数字经济时代对跨境数据流动监管的思考*
2022-02-12郭滕达
郭滕达
(中国科学技术发展战略研究院,北京 100038)
跨境数据流动的概念始见于1980年经合组织(Organization for Economic Co-operation and Development,OECD)制定的《关于保护隐私和个人数据跨境流动指南》,将跨境数据流动概括为个人数据跨越国境的活动[1]。1982年,联合国跨国公司中心(United Nations Commission on Transnational Corporations,UNCTC)将跨境数据流动界定为跨越国界的机器可读数据的处理、储存或检索[2],不再局限于个人数据,把可读数据跨境处理、存储等活动都纳入跨境数据流动考虑范围。数字经济时代,互联网为政府和社会提供了即时的跨境连接和域外接触,无需考虑地理因素,数据跨越国界的传输、处理等均可视为跨境数据流动。当前,全球关于数据监管的措施日益增多。各国政府限制跨境数据流动的表现方式主要有以下三种:一是限制金融等特定类型的数据在境外传输;二是限制敏感或与国家安全有关的数据在境外传输;三是出于隐私保护实施本地化限制,即通过颁布法规使得数据传输变得复杂,令一些实体只能将数据存储在本地。国外一些学者、机构统计认为,限制跨境数据流动会对一国的贸易、经济产生重大负面影响。一是大幅减少贸易总量。美国信息技术和创新基金会(Information Technology&Innovation Foundation,ITIF)根据OECD的市场监管数据估算,一个国家的数据限制性指数每增加一个单位,其贸易总产出就会下降7%,生产率则下降2.9%[3]。二是对关键行业造成冲击。贸易协会Digital Europe认为,欧盟制造业因跨境数据流动限制将每年损失610亿欧元,信息通信、媒体、文化、金融等行业也将受到严重影响,可能失去约10%的出口份额[4]。三是增加企业成本。当数据流动受到限制时,企业不能自由地选择最方便或最便宜的数据处理平台,在传输数据时,可能将支付更昂贵的费用。一项研究发现,如果限制本地企业向海外传输数据,企业的计算需求可能会使其增加30%~60%的成本[5]。
我国对跨境数据流动的研究主要集中在跨境数据流动的法律机理[6],美欧数据流动治理范式、博弈[7,8],跨境数据流动影响的实证研究[9]等。本文试图从国与国之间竞争、合作的角度分析全球主要国家/地区的相关政策特点,并重点基于美国的政府政策、核心智库观点来探讨美国的跨境数据流动监管实践,期望对我国有所启示。
1 全球跨境数据流动监管措施主要考虑因素
从全球跨境数据流动监管实践来看,所考虑因素主要有以下三个方面。
1.1 跨境数据流动对国家安全的威胁
俄罗斯、美国等主要国家十分重视跨境数据流动可能引发的国家安全问题。俄罗斯侧重于实施以国家安全为中心的跨境数据防御措施,颁布了第242-FZ号联邦法律《俄罗斯关于信息和电信网络中个人数据处理的若干法案》,要求所有在俄罗斯开展业务的公司,都须在俄罗斯处理和存储他们收集的与俄罗斯公民或其他居住在俄罗斯的个人有关的个人数据[10];2021年7月1日生效的第236-FZ号联邦法律《关于外国主体在俄罗斯联邦境内从事“互联网”网络活动》要求,每日拥有超过50万俄罗斯用户的外国信息资源所有者需要在俄罗斯联邦设立分支机构、代表处或授权法人实体[11]。美国严格限制可能影响国家安全的数据流动,拜登2021年6月签署的“保护美国人敏感数据免受外国对手攻击的行政命令”[12]提出,美国必须采取行动,防范由外国对手拥有或控制的个人提供的相关软件应用程序风险,将数据安全风险评估提上日程。
1.2 限制跨境数据流动对行业发展的影响
一些国家或地区在人工智能、隐私增强等方面的技术水平较为领先,数字基础设施较为发达,跨境数据自由流动会为其创造更高的数字贸易价值,故而往往提倡更为自由的跨境数据流动。而数字技术和相关基础设施相对较弱的国家或地区基于贸易保护和“数字主权”发展等考虑,一般会对跨境数据自由流动持较为保守立场。相对而言,美国、日本,以及一些国际组织是全球跨境数据自由流动的有力倡导者。美国在美韩自由贸易协定、美墨加协定中,都将跨境数据自由流动作为原则性条款纳入;日本提出了“数据自由流动与信任”的概念,并获得了G7和G20的赞同[13]。此外,一些国际组织,特别是联合国贸易和发展会议(United Nations Conference on Trade and Development,UNCTAD)、世界贸易组织(World Trade Organization,WTO)正在努力减少跨境数据流动的障碍,以期推动国际经贸合作。UNCTAD认为,各国应放弃孤岛模式,转向更加全面、协调的全球化模式;呼吁创建一个新的国际机构,专注于数据治理,让发展中国家和所有利益相关者充分参与[14]。代表世界贸易90%份额的76个WTO成员于2019年1月发起“电子商务诸边谈判”,旨在制订电子商务/数字贸易领域的国际规则,以适应经济的全球化和数字化发展[15]。WTO成员之间就有关数据本地化标准制定和规则谈判的重要性,以及其如何影响国际商业和贸易进行了一系列对话。例如,在2021年5月的电子商务谈判中,WTO成员强调,需要就数据本地化任务制定明确的指导方针,促进数字包容[16],但截至目前仍没有重大进展。
1.3 跨境数据流动对隐私保护的挑战
欧盟对隐私保护十分关注,采取间接的数据本地化要求,对内构建单一数据市场,对外基于“充分认定”原则来保障数据流动安全。欧盟颁布的《通用数据保护条例》强调个人对数据的控制,认为对跨境数据流动的监管首先基于对个人基本权利和价值观的保护;个人数据可以在欧洲经济区国家以及被认为在数据保护方面足够安全的选定国家之间自由流动。除此之外,欧盟已经于2021年投入运营数据基础设施GAIA-X,致力于创建一个欧洲云系统,以结束对美国云企业的依赖[17];GAIA-X的建设可能伴随着更严格的数据本地化和许可要求。韩国[18]、印度[19]、巴西[20]等国家都已经颁布了基于GDPR的数据保护法。
2 美国跨境数据流动治理实践
总体而言,全球数字经济的主要参与者之间监管政策差异很大,地缘政治、经济发展等因素直接或间接地对一国跨境数据流动治理模式产生影响。其中,美国依托其技术和话语权优势不断扩张数据管辖范围,相关政策实践和核心智库提议值得我国高度关注。前文已经提到,美国在多个对外合作协定中,都将跨境数据自由流动作为原则性条款纳入,但2021年6月拜登签署的“保护美国人敏感数据免受外国对手攻击的行政命令”[12],与美国关于数据应跨越国界自由流动的一贯立场相悖。不难发现,美国一直在倡导有条件的跨境数据流动。
2.1 美国政府积极推动全球主要地理区域跨境数据自由流动
1)在印度—太平洋地区达成促使数据自由流动的数字贸易潜在协议。相关研究表明,美国政府一直在推动与印度—太平洋地区的主要盟友和伙伴就数字贸易达成潜在协议,以替代中国等国家倡导的互联网治理模式[21,22]。
2)协调美欧跨大西洋数据流动立场。美欧关于跨境数据流动的联系较为紧密。美国—欧盟伞式协议[23]、美国—欧盟恐怖分子资金追踪计划协议[24]、《明确境外合法应用数据法案》(The Clarifying Lawful Overseas Use of Data,CLOUD法案)下的英国—美国协议[25]等均涉及隐私保护、促进跨境数据流动的内容。但是,美欧关于跨境数据流动的分歧也一直存在,早在2016年就围绕隐私保护问题进行了谈判[26]。2020年7月,欧盟法院宣布美国—欧盟数据传输框架无效,理由是担心美国监管机构没有为欧盟互联网用户提供足够的隐私保护[27]。当前,美欧以新的数据传输协议取代隐私保护的谈判仍在进行。2021年,美欧贸易和技术委员会(U.S.-EU Trade&Technology Council,TTC)宣告成立,美国战略与国际问题研究中心(Center for Strategic and International Studies,CSIS)[28]、新美国安全中心(The Center for a New American Security,CNAS)[29]等智库都提出,美国应利用TTC论坛,在数据隐私、安全和跨境流动方面协调跨大西洋立场。
3)在亚太地区利用亚太经和组织(Asia-Pacific Economic Cooperation,APEC)的跨境隐私保护机制(The APEC Cross-Border Privacy Rules System,CBPRs)建立全球数据隐私框架。美国、澳大利亚、加拿大、中国台北、日本、墨西哥、新加坡、韩国已经加入了CBPRs[30];苹果、思科、IBM、腾讯(在新加坡的实体)和万事达卡等约40家企业也参与其中,在这些企业中,美国企业占据大多数,具有绝对的话语权。ITIF建议,美国、澳大利亚、加拿大、日本、新加坡等国家应利用APEC的CBPRs,创建一个全球互操作的数据治理模式[3]。CSIS提出,美国应从与《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)对接开始[28],开展亚太地区的数据治理工作。
4)积极与发展中国家就数字治理问题进行接触。美国国际开发署(U.S.Agency for International Development,USAID)于2020年4月发布《数字战略2020—2024》[31],该战略旨在实现开放、安全、包容的数字生态系统,增强USAID伙伴国家的自力更生能力。USAID开发了DECA[32]决策工具,帮助USAID特派团、其合作伙伴和其他相关利益攸关方确定机会,最大限度地获得利益。ITIF认为,美国应与发展中国家复制和扩大美墨加协定模式,将美国的双边援助和多边努力集中在提高整个发展中国家的数据素养上[33]。CSIS提出,为了有效应对中国的技术攻势,民主社会需要联合起来,为自己提供替代方案,继而向发展中国家提供[34]。
2.2 美国政府颁发法案/行政令对战略竞争对手实施严格数据管控或长臂管辖
1)以严格数据流出管控为重心进行属地主权治理。在积极拓展数据流入、攫取境外数据资源与管辖权利的同时,美国进一步严格限制本土数据外流,因循传统属地原则,限制美国本土数据、技术与服务流出[35]。例如,早在2011年,美国与国防相关的联邦政府机构就要求使用特定的美国云服务(Gov Cloud),并在ICT合同中规定数据需在本地存储[36]。2021年,拜登政府提出,通过操作美国的信息和通信技术设备可以访问和捕获用户提供的大量信息,包括美国人的个人信息和专有商业信息,这可能会为战略竞争对手带来获取这些信息的机会,因此责令美国商务部进行风险评估,以保护美国个人敏感数据[12]。
2)不断强化对域外的长臂管辖。2018年,美国政府颁布的CLOUD法案在域外数据获取与国际管辖争议上进一步强化属人管辖原则,要求美国企业遵守美国国内搜查令上交数据,不管这些数据是否存储在美国。CLOUD法案也被认为是对抗数据本地化的直接工具,为“合格外国政府”请求数据建立了流程框架。为了满足“合格外国政府”的定义,其他国家必须与美国签订行政协议,以书面形式向美国国会证明其满足相应标准。2020年生效的美国《外国投资风险审查现代化法案》(The Foreign Investment Risk Review Modernization Act,FIRRMA法案)细则允许美国外国投资委员会(The Committee on Foreign Investment in the United States,CFIUS)对涉及关键技术、关键基础设施或敏感个人数据业务的美国企业的非控制性外国投资开展审查。
3 我国跨境数据流动监管存在的主要问题
我国的数据治理基本架构体系经过多年的建设和完善,基本形成了由互联网信息内容管理、网络安全多层次保护、关键信息基础设施安全保护、个人信息和重要数据保护、网络产品和服务管理、网络安全事件管理等构成的多维体系,在跨境数据流动方面将网络安全和国家安全作为重要前提。面对美国等国家对我国跨境数据流动的施压,本文试图从技术和规则两个角度来分析我国迫切需要解决的问题。
1)促进跨境数据流动的相关技术供给能力不足,无法有效统筹发展和安全
在数据流量测量能力方面,目前国际相关统计 数 据 大 多 是 由TeleGeography、Cisco或International Data Corporation等私营企业提供,缺乏官方统计数据[14]。我国在跨境数据流入、流出测量等方面尚未形成完善的分析体系,很多数据源自国外私营企业,不利于对跨境数据流动影响进行准确评估。
在隐私增强技术方面,以差分隐私为代表的隐私增强技术目前已经得到美国政府、企业和研究人员的广泛采用。美国政府将其用于人口普查的信息披露[37],苹果公司用其来分析用户数据[38],谷歌公司发布了开源版本的差分隐私库[39],加州大学伯克利分校研究人员提出“弹性灵敏度”概念,将差分隐私扩展到真实世界的SQL查询中[40]。需要认识到,差分隐私技术的基本理论都来源于国外[41],在我国政府部门的应用目前还没有展开;在全同态加密领域,我国的学术机构、企业贡献较少,企业一般只使用难度较低的单同态算法,所解决问题非常有限;在可信执行环境领域,目前成熟的解决方法都是基于Intel SGX技术,信任根源在美国。
2)促进跨境数据流动的治理体系不完善,在制度、创新生态、融入全球网络等方面还存在短板
在细则方面,欧盟基于个人利益保护的价值观构建了相应的规则体系,相对较为全面。我国的《网络安全法》和《数据安全法》虽然对跨境数据流动做出了相关规定,例如,《网络安全法》要求关键信息基础设施的运营者在我国境内运营过程中收集和产生的个人信息和重要数据应当在境内存储,但是尚未明确细则,尤其是在鼓励跨境数据流动方面未出台相关细则。
在数据生态系统构建方面,美国的数字平台企业正在不断扩展自己的数据生态系统,最大的数字平台企业,苹果、微软、亚马逊、谷歌、脸书等投资了全球数据价值链的各个部分[14]。与此同时,欧洲数字技术行业正在面临衰落[42,43],我国的数字平台企业全球影响力仍然有限。美国在全球数据治理方面逐渐构筑数字垄断围墙,全球跨境数据流动监管的一致性将越发困难。
在参与全球治理方面,美国正在印太、亚太等地区加大推行自己的数据治理模式,同时积极与发展中国家接触,试图提供数字治理替代方案。我国所在的亚太地区的跨境数据流动机制主要有两个,其一是APEC所倡导的CBPRs;其二是东盟着力构建的跨境流动机制,从试点角度探索协调数字监管,将新加坡、印度尼西亚、菲律宾、越南纳入试点范围[44]。当前,我国参与全球跨境数据流动的程度还不够深入,在亚太地区的数据治理模式影响力十分有限,加入DEPA的效果还有待观察,亟待团结更多合作伙伴,确保一些国家和地区能够享受到数据驱动创新带来的巨大好处,进而做出符合我国利益的数据治理模式选择。
4 思考和建议
数据流动是数字经济的生命线,全球关于跨境数据流动的监管尽管不是零和博弈,但却往往陷入两难抉择。从经济学视角来看,数据的重要特征在于可重复利用性,只有流动才能重复利用,并产生真正的价值;促进跨境数据流动已经成为提升数字经济发展质量,确保全球互联互通的重要途径。从政治学视角来看,对跨境数据流动应在既定空间秩序下进行监管。尽管跨境数据流动是推动数字经济发展的重要驱动力之一,但是因为数据中携带海量信息,加之其治理体系不甚完善,很多国家将限制数据流动视作维护国家安全、保障行业良性发展、保护个人隐私的有效方式之一。通过上述分析,结合全球主要国家尤其是美国的监管实践,本文认为应从包容性的视角看待跨境数据流动,既认识到跨境数据流动的必要性,同时也要以国家安全等为要义建立适当的保障措施,从技术、规则等角度提升我国跨境数据流动治理能力。
1)提升数据流量测量技术水平,准确研判跨境数据流动对我国经济和安全的影响
提升我国政府与数字经济相关的统计测量能力,明确与跨境数据流动有关术语的界定。对我国跨境数据流动的经济价值和国家安全影响进行数据分析和趋势研判,跟踪分析、预测、评估我国加入DEPA后产生的影响。
2)鼓励隐私增强技术研发和应用,防范数据控制权个人私有模式风险
鼓励开发和部署与跨境数据流动相关的关键技术和技术平台,加大对隐私增强技术的研发投资;促进政府部门和私营部门合作,制定一些自愿共识标准,将隐私增强技术纳入数据收集和使用过程;鼓励相关技术社区发展;制定与技术发展相协调的创新政策,在隐私与监管中寻找平衡;密切关注wnCloud、nextCloud等面向隐私的开源软件,以及Digi.me、Meeco等初创企业的动态,防范数据控制权个人私有模式带来的风险挑战。
3)完善跨境数据流动治理细则,从试点入手探索监管创新
准确划分各类关键数据,依据数据类别,有针对性地制定促进和保护跨境数据流动细则和方案;探索跨境数据流动监管试点机制,在有条件的地区开展国际数据交互试点(例如,鼓励数字经济发达的地区与东盟等开展数据交互试点);以我国申请加入DEPA等为契机,推动更大范围内的区域数据跨境自由流动。
4)缩小数字鸿沟,扩大我国在亚太等地区的数据治理影响力
加强我国与亚太等地区政府部门和企业间对话,以便利数据共享。借助“数字丝绸之路”鼓励和支持相关国家广泛采用信息和通信技术,改善其数据创新基础设施,搭建平台培养相关国家的数据技能,弥合数字鸿沟。加强与国际组织的合作,密切关注UNCTAD提出的建立全球治理机构的建议;跟踪CBPRs等数字经济伙伴关系模式进展。