来源:中国信息通信研究院CAICT 时间:2017-09-20 15:53:10 作者:石中金 单寅
跨境数据流动在推动数字经济发展、繁荣数字贸易方面的重要性日益凸显,正在成为国际贸易规则中日益重要的议题。受产业发展水平、规则制定能力、国际贸易政策、数据保护程度等影响,全世界主要国家对跨境数据流动产生了差异化主张,采取了不同的监管措施。美国和欧盟分别通过产业优势和规则制定能力希望主导数据流向并获取数据资源;澳大利亚允许条件跨境数据流动;俄罗斯是强制实施数据存储本地化的典型,推行个人数据存储的本地化。除此之外, 20国集团工商界活动(B20)、全球移动通信系统协会(GSMA)等商业社群支持商业数据跨境流动,主张尽快形成相关机制消除跨境数据流动壁垒。
一、美国利用产业优势力图主导全球跨境数据流向
美国在信息通信产业和数字经济上具有全球领先优势,这一点是其主导全球跨境数据流向的前提。长期以来,美国对待跨境数据流动的总体立场是“淡化国境概念,在合法公共政策目标得到保障的前提下、强调数据实现全球自由流动”。近年来,这一态度有所转变。
早在2014年底,美国向世界贸易组织提交了推动电子商务谈判的最新提案,这份提案认为:“限制跨境数据流动会阻碍经济活动的发展,并且阻碍跨境数据流动不一定能够确保数据安全,但制定这类政策要在考虑数据流动双方的经济利益和公众利益目标的基础上进行审查”。美国还建议,世贸组织规则要求成员国在一定范围内寻求、采取必要措施,以确保信息的安全性和保密性,成员国应当在促进贸易的基础上,出台相关措施、遵守相应规则。特朗普上台以后,这种“正常流动+合理限制”的趋势更加明显。通过上述措施可以看出,美国正在重新审视其跨境数据流动政策,力图实现从跨境数据自由流动到正常流动与合理限制平衡的转向:正常流动体现了产业界的诉求,蕴含了打破他国互联网服务市场准入壁垒的主张;合理限制则表明美国政府从数据安全与关键资源管理的角度出发,希望“截留”关键和重要数据在本国境内,确保全球数据源源不断地流向本国科技公司。可以看出,美国希望利用其遍布全球的信息通信产业分布,直接获取数据资源,主导数据流向,维系全球领导力。
二、欧盟通过完善和输出规则扩大数据流动体系
从1995年出台的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(简称“95”指令)到2016年出台的《一般数据保护条例》(General Data Protection Regulation,简称GDPR),欧盟一直秉持高标准的个人数据保护制度,并将此延伸到跨境数据流动上。“95”指令第28条规定,“只有当第三方国家通过相关国内法或国际承诺,对个人数据提供充分保护(adequate level of protection)时,才允许将欧盟公民个人信息转移、存储到该第三方国家进行处理”。也就是说,除非域外国家能够达到与欧盟同等程度的个人数据保护水平,将不能够与欧盟实现数据共享与转移。从此以后,“充分性认定”被确定为欧盟跨境数据的基本制度,该制度经过不断的发展完善已有二十多年,加拿大、阿根廷、瑞士等国均已获得该认定,即具备了与欧盟同等程度的个人数据保护水平。
基于上述原则,欧盟认为,一旦某国家/地区具有与欧盟相当的数据保护水平后,就可以与欧盟实现自由的个人数据转移,相当于拿到了进入欧盟的通行证(2017年初欧盟发布的一项“通告”文件称之为“特权”)。欧盟认定的充分性标准包括该国的个人数据保护整体水平,数据流动现状,以及与欧盟的政治、贸易关系,秉持的价值观和目标等。GDPR延续了“95”指令规定的这一标准,并且对跨境数据的合法路径制定了更加完善的规定;随着GDPR将于2018年正式实施,美国的一些互联网公司已经将欧洲的数据中心交由当地公司管理用于存储本地客户数据,以打消欧盟对安全的疑虑。
不难看出,欧盟将数据流动与安全议题挂钩,意图影响并改变他国的跨境数据规则,通过设置前提条件实现“以商促变”,进而让更多国家接受欧盟的跨境数据规则。
三、其他国家立足本国实际确保数据安全 获取数据资源
相比欧盟和美国的做法,澳大利亚、印度、俄罗斯等国家纷纷立足本国实际,采取措施让重要数据资源留存在本国境内,同时确保数据安全。
俄罗斯、印度采取防御性立场,严格限制跨境数据流动。俄罗斯通过立法、修法等方式明确提出公民个人数据的存储和处理必须在俄境内,是严格限制跨境数据流动的典型国家。俄罗斯通过修订《关于信息、信息技术和信息保护法》和《个人数据法》,要求信息拥有者、信息系统运营商、网络运营者必须使用俄境内的数据库处理俄公民个人数据、或者将数据库存放在俄境内,同时要求数据处理者在处理俄公民个人数据之前告知数据保护机构这些数据库的具体位置。印度《公共记录法》禁止除“公共目的”以外的公共记录被传输到境外,同时要求IT公司将部分基础设施放在境内,且存储在这些企业的印度公民个人数据、政府公共数据和商业数据不得传输至境外。
澳大利亚允许一般公共数据有条件跨境流动。相比俄罗斯等国家对跨境数据流动的严格限制,澳大利亚通过分级分类的管理手段,对一般公共数据实施允许有条件的跨境数据流动,通常做法是安全风险评估。《政府信息外包、离岸存储和处理ICT安排政策与风险管理指南》将政府信息分级,其中非保密类的公共信息允许在政府机构实施安全风险评估之后进行外包;《隐私保护原则》允许数据出口者和海外接收者签订数据跨境处理合同,同时要求合同必须包括原则性的安全管理内容。对于一些特别类型的数据,例如能够识别到特定个体的健康记录,澳大利亚同样禁止跨境传输。
四、商业社群希望建立相关机制推动商业数据跨境流动
B20、GSMA在年初发布的报告中,表达了对通过有效机制促进商业数据跨境自由流动的渴求,同时认为这一目标的实现有赖于一定的政策协调,各方应该形成相关机制来消除妨碍数据跨境流动的壁垒。B20认为,各方应该以积极的心态看待跨境数据自由流动,同时采取措施降低壁垒来释放数字经济的发展潜力、推动商业数据自由流动;GSMA则指出了健全的隐私保护机制对跨境数据流动的重要性,应当通过充分问责机制确保建立可信的数字环境。
总的来看,商业团体受其行业影响力、规模等因素限制,对跨境数据流动的立场仅仅停留在呼吁和游说层面,无法对数据流向、规则的制定和形成产生主导影响,但其主张反映了全球主流商业团体对跨境数据流动的基本态度。
作者简介
石中金,中国信息通信研究院产业与规划研究所消费与服务研究部副主任、高级工程师,主要从事电信监管、用户服务等领域的研究。
单寅,中国信息通信研究院产业与规划研究所工程师,主要从事个人信息和网络数据保护、ICT监管、网络和信息安全等领域的研究。
责任编辑:陈近梅
