|
|
郝志强
工业和信息化部教育与考试中心主任
当前,数据作为新兴的战略资源和生产要素,其跨境流动已成为全球数字经济增长的新动能。数据跨境流动在促进国际经贸合作、加速科技创新的同时,也引发了全球对个人隐私安全、经济安全、国家安全的担忧。尤其是随着网络空间与地缘政治、产业竞争、经贸关系等领域紧密结合,数据跨境流动成为当前全球最为关注、最为复杂的议题之一。对此,美国、欧盟、日本、俄罗斯等主要国家和地区纷纷构建符合自身发展需求的数据跨境流动制度体系,不断加强数据跨境流动安全管理,服务数字经济发展。
全球主要数据跨境流动制度概述
目前,全球主要数据跨境流动规则中,美国以“长臂管辖”、选择性执法的方式加强数据跨境监管,欧盟关注个人隐私保护以规制数据跨境流动,新兴经济体国家主要通过加强对数据的主权控制平衡数据跨境自由流动和数据安全管理。
第一,美国数据跨境自由流动的政策逐渐限缩。
美国为确保其信息通信产业和数字经济领域的全球领先优势,在主张数据跨境自由流动的同时,通过“长臂管辖”规则获取国外数据,通过出口管制、外资审查等制度对数据出境设置了诸多限制。近期,美国不断出台数据跨境监管政策,其数据跨境主张发生持续变化,以此服务构筑数字经济“小院高墙”,美国贸易代表戴琪明确表示美国正在撤回在世界贸易组织谈判中美国坚持的数据跨境自由流动主张。
一是通过构建“长臂管辖”的法规制度实现跨境调取数据的合法化。2018年,美国议会通过《澄清境外数据的合法使用法案》(CLOUD法案),扩大了美国执法机关调取海外数据的权力。但其他国家调取存储在美国的数据则必须通过美国“适格外国政府”的审查,满足美国设定的人权、法治和数据自由流动标准。
二是将数据和物项、技术结合以限制敏感物项、先进技术相关数据出境。美国《出口管理条例》规定向外国人转让、披露受管制技术及相关技术数据的行为“视同出口”,且即便数据不出境,只要该物项已由美国境内的非美国人获取,也视同出境。美国依据《出口管理条例》形成“受管控非密数据列表”,涉及国家经济、政府管理、敏感技术等数据,并严控出境。
三是通过外资审查机制严格限制特定领域的外国投资及数据出境。《外国投资风险审查现代化法案》强化了对涉及美国关键基础设施、技术和数据等领域的外国投资的审查力度,如美国的外资安全审查机制要求美国涉及的通信基础设施应位于美国境内,要求国外网络运营商涉及美国用户的通信数据、交易数据、个人数据等仅存储在美国境内,并且将外资涉及美国公民敏感个人信息纳入审查范围。
四是逐步制定专门针对数据出境管理规则的限缩性政策。2024年3月,美国众议院通过《保护美国人数据免受外国对手侵害法案》。该法案禁止数据经纪人将美国人的敏感个人数据提供给外国敌对国家或受其控制的实体。此外,美国还通过发布行政命令要求外国在美企业剥离业务等手段来限制数据出境。
第二,欧盟向全球输出数据保护规则与监管模式。
欧盟对内积极消除其境内数据自由流动障碍,制定实施《数字化单一市场战略》,通过《通用数据保护条例》(以下简称“GDPR”)、《非个人数据在欧盟境内自由流动框架条例》,消除成员国数据保护规则的差异性,促进个人数据在欧盟内的自由流动。对外建立“充分性认定”、签订标准合同等跨境流动方式,通过GDPR建立严格的数据保护机制,利用域外适用强化域外管理。
一是以“充分性认定”为核心构建数据跨境流动圈。GDPR允许欧盟境内个人数据传输到欧盟委员会认为提供“充分”个人数据保护的国家和地区,“充分性认定”主要考虑第三国或特定实体的个人数据保护规则及司法救济等法律制度情况、数据保护监管机构、已签约数据保护相关的国际协定等因素。目前,欧盟委员会已认定日本、韩国等15个国家和地区,并影响相关国家和地区个人数据保护规则体系。
二是为企业提供多样化的个人数据跨境流动方式。GDPR还为企业提供了遵守适当保障措施条件下的转移机制,包括公共当局或机构间的具有法律约束力和执行力的文件、约束性公司规则(BCRs),以及通过审批的个人数据保护标准合同条款(SCC)、行为准则、认证机制等。相关数据跨境流动机制兼顾欧盟内部产业发展、中小型企业发展空间,以及维护数据市场发展秩序。
三是进一步强化调取境外犯罪数据的执法能力。2018年4月,欧盟委员会提出了《电子证据跨境调取提案》。欧盟将不以数据存储位置作为确定管辖权的决定因素,相关数据只要满足为刑事诉讼所需、与服务提供商在欧盟境内提供的服务有关,欧盟成员国的执法或司法机构就可直接向为欧盟境内提供服务的服务提供商要求其提交相关数据。
第三,新兴经济体国家持续开展数据跨境管理体系建设。
新兴经济体国家基于自身数字经济建设、信息技术发展等情况,构建不同模式的数据跨境流动制度体系,以期合理规范数据跨境流动,服务数字产业发展。
一是中国积极探索兼顾发展和安全的数据跨境流动便利机制。中国加快立法构建个人信息和重要数据的出境管理框架,《促进和规范数据跨境流动规定》进一步完善数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境管理的范围、条件和程序,保障数据安全,保护个人信息权益,促进数据依法有序自由流动。支持北京、上海、海南、粤港澳大湾区等开展数据跨境流动创新机制探索,为中国开展数字贸易、规范跨境数据流动提供参考,也为其他发展中国家开展数据跨境安全管理提供借鉴。
二是俄罗斯明确数据本地化制度以实现数据回流。俄罗斯在数据跨境流动上态度十分保守,数据本地化存储、数据出境严格限制等政策出台,其主要因素包括俄罗斯长期以来遭受网络攻击以及引发的对本国安全的担忧,特别是“棱镜门”事件后,俄罗斯加快数据跨境流动相关立法工作。如,2015年生效的《关于更新信息电信网络中个人数据处理程序的修正案》确立了数据本地化存储规则,并依据此法案修订了《个人数据法》,相关法案要求收集和处理俄罗斯公民个人数据的所有运营者使用位于俄罗斯境内的数据中心。
三是其他国家和地区结合政治、经济、文化等情况,制定属地的数据跨境流动政策。如,新加坡、巴西、南非、土耳其等国家借鉴欧盟GDPR以及数据跨境流动制度,完善本国数据跨境流动制度规则;日本在2019年G20大阪峰会上提出“基于信任的跨境数据流动”,主动对接美国、欧盟数据跨境流动政策,呼吁美国、欧盟、日本三方携手推动治理规则构建;韩国、澳大利亚、印度等国家规定银行、金融、征信等重要行业领域数据禁止出境;越南出台《网络安全法》,明确要求属于越南用户和由用户创建的数据必须存储在越南本地。
稿件来源:中国网信杂志
|
|
收藏
赞
踩