數(shù)據(jù)跨境流動治理與對策研究*

趙高華，姜 偉，王 普

(中國網(wǎng)絡空間研究院 網(wǎng)絡安全研究所，北京 100036)

0 引言

自2008年以來，數(shù)據(jù)流動對經(jīng)濟發(fā)展貢獻度已超過傳統(tǒng)貿(mào)易和投資，成為促進全球經(jīng)濟發(fā)展的重要力量[1]。全球已有200多個有關數(shù)據(jù)流動的法律法規(guī)，限制性水平在過去十年間翻了一番[2]。各國紛紛從最有利于自身經(jīng)濟發(fā)展和數(shù)據(jù)保護的角度出發(fā)，在國家安全、隱私保護、產(chǎn)業(yè)能力等多元因素的復雜影響下制定數(shù)據(jù)跨境流動治理規(guī)則，謀求數(shù)據(jù)安全保護與數(shù)據(jù)自由流動之間的平衡。

*基金項目：國家重點研發(fā)計劃(2021YFB3101300，2021YFB3101302，2021YFB3101305)；中宣部宣傳思想文化青年英才項目

1 主要國家和地區(qū)數(shù)據(jù)跨境流動特點分析

當前，全球并未形成統(tǒng)一的跨境數(shù)據(jù)流動監(jiān)管體系，以美國為代表的“倡導境外數(shù)據(jù)自由流入但嚴格限制境內(nèi)數(shù)據(jù)流出的數(shù)據(jù)跨境流動”模式，以及以歐盟為代表的“充分性保護為前提的事前防御規(guī)制模式”成為塑造全球數(shù)據(jù)跨境流動規(guī)則體系的主導力量。

1.1 美國數(shù)據(jù)跨境流動特點分析

美國在數(shù)字產(chǎn)業(yè)和信息技術(shù)方面具有全球領先優(yōu)勢，其以維護數(shù)字競爭優(yōu)勢為主旨，對待數(shù)據(jù)跨境流動“內(nèi)外有別”。

美國對外積極主張數(shù)據(jù)跨境自由流動，通過開展數(shù)據(jù)跨境流動認證及協(xié)議等形式，搭建與重要貿(mào)易伙伴的跨境流動國際通道，實現(xiàn)數(shù)據(jù)向美國匯聚。一是暢通美歐之間數(shù)據(jù)流動渠道。美歐雙方雖然在數(shù)據(jù)保護理念與制度設計方面有所差異，但彼此是重要的數(shù)字貿(mào)易伙伴，數(shù)據(jù)交流頻繁，雙方積極探索靈活又實際的方式以消除數(shù)據(jù)流動的阻礙。2000年12月，美歐簽訂《安全港協(xié)議》，以調(diào)整美國企業(yè)出口以及處理歐洲公民的個人數(shù)據(jù)，后因“棱鏡門事件”及Schrems I案，協(xié)議被歐盟法院宣布無效；2016年雙方重新談判并簽署《歐美隱私盾協(xié)議》，增加了禁止美方監(jiān)控歐盟公民個人信息等內(nèi)容，但2020年因Schrems II案再次被歐盟法院宣布無效；2022年3月，美歐就跨大西洋數(shù)據(jù)隱私協(xié)議達成一致，推出《跨大西洋數(shù)據(jù)隱私框架》，美國承諾加強信息情報的隱私和公民自由的保護力度，確保數(shù)據(jù)能夠在歐盟和美國之間自由安全流動。美歐之間就數(shù)據(jù)跨境流動問題的反復也反映了雙方對于數(shù)據(jù)流動以及隱私保護存在的基礎性差別。二是借助區(qū)域貿(mào)易協(xié)定推廣和開辟新的數(shù)據(jù)跨境流動雙邊或多邊規(guī)則。自從2000年美國與約旦的協(xié)定納入跨境電商等內(nèi)容以來，美國和其他國家締結(jié)的自由貿(mào)易協(xié)定(Free Trade Agreement，F(xiàn)TA)大多包含電子商務或者數(shù)據(jù)跨境流動內(nèi)容。與美國簽訂協(xié)議的國家陸續(xù)將相關規(guī)則運用到本國與其他國家簽訂的FTA中，實現(xiàn)了美國數(shù)據(jù)治理規(guī)則的傳播擴散。這可以看作是美國憑借其科技經(jīng)濟優(yōu)勢，在締約方相對較少的情況下，成功主導了數(shù)據(jù)跨境流動規(guī)則的制定[3]。三是美國積極推動區(qū)域內(nèi)數(shù)據(jù)跨境自由流動。2020年，美國、墨西哥、加拿大三國簽署《美國—墨西哥—加拿大協(xié)定》，約定三方不得禁止或限制數(shù)據(jù)跨境傳輸。

美對內(nèi)嚴格限制本國數(shù)據(jù)流出，通常以國家安全為由嚴格審查重要技術(shù)數(shù)據(jù)出口和特定數(shù)據(jù)領域的外國投資，以進行數(shù)據(jù)跨境流動管制。一是嚴格限制關鍵技術(shù)與特定領域的數(shù)據(jù)出口。近年來，美國為確保其在信息技術(shù)領域內(nèi)的全球領先地位，嚴格限制重大科技以及基礎領域的技術(shù)數(shù)據(jù)和敏感數(shù)據(jù)的跨境轉(zhuǎn)移，以遏制戰(zhàn)略競爭對手的發(fā)展。如美國《出口管制改革法案》明確要求，受管制的數(shù)據(jù)跨境傳輸需要取得商務部產(chǎn)業(yè)與安全局(BIS)出口許可；再如強迫出售TikTok案，2022年3月達成的最新協(xié)議是TikTok把美國用戶的信息交由Oracle存儲，而字節(jié)跳動無權(quán)訪問，這是在無任何數(shù)據(jù)安全威脅情況下，嚴格限制數(shù)據(jù)跨境流動的霸道行徑。二是制定受控非秘信息清單(Controlled Unclassified Information，CUI)，界定“敏感數(shù)據(jù)”范圍。美國《信息安全綱要》規(guī)定，依據(jù)相關法律法規(guī)和政府政策，需要保護和控制傳播的非密信息均屬于CUI，需采取嚴格的管理措施。近幾年，美國政府大幅提升了對CUI的管控力度。截至2020年，CUI包括了關鍵基礎設施、國防、金融、移民、情報、國際協(xié)議、稅收、核等20大類、124子類。三是通過“長臂管轄”擴大國內(nèi)法域外適用的范圍。根據(jù)美國《澄清海外合法使用數(shù)據(jù)法案》(Clarfying Lawful Overseas Use of Data Act，簡稱CLOUD法案)，無論美國網(wǎng)絡服務提供商的信息是否存儲在美國境內(nèi)，只要運營主體擁有相關記錄，均需按法令要求保存、備份、披露。但外國政府若想調(diào)取存儲于美國的數(shù)據(jù)，既需要滿足“符合資格的外國政府”條件，又需要滿足其他一系列細節(jié)性的限制條件。該法案既為美國獲得海外數(shù)據(jù)提供了法律依據(jù)，也意味著外國政府想要獲得美國境內(nèi)的數(shù)據(jù)困難重重。

1.2 歐盟數(shù)據(jù)跨境流動特點分析

歐盟采用充分性保護為前提的事前防御規(guī)制模式，只有與歐盟保護水平一致時才允許數(shù)據(jù)跨境傳輸。充分性認定是歐盟數(shù)據(jù)跨境流動的關鍵要求，只有當?shù)谌皆诹⒎ㄇ闆r、監(jiān)管機構(gòu)設立、是否參加包含個人數(shù)據(jù)保護內(nèi)容的國際公約或作出相關承諾等幾方面滿足歐盟標準，與歐盟保護水平基本相同的情況下，才被認為提供了充分保護，才會允許數(shù)據(jù)進行跨境傳輸。充分性認定為高標準數(shù)據(jù)保護提供了借鑒和參考，為數(shù)據(jù)主體提供有力保護，但也在一定程度上阻礙了歐盟數(shù)據(jù)向其他國家傳輸，構(gòu)筑起數(shù)字產(chǎn)業(yè)發(fā)展貿(mào)易壁壘，不具有普遍適用性，僅有14個1國家和地區(qū)通過了充分性認證。

為解決充分性認定機制帶來的消極影響，滿足數(shù)字經(jīng)濟發(fā)展的現(xiàn)實需要，歐盟針對不同情況設置了多種數(shù)據(jù)跨境傳輸方式，其適用情形、特點要求見表1。

表1 保障措施下歐盟數(shù)據(jù)跨境流動主要方式

歐盟內(nèi)部實施數(shù)字化單一市場戰(zhàn)略，以促進歐盟境內(nèi)數(shù)據(jù)自由流動和數(shù)字經(jīng)濟發(fā)展。2015年6月，歐盟提出實施《數(shù)字化單一市場戰(zhàn)略》，旨在把歐盟28個成員國統(tǒng)一成單一化市場，促進歐盟內(nèi)部數(shù)字經(jīng)濟發(fā)展。2018年10月，歐盟出臺《非個人數(shù)據(jù)在歐盟境內(nèi)自由流動框架條例》，與已實施生效的GDPR形成數(shù)據(jù)治理的統(tǒng)一框架，用來平衡數(shù)據(jù)保護、數(shù)據(jù)安全和數(shù)字經(jīng)濟發(fā)展。2020年2月，歐盟連續(xù)發(fā)布《塑造歐洲數(shù)字未來》《歐洲數(shù)據(jù)戰(zhàn)略》等戰(zhàn)略文件，以促進尚未被有效利用的數(shù)據(jù)在歐盟境內(nèi)及各行業(yè)之間充分自由流動。

1.3 數(shù)據(jù)跨境流動國際合作機制研究

經(jīng)濟合作與發(fā)展組織(OECD)、亞太經(jīng)濟合作組織(APEC)和世界貿(mào)易組織(WTO)等為代表的多邊機制在全球跨境數(shù)據(jù)流動治理中發(fā)揮著重要作用。

OECD是全球首個提出跨境數(shù)據(jù)流動的國際組織。1980年，OECD在《關于保護隱私與個人數(shù)據(jù)跨境流動的指南》中提出成員國應避免以保護個人隱私和自由的名義，限制跨境數(shù)據(jù)自由流動，同時確定了國內(nèi)個人信息和數(shù)據(jù)保護的基本原則以及國際間數(shù)據(jù)跨境的基本原則。2013年OECD對指南進行修訂，明確了各成員國在跨境數(shù)據(jù)流動方面的權(quán)利和義務。需要注意的是，OECD倡導的跨境數(shù)據(jù)流動的隱私保護框架只具有指導性，不具有約束力和強制性。此外，受到歐盟規(guī)制體系的影響，由OECD倡導的數(shù)據(jù)跨境流動的相關規(guī)則是參照歐洲尊重個人隱私權(quán)的價值導向制定的，主張通過嚴格的法律法規(guī)加強對個人數(shù)據(jù)的保護[4]。

APEC框架下的數(shù)據(jù)跨境流動體系相對比較成熟?？缇畴[私規(guī)則體系(Cross Border Privacy Rules，CBPR)是以《APEC隱私框架》為基礎構(gòu)建的全球主要數(shù)據(jù)跨境流動框架體系之一，也是亞太地區(qū)第一個數(shù)據(jù)保護協(xié)同框架，包含了一整套的執(zhí)行機制和措施，相對比較成熟。該框架于2012年正式啟動，并向APEC經(jīng)濟體開放，截至2021年11月，已有9個經(jīng)濟體加 入該 體 系2?！禔PEC隱私框 架》及CBPR體系帶有較強的美國色彩，代表了美國在國際層面對數(shù)據(jù)跨境流動的利益訴求。美國積極尋求將CBPR擴大至APEC之外[5]。2022年5月，美國聯(lián)合加拿大等經(jīng)濟體發(fā)布《全球跨境隱私規(guī)則聲明》，宣告成立CBPR論壇，標志著APEC框架下的CBPR體系變成任一國家都可以加入的全球體系。

WTO對數(shù)字貿(mào)易的相關規(guī)制一般在電子商務框架下進行。在該框架下，自2019年1月包括中國在內(nèi)的76個國家和地區(qū)在達沃斯簽署《關于電子商務的聯(lián)合聲明》后，數(shù)據(jù)跨境流動成為各方提案和談判的主要核心爭議之一[6]。歐盟在基于人權(quán)優(yōu)先的基礎上提出跨境數(shù)據(jù)流動條款。巴西也提出了多項基于安全及公共利益例外基礎上的跨境數(shù)據(jù)流動條款提案[7]。2021年12月，86個世貿(mào)組織(WTO)成員宣布在電子商務談判方面取得實質(zhì)性進展，并將在2022年底就大多數(shù)議題達成協(xié)議。

2 我國數(shù)據(jù)跨境流動發(fā)展現(xiàn)狀

我國高度重視數(shù)據(jù)安全及數(shù)據(jù)跨境流動工作，堅持數(shù)據(jù)安全保護與數(shù)字經(jīng)濟發(fā)展并重，出臺系列法律法規(guī)、戰(zhàn)略政策，明晰開展數(shù)據(jù)跨境流動安全管理的方法路徑。

2.1 完善數(shù)據(jù)安全保護及數(shù)據(jù)跨境流動法律法規(guī)體系

近幾年，我國數(shù)據(jù)跨境流動的立法覆蓋面逐漸擴展，初步形成較為完整的數(shù)據(jù)安全保護、個人信息保護和跨境數(shù)據(jù)依法有序流動的法律體系。《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等就數(shù)據(jù)出境作了相關規(guī)定，構(gòu)建起安全條件下促進數(shù)據(jù)自由有序高效流動的基本管理制度。2022年7月發(fā)布的《數(shù)據(jù)出境安全評估辦法》，就我國個人信息和重要數(shù)據(jù)出境安全審查評估等提出全面系統(tǒng)的要求、提供具體的法律解決方案，是我國破題數(shù)據(jù)跨境流動管理規(guī)則的重要實踐。

2.2 探索數(shù)據(jù)跨境流動實施路徑

2019年8月，《中國(上海)自由貿(mào)易試驗區(qū)臨港新片區(qū)總體方案》首次提出“構(gòu)建國際互聯(lián)網(wǎng)數(shù)據(jù)專用通道”，明確建立數(shù)據(jù)保護能力認證、數(shù)據(jù)流通備份審查、數(shù)據(jù)跨境流通和交易風險評估等數(shù)據(jù)安全管理機制，標志著數(shù)據(jù)跨境流通法律監(jiān)管體系邁上新臺階[8]。2020年7月，《智慧海南總體方案(2020～2025年)》提出開展數(shù)據(jù)跨境傳輸安全管理試點，探索形成安全便利有序流動的機制，這些實踐探索為促進跨境數(shù)據(jù)自由高效有序流動奠定良好基礎。

2.3 積極提升全球數(shù)據(jù)跨境流動規(guī)則制定話語權(quán)

2021年11月，我國申請加入《數(shù)字經(jīng)濟伙伴關系協(xié)定(DEPA)》，這是全球第一個單獨的數(shù)字經(jīng)濟協(xié)定[9]。此外，我國也已就加入全面與進步跨太平洋伙伴關系協(xié)定(CPTPP)提出申請。在我國已經(jīng)陸續(xù)加入的中韓自貿(mào)協(xié)定、區(qū)域全面經(jīng)濟伙伴關系協(xié)定(RCEP)中，關于數(shù)據(jù)跨境流動議題成為各方廣泛關注焦點。積極開展多邊框架下的國際數(shù)字貿(mào)易合作，有利于提升我國在數(shù)據(jù)跨境流動等關鍵議題的話語權(quán)。

3 促進我國數(shù)據(jù)跨境安全自由流動的對策建議

當前，我國數(shù)據(jù)資源價值加快釋放、數(shù)字經(jīng)濟發(fā)展全球領先。2021年我國數(shù)據(jù)產(chǎn)量為6.6 ZB，全球占比9.9%，位居世界第二；數(shù)字經(jīng)濟總體規(guī)模達到45.5萬億元，占國內(nèi)生產(chǎn)總值39.8%[10]。但在實際發(fā)展中，我國在全球競爭中尚未占據(jù)戰(zhàn)略主動[11]，宜從維護國家安全和社會公共利益、保護個人信息權(quán)益等角度出發(fā)，進一步完善相關法律法規(guī)、積極開展數(shù)據(jù)跨境國際交流與合作、強化技術(shù)安全保障作用，著力防范化解數(shù)據(jù)跨境安全風險，滿足日益頻繁的數(shù)據(jù)跨境流動需求和數(shù)字經(jīng)濟發(fā)展需要。

3.1 持續(xù)完善數(shù)據(jù)跨境流動等法律法規(guī)體系

加快完善《數(shù)據(jù)出境安全評估辦法》配套細則，為數(shù)據(jù)控制者及處理者進行安全自評和監(jiān)管部門安全評估提供具體且可操作的標準。同時建立健全數(shù)據(jù)分級分類管理制度，界定一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)邊界，加快制定相關行業(yè)、領域重要數(shù)據(jù)和核心數(shù)據(jù)目錄，明確允許自由跨境的數(shù)據(jù)類別，細化適用的安全評估機制和數(shù)據(jù)規(guī)范管理措施。在完善管理制度方面要合理運用和對接國際數(shù)字貿(mào)易規(guī)則，確保我國數(shù)據(jù)跨境流動等國內(nèi)立法與對外高水平國際協(xié)定與數(shù)字貿(mào)易談判需要相銜接。

3.2 強化數(shù)據(jù)領域國際交流與合作

在已有數(shù)據(jù)跨境流動規(guī)則基礎上，提出數(shù)據(jù)跨境流動中國方案，積極加強國際交流合作，擴展我國數(shù)據(jù)跨境流動朋友圈。一是依托金磚國家、世界互聯(lián)網(wǎng)大會等多邊對話機制和國際組織，加強我國數(shù)據(jù)跨境流動主張的對外宣傳，形成數(shù)據(jù)安全有序跨境流動的國際共識。二是積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領域的國際交流與合作。構(gòu)建跨境數(shù)據(jù)流動監(jiān)管的國際互信機制，為我國數(shù)據(jù)跨境流動規(guī)則主張“增容擴圈”。三是豐富數(shù)據(jù)跨境流動規(guī)制方式，以開展國際數(shù)字貿(mào)易為重要突破口，采用靈活多樣的措施應對數(shù)據(jù)的跨境流動需求。

3.3 加強數(shù)據(jù)安全技術(shù)及產(chǎn)品研發(fā)應用

充分發(fā)揮技術(shù)保障作用，以技術(shù)手段保障數(shù)據(jù)跨境流動安全有序。一方面強化隱私計算等數(shù)據(jù)安全技術(shù)應用，加強聯(lián)邦學習、多方安全計算、差分隱私、同態(tài)加密等關鍵技術(shù)研發(fā)，運用技術(shù)手段構(gòu)建數(shù)據(jù)跨境流動安全風險防控體系，實現(xiàn)數(shù)據(jù)跨境有序安全流動。另一方面注重技術(shù)與產(chǎn)業(yè)融合發(fā)展，建立隱私計算等技術(shù)與應用標準和產(chǎn)品認證體系，確保相關產(chǎn)品應用在幫助企業(yè)滿足數(shù)據(jù)跨境傳輸合規(guī)認證的同時，促進形成數(shù)據(jù)鏈條中的數(shù)據(jù)處理方、數(shù)據(jù)需求方、技術(shù)提供方、監(jiān)管方等不同主體共同參與、有序協(xié)作的良性生態(tài)。

4 結(jié)論

隨著信息革命和產(chǎn)業(yè)變革的演化和發(fā)展，數(shù)據(jù)跨境流動治理成為全球數(shù)字治理的重要領域，也是主要國家構(gòu)建數(shù)字經(jīng)濟競爭新優(yōu)勢和維護國家安全的戰(zhàn)略手段。以美國“內(nèi)外有別”的跨境數(shù)據(jù)規(guī)則體系和以歐盟為代表的“以地理區(qū)域為基準、充分保護為前提的事前防御規(guī)制模式”已逐漸成為全球兩大主要跨境數(shù)據(jù)流動治理體系。國際組織也在規(guī)制數(shù)據(jù)跨境流動發(fā)揮積極作用。我國作為數(shù)字經(jīng)濟大國，在促進全球數(shù)據(jù)跨境自由安全流動中面臨機遇與挑戰(zhàn)，在完善規(guī)制數(shù)據(jù)跨境流動規(guī)則的過程中應當處理好國家安全、社會利益和個人隱私保護之間的平衡關系，加強數(shù)據(jù)領域國際交流與合作，提出促進全球數(shù)據(jù)跨境安全自由流動的明確主張，注重運用技術(shù)手段促進數(shù)據(jù)跨境安全有序流動，營造安全可信的跨境數(shù)據(jù)流動環(huán)境，為全球數(shù)字治理貢獻中國方案和中國智慧。