文│商務部國際貿易經濟合作研究院 徐德順
數字經濟時代中國政府重視跨境數據流動安全制度建設。到目前爲止,中國跨境數據流動治理體系的基本框架已經形成。美國、歐盟、英國、新加坡等國家和地區較早探索跨境數據流動治理,在這方面積累了豐富的經驗,我國應取其所長,加強與其他主要經濟體在這一領域的合作,在實踐中不斷完善我國跨境數據流動治理體系。未來,我國應恪守“數據主權”利益,積極推進雙諸邊跨境數據流動合作,積極推動世界貿易組織(WTO)制定跨境數據流動規則,爲共同構建和平、安全、開放、合作、有序的網絡空間命運共同體貢獻中國智慧。
一、中國跨境數據流動治理體系基本框架形成
自從有了政府間經濟往來、國際貿易和國際結算,跨境數據流動就産生了。伴隨第四次工業革命浪潮和信息網絡科技進步,全球跨境電商、數字貿易、數字經濟得以迅猛發展,跨境數據流動及其制度安排日益受到世界主要經濟體關注與重視。
中國政府重視跨境數據流動安全制度建設。中國政府自 1990 年以來抓住了數字經濟時代發展機遇,大力發展電子商務和跨境電商業務。自 2005年始,中國政府著手探索國際電子商務交流合作與跨境數據流動制度建設。2005 年,《國務院辦公廳關于加快電子商務發展的若幹意見》明確提出,要“積極參加有關電子商務的國際組織,參與國際電子商務重要規則、條約與示範法的研究和制定工作”。中國注重跨境貿易、投資、金融等交易過程中的數據保護,多次在區域貿易協定(RTA)中明確保障數據安全的立場,如 2015 年在與澳大利亞簽訂的 RTA 中規定締約方應采取必要措施,保護用戶的個人信息。中國重視跨境數據流動規則的探索,積極推動在區域全面經濟夥伴關系協定(RCEP)等 RTA 中納入有關跨境數據流動的規則,不斷構建符合包括自身利益在內的數據治理體系。
中國跨境數據流動制度體系基本框架逐步完善。黨的十八大以來,習近平總書記高度重視數字經濟工作。2021 年 10 月,習近平總書記在中共中央政治局第三十四次集體學習時強調,把握數字經濟發展趨勢和規律,推動我國數字經濟健康發展。中國政府緊跟信息數字時代發展新趨勢與發達國家步伐,對標國際標准,從中國實情出發,先後出台了《網絡安全法》(2017 年)、《電子商務法》(2018)、《數據安全法》(2021 年)、《個人信息保護法》(2021 年),積極開展網絡空間治理、網絡技術研發和標准制定、打擊網絡違法犯罪等方面的國際交流與合作,推動形成符合電子商務特點的協同管理體系,明確關鍵信息基礎設施的運營者在境內運營中收集和産生的重要數據的出境安全管理,促進個人信息保護方面的國際交流與合作、推動與其他國家(地區)和國際組織之間的個人信息保護規則標准等互認。2020 年 9 月,中國政府提出了《全球數據安全倡議》的八點主張,呼籲各國秉持發展和安全並重的原則,平衡處理技術進步、經濟發展與保護國家安全和社會公共利益的關系。菲律賓外長洛欽代表東盟表示,中國提出的《全球數據安全倡議》反映了各國共同關切,東盟願同中方加強全球數字治理、網絡安全合作。中國還將陸續出台《數據出境安全評估辦法》和《網絡數據安全管理條例》等,規範數據出境活動和網絡數據處理活動。中國跨境數據流動制度體系初成框架,重要數據存儲、跨境電子商務業務、政務數據安全開放、個人信息處理、數據出境安全評估、數據跨境安全管理等都將有法有規可依。
二、中國跨境數據流動治理體系應借鑒他國有益經驗
WTO 框架下于 1995 年生效的服務貿易總協定(GATS),已包含跨境數據流動的原則要求。自 2011 年以來,WTO 成員方陸續提交議案支持跨境數據流動。美國、歐盟、英國、新加坡等在跨境數據流動治理方面積累了一些有益經驗,值得借鑒。
美國將數據治理提升到國家戰略高度,並重視與歐盟合作。美國是較早進行數據治理的國家。爲促進國內有效且適當地使用與監管數據,充分挖掘數據的價值,2019 年 6 月,美國聯邦政府啓動《聯邦數據戰略》(FDS),計劃在未來十年內,通過制定年度行動計劃的方式,加快在執行任務、服務民衆及管理資源中使用數據,將數據治理提升到戰略高度。在 FDS 施行第二年的 2021年,美國制定了包括加強數據治理、開放機構數據等 11 項行動安排。美國爲擴大自身國際影響力,促進其數據戰略的實施,加強與其盟友在跨境數據流動領域的制度交流。2021 年 6 月,美歐共同成立美國—歐盟貿易和技術委員會(TTC),重點協調應對美歐跨境數據流動規則問題。2021年 9 月,TTC 首次會議在美國召開。會後,美國和歐盟發表聯合聲明,共同推動數字化轉型,在全球範圍設定高標准,保護社會不受信息操縱和幹擾,促進安全和可持續的國際數字連接。這是繼 2000 年《信息安全港框架協議》(Safe HarborFramework)及 2016 年《隱私盾協議》(PrivacyShield)後,美歐在跨境數據流動治理領域的又一合作。值得注意的是,在美國國家情報總監辦公室發布的《2021 年度威脅評估報告》(2021Annual Threat Assessment)中,美國將中國視爲網絡安全領域的主要競爭對手。
歐盟延續在跨境數據流動領域的嚴格保護措施,對美國既有提防又有合作。歐盟奉行被認爲是當今世界對個人數據保護水平最高的《通用數據保護條例》(GDPR)。根據 GDPR,在合同中納入確保數據得到充分保護的條款後,歐盟方可向第三國進行數據傳輸。歐盟委員會已“預先批准”標准合同條款(SCCs)中包含合同範本條款。2021 年 6 月,歐盟委員會根據 GDPR 發布了更具現代化的標准合同條款,用于從歐盟(或其他受GDPR 約束)的控制器或處理器向歐盟以外(不受GDPR 約束)的控制器或處理器傳輸數據,並規定自 2021 年 9 月 27 日起,不能再簽訂包含舊版SCCs 的合同。SCCs 的推陳出新反映了歐盟對數據保護措施的不斷調整。歐盟實行嚴格的跨境數據保護措施還有個重要原因,就是防止美國數字巨頭壟斷歐洲市場。與此同時,歐盟也積極尋求與美國合作。爲了防止數據傳輸限制成爲抑制美歐跨大西洋貿易的壁壘,美歐試圖擱置在跨境數據流動領域的分歧,尋找兩個經濟體的共同利益點。
英國的數據保護法案旨在維持可信、推動未來貿易發展和確保安全,並在跨境數據流動領域和歐盟達成諒解。2018 年 5 月,英國正式通過《數據保護法案》(DPA)。該法案更大程度地賦予了個人對數據控制的權利,在強化原有“知情—同意”“數據獲取權”等個人數據權利基礎上,新增加了數據可攜權(允許消費者在不同服務提供者之間轉移自己的數據)、被遺忘權(個人有權要求擦除其個人數據),以及用戶畫像(個人對基于社交平台自動處理其數據而做出的決定行爲有更大的發言權)的規定。該法案完善了數字經濟時代對企業利益的保護,增加了對個人數據保護機構信息專員辦公室(ICO)的授權以維護消費者利益,並爲刑事司法機構設定了專門的數據保護框架。另外,DPA 法案基本吸納了歐盟GDPR 中新增的內容,大幅提高了違法行爲的罰款額度,從而與歐盟規定接軌。英國脫歐後,英國與歐盟達成臨時性解決方案,以保持數據的跨境流動。2021 年 6 月,歐盟委員會通過了關于英國數據保護充分性認定的“兩項意見”,同時,歐盟加入了“日落條款”(Sunset Clause),即這些決定將在生效四年後失效。歐盟還表示,如果在此期間英國在數據標准上與歐盟存在重大分歧,它可能會進行幹預。
新加坡在跨境數據流動治理國際舞台上頻頻亮相,積極尋求國際規則制定話語權。新加坡積極嘗試跨境數據流動治理方案,于 2018 年加入《全面與進步跨太平洋夥伴關系協定》(CPTPP),成爲 CPTPP 最初的 11 個成員國之一。CPTPP 第14 章(電子商務)對通過電子方式的跨境信息傳輸和計算設施的位置做出了專門規定。新加坡與澳大利亞的數字經濟協定也已于 2020 年 12 月生效,協定內容包含跨境數據自由傳輸、源代碼保護、數據存儲非強制本地化等規則。2021 年 6 月,新加坡與英國開展數字經濟協定(UKSDEA)的談判。談判的核心議題包括跨境數據流動和數據保護,該協定將成爲第一個亞洲與歐洲國家之間的此類協議。
三、中國應在實踐中不斷完善跨境數據流動治理體系
在跨境數據流動治理領域,中國已經構築了安全有效的基本框架。中國應繼續加強與其他主要經濟體的國際規則合作,在實踐中不斷完善自身的治理體系,推動 WTO 進一步提升規制跨境數據流動治理的水平。
恪守“數據主權”利益。隨著跨境數據流動的全球博弈愈演愈烈,美歐等西方國家和地區都在推行有利于自身發展的跨境數據流動治理規則,並有抱團發展之勢。中國應恪守“數據主權”利益,在實踐中不斷完善跨境數據流動制度體系。在跨境數據流動治理過程中,要統籌妥善好發展與安全兩者之間的關系,努力尋求最佳均衡點,既要釋放跨境數據流動的新動能,促進跨境數據自由有序規範流動,以創造更多的經濟價值和社會價值;又要進行恰當的跨境數據流動管控,糾正全球數據價值鏈的收益錯配,避免失序的跨境數據流動加劇世界發展格局的不平等性。
尋機與其他主要經濟體加強跨境數據流動規則合作。中國應加強與美國、歐盟、英國和新加坡等國家和地區的對話與合作,共同探討跨境數據流動的技術中性原則,研究網絡跨境數據流動規則的邊境管控,以及有關數據出口的責任問題。跨境數據流動規則本質上是服務于國際貿易與國際經濟合作的,中國不應尋求與其他主要經濟體在這一領域相關規則的對抗,而應在遵循中方核心利益的前提下謀求合作共贏,可適時調整中國跨境數據流動治理規則,促進國內規則與國際規則的接軌,尤其是在個人信息保護、數據安全等國際焦點問題上加強國內外規則銜接。
積極開展雙諸邊跨境數據流動合作。中國政府應繼續加強雙邊、諸邊和與周邊國家的國際經貿合作,積極參與 CPTPP 談判,加強與重要貿易夥伴在跨境數據流動治理領域的合作,打通與主要貿易夥伴的跨境數據傳輸渠道,推進區域跨境數據安全有序自由流動。中國可以 RCEP 協定生效爲契機,將跨境數據流動規則條款納入更多區域貿易協定之中。中國還可以 2021 年申請加入的《數字經濟夥伴關系協定》(DEPA)爲新起點,進行跨境數據流動的高水平合作。
積極推動 WTO 制定跨境數據流動規則。中國作爲負責任的大國,應推動 WTO 在數字化時代更多發揮作用。一是 WTO 成員方應盡早形成共識,改變目前跨境數據流動規制碎片化的格局,開放維護數據資源,促進數字貿易進一步增長,促進新冠肺炎疫情期間世界經濟的複蘇與發展。二是堅持與時俱進、求同存異的原則,在關稅及貿易總協定(GATT)、服務貿易總協定(GATS)、與貿易有關的知識産權協定(TRIPS)、信息技術協定(ITA)等協定爲世界貿易經濟發展提供制度性保障基礎上,推動 WTO 更好地規制跨境數據流動,尋找全球最大“公約數”,爲全球貿易投資經濟的通暢、可預測做出更大貢獻。三是中國可提出《全球數據安全倡議》的升級版,爲促進數據流動、保護數據安全、共享執法需要的跨境數據、彌合數字鴻溝,爲共同構建和平、安全、開放、合作、有序的網絡空間命運共同體貢獻中國智慧。
(本文刊登于《中國信息安全》雜志2022年第3期)