当前,世界各国都在加紧构建数据跨境流动政策制度体系,但在跨境数据流动规则方面仍未达成共识,跨境数据流动的国际协调和国内监管也面临新局面与新挑战。在此背景下,我国亟须进一步统筹发展与安全,加快构建中国特色跨境数据流动规则体系。
数据是国家基础战略性资源和重要生产要素,现已成为改变全球竞争格局的重要力量之一。当前,世界各国都在加紧构建数据跨境流动政策制度体系,但在跨境数据流动规则方面仍未达成共识,跨境数据流动的国际协调和国内监管也面临新局面与新挑战。在此背景下,我国亟须进一步统筹发展与安全,加快构建中国特色跨境数据流动规则体系。
世界各国加强跨境数据流动规制
当前,跨境数据流动的重要性日趋凸显,越来越多的国家和国际组织围绕数据治理问题进行整体部署,强化对跨境数据流动和数据主权的掌控,主要表现在以下几个方面。
第一,美欧等发达国家在限制数据出境基础上加强跨境执法,但数据治理观念出现分歧。一方面,美国打造符合自身利益的跨境数据流动规则体系,力图建立以其为中心的国际数字生态系统。为了防止行业恶性竞争、隐私泄露和国家安全受到威胁等,美国反对科技巨头互联网平台“双重垄断”,对涉及国防和国家安全的数据采取限制性措施。同时,凭借已有技术经济和数据市场优势,对全球数据实施基于“自由秩序”、国家利益的“长臂管辖”。例如,2018年3月,美国政府颁布《澄清境外合法使用数据法》(以下简称“云法案”),简化美国政府跨境调取数据流程,进一步强化了“谁拥有数据谁就拥有数据控制权”的理念。另一方面,欧盟倾向在保持高度隐私、安全和道德标准前提下,推动单一数据市场的构建。欧盟颁布《通用数据保护条例》《关于非个人数据自由流通的规定》以及一揽子数据战略,加强成员国之间的数据共享,平衡数据的流通与使用,以打造欧洲共同数据空间。显然,美国和欧盟之间关于跨境数据流动的立场存在分歧。
第二,新兴国家基于维护国家安全考虑,纷纷开始布局数据本地化政策体系。面对激烈的数据竞争环境,新兴国家通过强化数据本地化策略,即守住自有数据控制权来满足自身安全需求。对跨境数据流动的限制性措施主要包括:要求跨国企业在本国开展业务或提供服务时需在本国境内建立数据中心;对数据存储和服务器地址提出本地化要求。例如,我国《网络安全法》提出,关键信息基础设施在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储;俄罗斯数据本地化立法主要侧重于实施数据镜像政策,要求数据可以在境外传输和处理,但必须在本国境内的服务器上储存和处理公民的个人信息;印度逐步推进数据本地化政策,要求建立数据中心,强制金融数据本地化存储。
第三,国际组织致力于减少跨境数据流动障碍,构建和谐数据生态。近年来,面对快速发展的数字化转型态势,各国际组织更加重视互联互通、聚焦数据价值释放。2019年1月,76个国际贸易组织(WTO)成员国共同签署《关于电子商务的联合声明》,确认将在WTO现有协定框架基础上,开展电子商务多边谈判。2021年8月召开的G20数字经济部长会议以及同年9月召开的联合国大会,都将数据治理和数据流通作为重点议题之一,各国强烈呼吁国际社会加强数据互联互通,弥合数据流通分歧。2021年10月,七国集团(G7)贸易部长会议发表关于数字贸易的宣言,提出了可信数据流动的若干原则,不但拓宽了跨境数据流动的涵义和监管适用范围,还就管理跨境数据使用和数字贸易原则达成一致。
我国跨境数据流动制度有待完善
近年来,我国跨境数据流动治理框架日益形成,有关跨境数据流动的法规标准持续出台。2016年公布的《中华人民共和国网络安全法》,形成了“本地储存,出境评估”制度。2017年发布的《个人信息和重要数据出境安全评估办法》(征求意见稿)细化了跨境数据流动安全评估操作流程。2020年公布的《中华人民共和国数据安全法(草案)》更加强调了参与国际相关规则的制定,以及与其他国家或地区规则体系的衔接。2021年公布的《数据出境安全评估办法(征求意见稿)》,则为我国跨境数据流通提供了重要的配套落地规则。可以说,我国的跨境数据流通规则体系正在不断完善。虽然如此,但其仍有进一步提高的空间。
第一,作为新兴国家中的数据大国,我国尽管在数据跨境方面制定了《数据安全法(草案)》,明确了数据治理的基准和原则,但相较于美欧推进的全面数据战略和顶层设计,我国跨境数据流动规则体系建设还存在差距。
第二,基于“属地原则”的“数据本地化”政策,虽然最大限度地保障了国家安全、公共安全和个人隐私安全,但同时也对我国通过协议打通与美欧日的数据传输通道形成了障碍,存在被发达国家“数字同盟圈”边缘化的风险。
第三,美欧等网络技术成熟的发达国家凭借技术优势垄断网络规则制定权,推行体现本国价值理念的数据治理主张,对我国的竞争态势和打压力道持续增强。针对上述情况,我国制度与立法还未做出有效回应,对企业数据虽有规定但可操作性和实践指导性尚待加强。
建立发展与安全相协调的跨境数据流动规则体系
在统筹好发展与安全关系的基础上,我国需要尽快提出和推广跨境数据流动规则的“中国方案”,切实发挥数据支撑经济社会发展的重要作用。具体而言,应从以下几个方面着手。
第一,加强规制顶层设计,提高跨境数据流动规则体系的系统性。要加强顶层设计,成立专门的数据保护监管机构,明确跨境数据流动规则体系的主导思想和总体安排。在完善相关立法的基础上,出台专门的顶层设计文件,统筹国内数据治理与跨境数据流动的关系,协调跨境数据流动中安全与发展之间的关系。坚持尊重国家数据主权主张,探索建立安全有效的数据存储体系,完善本地化存储之外的数据保护措施,通过技术创新和机制设计实现数据的安全存储和自由流动,为建立与国际接轨的跨境数据流动体系奠定基础。
第二,融入国际数据治理,主动参与国际数据规则议题谈判和国际协议制定。在数据安全可控的前提下,我国需要更为主动地参与国际数据规则议题谈判。将数据跨境流动纳入双、多边贸易投资谈判内容,加强与欧盟、英国、日韩之间的规制协调,抓住《区域全面经济伙伴关系协定》达成契机,积极与欧洲和亚太地区重要贸易伙伴国达成数据流动认证协定,促进数据合法有序流动。根据域外相关国家和地区的数据保护情况及对等原则,建立动态“跨境数据流动白名单”机制,根据产业类别将部分国家和地区纳入可自由接收数据的目的地清单。
第三,加强国际合作,构建中国特色全球跨境数据流动规则体系。全球数字经济迫切需要新的合作机制和规则来保护数字贸易和数据自由流动,我国应加快构建中国特色全球跨境数据流动规则体系。加强与新兴国家之间的科技合作,利用多边机制的召集力和广泛影响力,达成相关协议。着力推进“一带一路”合作框架下数据流动协议与标准的制定,构建数字空间命运共同体,推动全球跨境数据流动规制形成新局面。
(作者单位:中国科学技术发展战略研究院)