文|杨婕 信通院互联网法律研究中心研究员

【关键词】数据跨境流动 国家安全 数据本地化

从全球竞争的视角来看,当前各国正处于数据竞争的大航海时代。数据的战略性导致了各国对于数据的激烈竞争,数据应该以什么方式存储,存储在哪里以及是否可以跨境提供等问题在全球范围内引发了大量讨论。全球数据跨境流动对国家安全的真正影响问题尚未达成共识,但限制或禁止数据跨境流动的国家越来越多,数据本地化政策越发普遍。无论是出于数据主权、国家安全或者隐私保护等原因,各国政府越来越多地实施具有保护主义性质的数据本地化政策。但是,数据本地化也对各国的数字经济发展产生了一定的负面影响。在此背景下,本文认为各国应当重新审视实施数据本地化理由的合理性,全面评估数据本地化是否可以起到维护国家安全的作用。

一、全球对于数据本地化的立场与态度不一

0美国和欧盟关于数据流动的立场存在分歧

美国目前对数据本地化持反对态度,2020年7月生效的美墨加协定禁止数据本地化,并规定成员国之间的数据流动合法化。欧盟对数据跨境自由流动的态度则较为审慎,《通用数据保护条例》(GDPR)规定具备“充分保护”个人数据水平的主体才能与欧盟进行自由数据流动。显然,美国和欧盟之间关于数据流动的立场有所分歧,而2020年7月的Schrems II案中,欧盟法院宣布欧盟-美国之间的数据传输协议“隐私盾”无效,认为美国的数据监管法律无法充分保护欧盟互联网用户的个人数据。一些学者指出,数据本地化并不能充分解决潜在的隐私保护和安全防范问题。

0金砖国家等新兴市场已开始布局数据本地化要求

巴西、俄罗斯、印度、南非等金砖国家均已实施或正在实施数据本地化授权。2020年2月,巴西《通用数据保护法》(LGPD)正式生效,要求公民的个人数据在其境内“物理存储和维护”。俄罗斯数据本地化立法主要侧重于实施数据镜像政策,要求数据可以在境外传输和处理,但必须在本国境内的服务器上储存和处理公民的个人信息。印度《个人数据保护法案》根据数据的重要性制定了三种本地化策略:首先,“敏感的个人数据”软本地化,允许在满足类似GDPR的条件时传输一些个人数据;其次,“关键个人数据”硬本地化,只能在印度境内处理不得转移到国外;最后,对支付数据进行的混合本地化。南非采取类似GDPR的数据治理框架,引入了“国家数据和云政策”,要求在该国境内存储和处理被视为“关键信息基础设施”的数据以及反映南非自然资源生成的数据。

0国际机构致力于减少数据流动的障碍

目前,一些国际上的治理机构和非政府组织都致力于减少数据流动的障碍,反对本地化趋势,该观点通常被称为“可信的数据自由流动”。2019年,20国集团 (G20)提出“数据的跨境流动产生了更高的生产力,也带来了隐私、数据保护和安全相关的挑战。”但该宣言在建立全球数据流动标准和规范方面并没有取得显著效果。2021年4月,数字和技术部长级会议,提出七国集团(G7)应抓住“可信数据自由流动”的机会,为人民、企业和经济创造价值,应就数据本地化的影响提供证据,促进监管合作,并加快制定最佳实践方法,在更广泛的领域进行数据共享,这些领域可能包括交通、科学研究、教育和减轻自然灾害。随后,在世界贸易组织 (WTO) 2021年5月的电子商务谈判中,各成员国强调实现跨境数据自由流动是国际合作不可或缺的一部分,应就数据本地化授权制定明确的指导方针,并制定促进贸易便利的条款。经济合作与发展组织 (OECD) 计划于2021-22年围绕访问、控制和数据共享;跨境数据流动;数据对商业模式、市场动态和市场结构的影响;数据的统计和分类四个方面建立成员之间的相互信任并最大程度地减少数据流动的障碍。

二、数据本地化对于维护国家安全的作用存疑

全球互联是二战后和平与联盟的基础,而数据本地化使这种全球互联面临风险。支持数据本地化的国家安全论通常以“国家安全”为借口,主张数据本地化可以保护本国公民隐私和国家重要数据不被境外势力所利用。但商业经济论则认为,尽管经济保护主义主张跨境数据流动可能会降低本地互联网企业的竞争力,然而在实践中并没有足够的证据证明数据本地化可以推动线上线下经济的发展。反而,建立数据壁垒在为新优势领域的国内企业带来短期商业利益的同时,可能会牺牲更广泛、持久的全球经济利益。尽管存在这些经济论据,各国政府仍根据自己对“国家安全”的理解而做出数据本地化的决策,这让一些跨国公司不得不选择离开某些市场,而非遵守限制性的数据本地化要求。

0以“国家安全论”为理由要求数据本地化并不充分

一些国家认为,数据自由流向敌对政权会威胁其作为地缘政治对手的国家安全。例如,韩国不希望朝鲜访问其公民和公司的数据。另外,政府希望可以通过法律或技术上的途径获取开展行政管理所需的数据,数据本地化使得政府能够采取数据保护政策。虽然G20财长在大阪领导人宣言发表之前的公报中提到了数据自然流动所带来的收益和挑战,但是并没有提及数据本地化的危害,反而给了代表世界80%GDP与60%人口的G20成员国在其认为合适的情况下实施数据本地化的自主空间。但这也带来了一些问题, G20国集团成员国缺乏对数据本地化与国家安全问题的一致性理解,一些国家认为政府必须控制数据以保护其公民的隐私免受外部行为者的侵害,但政府也无法保证数据本地化比当前的跨境流动更能保护隐私。促进数据本地化最常见的借口是定义模糊的“国家安全”,但对数据流动的控制使政府能够更好地控制数据,却无法解决网络安全和其他传统的国家安全问题。

0数据本地化可能引发的国家安全风险

数据本地化以及由此产生的互联网壁垒反而会对国家安全产生了影响。

一是数据本地化可以成为数字威权主义用来限制民主的工具。通常数据本地化的要求是以“保护”个人隐私或安全为由提出的,但结果往往恰恰相反。例如,在谷歌地图搜索、Instagram浏览帖子的过程中,个人数据被存储在本地服务器上,政府因此有更多的机会利用这些数据来行使管辖权。此外,部分国家对“关键”、“高度敏感”和“重要”数据等相关术语的定义模糊,随着时间的推移定义内涵扩大并变得更加主观,可能会对民主产生负面影响。

二是数据本地化会造成跨界信息访问障碍,限制军队、执法部门、情报部门之间的合作。跨境执法合作通常通过司法协助条约 (MLAT) 体系进行管理,但大部分现行条约对“数据和管辖权”和“受保护的数据”没有明确的定义,这意味着该体系无法处理和共享执法所需的数据,增加了执法障碍。

三是数据本地化增加了数据中心的数量,从而给网络安全运营带来风险和复杂性。与允许将数据存储在全球数据中心的国家不同,规定数据本地化的国家通常要求在该国境内拥有数据服务器,这涉及物理设施、硬件和软件基础设施以及员工等多方面安全管理,增加了运行设施的相关成本和安全风险。

三、小结:关于数据本地化问题的几点思考

事实上,各国对于数据本地化政策的含混,体现了各国缺乏整体层面的数据治理战略。到目前为止,各国几乎没有关于数据本地化对于确保国家安全真正作用的分析以及对应的数据治理模式的研究。当前主流的数据治理观点都严重依赖隐私论,对数据跨境自由流动限制的模糊立场将加剧此种论点的发展。这将对各国实施有效地数据本地化规则,以及数字经济的发展带来了重大的挑战。

不过,由于各国之间利益的复杂性与信任的缺失性,导致很难在世界范围内就数据本地化问题达成一致。在隐私和地缘政治竞争交织在一起的格局现状下,确实容易形成以“国家安全”为名的贸易壁垒。新冠肺炎疫情的爆发让越来越多的政府意识到数据对于公共卫生、经济发展和国家安全的重要价值,各国对于本国数据的监管将继续趋向严格。即使经济发展需求能促使各国的数据流动政策在经贸层面作出一些让步,但数据本地化的国际趋势仍然不可逆转,全球数字地缘版图内的大国博弈仍将继续。

在这一背景下,各国应当在数据本地化方面确立清晰的立场。一方面,制定相关立法防止以误导性的“国家安全”为借口进行数据本地化,防范数据本地化对经济增长可能带来的负面影响。另一方面,应在 WTO、OECD、G7以及G20等多边体系中推广数据本地化的研究结果。积极推动数据政策的多边、双边谈判,建立数据跨境流动的“软性规则”,以应对数字权威主义,防止“国家安全”一词在数据本地化中的滥用。WTO上诉机构停摆,大国持续博弈导致短时间内很难打破数字安全贸易壁垒,并形成一套全球数据流动的规范和标准。因此,需要推动多边、双边谈判,充分交换意见、互相信任,在兼顾隐私和知识产权保护与网络安全的基础上,建立允许数据跨境自由流动的“数据圈”,构建起基于多边共识的流动原则和导向性规则。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。