跨境数据观察 | 数据跨境流动的制度原理与规则设计的深圳思考 【走出去智库】
由走出去智库(CGGT)提供学术资源支持的《深圳法治评论》2021年第三期已经付印,本期主题聚焦法治助推粤港澳大湾区建设。
推进粤港澳大湾区建设,是以习近平同志为核心的党中央作出的重大决策和国家战略。习近平总书记在深圳经济特区建立 40 周年庆祝大会上强调,把粤港澳大湾区建设成为扎实推进高质量发展的示范,打造国际一流湾区和世界级城市群。
《深圳法治评论》由中共深圳市委全面依法治市委员会办公室、深圳市司法局主办,定位于高端领导决策读物,聚焦深圳法治建设,刊发高水平、可实操的应用性政策研究,辅助市领导及本市党政机关领导干部法治建设方面决策,为支持深圳建设中国特色社会主义法治先行示范城市建言献策。
自2020年创刊起,走出去智库(CGGT)即为该高端决策读物提供学术资源支持。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可的文章《数据跨境流动的制度原理与规则设计的深圳思考》刊登在《深圳法治评论》2021年第三期合规栏目,今天走出去智库(CGGT)刊发该文,供关注跨境数据管理的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、将数据视为类似于土地的资产并严格管控的做法,悖离了数据作为“流动性财产”的性质。
2、数据主权并非全新事物,它不过是传统“信息主权”在数字时代的变形而已。数据所承载的信息内容关涉不同文化、特性、价值观和意识形态,其深层次冲突难以轻易弥合。
3、深圳可以初步尝试组织白名单制度,对于各方彼此认可的企业、组织内部或之间的数据跨境流动,除涉及“禁止流动类”数据外,其他均可自由流动。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/许可
对外经济贸易大学数字经济与法律创新研究中心执行主任
这是一个数据全球化的时代。从个人隐私到数据利用,从国际贸易到国家监控,从数字经济到网络主权,在瞬息万变的全球网络治理中,还没有哪类议题能像数据跨境流动一样,激发出如此之多的价值分歧和制度冲突。滴滴公司美国上市后遭遇监管风暴,恰恰凸显了数据跨境流动的经济逻辑与政治逻辑、中国主权与美国主权之间的冲突。如欲理解其中的症结所在,还需要追根溯源,回归到数据跨境流动的基本原理之中。
数据跨境流动的第一原理:自由流动
无边界的网络空间
现 代 意 义 的 数 据 深 深 嵌 入 在“ 无 边 界 ”(borderless)的网络空间的架构之中。在这一空间中,划分区域的标准是 IP 地址和与之对应的域名,而非国家或地区之间的地域疆界,只要法律允许,用户就可以在全球各地登录任何国家的网站,进入全球性的信息交流和社会互动平台。不仅如此,随着云存储、云计算、物联网等信息技术的迭代,进一步加剧了网络空间“无边界性”。
流动性的数据资产
首先,数据并不稀缺,数据无处不在且源源不绝。其次,数据是“非竞争的”(non-rival)。“多重归属”的网络经济特性,将数据分散到各个网络平台上,以至于没有企业可以独占所有数据。再次,数据是高度差异化的。不同的消费者在网络购物、在线约会、社交网络、在线旅游等场景下,往往导向更精确、更符合其需求的网络服务提供者。最后,数据价值并不永久。数据是典型的时效品,老数据不如新数据值钱,而且随着时间推移,前者越来越没有价值。大数据与其说是“大”的数据,毋宁说是实时在线的“活”的数据。
将数据视为类似于土地的资产并严格管控的做法,悖离了数据作为“流动性财产”的性质。正如对大数据的界定所表明的,只有在人、物、组织之间高速流动的数据,才能由“数据”升华为“数聚”, 进而进化为指导当下、预测未来、引领发展的“数据智能”。
从货物全球化到数据全球化
数据自由流动是经济全球化的不竭动力。数据跨境流动改变了传统贸易和传统制造业。跨境数据流动在 2005 年到 2015 年的十年间使全球国内生产总值增长了约 10%,2014 年达到 7.8万亿美元,数据流产生的附加值约为 2.8 万亿美元,已经超过货物贸易的贡献。
各国的数据管控无疑对经济全球化和数字经济造成了不利影响。国际治理创新中心(CIGI)和英国皇家国际事务研究所 2016 年的国别研究显示,数据管控提高了巴西、中国、欧盟、印度、印度尼西亚、俄罗斯、韩国和越南的数据流动成本,并降低数字经济生产力。欧洲国际政治经济研究中心(ECIPE)发布的一系列研究报告指出,数据跨境管控导致欧盟损失 0.48% 的 GDP,印度损失 0.25%、中国损失 0.55%。
数据跨境流动的第二原理:数据主权
数据主权的含义
要理解数据主权,必须从更广义的概念——网络主权开始。2015 年,中国国家主席习近平在第二届世界互联网大会的主旨演讲中,将“尊重网络主权”列为全球互联网治理体系四项原则的核心。2016 年公布的《网络安全法》,第一条便开宗明义地申明“维护网络空间主权”的立法主旨。
根据网络空间的技术特征,可进一步切分为:网络物理层主权、网络逻辑层主权和网络数据层主权。网络物理层主权,即国家对计算机、服务器、移动设备、路由器、光纤、交换机、移动设备的主权。网络逻辑层主权,即国家对计算机代码,特别是负责网络互联和传输的通信协议软件的主权。区别于物理层和逻辑层,数据层主权则是各国论战的主要舞台。事实上,数据主权并非全新事物,它不过是传统“信息主权”在数字时代的变形而已。数据所承载的信息内容关涉不同文化、特性、价值观和意识形态,其深层次冲突难以轻易弥合。除抽象价值之争,数据控制者、使用者、存储者在地理位置上的分离以及所引发的跨境流动、主体识别和权力行使是国家主权所面临的具体困难。
基于数据主权的数据跨境流动管控
纵观全球,数据主权的立足点包括个人权利、国家安全、公共秩序 / 公共安全和经济发展。
其一,个人权利。1980 年经合组织《关于保护隐私和个人数据跨境流动指南》就已规定,各成员国应取消限制个人数据流动的规定,但所转移的国家并无隐私权保护规定的不在此限。欧盟以《欧洲人权公约》为基础,逐渐将“个人数据受保护权”上升为基本人权,成为制约数据流动的核心理由。2013 年,亚太经济合作组织《跨境隐私规则体系》同样将“个人信息的隐私与安全建立有意义的保护”作为数据跨境流动的前提。
其二,国家安全。不论是《服务贸易总协议》和《技术性贸易壁垒协定》,还是《全面与进步跨太平洋伙伴关系协定》(CPTPP),均秉承“国家安全例外”原则,各国不得接受或要求他国提供违反其国家重要安全利益之信息。
其三,公共秩序 / 公共安全。《跨太平洋伙伴关系协定》(TPP)第 14 章第 11 条“以电子方式跨境传输信息”规定,各签署国应当允许个人数据的自由跨境流动,除非是出于“正当的公共政策目标”。欧盟《非个人数据在欧盟境内自由流动框架条例》亦确立了非个人数据在欧盟内部的自由流动原则,除非是出于“公共安全原因的限制或禁止”。
其四,经济发展。近年来,通过数据流动管控推动本国数字产业繁荣的“数据重商主义”开始出现。以印度为例,《保护隐私、赋能印度的自由公平数字经济》的官方报告明确指出,限制数据跨境流动有助于增加对数字基础设施的外国直接投资,利用数据中心本地市场的积极溢出效用,创造就业机会并且培养熟练的专业人员,进而建立印度的人工智能生态系统。
数据跨境流动的深圳设计
2021 年 9 月 1 日生效的《数据安全法》第11 条确立了“数据跨境安全、自由流动”原则,这既彰显出在逆全球化和民粹主义兴起的潮流下,我国坚持对外开放与国际合作的基本立场(“自由流动”),又彰显出对国家安全的高度关切(“数据安全”)。不过,作为顶层设计,《数据安全法》并未就“数据安全跨境流动”和“数据自由跨境流动”的平衡作出充分展开,其有赖于后续法律、法规的落实与细化。在 2020 年 7 月《深圳经济特区数据条例 ( 征求意见稿 )》中开创性提出了“建立数据跨境国际合作机制”,但遗憾的是,在最终稿中相关条款没有保留。鉴于《数据安全法》第6 条已赋予各地对本地区收集和产生的数据及数据安全的管理职权,作为经济特区和中国特色社会主义先行示范区,深圳在“用足用好经济特区立法权”的指引下,能够也应当在《数据安全法》的框架下创制数据跨境流动规则,发挥先试先行先探索的特区使命。在此,我们不妨借箸代筹,提出如下构想:
基于数据分类分级原则确立分层次跨境流动规则
《数据安全法》第 21 条规定:“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”在数据跨境流动层面上,应按照“风险进路”原则,将数据分类分级与数据跨境流动的自由度相匹配。具体而言,可依托《深圳经济特区数据条例》第 74 条“数据分级分类保护”制度,由市网信部门统筹协调相关主管部门和行业主管部门制定本部门、本行业的数据分级分类目录,将跨境流动的数据分为如下四类:自由流动类、有条件流动类、限制流动类和禁止流动类。
首先,自由流动类,即不涉及重要数据、核心数据、个人数据的数据可以自由流动,不需要设置行政管制措施。其次,有条件流动类,即个人数据的跨境流动应当遵循《个人信息保护法》的规定,符合第 38、39 条个人信息出境的若干条件;若出境数据达到一定规模(如 100 万人以上),还需要进行出境安全评估,但其评估是根据业务场景的定期评估,而非一事一议。再次,限制流动类,即关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据,以及其他主体在中国境内收集和产生的重要数据的出境,应当履行出境安全评估。对于因日常经营而进行的数据出境,该评估可以是定期评估;对于因特殊情形而进行的数据出境,该评估应一事一议。就重要数据的认定,深圳市有权在中央重要数据目录下,确定本地区的重要数据具体目录。最后,禁止流动类,即与国家安全、国民经济命脉、重要民生、重大公共利益直接相关的“核心数据”,禁止出境。
立足粤港澳建立数据跨境流动自由港
如今,数据跨境流动国际秩序的地域化日益突出,通过“朋友圈”以平衡数据跨境流动的安全与自由成为重要机制。深圳作为粤港澳大湾区的中心城市之一,可以积极与香港、澳门等地协调沟通,建立互认、互操作的跨境监管框架,推动创设各地数据安全监管机构认可的中立机构、行为指南和国际标准,建设数据跨境流动自由港。为此,深圳可以初步尝试组织白名单制度,对于各方彼此认可的企业、组织内部或之间的数据跨境流动,除涉及“禁止流动类”数据外,其他均可自由流动。此外,深圳还可以研究组建“深港澳数据安全流动委员会”,由深港澳各地区数据安全监管机构负责人和国家数据安全监管机构负责人或代表组成,负责制定《深港澳数据安全流动规则》及委员会议事规则,在保障数据安全、个人信息权益和隐私权、商业秘密,保守国家秘密的基础上,促进深港澳地区数据开发、数据技术发展和科技创新合作。
总之,深圳要成为竞争力、创新力、影响力卓著的全球标杆城市,应积极参与全球数据生产供应链,促进数据互联互通,增强彼此信任度与互操作性,从而为中国建立面向世界、面向未来的数字经济贸易规则与数据治理框架,发挥先行示范的重要价值。
企业合规观察 | 企业合规不起诉制度探析
企业合规观察 | 比亚迪基于绿色战略发展的知识产权合规管理实践
企业合规观察 | 曾辉:华侨城集团探索构建“四位一体”全面风险管理体系
法治政府示范|数字经济时代数据合规建设路径分析
法治政府观察 | 企业合规中律师的价值体现
法治政府示范 | 深圳打造企业合规示范区的法治化路径
企业合规观察 | 深圳企业合规管理体系建设对策研究
《深圳法治评论》是由中共深圳市委全面依法治市委员会办公室和深圳市司法局主办的法律类连续性出版物,定位于高端领导决策读物,聚焦深圳法治建设,刊发高水平、可实操的应用性政策研究,辅助市领导及本市党政机关领导干部法治建设方面决策,畅通法治城市示范建设意见交流,宣传深圳法治城市示范建设活动。
合作、业务咨询:
servicecenter@cggthinktank.com
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com
版权声明:走出去智库(CGGT)欢迎转载,请注明来源:走出去智库(CGGT)。如不署名来源,CGGT将追究其相关法律责任。