美欧数据安全政策及对我国的启示
2015-11-02惠志斌
惠志斌
大数据既可以被用来造福社会,也可以被用来制造社会危害。大数据时代,数据安全的脆弱性凸显,传统的政策框架已无法有效应对新时期的挑战。近些年来,美欧积极应对大数据安全问题,推出诸多具有大数据时代特点的政策举措,走在了世界各国的前列,对中国的数据安全政策演进也极具启示意义。
从1980年美国未来学家A.托夫勒在《第三次浪潮》一书中提出具有“第三次浪潮的华彩乐章”之誉的“大数据”概念,到英国人V.迈尔-舍恩伯格和K.库克耶在《大数据时代》一书中喊出“数据化:一切皆可量化”,大数据技术日益成熟化和普及化,以“数据”为引领的智慧经济和智慧科技时代已经到来。“大数据时代的到来,不可逆转。” 大数据的应用以从前不可能的方式从海量数据中分析出有价值东西,成为合理决策的有力武器,但“若运用不当,它就可能会变成权贵用来镇压民众的工具,轻则伤害顾客和员工的利益,重则损害公民的人身安全”。海量数据实时、跨境、跨机构的流动、开发和利用,导致传统的基于组织和疆域边界的信息安全保障模式被打破,数据安全事件层出不穷,美国棱镜门事件的曝光使原本已经凸显的数据安全问题变得愈加严重。新形势下,美欧近年来高度重视大数据安全问题,推出了一系列具有鲜明大数据时代特点的政策举措。
美欧大数据安全政策的具体措施
美欧近年来在大数据安全政策方面举措频频,主要体现在发布大数据战略规划、修订不合时宜的数据安全法律、增强隐私技术研发、加强数据安全国际合作等方面。
1.发布大数据战略规划
美国十分重视大数据发展与安全规划,近年主要发布有三个战略文件。一是2012年2月23日总统行政办公室撰写的工作报告《网络世界中的消费者数据隐私》。该报告提出了四项主要内容:消费者隐私权利法案;促进各利益相关方将消费者隐私权利法案中的原则应用于商业环境;加强联邦贸易委员会的执法;增强与国际合作伙伴在隐私框架上的互操作性。二是2012年3月29日奥巴马政府颁布的《大数据研究和发展计划》。该计划旨在通过政府带动和引导,全面动员企业、科研院校和非盈利机构集中资源共同促进大数据发展,从而“将大数据从商业行为上升为国家意志和国家战略”。三是2014年5月总统行政办公室发布的《大数据:把握机遇,守护价值》白皮书,对美国大数据应用与管理的现状、政策框架和改进建议进行了集中阐述,体现出“奥巴马政府利用大数据激发创新、提升生产力并保护个人隐私的传统价值观,以此来巩固美国的领导地位” 的鲜明意图。
欧盟近年主要发布有两个文件。一是2011年12月12日欧盟委员会发布的报告《开放数据:创新、经济增长和透明治理的引擎》。报告以开放数据为核心,制定了应对大数据挑战的举措:修改指令与立法;资助数据处理技术研发;建立开放数据的门户网站和平台;协调成员国同欧盟的行动步伐等。该战略将大数据视为创新工具和创新素材,旨在清除阻碍开放数据的法律框架和政策方面的障碍。二是2013年11月27日欧盟委员会的《重塑欧美数据流动信任》报告。报告旨在维持欧美之间数据流动的延续性,同时实现高水平的数据保护。报告提出六项行动计划:迅速采纳欧盟数据保护改革建议;提升“信息安全港”的安全性;加强执法过程中的数据保护;要求美国使用现有的共同法律援助协议和部门协议来获取数据;督促推进美国数据安全改革进程,回应欧洲关切;促进隐私标准的国际化。该文件是美国“棱镜门”事件曝光后,欧盟所制定的最为系统、最为具体的行动计划,体现了欧盟的立场和态度,并将对数据跨境流动安全及欧美关系的下一步发展产生重大影响。
2.因时而变修订过时法律
美欧在信息安全的法律保障方面虽走在世界前列,但也在因时而变修订现有法律。在美国方面,一是修订《电子通信隐私法》。国会正在研究修订《电子通信隐私法》,以确保对在线数字内容的保护标准与现实相一致,包括去除未读的或留存一定年限以上的邮件中因过时而产生的差别。二是制定《消费者隐私权利法案》。2015年2月底,美国公布《消费者隐私权利法案(草案)》,允许各行业在美国联邦贸易委员会的监督下自主制定有关保护数据隐私的行为守则。同时,这些行为守则也为遵守它们的公司提供“安全港”。该草案一方面赋予美国民众更大的隐私权,规定数据持有者必须在透明度报告中提供更多关于用户数据收集的信息,一方面授权商家可自行制定隐私政策,若消费者的要求被商家裁定为无理取闹行为,则商家可以选择无视消费者的权利。该草案的某些具体条款已经引发公民团体、企业界、政界激烈争论,短期内很难通过。
在欧盟方面,一是修订适用于所有通信网络的2002年“电信一揽子方案”。2009年12月9日,欧盟通过《更好规制指令》和《公民权利指令》,对“电信一揽子方案”予以修订,形成了2009年“电信一揽子方案”。新方案在个人数据保护方面强调了电信运营商数据侵权强制通知义务及用户终端存储数据同意原则(如cookie),要求网络运营商为其用户提供涉及其个人隐私的消息。二是制定《一般数据保护条例》以取代1995年通过的《关于个人数据处理与数据自由流通的保护指令》,即《个人数据保护指令》。2012 年1月25日,欧盟提出《一般数据保护条例》,旨在建构适用于所有成员国的统一数据保护规则,并反映新技术环境下数据保护的现实需求,“成为首部从真正意义上保护5亿欧盟公民数据资料及隐私权的重要法律”。“数据保护法律的支持者更将这一法律描述为在建立真正的网络隐私权前所设立的具有里程碑意义的法律规范”。条例已于2013年10月21日在公民自由、司法与内政事务委员会的表决中高票(40票赞成,3票反对,1票弃权)获得通过,未来仍需获得欧洲议会全体会议的表决通过和欧盟28个成员国的支持,方能得以全面实施。
3.增强隐私技术研发
美国《大数据:抓住机遇、守护价值》白皮书提出,政府须继续研发隐私保护技术,使消费者掌控其数据被采集的时间和方式,改善对消费者的服务。由于网络广告行业出现了越来越多的记录个人行动、行为和位置数据的设备和服务,所以消费者极其需要性能更强大的隐私保护工具,以防个人数据“被追踪”。目前,美国的“网络和信息技术研发”(NITRD)项目每年在隐私技术上的研究总支出已超过7000万美元,研究领域涵盖四个部分:对隐私安全扩展的支持;对企业如何遵守隐私法的研究;保护医疗保健的隐私;保护基础搜索的隐私。
表1 NITRD进行中的研究项目
欧盟在推动大数据发展的同时也十分重视开发“禁止追踪”技术(DNT)。2011年6月22日,欧委会副主席兼数字议程委员N.克洛斯在布鲁塞尔举行的在线保护研讨会上表示对网上数据“禁止追踪”技术的发展和应用感到满意。这项技术的应用为网民提供了禁止服务商泄露网民信息的机会,以免成为商业广告目标等的受害者。克洛斯要求互联网有关各方在2012年6月前普及这项技术。
4.加强数据安全国际合作
在国际合作方面,美国《网络世界中的消费者数据隐私》报告指出,各国应当做到:(1)以有效的执法和企业问责制为条件,相互承认彼此的隐私保护框架;(2)多方主体参与数据安全程序和行为准则的制定;(3)美国联邦贸易委员会与其他国家的类似机构进行执法合作,创建“国际隐私执法网络”,显著提升数据隐私法规的运作效率。 在相互承认方面,当奥巴马政府2012年发布《消费者隐私权利法案》设想后,经合组织也于2013年升级了自己的隐私权指导方针,从机制上补充了“公平信息实践原则”,帮助落实并加强了隐私保护。同年发布的亚太经合组织跨境隐私规则体系在很大程度上也效法了经合组织的指导方针。在多方参与程序和行为准则制定方面,2014年1月,美国与欧盟开始协商如何加强“安全港”协议框架以确保其继续提供有力的数据保护,以及怎样使其提高透明度,得到有效执行与具有法律确定性。
欧盟数据安全保护的主要国际合作对象是美国,具体举措包括以下两个方面。第一,基于对美欧“安全港”协议实施效果的评估,欧盟提出13项改进意见,主要包括四方面内容。一是增加透明度。自我认证的公司要公开自己及合作云服务商的隐私政策,其网页要有美国商务部“安全港”计划的链接,而美国商务部网页则要公布非计划内的公司名单。二是强化补偿机制监管。公司隐私政策的页面必须包含替代性纠纷解决方案提供者的链接,商务部则要确保补偿机制的有效性。三是收紧执行程序。在审核或复核企业的“安全港”资格后,企业将接受随机抽检,以确认其隐私政策的有效性。一旦怀疑企业违规,商务部应立即通知欧盟数据保护机关。四是加强对美国权力机关获取数据的管控。自我认证的公司的隐私政策须包括美国允许政府部门搜集处理数据的法律内容,针对国家安全的例外条款只能在必须且适当的情况下应用。
第二,要求美国按现有的共同法律援助协议和部门协议获取数据。如果美国政府直接向在欧数据企业索要资料,企业将陷入两难境地。一方面,如果拒绝交出数据,将触犯美国的《爱国者法案》;另一方面,如果交出数据,又违背了欧盟的相关规定。因此,欧盟要求美国政府承诺,以现有的法律框架作为索取数据资料的一般原则,尽量避免绕开法律直接索要数据的情况发生。这些法律框架包括共同法律援助以及“旅客名单登记协议”和“恐怖主义金融追踪项目”等部门协议。直接要求公司提供数据的情况只能根据协议规定的例外条款进行,并且须进行法律上的评估。
美欧大数据安全政策的鲜明特点
仔细审视上述政策举措的主要内容就可以发现,美欧大数据安全政策举措具有鲜明的时代特点。
1.国家战略高度重视,将大数据纳入创新优先领域
美欧不仅制定有专门的大数据战略,而且还在战略文件中将大数据技术研发视为创新优先领域。美国《大数据研究和发展计划》为“提高从海量、复杂数字数据收集中提取知识和观点的能力”,提出进一步科学探索和创新研究的重大举措。虽然白皮书指出,“隐私从一开始就一直是我们的民主制度的心脏,而现在,我们比以往任何时候都更需要它”,但在政策框架中,美国仍强调大数据“科技创新会给美国经济带来新的活力”,当前最为重要的是推动“更负责任地使用大数据”,以支持大数据创新发展。通过将大数据纳入国家创新优先领域,《大数据研究和发展计划》提出为六个联邦政府部门提供2亿美元资金,支持大数据应用技术和安全技术的研发,白皮书还提出要大幅增加对隐私保护技术研发的投资。
相比美国,欧盟的大数据发展存在缺乏跨境协作、基础设施和融资机会不足、缺少数据专家和相关技能、法律环境过于零散和复杂等问题。 为此,欧盟于2014年7月2日公开呼吁各成员国积极迎接大数据时代,倡导建立大数据领域的公私合作关系,形成具有颠覆意义的大数据理念;依托“地平线2020”科研规划,创建开放式数据孵化器;成立多个超级计算中心;在成员国创建数据处理设施网络等。2014年4月,网络欧洲软件与服务计划(NESSI)、欧洲“大数据公私论坛”联合发布《大数据价值战略研究与创新议程草案》,确定了五大研究与创新优先领域。其中,管理隐私与匿名的机制(包括开发用于数据保护的“安全远程数据访问中心”技术、数据删除和最小化的方法和可靠的匿名算法)和数据管理工程两大优先领域都与大数据技术研发有关。
2.法律赋权数据主体,强化传统隐私保护策略
“在大数据时代,不管是告知与许可、模糊化还是匿名化,这三大隐私保护策略都失效了。如果很多用户都觉得自己的隐私已经受到了威胁,当大数据变得更为普遍的时候,情况将更加不堪设想。”有鉴于此,美国新提出的《消费者隐私权利法案(草案)》和欧盟新制定的《一般数据保护条例》都着眼于强化传统隐私保护策略,其实质是赋予数据主体对数据的所有权和由所有权所延伸出来的数据被采集与被使用的知情权、许可权,以及对数据的处置权和侵权求偿权,明晰了数据主体的权利以及数据使用者和控制者的义务,使有法可依成为现实。
美国自80年代开始,根据行业特点制定了许多行业性隐私法规。它们只对特定的数据提供保护,对于目前绝大多数用户与企业实施的普通数据交互行为来说,“告知与许可”框架充分保护了隐私。然而,美国总统科学和技术顾问委员会表示,“技术轨迹正在转向采集、使用和储存,与消费者并没有直接联系的数据上来”,“假如该框架被违背,比如由我们的家庭设备采集的数据,则我们需要重新关注数据的使用一端,而非原来的采集一端”。白皮书也指出,原有隐私权保护的“告知与许可框架已经被大数据所带来的正面效益打败了”,应当根据大数据的时代特点予以调整。有鉴于此,尚处草案阶段的《消费者隐私权利法案》强化了传统的隐私保护策略,在三个方面确立了七大原则。
表2 《消费者隐私权利法案》确立了七大原则
与美国相比,欧盟的《一般数据保护条例》对传统隐私保护策略的法律强化更为具体,更为严格。其一,扩展了对消费者敏感数据的保护。条例保留了《个人数据保护指令》对特殊类型数据的界定,并增加基因数据、安全数据等新敏感数据类型。条例还规定,数据控制者若需处理通过网络收集的13岁以下儿童的个人数据,须征得儿童父母或监护人的同意。其二,扩大数据控制者和处理者的说明责任。条例规定,数据处理者和控制者需要记录数据历史,保证数据安全,并向成员国监管机构通报违反数据义务的行为。其三,引入新型消费者权利,包括消费者的异议权、被遗忘权和数据迁移权。异议权是指消费者有权利拒绝以营销为目的的个人数据分析,即便该分析不涉及特殊类型数据,消费者也有权拒绝。被遗忘权是指消费者要求经营者删除个人姓名、电邮地址、银行信息和计算机IP地址等个人信息时,后者若无正当理由则必须在服务器中删除。数据迁移权是指消费者要求获取其个人数据并将其迁移到另一个应用服务中,数据控制者无权阻止。其四,强化消费者数据权利受损的救济机制。条例规定在欧盟运营的企业如果不当利用客户、供应商或员工等个人信息,或将欧盟公民的数据与欧盟之外的第三国分享,将面临严厉处罚。
3.项目资助技术研发,占领大数据情报制高点
本质上讲,数据安全问题乃是由数据资源的特点及各方主体对其的控制和竞争所带来。大数据时代的数据资源呈现出实时生成、集中存储、智能开发、广泛交互、快速迭代、跨境流动、远程运维的特点。而国家和企业的竞争力来源于拥有数据资源的规模和活性、开发数据资源的技术和能力以及对数据流动的控制和塑造,因此,围绕数据资源的控制争夺在全球范围展开,预示着大数据情报时代已经到来。由于数据匮乏、数据泄露、数据被监控、数据被掠夺、数据被垄断导致数据资源处于竞争劣势,这对一个国家发展而言将是灾难性的。
大数据技术发展使得国家情报采集和分析的竞争博弈更加复杂激烈,考验着各国的技术能力和资源实力。美欧通过项目资助大数据安全技术研发,已经抢占了大数据情报工作的制高点。目前美国关于大数据安全技术的资助项目主要有:网络内部人员威胁探测技术、多尺度异常检测技术、洞悉计划技术、运用图形分析和认知主动发现内部威胁的技术、加密数据的编程计算技术、面向任务的弹性云技术、X-DATA 计划、P级大数据分析计划、先进信息系统技术计划、警戒网络计划、信息安全审计管理系统、可视化和数据分析卓越中心计划、恐怖袭击等突发事件预测计划、信息安全与大数据相结合项目、雅典卫城行动计划、社交媒体监控技术。欧盟的资助项目有网上数据保护反跟踪技术、“安全远程数据访问中心”技术等。
4.跨国保护合作至上,共同应对数据跨境流动
美欧之间在数据跨境流动上合作与冲突并存,但合作大于分歧,合作至上。“棱镜门”事件曝光前,双方已签署有“信息安全港”协议(2000年)、财务与旅游数据分享协议(2001年)、金融数据分享协议(2010年)、航空客运数据分享协议(2011年)等合作文件,用以规范美国政府的情报收集和美国在欧企业的数据利用和跨境流动。这些协议明确美国的政府和企业可通过法律协作框架实现数据跨境流动,但必须顾及欧盟的数据保护规定。但美国官方证实棱镜计划的存在,使欧洲政客萌生“被欺骗的感觉”。欧盟迅速做出反应,于2013年7月4日通过决议,暂停执行同美国的数据分享协议;于11月以发布审查报告草案的方式警告可能会废止“信息安全港”协议;于2014年6月达成一致,要求在欧企业必须遵守其数据保护法规。与此同时,欧盟始终拒绝将数据保护纳入欧美自贸谈判,担心一旦纳入将拉低欧盟在隐私保护方面的整体标准,甚至会使欧盟从头开始重写隐私保护立法方案。
欧盟虽然搁置数据分享协议并对美国提出警告,但已经“实现了斯诺登事件后从愤懑怀疑到理性务实的回归”,注重维护跨大西洋传统盟友伙伴关系。其突出表现之一是发布《重建欧美数据流动信任》报告,呼吁美国推进数据保护改革进程,把保护公民的举措拓展到欧洲公民身上,实现大西洋两岸的平等对待;增加国家安全机构情报搜集透明度,并引入个人赔偿机制;在联邦层面制定统一的“隐私保护法”,为美欧之间的数据流动提供稳定的基础。 而美国也对欧盟的关切做出了回应。白皮书建议,将数据保护扩展至非美籍人士,并规范大数据技术在执法情报等领域的合法使用。突出表现之二是欧盟与美国正在磋商“雨伞计划”,该计划将赋予欧盟公民保护其信息免受美国干涉的权利,并得到有效司法赔偿。
美欧大数据安全政策对我国的启示
新技术时代可能加速我国国家数据安全的风险累积,由于在大数据技术和产业方面的后发劣势,国家信息产业链(核心技术、基础资源和关键设备)面临被再次锁定的风险;国家关键信息基础设施和重要数据资源(国家机密、企业核心数据、个人隐私数据)面临系统漏洞、攻击渗透、人为泄漏等所带来的安全风险;数据生成和传播的智能实时导致数据内容面临失察失控风险,对国家政治、社会和文化安全形成冲击。在数据安全保护方面,美欧政府扮演着重要角色,极好地体现了政府在战略规划、技术研发、法律更新和国际合作方面的引领作用,这些对中国也极具启示意义。
1.纳入战略规划,将大数据作为国家战略性新兴产业
当下,战略性新兴产业正在成为引领未来经济社会发展的重要力量。为抢占未来经济科技竞争的制高点,根据“十二五”规划纲要和《国务院关于加快培养和发展战略性新兴产业的决定》,节能环保、新一代信息技术、生物、高端装备制造、新能源、新材料、新能源汽车等七个领域被纳入《“十二五”国家战略性新兴产业发展规划》。其中,新一代信息技术的重点发展方向和重大工程项目涉及到物联网、云计算等新兴技术领域,但并未提及大数据产业,与当前蓬勃发展的大数据革命态势明显不相适应。2015年是“十二五”规划的收官之年,“十三五”规划也处于紧锣密鼓的编制阶段。未来的国家战略性新兴产业发展规划应明确将大数据作为新一代信息技术产业的重点发展方向之一和重大工程之一,确立其国家创新优先领域和战略性资源的重要地位。未来,大数据将和土地、石油和资本一样,成为经济运行中不可或缺的根本性资源,成为与自然资源和人力资源同等重要的战略资源。“投资大数据,就是投资未来。”中国须将大数据作为国家战略性新兴产业予以金融、财税和政府采购方面的重点扶持,推动大数据产业创新发展。
2.发布研发计划,聚焦大数据应用和安全技术开发
大数据技术的研发离不开市场主体作用的发挥和企业界的努力,但政府的导向作用不可或缺。美国《大数据研究和发展计划》无疑是多部门共同应对大数据革命的一个全球范本。该计划具有以下特点:第一,资金支持,项目推动。由政府划拨2亿美元,提出一系列具体研究项目分别给予资助;第二,部门协同,分工明确。美国国家科学家基金会负责推进大数据核心技术,国防部利用数据支持决策,国立卫生研究院免费开放千人基金组计划数据,能源部通过高级计算技术加速科学发现,地质调查局负责地球系统科学的大数据创新研究,实现了大数据科学发现和创新研究的共同推进。第三,政学结合,人才支撑。计划鼓励研究型大学设立跨学科研究生专业课程,培养新一代数据科学家和工程师人才,支持伯克利加州大学的计算开发项目,为研究培训小组发放奖金等。第四,应用开发与安全开发并重,建构“大数据战略的一体两翼”。将大数据安全技术研发融于大数据创新研究议程中(上述大数据安全技术研发项目多由该计划提出),该计划不仅能够提高从大数据中获取“知识和洞见”能力,还能够有力保障国家和个人数据安全。中国应借鉴该计划框架,召集相关政府部门共同商议制定中国版《大数据研究和发展计划》,聚焦大数据技术研发。
美国不遗余力推动大数据技术研发,体现出奥巴马政府对大数据的重视程度堪比克林顿时期的“信息高速公路”计划。美国政府清楚看到了大数据对国家安全所具有的战略性意义,希望通过大数据先进技术的研发构筑起美国在网络空间攻防两端的绝对优势,维护其数据主权。在战略引导之下,美国大数据情报产业发展极为迅猛,以Palantir为代表的一批大数据情报分析公司的合同标的额和市场估值双双攀升。中国版《大数据研究和发展计划》也应通过设置大数据安全国家重大工程项目和情报分析技术清单,推动政府、军队、企业和科研院所的联合研发和人才储备,维护国家数据主权。
3.借鉴先进理念,积极筹备个人数据安全统一立法
目前我国关于数据安全的法律条款体现于《宪法》、《刑法》、《刑事诉讼法》、《邮政法实施细则》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》等法律法规方面,医疗、金融等重要行业的数据安全方面亦有相关的法律条款,但并不存在一部完整的数据安全立法,对个人数据及其跨境流动安全尚缺乏统一的规制,无法有效应对大数据时代的安全挑战。而在这方面,欧盟通过制定《一般数据保护条例》已经走在了世界的前列,即便是个人数据安全保护力度不如欧盟的美国亦在推动《消费者隐私权利法案》,试图在统一立法之路上迈出坚实一步。
中国目前亟需在统一立法方面进行积极准备,具体操作可借鉴欧盟的相关立法实践。这是因为,第一,中国与欧洲同属大陆法系,而美国属于英美法系,中国与欧盟在法律制定方面具有更多的相似性,便于欧盟一些数据安全先进立法理念(如敏感数据类型的扩展、数据控制者和使用者说明责任的扩大、新型消费者权利及侵权行为的严厉处罚等)在中国法律体系中的移植;第二,中国与欧盟在数据安全领域面临的挑战也具有相似性。欧盟的信息技术与美国相比仍有明显差距,且“很难在短期内扭转落后局面”,其在数据安全领域面临比美国更大的压力和挑战,这也直接导致其对个人数据的保护趋于更加严苛。中国在信息技术领域的情况与欧盟比较相近,面临着美国政府和企业两个层面更为严峻的数据安全威胁。因此,欧盟的立法操作更适宜于中国。虽然“目前我国出台统一的个人数据保护立法困难重重”,但并非无章可循,除了借鉴欧盟的先进立法理念外,美国强化传统隐私保护策略的立法理念也需加以消化吸收,为我所用。
4.借势国际合作,有效维护本国数据跨境流动安全
目前,围绕数据跨境流动的国际间政策分歧严重,突出表现在美国与其他国家的数据保护冲突之上。由于在信息技术领域占据绝对领先优势,美国政府和IT巨头坚持数据跨境流动开发和使用的重要性,其他国家则多坚持有条件的数据跨境流动,试图通过立法将本国公民数据限制在境内存储。2014年巴西和俄罗斯等国就通过了相关的法案。此外,根据英国法律咨询公司Fieldfisher对全球47个主要地区的调查显示,94%的国家对数据跨境流动进行了一定限制,89%的国家拥有管理规则并可以对违背数据驻留权规则的行为依法进行制裁。这表明,数据跨境流动开发和使用正面临国家数据保护主义的阻击,国际间数据安全政策的冲突在加大。
然而,“大数据的优势有赖于全球信息自由流动”。因此,将数据存储限制在境内只是解决了一部分问题,跨境流动数据的保护问题仍需面对,国际合作是必然之选。欧盟与美国在数据跨境流动问题上既冲突又合作无疑是一种务实之策。由于与美国之外的绝大部分国家在数据跨境流动问题上具有一致的核心关切,因此中国亟需强化数据安全的国际合作进程。第一,与欧盟建立合作关系。欧盟正在推动大西洋两岸的数据安全保护立法改革,力求在国际倡议中植入欧盟理念,建立一种民主和有效的多方共同治理模式。中国此举既可学习、借鉴欧盟的数据保护先进理念和方法,也可借势寻求欧盟支持中国在与美国数据跨境流动合作中的诉求。第二,与俄罗斯、印度、巴西等发展中大国合作,将数据跨境流动安全作为“金砖国家”合作议题之一,给美国施加压力。当前,中国应当支持推动巴西和德国向联合国提交的《数字时代的隐私权》决议草案付诸实施。第三,与美国展开数据安全对话。美国政府在白皮书中提出,“美国应当引领全球大数据对话,重申政府建立协作的隐私框架承诺”,与利益相关方“积极发展政府间的双边合作关系”,“对现有的及拟议的政策框架应对大数据的方式进行评估” 。中国应透彻研究美国的大数据政策动向及其国际承诺,捕捉政策机遇,在竞合关系中通过对话来维护本国数据跨境流动安全。
