摘 要:数字贸易促进经济发展的同时,也加剧了跨境数据流动监管的难度。近些年,我国政府对跨境数据流动的安全问题给予了高度的重视,通过加强对跨境数据流动的安全监管,在很大程度上维护了数据安全和国家安全,促进了数字贸易的健康发展。构建便捷、高效、安全的数据跨境流动监管体系并非易事,当前我国跨境数据流动监管依然面临着法律法规不完善、全球数据治理规则冲击、数据监管难度大以及数据安全事件频发等现实问题,亟需通过法律制度体系建设、加强跨境数据全链条管理和分级分类管理、强化跨境数据流动监管国际合作等途径,营造全球开放的数字经济营商环境。
关键词:数字贸易 跨境数据流动 数据监管
【中图分类号】F752.68 【文献标识码】A
随着数字经济时代的来临,数字贸易逐渐成为全球贸易往来的新常态。数字贸易是指通过信息与通信技术(ICT)发挥重要作用的贸易形式,包括贸易方式数字化与贸易对象数字化两大特征。前者包括基于ICT开展的线上宣传、交易、结算等促成的实物商品贸易,后者包括通过信息通信网络(语音和数据网络等)传输的数字服务贸易,如数据、数字产品、数字化服务等贸易。国务院发展研究中心发布的《数字贸易发展与合作报告2023》显示:2022年全球数字服务贸易规模为3.82万亿美元,同比增长3.9%,占全球服务贸易的53.7%;同期中国数字服务进出口总值达到了3710.8亿美元,同比增长3.2%,增速在规模前十国家中排名第三;迅速发展的数字贸易带来了巨大的数据流动,在过去三年当中,全球跨境数据流动规模增长120.6%,远高于数字服务贸易规模增长的36.9%。据麦肯锡估测,到2025年,全球数据流动对经济增长的贡献将达11万亿美元[1]。
中国不仅是数字贸易大国,同时也是数据流动大国,2021年中国数据跨境流动量约占全球的23%,到2025年将位居全球数据圈之首,占比27.8%[2]。作为连接全球经济的纽带和新秩序博弈的焦点,跨境数据流动在极大提升跨国协作效率的同时,也面临着数据主权、国家安全、利益冲突、隐私保护、数据监管等问题[3]。中国政府逐渐认识到其中存在的潜在风险,对跨境数据流动的安全问题给予了高度的重视[4][5],并通过加强对跨境数据流动的安全监管,在很大程度上维护了数据安全和国家安全,促进了数字贸易的健康发展。
加强跨境数据流动监管是全球通行做法
数字经济时代,世界各国普遍重视数据主权与数据安全,对于跨境数据流动监管问题进行了规则制定与整体部署,主要可以区分为以下几种类型:
西方发达国家主要是通过跨境执法及选择性执法来加强数据流动监管[6]。其中,美国试图打造以其为核心的全球数字生态系统,建立符合美国利益的跨境数据流动监管体系。同时,美国以防止行业恶性竞争、隐私泄露以及保护国家安全为由,反对互联网科技巨头的垄断行为,对涉及美国国家安全的数据采取了较为严格的限制性措施。另外,凭借自身的经济及技术优势,美国还对数据跨境流动实施长臂管辖,严格限制涉及重大科技及关键基础设施领域的本土数据转移。2018年美国通过了《澄清境外数据的合法使用法案》,主张“谁拥有数据谁就拥有数据控制权”原则,保障了美国跨国企业对全球市场信息数据的及时掌握,提高了美国企业的行业竞争力与全球影响力,也赋予了美国政府跨境收集数据的权利,对其他国家的数据主权与信息安全造成了极大影响。欧盟对于跨境数据流动的监管则更为严格,但在欧盟范围内数据流动相对自由,主张在保持高度隐私、安全和道德标准前提下,推动单一数据市场的构建。2016年欧洲通过了《通用数据保护条例》,着力推出了一揽子数据战略计划,严格限制数据在欧洲地区以外自由流动,同时强调加强成员国内部之间的数据共享与数据流动,打造欧洲共同数据空间。
新兴经济体国家主要是通过构建数据本地化政策体系,维护国家数据安全[7]。面对全球跨境数据流动中存在的各类安全与风险问题,包括中国在内的新兴发展中国家主要通过加强对数据的主权控制,并应用本地化策略来对跨境数据流动实施严格的监管。在具体措施方面:中国《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。俄罗斯允许数据在境外传输以及处理,但对于公民的个人信息,则要求必须在本国境内的服务器上存储和处理。印度则不断完善数据本地化政策,要求外来企业建立相应的数据中心,对金融数据强制进行本地化存储。
国际组织主要是倡导减少跨境数据流动障碍,提高跨境数据流通效率,充分释放数据价值。2021年,在G20数字经济部长会议以及当年的联合国大会中,数据治理与数据流通作为重点议题得到了广泛探讨,各国均呼吁加强数据互联互通,弥合数据流通分歧。同年,G7集团就跨境数据使用和数字贸易原则达成一致,在数字贸易宣言中提出了针对数据跨境流动的原则,拓宽了跨境数据流动的含义与相关监管的适用范围。
我国跨境数据流动监管体系已经初步形成
在数据成为生产要素与战略资源的背景下,数据主权应运而生,对跨境数据流动进行监管是维护数据主权的应有之义。近年来,我国从跨境数据流动重大关切入手,积极探索构建便捷、高效、安全的跨境数据流动监管体系,已经初步形成了一些制度成果和实践经验。
相关法律法规逐步出台
随着数字贸易的兴起,跨境数据流动成为社会各界广泛关注的问题。近年来,有关部门针对跨境数据流动的立法工作逐步展开,相关法律法规逐步出台,对跨境数据流动监管起到了基础性指导作用[8]。例如,2016年颁布的《网络安全法》是我国第一部网络安全领域的法律法规,为跨境数据安全流动与数据监管起到了奠基性作用。2021年出台的《数据安全法》,则是我国第一部关于数据安全的法律,围绕促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益等内容进行了详细的规定,对促进我国数字贸易的发展以及实现跨境数据流动的安全可持续具有十分重要的意义。同年出台的《个人信息保护法》,针对个人信息安全进行了详细的说明,有力地保证了上网安全和个人信息权益。2022年出台的《数据出境安全评估办法》对数据出境安全评估的范围、条件和程序进行了相应的规定,为数据出境安全评估工作提供了具体指引,对于规范数据出境活动,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,具有重大意义。显而易见,我国在跨境数据流动方面的法律法规逐渐完善,监管工作基本实现了有法可依,跨境数据流动监管的准确性和可靠性大大提升。
地方实践积累大量经验
各地在积极开展数字贸易活动的过程中,也结合自身发展实际,对跨境数据流动监管提出了各具特色的地方性措施。例如,北京市明确表示将率先探索数据跨境流通,积极参与数据跨境流通国际规则和数据技术标准的制定,聚焦促进关键要素跨境流动,提出分类分级推动数据安全有序跨境流通,持续推进数据出境安全评估制度落地实施。此外,北京还支持各区建立数字贸易港、跨国企业数据流通服务中心以及数字贸易试验区,鼓励企业开展跨境数据流通业务合作。粤港澳大湾区立足自身作为高水平对外开放门户的先天优势和重要使命,围绕健康、医疗、金融、科研、政务等领域,在推进跨境数据流通合作方面进行了系列创新探索,提出了具有地区特色的“湾区方案”。具体包括:针对大湾区跨境数据流动的特点及现实需求,加快推进粤港澳大湾区规则衔接、机制对接,实现跨境数据流动创新监管和协同治理;加快推动数据跨境流动基础设施建设,如离岸数据中心、离岸数据服务外包试验区、离岸数据直联通道等,促进数据跨境流动技术创新,构建数据跨境可信流通体系,培育跨境数据产业生态;等等。这类地方性实践经过长时间的检验,将为我国开展数字贸易、加强跨境数据流动监管提供丰富的参考和借鉴。
我国跨境数据流动监管面临的几大难题
数字贸易促进经济发展的同时,也加剧了跨境数据监管的难度。当前,我国跨境数据监管体系构建依旧面临诸多困境,亟需寻求解决路径。
国内现有跨境数据流动监管法律法规不完善
尽管我国在数据领域的立法工作起步较早,成果较多。但数字经济发展环境瞬息万变,既有的法律法规难以满足新时期的监管需要,在诸多细分领域仍然存在法律空白。例如,在数据保护方面,尽管《数据安全法》《个人信息保护法》对我国数据跨境流动的基本原则和制度框架进行了规定,但尚未及时修订原有具体行业领域的数据管理规定,特别是企业间的数据共享和跨境数据流动的保护规定不够明确,缺乏细化的限制和监管要求,不能较好规范商业隐私数据泄露和滥用行为。同时,我国尚未建立跨境数据流动监管的统一标准,不同地方在实践中执法随意性较大,这不仅导致企业面临不同的数据进出口法规要求,合规成本大幅度上升,更为重要的是,跨境数据审查的流程和标准不明确,导致审查程序不透明和不可预测,增加了企业在进行数字贸易和数据在跨境流动中的不确定性。
跨境数据流动监管面临全球跨境数据流动规则的挑战
当前,世界各国关于跨境数据流动的规则与政策仍存在较大不确定性,流动规则整体上呈现多极化、差异化和复杂化态势,数据流出与流入地之间在数据保护、数据监管等方面的法律法规存在差异甚至是冲突。企业在开展数字贸易的过程中,面临着不同类型数据法律法规的双重管辖与约束,特别是当数字贸易产业链涉及多个国家或地区时,管辖与限制可能更多,企业合规成本也就更高。在规则不一、监管各异的情况下,存在大量灰色地带。若是严格刻板监管会给数字贸易活动造成诸多不便甚至阻碍,放任不管则会给我国的数据安全与数据主权造成严重威胁,给跨境数据流动监管工作带来较大困扰。同时,美西方国家在严格限制自身敏感数据出口的同时,试图在其内部之间建立新的数据跨境流动操作合作圈,将中国等发展中国家排除在外,对我国的国家安全、数据主权、社会经济等造成不小的威胁和挑战。
大规模数据跨境流动使得监管识别难度倍增
随着数字贸易规模不断扩大,跨境数据的种类以及规模呈指数型增长,造成的识别与监管压力成倍上升。在数字贸易活动中,跨境流动的不仅包括文本数据,还包括图片、音频、视频等多种多样的数据类型。多源异构的数据类型需要监管机构开发多模态数据分析技术来进行监管,难度和成本不言而喻。同时,企业进行的实时跨境数据传输活动,流动规模大、交易频率高,对监管部门的响应速度要求极高,而我国跨境数据流动监管尚且存在相关技术供给能力不足、治理体系不完善等短板,在实践中难以准确、高效地进行数据识别,当数据涌入速度急剧上升时,甚至有可能产生系统故障,造成相应的监管事故。此外,数据流动可以通过加密、隐匿的方式进行,加剧了监管的复杂性和难度,而在技术水平相对滞后的情况下,监管机构很难有效识别隐蔽途径的跨境数据流动,准确追踪数据的源头和去向。
数据安全风险事件频发造成较大的监管压力
跨境数据流动规模的不断上升,也使得各类数据风险事件频发,带来了负面社会舆论,对数据安全监管工作造成了较大的压力。首先是数据泄露和滥用事件,在数字贸易中,大量的隐私数据很有可能在传输过程中被泄露和滥用,对个人隐私、企业商业机密、国家数据安全产生无法估计的后果,对监管部门造成极大的舆论压力。2018年,美国社交平台Facebook5000万用户数据泄露事件即为全球数据安全监管敲响了警钟。近年来,我国的数据泄露事件呈上升趋势。2021年,监管部门审查发现滴滴出行APP存在严重违法违规收集使用个人信息问题,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。其违法处理个人信息达647.09亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。其次是国际数据争端,近年来,以美国为首的西方国家以国家安全为由对中国的科技企业进行信息限制和技术封锁,与此同时又不断开展针对中国的网络安全攻击与信息窃密,通过长臂管辖的手段,要求外来企业向美国政府提供经营数据。例如,2021年9月,美国商务部以应对全球芯片危机为名,强势要求包括韩国三星在内的多家半导体企业向其提供商业机密数据。随着数字贸易蓬勃发展,数据贩卖、隐私泄露等威胁个人和国家信息安全的负面事件不断涌现,强化监管力度、筑牢安全底线刻不容缓。
强化跨境数据流动监管的意见建议
如前所述,当前我国跨境数据流动监管面临着法律法规不完善、全球数据治理规则冲击、数据监管难度大以及数据安全事件频发等现实问题,亟需通过法律制度体系建设、加强跨境数据全链条管理和分级分类管理、强化跨境数据流动监管国际合作等途径,营造全球开放的数字经济营商环境。
完善跨境数据流动监管法律体系建设
强化跨境数据流动监管,离不开法律体系建设。首先需要整合现有的法律法规,综合多领域需求,构建更加清晰、明确的跨境数据流动监管法律体系。数字贸易与跨境数据流动都是数字经济快速发展的产物,我国自2017年6月1日开始实施的网络安全法就要求跨境数据流动需进行安全评估,2024年3月22日,国家网信办出台了《促进和规范数据跨境流动规定》,对数据出境制度作出优化调整。推动数字贸易以及跨境数据流动法律体系建设,应以《促进和规范数据跨境流动规定》为指导,首先,从上至下逐级完善法律法规,监管体系,由过往的禁止性、限制性法律倾向转变为鼓励性、引导性倾向,充实并完善跨境数据流动监管的法律依据。其次,应大力推动跨境数据流动监管政策试点,设立数字自由贸易区,在数字自贸区内,针对跨境数据流动、数据安全监管、数字贸易规则等方面进行创新性的制度设计,并通过实践反复检验政策效果,形成较为成熟、适应性强、推广性高的制度成果向其他地区推广。最后,应深化跨境数据流动监管的法律实践,探索具有中国特色的跨境数据流动监管方案。在完善相关法律体系之后,如何执行法律规定成为重中之重。在跨境数据流动监管中,要注意结合数字贸易以及跨境数据流动的实际情况,列出相应的执法清单及负面行为清单,为监管机构提供清晰可靠的执法依据,做到精准执法、高效监管。
加强跨境数据流动的全链条管理
加强跨境数据流动的全链条管理是确保数据安全和企业数字贸易合规性的关键措施。所谓全链条管理,就是要求监管机构跟踪数据从生成到存储、传输、处理和最终销毁的整个生命周期,以便全方位、全流程审查潜在的风险和问题。首先,对于重要数据的访问,应该设置相应的强化控制和身份验证机制,确保只有经过授权的用户才可以访问和处理数据,降低数据外泄的可能性。其次,在数据传输和存储过程中应广泛采用加密技术,包括传输层安全性和数据加密算法,确保数据跨境传输和存储的安全性。同时,建立详细的审计和日志记录系统,记录数据的流动和处理过程,包括访问记录、数据修改记录和异常事件记录,以便随时进行溯源和调查。再次,强化跨境数据的合规性审查,及时发现潜在的风险和隐患点,对数据流动的异常行为、不正常的数据流向进行实时监测并生成警报以便及时响应,确保数据跨境流动符合国际和国内的法律和政策要求。最后,在数字贸易合同建立、数据交接等环节确立相应的数据安全标准,并加强对相关从业人员的数字安全意识培训,普及数据安全和合规政策,明晰权属、厘清责任,减少内部风险产生的可能性。
对跨境数据流动实施分级分类监管
跨境流动数据丰富多样,安全等级层次不一,相关监管绝不能“一刀切”,而是要建立政府主导、多方参与的数据分级分类监管机制。这样,才能有效维护我国的数据主权与数据安全,同时保障数字贸易的正常开展,实现统筹兼顾、多元共治的目标。一方面,应当对数字贸易中所涉及到的数据进行分类与标记,以数据的敏感性和重要性为依据,区分不同类型数据的安全级别,赋予不同的监管强度。具体来说,对于涉及到我国国家安全的重点领域,例如银行、电力、通信、医疗等关键行业部门的数据,应该实施高等级的跨境数据流动限制,将数据存储在国内数据中心以实施严格的数据监管;对于我国企业经营活动所产生的跨境数据,如不涉及到经济命脉以及国家安全,应该放宽监管限制,支持和促进数据的跨境自由流动;如果企业经营活动产生的跨境数据涉及到个人信息、政府信息等较为敏感的数据,则需根据所涉数据的敏感等级进行相应的脱敏处理后再准许数据跨境流动。另一方面,有必要建立健全重要数据识别和目录备案,确定各地区、各部门以及相关行业、领域的重要数据具体细则,分行业对重要数据进行管理,压紧压实企业数据安全保护主体责任,充分发挥行业协会、科研机构、安全企业等作用,合力筑牢作为新型生产要素的数据安全保障。
加强跨境数据流动监管的国际合作
跨境数据流动涉及到不同国家和地区,加强监管必然涉及广泛的国际合作,以平衡跨境数据自由流动的市场需要和国家及公民个人数据安全。首先,需要在国际标准和规则制定方面开展国际合作,与欧美发达国家、发展中国家、周边邻国以及国际组织,就跨境数据流动准则展开友好协商,共同解决跨境数据流动治理中法律法规不一致和制度赤字问题,合作探索区域性乃至全球性的跨境数据流动共同标准和监管准则,营造统一、透明、公正、合理的监管秩序。各国也要明确个人数据权利、数据处理原则、数据安全要求等方面的规定,以提升本国法律法规的国际适应性。其次,可以通过签署双边和多边协议为跨境数据流动监管提供行为依据,明确双方或者多方在跨境数据流动监管中的责任与义务,为合作开展跨境数据流动监管提供统一的行为准则,建立起跨境数据流动的信任机制。再次,推动建立跨国联合执法机构,提高跨境数据流动监管的威慑力,协调和监督跨境数据流动,解决跨境数据流动中的争端和纠纷。建立境外数据访问和调取的合作机制,以便各国执法机构在必要时能够合法访问和调取跨境数据。最后,加强跨境数据流动治理的相关培训和能力建设,包括加强法律法规的培训、促进技术人员的交流与合作、提供政策指导和咨询支持等,实现跨境数据流动国际合作治理的多方参与和利益平衡。
【本文作者为 宋华盛 九三学社中央经济委副主任、浙江大学经济学院教授 ;周建军,浙江大学国家制度研究院研究员】
注释
[1]《“数字服贸”为开放型世界经济注入新动能》,新华网百家号,https://baijiahao.baidu.com/s?id=1776113597730182447&wfr=spider&for=pc,2023年9月4日更新。
[2]《王晓红:中国数据跨境流动量2025年或将位居全球之首》,中新经纬,http://www.jwview.com/jingwei/html/08-29/501101.shtml,2022年8月29日更新。
[3]洪永淼、张明、刘颖:《推动跨境数据安全有序流动 引领数字经济全球化发展》,《中国科学院院刊》,2022年第10期,第1418—1425页。
[4]李金、徐姗、卓子寒等:《数据跨境流转的风险测度与分析——基于数据出境统计信息的实证研究》,《管理世界》,2023年第7期,第180—201页。
[5]梁正:《跨境数据流动中的信息安全问题探究》,《人民论坛》,2023年第17期,第38—41页。
[6]李艳:《大国博弈下的跨境数据流动国际规则构建》,《当代世界》,2023年第5期,第25—30页。
[7]盛祥、于琳、黄海瑛:《跨境数据本地化:主权考量、安全底线与战略定位》,《图书馆论坛》,2023年第9期,第21—29页。
[8]张龑:《网络空间安全立法的双重基础》,《中国社会科学》,2021年第10期,第83—104页。
责编:罗 婷/美编:石 玉