• 无论是出于数据主权、国家安全、情报收集、商业或隐私方面的原因,各国政府日益寻求通过数据本地化规则来维护“数字主权”和控制。

  • 数据自由流动会威胁到地缘政治对手的国家安全,这成为支持数据本地化的理由。

  • 尽管存在经济上的反对意见,全球的主流趋势是数据的更加本土化,这令私营科技公司难以抉择。

数据本地化政策影响了诸多国家安全利益,包括安全参与者的信息共享、促进网络安全的能力。各国需要在数据本地化带来的数字主权诱惑与反对此类政策的经济和国家安全观点之间进行平衡。

人们对数据不能自由跨境流动的经济影响——特别是对企业的威胁——做了很多阐释,但对全球数据流动限制对国家安全的实际影响却没有进行深入的讨论。在过去的五年里,数据的本地化问题一直被详细讨论,但全球政策制定者在数据本地化方面尚未达成正式共识。例如,美国面临着商业界越来越大的压力,要求其更清楚地阐明反对数据本地化的长期立场,并制定相关的、健全的政策,以考虑到不断变化的全球形势。

本文根据目前的问题提出了实质性的国家安全担忧,并就未来发展道路提出了建议。制定处理本地化相关问题的独特政策,要求洞察到数据本地化对国家安全在多方面的潜力影响。

一、数据本地化的不同模式

数据本地化要求很大程度上因国家/地区而异,具体取决于采用它们的主管部门的意图。由于政策制定者寻求平衡利益相关团体的商业、和数据隐私问题。更多的政府加强对国家数字基础设施的管控,限制了数据自由流动,根据来源设置不均衡的数据处理和存储要求,这可能加剧了互联网碎片化的全球数据治理格局。

以下部分介绍了数据本地化政策的主要参与者和影响因素。

1、美国和欧盟

目前,美国通过国际治理机构以及双边和多边贸易协定制定政策,表明其对数据本地化的立场。2020年7月生效并取代北美自由贸易协定的美墨加协定(The United States-Mexico-Canada Agreement)禁止数据本地化,并确定了成员国之间的数据自由流动。正如,CSIS在2021年针对亚太地区的研究所示,该地区国家之间的多项贸易协定禁止数据本地化要求和跨境数据流动限制。

自Schrems II案以来,美国和欧盟之间的跨大西洋数据流动,至少在个人数据方面,仍然存在问题。基于对美国当局没有为欧盟互联网用户提供足够隐私保护的担忧,2020年7月,欧盟法院宣布欧盟委员会关于美国的适当性决定无效——解除了对美国的隐私盾,一个美国欧盟之间的数据传输框架。自这项裁决以来,以新的数据传输协议取代隐私盾的谈判一直在进行。

一些学者认为,数据本地化并不能充分解决本案核心的潜在隐私和安全问题。但如果美国和欧盟未能解决争端,Schrems II的判决可能通过暂停个人数据传输实现硬性本地化结果铺平道路,这也将导致暂停向没有根据欧盟数据规定提供足够隐私和个人数据保护的第三方国家传输个人数据。

2、金砖国家新兴市场

五个金砖国家(巴西、俄罗斯、印度、中国和南非)都已实施或正在实施数据本地化要求。

巴西的数据隐私和保护立法,即《一般个人数据保护法》(Lei Geral de Proteção de Dados Pessoais, LGPD)于 2020 年 2 月生效。

与欧盟的 GDPR 一样,LGPD列举了个人对其数据的权利以及概述了公司和其他第三方如何使用某些类型的数据。在考虑了所谓的“假新闻”法案中的数据本地化条款后,巴西还向 LGPD 引入了数据本地化修正案。如果该修正案获得通过,将要求巴西人的个人数据在巴西境内“物理存储和维护”。

俄罗斯一直在积极主张对其互联网架构的控制——打击在俄罗斯境内开展业务却无实体的社交媒体公司,并表达了对数据流出的日益担忧——但其数据本地化方法主要侧重于实施数据镜像策略。数据可以在俄罗斯境外传输和处理,但必须物理存储在该国境内的数据库中。这些规定适用于俄罗斯实体和拥有俄罗斯网站域名、在其网站上使用俄语或在俄罗斯开展业务并以卢布付款的外国公司。

印度通过个人数据保护法案草案和支付数据规定,推进了各种数据本地化方法。《个人数据保护法案》要求对敏感的个人数据进行软性本地化,允许在满足类似 GDPR 的条件时传输一些个人数据;对“关键个人数据”进行硬性本地化,这些数据只能在印度处理,不得传输到国外;以及支付数据的混合本地化。值得注意的是,该法案草案为政府的数据收集行为提供了豁免,这破坏了将公民隐私权编入法典的法律精神。

通常与欧盟形成对比——其通过 GDPR 处理数据隐私的方法被称为“布鲁塞尔效应”——中国提供了一种截然不同的数据治理和监管模式,称为“北京效应”。中国法律要求包括“个人信息和重要数据”在内的各种形式的数据在中国境内存储,并在必要时在转移出境前接受政府安全审查。

最后,南非已采取措施实施类似 GDPR 的数据治理框架以及具有明确数据本地化要求的单项立法。南非的个人信息保护法案(Portection of Peronal Information Act,POPIA) 没有明确的数据本地化要求,但它确实为跨境数据传输增加了更多先决条件。除了 POPIA 以外,南非还采用了国家数据和云政策,其中包括要求在该国境内存储和处理被认为是 “关键信息基础设施 ”的数据,并对南非自然资源产生的数据进行反映。

3、国际机构

各种正式的治理机构和来自志同道合国家的非正式团体正在努力减少数据流动的障碍,反对本地化的趋势。2019 年20 国集团 (G20)大阪领导人宣言中提出的反对数据本地化要求的观点,通常被称为“数据在可信任条件下自由流动(data free flow with trust)”。公报承认“数据、信息、思想和知识的跨境流动产生了更高的生产力、更大的创新和更好的可持续发展,同时也带来了与隐私、数据保护、知识产权和安全相关的挑战。”尽管 G20 领导人支持这一概念,但该宣言在建立全球数据流标准和规范方面并没有取得多大的初步成效。

2021年6月,七国集团 (G7) 领导人峰会之前,维护互联网不受限制性数据本地化要求约束的议题在4月的数字和技术部长级会议上得以解决。在这次会议上签署的宣言提出旨在帮助指导“一个开放、可互操作、可靠和安全的互联网,一个完整的、支持自由、创新并赋予人们信任的互联网”的持续发展。它呼吁制定在线服务和协议可以参考的数字技术标准,并强调了七国集团的意图是通过持续监测数据本地化的效果、促进监管合作以及在当前数据共享途径中增加更多优先领域来抓住“数据在可信任条件下自由流动”带来的利益。

在世界贸易组织 (WTO) 内,成员就有关数据本地化的标准制定和规则谈判的重要性以及它如何影响国际商业和贸易进行了讨论。2021 年 5 月的电子商务谈判中,世贸组织成员强调,有必要建立关于数据本地化规定的明确指导方针,并创造促进数字包容和促进贸易的规定。在之前的全体会议上,成员们不断强调,支持和实现跨境数据自由流动是持续数字创新和国际合作不可或缺的一部分。

经济合作与发展组织(OECD)专注于完善关于数据治理和减少数据流动障碍的跨学科、国际标准。计划于 2021-22 年开展为期两年的横向项目,旨在推进多方面的方法,以建立信任并最大程度地减少数据流动的障碍。该项目将围绕其认为对构建全球数据治理共识缺一不可的四个类别展开:访问、控制和数据共享;跨境数据流动;数据对商业模式、市场动态和市场结构的影响;以及数据的测量和分类。

二、数据本地化对国家安全的影响

数据本地化将危及全球互联,并与互联网整体自由度下降相关联。关于数据本地化的真实国家安全顾虑往往被两种解释所掩盖,即支持数据本地化对“国家安全”论以及从经济和商业角度反对数据本地化的观点。后一种声音认为自由、开放、安全和可靠的互联网是全球贸易和繁荣重要组成部分。

提出此类论点的许多个人和组织都在美国。脱欧前的英国政府也曾在2017年警告说,“互联网的巴尔干化可能会扼杀竞争、创新以及为消费者提供更好服务的贸易,并可能削弱数据安全。”

对于信息和通信技术 (ICT) 产业,有证据表明数据本地化会提高价格并“[限制]信息通信技术产品和服务的可用性,同时创造少量数据中心就业机会。”经济保护主义论点认为,跨境数据流动可能会削弱本地互联网企业的竞争力,但是支持数据本地化驱动当地经济发展的证据很有限,无论线上还是线下。

努力设置壁垒可能会给新崛起的国内企业带来短期商业利益,但也可能会以牺牲创新和互联网的出现所刺激的更广泛、持久的全球经济增长为代价。

尽管存在这些经济上的反对意见,但是全球的主流趋势是数据的更加本土化,这让私营科技公司难以抉择。一些跨国公司已经选择离开某些市场,而非遵循严格的数据本地化的规定,而其他企业则选择了保持和适应。各国政府基于自己对“国家安全”的理解作出的决策是推动这一趋势的主要原因。

1、支持数据本地化的国家安全理由

数据自由流动会威胁到地缘政治对手的国家安全。例如,韩国不会希望其本国公民和公司的数据被朝鲜访问。

此外,还有一些正当的理由,例如,执法机构既希望获取数据,又希望限制违法者跨境共享数据的能力。在《大阪领导人宣言》之前,一份由G20财长发布的公报提到了数据流动的益处和挑战,但是挑战并未被明确界定,其措辞显然试图给G20的成员国——代表着世界80%以上GDP和60%以上的人口——施加它们认为合适的数据本地化要求。

对于如中国、印度、印度尼西亚、俄罗斯和土耳其等G20成员国而言,由于缺乏对数据本地化相关国家安全问题的一致定义,这为争取执行更强有力的数据本地化要求提供了机会。

有一种观点认为政府必须控制数据以保护公民隐私不受外部人员的侵害。除了隐私,推动数据本地化的最常见的理由是 “国家安全 ”,即使对数据流动的控制可以解决正当的国家安全和其他传统的国家安全问题。

2、反对数据本地化的理由

数据本地化——以及由此导致的互联网的割裂——确实对国家安全产生了影响。这些影响包括:(1)对安全参与者协作及能力的限制(2)网络安全威胁。

(1) 为跨境访问信息设置障碍,限制了安全部门人员之间的合作。

这为从事灰色地带策略的人员提供了安全的避风港,包括通过社交媒体和非法金融活动,在受本地化要求的平台上进行信息操作——限制了目标国家打击和调查,并在适用时起诉犯罪者相关罪行的能力。

跨境执法合作通常通过司法协助条约 (MLAT) 体系进行管理,尽管许多司法协助条约“是在互联网在全球广泛采用之前起草的,很少有条约解决数据和管辖权的核心问题”而且并没有明确什么是“受保护数据”。在实践中,这意味着即使通过MLAT体系提出的数据请求在增加(2015美国司法部的一项估计显示在过去十年中,“外国当局的援助请求”增加了60%),该体系无法处理如何共享今天的执法所需数据的问题。如果美国采用更严格的数据本地化要求,它可能会使已经错综复杂和过时的MLAT体系进一步复杂化,在越来越多的涉及数据跨境流动的案件中增加执法障碍。这将削弱目前的信息共享渠道和企业的报告义务,从而影响情报收集手段和刑事调查。这些手段每天都在部署,不管是在应对自然灾害还是在关键供应链上的网络攻击时。

(2)增加了必须配备人员和维护的数据中心的数量和位置,从而给企业网络安全运营带来风险和复杂性。

决策者和企业仍在进行公私部门角色和责任的划分,以确保企业数据和基础设施的安全。但是现在的共识是,网络安全是国家安全问题,战线越拉长,后果会愈加严重。

与允许企业在全球范围内的几个数据中心存储数据不同,每个要求数据存储在其境内的国家,最终都会要求适用主体在其境内拥有物理服务器,以遵守该国的数据本地化规定。

金融部门的分析表明,数据本地化可能“增加了IT和数据的复杂性;破坏了金融机构的风险管理,网络安全和反洗钱业务;以及减少了在一些国家获得金融服务和市场的机会”。除了与运行设施相关的成本增加外,实体还必须拥有可靠的基础设施支持运营。增加的足迹创造了新的攻击途径——通过硬件和软件进入数据系统以及易受网络钓鱼或其他针对性攻击方式攻击的工人数量。

数据本地化要求也可能决定数据和互联网流量在公司内部以及公司和政府之间是如何传递的。这就要求每个数据中心维护关于如何传输信息的最新流程和程序,为它们必须能促进的各种国家间数据传输建立专门和指令性的机制。因此,公司需要在日益偏远的地区平衡数据负载,同时遵守当地不一致且复杂的法律规范网络。其结果是愈加复杂的技术系统,而这些系统往往不太安全。

三、展望未来:重大未决问题

本文介绍了数据本地化的现状并提出了作者认为应该被更多地纳入到相关辩论的国家安全方面的观点。尽管文章的最后部分提出了一条可行之路,但是本文并没有提供更清晰的解决方案,部分是基于以下几个重大未决问题。

人们会相信互联网吗?在持续讨论个人数据使用问题以及数据本地化全球实施不平衡的未来,人们将想知道是否可以安全地使用在线产品,如果可以,又该如何使用?如果不这样做,随着时间的推移,各地的互联网用户可能会越来越质疑线上活动和个人数据是否由值得信赖的行为人员保护。

美国会加入这场游戏吗?迄今为止,欧盟、中国和其他经济体向发展中国家展示竞争性的数据治理模式来争夺在当地的影响力时,美国政府基本上属于远处观望。它缺乏联邦一级的隐私和数据治理政策或正式的战略来指导政策的制定和实施。即使许多受这些竞争性治理模式影响最大的公司总部在美国,美国也没有类似GDPR的联邦隐私或数据治理法律,而且很少有人、组织或政府实体积极致力于解决这些问题。因此,缺乏连贯的方法来应对数据本地化规定的激增,引发了关于商业和国家安全的重大挑战。制定和调整这样一个统一的方案,说起来容易,做起来难。美国作为开放、安全和可靠的互联网信使的信誉已经不像20世纪90年代那样了。

如何解决关键悖论?支持和反对数据本地化的国家安全案例提出了一个悖论,将数据隐私、法治、致力于公平竞争环境的努力和地缘政治竞争交织在一起。对于境内公司与地缘政治竞争对手共享用户数据的担忧似乎证明了数据本地化努力的合理性。尽管如此,禁止这些竞争对手公司控制用户数据的尝试,为其他政府推行更强有力的数据本地化政策提供了有用的素材。

欧盟-中国的竞合将在何处以何种方式进行,尤其是在美国持观望态度的情况下?如果美国不制定一以贯之的战略,欧盟和中国将继续在世界其他不结盟国家争夺影响力。支离破碎的互联网将创造独立的孤岛,使开放和安全的通信变得更加具有挑战性。决策者和专家都越来越担心,美国对数据流动限制的模糊立场将加剧对隐私问题的担心,并将有助于其他国家继续采用这些这些规定。

美国对本地化的坚定立场是否重要?各国都在推进将进一步分割互联网的政策。美国本身不太可能影响数据本地化。然而,如果能够进行协调和努力,它可以发挥积极的作用。如果美国想保护自己的国家安全和经济利益,这就是前进的方向。

关于作者

Lindsey R. Sheppard 华盛顿特区战略与国际研究中心(CSIS)国际安全项目的研究员。

本文基于战略与国际研究中心(CSIS)的简报,旨在反映对于数据本地化的不同考量与策略,不代表支持其观点或结论。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。