X

“新石油”开发记④:数据跨境,鼓励流动无法以让渡安全为代价

作 者丨张雅婷

编 辑丨吴立洋

编者按:已然来临的数字时代,数据是核心驱动要素。围绕数据的开发利用,一场新的生产与认知革命正在展开。想要了解这个时代,必须要先认识数据。南方财经全媒体·21世纪经济报道策划了数据要素市场系列报道,以期为行业和社会公众提供理解数据的敲门砖。

一场数据全球化的运动正在进行时。

不仅是企业竞争力的核心,数据更成为国家安全和国际话语权的基础。数据跨境也逐渐演化成为一个多维度议题,拥有政治、经济、外交、技术等多重属性,涵盖数万亿数字经济规模。

像应对气候变化问题一样,全球正探索建立数据跨境流动的治理框架和机制。我国在国家层面目前已初步建立跨境数据流动规则体系,配套法规政策及行业规范逐步完善——鼓励数据的跨境流动无法以让渡安全利益为代价。

站在数据要素市场化发展的新起点上,不少地市已先行先试探索跨境数据的安全有序流动,将成为未来驱动数字经济发展的战略性机遇。

新一轮国际竞争力

我国作为全球数据资源大国,从2017年到2021年,数据产量从2.3ZB增长至6.6ZB,位居世界第二。大数据产业规模快速增长,从2017年的4700亿元增长至2021年的1.3万亿元,数据资源价值加快释放。

当数据成为社会经济和生活中的关键生产要素,数字空间国际竞合也进入到新阶段,以数据治理能力为核心的国家创新力和竞争力正在成为世界各国新一轮竞争焦点,数字领域规则与核心技术生态体系的竞争日趋激烈。

纵观全球数字经济发展,在人工智能、区块链、大数据等新技术迭代更新迅猛发展的同时,无人驾驶、共享经济等新业态竞相涌现,使得全球数据海量聚集呈爆发式增长,数据流增速超过全球贸易流、商品流和资金流,推动数据跨境流通治理工作,提出应对之策,对加快推动数据要素市场发展意义重大。

另一方面,数据安全在经济全球化的国际背景下面临严峻挑战,跨境数据的安全则是挑战中的复杂一环。上海社会科学院互联网研究中心主任惠志斌曾向21世纪经济报道记者提到,我国已在立法层面加紧研究数据跨境的安全办法,当前对数据跨境活动的管理有两个方向的需求,一是防控风险,二是鼓励数据跨境流动。

尽管各国都意识到数据流动的重要性,但国际上目前也难以形成统一的跨境数据流动规制规则。基于对经济发展、国家安全、公民隐私保护等多方面的考虑,各国采取了不同的数据跨境流通政策主张。

欧盟与美国采用的规则便各有侧重,一方强调的是事前防御,一方则是事后监管。粤港澳大湾区大数据研究院总规划师王新玉向记者分析,欧盟将个人隐私保护视为开展跨境数据流动的前提条件,并将构建法律规制体系作为保护个人隐私必不可少的手段,采用的是“以地理区域为基准、充分保护为前提”的事前防御规制模式。

美国则将数字经济发展置于首位,致力于确保跨境数据自由、高效流动,以充分释放数据流动的经济效能,采用“以国籍管辖为基准、问责制为前提”的事后监管规制模式,通过行业自律的方式要求企业保障个人数据传输的安全性。

关键词:安全

从我国跨境数据流动的现有规则来看,2017年之前,对金融、征信、人口健康、互联网地图、网约车等特定领域的数据出境,通过行政法规、部门规章和规范性文件等进行了规范。2017年之后发布的《网络安全法》《数据安全法》《个人信息保护法》,从法律法规层面制定的数据出境管理制度。

“安全”一词贯穿始终。2020年,我国发起《全球数据安全倡议》,倡导安全共享,更就推进全球数据安全治理提出了中国方案。

“我国呈现出‘分散立法’与‘专门规定’相结合的跨境数据流动制度框架,体现了‘禁止流动为原则、允许流动为例外’的制度特点,在跨境数据流动属性方面,我国主要基于‘属地原则’。”王新玉说。

对于企业合规,我国数据跨境政策坚持维护国家安全、公共利益和个人信息权益。从安全监管角度出发,竞天公诚律师事务所合伙人周杨列举,由三个方面立体考察数据跨境的合规性——分别是数据处理者身份,即是否为关键信息基础设施运营者;数据类型,即是否为重要数据或个人信息;数据处理活动类型,即是否涉及国家安全。

从支持经济发展的角度而言,国家为个人信息的跨境提供了除数据安全评估之外的其他可行路径,但也必须符合两组合规要件。第一组为满足网信部门的合规控制条件,即出境安全评估、认证和标准合同三大合规路径;第二组为出境方自身需要完成的企业自主合规条件。

“包括保障境外接收方处理个人信息达到《个人信息保护法》标准,按照法定要求告知个人信息主体并取得其单独同意,完成个人信息保护影响评估等。”周杨提到,两组必要条件均需要满足,否则企业无法完成个人信息出境合规工作。

总体而言,数据跨境政策在涉及国家安全方面采取事前许可的趋严管理策略,支持经济活动方面采取相对宽松的事后监管尺度。

“不过,对比其他国家的个人信息流动政策可知,我国《个人信息保护法》对于个人信息监管仍属于较为严格的类型。”周杨表示,并不像日本或新加坡一样,承认个人信息主体的同意可以作为个人信息跨境的单一合法理由。

由于《数据出境安全评估办法》的实施,处理个人信息达到一定量级的企业在出境较小数额的个人信息时也同样需要经过评估,这让一些企业承担着高规格的合规义务。例如,某跨国企业由于处理用户数据达到了100万因而需要履行数据出境安全评估义务,但实际上企业只需要出境数百条员工数据至境外母公司,并不需要出境任何客户数据。

先行先试

当前,国家层面已经初步建立跨境数据流动规则体系,但在落实执行方面仍然欠缺具体操作指引,未来需要进一步强化数据跨境流通制度建设,以突破数据要素市场培育发展的关键瓶颈。

王新玉认为,下一步应当建立健全数据分级分类管理、数据目录管理、出境数据评估和管理办法等基本制度,并通过在一些地区先行先试,探索数据跨境流动的管理机制。

事实上,各地已初步布局数据跨境的试点工作。2020年8月,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,提出北京、天津、上海、广州、深圳等28个省市区开展数据跨境传输安全管理试点,明确要求支持试点开展数据跨境流动安全评估。

根据北京、上海、浙江、海南等地的自贸试验区方案,以及上海、重庆等地的数据条例,多地均对数据跨境流动进行创新探索。例如,北京提出数据产品跨境交易模式,设立了北京国家大数据交易所;上海首提在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动;与澳门仅一水之隔的横琴,去年则被赋予了“促进国际互联网数据跨境安全有序流动”的责任。

“上海临港新片区率先探索制定低风险跨境流动数据目录,实际上是设定好风险范围,让低风险范围内的跨境数据更加自由地流动,便利数据的安全评估流程。”惠志斌说,一方面是压力测试,一旦发现问题也处于可控范围,并能积累经验为完善跨境数据安全流动制度提供指引;另一方面,也为其他省市的跨境数据管理有启示,起到示范性作用。

基于各地政策的支持,数据跨境流通技术能力也逐步强化,筑牢数据要素市场安全底座。

联易融隐私计算技术负责人陈曦向记者介绍,根据跨境业务场景和流通数据的种类,用于数据跨境合规方面的技术主要有以下几类:文件加密技术,用以解决非敏感跨境数据安全传输问题;数据脱敏技术,用以解决低敏感工业数据的跨境使用问题;隐私计算技术,用以解决敏感数据限制跨境流通的问题;区块链技术,利用存证溯源用以解决隐私信息跨境流转的问题;传统的访问控制和身份认证技术,用以解决跨境数据合规使用控制的问题。

依托数据交易所开展跨境数据业务,建设离岸数据交易平台,在金融、科研、物流等重点行业数据跨境流通机制试点,也将成为未来的主要发展方向。

王新玉建议,数据交易所应积极参与数据流动、数据安全、数字货币、数字经济税收等国际规则和数字技术标准制定,聚焦跨境电商、跨境支付、供应链管理等典型应用场景,利用人工智能、区块链等技术探索建立数据“可用不可见”跨境流通环境。同时,以国际互联网转接等核心业态,带动发展数字贸易、离岸数据服务外包、互联网创新孵化等关联业态,汇聚国际数据资源。

E N D

本期编辑 黎雨桐 实习生 吴梓楹