所谓数据外交,是指围绕国家数据主权、数据资源的冲突与合作,在数据安全立法、跨境流动等方面开展的国际数据治理规则制定、双边和多边贸易协议制定、相关法律法规执法等外交活动。随着数字经济全球化趋势不断加强,围绕数据主权、数据资源争夺与合作的数据外交活动的重要性逐渐凸显。我国必须参与国际数据治理规则的制定,构建数字丝绸之路,明确我国的数据外交主张并完善相关法律法规,开展数据外交指导和人才培养工作。

一、全球数据外交活动频繁,重要性逐渐凸显

(一)通过数据外交制定国际治理规则

国际联盟和标准组织是开展数据外交、制定国际数据治理规则的主力。近年来,数据外交活动频繁,主要体现在两个方面。

国际联盟和多边贸易协议引领数据安全立法、数据跨境流动、数据采集等规则的制定。在数据安全立法方面,欧盟数据保护委员会(EDPB)是其成员国开展数据外交的重要组织,EDPB通过发布指南、建议、意见和有约束力的决定,有效扩大GDPR的影响力,增强了欧盟成员国数据外交的实力。印度和巴西等国家的个人数据保护法在很大程度上借鉴了GDPR。在数据跨境流动方面,经济合作与发展组织、亚太合作组织、20国集团等,均通过制定指南、体系框架或对外联合声明阐明其成员对数据跨境流动的主张,如《关于隐私保护和个人数据跨境流动指南》、《APEC跨境隐私规则体系》、《全球电子商务框架》等。美国与欧盟、美国与韩国等也通过双边或多边贸易协议达成了区域数据跨境流动规则,比如隐私盾协议、《美-韩自由贸易协定》、《美墨加协议》等。截至2019年底,加拿大、阿根廷、瑞士、新西兰等12国通过了欧盟数据跨境流动的充分性认定。在数据采集方面,美国领导的多国情报联盟“五眼联盟”2019年7月表示,为打击虐待儿童和恐怖主义,要求WhatsApp等加密通信公司提供后门访问权限。2019年10月,美国、英国和澳大利亚三国政府共同签署了一封公开信,以“优先考虑公共安全”为由向Facebook施压,要求其提供通讯数据。

开展数据安全和制定标准规范的工作。如ISO/IEC JTC1、ITU-T、IEEE BDGMM、NIST等吸纳了多个国家的科研人员,在大数据安全和隐私等方面发布了多项标准,我国专家也积极参与了相关工作。

(二)通过数据外交保护本国个人信息和重要数据安全

通过司法等手段规制国家层面的数据窃取活动。“棱镜门”直接导致欧盟取消了与美国之间的安全港协议,直至隐私盾协议达成,欧美之间的数据跨境流动才恢复正常。“棱镜门”事件发生后,多国取消了与美国的部分外交活动,并谴责美国窃取本国数据和情报。

调查国家层面的数据违规使用和传输行为。2019年7月,欧洲议会一位议员要求揭露英国非法复制申根信息系统(SIS) 数据库的恶劣行径。英国政府还被曝出将SIS数据存放在不安全的机场和港口信息系统,并向IBM、ATOS、CGI等公司违规提供相关数据。

在“长臂管辖”的立法和执法层面展开数据外交对抗。GDPR适用于处理欧盟公民数据的所有组织,因此具备域外执法权,即具有长臂管辖特性。与此相类似,美国的《健康保险流通与责任法案》、《金融服务现代化法案》和《家庭教育权利和隐私法案》在隐私保护方面都具有域外执法权,2018年5月出台的《澄清域外合法使用数据法案》更是扩大了美国跨境调取数据的范围。我国在2018年10月颁布的《国际刑事司法协助法》中提出,非经我国主管部门同意,我国境内机构、组织和个人均不得向外国提供证据材料和相关协助,表明了我国反对长臂管辖的坚定立场。2019年7月,美国华盛顿联邦上诉法院判定交通银行、招商银行、浦发银行在被要求提供数据协助调查香港一家公司反洗钱的过程中,援引《国际刑事司法协助法》无效。

(三)通过数据外交恶意管制信息技术产品的进出口

美国为首的一些国家近年来多次诬称我国5G和人工智能产品存在窃取他国数据的行为,并对我国部分企业信息技术产品颁布禁令。2019年5月,加拿大、法国、美国以华为5G设备和大疆无人机为中国政府采集数据为由抨击我国政府和企业。我国外交部回应称,这些国家拿不出证据,是将莫须有的罪名安插在中国政府和企业头上。

二、对数据外交的几点思考

(一)数据外交是争夺数据主权和数据资源的必然产物

在数据主权层面,数据所有权、控制权、管辖权的分离和信息技术掌握能力的差异导致数据外交中冲突频发。在越来越多企业开拓国际市场和开展全球合作的背景下,产生数据国家的企业、组织或个人,实际控制或处理数据的企业和组织,具有对相关数据行政和法律管辖权的国家,三者关系错综复杂,在各国对信息技术掌握能力不同的情况下,极易出现数据所有权、控制权和管辖权的争夺,导致弱肉强食。在数据资源层面,高质量大规模的数据是人工智能和大数据技术发展的生产资料,掌握数据资源是发展数字经济的基础。因此,欧盟、日本等积极推进经济自贸区的数据跨境流动,全球多个国家积极参与政府数据开放活动,以此获取更多的优质数据资源。

(二)数据外交话语权是核心信息技术和数字经济实力的综合体现

在全球数据外交活动中,无论是数据跨境流动、数据采集规则的制定,还是数据科学层面的技术应用标准研究,都是美国的话语权最强。究其原因,正在于美国强大的核心信息技术积累和数字经济实力,具备将长臂管辖等数据外交策略落地的技术能力,同时在双边和多边贸易协议的制定上,其高质量的信息技术服务和巨大的单一数字市场规模较难被替代,使得美国一些数据外交主张的影响力不断扩大。例如,2019年10月,外媒报道美、英两国初步就《澄清域外合法使用数据法案》达成协议,将允许两国执法机构调取彼此境内存储的数据。

(三)各国制定符合其数字经济发展现状的数据外交策略

美国数字经济实力雄厚,未来或通过多边贸易协议等方式推广美国数据治理策略,以此遏制我国和欧盟的数据外交主张。美国信息技术与创新基金会在《美国数据隐私立法的最佳方案》报告中提到,为遏制欧盟的数据跨境流动框架并确保互操作性,美国相关部门应当有力倡导美国方案,扩大《澄清域外合法使用数据法案》的影响力。另外,美国欲以掌控全球数字基础设施建设为契机增强其数据外交的实力。美国战略与国际研究中心2019年发布的《高端之路:制定美国全球基础设施挑战战略》提出,绝不能让中国在5G、智慧城市、自动驾驶等领域的数字基础设施建设上获得主导地位,建议将数据本地化和数据跨境流动等问题的约束规则纳入未来数字基础设施建设相关贸易协定中。

欧盟继续推广GDPR,在数据外交上对我国是既批判又合作的态度。2019年2月,EDPB发布2019-2020年工作计划,列举出17项拟出台的指南,涉及车联网、儿童数据、视频监控、政府机构以合作管理为目的的数据跨境传输等,将进一步完善和推广GDPR及配套指南。从欧盟委员会2019年发布的《欧盟-中国战略展望》来看,欧盟对我国工业和经济政策持批判态度,但同时也提出在“数字连接”方面应与我国合作。这是由欧盟缺少数字经济巨头企业同时又不能放弃与中国巨大的数字经济市场合作的现状所决定的。

日本积极推动数据跨境自由流动。日本在2019年G20峰会上提出,希望建立允许数据跨境自由流动的“数据流通圈”。另外,日本主导的CPTPP延续了原TPP中关于推动数据自由流动和避免数据本地化的主张。日本的相关做法可能是基于其在数据资源上不如中美两国丰富的事实。

俄罗斯和印度等数字经济不发达国家强调实施数据本地化政策,在数据外交上相对保守。总体来看,除了美国在数据外交上全面针对我国外,欧盟、日本、俄罗斯等国均是我国在数据外交上可以争取的合作伙伴。

三、几点建议

(一)积极参与制定国际数据治理规则,增强我国数据外交的话语权

参与相关联盟和标准组织,提出或宣扬数据跨境流动、数据安全立法的中国方案,以此落实我国数据外交相关主张,同时推广我国在数据安全、流通、利用方面的最佳实践,展现我国良好的数字经济营商环境,并参与大数据、人工智能、5G等领域与数据相关标准的制定工作。

(二)开展双边和多边数据外交合作,推动构建数字丝绸之路

建立数据跨境流动和交易的试点自贸区。2019年8月,国务院公布的《中国(上海)自由贸易试验区临港新片区总体方案》明确提出,应“实施国际互联网数据跨境安全有序流动”,“构建安全便利的国际互联网数据专用通道”,“试点开展数据跨境流动安全评估,建立跨境数据流动和交易风险评估等数据安全管理机制”。建议以此为契机,鼓励数字基础设施建设和相关产业基础较好的大数据综合试验区与“一带一路”沿线国家建立数据跨境流动和交易的试点自贸区,探索促进数据安全流通的国际规则。鼓励我国大数据、云计算、人工智能等领域的企业走出去,与“一带一路”沿线国家建立合作备忘录,在数据安全有序跨境流通的情况下,开展数据中心和通信基础设施联合构建、大数据和人工智能技术研发和应用市场推广等活动。在带动“一带一路”沿线国家数字经济发展、促进我国企业国际化的进程中,推动制定新兴市场国际数据治理的规则和标准。

(三)明确我国数据外交主张,完善数据安全相关法律法规,保护我国公民的个人信息和重要数据

以推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”为指导思想,构建尊重各国法律、保障个人信息和重要数据安全、促进各国开放合作、推动全球数字经济整体发展和共同繁荣的数据外交生态,坚定反对不尊重他国数据主权的行为。加快出台《个人信息保护法》、《数据安全法》、《数据安全管理办法》和《个人信息出境安全评估办法》等,研究出台全面反制通过“长臂管辖”攫取我国数据的法律法规,完善我国数据安全相关法律法规体系,为我国数据外交主张提供有力支撑。

(四)开展数据外交指导和人才培养工作,反制他国的恶意数据安全监管

指导企业做好数据安全合规工作。通过网络安全周、数字中国建设峰会、世界互联网大会、中国国际大数据产业博览会等活动,做好我国和主要国家数据安全法律法规的宣贯或介绍工作,引导企业做好数据安全合规,并坚决维护国家数据主权。培养数据外交人才。开展数据外交需要精通各国相关法律法规并掌握一定信息技术的人才。建议借鉴美国商务部2016年开展的“数字专员”项目,培养数据外交人才,帮助我国企业解决在国外遭受到的恶意数据安全监管问题,努力降低由此带来的不利影响。

本文作者:赛迪智库网络安全研究所 张博卿

声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。