GDPR究竟影响多少数据跨境流动？

朱悦 对外经济贸易大学数字经济与法律创新研究中心研究员

以GDPR为代表的隐私立法，和其中相对突出的“数据本地化”，都是时势。对相关规制，无论是立法过程中，还是实际生效后，企业在跨境传输数据方面或有障碍，也都是最焦灼的争点（之一）。相应影响，有没有，有多大？发放问卷做调查，涉足田野看实践，来回答这一问题，是研究者正积极开展的工作[1]。Tomiura等三位学者调查，是现有进展代表之一。之外，除开通常观念中的“数据跨境”，“白”“灰”“黑”的其它各色流动，同样值得关注。

表1 企业对“GDPR（左）/《网络安全法》等规制（右）是否对企业有所影响”的答复。从上至下：有一些影响、没有影响、不清楚

原文简明。作者向四千余家大中型日本企业[2]发放问卷，询问在GDPR等规制下所受的影响、涉及的信息、应对的措施，等等。影响如上：近5%企业认为，GDPR对企业“有一些影响”。不过，这些也是生产率相对较高的企业[3]。同时，无论是个人还是非个人信息，涉及跨境流动的企业比例，均极低。应对方面，在声称“有一些影响”的企业中，约三分之一将数据收集与处理本土化，尚有近一半称已“加强管理”[4]。组织结构层面的变化，则相当微弱[5][6]。

图1 既有研究[7]估计得到的，“是否施行信息泄露通知法律”与“身份信息泄露案件”数量间的相关性，十分微弱，且并不显著异于0

以上是数据跨境研究中，较有代表性的进展之一。如此，相关讨论，常常忽略跨境流动中相当庞大、而声名不彰的层面：各类或合法，或非法的跨境交易[8][9]。实际上，在前述问卷中，即使是“受到一些影响”的企业，跨境流动对象，多限于企业内部。遗憾的是，有关GDPR等立法如何在较大范围内影响两类交易，所知依然不多。合法交易上，研究前沿，仍集中在描述市场本身的成员、规模和结构[10]；非法交易上，仅有特定条款对泄露风险的影响[11][12]。

[1] 当然，存在其它值得注意的成果。“调查问卷”方面，例如，可见Bessen, James E., et al. "GDPR and the Importance of Data to AI Startups." (2020)；“涉足田野”方面，例如，可见Waldman, Ari Ezra. Inside the Information Industry. Forthcoming, Cambridge University Press。

[2] 此处依既有数据库抽样而实施，应答率约21%。值得注意的是，亦如作者坦承，在这一领域，数据质量，仍有长足进步空间。明显的选择偏误、情势的随时变化、法务与业务距离、商业秘密的顾虑，甚至，遮掩不当的需要，等等，都影响对数据的观感。相关叙述，因而仅可参考。此外，若讨论话题延及其它国家或地区，内容显然未必适用，下同。

[3] 见于Tomiura, Eiichi, Banri Ito, and Byeongwoo Kang. "Cross-Border Data Transfers Under New Regulations: Findings from a Survey of Japanese Firms." (2020)。对此，出口企业较面向本土企业生产率为高，是异质性企业贸易模型的经典结论。

[4] “加强管理”的含义并不明确。此外，有约5%选择外包，1%退出欧洲市场。

[5] “组织结构层面”，系指令执行层管理相应事务，或任用相关专员，等等。

[6] 原文有其它关于GDPR的问题，也有针对其它地区法律规制和各类高新技术采用的问题，可以参考。另外，原文问卷设计，似有一定改进空间。

[7] 此处来自Bisogni, Fabio, and Hadi Asghari. "More Than a Suspect: An investigation into the connection between data breaches, identity theft, and data breach notification laws." Journal of Information Policy 10 (2020): 45-82。

[8] 显然，很难指望通过问卷得到准确信息。需求更盛的，是运用技巧和经验的田野工作。在非法数据交易上的相关进展之一，例如，可见Hutchings, Alice, and Thomas J. Holt. "A crime script analysis of the online stolen data market." British Journal of Criminology 55.3 (2015): 596-614。

[9] 此处完全忽略了政府层面以各种手段引致的跨境流动。这当然不意味着这一点不重要。实际上，与此处相比，其它流动，可能更类似于冰山上的尖顶。

[10] 例如，可见以下描述市场拓扑结构的尝试，Agogo, David. "Invisible market for online personal data: An examination." Electronic Markets (2020): 1-22。部分公开的、相关的行业研究成果，亦有影响力，例如，可见Manyika, James, et al. Digital Globalization: The New Era of Global Flows. Vol. 4. San Francisco, CA: McKinsey Global Institute, 2016。之外，此处没有考虑部分通常不易获取的行业报告。

[11] 例如，围绕“访问权”或“可携带权”规定对数据泄露风险的影响，可见Di Martino, Mariano, et al. "Personal information leakage by abusing the GDPR" Right of access"." Proceedings of the Fifteenth USENIX Conference on Usable Privacy and Security. 2019。此外，有关“泄露通知”规定如何影响身份欺诈，可见注7所及研究（围绕美国各州法律的实证，兼及对GDPR的分析。发现很难认为之间存在显著联系，但在不显著背后，又有多种不同的解释）。虽然“泄露风险”与“非法交易”或许仅有间接的联系，即使是有关前者的实证，依然稀少。大部分研究，仍停留于纸面上的制度，与现实未必有关。相关之粗略概述，可见Kiesow Cortez, Elif. "Data Breaches and GDPR." The Palgrave Handbook of International Cybercrime and Cyberdeviance (2020): 239-256。行业层面，有些许公开的描述性成果，例如，可见“DLA Piper GDPR Data Breach Survey”等；一般地，可见Howell, C. Jordan, and George W. Burruss. "Datasets for Analysis of Cybercrime." The Palgrave Handbook of International Cybercrime and Cyberdeviance (2020): 207-219。之外，此处没有考虑部分通常不易获取的行业报告。

[12] 当研究范围涉及全球，很难再找到合适对照，并因此推知因果、评估立法，可能是一个即将到来、且颇难克服的问题。

参考文献：Tomiura, Eiichi, Banri Ito, and Byeongwoo Kang. Effects of Regulations on Cross-border Data Flows: Evidence from a Survey of Japanese Firms. (2020).

声明：本文来自数字经济与社会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。