文│商务部国际贸易经济合作研究院 徐德顺
数字经济时代中国政府重视跨境数据流动安全制度建设。到目前为止,中国跨境数据流动治理体系的基本框架已经形成。美国、欧盟、英国、新加坡等国家和地区较早探索跨境数据流动治理,在这方面积累了丰富的经验,我国应取其所长,加强与其他主要经济体在这一领域的合作,在实践中不断完善我国跨境数据流动治理体系。未来,我国应恪守“数据主权”利益,积极推进双诸边跨境数据流动合作,积极推动世界贸易组织(WTO)制定跨境数据流动规则,为共同构建和平、安全、开放、合作、有序的网络空间命运共同体贡献中国智慧。
一、中国跨境数据流动治理体系基本框架形成
自从有了政府间经济往来、国际贸易和国际结算,跨境数据流动就产生了。伴随第四次工业革命浪潮和信息网络科技进步,全球跨境电商、数字贸易、数字经济得以迅猛发展,跨境数据流动及其制度安排日益受到世界主要经济体关注与重视。
中国政府重视跨境数据流动安全制度建设。中国政府自 1990 年以来抓住了数字经济时代发展机遇,大力发展电子商务和跨境电商业务。自 2005年始,中国政府着手探索国际电子商务交流合作与跨境数据流动制度建设。2005 年,《国务院办公厅关于加快电子商务发展的若干意见》明确提出,要“积极参加有关电子商务的国际组织,参与国际电子商务重要规则、条约与示范法的研究和制定工作”。中国注重跨境贸易、投资、金融等交易过程中的数据保护,多次在区域贸易协定(RTA)中明确保障数据安全的立场,如 2015 年在与澳大利亚签订的 RTA 中规定缔约方应采取必要措施,保护用户的个人信息。中国重视跨境数据流动规则的探索,积极推动在区域全面经济伙伴关系协定(RCEP)等 RTA 中纳入有关跨境数据流动的规则,不断构建符合包括自身利益在内的数据治理体系。
中国跨境数据流动制度体系基本框架逐步完善。党的十八大以来,习近平总书记高度重视数字经济工作。2021 年 10 月,习近平总书记在中共中央政治局第三十四次集体学习时强调,把握数字经济发展趋势和规律,推动我国数字经济健康发展。中国政府紧跟信息数字时代发展新趋势与发达国家步伐,对标国际标准,从中国实情出发,先后出台了《网络安全法》(2017 年)、《电子商务法》(2018)、《数据安全法》(2021 年)、《个人信息保护法》(2021 年),积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动形成符合电子商务特点的协同管理体系,明确关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理,促进个人信息保护方面的国际交流与合作、推动与其他国家(地区)和国际组织之间的个人信息保护规则标准等互认。2020 年 9 月,中国政府提出了《全球数据安全倡议》的八点主张,呼吁各国秉持发展和安全并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系。菲律宾外长洛钦代表东盟表示,中国提出的《全球数据安全倡议》反映了各国共同关切,东盟愿同中方加强全球数字治理、网络安全合作。中国还将陆续出台《数据出境安全评估办法》和《网络数据安全管理条例》等,规范数据出境活动和网络数据处理活动。中国跨境数据流动制度体系初成框架,重要数据存储、跨境电子商务业务、政务数据安全开放、个人信息处理、数据出境安全评估、数据跨境安全管理等都将有法有规可依。
二、中国跨境数据流动治理体系应借鉴他国有益经验
WTO 框架下于 1995 年生效的服务贸易总协定(GATS),已包含跨境数据流动的原则要求。自 2011 年以来,WTO 成员方陆续提交议案支持跨境数据流动。美国、欧盟、英国、新加坡等在跨境数据流动治理方面积累了一些有益经验,值得借鉴。
美国将数据治理提升到国家战略高度,并重视与欧盟合作。美国是较早进行数据治理的国家。为促进国内有效且适当地使用与监管数据,充分挖掘数据的价值,2019 年 6 月,美国联邦政府启动《联邦数据战略》(FDS),计划在未来十年内,通过制定年度行动计划的方式,加快在执行任务、服务民众及管理资源中使用数据,将数据治理提升到战略高度。在 FDS 施行第二年的 2021年,美国制定了包括加强数据治理、开放机构数据等 11 项行动安排。美国为扩大自身国际影响力,促进其数据战略的实施,加强与其盟友在跨境数据流动领域的制度交流。2021 年 6 月,美欧共同成立美国—欧盟贸易和技术委员会(TTC),重点协调应对美欧跨境数据流动规则问题。2021年 9 月,TTC 首次会议在美国召开。会后,美国和欧盟发表联合声明,共同推动数字化转型,在全球范围设定高标准,保护社会不受信息操纵和干扰,促进安全和可持续的国际数字连接。这是继 2000 年《信息安全港框架协议》(Safe HarborFramework)及 2016 年《隐私盾协议》(PrivacyShield)后,美欧在跨境数据流动治理领域的又一合作。值得注意的是,在美国国家情报总监办公室发布的《2021 年度威胁评估报告》(2021Annual Threat Assessment)中,美国将中国视为网络安全领域的主要竞争对手。
欧盟延续在跨境数据流动领域的严格保护措施,对美国既有提防又有合作。欧盟奉行被认为是当今世界对个人数据保护水平最高的《通用数据保护条例》(GDPR)。根据 GDPR,在合同中纳入确保数据得到充分保护的条款后,欧盟方可向第三国进行数据传输。欧盟委员会已“预先批准”标准合同条款(SCCs)中包含合同范本条款。2021 年 6 月,欧盟委员会根据 GDPR 发布了更具现代化的标准合同条款,用于从欧盟(或其他受GDPR 约束)的控制器或处理器向欧盟以外(不受GDPR 约束)的控制器或处理器传输数据,并规定自 2021 年 9 月 27 日起,不能再签订包含旧版SCCs 的合同。SCCs 的推陈出新反映了欧盟对数据保护措施的不断调整。欧盟实行严格的跨境数据保护措施还有个重要原因,就是防止美国数字巨头垄断欧洲市场。与此同时,欧盟也积极寻求与美国合作。为了防止数据传输限制成为抑制美欧跨大西洋贸易的壁垒,美欧试图搁置在跨境数据流动领域的分歧,寻找两个经济体的共同利益点。
英国的数据保护法案旨在维持可信、推动未来贸易发展和确保安全,并在跨境数据流动领域和欧盟达成谅解。2018 年 5 月,英国正式通过《数据保护法案》(DPA)。该法案更大程度地赋予了个人对数据控制的权利,在强化原有“知情—同意”“数据获取权”等个人数据权利基础上,新增加了数据可携权(允许消费者在不同服务提供者之间转移自己的数据)、被遗忘权(个人有权要求擦除其个人数据),以及用户画像(个人对基于社交平台自动处理其数据而做出的决定行为有更大的发言权)的规定。该法案完善了数字经济时代对企业利益的保护,增加了对个人数据保护机构信息专员办公室(ICO)的授权以维护消费者利益,并为刑事司法机构设定了专门的数据保护框架。另外,DPA 法案基本吸纳了欧盟GDPR 中新增的内容,大幅提高了违法行为的罚款额度,从而与欧盟规定接轨。英国脱欧后,英国与欧盟达成临时性解决方案,以保持数据的跨境流动。2021 年 6 月,欧盟委员会通过了关于英国数据保护充分性认定的“两项意见”,同时,欧盟加入了“日落条款”(Sunset Clause),即这些决定将在生效四年后失效。欧盟还表示,如果在此期间英国在数据标准上与欧盟存在重大分歧,它可能会进行干预。
新加坡在跨境数据流动治理国际舞台上频频亮相,积极寻求国际规则制定话语权。新加坡积极尝试跨境数据流动治理方案,于 2018 年加入《全面与进步跨太平洋伙伴关系协定》(CPTPP),成为 CPTPP 最初的 11 个成员国之一。CPTPP 第14 章(电子商务)对通过电子方式的跨境信息传输和计算设施的位置做出了专门规定。新加坡与澳大利亚的数字经济协定也已于 2020 年 12 月生效,协定内容包含跨境数据自由传输、源代码保护、数据存储非强制本地化等规则。2021 年 6 月,新加坡与英国开展数字经济协定(UKSDEA)的谈判。谈判的核心议题包括跨境数据流动和数据保护,该协定将成为第一个亚洲与欧洲国家之间的此类协议。
三、中国应在实践中不断完善跨境数据流动治理体系
在跨境数据流动治理领域,中国已经构筑了安全有效的基本框架。中国应继续加强与其他主要经济体的国际规则合作,在实践中不断完善自身的治理体系,推动 WTO 进一步提升规制跨境数据流动治理的水平。
恪守“数据主权”利益。随着跨境数据流动的全球博弈愈演愈烈,美欧等西方国家和地区都在推行有利于自身发展的跨境数据流动治理规则,并有抱团发展之势。中国应恪守“数据主权”利益,在实践中不断完善跨境数据流动制度体系。在跨境数据流动治理过程中,要统筹妥善好发展与安全两者之间的关系,努力寻求最佳均衡点,既要释放跨境数据流动的新动能,促进跨境数据自由有序规范流动,以创造更多的经济价值和社会价值;又要进行恰当的跨境数据流动管控,纠正全球数据价值链的收益错配,避免失序的跨境数据流动加剧世界发展格局的不平等性。
寻机与其他主要经济体加强跨境数据流动规则合作。中国应加强与美国、欧盟、英国和新加坡等国家和地区的对话与合作,共同探讨跨境数据流动的技术中性原则,研究网络跨境数据流动规则的边境管控,以及有关数据出口的责任问题。跨境数据流动规则本质上是服务于国际贸易与国际经济合作的,中国不应寻求与其他主要经济体在这一领域相关规则的对抗,而应在遵循中方核心利益的前提下谋求合作共赢,可适时调整中国跨境数据流动治理规则,促进国内规则与国际规则的接轨,尤其是在个人信息保护、数据安全等国际焦点问题上加强国内外规则衔接。
积极开展双诸边跨境数据流动合作。中国政府应继续加强双边、诸边和与周边国家的国际经贸合作,积极参与 CPTPP 谈判,加强与重要贸易伙伴在跨境数据流动治理领域的合作,打通与主要贸易伙伴的跨境数据传输渠道,推进区域跨境数据安全有序自由流动。中国可以 RCEP 协定生效为契机,将跨境数据流动规则条款纳入更多区域贸易协定之中。中国还可以 2021 年申请加入的《数字经济伙伴关系协定》(DEPA)为新起点,进行跨境数据流动的高水平合作。
积极推动 WTO 制定跨境数据流动规则。中国作为负责任的大国,应推动 WTO 在数字化时代更多发挥作用。一是 WTO 成员方应尽早形成共识,改变目前跨境数据流动规制碎片化的格局,开放维护数据资源,促进数字贸易进一步增长,促进新冠肺炎疫情期间世界经济的复苏与发展。二是坚持与时俱进、求同存异的原则,在关税及贸易总协定(GATT)、服务贸易总协定(GATS)、与贸易有关的知识产权协定(TRIPS)、信息技术协定(ITA)等协定为世界贸易经济发展提供制度性保障基础上,推动 WTO 更好地规制跨境数据流动,寻找全球最大“公约数”,为全球贸易投资经济的通畅、可预测做出更大贡献。三是中国可提出《全球数据安全倡议》的升级版,为促进数据流动、保护数据安全、共享执法需要的跨境数据、弥合数字鸿沟,为共同构建和平、安全、开放、合作、有序的网络空间命运共同体贡献中国智慧。
(本文刊登于《中国信息安全》杂志2022年第3期)