数据跨境传输的法律规制
2020-12-19翁国民
翁国民 宋 丽
(1.浙江大学 经济学院, 浙江 杭州 310027; 2.澳门科技大学 法学院, 澳门 999078)
一、 引 言
人工智能技术的发展推动数字经济成为世界贸易的强大驱动力。各国纷纷抢占人工智能技术的制高点以赢得经济竞争优势,我国在国家战略上也积极部署人工智能技术基础设施建设,工信部于2019年6月向四家基础电信运营商发放5G商用牌照,助力我国从“互联网+”迈向“人工智能+”。人工智能技术在世界贸易领域的应用,推动了数字经济的蓬勃发展。数字经济的全球化发展使数据跨境传输不可避免,而由此产生的数据自由流动与数据安全威胁这对矛盾将深刻影响未来数字经济的走向。如何平衡数据流动与数据保护两者之间的矛盾,是迈向“人工智能+”时代亟待思考与解决的问题。
数据跨境流动问题并不是一个新论题,早在1998年就有学者提出应对跨境数据进行法律监管[1]。数据流动问题与互联网的发展相伴相生,我国学者对此做了大量有价值的研究。随着云计算、物联网、大数据等技术的出现与发展,已有不少研究对数据本地化政策的国际规则[2-5]和个人隐私保护[6-8]方面进行了有益探讨,同时也从国家安全、公共利益、个人数据保护和知识产权四个角度对跨境数据流动进行了系统梳理(1)参见张舵《跨境数据流动的法律规制问题研究》,对外经济贸易大学2018年博士学位论文。。以上探讨的落脚点大都是对数据跨境自由流动进行限制,但目前国际政策与经济形势已发生很大改变,如作为论述基础的《跨太平洋战略伙伴协定》(简称《TPP协定》)由于美国的退出而使数据本地化政策确定性不明,同时在数字经济的国际背景下,如果对数据跨境传输进行过多限制,则会极大阻碍数字贸易的发展。
本文在已有研究成果的基础上,结合实际情况,提出在人工智能时代背景下应适应世界数字经济新形势,支持数据跨境自由流动以推动中国数字经济的发展,提高中国在世界数字贸易中的竞争力。文章分三个部分进行论述,首先指出人工智能时代数据的特殊性,与互联网时代相比,不仅有用户个人的信息数据,还有人工智能技术自身作为知识产权保护的技术数据,在其跨境流动过程中会产生信息数据泄露、技术数据被窃取等数据安全问题;其次阐述欧盟与美国数据跨境流动的路径选择对其自身数字经济发展的影响;最后结合世界数字经济发展趋势和我国数字经济发展现状,提出我国应着力推动数据跨境自由传输的中国选择,并提出在规则和标准层面支持数据跨境自由传输的中国方案。
二、 人工智能时代数据跨境传输博弈: 数据红利与数据安全
(一) 人工智能时代的数据及其跨境传输
随着早期“阿尔法狗”“索菲亚”机器人的出现,人工智能技术开始进入人们视野,之后迅速从专业技术领域应用到工作生活领域,以不可阻挡的气势改变着人们的生活。如2019年6月17日22时55分,以人工智能技术为核心的地震预警系统成功预警宜宾地震,并借助物联网技术多途径发出预警信号,全方位启动紧急处理机制以最大限度地减少人员伤亡并降低经济损失。新兴技术的发展促使“人们未来会在‘万物皆互联,无处不计算’的环境下精准生活”[9]23。人工智能技术的核心驱动力是算法和数据,数据的大规模存在为算法提供了大量可用的原材料,也即算法的粗糙或精良依赖于数据的存量与精确度,离开数据,人工智能的算法便不复存在。本文根据人工智能时代数据的不同性质,将其分为人工智能产品依托的信息数据与人工智能技术自身作为知识产权保护的技术数据,这是本文论述的逻辑基础。
1.信息数据
在信息时代,根据所收集的个人数据的不同性质,数据类型分为基础未编辑的隐私数据、加工后去识别化的信息数据、深度算法加工并匿名化的商业应用数据。有学者认为人工智能时代的数据不是简单的“拿来主义”,而是在基础数据上经过深度加工后具有独创性的数字产品[10]。但无论是敏感的个人隐私数据还是经过加工去识别化的数据,抑或是经过算法加工后又匿名化的数据,均会在一定程度上产生数据权属与数据使用问题。有学者从合理使用的角度出发,认为个人隐私数据需经数据主体的同意才可使用,经加工后去标识化的数据因其安全性更高可以不经数据主体同意而合理使用,匿名化处理的数据因无法识别数据主体身份故可以不经同意直接使用且无须考虑合理使用问题[11]。也有学者从知识产权付出劳动的视角,认为个人隐私信息应属于数据主体,而数据是一种非物质财产,企业所付出的收集、整理、加工的劳动应受法律的保护[9]17。无论学者所持观点是否相同,都无法改变一个事实:随着技术进一步发展,即使是经过深度算法加工并匿名化的数据,只要加上一些其他信息便可再次被识别。所以,在未来“人工智能+”时代,对数据类型做此区别不再有必要,本文亦采个人信息的大范畴。
人工智能技术的数据来源多样,数据抓取在日常生活中很常见:当我们在网上冲浪时,会有数百个电子追踪器通过cookies来对个人数据进行抓取;网上购物时会形成购物记录;网上浏览广告时,cookies会记录用户对哪些感兴趣,对哪些不感兴趣,甚至会记录在页面上的停留时间;当消费者拿会员卡去超市购物时,每一条购买记录都会在零售商那里留下痕迹[12]9。人工智能时代背景下信息数据的红利主要是通过对信息数据的收集、整理、加工,从而形成符合市场与社会需求的数据产品,再通过数据产品的流通与精准投放进入消费从而实现其价值的过程。因此,信息数据的红利只有通过流动与消费才能实现。
2.技术数据
在数字经济时代,推动数据发展的动力一开始是以消费者为中心的互联网模式。大量的消费者个人数据汇聚成大数据海洋,可以通过对其进行精密的算法计算来制定个性化的商业模式,对消费者进行广告精准投递从而实现赢利。而在人工智能技术推动下的数字经济时代,所有技术的核心归根结底都是一个个计算机代码形式的数据,在此我们称其为技术数据。
随着关键通信基础设施(如5G技术)、人工智能技术、物联网技术的融合,人工智能开始全方位改变人们的生活,不仅体现在各类过去只能纸质化存储的信息开始进行数据化存储,还体现在数据的上传与流动。静态的数据并不能发挥其作用,比如过去国家行政机关对人口信息的统计仅作为统计数据使用时并不会产生经济效益。数据只有流动才能产生效益,与此同时,数据的流动必须依靠连接,5G技术就解决了数据上传的连接问题。2019年6月我国5G商用牌照的发放,标志着我国正式进入5G商用元年(2)详见刘园园《不只是网速快,5G还有这些重大价值》,2019年6月25日, http://www.cac.gov.cn/2019-06/25/c_1124662421.htm, 2019年12月23日。。5G作为新的通用技术,构成现代数字经济的关键基础设施,也构成整个人工智能社会的基础。大数据、人工智能、物联网、云计算的发展推动了5G技术,事实上无论是物联网、云计算还是人工智能,本质上都必须依托5G基础设施技术。与此同时,以5G技术网络为核心的新一代关键通信基础设施,也在通过其强大的网络通信能力助力人工智能完成整个社会的数字化变革,推动社会迈向数字化时代。未来更多的数字信息将由机器产生而不是由人产生。将视角从信息数据扩大到技术本身的核心数据将有利于把握数字经济的未来走向。
3.数据的跨境传输
人工智能技术的基础是数据,海量数据的收集、存储、分析推动了算法的优化,提高了人工智能技术对海量数据的提取、分析、识别和建构体系的能力。人工智能时代的数据跨境传输有以下三方面的特殊性。
第一,数据跨境传输体量大、速度快,更加难以控制。随着人工智能技术在经济领域的运用,通过对大数据的分析,每个用户都会被系统自动画像,享受定制化的服务,实现了以消费者需求为导向的智能制造和精准营销[13]。人工智能技术对数据的挖掘、分析和传输的能力日益增强,增加了数据跨境传输的体量,加快了数据跨境传输的速度。在人工智能技术推动下,全球数据呈现爆发式增长,数据流增长速度远超全球商品流、贸易流和资金流(3)参见中国信通院《数字经济治理白皮书(2019)》,2019年12月26日, http://www.caict.ac.cn/kxyj/qwfb/bps/201912/t20191226_272660.htm, 2020年1月12日。。同时,算法的精细化使得数据的可利用性增大,个人信息数据也愈加透明,数据的流动走向也更加复杂,在跨境传输过程中,若发生数据安全事件,对个人隐私安全的威胁更大。
第二,人工智能技术存在未知风险,应对的经验较少。截至目前,人工智能技术尚未解决其可靠性问题,且由于其所依赖的数据和算法具有极强的可复制性,一旦被外界非法获得,其高度扩散的风险甚至将直接影响一国的经济安全、政治安全和军事安全。人工智能技术导致的风险是一个较新的风险领域,当前世界各国规制这种风险的经验不足,很难从过往吸取经验,这就要求国家层面应谨慎将人工智能技术运用到社会领域,同时亦对国家的管控能力提出新的要求。
第三,人工智能数据流动的全球化趋势与数据监管的国别化存在冲突,故而难以在国际层面平衡数据安全与数据流动的关系。在互联网的推动下,人工智能技术的发展和运用也呈现全球化的态势[14]。数据的收集抓取、分析应用也呈现全球化趋势,而数据的监管没有跟上全球化的步伐,依然采取国别监管的模式,各国之间尚未达成统一规则。在各国对跨境数据流动采取不同规制路径的背景下,数据安全与数据流动之间的关系难以平衡。
(二) 数据跨境的经济红利
数据只有流动才能产生经济红利。如上所述,静态的数据除了有利于国家内部的有效监管以外,对社会的收益很少能够得到明显体现。而当数据处于流动状态时,通过收集、整理、加工使其成为有利可图的数字产品时,则会给社会带来巨大的红利。随着人工智能技术及智能产品的跨国流动,需要对人工智能数据跨境流动所带来的社会红利进行探讨。
所谓数据红利,就是鼓励对尽可能多的信息进行分析识别,然后将其用于实现各种社会发展的目的[7]94。大数据、人工智能、云计算等新技术的进步,使世界各国开始充分认识到数据的跨境传输带来的实际好处。各类先进技术自身的特征也在深刻影响数字经济的发展:大数据体量巨大、来源广泛的特征使得数据收集更加全面;人工智能自身优良的算法,也使数据的运用更加具有针对性、明确性、高效性、便捷性;云计算作为互联网应用程序的延伸,其数据储存与处理的高速化推动社会走向数字化世界。
国内层面数据红利体现在社会治理红利与商业及生活发展红利两个方面。在社会治理红利方面,如腾讯公司人脸识别系统在帮助全国公安系统寻找被拐卖儿童方面做出了巨大贡献。在商业及生活发展红利方面,如通过人工智能技术对各类医疗数据进行大数据分析后得出的针对特定类型疾病的精准治疗方案,也在改变和推动着医疗技术的发展;再如智能家居的出现让人们在户外即可控制家中的一切,使得生活更便捷、惬意。可见,通过数据在境内的传输流动,既可以推动社会治理方式的进步,亦可以推动商业模式的改善和生活质量的提高。
国际层面数据的跨境流动将促进数字经济红利释放。全球电子商务发展20年来,已经深刻地改变了全球商业格局。在新一代数字经济的推动下,跨境电商、外贸服务经济已经成为新一轮经济风口。作为新时代数字经济的最大受益者,美国认为数据和信息的自由流动是21世纪贸易协定的基础,因为数据和信息的跨境自由流动是互联网全球化的前提和基础(4)参见中国信息通信研究院互联网法律研究中心《数字贸易的国际规则》,(北京)法律出版社2019年版,第93页。。在现实生活中,随着全球互联网的普及,人工智能技术依托互联网服务,开始进入世界各国千家万户的生活。在未来,人工智能技术不再局限于某种特殊技能智能水平的提升,而是通过数据分析和精准预测带来实在的经济效益[15]。通过对人工智能时代数据特征的分析可以看出,在弱人工智能时代,数据跨境传输带来的经济红利主要体现在通过数据流动在市场经济条件下实现资源在全球范围内的有效配置,解决市场经济条件下信息不对称问题,提高资源的利用效率,在整体上提高社会的发展水平,从而实现可持续发展;在强人工智能时代,随着大数据的不断发展,世界各国的数据将为算法提供其特有的经济价值,促进算法的不断精良,那么数据跨境传输带来的经济红利则体现在通过互联网实现数据在全球的自由流动,从而极大地促进世界各国的贸易往来,打破阻碍世界贸易自由发展的贸易壁垒,实现全球数字贸易的便捷化,从而促进世界经济贸易总量的增长。
(三) 数据跨境的安全威胁
数据的跨境传输已经成为世界贸易往来过程中一个不可或缺的关键环节,极大地促进了国际贸易水平的提高,实现了全球数字经济的持续性增长。数据的跨境流动在带给全球不可估量的产业红利的同时,亦产生了日益突出的数据安全问题。
1.信息数据被不当使用
随着大数据、云计算等技术的发展,无论是大公司还是小公司可能都会将收集到的用户消费数据作为其经济战略的一部分。数据的不当使用表现为许多公司在经济利益的驱使下,出售消费者的个人数据以增加本公司的额外收入,尽管各大公司在收集消费者数据时大多声称会进行匿名化处理,即当公司向外出售消费者数据时,会用计算机自动生成的代码代替消费者的实际姓名,从而消除与消费者个人基本信息相关的任何链接与数据[12]192。但消费者作为弱势群体,根本无从得知这些公司如何对数据进行匿名化处理,而行政监管机关对此也没有统一的匿名化认定标准,这就导致数据不当使用与用户隐私数据的安全威胁,出现消费者或者其他网络用户的个人数据被泄露、被钓鱼网站窃取等数据安全问题。境内的数据流动尚存在日益严重的数据安全问题,那么随着数字经济的加速发展,数据跨境流动日趋频繁,数据的流向与应用领域更加难以控制,保护信息数据安全的形势将会更加严峻。
2.技术数据遭知识产权侵害
人工智能技术推动数据跨境自由流动,而当前数据窃取、数据泄露等安全问题日益突出。在数字贸易全球化发展进程中,数据窃取行为更加频繁,各类技术企业为占据全球市场,激烈争夺商业资源,使得这种以不合法手段获得商业利益的动机更强,窃取技术数据、侵犯知识产权的行为猛增。而当前数字贸易发展过程中,数字产品的无形性、非物质性也使得这种数据窃取行为成本低廉,甚至复制无需任何成本,致使知识产权侵权行为更加普遍和难以预测。大到著名的跨国公司遭遇黑客攻击网络窃取其用户数据,导致数据大量泄漏,造成巨额经济损失;小到不知名的小型外贸公司,由于其本身防御性技术较差,技术性安全保护欠缺,更容易成为黑客窃取数据的新目标,面临着数据安全的巨大威胁。
与此同时,面对全球范围内技术数据被窃取的现象,国际上尚没有统一适用的规则。在国际上,美国多次挥舞其国内法大棒,适用“301条款”“特别301条款”“337调查”对其自认为侵犯到美国知识产权的国家或私人进行制裁。美国的国内贸易法的适用,赋予了其单方面认定他国及私人是否侵犯其国内知识产权的权力,是对其他国家不公平的待遇,带有明显的单边主义意味,本质上是借知识产权保护之名来行贸易保护之实,所以美国霸权主义做法只会导致国际规则适用的混乱,不利于国际数字贸易时代数据保护规则的形成。
全球范围内形成的数据窃取的黑色产业链,使得技术数据安全问题大量涌现,风险抵御能力的较弱的中小企业面临巨大挑战,同时,由于利用互联网窃取用户数据导致用户信息泄露问题的出现,也降低了人们对互联网和数据安全的信任度(5)Meltzer J.P., ″A New Digital Trade Agenda,″ 2015-08, http://e15initiative.org/publications/a-new-digital-trade-agenda/, pp.1-16, 2019-12-23.。数字经济的良性发展离不开数据安全,防止技术数据的窃取与侵害成为世界各国共同面临与亟待解决的难题。
三、 欧美的路径选择
在数字经济背景下,数据跨境流动有利于优化全球资源配置、促进互联网企业精准投递广告、有效利用数据产品、促进智能生活等,但技术标准与政策规则的不健全使得数据安全威胁在世界范围内不断增加,数据跨境流动的保护问题需要引起世界各国的普遍重视。而目前尚没有统一的规则,下面就欧盟和美国对跨境数据流动的态度及其路径选择进行探讨,并分析其路径选择对该地区数字经济发展的影响。
(一) 欧盟严格限制数据流动
欧盟是特别注重保护公民信息权利的地区。1995年制定的《关于个人数据处理保护与自由流动的指令》(简称“95指令”),是欧盟地区关于个人信息保护的基础性立法,2012年欧盟委员会对95指令进行修订,于2016年4月通过最终版本《一般数据保护条例》(简称“GDPR”),并于2018年生效。GDPR实现了隐私法与数据保护领域的革新,创新了“被遗忘权”“携带权”等新型权利,成为全球个人数据保护最重要的立法之一[16]。95指令虽对欧盟区内成员国具有指导性意义,但仍需转化为国内法进行适用,而2016年通过的GDPR则无须转化,可直接适用于各成员国,客观上提高了严格限制数据跨境流动相关规定的适用效力。欧盟对数据的跨境流动采取了审慎的态度,采用单边倒逼机制,其他想和欧盟进行贸易往来的国家和地区必须要先达到欧盟GDPR的保护标准,从而严格保护公民个人信息。
欧盟严格限制数据跨境流动,一方面源于其地区内人权优先的理念,格外注重公民个人信息保护;另一方面,欧盟亦有意通过推行严格规制跨境数据流动的法律来提高其在域外的监管能力,进而提升其在规制跨境数据流动的国际规则制定中的话语权[17]。该规制路径在理论上有其积极的意义,因为智能技术的核心驱动力就是算法和数据。对算法来说,数据的大量存在是为算法提供原材料来促进算法的精良发展,严格规制数据保护也就意味着从源头上影响了人工智能技术的良性发展。
欧盟通过95指令、GDPR试图打造欧盟区内单一数字市场,并试图将欧盟标准推向多边层面,而这种规制路径的缺陷亦十分明显。首先,欧盟试图打造欧盟区内单一数字市场,虽有其政治考量,但却与数据自由跨境流动的本性相违背,亦不符合数字经济全球化发展的趋势;其次,试图将欧盟标准推向多边层面的预想并未实际发生,《跨大西洋贸易与投资伙伴协定》(简称《TTIP协定》)谈判的停滞即是例证,并且随着日本、中国等国家数字经济的进一步发展,其在国际规则制定中的话语权的提升将大大削弱欧盟单一标准的适用度;最后,欧盟对数据跨境自由流动的限制也给欧盟地区数字经济的发展带来极大的障碍,即对数据严格保护、限制数据的跨境自由传输,形成新型的政策壁垒,使得外国企业进入欧盟市场的合规成本大大提高,极大地限制了其他国家与欧盟企业的商业贸易往来,其他国家的高新科技企业在同等竞争水平下将很难进入欧盟数字市场,由此而带来的负面效应是全球先进的科技企业不再将目标放在欧盟市场,致使欧盟地区科技企业接触不到全球先进的技术,不利于该地区互联网等科技企业的全球化发展,这将大大削弱欧盟企业在数字贸易市场上的国际竞争力。
(二) 美国支持数据自由流动
美国为促进本国企业在数字经济环境下的发展,对数据的跨境流动采取宽松的政策,鼓励数据自由流动。但美国宽松的数据跨境流动政策的形成并不是一帆风顺的。过去几十年,美国国内科技企业由于不能适应外国严格的数据保护政策,在全球进行数字贸易的过程中遭遇诸多壁垒,既包括传统的关税壁垒,也有限制跨境数据流动、不同的个人信息保护标准等新时期的贸易壁垒。这促使美国积极倡导数字产品的“零关税”待遇、允许数据跨境流动、统一个人信息保护标准等国际规则,如自《美国—智利自由贸易协定》以来的所有协定都规定了缔约国不得对通过电子传输的数字产品的进出口征收关税、手续费或其他费用,即永久性零关税[18]。目前随着云计算及各类App的飞速发展,美国开始重新审视这些贸易壁垒。作为互联网大国,美国支持跨境数据自由流动的态度是鲜明的。美国支持数据跨境流动的立场体现在其长期的对外政策中,以及签订的自由贸易协定中。在奥巴马政府时期,其主导的《TPP协定》即积极倡导数据跨境流动,虽然特朗普政府上台后在2017年宣布退出此协定,但该协定的电子商务相关内容仍被许多国家视为谈判的模板,其内容翔实且支持数据跨境流动,限制数据本地化措施。不仅如此,美国在其新签订的《美墨加协定》(USMCA)中更是严格限制数据本地化,由此可见,美国支持数据跨境流动的立场明确且坚定。
美国拥有大量互联网企业,更拥有谷歌、脸书等互联网巨头公司,为保障本国互联网企业的高速发展,美国对跨境数据流动的政府监管一直较少,坚定地推行支持数据跨境流动的政策。美国的产业政策多以美国企业的利益诉求为核心,体现出美国的国际规则立场与国内法的紧密结合与相互统一[19]。美国在其宽松的跨境数据保护政策下,促进了国内数字经济贸易的大发展大繁荣。《世界互联网发展报告2018》显示,2017年全球数字经济总量规模近13万亿美元,美国排名世界第一位(6)http://www.wicwuzhen.cn/web18/achievements/report/201811/t20181108_8698949.shtml, 2019-12-23.。美国作为超级大国,在数字经济时代积极抓住世界经济新机遇,迅速投入数字贸易竞争,成为数字贸易规则的主导国家。美国大力支持数据跨境流动,使美国企业在数字经济竞争中取得了巨大的比较优势,也使美国成为当前数字贸易的最大受益者。当前各国纷纷加速技术研发,释放数字经济的全球化产业红利,未来有关数字贸易环境下数据本地化的政策与严格的跨境数据保护制度将会受到极大的挑战。
综上,欧盟采取严苛的限制跨境数据流动的政策,并企图将严格的欧盟标准推向多边,以取得域外的监管权,最终达到将欧盟标准转化为国际统一标准的目的,而欧盟此种政治考量并没有得到其他国家的认同,且欧盟标准的严苛性提高了其市场准入门槛,增加了外国企业的合规成本,客观上导致欧盟数字经济的发展更加缓慢。美国为保护本国互联网企业的高速发展,对跨境数据流动采取宽松的政策,鼓励数据跨境流动,支持人工智能技术、物联网、大数据等高新技术的应用,通过互联网的全球化带动人工智能等高新技术的全球化发展,进一步加速了本国数字经济的发展。同时,美国的路径是在各个场合均主张数据自由流动政策。美国与欧盟直接博弈的《TTIP协定》,由于美国坚定推行跨境数据自由流动政策,欧盟认为这项基本权利不可谈判,双方难以达成一致意见。美国便在其他协定中推行其主张,不仅在其已经退出的《TPP协定》中支持数据跨境流动,而且也在其新签订的《美墨加协定》中要求跨境数据流动更加自由。美国宽松的国内政策和坚定支持跨境数据自由流动的对外立场,不仅为本国数字企业的发展提供了温床,也使本国数字经济发展保持着体量世界第一的地位。
值得一提的是,国际规则制定权往往是大国的权利,一国的经济实力在很大程度上决定其在国际规则制定中的话语权。当前世界经济呈多极化发展,新兴经济体以及众多发展中国家都在利用先进科技来发展本国经济,随着新兴经济体和发展中国家经济水平和科学技术的提高,其在国际规则制定中的话语权也在逐渐提高。目前在跨境数据流动尚未达成国际统一规则的背景下,中国作为新兴经济体,应在保障数据安全的前提下,采取宽松的国内政策,抓住机遇,借助人工智能等新兴技术,大力发展本国数字经济。
四、 中国规制数据跨境传输的路径选择
(一) 中国数字经济的发展与数据保护
1.中国数字经济发展面临的数据安全问题
一方面,用户个人信息形成的海量信息数据构成了企业互联网、人工智能、大数据技术的基础原材料。科技互联网公司,无论从事什么业务,都在收集用户的个人信息,与此相对应的一个问题是用户是否同意企业、平台收集他们的个人信息?答案是肯定的。比如阿里支付经常推出一系列无偿使用的产品和服务,前提是获取用户的个人数据,从支付宝拥有近10亿用户即可看出消费者是愿意让渡自己的部分个人信息来换取免费产品和服务的;又如口碑外卖推出每日大额红包供用户在购买商品时进行抵用以获取用户位置等个人信息,将收集到的位置信息进行深度分析以指导特定区域的餐厅布局等。这类现象称为“浮士德式交易”,即在免费的互联网平台服务模式下,这些公司、平台向用户提供免费服务,作为交换,用户自愿交出自己的个人信息并愿意接受广告[12]34。大数据企业有能力收集消费者的信息数据,将收集到的信息进行存储、加工处理变成有经济效益的数字产品,并将数字产品出售给有需要的企业或消费者;消费者愿意让渡自己一部分信息权利来获取眼前的利益,也愿意去消费数字产品,企业与消费者之间便形成了良性互动。同时,中国具有庞大的人口基数,可提供海量的数据,这是我国发展数字经济天然的基础。
另一方面,加大对技术数据的保护力度为数字经济发展提供了动力。作为知识产权保护的技术数据是一个企业甚至是一个国家科技的核心竞争力,我国已经深刻认识到加大知识产权保护的重要性,也在逐步提高知识产权的保护水平。我国知识产权保护水平在过去曾被发达经济体诟病,它们指责我国对知识产权保护不力,并试图通过国际倒逼机制改变我国知识产权保护水平。而随着经济的发展,我国意识到知识产权保护对技术创新、社会进步的重要性,为了适应国际经济新形势,我国主动修改多部知识产权法律,国家知识产权局启动面向2035年的国家知识产权强国战略纲要的制定,未来十年知识产权将会发挥越来越重要的作用。同时,根据《数字经济治理白皮书(2019)》,2018年我国数字经济总量达到31.3万亿元,占GDP比重为34.8%,高于同期GDP名义增速约11.2个百分点,在全球经济下行压力加大的形势下,数字经济的持续稳定快速发展成为稳定经济增长的重要动能(7)中国信通院《数字经济治理白皮书(2019)》,2019年12月26日, http://www.caict.ac.cn/kxyj/qwfb/bps/201912/t20191226_272660.htm, 2020年1月12日。。这与我国不断增强技术数据知识产权保护的措施是分不开的。
综上,我国充分具备发展数字经济的天然条件和技术条件,用户愿意让渡一定信息权可以为企业提供大量有用的信息数据,国家高度重视对技术数据的知识产权保护可以为企业进一步提高技术水平保驾护航。
2.国内数据规制现状
数据跨境流动问题在我国出现较晚,发展时间短但发展迅速。目前我国在数据安全方面的立法刚刚起步,比如《民法总则》第一百一十一条仅仅规定了个人信息受法律保护的原则性规定,并没有具体说明什么数据属于个人信息,如何进行保护。当前我国关于数据安全的最高层级立法是《网络安全法》,其虽对跨境数据流动从原则上确定了管理的方向,但这些规定过于原则化,而跨境数据流动管理的每种手段和方式都需要有具体的操作细则予以规定,如何将《网络安全法》落实到具体部门中实施,还需要进一步的立法完善。综上,我国关于数据跨境流动保护的问题尚没有统一的立法,仅有一些分散的关于跨境数据流动的层级较低的规范性文件,缺乏统一的部署。
研究欧盟对数据权利的规制将会促使我国在未来积极参与数据流动规则的制定[20]。鉴于此,我国网信办于2019年6月13日发布了《个人信息出境安全评估办法(征求意见稿)》(以下简称《办法》)。《办法》是对个人信息出境进行具体规定所做的一次有益尝试,《办法》第二条第一款规定网络运营商将个人信息传输出境前要进行安全评估,可能影响国家安全、损害公共利益或者难以有效保障个人信息安全的,不得出境。该条体现了我国对数据跨境流动的严格保护态度。《办法》第十三条要求个人信息出境前,网络运营商与个人信息的境外接收者要签订合同,并对合同内容进行了细致规定,同时规定了责任承担,即网络运营者与境外接收者对境内个人信息主体的权益造成侵害时应承担过错推定责任。《办法》第十七条重点关注了网络运营者和境外接收者的网络安全能力,通过对数据控制主体双方的网络安全能力进行评估,有利于客观上减少数据跨境传输中的安全风险。《办法》第二十一条分别对网络运营者、个人信息、个人敏感信息做了明确定义,厘清了一直以来适用概念不清的问题。
《办法》借鉴了欧盟对数据跨境流动严格限制的态度。原则上我国相关的数据只能在境内存储、处理,不得向境外提供,部分数据如果要向境外传输必须经过安全评估。而数字经济时代背景下,各种细节都需要具体规定,《办法》虽然是对《网络安全法》《民法总则》《电子商务法》等原则性规定的一个具体实施办法,但相对目前数字贸易环境的需求来说仍然过于原则化,比如安全评估的标准不够明确具体;哪些数据传输出境情形属于达到了难以有效保障个人信息安全的程度,《办法》没有给出统一的评估标准;如何对境外接收者的网络安全能力进行评估也没有具体规定。
3.中国的应然选择:支持数据跨境流动
数据跨境流动释放的数字经济红利与数据威胁导致的数据安全问题之间的利益平衡是世界各国共同面临的难题。但由于各国对该问题的认知和理念、产业利益以及在该领域的国际竞争力等的不同,各国采取的政策千差万别。有些国家和地区出于隐私保护、国家安全等考虑,对数据流动严格限制,如欧盟的政策,其有利之处在于通过对跨境数据流动的限制保障了本地区公民隐私安全、国家数据安全,其弊端则是导致本地区数字经济发展缓慢,国际竞争力不足;有些国家则积极推动数据跨境流动,如美国宽松的数据跨境流动政策使其成为当前数字贸易中的最大受益者。
中国关于此方面的研究尚在起步阶段,从目前立法状况来看,我国对数据跨境流动的限制相对比较严格,而在数字经济时代,贸易投资自由化的发展需要数据跨境自由流动作为基础。当前由人工智能技术推动的数字经济的发展出现诸多新动向与新趋势。人工智能、5G技术、物联网、大数据等新技术的深度融合,促成了新一轮科技产业发展的风口。科技企业自身技术的突破,技术产品在生产生活中的应用,正在引领世界数字经济的新风向,全球科技企业巨头的发展更是在重构世界经济贸易市场版图,数字经济已然成为世界经济的新动力,数字经济要发展,前提就是实现数据的跨境流动。我国必须在国家层面上进行战略布局,支持数据的跨境流动,不应对数据流动进行过多限制,以支持我国科技互联网企业争夺技术竞争、数据竞争、数字贸易竞争的制高点,推动我国数字经济走向世界。
(二) 数据跨境流动规制的中国方案
1.规则层面:以规则引导数据流动
(1)国际层面:积极参与数据跨境流动规则制定
在数字经济的大背景下,对数据跨境流动的规制过于严格或过于宽松都是不可取的。过于严格地限制数据跨境流动,会极大地阻碍数字经济的发展;而若对数据跨境流动的规制过于宽松,则会增加数据的安全风险,不仅会遭到国内消费者的反对,亦会遭到国家安全层面上的反对。同时,对跨国企业或数据收集公司来讲,目前急需一个透明的、具有可操作性的、标准化的国际统一规则,从而降低其在跨国贸易中的成本,减少在国际贸易中遭遇的政策风险。欧盟单方面推行严格的数据保护制度的单边主义做法,不仅不利于数字经济的全球化发展,亦有违当前WTO积极倡导的自由公平的贸易规则,在此不对单边主义进行探讨。
目前并没有统一适用的多边协定。对数据规制稍有体现的是WTO的自由贸易规则和美国早期主导的《TPP协定》,但是这两个规则都没有对数据跨境流动做出统一规定。WTO成立之初,人工智能、云计算技术还没有发展,甚至连互联网也只是处于萌芽阶段,所以WTO的自由贸易规则无法涵盖对数字贸易环境下的数据跨境流动的规制。《TPP协定》虽然在电子商务相关内容中对数据跨境流动做出了有约束力的承诺,并在促进数据跨境流动和确保数据安全之间进行了平衡,一方面要求各缔约方允许出于开展业务所进行的电子信息跨境转移,另一方面允许各国有各自的监管要求[21]94,但由于美国的退出,该协定的实施处于不稳定状态,甚至成员国日本一方直言,没有美国的存在,《TPP协定》没有意义。所以到目前为止,对数据的跨境流动仍没有统一适用的规则。
比较典型的经济体之间的双边协定是2000年美国商务部与欧盟委员会达成的《安全港协议》,其核心内容就是七项隐私权规则。出现棱镜门事件后,因个人信息保护问题,欧盟与美国之间关系紧张,美国为保证其国内企业能够继续在欧盟开展贸易,迅速与欧盟磋商,双方于2016年达成新的框架性协议,即我们所熟知的《隐私盾协议》,弥补了《安全港协议》的缺陷和弊端。该协议对美国入盾企业提出新要求,即要求美企对欧盟公民数据实行更充分的保护。协议从实质上看仍旧是美国与欧盟之相互妥协的结果,但在客观上提高了美国国内对数据的保护水平[6]。欧盟一直以来对数据严格保护,美国则一直奉行宽松的数据保护政策。欧盟不要求入盾企业一定要达到GDPR的要求,但要求至少达到《隐私盾协议》的要求;美国也在客观上提高了国内对数据的保护,并做出了妥协和让步。这是一个很好的信号,通过双边协定的达成可以实现双赢,也即至少可以在两个经济体之间实现数据跨境流动与数字经济发展的平衡。但双边协定的谈判成本高、时间长且只能适用于双边也是需要注意的问题。
在此背景下,各国纷纷开始寻求多方磋商,举办各类互联网大会、数字经济大会等寻求解决问题的统一规则。2019年6月9日在日本召开的二十国集团贸易和数字经济部长级会议讨论了跨境电子交易的规则制定问题,并首次讨论了人工智能问题,提出解决与AI相关的隐私保护与数据安全问题。这是一次有益的尝试,将困扰世界各国的数字经济发展趋势、人工智能技术与安全风险、跨境电子交易规则制定、公平与自由的贸易环境、WTO改革问题放在世界级平台上进行探讨磋商,这些问题无一不关乎世界各国的共同利益,需要各国共同参与,提出本国方案,在各方利益平衡的基础上达成多边贸易协定,以制定一个全球统一适用的新规则。但仍应注意到,一项多边规则的产生并不是一蹴而就的,它需要多方共同努力并达成一致。中国要发展本国的数字经济,就必须在国际层面上积极参与规则制定,提升在规则制定中的话语权,以期能够制定出一套符合中国现阶段发展利益的统一适用的国际规则,这也是未来中国在国际谈判中应当秉持的立场与原则。
(2)国内层面:借鉴域外经验统一立法
对于人工智能时代数据跨境流动,我国尚未形成统一的法律规制体系,而是分散在各部门规章、地方性规章等规范性文件中。从目前立法状况看,我国对数据跨境流动的限制比较严格,而贸易自由化的发展客观上需要数据可以更自由地跨境流动,如果制定过于严苛的限制数据跨境流动的法律制度,则在很大程度上会限制本国互联网等相关企业的科技创新与可持续发展。我国应借鉴国外有益的经验与实践,如美国互联网企业的快速发展就得益于其自由的数据流动政策,而欧盟严苛的数据保护制度则限制了本地互联网企业和数据收集传输企业的发展,故在未来我国针对数据跨境流动统一立法时,应充分思考这个问题。
第一,我国立法可借鉴美国自由的对外贸易政策。
美国持自由的对外贸易政策,这是因为美国国内法是与国际法紧密联系的。美国的国内立法很大程度上是基于国内企业的利益诉求,由于美国是互联网大国,其将互联网企业的利益纳入对外贸易政策的制定中。其国内对互联网企业的约束较少,规定的责任范围较窄,减少政府对数据流动的监管,从而为国内企业的发展创造自由宽松的社会环境。反映到国际层面就表现为美国政府为支持其本土企业的对外扩张,力推数据跨境自由流动,为企业的全球化布局提供政策保障,这为其国内企业及国家带来巨大的收益,比如全球互联网巨头大多来自美国。通过借鉴美国国内立法经验,不仅可以推动中国数字贸易的发展,也可以平行对接美国立法中有关数据跨境自由流动的标准,提高互认度与互操作性,这样将会降低中国企业在美国运作的合规成本,甚至在未来中国企业和美国企业可以在技术层面强强联合,中国数字企业、互联网企业的国际竞争力将会大大增强。
第二,我国可借鉴欧盟立法的及时性,加速立法进程,在客观上提升我国国际规则制定的话语权。
尽管欧盟域内极其严苛的数据跨境流动政策与我国实际不符,但不可否认,欧盟根据其盟区内情况进行的立法,在某种程度上主导了在数据跨境自由流动层面的规则制定权。2016年,在欧盟通过GDPR之后,美国各州也开始修订本州的法律,中国、日本、新加坡等众多国家以GDPR及其附属文件为蓝本,制定修订了自身的数据保护规则,GDPR在客观上成为数据保护领域的“达摩克利斯之剑”(8)中国信通院《数字经济治理白皮书(2019)》, 2019年12月26日, http://www.caict.ac.cn/kxyj/qwfb/bps/201912/t20191226_272660.htm, 2020年1月12日。。欧盟通过颁布GDPR统一了欧盟市场,其实是利用区域的市场准入来扩大其域外监管的权力,提升了欧盟利用市场标准参与全球事务的话语权[17]28。欧盟通过及时的域内立法,掌握了对欧盟以外独立的第三国关于数据保护“充分性”的评估权,客观上扩大了欧盟在国际规则制定中的影响力。
当前正处于世界数据跨境流动规则制定的关键期,各主要国家都在努力构建国内制度、政策模板,企图通过扩大自身在数据流动领域影响力的方式,将国内政策导向推向国际规则层面。此时,在欧盟与美国分歧较大且短期内无法达成一致的情况下,中国应抓住机会,明晰方向,及时立法,以扩大中国的影响力,进而抓住未来数字经济的时代红利。
第三,我国立法应把握世界经济发展的未来趋势,顺势而为。
我国立法在关注有利于产业利益的对外贸易政策的同时,亦应考虑行业发展的前景以及世界经济未来的发展趋势。世界经济未来的发展趋势就是在人工智能、大数据等信息技术的推动下的数字贸易,整个人类也正在迈入数字全球化时代,那么就不能逆时代潮流,而应积极拥抱数字全球化,支持数据的跨境自由流动,通过国家立法的方式,将鼓励数据跨境自由流动的贸易政策固定下来,为我国数字企业的发展保驾护航。
与此同时,我国在立法时也应注意,如果可通过其他方式来维护国内公共利益、网络安全、国家安全,那么就应减少数据本地化措施立法。我国高度重视公共利益、网络安全、国家安全,提出“网络安全就是国家安全”,提出数据本地化的措施,加强数据的传输本地化、存储本地化。而这种做法容易被美国等鼓吹数据跨境自由流动的国家诟病为“数据保护主义”“数字贸易壁垒”,从而使我国企业被限制,这既不利于我国企业参与国际数字贸易竞争,亦不利于我国争取国际规则制定的话语权。每一个国家都有义务维护国家安全,而维护国家安全、网络安全、社会公共利益并不是只有通过明面上的立法才能实现。国内数据本地化立法不仅收益甚微,客观上也对中国企业走向世界造成实实在在的阻碍。所以,通过扎扎实实提高技术水平来保障数据安全,远比通过出台容易遭人诟病的法律来得实在。我们不应主次颠倒,舍本逐末,而应在认清世界经济未来趋势,提高我国科技水平、信息技术水平的基础上,制定出“良法”,如加强消费者隐私保护、加强知识产权保护等,既能维护我国网络安全、社会公共利益,又符合国际对一个法治国家的要求,而不是实行简单粗暴的数据本地化措施。我国应通过国内立法的完善,将国内法推向国际多边层面,从而提升中国在数据跨境自由流动方面的规则制定的话语权。
鉴于人工智能时代数据跨境流动的特殊性,针对数据类型中信息数据范畴,应将立法的重点放在个人隐私保护、创设专门机构监管上;针对作为知识产权保护的技术数据范畴,则应提高我国知识产权保护的标准和保护力度。同时应制定促进国内数据自由流动的政策,使我国国内的技术数据可以形成强大的凝聚力,参与全球数字经济市场的竞争。
2.标准层面:标准助力数字经济发展
(1)统一通用标准
通用标准的统一,将会为企业大幅降低政策成本与运营成本,从而使企业可以更好地参与数字经济的竞争。我国《新一代人工智能发展规划》明确提出了建立人工智能技术标准和知识产权体系,并逐步在隐私保护、网络安全等方面形成新标准,但《人工智能标准化白皮书(2018)》提出了标准化面临的挑战,落脚点在于我国技术水平的限制导致无法统一人工智能的标准。即使目前我国技术水平没有达到世界先进水平,在有些领域我国也是有发言权的,比如华为的5G技术将推动世界通信基础设施的巨大进步,我们应在自己有能力的、具有发言权的科技领域积极参与并先行制定通用标准,因为在数字经济背景下,世界经济局势风云变幻,及时抢占人工智能等先进技术的高地,才有可能争夺新一轮数字经济竞争及世界贸易规则制定的主动权与话语权。
国内要统一标准,在企业间形成凝聚力。我国人工智能、大数据等技术的发展如火如荼,但国内各大数据公司收集的丰富的大数据资源并没有汇聚成一片海洋,而是以碎片化方式形成了一个个“数据孤岛”[22]。所以在通用技术标准层面,我国不仅应主动参与国际人工智能等技术标准的制定,在国内也应积极推动拥有人工智能、互联网、云计算、大数据等先进技术的各企业形成技术联盟,使得国内的技术数据可以在我国企业内部之间自由流动,避免在我国企业间形成技术限制,从而在国内形成凝聚力,使各企业共享数据流动带来的红利,提高我国企业在国际数字经济市场的整体竞争力。
(2)提高应对数据安全事件的能力
在数据跨境传输过程中有一个问题需要引起我们的重视,即在欧盟GDPR中提到的“被遗忘权”,案例起源于西班牙谷歌案,该权利内容指当个人数据对于实现其被收集或处理的相关目的不再必要时,数据主体有权要求数据控制者删除关于其个人的数据[23]。该案例从侧面说明个人数据一旦被收入互联网便会一直存在于网络空间,因为我们通过现有的技术是无法精准跟踪该数据去过哪些网站、经过哪些渠道,这就使数据不会从根本上被删除,意思是即使通过谷歌网站删除该数据主体的个人数据链接,也可能会从其他网站查询到该数据,目前最先进的人工智能技术、物联网技术、云计算技术等都对其收集的数据不具有真正的控制权,数据收集者或使用者不可能对数据实现真正的控制,一旦数据进行跨境流动,则面临更加严峻的数据控制难题。这就要求如果要通过数据流动释放数字经济的红利,同时又要确保数据安全,那么核心路径就是提高技术水平,只有这样才能应对目前数据跨境流动下严峻的数据安全形势。
人工智能技术在经济领域的运用,使得跨境数据不仅包含消费者个人信息数据,亦包含技术数据本身。当前各国纷纷将人工智能、大数据、云计算当作当今世界贸易市场中的核心竞争力,中国也不例外,我国将人工智能视为下一个赶超西方发达国家的重要途径,因此在推动上不遗余力,而当前中国人工智能法律在实践中遇冷,某种程度上更多的是技术而非观念所致[24],如不能妥善处理好数据安全事件,将会对我国的科技实力、综合国力产生重大影响,亦会严重影响我国数字经济的发展。技术是目前一个国家科技最核心的竞争力。
在当前国内环境下,国家应加大对数据基础设施的投入,加速5G商用进程,并由互联网巨头企业牵头带动其他企业改进技术,积极建立数据基础设施的互操作性连接,促进国内通用技术数据在国内企业之间的自由流动,形成全方位联动机制,使企业内部形成有效的统一体,提高整体应对数据安全事件的能力,从而确保数据流动的安全。另外,要加大对技术人才的培养,将高等院校的科研成果及时转化为技术支持,提高技术水平,加快科研人才在企业之间的流动,促使国内各企业共享技术发展带来的产业红利,从而提高我国在世界数字经济时代的整体竞争力,提升在国际规则制定中的话语权。
五、 结 语
迅猛发展的数字经济日益成为世界经济发展的强大驱动力,数字经济的全球化使得数据的跨境流动不可避免,数据跨境传输在释放大数据红利的同时,亦面临技术数据被窃取、信息数据被泄露的数据安全问题。本文通过分析典型地区和国家对数据跨境流动的态度,以及我国数字经济发展现状与规则,提出我国在现阶段应支持数据跨境流动,并在此基础上提出支持数据跨境流动的中国路径:在规则层面上,我国在国际上应积极参与数字贸易规则与数据跨境流动规则的制定,在国内应尽快出台规制数据跨境流动的法律及相配套的具体实施办法;在通用技术标准层面,应通过先进技术来保证数据跨境流动的安全,在我国有实力提出国际技术标准的技术领域要敢于创立国际新标准,并在国内形成整体竞争力,共同助力我国数字经济的大发展。