全国政协委员,第五空间信息科技研究院院长 谈剑峰
经数年准备,《数据出境安全评估办法》(以下简称《办法》)审议通过,自9月1日起正式施行。回顾五年来的反复论证研究过程,“促进数据跨境安全、自由流动”始终是第一要义,其间“安全评估是促进数据出境的合规方法之一”也已成为共识。
数据生产要素与其他资源的最大不同点在于“非竞争性”,同时在实际应用中边际效用递增但边际成本无限趋于零,规模效应还非常显著。因此促进数据的汇聚融合可谓实现数据价值及效益最大化的重要路径。但在实践中,数据的易复制性又让我们对数据安全性及个人隐私保护能否得力充满疑虑,导致相关主体不想不敢不能共享相关数据,这就阻碍了数据的高效共享,使得数据像“孤岛”散落在经济社会各处,不仅影响和阻滞了数据价值的发挥,也让数据地下黑市交易变得难以杜绝。
数据流动融合的需求是内生的,与其跨境无序流动,不如主动担负起监管责任,《办法》正是在这一背景中出台的。
数据跨境涉及隐私保护、数据主权、国家安全、经济发展等诸多复杂的议题,小到如何保护个人信息权益,大到兼顾国家安全和社会公共利益,可谓牵一发而动全身。面临如此巨大挑战,各国政府和国际组织均着手对数据跨境的安全管理进行制度探索,试图在各种利益平衡中找到一个符合自身政策诉求且行之有效的管理路径。
截至目前,全球约九成国家对数据跨境的基本态度是管控为主,规制的严苛程度差异不小,比如印度、俄罗斯等国就较为严厉,而加拿大、新加坡等国就相对宽松。
目前经济体之间协作一般通过合作倡议来协调数据跨境事务。欧盟和美国作为全球领先的两大数字经济体,较早就通过立法来管控数据的跨境流动:其中,欧盟利用《通用数据保护条例》(GDPR)中的“充分性认定+适当性保障措施”来确保个人数据的保护水平被传输到第三国后不会降低,在其数据法草案中对非个人数据向境外传输进行限制;美国将数据治理提升到国家战略高度,2019年就启动联邦数据战略,并通过外国投资风险评估现代化法案扩大美国外国投资委员会(CFIUS)的审查权限,限制美国数据流向非美国人的控制之手。就欧盟、美国而言,虽然有管理模式上有竞争,但基调仍然是合作,如早在2021年,美欧就成立美国—欧盟贸易和技术委员会(TTC)重点协调应对美欧跨境数据流动规则问题,近期美欧则签署了《跨大西洋数据隐私框架》这一原则性协议。
在这两大主要经济体外,如英国、新加坡等国也在积极寻求国际数据流动规则的制定话语权。英国在2018年通过数据保护法案,强调个人对数据充分控制的权利,并以此为基点积极“找朋友”促进跨境数据流动,如与欧盟的关系,则让欧盟在GDPR的充分性决定中加入了“日落条款”(特指在法律或合约中订定部分或全部条文的终止生效日期),保证今后4年个人数据可以在欧盟和英国之间自由流动。除此之外,英国还与美国、澳大利亚、新加坡、迪拜、韩国等国签订数据充分性原则协议,达成数据自由共享及安全传输的双边安排。新加坡与新西兰、智利等三国在2020年6月签署的《数字经济伙伴关系协定》(DEPA),成为世界上第一个多国参与的专门数字贸易协议。
我国作为数据大国,自身非常注重维护数据主权。据统计,我国数据本地化政策已达20余项。在此基础上,我们还需持续推动和促进数据的跨境流动。为此,我们要遵从推进全球互联网治理体系变革“四项原则”及构建网络空间命运共同体“五点主张”:一方面倡导建立自主的数据流动规则,如将《办法》作为国际规则制定竞争中的一个重要抓手,增强在全球特别是主要贸易伙伴中的影响力;另一方面积极推动双多边合作,推动包括类似CPTPP、DEPA等多边数据跨境流动条款的自由贸易体系构建,为全球早日达成规则共识破局。