文 │ 清華大學人工智能國際治理研究院副院長 梁正 清華大學公共管理學院博士後 張棟 于洋
數據是重要的戰略性資産,是構築現代競爭優勢的關鍵資源。在數據的采集、彙聚、存儲、傳輸、使用、加工以及流轉、共享、挖掘、分析、銷毀、刪除等過程中,都有可能發生信息不當泄露的情況,造成數據安全風險。數據安全事件會對個人隱私、經濟發展、政治穩定和國家利益造成不同程度的損害。在數據出境的場景下,尤其容易出現境外主體不按授權使用、出境數據不受控制流轉、遭受網絡攻擊或黑客入侵乃至間諜刺探情報等安全風險。數據出境安全治理受到世界各國和重要組織的廣泛重視。
一、數據出境安全治理各國模式比較
數據出境流動對數字經濟發展、構建數字紅利收入分配體系非常重要。數字經濟發展領先的國家通常鼓勵數據自由流動,促進數據發揮經濟效用;數字經濟發展落後的國家在數字紅利分配中獲利偏低,認爲無限制的自由流動會對國家安全和本國數字産業發展競爭力造成負面影響。從全球看,各大經濟體的數據出境治理戰略顯著地呈現以發達國家爲主的“自由流動”和以發展中國家爲主的“本地限制”兩大類型。各大經濟體在不同的戰略導向下選擇使用屬人、屬地和保護、控制權等立法原則。發達國家以屬人原則和控制延伸爲主,實現數據領域的長臂管轄;發展中國家一般采取屬地原則,以數據本地化實現數據安全和産業保護。從制度規則看,數據出境治理又主要有促進型、平衡型、本地化、統籌型四大模式。
美國采取的典型的“促進型”模式。美國處于全球數字經濟領先地位,其戰略旨在促進數據自由流動形成引流效應。美國通過屬人保護和數據控制者等名義以國內立法建立境外執法權,以保護本國利益爲由調取使用他國數據;通過影響國際組織規則、打造多邊協議等利用強權爲其提供獲取境外數據的通道,拓展其網絡空間疆土,掌握和控制全球數據使用,以便獲取自身利益。
歐盟、英國、新加坡和日本等數字經濟發展較爲成熟的國家和地區采取不同特色的“平衡型”模式。“平衡型”模式的監管思路是,通過屬人原則獲取境內外高標准隱私保護,在此前提下支持數據跨境流動,以充分性認定、建立信任機制等方式維護數據立法話語權。
俄羅斯、印度、巴西、南非、土耳其、沙特等國家,因缺乏強有力的數據引流能力,放開管制可能導致數據大規模向發達經濟體輸出而削弱競爭力,因此,采取屬地原則限制重要數據出境,形成優先考慮安全保護的“本地化”政策模式。
中國秉持兼顧發展和安全的“統籌型”模式,關注國家利益、公共安全與國際合作。中國國內數字立法明確提出了“促進數據開發利用與保障數據安全並重”“加強數據安全防護能力建設,保障數據依法有序自由流動,促進數據依法合理有效利用”的政策宗旨。中國在數據出境國際規則構建中遵循促成多元共治的理念,兼顧發達國家關注數字貿易利益以及發展中國家關注數據安全與數據産業發展利益,並支持可以基于公共政策目標或者國家安全利益而采取相應的限制數據流動的本地化措施,實現與各國在獨立自主層面上的合作與治理。
二、數據出境安全問題的國際治理經驗
數據跨境流動涵蓋數據主權、隱私與安全、法律適用及管轄權、競爭戰略等複雜元素。世界各大經濟體與重要國際組織經過不同的研究探索,形成了一些結合實踐的代表性模式,可以爲解決數據跨境安全相關問題提供治理經驗。
(一)數據分類分級管理模式
對不同類型的數據出境采取不同的管理措施。一是重要的數據,禁止自由跨境流動。二是政府和公共部門的一般數據和相關行業技術數據,有條件地限制跨境流動。三是普通的個人數據,允許跨境流動,但要滿足安全管理要求,並通過問責制、合同幹預等不同形式進行管理。問責制是對數據控制者的數據安全管理責任做出規定,包括對數據主體的通知、對數字商資質審查和監督等。數據處理合同幹預是政府對跨境數據處理合同中應當包含的安全管理內容進行規定,企業簽訂的數據處理合同如果包含格式條款,可不需經數據監管部門的具體核批即可實施跨境數據流動。
使用不同級別的數據出境限制措施。由于數字行業發展水平及數字貿易戰略不同,各國對數據跨境流動的限制程度有所區別。一是國家幹預程度不同。有的國家公權力不直接介入具體數據跨境活動,而是通過數據本地化立法的處理原則和權利義務界定間接束縛數據主體與數據控制者行爲;也有的國家公權力會直接幹涉數據出境情況。二是本地化存儲的嚴格程度不同。有的國家只要求境內留存有數據副本;有的規定只能在境內存儲和處理數據,但行爲方可以在境外訪問數據;有的要求數據的存儲、處理和訪問都只能在境內進行。三是數據本地化的豁免規定不同。有的國家需要數據主體同意;有的以境外接收方可以提供相同數據保護水平作爲允許數據傳輸的特定情況。
(二)自由流動與安全保護平衡模式
發達經濟體出數字經濟優勢地位與對個人隱私的重視,通常選擇在鼓勵促進數據自由流動同時對個人數據出境加強管轄保護。由于數字經濟競爭力不同,各經濟體的戰略戰術也各有特色。
美國采取“戰略進攻”模式,構築爲其強權服務的數據同盟體系。一是通過政府撥款和“開放”政策,實現“開放和自由的互聯網”。美國電信監管的公共政策選擇排除對第三方內容的互聯網中介責任,有助于爲美國互聯網公司的發展創造環境。二是嚴格管控與競爭力相關的數據,限制涉及重大科技及關鍵基礎設施領域的數據轉移,例如實施所謂的“清潔網絡計劃”等。三是借助“長臂管轄權”和情報網絡,打破傳統的“服務器”屬地原則,實施“數據控制者”標准,使政府可跨境調取數據。四是將數據跨境政策與貿易政策深度捆綁,向全球推行美式數據流動方案,包括逐步弱化數據流動中的個人數據保護規則,逐步禁止國家利用公共政策目標實施數據本地化措施。
歐盟因産業競爭力不足采取“防守反擊”模式,通過制度築設謀求引領國際規則。歐盟《通用數據保護條例》(GDPR)對個人數據保護從“屬地”向“屬人”轉變,大幅擴展了管轄範圍;采取“用戶授權+企業擔責”模式,尋求個人數據保護權利與企業和政府的合法利益之間的適當平衡;通過“充分性認定”,確定數據跨境自由流動白名單國家,規定獲得充分性認定的國家和地區可不經過數據主體授權接收歐盟個人數據。歐盟委員會每四年通過數據保護立法、監管機構運作、國際承諾和公約簽訂等維度對“充分性認定”的國家和地區進行評估;非白名單國家企業需要采用歐盟委員會批准的一系列標准數據保護條款(SCCs)或采取“有約束力的公司規則”(BCRs)並獲得認證後,才能跨境傳輸數據。歐盟推行數字新政戰略,部署歐洲公共數據空間等安全可靠的數據基礎架構,試圖創造世界最大的數據安全流動區。歐盟不斷擴大數據立法的國際影響,全球數十個國家都效仿GDPR標准進行國內立法,形成更廣範圍的數據出境歐式標准。
新加坡建立以“相似保護”爲基礎的信任機制,以爭取成爲亞太地區數據中心。新加坡的《個人數據保護法案》(PDPA)規定,境外數據接收者應爲所傳輸的個人數據提供與PDPA相稱的保護標准,可以通過簽訂合同、制定公司規程、接收國數據保護立法等途徑實現,並允許數據出境的其他法律理由,包括數據主體同意、履行合同義務必要、關乎生命健康的重大情形、公開的個人數據、數據中轉等。
日本構建“基于信任”的自由數據流通機制(DFFT)。日本與歐盟和美國均達成了促進數據流動相關協議,建立互操作機制,參與構建了多個國際規則。日本國內立法以跨境數據流動政策靈活性爲主導;數據出境限制性條件較少,只對涉及國家安全的敏感或關鍵數據進行監管;要求涉及國家安全的數據必須實現本地化存儲,但對其他數據不做格外限制;設立“個人信息保護委員會”(PIPC)作爲獨立的第三方監管機構,制定向境外傳輸數據的規則和指南。
(三)本地化限制模式
以美國科技巨頭濫用數據爲代表的惡性事件經常發生,導致數據本地保護主義逆全球化發展。數據本地化是指國家出于各種目的采取的旨在對數據施加控制的措施,這些措施使數據的流動逐漸限制在本國內部,其限制程度從弱到強依次爲:一是本地數據鏡像,允許數據副本出境,但在本國或本區域內必須存有數據副本。二是數據本地存儲,特定情況下允許在境外對數據進行處理,但處理後的數據也必須存儲在本地。三是基于許可制的數據出境,法律要求數據出境傳輸需獲得預先批准或明確同意或符合標准體系,違者面臨罰款;相關任意執法的不確定性會給公司帶來無法估量的風險。四是“數據本地存儲+數據本地處理”,不允許數據受到境外接觸。五是“數據本地存儲+數據本地處理+數據本地管理”的歧視性政策,將外國公司完全排除在管理和處理本地數據之外。
三、數據出境安全治理國際經驗及對我國的借鑒
在國際數字經濟格局博弈與規則確立的關鍵時期,數據合作與競爭共存、機遇與風險兼具。我國數據出境流動制度應當保護私人和公共利益,維護數據主權與國家安全,服務我國在全球的數字治理影響力提升。我國需要遵循數字經濟發展規律,借鑒國際經驗平衡數據開放共享與數據安全監管,采用恰當的措施支持數據便捷流動並發揮其對經濟增長、社會發展、全球化進程的作用。
(一)高度統籌發展與安全
要平衡好數據安全和經濟發展之間的關系,明確數據自由流動的價值,積極應對數字經濟安全挑戰,做好數據出境安全治理。一是充分看到發展是最重要的安全。數據出境政策舉措應首先注重提升我國數字經濟的市場競爭力、行業影響力與産業控制力。二是發展是人類共同目標與挑戰。中國有責任和擔當引領全球數字經濟合作,爲人類命運共同體建設做出貢獻。三是在保障基本安全的前提下實施監管。盡最大可能減小重要數據出境限制對發展生産力的不利影響,兼顧我國對數據開放和數據安全的利益訴求。
(二)完善數據出境管理規則
我國現行跨境數據流動管理體系總體上以國家安全和執法便利需要爲主,對促進數字企業全球化發展、擴大數字服務貿易等考慮不足。應當完善數據跨境流動規則,形成配套的實施細則,優化實踐操作模式,構建以政府爲主體的“自上而下”的數據安全監督和管理制度。
一是優化數據分級分類管理。明確政府部門、掌握數據資源的企業及組織、數據服務機構等各方的數據分級安全管理主體責任;根據各行業數據資源特點分業制定數據分類分級安全管理規則;編制適合數字經濟新産業、新形態、新應用模式的分類分級標准;就“敏感數據”“重要數據”“核心數據”的邊界區分及相應保護制度、數據規範管理措施做出規定。例如,對重要數據的標識、備案以及限制傳播措施要求進行完善,對科研數據、商業數據、政府數據與公共數據、個人數據的界定和判斷給出可參照的操作指南等。
二是建立數據産權及流轉規則。數據價值是經算法收集、加工、處理後形成的數據集合帶來的經濟和社會效用。結合數據資源要素、算法加工要素構建數據産權與流轉制度,形成完善的數據權屬認定、存儲、轉讓、使用、保護等規則,健全信息授權許可、數據IP保護等制度,以完善的制度規則支持數據跨境管理、利用與價值發揮。
(三)融入與推動構建數據跨境流動國際治理體系
數據跨境流動關乎國家利益、産業利益、風險控制的動態平衡,既需要尊重各國數據主權,也需要建立彼此的共同規則。我國需要面向成爲全球數據中心的戰略目標支持數據跨境流動以建設開放的經濟體系,在國際合作中推廣數字規則的“中國方案”。一是以《全球數據安全倡議》爲基礎,圍繞數據本地化、隱私安全、跨境執法協調等關鍵事項提出解決方案,平衡公共安全、産業發展、個人信息權益等訴求。二是調整部分國內立法與對外高水平談判需要相銜接,健全涉及多部門協調配合的跨境數據流動監管體系。三是主動參與跨境數據流動全球規則構建,推動國內數據市場標准國際化,爲我國跨境數據流動規則主張增容擴圈。四是通過國際公約、區域合作等建立多軌信息安全合作機制,建設信息基礎設施與合作管理規則,爲企業指明對內合規、雙向合規和未來全球合規的發展路徑。
(四)優化數據出境安全的技術治理
在數據安全保障方法中,更有效的是在數據存儲、訪問、使用等過程中采用良好的技術治理,實現數據控制、信息保護以及價值鏈控制。一是強化數據安全的技術建設。加快大數據管理系統和工具軟件的研發,加大對國際海底光纜、國際互聯網數據交互點等數據基礎設施的建設,提升數據設施安全能力。二是開展數據安全算法開發與應用。圍繞數據存儲載體、傳輸介質、處理終端提供數據安全解決方案,在數據處理活動與業務應用系統中使用數據安全動態保護與遠程控制等技術,如漏洞挖掘、入侵檢測以及區塊鏈、安全多方計算、同態加密等方法實現終端安全、內容安全、業務安全,保障對重要敏感數據精准控制。三是加強數據安全管理舉措、優化建設信息安全能力。通過合規培訓、引入數據安全專業服務等方式使企業安全掌控數據跨境運用。各國政府、國際組織、信息技術企業、技術社群、民間機構和公民個人應秉持共商共建共享理念,齊心協力促進保障數據安全。
(本文刊登于《中國信息安全》雜志2022年第3期)