文│中国网络安全审查技术与认证中心 甘杰夫

党的十八大以来,党中央高度重视发展数字经济,将其上升为国家战略。我国数字经济规模连续多年位居世界第二,促进数据要素合规高效跨境流通已成为保障经济稳定运行的基本要求之一。为抢占以数字经济为焦点的新一轮国际竞争制高点,美欧抢先抛出了以《通用数据保护条例》(GDPR)为代表的欧洲方案和以跨境隐私规则体系(CBPRs)为代表的美国方案,其他国家地区也纷纷跟进,建规则、拉“圈子”,从个人信息保护的角度对国际数据流通进行“拉闸限流”。面对错综复杂的国际局势,习近平总书记多次指出,要积极参与数字经济国际合作,主动作为,维护和完善多边数字经济治理机制,提出中国方案,发出中国声音。

为落实党中央重要部署,中央网信办和市场监管总局依据《网络安全法》《数据安全法》《个人信息保护法》有关要求,连续发布关于开展数据安全管理认证、开展个人信息保护认证等的联合公告,如《关于开展数据安全管理认证工作的公告》《关于个人信息保护认证工作的公告》,初步建立起以数据安全管理认证和个人信息保护认证为核心的数据安全认证制度体系,不断完善数字经济安全治理的中国方案,并围绕落实《个人信息保护法》第三十八条第二款,即“跨境个人信息保护认证”条款,推动探索个人信息保护认证国际互认,在数字经济国际合作中发出中国声音。

一、认证认可在促进贸易便利、实现市场国际共治中的重要作用

认证认可作为国际通行的质量管理手段和贸易便利化工具,是实现市场国际共治的有效手段,在全球贸易体系中发挥着协调国际市场准入、促进贸易便利等重要作用,能有效促进国际市场规则对接、提升市场开放程度,是多双边贸易体制中促进相互市场开放的制度安排。

在实现市场国际共治中,各国法规是市场准入的最大障碍。从历史发展经验看,其解决之道就是认证结果的国际互认:首先,通过认证解决国内市场准入问题。将法规要求落实为技术标准,通过认证来证明标准符合性以提供合法合规的权威证据,执法机构通过采信认证结果,一方面降低了执法成本,另一方面也降低了技术风险;其次,由于各国认证制度差异,为进入各国市场,供应商需要反复申请多国认证,耗费巨大的人力物力成本,某些国家可利用认证制造贸易中的非关税壁垒,限制其他国家的商品或服务进入,特别是发达国家有可能据此对发展中国家采取歧视政策,因此,实现认证的相互承认成为打破技术性贸易壁垒,促进市场国际共治的有效方法。

目前,国际数字经济发展中规则林立、壁垒重叠、贸易受阻的趋势已经显现,与 20 世纪 60、70 年代工业经济时代工业品国际贸易中面临的情况极为类似。当时,国际标准化组织(ISO)和关贸总协定(GATT)都意识到认证的国际互认对促进经济发展和消除贸易中的技术壁垒的重要性,并在推进各国认证制度的规范化基础上逐步建立起国际互认体系,惠及全球贸易。

我国也是该国际互认体系的受益者:以电子产品为例,每年有 6 万多家中国企业获得国际电工委员会电工产品安全认证测试证书(IECEECB),平均降低出口成本三分之一以上;以食品为例,我国加入占全球食品贸易总额的 65% 的“全球食品安全倡议”(GFSI)体系后,每年有 4000 余家食品企业从中受益;我国还在国际上某些认证认可领域发挥了主导引领的作用,主导建立的 LED 认证成为国际电工委员会电子元器件合格评定体系(IECQ)的国际认证制度,直接惠及几千亿元的 LED 产业。目前,我国已经加入了 21 个认证认可国际组织,对外签署 15 份多边互认协议、123 份双边合作互认安排,国际互认范围覆盖占全球经济总量 90% 以上的区域,为我国大量产品、服务出口提供“一次检测,一次认证,全球通行”的便利化服务。

二、个人信息保护认证互认对推进数字经济国际合作的重要意义

早在 2011 年的世界经济论坛报告中就指出个人数据是一种新的经济资产类别。数字经济的蓬勃发展需要大量的用户数据以达到规模效应,我国电商交易额、移动支付交易规模都稳居全球第一,其基础就是海量个人信息的汇聚和流通。但同时也应看到,对个人信息的过度收集和滥用将引发消费者的强烈质疑和反对,从长期来看,必然导致消费者对各类数据处理者的不信任,为保护个人权益,最终选择放弃数字消费,这将从根本上损害和动摇数字经济的基础。而个人信息保护认证就是解决数字经济国际合作中的信任问题、规则问题的有效方案,其优势体现在如下三个方面。

(一)在国内外监管机构、企业、消费者间传递信任

个人信息保护认证的目的就是证明个人信息处理者的个人信息处理活动合规合法,帮助建立消费者对个人信息处理者的信任。通过引导消费者选择通过认证的合规个人信息处理者,鼓励企业主动保护用户的个人权益,通过市场的正向选择,使诚信守法的企业获得更多的用户认可和更大的市场份额,并带动更多企业保护个人权益,形成三方受益的良性的市场生态:消费者获得了选择合规产品或服务的依据,避免个人权益受损;制造商和服务提供者获得了确定其产品和服务符合法律法规、标准规范并按顾客期望提供的证明,从而获得市场信任,避免了违规导致的损失;监管部门则获得了执行法律法规和实现公共政策目标的专业化、市场化、国际化支撑手段。

更进一步,通过推动国际统一的认证制度的建立,在国际组织成员间实现一个标准、一次认证、全球通行。按照国际规则开展的认证活动、出具的认证证书,更容易在各个国家得到承认。

(二)保障数据要素合规高效跨境流通

从全球范围来看,数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。数据要素合规高效跨境流通是保证数字经济稳定、顺畅运行的关键,据美国智库布鲁金斯学会的相关研究,2009—2018 年十年间,全球数据跨境流动对全球经济增长贡献度高达 10.1%,预计 2025 年有望突破 11 万亿美元。目前,各国纷纷针对数据安全、个人信息保护立法,客观上增加了数据要素流通的难度,为跨国业务带来了很大的不确定性。不同于工业时代,工业品国际贸易主要面临的问题是如何进入他国市场;在数字经济时代,由于数据是一种战略资产,数据要素流通面临的主要问题是一方面要保证本国数据安全出境,另一方面还要吸引他国数据顺畅流入。

实现数据要素的流通与实现认证的国际互认一样,最根本的因素是政治和经济考量,而且基于个人信息的数据资产属性,各国都会希望可以尽可能多的数据净流入而非流出。但在全球化背景下,任何单边主义、闭关主义都不符合数字经济发展的要求,就像航空、旅游产业的需求一样,我们既要让本国个人信息能流出,保证国内旅客出得去,也要让国外个人信息能流入,保证国外旅客进得来。要实现双向的数据流通,必须依赖于双方信任、共同遵循的规则。近 50 年的国际实践表明,认证结果的国际互认体系规则是有效的解决方案之一。基于公开透明、相互认可的个人信息保护认证,有助于减少各方对隐私和个人权益保护的安全疑虑,并通过国际通行的规则弱化政治经济影响。而认证的专业性,也能保证个人信息跨境流通的高效、合规。

(三)在跨境数据治理的国际博弈中争取主动

2019 年 1 月,包括美国、欧盟、中国、俄罗斯在内的 76 个 WTO 成员共同签署《关于电子商务的联合声明》,美国主导提出“跨境数据自由流动”“禁止数据本地化”等主张,而中国则表明这些问题需进行“进一步解释性讨论”。博弈还延伸到 WTO 多边框架之外,上述主张已被纳入美国、欧盟主导的《全面进步的跨太平洋伙伴关系协定》(CPTPP)、《日本—欧盟经济伙伴关系协定》(EPA)、《美墨加贸易协定》(USMCA)等。此外,2019 年 10 月,英美签署基于美国云法案的《数据访问协议》,进一步推动其数据跨境规则落地实施。

美欧日之间有关跨境数据流动的制度范围正在逐步扩大,通过构建“数据共同体”来主导跨境数据流动规则的制定,并初步形成了 GDPR 和 CBPRs 两个体系。但也应看到,美、欧等的主张在实践中还存在诸多问题,不能完全“自洽”。例如,美国在宣称“数据自由流动”的同时,实际上正在通过限制重要技术数据出口以及特定数据领域的外国投资进行数据跨境流动管制。例如,2018 年 8 月签署的《美国出口管制改革法案》就特别规定,出口管制不仅限于“硬件”出口,还包括“软件”,如科学技术数据传输到美国境外的服务器或数据出境,必须获得商务部产业与安全局(BIS)出口许可。而美国对 TikTok 的“本地存储”限令,也戳破了其“数据自由流动”的幌子。就本质而言,美国是通过输出规则来争夺跨境数据治理话语权。

总体而言,目前国际数据治理规则仍然呈现碎片化特征,各国基于各自的政治、经济现实利益,在许多原则问题上尚未达成共识,统一的治理框架并未形成,各方的国际规则体系大多处于双边、区域试行状态,距离实质性落地尚需时日。在这种背景下,积极推动个人信息保护认证的国际互认,在跨境数据治理国际规则体系制定中主动提出中国方案,有利于打破美、欧对规则的垄断,消解其对我的进攻,扩大中国“朋友圈”,保护我国数字经济的健康、稳定运行。

三、个人信息保护认证互认的实现途径

从政治、经济、技术等多个因素考虑,个人信息保护认证的国际互认绝非能够一蹴而就,欧美在这个领域的多年实践也仅是摸着石头过河,GDPR 体系下的首个认证制度 GDPR-CAPRA 今年 5 月才在卢森堡推出,并且没有直接支持跨境互认。因此,实施路径的设计一定遵守循序渐进原则,首先是政治上互信,其次是经济上互需,最后是技术上可行。

一种可行的途径是:第一步,实现国内数据跨境认证。在个人信息保护认证基础上,探索建立粤港澳大湾区三地监管机构认可的跨境个人信息保护认证规则,实现个人信息保护认证结果的三地采信;第二步,实现区域性数据跨国认证。以粤港澳大湾区互认规则为基础,依托现有的区域互认合作框架,推动建立东盟、“一带一路”沿线国家的个人信息保护区域互认体系;第三步,实现国际数据互认。推动相关标准规范的国际化,在 WTO 框架下,促成个人信息保护认证国际互认体系的建立。

(一)三地互认:粤港澳大湾区

在法规政策层面,由于《个人信息保护法》与香港《个人资料(私隐)条例》、澳门《个人资料保护法》基本原则较为接近,为互认提供了法律基础。《横琴粤澳深度合作区建设总体方案》《广东省数据要素市场化配置改革行动方案》《广东省人民政府关于加快数字化发展的意见》《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020 - 2025 年)》等文件都提出了推动粤港澳大湾区数据有序流通、构建数据要素流通顺畅的数字大湾区等任务,为互认提供了政策基础。

在技术层面,GB/T 35273《个人信息安全规范》、TC260-PG-20222A《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》提供了符合相关法规的技术标准,可在其基础上进一步修改形成三地跨境认证依据标准。依据相关法规、文件和标准,通过制定发布粤港澳大湾区三地监管机构认可的跨境个人信息保护认证规则,可实现个人信息保护认证结果的三地采信。

可根据相关文件要求“支持科研合作项目需要的医疗数据等数据资源在大湾区内有序跨境流动”“支持珠海、澳门相关高校、科研机构在确保个人信息和重要数据安全前提下,实现科学研究数据跨境互联互通”,首先启动科学数据、医疗数据等领域的个人信息跨境试点,进而推动建立粤港澳个人信息跨境流动自由港。

(二)区域互认:东盟、“一带一路”沿线国家等

东盟在数字经济、数据跨境方面陆续出台了《东盟互联互通发展计划 2025》《东盟数字发展计划 2025》《东盟数字数据治理框架 2018》《东盟个人数据保护框架 2016》等政策,也形成了自愿性的《东盟数据管理框架和跨境数据传输机制的实施指南》(CBDF)、《东盟数据管理框架》(DMF)、《东盟跨境数据传输合同条款模板 2021》等东盟内数据跨境指导文件。这些文件为实现与东盟数据跨境互认提供了基础,但目前还没有形成东盟层面广泛接受的跨境规则。美国 CBPR、欧盟 GDPR 都在积极争取对东盟地区施加影响,由于经济和地缘因素,日本于 2019 年在 G20 峰会提出的“信任数据自由流动”(DFFT)也在东盟地区具有一定影响力。

我国与东盟在数字领域已建立了“中国-东盟数字部长会议”“中国-东盟智慧城市合作”“中国-东盟信息通信基础设施互联互通”“中国-东盟数字经济合作年”的合作机制,为推动与东盟的区域互认提供了平台。由于东盟数据跨境与 RCEP 电子商务章中的数据跨境流动政策密切相关,我国在加入 RCEP 后,具备了更好地推动互认的条件。近期,我国提出加入新加坡主导的 DEPA,也为实现互认提供了更多、更好的选项。

在“一带一路”国家方向上,我国通过《共同推动认证认可服务“一带一路”建设愿景与行动》三年计划,已与 30 多个“一带一路”沿线国家和地区建立双边合作关系,为推动与“一带一路”国家的区域互认提供了合作框架基础。

(三)国际互认

实施以国际标准和规则为依据的国际认证制度,才能更加有效地推动数字经济贸易,减少贸易中的技术壁垒。从长期来看,要在区域互认的基础上,联合相关国家、地区,积极推动有关标准的国际化,主动主导个人信息保护认证国际互认规则的制定,引领国际数据跨境流动治理,用中国方案服务世界经济发展。

(本文刊登于《中国信息安全》杂志2022年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。