随着�����数字经济的蓬勃发展,数��据跨境流动已成为全球关注的焦点。如何平衡数据安全与自由流动,维护国家安全与促���进经济发展,成为各国亟需解决的问题。本文通过总结全球模式,提出“国家-市��场-个人”的分析框架,探讨了不同国家和地区的治理策略;并结合中国实际情况,提出以实践为导向的政策建议。
李晶昀 AI图
一、全���球模式:“国家-市场-个人”为框架
1.高度自由化模式:美国的数字霸权。美国长期以来主张“自由化”,鼓励数据在全球范围内自由流动。实际上,这是因为美国作为全球数字经济领域的领导者,如果实现数据完全自由流动,其将成为最大的数据流入地,进一步扩大技术和产业优势。因此,在数据入境方���面,数据自由流动既符合企业的经济效益,也符合国家的国际竞争战略。但与此同时,在数据出境方面,美国采取非常严格的出���口管制并适用长臂管辖。因而,美国采取的是一种基于市场霸权的数据流动监管体系,力图巩固数字企业的先发优势和对市场的主导力量,同时保护国家利益。鉴于其占据较大的全球市场份额,尤其是在数字经济领域,因而其对数据出境的���限制不会对其本国企业造成太大的困扰,企业和国家共同享有市场霸权带来的潜在利益。
2.有限��自由化模式:欧盟、日本置个人信息保护于首位。欧盟和日本等部分发达经���济体对数据跨境流动采取较为谨慎的态度,强调对个人隐私权的保护,仅在有限范围内依据“充分性原���则”开展数据流动。欧盟主张从个人权利保护的角度对跨境数据流动进行监管,注重隐私权。同时,欧盟积极推动成员方之间的数据自由流动,建立欧盟单一数字市场,呈现“内松外严”。类似地,日本于2019年提出“可信任的数据自由流动(DFFT)”原则,力图提升与欧美之间跨境数据流动的便利性。因而,在这些地区,企业更多面对的并非国家,而是用户和消��费者个人。实际上,这是因为欧盟和日本等地区在国际政经格局中面临的压力和威胁相对较小。其本身作��为发达经济体,加之长期的亲美路径,使得他们不必过多地面临经济发展与国家安全之间的矛盾。同时,这也源自西方国家重视个人权利的历史传统,是现代西方国家政策合法性的客观需要。
3.高度本地化模式:俄罗斯、印度保障国家主权和产业安全。俄罗斯和印度等国家选择“数据本地化”的策略。一方面,旨在增强本国在全球数字经济中的独立性和安全性,将数字发展最大限度转化为国内的经济发展;另一方面,旨在维护国家���主权和网络安全。俄罗斯的法律法规力图确保所有涉及个��人数据的存储和处理必须在国内进行。实际上,这一选择有其政治安全考量。俄罗斯长期处于与欧美国家的对抗之中,不得不以放弃部分数字经济发展空间为代价,力求在国际政治对抗格局下的国家安全。印度则追求对关键数字资产的控制,抵抗全球数字霸权。印度面临的发展风险是,一方面为全球数字平台提供原始数据,积累数字资本,另一方面又要为这些数字资本的产出成果付费。为了减少这种基于数字霸权的“剥削”,印度选择高度本地化的策略,保护其自身的产业和数字经济��发展。因而,俄罗斯和印度所呈现的本地化策略,都是为了应对来自国际政经格局的威胁。政府需要出手保护国家安全、产业稳定和经济发展空间。
基于以上分析,本文提出“国家-市场-个人”的分析框架,即在讨��论数据跨境��流动的问题时,需要考虑三个方面:国家在国际政治经济格局中的状况;国内企业在全球市场中的生态和地位;国内文化和传统对公民观念的塑造。
二、中国亟需发挥市场力��量以应对国际格局变化
1.整体情况:基于“国家-市场-个人”框架。就国际政经格局而言,中国的数据跨境活动和数字经济发展面临较大的压力。一方面,美国为首的西方国家泛化安全问题,加剧中国出海数字企业的数据合规风险。欧美国家正主导建立所谓“基于信任关系”的数据跨境流动自由圈,并将中国作为“不受信任国家”排除在外。近年来,中国出海企业屡受打压。美国因数据存储安全和���算法推荐操纵为由,通过全面禁止Tiktok的法案。另一方面,随着数据跨境流动规则的政治化、阵营化,中国数字产业发展面临数据封锁困境。欧美国家制定的数据流动规则具有明显的意识形态偏见,阻碍中国融入全球开放创新生态和贸易投资网络。
就市场生态而言,中国在数字技术和平台经济方面有着较强的竞争力,仅���次于美国。根据联合国发布的《数字经济报告2021》,截至2021年5月,全球百家数字平台中有45家来自中国,市值占比近30%;并且,中国2022年跨境电商进出口规模突破2万亿元,主体超10万家,拥有Shein、Temu、阿里速卖通等全球数字企业。中国在数字经济领域具有强劲的市场潜力和繁荣的发展前景。
就公民观念而言,中国的个人权利意识和倾向并不显著。在文化和传统中强调“集体主义”,推崇“家”和“国”的集体概念;“权利-义务”的法学观念并不占据主导。因而,在保证基本人权和隐私权不受侵犯的前提下,政策在协调个人权利与经济利益的过程中,具有较大的发挥空间。
因而,整体来看,中国亟需发挥市场力量,来应对所面临的国际政经压力���,以经济实力和市场话语权,换取数据跨境流动规则的话语权。同时,坚持对国家安全的绝对重视,对紧密联系国家主权和安全的数���据进行严格限制,以应对潜在的政治安全威胁。
2.治理现状与问题:价值错位和实践困难。��中国现行的数据跨境监管体系可总结为“1+3+N”的架构。其中,“1”是《国家安全法》作为整个监管体系的重要基础。“3”是《数据安全法》《网络安全法》和《个人信息保护法》,并对应三条合规路径。“N”是针对具体场景和行业的法律法规,如《银行业金融机构数据治理指引》《工业数据分类分级指南》等。中国的监管重心在于数据安全,采取国家安全利益优先的原则。
中国数据跨境治理的问题主要体现在以下两个维度。1)价值与原则:政企��站位不同导致需求错位。面对数据跨境的行为,政府和企���业有着不同的站位和出发点,进而导致政府的监管手势无法匹配企业的发展需求,带来政企互动的低效甚至矛盾,并将直接影响企业的战略选择和商业逻辑。在政府层面,实施监管的部门具有较强的意识形态倾向,将国家安全置于首位。在企业层面,经济效益是第一位的,其决策都是基于成本和收益的考量。这一站位本身无可厚非。更重要的在于,具体落地和实践中,双方如何沟通协作,提升效率,追求安全与发展的平衡。
2)落地与实践:认定标准不清晰,监管过��程不完善。在实践过程中,存在以下两方面问题。一方面,认定标准的模糊为企业的数据跨境活动带来困难。在数据安全评估中,关键性指标“重要数据”定义���尚不明确。尽管2024年3月颁布了《数据安全技术数据分类分级规则》规定这一范畴,但各地区和行业的重要数据目录仍未出台。同时,企业和政府关于“必要性”“合法性”“最小限度原则”等概念的实践标准不一,企业往往错误预期政策含义,造成困扰。例如,在调研中了解到,即便消费者同意自身的数据被传输到境外,具备合法性,但监管部门认为不具备必要性,便也无法进行传输。
另一方面,监管过程的缺陷导致政企沟通效率低下,企业发���展受阻。调研中了解到,一个企业申报“数据安全评估”的流程非常漫长,有时超过一年,可能导致企业错过最佳发展时机。而申报过程��中,企业被要求修改材料的字体、字号等,重复经历等待审批的过程。同时,存在一些企业为了节省��这部分时间成本,宁可受到处罚,违规进行数据出境。这不仅侵犯了公民个人权利,也可能会对国家安全造成威胁。
三、中国方案:以实践为导向的数据跨境治理
根据基于“国家-市场-个人”框架的现状分析,结合上述现存的治理问题,本文提出以下三个维度的政策建议。
1.分类管理:抓大放小,减少分级级数,宽严各司其职。中国面临较大的国际政经压力,国家安全始终是经济发展的根本,因而务必坚持以国家数据安全为基础的治理思路。但是在具体实践中,既不能一刀切,���也不能过度复杂���化,要加强法律法规的可操作性,始终追求治理的高效率。本文提出要建立完善的分类管理体系,其中包含两大重点:减少分级级数,以及各地出台适用的配套清单。一方面,要简化并明确各类数据的认定标准,规定出与国家安全紧密相关的数据清单,避免让企业自身琢磨政策含义,避免企业自行评估分级,进而避免出现“打回重做”、反复申报评估的情况。在此基础上,要宽严并济,针对不同类型的数据,采取不同的监管力度;对与国家安全紧密相关的数据进行严格审批,对其余数据则要追求高效监管,更多地考虑企业的经济效益和发展时机。另一方面,地方政府相关部门要紧跟上位法的步伐,出台相应规定,尤其以具体清晰的清单为关键(例如自贸区负面清单),缓解企业合规压力,减少认定标准模糊的问题。
2.政企合作:公私共治,释放市场活力,提振全球地位。中国具有相当规模的数字经济产业,在全球范围内占据相当地位。因而,要大力发挥现有优势,解决出海企业的“内忧外患”,充分释放经济活力,进一步提升全球经济地位。本文提出要充分开展政企合作,实现公私共治。中国并非要走市场霸权的美式道路,但在部分政策上可以借鉴美国经验,为企业注入活力。以美国联邦贸易委员会为例,在出现数据泄露事件时,其采取的行动是与受影响的企业主体合作开展调查,协商推动隐私和信息安全措施,并共同制定有利于企业发展的数据流动规范。另一方面,可以建立数据跨境流动的“案例库”,将典型案例中的政企沟通过程、重难点、各方需求、相关法律法规都一并列出,形成案例报告,进而建立案例库,供企业参考。“模糊”的标准和“捉摸不透”的政策含义始终是企业发展的阻碍之一,政企充分合作以及案例库的建立,将有效缓解这一问题,提升企业发展和政府监管的效率。
3.引领国际:积极发声,扩大战略合作,建立中心体系。目��前全球数据跨境流动的规则正处于逐步成型的关键节点。中国应当与世界主要经济体和贸易伙伴建立数据跨境传输的便利化机制,充分参与���全球治理的过程,展现与经济实力相匹配的国际话语权。本文提出要引领国际,而非融入国际,要建立以中国为首的中心���体系,扩大战略合作。一方面,应��以“一带一路”建设为契机,提出有利于中国发展的数据跨境流动治理方案,与沿线国家和贸易伙伴形成可互认的数据保护认证、标准合同条款等机制,实现区域内数据跨境自由流动。另一方面,应积极推进CPTPP、DEPA谈判议程,尤其加强与发起成员新加坡的合作,争取数据跨境流动的话语权,建立辐射亚太地区进而影响全球的中心体系。同时,在国际合作的过程中,务必将国家安全仍旧置于首位,适当考虑各条款和协议的制定。
目前,全球数据��跨境流动格局正经历关键节点。中国在面对国际政经压力和市场发展需求的双重挑战下,必须采取更为务实和灵活的策略。本文提出的分类管理、政企合作和引领国际等建议,旨在为中国数据跨境治理提供新思路和新方案。相信通过不断优化治理体系,加强国际合作,中国能够在保障国家安全的同时,促进数字经济的繁荣发展,为全球数据治理贡献中国智慧和中国方案。
(本文系复旦大学发展研究院《数据跨境流动、个人信息保护与数字韧性建设》课题系列成果。报告主编:江天骄系复旦大学发展研究院副教授、金砖国家研究中心副主任,姚旭系复旦大学发展研究院青年副研究员、上海���数据研究院特聘研究员,报告行业导师:陈文昊系植德律师事务所数据合规业务合伙人、合规部负责人,报告组成员:金子韫、吴致远、邢嘉耀、姚媛、马怡宁、陈梓培、郎瑾怡、张桐语均来自复旦大学)
评论