数据跨境流动:在数据保护与利用间寻求平衡

今年2月,欧盟委员会公布了《数据法案》(Data Act)草案全文。该法案第七章针对非个人数据的国际访问和传输有关问题作出了具体规定。该章要求数据处理服务提供者等主体落实具体的保障措施,限制欧盟境内非个人数据的跨境流动,从而实现欧盟公民、企业、公共部门对数据的控制,促进欧盟内部对数据的信任。

中国数据跨境流动治理的现有规则

随着互联网、电子商务、国际贸易等日渐发展,数据跨境流动的规模正在日益扩大,其对数字经济发展的驱动力也日益显著。在全球化的大背景下,无论是新兴互联网企业、跨国公司还是传统行业,其商业活动的开展都和数据跨境流动息息相关。中国在数字经济领域发展迅速,如何在保护数据安全的同时,推动数据流动、充分发挥数据效用,是我国深入推进数字经济跨境贸易与全球化的现实难题。

当前,我国数据跨境流动治理体系初步形成。在国内法律制度层面,《网络安全法》《数据安全法》《个人信息保护法》等法律对数据跨境流动作出顶层设计,《地图管理条例》《征信业管理条例》等行政法规对特定行业的数据管理作出具体要求。其中,《网络安全法》第三十七条第一次明确提出了个人信息和重要数据“境内储存、出境评估”的制度,为我国的数据跨境流动治理指明了原则与方向。值得注意的是今年7月7日,国家网信办公布了《数据出境安全评估办法》。该部规章对数据出境安全评估提出了具体要求,进一步明确了重点数据的定义、数据出境安全评估的流程、重点评估事项等内容,为数据跨境流动提供了规则指引。

在国际规则方面,中国于2020年正式签署《区域全面经济伙伴关系协定》(RCEP),与日本、韩国、澳大利亚等国家就数据跨境流动达成了一致协议,为促进区域内数据跨境流动奠定了良好基础。2021年,中国又陆续申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)与《数字经济伙伴关系协定》(DEPA),积极参与全球数据跨境流动规则的制定,不断加快与国际接轨的步伐。

总体而言,我国目前数据跨境流动法律法规体系已形成基础性框架,但仍有待继续完善。例如,数据安全管理方面的《网络数据安全管理条例(征求意见稿)》正在完善中,尚未出台。而新出台的《数据出境安全评估办法》内容较为精练,有待于在实践中细化和落实。

欧美数据跨境流动规制体系

在对数据跨境流动的治理上,欧盟一直强调以高标准保护为前提。在《数据法案》草案出台以前,欧盟于2018年通过了《通用数据保护条例》(GDPR)和《非个人数据自由流动条例》,对欧盟个人数据的跨境流动与非个人数据在欧盟境内的流动做出了有关规定,而今年通过的《数据法案》则进一步对非个人数据跨境流动作出了严格限制,填补了相关规则的空白。欧盟通过对个人数据与非个人数据的严格保护,实现对美国数据长臂管辖权的制约与数据主权的维护。

美国对于数据跨境流动总体持积极态度,其通过制定宽松的监管政策,鼓励数据跨境流动以实现贸易利益最大化。在国际层面,美国通过亚太经济合作组织(APEC)跨境隐私规则机制(CBPR)推动成员内部的数据流动。今年4月21日,美国发布《全球跨境隐私规则声明》,宣布建立全球跨境隐私规则体系,进一步扩大了CBPR机制的全球影响。此外,美国寻求对境外数据的管辖权,其通过《澄清境外数据的合法使用法案》(CLOUD法案)实现数据领域的“长臂管辖权”,扩大了美国执法机构调取境外数据的权力。

美欧之间也一直尝试建立起数据跨境流动的合作机制。尽管双方曾经达成的安全港协议、隐私盾协议最终因欧盟认为美国未能提供充分隐私保护而被废止,但在今年3月25日,欧盟委员会和美国宣布就新的跨大西洋数据隐私框架达成一致的政治协议,从而进一步推进跨大西洋数据流动。从美欧双方对推动数据跨境流动的不断尝试中,可以看出推动数据在全球范围内跨境流动,以实现数据价值的真正最大化,仍是数据跨境流动的未来趋势。

寻找数据保护与数据利用的平衡

跨境数据流动在推动数字经济与国际贸易发展的同时,不可避免地涉及个人隐私保护、产业发展需求、国家安全维护等多重利益的冲突与平衡。完善我国的数据跨境制度体系是一个相当宏大且复杂的命题,要从以下几点着手:

第一,完善国内法律制度,构建数据跨境多元治理方案。对国家而言,进一步完善我国数据跨境的有关法律制度是实现跨境数据治理的基础。应进一步明确《网络安全法》《数据安全法》规制的数据范围,对于重点数据和个人数据应分类采取不同的规制标准,降低企业合规成本。对行业而言,应加强行业自律,结合我国互联网行业发展水平,建设数据跨境行业指南与标准。对企业而言,则应培育自身数据合规意识,提高数据保护水平,防控风险。

第二,加强高新技术研发,提高全流程监管能力和保护水平。法律规则监管能够对事前的风险进行评估,对事后的责任进行追究,但无法对数据跨境全流程进行监管,存在一定的滞后性。针对数据跨境中存在的系列安全风险,应加强高新技术研发,依托区块链、同态加密等技术手段,增强风险防控能力与数据安全事件处理能力,提高跨境数据流动的监管能力和安全保护水平,实现数据安全的可监测、可管控、可追溯。

第三,坚持合作共赢原则,积极参与跨境数据流动规则制定。跨境数据流动规则影响着各国之间的国际贸易。随着《全面与进步跨太平洋伙伴关系协定》《数字经济伙伴关系协定》和亚太经合组织跨境隐私规则机制的建立,各国在数据跨境流动的国际规则制定上博弈加剧。我国应更加主动参与有关国际规则的制定,提出数据跨境的中国方案,真正提高我国数字经济的国际竞争力,保障数据主权。

(作者:东南大学法学院 侯佳仪;国家计算机网络应急技术处理协调中心江苏分中心 董宏伟)

原标题:数据跨境流动:在数据保护与利用间寻求平衡