新闻| 文章| 资讯| 行情| 企业| wap手机版| article文章| 首页|会员中心|保存桌面|手机浏览
普通会员

易达信息科技

企业列表
新闻列表
推荐企业新闻
联系方式
  • 联系人:依依
友情链接
  • 暂无链接
首页 > 新闻中心 > 董学耕
新闻中心
董学耕
发布时间:2024-12-06        浏览次数:9        返回列表

我们知道,数据要素具有价值属性、人身属性、公共属性和主权属性,数据跨境流动面临的最大挑战是如何在确保数据主权属性前提下最大化数据价值。世界经济朝着数字化方向转型,数据驱动的趋势越来越明显,数据自由流动是普遍需求。同时,确保数据的安全为各国共识,数据跨境流动政策必然服务于本国的政治、经济利益[5]。

董学耕

数据显示,2020年全球数字经济规模的前三位依次是美国、中国、德国。这三种力量,各有不同的数字经济发展诉求与治理重点。

(一)美国以反数据本地化的方式推行数据霸权

美国通过强势的外交政策推动数据自由流动,反对服务器和数据本地化的模式,包括了针对中国的数据封锁。美国倡导消除数据本地化政策与其强大的互联网企业密切相关,除了谷歌、脸谱、亚马逊、微软、苹果等一批本土巨头企业外,几乎所有国际化科技企业都会在美国设立分支机构,在这种市场分布状态下,倡导数据全球自由流动,推行较低的数据安全保护要求,实际上是为数据向美国流动营造有利的政策环境。美国在推广数据自由流动政策的同时,并未放开国内重要数据的管控措施,包括要求国外网络运营商与电信小组签署安全协定,要求通信基础设施位于美国境内,以及要求通信数据、交易数据、用户信息等仅存储在美国境内。美国法律对数据出口的管理范围非常宽泛,即使是向美国境内的外国公民传递数据,也被视为是出口。

(二)欧盟建立附条件的数据跨境自由流动规则

欧盟致力于在成员国内部推动数据自由流动,推行保护主义管辖权,维持可控的个人数据流动,强调隐私保护、知识产权和消费者保护的模式。欧盟以2016年颁布的《通用数据保护条例》(GDPR)和在2018年颁布的《非个人数据自由流动条例》(Regulation on the Free Row of Non-personal Data),分别对个人数据和非个人数据采取不同的跨境流动策略。

根据《通用数据保护条例》,个人数据可以在欧盟成员国内自由流动,但是,个人数据流出欧盟成员国必须满足法律所规定的条件。欧盟以是否达到“充分保护”作为首要参考规则,可以认定一国、一个区域、一个或多个特定行业或者一个国际组织具备充分保护水平,准许这些符合条件的地区、行业、组织与欧盟进行自由的数据跨境流动。除此之外,非获认定地区的各类组织和企业可以根据欧盟认可的标准合同条款(SCCs)、约束性公司规则、行为规范、认证机制,或者获得数据主体的明确同意等特定减损情形,作为个人数据流出欧盟的合法根据。

在非个人数据自由流动方面,欧盟旨在实现成员国内非个人数据的自由流动,激励各行业在数据服务提供商的转换和数据传输方面制定自律行为准则,禁止成员国对非个人数据的本地化要求做出规定,只能基于符合比例原则的公共安全理由做出例外要求。

但是,德国、法国等出于维护本国数字经济利益的需要而支持必要的数据本地化政策。德国和法国在数字经济发展战略中意图利用数据本地化设施建设为欧洲利益服务。

2022年5月16日,欧盟理事会批准了《数据治理法案》(the Data Governance Act,简称“DGA”),对公共数据再利用等做出规定。主要内容包括:

1.建立公共部门数据再利用机制。使某些类别的公共部门数据能够安全重用,包括商业秘密、个人数据和受知识产权保护的数据。从技术角度来看,允许数据再利用的公共部门机构需要配备适当的设备,以确保隐私和机密性得到充分保护。欧洲委员会将建立一个欧洲单一接入点,其中有一个可搜索的公共部门数据电子登记册。该登记册将通过各成员国设立的国家单一信息点提供。这是一种建立数据目录并将数据在技术上进行诸如上链等保护的策略。

2.推出数据中介新商业模式。数据中介机构本质上是数据共享服务提供商,且在交换数据方面保持中立的要求——不能将此类数据用于其他目的。通过提供一个安全的环境,让公司或个人可以在其中共享数据。第一,对于公司而言,数据中介机构可以采取数字平台的形式,支持公司之间的自愿数据共享,并促进履行《数据治理法案》及欧洲或国家层面的其他立法所提出的数据共享义务。通过数据中介机构,公司将能够共享他们的数据,而不必担心数据被滥用或失去竞争优势。第二,对于个人数据,数据中介机构将帮助个人行使其在一般数据保护条例(GDPR)下的权利。帮助人们完全控制他们的数据,并允许与信任的公司分享数据。这可以通过个人信息管理工具来实现,如个人数据空间或数据钱包,这些是在数据持有者同意的基础上与他人共享此类数据的应用程序。我们可以看到,不管是公司还是个人,都可以通过数据管理工具基于知情同意来授权他人共享数据。第三,数据中介机构需要在指定的主管当局进行备案,而由于其不得将共享数据用于其他目的,因此他们无法直接从数据中受益(如出售数据),不过可能会对他们进行的交易收费。

3.设立欧洲数据创新委员会。欧盟将成立欧洲数据创新委员会(European Data Innovation Board),为欧洲委员会提供咨询和协助,加强数据中介服务的互操作性,并发布关于如何促进数据空间发展的准则等任务。第一,非个人数据的国际访问和传输。委员会可以通过充分性决定,宣布特定的非欧盟国家为使用从欧盟转移的非个人数据需要提供适当保障。这些决定类似于GDPR的有关个人数据的充分性决定——当有关国家采取了同等措施以确保与欧盟或成员国法律提供的保护水平相当时,即被认为存在安全保障。委员会还可以通过示范合同条款(SCCs),在《数据治理法案》涵盖的非个人数据转移到第三国的情况下,为公共部门机构和数据再利用者提供参考。第二,个人数据,欧盟在GDPR中已经有类似的保障措施。

以上公共数据再利用等机制的基本要求就是“同等保护措施”,通过对欧盟外国家、地区的认定,或是通过标准示范合同条款方式,实现数据跨境(跨出欧盟)利用。

(三)中国更加强调数字主权的治理模式并推动数据安全有序流动

中国的立场是把国家安全、产业安全放在重要位置,将数据安全可控视作数据跨境流动的前提条件,兼顾数据的自由流动。中国推动的《全球数据安全倡议》符合独立自主、发展中国家的发展利益,可以避免遭受数据霸权的控制。然而,如何建立具有国际共识、统一框架的方案协调数据主权和数据流动需求成为难点。在《全球数据安全倡议》基础上,中国需要通过双边或者多边协议推动更多国家对中国数据保护水平的认可和有序的数据跨境流动。在中国加入的区域和国际组织中,推动数据跨境流动公约的制定和完善,也需要不断深化。

《中华人民共和国个人信息保护法》对个人信息跨境提供的规则做出规定,基本考虑也是两方面,一是纳入国际协定,如已经生效的RCEP和中国申请加入的CPTPP和DEPA。二是基于与我国《个人信息保护法》同等保护水平的原则。

(四)关于数字经济的单独协定

整体来看,上述三方力量在多个领域存在明显差异。国际社会在强调数据自由跨境流动的“美式模板”和强调公民个人隐私保护的“欧式模板”中间寻找平衡点。如何求同存异,需要“第四方视角”。

《数字经济伙伴关系协定》(DEPA)[6]是新加坡、新西兰和智利于2020年6月12日签署的数字贸易协定,旨在加强彼此之间的数字贸易合作并建立相关规范。它代表了一个趋势——在现有贸易和投资协定之外,单独提出关于数字经济的协定,这是全球第一份专门针对数字经济、数字贸易合作的国际协定。

DEPA具有全面性,包括16个模块:分别是初步规定和一般定义、商业和贸易便利化、数字产品及相关问题的处理、数据问题、广泛的信任环境、商业和消费者信任、数字身份、新兴趋势和技术、创新与数字经济、中小企业合作、数字包容、联合委员会和联络点、透明度、争端解决、例外和最后条款。整体来看,DEPA以电子商务便利化、数据转移自由化、个人信息安全化为主要内容,并就人工智能、金融科技等热点领域的合作进行了专门规定。

DEPA也具有灵活性,采用独特的“模块式协议”——参与方不需要同意DEPA所覆盖的16个模块的全部内容,而可以选择其中部分模块进行缔约。其他国家可根据自身数字经济发展水平和利益诉求选择其中几个模块加入协议,而不必为了满足所有模块而面面俱到。“模块化”结构可供我国借鉴,以符合自己发展水平的方式加入多边合作,也为中国元素融入国际规则提供依据。DEPA第15.2条还规定了安全例外——本协定中任何条款不得解释为:要求一缔约方提供或允许获得其认为如披露则违背其基本安全利益的任何信息。这与我国把国家安全、产业安全放在重要位置是不矛盾的。

关于跨境数据流动,DEPA规定缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。DEPA协定成员坚持他们现有的CPTPP协定承诺,允许数据跨边界自由流动。DEPA协定有利于营造一个良好的营商环境,使企业无论身在何处都可以为客户提供服务,尤其是通过新的业务模型(如软件即服务,software-as-a-service)以及数字产品和服务(如在线游戏和视频流)。

DEPA协定强调了关于个人信息保护的重要性,DEPA协定第4.2条还制定了加强保护个人信息的框架与原则,包括收集限制、数据质量、用途说明、使用限制、安全保障、透明度、个人参与和问责制等。DEPA要求缔约方在国内建立一个与这些原则相匹配的框架。DEPA协定还明确,缔约方可采取不同法律方法保护个人信息,缔约方将建立机制,以促进各国保护个人信息法律之间的兼容性和互操作性,比如对企业采取数据信任标记和认证框架,从而向消费者表明该企业已经制定了良好的数据管理规范并且值得信赖。

可见,在平衡数据跨境自由流动和个人信息保护上,DEPA采取了比较灵活的措施,既制定了加强保护个人信息的框架与原则,也允许缔约方采取不同法律方法保护个人信息,并制定了相应的对企业的数据信任标记和认证框架。这也是“同等保护措施”的一种体现。