编者按
12月6日,2023粤港澳大湾区服务贸易大会在珠海开幕,走出去智库合伙人、《互联网法律评论》主编张颖女士受邀在“数字内容出海机遇与挑战”分论坛上做《中国企业出海数据跨境合规问题及应对》主旨演讲。
本次会议由广东省人民政府、香港特别行政区政府、澳门特别行政区政府共同指导,广东省商务厅、珠海市人民政府、香港商务及经济发展局、澳门贸易投资促进局共同主办。本文为张颖女士在会议主旨演讲的文字版。
数据要素已经成为生产要素之一,被比作当代的“石油”。从理论上来说,数据流动越畅通、越快速,它所产生的经济效益就越大。尤其是生成式人工智能崛起之后,数据的经济价值更加凸显。
那么究竟是什么因素,导致各国政府会制定阻止数据的自由流动、影响经济增长的“数据本地化”政策呢?如果企业能深刻理解这个问题,在不同国家、不同场景中做出应对选择时一定会事半功倍。
PART 01
影响数据跨境自由流动的要素
1、国家安全
国家安全比较好理解,相关的例子很多。有些数据从性质上就很敏感,比如基因数据,地理、气象数据等等,这些都直接关涉到国家安全。另外还有一种就是因为数量巨大,所以会关乎国家安全。比如社交媒体比较大的平台所搜集的数据,也有可能会关乎“国家安全”。比如说美国对TikTok的打压,其中一个理由就是怀疑其搜集的大量数据会交给中国政府、影响其国家安全。
这里需要强调的一点是,“国家安全”作为阻碍数据流动的理由被使用得越来越频繁,这是一个全球的趋势。这是因为它的定义是模糊且覆盖很广泛的,而且一旦跟“国家安全”风险挂钩,数据“真正的用途”就不重要了,一方面政府不需要提出有效的证据证明有关系,另一方面,你很难证明数据跟国家安全没有关联。美国智库CSIS也曾在报告中表示,“国家安全”是数字本地化最常见的借口,因为很好用。
2、数字主权
简单来说,数字主权就是国家主权在数字领域的延展。互联网刚刚诞生的时候,大家默认它是没有国界的,并允许有影响力的网络参与者制定自己的规则。1996年发表的《网络空间独立宣言》明确指出,政府在网络生态系统中没有任何权力。
但随着美国GAFA(谷歌、苹果、Facebook 和亚马逊)的全球扩张,加剧了价值转移的严重失衡,产生了数字领域的经济依赖,于是“数字主权”的概念应运而生,最早于2008年进入欧盟公共领域,并逐渐确认为“欧洲数字政策的主旋律”。其后2013年斯诺登事件 和2015年Facebook的Cambridge Analytica丑闻等事件接连发生,各国政府越发担忧由于跨境数据流动而对失去对他国数字平台的控制,进而引发的损害本国的主权问题。于是,“数字主权”如今已发展成为被大多数国家承认的概念,但同时也是一个广泛而模糊的概念。
“数字主权”在国家和地区当中,是以不同的方式被解释和应用,反映了各自价值观和政治偏好:
中国的“数字主权”意味着将数据保护作为政府的核心和战略资产,重点在于“安全”;
欧盟注重保护基本的个人权利,由于在数字平台发展方面落后于美国和中国,因此其“数字主权”的概念更侧重在数字经济中数字能力建设方面;
美国则将数据的主权主要委托给私营部门,所以美国企业具备更多的自主权。
而其他发展中国家提到的“数字主权”,往往是上述不同概念的混合。特别是曾经做过殖民地的国家,他们对“数字主权”的理解,更多是从对“数字殖民主义的反抗”角度出发。
3、个人隐私保护
个人隐私保护本身很好理解,但它为什么会对“数据跨境”造成阻碍作用呢?
欧盟的《通用数据保护条例》(GDPR)有一个很重要的规则,即当欧盟境内的数据要相对安全和自由地传输到境外的时候,那么接收数据的国家或者企业要对欧盟数据提供与欧盟同等保护的法律和制度,否则欧盟的个人隐私可能会遭受到侵害。
GDPR实际上让这种数据保护的规则产生了“溢出效应”——其他国家开始主动或被动地接受欧盟对数据的保护规则,并且这种保护都形成了一种前提假设,即保护数据的最佳方式是将其存储在一国境内。如果要将个人信息传输到境外,那企业不仅要付出一定的合规成本,而且有一定几率会被拒绝出境。
PART 02
国际上跨境数据流动监管的最新趋势
由于全球企业都在数字化转型,因此数据跨境流动所包含的业务场景也越来越多,甚至并没有跨境业务的企业也可能会涉及到数据跨境的情况。另外,各国都在加强数据治理和监管,针对数据处理违规的处罚也越来越多。
以欧盟为例,从2018年正式实施到2023年11月,欧盟成员国根据《通用数据保护条例》(GDPR)针对与处理个人数据相关的违规行为发起了1701起罚款,罚款总额达到40亿欧元。其中,最大一笔罚款发生在2023年5月,爱尔兰数据保护委员会对Meta做出12亿欧元的处罚。根据欧盟对GDPR执法的总结和期望,未来GDPR的执法会越来越严格和频繁。
因此,企业要特别重视对业务所涉及国家的数据治理模式和趋势,以便提早做出合规应对。
1、国际跨境数据流动法律类型模式
在数字经济的主要参与者中,管理数据流和数字经济的方法差异很大,在国际层面几乎很少能够达成共识。目前主要有三种治理方法具有特别的影响力,中国、美国和欧盟分别是其中的代表。
严格的数据本地化 | 部分数据本地化 | 限定条件下可传输:严格 | 限定条件下可传输:相对宽松 | 数据自由流动 |
限制性(R)/保护性(G)方法 | 规范的方法 | 宽松的方法 | ||
中国(R) 印度(G) 印尼(R/G) 哈萨克斯坦(R) 尼日利亚(R) 巴基斯坦(R/G) 俄罗斯(R) 卢旺达(G) 沙特阿拉伯(R) 土耳其(R) 越南(R) | 欧盟 英国 埃及 阿尔及利亚 阿根廷 亚美尼亚 巴西 哥伦比亚 科特迪亚 格鲁吉亚 以色列 肯尼亚 马来西亚 摩洛哥 秘鲁 南非 瑞士 泰国 突尼斯 乌克兰 | 阿塞拜疆 巴林 白俄罗斯 加纳 日本 吉尔吉斯斯坦 新西兰 韩国 阿拉伯联合酋长国 | 美国 澳大利亚 简答 墨西哥 菲律宾 新加坡 |
上面这张表来源于联合国的一个研究机构,把几乎所有国家的数据管制模式划分了大概3种,其中又有细分。从左到右,其数据治理模式是从严格到宽松。
理解这3个模式,对企业的意义何在呢?
首先,要理解这三个模式是存在兼容性或互操作性问题。要在这3个模式的国家之间作数据传输,企业的合规成本很高。而目前地缘政治的博弈非常频繁,存在一种“逆全球化”的趋势,所以企业在国际化经营中就会更加困难。
其次,当某个国家具体的监管政策与其所属模式有所不同、甚至相反的时候,企业应当特别再关注,并研究该政策是一个特例,还是预示着监管模式要整体发生变化;如果它代表了一种趋势,那么企业就需要警惕并采取相应措施,避免在未来遭受到更大的损失。
2、值得关注的最新趋势及案例
(1)美国:收紧数据传输
美国目前对数据流动的监管是最为宽松的,所以也希望其他国家不要过于严格监管,因此一直以来也都在全球贸易谈判中倡导“数据自由流动”。但在2023年10月25日,在瑞士举行的世界贸易组织电子商务联合声明倡议会议期间,美国贸易代表凯瑟琳-戴办公室声明,美国在世界贸易组织电子商务规则谈判中放弃该国长期以来坚持的部分数字贸易主张,其中包括关于跨境数据自由流动的要求,并且美国正在审查其在数据和源代码等敏感领域的贸易规则现行举措。
这里的原因,可以参考吴沈括教授此前在《互联网法律评论》上发布的一篇文章《透视美国放弃在WTO的跨境数据自由流动主张》。这是美国正在收紧数据政策的信号。美国最近的一份国会文件,印证了这一趋势——文件表明,美国现阶段对“数据”正在考虑的问题包括:
1)数据隐私法是否立法;
2)贸易谈判重点;
3)如何平衡本地化要求、隐私、国家安全问题。
此外,近期发生的一个事件也可以与之相互印证:2023年11月15日,14 名美国国会议员联合签署信函,向10 家在美国进行自动驾驶汽车测试的中国公司发出质询,要求他们就“如何收集和处理美国的数据、以及与中国政府关系”做出回应。
虽然拥有自动驾驶汽车的中国公司在加州仍然相对不受限制,但未来可能会越来越困难。现在是质询,紧接着就会正式审查。美国的一位国会众议员已经起草了众议院《国防授权法案》的修正案,要求国防部报告可能涉及中国自动驾驶汽车的国家安全威胁,该法案已获得众议院批准。(参见《百度等十家中国自动驾驶公司遭美议员质询 中美科技竞争又开新领域》)
(2)欧盟与美国之间数据隐私框架
欧盟委员会于 2023年7 月 10 日通过了欧盟-美国数据隐私框架的充分性决定,确保个人数据能够自由、安全地从欧洲经济区流向美国。DPF 是一个自我认证计划,类似于其前身“安全港”和“隐私盾”,但上述认证计划在“ Schrems I” 和“ Schrems II”案件中已经被欧盟法院宣告无效。
这个新的数据隐私框架对于美国和欧盟来说,都是一个非常重大的突破。对美国公司是个好消息;但对欧盟来说,引发了巨大的内部争论。有相当一部分人是反对这个决定的,其中就包括在欧盟推翻“安全港”和“隐私盾”的Schrems先生,他表示还会继续用诉讼的方式去反对该决定。
然而对中国企业来说,美欧达成新的数据协议可能具有以下负面影响:
如果这个DPF在一段时间内稳定下来,那么对于美国来说,与同盟的关系理顺之后,很可能会集中精力加强对中国的数据出口管制;
在欧洲经营的数字企业,仅次于美国公司地位的外国企业多是中国企业;美国智库在欧盟为本国企业游说时,一个相当有力度的理由就是——如果欧盟把美国企业都打倒,那么中国企业接管欧盟大部分数字经济的市场,对欧盟来说就更不安全。因此,对欧盟来说,如果美国企业不再是数字监管的重点,那么它的监管重点可能会转向中国企业。
(3)中国:对跨境数据传输控制可能会略放松
根据从公开渠道统计的数据,从2022年9月1日开始(《数据出境安全评估申报指南(第一版)》于2022年8月31日公布),仅17家企业的申报通过了国家网信办审核评估,通过率约1%。这说明,我国的数据跨境传输管控实际上是很严格的。
但是今年下半年有了新变化。2023年9月28日,国家互联网信息办公室发布关于《规范和促进数据跨境流动的规定(征求意见稿)》。这是一项具有里程碑意义的新法规草案,最大的特点是,该草案免除了许多公司向境外发送数据的强制性安全评估义务,其中包含数据处理者对于重要数据的判断义务,这相当于释放了一个对跨境数据传输更有利的信号。在经济放缓和外国投资下降的背景下,中国政府目前更倾向于解决企业数据合规工作困境。
此外,2023年12月8日,香港特区政府创新科技及工业局发布了《香港促进数据流通及保障数据安全的政策宣言》。宣言中表示,政府将推行在大湾区便利数据跨境流动措施,包括以先行先试方式,简化和便利大湾区内与银行、征信及医疗相关的个人资料从大湾区出境到香港的合规安排。
PART 03
企业如何应对数字跨境传输的难题
企业面对的情况非常复杂和多样,不同行业、不同国家的跨境数据传输,面对问题可能完全不同,没有一劳永逸的办法。本文仅从主要从顶层设计思路和具体应对工作两个方面为企业提供一个系统性应对的框架。
1、顶层设计思路
(1)将伦理和政治正确的思路,融入数据安全和数据合规的整体思路当中。各国政府对于数据治理的思路都有所不同,公司要了解并善于利用业务所处国家的特点,为自己的公司争取更大的转圜空间。
(2)持续优化数据供应链建设,积极营造共生型国际社群生态,在共建、共生、共享的互利型生态中,降低和缓解跨境数据国际流动的国家管辖冲突风险。
2、具体配套机制
(1)合规安排
无论是内部合规还是聘请律师,企业必须安排专业人士保障数据跨境的合规,同时实现面向重点国家的司法执法机关的数据提供与批准机制的个性化设计。但必须强调的是:合规是必须的,但也是远远不够的。
(2)政策研判
因为欧美国家出台任何立法和政策,基本都是有迹可循的,研判对于欧美国家开展业务非常实用。比如,内部安排专人对趋势要进行跟踪研究,实时地提醒公司决策层要在什么方面做出适当的改变,以及采购一些外部的政策研究报告、经济和政策研究的数据。
(3)公司股权、人事等安排
对于东南亚等一些发展中国家,法治发展水平与欧美不同,难通过政府决策过程信息了解政策趋势。为了避免无法预测的情况发生,企业须未雨绸缪,在发展的过程中,针对当地情况就做一些股权、人事的调整部署。
(4)技术安排
通过软件、云存储/云计算、以及跨境数据传输平台,让跨境数据传输更加便利,这与合规安排一样重要,值得投资。当然在采购相关服务时,应当更加注意数据安全。
作者:张颖 走出去智库合伙人、《互联网法律评论》主编
【免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。
声明:本文来自Internet Law Review,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。