【编者按】2020年6月10日,世界经济论坛(The World Economic Forum,简称WEF)发布报告《信任的数据自由流动(DFFT):通往自由和信任的数据流动路径》(Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows)。《报告》认为,在数据流动的推动下,数字化已经成为现代经济社会的无缝运行的关键。但是,由于各国之间的相互不信任,以及受诸于隐私、安全性、访问数据和产业政策等目标的影响,各国国家法规经常限制数据的跨境流动,从而导致全球数据治理规则支离破碎甚至相互矛盾,难以对数据治理采取统一的适当行动。2019年,日本领导人在G20框架下发起了一项重大国际数据流倡议——大阪轨道。《报告》基于大阪轨道的核心理念构建了“信任的数据自由流动”的框架。框架旨在为政府之间、政府与企业、以及企业之间在数据流动的国际合作搭建一个多维体系结构,并提出了包括贸易规则和其他工具的提高治理信任度并建立开放性的建议,以期塑造符合未来全球贸易和经济高度相互依赖的平台。
1、前言
始于二十多年前的全球数字化进程,正在通过拉近市场和人们的距离继续深刻地改变全球经济和社会。互联网连接设备的数量已经超过了全球人口数量,预计到2023年全球将拥有超过293亿个联网设备,其中绝大多数设备将连接着机器、车辆、基础设施、建筑物而非用户。因此,全球性的数据安全流动能力对我们的社会至关重要。但是,随着各国规制数据的国内法规日益分散,其对于全球贸易以及经济、社会活动的限制性和破坏性也越来越大,缺乏有效、可信赖的政策合作机制迫使立法者转向其他选择。许多司法管辖区对跨境数据流动采取了歧视性措施,甚至在其领土外实施了法律。研究表明在过去十年中,数据限制政策的数量已翻了一番。
2019年G20峰会和大阪轨道的遗产
2019年1月,日本首相安倍晋三在达沃斯世界经济论坛年会上呼吁制定适用于数字时代的国际规则,并邀请各国领导人为“信任的数据自由流动”(DFFT)建立国际秩序——即愿景是共生中存在开放和信任而非矛盾。同年6月,在日本担任主席的筑波G20部长级会议上,各国的贸易和数字经济部长们共同强调了跨境数据流动对生产力、创新和可持续发展的战略意义,以及应对安全、数据保护、知识产权等挑战的重要性。在G20大阪峰会之后,各国政府首脑同意共同致力于实现“信任的数据自由流流动”愿景。《大阪领导人宣言》指出,应遵守国内和国际的法律框架,同时必须增强每个框架之间的互操作性,以允许数据更自由地流动。各国领导人还确认了“大阪轨道”(The Osaka Track)的价值——一个为了释放更开放、可信赖数据流动的价值所必需的全球治理进程统称。
2、走向数据驱动型经济
更加数据密集型的经济
数字经济(在数据流动的支撑下)占全球经济活动的较大比重。大多数估算研究显示,全球数字经济规模同于G7国家的国内生产总值(GDP)并且平均增长速度是全球主要新兴市场增速的六倍。数字化还推动着全球贸易和跨境商业活动的显著扩展,在服务方面,约有一半的跨境贸易是通过数字连接实现的。同时,数字贸易使发展中国家和微型、中小型企业(MSME)能够通过更高的知名度、更容易的市场准入和更低的分销成本来进行出口。
数据和连接不仅是访问海外市场和客户的重要工具,而且还是产业生产的关键要素。就价值而言,这些工具占服务/制造企业在生产过程中所有购买投入的5%至45%。对于大多数行业而言,有效的数据、连接和软件供应的重要性已经超过了传统的劳动力和电力地位,并且由于诸如机器对机器(M2M)、下一代移动网络(5G)、物联网(IoT)和数字自动化等新兴技术发展的影响,重要性仍在迅速提升。
图1:2007年和2012年数据作为产业生产投入的历史增长(部分行业的五年比较)
数据限制的成本
如果有效利用数据和连接性是提高经济效率的重要工具,那么对跨境数据流动的限制则是国际贸易体系中沉重的成本,可能会改变许多传统行业的生产模式。例如,几乎所有服务部门(物流、零售、金融服务等)以及许多制造业(汽车、机械、医疗和科学设备等)都生成或传输某种形式的数据,这些数据通常存储在一个全球或区域中心位置。对国际数据传输的法规要求,以及数据本地化政策(即在本地存储或处理数据的法规要求),可能会迫使出口商在每个运营国家/地区建立或租赁数据中心,这将会带来高昂的合规性和准入成本。研究显示,这些要求也阻碍了实施这些要求的国家的经济增长,并抵消了数字化带来的收益。
专家们普遍同意,数据本地化要求对业务或安全性几乎没有积极影响,因为生产力损失超过了在数据处理中创建的少量业务。有研究指出,信息安全与数据在物理存储或地理处理的因素相比,信息安全与数据的维护方式关系更大。此外,数据本地化要求可能会降低公司确保网络安全或保护消费者的能力,并可能增加网络攻击的入口点。同时,数据传输限制实际上可能限制国家监管能力。
图2:数据流动、跨境自由化和限制性政策的经济影响(GDP)
▲ 2014年,跨境数据流动为全球GDP增加了2.8万亿美元(或3.5%),超过了全球商品贸易的影响和传统产业应计价值的75%。美国国际贸易委员会(USITC)估计,数据流动带来的生产率收益约占美国GDP的3.4-4.5%。
▲ 在区域全面经济伙伴关系协定(RCEP)的所有成员之间放开数据流动和电子商务,可以使区域GDP增长多达1%。
▲ 对电子传输的歧视性关税给当地企业和政府造成的损失是其获得相应关税收入的50倍。
▲ 某些国家当前的数据流动限制和数据本地化要求分别将其GDP分别降低高达0.4%和1.7%,具体取决于该措施的经济性和严重性。
▲ 对三个发展中地区(南美、东南亚和非洲)的研究表明,有关物联网应用程序和M2M数据的数据本地化措施可能会削减其生产率和收入增长的59%-68%。这种竞争能力的丧失还导致投资减少40亿至50亿美元,减少182000-372000个工作岗位,而对于隐私保护或本地企业却没有任何明显的好处。
3、数据带来的更广泛的社会效益
数字化的价值无法纯粹从经济角度来体现。正如“工业4.0”之类的概念强调制造业的数字化转型一样,“社会5.0”(Society 5.0)强调了数字化如何能够解决当今的社会挑战并带来更广泛的转型,而不仅仅是在工业生产中应用。当下,人类现在正在进入一个由可持续发展和包容性社会经济系统组成的新的“智能”社会,该系统由大数据分析、人工智能、物联网和机器人技术提供支持,数字空间和物理空间紧密集成。数据可以优化整个社会和福利系统(不仅是企业),针对个人量身定制以改善他们的生活质量,例如:
● 政府实体之间的数据共享和再利用,能够以更准确的预防措施和降低成本来应对社会老龄化和公共卫生挑战。
● 数据流动可以通过最大程度地减少浪费,以及增加可持续供应链的可追溯性来帮助解决环境污染、气候变化和其他可持续性目标。
● 高效和开放的数据访问对于跟踪和实现许多联合国可持续发展目标至关重要。
4、数据治理架构
“大阪轨道”是建立在信任基础上,促进数据流动领域国际规则制定工作的全球治理进程。这样做将需要在国际贸易、法律、规定、技术和其他治理领域,以及对政府、企业和用户具有强制约束力和非强制的规则方面进行全球合作。迄今为止,虽然政府、行业和用户团体都参与了各种政府间和多利益相关方的论坛,以制定国际规范、准则、原则和标准。但是,对于与全球数据治理有关的所有问题,目前尚没有一个专门的论坛。这些活动似乎可以相互重叠,但总体而言是互补的,每一个都构成了全球数据治理体系结构的支柱。
表1:数据治理的大阪轨道架构
数据流动相关国际合作的支柱 | ||||
传输机制 | 法律和法规合作 | 技术标准与产业合作 | 国际贸易规则 | |
通用 可用性
| ▲单方面开放(无限制) ▲用户同意和其他合法的数据传输依据(例如合同原因、公共利益) ▲基于问责制的机制(具有约束力的公司规则和标准合同条款) | 具有约束力的国际条约或法律协助机制(布达佩斯公约) | 多利益相关方论坛(ISO / IEC、IEEE、3GPP等)的标准制定 | ▲世界贸易组织的规则(判例法、服务贸易总协定、电信的参考文件和附件)具有隐私权和其他例外情况,以及两层标准(针对最小贸易的限制和必要性) ▲正在进行的世界贸易组织联合声明倡议谈判 |
有限参与
| ▲对具有足够保护的司法管辖区做出充分的决策(例如欧-日充分性认定、欧美隐私盾协定) ▲在政府监督下的认证计划(例如亚太经济合作组织跨境隐私规则) ▲“受信实体”方案 | ▲有关电子商务、跨境数据流动和隐私的区域示范法(欧盟、东盟) ▲有关数据流动、隐私的原则和指南(OECD隐私指南、APEC隐私框架) ▲通过司法协助条约或国际公约提供的法律援助 ▲根据国内法向一系列国家提供司法救济和追诉权 ▲外交手段和战略伙伴关系(例如澳大利亚-新加坡数字经济协定) | ▲国家和区域标准制定(例如联合国欧洲经济委员会) ▲独家“数据空间”计划和联盟 ▲双边相互认可协议或等价决定 | 在日美数字贸易协议、美-加-墨协议(USMCA)中、欧盟文本、智利-新西兰-美国数字经济伙伴关系协议等制定的数字贸易承诺中,均有 不同的例外情况(例如数据自由流动、对本地化的禁止和源于CPTPP的源代码访问限制) |
合作与互操作性面临的挑战
DFFT的双重性(自由和信任)以及框架的互操作性至关重要。但更复杂的社会挑战还不止于此,例如需要技术基础设施来共享数据并确保其跨系统使用。更广泛地说,人们必须能够理解数据并将其应用于新的环境。当下的开放、信任和互操作性是以有效的合作为条件,政府、企业和用户可以在数据传输到国外时有效地减轻风险并确保获得保护。这种信任在本质上通常是互惠的,并且在准备遵守类似规则的实体间,或提供相同级别的风险防护的实体之间,以及拥有类似法律概念、能够提供有效的执法和追诉手段、并诉诸于解决他们之间的数据流动所产生的任何负外部性的司法管辖区之间更容易出现。
即使这样,仍然有许多关于个人数据处理差异的信任问题。因此,一些利益相关者呼吁将重点放在“非个人数据”上,认为非个人(和工业)数据是对该行业的重要输入,且涉及的政策问题分歧性较小,能够使得多边共识达成的可能性更大。
但现实情况更加复杂,元数据类型认定的差异将会导致监管的区别,而由于几乎所有的跨境数据流动都包含各种元数据,因此某些司法管辖区可以将其隐私法律的适用范围扩展到主要由非个人数据组成的数据流上。
同时,有某些法规限制了那些被认为是敏感部门的数据使用,无论该信息是个人还是非个人的。例如某些司法管辖区通常会限制金融机构、在线支付服务机构以及医疗保健提供者所掌控任何数据的国际传输。甚至新法规会允许在未经事先授权情况下对境外异类数据对象(例如算法或应用程序)的访问,比如某些国家/地区的政府允许他们访问软件和AI算法的专有源。
5、推进大阪轨道的建议
围绕DFFT愿景的大阪轨道以及其他各种国际合作、支柱和论坛共同塑造了全球数据治理规则的框架。但是,跨境数据流动的开放性和互操作性面临的挑战则制约着信任机制的建立与协作。现有研究表明相关的监管限制在不断上升,如果政府采取不成比例的限制措施,将会给本国公民福祉和产业竞争力造成不可弥补的损失。虽然关于对新兴领域法律的争论仍在继续,但是在其他情况下,讨论仍然集中在那些尚未连接到数字空间的人群如何跨过数字鸿沟的问题上。因此,报告在大阪轨道的框架下,就填补所有支柱和合作层面的差距,以及解决对新兴技术的限制提出如下建议:
关于个人信息和传输机制
[1] 各国政府应采取良好的隐私和安全保护措施,使用户能够根据国际准则和标准实现对其个人信息的控制权利,例如经合组织(OECD)隐私框架和亚太经济合作组织(APEC)隐私框架。
[2] 企业应积极主动与客户和用户建立信任关系以增强消费者信任,例如提供有关数据处理的信息并提高透明度。
[3] 各国政府应确保在“同类”条件的非歧视性基础上,构建个人信息跨境流动的多种机制,确保某些管辖区在没有提供类似级别保护的情况下,域内实体也能以可信方式使个人信息流向第三国,实现“数据保护与数据共同跨境传播”。
[4] 应鼓励那些采用单方面或对等互惠决定的司法管辖区加快这些决定,并根据程序公正性确保决定建立在明确定义和透明的标准之上。
[5] 能够有效在非对等系统之间建立信任的国际隐私认定规则,应当保持足够的互操作性和开放性,特别是对于区域和机制外的发展国家,例如建立实现一致和透明的多边和多方对话机制。
关于法律和法规合作
[1] 各国政府应认识到非个人数据和M2M通信对全球经济增长的重要性,并应避免限制其跨境流动。许多利益相关者认为此类数据以及匿名、假名、加密或可公开获得的数据不是个人信息。
[2] 政府对数字信息的访问是国际执法和立法合作的明确领域。各国政府应合作开发高效和创新的机制,以确保和响应基于执法目的对于数字信息跨境访问的请求。包括提高司法互助协定(MLAT)的速度和运作以适应数字时代,并利用国家或地区立法来制定合法跨境访问请求的方法,确保这些方法的透明和可互操作性,以及建立在国际人权原则和法治原则基础上。
[3] 政府主管部门和企业应就主管部门开展工作所需的信息达成共识,确保政府在合法的情况访问与其公共职能有关的数据,减少企业提供数据访问的成本,并避免法律冲突。
关于标准化和技术合作
[1] 利益相关者应支持并强调那些全球性、市场导向、自愿和基于共识的标准的重要性,这些标准应当是由非政府行为者组成的多利益相关方论坛制定的,尽管各国政府应当参与制定流程中,但应当避免他们进入设置标准制定的议程或这些标准的实质内容,包括在可能将标准用作证明合规要求的情况下。
[2] 各司法管辖区可以就如何弥合关于元数据、个人和非个人数据在各自法律下的定义和类型方面的差距发起公私对话。对话应召集来自不同领域的专家,包括贸易政策制定者和数据保护监管机构等。
[3] 政策制定者应尽可能地以透明的方式制定那些影响数据的国内措施,从而为利益相关者的广泛参与提供机会。措施应当基于实证,并充分兼顾技术和经济可行性。同时政策制定者应当发布影响评估报告,以确保监管方法的适当性、有效性、针对性和相称性,并尽可能少地限制贸易。
关于国际贸易谈判
[1] 各国政府应将对数据的严格义务纳入贸易协议谈判(包括WTO正在进行的电子商务规则谈判,即JSI),确保有足够的自由裁量权来监管公共利益。关于在线消费者保护和个人信息的补充义务可以提高对数字经济的系统信心,以及不同各方之间的信任。
[2] 具体来说,许多近期的贸易协议(例如CPTPP、USMCA、日美数字贸易协议等)已经包含促进跨境数据流动的规定。包括禁止数据存储和处理本地化政策,禁止强制披露源代码、算法、加密密钥或其他与密码学有关的专有信息,以及禁止对电子传输征收关税。同时,双边、多边和区域贸易协定应包括对新数字技术的进一步承诺,包括人工智能、金融科技和电子支付。
[3] 这些贸易协定的规定和承诺应当制定与现有多边规则相一致的合法特例外情况。所有JSI签署方都应具有多种转移机制,确保在服务贸易总协定(GATS)和其他“同类”条件下基于非歧视原则的个人信息跨境流动。
[4] 电信运营商在封闭或监管不足的市场中确保数据流动面临挑战。因此优惠承诺和多边承诺(通常基于WTO关于基本电信的参考文件)都应进行更新以适应互联网时代,包括市场准入和许可的非歧视。
[5] 市场准入谈判应解决那些对数据流动不相称的限制,包括强制合资(通过外资股权上限),强制技术转让以及披露基础技术、源代码等,要求获得建立数据中心、进行数据收集或提供云和电子商务服务的许可证,以及限制使用国外开发的算法和数据应用程序等。
编译 | 石英村/赛博研究院研究员
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。
更多精彩内容请关注“赛博研究院”公众号。