本报记者 杨子怡 谷伟
近日,中国移动发布《企业跨境数据流动安全合规白皮书(2023)》,这是国内运营商在跨境数据流动领域的首份白皮书。当前跨境数据流动面临怎样的挑战,国内外如何监管,未来会向哪些方向发展?
跨境数据流动是世界经济的新要素流动
据麦肯锡预测,到2025年,全球数据流动对经济增长的贡献将达到11万亿美元。数据跨境流动不仅是数字经济发展中的重要组成部分,也是开展数字贸易的基本前提。清华大学服务经济与数字治理研究院副院长高宇宁认为,跨境数据流动是世界经济的新要素流动,其中很大一部分流量是由企业与其全球业务、海外供应商和国际客户进行交流和交易产生的。
物联网、云计算等技术极大地增加了全球数据流,2005年以来全球数据流增长了数百倍。根据IDC预测,我国的数据量在2021—2025年平均增长速度为30%左右,将成为全球数据量最大的国家。
随着企业数据跨境传输、访问、使用的频次和容量大幅增加,数据跨境流动所带来的风险越来越大。当前我国企业跨境数据流动合规保障还处于起步阶段,面临数据循环不畅通、数据交易不活跃、数据价值难计量、数据资产产权难界定等问题。中国信息经济学会副理事长齐佳音表示,当前数据跨境流动存在隐私保护技术实施与企业运作的矛盾、企业合规成本相应增加以及技术漏洞。如何平衡跨境数据流动的安全收益和经济效益已经成为企业的一道“必答题”。
国内外持续探索跨境数据流动监管体系
放眼国际,跨境数据流动面临数据流出国与流入国之间在数据保护、数据监管等方面的法律法规冲突。世界主要国家均以维护本国利益为出发点,构建跨境数据流动法律条款和监管制度。
当前,美欧在跨境数据流动规则制定中占据领先地位。美国《加州消费者隐私法》与欧盟《通用数据保护条例》二者都对数据隐私作出规定。高宇宁提到,欧洲数据隐私法以数据主体及其权利为中心,以宪法性的话语体系保护数据主体的权利;美国法律中信息隐私法的重点不是对个人基本人权进行保护,而是确保数据交换的公平,“但是双方在数字隐私和数据安全治理合作方面不断加强”。
《21世纪经济报道》表示,近日美欧达成人工智能促进公共利益行政协议,此次联合建模并不共享训练数据集,双方在数据流通上仍有所保留。清华大学公共管理学院教授、人工智能国际治理研究院副院长梁正表示,美欧此次合作恰恰提供了国际合作的一种可参考方案——在各国强调数字主权的大背景下,在数据不流动的前提下通过多方可信安全计算、联邦学习等方式实现对数据价值的共同发掘和利用。
我国积极完善数据安全保护及数据跨境流动监管体系,立法覆盖面逐渐扩展。《网络安全法》《数据安全法》等就数据出境作出了相关规定,构建起安全条件下促进数据自由有序高效流动的基本管理制度。2022年7月发布的《数据出境安全评估办法》,就我国个人信息和重要数据出境安全审查评估等提出了具体的法律解决方案,是我国破题数据跨境流动管理规则的重要实践。今年2月24日,《个人信息出境标准合同办法》公布,明确了个人信息出境标准合同范本,为中小企业个人信息跨境业务合作提供法治保障,是我国深化开放合作、探索个人信息跨境流动与治理的新标准。在地方层面,全国各省(区、市)陆续颁布数据条例或数据条例草案。从中央到地方的实践探索,为促进跨境数据自由高效有序流动奠定了良好基础。
平衡安全收益和经济效益将成为趋势
未来跨境数据流动监管将迎来怎样的趋势?从近日发布的《个人信息出境标准合同办法》中可以看出,平衡安全收益和经济效益将成为趋势之一。中国信通院互联网法律研究中心主任方禹表示,办法中提出个人信息处理者与接收者可以在合同附件中明确标准合同范本中未明确的事项,这样既明确了个人信息出境标准合同的监管要求,又保障了合同双方的意思自治和合同磋商空间。高宇宁认为,中国的跨境数据监管体系需要从以“授权流通”为主向数据分类分级基础上的“授权流通”“监管流通”“事后问责”相结合的多元体系转型。《企业跨境数据流动安全合规白皮书(2023)》中也提到,企业合规体系建设将由“合规性驱动”转向“业务价值驱动”,其关注点将从满足监管要求转向为企业发展产生实际效能。
趋势二是强调开放性。在国际数字贸易增长迅速的环境下,积极融入全球数字经济发展大局,借鉴其他国家的有益做法以达到稳定可行的双/多边机制是必然之路。齐佳音提到,在各国建立与完善跨境数据流动的行业自律制度上,可以更多地参与国际行业内部自律监督执行联盟的工作。
此外,《企业跨境数据流动安全合规白皮书(2023)》预测,未来五年企业跨境数据流动监管规则的行业化特征日趋凸显,预计金融、能源、制造、电商等全球化发展程度高、跨境数据流动量大的行业将率先建立并完善行业化的管理规则与技术方案。在技术发展方面,数据自动分类分级、隐私计算及区块链等技术将日趋成熟并广泛应用。