知产&财经|【原创】数据如何跨境

　　文 | 阿文 知产财经全媒体

　　1月4日至1月10日，国家互联网应急中心（CNCERT）协调基础电信企业、云服务商、域名注册服务机构、应用商店、各省分中心以及国际合作组织共处理了网络安全事件238起，其中跨境网络安全事件102起。[1]

　　而就在1月10号，新西兰中央银行宣布其基础设施遭到网络攻击。根据该政府组织的说法，一个身份不明的黑客已破坏了其数据系统之一，攻击者可能已访问了商业和个人敏感信息。

　　近年来，随着数字经济的快速发展，数据跨境传输成为各国关注的焦点问题，数据能否跨境传输，如何跨境传输，是国际双边、多边贸易谈判过程中的新议题。比如，TPP协定（跨太平洋伙伴关系协定）要求缔约方在保障个人信息安全的前提下，确保全球信息和数据的自由流动，以此促进全球数字贸易的发展；RCEP协定（区域全面经济伙伴关系协定）中专门规定了数据跨境传输的规则，一方面要求缔约方认识到各方对于数据跨境传输的不同监管要求，另一方面要求缔约方不得阻止出于商业原因的数据跨境传输行为。

　　尽管当下国际经济格局呈现出逆全球化的态势，但数字经济全球化仍系主流趋势。数字经济在面对不稳定的国际经济局面时表现出的强大韧性，特别是在新冠肺炎疫情大流行期间，在线教育、协同办公、跨境电商等服务的广泛应用，对促进各国经济稳定发挥了重要作用。[2]目前我国在数据跨境方面的政策还比较薄弱，如何实现数据的安全跨境传输是值得探索的命题。

　　价值与风险并存

　　数据跨境传输的价值。在全球价值链的数字化进程中，企业无论是在研发、协调生产还是客户覆盖等方面，都可以利用来自其全球分支机构的数据进行分析决策。有效的供应链管理不仅要求商品、服务和资金的顺畅流动，还要求信息的顺畅流动。[3]上海财经大学张占江教授在接受《知产财经》记者采访时指出，如果把数据作为单独的生产要素提炼出来，其价值在于：首先，数据本身如商品一样流动，同时它还区别于普通商品，作为一种信息在流动，为每一个市场主体提供了有效的、分散的决策信息；其次，在复杂的互联网经济背景下，尤其是在跨境贸易中，消费者和经营者、经营者和经营者之间，存在严重的信息不对称，而数据的跨境传输，可以有效克服这种信息不对称，提高整体效率；最后，数据在全球层面的共享与利用，可以最大程度发挥数据作为生产要素的价值，降低边际成本。

　　数据跨境传输的风险。数据跨境传输的风险存在于数据的传输、存储和应用三个环节：1.传输环节的风险，数据传输过程可能被中断，数据可能被截获、被篡改，而由于操作环节繁多、涉及路径广泛，溯源非常困难；2.存储环节的风险，因受限于数据跨境后存储地的网络安全技术水平等因素，容易出现数据泄露问题；3.应用环节的风险，跨境数据的承载介质多样、呈现形态各异、应用场景广泛，而数据跨境前后国家/地区的政策、法律存在差异，甚至存在冲突，导致数据所有者、使用者的权限不明，数据可能被滥用，企业也可能面临数据合规的挑战。例如，不法分子利用网站或软件的漏洞窃取用户信息、篡改数据导致企业决策错误，跨国企业利用境外政策的差异发展灰色产业，逃避法律制裁等。数据跨境传输过程中的风险涉及到诸多复杂的法律问题，包括上述数据合规、隐私保护、国际法律适用与管辖等等，对全球数字贸易健康有序发展提出重大挑战，不同国家基于不同目标对于数据跨境传输持不同态度。

　　各国/地区的典型政策

　　各国/地区的数据跨境传输政策，在立法层面上大致有“自由流动”和“本地化”两种治理思路。其中，发达国家倾向采取“自由流动”政策，以此获得更多的数据资源，发展中国家倾向采取“本土化”政策进行防御。

　　美国以维护数字经济促进数据流动的方式实现其在数据领域的霸权地位。在近年来的多边贸易谈判中，美国强烈要求将跨境数据自由流动纳入贸易协定中，以破除其他国家的数据出境壁垒。2000年，美国为突破欧盟数据保护的防线，与欧盟签订《安全港协议》，包括Google、Facebook、Microsoft在内的5000多家美国公司在欧洲运营中受到该协议的保护，有权将欧洲用户数据传输至美国储存及处理。2018年，美国、墨西哥、加拿大签署《美墨加三国协议》，规定“任何缔约方不得将金融机构或跨境金融服务提供者所采集的金融数据本地化储存，作为在境内开展业务的前提条件”。2018年，美国设置《澄清境外数据的合法使用法案》，规定美国电子通信服务提供商和远程计算机服务提供商储存在境外的数据可以被美国合法地调取。[4]

　　欧盟以充分性评议、建立信任机制等方式维护其在数据立法领域的话语权。欧盟早在1995年就通过了《数据保护指令》，其中规定：企业若要在欧盟内开展与个人数据相关的业务，其数据的输入国必须具备充分的保护措施。2016年，欧盟发布《通用数据保护条例》（以下简称GDPR），通过对个人信息的进一步解释和遗忘权、删除权、泄露通知等制度的设计，增强了数据主体对于数据的控制能力，通过附加条件对数据跨境流动进行约束。[5]当前，欧盟GDPR在全球范围的影响力不断增强，各国向欧盟标准积极靠拢，日本、韩国、印度等均积极申请认证，其中日本已通过立法改革和双边承诺晋级白名单。[6]

　　俄罗斯强调数据主权，以数据本地化存储为原则保护数据安全。2013年“棱镜门”事件披露后，俄罗斯开始进一步加强对跨境数据流动的治理。2014年修改了《关于信息、信息技术和信息保护法》，要求互联网信息传播运营者需要在产生、传播和处理数据的6个月内，将相关数据和主体信息存储到俄罗斯境内，包括文字、语音、图像等信息。同年出台了《个人信息保护法》，规定了本国或外国公司在处理有关俄罗斯公民个人信息相关的数据时，其收集、处理存储过程必须在俄罗斯境内的服务器上进行。[7]

　　我国的探索与尝试

　　我国有关数据跨境传输的法律政策：从本地化到全球化的政策转变。2016年11月，《中华人民共和国网络安全法》出台，首次以国家法律形式明确了数据跨境传输的政策立场，要求关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当本地化存储；确需向境外提供的，应当进行安全评估。

　　2017年4月，网信办发布《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称《评估办法》（征求意见稿）），将数据出境安全评估的责任主体由关键信息基础设施运营者扩大至所有网络运营者，确立了安全评估的适用范围、评估程序、监管机构、评估内容等基本规则，构建了个人信息和重要数据出境安全评估的基本框架。2017年5月，全国信息安全标准化技术委员会发布《信息安全技术数据出境安全评估指南（草案）》（以下简称《评估指南》），对数据出境安全评估流程、评估要点、评估方法、重要数据识别指南等内容进行了具体规定。同年8月发布第二稿，最新发布的《评估指南》（征求意见稿）对境内运营、数据出境等概念进行了明确，对安全评估的流程进行了进一步细化。

　　2019年6月发布的《评估办法》（征求意见稿）不仅将适用范围限制在个人信息出境，还显著更新了《评估办法》（征求意见稿）及《评估指南》的制度设计。2020年7月，《中华人民共和国数据安全法(草案)》发布，草案规定了支持、促进数据安全与发展的措施，提升数据安全治理和数据开发利用水平，促进以数据为关键要素的数字经济发展。同年8月，商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》，方案确定北京、上海、广州、深圳等28个省市（区域）将作为全面深化试点地区，试点期限为3年。附表第115项举措提出，支持试点地区聚焦集成电路、人工智能、工业互联网、生物医药、总部经济等重点领域，试点开展数据跨境流动安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。鼓励有关试点地区参与数字规则国际合作，加大对数据的保护力度。[8]

　　企业数据跨境传输的合规要求。尽管上述《评估办法》《评估指南》尚未正式确定，但企业在生产经营中确实存在数据跨境传输的需要，此时企业应自觉做好数据合规工作。名创优品（广州）有限责任公司法务总监马腾在接受《知产财经》记者采访时指出，一般情况下，我国禁止将在中华人民共和国境内运营中收集和产生的个人信息传输至境外，若由于业务原因需要向境外经济体提供个人信息时，企业须按照有关部门制定的办法和相关标准进行安全评估，在符合有关部门要求后开展数据跨境传输工作。企业在跨境传输个人信息时，应事先进行数据保护影响评估（DPIA），确保接收国的法律制度可为个人信息提供适当的保护水平，确保接收者具备充分的数据安全措施，并具备安全的数据传输条件；同时，企业应设置数据保护专员岗位，数据保护专员应基于公司实际业务和信息系统中的个人信息处理情况，编制并维护与之相符的《数据跨境传输记录表》。

　　数字经济的发展趋势要求数据在全球范围内进行深度循环共享，产业界及行业学者也呼吁我国应根据国情尽快制定高水准数据跨境流动规则，抢占数字贸易规则决策话语权，既要在复杂的国际形式中维护国家安全，保护公民个人信息，又要鼓励数字产业合法合规进行跨境数据传输，最大化发挥我国数字经济全球领先优势。[9]

　　注释：

　　[1]网络安全信息与动态周报2021年第2期，https://www.cert.org.cn/publish/main/upload/File/WEEKLYREPORT202102.pdf，最后访问时间2021年1月18日。

　　[2]中国信息通信研究院：《全球数字经济新图景（2020年）》。

　　[3]“跨境数据流的经济效益之美国的通讯”，https://raysync.cn/news/post-id-312，最后访问时间2021年1月16日。4孙方江：“跨境数据流动：数字经济下的全球博弈与中国选择”，载于《金融监管》，2021年第1期。

　　[5]高山行，刘伟奇：“数据跨境流动规制及其应对”，载于《西安交通大学学报（社会科学版）》，第37卷第2期。

　　[6]孙方江：“跨境数据流动：数字经济下的全球博弈与中国选择”，载于《金融监管》，2021年第1期。

　　[7]“美欧俄数据主权交锋：全球化vs本地化”，https://www.thepaper.cn/newsDetail_forward_7526035，最后访问时间2021年1月7日。 

　　[8]“破冰在即—商务部确定试点地区，数据跨境传输安全评估机制有望落地实施”，https://www.ocecc.cn/xyyw/253110.shtml，最后访问时间2021年1月17日。

　　[9]孙方江：“跨境数据流动：数字经济下的全球博弈与中国选择”，载于《金融监管》，2021年第1期。