东盟跨境数据流动治理的机制构建
2022-03-10刘箫锋刘杨钺
刘箫锋 刘杨钺
【关键词】 跨境数据流动 东盟 数据治理 数字经济 周边
【作者简介】 刘箫锋,国防科技大学文理学院硕士研究生(长沙 邮编:410073);刘杨钺,国防科技大学文理学院教授(长沙 邮编:410073)
【中图分类号】 F114.46 【文献标识码】 A
【文章编号】 1006-1568-(2022)02-0123-25
【DOI编号】 10.13851/j.cnki.gjzw.202202007
跨境数据流动是指数据经由通信系统在不同国家或地区之间进行跨越地理疆界的运动,其主要形式包括数据的传输、存储、处理和访问。 跨境数据流动的治理是一项系统工程:一方面,数据作为基础性战略资源,其跨境流动关系到国家战略资源安全,因而有必要对一些关键数据进行本地化保护;另一方面,随着数字经济和服务贸易的发展,数据跨境流动越来越成为对外经贸往来的必要条件,过度保护在一定程度上会制约本国经济的发展。
长期以来,以欧美为代表的西方国家在其发达的网络技术和设施建设的基础上,借助其标榜的“人权至上”“贸易自由”价值取向,率先建构起系统化的制度以及多层次的司法机制,推行“长臂管辖”和“充分性保护”原则,在国际竞争中维护优势地位。广大发展中国家和地区则更迫切需要抓住数字经济发展的契机,通过构建和完善一套符合本国或本地区发展利益的跨境数据流动治理机制,保证本国或本地区数字经济发展和数据安全。
东盟作为以新兴国家为主体、以经济合作为基础的地区一体化合作组织,经济增长前景广阔、国际地位日益凸显,在参与地区性经济合作组织和双边、多边经贸往来的过程中,逐渐形成了一套区域性的跨境数据流动治理机制。其中,东盟既借鉴了新兴国家如中国的数据管理和保护措施,也借鉴了地区一体化联盟如欧盟的协调成员国跨境数据流动的措施。尽管东盟内部的网络技术和数字经济发展存在不均衡的情况,各国间经济、政治、宗教、文化差异也较大,但东盟能够以灵活性、指导性、统一性的规制增强各自网络安全和数据保护水平,构建本地区跨境数据流动国际规制,以其新兴国家的一体化优势获得更多全球竞争力和国际话语权。
对于中国而言,无论是从地缘政治、周边环境,还是从经济、贸易往来等角度考虑,通过提出“一带一路”倡议特别是建设“21世纪海上丝绸之路”、签署《区域全面经济伙伴关系协定》(RCEP)等方式重点发展与东盟国家的关系,都符合中国的国家利益。 2020年以来,在多重不利因素影响下,中国与东盟的经贸往来逆势增长,显示了双方良好的合作前景。同时,中国与东盟的经贸合作尤其是数字经济合作在逐步增进,正成为创新引领国际合作的新动能。有鉴于此,本文拟通过分析东盟跨境数据流动治理机制构建的原因,梳理该机制的构建过程,探讨其治理特点,形成对东盟跨境数据流动治理机制构建的整体性认识,以便为促进中国与东盟的数字经济合作与数字治理合作提供建议。
东盟的跨境数据流动治理,不仅涉及东盟各成员国的政策制定,更关系到区域治理和地区长期发展战略。从数字经济发展趋势以及东南亚地区发展前景来看,这一机制的构建符合东盟区域一体化建设的需要,可以在有效保障本地区数据资源安全的前提下,抓住数字经济发展契机,有效改善东盟地区整体网络设施建设和经济发展格局;从国际治理和地区发展战略来看,该机制将极大增强东盟参与国际事务的竞争力和话语权。
2015年12月,东盟共同体宣布成立, 东盟区域一体化取得了具有标志性意义的成果。东盟共同体由三部分构成,分别是政治—安全共同体、经济共同体和社会—文化共同体,其中,经济共同体是三部分中建设最早、一体化水平最高并且收效最明显的部分。 各种经济要素的跨境自由流动是东盟经济共同体建设的必要条件。 东盟规划的经济共同体建设的前景,首先是“高度一体化且富有凝聚力”,目标是让本地区的货物、服务、人才、资本、投资和技术等诸要素在东盟内部实现“无缝流动”(seamless movement),以提升東盟地区生产和贸易的网络化水平,形成“统一化”的东盟市场。在数字经济的背景下,诸多经济要素的跨境流动必然伴随着海量的数据流动,东盟可以通过利用经济全球化和数字经济发展大趋势,“进一步最大限度地扩大区域一体化与合作的好处,例如扩大相互关联的全球跨境流动和加快数字技术进步”。
而在政治—安全共同体建设方面,东盟则需要进行多种信息共享的数据库建设,以共享涉及国家和地区安全、维持地区和平稳定的重要信息数据。例如“通过现有数据库增加跨国犯罪信息交流”,推动犯罪特别是网络跨国犯罪的数据交流共享;再如谋求建立“东盟成员国维持和平和冲突后建设和平能力数据库”,从维持地区和平的战略层面促进各国数据共享。同样在社会—文化共同体建设方面的信息共享和数据库建设也有很多。为应对自然灾害和公共卫生危机等风险挑战,东盟还主张“推广区域标准,包括评估、记录、计算灾害损失和损害的方法和工具”,建立共同的灾害评估信息系统,确保灾后救援、重建行动的统一性,并增强应变能力。
基于以上在经济、政治—安全、社会—文化等领域一体化建设中涉及的数据跨境流动问题,东盟采取了“数字一体化”治理机制,并于2018年通过《东盟数字一体化框架》(ASEAN Digital Integration Framework, DIF),作为指导该地区数字治理和数字一体化建设的综合性文件。
第一,从世界经济发展趋势来看,数字经济以其迅猛的发展速度和庞大的增长规模引领着世界经济增长的方向。预计到2022年,世界范围内将有60%左右的GDP被数字化,各行各业的经济增长点将一定程度上依靠“数字化增强的产品、运营和关系驱动”。就东盟而言,数字经济同样具有广阔前景。 此外,东盟的网络技术使用也在快速增长,到2030年,东盟的数字技术价值将高达6 250亿美元, 这将推动其数字经济增长6.4倍,即从2015年的310亿美元增至2025年的1 970亿美元。 东盟首脑会议已对数字经济发展进行了规划,标志着东盟将借助数字技术增加投资发展贸易,构建一个基于网络技术的商业平台。
第二,数字经济的快速运转伴随着数据的大范围流动,过分自由甚至混乱无序的流动既可能损害一国的商业利益,也将带来国家安全方面的风险挑战,对跨境数据流动的有效治理考验着东盟作为共同体的治理能力。在商业利益方面,数据泄露给企业造成严重的财务损失,增加运营成本,在短期内会影响组织的运营与合规性。 而在国家安全方面,东盟认识到不加约束的数据的跨境流动对本国的国家安全构成了严重威胁。东盟希望通过关键敏感数据的本地化,防止潜在的敏感数据落入不法分子之手。
总之,制定一个一体化的数据管理框架,形成跨境数据流动治理机制,对于改善数据治理和合理数据保护具有重要意义,这既能使组织间和国家间对数据共享产生信任,促进跨国贸易和数字经济增长,也能加强东盟各国境内关键敏感数据的有效保护,避免因数据泄露带来的安全隐患和经济损失。
作为在亚洲乃至世界舞台上地位日益上升的区域合作组织,东盟把谋求“东盟中心地位”作为其战略目标。“东盟中心地位”意在维护东盟在本地区的核心地位,坚持东盟自身的主导作用,避免东南亚的治理和发展被某些域外强国干预或操纵,从而维护东盟作为整体的核心利益。 在处理有关治理问题上,东盟逐步形成了“东盟方式”,并以此指导本地区的交流合作,促进团结和稳定。2021年10月,李克强总理出席第16届东亚峰会时,代表中方提出“支持东盟中心地位”的建议,强调中方“支持东盟以‘东盟方式’妥善处理有关问题”,表明了中国在东盟地位问题上的立场。
然而,自奥巴马政府时期美国出台“亚太再平衡”战略以来,东盟的“中心地位”面临被削弱甚至边缘化的危险。此后,特朗普政府力推“印太战略”,拜登政府积极酝酿新版本的“印太战略”等举措,使得域外大国战略计划对东盟中心地位的挑战愈发明显, 东南亚地区仍然可能成为西方霸权的竞技场。而在中美关系对抗风险加剧、“新冷战”倾向甚嚣尘上的国际环境下,东盟需要秉持在大国竞争中不选边站队的中立原则,从自身发展利益出发,独立自主地处理国际事务。
这一国际环境体现在数字信息领域,则是外部国际网络环境对东盟数字经济发展和网络安全的严重挑战。2015年第十四届东盟电信和信息技术部长会议使用了“cybersecurity”这一聚焦于外部安全的表述,认为网络安全的威胁主要来源于国外而非国内,将治理的重点放在建设防御性的壁垒, 而东盟内部的网络安全合作则聚焦于区域层面的协调合作、一致对外。
事实上,东盟国家采取的本地化管理和壁垒化保护的态度与西方国家鼓吹的“全球化”“自由流动”之间存在一定矛盾,其原因是当前全球网络空间制网权主要由少数技术发达国家掌握。这些国家利用技术优势推行网络霸权和“长臂管辖”,导致国际网络和数据治理存在不公平、不合理等问题,对东盟网络安全构成了挑战。美国东盟商务委员会(USABC)曾联合世界领先的专业服务机构德勒(Deloitte)发布《数字经济和数据的自由流动——推进东盟经济共同体建设》报告。报告极力渲染了数据“自由流动”对东盟数字经济发展和东盟经济共同体的作用, 而实际上,这份报告不仅带有美国商务部的官方面孔,还有思科、微软、谷歌、希捷等美国互联网巨头以及花旗、万事达等资本集团的支持,体现的是美国支持下的国际资本对于东盟网络主权和数字经济前景的干预。因此,制定东盟跨境数据治理的地区机制,在国际经贸合作和外交往来中形成本地区规则,能够在国际网络治理和数字经济往来中有效增加地区合力,防止受到外部国家“长臂管辖”等威胁。事实上,新冠肺炎疫情暴发以来,东盟的数字经济有了很大发展,东盟也积极与多国特别是东亚国家在相互尊重规则的前提下推进数字治理合作,例如,与中国举办数字经济合作论坛,与日本、韩国开展数字化文旅合作等,有效提升了东盟数字化建设在东亚地区的竞争力和话语权。
按照时间顺序和工作重点来看,整个东盟地区跨境数据流动治理机制的构建过程可以分为四个阶段。第一阶段是东盟成员国自行发展数据保护和跨境數据流动治理的探索阶段。第二阶段是东盟作为一个整体制定并通过个人数据保护框架,这一框架为数据跨境流动的治理提供了法律依据和共识前提。第三阶段是在东盟数字一体化框架下,综合进行数据治理和数据管理的宏观布局。第四阶段是落实推进数据跨境流动治理的具体措施和关键方法。
在东盟以集体形式系统制定跨境数据流动治理机制之前,以新加坡为代表的东盟成员国已经开始了本国的跨境数据流动治理工作。新加坡数据中心市场规模位列亚太地区首位,其数据基础设施建设水平也位于全球前列。 2020年以来,由于疫情推高了市场对数据存储、计算和网络的需求,新加坡数据中心的市场需求也在持续提高。 国内发达的数据基础设施和相对完善的治理规制极大提高了新加坡的数据管理能力。新加坡从21世纪初开始先后实施“智能城市2015”“智慧国家2025”战略,并投入政府、社会团体、科研院校、企业等多方力量促进数据中心建设和网络空间治理。 2012年新加坡推出《个人数据保护法》(Personal Data Protection Act, PDPA),并历经7年的完善和修订于2020年颁布修正案,其相关法案、规章制度和附属规则多达13部。 这些作为补充的相关法案既完善了跨境数据保护机制的运行,也为一些跨国企业在新加坡设立数据中心提供了弹性化、包容性和可操作性的法律保障,在此基础上形成了新加坡跨境数据流动的监管机制(见表1)。
表1 新加坡跨境数据跨境流动治理机制的内容。资料来源:作者自制。
此外,新加坡还积极寻求加入地区性国际合作组织,寻求区域内的数据自由流动。2018年,新加坡加入了亚太经合组织主导的“跨境隐私权保护规则体系”(Cross-Border Privacy Rules system, CBPRs)。 該体系涉及的业务规则主要包括对跨境隐私信息的评估、审查、认可和执行。通过加入该体系,新加坡使其国内机制主动对接国际数据保护规制,以便实现同CBRPs成员国的数据自由传输。作为东盟主要倡导国和东盟数字经济发展的龙头,新加坡在东盟跨境数据流动治理机制的构建中起到了引领和示范作用。新加坡以建设亚太地区数据中心为导向的发展规划,与东盟数字经济时代“东盟中心地位”的战略有着连贯性和契合性。新加坡在数据保护和数据跨境流动监管的过程中积累了可推广借鉴的经验,也为整个东盟跨境数据流动治理迈出了独立探索的一步。新加坡规制与东盟规制在审核批准、合同形式实施、监管机构设置等多个方面有着很大的相似性。
除新加坡之外,越南等国也积极推进本国的数字治理机制及其政策法规的构建。这些国家的数据法规建设涉及本国国情、区域治理与国际规制之间的互动。对于成员国个体而言,其法规制定的时间和方式存在差异,但是在区域层面,则更加体现了合作与协调的特点,为形成东盟作为一个整体的跨境数据流动机制提供了前提,也使得部分成员国在东盟跨境数据流动机制的形成过程中具有了一定的领导力和话语权。
由于网络基础设施和经济发展水平差异,东盟成员国跨境数据流动治理机制构建的进程存在差异性,对东盟跨境数据流动治理机制的态度呈现出多元样态。对于新加坡等互联网建设和数字经济相对发达的国家而言,其国内的法规制定引领了东盟整体机制构建的进程;而像越南、柬埔寨、缅甸等网络基础设施发展较晚的国家,更加重视网络主权和本土化保护,对于东盟机制则采取立足自身、有保留对接的态度;对老挝、文莱等正在进行网络基础设施建设或本身市场规模较小的国家而言,规则制定则处于一种跟跑状态,目前优先考虑使用东盟已有机制。
根据上文,新加坡、菲律宾、马来西亚等国在本国跨境数据治理的过程中起步较早,其治理首先从个人数据的保护入手。这些国家(包括后来的泰国)的个人数据保护规制与欧盟的《通用数据保护条例》(GDPR)具有一定的相似性, 因此东盟成员国的本地探索和欧盟这一地区性组织的区域探索,共同为东盟个人数据保护框架提供了借鉴。在区域层面,东盟认识到加强个人数据保护的重要性,希望在发展数字经济中促进和发展东盟成员国内部和相互间的贸易和信息流动,于是从个人数据保护入手,建立一套类似于新加坡《个人数据保护法》的约束性条款。 2016年,依据《亚太经济合作组织隐私框架》(APEC Privacy Framework)的要求和其他国际公认标准,在遵照各成员国现有国内政策法规的基础上,东盟颁布《东盟个人数据保护框架》(ASEAN Framework on Personal Data Protection),在东盟个人数据保护领域深化相互理解、信息共享、措施交流与合作,从成员国个体和东盟地区整体两个维度指导数据保护。 该框架是东盟作为整体治理数据传输和保护数据安全的起点,构成了整个东盟数据跨境流动机制的基石。
《东盟个人数据保护框架》的内容共11条17款,其中规定的数据跨境流动原则是个人数据保护六大原则之一。在审批措施方面,东盟采取主体同意方式,规定在将个人数据转移到另一个国家或地区之前,数据传输者应在进行海外转移之前获得数据主体同意,并采取合理措施确保接收组织将根据这些原则保护个人数据。这一点与新加坡《个人数据保护法》中的审批措施具有相似性,也印证了新加坡的探索对于构建东盟机制的意义。在数据保护的落实方式上,该框架要求“两个或两个以上的参与者以签订特定协议的形式,进一步加强在个人数据保护方面的合作,以推进框架的目标”,这里的参与者既包括数据控制者,也包括数据传输的双方(即输入者和输出者)。
在约束力和规范性上,该框架充分考虑到各成员国网络基础设施和数字治理法规的不同发展水平,在执行该框架方面保留了一定的弹性空间,明确了“参与者可以通过书面通知其他参与者来推迟框架的应用,直到其准备实施本框架”。正因为如此,这一机制以“框架”而不是“法令”或“规定”的形式制定,它仅作为体现东盟各国共识和愿景的指导性文件,不产生法律约束或强制执行的义务。当然,从以后的具体实践来看,该框架在很大程度上将发挥法律依据作用。
为了落实数字一体化框架下的数据治理,东盟于2018年12月颁布《东盟数字数据治理框架》(The ASEAN Framework on Digital Data Governance, DMF), 确定了东盟数字数据治理的整体战略重点、目标和倡议(见表2),指导东盟在数字经济中实施数字数据治理的政策和监管方法。
表2 东盟数字数据治理框架构成。资料来源:The ASEAN Framework on Digital Data Governance, the 18th ASEAN TELMIN Meeting, 2018。
2021年1月,第一届东盟数字部长会议出台《东盟数据管理框架》(ASEAN Data Management Framework, DMF),即前期规划时的《东盟数据分类框架》。 《东盟数字数据治理框架》是东盟在整个数据治理领域的宏观规划,而其中《东盟数据管理框架》又是其数据治理的基础。从名称的变化及其目标可以看出,数据管理的重点是进行数据分类、确定数据生命周期、构建数据生态系统。
数据分类是根据数据本身属性,采取适当的分类级别、分类技术、分类程序,对不同的数据采取特定的措施,以确保数据得到适当的管理。数據生命周期(Data Life Cycle)是数据从初始生成或捕获到其有用生命期结束时最终删除所经历的一系列阶段。如果说数据分类倾向于从横向管理,那么数据生命周期更倾向于纵向管理,旨在增强对数据各个生命阶段管理的针对性。根据数据所处生命周期阶段(如收集、使用、传输、静止、访问、存储)的差异性,对数据采取差异化的保护措施。这些保护措施的设计还考虑到基于业务性质和所提供服务类型的数据敏感性。
这样“一横一纵”的设计可以极大提高数据管理效率,有助于明确数据对于保护措施的需求。东盟希望构建起数据生态系统(Data Ecosystem),使数据与其存储、传输和使用的环境合为一体,数据与管理之间相互影响、相互制约。在《东盟数据管理框架》的指导下,东盟预期形成一个具备分类定性、用途界定、保护措施制定等多种能力的数据管理结构,作为数据控制方,提升东盟各类机构的数据管理水平, 促使他们按照管理要求妥善对待个人数据。同时,作为数据接收方,该框架可以对接国际数据管理标准,使管理方式符合国际客户及其所在国家或地区的有关要求,以更加规范的管理、更加良好的环境对接国外数字经济合作,抓住数字经济机遇。
东盟在数字数据治理框架下,设置了具体化的跨境数据流动战略重点,也就是狭义上的“东盟跨境数据流动机制”,这也是东盟目前正在推进落实的跨境数据流动治理的具体细化工作。2019年11月,东盟颁布《东盟跨境数据流动机制的关键方法》,明确将重点建立两个机制,即“东盟示范合同条款”和“东盟跨境数据流动认证”机制。
2021年1月,东盟发布《东盟跨境数据流动示范合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows, MCCs)。作为具体落实东盟跨境数据流动机制的第一步,该条款以示范性合同的形式为东盟成员国进行跨境数据传输的协议签订提供了蓝本。合同条款可以包含在跨境传输数据的各方之间具有约束力的法律协议中,用以明确跨境传输个人数据的关键问题。无论参与国有无各自的数据保护法规,都可以使用该示范合同条款作为数据传输的法律基础,依据MCCs及相关法律在东盟成员国之间进行数据传输。此外,东盟还鼓励成员国以该合同条款作为跨境数据传输的最低标准。该示范合同按照数据传输方式不同分为两种模板,分别是“从控制者到处理者传输”合同方案和“从控制者到控制者传输”合同方案。前一种情形的数据进口商是承包商或供应商,在这种关系中也称为“数据处理者”,他们代表数据所有者传输和处理数据,包括从数据处理者向下游数据处理者(又称“次处理者”)的继续传输。后一种情形则是指,数据传输的双方(出口商和进口商)均对数据有控制权,也就是说,进口商本身可以根据自己的需要处理传输的数据,在数据完成传输的同时,进口商获得数据控制权。
通过梳理东盟跨境数据流动治理机制的上述构建过程,我们可以大体勾勒出东盟跨境数据流动治理机制的全貌(见图1)。在完成跨境数据流动示范合同条款——东盟跨境数据流动机制实施的第一步之后,东盟还会就跨境数据流动认证的细节做出具体规定,出台“东盟跨境数据流动认证办法”,按照规划进程,已经颁布的示范合同条款和即将出台的跨境数据流动认证办法将会共同构成落实推进东盟跨境数据治理的两大关键措施,打通机制落地施行的“最后一公里”。从区域层面来看,该机制的落实推进规制正在制定中,由于新冠肺炎疫情等因素影响,很多线下的谈判沟通工作进展缓慢;而就区域内部的各成员国而言,该机制的实际应用存在一个不可忽视的限制因素,即成员国的互联网基础设施建设。整体来看,东盟的网络基础设施建设成果落后于需求,地区固定宽带覆盖率只有15%,除新加坡和泰国外,其余国家的网络连接速度均落后于全球的平均水平。
图1 东盟跨境数据流动治理机制。资料来源:作者自制。
网络基础设施建设的落后在一定程度上限制了数据保护和流动,对于部分成员国而言,落实治理机制存在硬件上的短板。而从另一个角度而言,这对中国开展与东盟的数字经济合作和“数字丝绸之路”下的网络基础设施建设合作提供了契机,具体将在后文中展开。
鉴于数字经济的发展和东盟国家的本土经济特征,东盟制定跨境数据流动治理的机制有着鲜明的经济导向。从战略上看,东盟主动顺应世界范围内的网络安全建设趋势,寻求抓住数据保护规则制定的机遇,形成本地区跨境数据流动治理的统一标准,进而在全局上提升东盟网络建设和数字治理的层次。通过这样的战略布局,促进东盟地区有关经贸业务发展,降低谈判成本与合规成本,获得更多全球竞争优势。
作为东盟成员国处理地区内部事务、开展国际交流的重要原则,东盟方式体现包容、灵活和弹性特征,从而保证东盟成员国保持个性、发挥优势。根据东盟方式,东南亚国家将本区域内的事务置于东盟框架下协商解决,以增强内部凝聚力, 因此,东盟方式与东盟中心地位相辅相成,都是东盟共同体国际战略的表现形式,但这并不代表东盟秉持单边主义立场。在数据跨境流动治理的机制构建方面,东盟正有序分步建立一套适用于各成员国的跨境数据流动治理标准,以指导性、灵活性、统一性的最低标准提高区域整体治理水平,建设安全、可持续、转型升级的数字经济。
这一特征主要因为东盟十国内部数据治理发展的不平衡。 基于这种不平衡发展的现状,东盟现已推行的规制文本的采用并不要求东盟成员国引入额外的法规或修改现有的法规,而仅作为最低要求的非约束性条款。例如,MCCs是企业之间区域性数据传输的最低标准,DMF旨在为东盟成员国内部的企业提供基于数据管理领域的自愿和非约束性指导,其内容均不能被解释为遵守法律法规的工具,也就是说有业务指导效用而无法律强制效力。这一特征表明东盟在跨境数据流动治理上支持多边主义,不寻求数字霸权或长臂管辖,排斥单边主义和保护主义,主张不同发展水平的国家共同发展数字经济,促进全球数字流通。
在数据跨境流动治理机制的审核批准制度中,最普遍采取的两种方式是主体同意与本地分级管理。根据主体同意原则的要求,未经数据主体同意不得向境外传输相关数据,例如欧盟在《通用数据保护条例》(GDPR)中明确,数据所有者或传输者“传输、处理和使用个人数据必须事先取得数据主体的同意”。本地分级管理则是通过分类分级确定数据本身的来源、属性、用途等指标,依据其指标严格控制传输和流动,本地化管理敏感关键数据等不宜跨境流动的数据,例如俄罗斯《个人数据保护法》规定,“收集、记录、整理、保存、变更、提取俄罗斯公民个人数据的数据库必须设置在俄罗斯国内”。
数据跨境流动治理是一个综合机制,单一措施往往会造成对数据的过度保护或者保护不足,因此,东盟审核批准制度兼顾主体同意和分类管理。为了减少不必要的审批程序,东盟规定在将个人数据转移到另一个国家或地区之前,进行转移的组织应获得数据主体同意,并采取合理措施确保接收组织根据这些原则保护个人数据,这一规定能够给提供跨国服务的企业提供良好的商业环境。在分类管理方面,《东盟数据管理框架》采用分类管理和数据生命周期一横一纵的设计,构建数据生态系统,实现了数据分类管理的创新,但这一分类管理措施与一般意义上的数据本地化与分级管理还有一定区别。因为缺少法律强制执行力,东盟尚未对数据禁止离境的情况做出严格的法律限制,也有待下一步在跨境数据流动认证工作中制定相关内容。
这一特征与东盟寄希望于抓住数字经济全球化机遇的经济导向密切相关。东盟秘书处认为,“数据已经取代石油成为世界上最珍贵的资源”,和很多国家一样,东盟将数据视为一种新的战略资源。借助数据的自由流动可以实现其经济转型的弯道超车,发展先进的制造业、机器人和工厂自动化、移动互联网连接的数据资源、云计算、大数据分析和人工智能等行业, 而中小企业是实现这一目标的关键力量,所以审核批准制度具有一定的宽松性,可以减少企业的业务负担以免阻碍创新发展。
世界各国现行的数据跨境治理机制中,实施机制既有合同形式也有非合同形式。合同形式是指签订统一的合同条款明确传输双方或多方各自的数据保护义务及责任,例如澳大利亚规定,个人数据转移到境外时,数据所有者与传输机构之间需要签订并履行合同,传输机构与第三方之间为保护数据所有者利益需要达成或履行合同; 非合同形式是指采取一些除签订合同之外的可预防数据泄露的措施,例如欧盟对个人数据保护充分的国家或地区列出“白名单”,在全球设定了安道尔、阿根廷、以色列等13个国家和地区作为白名单范围,直接向其传输数据。
东盟颁布的《跨境数据流动示范合同条款》以合同范本的形式规定数据跨境流动的具体责任和义务,跨境传输个人数据的各方之间以该条款文本为蓝本形成具有约束力的法律协议。示范合同的一大特征是具体细致、分类规定。首先,根据传输的情形不同给出了两种模板(见上文表2),各方应选择适当的模板签订合同。其次,条款内容又根据必要程度分为三类,分别是必备条款、可选条款和“选择相关条款”。必备条款是指该条款必须作为双方合同的一部分;可选条款是指如果与商业交易有关或对商业交易有用,该条款可以包括在内。对于“选择相关条款”,当事人可以选择与其所居住的国内法相关度最高的条款,或填写国内法的适当要求。
除订立合同之外,东盟还鼓励数据传输机构自行调查其合作伙伴机构。鼓励数据输出机构对输入机构进行尽职调查,如果是数据进口商将数据转移给第三方机构,则鼓励数据进口商对第三方机构进行尽职调查。通过调查,确保传输对象在接收数据后能够依法依规保存和使用数据,符合跨境传输法规的规定及履行合同义务。在问责追责方面,示范合同条款规定基于《东盟个人数据保护框架》中有关违法合同泄露数据的行为进行追责。
这一特征显示示范合同条款是一项自愿性标准和指导性范本,旨在为转移个人数据的底线考虑提供指引。除了规定的条款以外,东盟也承认机构自我评估、海外保护传输数据保护、国际标准化组织ISO系列有关安全和隐私技术、亚太经合组织跨境隐私规则和隐私识别处理系统等法律上可强制执行的机制。综合来看,这一实施机制能够满足多种数据跨境流动情形的需要,运用多样化、差异化的手段,使数据通过自由流动实现其更大的价值。
以新兴国家和发展中国家为主体构成的东盟,数字经济发展前景广阔,其跨境数据流动治理机制对国际数字治理和数字经济秩序有着重要影响。对中国而言,这一机制的本土化保护特征或对中国构成挑战。但由于东盟与中国所处的發展阶段、面临的机遇挑战具有相似性,二者治理理念、发展机遇类似为合作提供了可能性和前景,目前各自具备的相关法规和合作框架使合作具有可行性和可操作性。中国—东盟数字经济合作框架的形成,也为双方在共建“数字丝绸之路”上实现数字经济互利共赢提供了路径支持。
当前,世界范围内的跨境数据流动治理方式大致分为三类。一类是以美国为代表的“全球化”方式,主张数据在全球范围内自由流动。由于美国具有发达的互联网经济和科技实力,美国的大型跨国公司和跨国资本集团的势力已经覆盖全球数据流动的范围,因此这种“全球化”方式的实质是美国维系其网络空间权力地位的体现。数据流动意味着丰厚的利润,而“自由”的背后则是美国可以通过长臂管辖等方式实现对跨境数据的隐蔽控制。第二类是以俄罗斯为代表的“本土化”方式,对于跨境数据做出了严格的本地化存储规制。出于对美国全球监控计划的强烈担忧,俄罗斯等国家产生了强烈的数据主权保护意识,这种方式首先考虑的是安全因素。 第三类是以欧盟为代表的充分保护原则下的数据流动,这种方式不要求数据本土化存储,但要求本地管辖。东盟跨境数据流动治理机制总体而言与欧盟的机制具有相似性,但相比于欧盟的单一规制,东盟的机制显得更具系统性,作为以新兴国家和发展中国家为主体的区域组织,东盟的机制兼顾成员国各自发展水平和自身国情,在执行中贯彻的东盟方式和“东盟+X”方式,则是跨境数据流动治理方式的一大创新。
除了机制本身对于数据治理方式的创新,机制在多边场合的运用将成为东盟机制影响地区数字经济秩序的契机(见图2)。
图2 东盟国家在地区主要多边合作机制中的地位。资料来源:作者自制。
东盟国家在亚太地区的多个区域性多边合作机制中扮演着重要角色,其数字治理机制影响着地区数字贸易的开展。其中,包括4个东盟成员国、由《跨太平洋伙伴关系协定》(TPP)演变而来的《全面与进步跨太平洋伙伴关系协定》(CPTPP),包括数字贸易、知识产权、政府采购、劳工和环境标准等内容,合作领域宽泛。在数字贸易方面,美国退出TPP谈判之前,TPP要求数据跨境自由流动,并禁止数据存储和管理的强制本地化;禁止对数字产品征收关税,通过消费者保护法打击网络欺诈,保护网络隐私。 而美国退出TPP谈判之后,中国、英国、韩国等加入CPTPP的意向渐强,加之其中主导了东盟跨境数据治理机制构建的新加坡等国的因素,东盟跨境数据治理机制将极有可能促进CPTPP改变对数据跨境流动的相关规定,从而影响地区数字经济秩序。此外,《区域全面经济伙伴关系协定》(RCEP)范围覆盖了包括全部东盟成员国在内的亚太地区15个国家,其重点领域是市场准入、供应链等,随着全球范围内新冠肺炎疫情的恶化和全球数字贸易的发展,电子商务作为RCEP的独立章节出现,涉及数据跨境流动的重点问题,这与《东盟数字一体化框架》以及《东盟数字管理框架》中对于今后一个时期东盟经济发展的重点方向紧密相关,因此无论从国家数量、市场体量还是协定内成员国地位而言,东盟机制的影响力都不可小觑。
广义而言,东盟跨境数据流动治理机制属于本土化保护方式,大多数东盟国家对数据保护有严格的政策法规限制。对中国而言,推进中国—东盟数字经济合作需要更多考虑政策限制和合规成本。
第一,东盟跨境数据流动机制的构建对中国企业对外扩展跨境数字贸易业务形成政策壁垒,企业业务扩展受到阻碍。尽管东盟国家中的新加坡等国对数据自由流动持较为开放的态度,但由于市场较小,中国企业的大部分市场空间集中于泰国、越南等数据保护严格的国家。而东盟跨境数据流动治理机制中兼顾本地化与主体同意原则以及尊重成员国国内法的特点,使得拥有巨大市场潜力的国家都要求互联网公司只能将数据存储在本国境内,对于中国的跨国企业而言,缺少了流动和共享的环节,数字经济便难以体现其价值。另外,在东盟国家的市场环境下,中小企业是东盟经济增长的引擎,在许多东盟国家,中小企业占到商业机构的99%,提供90%以上的就业机会,产出近60%的国内生产总值。 为了保持竞争力,政府保护和支持中小企业使用新兴技术来进行技术升级,鼓励本地企业投资于大数据分析、人工智能和认知计算等领域, 东盟跨境数据流动治理机制中的数据管理框架突出了中小企业的作用,显示了支持中小企业数字化发展的鲜明导向,这也会排斥中国企业对东盟国家的数字经济投资。
第二,东盟跨境数据流动治理机制中的违规处罚规定大幅增加了中国企业经营的合规成本与风险成本。以新加坡的《个人数据保护法》为例,其中规定对违规收集处理个人数据的企业罚款最高可达100万美元,这一标准通常高于国内同类法规的处罚力度,而新加坡的跨境数据管理措施还是东盟国家中最宽松的一个。在东盟个人数据保护框架的指导下,东盟各国都对类似的违规处理做出了明确规定。由于东盟机制的包容性特点,东盟各国的处罚方式制定不需要考虑区域标准,也给各国政府的本地化保护提供了空间。此外,东盟机制中的数据本地化政策也不利于中国对外数字平台对线上商家的监管,从而增加网络欺诈的风险,造成企业的经济损失。 由于东盟机制构建进程缓慢,包括解决网络欺诈与商业纠纷等很多细节问题的协调机制尚未形成,这些客观上存在的管理缺失一定程度上恶化了地区的线上营商环境,将影响中国企业进驻的积极性。
东盟通过制定跨境数据流动治理机制发展数字经济的鲜明导向与中国对外数字经济合作的意愿是相向而行的。事实上,2018年东盟互联网经济商品价值总额为720亿美元,有望在2025年超过2 400亿美元。 另有报告显示,自2016年以来,东盟互联网经济年均增速为32%,2025年其互联网经济规模有望突破3 000亿美元, 而中国数字经济的规模和增速均处于世界领先水平,也成为东盟推进数字治理、发展数字经济的经验来源。 2020年,在新冠肺炎疫情冲击、单边主义和保护主义抬头、以美国为首的西方霸权制裁和遏制中国发展的复杂国际背景下,中国和东盟的经贸往来呈逆势增长态势,并且首次互为第一大贸易伙伴。2020年进出口贸易额高达4.74万亿元, 为双方在数字经济方面沟通理念、互利发展奠定了基础。2020年中国提出《全球数据安全倡议》,呼吁各国携手加强数据安全保護,解决各方安全关切,促进数字经济发展,推进全球数字治理。这一倡议得到了东盟的积极回应。中国—东盟关系协调国菲律宾外长洛钦代表东盟表示,该倡议反映了各国共同关切,东盟各国高度重视, 东盟愿同中方加强全球数字治理、网络安全合作,显示了双方在这一问题上理念相通。
就机制对接而言,东盟数据跨境流动治理机制实际上实现了东盟成员国之间的数据跨境流动治理合作与对接,其采取的是一种区域性示范原则,为成员国数据跨境流动和数据保护机制提供指导。如果将东盟视作一个整体,其外部同样需要拓展与域外国家的机制合作与对接。中国是东盟的海陆邻国和最大贸易伙伴,同时也是数字技术发展水平较高的国家,中国和东盟双方的数据跨境流动需要在完善各自机制的基础上探索形成合作和对接机制。本文认为,双方在双边数据安全保护认定、信息共享数据库建设、多边框架下的规则体系三个方面具有合作对接的可行性。
中国高度重视数字经济国际合作,在《网络安全法》《数据安全法》《个人信息保护法》“三法”的立法宗旨下,不断推进数据跨境流动和数据安全领域的规章落地,体现出中国在数据跨境流动治理领域的制度开放性。 2021年11月,中国宣布申请加入《数字经济伙伴关系协定》(DEPA),连同此前申请加入CPTTP,显示了中国正以开放的态度积极参与全球数字经贸规则制定。在此趋势下,中国与DEPA的创始国新加坡以及以新加坡为代表的东盟国家开展跨境数据流动先行先试,在中国—东盟双方各自的机制下寻找对接方向,以与东盟有密切经贸联系的自贸区为平台,开展跨境数据分级分类、流动机制、流动认证等方面的合作。
解决好数据跨境流动的问题,是中国與东盟在数字经济领域扩大合作范围、深化合作层次的前提。2021年1月,在首届中国—东盟数字部长会议上,中方建议把双方合作的重点放在数字创新发展及其监管、数字安全、防疫抗疫等方面,倡导出台《关于落实中国—东盟数字经济合作伙伴关系的行动计划(2021—2025)》,为之后五年双方数字经济合作做出规划。 对于东盟而言,在完善数据跨境治理的过程中,必须要加强数字基础设施等方面的建设,这成为中国与东盟开展更广泛数字经济合作利益的契合点。
数字丝绸之路已成为共建“一带一路”的重要组成部分,在2020年11月举办的中国—东盟博览会上,中方明确要深化双方的数字经济合作,建设中国—东盟信息港,打造数字丝绸之路。具体内容拓展到了智慧城市、5G、人工智能、电商、大数据等多个新兴领域,这为双方的数字合作指明了方向。上文提到,东盟多个国家的网络基础设施建设的落后严重阻碍了地区整体数字经济发展水平的提升和东盟跨境数据流动治理机制的落实,而中国在互联网基础设施建设方面的优势将有利提升东盟国家的网络基建,改变东盟部分国家网络建设的落后面貌。当前,大国博弈的“战场”正逐步向数字经济领域延伸,美国与多国打响的“贸易战”也与数字经济密切相关,数据安全审查一度成为美打压中国企业的“大棒”。在这种复杂严峻的形势下,中国应该抓住后疫情时代全球经济复苏的契机,同东盟紧密加强数据安全保护合作和政策沟通协调,形成亚洲国家在抵御风险和保持发展方面的合力和凝聚力,在应对挑战的同时抓住数字经济发展的机遇,共建数字丝绸之路。
在东盟一体化进程中,数字一体化成为大数据时代的发展目标。东盟跨境数据流动治理机制是实现这一目标的重要一步,对此我们可以得出几点认识。首先,这一机制是“东盟方式”数据本地化或数据民族主义的表现。 从国际层面来看,东盟跨境数据流动治理机制实质上是数据本土化保护的一种形态,其保护性和排他性将对其他国家和地区的数字治理与数字经济发展造成冲击。但在区域内部,在实现数字一体化的过程中,东盟统筹数字经济发展与数据保护,在制定完善跨境数据治理机制的过程中,努力营造良好的区域环境,提高发展数字经济的竞争力。其次,这一机制对于地区乃至世界的数字治理和数字经济秩序有着重要影响。它的形成体现了新兴国家和新兴经济体在数字经济发展潮流中从“被动”到“主动”的转变。通过这一机制,东盟可以增强在数字主权、网络安全、数字经济等多个领域的地区规则制定能力。由于东盟在地缘政治中的关键作用和大国博弈中的微妙位置,东盟机制中的一些规则将逐渐被多边合作框架下的其他国家和地区接受,地区大国和有关国家可将此机制发展成为处置数字经贸争端甚至平衡地区局势的依托。再次,对于包括中国在内的周边国家而言,挑战与机遇并存。我们需要研究东盟跨境数据流动治理机制,以了解其数据保护的规则以及规制背后的战略安排和利益考量,增强防范数字经济和数据安全风险能力。东盟在中国的合作伙伴中地位特殊,更需要通过对这一机制的深入研究克服双边合作的政策机制障碍,防止域外大国借助数据保护干预双边正常合作,促进中国—东盟经济合作和“数字丝绸之路”的发展,提高地区合作水平和整体竞争力。
[责任编辑:杨 立]
3021501908290