查看原文
其他

数据大使馆兴起对我国数字经济发展有何启示?

王艺 等 植德律师事务所
2024-09-16


作者:王艺 赵艳明 张凯殷

本文共计6231字,阅读需约16分钟


观点摘要

01

数据大使馆,即在一国领土外建立的,但在法律上受该国政府管辖,享有与其实体大使馆相同的外交豁免权和特权的数据存储和网络服务中心。

02

数据大使馆的主要职能包括五个方面,即数据安全、信用担保、数据豁免、数据处理、数据经纪。

03

与传统的数据存储管理模式相比,数据大使馆托管模式能够更有效的保障数据安全、可控和高效利用。与欧洲、韩国、美国现有的数据托管模式相比,数据大使馆托管模式更强调数据主权与数据安全,经济功能更加丰富,法律关系较为简单。

04

数据大使馆兴起对我国数字经济发展的启示:一是探索建立具有中国特色的数据大使馆制度,为数字经济发展营造良好环境;二是依托数据大使馆探索个人数据跨境流动新模式;三是依托数据大使馆的建设促进跨境数据交易。


引言


数据作为新型生产要素,是数字经济发展的核心引擎,数据要素的安全高效流通是数字经济高质量发展的重要基石。近年来,世界各国围绕数字经济国际规则体系进行了诸多探索,其中“数据大使馆”的兴起值得关注。


2023年年初,印度财政部长尼尔马拉·西塔拉曼(Nirmala Sitharaman)表示,印度政府将推动各国政府在古吉拉特邦国际金融科技城(GIFT IFSC)建立“数据大使馆”,为国家和商业数字数据(Digital Data)提供外交豁免权,使其免受当地法律法规的约束[1]


自2017年爱沙尼亚设立世界首座数据大使馆以来,“数据大使馆”的概念重回公众视野并引发热议。什么是数据大使馆?数据大使馆的主要职能有哪些?建立数据大使馆的数据法基础是什么?数据大使馆兴起对我国数字经济发展有何启示?本文试就上述问题作出一些初步探讨,供业内人士参考。



一、什么是数据大使馆?


作为全球第一个实现全面数字化的国家,“数据大使馆”的概念最早由爱沙尼亚政府提出。基于“e-Estonia(数字爱沙尼亚)”计划的不断推进,过去二十年,爱沙尼亚的电子服务已基本涵盖了立法、投票、教育、司法、医疗、银行、税务、治安等公民日常生活的方方面面。然而“盛世之下,必有隐忧”,对数据和网络的高度依赖使爱沙尼亚举国上下在2007年的大规模网络恐袭中一度陷入瘫痪、停摆且短期内难以回复的状态。因此,如何避免类似事件再度发生,能否为其数据和系统“购买一份保险”成为了爱沙尼亚政府必须审慎回答的一道难题。


数据安全就是国家安全,数据备份应作为国家安全战略的重要一环,即使在本国领土上的数据中心遭破坏或干扰(如自然灾害、大规模网络攻击、停电或其他危机)时,政府也可随时调取相关信息以保障信息社会运转的连续性、稳定性,“数据大使馆”的概念由此应运而生[2]。


数据大使馆,即在一国领土外建立的,但在法律上受该国政府管辖,享有与其实体大使馆相同的外交豁免权和特权的数据存储和网络服务中心[3]



二、数据大使馆的主要职能有哪些?


数据大使馆诞生之初的一项基本职能便是构建数据域外存储和备份机制,保障国家数据安全。伴随着数字经济的高速发展,数据大使馆的相关职能也在不断扩张,结合关于印度设立“数据大使馆”的报道和印度相关政府官员的发言[4],数据大使馆的主要职能包含以下五个方面:


序号

主要职能

具体内涵

1

数据安全

通过域外数据存储和备份机制,保障国内数据中心停运时可快速响应,保障信息社会运转连续性。

2

信用担保

在不确定的地缘政治局势下,特别是数据法律体系不健全、不稳定状态下为数据的跨境流动,自由贸易提供信用担保和稳定的商业预期。

3

数据豁免

基于数据大使馆的外交豁免权,可减低跨国企业当地的数据合规成本,减少与当地政府的监管摩擦和冲突可能。

4

数据处理

基于受托管数据的使用,或可为企业和政府提供额外算力,或可作为付费式数据委托处理业务面向国际市场开放。

5

数据经纪

发现数据潜在价值,组织数据交易,控制交易风险,维护交易主体权益等。



三、建立数据大使馆的数据法基础是什么?


数据大使馆主要职能得以实现的前提条件是对本国政府、社会组织或公司数据的托管[5],换言之,数据托管是数据大使馆得以建立的重要法律基础。


(一)与传统的数据存储管理模式相比,数据大使馆托管模式能够更有效的保障数据安全、可控和高效利用


在传统的数据存储管理模式中,围绕着数据的采集、加工、存储、传输和使用等所产生的一系列职责一般均由数据处理者独自履行。然而这种使数据处理者处于支配地位的单中心数据流通模式并不足以解决数据共享中的信任和安全问题。[6]而在数据大使馆托管模式中,数据的存储、使用、管理职责彼此分离,由数据大使馆为各方提供安全可信的数据存储管理服务。数据大使馆作为数据主体或数据处理者的受托方,就像前台的股票交易有赖于后台的股票登记存管,其今后或可配套一系列机制设计,作为数据交易所,特别是数据跨境交易的重要后台[7]。


基于国内理论和实务界的探讨,我们从数据流通管理的成本、安全性、合规性、稳定性和可连接性五个方面对传统的数据存储管理模式和数据大使馆托管模式进行了对比分析,具体如下:


项目

传统的数据存储管理模式

数据大使馆托管模式

成本

购置数据中心土地、能源和后期运营维护的成本高。

企业无需自建和运维数据存储中心,特别是涉及数据跨境交易时,极大节约了中心土地、能源和养护开销。

安全性

企业数据安全保障投入严重受制于企业效益。

数据大使馆具有更丰富、专业的数据运维经验和更高标准的安全技术、防御设施。

合规性

视企业规模而定,中小企业内部一般合规风控水平较低。

在数据合规方面的投入较大,专业化程度更高。

稳定性

网络遭遇入侵瘫痪或数据丢失时,缺乏同步备份,数字化服务易中断,短时间内难以恢复。

重要数据可在数据大使馆托管时同步备份,以确保企业线上业务的连续性和应急恢复能力。

可连接性

因企业难以持续、实时和全面的关注数据市场行情和需求,其数据难以有效转化为良性资产,继而沦为“数据孤岛”。

数据大使馆可以更便捷、全面的收集数据市场信息,并在委托方授权下进行数据加工整理,更好匹配、撮合不同用户间达成交易。


综上分析,数据大使馆托管模式作为所有数据主体或数据处理者的受托者,对数据资产进行集中存储管理,较之传统的数据存储管理模式可以更有效的保障数据安全、可控和高效利用。


(二)与现有的数据托管模式相比,数据大使馆托管模式更强调数据主权与数据安全,经济功能更加丰富,法律关系较为简单


欧盟、韩国和美国现有数据托管模式具有其局限性。欧盟GAIA-X托管模式与数据大使馆托管模式都强调数据主权与数据安全,但欧盟GAIA-X托管模式涉及欧盟多方利益,目前该项目仍在建设中,一旦出现信用危机,便可能停滞不前;韩国MyData数据托管模式主要解决的是信用信息验证的问题,不涉及其他种类信息;美国AWS数据托管模式强调其商业利益,数据主权色彩较少。


数据大使馆托管模式相比于以上几种模式,既能维护数据主权和数据安全,也具备数据存储、数据处理、数据经纪等经济功能,并且只涉及输出国与输入国两方,法律关系较为简单。具体对比如下:


项目

欧盟GAIA-X

韩国MyData

美国亚马逊AWS

数据大使馆托管模式

性质

非营利性

非营利性

营利性

非营利性

理念原则

数字主权、数字安全、数字共享

数字人权

数字应用、数字创新

数据主权和数据安全

关系结构

委托者通过购买、租赁等形式将数据存储于数据托管公司提供的服务器上,并由后者负责服务器群的运营维护工作。

基于用户请求由MyData运营商从数据提供者、中介机构等处收集分散的用户信用信息。

由AWS作为交易平台为数据提供者提供数据存储、发布等服务,一般消费者可在其上查询、订阅和使用提供者的数据。

在一国境外建立数据大使馆,并将本国数据转移或存储到数据大使馆中,该数据大使馆享有实体 大使馆同样的外交豁免权和特权。

主要功能

为委托者提供位于欧盟境内的统一数据基础设施,使其数据存储、共享和交易可以受欧盟法律的统一管辖。

在认证用户、信用信息提供者等身份合法基础上,由该机构为用户统一传送相关个人信息。

提供超200项营利性数据交易服务。

包括数据安全、信用担保、数据豁免、数据处理、数据经纪。(具体请参考本文第二部分)

核心目的

摆脱对中、美大型IT公司的相关服务依赖,保障欧盟境内重要数据可控。

促进韩国本土信息可携带权等个人信息权益的实现。

提供数据交易相关服务,促进交易达成。

防范自然灾害,抵御网络攻击,提高数据灾备能力,保护国家安全,促进数据流通。


综上分析,以上数据托管模式各有特点,在具体选择上需要结合相关因素进行综合考量。若单纯强调数据处理、数据存储、数据经纪等商业功能,或许选择美国亚马逊AWS“合同托管”方式更为适合;若在商业功能上有数据主权与数据安全的考虑,则可以考虑欧盟GAIA-X托管模式或数据大使馆托管模式。



四、数据大使馆兴起对我国数字经济发展有何启示?


2022年年底发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“以促进数据合规高效流通使用、赋能实体经济”为主线,构建数据产权制度、流通交易制度、收益分配制度及安全治理制度。但是,纵观我国目前的数字经济发展,在数据要素流通方面还面临以下挑战:


(一)数据流通过程中的安全隐患较为突出。随着科技的不断进步与互联网的普及,流通过程中因网络攻击、硬件损坏、软件系统瘫痪、自然灾害、非法盗取等事件所导致的信息泄露事件频发;同时,我国在数据灾备领域存在投入相对偏低、灾备覆盖率低、法律落实不到位、行业技术标准和规范体系建设滞后等问题,因此数据流通面临着数据泄露和网络安全漏洞风险。


(二)数据跨境流通机制尚不成熟。我国的数据跨境流通法律规则刚刚建立,尚未与境外建立起统一的数据跨境流通机制,数据跨境流通的监管相对较严格,数据出境审批耗时较长,这些问题都一定程度上限制了数据跨境流通。


(三)信息孤岛和开放壁垒妨碍数据流通。数据的流通共享和重复利用对实现数据价值至关重要。但目前我国数据集中程度高,数据开放共享程度不足,各地数据交易场所虽初具雏形但数据交易仍不活跃,数据市场发展面临多重制约。


那么,数据大使馆制度对我国数字经济发展有何启示呢?我们认为:


第一,探索建立具有中国特色的数据大使馆制度,为数字经济发展营造良好环境。鉴于我国的强监管趋势,重要数据一般都有本地化存储或灾备中心本地化的要求,[8]如果将数据大使馆制度全盘引入可能会导致“水土不服”。因此,结合我国在数据安全方面的需求,建议可适当对该制度进行改良,例如非重要数据可存入数据大使馆,或者通过双边协定、调整现有政策来解决重要数据原则上不出境、灾备中心本地化的矛盾,以最大程度发挥数据大使馆的优势。


同时,考虑我国的综合国力、科技实力等因素,相比于成为数据大使馆的委托方,我国更适合设立数据大使馆成为受托方,为其他地区与国家数据提供数据存储、数据灾备、数据处理等服务。对外,数据大使馆可以增加世界各国对我国的信任,帮助我国抢占数据战略资源高地,提升我国作为数字强国的国际形象;对内,可促进我国对数据经济基础设施的投资,为数字经济发展营造良好环境,驱动经济增长。


第二,依托数据大使馆探索个人数据跨境流动新模式。面对目前的数据跨境难题,可依托数据大使馆探索个人数据跨境流动新模式。例如,可将境外企业的中国用户数据存储在中国数据大使馆并豁免该过程中的数据出境安全评估的义务,此举在一定程度上可提高数据跨境流通效率,又可保障我国个人信息安全。此外,可依托数据大使馆建立跨境数据验证平台,促进金融、医疗、教育、就业等多个领域的个人信息验证,目前,该模式在粤澳跨境数据验证平台的银行场景中已有良好实践。[9]数据大使馆可参考该模式建立数据验证平台,在办理业务时,用户基于个人信息可携权获取征信、医疗、学历、资产等个人信息,并将该信息传输给境外数据接收者,该接收者向数据大使馆的数据验证平台发起验证,平台可向数据接收者反馈验证结果,此举将能大大惠及民生、促进境内外数据可信验证、信息高效互通。


图源:《综研观察|粤澳跨境数据验证平台上线试运行,探索个人数据跨境流动新模式》

第三,依托数据大使馆的建立促进跨境数据交易。随着近年来我国对数据要素的重视,各地数据交易平台如雨后春笋在各地萌芽,数据交易呈现蓬勃发展的态势。在此背景下,可充分发挥数据大使馆的数据经纪职能,凭借地理位置优势,促进跨境数据交易发展,并通过提供数据清洗、数据标识、数据产品合规性评估、数据资产定价的服务,探索撮合费、会员费以外的新型盈利模式。


*王喆曈对本文亦有贡献。


[1]参见《FreeBuf早报|印度拟在境内设立“数据大使馆”》,https://www.sohu.com/a/638686626_354899.

[2]参见《爱沙尼亚:建立世界上第一个数据大使馆》,https://www.secrss.com/articles/51707.[3]参见《数字化的全球典范:一文看清爱沙尼亚的“数字化国度”之路》,https://baijiahao.baidu.com/s?id=1659567401120617537&wfr=spider&for=pc.[4]参见《印度拟在境内设立“数据大使馆”,为数据提供“外交豁免权”新视野》,http://tech.qhdxw.cn/tech/20230208/400238812.html.[5]数据托管目前在我国成文法上尚未有明确、统一的定义,基于多方学者的讨论观点,笔者以为,数据托管是委托方将其持有的数据资产委托给受托方进行存储、管理和利用的一项数据基础制度。[6]参见翟志勇,《论数据信托:一种数据治理的新方案》,载《东方法学》2021年第4期。[7]参见《姚前:数据托管促进数据安全与共享》,https://www.sohu.com/a/634945817_481887.[8]例如 《保险业信息系统灾难恢复管理指引》第二十一条,保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)《个人金融信息保护技术规范》第7.1.3 d)在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。

[9]澳门居民可通过“琴澳资信通”业务,实现在工商银行横琴分行申请信贷业务时,使用工行手机银行获取个人在工银澳门资产信息,自行上传至工商银行横琴分行。工商银行横琴分行可通过粤澳跨境数据验证平台确认澳门居民所提供的业务办理资料真实有效。



本期作者介绍


合伙人 王艺


注册个人信息保护专业人员(PIPP-DPO)

注册欧盟信息隐私专家(CIPP/E)

公认反洗钱师(CAMS)

数据合规官(EXIN-DPO)

业务领域:政府监管与合规、投融资并购、争议解决

0755-33257513

yi.wang@meritsandtree.com


赵艳明


业务领域:政府监管与合规、争议解决、投融资并购

  0755-33257527

yanming.zhao@meritsandtree.com


张凯殷


业务领域:政府监管与合规、金融科技

0755-33257534

kaiyin.zhang@meritsandtree.com


声明

以上所刊登的文章仅代表作者本人观点,不得视为植德律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。


继续滑动看下一个
植德律师事务所
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存