数据跨境流动(Cross-border Data Flow)是指数据处理者向境外提供个人信息等数据,主要涉及“数据从一个法域被转移至另一个法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。一般认为,数据跨境包括传输、转移行为;尽管数据尚未跨境,但能够被境外的主体进行访问处理。2019年10月,党的十九届四中全会首次将数据与土地、劳动力、资本、技术并列作为重要的生产要素。2023年,全球47个主要经济体数字经济规模已达38.1万亿美元,数据跨境流动对经济社会发展变得至关重要,已经成为全球资金、信息、技术等资源要素交换、共享的基础,便利的数据跨境流动,能够最大程度释放数据要素价值。据估计,2009—2018年,全球跨境数据流动拉动的经济增长占全球国内生产总值(GDP)总量的3%,相当于2.3万亿美元,使全球GDP增长10.1%,预计2025年其为全球GDP贡献的价值将达到11万亿美元。
截至2024年4月,全球范围内约有60个国家或地区出台了数据跨境相关规则。然而,随着数据泄露和隐私问题的增长,部分国家和地区正在法律法规中实施具体要求控制跨境数据传输,如2016年通过、2018年5月生效的欧盟《通用数据保护条例》(General Data Protection Regulations,GDPR),被称为史上最严格的数据隐私和保护法案,GDPR要求负责执行GDPR的国家数据保护机构在数据保护案件涉及跨境处理时予以配合,并确立了以“充分性保护”为核心的数据跨境白名单制度,若违反数据保护规则可能会面临高达2000万欧元或其全球年营业额4%的罚款;2020年6月,新加坡、智利、新西兰签订《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA),在数据跨境流动方面,该协定删除了“基本安全例外”规定,明确了基于合法公共政策目标所实施措施的限度;2022年,日本对《个人信息保护法》(Act on the Protection of Personal Information,APPI)进行修订后引入了对跨境信息传输的额外监管,受日本法律管辖的企业在将个人信息转移到日本境外之前,必须获得个人的知情同意,或者与接收个人信息的外国实体一起建立“个人信息保护系统”等。与欧盟、日本等国家和地区不同的是,美国主张数据跨境自由流动,特别是与其盟友及其发挥主导作用的国际联盟中,美国牵头提出了相关的倡议。但是,美国对中国却严加防范,不仅制定政策法规、提出议案严格限制,还肆意对抖音海外版(TikTok)等中国科技企业及产品严格审查质询,体现出其明显的“双重标准”。
一、美国积极促进与盟友的数据跨境流动
1.1 美国与欧盟不断探索双方均能接受的政策框架
美国曾明确指出“跨大西洋的数据流动对于促成价值7.1万亿美元的欧美经济关系至关重要”。由于欧盟和美国在数据安全和跨境传输领域的法律法规体系相差甚远,且美国政府获取欧盟公民个人数据的权力过大、不受约束,欧盟法院(Court of Justice)认定此前二者试图弥补两地差距的“安全港协议”(U.S.-EU Safe Harbor Framework,2000年)、“隐私盾协议”(EU-U.S. Privacy Shield,2016年)等政策无效。美国后续采取一系列措施以缓解欧盟担忧,并出台相关政策或行政命令配合推进。
1.1.1 响应欧盟需求,美国主动做出改变
在数据跨境传输问题上,美国与欧盟经过了数年的博弈,这一过程对双方的经济贸易等往来产生了多次冲击。2022年3月,美国与欧盟之间达成《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework),该框架被认为是双方新的数据安全流动协议,核心目标是推动欧盟与美国之间数据的自由、安全流动。为了响应欧盟持续强调的需求,美国做出了两个方面的妥协和改变。一是在法律层面,美国同意设立数据保护审查法庭(Data Protection Review Court,DPRC),该法庭可以针对美国情报机构的数据收集进行取证。在监管方面,设立独立检察官,负责数据保护检查工作。欧盟公民可对数据保护相关问题在法庭进行投诉,法庭可以针对诉讼到美国情报机构进行取证。二是在美国情报机构内部设立数据保护机制,包括数据分类分级、限制数据收集范围、设立护栏等。美国公司的隐私和数据保护条款的法律将得到欧盟承认,美国情报机构只需遵循流程即可获取欧盟公民数据信息。
1.1.2 出台多项行政命令和配套举措
为及时推动《跨大西洋数据隐私框架》取得的进展,保护自身及其盟友的安全,2022年10月,美国发布《关于加强美国信号情报活动保障措施的行政命令》(Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities,EO14086)。根据EO14086的要求,十二项目“合法目标”中的第九项为“保护美国或其盟国或伙伴的人员免受威胁”。此外,该行政令还增加补救机制,以审查由符合条件的国家适当公共机构转交的有关美国信号情报活动的任何违反美国法律的合格投诉,并在必要时采取适当补救措施。在第一级救济机制不接受美国国家情报总监办公室(Office of the Director of National Intelligence,ODNI)的公民自由保护官(Civil Liberty Protection Officer,CLPO)的审查结果时,可以向美国司法部(United States Department of Justice)新成立的“数据保护审查法庭”对CLPO提起上诉;2023年7月,DNI发布“实施行政命令(前述)的新保障措施”;欧盟委员会则发布了《欧盟—美国数据隐私框架》(EU-U.S. Data Privacy Framework,DPF)的充分性决定,DPF恢复了个人数据跨境转移的重要机制,并对美国监控机构在“必要和适当”范围之外获取欧盟数据的行为进行了限制,建立了独立的争议解决机制,实现欧美之间安全可靠的数据流动。
相关政策为美欧的数据流动增加进一步的保障措施,主要包括:一是要求这类活动只为明确的国家安全目标而开展,要考虑所有人的隐私和公民自由,无论其国籍或居住国如何,且只在为推进情报优先事项所必需时进行;二是规定了通过相关活动收集的个人信息处理要求,扩大了法律、监督和合规官员的责任,以确保采取适当行动纠正不合规的事件;三是要求美国情报界更新其政策和程序,以反映行政命令中包含的新的隐私和公民自由保障措施;四是建立多层次机制,让符合条件的组织或个人,在其遇到美国机构收集个人信息违反适用的美国法律时,可获得独立且有约束力的审查和救济;五是对补救程序进行年度审查,包括审查情报是否完全遵守国家情报局局长办公室公民自由保护官和数据保护审查法院的决定。
1.2 美国主导与其他盟友的数据跨境规则
1.2.1 美国与日本、韩国的数据跨境规则
日本一直是美国贸易谈判的优先对象,特别是日本与欧盟其他主要活动的自由贸易协定降低了日本进口商品的关税,使美国商品处于不利地位。为了推动双方的合作与接触,解决相关的贸易问题,2019年10月,美国与日本签署了《美日数字贸易协定》(U.S.-Japan Digital Trade Agreement,UJDTA),提出两国之间电子交易产生形成的数字制品不适用关税;采取包括征税手段在内,对彼此国家的数字制品不与本国产品实行差别对待;保证在所有领域进行无障碍的跨(国)境数据交易;禁止对包括面向金融服务业者的数据本地化规制;禁止要求企业公开计算机源代码、人工智能算法;保证企业能够有弹性地选择自身使用的革新性密码化技术。
2021年4月,两国启动“竞争力与弹性(CoRe)伙伴关系”(U.S.-Japan Competitiveness and Resilience
美国和韩国于1953年建立盟友关系,双方最初就自由贸易协定(Free Trade Agreement,FTA)展开相关谈判的目的是深化和加强彼此经济联系,巩固双方联盟关系。美韩两国自2007年6月30日正式签署自贸协定以来,已经对协定进行了两次修改。相应地,2012年3月,美国和韩国签订的《美韩自由贸易协定》(U.S.-Korea Free Trade Agreement,KORUS FTA)生效,其中首次引入不具有强制性要求的跨境数据流动规则,规定“缔约方应努力避免对跨境电子信息流动施加或维持不必要阻碍”,并提出“允许在韩运营的金融服务企业离境处理数据”。
1.2.2 美国与墨西哥、加拿大的数据跨境规则
2020年1月,在美国强调的公平贸易背景下,美国、墨西哥、加拿大签署新的区域贸易协定——《美墨加贸易协定》(US‑Mexico‑Canada Agreement,USMCA),也称为《北美自由贸易协议2.0》(North American Free Trade Agreement,NAFTA 2.0)。其中第十九章对数字贸易和数据流动提出专门规定和要求,其基本规则以《跨太平洋伙伴关系协定》(Trans-Pacific Partnership,TPP)作为基础,要求缔约方考虑亚太经合组织(APEC)隐私框架、经济合作与发展组织(OECD)对隐私保护和个人数据跨境流动指南等国际机构的原则与纲要,还对其中的数字贸易规则进行了一系列升级。该协定旨在解决数字贸易产品税收、数据本地化、互联网主权以及披露商业秘密、源代码和互联网平台责任方面的挑战和机遇,提出保护数字供应商的竞争力,减少数字贸易限制,新增禁止将关税和其他歧视性措施应用于以电子方式分发的数字产品;确保数据可以跨境传输,并最大限度地减少数据存储和处理的限制;保护消费者在数字贸易中的隐私权;限制政府要求披露源代码和算法的能力;加强应对网络安全挑战的应对合作;促进对政府公共数据的开放访问等。
二、美国强化在多国联盟中塑造数据跨境流动体系
2.1 美国推动国际组织建立全球跨境隐私规则
2022年4月,美国在亚太经合组织(Asia-Pacific Economic Cooperation,APEC)框架下发布其主导的全球《跨境隐私规则声明》[Cross-Border Privacy Rules(CPBR) Declaration],该声明旨在促进数据的自由流通、有效的隐私保护,美国、澳大利亚、加拿大、日本、韩国、墨西哥、菲律宾、新加坡和中国台湾等共同参与。根据该声明,企业可申请认证,认证后企业要确保数据在相关区域跨境流动时按照规则标准采取保护措施,有关政府则确认监管差异不会阻碍企业提供创新产品和服务。声明还提出,成员要以促进互操作性并帮助弥合数据保护和隐私的不同监管方法推动数据跨境流动,主要做法包括:建立基于APEC跨境隐私规则和处理者隐私认可(Privacy Recognition for Processors,PRP)体系的国际认证体系;通过推广CBPR和PRP系统,支持数据的自由流动以及有效的数据和隐私保护;提供有关CBPR和PRP系统相关事宜的信息交流与合作论坛(每两年举办一次);定期审查会员的数据保护和隐私标准,以确保CBPR和PRP计划要求符合最佳实践;促进与其他数据保护和隐私框架的互操作性。
2022年5月,七国集团(Group of Seven,G7)国家数字和技术部长在日本举行会议,重申2021年4月28日的承诺并签署《促进可信数据自由流动行动计划》,强调“可信的数据自由流动”(Data Free Flow with Trust,DFFT)。行动计划提出促进跨境数据流动并应对数据本地化、监管共同运作、政府对私营部门持有的个人数据访问等问题,提出继续开展监管合作,包括围绕隐私技术、数据中介、网络跟踪、紧急风险、跨境“沙箱”以及促进数据保护框架互操作性的监管方法等方面进行讨论。与会部长建立了正式的伙伴关系制度安排(Institutional Arrangement for Partnership,IAP),旨在增强对跨境数据流的信任。虽然IAP的范围尚未确定,但其可以作为一种机制,更好地协调欧盟与包括美国在内的其他七国集团国家之间的可信数据政策。
2.2 美国掌握执法数据跨境流动的主动权
2022年5月,美国、荷兰等22个国家共同签署了《〈网络犯罪公约〉关于加强合作和披露电子证据的第二项附加议定书》(Second Additional Protocol to the Convention on Cybercrime on Enhanced Co-Operation and Disclosure of Electronic Evidence),该公约基于2001年11月23日在布达佩斯开放供签署的《网络犯罪公约》,规定了国家之间出于执法目的获取数据的有关要求。该议定书专门设计用于帮助执法机构获取跨境电子证据,创新工具手段,如与服务提供商和注册商直接合作,获取与犯罪活动相关的订户信息和流量数据,以及在紧急情况下开展合作或联合调查,快速获取在各国存储的数据等。
2021年,经济合作与发展组织(Organisation for Economic Co-operation and Development,OECD)完成了对1980年《关于保护隐私和个人数据跨境流动的准则》(The OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)的修订;2022年12月,历经两年酝酿,美国及欧盟等38个国家和地区推动OECD通过了《关于政府获取私营部门实体所持有的个人数据的宣言》(Declaration on Government Access to Personal Data Held by Private Sector Entities),并达成“在出于国家安全和执法目的访问个人数据时保护隐私及其他人权和自由的共同方法的政府间协议”。该协议源于人们越来越担心执法和国家安全敏感领域缺乏共同原则可能导致对数据流的不当限制。通过达成寻找数据流转与政府获取数据问题的共识,该项目有助于在不同国家之间建立对跨境数据流动的信任。
2023年3月,美国和欧盟恢复了关于跨境获取电子证据的框架的谈判。这个备受争议框架拟允许美国及其盟友政府发布司法命令,要求直接向位于另一国的服务提供商出示电子证据,并提供适当的保障措施,避开司法协助机制,而不损害基本原则和个人权利。这些谈判部分以美国政府最近与英国和澳大利亚签署的类似协议为指导,简化了出于执法和国家安全目的相互访问数据的过程,同时适应每个主权国家的要求。
三、美国对中国数据跨境流动的限制
美国与欧盟谈判时主动做出让步,且在国际组织中大力倡导科学、合理的数据跨境流动,但在对中国的数据跨境流动政策中明显以限制和排斥为主,这也充分体现了美国对待数据跨境流动的“双重标准”。
3.1 在行政命令中大肆宣扬“中国风险”
2021年1月,时任美国特朗普政府在下台前发布的《针对中国公司开发或控制的应用程序和其他软件构成的威胁的行政命令》(Executive Order Addressing the Threat Posed By Applications and Other Software Developed or Controlled By Chinese Companies)明确指出,通过访问智能手机、平板电脑和计算机,中国相关的软件应用可以访问和截取来自用户的大量信息,其中包括敏感个人识别信息和私人信息。这种信息收集“有可能让中国可以访问美国的个人和专有信息,进而使得中国能够追踪联邦雇员和承包商的位置,并构建个人信息档案”。
2021年6月,美国拜登政府在上台后不久发布《保护美国人敏感数据免受外国对手侵害的行政命令》(Executive Order on Protecting Americans’ Sensitive Data from Foreign Adversaries),指出导致美国面临数据安全的持续紧急状态最重要的因素是“外国对手(中国)”不断窃取或以其他方式获取美国人的数据。为了应对这一“威胁”,美国必须采取行动,防范与由外国对手拥有或控制、受外国对手管辖或指导的人员设计、开发、制造或提供的互联软件应用程序相关的风险。
2022年9月,美国发布《关于确保美国外国投资委员会(CFIUS)充分考虑不断变化的国家安全风险的行政命令》(Executive Order on Ensuring Robust Consideration of Evolving National Security Risks by the Committee on Foreign Investment in the United States),指出外国政府(中国等)获取某些类型的数据会对美国国家安全造成“不利影响”,可能直接或间接暴露美国公民的个人身份信息、遗传信息或其他敏感数据,以供外国政府或机构以威胁国家安全的方式利用该信息。
2023年3月,美国再次发布《关于禁止美国政府使用对国家安全构成风险的商业间谍软件的行政命令》(Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that poses Risks to National Security),指出外国政府(中国等)对美国敏感数据的利用和对监视技术(包括商业间谍软件)的“不当使用”威胁美国的安全、隐私和人权,也带来了重大的反情报风险。外国政府和机构也将商业间谍软件用于不正当目的,例如,瞄准和恐吓已知的对手,遏制异议,限制言论自由、和平集会或结社自由,在没有适当法律授权、保障措施或监督的情况下追踪或瞄准美国人等。
2024年2月,美国发布《防止“受关注国家”访问美国的大量敏感信息和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government Related Data by Countries of Concern),指出中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉为受关注国家,提出基因组数据、生物特征数据、个人健康数据、地理位置数据、财务数据和某些类型的个人标识符等六大类重点数据类型。
3.2 通过法案或提案要求在华美国企业配合美国政府数据需求,并限制美国数据向中国流动
2018年3月,美国出台《澄清境外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act,CLOUD Act)对美国1986年的《电子通信隐私法》(Electronic Communications Privacy Act,ECPA)进行修订,主要更新内容为要求受美国管辖的网络服务提供商披露相关数据,响应美国法律程序,无论公司将数据存储在何处。该法案出台的直接原因是2017年末至2018年初,苹果将中国用户的云服务转由云上贵州运营,用户的个人信息(如联系人、照片、文件、应用程序数据等)将自动发送给云上贵州并存储。该法案则为了解决如果美国政府要求苹果公司将中国内地用户储存在iCloud中的数据提供给美国政府,苹果是否需要配合的问题。
2019年11月,参议员乔什·霍利(Josh Hawley)提出《国家安全与个人数据保护法提案》(National Security and Personal Data Protection Act of 2019,NSPDPA),明确将其管制对象锁定在特定的“受管辖科技公司”,受管辖科技公司是指在美国州际或者对外贸易中提供基于数据的在线服务的网站或互联网应用公司等,且该公司是依据“有疑虑国家”的法律成立的公司或其子公司;或“有疑虑国家”的公民或公司持有控股权的公司及其子公司;或需要受“有疑虑国家”法律管辖以使得“有疑虑国家”可以获得美国公民或居民的用户数据且不需要提供与美国宪法相当程度的隐私保护的公司。而所谓“有疑虑国家”,在法案中明确列名的只有两个:中国和俄罗斯。
2023年3月,参议员马克·沃纳(Mark Warner)提出《限制危害信息和通信技术安全威胁法案》(Restricting the Emergence of Security Threats that Risk Information and Communications Technology Act,RESTRICT Act),要求美国联邦政府采取行动,识别和减轻对信息和通信技术(Information and Communications Technology,ICT)产品的外国威胁和服务(如社交媒体应用程序)。此外,法案要求美国商务部识别、阻止、扰乱、预防、禁止、调查和缓解涉及任何“外国对手(如中国)”有任何利益的ICT产品和服务的交易,以及对美国国家安全或美国人的安全构成不当或不可接受的风险。
3.3 对中国科技企业进行国家安全审查并要求强制剥离
2023年3月,美国国会举行了针对TikTok的听证会。自首任特朗普政府时起,美国政商两界、媒体和智库的人员持续污蔑TikTok将海外收集的数据交给中国政府,威胁美国公民隐私和国家安全。为打消美国疑虑,本已和字节跳动在数据存储上做出区隔的TikTok,近期又投入15亿美元,成立TikTok美国数据安全公司(TikTok U.S. Data Security Inc.,USDS),同时还与美国甲骨文公司签订协议,把TikTok美方用户数据存储在该公司的系统,工程师可独立监控TikTok视频推荐算法。简单讲,就是“用美国团队把美国数据存储在美国”。但美国国会无视以上行为,坚持称TikTok是中国研发出的“间谍武器”,“窃取”美国数据隐私,还辅助中国对美国发动“心理战”。2024年4月,美国国会两院通过“不卖就禁用”法案,要求TikTok母公司字节跳动在270天内将TikTok出售给非中国企业,否则这款应用程序将在2025年1月19日后在美国被禁用。这些行为和事实表明,美国在数据跨境流动方面对中国并未提供开放、公平、公正和非歧视的环境。
四、启示
通过对美国跨境数据管理政策的梳理可以看出,美国一方面持续拉帮结派强化其对数字世界的领导力,另一方面也不断构建所谓的“可信数据流通圈”,将中国排除在世界数据经济体系之外。为此,中国应充分利用现有政策资源和数字经济优势,积极主动着手应对。
一是坚持推广《全球数据安全倡议》。该倡议于2020年9月提出,要求各国不得强制境外数据本地化存储,不得绕过他国法律直接向企业或者个人调取境外的数据,应当通过司法协助和多双边协议解决跨境数据调取需求,跨境调取数据应当尊重他国主权、司法管辖权和对数据的安全管理权。在推动《全球数据安全倡议》形成更广泛国际共识的过程中,需要避免落入数据本地化的质疑和跨境流动的陷阱,应充分了解美国、欧盟为代表的数据跨境流动模式,建立和平、安全、开放、合作、有序的网络空间命运共同体。
二是完善跨境数据流动机制。细化《阻断外国法律与措施不当域外适用办法》,阻断其他国家对于数据的管辖权,充分发挥《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法规标准,完善数据出境安全评估机制和数据出境安全管理制度。加快“一带一路”、自贸港/区跨境数据自由流动试点,对数据实施分层级管理,将数据主要分为机密数据、重要数据和一般数据,对机密数据禁止流动;对重要数据实行有限制流动,本地存储或经相关部门评估安全后才可以跨境流动,但需严格且明确界定重要数据范围;对于一般个人信息和商业活动中产生的数据,如境外接收方符合中国个人信息保护和网络安全技术标准的条件,则允许其跨境数据自由流动。
三是积极探索更高水平数据跨境流动规则。中国应以数字贸易为基础,在自由贸易试验区等对外开放高地先行先试《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)等国际自贸协定中的数字贸易规则,为国家在更高水平、更大范围和更宽领域的数据流动探索上进行压力测试,总结经验。此外,充分发挥《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)作为最具发展潜力自贸协定的作用,引导各成员国在现有数据跨境规则基础上,探索更广泛的规则共识,为形成更加包容、普惠的数据跨境流动国际规则贡献力量。
作者:韩秋明
中国科学技术战略发展研究院,北京 100081
来源:《全球科技经济瞭望》 2025年1月第40卷 第1期
文章观点不代表主办机构立场。
声明:本文来自科情智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
