国际观察

您的位置是:首页>国际热点问题>国际观察

数字贸易规则中的数据本地化问题探究

发表于:2019-09-03 16:52 作者:admin

薛亚君  金陵科技学院

内容摘要:目前,全球数字贸易规则正在逐步构建的过程中,数据本地化措施成为国际社会关注和争论的一个热点问题,各国的态度存在明显差异。美国主张跨境数据自由流动,反对数据本地化措施,欧盟强调对区域安全和个人隐私有影响的数据应当采取本地化措施,而许多发展中国家则偏好数据本地化措施。本文认为,我国应当在兼顾数据安全与经济发展的前提下,对相关数据进行分类监管,以确定我国数据本地化措施的范围。

近年来,数字技术推动了数字贸易的兴起。美国商务部的数据表明,2014年美国数字服务贸易已经突破了其服务贸易总量的一半。而我国商务部研究院发布的《全球服务贸易发展指数报告2018》指出,2018年中国跨境进口零售电商交易规模高达4216.7亿元。数字贸易的发展呼唤全球数字贸易规则的建立,而在全球数字贸易规则形成的过程中,跨境数据流动与数据本地化要求成为了各国争议的焦点之一。

数据本地化,是指要求收集或产生于某国或地区的数据存储于该国或地区境内的服务器之中。在数字化时代,云计算资源以离散的方式分布于云系统之中,相关数据存储处于动态之中。数据本地化主要是为了应对数字技术的发展给法律监管带来的冲击,以维护国家和个人数据的安全。但数据本地化的要求会对数据的跨境传输造成影响,因而各国出于自己利益的考虑,对数据本地化有不同的态度。

一、美国积极倡导个人数据跨境自由流动

美国是数字技术和数字经济最发达的国家,2018年全球十大互联网企业中,美国就占了6位。为了维护美国企业在大数据方面的国际竞争力,美国一直致力于在数字贸易国际规制中建立跨境数据的自由流动,因而反对数据本地化措施。

在美国的推动下,1980年经合组织(OECD)通过了《关于保护个人隐私与数据跨境流动的指南》(《OECD指南》),其中第三章规定,成员国应采取适当措施以保证个人数据跨境流动自由,反对以保护个人隐私为由对个人数据跨境流动进行限制。2004年的《APEC隐私保护框架》则以《OECD指南》为参考,目的是促进成员方信息共享,推动亚太地区无障碍的跨境数据流动。但上述两份文件都只是倡导性文件,并不具有强制约束力。

近年来,为了构建符合自身利益的国际数字贸易规则,美国开始在各种双边和多边自由贸易协定(FTAs)谈判中引入跨境数据自由流动的相关议题。2012年《美韩自由贸易协定》的第15.8条中规定“应尽量避免对跨境数据流动施加不必要的阻碍”,而《跨太平洋贸易与投资伙伴关系协定》(TPP)、《跨大西洋贸易与投资伙伴关系协定》(TTIP)和《服务贸易协定》(TISA)谈判中,跨境数据自由流动也一直是美国最重要的关切。TPP的14.13.2和TISA的电子商务章都明确提出:缔约方不应将供应商购买本地服务或设置本地基础设施,作为市场准入的前提条件。

特朗普总统上台后,出于党派利益和竞选承诺的考虑,宣布退出TPP,TTIP和TISA谈判也遭到搁置,但这并不表示美国对推动跨境数据自由流动和反对数据本地化的态度发生了变化。在2018年的《美国、墨西哥、加拿大协议》(USMCA)谈判中,特朗普政府一再向加、墨两国施压,并最终在协议中确定了“跨境数据自由流动”和“数据存储非强制本地化”的要求。与此同时,2018年3月,美国国会颁布了《澄清合法利用海外数据法》,授权美国执法部门从互联网服务提供商处获取其存储于境外的电子数据.

美国反对数据本地化的理论基础之一是技术中立原则。该原则强调技术只是一种工具,无所谓好坏,好或坏的结果主要取决于人对技术的使用方式以及使用方向,技术本身不应当对结果承担责任,强调数据本地化会对新技术的发展带来不利影响。美国反对数据本地化的另一个理由,是认为数据本地化实质上属于一种贸易壁垒,是不正当竞争的表现,数据本地化要求会提高美国企业的相关运营成本,对美国企业造成不利的影响。

二、欧盟对个人数据跨境自由流动持谨慎态度

由于欧盟数字技术和数字经济的发展落后于美国,同时欧洲历史上一直非常看重个人隐私保护,欧盟对跨境数据的自由流动持谨慎态度,在与美国进行的各种贸易谈判中,一直强调数据本地化措施的适当纳入。

对于美国提出的反对数据本地化的技术中立原则,欧盟认为技术并非是中立的,因为技术除了内在价值之外,还有社会价值,对技术的使用必须要考虑其社会影响。云技术使得数据能够在瞬间从一地传输到另一地,因而个人信息和个人隐私很容易受到侵犯。采取数据本地化措施,可以将相关数据限制在欧盟境内,从而减少由于数据跨境传输而给欧盟及其公民带来的危害。2013年,棱镜计划的曝光进一步推动了欧盟数据本地化的进程。在欧盟内部,德、法两国一直对数据本地化持支持态度。出于对美国电子监听的戒备,德国开始建立国家层面的专门网络以存储本地数据。而法国则投资1.5亿欧元用以构建独立于美国技术的云计算基础设施。法国工业、能源与数字经济部部长强调,法国的目标是在境内建立数据服务器基础设施,以实现法国的数字主权。

2018年5月,欧盟《一般数据保护条例》(GDPR)正式实施,该条例规定了个人数据访问权、可携权和删除权等权利,进一步提高了对个人数据存储和处理的成本,要求相关企业在确保欧盟成员国公民隐私的前提下,才可以将数据向欧盟之外的国家流动。而在TTIP和TISA谈判过程中,面对美国的压力,欧盟也坚持有限制的跨境数据自由流动,并主张在出于“正当公共政策目标”考虑时,应当允许数据存储本地化。

虽然针对美国这个数字技术强国,欧盟一贯坚持数据本地化措施,但在和数字技术、数字经济没有那么发达的发展中国家进行磋商时,欧盟则显示了双重标准。例如,欧盟在和越南进行贸易谈判时,不接受对方提出的针对欧盟企业的数据强制本地化要求。再如,在2015年的一份贸易壁垒相关的报告中,欧盟委员会指出俄罗斯强制数据存储本地化的做法是一种贸易壁垒,该报告同时还批评了中国的数据本地化措施。

三、部分国家主张限制个人数据跨境自由流动

其他国家出于本国利益的考虑,也各有自己的诉求。例如,俄罗斯从数据主权、信息安全、隐私保护等目的出发,强制要求相关组织机构将数据的存储和处理在俄罗斯境内进行,为了应对数据安全的威胁,俄罗斯的《信息、信息技术和信息保护法》第16条规定,信息系统的运营方有义务将收集、整理的俄罗斯公民的个人数据存储于境内的服务器,《俄罗斯联邦个人数据法》第18条也提出了同样的要求。

而印尼、马来西亚、越南等国也和俄罗斯持同样的态度,例如越南要求谷歌、Facebook等互联网公司必须在越南境内设置数据存储中心。印尼也提出不管是外国银行还是互联网公司,只要属于数据携带者,就应该在印尼境内设置数据存储中心。

这种过于绝对的做法存在一些严重的弊端,因为对于企业而言,要求所有数据的存储、管理和处理只能在一个国家进行,会阻碍企业利用云技术的分布式特征所带来的成本和速度的优势,从而使企业的正常运营受到严重影响。俄罗斯等国过于闭关自守的数据流动管理方式,导致许多国外互联网企业被迫退出这些国家的市场,也使得他们的本土互联网企业失去了和国际一流的互联网企业进行学习和交流的机会。

还有一些国家,例如澳大利亚、日本、新加坡、新西兰等,即没有美国那样强大的数字技术而无法对跨境数据自由流动表示完全赞同,也认识到过于严格的数据保护会对互联网经济产生不利后果,因而在这个问题上更倾向于折中态度。这些国家一般主张,为了实现合法的公共政策目标,可以实施数据本地化措施,对跨境数据的流动做出适当限制。例如澳大利亚对相关数据采取分类管理,禁止金融数据、个人健康数据等数据禁止跨境流动,同时将政府数据分为无需额外保护的数据和需要额外保护的数据,对于前者允许跨境流动,而对后者则采取保护性标识和不同的管理措施。

四、我国因应个人数据跨境自由流动的应对之策

对于数据存储本土化问题,我国采取的做法与欧盟有些类似,但更侧重于网络安全的维护。《网络安全法》第37条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。如果确实需向境外提供的,应当进行安全评估。

这种做法主要出于三方面的考虑:首先,相较于美国,中国的数字存储技术起步较晚,也相对落后,数据本地化措施可以让国外企业在进入中国市场时使用中国本土的云计算企业,从而促进我国云计算产业和数字存储产业的发展。其次,考虑到“斯诺登事件”的影响,我国担心一些重要数据被美国窃取而导致对国家安全的威胁。此外,数据本地化要求还可以使得我国政府在侦查一些有害信息时更加迅速和便利,从而避免或减少国外的不法攻击带来的损害。

但需要注意的是,欧盟GDPR中过高的个人数据保护标准,已经对欧盟数字经济和数字贸易的发展产生了一些不良影响,使得欧盟企业在与美国同行的竞争中常常处于劣势地位。过于强调网络安全,也将损害到中国数字经济的竞争力和数字贸易的发展。本文认为,对于数字存储本地化问题,我国可以有以下应对之策:

(一)数据主权优先、兼顾经济发展

数据主权优先是各国的共识,国家安全应当是跨境数据流动问题上首先需要确定的原则,但我们也应当认识到对跨境数据流动的过分限制会影响经济的发展。例如印度尼西亚过于保守的数据本地化措施使得其GDP减少了约0.7%,而相关投资则减少了2.3%左右。

目前,我国已经是全球数字技术的主要参与者之一,并且发展潜力巨大,中国与美国的数字化程度也正在缩小。对于我国互联网企业而言,数据的收集能力是企业竞争力的体现,推动跨境数据的流动对我国电商企业的发展非常重要。我国的电子商务平台正处于向海外扩张的过程中,在阿里巴巴集团的倡导下,2017年,电子世界贸易平台(eWTP)第一个海外“数字中枢”在马来西亚落地。2018年,阿里巴巴又和卢旺达政府在签署共建eWTP的协议,这是eWTP首次在非洲国家落地。同时,阿里云、腾讯云等云服务提供商也已经在美国、澳大利亚、中东等地布局数据中心,因此,对于中国而言,过于严格的数据本地化措施并不符合本国的利益,我们不能像俄罗斯那样要求所有跨境数据都要进行本地存储,相比较而言,澳大利亚、日本等折中型的价值取向会是比较好的做法。

(二)数据分类监管

数字经济时代,使人们有机会轻松享用各种服务的背后其实是数据的流动。因而与数据转移相关的立法应当是基于对数据泄露、数据滥用行为的震慑,而不是对数据的应用、转移、处理和共享设置过高的门槛。

对于数据的存储和流动是否采取强制性的本地化措施,应当进行分类处理。对于政府数据、军事数据、重要的经济数据、个人信息敏感数据(例如与基因、医疗、银行账户密码相关的数据),应当禁止跨境流动,只能在境内的数据中心进行本地化存储和处理。对于《网络安全法》第37条所规定的关键基础设施运营者所搜集的数据应当施加一定的限制,可以进行跨境流动的,应当予以安全评估。目前国家互联网信息办公室已经公布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,以及《信息安全技术数据出境安全评估指南(草案)》,后者在附录A中详细列举了多个行业的重要数据类别以供参考,两个草案目前都还在征求意见中。需要注意的是相关的评估办法应当考虑到数据的即时消费性,或许某一数据在当天属于敏感数据或者具有巨大价值,但24小时后或1个月后情况就会发生根本的变化。因而应当在兼顾国家安全和经济发展的前提下,对数据进行适当的处理。至于其他数据,则可以在坚持“安全评估为例外”的原则下,寻求数字安全与数字自由贸易之间的平衡点。

(三)引导相关企业加强自律性

国家应当采取相关措施,引导从事数字贸易的相关企业加强自律性,在注意数据来源合法性的同时,防止数据的跨境转移可能会给国家安全和个人隐私造成的损害。此外,还需要提醒从事数字贸易的企业经常关注国外的相关规定。例如,与俄罗斯、印尼、越南有业务往来的企业应当注意这些国家强制数据存储本地化的要求,而与欧盟来往较多的跨境电商平台和外贸企业,则需要注意GDPR合规性的要求,以避免因为合规性问题而遭受不必要的处罚。

(四)积极参加数字贸易国际规则的制定

当前,全球数字贸易规则正在逐步成型的过程中,以美国、欧盟为首的发达国家纷纷抢占相关规则制定的主导权。为此,我国也需要提早进行部署,以防在新规则的制定中处于被动地位。一方面,我国可以借助国际组织平台积极参与相关议题的磋商,在新规则的制定中加强自己的话语权。另一方面,我国还可以通过区域全面经济伙伴关系(RCEP)谈判、亚太自由贸易区(FTAAP)谈判或者一些双边自由贸易谈判等,尝试构建符合我国利益的数据本地化规则。我国还可以利用“一带一路”政策的契机,与相关国家开展数字贸易规则的讨论,寻求与他国建立数据共享机制。

友情链接