数据本地化政策的全球博弈分析
2019-01-14方元欣
方元欣
一、引言
随着数据处理技术的深度发展,数据作为一种战略性资源和核心生产要素,在全球经济和社会中发挥着越来越重要的作用。出于经济利益和国家安全考虑,各国对数据跨境交换和转移采取了不同的措施或政策,其中数据本地化政策尤为常见,是各国立法者和监管者关注的重要议题。本文在提炼数据本地化政策特征的基础上,围绕各国的利益考量、战略布局和谈判博弈进行深入研究,并对其未来的演变趋势进行判断。
二、数据本地化的基本特征
(一)数据本地化的定义
目前关于“数据本地化”的内涵与外延在国际社会仍未达成普遍共识。联合国贸易和发展会议(United Nations Conference on Trade and Development,简称UNCTAD)2016年的报告将其界定为“通过直接的法律限制或其他规定要求(如本地商业登记要求),将个人数据保留在其原始管辖范围内” 。而根据世界贸易组织(World Trade Organization,简称WTO)2018年发布的报告定义 ,数据本地化政策涉及限制公司将国内用户数据传输到国外的能力,主要以规则形式要求数据服务器位于国家内,或者在国内存储或处理数据,禁止在未经政府批准的情况下收集或传输数据和/或指定有利于当地的政府采购偏好和技术标准公司。美国信息技术产业理事会(Information Technology Industry Council,简称ITIC)则将其定义为“对企业在国家边界内存储、加工或以其他方式处理数据的要求” 。
作为数据跨境流动的一种规制方式,数据本地化与数据自由跨境流动并非互不相容。以联合国跨国公司中心(United Nations Centre on Transnational Corporation,简称UNCTC)对“数据跨境流动”的定义为对照,“数据跨境流动”指的是“跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索”。而有些数据本地化政策仅要求在境内存储副本或在个人同意的情况下允许数据出境,并不意味着完全限制数据出境。反过来,完全禁止数据跨境传输则默认以本地存储和处理为前提条件。总而言之,数据本地化是针对个人数据和/或部分行业数据提出的在境内存储或处理的要求。根据各国不同的经济环境、政策背景和利益考量,数据本地化的具体要求各异,其严苛程度、行使手段和适用范围也各不相同。
(二)数据本地化的分类
经济合作与发展组织(Organization for Economic Cooperation and Development,简称OECD)最新发布的《贸易和跨境数据流动》(Trade& Trans-border Data Flow)报告中 ,数据按流动的自由程度可分为四类:1)没有任何数据本地化要求,例如,美国、日本、加拿大在法律中没有个人数据或重要数据出境管理的专用规则,原则上允许数据自由跨境流动;2)只要求将数据的副本存储在国内计算设施中,对转移或境外处理数据副本无任何限制,允许在国外托管,传输和处理,此类别主要针对电信元数据和业务财务数据,目的通常是确保监管需求,例如印度在《2018年个人数据保护法案》要求所有个人数据必须在印度境内保留一份副本;3)不限制数据跨境流动,但规定数据必须存储在境内,这意味着数据服务商可以在境外处理数据,但处理后的数据必须返回国内存储;4)数据只能在境内存储、处理,并有出境限制。
此外,数据本地化要求可以存在多种手段,包括要求在本地建立办事处、境内设立数据中心或服务器,有此要求的代表国家包括印度、俄罗斯、越南、印度尼西亚、肯尼亚、阿尔及利亚等。另一种手段则是经个人同意或有关部门审查后传输数据,例如欧盟《数据通用保护条例》对个人信息出境从建立数据保护机构、第三国数据保护水平评估、数据主体权益保障等方面都提出了具体要求。这些数据本地化手段根据各国不同的利益考量进行排列组合搭配。
其次,数据本地化的规则适用范围因数据类型而各异。一般而言,目前数据本地化要求多针对个人数据,而且仅出于对国家安全、隐私保护和经济利益的考虑,对特定领域的数据存在特定要求。常见的受限制数据类型包括医疗健康、地图信息、政府数据和银行、金融、征信、商业记录等重要行业数据。例如,韩国因担心国家安保问题,要求地图数据审查通过后方可出境;印度要求支付信息存储本地六个月,以打击黑市经济活动;澳大利亚政府出于对数据主体隐私和安全的考虑,要求部分个人健康信息在境内存储、加工或处理;土耳其出于监管目的,要求银行和电子通信信息在境内处理。
(三)数据本地化的动因
随着2013年“斯诺登事件”的爆发和2018年《澄清境外数据合法使用法案》(Clarify Lawful Overseas Use of Data Act,简称CLOUD Act)的出台,美国野心勃勃的“长臂管辖”使许多国家对国家信息安全和公民隐私保护产生担忧。2018年3月,美国国会通过了CLOUD Act,设计了执法机构跨境访问、获取、调用数据的规则机制,让美国政府能够合法地从全球各地调取数据,同时还规定了将数据发送到境外的条件和过程。虽然目前对“存储地点是影响数据安全的关键因素”的假设仍存疑 ,但是数据存储地点确实能够影响数据保护的法律管辖权。尽管各国针对数据保护的法律管轄权规定各有差异,但一般而言,如果涉事企业在一国境内有物理存在,如服务器或数据中心,则相关案件在该国的法律管辖权之内。如果根据存储地点确认了管辖权,政府就可以通过立法和执法降低数据泄露的风险,比如规定数据保护的最低安全标准,禁止企业将服务器中的数据交给外国政府,以及制定实施严格的数据泄露责任追究制度等 。
另一方面,数据本地化是发展中国家保护其国内产业的重要手段。从作用机制来看,数据本地化作为一种新型产业政策,相当于以非关税壁垒的形式限制数据服务的进口,从而保护本国的信息技术及相关产业。跨国企业在境内建立数据中心,有利于当地数字基础设施的建设,增加本国就业机会。印度2019年2月发布的《电子商务规则草案》中明确指出“国内数据中心和服务器场等计算设施的位置不仅可以为印度的计算提供支持,还可以促进当地创造就业机会。”此外,合规要求和成本的增加也使得外国企业在本地市场的竞争优势削弱,而本国信息技术相关产业得以发展。印度科技巨头Infosys联合创始人Kris Gopalakrishnan就曾经引领发布云计算小组报告草案,建议政府建立一种“前瞻性”的数据保护机制,对云数据以及存储在印度实体或印度生成的数据进行本地化,从而推动本国云计算产业的发展。
三、各国对数据本地化立场和发展趋向
当前全球尚未形成数据跨境移动的通用规则,各国以本国利益出发,采取不同立场与措施。美国通过淡化数据主权概念,推崇数字贸易自由化,打击其他国家的数据本地化措施;欧盟通过发展其单一数字市场,对内促进数据跨境自由移动,对外遴选数字贸易伙伴,为数据资源博弈做好顶层设计;部分发达国家虽未出台明确的数据跨境流动规制法规,但也采取了不同程度的数据本地化措施;多数发展中国家对推进跨境数据自由流动相对抗拒,普遍采取较为严格的数据本地化措施;非洲等国对于数据跨境自由流动和数字贸易自由化较为反感,认为将损害本国产业发展,主张在数据本地化措施上保有自主权。
(一)美国积极发起攻势,试图定点消除数据本地化
作为全球数字产业最发达的国家,美国是数据自由跨境流动的最大受益者。据美国国际贸易委员会(International Trade Commission,简称ITC)估计,数据自由流动使得美国的GDP增加了3.4至4.8个百分点,同时创造了240万个就业岗位。在此背景下,自奥巴马时期起,美国就持续针对“数据的自由流动”加快战略布局。奥巴马政府依托推进多边谈判,拉拢“数据盟友”,试图在全球数据流动规则的制定上占据主导地位。虽然特朗普上台后主张以诸边模式代替多边机制,中断了奥巴马政府的总体战略布局,但就数据跨境流动和禁止数据本地化而言,特朗普政府态度更加强硬,采取的措施加倍激进。整体而言,美国推进数据跨境自由流动的举措主要呈现以下特征:
一是抢占理论高地,循序渐进推进数据自由跨境流动。2016年7月,美国贸易代表办公室(USTR)成立“数字贸易工作组”(Digital Trade Working Group,简称DTWG),负责识别并解决阻碍全球数字贸易的壁垒。自此,美国每年发布的《关于外贸壁垒的国别贸易评估报告》(National Trade Estimate Report on Foreign Trade Barriers,简称NTE报告)逐渐提高对数据跨境流动和各国的数据本地化的重视。2015年的NTE报告仅零星提及数据跨境流动,2016年开始提出数据本地化概念,2017年大范围盘点各国的数据本地化限制,2018年称美国要“监测并致力于消除数据本地化要求”,2019年再次重申这一主张,并强调遏制数据本地化趋势的重要性。在此理论支撑下,美国政府得以快速定点布局,通过强势主导国际合作机制数据治理规则的顶层设计和以打压姿态与贸易伙伴签订一揽子协议,试图逐一击破对其不利的数据本地化壁垒。
二是灵活利用国际多边合作机制,打造具有美国烙印的游戏规则。2011年,美国主导亚太经合组织(AsiaPacific Economic Cooperation,簡称APEC)建立“跨境隐私规则体制”(Cross Border Privacy Rules System,简称CBPR),通过对企业进行隐私保护认证,实现“认证企业”之间的信息无障碍跨境流动。截至2019年,墨西哥、日本、加拿大、新加坡、韩国、澳大利亚和中国台湾已加入CBPR,但是只有26家企业通过了CBPR认证,且均来自美日两国,而且CBPR的管理较为松散,各国可自行选择跨境传输的信息类型,美国也仅选择了消费者信息。尽管如此,CBPR作为跨境数据流动框架的先行者,逐渐延伸到其他国际合作机制的顶层设计中。此外,奥巴马政府竭力在WTO中推行服务贸易协定(Trade in Services Agreement,简称TiSA),并试图从个人数据关系到服务贸易禁止缔约方数据本地化,不过由于特朗普的“逢奥必反”式外交姿态使谈判陷入僵局。就目前而言,服务贸易协定未来的发展形势尚不明朗,但也需要持续关注。
三是在各种自由贸易谈判中开展数据外交,意在主导全球数据跨境流动规则。2012年,美国和韩国签订的《美-韩自由贸易协定》(The U.S.-South Korea Free Trade Agreement,简称KORUS FTA)首次引入不具有强制性要求的跨境数据流动规则,规定“缔约方应努力避免对跨境电子信息流动施加或维持不必要阻碍” ,并提出“允许在韩运营的金融服务企业离境处理数据” 。 2016年在美国主导下达成的《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement,简称TPP)中,规定允许包括个人信息在内的跨境传输 ,明确地提出了禁止将设立数据中心作为电子商务企业市场准入条件。虽然特朗普上台后退出了TPP,但其关于数字贸易和电子商务的条例仍沿用至其他协定谈判中,如2016年10月签订的《新加坡一澳大利亚自由贸易协定》(The Singapore-Australia Free Trade Agreement ,简称SAFTA)和2018年9月签订的《美墨加协定》(United States-Mexico-Canada Agreement,简称USMCA)。事实上,USMCA在实现美国数字产业利益上更胜一筹,不仅扩大了数据跨境流动的范围 ,增加了禁止个人数据本地化的强制性和约束力,更将此限制延伸至金融领域,即在金融监管机构可以获得履行监管任务时能获取数据的前提下禁止金融服务的数据本地化存储。此外,原本有本地化存储要求的加拿大不列颠哥伦比亚省和新斯科舍省 也可能受此协定影响。
(二)欧盟保持防守态势,采取“圈内圈外”双重标准
欧盟数据资源丰富,数字经济市场潜力巨大。欧盟委员会2017年发布的《欧洲数字进程报告》(Europes Digital Progress Report)报告显示,2016年欧盟数字市场价值接近600亿欧元,与2015年相比增长了9.5%,根据预测研究,2020年欧盟数字经济市场可能超过1060亿欧元。但就目前的形势而言,欧盟主要作为信息技术服务的消费方而非提供方,大型网络或信息技术产业发展较慢。因此欧盟在数据跨境流动的立场和美国有着明显的区别,在开放数据资源的问题上优先考虑欧盟“单一数字市场”。其基本思路是“内松外紧”,对内破除数据流动壁垒,对外强化监管与隐私保护,只对许可国开放通道,力图构建一个以欧盟为中心的数据流动空间。
一是对外提高数据出境限制,对内消除内部数据本地化要求。2018年5月,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)生效施行。作为一项强制性法律,GDPR禁止欧盟内部个人数据本地化和跨境数据流动阻碍 ,同时以严苛的隐私保护和数据监管规定限制数据出境。10月,欧洲议会正式通过《非个人数据自由流动框架条例》(Regulation on the Free Flow of Non-personal Data)。该法规侧重针对非个人数据,即GDPR范围之外的数据,主要包括机器生产和商业销售产生的数据,要求在保障公共安全的前提下禁止欧盟内部的产业数据本地化要求 ,从而帮助欧盟“单一数字市场”尽快成型。
二是保持松紧适度,建立数字贸易“朋友圈”。尽管GDPR为欧盟搭建了数据流动的屏障,但并非密不透风,其通过建立起一套完善的个人信息出境管理体系,为涉及个人数据出境业务的企业或机构提供了多种合规渠道和工具,包括数据保护“充分性”认定、约束性公司规则(BCR)和标准合同条款。这为欧盟挑选数字贸易“盟友”和拉拢贸易伙伴提供了新路径。例如,欧盟可以挑选认可程度比较高的国家或地区进行“充分性”认定 ,进而使这些国家或地区的企业优先通过GDPR认证,优先进入欧盟市场,使用欧盟公民的数据,形成以欧盟为中心的数字贸易“朋友圈”。此外,欧盟与美国之间为实现隐私保护与数据自由流动的平衡,经历了“安全港”协议到“隐私盾”协议的升级与改良,最终达成互可接受的跨境数据流动协议。截至2018年6月,已有3215家美国企业进行了符合该协议的登录。
(三)其他国家立场相近,数据本地化措施较为普遍
与美国推崇数据跨境自由流动,欧盟以隐私保护为出发点不同,其他国家对数据自由跨境流动的态度有所保留,尤其以发展中国家为主,大多数都采取了不同程度的数据本地化措施。这种规制方式选择的差异化现象,是各国基于自身信息技术水平和隐私保护意识,追求规制净收益最大化的结果。
一是部分发达国家对特定数据提出了本地化要求。虽没有明确全面的数据本地化法规,澳大利亚2012年颁布的《个人控制的电子健康记录法》(The Personally Controlled Electronic Health Record,简称PCEHR)要求必须由本地的数据中心来存储和处理个人电子健康档案。在GDPR出台前,德国、法国曾要求境内企业将数据存储在欧洲甚至本国境内的数据中心。韩国虽未实行全面措施,但在地图 、金融、医疗、教育 各个领域都有轻微的数据本地化要求。
二是多数发展中国家采取了严格的数据本地化措施。2015年9月,俄罗斯的数据本地化立法生效,要求所有国内外公司在俄罗斯境内的服务器上存储和处理俄罗斯公民的个人信息。根据法律规定,任何存储俄罗斯国民信息的组织,无论是客户还是社交媒体用户,都必须将该数据移至俄罗斯服务器。2016年4月,尼日利亚要求企业存储所有涉及在尼日利亚境内的尼日利亚公民的数据。除非政府另有规定,否则企业需在本地储存政府数据。2017年4月,土耳其出台法令,限制个人数据流往境外,并且要求企業在内存储公民的数据。2018年9月,印度成立了信息数据政策改革工作专家组,该专家组向印度通信和信息产业部递交新版数据政策草案。该草案核心内容是建议印度政府对在本国产生的数字支付、电子商务等云数据信息,采取本地化储存措施。同年10月,越南于发布关于网络安全法草案,要求数字社交媒体服务供应商需在越南设立分支机构或代表处,随后发布的实施草案以案例形式详细说明了对特定类别的供应商提起的本地数据存储要求。11月,印度尼西亚要求提供“公共服务”的供应商在本土建立数据中心和灾难恢复中心,其他法规要求需在本地存储及处理某些个人及财务数据。
三是非洲等国拥护推进数据本地化措施。与其他地区相比,非洲国家在互联网环境上的差距较大,数字鸿沟显著。为此,2017年7月非洲国家举办的小组讨论报告提出采取数据本地化措施、互联网过滤、技术转移等相关政策。此外,非洲国家要求在数字贸易、数据跨境自由流动及数据本地化上保有一定的“政策执行余地(Policy Space)”。9月,在WTO举办的公开论坛上也有类似声音。推进数字贸易自由化与数字贸易自由化妨碍了发展中国家产业发展的声音同时被议论。南非WTO代表认为,跨境数据流动自由化的规则是“反发展”(Anti-Development),并且妨碍本地企业的发展,并主张拥有较为灵活的数据本地化措施,在采取数据保护措施上具有“一定自主权”,以抵御发达国家对本国数字产业的侵蚀。
四、结语
虽然我国数字经济发展迅速,已成为全球最大的网络市场,拥有世界数量最大的网民群体,但当前形势不容忽视,主要存在两方面挑战,一是如何防止美国通过推进数据资源自由流动强制撬动网络主权、数据主权保护,二是如何帮助国内企业处理跨境合规问题,满足其数据跨境传输需求。
(一)加强我国在国际数据治理规则谈判中的优势地位
当前,欧盟、美国、日本都颁布了详尽的数据跨境流动治理法规,在全球数据治理规则谈判中积极发声,并寻求多种手段实现其诉求。我国受美欧日夹击,话语权有限,但在数据跨境流动和数据本地化规则上仍有许多立场相近、利益相似的伙伴国,并非处于弱势地位。对此,我国应加强反制措施,积极发展数字贸易伙伴,加强参与全球数据跨境流动国际监管规则建设。此外,我国应当积极学习发达经济体的数据流动规制经验,推进国内的规制实践,建设符合我国国情的隐私保护体系。首先可考虑设立具体的数据保护机构,并授予该当机构必要的执法权力。其次,充分借鉴美欧“隐私盾”模式和欧洲的充分性认定模式,与主要贸易伙伴洽签规制双边数据流动的协议,强化数据流动国际规则的话语权。最后,加快完善数据分级分类和数据保护法规,积极推进跨境数据有序合法流动。
(二)深入研究跨境合规问题,帮助互联网企业走出去
当前,我国具有相当体量的数据跨境传输需求,但是数据跨境合规问题给企业带来了较大负担和风险。目前我国企业面临两类基本的数据跨境合规问题,一是从我国收集运营的数据向境外传输的问题,二是我国对外提供数据跨境服务企业在海外市场面临的当地数据出境政策的问题。例如,由于我国的个人信息保护水平与欧盟尚存较大差距,并不满足欧盟“充分性”认定标准,我国企业可以利用的合法传输机制仍然相当有限。例如:“标准合同文本”和“有约束力公司规则”仍很难为中国企业所利用。对于具有一定实力的中国企业,则可以结合业务布局考虑,选择在欧盟成员国或欧盟认可的“充分保护认定”国家。例如在加拿大、阿根廷、新西兰等国建立数据中心,作为“数据港”,以尽可能降低数据跨境传输成本和合规风险。此外,应帮助我国互联网企业提高数据传输和处理标准,增强数据保护意识,并鼓励企业根据特定国家的跨境转移政策或需求,制定不同的合规方案,帮助我国企业在积极开拓海外市场的同时提高风险防御能力和降低成本负担。
作者单位:国家工业信息安全发展研究中心
