另一类是尽管数据尚未跨越国界,但能够被第三国主体进行访问。例如,根据OECD以及联合国跨国公司中心等国际组织的定义,跨境数据流动是指跨越国界对存储于计算机中的机器可读的数据进行处理、存储与传输;而欧盟对此理解则大为不同,欧盟主张,尽管数据未必跨越国界,但如果能够被其他国家主体进行访问,也属于跨境数据流动的范畴。双边经贸协定的电子商务部分加入“数据自由流动”或“禁止数据本地化”等条款。中国在相关贸易谈判当中明确规定数据要本地化存储的,这样我们就给国际经贸谈判带来了很大的壁垒,比如和亚马逊、Google或一些欧盟公司被要求进行本地化存储,这实际面临涉及到很大的知识产权保护和隐私保护问题,这也是现在中美经贸谈判非常重要的博弈点,数据本地存储化的问题,服务器在本地的安全,包括中国的互联网公司,比如阿里、腾讯这些互联网公司,数据出境之后很多是回不来的,这不利于我们跨国公司,互联网公司在海外扩展他的业务,也带来了非常大的数据安全风险。
由此而来,跨境数据流动和数据主权引发很多国际化的问题,比如数据治理问题、责任分担问题、基础设施问题,冲突管理问题。刚才谈到的数据治理,因为即便不跨境也涉及到第三方访问,这样就涉及到国家数据主权如何让渡。而设计国家数据主权如何让渡就涉及到司法体系和长臂管辖问题,这在国际层面会引起更激烈的冲突。
第二是责任分担的问题,数据跨境流动问题涉及政府、相关企业、网络运营商、服务提供者,以及数据产生者、使用者等方方面面,必须对各自的安全责任有明晰的政策界定。
第三是数字基础设施问题。一国数据可能存放在别国网络中,一国基础设施可能同时服务于多个国家,高度的全球相互依赖性,确立实质性国家安全审查和对基础网络的常态化安全监管。现在美国和欧盟都针对现在的5G以及人工智能、新一代信息基础设施有非常严格的安全审查,这样大国博弈围绕数字基础设施也成为一个重要的着眼点。
最后是最后冲突管理问题。包括知识产权的保护、商业信息窃密、跨国金融欺诈、平台治理、企业数据合规、数字服务税等问题的国际政策协调合作,甚至涉意识形态等数字内容服务等之间的冲突,因此基于信任的政策协调至关重要。有可欧盟、美国、日本成立数字联盟,而中国是排斥在数字之外的经济体。如果中国的数字经济进入到欧盟、美国、日本,下一步涉及到非常重要的安全审查和数据合规的风险。
当前,全球数据跨境流动呈现出几个主要趋势特征:
趋势一:一些国家出于数据隐私保护、国家主权的完整性,以及国家安全利益等等公共政策目标,不同程度地对跨境数据流动加以政策或法律法规的限制。因此,无论在多边的WTO(世界贸易组织)、G20(二十国集团)框架内,还是在双边自由贸易协定中,当下的跨境数据流动无不呈现“有限”特征,“本地化”的诉求也从未消失。OECD开发了数字服务贸易限制性指数(Digital Services Trade Restrictiveness Index),总体而言,中国、印度尼西亚、南非、巴西、印度、俄罗斯等非OECD国家限制指数偏高,而瑞士、澳大利亚、美国、挪威等OECD国家限制指数偏低。
趋势二:对涉及国家安全利益的数据采取“灵活化”对策。鉴于个人数据与重要敏感数据涉及的风险和所需保护的法益各有不同,许多国家都在尝试分级分类监管的方法,通过灵活多样的监管模式,确立宽严不同的数据跨境流动管理政策。例如,法国规定政府管理、商业开发、税收数据需要本地存储;澳大利亚明确禁止与健康医疗相关的数据出境;美国不允许属于安全分类的数据存储在任何链接公共云数据中,特别是对公民敏感数据,美国的安全审查标准不低于欧盟。
趋势三:围绕数据主权与长臂管辖权博弈呈现 “加剧化态势”
美欧数据主权战略属于“进攻型”,通过“长臂管辖”扩张其跨境数据执法;而中国、俄罗斯等新兴经济体的数据主权战略以“防守型”,通过数据本地化解决数据治理与本地执法问题,因此 “长臂管辖”在允许跨越一国传统地域主权限制获取境外数据的同时,也加剧了与他国关于数据管辖权以及执法权之间的冲突。如2019年,美国颁布的《云法案》规定,无论数据是否存储在美国境内或境外都赋予美国政府调取存储于他国境内数据的法律权限。去年10月份,美英达成的跨境数据流动协议,举例来讲,如果华为数据存储于英国,但是因为美国和英国之间有跨境调取数据的协议,美国政府可以绕开英国政府来直接调取在英国的华为数据,这也就是说美国升级了“五眼联盟”,通过更加广泛和更加迁入到数据贸易协定当中的框架协议,在全球实施他的长臂管辖和数据执法权。
美国将数据安全审查作为对华遏制新手段。美国制定受控非秘信息(CUI)清单,界定“重要数据”范围,采取严格管控措。例如,2018年8月签署的《美国出口管制改革法案》就特别规定,出口管制不仅限于“硬件”出口,还包括“软件”,如,科学技术数据如传输到美国境外的服务器或数据出境,必须获得商务部产业与安全局(BIS)出口许可。
在外国投资审查方面,《外国投资风险审查现代化法》(FIRRMA)的一项关键内容在于扩大管辖权,对于涉及“关键技术”、“关键基础设施”、“关键或敏感数据”的美国企业做出的特定非控股外国投资,都被纳入安全审查范围。通过联邦通信委员会、联邦贸易委员会等职能机关集中加强对华企业的数据安全审查,并且推动各种隐私保护和数据安全规则和倡议出台,其中重点以对社交媒体、跨境电子商务、电子支付、人脸识别等为切入口对华数字企业实施新一轮制裁。
推进欧盟乃至全球的数字单一市场、引领国际数据流动和保护规则,是欧盟一直以来倡导的战略。为此,在欧盟内部,欧盟积极推动成员之间数据自由流动,力促单一数字市场战略的形成,即“内松”政策;
但与之相对,欧盟实施“外严”政策
一是对于欧盟境内数据向欧盟境外传输有着严格的管控,需要达成“充分性协议”,对于满足充分性认定的国家可获得充分性保护。
二是消除欧盟境内数据自由流动障碍,实施欧盟数字化单一市场战略,通过GDPR等颁布实施,消除成员国数据保护规则的差异性。
三是在遵守适当保障措施的条件下,提供多样化的个人数据跨境流动方式,如遵守约束性公司规则(BCRs)、标准数据保护条款等。
四是强化欧洲数据主权,推出“数字新政”。2019年,欧洲正式部署建设自己的网络云设施Gaia-X(“盖亚X”计划)旨在通过创建面向欧洲的、强大而有竞争力的、安全可靠的数据基础架构成为完全独立的“云替代方案”。2020年2月,欧盟委员会最新发布数字化战略,包括欧盟数字化总体规划、《欧洲数据战略》以及《人工智能白皮书》三个文本,即 “欧盟数字新政”。这实际是进一步强化欧盟在未来数字经济化发展的地位。因为欧盟不甘作为被边缘化的经济体,所以,在中美数字博弈竞争当中,欧盟是希望成为那个G3的,包括他和美国打围绕数字税在博弈,和中国打5G的博弈,实际都是在强化欧盟的数据主权。
总体而言,新兴经济体对跨境数据流动的限制性措施主要包括:
一是要求在跨国企业在本国开展业务或提供服务时须在本国境内建立数据中心;
二是对数据存储和服务器地址提出本地化要求。一些新兴经济体将跨国公司在境内建立数据中心作为市场进入的条件之一。越南2013年出台法律要求在越南境内的所有网络信息和服务提供者,如Google、Facebook等全球互联网公司在越南开展业务时须建立新的数据中心;2018年,巴西颁布《巴西通用数据保护法》(LGPD),规定对加工处理的个人数据须在巴西境内收集存储;印度政府要求公司须将部分信息基础设施和服务器存于境内,印度中央银行所有在印度的支付企业都要将数据强制性存储在印度本地,禁止支付数据出境;俄罗斯现行法律法规并未对个人数据出境作特别严格的限制,但要求数据首次存储须在俄罗斯境内服务器上,同时俄划定数据自由流动范围,通过《联邦数据保护法》承认加入“108号公约”的国家为个人数据提供了充分的保护。
全球来看尽管没有完全统一的框架,但在双边和驻边还是有数据跨境流动合作机制,比如与欧盟数据保护充分性协定为蓝本,安道尔、加拿大这些国家已经纳入到欧盟数据合作框架体系之内。除此之外,在APEC隐私保护协定之下有CBPR更多是由美国主导的,无论是欧洲主导的GDPR还是美国主导的CBPR,全球都在形成规则合围的态势,对中国这样的数字经济大国而言,我们在全球数字贸易规则几乎还是空白,或者还是后来者。一旦全球规则框架形成,我们在新一轮国际贸易谈判当中会陷入非常被动的局面,就有可能形成被美欧日形成规则合围的更加施压的态势。这对中国下一步的数字经济发展将会带来前所未有的打击,这在某种程度上可能会比中美贸易战所带来的影响要更加深远。
谢谢大家!
(此为在华夏新供给经济学研究院2020年第二季度宏观经济形势分析会上的发言)
上一篇::张超:医改的脉络回顾和改革方向