摘 要:随着信息和技术革命的推进,数字经济已经成为全球经济发展的新要求和新趋势,跨境电商、数字贸易等数字经济在全球范围内加速发展,经济贸易全球化推动了数据在不同国家之间交互、流动。跨境数据流动治理对发展数字经济、维护国家安全、构建数字红利收入分配体系至关重要。全球各国对跨境数据流动的规制反映了其国际博弈的战略:美欧等发达经济体希望促进数据自由流动;而发展中国家则采取“本土化”防御方式,抵御数据领域的长臂管辖。我国选择了适应当前数字经济发展形势的“本土化”政策,但也面临对外和对内等多重挑战。建议在总体的监管路径选择上,合理兼顾审慎性和包容性;完善跨境数据流动制度体系,保障立法的全面性和灵活性;构建跨境数据流动治理的统一监管架构,提升治理体系的统筹性和协同性;完善跨境数据流动安全评估体系,平衡金融市场的开放性和安全性。
关键词:数字经济;跨境数据流动;数字主权;数据泄露;隐私保护;数据治理;数字税;金融全球化
信息和技术革命催生了全新形态的经济活动,传统经济产业向数字化转型,新兴信息产业规模快速扩张,数字经济正成为全球经济的重要形态。当前,数字经济呈现体量大、增速快、占比高的特点,2019年全球数字经济增加值规模达到31.8万亿美元,占GDP比重41.5%。从各国情况看,美国数字经济增加值规模稳居首位,达到13.3万亿美元,我国位居第二,达到5.2万亿美元;但中国以15.6%的增速位列首位,美国及其他发达国家均低于6%1。由此可见,中美两国作为全球数字经济发展的引领者,在这一领域的竞速正逐步进入白热化阶段。随着数字经济的加速发展,尤其是新冠肺炎疫情冲击下传统产业衰退的压力加剧,让越来越多国家的决策者意识到,数字经济很可能在下一阶段成为撬动经济增长的新杠杆。
数字经济和数字技术发展的最直接结果是数据总量呈指数化增长,2020~2021年全球将产生约90 ZB2的数据,超过计算机问世以来产生的数据总量。与数据总量增加相配套的是数据储存、传输的基础设施规模不断扩大,互联网为虚拟世界的数据跨境传输提供了高速的通道,大量的数据传输开始脱离国界的束缚,在全球范围内流动和交互,跨境数据流动应运而生。1980年开始,跨境数据流动的概念被正式提出,引起了全球关注,数据充分流动、自由竞价、实现市场化配置可以最大化实现数据的价值和效用。但在随后的发展过程中,跨境数据流动越来越多地受到国家战略、地缘政治、经济运行、技术水平、国家安全、隐私保护等一系列复杂因素的影响,始终难以达成共识并形成全球统一的治理规则。发达国家的数字经济发展水平较高,认为应该促进数据充分自由流动,最大化数据的经济效用;但发展中国家在数据跨境流动规则上处于防御地位,认为无限制的自由流动会对国家主权和安全造成负面影响。2019年以来,脸书、亚马逊等科技巨头滥用数据、境外暗网售卖个人数据等恶性事件引发了新一轮跨境数据流动“逆全球化”,截至2019年末,限制数据出境的法规已经超过200项,较10年前翻了一倍(见图1) ,跨境数据流动治理规则成为数字经济下各国博弈的焦点。我国对于数据治理虽然起步较晚,但随着数字经济大国地位的确立,跨境数据流动治理也被提升至国家战略的高度,2020年11月,《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》发布,明确将“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”。
![数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择]( "数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择")
( 一 ) 基本概念
根据1980年经济发展与合作组织(Organization for Economic Co-operation and Development,OECD)发布的《关于隐私保护和个人数据跨境流动的指南》,“跨境数据流动”是指“个人数据的传输跨越了国家边界”。在此之后这一定义不断延伸,不再限于个人数据,但至今跨境数据流动仍未形成全球统一的定义,且不同国家表述存在不同,包括“向境外传输”“向第三国提供”等。尽管在表述方面存在差异,但总体来看,跨境数据流动这一概念,包括两方面的核心要义。
一是数据是指能被识别、可读取、包含特定信息的数据。依托于传感器、电子软件、网络通信等设备和基础设施,机器与机器、人与人、机器与人之间进行交互,实现人与产品、服务、资本等要素和资源的相互识别、实时联通,而这些交互得以实现的载体就是数据。在越来越广泛的交互中,会沉淀大量的数据,这些数据既包括个人数据,也包括非个人数据。个人数据是指与已识别或可识别自然人有关的各种信息,个人数据敏感度较高,一旦发生泄露可能会直接造成个人利益受损。以个人金融信息为例,主要涵盖账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等3。非个人数据是指匿名化处理的数据,敏感度相对较低,不能指向已识别或可识别自然人,例如用于大数据、人工智能等分析结果、统计数据或不可还原的匿名数据集等。一般而言,跨境数据流动的限制主要集中在个人数据,而对非个人数据则以促进开放、共享、自由流动的监管思路为主。
二是数据流动的范围跨越了国家边界。在跨境商品和服务贸易时,数据会在境内外机构之间进行传输。在发生商业贸易时,以跨境电商为例,消费者购物会涉及选择物流、收货地址、检索记录、支付偏好、税务信息等大量数据,这些数据会留存在境外,其中会包含个人敏感数据;使用境外的社交软件同样会在境外服务器中留存个人信息。在发生服务贸易时,根据世界贸易组织《服务贸易总协定》(General Agreement on Trade in Services)的定义,跨境服务提供方式分为跨境交付、境外消费、商业存在、自然人流动等四种。以金融服务为例,跨境服务的监管相对严格,支付、储蓄、借贷、保险、证券等服务提供商需要通过商业存在的方式提供服务,在境内设立的实体或分支机构需要向母公司或母国监管机构传输金融信息,此类传输涉及敏感信息;在跨境贸易或境外消费中,资金跨境转移需要付款行和收款行之间进行信息传输,还可能需要通过第三国代理行中转,付款方和收款方的金融机构一般通过签订协议对数据保密进行约定;在境外开立银行账户、购买证券或保险等,会涉及将个人信息留存在境外。
( 二 ) 跨境数据流动的客观驱动因素和主观驱动因素
1.经济贸易不可逆的全球化趋势是跨境数据流动最主要的客观因素。一是跨境商品、服务、资本流动加速带动跨境数据流动快速增长。跨境商品、服务、资本在全球范围内的交互必须伴随跨境数据流动,且在数字技术的助推下,数据流动的增速更快。在过去十年间,商品、服务、资金的跨境流动分别增加了79%、96%、17%4,数据的跨境流动则增长了45倍。尤其是互联网头部机构凭借规模效应不断扩大全球用户群体,脸书用户数已经达到27亿,Youtube用户超过19亿。这些大型机构以社交数据为中心,延伸整合了涵盖金融、消费等数据的生态系统闭环,进一步形成了数据市场垄断,引流了大量的海外用户数据。资金跨境流动也从客观上促进了跨境数据流动。从环球同业银行金融电信协会(Society for Worldwide Interbank Financial Telecommunications,SWIFT)数据看,跨境金融网络传输消息数量从2014年的日均2234.80万,增加至2019年的日均3606.53万,复合增长率超过10%。但这仅是单一的可量化维度,跨境资金流动撬动的跨境数据流动增速可能更高。二是跨境监管、执法的增加要求数据的跨境调取。全球化使得监管、执法的国界被进一步打破,依靠单边力量监管难度不断加大,洗钱、恐怖主义融资、逃税等各类跨境犯罪活动的监管需要进行数据穿透,跨境执法中涉及大量跨境数据的调取,客观上也促进了数据流动。三是数据处理和存储依赖于高端的设备和技术,如云计算中心、大型数据库等数据基础设施,这些基础设施在很大程度上弱化了数据存储地理位置的约束。一方面,部分企业缺乏相关技术,需要在境外寻求外包数据服务商获取技术支撑;另一方面,出于成本效益的考虑,使用境外大型的基础设施成本很可能低于境内数据服务商或自建相关基础设施的成本。从当前云计算的市场格局看,核心技术往往掌握在少数几家头部企业,如2019年亚马逊云计算平台服务(Amazon Web Services,AWS)、微软Azure分别占据全球32.3%、16.9%的市场份额5,大量中小微企业需要获得技术支撑,会主动寻求获取头部云技术服务提供商的服务,带动跨境数据的传输。
2.跨境数据流动带来的经济增长是促进流动的主观因素。一是从宏观层面看,数据资源化、资产化的趋势明显,数据从生产产物进化为生产要素,在未来可能会大规模向生产、分配、交换、消费等各个环节渗透,提升全要素生产率,成为全球经济的重要增长极。数据在全球层面的共享、融合可以最大化实现数据要素价值,有助于降低成本、增加总产出。据估算,到2025年,跨境数据流动产生的增加值将达到11万亿美元6。二是从微观角度看,由于市场主体可以直接将数据转化为经营性资产,企业对获取境外个人数据驱动力也不断攀升。例如,社交信息可以反映用户日常行为模式及偏好,可以帮助视频网站或电商网站精准投放广告、个性化定制产品营销方案;征信信息可以指向潜在的信贷客户和资质评估,财产信息可以评估潜在客户投资和消费能力,这些信息对于金融机构拓展海外潜在目标市场、寻找全球合作伙伴具有至关重要的意义。在疫情发生后,全球经济面临较大冲击,传统产业发展动能下降,但以数据驱动的产业则保持较高增速,包括苹果、微软、亚马逊、脸书、阿里巴巴在内的全球领先互联网企业,市值全部实现增长。
在上述因素的驱动下,跨境数据流动的规模不断扩大,跨境数据流动的治理也逐步成为各国博弈的焦点,同时,也逐渐意识到数字经济高质量发展离不开健全的跨境数据流动治理体系。跨境数据流动治理的必要性主要有以下四个方面:
1.跨境数据流动治理是掌握数字经济发展主导权的关键环节。一方面,跨境数据流动全球规则尚未建立,当前,数字经济主导权的竞争进入关键阶段,获得跨境数据流动全球规则话语权的国家,能够以本国利益最大化为导向,形成国际数据治理体系标准,后入者可能被迫遵循这套规则。数字经济发展优势可以提升跨境数据流动规则制定的话语权,而话语权的提升又会反过来扩大数字经济发展优势,从而形成正向反馈的机制,数字经济多极化的局面很可能不会存在,话语权会进一步集中。另一方面,跨境数据流动治理在贸易谈判中起到越来越关键的作用,随着贸易数字化不断扩大,跨境数据传输政策常被作为贸易谈判的重要筹码,议价能力不足的国家常常被强制要求放开跨境流动的限制,以换取其他方面的有利条件。美国在与日本、韩国、加拿大、墨西哥等国的贸易谈判中,均提及谈判对手方不能设置对美国企业的跨境数据流动限制,也不能强制数据库和服务器留置本土。
2.跨境数据流动治理是维护国家、国民安全的重要保障。2013年,“棱镜门”事件曝光,美国监管机构通过微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控用户的电子邮件、聊天记录、视频及照片等隐私信息,使各国监管机构开始意识到,互联网很可能成为其他国家窥视本国公民隐私的通道。时至今日,跨境数据流动造成数据泄露的恶性事件仍层出不穷,2019年4月,网络安全公司UpGuard研究人员发现5.4亿条脸书用户信息在亚马逊公司的云计算服务器上公开发布;2020年4月,疑似上百万条我国个人金融数据在境外暗网销售。健全、公开、透明的跨境数据治理体系的缺失,导致了大规模数据滥用和数据泄露,严重危害国家安全和公民隐私,地缘政治摩擦进一步升级。
3.跨境数据流动治理是解决数字经济收入分配不均衡问题的有效方法。数字经济中的商品和服务贸易突破了时间及空间约束,天然具有无实体、跨境经营的特点,如果无强制规定必须以商业存在的形式开展业务,其全球营业收入、利润和税收往往归属于总部所在地的国家,导致以属地管辖为基础的税收制度失效,数字经济的收入分配体制严重失衡。以亚马逊公司为例,根据现行的国际规则,亚马逊产生的大量利润只需在总部所在地缴税,或者在爱尔兰、卢森堡、百慕大等“避税天堂”设置常设机构,将美国以外用户产生的利润转移到“避税天堂”,亚马逊纳税收入比仅0.1%。跨境数据流动规则不完善导致大型科技企业可以轻易进行利润转移,即便下一步对跨国企业在境内销售数字服务征收“数字税”政策的推行可能在一定程度上解决这个问题,但是很多数字服务免费提供,大量收入来源于用户数据分析处理后的二次销售。因此,如果缺乏健全的跨境数据流动转移体系,境内用户数据转移至境外形成的大量收入无法纳入“数字税”的税基计算。这样会导致“数字税”政策失效,并加剧数字经济收入分配不均衡问题。
4.跨境数据流动治理是统一数据定价机制的基础原则。作为生产要素的数据要素具有一定的公共品属性,即每增加一个单位的数据要素投入,其他主体的边际成本并不会提升,具有非竞争性和非排他性的特点。数据生命周期包括采集、传输、存储、处理、计算、分析等多个环节,每个环节都可能需要付出成本,境内主体可能需要付出大量成本获得数据要素,但经过跨境传输后,境外主体可能零成本获得数据要素,再转化为境外主体的收入。由于数据具有非竞争性和非排他性的特性,数据要素市场定价本就存在市场失灵的问题,部分大型科技企业滥用市场支配地位,低成本或零成本获取数据,破坏数据要素市场自由竞价、公平竞争的秩序。这种情况在境内和跨境层面均可能出现,但境内仍可以发挥反垄断、税收等机制的作用,在跨境层面这些机制可以发挥的作用有限,更需要一个完善的跨境数据流动治理体系来统一数据的定价机制。
从当前全球发展格局看,发达国家与发展中国家对数据的规制出现较为明显的分歧。一是在立法思路方面,分为自由流动与本土化两类思路。发达国家以促进跨境自由流动为主,抢占更多数据资源;“本土化”则成为更多发展中国家的防御性选择。二是在立法原则方面,分为属人、属地和保护等三种原则。发达国家数据保护法律以“属人原则”和“保护原则”为主,实现数据领域的“长臂管辖”,如美国以“保护原则”为主,以保护本国利益为由大肆调取他国数据,欧盟、新加坡和日本则通过“属人原则”,确保境内数据主体在境外获得高标准的数据保护水平;发展中国家在话语权方面处于相对弱势的地位,一般采取“属地原则”,法律效力仅限于在境内产生的数据。
1.美国:以促进自由流动、境外执法权等方式实施数据领域的“霸权主义”。一是以促进数据自由流动形成引流效应。美国凭借其经济和军事实力,长久以来维持在全球霸权地位,在近期的贸易谈判中,“跨境数据自由流动”被纳入协议条款,以破除其他国家的数据出境壁垒。美国集聚了大量国际性金融机构、科技企业总部,数据开放、自由流动的主张实际上是为其大肆获取其他国家和地区的数据提供法律基础及政治基础,希望借此打破数据国界。此外,规模经济效应会促进数据的集聚,数据有足够驱动力从竞争力较弱的国家流向竞争力较强的美国。美国可以从数据集聚中获取最大化数据价值,进而巩固其霸主地位。美国虽然对数据出境门槛要求较低,但也并非完全不设限制,门槛主要集中在高度涉密的“重要数据”领域,美国总统2010年签署13556号行政令,形成管控非秘数据列表(Controlled Unclassified Information,CUI),如美国政府认为该数据会对国家安全产生不利影响,可以将数据标记为“禁止向外国传播”。二是以多边合作构建“数据流动圈”。美国倡议建设无障碍数据流动圈,实际上是利用强权为其提供获取境外数据的通道。美国为突破欧盟数据保护的防线,于2000年与欧盟签订《安全港协议》(Safe Harbor),包括谷歌、脸书、微软等5000多家美国公司在欧洲运营受到该协议的保护,将欧洲用户数据传输至美国储存及处理。2013年斯诺登事件后,《安全港协议》在2015年被判无效,但在随后艰难的谈判下,2016年美欧达成《隐私盾协议》(EU-US Privacy Shield),美国企业自愿承诺遵守欧盟数据保护法规后,即可接收欧盟的个人数据,但协议也规定美国政府和执法机构在介入和访问欧盟数据时,需要按照规定采取安全保障措施。2018年美国、墨西哥、加拿大签署《美墨加三国协议》(U.S.-Mexico-Canada Agreement),规定“任何缔约方不得将金融机构或跨境金融服务提供者所采集的金融数据本地化储存,作为在境内开展业务的前提条件”。此外,美国于2005年签署《亚洲太平洋经济合作组织隐私框架》(APEC Privacy Framework),获得认证的企业可以自由进行跨境数据流动,但这一框架实施效果较差,仅20多家美国和日本企业获得认证。三是以域外效力立法的方式实施“长臂管辖”。美国以反腐败、反洗钱、反恐怖主义、维护国家安全为由实施跨境执法,借此掌控全球的跨境资金流动数据,严重威胁个人隐私保护和全球数据流动秩序。2001年出台的《爱国者法案》(Patriot Act)授权美国执法机关在全球范围内获取数据,且被要求提供数据的一方,不能对外透露被索取数据的任何内容。2010年,美国和欧盟依据《国际紧急经济权利法案》(International Emergency Economic Powers Act)达成协议,从SWIFT调取“与恐怖活动相关”的金融交易和资金流动数据。2018年,《澄清合法使用境外数据法案》(Clarifying Lawful Overseas Use of Data Act)授权执法机构调取境外存储信息,规定美国电子通信服务提供商和远程计算机服务提供商储存在境外的数据可以被美国“合法”地调取。
2.欧盟、新加坡、日本:以充分性认定、建立信任机制等方式维护数据立法话语权。欧盟、新加坡等数字经济发展已经较为成熟的国家和地区,同样希望维持较高的数据自由流动水平,充分利用数据资源。与美国极具侵略性的数据政策不同,欧盟、新加坡采取平衡的监管思路,在所在区域维持高标准隐私保护的前提下促进数据跨境流动,未达标国家和地区或企业禁止数据自由流动。该立法思路最主要的目的是维护其在数据领域的立法话语权,部分与其贸易或金融依存度较高的国家和地区,会在此影响下修订数据保护法律,达到同等的数据保护标准来获得信任。日本则希望通过提高本国的数据保护水平,建立信任机制,从而融入欧美等自由流动圈。一是欧盟建立以“充分性认定”为核心的数据跨境流动机制。欧盟《通用数据保护条例》(General Data Protection Regulation)于2018年正式生效,规定获得“充分性认定”的国家和地区可以在不经过数据主体授权的情况下接收欧盟个人数据。欧盟委员会每四年通过数据保护立法、监管机构运作、国际承诺和公约签订等三个维度对“充分性认定”的国家和地区进行评估,目前仅加拿大、新西兰、瑞士等11个国家获得充分性认定。欧盟希望在实现内部的一致标准后,吸引更多发展中国家的接受和加入。二是新加坡建立以“相似保护”为基础的信任机制。新加坡的主张是建设成为亚太地区数据中心。2012年出台的《个人数据保护法案》(Personal Data Protection Act)规定,新加坡企业传输个人数据至第三国时,应满足以下条件:境外接收者受法律义务约束,法律义务应为所传输的个人数据提供与《个人数据保护法案》相称的保护标准,法律义务可以通过签订合同、制定公司规程、接收国数据保护立法等途径实现。三是日本希望构建“基于信任”的自由数据流通机制。日本于2003年通过《个人信息保护法》(Personal Information Protection Act,PIPA),并于2015年特别针对欧盟《通用数据保护条例》与亚太经合组织《跨境隐私保护规则》(Cross-border Privacy Rules,CBPR)对法案进行修改,即通过提升本国的数据保护水平与其他国家接轨,以此获取自由接收数据的权利。2019年达沃斯会议,日本政府提出“基于信任的自由数据流通”(Data Free Flow With Trust,DFFT)机制,希望主导新的国际规则,在不牺牲个人隐私安全的基础上,允许医疗、工业、交通和其他非个人数据的自由流动。2019年9月,日本与美国签署贸易协定,确立了各领域数据无障碍跨境传输的总体思路,并要求禁止对金融业机构提出数据本地化要求,希望继续保持两国在数字领域国际规则制定的引领地位。
3.中国、俄罗斯、印度、巴西:以限制重要数据出境、数据本地化储存优先保护国家安全。发展中国家由于缺乏强有力的数据引流能力,如果放开管制,反而可能导致数据大规模向发达经济体输出,进一步削弱竞争力,国家安全也受到威胁。因此,大部分发展中国家采取严格限制数据流动的本地化政策,但是本土化政策的推进也面临重重阻碍。一是我国个人数据“本土化”政策在经济实力和综合国力的基础上顺利实施。2017年出台的《网络安全法》为我国数据“本土化”实施奠定了法律基础,规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。二是俄罗斯对外经济依存度较低,且政府态度强硬,完全本土化数据政策得以推行。俄罗斯2015年修订《个人数据法》(On Personal Data),实施了严格的数据本地化储存要求,要求必须使用俄罗斯服务器来处理俄罗斯公民的个人数据,处理这些数据的服务器运营商必须及时将存储数据的服务器位置在俄联邦电信、数字技术和大众传媒监督局备案。三是印度本土化政策受到美国阻拦,仅实现了支付系统数据本土化储存。2018年印度《个人数据保护法案(草案)》(Personal Data Protection Act)拟限制数据跨境流动,规定一般和敏感个人数据必须在境内留存副本,关键个人数据不得出境。但该法案遭到脸书、万事达卡、维萨、美国运通、贝宝、亚马逊、微软等美国支付和科技巨头强烈反对,称其为“新德里地方保护主义”。迫于压力,该草案在2019年已经进行了修改,规定敏感、关键个人数据在符合一定条件时可以向境外传输,但存储应继续留在境内,关键个人数据只能在印度处理。尽管如此,对于金融领域的关键数据,印度央行已于2017年禁止跨行、行内支付系统产生的数据出境,且支付系统运营商和商业银行必须对技术服务提供商进行管理,确保所有数据本土化储存和处理。四是巴西出于国家安全考虑,也希望推行本土化政策,但其在云计算、大数据等技术方面发展相对滞后,技术条件不满足数据的境内储存。巴西《中央银行条例》(Brazilian Central Bank Regulation)规定,金融机构应尽量使用境内数据库,如果使用外部服务器,必须满足相应的数据保护条件,在巴西央行与外部服务器所在国监管机构签订协议后方可传输。
在上述跨境数据流动治理思路的博弈下,形成了“一张网络、二元共存、三大流动圈”的基本格局。“一张网络”是指在当前跨境数据流动治理体系中,所有国家、所有政策并非孤立存在,而是处在同一张紧密联系的网络中。政策之间牵一发而动全身,任何一个节点的改变都可能传导至整个网络。相对于土地、劳动力、自然资源等相对稳定的生产要素,数据要素具有更大的不确定性,各国仍未能形成绝对牢固的互信基础,跨境数据流动的通道开闭状态处于快速更迭阶段,而处于网络中枢的重点国家的政策变化更是可以快速将影响扩散至全球,而处于每个节点的国家都需要基于本国利益最大化作出应对策略。尤其是近年来,数据领域“战略结盟”“战略围剿”“战略封锁”等更是作为常用的手段,这些区域性的跨境数据流动政策变动很可能引起全球格局的变动。
“二元共存”是指促进数据自由流动和数据本土化储存,这两项主张已经不是单纯的二元对立,而是共生共存、相互促进。这种二元选择分别对应创新发展、安全保护两个目标,在跨境数据治理体系形成的初期,不同国家可以结合国情锚定单一目标。但随着数字经济战略升级,各国已经难以锚定单一目标,而是要兼顾主权安全、网络安全、隐私保护、创新发展、产业竞争等更复杂、更多维的政策目标。尽管各国在执行过程中仍具有较为明显的倾向性,但国际形势瞬息万变,二元共存所达到的平衡点可能随时被打破。
经过多年的发展,逐步形成欧盟、北美、亚太地区等三大跨境数据流动圈。这“三大流动圈”中,以欧盟流动圈最为稳固,欧盟以地缘政治作为强有力的保障,2015年,欧盟开始实施欧盟数字化单一市场战略,旨在消除各国之间的数据传输壁垒,在欧盟内部各国建立了完全的信任机制。北美流动圈也相对稳定,主要成员为美国、加拿大、墨西哥,其中美国拥有绝对的主导权。亚太地区流动圈则为形势最复杂、最不稳定的流动圈。随着数字经济发展的制高点从环大西洋地区逐步转向了环太平洋地区,亚太地区跨境数据流动的治理主导权成为竞争的焦点,美国、日本、新加坡均加入了竞争行列,同时也企图联手将中国排斥出自由流动圈。亚太地区已经先后出现了跨境隐私规则、跨太平洋伙伴关系协定(Trans-Pacific Partnership Agreement,TPP)、全面且先进的跨太平洋伙伴关系协定(Comprehensive Progressive Trans-Pacific Partnership,CPTPP)等多个跨境数据流动协议,但由于存在成员变动大、实施范围窄、未达成普遍共识等问题,均未能有效促进跨境数据流动。
2020年,全球跨境数据流动的博弈在维持总体格局的基础上,也出现了新的变化——跨境数据流动圈呈现割裂和融合两种背离的方向。一是欧盟与美国跨境流动通道面临割裂。2020年7月,欧盟法院就个人数据跨境转移案件Schrems II7作出判决,宣布欧盟—美国隐私盾协议在跨境数据传输方面无效,美欧“隐私盾”协议破裂,美国向欧盟自由获取数据的通道被切断。2020年10月,爱尔兰隐私监管机构出台规定,禁止脸书将欧洲用户的数据转移至美国。二是欧盟与亚太数据流动自由圈趋于融合。2020年6月,英国制定了脱欧后的科技贸易战略,此前欧盟与日本通过充分性认定实现自由流动,英国脱欧后,该条款已经不再适用于英国,英国希望与日本等亚太国家签订更深度融合的数据自由流动协议。
( 一 ) 我国监管路径的特点分析
为适应数字经济发展的新形势,维护国家数据主权,保护国民隐私安全,我国加紧了对跨境数据流动治理的立法进程,整体呈现以下特点:
一是法律层级明显提升,顶层设计不断完善。《民法典》将隐私权定义为人格权之一,明确个人信息受到法律保护,并对个人信息处理者的义务进行了规定。除此之外,《数据安全法(草案)》《个人信息保护法(草案)》陆续对外征求意见,从域外适用效力、数据安全审查制度、数据出口管制、数据对等反制措施和数据跨境调取审批制度等不同维度,初步确立了我国针对数据跨境流动的基本法律框架。《个人信息保护法(草案)》对个人数据出境的前置条件进行了明确规定,在满足安全评估或与境外接受方签订符合标准的协议后可以出境。
二是改变单一“属地原则”的思路,形成以“属地原则”为主,兼顾“属人、保护”等原则。“属地原则”为主,其法律效力限于境内产生的数据。《网络安全法》适用范围为“在中华人民共和国境内建设、运营、维护和使用网络”,通过属地原则维护在境内产生数据的安全,而《个人信息保护法(草案)》则除适用于境内自然人信息活动外,还将其延伸为境内自然人,规定“在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:以向境内自然人提供产品或者服务为目的......”,体现出“属人原则”。《数据安全法(草案)》则规定“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”,体现出“保护原则”。
三是形成多层级、立体化的法律架构。以高层级法律为基础,行政法规、地方性法规不断对数据跨境流动规则进行补充,相关法律基础不断夯实。行政法规方面,行业主管部门出台的法规中对数据存储和处理作出要求,如交通运输部、工信部等七部委于2019年修订《网络预约出租汽车经营服务管理暂行办法》,规定“网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,除法律法规另有规定外,上述信息和数据不得外流”;2020年人民银行印发《个人金融信息保护技术规范》,界定了个人金融信息的范围,规定“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析”,也明确了确需出境数据的安全评估要求。地方性法规方面,2019年上海市政府出台的《中国(上海)自由贸易试验区临港新片区管理办法》,创新性地在集成电路、人工智能、生物医药和总部经济等领域开展数据跨境流动安全评估的试点。
从我国当前数字经济发展面临的国内外形势看,“本土化”政策是精准平衡国家安全、数据隐私保护、掌握数字经济发展主动权等因素后的最优选择。一是与我国和平发展道路相契合。不对数据采取“长臂管辖”等手段,采取属地原则为主,兼顾属人、保护原则的治理体系,不强制要求数据入境,不侵犯他国数据主权,符合坚持多边主导、多边参与和平发展战略的要求。二是与维护国家安全需要相适应。数据一旦不受限制地向境外传输,数据主体的欺诈风险急剧攀升;关键数据泄露会严重危害国家安全、国计民生和公共利益。在当前国际关系复杂,尤其是中美摩擦加剧的形势下,应该优先考虑维护国家安全,坚持总体国家安全观,抗衡美国以跨境执法名义随意调取我国数据,以及可能实施的金融领域和网络领域的制裁。三是与我国综合国力相匹配。实现“本土化”政策很可能遭遇以美国为代表的主张数据流动国家和外资企业巨头的反对,我国国际话语权、经济体量、关键基础设施独立性等具备足够实力对抗境外压力,“本地化”政策可以有效实施。以支付结算领域为例,针对外商支付机构8、银行卡清算机构9、跨境金融网络与信息服务提供商10均有境内储存的明确规定,外资机构不遵循相关规定将不能获得市场准入。四是与对外开放总体思路相结合。在实施本土化的过程中,建立健全数据安全审查制度,为数据出境提供合法合规的通道,有现实需要、经过安全评估、符合出境要求的数据可以输出境外,为境内展业的外资企业数据交换构建清晰、透明的法律基础,有利于扩大对外开放,推动合作共赢的“新型全球化”战略。
1.在全球博弈中,面临与全球化趋势背离、国际治理体系话语权受限、数据流动红利不能最大化实现等问题。一是“本地化”数据治理体系与全球一体化的进程难以同步。数字经济更强调全球数据资源的融合和共享,单方面强调对本国数据资源的绝对控制权,将会产生数据流动停滞和与网络空间分裂的风险,与全球化的趋势背离。我国需要进一步扩大开放,才能融入、主导全球化进程,“本地化”的数据政策会影响我国全面对外开放信号的传递,阻碍国际投资者、境外机构对我国市场的评估,从而影响其拓展中国市场的信心。二是跨境数据流动规则制定的话语权受限。美国、欧盟等发达经济体尽管数据治理的路径有所不同,但最终目的均是形成跨境数据自由流动圈,在圈内保持绝对话语权。一旦数据自由流动形成的规模经济效应足以让其形成闭环,将可能利用霸权主义对闭环外的国家和地区形成排斥,或吸引更多国家和地区加入,将对我国数据主权、数据领域标准制定的话语权构成较大威胁。尤其是当前中美摩擦不断升级,美国极有可能将数据跨境流动作为切入口,向其他国家施压,或出台进一步的制裁措施,从而打压中国在全球数据治理体系中的地位。三是数据跨境流动的红利不能最大化实现。实现“本地化”政策,虽然在很大程度上维护了国家安全,但是同样也阻碍了数据要素的市场化配置,数据在供需两端,即出境和入境,都将受到影响。当前中国数字经济体量已经稳居全球第二,领先优势明显,实际上已经具备足够的能力形成引流效应,但是“本土化”的政策会导致数据共享和互换的红利受损,在后疫情时期的经济复苏效用也不能最大化实现。
2.在对内治理方面,面临监管机构分散、法规制度可操作性较弱等问题。一是跨境数据流动监管机构分散,缺乏统筹监管。《网络安全法》规定“关键信息基础设施的数据在境内储存”,但《关键信息基础设施确定指南(试行)》中明确,关键信息基础设施包括“向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统”,所涉及的行政主管部门众多,由于缺乏统筹安排,不同监管机构在裁量权、监管重点方面难以统一,且容易形成多头监管或者监管空白。二是法规制度可操作性较低,数据出境评估面临复杂形势。当前大型科技集团运用“平台化”的思路运营业务,平台中集成了金融、社交、位置、消费等多样化信息,数据类型边界模糊,是否可以出境的标准仍不明确。《个人信息保护法(草案)》和《个人信息出境安全评估办法(征求意见稿)》,仅对使用本法的数据进行了明确,却并未说明数据混同时的处理方式以及具体判断标准。对个人数据、重要数据进行从严管理,可能会限制数据集中的其他数据自由流动。云计算、物联网、人工智能等领域的国际互联网数据跨境安全有序流动对我国数字经济发展起到积极作用,但如何在保障安全的同时最大化促进数据流动,仍缺乏指引。
数字经济未来的发展,必定会使全球在各行业、各领域互联互通、深度融合,数据打破国界、加快循环流动是不可逆转的趋势。为扩大全球博弈的优势,我国应从以下四个方面提升跨境数据治理能力:
( 一 ) 在总体监管路径选择上,合理兼顾审慎性和包容性
对跨境数据流动监管路径的选择,既要在复杂的国际变局中维护国家安全,保护公民个人数据隐私;又要鼓励数字产业合法合规进行跨境数据传输,最大化发挥我国数字经济走在世界前列的优势。尽管跨境数据流动治理有多重的政策目标,但在现阶段应以保障国家安全、维护国家主权为优先目标,其他目标的实现均以国家主权、国家安全为基础。因此对于重要数据,必须坚持审慎原则;此外,公民的个人数据隐私权与国家主权紧密相关,且一旦泄露会造成严重的欺诈风险,同样需要坚持审慎原则。在这一原则的基础上,构建更加开放、包容的跨境数据流动规则,探索构建合法合规的跨境数据流动通道,加速新产业、新业态、新模式融入全球化大局,建立与我国数字经济发展战略目标、领先地位相适应的跨境数据流动治理体系。
( 二 ) 完善跨境数据流动制度体系,保障立法的全面性和灵活性
一是完善跨境数据流动制度体系。当前《民法典》,以及《数据安全法》《个人信息保护法》的草案已经出台,地方政府、行业主管部门、行业自律部门应结合最新高层级立法思路,以问题为导向,全面梳理辖区或监管范围内的跨境数据流动治理法规制度的漏洞、空缺,并研究制定细化的配套措施,以政府高效协调、监管全面覆盖、行业严格自律确保相关法规制度顺利落地。二是配套出台细化的数据分级分类、出境评估等规定。首先,建立宽严相济的数据分级监管模式,明确数据敏感程度的划分标准,制定与敏感度相匹配的数据出境规则,以及出现数据集合边界模糊、多种数据混合情况时的出境评估具体标准。其次,对于需要安全评估才能出境的数据,需明确出境的评估机构、评估标准、评估程序等事项,区分基于商业需求和基于监管需求数据出境的评估框架。
( 三 ) 构建跨境数据流动治理的统一监管体系,提升治理体系的统筹性和协同性
一是对跨境数据流动实施统筹监管。构建跨部门协同的统筹监管机制,由网信部门牵头,会同能源、通信、金融、交通、公用事业等关键行业的监管机构,发挥机制协同作用,将各类重要数据保护政策执行情况纳入统一的评估体系,并定期就监管重点、风险事件处置等信息加强互换沟通。二是积极参与国际跨境数据流动的规则制定。密切与国际组织、其他国家数据监管机构的沟通协作,坚持多边参与、寻求共识的原则,推动我国数据保护水平与国际接轨。加强与“一带一路”沿线国家,区域全面经济伙伴关系协定、上海合作组织、亚太经合组织、G20成员国的双边和多边合作,在数据保护标准对等、数据跨境执法权力对等的基础上构建区域性的跨境数据流动规则。
( 四 ) 完善跨境数据流动安全评估体系,平衡数据市场的开放性和安全性
一是探索完善区域性数据跨境流动机制。除必须本土化储存的重要数据外,考虑在获得数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估、数据脱敏处理等前提条件下,推动数据安全、有序、合规流动,提升我国数据要素市场的国际竞争力。二是提升数据跨境流动制度的对外透明度。通过监管、行业、学术等多个层面的交流,增进各行业服务主体对我国跨境数据流动法规制度的了解,释放我国扩大开放的信号,增强境外投资者信心。可考虑在上海、深圳、海南等对外开放窗口地区先行先试,利用粤港澳大湾区、自由贸易区等制度创新优势,进行跨境数据安全评估试点,完善跨境传输、利用、保护等规则,促进数据的跨境开放流动。
数据跨境专题回顾
数据跨境之 ( 一 ) |《网络安全法》中数据出境安全评估真的那么“另类”吗
数据跨境之 ( 二 ) | 张晔华:GDPR数据跨境流动机制及其合规建议
数据跨境之 ( 三 ) | 证监会姚前:数据跨境流动的制度建设与技术支撑
数据跨境之 ( 四 ) | 商务部发文增设北京上海雄安为试点,数据跨境传输该往何处去?
数据跨境之 ( 五 ) | 中国公司基于SCCs开展数据跨境流动的基本策略
数据跨境之 ( 六 ) | “清洁网络计划”下的APEC跨境隐私保护(CBPR)体系
数据跨境之 ( 七 ) | EDPB提出“评估目的国法律环境”的指南(全文翻译)
![数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择]( "数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择")
本文始发于微信公众号(网络安全应急技术国家工程实验室):数据跨境之 ( 九 ) | 数字经济下的全球博弈与中国选择
评论