文|刘耀华
跨境数据流动政策是数据治理国际化中的重要议题,事关国家数据安全和数字经济发展。
美国知名智库布鲁金斯学会的研究显示,在2009年到2018年的10年间,跨境数据流动对全球GDP增长的贡献度高达10.1%,预计2025年数据跨境流动对全球经济增长的价值贡献有望突破11万亿美元。美国、欧盟和其他国家(地区)根据自身安全和经济发展等诉求,建立了不同的跨境数据流动政策。我国正处于数字经济快速发展的战略机遇期,亟须完善跨境数据流动相关制度,明确我国对内对外基本主张。
推本溯源,什么是跨境数据流动?
笔者认为,目前,联合国跨国公司中心对跨境数据流动的定义最为权威:跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索。这一定义包含两种形式上的跨境数据流动:一种是数据跨越国界(流出和流入)传输和处理;另一种是数据即使没有跨越国界,但被第三国主体访问。全球仅有少数国家将后者作为跨境数据流动进行管理,大多数国家将物理上确实跨越了国界的数据流动作为监管重点,这也是本文的主要关注方向。
跨境数据流动根据主导主体不同,其主要形式可以分为政府主导的及企业主导的跨境数据流动。
政府主导的跨境数据流动一般通过双边或多边的合作机制实现。出于对各国国家主权的相互尊重,一国政府获取存储在其他国家的数据,应由政府之间通过合作、磋商等手段实现。然而,有些国家为提升跨境调取数据的效率,打破了传统的合作机制,采取直接要求企业提供境外数据、通过立法实施长臂管辖等强制性方式获取所需数据。比如,2013年美国政府为进行反毒品调查要求微软提供存储于爱尔兰数据中心的客户数据;2018年美国通过《澄清境外数据的合法使用法案》(CLOUD 法案),为美国执法机构访问在美国境内运营的企业存储在海外的用户数据提供明确授权,明确要求服务提供者提供在境外存储的数据。
企业主导的跨境数据流动主要源自跨境贸易活动。随着经济全球化、社会信息化深入发展,企业通过建立电子商务、社交网络、数字媒体等跨境互联网平台实现跨境服务,跨境数据流动现象更加突出。而随着工业互联网、云计算等新兴技术的发展,数据的流动呈量级式的增长,涉及领域也越来越广。
知己不殆,各国政府的管理方式和战略意图
国际上对跨境数据流动监管并未形成统一框架,各国以维护本国利益为出发点,并在国家安全、隐私保护、产业能力等多元因素的复杂影响下构建跨境数据流动监管制度。
美国依托其强大的互联网产业倡导数据自由流动。在美国国内,互联网企业先发优势带来的天然数据本地化存储能够使美国政府对本国数据实现有效管控。在全球范围,2018年,亚马逊、微软、谷歌、IBM等4家美国企业占全球公共云服务市场份额近70%,掌握对全球数据的巨大控制权,这是其提倡数据自由流动的根本原因。
对外,美国政府极力宣扬APEC的“跨境隐私保护规则”(CBPR)体制,通过拉拢各方加入低水平保护的跨境数据流动秩序,确保各国不会用“国内高水平保护”为理由限制数据流动,最终实现数据向美国聚拢。对内,以国家安全为由对特定数据提出限制出境或严格审查要求,如包括电信业务和信息业务(相当于我国基础和增值)、数据中心、卫星或卫星系统、工业控制系统数据等在内的关键基础设施数据,新兴和关键技术数据,包括非公通信数据、地理位置数据、生物识别数据以及基因序列数据等在内的敏感个人数据均被纳入管控中。
欧盟强调在保护个人数据的前提下允许跨境数据流动。欧盟一直将个人数据作为基本权利进行保护,从1995年的数据保护指令到2018年出台的《通用数据保护条例》(GDPR),个人数据保护力度不断提升。欧盟公民个人数据原则上应存储在欧盟境内,仅在满足特定条件下才能进行跨境数据流动。
其中最重要的是“白名单制度”,即一个国家或地区的个人数据保护水平经欧盟评估达到GDPR同等保护水平,欧盟公民个人数据才可以被转移到该国家或地区。当前进入白名单的只有安道尔、阿根廷、加拿大(限于商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭和美国(仅限于隐私盾协议)13个国家和地区。
另外,如果企业采取有约束力的公司规则、标准合同条款、已批准的行为准则等充分性保障措施,欧盟公民的个人数据也可以跨境流动到这些企业。欧盟拥有5亿多消费者,市场规模庞大,很多国家为使企业在欧盟顺利运营,一直与欧盟进行跨境数据流动的谈判,欧盟在全球形成了以GDPR为中心的“跨境数据流动圈”。
印度和俄罗斯等发展中国家为实现产业发展和国家安全实行数据本地化。印度和印尼等发展中国家在G20峰会表示,跨境数据流动严重阻碍发展中国家从数据贸易中获利,希望保留对跨境数据流动进行限制的政策空间,可以通过数据本地化存储促进本国数字产业发展。
印度立法要求一般个人数据和敏感个人数据在印度境内存储副本后才可以跨境流动,关键个人数据、物联网数据、支付数据等要求只能本地化存储,不允许跨境流动。印尼正在修订电子系统运营与交易规则,拟要求公共电子系统运营者拥有的战略性数据(政府、能源、交通、金融、医疗、IT和通信、国防等)在境内进行存储。俄罗斯在“棱镜门”事件后出于对国家安全的担忧,在2014年通过两个立法修正案要求所有国内外公司必须在俄境内的服务器上存储和处理俄公民的个人数据,但是并没有禁止个人数据跨境传输,其跨境数据流动政策核心是对所有个人数据施行本地化留存。比如,2019年,俄联邦通讯、信息技术和传媒监督局要求脸书、推特和抖音海外版将用户数据存储在俄罗斯国内。
发轫之始,我国跨境数据流动制度还有待完善
在《网络安全法》出台前,我国金融、医疗、气象等行业主管部门已经在法规、部门规章层面制定了数据出境管理相关规则,禁止或限制行业内重要数据出境。随后,以《网络安全法》为重要节点,我国在跨境数据流动方面从国家、行业、企业层面开展了一系列顶层设计及管理实践工作。
《网络安全法》第三十七条明确了我国数据出境基本管理制度。一是明确了管理范围,即在境内运营中收集和产生的个人信息和重要数据,因业务需要,确需向境外提供的数据出境活动。二是明确了关键信息基础设施运营者为落实数据出境管理要求的责任主体。三是针对关键信息基础设施存储的个人信息和重要数据提出数据本地化要求。四是明确采取安全评估管理制度,以降低数据出境安全风险。
在此基础上,我国在构建跨境数据流动管理制度方面仍存在两方面主要问题。
一方面,对内有待完善《网络安全法》中确立的管理要求,明确重点行业领域的具体要求。各国个人信息的跨境管理规定在个人信息保护立法中,通过明确个人信息保护的基本原则确立对于跨境流动的要求。我国《个人信息保护法》未出台,在个人信息的跨境流动要求上没有统一和明晰的规定。当前,我国《网络安全法》第三十七条虽然确立了关键信息基础设施个人信息和重要数据的本地化管理,但缺乏下位法支撑,《关键信息基础设施安全保护条例》、个人和重要数据出境安全评估管理办法等在内的配套规定迟迟没有出台,数据出境安全评估制度无法落地实施。
另一方面,对外尚未能够在全球跨境数据流动规则建立中掌握主动权,发挥关键作用。各国跨境数据流动规则呈现多极化、差异化和复杂化态势,企业在经营业务过程中需针对不同地区采取差异化数据跨境措施,增加了合规成本。为了减小跨境数据流动的政策障碍,欧美一直在国际规则制定中输出各自理念,试图统一多方规则,构建以各自利益为核心的“跨境数据流动圈”。与欧美相比,我国未抓住规则制定的主动权和话语权,未利用有利的国家关系形成以我国为主的“跨境数据流动圈”,欧美数据流动圈不断扩张,将会对我国未来开展数字贸易、推动数据企业“走出去”造成更大阻碍。
双管齐下,内外结合完善我国整体管理体系
在当前国际局势下,构建跨境数据流动管理制度应当服务于我国建设网络强国、制造强国的战略目标和整体经济发展的战略需要,对内坚持“数据本地化”的底线要求,防止数据不必要输出,加快构建以数据本地化和数据出境安全评估为核心抓手的跨境数据流动管理制度。对外以合作共赢为目标,争取贸易伙伴和规则支持者,促进数据合法、有序流动,构建以我国为主的“跨境数据流动圈”。
围绕这一战略方向,笔者提出以下具体建议:
(一)以“限制输出、鼓励输入”为目标完善我国跨境数据流动管理制度
我国应完善跨境数据流动制度,明确我国监管政策整体方向,清晰界定制度落实中的关键要素。一是贯彻落实《网络安全法》,完善数据出境管理。总体上坚持数据本地化原则,在开展安全评估前提下推动数据自由流动,尽快出台《关键信息基础设施安全保护条例》,发布个人信息和重要数据出境安全评估具体管理办法等配套规定,尽快建立电信和互联网、工业互联网等重要行业的跨境数据流动安全评估制度。二是制定出台《个人信息保护法》,完善我国个人信息保护制度。通过明确我国个人信息保护的具体思路和要求,为我国个人信息的跨境流动明晰方向,同时提升我国个人信息保护水平,在与其他国家的跨境数据流动规则谈判中占据主动地位。
(二)在部分地区开展先行先试
选择粤港澳大湾区作为试点,在严格遵守法律法规要求的基础上最大释放数据价值。建议优先选择金融、商贸、卫生数据,搭建满足监管与业务需求的数据安全流通平台,综合应用区块链等先进技术,实现数据安全存储、数据安全流通等功能,为粤港澳大湾区数据跨境流动及安全监管提供切实可行的技术解决方案。
(三)积极参与全球跨境数据流动规则制定,联合可信国家构建以中国为主的“跨境数据流动圈”
我国应加强国际交流合作,通过多边和双边机制积极主导、参与跨境数据流动的国际规则塑造。一是依托国际电信联盟、亚太电信组织、G20、“一带一路”等机制,加强国际数据治理政策储备和治理规则研究,提出中国方案,推进构建以我国为主导的“跨境数据流动圈”。二是建立跨境数据流动规则的双边对话机制,积极同欧盟、日本等达成类似美欧“隐私盾”的双边协议,为我国企业“走出去”提供机会。
( 作者系中国信息通信研究院高级研究员)
(本文刊发于《中国经济周刊》2021年第7期)
