大国数据跨境规则博弈,谁能抢占“数据经济制高地”?
作者:张芷馨
编辑:叁夭夭
跨境数据流动已成为新型全球化的重要内容。
《博鳌亚洲论坛创新报告2021》指出,全球主要经济体均谋求在数字经济时代建立新的竞争优势,国际上的主要国家都推出了各自的数字经济发展战略,科技产业和未来产业成为布局重点。显然,数据话语权正成为国际竞争的新阵地。而“数据之争”的第一城便是跨境数据流动。
2022年7月5日,英国政府宣布已与韩国达成数据充分性协议,允许两国企业在更小限制和无标准合同保障的情况下共享数据,数据源包括 GPS、智能设备、网上银行、研究、互联网服务等。该协议标志着英国脱欧后首次独立与“优先国家”签订数据充分性协议。英国在脱欧后,一直在致力于推动构建独立的数据保护制度。2021年8月,英国宣布将韩国、美国、澳大利亚、新加坡、迪拜国际金融中心和哥伦比亚列为“数据充分性”优先合作伙伴。英国政府在公告中表示,协议将释放英国和韩国之间的数字贸易,价值超 13 亿英镑(约 104.52 亿元人民币)。
“充分性认定制度”下的数据规则博弈
英国与韩国达成“数据充分性协议”,那么什么是充分性认定制度?
欧盟在1995年推出的欧盟个人资料《数据保护指令》(Data Protection Directive)中第二十五条首次提出了“充分性保护原则”的概念,根据第二十五条的规定,只有当第三国对于个人数据的保护水平达到欧盟的要求,欧盟成员国的个人数据才能进行数据的跨境流动。关于充分保护水平的认定,《指令》中只是说明了应当考虑的相关因素,并没有提出统一的标准和方法,即使是在指引文件中也只是提出了有限目的原则、数据质量和比例原则等,《指令》的规定比较模糊,其操作性并不强,并没有相关的判断标准去判断第三国法治程度的高低以及是否符合欧盟的要求。
于2018年5月生效的欧盟的《一般数据保护条例》(GDPR)在继承《指令》规定的充分性保护原则的基础上,明确了“充分性”的认定标准和实施条件。根据GDPR第45条第一款,欧盟外部的国家是否具有同等数据保护水平由欧盟委员会来认定。在第45条二款中,对“充分性”的认定标准进行了专门规定,比较清晰的列举了3类审查标准,它们分别是
(1)法治程度高低、是否尊重人权和基本自由、相关立法和立法实施情况;
(2)拥有有效的专业规制机构;
(3)加入有关个人数据保护的国际条约或多边协定,承担着国际法上的义务。
充分性认定其实就是所谓的“白名单”,它是GDPR核心的数据跨境流动机制,只有数据接收方所在国具有与欧盟实质等同的个人数据保护水平,数据方可向其进行跨境传输,目前,新西兰、阿根廷、日本、以色列、乌拉圭等12个国家已通过欧盟的“充分性认定”。而这项充分性认定制度背后,实则反映了以美欧为代表的两大数字规则体系的博弈。
国务院发展研究中心创新发展研究部第三研究室副主任、研究员熊鸿儒表示:数据跨境流动关乎国家利益、产业利益、风险控制三者之间的动态平衡——这既需要尊重各国数据主权,也需要建立彼此认同的共同规则。这套规则体系涉及许多复杂且有争议的议题,包括数据主权、隐私与安全、法律适用及管辖权、竞争政策等。
可以看出的是,在数据规则体系的制定上,欧盟与美国的立场都是基于从有利于自身发展而出发的。欧盟高度注重隐私保护,设立高标准的通用数据保护条例GDPR,仅允许个人数据流入到与其隐私保护水平相当的国家或地区,是因为其产业竞争力不足,需要采取“防守反击”模式,筑起“制度高墙”以谋求引领国际规则。而美国以APEC隐私框架为基础构建的跨境隐私规则体系(Cross Border Privacy Rules,简称CBPRs)[1]是其近年来一直在众多国际场合推行的数据跨境规则,很大程度上缘于该体系充分体现了美国的政治和经济利益考量。其实质是通过构建较低水平保护的个人数据跨境流动秩序,确保参与的国家不会以“自身国内提供了高水平保护”为由限制跨境数据流动,由此实现数据向美国或美国企业的汇聚,这种“战略进攻型”的模式,意在加紧构筑所谓的美国“数据同盟体系”,凭借自身强大的数字经济实力,借助区域贸易协定推广和开辟新的双边或多边规则,谋求“美国优先”。
两种立场的冲突,也体现在2020年7月,欧盟最高法院(CJEU)裁定欧美之间的数据跨境共享协议《欧美数据隐私护盾》(Privacy Shield)失效,主要理由与国家安全利益相关,因为欧洲法院认为在该协议下,美国情报机构仍有可能获取用户信息,欧盟公民的个人数据难以得到同等程度的保护。
数据保护严趋势下,
英国为何逆流而“松”?
欧盟的GDPR无疑掀起了数据保护“高标准、严规制”的浪潮,由于所有与欧盟有数据往来的企业均需遵守GDPR,因此欧盟的数据监管在全球有着举足轻重的影响力。
但却似乎叫好不叫座,其中公然不“买单”的便是英国。
GDPR开始施行时,英国虽已公投决定脱欧,但暂时仍是欧盟成员国,因此GDPR在英国也自动具有效力。英国议会还通过了《2018年数据保护法案》,相当于把GDPR写入了英国法律,在英国正式脱欧后也会继续施行,但这同时意味着英国政府在脱欧后对数据监管规定也有完全的修改权。
2021年8月26日,英国政府宣布了一份数据政策改革计划,将放松数据监管,并与欧洲以外的国家寻求数据方面的合作。本轮数据改革旨在通过放松数据保护规定来促进贸易、创新和经济增长。英国政府还将与美国、澳大利亚、韩国等10个国家展开谈判,争取达成数据流动协议。
随着数据权利意识在世界范围内的高涨,当前世界的主流趋势是注重数据保护、限制巨头扩张,很多国家对数据保护的规定愈发严格。然而,英国政府却着意实施简化和放松数据保护的相关改革,其动因除了寻求建立脱欧后数据治理政策和规则框架独立性、根据国家利益适度平衡严管数据安全和实现创新与经济增长两者关系之外,也反映了英国对欧盟《通用数据保护条例》(GDPR)监管与执法效果的反思。
可以说,欧盟GDPR是严格且繁冗的,与美国将数据跨境政策与贸易政策深度捆绑不同,欧盟更重视从个人权利保护的视角考虑数据跨境流动,如GDPR大幅扩展了管辖范围,从过去的“属地”向“属人”转变。这种“长臂管辖”不仅加剧欧盟辖区外企业的合规成本,更凸显出欧盟试图主导个人数据保护国际标准的战略意图。GDPR规定除极少数例外,欧盟境内的个人信息只允许流入欧盟认可的能够提供“充分保护”或“适当保障措施”的国家或地区。这种“高标准”的数据跨境要求,其相应代价是需要付出较高的时间和智力成本。英国数字化、文化、媒体和体育部(DCMS)发布的新闻稿称,此前由于数据流动的壁垒,英国每年会损失110亿英镑的贸易机会。英国数字、文化、媒体和体育部(DCMS)部长奥利弗·道登(Oliver Dowden)也表示:数据改革是英国的“脱欧红利”,改革后英国的数据法规将“基于常识,而非一味地打勾”。
2022年5月,英国查尔斯王子代表伊丽莎白女王发表“女王议会演讲”,女王演讲的新闻简报提供了数据保护改革背后的目的和目标的关键信息,即建立“一套促进经济增长的法律制度(a pro-growth legal regime)”,能够“提高英国企业竞争力和效率”(increase the competitiveness and effectiveness),“以结果为导向(outcome-focused approach)而不是打勾就算(tick box)的制度”。主导这次数据改革的奥利弗·道登(Oliver Dowden)说:“既然我们已经离开了欧盟,我们就获得了自由,去创立一套大胆的、新的数据治理制度,这个制度必须释放数据的力量,为英国公民和企业带来价值,同时保持高标准的数据保护。”
此次英韩的数据充分性“亲密合作”,便是英国数据改革下的坚定信号。
如何扩大我国数据规则“朋友圈”?
主要大国在数据跨境流动规则上的博弈显著加剧,这也意味着如何尽快提出“中国方案”,依靠内外联动扩大我国数字规则“朋友圈”成为当务之急。
熊鸿儒表示:伴随我国逐步成为全球数据中心,开放的经济体系决定了数据跨境流动的普遍性,也带来更大的风险与挑战。目前来看,我国现行跨境数据流动管理体系总体上以国家安全和执法便利需要为主,对促进数字企业全球化发展、扩大数字服务贸易等考虑不足。以我国签署的贸易协定中为例,仅RCEP涉及“电子方式跨境传输信息”规定,且只是原则上承诺,不能诉诸争端解决机制。同时,由于美欧主要国家对数据的长臂管辖权范围不断扩大,我国受制于现行数据本地化政策,导致通过协议打通与美欧的数据传输通道存在较大障碍,还面临被“规则排除”的不利局面,近年来,部分企业基于商业目的的数据跨境流动就引起了西方国家安全的担忧或指责。
但好在这一局面正在加速改善。
就在前段时间,2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自9月1日起正式施行。此办法标志着我国的数据出境管理制度又向着全面落地实施迈出了坚实的一步,企业有了实际操作指引。一位数据领域资深律师对此表示:对数据处理者而言,需要把握好接下来的2个月时间和6个月的整改窗口期,做好数据出境合规工作准备。首先需要准确理解数据出境、重要数据等关键概念,特别是要持续关注涉及本行业、本领域的重要数据目录制定工作进展。其次,对企业内部涉及数据出境的业务、场景做到心中有数,“摸清家底儿”始终是数据安全的基础性工作。再次,尽快建立内部数据出境风险自评估制度,明确责任部门和参与部门、启动和实施流程、监督问责机制等。
熊鸿儒认为,提出数据跨境流动的“中国方案”主要落于这几点:
第一、尽快提出我国促进全球数据跨境安全自由流动的明确主张和“一揽子”解决方案。以《全球数据安全倡议》为基础,围绕数据本地化、隐私安全、跨境执法协调等关键事项提出“中国版”解决方案,原则上可采取“准许流动为主+本地化为辅+安全评估例外”模式,尤其对与贸易有关的数据流动,放宽(设施)本地化要求。
第二、确保我国个人信息保护、数据安全等国内立法与对外高水平谈判需要相衔接,避免出现“两张皮”。加快完善数据分级分类管理机制,进一步细化适用安全评估机制的关键基础设施及重要数据类型,扩大适用自评估或备案方式管理的非敏感数据范围,完善科研数据、过境数据等特殊管理政策。
第三、与重要贸易伙伴签订互信互认的双多边协议作为突破口,为我国跨境数据流动规则主张“增容扩圈”,首先,选取与我国贸易投资往来密切、发展潜力大、政治互信较好的国家或地区打开局面。
第四、鼓励在部分自贸港和自贸区“先行先试”,支持数据安全有序流动的区域改革试验走深、走实。支持在海南、上海、北京、浙江、深圳等国内条件较好地区深入推进数据跨境传输安全管理试点,在“压力测试”中完善规则。
参考资料
[1] CBPRs于2011年由美国主导在APEC论坛内设立,旨在促进加入国之间个人信息的无障碍跨境流动,同时确保其安全性和隐秘性。APEC成员均可申请加入。其运行规则是批准加入的成员国政府指定一个或多个法人担任“问责代理机构”,经CBPRs认可的问责机构通过认证成员国内其他企业或组织使这些“认证企业”最终成为CBPRs的真正参与者。认证企业之间个人信息的跨境传输应不受阻碍,即认证企业无需额外证明跨境信息传输符合他国/地区的个人信息保护法,且后者也不得以保护个人信息为由,阻碍信息的跨境流动。
《突出重围:数据跨境流动规则的“中国方案”》人民论坛网,作者熊鸿儒
《欧盟《一般数据保护条例》中“充分性”认定的新发展》
《英国政府数据治理的政策与治理结构》
《英国:数据也要脱欧,摆脱GDPR的严格和繁冗》公众号:Internet Law Review
《英国脱欧后首次与其他国家签订数据跨境充分性协议》公众号:个人信息与数据保护实务评论
《保护隐私数据成全球趋势,英国政府为何“逆流”放松监管?》界面新闻
《陈湉:数据出境安全评估,尘埃终落定》
END
● 往期推荐
欢迎投稿
hehaohua3h@163.com
好书推荐
⚪ 文章所载观点仅代表作者本人 ⚪
⚪ 且不构成投资建议 ⚪
⚪ 敬请注意投资风险 ⚪