数据作为新型生产要素,数据跨境流动在当今数字经济中扮演着重要角色,因其机遇与风险并存,已经成为各个国家和地区重点关注的议题之一。
数据跨境安全有序流动是数据要素高效运转流动的关键环节,自2008 年以来,跨境数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,支撑了包括商品、服务、资本、人才等其他几乎所有类型资源的全球化活动,已经成为驱动数字经济增长的主要力量。数据跨境流动是经济全球化的必然结果,也是当下和未来经济发展的常态。数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉具有重要意义。 一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全球化与国际贸易发展的重要力量。作为国际贸易发展的最新趋势,数字贸易在提升贸易效率、拓展贸易对象、降低贸易成本、丰富贸易业态等方面发挥着重要作用。
二是加速企业发展国际化进程。企业作为市场主体,其业务模式和经营模式引发高频化、规模化且常态化的跨境数据流动,在全球产业分工日趋细化的背景下,企业的海外业务布局通常涉及多个国家,数据的集中协同处理是企业经营的客观需求。企业跨境数据流动可促进各类资源要素畅通流动以及各行业市场主体加速融合,帮助企业持续推动自身运营方式改善、供应链优化与商业模式创新,助力企业实现资源的高效配置。跨境数据流通是推动人才流、物流、资金流和信息流跨域自由流转的基础,在推动企业全球化等方面发挥着积极作用。三是驱动数字经济加速增长。全球数据流动对经济增长有明显的拉动效应,据麦肯锡估算,数据流动量每增加10%,将带动GDP增长 0.2%。预计到 2025 年,全球数据流动对经济增长的贡献将达到11 万亿美元。据经济合作与发展组织(OECD)测算,数据流动对各行业利润增长的平均促进率在 10%,在数字平台、金融业等行业中可达到 32%。依托数字技术和信息网络推动数据跨境流动,可带动各类资源要素高效流动、各类市场主体加速融合,促进数字经济做强做优做大。
数据跨境流动给数字经济发展带来了强大的推动作用,但是数据跨境后也隐藏着不受控的安全风险。当前,国际上广泛认为,数据跨境流动不仅包括物理意义上的跨越国界,还包含第三国主体对数据的跨境访问和使用。随着经济全球化的发展,国际交流合作愈加频繁,数据跨境传输、存储、访问、使用的频次大幅上升,所带来的安全风险渗透至数据全生命周期,且随着数据跨境流动的范围不断扩大,产生的风险从个人隐私保护、商业利益保护升级跃迁至国家数据主权甚至国家安全。随着各国对数据跨境流动意义和影响的认识日益深入,数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、隐私保护、技术能力等多方面的考量,各国确立了不同的数据跨境流动策略,并基于此加快构建自身的数据跨境流动规则体系。
分国家层面来看,当前,数据跨境流动规则还处在探索阶段,各国对于数据跨境流动规则尚未形成共识,整体呈现多元性与差异化的特点。比如,美国采取的策略是理念上主张全球数据自由流动,实践中构建数据“单向”流动格局。欧盟“两手都要抓,两手都要硬”,双边场合推动数据互认标准,多边场合提倡数据自由流动,在强化个人隐私数据保护的同时,提升数据竞争优势。日本对数据跨境流动的限制性条件较少,但强调对涉及国家安全的敏感或关键数据进行监管。俄罗斯要求俄公民个人数据收集必须使用位于俄境内的数据库。印度将个人数据分为一般个人数据、敏感个人数据和关键个人数据,一般个人数据和敏感个人数据在境内存储副本的条件下可跨境流动,关键个人数据仅能存储在印度境内的服务器或数据中心,绝对禁止离境。澳大利亚、加拿大、韩国、巴西等国支持数据自由流动,但主张将保护个人隐私和国家安全写入例外条款,包括实现公共政策目标、保护个人隐私安全、保护国家安全等。截至目前,全球已有70多个国家或地区对数据跨境流动进行了不同程度的限制。
从当前国际数字贸易相关协定来看,数据跨境流动规则正在成为高水平贸易协定的重要标志,无论是发达国家成员主导的《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA),还是发展中国家成员签署的《区域全面经济伙伴关系协定》(RCEP),保障数据合理数据跨境流动都是其中的核心条款。各国限制数据跨境流动的规章制度存在显著差异,而且具有明显的冲突性,给数据跨境流动带来了很大难度。但是国际主流的跨境管理思想较为统一:基于数据的重要程度,分类分级的开展数据跨境管理工作,并在既有的国际合作框架下探索数据跨境合作,在经济发展、数据安全、国际环境三者约束条件下,形成数据跨境流动规则。
我国明确将数据作为新型生产要素,据《数字中国发展报告(2022 年)》数据显示,2022 年我国数据产量达8.1ZB,同比增长 22.7%,占全球数据总产量的 10.5%,位居全球第二;我国数字经济规模达 50.2 万亿元,占国内生产总值比重提升至41.5%。我国已经发展成为全球第二大数字经济体,数据跨境流动在数字经济中的作用愈发重要。但是如何在维护好国家数据安全、保护好个人信息权益的前提下促进数据有序流动成为当前面临的难题,我国数据跨境流动监管也面临较大挑战。 一是数据跨境流动隐蔽性强,难以有效监管。数据跨境流动深植于国际贸易、交往互动中,处理过程涉及多方参与协商,数据流动隐蔽性高,增加了数据跨境流动监管的复杂度。隐蔽的方式包括通过恶意软件采集、网络爬虫抓取或其他非法方式获取他人未授权的数据并流转使用。全球经济一体化背景下,数据是否以隐蔽且未授权的方式流动出境,成为数据出境安全治理亟需重点关注的问题,准确识别数据的不合法出境是数据跨境安全治理的基础。
二是数据跨境量级指数递增,分类监管难度较大。随着互联网的快速普及,海量数据不断汇聚积累,呈现出“数据海量化、种类多样化、处理快速化”等特点,这些数据遍布通信、金融、能源、交通等各个行业领域,数据格式混杂多样,数据价值各有不同,在数据跨境流动过程中,如何对海量的数据进行全面梳理分类和有效监管仍是挑战。数据规模庞大、数据流转实时变化、数据持续聚合拆分,增加了数据分类分级的难度。数据级别评估基准不统一,对重复加工生成的衍生数据状态判断不明,使得数据跨境流动风险难以有效判定。三是数据跨境攻击不断升级,数据安全态势严峻。随着数据价值不断提升,以数据为目标的跨境攻击愈加频繁,数据跨境攻击技术持续升级,攻击者的组织形式趋于集中化、专业化;攻击对象日益渗透至管、网、云、端等各环节以及各类网络设备、软硬件、关键信息基础设施等;攻击方式走向智能化、多样化,以人工智能等新技术为载体的攻击方式不断演变升级,难以防范。
近年来,我国积极构建实施数据保护相关的法律法规,秉持“统筹安全和发展”的理念,关注国家利益、公共安全与国际合作,探寻合规高效的跨境数据流动规则。我国立法明确提出“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”“积极开展数据安全治理、数据开发利用等领域的国际交流与合作,促进数据跨境安全、自由流动”的政策目标。同时,我国遵循多元共治的理念,在数据出境国际规则构建中,兼顾发达国家关注数字贸易利益以及发展中国家关注数据安全与产业发展利益的情况,支持基于公共政策目标或者国家安全利益而采取的数据本地化策略,与各国在独立自主基础上的开展合作与治理。一直以来,我国积极参与国际交流合作,逐步构建完善国内数据要素治理的顶层法律法规,推进具体落地实施,目前基本形成了符合我国数字经济发展要求的数据跨境流动规则。
