文| 黄潇怡 信通院互联网法律研究中心研究员
7月19日,美国信息技术和创新基金会(ITIF)发布《全球跨境数据流动的壁垒如何加大、带来的代价以及如何解决这些问题》报告。报告认为,新冠肺炎疫情凸显了全球数据跨境流动对全球经济和社会发展的重要作用。(例如,经济效用有:医学研究的数据共享、疫苗生产设施的监控和自动化控制,以及使用数字服务以保证业务连续性等;社会效用有:家庭视频通话、接触者追踪、用于娱乐和在线购物等)。这也促使越来越多的国家和部门接受数字化转型,进一步增加了全球数据跨境流动需求。然而,各国政府颁布的各项措施,即便不阻碍全球数据跨境流动的合法性,也增加了数据跨境流动的经济成本和时间成本。报告对过去四年全球范围内实施的数据本地化措施进行了梳理;分析了各国实施数据本地化政策的动因;建议各国政策制定者更新法律,以解决与数据相关的合法性问题,确保个人、企业和政府能够最大程度地利用数据和数字技术带来的巨大社会和经济利益。
一、全球数据本地化政策趋势及对经济发展的影响
越来越多的国家和地区正在针对更多的数据类型实施不同程度的本地化政策。从2017年到2021年,制定数据本地化政策的国家数量从35个增加到62个,全球数据本地化政策的总数从67个增加到144个(未包括正在制定的数十个)。报告附上了世界各地实施数据本地化措施的详细清单,并认为中国是世界上数据限制最严格的国家,其次是印度尼西亚、俄罗斯和南非。ITIF研究发现,限制数据流动对一个国家的经济具有显著影响,尤其削弱了数据密集型产业对经济生产和创新的推动作用,包括贸易总量急剧减少、生产力降低、数据相关行业的价格提高等。ITIF 的计量经济学模型估计,一个国家的数据限制指数(DRI)每增加 1 个百分点,其贸易总产出将减少7%,整体经济生产力下降2.9%,并且在五年内使依赖数据的下游行业价格上涨1.5%。
二、实施数据本地化政策的动因及其合理性
报告总结了政策制定者制定数据本地化政策的动因,包括隐私保护和网络安全保护、保护本国数字主权、政府审查和监控、执法和监管以及应对地缘政治风险和金融制裁这五个方面。但报告认为,这些推动数据本地化的理由并不一定是合理的,还可能降低互联网的可访问性、互操作性、安全性和弹性,并提高成本,将导致互联网封闭、碎片化以及被国家所控制。
1. 隐私保护和网络安全保护
各国政策制定者制定数据本地化政策的核心原因是为了隐私保护和网络安全保护,认为保护数据的最佳方式是将数据存储在境内(国家边界内)。然而,数据的保密性和安全性并不取决于数据存储在哪个国家,而取决于保护数据的技术手段和管理手段。数据本地化反而破坏了网络安全,因为它阻止了系统漏洞信息和最新网络攻击信息的共享,还阻止了云服务提供商使用网络安全最佳实践。
2. 保护数字主权
保护主义是许多国家制定数据本地化政策的关键动因,除了上述第一点涉及的保护主义外,还包括保护网络主权(报告里所指的“网络主权”等同于“数据主权”“数字主权”)。国家希望掌握对本国数据、数据流动和数字技术的控制权,因为数据驱动的创新是现代竞争力的核心,国家希望帮助本国公司从外国公司和贸易伙伴手中收回“控制权”和“主权”,以提高本国公司的竞争力,支持本国数字产业发展(如,欧洲、印度、南非等国家使用数据本地化政策明显是针对美国公司,现在也开始逐渐针对中国公司)。报告认为,欧洲的数字保护主义几乎出现在每一个数字政策提案中,德国总理默克尔和法国总统马克龙等欧洲领导人明确倡导保护数据主权,《通用数据保护条例》 (GDPR) 成为世界上最大、最重要的数据本地化框架。报告还认为,中国和俄罗斯等“数字专制国家”推动网络主权主要是为了下述第三点中的政治目的,而其他国家主张网络主权正好为中俄的政治目的提供了掩护。
3. 政府审查和监控
报告认为,中国和俄罗斯等国通过访问和控制数据来实现政治目的和利益、维持权力,利用数据本地化政策作为审查和监视外国公司的手段,还称是为了防止外国监视。报告还以越南为例,认为越南政府实际在利用数据本地化政策促进政府获取数据。因为越南的网络安全法要求互联网公司在本地存储个人和其他类型数据,并在越南设立当地办事处和至少一台服务器以供随时检查相关存储信息,但越南没有独立的数据保护机构,负责机构为越南公安部。
4. 执法和监管
各国执法和监管相关机构(如金融监管机构等)为了执法需要(如避免公司通过将数据转移至境外逃避本国法律监管等)而制定相关数据本地化政策。报告认为,现有法律机制在跨境司法协作方面存在潜在问题,各国相关法律法规和法律援助条款存在相互冲突的情况,政策制定者应解决法律机制存在的问题,而不是为逃避问题选择数据本地化,因为数据无论数据存储在何处都不能改变其责任主体。
5. 应对地缘政治风险和金融制裁
俄罗斯、印度尼西亚、墨西哥、南非和越南等多国将国家支付系统视为国家关键基础设施的一部分,使用全球支付网络代表着系统性、地缘政治和主权风险,为应对可能的国际金融制裁而制定相关数据本地化政策。例如,在 2014 年针对克里米亚的国际金融制裁( Visa 和万事达卡终止了在该地的服务)之后,俄罗斯要求支付数据本地化,作为创建俄罗斯支付系统(称为 MIR)计划的一部分。报告认为,金融制裁的可能性极低。
三、数据类型的模糊性和宽泛性助长了数据本地化政策
多国政府出于国家安全考虑,限制“核心”“重要”“敏感”数据(包括政府数据、地图和地理空间数据、健康和基因组数据、传统电信和通信相关数据、金融数据、个人数据等)出境。但数据类型的模糊性和宽泛性导致越来越多的数据被划入本地化政策范围,影响到广泛的商业数据(例如欧盟和印度正在将对个人数据的保护扩大到非个人数据)。各国不同的数据本地化政策使企业数据跨境流动面临“多重合规”困境,当企业面临巨额罚款时,被迫进行本地化存储。例如,欧盟取消与美国之间的数据传输机制,可用的传输机制(例如标准合同条款)的限制条件不断增加,使《通用数据保护条例》 (GDPR) 成为世界上最大的数据本地化框架。
四、实现不同程度数据本地化的五种方式
政府通过五种不同限制程度的政策方式来实现不同程度的数据本地化,限制程度从弱到强依次如下:
一是本地数据镜像。允许数据副本出境,但在本国或本区域内必须存有数据副本,且可能要求本地保留最新版本的数据。
二是数据本地存储。数据必须存储在本地,特定情况下允许在境外对数据进行处理,但处理后的数据也必须存储在本地。
三是基于许可制的数据出境(事实上等同于“数据本地存储+数据本地处理”)。即基于许可的数据出境限制或基于标准体系的数据出境限制。法律对数据传输有严格的要求(例如获得预先批准和明确同意),违者会面临巨额罚款。报告认为,巨额罚款再加上任意执法使得数据传输的相关法律具有不确定性,会给公司带来无法估量的风险。
四是数据本地数据存储+数据本地处理。即对数据出境进行地域限制,要求数据必须于某一国家或区域境内存储和处理,禁止转移到他国。
五是数据本地存储+数据本地处理+对数据处理、路由和存储的歧视性政策。在上述第四条要求的基础上,一些国家还使用歧视性许可、认证和其他监管要求来限制数据本地存储,将外国公司完全排除在管理和处理本地数据之外。
五、建议建立数据本地化政策的替代方案,支持数据自由流动
报告认为,全球数字经济迫切需要新的合作机制和规则来保护数字贸易和数据自由流动,澳大利亚、加拿大、智利、日本、新加坡、新西兰、美国和英国等国家,应该加强合作,建设开放、基于规则和创新的数字经济,以替代“欧盟的限制性 GDPR 以及中国的数字控制和保护主义模式”。各国政策制定者应共同努力避免对数据跨境流动的不必要政策限制,设置事后审查和追责机制;各国立法提供相似的保护水平,并通过技术手段实现“数字互操作性”,以支持基于数据的健康研究等方面的跨境合作;建立政府获取数据的共同原则、流程和保障措施以解决跨境司法合作中的司法管辖权问题等。
总体而言,数据作为核心生产要素和战略性资源,已成为各国博弈的核心战场,报告站在美国的立场强调数据自由流动,且多次出现针对我国政策的言论。我国应平衡好数据安全和经济发展之间的关系,同时密切关注美国等国家在数据跨境流动方面的政策动态,积极做好应对。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。