【数据法学】茶洪旺 付伟 郑婷婷:数据跨境流动政策的国际比较与反思
The following article is from 电子政务杂志 Author 茶洪旺,付伟,等
B D A I L C
欢 迎 关 注
数据跨境流动政策是数据治理国际化中的重要议题,事关国家数据安全和数字产业经济发展。美国、欧盟和其他国家(地区)根据自身安全和经济发展诉求,从政策理念、实施机制和监管强度等方面出发,分别构建了不同的数据跨境流动政策。通过对国际上主要的数据跨境流动政策的对比分析和反思,认为我国应加强数据分级分类管理,确保国家数据安全,加强政策研究,参与国际规则制定,重视安全评估,加强监管执法力度,同时需要降低数据本地化存储要求,促进数据产业发展。
paul de longpre
数据跨境流动政策的国际比较与反思
文 / 北京邮电大学经济管理学院教授、博导 茶洪旺
北京邮电大学经济管理学院博士研究生 付伟
北京邮电大学经济管理学院博士研究生 郑婷婷
一、引言
数据跨境流动是数字全球化和经济全球化“双轮”驱动下的产物,已成为全球经济一体化和驱动国际贸易发展的重要支撑。数据跨境流动提升数字贸易发展,数字贸易可通过提高生产率、降低贸易成本对经济产出做贡献。如果没有“数据保护主义”,数字贸易和跨境数据流量的增长速度预计要远远超过全球贸易总体发展速度。布鲁金斯学会的研究显示,在2009年到2018年的10年间,全球数据跨境流动使得全球GDP增长了10.1%,仅2014年数据跨境流动对全球GDP的贡献价值已超过2.8万亿美元,到2025年预计将达到11万亿美元[1]。
随着全球数字经济和贸易的迅猛发展,数据跨越国境的流动更加频繁,但有关数据跨境流动的研究工作滞后于实践发展的步伐。目前,国际上对数据跨境流动的概念界定尚未形成统一认识。综合国际组织和专家学者的看法,对数据跨境流动概念的界定主要可以分为两类,即:经济合作与发展组织(OECD)、联合国跨国公司中心的观点认为,数据跨境流动是指机器可读的数据跨越国界的传输、处理与存储[2];欧盟的观点认为,数据不跨越国界,但可以被其他国家的主体访问,也属于数据跨境流动的范畴。国内有学者认为,数据跨境流动是指机器可读的数据通过互联网和信息系统跨越国家边境的运动,包含数据权属、隐私保护、法律适用与管辖、乃至国际贸易规则等主要内容,是一个非常值得关注、相当复杂、具有强烈的信息时代特征的数字世界治理问题[3]。从现有的研究文献来看,国内外的研究主要集中在数据跨境流动的政策规制与实践,形成了可供参考的案例。
数据跨境流动政策是指国家或地区对数据跨境流动采取的一系列主张及应对措施的集合[4]。对数据跨境流动政策的讨论最早始于个人数据保护法律领域。早在1980年OECD颁发的《关于保护隐私和个人数据跨境流动指南》中,就解决个人数据跨境流动问题提出了“国内适用的基本原则”及“国际间适用的基本原则”等。从各国政策的总体效应来看,政策对象仍然以个人数据为主。如今,数据作为基础性战略资源,数据跨境流动为促进全球经济发展带来了新的机遇与挑战,因此,世界各国纷纷在数据跨境流动政策方面做出了积极探索,旨在促进本国数字经济的快速发展来提升国家数字经济竞争力[5]。但由于每个国家处于不同的发展阶段,具有不同的国情和诉求,其数据跨境流动政策的制定往往也存在差异。
二、国际数据跨境流动政策的现状分析
数据跨境流动政策与世界各国和地区的经济、技术、立法等因素息息相关,目前已初步形成了各具特色且符合本国或地区利益的政策体系,主要有美国推崇的全球数据自由流动政策主张,欧盟主导的“外严内松”数据跨境流动政策,其他部分国家主张的数据本地化或限制性数据跨境流动政策。
(一)美国推崇的全球数据自由流动政策
众所周知,贸易战略在美国战略中居于非常重要的地位,其推崇的数据自由跨境流动主张与其贸易战略是一致的。自1997年起,美国就开始针对数据跨境流动问题制定政策,主要是强调平衡个人隐私和信息自由流动带来的利益,促进全球信息基础设施繁荣。美国的商业机构和组织,如美国金融服务论坛、美国商会等,在多个场合通过会议、报告、建议等多种形式指出,数据跨境流动已经成为数字经济与贸易的重要支柱,对数据跨境流动进行限制或构建高水平的隐私保护体系会显著提高企业的经营成本[6]。基于此,美国一方面呼吁放宽数据跨境流动的限制,开展双多边的对话及区域性论坛,宣传数据自由跨境流动为其贸易伙伴带来的好处;另一方面,通过双边和多边机制达成数据流动的制度安排,例如美国和欧盟先后达成了数据安全港协议、数据隐私盾协议等,为美欧之间数据的自由流动奠定了制度基础[7]。美国通过推进《APEC跨境隐私规则体系》[8],倡导满足一定隐私保护的区域内数据跨境自由流动,通过将数据跨境流动纳入北美领袖峰会议题,与加拿大、墨西哥联合发布信息自由流动声明,推动北美区域内数据跨境自由流动[9]。
美国的数据跨境流动政策理念服从其全球贸易战略,核心是维护美国在全球贸易体系中的主导地位。因此,美国并没有出台有关数据跨境流动的统一规则,主要根据其贸易体系和规则的需要进行人员、机构和政策的安排,其组织机构(参见图1)大多数集中在贸易领域,主要包括美国商务部、美国联邦贸易委员会、美国贸易代表办公室及美国司法部等。其中,商务部负责“安全港”协议、数据隐私盾协议等重要协议的实施;联邦贸易委员会主要参与贸易领域相关的隐私和数据保护法案的实施;贸易代表办公室重点关注电子商务和跨境贸易中的跨境数据流动问题,核心任务是推动全球数据自由流动;司法部主要职责是保障法律法规的施行,对美国公司持有的跨境数据行使司法管辖权。另外,美国的一些独立机构和委员会也承担了相应的监管职能[2]。
图1 美国跨境数据流动管理机构及其职能
值得注意的是,虽然美国支持数据跨境自由流动,又没有专门出台一部针对数据跨境流动的数据保护法,但这并不意味着美国对所有数据的流动都没有限制。美国除依据《出口管理条例》(EAR)对部分技术数据和关键领域的数据提出限制出口要求外,还对医疗健康、信用、教育、儿童、金融等特定领域的数据跨境流动有非常严格的要求,如医疗数据方面的美国健康保险携带和责任法案(HIPAA),金融服务数据方面的“格雷姆-里奇-比利雷法案”(GLBA)等。
(二)欧盟主导的“外严内松”数据跨境流动政策
与美国支持数据自由流动以服务其全球贸易战略有所不同,欧盟从个人隐私和权益保护的角度提出了更多的数据跨境流动限制要求。欧盟为建立区域内的数字单一市场,对内采取支持区域内成员国之间数据自由流动,即“内松”政策,但数据流出欧盟则需要获得充分性保护,即“外严”的数据跨境流动政策,而且较多地考虑到保护个人权利下的数据流动问题[10]。欧盟对其居民相关数据流出境外提出了严格要求,早在1995年就出台了《关于个人数据处理保护与自由流动指令(95/46/EC)》(On the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data),后于2016年通过了《一般数据保护条例》(General Data Protection Regulation, GDPR),都要求欧盟公民的个人数据流出欧盟境外必须获得“充分性”保护,企业向非欧盟国家转移欧盟公民的个人数据将受到特别的限制。此外,欧盟基于“外严内松”数据跨境流动政策,制定并实施了统一的数据保护法,并根据该法规组建了三个层级的垂直管理监管机构(参见图2)。
图2欧盟跨境数据流动管理机构及其职能
此外,为了进一步实现成员国之间数据自由流动以达到“内松”的目的,2018年4月欧委会发布《欧洲企业间数据共享研究报告》,为加深对企业间数据共享提供支撑,促进欧洲数字经济的发展;同年10月,欧盟通过《非个人数据在欧盟境内自由流动框架条例》,以促进欧盟内部非个人数据在欧盟境内自由流动。
(三)数据本地化或限制性数据跨境流动政策
除美欧提出的比较鲜明和系统化的数据跨境流动政策主张外,其他众多国家和地区主要从维护国家数据安全的角度出发,制定相关的数据跨境流动政策和措施。印度、巴西、越南和俄罗斯等发展中国家,从维护网络和数据安全的角度出发制定跨境数据流动政策,都要求一定程度的数据本地化存储或限制数据跨境流动的诉求,以澳大利亚为代表的部分发达国家,也提出了不同程度的数据本地化要求。总体来看,各国主要的数据本地化要求包括在本地建设数据中心,实现本地化处理和存储数据,最低要求在境内实现特定数据的容灾备份等。比如越南在2013年颁布法规,要求谷歌、脸书等所有互联网服务提供者在越南境内至少建设一个数据中心;巴西2013年也开始制定相关政策,要求互联网公司在境内建立数据中心,并于2018年出台了《通用数据保护法》,对数据跨境流动提出了新要求;其他部分国家对数据跨境流动实行本地化存储的具体做法见表1。限制数据跨境流动的措施可能对全球服务贸易,特别是数字贸易带来负面影响,会对外资投资本国的数字经济领域产生负面影响,但也可能为国家网络和信息安全提供一些保障。
表1 部分国家提出数据本地化存储所采取的措施
三、数据跨境流动政策的国际比较
尽管数据全球化发展非常迅猛,但由于数字经济发展水平、原有的法律法规体系建设以及现有的产业发展诉求等存在明显差异,世界各国在数据跨境流动政策方面的差异性也十分明显,主要表现在政策理念、实施机制、监管强度等几个方面的不同。
(一)政策理念不同
由于各国的信息技术水平和数据产业发展阶段存在较大的差异,各国数据跨境流动政策理念和政策制定的出发点存在较大的差异。总体来看,信息技术强国(主要是指美国)在制定数据跨境流动政策时,主要以支持信息技术跨国企业和促进数字贸易发展为出发点,数据跨境自由流动可以降低数字贸易壁垒,创造巨大的发展空间,数据跨境流动政策以支持数据自由流动为主,并在全球的双边和多变的贸易谈判中主动要求增加以数据自由流动为核心诉求的电子商务章节[11]。
欧盟、日本等发达国家和地区有重视个人数据保护的传统,既希望参与到全球数字经济发展的浪潮中,又不希望自身优质的数字市场被美国,甚至是中国互联网企业占据,因此在制定有关数据跨境流动政策时,往往会选取较高的数据保护标准,阻止数据流出本国和本地区,任何与之进行数据合法传输的国家都需要经过大量的谈判,并满足其数据保护的要求。
发展中国家在双边和多变贸易谈判中普遍处于弱势地位,信息技术和数据资源开发能力有限,数字贸易需求不高,数据跨境流动更多地意味着风险,因此不约而同地选择了限制数据自由流动的政策。
中国是一个比较特殊的市场,既拥有完整的信息产业链,但信息技术基础能力又落后于美国和欧盟;既拥有全球最丰富的数据资源和应用场景,同时众多中国企业又有全球化发展的强烈需求。数据跨境流动对中国而言机遇和挑战共存。中国的数据跨境流动政策需要有效平衡发展和安全的关系,政策理念既不同于美国,也不同于欧盟,更不能选择单纯的限制数据跨境流动的政策措施。
(二)实施机制不同
美国推崇的全球数据自由流动政策主要表现为,对内不进行单独的数据保护立法,分领域立法中除非有隐私保护需求,否则不对数据跨境流动做明确要求,对外主张在国际上推行宽松的数据跨境流动政策,主要是通过双边和多边谈判来实现。目前,美国已经和欧盟、北美(加拿大、墨西哥)等形成了数据跨境流动的协议。
欧盟的“外严内松”数据跨境流动政策核心是构建以个人数据权利为中心的法律体系,认定欧盟数据控制者实施个人数据跨境流动活动时的三种合法形式:一是向获得数据保护“充分性认定”的地区传输数据,二是获得用户同意或者根据执行活动需要的例外场景下传输数据,三是采取充分保障措施的数据传输。只有满足上述三种方式时才可以实现数据跨境流动和传输。
总体来看,通过“充分性认定”的国家和地区非常少,充分保障措施是主要的数据传输形式。其他国家提出的数据本地化或限制数据流动的政策,主要是要求涉及个人数据存储和处理的必须在境内进行,但实际数据的监控和管理比较复杂,政策落实比较困难。
(三)监管强度不同
美国一直引领着全球信息技术和产业发展,其国家数据安全方面的挑战相对较小,因而其对数据跨境流动的监管主要是以事后监管为主,且根据不同的个案进行规制,最大程度地避免了对数据跨境流动和数字贸易的干预。
欧盟最早在1995年的指令中即对数据跨境进行了规制,但是随着企业国际化的不断增强,几乎所有的欧盟企业都涉及到向欧盟境外传输数据,产业现状与监管制度之间存在不适应,欧盟在进行新一轮个人数据保护立法改革时,对其原有制度存在的问题进行了全面梳理和评估。2016年,欧盟出台《一般数据保护条例》(GDPR)对跨境数据流动政策进行了大幅优化改革,主要包括禁止欧盟各成员国以许可方式管理数据跨境流动,增加充分性认定的对象类型,扩展“标准合同条款”,发挥行业协会等第三方监督与市场自律作用,从而着力提升了政策的灵活度。实际上,自2018年5月实施以来,受各成员国执法力量的限制,GDPR暂无标志性执法案例产生,GDPR监管效力受到了一些质疑,具体效果有待观察。其他国家制定的数据保护法规,也鲜有执行案例,也凸显出数据跨境流动的隐蔽性,监管执法存在较大的难度。
四、数据跨境流动政策反思及对中国的启示
目前,我国数据跨境流动政策处在起步探索阶段,理性反思美国、欧盟和众多发展中国家(地区)数据跨境政策在制定和执行过程中的成功经验和存在问题,对中国构建符合自身发展需求的数据跨境流动政策具有重要参考意义。
(一)建立分级分类管理体系,确保国家数据安全
目前,全球范围内尚无数据流动安全管理的总体制度。一般数据跨境管理思路是对不同类型的数据采取分级分类管理,确保数据跨境管理符合国家利益[12]。
一是禁止重要数据跨境流动。俄罗斯、澳大利亚、韩国等都有类似的要求。其中俄罗斯要求本国公民个人数据必须在境内存储;澳大利亚要求安全等级较高的政府数据必须存储在境内的高安全等级私有云中;韩国要求信息通信服务提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要数据通过网络流向境外。
二是个人非敏感数据、政府和公共部门的一般数据、行业非限制性技术数据等有条件地跨境流动。这部分数据需要经过严格评估,并取得相应的许可后才可以出境。例如,澳大利亚将政府数据进行分级管理,对非保密数据也需要经过安全风险评估后才能实施外包。
三是允许非敏感商业数据和经过评估的个人数据自由流入满足一定安全认证要求的国家和地区。目前,国际上已经有多种成熟的数据隐私保护认证体系,可根据需要选择适合本国的数据安全与隐私保护认证框架,促进数据自由流动。
(二)加强政策研究和储备,积极参与国际规则的制定
数据跨境流动的相关政策涉及众多领域和学科,关系到个人隐私、产业发展和国家安全等方方面面。
美国、欧盟等发达国家已经在此领域进行了长达几十年的研究,并形成了非常好的数据跨境流动管理机制。我国当前的数据跨境流动政策研究尚处于起步阶段,还需要加强政策研究,积极应对未来可能面临的问题和挑战。同时,政策制定者应该明确地看到,国际上已经在开始推动数据跨境流动、数字经济与贸易等相关领域的国际标准和贸易准则,寄希望以此来规制跨越国界的数据获取、使用和所有权等重大问题。我国应该推动双边区域性跨境数据流动合作,与伙伴国共同构建符合双方和多方利益的跨境数据流动规则,最大限度降低规则差异给跨境数据流动管理带来的风险和成本。同时,应该加强与已经实施数据跨境流动政策国家的普遍联系,强化沟通与合作交流,破解不同国家之间数据跨境流动政策中的壁垒,为未来实现自由的数据跨境流动创造机会。
(三)重视安全评估,加强监管执法的力度
数据分级分类要求建立完善的数据安全评估体系、数据传输安全评估机制和数据安全协议等配套措施。构建数据跨境流动的监测机制。对各类数据的跨境流动进行必要的风险评估,建立重要信息系统和关键数据目录,建设数据跨境流动监控和预警平台,保障重要信息系统和设施的数据安全。加大执法力度,有效打击地下数据交易活动和非法的数据跨境流动,对侵犯个人隐私、窃取商业数据、威胁国家网络和信息安全的行为予以严厉制裁。
欧盟新出台的《一般数据保护条例》亮点之一就是加强执法力度,可对违反欧盟数据保护规则的企业处以最高2000万欧元或全球年营业额的4%的罚款。此项规定使得数据保护成为公司董事会关注的重要议题。如有必要,可考虑要求收集和使用特定领域数据的外资企业必须采取本地化存储或者在我国境内有实体存在,以便行使司法管辖权。
(四)降低数据本地化存储要求,促进数据产业的发展
数据主权与数据跨境流动是信息化时代的重大现实命题。中国是全球数字经济领域具有重要影响力的大国,必然谋求全球化发展,过分主张数据主权和限制数据跨境流动可能会引起更多的国家和地区效仿和跟随,不利于“一带一路”建设,也不利于中国企业走出去,归根结底不符合国家利益。
数据具有可交换性,是一类特殊的资源,与传统的领土、领空、领海,以及网络空间都有明显的差异。数据主权概念的提出会加剧国家间的博弈,进而会产生限制数据跨境流动的诉求[13]。然而,从已有的案例来看,主张通过数据主权概念来维护国家数据安全和相关权益的往往难以实现。“棱镜门”事件就是一个非常明显的案例,通过对网络主权的侵犯,获取他国境内的数据[14]。中国应该摒弃零和博弈和对抗思维,在保障国家数据安全的前提下,降低数据本地化存储要求,默认支持数据跨境流动,促进数据产业和数字贸易发展。具体的实施步骤可以优先从影响力较大的区域开始,提出区域范围内数据自由流动的主张,并逐步扩大。实践证明,过度数据本地化挑战贸易自由化,将会阻碍创新、限制投资,进而造成巨额经济损失。试想在一个信息技术落后的国家,数据本地化也不能有效保护隐私。
从全球范围看,随着国家间的数据流动日趋活跃,跨境数据流动的国际规则有望更加丰富和完善。我国需要积极借鉴美国、欧盟等国家和地区的经验,基于跨境数据流动规律,把握全球产业竞争和政策演进的趋势,加快构建符合我国利益的跨境数据流动政策机制,大力开展国际合作,积极参与国际规则制定。
向上滑动阅览
[1] Meltzer J P. Digital Australia: an economic and trade agenda[R]. Global Economy & Development at Brookings, 2018: 5.
[2]付伟,于长钺. 美欧跨境数据流动管理机制研究及我国的对策建议[J]. 中国信息化, 2017(06): 55-59.
[3]周宏仁. 信息化论[M]. 北京:人民出版社,2008:591-593.
[4]王融. 数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J]. 信息安全与通信保密,2018(03): 41-53.
[5]惠志斌,张衡. 面向数据经济的跨境数据流动管理研究[J]. 社会科学,2016(08):13-22.
[6]Schlosser A. Business without borders: how cross-border data flows boost global prosperity[R]. U. S. Chamber of Commerce, 2014: 1-3.
[7]Meltzer J P. The Internet, cross-border data flows and international trade[R]. Brookings Institution, 2013: 19-20.
[8]Asia-Pacific Economic Cooperation. APEC privacy framework[EB/OL]. [2018-09-17]. http://www.apec.org/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECSG/05_ecsg_privacyframewk.ashx.
[9]Report of the Trilateral Committee on Transborder Data Flows[C]. Trilateral Committee on Transborder Data Flows, 2010.
[10]European Commission. Reform of EU data protection rules[EB/OL]. [2018-09-17]. http://ec.europa.eu/justice/data-protection/reform/index_en.htm.
[11]Data protection regulations and international data flows: Implications for trade and development[C]. United Nations Conference on Trade and Development, 2016:103-106.
[12]王玥,王飒飒. 对我国数据跨境流动规制的一点思考[J]. 中国信息安全,2016(03): 79-80.
[13]沈逸. 网络时代的数据主权与国家安全:理解大数据背景下的全球网络空间安全新态势[J]. 中国信息安全,2015(05):59-61.
[14]付伟,于长钺. 数据权属国内外研究述评与发展动态分析[J]. 现代情报,2017(07): 161-167.
感谢作者授权
本文仅作学习交流之用
Kitipong Ti
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”