跨境数据流动为何遭限制？全球数字经济的4个重要联通点！

2021年7月19日，美国智库”信息技术与创新基金会（ITIF）”发布了题为《跨境数据流动的障碍如何在全球蔓延，付出的代价以及如何解决这些问题》。报告指出，近年来，数据本地化政策快速席卷全球，这在很大程度上导致贸易减少、生产力降低并促使部分数据关联行业价格上升。在此情景下，志同道合的国家必须共同努力，遏制数据本地化潮流，建设开放、有章可循、创新的数字经济。

研究背景

全球信息流动-新冠疫情

随着19世纪50年代第一条横跨大西洋的电缆和20世纪50年代第一条横跨大西洋的电话电缆的兴起，全球信息流动不断增加。如今，互联网创造了向世界任何地方快速、几乎免费发送大量数据的潜力。 

自新冠疫情流行起，数据流动对全球经济的作用更加凸显。数据流动不仅有利于新冠疫情的经济应对（如医疗研究数据共享、疫苗生产设施的监测和自动化控制，以及采用数字服务实现业务连续性）,也有利于新冠疫情的社会应对（如家庭视频通话、用于娱乐和在线购物的流媒体内容）。随着更多国家和部门接受数字化转型，数据流动量只会继续攀升。

数据本地化，障碍？

与此同时，越来越多的国家对数据跨境传输设置了新的障碍，这使得合法的数据跨境传输变得更加昂贵和耗时。数据本地化针对的是越来越多的特定数据类型以及被视为“重要”或“敏感”或与国家安全相关的广泛类别的数据。一些政策制定者——尤其是欧洲和印度的政策制定者——公开呼吁将数据本地化作为数字保护主义的一部分。

数据本地化vs全球数字经济

数据本地化政策的日益扩大对全球数字经济的潜力构成越来越大的威胁。数据本地化不仅使互联网的可访问性和安全性降低，同时使得数据访问成本更高、流程更复杂，从而导致创新性更低。企业使用数据来创造价值，许多企业的最大化价值是建立在数据可以自由跨境流动的基础上的。

因此，数据本地化削弱了数据密集型服务对经济生产力和创新的影响。报告发现，中国、印度尼西亚、俄罗斯和南非这些国家的数据限制日益严格，导致其经济出现价格上涨、贸易减少和生产力下降的情况。

经济合作与发展组织 (OECD) 2018 年的一份报告指出，数字化与贸易开放程度正相关联，双边数字连通性增加10%使得双边服务贸易增加了 3.1% 以上，反之亦然。

ITIF的计量经济模型估计，一个国家的数据限制性指数（data restrictiveness index ，DRI）每增加一个单位，其总产出交易量（5年内累计）就会下降7%，下游产业的商品和服务价格会上升1.5%，整个经济体的生产率下降了2.9%。

共享治理

强制数据本地化也破坏了共享治理的潜力。

一方面各国在数据自由流动的前提下解决如防止间谍活动、维持金融监督和进行执法调查等需求。同时，各国也应建立健全的数据隐私框架来保护消费者和国家安全。常见的数据保护法，如基于 OECD 关于保护隐私和个人数据跨境流动的指导方针并不构成对数字贸易的限制。如果发送到国外的数据被滥用，追究数据输出者的事后责任是完全可以接受的，对于企业而言，遵守这些数据保护法律的成本是开展业务的典型成本。

因此，当前情况下，政策制定者需要做更多的工作以确保全球数字经济仍然是新冠疫情下经济增长和复苏的引擎。

近些年，制定数据本地化要求的国家/地区数量几乎翻倍，从2017年的35个国家增加到2021年的62个国家。数据本地化政策总数增加了一倍多，从2017年的67项增加到2021年的144项。此外，世界各国正在提议或起草另外38项数据本地化政策。

数据本地化主要有三种：

其一，限制特定类型的数据传输到境外。主要包括个人数据，健康和基因组数据，地图和地理空间数据，政府数据，银行信用报告，财务、支付、税务、保险和会计数据，公开上市公司的公司内部数据，用户在社交媒体和互联网服务平台上生成的内容相关的数据，传统电信和基于因特网的通信服务的用户数据和通信内容及元数据，以及电子商务运营商数据。

其二，各国越来越多地限制涉及被视为“敏感”、“重要”、“核心”或与国家安全相关的数据，并将该类数据的范围广泛化、模糊化。欧盟和印度将限制扩展到针对非个人数据的广泛框架。

其三，事实上的数据本地化也在增长。由于数据传输变得复杂、昂贵且不确定，尤其是可能会面对巨额罚款，公司基本只能将数据存储在本地。例如，欧盟取消数据传输机制，未能为数据传输添加新的认证和其他新的法律工具，以及对这些剩余机制（例如标准合同条款）的限制和条件不断增加，有可能使通用数据保护制度 (GDPR) 成为世界上最大的事实上的本地化框架。

政府强制执行数据本地化主要通过以下五种不同类型的规则来执行：

（1）本地数据镜像：

公司必须先在本地存储数据副本，然后再将副本转移到国外。这其中涉及在本地保留最新版本的数据。

（2）显式本地数据存储：公司必须在数据来源的国家物理定位数据。某些情况下允许对数据进行外部处理（之后数据必须存储在本地）。

（3）事实上的本地存储和处理：公司在本地存储数据是因为严格的数据传输要求（例如获得传输的预先批准和明确同意）和数据传输的法律不确定性，再加上巨额罚款和任意执法，会给公司带来不可接受的风险。

（4）显式本地数据存储和处理：国家禁止转移到其他国家。

（5）显式的本地和歧视性数据处理、路由和存储：一些国家使用歧视性许可、认证和其他监管限制来要求本地数据存储，并将外国公司完全排除在管理和处理本地数据之外。

报告为决策者提出了若干一般性建议，主要包括：

全球数据治理：政策制定者应提供多种机制来传输个人数据，鼓励企业通过提高数据管理的透明度来提高消费者的信任度，支持制定全球数据相关标准，并向发展中国家提供更多援助，帮助其制定数字经济政策。

数字自由贸易：政策制定者应支持保护数据流动的规则，禁止数据本地化。

政策制定者还应创造新的工具以对制定数据本地化和其他数字保护主义规则的国家实施反制；鼓励国家和全球机构就数据本地化对公司层面的影响进行调查。贸易谈判人员应制定透明度和良好监管实践规定，以确保不透明的监管规则制定不能用于设置数据流动和数字贸易的壁垒。

具体建议规定，决策者应：

• 关注不同监管系统之间建立“互操作性”；

• 寻求新的数字经济合作协议或合作机制，例如澳大利亚、智利、新西兰和新加坡之间的合作协议或机制。

• 与志同道合的国家合作，创建可互操作的健康数据共享框架，在权责明确且合乎道德的基础上进行健康数据和基因组数据的跨境流动。

• 向非亚太经济合作组织（APEC）成员开放APEC跨境隐私规则 (CBPR)，使其成为数据治理的全球模式；

• 支持志同道合的民主国家共同制定“日内瓦数据公约”，以建立管理政府访问数据的共同原则、流程和保障措施。

• 在金融数据监管方面，制定有针对性的战略，以支持采用侧重于监管数据访问而非数据存储位置的金融监督框架。

• 改进现有的和建立新的机制以改进与执法调查相关的跨境数据请求，例如 CLOUD（澄清合法的海外数据使用）法案协议和更新的司法协助条约 (MLAT)。

  
  

关于数据治理最佳实践的建议

• 各国政府应为跨境传输个人数据提供多种机制，并且这种机制可以被各种规模的公司应用。各国应明确提及个人数据可接受的转让框架和标准。

• 各国政府应鼓励企业提高数据管理方式的透明度，例如定期披露有关政府数据访问数据的信息。

• 政府应该支持在发展和使用数据（或数字技术）的相关标准制定方面的努力，例如通过多方利益相关者论坛和政府间论坛（如经合组织）。

• 政府应通过确保云提供商根据国家和国际标准、行业特定法规（例如医疗保健和金融行业）、国家认证（例如美国 FedRAMP、德国 C5、澳大利亚IRAP）、全球认证（例如，ISO 27001 和 ISO 27018）进行审计和认证，从而保护基于云的政府数据和服务安全。

• 发达经济体应向发展中经济体提供技术援助和能力建设援助，帮助后者建立数据治理框架。

  
  

支持数字自由贸易和反对数字保护主义的建议：

支持世贸组织电子商务谈判中关于数据流动的相关规则成果，其中包括明确禁止数据本地化。美国和其他国家应该排除中国、俄罗斯和其他不支持该规划成果的国家。

为了创造互惠，数字自由贸易国家的政策制定者应该针对制定数据本地化和其他数字保护主义措施的国家制定新的对策。来自数字保护主义国家的公司不应受益于开放的数字市场。

政策制定者应鼓励国家、区域和全球组织就数据本地化的影响和其他跨境数据传输障碍进行详细调查。

数字自由贸易国家应倡导将透明且良好的数字监管作为贸易协定的一部分。

详细建议

（1）决策者应该将"数字互操作性"的概念作为制定全球数字经济规则战略的核心

（2）追求新的数字经济协定和合作机制

（3）通过互操作性框架支持数据驱动的健康研究

（4）利用亚太经合组织的跨境隐私规则构建全球数据隐私框架

（5）构建政府数据访问框架

（6）关注访问，而不是位置：支持金融监管监督和数据流动

（7）完善机制，帮助执法部门跨境索取数据进行了详细的决策者建议阐述

图 1 全球数据互操作性的不同层次

免责声明：本文转自学术plus，作者洞问。文章内容系原作者个人观点，本公众号转载仅为分享、传达不同观点，如有任何异议，欢迎联系我们！