文 │ 清华大学人工智能国际治理研究院副院长 梁正 清华大学公共管理学院博士后 张栋 于洋
数据是重要的战略性资产,是构筑现代竞争优势的关键资源。在数据的采集、汇聚、存储、传输、使用、加工以及流转、共享、挖掘、分析、销毁、删除等过程中,都有可能发生信息不当泄露的情况,造成数据安全风险。数据安全事件会对个人隐私、经济发展、政治稳定和国家利益造成不同程度的损害。在数据出境的场景下,尤其容易出现境外主体不按授权使用、出境数据不受控制流转、遭受网络攻击或黑客入侵乃至间谍刺探情报等安全风险。数据出境安全治理受到世界各国和重要组织的广泛重视。
一、数据出境安全治理各国模式比较
数据出境流动对数字经济发展、构建数字红利收入分配体系非常重要。数字经济发展领先的国家通常鼓励数据自由流动,促进数据发挥经济效用;数字经济发展落后的国家在数字红利分配中获利偏低,认为无限制的自由流动会对国家安全和本国数字产业发展竞争力造成负面影响。从全球看,各大经济体的数据出境治理战略显著地呈现以发达国家为主的“自由流动”和以发展中国家为主的“本地限制”两大类型。各大经济体在不同的战略导向下选择使用属人、属地和保护、控制权等立法原则。发达国家以属人原则和控制延伸为主,实现数据领域的长臂管辖;发展中国家一般采取属地原则,以数据本地化实现数据安全和产业保护。从制度规则看,数据出境治理又主要有促进型、平衡型、本地化、统筹型四大模式。
美国采取的典型的“促进型”模式。美国处于全球数字经济领先地位,其战略旨在促进数据自由流动形成引流效应。美国通过属人保护和数据控制者等名义以国内立法建立境外执法权,以保护本国利益为由调取使用他国数据;通过影响国际组织规则、打造多边协议等利用强权为其提供获取境外数据的通道,拓展其网络空间疆土,掌握和控制全球数据使用,以便获取自身利益。
欧盟、英国、新加坡和日本等数字经济发展较为成熟的国家和地区采取不同特色的“平衡型”模式。“平衡型”模式的监管思路是,通过属人原则获取境内外高标准隐私保护,在此前提下支持数据跨境流动,以充分性认定、建立信任机制等方式维护数据立法话语权。
俄罗斯、印度、巴西、南非、土耳其、沙特等国家,因缺乏强有力的数据引流能力,放开管制可能导致数据大规模向发达经济体输出而削弱竞争力,因此,采取属地原则限制重要数据出境,形成优先考虑安全保护的“本地化”政策模式。
中国秉持兼顾发展和安全的“统筹型”模式,关注国家利益、公共安全与国际合作。中国国内数字立法明确提出了“促进数据开发利用与保障数据安全并重”“加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用”的政策宗旨。中国在数据出境国际规则构建中遵循促成多元共治的理念,兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与数据产业发展利益,并支持可以基于公共政策目标或者国家安全利益而采取相应的限制数据流动的本地化措施,实现与各国在独立自主层面上的合作与治理。
二、数据出境安全问题的国际治理经验
数据跨境流动涵盖数据主权、隐私与安全、法律适用及管辖权、竞争战略等复杂元素。世界各大经济体与重要国际组织经过不同的研究探索,形成了一些结合实践的代表性模式,可以为解决数据跨境安全相关问题提供治理经验。
(一)数据分类分级管理模式
对不同类型的数据出境采取不同的管理措施。一是重要的数据,禁止自由跨境流动。二是政府和公共部门的一般数据和相关行业技术数据,有条件地限制跨境流动。三是普通的个人数据,允许跨境流动,但要满足安全管理要求,并通过问责制、合同干预等不同形式进行管理。问责制是对数据控制者的数据安全管理责任做出规定,包括对数据主体的通知、对数字商资质审查和监督等。数据处理合同干预是政府对跨境数据处理合同中应当包含的安全管理内容进行规定,企业签订的数据处理合同如果包含格式条款,可不需经数据监管部门的具体核批即可实施跨境数据流动。
使用不同级别的数据出境限制措施。由于数字行业发展水平及数字贸易战略不同,各国对数据跨境流动的限制程度有所区别。一是国家干预程度不同。有的国家公权力不直接介入具体数据跨境活动,而是通过数据本地化立法的处理原则和权利义务界定间接束缚数据主体与数据控制者行为;也有的国家公权力会直接干涉数据出境情况。二是本地化存储的严格程度不同。有的国家只要求境内留存有数据副本;有的规定只能在境内存储和处理数据,但行为方可以在境外访问数据;有的要求数据的存储、处理和访问都只能在境内进行。三是数据本地化的豁免规定不同。有的国家需要数据主体同意;有的以境外接收方可以提供相同数据保护水平作为允许数据传输的特定情况。
(二)自由流动与安全保护平衡模式
发达经济体出数字经济优势地位与对个人隐私的重视,通常选择在鼓励促进数据自由流动同时对个人数据出境加强管辖保护。由于数字经济竞争力不同,各经济体的战略战术也各有特色。
美国采取“战略进攻”模式,构筑为其强权服务的数据同盟体系。一是通过政府拨款和“开放”政策,实现“开放和自由的互联网”。美国电信监管的公共政策选择排除对第三方内容的互联网中介责任,有助于为美国互联网公司的发展创造环境。二是严格管控与竞争力相关的数据,限制涉及重大科技及关键基础设施领域的数据转移,例如实施所谓的“清洁网络计划”等。三是借助“长臂管辖权”和情报网络,打破传统的“服务器”属地原则,实施“数据控制者”标准,使政府可跨境调取数据。四是将数据跨境政策与贸易政策深度捆绑,向全球推行美式数据流动方案,包括逐步弱化数据流动中的个人数据保护规则,逐步禁止国家利用公共政策目标实施数据本地化措施。
欧盟因产业竞争力不足采取“防守反击”模式,通过制度筑设谋求引领国际规则。欧盟《通用数据保护条例》(GDPR)对个人数据保护从“属地”向“属人”转变,大幅扩展了管辖范围;采取“用户授权+企业担责”模式,寻求个人数据保护权利与企业和政府的合法利益之间的适当平衡;通过“充分性认定”,确定数据跨境自由流动白名单国家,规定获得充分性认定的国家和地区可不经过数据主体授权接收欧盟个人数据。欧盟委员会每四年通过数据保护立法、监管机构运作、国际承诺和公约签订等维度对“充分性认定”的国家和地区进行评估;非白名单国家企业需要采用欧盟委员会批准的一系列标准数据保护条款(SCCs)或采取“有约束力的公司规则”(BCRs)并获得认证后,才能跨境传输数据。欧盟推行数字新政战略,部署欧洲公共数据空间等安全可靠的数据基础架构,试图创造世界最大的数据安全流动区。欧盟不断扩大数据立法的国际影响,全球数十个国家都效仿GDPR标准进行国内立法,形成更广范围的数据出境欧式标准。
新加坡建立以“相似保护”为基础的信任机制,以争取成为亚太地区数据中心。新加坡的《个人数据保护法案》(PDPA)规定,境外数据接收者应为所传输的个人数据提供与PDPA相称的保护标准,可以通过签订合同、制定公司规程、接收国数据保护立法等途径实现,并允许数据出境的其他法律理由,包括数据主体同意、履行合同义务必要、关乎生命健康的重大情形、公开的个人数据、数据中转等。
日本构建“基于信任”的自由数据流通机制(DFFT)。日本与欧盟和美国均达成了促进数据流动相关协议,建立互操作机制,参与构建了多个国际规则。日本国内立法以跨境数据流动政策灵活性为主导;数据出境限制性条件较少,只对涉及国家安全的敏感或关键数据进行监管;要求涉及国家安全的数据必须实现本地化存储,但对其他数据不做格外限制;设立“个人信息保护委员会”(PIPC)作为独立的第三方监管机构,制定向境外传输数据的规则和指南。
(三)本地化限制模式
以美国科技巨头滥用数据为代表的恶性事件经常发生,导致数据本地保护主义逆全球化发展。数据本地化是指国家出于各种目的采取的旨在对数据施加控制的措施,这些措施使数据的流动逐渐限制在本国内部,其限制程度从弱到强依次为:一是本地数据镜像,允许数据副本出境,但在本国或本区域内必须存有数据副本。二是数据本地存储,特定情况下允许在境外对数据进行处理,但处理后的数据也必须存储在本地。三是基于许可制的数据出境,法律要求数据出境传输需获得预先批准或明确同意或符合标准体系,违者面临罚款;相关任意执法的不确定性会给公司带来无法估量的风险。四是“数据本地存储+数据本地处理”,不允许数据受到境外接触。五是“数据本地存储+数据本地处理+数据本地管理”的歧视性政策,将外国公司完全排除在管理和处理本地数据之外。
三、数据出境安全治理国际经验及对我国的借鉴
在国际数字经济格局博弈与规则确立的关键时期,数据合作与竞争共存、机遇与风险兼具。我国数据出境流动制度应当保护私人和公共利益,维护数据主权与国家安全,服务我国在全球的数字治理影响力提升。我国需要遵循数字经济发展规律,借鉴国际经验平衡数据开放共享与数据安全监管,采用恰当的措施支持数据便捷流动并发挥其对经济增长、社会发展、全球化进程的作用。
(一)高度统筹发展与安全
要平衡好数据安全和经济发展之间的关系,明确数据自由流动的价值,积极应对数字经济安全挑战,做好数据出境安全治理。一是充分看到发展是最重要的安全。数据出境政策举措应首先注重提升我国数字经济的市场竞争力、行业影响力与产业控制力。二是发展是人类共同目标与挑战。中国有责任和担当引领全球数字经济合作,为人类命运共同体建设做出贡献。三是在保障基本安全的前提下实施监管。尽最大可能减小重要数据出境限制对发展生产力的不利影响,兼顾我国对数据开放和数据安全的利益诉求。
(二)完善数据出境管理规则
我国现行跨境数据流动管理体系总体上以国家安全和执法便利需要为主,对促进数字企业全球化发展、扩大数字服务贸易等考虑不足。应当完善数据跨境流动规则,形成配套的实施细则,优化实践操作模式,构建以政府为主体的“自上而下”的数据安全监督和管理制度。
一是优化数据分级分类管理。明确政府部门、掌握数据资源的企业及组织、数据服务机构等各方的数据分级安全管理主体责任;根据各行业数据资源特点分业制定数据分类分级安全管理规则;编制适合数字经济新产业、新形态、新应用模式的分类分级标准;就“敏感数据”“重要数据”“核心数据”的边界区分及相应保护制度、数据规范管理措施做出规定。例如,对重要数据的标识、备案以及限制传播措施要求进行完善,对科研数据、商业数据、政府数据与公共数据、个人数据的界定和判断给出可参照的操作指南等。
二是建立数据产权及流转规则。数据价值是经算法收集、加工、处理后形成的数据集合带来的经济和社会效用。结合数据资源要素、算法加工要素构建数据产权与流转制度,形成完善的数据权属认定、存储、转让、使用、保护等规则,健全信息授权许可、数据IP保护等制度,以完善的制度规则支持数据跨境管理、利用与价值发挥。
(三)融入与推动构建数据跨境流动国际治理体系
数据跨境流动关乎国家利益、产业利益、风险控制的动态平衡,既需要尊重各国数据主权,也需要建立彼此的共同规则。我国需要面向成为全球数据中心的战略目标支持数据跨境流动以建设开放的经济体系,在国际合作中推广数字规则的“中国方案”。一是以《全球数据安全倡议》为基础,围绕数据本地化、隐私安全、跨境执法协调等关键事项提出解决方案,平衡公共安全、产业发展、个人信息权益等诉求。二是调整部分国内立法与对外高水平谈判需要相衔接,健全涉及多部门协调配合的跨境数据流动监管体系。三是主动参与跨境数据流动全球规则构建,推动国内数据市场标准国际化,为我国跨境数据流动规则主张增容扩圈。四是通过国际公约、区域合作等建立多轨信息安全合作机制,建设信息基础设施与合作管理规则,为企业指明对内合规、双向合规和未来全球合规的发展路径。
(四)优化数据出境安全的技术治理
在数据安全保障方法中,更有效的是在数据存储、访问、使用等过程中采用良好的技术治理,实现数据控制、信息保护以及价值链控制。一是强化数据安全的技术建设。加快大数据管理系统和工具软件的研发,加大对国际海底光缆、国际互联网数据交互点等数据基础设施的建设,提升数据设施安全能力。二是开展数据安全算法开发与应用。围绕数据存储载体、传输介质、处理终端提供数据安全解决方案,在数据处理活动与业务应用系统中使用数据安全动态保护与远程控制等技术,如漏洞挖掘、入侵检测以及区块链、安全多方计算、同态加密等方法实现终端安全、内容安全、业务安全,保障对重要敏感数据精准控制。三是加强数据安全管理举措、优化建设信息安全能力。通过合规培训、引入数据安全专业服务等方式使企业安全掌控数据跨境运用。各国政府、国际组织、信息技术企业、技术社群、民间机构和公民个人应秉持共商共建共享理念,齐心协力促进保障数据安全。
(本文刊登于《中国信息安全》杂志2022年第3期)