跨境数据流动中的信息安全问题探究
2023-09-26梁正
【关键词】跨境数据流动 信息安全 国际规则 中国方案 【中图分类号】F125 【文献标识码】A
近年来,在经济全球化动力不足的背景下,数据驱动的数字经济在逆势中稳步发展,已经成为全球经济的关键推动力。数据流动创造的经济价值已经超过传统贸易商品流动,并已经成为国际贸易和投资等关系形成的基础。一方面数字经济的全球化促进了各国数字经济的蓬勃发展,另一方面也促使数据大规模跨境流动,使得跨境传输的数据量激增。
数据的跨境传输引起了各国对信息安全的担忧,信息安全逐渐成为国家安全关注的主要领域之一。目前,信息安全的前沿研究领域包括信息基础设施安全、数据安全、数据安全产业发展、供应链安全等。总体而言,经济全球化与数字化的不断发展使得信息安全已经跨越了传统安全的边界,在技术上和治理上都对信息安全提出了更高的要求。一方面,数字经济加速产业融合、扩展发展空间,其在国家战略中的地位逐渐提高,与此同时,数字技术的发展使得信息泄露更加容易,这提高了维护信息安全的难度。另一方面,不同于传统国际治理的对象如领土主权和国际贸易,信息安全的国际治理所面对的是更加隐秘且规模庞大的数据集,目前国际上并未形成统一的治理框架和共识。
当前,信息安全的核心是数据安全。数据安全事件会对个人隐私、经济发展、政治稳定和国家利益造成不同程度的损害。在数字全球化的背景下,数据大规模的跨境流动,可能导致境外主体不按授权使用、出境数据不受控制流转、遭受网络攻击或黑客入侵乃至间谍刺探情报等安全风险。因此,数据要素治理问题已经成为各国宏观战略的主要考量。当前,跨境数据流动的全球安全治理并未形成体系,只是由单边、双边、多边框架和贸易规则拼凑而成。对此,2022年12月我国出台的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确指出:“数据基础制度建设事关国家发展和安全大局。”同时还强调“统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线”。
关注数据安全并不仅仅只是出于安全考虑,而是为了更好地兼顾发展与安全。当前,关于数据安全的研究已经从原来的数字贸易规则扩展到涉及国家安全、主权管辖、隐私权保护等非经济领域。目前来看,只有在跨境数据流动涉及的国家安全、主权管辖等重大领域制定新的全球治理框架,才能真正解决数字贸易规则中的重大分歧。近年来,我国已经初步建立以数据资源安全保护为核心的管理体系,通过构建以流通数据、流通活动、流通设施为中心的数据安全保障体系,更好地推动数据要素安全流通。
跨境数据流动安全问题的国际现状
随着数字全球化的发展,国际社会需要尽快形成一个新的针对信息安全,尤其是数据安全的国际治理共识和框架,从而确保国际关系和平、稳定的发展。如上所述,信息安全的根本所在是数据安全,因此需要从全球视野出发,全面了解各国对于跨境数据流动问题的不同认识和理解,促使各国形成对于跨境数据流动规则的国际共识。当然这并非易事,因为跨境数据流动涵盖数据主权、隐私与安全、法律适用及管辖权、竞争战略等多种复杂元素。
从数据治理方面来看,首先,我们要客观认识跨境数据安全,杜绝因其迫切性和重要性而盲目照搬传统安全观。目前,国际社会对于信息安全和跨境数据安全并没有形成统一共识,各国只能从自身能力、资源、优势等方面出发,基于本国利益来定义信息安全。但是这样的安全观并不具有国际普遍性,导致各国在跨境数据流动的政策法规方面差异较大。当前,国际社会对跨境数据安全的理解主要有以下三种:一是美国采取的典型的“促进型”模式。美国在全球数字经济中居于领先地位,其战略旨在促进数据自由流动形成引流效应。美国通过属人保护和数据控制者等名义以国内立法建立境外执法权,以保护本国利益为由调取使用他国数据;通过影响国际组织规则、打造多边协议等方式利用强权为其提供获取境外数据的通道,拓展网络空间疆土,掌握和控制全球数据使用,以便满足自身利益需求。二是欧盟、英国、新加坡和日本等数字经济发展较为成熟的地区和国家采取的各具特色的“平衡型”模式。“平衡型”模式的监管思路是通过属人原则获取境内外高标准隐私保护,在此前提下支持跨境数据流动,以充分性认定、建立信任机制等方式维护数据立法话语权。三是俄罗斯、印度、巴西、南非、土耳其、沙特等国家,因缺乏强有力的数据引流能力,如果放开管制可能导致数据大规模向发达经济体输出而削弱自身竞争力,因此,采取属地原则限制重要数据出境,形成了优先考虑安全保護的“本地化”政策模式。
其次,我们要客观理解跨境数据安全的主要特征。从全球来看,各大经济体的数据出境治理战略显著地呈现以发达国家为主的“自由流动”和以发展中国家为主的“本地限制”两大类型。发达国家以属人原则和控制延伸为主,实现数据领域的“长臂管辖”,如美国积极鼓励其他国家数据流入,尤其在贸易合作中,要求各国破除跨境数据流动壁垒,同时,通过多边合作渠道圈定数据自由流动区,为本国获取境外数据提供便利通道。发展中国家则一般采取属地原则,以数据本地化实现数据安全和产业保护,比如俄罗斯要求数据本地化,即数据首先存储在俄罗斯境内,在合规的情况下可有序出境。当前,跨境数据安全治理在国际社会中依然被现实主义所驱动,无序、无规则的国际竞争是当前的主要特征。尽管美欧等发达经济体对数据治理体系的构建起步较早,并且率先提出数据战略和相关行动计划,但对于建立在国家安全基础上的跨境数据流动规则仍处于探索阶段,且各国分歧较大。
最后,我们要认识到跨境数据流动治理具有一定的技术门槛,一些国家的政府未必能够掌握最核心的技术:获取数据的能力。在一些国际冲突事件中,面对黑客组织的舆论引导和数据窃取行为,不论是在技术上还是规则上,目前国际社会普遍缺乏应对手段。黑客组织的活跃对各国网络空间自主攻防能力提出了更高要求。各国需要强化自身网络风险评估能力,及时排查开源软件和数据系统存在的潜在风险与安全隐患,避免为黑客组织提供可乘之机。各国在研究应对网络威胁策略时,需要摒弃零和博弈思维,不搞单边主义和阵营对抗,携手应对这一共同挑战,以确保全球网络空间的安全与稳定。通过为跨境数据安全建立有序的国际治理框架,明确更加具体的公共应用领域和禁止领域,通过国际规则消除当前的无序状态,将成为国际社会的共识。
中国的跨境数据流动治理模式
近年来,我国积极构建实施数据保护的法律法规,探寻合规高效的全球跨境数据流动规则,秉持兼顾发展和安全的“统筹型”模式,关注国家利益、公共安全与国际合作。我国国内数字立法明确提出了“促进数据开发利用与保障数据安全并重”和“加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用”的政策目标。同时,我国在数据出境国际规则构建中遵循促成多元共治的理念,兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与数据产业发展利益,并支持基于公共政策目標或者国家安全利益而采取相应的限制数据流动的数据本地化措施,实现与各国在独立自主基础上的合作与治理。一直以来,我国积极参与国际交流合作,积累了数据要素治理经验,逐步构建完善国内数据要素治理的顶层法律法规,推进实施具体政策细则,目前基本形成了符合中国数字经济发展要求的跨境数据流动规则框架。
具体来看,2015年通过的《中华人民共和国国家安全法》明确提出:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。”此后,我国实施的有关数据保护的政策法规大都对跨境数据流动的信息安全问题进行了说明,如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等。特别是2022年我国实施《数据出境安全评估办法》,构建了相对完善的数据出境安全评估流程,为企业和个人数据出境提供了更加全面的指导。同时为确保数据安全有序流动,我国在“十四五”规划中以及有关部门发布的文件中提出了跨境数据流动的具体实施方案(如表1所示)。随着顶层法律法规相继颁布和实施,我国数据跨境安全管理框架基本形成,出境安全评估成为数据跨境安全管理的主要手段。数据出境安全评估既有数据出境前的风险研判,又在数据出境过程中持续跟踪,一旦涉及违法违规问题可及时处置,从而有效保障了信息安全。
随着全球数字经济的发展,各国数据要素指数级增长,应用场景复杂多元,数据流动过程中确保信息安全是数字经济全球化持续发展的基础。2020年我国提出《全球数据安全倡议》,指出“各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全”。在国际合作中,我国积极参与制定和探讨区域间跨境数据流动规则,致力于形成统一规则,从而促进全球数字经济健康发展。
虽然当前我国已基本形成全面的跨境数据流动规则,但是在法规上和政策推进过程中仍存在一些阻碍因素。一方面,数据要素收集、使用、共享、交易及流动等各个步骤涉及诸多主体,且场景复杂,国内不同主体的数据保护水平存在差异,完全依照统一标准推进跨境数据流动具有一定的挑战,仍需探索如何在安全和发展中寻求平衡。另一方面,在国际合作中,各国数据法案存在一定冲突,区域间跨境数据流动规则差异较大,并不能确保绝对的信息安全,从而导致跨境数据流动障碍重重。
完善跨境数据流动规则政策建议
跨境数据流动是推进全球数字经济发展的重要力量,跨境数据治理需要平衡好安全与发展的关系。我国逐步完善并实施符合当前数字经济发展的跨境数据流动规则,一方面致力于追求安全的发展;另一方面,作为数字经济大国,我国积极承担大国责任,在优化国内数据保护的同时,致力于推进全球数字经济高效发展。
在认识上,要在信息领域尤其是跨境数据方面形成自己的安全观。一是需要持续推进技术发展和规则制定,防止敏感数据和重要数据的泄露,从国际经验来看,并非所有领域的数据均可自由流动,要确保安全的底线。二是要避免发展中国家普遍出现的误区,认为只要把数据限制在国内、禁止跨境数据流动,就能保证本国数据的绝对安全。事实上,即便用最严格的标准和方式将数据封锁起来,依然会有泄露的可能。三是要认识到数据流动的重要性。数据只有流动起来才能实现价值,且在不断的跨境交流中可以提高对于数据技术的掌握和应用水平。四是时刻关注国际跨境数据合作的新方式。例如,2023年美国与欧盟达成《人工智能促进公共利益行政协议》,此前欧盟最担心的是美国企业在数据控制方面的实力远超欧盟企业,此协议提出在不共享数据的前提下联合建模,兼顾了双方的安全观。这一模式可作为中国参与国际合作的参考。
在实践上,要探索出一条能够兼顾安全和发展的道路。我国是数字经济大国,数据要素丰裕,统一整体保护标准具有一定难度。因此在国家已有法律法规的基础上,各地区应进一步落实和细化责任,根据地区特征构建数据要素保护、共享和流动机制。形成个人、企业、行业、政府等多主体共同协作的数据流动和保护体系。从基本要求出发,共同开展解决数据要素的相关概念、权属以及分类等问题,在推动跨境数据有序流动的同时,也确保相关法律法规的有效实施。从责任意识推进,形成各个主体的数据保护意识。尤其对于企业而言,追求经济效益的同时要兼顾确保信息安全,明确责任划分、跟踪追责机制等。我国应立足当下,着力解决不同主体的诉求,加强制度的完善性和科学性,从而保证数据流动的安全有序。
促进国内与国外制度的协调和统一。当前不同国家间的跨境数据流动规则存在较大差异,且随着数据要素的广泛应用,各国相关政策也在不断调整和完善中。我国与世界各国的贸易、投资往来密切,因此需充分了解各国跨境数据流动的相关法律法规,适应其不断调整的数据治理规则。例如,欧盟的数据保护规则较为严格,我国需相应提高标准与之配套,并积极与其沟通协商解决个例、特例中存在的数据问题,为在欧企业发展提供更多保障。美国在亚太地区推行的数据流动规则,旨在不断增强自身在数据流动方面的话语权,我国在积极参与区域合作的同时,也要明确本国立场和诉求,求同存异,推进与美国的平等合作。鼓励更多中国企业在欧美设立安全中心,以保障企业的海外利益。对发展中国家来说,各国更侧重于实施数据本地化战略,我国作为数字经济大国,应积极推进数字基础设施建设,在确保数据交易、流通安全性的基础上,促进数据的高效流通。在“一带一路”建设中推进数字基础设施建设,我国应积极协调沟通,帮助各国提高数字技术,促使各国参与融入全球数字经济合作。
鼓励带动各国积极参与新制度的构建。随着数据流动规模的增加,当前,跨境数据流动规则已成为区域合作中规则制定的重要内容。值得注意的是,当前的多边合作规则仍主要以欧美规则为主导。发展中国家在全球跨境数据流动中占据重要位置,数据量巨大、应用场景丰富,因此,我国应积极推动与发展中国家的合作,形成发展中国家的规则体系。在国际合作中,应结合各国的利益诉求和期许,由点及面,从重要贸易伙伴到整个区域,逐步扩大交流合作,共同探讨跨境数据流动规则,着力构建由不同国家参与的新型数据流动规则体系。
(作者为清华大学公共管理学院教授、人工智能国际治理研究院副院长;清华大学公共管理学院博士后盛舒洋、于洋对本文亦有贡献)
【参考文献】
①刘金瑞:《推动数据跨境流动全球治理体系变革》,《中国社会科学报》,2023年2月22日。
②阙天舒、王子玥:《数字经济时代的全球数据安全治理与中国策略》,《国际安全研究》,2022年第1期。
③徐向梅:《筑牢数据安全屏障》,《经济日报》,2023年1月4日。
④中国信息通信研究院安全研究所:《数据要素流通视角下数据安全保障研究报告》,2022年12月。
⑤于洋、梁正:《全球数据流动、保护及中国方案》,《中国科技论坛》,2022年第11期。
责编/周小梨 美编/李祥峰