自党的十九届四中全会首次将数据纳入生产要素,特别是中共中央国务院相继发布《关于构建更加完善的要素市场化配置体制机制的意见》和《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)后,我国数据要素化推进步伐明显提速。浙江、上海、北京、深圳、广东、福建、四川、贵州、海南、山东、湖南、安徽、重庆、天津、湖北等地积极贯彻落实党中央、国务院战略部署,在数据要素制度体系、国家数据基础设施、公共数据开发开放、公共数据授权运营、数据产业与数商发展、数据交易与跨境流通、数字中国建设、以及数据安全体系等方面,开展了积极探索实践,取得了初步成效。在数据要素制度体系方面,浙江、广东、深圳、上海、江苏、山东、河北、重庆、四川、北京等开展了《公共数据管理条例》立法等,对数据产权、加工生产、流通交易、监管治理、数据安全等方面进行了全方位探索实践;在数据基础设施建设方面,上海、浙江、海南、北京、福建、贵州、山东、重庆、天津等地,各自在网络基础设施、算力基础设施、融合基础设施、政务数据一体化平台、公共数据授权运营平台、数据交易平台等方面超前布局;在公共数据开发开放方面,几乎所有地方都对公共数据采集汇聚、共享开放作出了明确规定。北京、浙江、上海、海南、福建、山东、湖南、湖北等省市都出台了公共数据授权运营管理办法;在公共数据授权运营方面,全国已有20多个省市成立了省级数据集团公司,分别以省属国资企业、国有资本全资企业、国有控股企业、混合所有制等四种方式,已探索出集中统一授权、分领域专区授权、分地域分散授权等不同授权运营方式;在数据技术和产业方面,上海作为“数商”概念的发源地,积极引领数据技术和产业发展,北京、深圳、贵州、山东、湖南、安徽、湖北等地也积极推进特色数据产业发展;在数据交易和跨境流通方面,上海、北京、深圳等地正积极创建国家级数据交易所,其他许多地方正建设区域级数据交易机构,并积极鼓励数据企业开展合规的场外交易。上海、北京、海南、深圳、广东等地正根据自身特点开展数据跨境流通试点示范;在数字中国推进方面,大多数地方将数字经济、数字社会和数字社会一体化协调推进,特别是重庆、安徽、山东、天津等地将“数字重庆”、“数字江淮”、“数字山东”、“数字天津”建设作为推进全省数据要素化的牵引,湖南以“数字博物馆”建设为小切口,带动数字文博产业甚至数字文化产业集聚式生态式发展;在数据安全体系建设方面,我国已构筑起国家层面的《数据安全法》《个人信息保护法》《网络安全法》《关键信息基础设施保护条例》(“三法一例”)等数据安全法律体系。上海、北京、深圳、海南等地正在创新运用区块链、隐私计算、联邦计算等数据安全技术构建数据安全可信加工交易平台。
各地方根据自身基础和特点在数据要素化方面的探索实践,特别是在数据制度体系、数据基础设施、公共数据开发开放、公共数据授权运营主体、数据技术和产业、数据交易与跨境流通、数字中国建设、数据安全体系等方面的一些做法,事实上已构建起了国家层面的数据要素化总体框架和实现路径。《交大评论》和京数智科技将联合刊出“一总纲八环节”共9期系列评论文章,系统阐释“六横两纵”国家数据要素化总体框架,以及国家数据要素化总体框架八个关键环节的内涵、特点、做法、发展趋势等。
系列评论文章为:
1.国家数据要素化总体框架之一——总纲
2.国家数据要素化总体框架之二——环节一:数据要素制度体系
3.国家数据要素化总体框架之三——环节二:国家数据基础设施(NDI)
4.国家数据要素化总体框架之四——环节三:公共数据开发开放
5.国家数据要素化总体框架之五——环节四:公共数据授权运营
6.国家数据要素化总体框架之六——环节五:数据产业与技术
7.国家数据要素化总体框架之七——环节六:数据交易与跨境流通
8.国家数据要素化总体框架之八——环节七:数字中国建设
9.国家数据要素化总体框架之九——环节八:数据安全体系
本期为系列评论文章之七《国家数据要素化总体框架之六——数据交易与跨境流动(之三)》,主要论述数据跨境流动的国际规则和协定,以及美国、欧盟、英国、日本、印度等世界其他国家对数据跨境流动的规制。
数据跨境流动是指数据处理者向境外提供数据读取、存储和处理的活动,包括数据的出境和入境两个方面。数据跨境流动主要包括两种情形:一是数据跨境的传输、转移行为,即“数据从一法域被转移至另一法域的行为”;二是尽管数据尚未跨境,但能够被境外的主体进行访问处理,即“对存储在计算机中的机器可读数据进行跨境处理”。不同类型数据跨境流动涉及不同权益,商业数据跨境流动通常涉及知识产权保护,个人数据涉及隐私保护,而政府数据涉及公共安全。
随着互联网在全球的全面普及和数据技术在各行各业的深入应用,加速了数据规模的爆发性增长,数据已发展成为当今经济社会发展的关键生产要素,并伴随着互联网的发展,数据跨境流动需求也不断增长。数据跨境流动对促进数据要素优化配置、发展外向型数据产业、开展国际数据交流合作、推动跨境数字贸易、建设数字贸易新秩序等方面,具有非常重要的意义。数据跨境流动已成为许多企业,特别是跨国公司生产经营活动的刚需。如许多制造企业在全球各地布局了多家工厂,各工厂的库存信息、物流供应链情况、研发设计进展等数据都要跨境流动,实现统筹安排,才能更高效地运转。金融行业的许多跨国金融公司都有一套成熟的后台系统,国内分公司必须依托顺畅的数据跨境机制才能使用总部系统,否则就需要重做一套新系统,不仅增加了成本,而且也可能影响市场分析、风险管控结果。生物医药行业对国际合作也有极高的依赖性,药品研发、患者用药安全、医药公司合规运营等方面,都离不开数据的便利跨境流动。此外,数据跨境流动事关国家主权安全、社会公共利益和个人信息权益,成为全球数据治理的关键议题,主要国家和地区均对数据跨境流动安全给予高度关注,纷纷从保障安全角度出台法律政策和监管工具。
一、数据跨境流动的国际规则与协定
世界贸易组织(WTO)形成于前互联网时期,没有规制跨境数据流动的专门规则,世界各国的数据跨境流动监管议题多以自由贸易协定(FTA)作为WTO的有益补充,以多边或双边方式对数字贸易新议题制定新规则,不断完善数据跨境流动监管环境。后来,《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)、《区域全面经济伙伴关系协定》(RCEP)和《美墨加贸易协定》(USMCA)等4个多边自由贸易协定均以“自由流动为原则,限制监管为例外”模式,从特定例外限制、一般例外限制和安全例外限制等三方面,为跨境数据流动规定了“原则+例外”的规制模式。相比较而言,4个多边自由贸易协定的规制标准大致相同,并且都在电子商务或数字贸易章节下对数据跨境流动规定了特定例外限制条款,但是,《区域全面经济伙伴关系协定》(RCEP)监管权更大,《美墨加贸易协定》(USMCA)自由度更高,《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)限制较为折中。此外,2023年6月,美英两国共同发布《大西洋宣言:21世纪美英经济伙伴关系框架》,宣布双方承诺建立美英数据桥(U.S.-UK Data Bridge)。2023年7月10日,欧盟委员会通过了《欧盟-美国数据隐私框架》(隐私盾2.0),重新恢复了由于原先“隐私盾”框架无效而受阻的跨大西洋数据流动。
1. 《全面与进步跨太平洋伙伴关系协定》(CPTPP)
《全面与进步跨太平洋伙伴关系协定》(CPTPP)是最早对数据跨境流动作出明确规定的全球多边自由贸易协定,由日本、澳大利亚等国主导,既倡导数据跨境自由流动,也赋予了缔约方规制权。我国于2021年9月正式提出加入CPTPP的申请。
CPTPP在第十四章对数据跨境流动的规定是:缔约方应允许通过电子方式跨境传输数据,对通过电子方式传输数据和计算设施的使用可设有各自的监管要求,缔约方为实现合法公共政策目的可采取或维持限制措施,只要该措施没有构成不合理歧视或者未超出所需限度的限制。
2.《美国-墨西哥-加拿大协定》(USMCA)
《美墨加贸易协定》(USMCA)由美国主导,基于美国强大的数字经济贸易地位和数字技术保障等强竞争力,强调数据跨境的自由流动,旨在确立自由贸易协定中数据跨境自由流动的高标准并提高规则的实际约束力。USMCA奉行更高标准数据跨境流动规则,更强调数字贸易的自由化,数据跨境流动特定例外限制规则制定的相对宽松,以促进数据在世界范围内的自由流动。
USMCA第十九章对数据跨境流动的规定是:缔约方不得禁止或限制通过电子方式跨境传输数据,缔约方在未构成不合理歧视或者未超出所需限度的限制情况下,可为实现合法的公共政策目标采取或维持必要限制措施。USMCA虽然在“通过电子方式跨境传输信息”中设置了特定例外,但删除了“计算设施的位置”中特定例外的规定,以限制缔约方对电子商务活动进行监管的政策空间。该协定在第19.12条“计算设施的位置”条款中,并没有规定”公共政策目标例外”,仅规定缔约方不得要求被覆盖的人员在该方领土内使用或定位计算设施作为在该领土内开展业务的条件。通过对数据跨境流动特定例外限制规则的删减,《美墨加贸易协定》要求计算设施非本地化且未规定例外情形,进一步提高了数据的开放程度。
3.《区域全面经济伙伴关系协定》(RCEP)
《区域全面经济伙伴关系协定》(RCEP)由东盟主导,更注重对数据跨境流动的监管自主。考虑到各国数字贸易发展的不同情况,该协定的特定例外限制条款范围明显较广,例外规则更为宽泛,赋予了缔约方更大的数据跨境流动监管权,增加了缔约方对数据跨境流动采取限制的可能性。
RCEP在第十二章对数据跨境流动的规定是:缔约方不得对“计算设施的位置”和通过电子方式跨境传输数据作出限制,但缔约方为实现合法的公共政策目标或保护其基本安全利益,可以采取必要措施对数据跨境流动进行限制。此外,作为主要由发展中国家驱动的自由贸易协定,RCEP更尊重缔约方基于“基本安全利益”的监管需求,在第12.14条和第12.15条增加了保护缔约方基本安全利益的例外条款,且其他缔约方不得对此类措施提出异议。该协定在特定例外条款中额外加入了安全例外,将“基本安全利益例外”规定在“电子商务”章节之下,作为“公共政策目标例外”的平行条款一同适用。在涉及基本安全利益方面,RCEP缔约方拥有更高水平的监管自主权,这也是它最显著的特色。RCEP也规定了“公共政策目标例外”,但在公共政策目标例外的“合法”认定上,该协定在第12.14条和第12.15条的脚注中说明,缔约方确认实施合法公共政策的必要性由实施政策的缔约方决定,明确了缔约方的专断权,且这种权利可以避开其他缔约方政府的挑战,强化了缔约方采取例外措施的自由裁量权。
4. 《数字经济伙伴关系协定》(DEPA)
《数字经济伙伴关系协定》(DEPA)的主导国同时也是CPTPP的成员国,主要由美国、日本等国主导,基本上完全借鉴了CPTPP关于数据跨境流动的相关规定,两者的数据跨境流动条款和数据本土化条款基本一致,都采用了“合法公共政策目标”这种专门例外。我国于2021年11月正式提出加入DEPA的申请。
DEPA第四章对数据跨境流动的规定是:缔约方应允许通过电子方式跨境传输数据,对通过电子方式传输数据和计算设施的使用可设有各自的监管要求,只要没有构成不合理歧视或者未超出所需限度的限制,缔约方为实现合法公共政策目的可采取或维持限制措施。
5.《大西洋宣言:21世纪美英经济伙伴关系框架》(数据桥)
2023年6月8日,美国总统拜登与英国首相苏纳克在白宫会谈后共同发布《大西洋宣言:21世纪美英经济伙伴关系框架》(以下简称“大西洋宣言”),并随附《21世纪美英经济伙伴关系行动计划》(以下简称“行动计划”),双方承诺将从五个方面开展合作:一是加强美英在关键和新兴技术方面的进一步合作;二是推进在经济安全和技术保护工具包和供应链方面的合作;三是进行包容和负责任的数字化转型;四是建设未来的清洁能源经济;五是进一步加强在国防、卫生安全和太空领域的联盟。其中,在第三方面“合作实现包容性和负责任的数字化转型”中,双方将在三个方面加强合作,包括加强数据合作、加快推进人工智能合作、深化隐私保护技术方面的合作等。
——加强数据合作。美英两国一致认为,安全可靠的数据跨境流动是进一步创新的基础。为此,两国承诺建立美英数据桥(U.S.-UK Data Bridge),以促进两国之间的数据流动,同时确保强有力和有效的隐私保护。两国正致力于完成两国各自的评估工作,以便执行大西洋宣言框架。并将通过协调进一步提升数字经济的可信度,包括支持建立全球跨境隐私规则平台,并就数据安全风险建立共识。
——加快推进人工智能合作。美英认识到人工智能有潜力改变我们的社会和经济,决定通过政府力量,释放这些技术快速发展带来的机遇并降低风险。两国将加快在人工智能方面的合作,尤其要确保该技术的安全和负责任发展。两国都支持正在进行的国际活动,包括经合组织、联合国、全球人工智能伙伴关系、欧洲委员会和国际标准组织等开展的活动,并认为有必要在此基础上更进一步,特别是在人工智能的风险和机遇方面。英国已于2023年在英国举办第一届人工智能安全全球峰会(Global Summit on AI Safety),美国副总统哈里斯高级别出席峰会。美国已采取强有力的行动来推动负责任的创新,并正在推动全面应对人工智能风险和机遇的进程,包括公司、学界、民间机构以及盟友和合作伙伴的全面参与。
——深化隐私保护技术方面的合作。为了最大限度地负责任使用数据,美英计划发起隐私保护技术合作(Collaboration on Privacy Enhancing Technologies),并训练负责任的人工智能模型,实现经济和社会效益,同时保护个人隐私和双方的民主价值观。
6.《欧盟-美国数据隐私框架》(隐私盾2.0)
2023年7月10日,欧盟委员会通过了《欧盟-美国数据隐私框架》(隐私盾2.0),重新恢复了因2020年7月欧盟法院判决“隐私盾”框架无效而受阻的跨大西洋数据流动。
——欧美数据跨境流动协议经历了三个阶段。自2000 年以来,欧美数据跨境流动经历了三个发展阶段:第一阶段是2000年的《欧美安全港框架》。安全港框架规定,美国企业只要向美国商务部自我认证遵守满足欧盟《数据保护指令》(指令95/46/EC)相关原则与要求,即可接收从欧盟传输来的个人数据。但是,安全港原则留有特别条款,对于美国政府机构根据国家安全、公共利益及执法需求做出的行为实行例外原则。2013年斯诺登事件爆发,揭示在个人和企业等数据主体不知情的情况下,所有被传输至美国甚至经过美国的数据都有可能被美国情报机关通过数据服务商的主动配合或对主干电信网络的监听获取。据此,2013年,奥地利律师Schrems对Facebook Ireland Ltd提起投诉,要求禁止Facebook Ireland Ltd依据安全港框架将其个人数据转移到美国。2015年10月,欧盟法院发布Schrems I决定,宣布安全港框架无效,认为安全港框架违反《数据保护指令》(指令95/46/EC),侵犯欧盟公民的个人数据根本权利。第二阶段是2016年《欧美隐私盾协议》。2016年,欧盟委员会通过第2016/125号决定,批准《欧美隐私盾协议》,根据隐私盾协议,美国设立独立的隐私盾监察员,负责监督国家安全干预。美国还向欧盟提供关于为国家安全目的访问数据的限制和保障措施的详细承诺。第一,美国企业承担更强义务。美国企业须至少每年提交一次遵守隐私盾要求的自我确认书,完全遵守相关隐私原则,公开隐私政策和执法部门获取个人数据的请求等。美国商务部、联邦贸易委员会、交通部等政府部门负责监督美国企业履行隐私盾义务的行为。第二,明确将美国政府开展网络监控和获取个人信息的范围限制在六个方面:一是侦测、反击外国势力的特定行动;二是反恐;三是反制核扩散;四是网络安全;五是侦测、反制对美国和同盟军事力量构成的威胁;六是打击国际犯罪威胁,包括逃避刑事制裁的行为。美国政府承诺不再进行大规模的任意监控。但是,爱尔兰数据保护专员向爱尔兰高等法院提起Schrems II诉讼,并向欧盟法院移交11个问题要求确认。欧盟法院经审理后认为:美国对数据保护的限制违反比例原则,美国法律没有为数据隐私受到损害的欧盟主体提供有效的救济措施,隐私盾监察员隶属于美国国务院,其独立性存疑。鉴于以上调查结果,欧盟法院认为美国未能为欧盟主体提供有效的救济措施以解决数据传输安全缺陷,于2020年7月宣布第2016/1250号关于隐私盾的充分性决定无效。第三阶段是2023年《欧美数据隐私框架》。经过多年的合作和谈判,2023年7月,欧盟委员会通过《欧美数据隐私框架》充分性决定,被称为隐私盾2.0版。根据数据隐私框架,当个人数据从欧盟向经框架认证的美国公司流动时,美国公司不再需要提供决定要求以外的安全措施。《欧美数据隐私框架》体系由两个部分组成:一是美国商务部发布的《欧美数据隐私框架原则》,二是框架配套文件,包括《第14086号关于加强美国信号情报活动保障的行政令》及其他相关规范美国情报机关活动的文件。美国商务部负责管理《欧美数据隐私框架》日常运作,处理认证申请并监督参与公司是否继续满足认证要求,并通过公示认证名单和退出名单的方式保障数据传输过程中的透明度,认证名单每年更新。美国联邦贸易委员会将针对美国公司遵守框架下义务的情况开展执法。欧盟委员会将持续监测并定期审查充分性决定。首次审查将在充分性决定生效后的一年内进行,根据首次审查结果,欧盟委员会将在与欧盟成员国和数据保护机构协商基础上,决定未来审查周期(审查至少每四年进行一次)。若出现影响美国隐私保护水平的事件,欧盟委员会可调整甚至撤销充分性决定。
——《欧美数据隐私框架》为畅通欧美间数据跨境流动提供了极大便利。美欧间跨大西洋数据流动的贸易7.1万亿美元的经济活动,分别占美国和欧盟跨国数据流动规模的一半以上,框架为美国企业适用GDPR提供大量豁免,为欧美之间的数据跨境提供极大的便利。
——美国通过发布总统令为达成协议做出了巨大让步。鉴于美国政府无意修改大规模监控相关法律,将美国宪法第四修正案免遭政府不合理搜查、扣押的权利扩展至欧盟数据主体,为解决欧盟法院提出的担忧,美国总统拜登于2022年10月签署《第14086号关于加强美国信号情报活动保障的行政令》,在强调情报能力对保障美国国家安全利益、保护公民免受伤害的重要性的同时,重申情报活动必须将所有人在处理个人数据时均享有的合法隐私利益纳入考量。《行政令》一方面将美国情报机构对数据的访问限制在保护国家安全所必需的范围内,并明确要求美国情报机构在信息解密时告知被监控个人,并扩大合规官责任,另一方面对隐私盾框架下的救济措施进行优化,设立独立且有约束力的双层救济机制,以调查和解决关于美国情报机构收集和使用从欧洲经济区向美国公司转移的个人数据的投诉。美国采取行政令形式,在既不影响美国收集外国情报能力,又兼顾境外欧盟人员隐私利益保障的情况下,获取欧盟委员会的充分性认定并推动欧美数据跨境传输,是极具实用主义的策略选择。2023年7月3日,美国国家情报总监办公室确认,美国情报部门已根据第14086号行政令对情报活动采取相应的管理措施,重点内容包括:一是国家情报总监办公室有权获取与国家安全有关或为履行职责所需的所有信息和情报;二是保护通过情报收集的个人信息;三是公民自由保护官负责监督国家情报总监办公室遵守本文件规定的情况;四是国家情报总监办公室不得采取任何旨在阻碍或不当影响公民自由保护官审查投诉或数据保护审查法院的任何行动。国家情报总监办公室应当遵守公民自由保护官的任何决定,除非数据保护审查法院有不同决定,并在违规后采取适当补救措施;五是有权访问受本文件约束信息的所有国家情报总监办公室人员将接受有关适用要求的培训。
二、世界各国对数据跨境流动的规制
跨境数据流动是进行数字贸易的前提,但各国对于跨境数据流动的规制持有不同立场。当前,庞大、复杂的经济活动产生了海量、多样和即时的数据,作为一种新型的生产要素,数据已经成为数字时代的基础性资源和战略性资源。作为连接全球数字经济的纽带,数据跨境流动为全球化带来了新动能,据京数智科技估算,预计到2025年,数据跨境流动对全球GDP的贡献价值将达到11万亿美元。与此同时,全球地缘政治环境近年来正在发生重大变化,数据跨境流动也给国家安全、数据主权、隐私保护等带来诸多挑战,从上世纪90年代以来形成的数据全球自由流动格局正面临新的挑战。世界各国纷纷出台维护国家数据安全和保障本国公民个人信息安全的相关法律法规,企业的跨国数据流程变得越来越复杂,数据合规合法成本不断上升,一些大型跨国数字平台企业还随时面临着各国政府天价罚款甚至被拆分的威胁,全球数字经济发展正遇到新的、更复杂的问题。越来越多的国家和地区制定了相应的数据跨境管理规则。据统计,截至2023年5月,已有70多个国家和地区对数据跨境流动有所规制,超过180个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则专门章节或专门条款。
1.美国不断升级数据跨境流动管制措施
近年来,美国一改过去积极倡导和鼓励数据跨境自由流动的做法,不断升级对本国数据、特别是关键领域数据出境限制措施。美国从EO 13556号行政令到《澄清域外合法使用数据法》(CLOUD Act),再到《外国投资风险审查现代化法案》《出口管制条例》,直到《保护美国人个人敏感数据免遭“受关注国家”利用》,长期推进有利于自身的数据跨境流动规则,一方面继续倡导数据自由流动,另一方面对关键基础设施、金融、税收、人工智能关键技术等关键领域数据出境施加限制措施,并且逐步强化对中国等国家的数据跨境流动管制。
——EO 第13556号行政命令。2010年11月4日,美国政府颁布第13556号行政命令,建立了一个管理所有行政部门受控非机密信息(CUI)的计划,严格限定了关键基础设施、金融、税收等近20个门类数据的传播范围。CUI是政府创建或拥有的信息,或者是实体为政府或代表政府创建或拥有的信息,或者是法律、法规或政府范围的政策要求或允许机构使用保护或传播控制进行处理的信息。并指定国家档案和记录管理局(NARA)作为执行机构,NARA已将这些责任委托给信息安全监督办公室(ISOO)。
——《澄清域外合法使用数据法》(CLOUD Act)。2018年3月,美国总统批准发布了一项特殊法律《澄清域外合法使用数据法》(CLOUD Act)。CLOUD Act采取了美国政府坚持的“数据控制者标准”,规定“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照《存储通信法案》所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control)。”这就是说,只要是美国公司拥有、监管或控制数据,即使存储在境外,美国政府也有权检查。
——《出口管制改革法案》。2018年美国参众两院高票通过了《出口管制改革法案》,将14类新兴技术纳入出口管制,全面打响了中美科技战。并通过外商投资安全审查、出口管制等手段对人工智能关键技术、敏感个人数据等采取相关跨境限制措施。
——《外国投资风险审查现代化法》。2020年以来,由美国财政部主导的政府间协调机构美国外国投资委员会(CFIUS)继续在《2018年外国投资风险审查现代化法案》框架下强化对外商投资的审查,有关规定更加细化,并对有关审查收取费用。CFIUS在实际审查过程中对于以往已经完成的交易同样进行审查,使不少中国在美投资项目面临被要求撤资的风险。
——《保护美国人个人敏感数据免遭“受关注国家”利用》。2024年2月28日,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项《保护美国人个人敏感数据免遭“受关注国家”利用》的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知(ANPRM)Fact Sheet,概述了实施该命令的规则。美国政府决意切断某些敏感数据向中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗等六个“受关注国家”的跨境传输。这一行政命令代表了美国数据政策和法律的重大转变,在美国历史上第一次创建了一个美国人数据跨境传输的审查机制,也成为基于国家安全理由政府明确介入商业数据跨境流动的国家。
——《加强海外关键出口国家框架法案》。2024年5月23日,美国众议院外交事务部委员会以压倒性多数,通过《加强海外关键出口国家框架法案》(“ENFORCE法案”),主要内容是通过补充AI相关定义、赋予总统管制权、增加美国人从事AI模型出口相关活动的许可义务,对AI模型进行管控,旨在让美国商务部更容易对AI模型实施出口管制,以及限制美国与外国人合作开发威胁国家安全的AI系统。
2.欧盟建立严厉数据跨境流动监管规则
欧盟坚持在“隐私保护优先”原则下开展数据跨境流动。2018年欧盟出台《通用数据保护条例》(GDPR),对数据跨境流动的监管范围做了描述和规定,并构建了一套高标准的数据保护机制。
——数据跨境流动监管范围。GDPR专设第五章对个人数据向非欧盟条约缔约国的第三国或者国际组织的传输规则展开了细致的描述。欧盟对数据传输流动监管需满足三个条件:一是数据输出方(控制者或处理者)的处理活动受GDPR管辖;二是数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给控制者、联合控制者、处理者等数据接收方;三是数据接收方位于非欧盟条约缔约国的第三国或是国际组织。
——充分性认定。GDPR规定,传输目的地获得欧盟委员会的充分性认定(transfers on the basis of an adequacy decision TBAD)后,欧盟国家向其传输数据无需获取额外授权,遵守GDPR对数据传输的普通规定即可。充分性认定要求第三国或国际组织具备以下条件:一是法治、尊重人权和基本自由、相关立法和执法情况;二是第三国或国际组织所在国是否拥有负责数据保护的独立监管机构;三是第三国或国际组织缔结的国际承诺、有法律效力的公约或文书、加入的与数据保护相关的多边关系或区域体系。欧盟委员会将按照以上标准进行充分性认定,且每四年进行一次审查,得到充分性认定的国家会在《欧盟官方公报》和欧盟委员会网站上公布。充分性认定是通过建立“白名单”对其数据流入国进行严格限定,确保接收数据的国家能够提供与成员国相当水平的充分性保护。对某个国家或地区进行充分性认定,就意味着对该国家或地区法律法规的认可,意味着认可该国家或地区监管机构对数据保护的执法力度,也意味着对个人行使权利便利程度的认可。目前达到充分性认定标准的国家有:安道尔、根西岛、泽西岛、阿根廷、以色列、新西兰、加拿大、马恩岛、瑞士、法罗群岛、日本以及乌拉圭。
——提供适当保障措施。当传输目的地没有获得充分性认定,但能够提供适当的措施来保护数据主体的权利和自由,且数据主体可以申请法律救济,那么向其传输数据也是被允许的。保障措施包括八项:一是公共当局或机构之间有具备法律约束力和执行力的文书;二是约束性企业规则(BCR);三是欧盟委员会通过的标准合同条款(SCC);四是监管机构通过并经欧盟委员会核准的标准数据保护条款;五是经核准的行为守则,以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺;六是经核准的认证机制,以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺;七是控制者/处理者与第三国或国际组织的控制者/处理者/接收者之间的合同条款;八是在公共当局或机构间的行政安排中加入的规定中,包括可执行和有效的数据主体权利。其中,约束性企业规则(BCR)和标准合同条款(SCC)是两种最常用的保障措施。
——约束性企业规则((binding corporate rule BCR)。BCR需要境内监管机构的认可,这就意味着境内监管机构需要认可BCR所提供的数据保护水平,如果有一家跨国分公司所在国家的保护水平较低,则该分公司还需要遵守BCR,根据BCR规定的原则提供数据保护。公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则公司在该国的公司主体就要承担有关数据出境的所有法律责任—即监管机构、个人数据主体,均可通过境内的公司主体来追究法律责任。BCR主要适用多组织或跨国企业在其体系内传输个人数据。
——标准合同条款(SCC)。SCC被认为是欧盟个人数据出境的主要路径,是经欧盟委员会核准的条款,企业不得随意更改。SCC固定了数据出境后受到的保护原则,也就决定了保护水平,同时SCC还通过法律责任划分的形式,将主要责任确定在了境内组织,给境内监管机构追究责任提供了便利。当然,境内主体可以通过合同的形式转而继续追究境外主体的责任。SCC还在合同中规定了个人数据主体可以基于合同拥有一些特定的权利。大多数中国企业都会选择签署SCC作为跨境传输数据的有效保障。
——跨境传输的特殊情况。如果传输目的地既未通过欧盟委员会的充分性认定,也无法采取以上提到的保障措施,但是,当数据传输行为是偶发的、必要的,涉及的数据主体较少,并且数据控制者或处理者也采取了适当的保护措施来保障数据安全,此类跨境数据传输无需获得额外的许可。包括以下四种情形:一是传输不是重复性的;二是只涉及有限数量的数据主体;三是对于控制者实现其所诉求的令人信服的合法利益确属必要,且这些利益不会因数据主体的权益或权力与自由而否决;四是控制者已评估与数据传输有关的所有情况,并根据该评估为个人数据的保护提供了适当的保障。
3.其他国家加紧完善数据跨境流动政策
世界其他国家有的积极参与到美国主导的全球跨境数据流动规则中,有的寻求通过欧盟的充分性认定或其他保障措施,有的不断加强对数据跨境流动的管制。根据京数智科技统计数据,从2017年到2024年,要求数字信息存储在特定国家的法律、法规和政府政策的数量增加了一倍多,达到144个。
——英国积极探索数据跨境流动新型方式。英国不断制定完善国内法律法规体系,并将工作重心放在与美国、欧盟和亚太地区之间数据跨境流动方面,积极探索数据跨境流动方式,在短期内保障了英国与主要经济体之间的数据畅通。但是,英国正在通过《数据保护和数字信息法案》(DPDI)对与欧盟GDPR接轨的《数据保护法》进行修正,一旦法案获得通过,欧盟对英国的充分性认定将随即失效,英欧之间的数据流通又面临新的变数。而英美之间的“数据桥”协议是美欧《跨大西洋数据流动隐私框架》的延伸,如果欧盟对英国的充分性认定失效,英美之间的“数据桥”协议也会随之失效,英美之间的数据流通也将面临不确定性。而英国加入CPTPP的谈判也未见成效,英国和亚太国家之间的数据流动障碍还未解决。因此,英国在数据跨境流动机制方面的探索还停留在短期的双边和多边协议安排方面,对全球范围数据流动的探索工作还较少,并且由于英国自身数据保护法律法规也在不断调整中,也会造成市场对数据跨境流动预期的不稳定。
——日本积极倡导数据自由流动。日本于2019年6月在G20大阪峰会上倡议建立数据自由流动的“数据流通圈”,提出为了促进跨境数据流动,可以在一定程度上降低个人数据保护标准,以促进“基于信任的跨境数据流动”。日本还通过自贸协定建立起与欧盟的数据跨境流动机制,《欧盟-日本经济伙伴关系协议》于2019年2月1日正式生效,2024年1月31日,欧盟委员会与日本签署协议,将跨境数据流相关议题纳入到《欧盟-日本经济伙伴关系协议》的相关条款中,确保欧盟和日本之间的数据跨境流动不会受制于数据本地化存储。
——加拿大与美国保持高度一致。加拿大长期坚持以数据开放为主要特征的数据要素市场化实践,其开放数据已由2013年的世界第10位上升到2022年的世界首位。继2011年发布《开放政府协议》后,相继出台了《加拿大开放政府指令》等一系列数据开放政策,每两年都发布修订版《开放政府行动计划》,建立了数据开放网站 data.gc.ca,提供包括核心数据集和数据使用工具在内的多项服务。加拿大政府是开放政府合作联盟(OGP)成员国,在2013年签署加入G8峰会《开放数据宪章》,与美国、英国等大国保持了一致理念和数据畅通。
——印度严格要求数据本地化存储。印度数字产业相对落后,其数字应用市场基本被美国的Facebook、YouTube和中国的抖音、微信等数字科技平台企业控制,印度的数据要素市场化配置制度侧重于保障国家安全,保护和发展本国数字产业,主要采用本地化存储、数据信托等方式。在数据流通方面,2019年印度电信部提出建立数据信托,“通过适当的社区数据受托人”行使其数据主体权利。在数据跨境流动方面,强调数据存储本地化。印度在颁布的《国家电子商务政策》和《信息技术法案》中规定重要数据必须本地存储,要求外国公司在当地建设数据中心,绝对禁止关键个人数据出境,并加大对中国企业的监管惩罚力度。
——俄罗斯将数据安全置于更优先地位。俄罗斯制定形成了覆盖数字经济发展、个人数据保护和国家数据安全等全范围的法律法规体系,并将数据安全作为数据流动的前提。俄罗斯于2006年加入《个人数据自动化处理中的个人保护公约》,同年颁布了《关于信息、信息技术和信息保护法》和《个人数据法》,明确了信息拥有者和信息系统运营者的信息保护义务、数据主体权利和数据处理者的义务、数据自由流通国家白名单等,实行严格的数据本地化制度,要求收集、记录个人信息的数据库必须存放在俄罗斯境内,向国家数据保护机关报告数据库所在地,可以随时中止或限制个人数据跨境转移,加强对推特(Twitter)和脸书(Facebook)等美国平台企业的监管检查。
——其他第三世界国普遍采纳谨慎的数据跨境流动政策。巴西、印尼等国家一方面参照欧盟GDPR建立了要求较为严格的数据跨境传输规定,另一方面也特别强调要加强与美国间数据传输合作,并正与跟美国就数据跨境问题上进行的多边谈判。
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。
主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。
主要产品:数据易投、数据易贷、数据易保、数据易售。
联系我们请点击:
数邦客
