维护国家利益、保障数据主权是跨境数据相关监管和治理决策中的核心因素。
1.1 法律规范:中国特色的数据跨境流动管理体系初步形成
近年来,我国数据跨境流动管理的政策体系正加速构建与完善。2017 年《中华人民共和国网络安全法》首次规定了数据出境的安全评估制度,开启了跨境数据安全与数据监管的序章。2021 年,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》形成了数据分类分级管理框架,为数据跨境流动管理提供了法律依据。2022 年,《数据出境安全评估办法》(以下简称“《评估办法》”)明确了数据出境安全评估的三类适用场景以及安全评估流程、步骤、所需文件等,这也意味着,三部法顶层架构结合该《评估办法》,促使数据跨境流动的安全评估制度的具体指引落地,也为相关监管提供明确依据。
而对于多方利益并存的个人信息,相关出境需求快速增长,个人信息权益保护面临较大挑战。2023 年,《个人信息出境标准合同办法》(以下简称“《标准合同办法》”)详细规定了若个人信息出境采用“标准合同”途径下的具体要求,包括适用范围、订立条件和备案要求,其“附件”还列出了标准合同的基本条款,将法律规范转化为合同规则。《标准合同办法》与《评估办法》互为补充、互相衔接,进一步完善了个人信息出境管理制度。结合数据出境安全管理工作实际,2024 年《促进和规范数据跨境流动规定》落地,立足发展与安全的理念,该《规定》适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围。
总言之,目前我国已形成数据分类分级管理的顶层设计框架,就数据跨境流动具体实施路径采取数据出境安全评估、个人信息出境标准合同和个人信息保护认证三个方式,中国特色的数据跨境流动管理体系基本形成。[28]值得关注的是,目前我国对于 GAI 数据跨境场景的特殊性并未做出专门性的制度回应。
1.2 行业管控:重点行业数据跨境的加强监管制度
行业数据出境管理的初步实践主要集中在关键信息基础设施领域,如金融和信息通信服务领域。各行业已出台相应的规定,明确数据存储是否需要限定在境内、数据的保存期限以及是否允许数据出境等内容。例如,中国人民银行在《关于银行业金融机构做好个人金融信息保护工作的通知》中明确要求,银行收集的个人金融信息必须在境内存储、处理和分析,除法律法规明确规定外,不得向境外提供个人金融信息。类似地,交通运输部与工信部等七部门联合发布的《网络预约出租汽车经营服务管理暂行办法》要求网约车平台将所采集的个人信息和生成的数据存储在中国,并且保留至少两年。此外,法律法规如《人口健康信息管理办法(试行)》和《保险公司开业验收指引》也明确了数据本地化的相关要求。
1.3 合规性管理:本地化存储与基础设施建设
随着全球范围内的数据保护立法不断强化,企业在跨境数据传输方面不得不建立合规的基础设施。例如,GDPR 要求非欧盟国家的企业在处理欧洲用户数据时,必须遵循严格的数据保护标准。这导致微软、亚马逊等科技巨头在欧盟建立本地化的数据中心,以避免跨境传输带来的合规风险。同样,中国的《数据安全法》和《个人信息保护法》对 GAI 数据的跨境传输也提出了限制,这促使中国企业在海外部署本地化的服务器和存储,以应对多国法规的复杂性。通过这种方式,产业在基础设施层面响应了各国的法律法规要求。
1.4 技术现状:技术支撑监管部门的安全评估和风险管理
随着我国数据跨境传输政策框架的逐步完善,相关技术手段的应用也不断发展。国内企业和监管部门积极采用数据加密、隐私计算、区块链等先进技术,以确保跨境数据传输的安全性和合规性。特别是在 GAI 和个人信息处理领域,企业和机构利用加密技术保障数据在传输过程中的完整性与隐私,防止数据被篡改或泄露。隐私计算技术已逐步应用于跨境数据流动中,通过对数据进行加密处理,实现在不暴露原始数据的前提下进行数据分析和处理,从而进一步增强了数据的安全性。此外,区块链技术在数据跨境传输过程中,提供了数据来源的可追溯性和不可篡改性,有效增强了监管部门对数据跨境活动的可视化监控和审计能力。国内技术企业也在持续推动基于数据沙箱和多方计算的跨境数据合规解决方案。这些技术支持各国监管部门对跨境数据流动进行全面的安全评估与风险管理,不仅提升了数据传输过程中的合规性,也为我国在国际数据治理中提供了更多的话语权和竞争力。
数据跨境流动政策是数据跨境流动管控中的主要制度和依据,作为一项长效机制,该政策制定与优化的决策过程中需要考量诸多复杂因素。本白皮书结合我国在跨境数据流动中面临的机遇、威胁、优势和劣势,试以提出制衡、影响政策制定以及优化的主要决策因素,结合决策因素探讨我国数据跨境流动的环境和实际能力,为后续数据跨境流动政策制度优化提供基础,以及为后续治理路径探讨做指引。
2.1 数据安全和隐私保护要素
数据安全和隐私保护是跨境数据相关监管和治理决策中的首要因素。数据安全威胁泛化导致数据跨境流动风险复杂化。在数据跨境流动的过程中,数据安全面临着更为复杂的威胁。一方面,各国的数据保护标准不统一,导致数据从高保护水平国家流入低保护水平国家时,流出国用户的权益在数据跨境转移后难以得到保障,执法与救济存在明显障碍。另一方面,各国关键信息基础设施和重要机构所承载的大量敏感数据具有巨大的国家安全战略价值。例如,控制石油、天然气管道、交通、电力、银行和金融等领域的网络系统产生的大数据,对于国家安全至关重要。这些敏感数据在跨境传输过程中面临不可控的风险,因此,各国需在国家层面加强数据安全和监管能力,确保跨境数据流动的安全性。各国在制定数据跨境流动制度时,首要考虑的是数据和个人信息的安全问题。例如,GDPR对数据保护有着严格的规定,而美国的数据处理也受到《电子通信隐私法》等法律的约束。
2.2 国家利益和数据主权要素
维护国家利益、保障数据主权是跨境数据相关监管和治理决策中的核心因素。国家利益由安全、政治、经济、文化四个相关关联的利益所共同构成,指导着我国的对外政策和行为。其一,数据跨境流动政策应在安全底线上满足对外贸易往来的需求,“ 一带一路”倡议框架是中国经济政策导向和趋向,基于此,主导构建新型的全球数字经济规则和数据治理体系,推动新的多边合作机制的发展是我国的主要需求。其二,制度与监管体系的完善有助于提升我国数据保护的国际政治形象。我国的数据保护制度曾因不健全而受到国际社会的批评,尤其在欧盟和亚太经合组织(APEC)的研究报告中指出,中国在个人数据保护方面的水平尚无法满足国际标准,影响了跨境数据流动的国际合作。然而,随着我国的数据保护法律体系正逐步完善。同时,监管部门如国家网信办和公安部也在积极落实隐私政策评审、违法数据处理行为的约谈及专项整治等措施。这些进展有助于改善我国的数据保护形象,为开展数据跨境流动的国际合作奠定了基础。
围绕数据主权的战略博弈呈现泛化趋势。随着数据全球化的不断推进,数据主权(Data Sovereignty)成为各国日益关注的议题。相比于领土、人口等传统的国家主权管辖对象,数据主权具有更大的复杂性。其一,数据的天然流动性要求各国在行使数据主权时,必然需要与其他国家进行权利交换和权力妥协。如果过于强调对本国数据资源的绝对控制,将会导致数据流动停滞,甚至可能导致网络空间的分裂,从而最终危及本国的数据主权。其二,数据主权的博弈已不再局限于个人权利和产业竞争,逐渐扩展到国家安全和公共安全领域。各类政治集团、行业巨头、权利组织等纷纷介入,从不同角度对跨境数据流动施加非技术性要求,使得跨境数据流动问题愈加复杂。其三,国际法规则的不完善及各国法律差异的存在,导致数据主权管辖边界容易出现重叠与冲突。最后,各国在数据主权保障方面的能力存在显著不对称。美国在网络空间基础资源和技术产业的主导地位,形成了对其他国家数据主权保障能力的现实压制。即便斯诺登事件后各国高度重视数据安全技术和产业发展,全球数据主权保障能力不均衡的现状依然存在。
2.3 技术和产业优势要素
技术和产业优势是跨境数据相关监管和治理决策中的现实因素。新一轮技术革命改变数据流动逻辑,为我国提升全球产业价值链中的地位提供机遇。随着智能时代的到来,5G、物联网、大数据、云计算和人工智能等领域的技术进步正在改变数据流动的底层逻辑,同时也将推动全球产业格局的革命。我国产业在这些技术领域积累了深厚的创新能力,具有通过技术创新提升全球产业价值链地位的潜力。因此,我国在构建跨境数据流动规则时,应充分考虑新技术变革带来的产业升级机会,并在全球竞争中占据有利地位。
我国数据经济产业增速显著,具有明显优势。中国拥有全球最大的互联网用户群体和移动互联网用户数,在网络化、智能化、平台化的采购、生产、营销等各个环节,越来越多的中国企业开始进行深入布局,已经成为名副其实的“世界数据中心”。在数据应用方面,阿里巴巴的 DT 战略、腾讯的“大数据连接的未来”和百度的“中国大脑”战略,均围绕数据驱动进行了布局。同时,随着互联网产业O2O(线上到线下)趋势的发展,中国互联网企业的业务逐步延伸至金融、保险、旅游、健康、教育、交通等多个行业,极大地丰富了其数据来源并推动了数据分析技术的发展。这些举措不仅巩固了中国互联网企业在大数据领域的领先地位,还扩大了大数据分析在各行业的应用空间。
另一方面,需要考虑以美国为首的西方发达国家贸易保护主义障碍,随着中国等新兴大国科技水平的快速提升,西方发达国家对于其在全球价值链中的地位愈发感到焦虑,尤其是在高端技术领域的超额利润受到威胁。这种焦虑使得美国加强了新兴技术出口管制和外国投资审查,实施“推定否定”的出口政策,原则上不允许技术出口,并将多家中国企业列入出口管制实体清单,从而阻碍了中国通过正常经贸活动获取有价值的技术数据。同时,欧盟对数据保护的高标准要求,也增加了中国企业获取欧盟公民数据的门槛,进一步加剧了跨境数据流动的阻碍。
