摘要:如何安全有效促进数据跨境流通和赢得数据跨境流通治理话语权主导权,成为各国博弈的焦点。当前,受各国数据治理理念,核心利益诉求,深层次个人数据安全、国家数据主权、数据跨境自由流通不可兼得的“三元悖论”以及传统数据治理手段制约,国际数据跨境流通领域形成多元治理机制并存、多套治理模板竞争、多轮博弈持续演进的博弈态势,以及数据跨境流通治理碎片化割裂化的局面。当前,我国以国家安全与数据跨境有序自由流动并重为基本特征的数据跨境流通治理主张,不仅契合我国发展实际,而且符合大多数发展中国家的愿望。总体而言,数据跨境流通治理中国方案是一种合意的数据跨境流通治理方案,但在具体实践中我国数据跨境流通治理依然存在一些短板,如有些规定不太合理导致企业数据跨境流通操作成本高、数据跨境流通治理参与度低导致数据跨境流通互操作性较差、与国际高标准数字经贸规则存在衔接障碍等,同时面临国际上异样的声音,甚至存在被污名化、被打压的风险,不利于数据跨境流通治理中国方案效力与国际影响力的提升。为在数据跨境流通治理领域赢得话语权主导权、推进数据跨境流通国际治理,我国应坚持多边主义,推动以联合国和WTO为主导的国际机制建设;推进“数字丝绸之路”建设,扩大中国方案影响力;加强双多边合作,增强数据跨境流通互操作性;对接高标准数字经贸规则,提高数据跨境流通治理能力。 关键词:数据跨境流通;数据流通治理规则;数据安全;中国方案 基金项目:国家社会科学基金重点项目“新技术革命背景下全球创新链的调整及其影响研究”(19AJY013);中国社会科学院智库基础研究项目“国际竞争规则变化对我国数字经济国际竞争力影响研究”(23ZKJC054);中国社会科学院学科建设“登峰战略”资助计划“区域经济学”(DF2023ZD24)。 |
近年来,关于数据跨境流通治理的研究逐渐增加。从数据类型角度看,相关研究主要集中于个人数据和金融数据的数据跨境流通治理。从研究对象看,相关研究大多关注欧、美、中、日等国家或地区的数据跨境流通治理,特别是美欧数据跨境流通治理的理念、制度及博弈焦点。从数据跨境流通规则看,相关研究主要关注国际高标准数字经贸规则下数据跨境流通治理的异同,如《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)、《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)、《美墨加协定》(United States–Mexico–Canada Agreement,USMCA)、《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)的比较研究。也有很多研究持续关注我国数据跨境流通治理的内容、面临困境及改进方向。基于前述研究,本文聚焦数据跨境流通规则博弈与中国应对,首先阐述国际数据跨境流通规则博弈的现状,剖析数据跨境流通治理碎片化割裂化的根源,然后在此基础上分析当前我国数据跨境流通治理方面的做法,指出其中存在的问题、面临的困境,最后提出对策建议,以赢得我国在数据跨境流通治理领域的话语权主动权,推进国际数据跨境流通治理。
一、国际数据跨境流通规则博弈现状
数字经济时代,数据要素成为影响国际贸易和产业竞争力的重要因素,数据跨境流通放大数据经济效益,重塑国际分工与国际贸易格局,对全球经济贸易产生重要影响。各国竞相争夺数据要素,将获取数据跨境流通规则制定话语权主动权作为发展数字经济、保障数据安全的关键,并在数据跨境流通、数据存储要求、知识产权保护、个人信息保护等方面给予政策支持。
当前,主要经济体关于数据跨境流通治理的博弈主要围绕数据跨境流通、数据存储、计算设施位置、个人信息保护等核心议题展开。各国在这些方面分歧较大,并基于对国家安全、数据主权、个人数据权利等问题的考量,对数据跨境流通实施不同程度的监管,对数据存储和计算设施位置采取不同的要求。如何在监管方面平衡数据跨境流通的自由度和安全性成为各国的关注焦点。此外,各国尽管能在个人信息保护原则上达成一致,但当个人信息保护与数据跨境流通存在冲突时,在对两者的偏向与权衡上分歧较大,这也是各国数据跨境流通博弈的焦点之一。
在多维因素影响下,国际数据跨境流通规则博弈呈现出多元治理机制并存、多套治理模板竞争、多轮博弈持续演进的发展态势。
(一)多元治理机制并存
当前,全球数据跨境流通治理机制主要包括三类:一是以经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)、世界贸易组织(World Trade Organization,WTO)、亚太经济合作组织(Asia-Pacific Economic Cooperation,APEC)等为代表的国际组织机制;二是以电子商务、数据跨境流通条款为主要内容的贸易协定和以伙伴关系为基础的双多边区域组织机制;三是以数据安全、个人信息保护、数据跨境流通为主要内容的各国国内法律保障机制。其中,前两类属于双多边治理机制,最后一类属于单边治理机制。在国际层面,主要依靠国际组织机制和双多边区域组织机制进行数据跨境流通治理与合作;在国内层面,主要依靠单边机制规范治理数据跨境流通问题。
从国际组织机制看,OECD、WTO、APEC等作为主要的国际数据跨境流通治理组织,在数据跨境流通治理中做了大量工作。OECD于1980年发布《关于隐私保护与个人数据跨境流通的指南》(Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data),提出数据跨境流通的概念和规则。APEC于2005年构建《APEC隐私框架》(APEC Privacy Framework),提出比OECD更成熟的数据跨境流通规则,于2012年构建跨境隐私规则(Cross-Border Privacy Rules,CBPR),APEC各经济体的个人数据流通均遵循CBPR体系。WTO在制定数据跨境流通规则方面比较滞后。自2011年起,陆续有WTO成员提交支持数据跨境流通的议案,但部分成员持反对意见,导致一时较难通过WTO平台形成共识。直至2021年12月,86个WTO成员发表《电子商务联合声明倡议》(Joint Statement Initiative on E-commerce),才在电子商务领域取得一定实质性谈判成果。此外,近年来,许多国际组织也陆续开展数据跨境流通治理工作。比如,2022年联合国启动隐私增强技术实验室(PET Lab),致力于研发使用国际数据,共享更加安全的方法。
从双多边区域组织机制看,各国利益诉求不同,难以通过国际平台达成共识,纷纷寻求双边或多边贸易协定,约定电子商务或数据跨境流通规则条款,以规制数据跨境流通。在此背景下,区域经贸规则一体化成为国际数据跨境流通治理主要的合作方式。目前,国际上已有超过100多个国家或地区签订涉及数据跨境流通议题的双多边区域贸易协定,如DEPA、CPTPP、USMCA、RCEP等。
从各国国内法律保障机制看,在单边机制下,各国数据治理方面的法律法规及政策成为治理数据跨境流通的主要工具。如美国《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act,简称“CLOUD法案”)、俄罗斯《联邦个人数据法》、中国《中华人民共和国数据安全法》(以下简称《数据安全法》)等。
(二)多套治理模板竞争
迄今为止,国际上具有代表性的数据跨境流通治理模板主要有四种,四者在数据跨境流通、计算设施位置、数据本地化存储规则等方面存在较大分歧。
一是欧式模板。该模板的典型特征是,在保障个人数据权利的前提下,有条件实施数据跨境流通治理。具体做法是:面向欧盟境内,推崇建立统一数据立法,促进欧盟内部数据自由流通;面向欧盟境外,根据充分性认定原则构建白名单制度,对数据接收国进行数据保护认定,只有数据保护水平与欧盟相当的国家才能获准流入,对未获得充分性认定的国家只能采取适当性保障措施和按例外情况接收数据。截至2023年7月,已经有15个国家获得欧盟充分性认定,包括安道尔、阿根廷、加拿大、法兰群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、韩国、瑞士、英国、乌拉圭、美国。在计算设施位置上,欧盟强调境内禁止计算设施本地化,公共政策例外。在数据本地化存储规则上,尽管允许以公共安全为由实行数据本地化存储,但仍然对公共安全作出了严格的规定。
二是美式模板。该模板下的数据跨境流通治理主要体现在USMCA和《美日贸易协定》中。该模板的典型特征是,实行“一般原则+例外”。强调实行数据非本地化存储,任何缔约方不得禁止或限制数据跨境流通,但为实现合法公共政策目标的例外。比如,USMCA强调,符合公共政策条件的措施需要满足必要性要求,且不能在情况相同的国家间构成武断或不公正的歧视,以及对贸易的掩藏和限制。此外,USMCA和《美日贸易协定》在主要继承CPTPP的基础上,删除了关于缔约方可对通过电子方式传输信息设置各自监管要求的条款。这意味着,美式模板下的数据跨境流通规则最为严格,例外条款形同虚设。且监管要求条款的删除和严格的公共政策条件会导致更加严格的计算设施非本地化规则。
三是中式模板。该模板主要体现在RCEP中。我国是RCEP的主要推动者,RCEP是我国签订的第一个涉及数据跨境流通规则的自由贸易协定,因此国际上视RCEP为中式模板的代表。与美式模板、欧式模板相比,RCEP中的数据跨境流通规则更为宽松。RCEP电子商务章节第14条第1至第3项、第15条第1至第3项强调,关于计算设施位置和数据跨境流通,缔约方可能有各自的措施,但不能将计算设施本地化作为开展商业活动的条件,不得阻止为进行商业行为而通过电子方式跨境传输信息,但为实现合法公共政策目标的例外。RCEP电子商务章节第14条第3项、第15条第3项均指出,“该缔约方认为对保护其基本安全利益所必要的任何措施,其他缔约方不得对此类措施提出异议”。该条款给予缔约方实施合法公共政策较大空间,且缔约方拥有完全的权利采取任何数据措施保障其数据安全。
四是新式模板。该模板主要体现在DEPA中。DEPA是截至目前第一个专门性的数字贸易协定,具有包容性、灵活性、创新性等特征,且涵盖数字领域较为前沿的议题,因此被视为新式模板。CPTPP与DEPA在数据跨境流通治理规则上高度类似。从数据跨境流通看,DEPA第4.3条、CPTPP第14.11条认为,每一缔约方均可对通过电子方式传输的数据设置各自的监管要求,缔约方应允许通过电子方式传输数据,包括个人数据,但强调实现合法公共政策目标的例外。从计算设施位置看,DEPA第4.4条、CPTPP第14.13条均强调,不得要求将在某缔约方领土内使用或设置计算设施作为在其领土内开展业务的条件,为实现合法公共政策目标的例外。从合法公共政策目标看,DEPA第4.3条、第4.4条,CPTPP第14.11条、第14.13条均规定,不得构成任意或不合理歧视,不得对贸易构成变相限制,不得超出目标所需的限度,可见符合公共政策目标的条件也较为严格。
(三)多轮博弈持续演进
数字经贸规则博弈的关键之一是数据跨境流通规则的博弈。国际上关于数据跨境流通规则的博弈较为激烈,其中欧美数据跨境流通规则的博弈最为典型,主要围绕个人信息保护、数据跨境流通等议题展开。
迄今为止,欧美数据跨境流通博弈历经三轮。第一轮博弈以双方达成《安全港协议》(Safe Harbor Agreement)开始,以欧盟宣判《安全港协议》无效结束。美国在与欧盟的博弈中,出于对企业合规成本和商业利益的考量,做出妥协,遵循欧盟个人信息保护原则,于2000年11月与欧盟达成《安全港协议》。本轮博弈以欧盟个人信息保护占上风,但实操中存在个人信息遭受损害却未获得相应救济的情况,《安全港协议》只能约束有数据传输需要的美国企业,对美国当局毫无约束,欧盟个人数据权利无法得到保障。特别是在美国对数据进行监控和迁移事件曝光后,欧盟担忧数据安全问题,于2015年10月宣布《安全港协议》无效。
《安全港协议》被宣布无效后,欧美开始了第二轮博弈。美国基于商业利益和“洗白”本国形象的需要,欧盟基于增进欧美经济往来的需要,欧美双方基于跨大西洋商业合作发展的需要,迅速进行再次谈判,于2016年达成《隐私盾协议》(Privacy Shield)。在此轮博弈中,欧盟的个人数据权利依然占据上风,美国承诺不会超范围获取数据,设置监察专员机制与年度联合审查机制,但在实际操作中,未能有效保护个人信息,依然缺乏有效的司法救济,且美国庞杂的情报法律体系未能充分保障欧盟公民个人数据权利。2020年7月,欧盟法院因美国未能实质提供与欧盟匹配的保护水平,判决《隐私盾协议》无效,这意味着欧美第二轮数据跨境流通博弈落下帷幕。
《隐私盾协议》被废止后,欧美开始了第三轮博弈。欧美出于对商业数据安全和流通的迫切期待,积极进行谈判,于2022年3月达成《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)原则性承诺。在该框架下,美国再次作出让步,针对个人信息保护问题,构建独立的双层救济机制,给欧盟公民提供维权途径。此外,美国总统还签署《关于加强美国信号情报活动保障措施的行政命令》(Executive Order on Enhancing Safeguards for US Signals Intelligence Activities),限制信号情报活动,充分尊重和保障个人数据权利。至此,欧美数据跨境流通依据《跨大西洋数据隐私框架》进行。
综上,在欧美三轮博弈中,当个人信息保护与数据跨境流通存在冲突时,欧盟倾向于个人信息保护,美国倾向于数据跨境自由流通。但其根本在于数字经济竞争,美国依靠数字科技实力行使数据霸权,欧盟凭借市场优势利用数据规则进行反制,迫使美国为获得欧盟市场选择暂时屈服。
二、国际数据跨境流通治理碎片化割裂化的根源
当前国际数据跨境流通领域存在多元治理机制并存、多套治理模板竞争、多轮博弈持续演进的博弈态势,导致数据跨境流通治理碎片化割裂化,降低数据跨境流通效率,增加数据跨境流通成本,损害数据跨境流通安全性。其根源主要表现在四个方面。
(一)流通治理理念的分歧
治理理念是制定数据跨境流通规则的基本前提。当前各国数据跨境流通治理理念存在分歧,导致了围绕数据跨境流通规则的博弈。
欧盟受自身民族文化影响,在数据跨境流通治理中秉持保障个人数据权利的理念,把数据权利作为公民的基本权利,将个人数据安全置于优先地位,并在数据跨境流通治理中通过一系列法律条文予以落实。比如,其1981年通过的《有关个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)明确提出保护欧洲公民隐私权,带有浓重的保障欧洲公民基本人权的色彩;2016年通过的《通用数据保护条例》(General Data Protection Regulation)赋予数据主体更正权、被遗忘权等新权利,也带有浓重的人权保护色彩。可见,欧盟保障个人数据权利的理念贯穿其数据相关法律条文,并通过法律形式予以确定。
美国在数据跨境流通治理中坚持经济效益为先的理念,倡导数据跨境自由流通,支持构建完全自由市场,禁止数据本地化存储,以便自由获取数据,极大释放数据跨境流通的经济效益,同时对外宣称限制数据跨境流通会造成新的贸易壁垒,影响数字贸易发展。但实践中美国对国内数据的跨境传输实施“内严外松”的规制方式,在某种程度上与其宣扬的数据跨境自由流通理念相违背。
与欧美不同,我国坚持国家安全与数据跨境有序自由流通并重的理念,结合国内数字经济发展水平与数字经贸规则现状,出台《中华人民共和国网络安全法》(以下简称《网络安全法》)、《数据安全法》、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)以及相关政策法规。此外,俄罗斯和印度坚持国家安全与数据主权理念,实施较为严格的数据本地化存储规则;日本秉持与美国高度类似的数据跨境流通治理理念,倡导数据跨境自由流通。由此可见,各国治理理念贯穿其数据跨境流通治理全过程,指导其数据跨境流通规则与方式。
(二)核心利益诉求的不同
各国核心利益诉求不同,成为导致当前数据跨境流通治理碎片化割裂化的根本原因。
受美国等实施的技术控制战略影响,欧盟境内大数据、人工智能时代的技术自主权发展权面临威胁,因此欧盟意图通过其数字经贸规则制定能力实现数字技术主权战略。欧盟实行较为严格的数据跨境流通治理,既是为了保障个人数据权利,也是为了争夺数据跨境流通治理话语权主动权,抢占国际数字经贸规则制定主导权。欧盟通过“长臂管辖”机制向全球推广数据跨境流通治理模式,与欧盟有数据往来的企业均受《通用数据保护条例》约束。
美国凭借强大的数字经济实力和较高水平的数字技术,倡导以市场为导向的数据跨境自由流通,但实际上行使的是美式数字霸权主义,在数据跨境流通中实行双重标准,针对本土数据特别是重要数据的流出,采取较为严格的数据保护和监管。如根据《出口管理条例》(Export Administration Regulations,EAR)和《国际军火交易条例》(International Traffic in Arms Regulations,ITAR),针对非军用和军用相关技术数据以及数据处理者实施数据出口许可管理等。在数据对外司法执法上,美国CLOUD法案规定了其长臂管辖的数据域外法制,为其以国家安全为由获取他国数据提供法律依据,但他国调取美国本土数据,却需要满足一系列限制条件,困难重重。可见,美国数据跨境流通监管带有浓厚的霸权主义色彩,真实显现出其实施数据霸权、主导制定数字经贸规则的战略意图。
我国及其他新兴经济体实行较为严格的数据监管及本地化存储等措施,把国家安全作为核心诉求。一方面,我国与广大发展中国家尚处于数字经济不太发达的阶段,特别是数字经济底层技术缺乏、数字经济国际竞争力偏弱;另一方面,西方国家在数字经济领域对我国采取围堵策略,若不能采取必要的数据保护措施,国家安全难以保证。可见,保障国家安全符合当前我国与其他发展中国家的核心利益。
(三)深层次的“三元悖论”
“三元悖论”指个人数据安全、国家数据主权、数据跨境自由流通无法在数据跨境流通治理中同时实现。数据跨境流通治理既是国内问题也是国际问题,涉及国内与国际政策的协调,数据跨境流通治理必然会出现相互竞争的情形,而各国政策目标的差异化反映到数据跨境流通规制上必然会造成顾此失彼的情况。全球数据跨境流通治理中存在的“三元悖论”问题,是导致当前数据跨境流通治理困境的深层次原因。
“三元悖论”主要涉及三种情形。第一种情形下,一国把个人数据安全和国家数据主权作为治理目标,限制数据向境外流出,会在一定程度上限制数据跨境自由流通,形成数据跨境流通壁垒。如欧盟只允许个人数据流向与欧盟具有同等保护水平的国家,即属于该情形;美国针对国内重要数据的流出进行规制,与该情形类似。第二种情形下,一国把国家数据主权和数据跨境自由流通作为治理目标,积极倡导数据跨境自由流通,延展数据跨境传输范围,导致本国个人信息保护水平下降,个人信息泄露风险较大。如美国倡导数据跨境自由流通,释放数据价值,但主要依靠行业自律和政府执法保障国内数据安全,在一定程度上导致个人数据保护水平下降,即属于该情形。第三种情形下,一国以个人数据安全与数据跨境自由流通作为治理目标,在构建严格数据保护制度的同时,极力促进数据跨境自由流通。该情形与欧盟境内的数据跨境流通治理类似。相比于以上三种情形,最理想的状态是个人数据安全、国家数据主权、数据跨境自由流通之间实现平衡。尽管该状态目前尚难以实现,但我国一直以此为目标,不断进行探索和实践。综上所述,各国在数据跨境流通规制方面侧重点不同,影响着全球数据跨境流通治理的演进。
(四)传统数据治理手段的制约
传统数据治理手段是导致当前数据跨境流通治理困境的重要原因之一。随着数字经济的发展、数字应用场景的多样化,个人数据安全、企业数据安全、国家安全等问题层出不穷,各种数据问题与个人、企业、国家等各类主体交织,导致数据跨境流通治理存在较大困难。
一方面,传统数据治理手段无法应对当前复杂的数据跨境流通治理问题。首先,数据具有虚拟性、可复制性、流动性等特征,可跨越地域和国界限制,且体量庞大,这对数据治理手段提出了极高的要求。其中,最关键的是高水平的数字技术。数据跨境流通治理离不开技术的支撑,而目前多数国家的隐私计算、数据流转分析等关键技术尚处于攻坚阶段,数据存储加密、防火墙、数据访问限制等技术还不能有效化解数据泄露风险。其次,当前很多国家的数据治理数字化智慧化转型尚处于发展阶段,数据治理手段还不成熟。尽管“互联网+”“人工智能+”“大数据+”等数字技术能够提升国内数据治理的有效性,但无法有效应对由数据空间、数据主体、数据要素等交织构成的复杂的数据跨境流通环境。
另一方面,从顶层设计看,尚未形成系统的数据治理制度,不利于数据治理手段的进步。数据产权、数据分类分级、数据要素市场等方面的制度还处于探索过程中,未形成系统,数据跨境流通治理无法做到精准有效、有法可依、有法可行。可见,传统的数据治理手段无法有效解决数据泄露、数据监管、国家安全等问题,加之各国数据治理手段与水平存在差异,导致数据跨境流通治理面临诸多限制。
三、当前我国数据跨境流通治理的措施与问题分析
在数据跨境流通规则多重博弈下,掌握数据跨境流通规则制定主动权非常重要,为在数字经济领域增强竞争优势,提高数据跨境流通治理水平和影响力,我国应积极探索制定中国式数据跨境流通规则。为此,我国进行了大量的数据跨境流通治理实践。
在实践中,我国从国情出发,结合发展实际,坚持国家主权安全与数据跨境有序自由流通并重的理念,搭建基本框架,规制数据跨境流通,总体而言形成了一种合意的数据跨境流通治理方案。此外,在数据跨境流通治理方面,我国的理念符合当前广大发展中国家的利益诉求,但实践中依然存在一些短板,同时国际上还存在异样的声音,不利于我国数据跨境流通治理效力与国际影响力的提升。
(一)我国数据跨境流通治理的主要做法
1.国家安全与数据跨境有序自由流通并重
我国国内数据海量勃发,数据要素附加值高,数据跨境流通需求迫切,国际数据跨境流通规则分散,博弈重重,数据风险较高,亟待制定符合我国国情的数据跨境流通规则。在此发展阶段,我国制定了符合国家利益的数据跨境流通规则,在坚持数据主权基础上,维护国家主权和安全利益,有条件地实施数据跨境流通,促进数据安全有序流通。《网络安全法》第一条强调,要保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。《数据安全法》第一条强调,要保护个人、组织的合法权益,维护国家主权、安全和发展利益,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。我国数据跨境流通治理宗旨紧密结合中国国情,充分彰显中国特色,符合新时代背景下我国的国家安全观和新发展观。此外,我国倡导的国家安全观符合大多数发展中国家的利益。发展中国家与发达国家之间存在巨大的“数据鸿沟”。发展中国家面临大量数据流出现象,但其数据监管和保护水平尚不能较好地保障数据安全,因此纷纷制定数据本地化存储规则,以保障国家安全。可见,在数据跨境流通治理宗旨上我国与其他大多数发展中国家是趋于一致的。
2.关于数据跨境流通的具体规定
我国出台了《网络安全法》《数据安全法》《个人信息保护法》三部顶层数据法律,以及《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》(以下简称《规定》)等一系列法规政策,确立我国数据跨境有序自由流通原则、数据本地化存储规则、数据分类分级保护制度以及数据出境监管制度,搭建我国数据跨境流通治理框架。
在数据出境监管方面,要求对重要数据和个人信息出境进行安全评估申报。2024年3月,国家互联网信息办公室出台《规定》,进一步明确数据出境安全评估适用范围,有效促进数据流通。《规定》将数据处理者分为关键信息基础设施运营者、非关键信息基础设施运营者两类。根据《规定》第七条,关键信息基础设施运营者向境外提供个人信息和重要数据的,需要申报数据出境安全评估;非关键信息基础设施运营者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息的,需要申报数据出境安全评估。从数据范围看,有关国家安全、公共利益或者公民、组织合法权益的重要数据以及大规模的个人信息和敏感信息被明确纳入评估和保护范畴,有助于精准保障数据安全以及公民、组织合法权益。
在数据出境安全评估方面,要求风险自评估与安全评估相结合。考虑到数据一旦出境可能会危害国家安全、公共利益、个人或组织合法权益,数据处理者和国家互联网信息办公室均要重视数据出境安全评估。2022年7月7日国家互联网信息办公室公布的《数据出境安全评估办法》第八条强调,数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或组织合法权益带来的风险,包括数据出境的目的、范围、方式等的合法性、正当性、必要性,出境数据的规模、范围、种类、敏感程度,境外接收方的数据保护水平、数据安全保护责任义务等。数据出境风险自评估和安全评估两道程序有助于进一步排除大量风险数据,明确的安全评估程序有助于企业数据出境合规操作。
除需要进行较严格安全评估的数据外,对于其他数据,要求采取标准合同签订、个人信息认证等国家规定的其他出境方式。根据《规定》第八条,非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。根据《规定》第三条,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。可见,安全评估、标准合同签订、个人信息保护认证以及例外免于申报等条款基本涵盖所有数据类型,能够对数据进行分类分级监管,在一定程度上化解数据风险,助力数据跨境自由安全流通,实现数据价值。
(二)当前我国数据跨境流通治理面临的主要问题
1.我国数据跨境流通治理方面的规定仍存在短板
2024年3月出台的《规定》针对以往数据出境实践中存在的问题进行了调整,如细化数据跨境传输范围、迎合更多商业场景需求、促进数据跨境有序流通等。我国促进数据跨境安全、有序、高效流通的方向是对的、决心是坚定的,但新政策的效果还需要时间的验证,当前我国数据跨境流通实践中依然存在短板。一是数据分类分级制度不够完善。全国网络安全标准化技术委员会2024年3月15日发布、2024年10月1日正式实施的《数据安全技术数据分类分级规则:GB/T 43697—2024》,可为数据分类分级管理提供统一指引,但我国数据分类分级保护制度尚处于探索阶段,系统的数据分类分级保护制度尚未建立完善。二是各类数据出境监管方式区别不大,分类监管效果不佳。标准合同和安全评估程序均要求进行风险审查,审查内容重叠度高,均要向国家网信部门备案或申报,标准合同较少涉及违约救济、个人数据权利保障等内容。可见,标准合同与安全评估等出境方式实质区别较小,难以针对不同风险实现分类防范。三是企业数据出境合规操作要求较高。安全评估或标准合同签订中的风险自评估,要求企业拥有较高水平的数字监管技术,能够评估核算数据风险,以及境外接收方的数据保护能力和救济措施充分性,这无疑会增加企业数字监管投入。此外,各国数据跨境流通标准不同,企业数据跨境传输除要满足输出国审核要求外,还要满足接收国的差异化要求,这也会提高企业数据出境操作要求,增加企业合规成本。
2.双多边区域数据跨境流通治理能力较弱,互操作较难
在双多边区域数据跨境流通治理角力场中,美国通过签订双多边区域贸易协定,不断推广数字经贸规则,提高在国际数据跨境流通治理中的影响力。欧盟通过充分性认定与他国构建数据流通通道,不断扩大在双多边区域数据跨境流通治理中的影响力。我国在双多边区域数据跨境流通治理中,尚未占据主动权,一直处于被发达国家“围堵”的局面。一方面,我国参与的双多边区域贸易协定大多仅涉及电子商务议题,如《中国-韩国自由贸易协定》《中国-澳大利亚自由贸易协定》均包含电子商务章节,但有关数据跨境流通规则的内容较少,且我国参与的数据跨境流通规则协定数量也较少。另一方面,我国在双多边区域贸易协定中尚未制定高水平数据跨境流通规则,仅在RCEP中回应了数据跨境流通问题,但其规则水平低于美国和欧盟。此外,受数字经济水平、利益诉求、治理理念等因素影响,各国数据跨境流通监管制度还存在一定程度的冲突,导致国际数据跨境流通通道难以构建,数据跨境流通互操作性较差,且各国数字技术水平不同,数据鸿沟较大。发达国家在数据识别、数据分析、数据监管和互操作性方面优势较强,发展中国家数据分析技术较弱,未能有效监管数据流通和进行标准化数字技术操作,这也是导致数据跨境流通不够通畅、国际数据跨境流通互操作性较差的原因之一。
3.与国际高标准数字经贸规则存在衔接障碍
当前国际上最高水平的数字经贸规则当属DEPA和CPTPP,而我国现行数字经贸规则与国际高标准规则存在衔接障碍。一是我国现行数字经贸规则所涉及数据前沿议题在广度和深度上与国际高标准规则存在差距。目前,我国签订的RCEP在电子商务章节仅涉及贸易便利化、数字产品待遇、数据跨境流通等议题,未涉及数字产品非歧视待遇、源代码、交互式计算机服务、新兴趋势和技术以及数字身份等相关议题。二是我国数据跨境流通规则在高度上与国际高标准规则存在差距。我国实行数据跨境有序自由流通,而DEPA第4.3条、CPTPP第14.11条鼓励缔约方既允许通过电子方式传输信息,包括个人信息,也允许为实现合法公共政策目标对数据跨境传输进行一定规制。在计算设施位置方面,DEPA第4.4条、CPTPP第14.13条均强调,要禁止计算设施本地化,允许为实现合法公共政策目标对计算设施位置进行规制。但为实现合法公共政策目标而采取的措施应合理、非歧视、非变相限制贸易,条件较为严苛。这与我国所制定的数据本地化存储规则完全相反。相对而言,我国数据跨境流通规则较为宽松,而国际高标准规则较为严格。三是从合法公共政策的例外情况看,我国的规则比国际高标准规则更为宽松。RCEP电子商务章节第14条第3项、第15条第3项均强调,在计算设施位置与跨境传输信息规制方面,为实现合法公共政策目标而采取的必要措施应合理、非歧视、非变相限制贸易或者维护缔约方基本安全利益,对此其他缔约方不得提出异议。可见,RCEP的数据跨境传输条件较为宽松,实施合法公共政策的主动权在缔约方,缔约方拥有完全的权利采取任何措施保障自身数据安全。
4.我国的措施在国际上面临被污名化和遭打压的风险
单从数据本地化存储规则看,没有优劣之分,只有是否适合所在发展阶段的区别。我国根据自身数字经济发展阶段,出于保障国家安全的需要,制定数据本地化存储规则,符合我国现实情况,有利于保障数据安全。但对于我国数据跨境传输,国际上一直存在异样的声音,甚至有西方媒体给其贴上了限制人权、控制舆论等标签。以美国为代表的西方国家认为,计算设施本地化、数据本地化存储是一种低标准的保守型数据跨境流通治理,是全球数字贸易的巨大障碍,但实际上美国关键领域的数据流出也遵循数据本地化存储规则。
此外,我国在参与国际数据跨境流通治理时存在被排斥、被打压的现象。美国以保护美国公民个人数据权利和国家安全为由,制定了一系列计划和政策来遏制我国数字企业和数字技术发展,如针对我国清洁网络计划,禁止使用我国华为、中兴的计算、存储、传输等设备,在高科技领域对我国进行封锁。同时,美国在双多边区域构建数据同盟,把我国排除在数字跨境流通治理协议之外,如通过区域联盟,引导制定印太经济框架,形成印太区域性数字贸易协定,构建印太数字联盟圈,对我国进行封锁。我国数据跨境流通治理面临的国际形势较为艰难,未来我国要在国际数据跨境流通治理中贡献中国智慧,争取数据跨境流通治理话语权主导权,扭转异样眼光和被围堵态势。
四、对策建议
针对当前我国数据跨境流通治理面临的主要问题,为提升我国数据跨境流通治理话语权主导权,防止数据跨境流通治理碎片化割裂化,推进数据跨境流通国际治理,提出以下对策建议。
(一)坚持多边主义,推动以联合国和WTO为主导的国际机制建设
当前尚不存在一个有约束力的统一的数据跨境流通治理机制,尚未形成统一的数据跨境流通规则和争端解决机制,缺乏能够调和国际数据跨境流通治理矛盾的有强制约束力的措施。但现实中各国利益诉求、数字经济水平、历史文化、法律政策等不同,难以在数据本地化存储规则、数据流通、关税、数字产品非歧视待遇等问题上达成共识,统一的数据跨境流通治理机制难以构建。面对各国难以调和的数据跨境流通规则,构建有效的国际协调机制和数据监管机制,创建有效的沟通对话机制,调和各国数据跨境流通治理中的国家安全和数据流通问题,不失为一种可行的尝试。
第一,作为数字大国,承担大国责任,积极推动构建以联合国和WTO为主导的国际协调机制。国际数据跨境流通中已经形成以国际组织、双多边协定以及国家为主的多元治理机制,其中联合国和WTO作为重要的国际组织,应积极利用自身国际影响力和全球贸易合作基础,推动各国在《联合国宪章》(Charter of the United Nations)和《服务贸易总协定》(General Agreement on Trade in Service)框架下,协商共治平等参与国际协调机制构建,促进全球数据跨境流通治理谈判,形成统一的数据跨境流通规则。
第二,在二十国集团、APEC、金砖国家、上海合作组织等多边框架下积极推动数字领域合作,开展数据跨境流通治理谈判,探索建立多边数据监管机制,为国际数据监管与救济搭建多边平台。寻求建立多边数据监管机制的顶层规划和总体设计,从国际规章、办法和政策角度不断细化各行业数据监管规章和数据救济措施。从配套国际法规政策入手,构建多边数据监管机制,完善互联网行业重要数据监管与救济体系,做到数据监管与救济有国际法可依。此外,在国际协调机制与多边数据监管机制构建中,积极发声,以国家安全为前提,秉持共商共建共享理念,充分发挥对话协调机制作用,促进数据安全与发展。同时,切实践行多边主义,积极推动落实《全球数据安全倡议》,寻求双多边区域数字合作,增进双多边对话,构建和平、安全、开放、合作、有序的网络空间命运共同体。
(二)推进“数字丝绸之路”建设,扩大中国方案影响力
自“一带一路”倡议实施以来,已有150多个国家、30多个国际组织签署共建“一带一路”合作文件,构建了20多个多边合作平台,全球互联互通的经济合作基础框架已经形成。我国应充分利用共建“一带一路”合作平台契机,依托网络空间命运共同体,凝聚“一带一路”数据跨境流通治理共识,搭建“一带一路”数据跨境流通框架,合作共赢,共同发展,提高我国在双多边区域数据跨境流通治理中的影响力。
首先,推进“数字丝绸之路”建设,缩小“一带一路”共建国家之间的数字鸿沟。数字基础设施是数据跨境流通的基础,应推动“一带一路”共建国家加强5G、数据中心、云计算、人工智能等新一代信息基础设施建设,以及数据资产梳理、数据存储加密、数据脱敏、数据防泄漏等数据安全通用技术建设,加强“一带一路”共建国家的互联互通和数据安全保障,为“一带一路”共建国家开展数据跨境流通合作奠定基础。此外,推动“一带一路”共建国家数据安全基础理论与技术研究合作,加强隐私计算、数据流转分析等关键技术攻关,推广高水平数字安全技术应用,保障数据跨境自由安全流通。
其次,弘扬中国方案,扩大中国方案影响力。一方面,借助我国在“一带一路”共建国家的影响力,宣扬我国国家安全与数据跨境有序自由流通并重的数据跨境流通治理理念,这符合大多数发展中国家的利益。另一方面,与签署“数字丝绸之路”合作谅解备忘录的国家在数字合作基础上增加以RCEP为格式条款的数据跨境流通规则,与利益相关、立场相近的国家探索建立基于共识的数据跨境流通规则,破除数据跨境流通地缘政治障碍。比如,深化与东盟国家的数字经济合作,探索双多边框架下的数据跨境流通治理,对冲美国数据霸权下印太地区的挑战。此外,以“一带一路”合作平台为依托,在双多边区域自由贸易协定谈判或升级中,坚决维护国家主权和安全利益,以此为谈判底线,充分利用合法公共政策目标和安全利益例外条款,推进关于源代码、新兴趋势和技术、人工智能等前沿议题的协商,提高我国数字经贸规则的影响深度和广度。
(三)加强双多边合作,增强数据跨境流通互操作性
从现实层面看,短期内统一的数据跨境流通框架难以达成,而国际数据跨境传输需求不断增长。为提高数据跨境流通效率、保障数据安全,加强双多边合作、增强国际数据跨境流通互操作性,不失为一种切实可行的途径。我国作为数据大国,应通过监管制度与工具创新增强双多边数据跨境流通的互操作性和趋同性,推动各国在数据跨境流通治理上达成共识。
第一,积极推进与数字跨境流通治理国际影响力大的国家或组织的合作,寻求突破口,增强数据跨境流通互操作性。积极推进中欧数据跨境流通治理合作,升级中欧数字对话机制,改进中欧数字监管目标和措施,增进中欧互信。在中欧互信基础上,借鉴2023年5月欧盟与东盟在布鲁塞尔联合发布的《东盟示范合同条款和欧盟标准合同条款的联合指南》,在标准合同条款出境方式上达成中欧标准合同条款联合指南,引导中欧企业依据标准合同条款进行数据自由流通。此外,从数字技术角度,不断探索推广适合发展中国家与发达国家数字技术互操作的标准化数字监管技术,改善国际数据跨境流通互操作技术条件,增强数据传输互操作性。
第二,借鉴欧盟白名单制度,在保障我国国家安全的前提下,建立中国特色白名单制度。一方面,优先选择与我国政治互信度、数字贸易关联度高的国家或地区,考察其数据保护水平、数据法律制度、数据安全标准措施等,与数据保护水平对等的国家或地区建立白名单制度,搭建与他国数据跨境流通的桥梁,增强数据流通互操作性,降低企业合规成本。另一方面,逐步拓展白名单范围,与数据保护水平相当、利益诉求相似的国家或地区寻求数据跨境流通合作,逐步扩大我国数据跨境流通互操作布局。同时,防控数据传入白名单国家或地区可能带来的国家安全风险。
(四)对接高标准数字经贸规则,提高数据跨境流通治理能力
我国先后于2021年9月和11月分别申请加入DEPA和CPTPP,积极对接高标准数字经贸规则。数据跨境流通规则既是数字经贸规则的关键,也是未来我国参与DEPA和CPTPP谈判的关键。我国应以对接高标准数字经贸规则为契机,倒逼国内数据流通相关制度改革,提高数据跨境流通治理能力。
第一,积极完善国内数字法律制度,健全数据跨境流通治理框架。一方面,在现有数据法律和出境法规基础上,逐步完善数据分类分级保护制度。基于数据分类分级等级,实行对等的数据出境规则,明晰重要数据目录,根据是否影响国家安全、公共利益、个人或组织合法权益,制作数据负面清单。对负面清单内的数据,实行严格的数据出境规则,保护数据安全;对负面清单外的数据,实行较为宽松的数据出境规则,促进数据流通。另一方面,基于现有数据出境监管制度,逐步完善数据出境路径。明确安全评估与标准合同出境标准及功能定位,做到安全评估与标准合同有实质区分,实行安全评估、标准合同、个人信息认证齐头并进的出境方式。此外,提高数据出境效率,利用数字技术赋能数据审查和数据出境,提高数据处理者风险自评估审查效率,缩短数据出境时长,降低企业合规成本。
第二,围绕核心议题,与国际高标准规则加强协调,提高我国数据跨境流通规则高度,为正式对接加入DEPA、CPTPP创造条件。一方面,坚持国家安全与数据跨境有序自由流通并重的理念,找准数据流通与数据安全的平衡点。在不违反我国数据跨境流通治理原则的前提下,积极探索不同类型数据的出境监管内容,积极向国际高标准、高自由度的数据跨境流通规则靠近,如在相对安全的领域实行高自由度的数据跨境流通规则。另一方面,针对例外条款,增强与国际高标准规则的相容性。既要从理论角度寻求例外条款的一致性解释,为我国援引例外条款提供立法上的合法性,也要考虑RCEP下例外条款较为宽松的现实,防止例外条款滥用,明确例外条款实施的客观条件。此外,缓解国际高标准规则与数据本地化存储规则的冲突,在遵循数据本地化存储规则的基础上,根据数据的重要性采取适宜的本地化存储措施。同时,在国际平台加强宣传,强调我国数据本地化存储规则出自对国家安全和数据主权的考量,符合公共政策目标,针对关键信息基础设施收集或产生的数据,其理念与国际高标准规则一致。
第三,发挥自贸区或自贸港先行先试作用,顺应国家数字经贸规则发展趋势,以自贸区为试验田探索建立数据跨境流通监管政策,以点带面,全面推动我国数据跨境流通监管政策创新,提高数据跨境流通治理能力。一方面,在具有数字贸易先天优势的自贸区或自贸港建立数据安全管理试点,如在上海自贸区、北京市数字贸易示范区、粤港澳大湾区等开发应用高水平数字安全技术,构建数字金融、医疗、电子商务等领域的数据联通中心和数据离岸中心,为数据跨境自由流通保驾护航。另一方面,在自贸区或自贸港内,加快制定重要数据目录,遵循《规定》要求,出台自贸区、自贸港数据负面清单,探索制定“重要数据+负面清单”目录及配套操作指南。此外,积极对接DEPA、CPTPP贸易便利化和例外条款,为自贸区或自贸港创造宽松的数据跨境流通环境,开展适应DEPA、CPTPP的数据跨境流通和例外条款测试,探索实际可行且适应高标准规则的数据跨境流通治理模式,充分发挥自贸区和自贸港的示范引领作用,创新数据监管制度,对接高标准数字经贸规则。
注释从略,请参阅期刊纸质版原文。
李婷 | 江西服装学院应用经济研究中心教师,中国社会科学院产业与区域发展智库特邀研究员,主要研究方向为产业经济、贸易经济。
罗芳 | 江西服装学院应用经济研究中心副教授,博士,主要研究方向为国际贸易理论、应用经济。
郭朝先,李婷,罗芳.数据跨境流通规则博弈与中国应对[J/OL].中国流通经济.https://link.cnki.net/urlid/11.3664.F.20240825.1238.002