作 者丨張雅婷
編 輯丨吳立洋
編者按:已然來臨的數字時代,數據是核心驅動要素。圍繞數據的開發利用,一場新的生産與認知革命正在展開。想要了解這個時代,必須要先認識數據。南方財經全媒體·21世紀經濟報道策劃了數據要素市場系列報道,以期爲行業和社會公衆提供理解數據的敲門磚。
一場數據全球化的運動正在進行時。
不僅是企業競爭力的核心,數據更成爲國家安全和國際話語權的基礎。數據跨境也逐漸演化成爲一個多維度議題,擁有政治、經濟、外交、技術等多重屬性,涵蓋數萬億數字經濟規模。
像應對氣候變化問題一樣,全球正探索建立數據跨境流動的治理框架和機制。我國在國家層面目前已初步建立跨境數據流動規則體系,配套法規政策及行業規範逐步完善——鼓勵數據的跨境流動無法以讓渡安全利益爲代價。
站在數據要素市場化發展的新起點上,不少地市已先行先試探索跨境數據的安全有序流動,將成爲未來驅動數字經濟發展的戰略性機遇。
新一輪國際競爭力
我國作爲全球數據資源大國,從2017年到2021年,數據産量從2.3ZB增長至6.6ZB,位居世界第二。大數據産業規模快速增長,從2017年的4700億元增長至2021年的1.3萬億元,數據資源價值加快釋放。
當數據成爲社會經濟和生活中的關鍵生産要素,數字空間國際競合也進入到新階段,以數據治理能力爲核心的國家創新力和競爭力正在成爲世界各國新一輪競爭焦點,數字領域規則與核心技術生態體系的競爭日趨激烈。
縱觀全球數字經濟發展,在人工智能、區塊鏈、大數據等新技術叠代更新迅猛發展的同時,無人駕駛、共享經濟等新業態競相湧現,使得全球數據海量聚集呈爆發式增長,數據流增速超過全球貿易流、商品流和資金流,推動數據跨境流通治理工作,提出應對之策,對加快推動數據要素市場發展意義重大。
另一方面,數據安全在經濟全球化的國際背景下面臨嚴峻挑戰,跨境數據的安全則是挑戰中的複雜一環。上海社會科學院互聯網研究中心主任惠志斌曾向21世紀經濟報道記者提到,我國已在立法層面加緊研究數據跨境的安全辦法,當前對數據跨境活動的管理有兩個方向的需求,一是防控風險,二是鼓勵數據跨境流動。
盡管各國都意識到數據流動的重要性,但國際上目前也難以形成統一的跨境數據流動規制規則。基于對經濟發展、國家安全、公民隱私保護等多方面的考慮,各國采取了不同的數據跨境流通政策主張。
歐盟與美國采用的規則便各有側重,一方強調的是事前防禦,一方則是事後監管。粵港澳大灣區大數據研究院總規劃師王新玉向記者分析,歐盟將個人隱私保護視爲開展跨境數據流動的前提條件,並將構建法律規制體系作爲保護個人隱私必不可少的手段,采用的是“以地理區域爲基准、充分保護爲前提”的事前防禦規制模式。
美國則將數字經濟發展置于首位,致力于確保跨境數據自由、高效流動,以充分釋放數據流動的經濟效能,采用“以國籍管轄爲基准、問責制爲前提”的事後監管規制模式,通過行業自律的方式要求企業保障個人數據傳輸的安全性。
關鍵詞:安全
從我國跨境數據流動的現有規則來看,2017年之前,對金融、征信、人口健康、互聯網地圖、網約車等特定領域的數據出境,通過行政法規、部門規章和規範性文件等進行了規範。2017年之後發布的《網絡安全法》《數據安全法》《個人信息保護法》,從法律法規層面制定的數據出境管理制度。
“安全”一詞貫穿始終。2020年,我國發起《全球數據安全倡議》,倡導安全共享,更就推進全球數據安全治理提出了中國方案。
“我國呈現出‘分散立法’與‘專門規定’相結合的跨境數據流動制度框架,體現了‘禁止流動爲原則、允許流動爲例外’的制度特點,在跨境數據流動屬性方面,我國主要基于‘屬地原則’。”王新玉說。
對于企業合規,我國數據跨境政策堅持維護國家安全、公共利益和個人信息權益。從安全監管角度出發,競天公誠律師事務所合夥人周楊列舉,由三個方面立體考察數據跨境的合規性——分別是數據處理者身份,即是否爲關鍵信息基礎設施運營者;數據類型,即是否爲重要數據或個人信息;數據處理活動類型,即是否涉及國家安全。
從支持經濟發展的角度而言,國家爲個人信息的跨境提供了除數據安全評估之外的其他可行路徑,但也必須符合兩組合規要件。第一組爲滿足網信部門的合規控制條件,即出境安全評估、認證和標准合同三大合規路徑;第二組爲出境方自身需要完成的企業自主合規條件。
“包括保障境外接收方處理個人信息達到《個人信息保護法》標准,按照法定要求告知個人信息主體並取得其單獨同意,完成個人信息保護影響評估等。”周楊提到,兩組必要條件均需要滿足,否則企業無法完成個人信息出境合規工作。
總體而言,數據跨境政策在涉及國家安全方面采取事前許可的趨嚴管理策略,支持經濟活動方面采取相對寬松的事後監管尺度。
“不過,對比其他國家的個人信息流動政策可知,我國《個人信息保護法》對于個人信息監管仍屬于較爲嚴格的類型。”周楊表示,並不像日本或新加坡一樣,承認個人信息主體的同意可以作爲個人信息跨境的單一合法理由。
由于《數據出境安全評估辦法》的實施,處理個人信息達到一定量級的企業在出境較小數額的個人信息時也同樣需要經過評估,這讓一些企業承擔著高規格的合規義務。例如,某跨國企業由于處理用戶數據達到了100萬因而需要履行數據出境安全評估義務,但實際上企業只需要出境數百條員工數據至境外母公司,並不需要出境任何客戶數據。
先行先試
當前,國家層面已經初步建立跨境數據流動規則體系,但在落實執行方面仍然欠缺具體操作指引,未來需要進一步強化數據跨境流通制度建設,以突破數據要素市場培育發展的關鍵瓶頸。
王新玉認爲,下一步應當建立健全數據分級分類管理、數據目錄管理、出境數據評估和管理辦法等基本制度,並通過在一些地區先行先試,探索數據跨境流動的管理機制。
事實上,各地已初步布局數據跨境的試點工作。2020年8月,商務部發布《關于印發全面深化服務貿易創新發展試點總體方案的通知》,提出北京、天津、上海、廣州、深圳等28個省市區開展數據跨境傳輸安全管理試點,明確要求支持試點開展數據跨境流動安全評估。
根據北京、上海、浙江、海南等地的自貿試驗區方案,以及上海、重慶等地的數據條例,多地均對數據跨境流動進行創新探索。例如,北京提出數據産品跨境交易模式,設立了北京國家大數據交易所;上海首提在臨港新片區內探索制定低風險跨境流動數據目錄,促進數據跨境安全有序流動;與澳門僅一水之隔的橫琴,去年則被賦予了“促進國際互聯網數據跨境安全有序流動”的責任。
“上海臨港新片區率先探索制定低風險跨境流動數據目錄,實際上是設定好風險範圍,讓低風險範圍內的跨境數據更加自由地流動,便利數據的安全評估流程。”惠志斌說,一方面是壓力測試,一旦發現問題也處于可控範圍,並能積累經驗爲完善跨境數據安全流動制度提供指引;另一方面,也爲其他省市的跨境數據管理有啓示,起到示範性作用。
基于各地政策的支持,數據跨境流通技術能力也逐步強化,築牢數據要素市場安全底座。
聯易融隱私計算技術負責人陳曦向記者介紹,根據跨境業務場景和流通數據的種類,用于數據跨境合規方面的技術主要有以下幾類:文件加密技術,用以解決非敏感跨境數據安全傳輸問題;數據脫敏技術,用以解決低敏感工業數據的跨境使用問題;隱私計算技術,用以解決敏感數據限制跨境流通的問題;區塊鏈技術,利用存證溯源用以解決隱私信息跨境流轉的問題;傳統的訪問控制和身份認證技術,用以解決跨境數據合規使用控制的問題。
依托數據交易所開展跨境數據業務,建設離岸數據交易平台,在金融、科研、物流等重點行業數據跨境流通機制試點,也將成爲未來的主要發展方向。
王新玉建議,數據交易所應積極參與數據流動、數據安全、數字貨幣、數字經濟稅收等國際規則和數字技術標准制定,聚焦跨境電商、跨境支付、供應鏈管理等典型應用場景,利用人工智能、區塊鏈等技術探索建立數據“可用不可見”跨境流通環境。同時,以國際互聯網轉接等核心業態,帶動發展數字貿易、離岸數據服務外包、互聯網創新孵化等關聯業態,彙聚國際數據資源。
E N D
本期編輯 黎雨桐 實習生 吳梓楹