数据在当今世界的诸多领域地位日益凸显,数据跨境流动带来的风险不断增强,因此建立健全相应的法律、应对政策和机制被迫切地提到议程上来。本文介绍分析了国际上对于数据跨境流动的主要做法和经验,并据此结合中国国情和上海自贸区的经验,提出我国跨境数据流动治理的具体实践路径和政策建议。

全球跨境数据流动的价值与风险

当今全球正进入数据经济时代,数据是推动新一轮技术创新、制度创新和管理创新的关键生产要素,是资本、物资、技术、人员等其他生产要素高效组合的纽带与核心。数据的开放、流动和共享将颠覆传统工业时代的商业形态和产业边界,一个以数据资源的开发利用为核心动力的数据经济时代全面来临。数据经济时代,数据资源需要在更多的维度和更广的领域实现流动与融合才能产生更高的价值。

1.1 全球数据流动产生的价值

当前,数据资源的全球流动推动着信息技术和网络服务的创新发展,进而提升各国的经济效率和社会福祉。2008 年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,不仅支撑了包括商品、服务、资本、人才等几乎所有类型的全球化活动,也在发挥着越来越独立的作用,数据全球化成为推动全球经济发展的重要力量。

同时,跨境数据流动能够有效降低全球贸易平均成本,提高利用互联网的中小型公司的国际贸易能力和存活率;跨境数据流动也极大地增加了跨国服务和贸易的便利化,使得跨国

公司都是根据业务领域而不是地理位置来运营它们的业务。

国家和企业的跨境数据流动有助于信息、知识的传播与共享,可以实现国家和企业创新能力的提升。

1.2 全球数据流动孕育的风险

1.2.1 数据隐私泄露

由于各国数据安全和隐私保护水平与标准并不一致,用户数据从保护水平较高的国家(地区)向保护水平较低的国家(地区)流动时,可能会因接收方保护技术管理能力或者意识法律政策方面的不足,产生导致数据泄露的风险。

1.2.2 外国政府情报监控

跨境数据流动不可避免地涉及到国家情报安全的领域,即外国政府可能通过数据跨境流动获得本国重要和敏感数据,这也是各国针对企业跨境数据流动展开重点监管的主要原因。

1.2.3 本国政府执法困难

跨境数据流动使得本国政府依法获取企业数据难度增加,增加了数据执法的不确定性。尽管各国有包括司法互助协定(MLATs)、司法互助协议(MLAAs) 等机制,但在实际操作中面临诸多障碍,将数据纳入在本国司法管辖范围内仍然是各国政府的核心诉求。

1.2.4 本国产业发展失控

跨境数据流动的模式会导致数据资源向少数具备产业和管理优势的国家集中,这可以节约企业的成本,但对用户所在国而言就会面临本国产业发展困难的问题。许多国家出台数据本地化政策一方面出于保护本国用户数据隐私的需要,另一方面也希望借此保护本地数据产业的发展和利益。

1.3 我国跨境数据流动面临的挑战

一是数据安全风险泛化增加我国跨境数据流动风险的复杂。因为在数据的产生、存储、流通的各个环节都会涉及到技术、管理、意识等各个方面,每个环节或者交汇都会涉及到数据安全的问题,数据安全风险的泛化使得跨境数据流动风险更加复杂多样。

二是国内数据保护水平不足影响我国跨境数据流动的实践。就当前我国的现实而言,在个人数据和重要数据保护的体系制度设计和法律法规建设上,存在相当的滞后性和不完善的情况,这使得企业在跨境数据流动的具体策略和执行上面临较大的不确定性和模糊性。

三是既有地缘政治格局阻碍我国跨境数据流动的国际合作。当前美国和欧盟在进行跨境数据流动的国际合作时,相当程度上基于已有的政治互信、经贸往来和地缘政治需求来构建自己的“朋友圈”。这使得我国在进行跨境数据管理时也不得不受限于已有的国际格局和地缘政治。

最后,现有跨境数据流动管理政策中过于严格的限制,可能会加重企业跨境数据的成本,面临国外企业的强烈反对。

当前,数据资源是经济体发展的“血液”,我国跨境数据流动已经关系我国经济发展全局、国家战略安全和整体布局,关系我国企业全球化竞争发展的未来格局,是我国当前网络立法和监管的决策难点,也是西方主要国家攻击我国网信政策的主要问题领域。

全球主要国家应对跨境数据流动的政策体系

2.1 美国

总体而言,美国着眼于经济发展、国家安全和执法便利三个出发点。对于个人数据流动的低门槛和限制,促进数据流动的自由化,以便能够发挥自身在产业上的优势,引导数据向美国流动;与此同时,对于涉及国家安全的重要数据,美国则是通过清单管理的方式,对与技术数据相关或者敏感数据相关的技术、产品进行了严格出口限制和投资管制。

2.2 欧盟

欧盟一直主张通过高水平的数据保护,来推动数据治理对于人权保护的主张和制定法律规则的影响力,并通过这种方式构建朋友圈。

全球跨境数据流动的实践经验

3.1 特征与趋势

数据跨境流动政策与国际政治格局密切相关,数据主权成为大国的战略主张。在现有由西方主导的国际体系下,美欧也主导着数据跨境流动“朋友圈”的建立,而圈内国家往往是长期的政治盟友、经贸伙伴以及被其认定为具有相同价值目标的国家。美国通过长臂管辖扩张其跨境数据执法权,通过对承载数据载体的技术和产业的市场准入和出口管制来维持自身比较优势。

与之相对,中国、俄罗斯通过数据本地化实现数据执法便捷性,并以数据本地化要求设置市场准入壁垒,保护本国产业特别是基础设施的发展。体现了各国在各自国家力量、政治战略和外交理念的框架下,纷纷确立管辖原则,出台法律政策,维护国家利益。

政策内容上,对可能威胁国家安全的关键技术数据和敏感个人数据流动的限制措施成为各国政策的主要重点,数据保护出现了向数据保护主义乃至数据产业保护主义发展的趋势,美国《外国投资审查现代化法》中对涉及关键技术或关键基础设施、敏感个人数据的投资交易的审查以及各国数据本地化的要求,都体现了这一点。

3.2 全球数据港

以新加坡、香港、都柏林为代表,非政治大国的城市成为全球数据流动版图上的重要数据节点,支撑他们的主要政策则有着相当的共同性。一是完善的数据保护法律、数据跨境流动管理和监管机制。二是良好的人才储备、健全的基础设施、专业性的机构设置和税收优惠等。三是积极参与全球性数据跨境流动的合作机制。

3.3 企业实践

3.3.1 建设扩张海外数据中心,提供企业跨境数据合规服务

①阿里云:2018 年,阿里云可以提供计算服务的节点将包括华北3 个、华东2 个、华南、香港、新加坡、美国东部、美国西部、日本、欧洲、中东和澳大利亚等14 个,基本覆盖了全球主要互联网市场。

②亚马逊:AWS 的公有云赋予了用户对其自身数据的所有权和控制权,包括在不同国家/ 地区数据中心/ 服务器间进行数据迁移,为用户提供经欧盟认可地“数据处理附录”(data processing addendum),帮助客户满足欧盟关于跨境数据流动的保护责任。

3.3.2 面对数据执法协助义务困境提出企业主张

①谷歌:2017 年6 月,谷歌提出一个关于执法机构跨境请求数据的国际法律框架,使某些民主国家能够从美国服务商获取涉嫌严重犯罪的用户电子数据,建议美国与这些国家签订双边跨境数字证据收集协议。同时推动美国《国际通信隐私法案》(ICPA)尽快得到国会通过,提倡内容正当、告知、补偿、互惠、现代化、提高透明度等原则。

② 微软:2018 年, 微软A Cloud for Global Good 最新版指出,在“政府对数据的获取”一章中建议政府就数字证据获取制定明确的法律规则,制定法规时考虑信息获取法定程序、异议权、披露、透明度、告知用户、尊重主权等原则;在“推动数据的自由流通”一章,建议政府倡导保护跨境数据流动贸易规则、使国内立法对数据流动的干扰最小化、鼓励电子商务、避免增加壁垒的冲突规则 。

3.3.3 组建联盟,构建行业性的跨境数据流动自律机制

2018 年3 月,由中国信息通信研究院牵头,联合三大基础电信企业和IP-VPN 等相关业务经营者共同组建的“中国跨境数据通信产业联盟”在北京成立。该联盟积极配合行业主管部门的相关工作,在宣传普及国家法律法规、规范会员单位业务经营、建设跨境业务系统平台、启动相关技术研讨、支撑国家政策监管等多个方面都开展了工作,联盟现已发布《中国跨境数据通信产业自律公约》,其中海外观察员名单包括威瑞森、西门子、AT&T 等。

我国跨境数据流动的创新路径

4.1 我国跨境数据流动的形势分析

受地缘政治、产业竞争、法律标准等复杂因素的影响,各国政府开始全面规范甚至限制跨境数据流动活动,全球数据保护主义趋势日趋明显,中国在全球跨境数据流动体系中面临的艰难处境(影响流入),我国《网络安全法》中关于跨境数据流动的要求非常严苛且操作路径不明(影响流出),双重影响对我国跨境数据流动带来复杂挑战。

在这种复杂的国际背景下,要坚定跨境数据流动政策服务于国家发展大局是最终目标。在中央新一轮开放发展战略的总体指引下,积极有序地推动我国数据资源的开放开发和跨境流动,这对于我国经济社会的创新发展具有重要意义。

4.2 我国应对跨境数据流动的主要策略

我国应当遵循数字经济发展基本规律,认清我国IT 产业的能力和需求,把握全球产业竞争和政策演进的趋势,明确我国国家安全和网络安全的“红线”,兼顾维护公民权利和促进产业发展两个方面,同时选择重点地区先行先试,进而在全国推广复制。

具体而言,利用上海自贸区创新发展的试验田,探索建立一个开放、透明且可操作的跨境数据流动监管体系,全面、稳妥地推进全球数据港的建设,力争1-2 年在上海自贸区建成特定的功能. 示范区,吸引跨境数据业务的一批企业入驻,从技术和政策等方面完善跨境数据流动的解决方案。

4.3 具体实现路径

4.3.1 出台专项法规

依据《中华人民共和国网络安全法》的基本要求,发挥自贸区在跨境服务先行先试功能,探索试点放开电信业务外商投资的管理模式,研究出台《上海(自贸区)跨境数据流动管理试行办法》,该办法包括数据流入和流出的负面清单,跨境数据流动的管理机构、电信增值业务开放以及离岸数据中心建设、数据流动财税优惠以及违法开展跨境数据流动的处罚细则等。

4.3.2 打造功能区域

在上海自贸区范围(洋山港、云海数据中心等),选择具备开发能力的地址空间,作为面向跨境业务功能的数据中心(IDC)承载区,并利用临港海光缆等登陆点,扩容跨境数据通讯专线,建设性能和安全达到国际最高标准的数据基础设施,设立外商投资企业数据出境的审查试验区,明确运营主体,分领域打造若干全球数据港功能示范区,以此为载体吸引跨国业务企业的入驻,实现跨境企业数据集聚和集中管理,进而带动相关产业的集聚。

4.3.3 探索国际合作

需要充分利用“一带一路”倡议、中国国际进口博览会等契机,谋求国家相关主管部门的授权,积极主动,先易后难,基于经济合作和地缘政治等因素,与相关国家和城市洽谈建立跨境数据流动的双边/ 多边规则,建立白名单机制,根据个人信息保护状况及对等措施,将部分地区纳入可自由流动的国家与地区。推动与相关国家和区域数据的双向流动,在规则设计方面可积极借鉴欧盟长臂管辖的原则,强化数据出境后的风险评估和监管,维护国家数据主权。

4.3.4 组建数据海关

相关部门须联合组建数据海关,以跨部门、平台化的方式开展工作,通过制定数据分类分级监管体系,分行业明确敏感的个人数据和重要数据范畴,并充分运用大数据、人工智能等技术手段建立自动化监管流程,对企业跨境数据流动活动进行实时的风险评估和梯度管理,为企业跨境活动提供必要的技术解决方案指导。

4.3.5 强化标杆示范

政府须依托大型成熟跨境企业,共同研究行业级的跨境数据流动安全管理规范,在电子商务、金融、航空、云服务等领域率先推动行业跨境数据流动标准的出台,建立行业级的数据跨境流动协议范本,通过合同法律机制来管控数据出境风险,以此来带动整个行业的数据保护和数据流动,并积极推动我国的行业标准成为国际或区域性的标准。

4.3.6 创新技术模式

全球数据港必须有效识别和解决数据跨境流动过程中的安全风险。数据经济时代,跨境数据无法从根本上摆脱国家安全和隐私的潜在风险,因此遵循相关法律要求进行技术创新是跨境数据流动管理的重要路径。因此,需要充分调动国内外大数据安全技术公司,为全球数据港打造安全可控的跨境数据流动技术路径,全面支撑相关龙头企业和功能示范区企业的跨境业务。

作者 >>>

张衠,上海社会科学院信息研究所助理研究员,法学博士。研究方向:网络安全与数据保护法律政策研究。

(本文选自《信息安全与通信保密》2018年第十二期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。