朱悦 对外经济贸易大学数字经济与法律创新研究中心研究员

以GDPR为代表的隐私立法,和其中相对突出的“数据本地化”,都是时势。对相关规制,无论是立法过程中,还是实际生效后,企业在跨境传输数据方面或有障碍,也都是最焦灼的争点(之一)。相应影响,有没有,有多大?发放问卷做调查,涉足田野看实践,来回答这一问题,是研究者正积极开展的工作[1]。Tomiura等三位学者调查,是现有进展代表之一。之外,除开通常观念中的“数据跨境”,“白”“灰”“黑”的其它各色流动,同样值得关注。

表1 企业对“GDPR(左)/《网络安全法》等规制(右)是否对企业有所影响”的答复。从上至下:有一些影响、没有影响、不清楚

原文简明。作者向四千余家大中型日本企业[2]发放问卷,询问在GDPR等规制下所受的影响、涉及的信息、应对的措施,等等。影响如上:近5%企业认为,GDPR对企业“有一些影响”。不过,这些也是生产率相对较高的企业[3]。同时,无论是个人还是非个人信息,涉及跨境流动的企业比例,均极低。应对方面,在声称“有一些影响”的企业中,约三分之一将数据收集与处理本土化,尚有近一半称已“加强管理”[4]。组织结构层面的变化,则相当微弱[5][6]。

图1 既有研究[7]估计得到的,“是否施行信息泄露通知法律”与“身份信息泄露案件”数量间的相关性,十分微弱,且并不显著异于0

以上是数据跨境研究中,较有代表性的进展之一。如此,相关讨论,常常忽略跨境流动中相当庞大、而声名不彰的层面:各类或合法,或非法的跨境交易[8][9]。实际上,在前述问卷中,即使是“受到一些影响”的企业,跨境流动对象,多限于企业内部。遗憾的是,有关GDPR等立法如何在较大范围内影响两类交易,所知依然不多。合法交易上,研究前沿,仍集中在描述市场本身的成员、规模和结构[10];非法交易上,仅有特定条款对泄露风险的影响[11][12]。


[1] 当然,存在其它值得注意的成果。“调查问卷”方面,例如,可见Bessen, James E., et al. "GDPR and the Importance of Data to AI Startups." (2020);“涉足田野”方面,例如,可见Waldman, Ari Ezra. Inside the Information Industry. Forthcoming, Cambridge University Press。

[2] 此处依既有数据库抽样而实施,应答率约21%。值得注意的是,亦如作者坦承,在这一领域,数据质量,仍有长足进步空间。明显的选择偏误、情势的随时变化、法务与业务距离、商业秘密的顾虑,甚至,遮掩不当的需要,等等,都影响对数据的观感。相关叙述,因而仅可参考。此外,若讨论话题延及其它国家或地区,内容显然未必适用,下同。

[3] 见于Tomiura, Eiichi, Banri Ito, and Byeongwoo Kang. "Cross-Border Data Transfers Under New Regulations: Findings from a Survey of Japanese Firms." (2020)。对此,出口企业较面向本土企业生产率为高,是异质性企业贸易模型的经典结论。

[4] “加强管理”的含义并不明确。此外,有约5%选择外包,1%退出欧洲市场。

[5] “组织结构层面”,系指令执行层管理相应事务,或任用相关专员,等等。

[6] 原文有其它关于GDPR的问题,也有针对其它地区法律规制和各类高新技术采用的问题,可以参考。另外,原文问卷设计,似有一定改进空间。

[7] 此处来自Bisogni, Fabio, and Hadi Asghari. "More Than a Suspect: An investigation into the connection between data breaches, identity theft, and data breach notification laws." Journal of Information Policy 10 (2020): 45-82。

[8] 显然,很难指望通过问卷得到准确信息。需求更盛的,是运用技巧和经验的田野工作。在非法数据交易上的相关进展之一,例如,可见Hutchings, Alice, and Thomas J. Holt. "A crime script analysis of the online stolen data market." British Journal of Criminology 55.3 (2015): 596-614。

[9] 此处完全忽略了政府层面以各种手段引致的跨境流动。这当然不意味着这一点不重要。实际上,与此处相比,其它流动,可能更类似于冰山上的尖顶。

[10] 例如,可见以下描述市场拓扑结构的尝试,Agogo, David. "Invisible market for online personal data: An examination." Electronic Markets (2020): 1-22。部分公开的、相关的行业研究成果,亦有影响力,例如,可见Manyika, James, et al. Digital Globalization: The New Era of Global Flows. Vol. 4. San Francisco, CA: McKinsey Global Institute, 2016。之外,此处没有考虑部分通常不易获取的行业报告。

[11] 例如,围绕“访问权”或“可携带权”规定对数据泄露风险的影响,可见Di Martino, Mariano, et al. "Personal information leakage by abusing the GDPR" Right of access"." Proceedings of the Fifteenth USENIX Conference on Usable Privacy and Security. 2019。此外,有关“泄露通知”规定如何影响身份欺诈,可见注7所及研究(围绕美国各州法律的实证,兼及对GDPR的分析。发现很难认为之间存在显著联系,但在不显著背后,又有多种不同的解释)。虽然“泄露风险”与“非法交易”或许仅有间接的联系,即使是有关前者的实证,依然稀少。大部分研究,仍停留于纸面上的制度,与现实未必有关。相关之粗略概述,可见Kiesow Cortez, Elif. "Data Breaches and GDPR." The Palgrave Handbook of International Cybercrime and Cyberdeviance (2020): 239-256。行业层面,有些许公开的描述性成果,例如,可见“DLA Piper GDPR Data Breach Survey”等;一般地,可见Howell, C. Jordan, and George W. Burruss. "Datasets for Analysis of Cybercrime." The Palgrave Handbook of International Cybercrime and Cyberdeviance (2020): 207-219。之外,此处没有考虑部分通常不易获取的行业报告。

[12] 当研究范围涉及全球,很难再找到合适对照,并因此推知因果、评估立法,可能是一个即将到来、且颇难克服的问题。

参考文献:Tomiura, Eiichi, Banri Ito, and Byeongwoo Kang. Effects of Regulations on Cross-border Data Flows: Evidence from a Survey of Japanese Firms. (2020).

声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。