下载掌阅APP,畅读海量书库
立即打开
通过前文的讨论,我们不难发现,数据跨境流动已经成为一个全球性的数据安全议题,在国内外数据政策中被反复提及,受到国际社会和各国政策制定者的广泛关注。随着全球化的不断推进和数字经济的蓬勃发展,数据跨越国界流动的规模和速度日益增长,这不仅带来了巨大的经济机遇,也引发了一系列复杂的安全挑战。
早期针对数据跨境流动的研究仅仅针对个人数据,1980年经济合作与发展组织发布的《隐私保护与个人数据跨境流通指引》首次提出了数据跨境流动的概念,主要指个人数据跨越国界流动;而欧盟的《欧盟数据保护指令》使用的概念则是“个人数据被传输至第三国”。
随着数字经济和新型数字技术的不断发展,越来越多的数据类型参与跨境流动的大潮。目前,国际上对数据跨境流动的内涵与外延界定主要包括两类:一类是数据跨越国界的传输、处理与存储;另一类是尽管数据尚未跨越国界,但能够被第三国主体进行处理。
数据跨境流动在经济发展、创新、全球化等方面都具有重要的价值。
一是促进经济发展。数据跨境流动可以破除国境带来的壁垒,海量的数据作为新型生产资料在国际社会进行流动的同时,也创造了大量机会,使各国企业能以较低的成本对世界各地的产能进行更加合理、高效的利用。全球数据流动对经济增长有明显的拉动效应。据麦肯锡咨询公司预测,数据流动量每增加10%,将带动GDP增长0.2%。预计到2025年,全球数据流动对经济增长的贡献将达到11万亿美元。根据经济合作与发展组织计算,数据跨境流动对各行业利润增长的平均促进率在10%,在数字平台、金融业等行业中可达到32%。
二是推动创新。数据跨境流动不仅促进了信息碰撞、文化交流和技术传播,还对国家和企业的创新能力起到了关键推动作用。市场研究公司Frost&Sullivan的分析显示,未来数据将是创新和变革的核心支柱,超过90%的重大创新和变革性发展将源自数据流动和信息交流。
三是助力全球化。数据跨境流动能够帮助跨国企业寻找最理想的投资目的地,助力资本跨境流动,为推动打破贸易壁垒,实现经济全球化作出重要贡献。同时,全球化浪潮和互联网的开放特征与企业的全球扩张和经营需求完美吻合。数据被视为当代企业运营发展的“血液”,数据跨境流动必然促进企业走出国境,拓展面向全球市场的商业版图。以跨境电商为例,TikTok、Temu等电商巨头以互联网为载体,收集、处理、储存并跨境传输商业数据,将电商业务的触角延伸至全球各个角落。
数据跨境流动在给世界发展带来诸多好处的同时,也隐藏着一定程度的风险,如个人生物识别信息、日常行程轨迹、账号密码等个人数据被恶意利用或出售,将对个人隐私和财产安全构成巨大威胁;企业运营数据、核心平台代码等商业数据若发生泄露或被不法分子窃取,也将导致企业的商业机密和知识产权面临严峻挑战。
数据跨境流动会影响国家安全、经济安全、公民个人数据隐私保护、国家数据战略、国家税收等经济社会发展的多个方面,各个国家和地区根据数字经济发展水平、发展理念、利益诉求等方面的诸多差异,在数据跨境流动治理中存在各自的特点与彼此间的差异。随着数据跨境流动治理机制的增多,诸边协定相互交织,区域性合作特点显著,且呈现出欧盟路径向非洲地区渗透、美国路径向亚太地区渗透的特征,数据跨境流动治理的诸边协定格局如图2-3所示。
图2-3 数据跨境流动治理的诸边协定格局
(图源:陈颖,薛澜.全球跨境数据流动治理的演进与趋势[J].国际经济合作,2024,40(2):55-66+93.)
1.中国
目前,我国关于数据跨境流动的规定主要集中在《网络安全法》《数据安全法》《个人信息保护法》三部法律中,我国的数据跨境流动治理模式可总结为以数据本地化为主、出境安全评估为辅,以数据自由流动为原则的治理模式。
我国采取的主要措施就是对数据进行分类分级管理,对重要数据的出境进行安全评估。这样的举措得益于近两年数据分类分级体系逐渐完善,以及数据跨境流动管理相关政策的出台。中华人民共和国国家互联网信息办公室于2022年5月19日通过《数据出境安全评估办法》,自2022年9月1日起施行;2023年9月就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见,适当放宽数据跨境流动的条件,给予自贸区一定程度的自主权。2023年11月,国务院印发《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》,旨在推进数据跨境流动治理创新。中国积极参与全球数据治理合作,提出《全球数据安全倡议》,同时积极申请加入《数字经济伙伴关系协定》(DEPA)和《全面与进步跨太平洋伙伴关系协定》(CPTPP),对接全球高标准数字贸易协定。
2.欧盟
欧洲是全球数据跨境流动治理的先驱,早在20世纪70年代,欧洲就诞生了历史上最早的数据跨境流动规制。这与欧洲的历史、经济、文化背景都是密不可分的。欧洲地区国家众多,经济发展水平普遍较高,对数据处理的需求量大,畅通的数据流动方式对欧盟数字经济发展十分重要。
同时,欧洲以保护个人隐私权利为传统价值,在数据立法中,始终将个人隐私数据保护置于基本人权层面。因此,欧洲需要破除数据跨境流动壁垒,提高区域内数据跨境流动的效率和自由度,同时平衡对个人隐私的保护。因此,数据跨境流动规制最早在欧洲应运而生。欧洲作为数据跨境流动治理的发源地,影响力遍及全球,欧盟更是数据跨境流动治理的先行者,其规制经验对全球范围内的规制框架影响十分深远。2018年正式生效的欧盟《通用数据保护条例》(GDPR)为全球多个国家的数据跨境流动立法提供了范本,被视为目前全球数据跨境流动领域的最高规范。在数据跨境流动中,欧盟的GDPR、约束性公司规则(BCR)和标准合同条款(SCCs)规定较为严格,尤其对发展中国家造成了威胁。欧盟虽然在保护个人隐私方面的立法中取得了较大进展,但也使数据的跨境流动变得更加困难。
3.美国
美国具有显著的数字竞争优势,为了获得商业利益,极力推动数字服务贸易发展,其在各类双边或多边协议中明确表明了立场。例如,美国与欧盟签署的《安全港协议》和《隐私盾协议》,两份合作协议均为美国大型互联网跨国企业占领欧洲市场份额提供了便利。美国与墨西哥、加拿大在新一轮谈判协定USMCA中添加了数字贸易章,要求各方能够针对“电子方式的跨境信息传输”实现“数据跨境自由流动”和“非强制数据本地化存储”。美国于2018年出台《澄清域外合法使用数据法案》(简称“CLOUD法案”),试图利用CLOUD法案阻止其他国家实行数据本地化存储,以此获得更多的商业利益。
可以看出,美国虽然总体上主张数据自由跨境流动,但在其国内数据外流时却设置了诸多约束机制,表现出典型的双重标准。凭借其全球领先的互联网技术和数字经济实力,美国在全球范围内广泛推行数据自由流动观念,以促进数字经济的发展,获取数据流动红利。
各国积极采取相应举措缓解主权国家对个人隐私及公共安全的担忧,实现数据跨境流动的全球治理,从而促进经贸交流。根据数据属性、利益影响的不同,各个国家对重要数据、政府公共部门一般数据和普通个人数据的跨境流动实施不同的管理方式。
1.重要数据出境管理
越来越多的国家逐渐意识到重要数据在本地存储的重要性,并采用制定法律和加强机构审查的方式限制关键数据的跨境传输。不过,关于哪些数据属于“重要”数据,不同国家的定义各不相同。例如,中国通过《数据安全技术数据分类分级规则》明确了核心数据和重要数据的定义,并颁布《促进和规范数据跨境流动规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接做出明确规定。美国尽管没有明确禁止数据的跨境流动,但其对外资的安全审查制度通常要求外国网络运营商和电信团队签订安全协议,确保所有通信基础设施位于美国境内,并且将通信、交易和用户数据仅存储在美国。在印度,根据电信许可协议的规定,各类电信公司(互联网服务提供商)被禁止将用户账户信息和个人信息转移到国外,违者可能会被吊销许可证。韩国的《信息通信网络促进与信息保护法》允许政府要求信息通信服务供应商或用户采取必要措施,以阻止工业、经济、科学、技术在内的关键数据通过网络流向国外。
2.普通个人数据出境管理
一般而言,国际上普遍倡导普通个人数据的跨境自由流动,但需要满足各主体的管理要求。普通个人数据跨境流动作为个人信息保护的重要内容,部分国家会对此单独做出规定。例如,中国、欧盟、新加坡、澳大利亚、俄罗斯等国家或地区,亚太经合组织等国际机构均在相关的数据保护法律法规中对普通个人信息跨境流动做出明确规定,与普通个人信息境内流动进行区分管理。部分国家会使用普通个人数据向第三方转移的通用规则来规制数据跨境流动。例如,美国、日本、加拿大等国的立法中没有出境管理专用规则,采用个人数据向第三方转移的通用规则来管理。
普通个人数据跨境流动,大体上分为三类管理模式。其一,评估认证制。例如,欧盟和新加坡,它们通过政府机关或被政府机关认可的第三方机构对企业的数据处理活动进行评估,合格的企业可以在规定的框架和有效期内进行数据的跨境转移。其二,问责制。这一模式要求数据控制者对数据的安全管理负责,确保数据在跨境传输过程中的安全性。加拿大的法律就是一个例子,要求处理个人信息的机构即使将数据转移给第三方也必须保障其安全。其三,合同干预制,该模式通过政府制定的标准合同条款规范数据接收方的行为,欧盟通过这种方式提供了一套详细的合同条款,确保数据跨境流动的企业遵守数据保护原则。
3.政府和公共部门的一般数据出境管理
目前,部分国家针对政府和公共部门的一般数据实施有条件地限制跨境流动,如进行安全风险评估。《中华人民共和国政府信息公开条例》(2007年4月5日中华人民共和国国务院令第492号公布,2019年4月3日中华人民共和国国务院令第711号修订)规定了政府信息公开过程中的保密和安全要求。涉及国家秘密、商业秘密和个人隐私的信息不得公开。这些规定间接影响了数据跨境流动,即如果政府信息中包含上述敏感信息,则需严格控制其跨境流动,并采取必要的保密措施。例如,美国依据《联邦信息安全管理法》(FISMA)对相关数据进行出口许可管理。2018年因未能遵守FISMA的安全要求,美国海军陆战队的一个数据库被攻击,暴露了数万名现役和预备役军人的个人信息。这一事件引发了美国政府对数据安全管理的严格审查,相关负责人被问责。
值得注意的是,实际上政府数据中涉及国家秘密乃至安全的部分,在安全属性方面已经提出了更高级别的保密要求,理应禁止跨境流动。其中不涉及国家秘密的部分,如具备公开属性,则应纳入政府数据开放调整范围,也不牵涉数据跨境管理问题。总而言之,政府数据无论是否具有保密属性,都具有在本地存储的天然特点,绝大部分并不具备跨境流动的商业化需求。