
原创: 信通院互联网法律研究中心 作者:CAICT互联网法律研究中心

2019年12月,世界经济论坛发布《全球数据流动治理探索白皮书》,该白皮书旨在加深对全球数据跨境流动问题的理解并扩大各利益相关方的共识。
一、关于数据流动的限制
多国通过强制企业在特定边界内存储数据或对要传输到境外的数据施加额外要求,以实现其关于数据传输的监管目标。据统计,全球范围内正在实施的关于数据的政策法规已超过200项;而根据欧洲国际政治经济中心(ECIPE)的数据限制指数测算,全球对数据流动的总体限制在过去十年中翻了一番。
数据流动的限制可以由地方、中央或区域政府部门实施,在某些情况下也可以由承担公共事务职能的机构(例如医院)负责实施。因此,不同类型的数据,其跨境流动受到的约束也不尽相同。目前,全球范围内对跨境数据流动的监管包括以下几种情况:
一是无条件流动机制:数据可以跨边界自由流动,而无特殊要求。
二是有条件的流动:除非数据接收国、数据控制者或者数据处理者满足某些条件,否则数据禁止转移到国外。目前,这种制度通常适用于个人数据。
三是本地存储要求:某些数据禁止跨边界传输,除非副本存储在管辖区域内。这种类型通常适用于某些税收和会计记录、公司文档、公共档案以及电信公司或其他互联网中介机构持有的用户数据。
四是本地处理要求:数据的主要处理必须在本国的数据中心内进行。企业必须在该国建立或租用数据中心,或切换到本地的数据处理服务提供商。针对公共机构或敏感部门(例如金融、卫生和电信部门)持有的数据,有时会采用这种方法。
五是禁止数据传输:数据必须在本国领土内存储、处理和访问。这种类型与本地处理的不同之处在于,甚至不允许企业将其数据副本发送到国外,通常适用于被分类为特别敏感的数据(例如医疗保健数据或财务数据等)。
二、限制数据流动的影响
白皮书分析了限制数据流动对企业经济成本、网络安全、政府监管等方面的影响。
一是经济成本方面。限制数据流动可能导致本地企业无法自由地选择最方便的数据处理提供商,数据传输时可能需付出更多的成本,并且有限的服务访问和更高的数据处理成本最终可能广泛影响各国在第四次工业革命中的竞争力。从逻辑上讲,限制数据流动的经济影响不仅作用于本国市场,而且还会影响其贸易伙伴。如印度公司的一项调查显示:在接受调查的对象中,有五分之二的公司因遵守欧盟GDPR的合规要求导致失去的商业机会超过1000万美元。
二是网络安全方面。被迫将数据保留在本地的公司可能对其运营缺乏监督,数据本地化基础架构提供商可能缺乏实施高安全性标准的资源和技能,从而使数据面临更大的泄露风险。因此,数据安全性不取决于保存数据的位置,广泛地使用增强隐私的技术可能是更有意义的,包括依赖于数据流的技术解决方案(如自动更新、基于硬件的安全性、数据加密以及进行多因素身份验证),以及操作方面的创新(通过培训进行用户教育、建立计算机应急小组等)。
三是政府监管方面。从监管部门的角度来说,可能并不希望将数据保存在本地。如全球金融市场协会(GFMA)认为:无论数据存储在哪里,金融服务提供商均应当确保金融监管机构可以访问数据。在2019年6月的G20会议上,金融稳定委员会(FSB)指出:为有效地监控风险敞口、进行市场调控,监管部门需要获取相关信息,而限制数据传输可能破坏了监管部门履行监督职责的能力。此外,跨国公司可能受多种不同的隐私法规或数据流动限制制度的约束,而这些政策法规之间可能存在冲突。
三、相关举措建议
在当前的数字时代,使用和处理数据必须建立在确保个人和国家信息安全的基础上。虽然限制数据流动可能为一个国家或公司带来收益,但收益并没有那么普遍,限制可能不是实现一系列预期监管目标的最佳选择。允许数据流动和实现合法的监管目标之间不一定是零和博弈,使用限制性措施应更广泛的进行经济、法律和技术等方面的分析。政府主管部门希望研究制定相关的政策法规,以促进数据自由流动与保护个人信息、维护网络安全以及保障执法部门基于正当程序访问数据等问题之间取得平衡。为此,白皮书提出了以下举措建议:
(一)明确预期监管目标。政策制定者应当清晰地确定预期目标(例如,改善数据隐私并确保适当的税收收入),并进行技术分析,以确保为实现预期目标而对跨境数据流采取的任何限制措施都是必要且适当的。在这个过程中,应允许不同的利益相关方(包括技术专家、民营企业等)广泛参与,充分吸收各方关于如何实现政策目标同时减少因限制数据流动所造成损失的意见建议。
(二)评估执法成本及对经济的影响。尽管政府主管部门有权确定监管目标的理想水平,但仍应当采取对贸易限制最少的手段来实现预期结果。除进行技术分析外,政府主管部门还应当评估对本地和外国企业采取某种措施的经济成本,尤其需要考虑对就业和中小微型企业带来的影响。评估有助于确定用于实现既定政策目标的低成本方案,但对于是否可能因降低网络安全性、抑制创新、减少可供选择的服务提供商等带来更广泛的成本支出,政府主管部门应广泛考虑并征求各利益相关方的意见。
(三)确保透明公正。当确实需要对跨境数据流进行一定的限制时,政府应选择限制最小的措施,并确保该措施对本地和外国企业是透明且非歧视的。对于是否符合透明且非歧视的要求,可以根据监管措施的信息可用性和清晰度、有关变更实施的预先通知、制裁和执法的清晰度等来进行判断。在适当的情况下,决策者可以在区域或国际论坛上发布政策,并提供足够的时间征询公众意见,以促进国外企业合规。
(四)善用区域或国际标准。调整国内隐私和网络安全框架使其符合区域或可用的国际标准,通过该方式可以帮助企业减轻合规负担,并使数据治理方面的监管合作更容易进行。例如,根据亚太经合组织跨境隐私规则体系(APEC CBPR)、全球首个隐私体系标准(ISO 27701)和美国国家标准技术研究院(NIST)的网络安全框架,若企业采取了符合上述规则要求的保护措施并保留承担责任的前提下,可以不受限制地传输数据。
(五)提供数据跨境流动的合法机制。在对数据跨境流动施加限制时,相关政策应同时包含合法的流动机制,以确保在特定条件下将数据转移到国外的企业有章可循。政策制定者可能希望采取越过“个人同意”的方法,规定更系统的数据流动机制。例如,通过充分性调查、符合约束性公司规则(BCRs)、采用标准合同条款(SCC)以及采用相关政策制定机构之间达成的互认机制(如APEC CBPR或欧盟-美国隐私盾)。
(六)促进中小微型企业合规。从隐私的角度来看,确保合规很重要,但过高的要求可能超出某些企业的能力范围而导致违规。因此,政策制定者需要对数据跨境流动机制进行更多考虑,探索适用于中小微型企业的机制。例如,在东盟数据治理框架下,正在建立与APEC CBPR系统的互操作性,但也应针对区域需求进行量身定制。
(七)公平公正执法。各国政府应以公平公正的方式执行其隐私和网络安全法。强制执行力对于建立具有高可信度的跨境数据流动机制至关重要,鼓励将国内监管部门与区域执法机构开展合作的相关标准予以公开。
(八)消除非个人数据流通的障碍。2019年5月,欧盟《非个人数据自由流动条例》正式生效。该条例旨在消除欧盟内非个人数据流动的障碍,鼓励更多的数据流动。但是,该授权仅限于欧盟内部的自由流动,不包括其他国家或地区。此外,一些公司指出:由于不同司法管辖区对个人和非个人数据采用不同的定义,可能导致两种类型的数据重叠,很难清晰地区分个人数据与非个人数据。
(九)加强监管合作。对于数据跨境流动,尽管已经商定了相关的国际标准,但在不同国家的执行方式也存在很大差异,因此仍然需要互操作性机制。此外,考虑到许多国家需要技术和资金支持来监控企业在境外的行为,也需要加强在消费者保护、执法部门调取数据、网络安全和隐私保护等方面的监管合作。
作者简介:贾宝国,中国信息通信研究院互联网法律研究中心研究员