1.国家数据要素化总体框架之一——总纲
2.国家数据要素化总体框架之二——环节一:数据要素制度体系
3.国家数据要素化总体框架之三——环节二:国家数据基础设施(NDI)
4.国家数据要素化总体框架之四——环节三:公共数据开发开放
6.国家数据要素化总体框架之六——环节五:数据产业与技术
7.国家数据要素化总体框架之七——环节六:数据交易与跨境流通
8.国家数据要素化总体框架之八——环节七:数字中国建设
9.国家数据要素化总体框架之九——环节八:数据安全体系
数据跨境流动是指数据处理者向境外提供数据读取、存储和处理的活动,包括数据的出境和入境两个方面。数据跨境流动主要包括两种情形:一是数据跨境的传输、转移行为,即“数据从一法域被转移至另一法域的行为”;二是尽管数据尚未跨境,但能够被境外的主体进行访问处理,即“对存储在计算机中的机器可读数据进行跨境处理”。不同类型数据跨境流动涉及不同权益,商业数据跨境流动通常涉及知识产权保护,个人数据涉及隐私保护,而政府数据涉及公共安全。
一、数据跨境流动的国际规则与协定
1.《全面与进步跨太平洋伙伴关系协定》(CPTPP)
《全面与进步跨太平洋伙伴关系协定》(CPTPP)是最早对数据跨境流动作出明确规定的全球多边自由贸易协定,由日本、澳大利亚等国主导,既倡导数据跨境自由流动,也赋予了缔约方规制权。我国于2021年9月正式提出加入CPTPP的申请。
CPTPP在第十四章对数据跨境流动的规定是:缔约方应允许通过电子方式跨境传输数据,对通过电子方式传输数据和计算设施的使用可设有各自的监管要求,缔约方为实现合法公共政策目的可采取或维持限制措施,只要该措施没有构成不合理歧视或者未超出所需限度的限制。
2.《美国-墨西哥-加拿大协定》(USMCA)
《美墨加贸易协定》(USMCA)由美国主导,基于美国强大的数字经济贸易地位和数字技术保障等强竞争力,强调数据跨境的自由流动,旨在确立自由贸易协定中数据跨境自由流动的高标准并提高规则的实际约束力。USMCA奉行更高标准数据跨境流动规则,更强调数字贸易的自由化,数据跨境流动特定例外限制规则制定的相对宽松,以促进数据在世界范围内的自由流动。
USMCA第十九章对数据跨境流动的规定是:缔约方不得禁止或限制通过电子方式跨境传输数据,缔约方在未构成不合理歧视或者未超出所需限度的限制情况下,可为实现合法的公共政策目标采取或维持必要限制措施。USMCA虽然在“通过电子方式跨境传输信息”中设置了特定例外,但删除了“计算设施的位置”中特定例外的规定,以限制缔约方对电子商务活动进行监管的政策空间。该协定在第19.12条“计算设施的位置”条款中,并没有规定”公共政策目标例外”,仅规定缔约方不得要求被覆盖的人员在该方领土内使用或定位计算设施作为在该领土内开展业务的条件。通过对数据跨境流动特定例外限制规则的删减,《美墨加贸易协定》要求计算设施非本地化且未规定例外情形,进一步提高了数据的开放程度。
3.《区域全面经济伙伴关系协定》(RCEP)
《区域全面经济伙伴关系协定》(RCEP)由东盟主导,更注重对数据跨境流动的监管自主。考虑到各国数字贸易发展的不同情况,该协定的特定例外限制条款范围明显较广,例外规则更为宽泛,赋予了缔约方更大的数据跨境流动监管权,增加了缔约方对数据跨境流动采取限制的可能性。
RCEP在第十二章对数据跨境流动的规定是:缔约方不得对“计算设施的位置”和通过电子方式跨境传输数据作出限制,但缔约方为实现合法的公共政策目标或保护其基本安全利益,可以采取必要措施对数据跨境流动进行限制。此外,作为主要由发展中国家驱动的自由贸易协定,RCEP更尊重缔约方基于“基本安全利益”的监管需求,在第12.14条和第12.15条增加了保护缔约方基本安全利益的例外条款,且其他缔约方不得对此类措施提出异议。该协定在特定例外条款中额外加入了安全例外,将“基本安全利益例外”规定在“电子商务”章节之下,作为“公共政策目标例外”的平行条款一同适用。在涉及基本安全利益方面,RCEP缔约方拥有更高水平的监管自主权,这也是它最显著的特色。RCEP也规定了“公共政策目标例外”,但在公共政策目标例外的“合法”认定上,该协定在第12.14条和第12.15条的脚注中说明,缔约方确认实施合法公共政策的必要性由实施政策的缔约方决定,明确了缔约方的专断权,且这种权利可以避开其他缔约方政府的挑战,强化了缔约方采取例外措施的自由裁量权。
4.《数字经济伙伴关系协定》(DEPA)
DEPA第四章对数据跨境流动的规定是:缔约方应允许通过电子方式跨境传输数据,对通过电子方式传输数据和计算设施的使用可设有各自的监管要求,只要没有构成不合理歧视或者未超出所需限度的限制,缔约方为实现合法公共政策目的可采取或维持限制措施。
5.《大西洋宣言:21世纪美英经济伙伴关系框架》(数据桥)
2023年6月8日,美国总统拜登与英国首相苏纳克在白宫会谈后共同发布《大西洋宣言:21世纪美英经济伙伴关系框架》(以下简称“大西洋宣言”),并随附《21世纪美英经济伙伴关系行动计划》(以下简称“行动计划”),双方承诺将从五个方面开展合作:一是加强美英在关键和新兴技术方面的进一步合作;二是推进在经济安全和技术保护工具包和供应链方面的合作;三是进行包容和负责任的数字化转型;四是建设未来的清洁能源经济;五是进一步加强在国防、卫生安全和太空领域的联盟。其中,在第三方面“合作实现包容性和负责任的数字化转型”中,双方将在三个方面加强合作,包括加强数据合作、加快推进人工智能合作、深化隐私保护技术方面的合作等。
——加强数据合作。美英两国一致认为,安全可靠的数据跨境流动是进一步创新的基础。为此,两国承诺建立美英数据桥(U.S.-UKDataBridge),以促进两国之间的数据流动,同时确保强有力和有效的隐私保护。两国正致力于完成两国各自的评估工作,以便执行大西洋宣言框架。并将通过协调进一步提升数字经济的可信度,包括支持建立全球跨境隐私规则平台,并就数据安全风险建立共识。
——加快推进人工智能合作。美英认识到人工智能有潜力改变我们的社会和经济,决定通过政府力量,释放这些技术快速发展带来的机遇并降低风险。两国将加快在人工智能方面的合作,尤其要确保该技术的安全和负责任发展。两国都支持正在进行的国际活动,包括经合组织、联合国、全球人工智能伙伴关系、欧洲委员会和国际标准组织等开展的活动,并认为有必要在此基础上更进一步,特别是在人工智能的风险和机遇方面。英国已于2023年在英国举办第一届人工智能安全全球峰会(GlobalSummitonAISafety),美国副总统哈里斯高级别出席峰会。美国已采取强有力的行动来推动负责任的创新,并正在推动全面应对人工智能风险和机遇的进程,包括公司、学界、民间机构以及盟友和合作伙伴的全面参与。
——深化隐私保护技术方面的合作。为了最大限度地负责任使用数据,美英计划发起隐私保护技术合作(CollaborationonPrivacyEnhancingTechnologies),并训练负责任的人工智能模型,实现经济和社会效益,同时保护个人隐私和双方的民主价值观。
6.《欧盟-美国数据隐私框架》(隐私盾2.0)
2023年7月10日,欧盟委员会通过了《欧盟-美国数据隐私框架》(隐私盾2.0),重新恢复了因2020年7月欧盟法院判决“隐私盾”框架无效而受阻的跨大西洋数据流动。
——《欧美数据隐私框架》为畅通欧美间数据跨境流动提供了极大便利。美欧间跨大西洋数据流动的贸易7.1万亿美元的经济活动,分别占美国和欧盟跨国数据流动规模的一半以上,框架为美国企业适用GDPR提供大量豁免,为欧美之间的数据跨境提供极大的便利。
二、世界各国对数据跨境流动的规制
1.美国不断升级数据跨境流动管制措施
——EO第13556号行政命令。2010年11月4日,美国政府颁布第13556号行政命令,建立了一个管理所有行政部门受控非机密信息(CUI)的计划,严格限定了关键基础设施、金融、税收等近20个门类数据的传播范围。CUI是政府创建或拥有的信息,或者是实体为政府或代表政府创建或拥有的信息,或者是法律、法规或政府范围的政策要求或允许机构使用保护或传播控制进行处理的信息。并指定国家档案和记录管理局(NARA)作为执行机构,NARA已将这些责任委托给信息安全监督办公室(ISOO)。
——《澄清域外合法使用数据法》(CLOUDAct)。2018年3月,美国总统批准发布了一项特殊法律《澄清域外合法使用数据法》(CLOUDAct)。CLOUDAct采取了美国政府坚持的“数据控制者标准”,规定“无论通信、记录或其他信息是否存储在美国境内,服务提供者均应当按照《存储通信法案》所规定的义务要求保存、备份、披露通信内容、记录或其他信息,只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control)。”这就是说,只要是美国公司拥有、监管或控制数据,即使存储在境外,美国政府也有权检查。
——《外国投资风险审查现代化法》。2020年以来,由美国财政部主导的政府间协调机构美国外国投资委员会(CFIUS)继续在《2018年外国投资风险审查现代化法案》框架下强化对外商投资的审查,有关规定更加细化,并对有关审查收取费用。CFIUS在实际审查过程中对于以往已经完成的交易同样进行审查,使不少中国在美投资项目面临被要求撤资的风险。
2.欧盟建立严厉数据跨境流动监管规则
欧盟坚持在“隐私保护优先”原则下开展数据跨境流动。2018年欧盟出台《通用数据保护条例》(GDPR),对数据跨境流动的监管范围做了描述和规定,并构建了一套高标准的数据保护机制。
——数据跨境流动监管范围。GDPR专设第五章对个人数据向非欧盟条约缔约国的第三国或者国际组织的传输规则展开了细致的描述。欧盟对数据传输流动监管需满足三个条件:一是数据输出方(控制者或处理者)的处理活动受GDPR管辖;二是数据输出方通过传输等方式将该数据处理活动项下的个人数据提供给控制者、联合控制者、处理者等数据接收方;三是数据接收方位于非欧盟条约缔约国的第三国或是国际组织。
——提供适当保障措施。当传输目的地没有获得充分性认定,但能够提供适当的措施来保护数据主体的权利和自由,且数据主体可以申请法律救济,那么向其传输数据也是被允许的。保障措施包括八项:一是公共当局或机构之间有具备法律约束力和执行力的文书;二是约束性企业规则(BCR);三是欧盟委员会通过的标准合同条款(SCC);四是监管机构通过并经欧盟委员会核准的标准数据保护条款;五是经核准的行为守则,以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺;六是经核准的认证机制,以及具有约束力和执行力的由第三国控制者/处理者给出的采取适当保障措施和保护数据主体权利的承诺;七是控制者/处理者与第三国或国际组织的控制者/处理者/接收者之间的合同条款;八是在公共当局或机构间的行政安排中加入的规定中,包括可执行和有效的数据主体权利。其中,约束性企业规则(BCR)和标准合同条款(SCC)是两种最常用的保障措施。
——约束性企业规则((bindingcorporateruleBCR)。BCR需要境内监管机构的认可,这就意味着境内监管机构需要认可BCR所提供的数据保护水平,如果有一家跨国分公司所在国家的保护水平较低,则该分公司还需要遵守BCR,根据BCR规定的原则提供数据保护。公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则公司在该国的公司主体就要承担有关数据出境的所有法律责任—即监管机构、个人数据主体,均可通过境内的公司主体来追究法律责任。BCR主要适用多组织或跨国企业在其体系内传输个人数据。
——标准合同条款(SCC)。SCC被认为是欧盟个人数据出境的主要路径,是经欧盟委员会核准的条款,企业不得随意更改。SCC固定了数据出境后受到的保护原则,也就决定了保护水平,同时SCC还通过法律责任划分的形式,将主要责任确定在了境内组织,给境内监管机构追究责任提供了便利。当然,境内主体可以通过合同的形式转而继续追究境外主体的责任。SCC还在合同中规定了个人数据主体可以基于合同拥有一些特定的权利。大多数中国企业都会选择签署SCC作为跨境传输数据的有效保障。
——跨境传输的特殊情况。如果传输目的地既未通过欧盟委员会的充分性认定,也无法采取以上提到的保障措施,但是,当数据传输行为是偶发的、必要的,涉及的数据主体较少,并且数据控制者或处理者也采取了适当的保护措施来保障数据安全,此类跨境数据传输无需获得额外的许可。包括以下四种情形:一是传输不是重复性的;二是只涉及有限数量的数据主体;三是对于控制者实现其所诉求的令人信服的合法利益确属必要,且这些利益不会因数据主体的权益或权力与自由而否决;四是控制者已评估与数据传输有关的所有情况,并根据该评估为个人数据的保护提供了适当的保障。
3.其他国家加紧完善数据跨境流动政策
世界其他国家有的积极参与到美国主导的全球跨境数据流动规则中,有的寻求通过欧盟的充分性认定或其他保障措施,有的不断加强对数据跨境流动的管制。根据京数智科技统计数据,从2017年到2024年,要求数字信息存储在特定国家的法律、法规和政府政策的数量增加了一倍多,达到144个。
——英国积极探索数据跨境流动新型方式。英国不断制定完善国内法律法规体系,并将工作重心放在与美国、欧盟和亚太地区之间数据跨境流动方面,积极探索数据跨境流动方式,在短期内保障了英国与主要经济体之间的数据畅通。但是,英国正在通过《数据保护和数字信息法案》(DPDI)对与欧盟GDPR接轨的《数据保护法》进行修正,一旦法案获得通过,欧盟对英国的充分性认定将随即失效,英欧之间的数据流通又面临新的变数。而英美之间的“数据桥”协议是美欧《跨大西洋数据流动隐私框架》的延伸,如果欧盟对英国的充分性认定失效,英美之间的“数据桥”协议也会随之失效,英美之间的数据流通也将面临不确定性。而英国加入CPTPP的谈判也未见成效,英国和亚太国家之间的数据流动障碍还未解决。因此,英国在数据跨境流动机制方面的探索还停留在短期的双边和多边协议安排方面,对全球范围数据流动的探索工作还较少,并且由于英国自身数据保护法律法规也在不断调整中,也会造成市场对数据跨境流动预期的不稳定。
——加拿大与美国保持高度一致。加拿大长期坚持以数据开放为主要特征的数据要素市场化实践,其开放数据已由2013年的世界第10位上升到2022年的世界首位。继2011年发布《开放政府协议》后,相继出台了《加拿大开放政府指令》等一系列数据开放政策,每两年都发布修订版《开放政府行动计划》,建立了数据开放网站data.gc.ca,提供包括核心数据集和数据使用工具在内的多项服务。加拿大政府是开放政府合作联盟(OGP)成员国,在2013年签署加入G8峰会《开放数据宪章》,与美国、英国等大国保持了一致理念和数据畅通。
——俄罗斯将数据安全置于更优先地位。俄罗斯制定形成了覆盖数字经济发展、个人数据保护和国家数据安全等全范围的法律法规体系,并将数据安全作为数据流动的前提。俄罗斯于2006年加入《个人数据自动化处理中的个人保护公约》,同年颁布了《关于信息、信息技术和信息保护法》和《个人数据法》,明确了信息拥有者和信息系统运营者的信息保护义务、数据主体权利和数据处理者的义务、数据自由流通国家白名单等,实行严格的数据本地化制度,要求收集、记录个人信息的数据库必须存放在俄罗斯境内,向国家数据保护机关报告数据库所在地,可以随时中止或限制个人数据跨境转移,加强对推特(Twitter)和脸书(Facebook)等美国平台企业的监管检查。
——其他第三世界国普遍采纳谨慎的数据跨境流动政策。巴西、印尼等国家一方面参照欧盟GDPR建立了要求较为严格的数据跨境传输规定,另一方面也特别强调要加强与美国间数据传输合作,并正与跟美国就数据跨境问题上进行的多边谈判。
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。
主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。