我国数据跨境流动治理成效、问题与完善建议
2023-11-17赵若锦范羽晴
李 俊 赵若锦 范羽晴
(商务部国际贸易经济合作研究院,北京 100710)
随着数字经济的发展,跨境数据在促进跨国科技合作、支撑国际经贸活动、推动数据资源共享方面的作用愈发凸显。根据全球管理咨询公司麦肯锡估算,数据流动量和GDP 之间存在正向相关性。预计到2025 年,全球数据流动将创造11 万亿美元的GDP 增量。此外,根据经济合作与发展组织(OECD)的测算,平均而言,数据流动引致的国民经济各行业利润增长率约为10%。这种利润创造在数字平台、金融等新模式新业态下效果更突出,可能达到32% 的增长。跨境数据规模的增长和重要性的提升促使数据跨境流动治理成为全球数字治理和经贸规则制定的重要领域。但由于数字经济发展水平差异及关注点不同,各国在数据跨境流动治理方面存在较大差异,全球数据跨境流动规则出现碎片化趋势。国家互联网信息办公室发布的《数字中国发展报告(2022 年)》显示,2022 年,我国数据产量达8.1ZB,同比增长22.7%,占全球比重达10.5%,位居世界第2 位;我国数字经济规模达50.2 万亿元,总量稳居世界第2 位,数字经济成为稳增长、促转型的重要引擎。在此背景下,我国必须高度重视数据跨境流动治理政策对数字经济和数字贸易发展的支撑和促进作用,更好地统筹发展与安全,在确保数据安全、强化个人隐私保护的前提下,加大数据开发利用力度,促进数据跨境自由便利高效流动,为我国贸易投资合作营造安全、自由、便利和低成本的数字营商环境,更好地服务数字经济与数字贸易发展。
一、文献综述
现有对数据跨境流动治理的研究主要聚焦数据跨境流动的法律框架和规则、数据跨境流动的经济效益、数据跨境流动治理趋势等方面。
从数据跨境流动的法律框架和规则看,各国在数字贸易谈判中的关注点和主张存在差异。通过《与个人数据自动化处理有关的个人保护公约》《欧盟指令》《个人数据保护条例》等标志性法律文件,欧盟逐步增强对个人隐私的保护,主张严格限制数据跨境流动,并通过《通用数据保护条例》(GDPR)加强对数据的控制权,提高其在数据跨境流动规则领域中的话语权,维护国家主权独立和国家安全(许多奇,2018;叶开儒,2020)。欧盟数据跨境流动规则主要表现出积极推进ICT 规则合作、坚守“隐私保护”和“视听例外”条款、依据缔约对象比较优势差异进行“出价”等特征(周念利和陈寰琦,2018)。美国则通过多边/ 双边协定对数字经贸规则进行内容升级和扩充,将数据跨境自由流动条款纳入FTA,将非歧视性规定扩展至广播服务产品,引入“密钥保护”条款等(周念利和陈寰琦,2019)。美国还通过《美日数字贸易协定》(UJDTA)等进一步强化数字知识产权保护规则和数字产品非歧视规则。与欧盟相比,美国在数据跨境流动上的价值取向、规制路径和规制结果都不同。从价值取向看,美国更看重数据自由流动及其带来的经济效益;从规制路径看,美国遵循“问责制”原则,在行业自律模式基础上实行问责处罚;从规制结果看,美国试图将其规则主张融入全球规则体系,强化本国话语权和主导权(谭观福,2022;何波,2022)。
从数据跨境流动的影响看,作为数据价值周期中最重要的价值创造环节,数据跨境自由流动能对数字贸易产生显著的积极作用,尤其在保险和其他商业服务领域;而且这种促进作用与双边经济发展水平的差距成正比(陈寰琦,2020)。周念利等(2022)研究发现,数据跨境流动限制对数字服务出口存在显著的负向影响,而且这种抑制效应在部门之间存在差异性,但这种抑制效应随着出口国数字基础设施的完善及经济发展水平的提高而减弱。数据跨境流动还会对制造业出口技术复杂度、营商环境等产生正向影响(齐俊妍和强华俊,2022)。
从数据跨境流动的治理趋势看,全球经贸规则竞争更趋激烈。各国围绕数字主权展开深度博弈,美、日、欧及新加坡等新兴经济体加紧输出本国的数据跨境流动治理模式,争取更大话语权(张茉楠,2022)。作为欧盟数字治理规范,同时也是全球数据跨境流动的最高标准,GDPR 将对其他国家的数据跨境流动治理产生持续性制约,进而影响国际数据治理生态(吴沈括,2019)。此外,越来越多的国家或组织开始使用国际标准化组织(ISO)标准和增强隐私技术(PETs)等驱动来保护并控制对数据的访问,但就结果而言,现有旨在实现数据跨境流动和个人隐私保护的诸边安排所涵盖的元素有68% 是重叠的,并不存在任何单一机制可以实现“信任基础上的数据自由流动”(Casalini and González,2019)。因此,为了更好地促进数据跨境流动,OECD(2022)在《经合组织隐私准则》中引入隐私制度互操作的概念,以实现在不同隐私和数据保护制度及法律框架下弥合政策差异,促进个人数据的跨境流动。
综上所述,数据跨境流动治理的已有研究更多地从法律和规则视角展开。与已有研究不同,本文从发展、优化营商环境及促进服务贸易和数字贸易自由化便利化的视角展开论述。
二、全球数据跨境流动治理态势
(一)全球数据跨境流动治理的总体态势
近年来,各国纷纷颁布法律规范数字经济与数字贸易发展,普遍加大了数据跨境流动的治理力度,以保护网络安全、数据安全和个人隐私。总体来看,全球数据跨境流动治理呈现以下特点。
第一,数据跨境流动规则成为高水平经贸协定的重要标志。所谓高水平经贸协定主要指美、欧、日等发达经济体签署的以数据跨境流动自由化、尽最大可能削减数字贸易壁垒为目标的经贸协定。它既比现有WTO 规则标准更高,也比发展中国家签署协定的经贸规则标准更高,如《美墨加协定》(USMCA)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)以及美、欧、日等发达经济体为主导达成的区域性数据跨境流动和数字贸易合作制度性安排。针对数据跨境流动议题,基本所有的数字经贸协定均允许缔约方通过电子方式跨境传输信息,同时要求对电子传输采取非歧视待遇,不得施加超出目标限度的额外要求。但USMCA 删除了关于监管要求的例外规定,强化了数据跨境自由流动的规则约束力。包括《区域全面经济伙伴关系协定》(RCEP)、《数字经济伙伴关系协定》(DEPA)等在内的其他协定均遵循“原则+ 例外”的模式,在文本中设置了“公共政策目标”“基本安全利益”等例外条款,同时规定“不对信息传输施加超出实现目标所需限度的限制”,以防止缔约方对例外条款进行滥用。
表1 高标准经贸协定对数据跨境流动的规定
第二,数据跨境流动规则呈现碎片化特征。目前全球并未形成数据跨境流动监管的统一国际规则,各国都在积极推动建立符合本国利益的数据跨境流动规则。美国在对外规则中主张数据跨境自由流动,对内施行事后问责制,并以国家安全为由严格管控本国数据出境。为此,美国建立了“行业自律+ 政府监管”的模式推动数据跨境流动。企业层面通过《隐私保护框架》《隐私体系框架》《隐私能力保护评估模型》等制定个人隐私保护标准;政府则从联邦法律和州法律两个层面分别出台《外国投资风险评估现代化法案》《加州消费者隐私法案》等法律法规。此外,美国在USMCA“个人信息保护”条款中增加了承认“个人隐私保护规则体系”(CBPR)作为一种有效促进跨境信息转移机制的要求,即缔约国之间接受《APEC 隐私框架》的相关原则作为统一的保护标准。欧盟颁布《非个人数据在欧盟境内自由流动框架条例》,促进数据在欧盟内部自由流动,同时出台GDPR,以对个人隐私保护为核心形成基于充分保护条件下的数据跨境流动治理理念。新加坡通过DEPA、《新加坡—澳大利亚数字经济协定》和《英国—新加坡数字经济协定》等倡导数字治理国际标准的统一以及数字系统的交互操作性(赵若锦和李俊,2022) 。不同规则下各国对数据跨境流动的监管差异较大,导致数据跨境流动的国际协调与国内监管面临重大挑战。实践中大量数据跨境流动往往以企业签署的商业合同加以规范,不同法域和国家间有关数据跨境流动治理的差异给企业增加了数据跨境流动的合规成本,也给全球营商环境带来挑战。
表2 不同国家(地区)对不同数字贸易议题的主张
第三,全球数据跨境流动呈现强监管趋势,行业数据跨境流动的限制性规定增多。根据美国智库信息技术与创新基金会(ITIF)数据,2017~2021 年世界各地实施的数据本地化措施数量翻倍,其中,实施限制的国家数量从35 个增加至62 个以上,限制措施从67 项增加至144 项,此外还有数十个国家考虑在本国实施相关数据限制措施。印度储备银行要求从2018 年10 月起所有支付系统提供商确保其所有支付数据仅在印度境内存储。2019 年6 月,土耳其对eSIM 技术施加数据本地化要求,要求所有相关结构、服务器、软件和设备都由授权运营商在土耳其境内建立,所有数据也在境内保存。日趋严格的数据跨境流动监管要求在维护国家安全的同时也增加了企业的数据合规成本,不利于全球数字经济和数字贸易发展。ITIF 基于OECD 市场监管数据的分析发现,数据限制与贸易产出和生产率等成反比。通常情况下,数据限制水平每提高1%,贸易产出和生产率将分别下降7% 和2.9%;此外,相关下游行业商品价格会在5 年内提升1.5%。
(二)世界各国积极优化数据跨境流动监管
数据跨境流动监管事关数据安全与个人隐私保护,监管力度也事关数字经济发展水平。在全球数字贸易治理趋严的背景下,如何平衡好安全与发展的关系成为各国发展的重点,即在切实维护好跨境数据安全、强化个人信息保护的同时促进本国数据高效跨境流动。各国都在不断丰富和拓展数据跨境流动的合规渠道,甚至针对特定的数据跨境流动场景免于监管开展探索创新。
美国对跨境数据传输施行双重标准,旨在维护数字贸易全球优势与霸权。一方面,美国主张完全自由开放的互联网接入与访问,通过其签署的USMCA 和UJDTA 等区域贸易协定,力推数据跨境传输自由流动,反对他国对美国数字企业数据跨境传输与访问施加限制,反对计算处理设施和数据储存本地化。另一方面,美国对关键部门、行业和领域的数据跨境流动实施分散隐蔽的管控。美国通过《外国投资风险评估现代化法案》和《出口管制条例》等法案,利用外商投资安全审查、出口管制等手段对关键领域数据采取跨境流动限制措施。同时,美国在电信、科技、卫生医疗等关键部门、行业和领域分别建立了非显性化的数据跨境流动管理要求,具体通过公共采购合同、网络安全协议等方式体现。例如,在电信领域,美国要求存在安全风险的外资运营商签署网络安全协议,协议规定,所有存储的国内通信数据、国内通信公司客户接收或存储在其账户内的通信数据、与国内通信相关的交易数据(呼叫识别信息、与用户位置或身份相关的信息、电话号码、域名、IP 地址等)和呼叫相关数据、用户专有网络信息(CPNI)和用户数据、用户账单记录、网络管理信息、涉密信息和敏感信息等都应仅在美国境内存储。在公共服务领域,美国国防部、国家税务局均要求为其提供外包服务的云计算服务、信息服务数据仅可在国内存储数据,而且,根据ITIF 的报告,美国一些联邦、州和本地政府的公共采购合同中也存在数据本地化存储要求。
表3 美国对不同领域数据跨境流动的举措
欧盟旨在构建统一大市场,在高标准保护前提下提供更加便利化的公共服务(李俊和王晓燕,2022)。具体而言,欧盟在统筹数据跨境流动监管与数字经济和数字贸易发展方面的主要做法如下。第一,数据保护与数据开发利用并重。欧盟通过GDPR 和《数据法案》构建数据治理的两大支柱,建立起既推动数据流通释放数据价值又强化数据保护的治理新格局,实现对美国长臂管辖权的制约与数据主权的维护。GDPR 针对个人数据保护设立了有约束性的跨境流动规则,《数据法案》则专门针对产生非个人数据的数据处理服务提供者等市场主体进行限制性规定。第二,域内数据自由流动与域外监管相结合。欧盟出台《非个人数据自由流动条例》,对数据跨境流动相关的本地化存储、数据获取与跨境合作、数据迁移、数据流动等都作出明确规定。同时,欧盟通过GDPR 等对个人数据的跨境流动作出严格规定。当第三方个人数据信息保护标准等同于欧盟域内标准时,欧盟才会给出“充分性认定”,同意将欧盟数据信息流向该国(地区)。如果没有被欧盟委员会认定具有充分保护能力,那么数据控制者或处理者需要提供适当的保障措施,并为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国。第三,多渠道降低数据出境合规成本。欧盟先后发布“数字欧洲计划”、《2030 数字罗盘计划:数字化十年的欧洲道路》和“欧盟数字十年”等顶层规划,不断完善本地区数字基础设施,提升数字化公共服务水平。此外,欧盟还提倡建立在指定主管当局备案的非盈利性“数据中介机构”,以降低B2B 和C2B 的数据共享成本。通过这些举措,欧盟力图进一步优化数字营商环境,促进数据跨境流动,达到维护数据安全、强化个人隐私保护与数字经济、数字贸易发展之间的平衡。
日本积极对接美欧主导的数据跨境流动规则,主张建立在互信基础上的数据跨境流动。第一,倡导建立国际高标准数据跨境流动治理规则。一方面,日本通过WTO 电子商务谈判、区域经贸协定的方式积极对接国际高标准数据跨境流动治理规则。日本签署了UJDTA 和《日本—欧盟经济伙伴关系协定》,并使其成为GDPR 认可的具有充分个人数据保护水平的管辖区(张晓磊,2021)。另一方面,日本基于本国立场,探索形成符合自身利益的数据跨境流动国际规则。日本在2018 年主导推动并签署了CPTPP,该协定提出取消不必要的数据跨境流动限制,允许数据跨境流动的一般原则,并禁止将数据服务器设置于国内作为市场准入的前提条件;在2019年签署了《大阪数字经济宣言》,提出建立允许数据跨境自由流动的“数据流通圈”,营造良好的数字营商环境。第二,通过《个人信息保护法》建立“白名单机制+ 个人信息主体同意”的双重认定机制。日本通过《个人信息保护法》明确,处理个人信息的数据处理服务提供者在进行数据跨境提供时必须先获得数据主体的同意;同时,日本借鉴欧盟的“充分性认定”机制形成本国数据跨境流动白名单。日本纳入白名单机制的国家应符合与日本个人信息保护水平相同、设置了个人信息保护的执行机构等条件。
印度正在逐渐放开对数据跨境流动的限制,为数据跨境流动营造良好环境。作为全球IT 服务中心,印度与其他国家的数据交互场景十分广泛,加上本国数字经济产业蓬勃兴起,电子商务、移动支付等领域迅速发展,政府对数据跨境流动的总体思路是以保护个人隐私和本土产业为出发点,由数据本地化向有条件开放转变。印度在统筹数据跨境流动监管与数字经济、数字贸易发展方面的主要做法包括:第一,出台并修订首部管理个人数据保护的法律框架。印度在2018 年发布《个人数据保护法案(草案)》,要求数据受托人在本地存储个人数据或至少存储副本,“关键个人数据”只能在位于印度的服务器或者数据中心进行处理,其他数据可以按照标准合同条款跨境传输或在集团内部跨境流动,或经中央政府与数据主管部门协商后,允许传输至指定国家、某个国家的指定部门或者指定的国际组织。法案中没有明确“关键个人数据”的定义。2022 年11 月,印度发布了《2022 年个人数据保护法案(草案)》,新法案取消了本地化存储条款,也未区分“个人关键数据”“个人敏感数据”与其他数据,允许数据与“某些受通知国家和地区”进行跨境流动。第二,设立“数据大使馆”。印度将在古吉拉特邦国际金融科技城 (GIFT IFSC)建立“数据大使馆”。“数据大使馆”将享有与实体大使馆类似的外交豁免权,使其免受当地法规的约束。印度希望通过“数据大使馆”解决数据存储和数据跨境流动的问题。从理论上讲,这些大使馆可以被公司用来存储印度用户在印度境内的数据,这样可以减少与政府的摩擦、减轻企业承担的监管负担。
数据跨境自由流动是全球数字经贸规则的焦点。在“美式模板”下,美国明确指出本地化规制应让位于数据跨境流动,以便保持本国数字贸易产业的全球领先地位。在“欧式模板”下,欧盟致力于构建完备的法律约束体系用以约束企业行为,主张数据跨境流动应让位于个人隐私保护。日本充分借鉴美国和欧盟的做法,积极与两大经济体对接,在完善国内法律基础上通过白名单制倡导建立全球可信的数据流动机制。印度则通过数据本地化存储条款限制重要或敏感数据出境,预防数据出境带来的风险。总之,各国在既有的国际合作框架下探索数据跨境合作,同时也基于本国数字经济发展情况采取差异化的数据跨境监管模式。
三、我国数据跨境流动治理成效与问题
(一)我国统筹数据跨境流动治理的探索与成效
1. 我国数据跨境流动治理框架基本建立
一是不断完善数据治理相关顶层设计。《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据作为与土地、劳动力、资本、技术并列的生产要素,提出要加快培育数据要素市场,充分挖掘数据要素价值。《中华人民共和国国民经济和社会发展第十四个五年规划和2035 年远景目标纲要》《“十四五”国家信息化规划》《“十四五”数字经济发展规划》等重大战略规划都指出要建立数据跨境流动相关制度规范,推进跨境数据安全有序流动。
二是加快构建数据跨境流动监管体系。我国近年来陆续出台《网络安全法》《数据安全法》《个人信息保护法》等配套法规,构建国内数据跨境流动管理框架体系,并出台《数据出境安全评估办法》和《个人信息出境标准合同办法》,完善个人信息出境的保护规则。目前,我国已经形成了安全评估、出境认证和标准合同相结合的监管体系。
三是积极主动对标国际高标准数据跨境流动规则。我国在2020 年9 月提出《全球数据安全倡议》,2020 年11 月正式加入RCEP,RCEP 明确支持数据跨境自由流动,为我国开展数字贸易营造良好环境。同时,我国积极申请加入CPTPP 和DEPA,力图在数据跨境流动方面与国际标准同频。
2. 我国持续优化数字营商环境,支持数字贸易开放发展
近年来我国多措并举促进数字营商环境优化,促进数据跨境流动,为数字经济和数字贸易发展营造良好的环境。
第一,持续加强数字基础设施建设。据国家互联网信息办公室发布的《数字中国发展报告(2021 年)》,截至2021 年底,我国已建成142.5 万个5G 基站,总量占全球60% 以上,5G 用户数达到3.55 亿户,IPv6 地址资源总量位居世界第1 位,IPv6活跃用户数达6.08 亿,算力规模在全球排名第2 位,近5 年算力年均增速超过30%。
第二,数字领域国际合作稳步拓展。截至2022 年底,我国已与17 个国家签署“数字丝绸之路”合作谅解备忘录,与23 个国家建立“丝路电商”双边合作机制,①https://baijiahao.baidu.com/s?id=1755359532103776300wfr=spiderfor=pc.在多边/ 多方数字经济治理机制中发挥越来越重要的作用。在《全球数据安全倡议》基础上,我国又联合相关国家提出《中阿数据安全合作倡议》和《“中国+中亚五国”数据安全合作倡议》等,努力打造全球数据跨境流动通行规则,为拓展数字经济和数字贸易合作空间营造良好环境。
第三,通过多种载体和平台建设推进数据跨境流动监管政策试点。我国在上海自贸区临港新片区方案中提出,要实施国际互联网数据跨境安全有序流动,构建安全便利的国际互联网数据专用通道,试点开展数据跨境流动的安全评估,建立跨境数据流通和交易风险评估等数据安全管理机制。《国务院关于深化北京市新一轮服务业扩大开放综合试点建设国家服务业扩大开放综合示范区工作方案的批复》提出打造数字贸易发展引领区,立足中关村软件园,推动数字证书、电子签名等国际互认,试点数据跨境流动;推动数据出境安全管理和评估试点。
3. 我国各地出台便利政策和配套服务,助力企业数据出境安全评估
自《数据出境安全评估办法》发布以来,我国各地结合地方实际,出台政策为企业开展数据跨境流动安全评估提供政策便利和配套服务,努力寻求数据跨境流动合规与良好营商环境的平衡。各地出台的主要举措包括:开通数据出境申报受理通道、发布数据出境配套说明、上线数据出境安全评估平台、进行数据出境宣讲解读等(表4)。以北京市为例,其在数据出境安全评估方面取得重要突破。第一,落地全国首个数据合规出境项目。首都医科大学附属北京友谊医院和中国国际航空股份有限公司的相关数据出境场景已获国家网信办批准,成为全国前两个数据合规出境项目。第二,开通全国首个地方申报受理咨询电话。截至2023 年2 月,北京市网信办已受理咨询电话1,000 余通,累计通话时长超过2 万分钟,服务数据出境需求主体达310 余家。第三,成立专班服务指导提升申报水平。北京市网信办组建数据出境安全评估工作专班,研究制定风险自评估要点,对各企事业单位提交的申报材料开展辅导审核,逐一反馈修改意见;对表达申报意愿的142 家单位进行申报材料编写政策指导和答疑解惑。第四,组织政策宣讲活动。北京市网信办联合相关部门举办评估办法的政策解读宣讲系列活动,就评估办法的适用范围、自评估要点、本市受理流程等进行解答,得到医疗、金融、汽车、民航、保险等多个领域企事业单位的积极响应。
表4 部分省(直辖市)落实数据出境安全评估的举措
(二)我国数据跨境流动治理存在的问题
虽然我国在推进数据跨境流动治理、优化数字营商环境方面取得了一定成效,但对标国际规则和标准,尤其从优化数字时代营商环境角度出发,我国数据跨境流动治理还存在不少问题。
第一,数据跨境流动监管与发展数字贸易统筹不足。近年来,我国数字贸易快速发展。2022 年我国可数字化交付的服务贸易规模达到2.5 万亿元,比5 年前增长了78.6%;跨境电商进出口规模达到2.1 万亿元,比两年前增长30.2%。但是,近年来我国一直秉持“数据安全”的态度,对数据跨境流动采取谨慎态度,不断强化对相关企业数据跨境流动的监管,大幅增加了企业合规成本,形成合规困境,影响了国际合作渠道和业务拓展,与CPTPP 和DEPA 等高标准经贸规则存在较大差距,也与当前我国数字贸易快速发展的需求不相适应。
第二,数据跨境流动监管方式单一。目前我国建立了以数据出境安全评估为主体的监管制度。根据《数据出境安全评估办法》,针对重要数据和关键信息基础设施运营者、处理100 万人以上个人信息的数据处理者、自上年1 月1 日起累计向境外提供10 万人个人信息或1 万人敏感个人信息的数据处理者,要进行安全评估。数据出境安全评估制度具有政府主导、个案评估、强制性等特征,同时从我国数据出境评估实践看,具有门槛低、成本高、数据出境合规渠道单一、监管方式缺乏灵活性等特点。虽然我国在《个人信息保护法》中明确了安全评估、个人信息保护认证和企业标准合同这3 种合规渠道,但从实践看仍以安全评估为主导,个人信息保护认证和企业标准合同的应用空间较小且发展滞后。这与欧美日等发达国家采取的国家充分性认定(白名单制度)、企业认证和标准合同等多渠道数据出境合规存在较大差距。
第三,数据跨境流动监管政策助力营商环境优化的支持力度还有待提升。数据跨境流动作为数字营商环境的组成部分,对数字贸易发展具有重要影响。数据跨境流动监管政策一方面必须要守住数据安全、个人隐私保护的底线,同时必须尽可能为数字贸易发展营造更加优良的营商环境。从目前实践看,数据跨境流动监管政策还未很好地从优化营商环境视角来调整和设计,有时出于对监管政策把握不准,企业正常的数据跨境流动行为可能也会受到影响,对不涉及国家安全和个人隐私的一般性数据跨境流动、跨国公司内部的业务数据跨境流动的监管政策还需进一步明晰,数字营商环境还需要进一步优化。
第四,我国数据跨境流动“朋友圈”还有待拓展。当前,全球数据跨境流动规则呈碎片化、多极化和差异化发展态势,企业在经营业务过程中需针对不同国家(地区)采取差异化数据跨境措施,增加了企业合规成本。为了减小数据跨境流动障碍,美欧等国家一直试图构建代表本国利益的数据跨境流动规则,构建西方世界的数据跨境流动“朋友圈”。相比较而言,我国数据跨境流动规则与国际高标准规则和其他经济体的数据治理规则衔接还不够,数据跨境流动的“朋友圈”还不够大,我国还未掌握全球数据跨境流动规则制定的主动权和话语权,这在一定程度上影响了我国数字贸易企业出海经营。
第五,特殊区域数据跨境流动监管政策创新不足。数字贸易的飞速发展对离岸数据中心有较强需求,但在自贸区、海南自贸港等特殊区域的数据跨境自由流动监管试点还有待进一步加强,适应跨境业务需要的低延时、高频率数据流动场景的特殊监管措施还有待进一步完善。建立类似于“数据大使馆”免于国内监管、具有境内关外属性的离岸数据监管政策还有待进一步探索。
四、完善我国数据跨境流动治理的政策建议
为更好地统筹发展与安全,更好地支撑数字经济和数字贸易发展,主动对接USMCA、CPTPP 等区域贸易协定中的高标准数据跨境流动规则,本文提出如下对策建议以完善我国数据跨境流动治理体系建设。
第一,建立数据跨境流动监管机构,完善数据跨境流动立法。参照欧盟设置欧洲数据保护委员会统筹欧洲数据安全事项的典型案例,形成符合我国国情的统一数据跨境流动监管职能架构,设立专门、独立、分属数据跨境的数据监管行政机关,负责推动数据规范的具体落实、数据安全的风险评估和数据跨境流动治理等活动。完善服务贸易具体行业监管体系,重点关注数据动态传输过程,明确监管权限。持续推动数据跨境流动立法,坚持数据安全保护与数字经济发展并重。提高数据跨境流动审批效率,加快出台《数据出境安全评估办法》的配套细则,为数据跨境流动提供可操作、可执行的合规标准。
第二,积极对接高标准数字经贸规则,打破数据跨境流动的制度障碍。在数据跨境流动规则与政策、数字平台监管等方面先行先试,积极开展国际数字贸易规则和制度对接。进一步加强与 CPTPP 和DEPA 成员的谈判磋商,积极推动加入程序进程,加快融入全球数字贸易规则构建浪潮,主动探索我国数字贸易治理与国际规则的制度性衔接机制,努力在区域数字贸易规则制定中争取更多主动。考虑以 RCEP 相关规定为基础,建立基于国家安全评审制度和可信可控数据流动安全认证机制相结合的跨境数据安全有序流动制度。借鉴新加坡等国在DEPA 框架下实施的数据跨境流动安全可信可控认证认可制度。积极利用多边、区域和双边渠道,推动落实我国提出的《全球数据安全倡议》,深度参与国际数据治理和国际规制构建,不断扩大数字贸易“朋友圈”。
第三,探索建立数据跨境流动白名单机制,建立有针对性的国别数据跨境流动制度安排。白名单机制是畅通数据跨境流动渠道的一项重要手段。从本质上讲,白名单机制是一国认为他国的数据保护水平达到本国的最低要求,本国数据流入他国会得到充分保护,不至于损害数据主体合法权益。欧盟和日本等国家(地区)在数据跨境流动中都使用了白名单监管机制。我国可借鉴数据跨境流动白名单机制的经验,在完善数据保护政策和法律法规的前提下,建立符合我国国情的白名单制度,畅通数据跨境流动渠道,适当放松对数据跨境流动的限制。例如,针对“一带一路”国家(地区)可率先签署双边数字贸易及数据跨境流动专项协议,建立国别数据跨境流动制度安排。此外,从欧盟与美国《隐私盾协议》失效案可以看出,白名单并非一成不变,可以按照现实状况的动态变化作出灵活调整。因此,我国建立的白名单机制也应做好评估工作,保证数据自由流入国家能充分保护数据安全。
第四,以解决数字贸易企业发展中的突出问题为导向,持续优化数字营商环境。以企业和产业合作为导向,有针对性地解决跨境贸易和投资中的数据跨境流动合规问题,把解决数字企业普遍遇到的共性问题作为突破口来推动数字营商环境优化。例如,跨境电商中的数字身份认证、港口航运和物流领域的数字化标准一致性及数字合同、电子发票、数字支付、海关通关等数字系统的跨境联网与互操作等;又如服务外包中的数据跨境流动、外贸大数据、数字营销、跨国公司内部的业务数据等。这类数据跨境流动是传统国际经贸合作中涉及的数据问题,可以研究制定数据跨境流动正面清单和绿色通道,不断优化数字贸易企业营商环境。
第五,在特定地区开展数据跨境流动监管试点,探索建立我国数据跨境流动特殊监管政策。2019 年7 月印发的《中国(上海)自由贸易试验区临港新片区总体方案》提出,支持新片区试点开展数据跨境流动的安全评估。2020 年6 月印发的《海南自由贸易港建设总体方案》、2021 年9 月印发的《横琴粤澳深度合作区建设总体方案》等文件均提出,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制。党的二十大报告也强调要稳步扩大制度型开放。为此,我国应在上海自贸区临港新片区、海南自贸港、北京市数字贸易示范区、粤港澳大湾区等地区开展数据跨境流动先行试点,针对跨境贸易、电子商务、金融、医药研发等领域的数据,建立类似于境内关外的离岸数据中心,实现与境外的自由便利流动,免于国内现有法律监管,建立特殊区域离岸数据特殊监管制度,更好地服务跨境经贸合作。