前,全球数据跨境流动规则尚未达成最终共识,全球数据治理呈现碎片化特征,各国家基于国家安全、 产业发展等情况,构建了特征不同的数据跨境流动监管制度与治理模式。
各经济体数据跨境流动规则主张建立在自身经济利益基础上,呈现“数据重商主义”趋势。何一种规则主张 的本质都是各国基于发展实际和国家利益而做出的“数据重商主义”选择。例如,开放流动型的美国基于自身数 字技术、数字平台发展优势,在国际上高调呼吁推动数据跨境自由流动,但同时也通过制定重要数据清单对一 些涉及安全或关键技术的数据进行出境限制,呈现出“宽入严出”的特点。监管例外型的欧盟所推行的数据跨境 自由流动则是以高标准的个人数据保护为前提。欧盟对内以《非个人数据自由流动条例框架》《数据治理法 案》等促进数据在各成员国之间自由流动;对外则是通过设立高标准个人数据保护壁垒对内部数据流出进行严 格限制,呈现出“内松外严”的特点。严格监管型的俄罗斯、印度则以数据本地化政策要求数据回流,以保护主义 政策推动本国 IT 产业发展。中国和新加坡所主张的数据跨境自由流动则是以维护数据主权和保障国家安全 为前提。各国根据实际利益制定形形色色的跨境数据流动规则来保护本国数字产业发展,全球数据跨境流动规 则与治理呈现“数据重商主义”趋向。
同时,在“数据重商主义”的驱动下,以美国、欧盟、日本为代表的国家基于信任关系或意识形态趋同推 动构建数据跨境流动圈,全球数据跨境流动规则制定呈现出“政治泛化”特征。美国正在通过强势的外交政策 拉拢其盟友推动基于信任关系的数据自由流动,并针对中国、俄罗斯等“敌对国家”实行数据封锁,印度等国家 和地区也在跟进对我国实行数据跨境流动限制。经合组织(OECD)的数字经济政策委员会(CDEP)在 2020 年 12 月声称:“努力实现政府对私营部门持有的个人数据的可信任的访问,是一个紧迫的优先事项”,而“缺乏受信任的 政府访问个人数据的共同原则,可能会导致对数据流动的不适当限制,造成有害的经济影响”。美国与欧盟、日 本、韩国意识形态和政治利益趋同,是传统的政治、军事盟友,美国正在拉拢盟友将所谓“缺乏受信任”的国家政 府排除在数据自由流动圈子之外。首先,美国在 OECD、APEC、G20、G7 等国际组织中谋求主导地位。美 国于 2015 年主导建立 APEC 的 CBPR 体系,目前共有 9 个国家或地区加入。近年来美国寻求将 CBPR 体 系独立于 APEC 框架外,允许更多非 APEC 成员加入,此举被认为是为了排除中国加入 CBPR 体系。其次, 美国及其盟友通过区域贸易协定或数字贸易专项协定,已经基本打通数据跨境自由流动圈。欧盟与美国 2022 年在已废除的隐私盾协议基础上建立了《欧美数据隐私框架》,欧盟委员会于 2023 年 7 月投票通过了《欧美 数据隐私框架》的充分性认定,美欧之间继《安全港协议》《隐私盾协议》之后再次建立起稳定的数据跨境 流动框架。此外,《日本-欧盟经济贸易协定》、《美国-韩国自由贸易协定》、《美国-日本数字贸易协定》等区 域贸易协定或数字贸易协定均已生效,且都专门设定了包括数据跨境流动在内的数字贸易规则章节或条款。此 外,美国与欧盟成立美欧贸易与技术委员会(U.S.-EU Trade and Technology Council,以下简称“TTC”),主导与澳大利亚、日本等 13 国启动“印度太平洋经济框架”(IPEF),建立更多合作机制,与盟友在政策上寻求协 调,在规则上寻求共识,将在包括关键技术数据出口、数据跨境流动等方面采取更多努力,遏制竞争对手。
各国数据跨境流动规则针对重要行业数据进行精细化分级分类管理,数据跨境流动规则呈现行业精细化趋 势。欧盟、美国等都根据本国产业实际需要确立了重要数据目录清单并制定了具体细则,构建了数据跨境流动 分级分类监管模式,旨在对涉及国家战略、商业秘密、国家安全、高科技等敏感数据的出境进行限制。如美国 制定CUI(非密受控信息)清单,对关键基础设施、国防、金融、移民、情报、国际协议、税收、核等20 大类、124 子类,按照风险程度予以不同管控。美国还通过限制重要技术数据出口以及特定领域的外国投资进 行数据跨境流动管制。2018 年 8 月签署生效的《美国出口管制改革法案》规定,出口管制不仅限于“硬件” 出口,还包括“软件”,如科学技术数据传输到美国境外的服务器或数据出境,必须获得商务部工业和安全局 (BIS)的出口许可。在外国投资审查方面,2018 年 8 月,美国通过了《外国投资风险评估现代化法案》 (Foreign Investment Risk Review Modernization Act,简称“FIRRMA”),并建立了与 ECRA 之间的联动机制 43,进一步收紧了对外国投资的国家安全审查程序。该法案规定了外商投资中的数据出境行为。根据 FIRRMA 第 1703 条,涉及敏感个人数据、关键基础设施和关键技术的美国企业的其他投资(包括非控制性 外商投资)也要受美国外商投资委员会的审查,以防止外国投资者通过投资来获取美国的个人数据或关键技 术。我国也在《网络安全法》以及相关行业规定中确立了数据跨境流动管理要求,以数据出境安全评估制度和 数据分级分类管理机制为主,以国家安全为导向,对金融、交通、健康、保险、征信、地图、网络出版等特定 行业数据、科研性质的特殊数据等核心数据严禁出境。
数据主权、数据安全、隐私保护问题仍是未来数据跨境流动治理面临的核心关切,如何协调各国监管要 求、贸易利益同时促进数据跨境流动是未来须应对的难题。一方面,目前许多国家和地区都在推进数据主权 战略部署,尤其针对重要数据、敏感数据、核心机密数据、特定行业数据出境进行严格管制。如美国虽然基 于其经济利益主张数据跨境自由流动,但同时也是全球最早部署数据主权战略建设的国家,其长臂管辖尤为突 出。俄罗斯的数据主权战略囊括在其严格实施的数据本地化政策框架之下,颁布一系列法案对数据主权进行保 护。我国则出台了《网络安全法》《数据安全法》《个人信息保护法》等顶层法律、配套细则办法以及特定行 业规制,构建数据出境安全管理框架,旨在对重要数据出境进行安全评估和管理,维护我国数据主权。未来随 着大数据、云计算、人工智能等新一代信息技术越来越广泛应用于经济社会、军事国防等各个领域,数据作 为基础性、战略性资源的重要性将日益凸显,“数据主权”成为继边防、海防、空防之后的另一个主权空间。 另一方面,数据安全面临新技术冲击。5G、大数据、云计算、人工智能、物联网等数字技术的发展及应用, 给数据安全、隐私保护带来新的威胁,隐秘在新技术外衣下的数据泄露、数据贩卖、数据侵权等数据安全事 件频发。如在使用 ChatGPT 的过程中,可能涉及个人信息、重要数据出境行为,如果使用不当,将对个人隐 私、商业秘密、国家安全造成严重威胁。再如,大量数据通过各类传感器或终端采集,包括人脸数据、基因 数据等个人敏感信息,及关键基础设施分布等关系国家安全的重要数据。相关机构估算,一辆自动驾驶测试 车辆每天产生的数据量最高可达 10TB44。随着数字技术的深入发展和应用,数据主权、数据安全、隐私保护 等核心问题将更加突出,未来如何协调各国监管要求、贸易利益同时促进数据跨境流动成为难题。
