数据要素治理 | 政策制定者应密切关注数据治理(下)
编者按:
一直关注数据安全,公号君决定新开一个系列的研究笔记,关注数据要素治理。此前,本公号发表过的关于数据要素治理的相关文章包括:
今天推送的是对一篇外文文献的摘译——《数据是不同的,因此决策者应当密切关注其治理》(Data Is Different, So Policymakers Should Pay Close Attention to Its Governance)原文作者:Susan Ariel Aaronson
本篇文章首发于公号君参与运营的另一公号:数据信任与治理,【政策制定者应密切关注数据治理(下) 】 今天推送的摘译的下篇
4
跨境数据流动管理规则现状和数据领域的兴起
政策制定者多年来一直试图在WTO以及双边和区域贸易协定中建立数据跨境流动的全球规则,包括《信息技术协议》,《与贸易有关的知识产权协定》以及《服务贸易总协定》。1998年,WTO制定了一项电子商务工作方案,同意免除电子传输关税。此外,WTO在数据谈判方面也有所进展。
2017年12月,在布宜诺斯艾利斯举行的第十一届WTO部长级会议上,澳大利亚、日本和新加坡在67个WTO成员的支持下,发起了《电子商务联合声明倡议》,旨在“应该谈判什么”和“如何谈判”问题上达成共识。但遗憾的是,成员国不但在电子商务问题上缺乏共识,而且很多成员国并不清楚电子商务与提供数据驱动服务之间的区别。
2019年1月25日,WTO成员同意开始电子商务谈判,但民间社会组织和国际劳工组织却持反对态度,认为谈判达成的新协议可能威胁就业、隐私和数据安全。尽管大多数国家都希望推动会谈发展,但各国在谈判范围上仍然存在分歧。在数据流动方面,美国、加拿大、欧盟和巴西希望创建可互操作的通用规则,限制跨境数据流动的障碍;而俄罗斯和中国则更关心国内社会和政治稳定,更愿意使用国内法规来限制数据流动。发展中国家也存在诸多分歧。大多数国家认为传统的电子商务可以帮助他们的农民和公司与世界各地的消费者进行直接贸易,但他们国内缺乏数据驱动企业,因而对谈判数据驱动服务持怀疑态度。
与此同时,美国、欧盟、澳大利亚、加拿大等国已经在其《自由贸易协定》的电子商务章节中加入了管理跨境数据流动有关内容,部分国家将章节名称改为“数字贸易”,并就数字经济协议进行谈判。
《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)于2019年在11个太平洋沿岸国家生效。这些国家同意默认跨境数据自由流动,并采取相同的最低限度隐私监管。同年生效的《欧盟-日本自由贸易协定》(以下简称“FTA”)则将个人数据保护作为其核心,确保个人数据通过欧盟委员会的充分性决定得到充分保护。
美国政府使用CPTPP作为重新谈判《北美自由贸易协定》(以下简称“NAFTA”)的蓝本。新版本的NAFTA (《美国-墨西哥-加拿大协议》(以下简称“USMCA”))包含了数字贸易章节,要求禁止披露源代码。与CPTTP不同的是,它鼓励各方以机器可读的开放格式提供公共信息促进人工智能发展。以上内容旨在促进数据驱动经济增长、人工智能和其他数据驱动服务。
美国和加拿大认为应该优先规范跨境数据流动障碍,而欧盟则优先保护个人数据。只有在通过欧盟数据保护充分性认定的基础上,欧盟才会与之签订自由贸易协定。但这一过程耗时且昂贵。
与此同时,中国参与了《区域全面经济伙伴关系》(以下简称“RCEP”)谈判。RCEP允许成员国实施非歧视的国家监管限制。
美国、欧盟这两大数字市场采用不同方式治理跨境数据流动。这将使得其他国家若想与他们同时建立牢固的贸易关系必须采用不同的方式,进而付出昂贵的合规成本。
WTO秘书处在一项学术研究中证明,现有的协定大多是规则的拼凑,目前存在的75个论述电子商务内容的协定存在显著差异,界定和限制了不同的贸易壁垒。有38个协定对国内法律框架有不同的规定,约有44份协定包含了关于个人数据保护,但规定的的定义和义务并不相同。
发展中国家由于自身能力不足,在面对数据驱动型经济时可能会面对更多问题。风险资本家、前计算机科学家李开复认为,数据驱动型经济的大部分利润将流向美国和中国,因为美、中已经积累了大量的人才、数据和市场份额。并且,许多发展中国家并没有有效的个人数据保护或公共数据使用规则,大多数通过的立法既不符合经合组织《个人信息和跨境数据流保护指南》,也不符合欧盟的GDPR。
此外,一些国家囤积并拒绝与其公民共享数据。但囤积数据会使数据丧失价值,虽然实证证据不足,开放数据似乎具有一定的溢出效应。并且,现有管理数据的方法也有拼凑之嫌。如果没有与数据驱动企业及客户进行充分理解和互动,发展中国家可能难以有效地倡导其在数据驱动型经济中的短期和长期利益。
5
前进的道路
尽管数据流动由来已久,但是当今的数据流动规模空前,新型服务种类繁多。并非所有国家和人民都做好了迎接的准备。数据治理需要建立在共同规则之上,决策者应该首先制定国家数据战略,调整方法的互操作性,找到一种方法进行关于建立公众信任的数据治理的讨论,并与嵌入在其他互联网治理形式中的多方利益相关者流程保持一致。在这种背景下,本章提出了前进的建议步骤,总结如下。
第一步:鼓励各国制定管理和交换不同类型数据的计划
每个国家都应该制定一项关于跨国使用和交换数据的国家数据计划,确保大多数公共数据的开放并妥善保护个人数据。同时应解决所有权、控制权、权益、数字货币化和数字传输相关问题。
制定这样一项计划并不容易。大多数发达经济体还处于早期阶段,但欧盟等国已经走在了世界前列,制定了相关数据战略。部分国家正在计划以数据驱动部门发展。世界银行和贸发会议等国际贸易和发展组织可以与擅长数据问题的民间社会团体合作,将这些问题提出,并提供技术援助。
第二步:让人们拥有更多的发言权和对数据的控制权
数据驱动型经济只有建立在信任的基础上才能成功,个人用户必须有法律的保护。应该召开国际会议以建立一种可互操作的数据保护和控制方法,供各国参考。并且可以建立网站广泛征求意见。我们已经找到了一些共同点,但人们似乎愈发感到,美国做法过于注重确保个人数据可作为商业资产使用,而欧盟则将保护个人数据作为一项基本权利。
第三步:澄清规则和规则的例外,减少各国频繁广泛地限制跨境数据流
数据驱动型经济协议应包括规则的例外情况,但例外只有在最大限度不扭曲贸易的方式下才被允许使用。到目前为止,政策制定者还没有明确的方法区分合法和扭曲贸易的数据流监管,贸易协定中的措辞也含糊不清,各国必须依靠贸易争端提高明确性和法律确定性。然而,提供指导的意见却很少,决策者尚未就如何更新WTO法律的语言表述达成一致。政策制定者应首先确定各国如何、何时可以以保护国内安全或网络安全的名义利用例外限制跨境流动。
第四步:明确哪些行为属于应该被禁止的数据贸易扭曲行为
除了数据本地化和电子商务税收之外,暂未就哪些行为会扭曲数据跨境流动达成一致。例如,许多西方国家认为审查制度是一种贸易壁垒,印度政府在2017年关闭了54家互联网企业,人权组织将该举视为一种故意的审查形式,扭曲了数据的自由流动。
决策者想从数据规模经济中获益,就必须在定义和监管上找到共同点。如果肆意的审查不被规制,可能会降低互联网稳定性和阻碍科学进步,进而产生代价高昂的溢出效应。
第五步:描述各国是否应该反击扭曲跨境数据流动的国家行为
在补偿措施下,贸易协定允许签署国对其伙伴扭曲贸易的做法做出反击。协议应明确规定,反击必须是有限度且成比例的,并相应地确定法律标准。此外,协议应明确指出,采取关税和配额等保护主义战略,或使用恶意软件等战略,都是不适当的应对措施。数据保护主义将导致进一步的数据保护主义,并破坏互联网的效用。
6
总结
尽管在数据监管方面还未达成共识,但上述五个步骤可以帮助各国在未来的谈判中做好准备,并从数据中创造价值。但这些想法并不能解决所有问题,我们应该解决数据跨境流动的各方面问题以改善贸易僵局。如果公民能够从清晰、可互操作的规则中受益,并从数据中获得收益,各国决策者可能更愿意妥协。此外,这种方法可以帮助企业适应各国在数据使用中应对道德、虚假信息和其他监管问题方面的差异,还可以让发展中国家在数据流动讨论中发挥更大的影响力。
最后,这些想法可以帮助更多国家更好地整合数据驱动型企业与传统企业。通过合作和重新思考全球数据规则制定过程,我们将能够更好地实现个人数据自主权和控制权,推动公平的实现。
(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
中国个人信息保护立法的相关文章包括:
《网络数据安全管理条例(征求意见稿)》系列文章:
个性化广告系列文章包括:
业务场景中的数据跨境流动文章如下:
《数据安全法》的相关文章包括:
关于数据执法跨境调取的相关文章:
赴美上市的中国公司在网络、数据安全的文章如下:
关于健康医疗数据方面的文章有:
关于人工智能安全和监管,本公号发布过以下文章:
数字贸易协定系列文章:
关于中美与国家安全相关的审查机制,本公号发布过以下文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
数据的安全、个人信息保护、不正当竞争等方面的重大案例: