下载掌阅APP,畅读海量书库
立即打开
数据作为数字经济时代的关键生产要素,逐步融入生产生活各方面,深刻影响并重构着世界经济社会运行和社会治理,成为影响未来发展的关键战略性资源,全球数据贸易规模再创新高。2023年9月,国务院发展研究中心发布的《数字贸易发展与合作报告》显示,全球数字贸易发展新态势表现为跨境数字服务贸易继续保持增长、附属机构数字服务贸易持续调整、跨境电商进入相对缓慢增长阶段。2022年,全球数字服务贸易规模为3.82万亿美元,同比增长3.9%,ICT(电信、计算机和信息)服务继续领跑细分数字服务贸易增长,区域数字服务贸易增长出现分化,跨国公司数字领域投资保持较快增长。
中国数字贸易发展规模、增速位居世界前列。2022年中国数字服务进出口总值3.71千亿美元,同比增长3.2%,占服务进出口比重为41.7%。中国跨境电商规模扩大、结构持续优化,出海主体从头部企业向中小企业延伸,出海产品从工具类为主向多品类拓展。严格的数据跨境管理要求将增加中小企业合规成本,不利于跨境数字贸易高质量发展。
数据掌控能力的竞争是全球数字经济的竞争重点,数据掌控能力的核心在于对数字贸易及其数据跨境流通的话语权和主动权,这成为各国数字经济服务监管的重要领域。多国已出台相关法律规范数据出境活动,我国也出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》《数据出境安全评估办法》等政策法规。
因此,数据跨境流动管理既要维护个人信息权益、公共利益和国家安全,又要满足数字经济发展的需要。伴随着产业全球协同化发展和数字经济的全面到来,在全球范围内进行的跨境数据流通愈发变得频繁,成为全球经济发展过程中的刚性需求。通过对全球跨境数据流通的现状进行深入分析,全球跨境数据流通具有以下发展趋势:一是数据跨境治理政策愈发明确。一方面,全球数据跨境流动的政策、规则和标准存在越来越多的共同点、互补性和趋同因素,都聚焦数据跨境安全保护和自由流动双重目标。另一方面,各国对数据跨境流动的监管力度、约束规则、惩戒措施虽总体趋向严格,并出现相关处罚案例,但跨境数据流通的相关政策已愈发清晰具体。二是数据主权之争愈演愈烈。数据是基础性、战略性资源,数据主权之争成为国家冲突的新形态,许多国家和国际组织积极推动数据主权战略部署和政策规制;迄今,全球近60个国家和地区出台了数据主权相关法律或战略;特别是一些国家滥用长臂管辖进一步导致数据主权冲突加剧。三是数据跨境安全面临新技术冲击。生成式人工智能等新技术的发展促进数据应用场景和主体日益多样化,同时也给数据安全带来新的威胁,导致隐秘在新技术外衣下的数据泄露、数据贩卖、数据侵权等数据跨境安全事件频发;例如,用户在使用ChatGPT等大模型过程中若使用不当,将对个人隐私、商业秘密、国家安全造成严重威胁。四是数据本地化趋势上升。出于国家主权、数据安全、个人信息保护等多种因素的考虑,越来越多的国家和地区采取数据本地化措施,限制部分相关重要数据跨境流动;同时,这些措施的限制性越来越强,许多措施涉及禁止数据流动的存储要求。
目前,国际社会针对跨境数据流动与数据安全方面的政策法规差异较大,尚未形成统一共识。各国基于自身能力、资源、优势等,对跨境数据安全的管理主要有以下三种模式。
一是促进数据跨境自由流动模式,以美国为代表。美国在全球数字经济中居于领先地位,其战略旨在促进数据自由流动,形成引流效应。美国通过属人保护和数据控制者等名义,以国内立法建立境外执法权,以保护本国利益为由调取使用他国数据;通过影响国际组织规则、打造多边协议等方式,利用强权为其提供获取境外数据的通道,拓展网络空间疆土,掌握和控制全球数据使用,以便满足自身利益需求。美国基于其在数字贸易与数字技术领域的优势,极力主张全球数据自由流动,同时为遏制战略竞争对手发展,也严格限制了重要关键技术与特定领域数据出境。2010年,美国推出“受控非密信息”列表,并通过《出口管制条例》,对非个人数据采取严格出境管理措施。2016年,美国推动的《跨太平洋伙伴关系协定》(TPP)主张,应当允许为数据主体利益而进行的数据跨境传输,以破除许多国家所设置的数据本地化存储等市场准入壁垒。2018年,美国出台了《澄清境外数据合法使用法案》(CLOUD),通过“数据控制者”原则的适用,扩大了美国政府直接调取境外数据的权利,同时又给其他国家调取美国境内个人数据设置“符合资格的外国政府”审查门槛。美国积极推行由亚太经合组织(APEC)主导的跨境商业个人隐私保护规则体系(CBPR),致力于促进APEC各经济体之间无障碍的跨境数据传输与流通,并与欧盟达到互认。
二是欧盟、英国、新加坡和日本等数字经济发展较为成熟的地区和国家采取的各具特色的“平衡型”模式。“平衡型”模式的监管思路是通过属人原则获取境内外高标准隐私保护,并在此前提下支持跨境数据流动,以充分性认定、建立信任机制等方式维护数据立法话语权。从2018年出台的欧盟《非个人数据自由流动条例》与《通用数据保护条例》(GDPR)可以看出欧盟数据出境安全管理思路。欧盟致力于推动其成员国内部数据的自由流动,而对外要求其他国家只有在具有与欧盟同等保护水平的条件下,才允许将数据传输出境。“充分性认定”是欧盟核心的个人数据出境管控制度,由欧盟委员会负责对欧盟以外国家或地区的数据保护立法实施、执法能力、监管机构设置和国际条约等因素进行综合评估,最终确定数据自由流动的“白名单”国家。可以看到,欧盟这一机制促使其他国家按照GDPR的要求进行数据保护,以便本国企业能够与欧盟企业正常进行数据流动,进而有助于欧盟引领全球的数据合作。
三是俄罗斯、印度、巴西、南非、土耳其、沙特阿拉伯等国家。因这些国家缺乏强有力的数据引流能力,如果放开管制,其数据可能大规模向发达经济体输出,进而导致这些国家自身竞争力的削弱。因此,这些国家采取属地原则以限制重要数据出境,形成了优先考虑安全保护的“本地化”政策模式。例如,俄罗斯在《关于信息、信息技术和信息保护法》和《俄罗斯联邦个人信息法》中,加强了对信息跨境传输的监管,确立了数据本地化存储的基本规则。俄罗斯对个人数据出境控制相当严苛,一是俄罗斯联邦公民个人信息和数据库需要存放在俄罗斯境内;二是对俄罗斯公民个人数据的处理活动必须使用位于俄罗斯境内的数据库;三是处理数据前履行信息告知的义务。俄罗斯同样存在与欧盟相似的“白名单”制度,要求数据接收国必须符合同等保护要求才可进行跨境数据传输,否则,只有在个人数据主体已书面同意其个人数据出境、个人数据主体作为合同当事人履行合同等前提条件下,才可传输数据出境。
欧盟于2018年实施的《通用数据保护条例》(GDPR),为个人数据的收集、处理、存储和传输构建了一个严密的安全框架。对于不遵守条例规定的企业,GDPR明确规定了相应的罚款和处罚措施。在跨境个人数据传输方面,GDPR提出了三种保障机制:首先,通过充分性认定程序,只有确保第三国的数据保护标准与欧盟相当,方可允许个人数据在欧盟与第三国之间自由流通;其次,标准合同条款(SCC)作为欧盟委员会认可的合同模板,为企业间跨境传输欧盟公民个人数据提供了规范;最后,约束性企业规则(BCR)适用于跨国公司或组织内部的数据跨境传输,确保数据传输的合规性。
在GDPR的规范下,个人数据向非欧盟国家的转移必须经过充分性认定或采取相应保护措施,如签署SCC或BCR。在这一过程中,数据主体、控制者和处理者共同承担着责任。为了应对数字化、全球化和数据驱动型经济的新挑战,GDPR进一步确立了隐私原则,强调数据的安全性、个人权限的扩展、数据泄露通知及安全审计的重要性。
在GDPR的框架下,数据主体、控制者和处理者三方的责任得到了明确界定:数据主体即个人数据的被收集和处理者;控制者则负责决定数据处理的目的和方式;而处理者则是在控制者的指示下处理数据的实体。这些角色的明确划分有助于确保数据处理的合规性和透明度。
为了适应新的经济形势,GDPR还引入了新的隐私原则,如问责制和数据最小化。这些原则要求企业采取一系列措施来保护个人数据的安全性和隐私性。例如,企业需要实施适当级别的安全控制,包括采用技术和组织措施来防止数据丢失、泄露或未经授权的处理。同时,GDPR还鼓励企业采用加密技术、事件管理,以及保障网络和系统的完整性、可用性和弹性等安全实践。
此外,GDPR还扩展了个人对其数据的控制权和所有权。个人现在拥有更高的数据保护权限,包括数据可移植性和被遗忘权等。这意味着个人可以更加灵活地管理和控制自己的数据,同时也要求企业在处理个人数据时更加谨慎和透明。
在数据泄露方面,GDPR要求企业在发现数据泄露后立即通知相关监管机构和受影响的个人。这一规定有助于及时发现和处理数据泄露事件,减少潜在的风险和损失。自GDPR实施以来,已对多家具有跨国数据流动业务的企业开出多张天价罚单,起到威慑作用,切实提高了企业对数据合规的重视程度。
最后,安全审计也是GDPR强调的一个重要环节。企业需要记录并维护其安全实践记录,定期审计其安全计划的有效性,并根据审计结果采取必要的纠正措施。这有助于确保企业的数据处理活动始终符合GDPR的要求,保障个人数据的安全和隐私。
近年来,新加坡采用“智慧国家”战略推进国内信息基础设施的现代化,加大了对电信业的投资,推动了数据中心的建设,建立并完善了个人信息保护制度,同时建立相应的监管框架。这个监管框架包括设立主管部门、制定完善的法规体系,以及设定数据跨境流动的条件等。这一完善而系统的数据跨境流动管理规则有助于全球数据汇聚和流动到新加坡,将其打造成为数据融合的重要中心城市。
新加坡依据《个人数据保护法》及相关法规,确立了一系列规范跨境数据流动的准则。在新加坡,个人数据的处理和存储受到严格的监管,个人数据主体的隐私权受到高度尊重。类似于俄罗斯的做法,新加坡要求在大部分情况下个人数据必须在国内存储,并且跨境传输受到特定的条件和要求的限制。
例如,新加坡也实行与欧洲联盟(EU)相似的“白名单”制度,规定只有当接收国的数据保护法律和标准与新加坡保持同等水平时,才允许进行跨境数据传输。这种机制确保了在数据跨境流动时,数据主体的个人信息依然受到足够的保护。此外,新加坡还强调数据控制和透明性,要求数据处理方在处理个人数据之前履行充分的信息告知义务,以明确解释数据的用途和处理方式。
新加坡的数据跨境流动受到两个主要监管部门的监督,分别为个人数据保护委员会和信息通信部下设的信息通信与媒体发展局。具体而言,主要职责包括建立个人数据保护机制、进行监管和政策实施,要求监管对象(包括各种私人组织,涉及数据获取、使用、储存、传输和跨境转移)建立完善的数据传输机制、审核机制,并设立相应的问责工具。此外,鉴于不同专业领域(例如医疗、教育、金融等)的数据内涵更加丰富,保护难度更大,因此,对于这些领域的数据流动,数据合规监管部门会与各专业领域的主管部门合作,制定相关咨询指南,并共同进行监管。
对于不同的数据流动情形,数据安全监管要求不同,如表3-1所示。
表3-1 新加坡数据跨境流动监管的法规框架
针对个人信息在新加坡与其他国家之间的传输,现有以下严格规定。
(1)对于涉及跨境传输的个人数据,相关组织或机构必须依法制定个人数据保护标准,确保所传输的数据在新加坡法律框架内得到同等程度的保护。若未能达到此等保护标准,则禁止将数据传输至新加坡境外的国家或地区。此举旨在维护个人数据的隐私性和安全性,防止数据泄露和滥用。
(2)根据特定机构的申请,经审批后可获得书面豁免,免除其数据跨境传输的部分合规义务。此项豁免旨在适应不同机构的实际情况和业务需求,同时确保数据传输的合规性和安全性。
(3)个人数据保护委员会(PDPC)将以书面形式对可豁免的情形进行明确说明,此类豁免无须在《政府公报》中公布。此外,PDPC保留随时撤销豁免的权利,以确保数据传输的规范性和灵活性之间的平衡。
(4)PDPC有权根据实际情况和需要,随时增加、改变或撤销豁免的具体适用情形。这一规定有助于适应不断变化的国际数据保护环境和业务需求,确保新加坡在跨境数据传输方面的法规始终保持与时俱进。
此外,为了提升新加坡在全球数字经济发展中的竞争力,政府一直积极倡导跨境国际规则的相互认可。2018年2月,新加坡成功加入由亚太经济合作组织(APEC)主导的跨境隐私规则体系(CBPR)。在此基础上,新加坡不断吸纳和借鉴东盟数字数据治理框架,以及经济合作与发展组织(OECD)隐私原则的相关要求,积极推动跨境数据保护标准的互通、相互协调和国际互认。这些举措旨在引领新加坡成为亚洲跨境数据流动的示范区,为全球数字经济的繁荣发展贡献力量。
在亚洲,目前仅有日本、韩国两个国家通过欧盟数据保护的“充分性认定”程序。2019年1月,欧盟和日本先后认定双方的个人数据保护措施相当。欧盟的数据保护标准被认作是世界上最严格的,因此日本为这一对等认定承诺了额外的保障措施。第一,日本通过“补充规则”弥合与欧盟在个人数据保护上的差异。具体措施包括扩展对敏感数据的定义范围、保障数据个人权利的行使、向日本以外的第三方传输的数据将受到更高级别的保护;第二,日本承诺,以国家安全和刑事执法为目的获取欧盟数据将被限制,受到独立监督和有效的补救机制;第三,日本同意在已有的数据保护机构个人信息保护委员会(Personal Information Protection Commission,IPRC)下建立争议处理机制(complaint-handling mechanism),以处理日本使用欧盟数据时产生的投诉。
2021年12月,韩国通过欧盟数据保护的“充分性认定”程序,意味着韩国企业可不受限制地将在欧盟收集的个人数据引入国内。此前韩国企业须与欧盟签署标准合约才能引入个人数据。标准合约的签署过程长达三个月以上,且费用超过一亿韩元。为了通过欧盟的“充分性认定”程序,韩国也作出了类似日本的努力,修订了韩国的《数据保护法》(PIPA)。整合数据保护相关法规,增强韩国个人数据保护委员会(Personal Data Protection Commission,PDPC)机构的管辖力。修正案明确规定,违反PIPA将可能产生对企业总销售额3%的行政罚款,重者可处刑事处罚或监禁;GDPR的罚款达到企业全球营业额的4%。第三,PIPA引用GDPR中出现的“假名化”概念,增强数据流动性。在未经数据主体同意的情况下,出于符合公众利益的科学目的,韩国允许数据处理者处理假名化的信息。
2023年9月,英国议会通过《充分性认定条例》,该条例于2023年10月12日生效。根据该法规,英国企业可在不需额外机制、传输影响评估及其他附加传输保障措施的情况下,将能够将个人数据传输到获得“欧盟—美国数据隐私框架的英国扩展”认证的美国组织。在官方文件中,这一决策通常被称为“数据桥”,即指允许英国的个人数据自英国传输至其他国家,而无须进行额外的数据保障措施。数据桥不具有互惠性,因此它不允许数据从其他国家自由地流向英国。对于数据桥的评估需要考虑国家对个人数据的保护、法治情况、对人权与基本自由的尊重,以及监管机构的运作模式。数据桥的构建有利于确保源自英国的个人数据能够实现自由且安全的跨境交换、方便共享关键信息以促进与生命安全相关的研究、减少数据共享方面的障碍等。
2024年2月,美国政府依据《国际紧急经济权力法》(IEEPA)发布了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》,美司法部同日发布关于该行政令的情况说明,并于次日发布《行政令的拟议规则预通知》进一步细化阐述,防止受关注国家访问收集涉及美国政府和个人的敏感数据。
2024年3月,美国众议院通过《保护美国人免受外国对手侵害的数据法案》,该法案禁止数据经纪人从美国人的个人数据中获利,并阻止向对手国家或其控制的实体出售美国敏感个人信息,特别是涉及美国军事服务人员的数据,以保护个人隐私和国家安全。
美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》《保护美国人免受外国对手侵害的数据法案》的出台,反映了美国政府从主导“数据自由流动”的跨境政策,逐步转变为以国家安全为由的“数据安全流动”。受关注国家指针对那些美国认为可能利用敏感数据进行恶意行为的国家,包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉,以及与这些国家有关的所有实体。中美之间潜在数据流动规模巨大,围绕数据和技术领域的竞争也最为激烈,显然中国是该项政策最关键和最重要的管制目标,未来可能对我国数据跨境政策实施,以及技术和产业的发展造成影响。
随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》《数据跨境安全评估办法》《促进和规范数据跨境流动规定》及相关实施细则的发布,我国数据跨境安全管理制度基本完善。《中华人民共和国网络安全法》规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。《中华人民共和国数据安全法》扩展了数据出境安全评估制度的范围,对关键信息基础设施运营者以外的数据处理者的重要数据出境监管制度提供了原则性规定。《个人信息保护法》提供了三种个人信息出境合规路径,包括:通过国家网信部门组织的数据出境安全评估经专业机构进行个人信息保护认证,以及按照国家网信部门制定的标准合同与境外接收方订立合同。
作为配套政策,国家网信办于2022年7月发布《数据出境安全评估办法》、2022年12月发布《个人信息保护认证实施规则》、2023年2月公布《个人信息出境标准合同办法》。2024年3月,国家网信办发布《促进和规范数据跨境流动规定》,集中调整了上述合规路径对应场景,明确了如下免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。
(1)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不含个人信息和重要数据的数据向境外提供。
(2)境外个人信息在我国处理且没有境内个人信息或者重要数据参与时,其后续向境外提供。
(3)为订立、履行个人作为一方当事人的合同确需向境外提供个人信息。
(4)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息。
(5)紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息。
(6)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息且不含敏感个人信息。上述“豁免”覆盖了跨境电商、跨境物流、跨境出行等大量数字贸易活动,降低了数据处理者的合规成本。
通过自贸区负面清单模式,进一步扩大数据跨境范围,吸引产业投资落地,促进贸易发展(参见7.8.3节)。