中可以将数据跨境流动议题纳入其中,推进区域内数据自由流动,东盟“区域全面经济伙伴关系协定”(RCEP)谈判有望在2019年完成,我国可以借助RCEP,推动与东盟国家的数据自由流动朋友圈建设。此外,我国也可考虑参与APEC下的CBPR机制,该机制虽然由美国主导,但是其遵循的APEC隐私框架要求不高,与我国数据保护要求较为契合,并且其制定的数据流动规则较为弹性,APEC多数成员国大都有意向加入其中。参与CBPR有助于减轻我国企业在实施跨境业务时个人数据跨境流动的合规负担。
(5)建立国际执法协作条件和框架,解决数据管辖冲突
在各国纷纷主张数据主权的情况下,特别是欧盟和美国的长臂管辖对传统国际执法协作体系构成冲击。当前,我国应对管辖冲突的策略仍以防守为主,依据《网络安全法》第37条和《国际刑事司法协助法》,明确阻断直接来自外国政府对境内的机构、组织和个人控制的数据的刑事司法管辖权。“非经中华人民共和国主管机关同意,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和法律规定的协助。”与此同时,依据《网络安全法》第75条,我国对来自境外的危害关键信息基础设施的活动将主张管辖权。为落实《网络安全法》第75条,我国执法和监管部门不可避免地要跨境调取大量数据。这种完全限制执法数据出境,又主张境外数据刑事司法管辖权可能难以实现。可能的解决方案是,未来在《数据安全法》中明确数据相关国际执法协作的框架与条件,应对美国、欧盟长臂管辖,设计符合国家利益和中国企业全球化战略的执法数据调取方案,并积极与各国建立双边-多边的数据执法调取协议。
(6)利用特定地区的政策创新优势,在确保可监管的前提下探索建设全球数据港
利用特定区域,如上海自贸区、海南自由港、深圳中国特色社会主义先行示范区等制度创新优势,探索建立一个开放、透明且可操作的跨境数据流动监管体系,通过在特定区域建立数据跨境流动自由区,吸引涉及数据跨境业务的一批企业入驻,从技术和政策等方面完善跨境数据流动的解决方案,推动建设全球数据港,通过探索监管经验,实现开放水平与监管能力的匹配,稳步实现我国其他地区城市的跨境数据流动水平的提升。
(7)发挥产业界优势,鼓励龙头企业积极探索跨境数据流动的实践,更多地利用市场化机制提升跨境流动管理效率
政府应当鼓励建立行业性的数据保护的自律机制,鼓励企业加强与国内外监管机构的合作。比如借鉴欧盟GDPR条款,要求企业设置数据安全官,负责与监管部门的对接和对话。对企业申请国外监管机构或第三方认证提供帮助和指导。积极推广优秀企业的数据保护和跨境流动最佳实践,带动行业和社会整体保护水平的提升。通过行业协会、第三方机构实施数据跨境流动认证评估,推动优秀企业在市场竞争能够被广大用户清晰辨识,激发企业严格合规与高度自律的积极性。
声明:本文来自阿里巴巴数据安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
