全球推动可信赖跨境数据流动的关键举措
时间:2023-04-24 22:15:01 来源:柠檬阅读网 本文已影响 人 
■文/袁珩(中国科学技术信息研究所)
2022年10月,经济合作与发展组织(OECD)发布《跨境数据流动:盘点关键政策和举措》报告指出,数据是全球经济中的重要资源,必须建立并保持企业、公民和社会对跨境数据流的高度信任,才能更安全高效地实现数据共享和流动。报告梳理了全球促进可信跨境数据流动的关键政策和举措,包括单边政策法规、政府间协议、技术和组织保障措施等。其中,“数据空间”能够以去中心化的方式推动跨境数据流动,正在成为被广泛使用的创新型解决方案。
数据及数据跨境流动对实现数字技术潜力、推进数字经济和社会繁荣、促进创新型商业模式发展至关重要。跨境数据流动一方面会带来一系列风险,如威胁个人隐私和个人数据安全;
另一方面,为管理跨境数据流动出台的各类政策和法规也会为企业和其他实体跨境共享数据带来额外成本、操作复杂性和不确定性。在此背景下,保持企业、公民和社会对跨境数据流的信任是实现通过数字转型推动全球经济发展,同时保持高数据保护标准的关键。
各国制定并实施了一系列单边管理数据跨境流动的政策法规,并具有以下共同点:一是在实现数据跨境流动的同时保护公共政策目标;
二是这些政策工具越来越趋向于分享各国为实现跨境数据流动而使用或认可的条款、机制和工具类型。
(1)“开放型保障措施”。主要依靠数据出口实体确保相关公共政策目标得到保护,但对必须如何满足这些要求没有相应规定。例如,“开放性保障措施”包括事后问责原则,根据该原则,数据出口实体必须确保海外接收者按照当地法律要求处理数据,或要求转移实体建立某种形式的合同保护,或在数据转移后评估保护水平的充分性。
(2)“预先授权型保障措施”。其特点是公共部门事先更多地参与,确保可信的数据传输。措施包括:公共部门单方面将接收国列入白名单;
将公共部门预先批准的特定条款纳入合同(如标准或示范合同条款);
由公共部门预先批准有约束力的公司规则;
由公共实体直接监督(公共认证计划)或间接监督(私人认证机构的公共认可)其国内认证计划。近年来,越来越多的国家制定了跨境数据传输的示范或标准合同条款,作为一种预先授权的保障机制,如欧盟的标准合同条款、新西兰的示范合同条款、英国的国际数据传输协议、阿根廷的数据保护合同条款。
各国政府通过政府间论坛推进了一系列进程或协议,帮助推进合作并实现可信的跨境数据流动。
(一)G20和G7在受信任的数据自由流动和跨境数据流动方面开展合作
过去几年,G20(20国集团)和G7(7国集团)在合作中越来越强调促进跨境数据流动的重要性。2019年,《G20大阪领导人宣言》和《G20贸易和数字经济部长声明》确定了数据自由流动与信任(DFFT)概念,并承认跨境数据流动会催生与隐私、数据保护、知识产权和安全相关的挑战,同意进一步促进数据自由流动,加强消费者和商业信任。2020年,G20重新确认了“进一步促进数据自由流动并加强消费者和商业信任”的协议。2022年,G7宣布DFFT是创新、繁荣和民主价值的基础,并通过一项G7在信任基础上促进信息流动的行动计划。
(二)多边机制
(1)经济合作与发展组织(OECD)。OECD在《数字经济部长级宣言》(2016)中提出将支持信息的自由流动,促进创新和创造,支持研究和知识共享,加强贸易和电子商务,促进新企业和新服务发展,并加强互联网开放,同时尊重隐私和数据保护框架,加强数字安全。对此,OECD制定了一系列建议,如关于保护隐私和个人数据跨境流动准则的建议、关于加强数据获取和共享的建议、关于数字安全的建议等。
(2)联合国。联合国2021年数字经济报告呼吁采取全面、协调的全球跨境数据流动方法,并于2022年启动隐私增强技术(PETs)实验室,利用隐私增强技术使国际数据共享更加安全。
(3)世界贸易组织(WTO)。WTO积极推动建立跨境数据流动的原则,于2021年发布《关于WTO电子商务谈判中跨境数据传输和数据本地化原则的行业联合声明》,鼓励WTO成员方达成框架,促进信息的无缝和安全跨境流动。
(4)世界银行。世界银行《2021年世界发展报告:数据让生活更美好》呼吁在反垄断执法、平台公司监管、数据标准、贸易协定和税收政策方面采取国际协调行动,确保高效、公平的数据经济政策,满足各国的需求和利益。
(三)区域安排
区域组织也在积极解决跨境数据流动问题,以推进成员之间及成员之外的可信跨境数据流动。
(1)亚太经济合作组织(APEC)。APEC于2005年制定《隐私框架》,并以此为基础于2011年构建了APEC跨境隐私规则体系(CBPR),这是一种自愿性的在亚太经济合作组织成员内部推行的隐私跨境流动机制,旨在通过执行最低标准促进隐私监管的互操作性。企业可通过加入CBPR证明其符合国际认可的数据隐私保护标准。2022年4月,部分APEC经济体启动了全球CBPR论坛,旨在推动构建全球跨境隐私规则(CBPR)和处理者隐私识别(PRP)体系。
(2)东盟。东盟于2021年批准《东盟数据管理框架》(DMF)和《跨境数据流动示范合同条款》(MCCs)。东盟的MCCs是东盟企业的关键资源和工具,可纳入企业之间相互跨境传输个人数据的有约束力的法律协议中,有助于减少谈判和合规成本和时间,同时能够确保数据跨境转移时的个人数据保护。
(3)欧盟。欧盟于2 0 1 8年通过《通用数据保护条例》(GDPR),为组织和公司如何处理个人数据制定了强制性规则,旨在确保数据在欧洲经济区(EEA)国家之间自由流动。GDPR还制定了共同规则,以管理从EEA国家向第三方国家的数据转移,包括通过充分决定、标准合同条款或有约束力的公司规则等机制。另外,《欧盟非个人数据自由流动框架条例》(2018)规定公司和公共管理部门可在欧盟境内选择任何地方存储和处理非个人数据,严令禁止成员国施加数据本地化要求。《欧盟数据治理法》(2022)规范了电子数据的处理(含个人数据和非个人数据),旨在协调成员国之间的数据治理,确保所有类型的数据能够自由流动。
(四)优惠贸易协定
通过优惠贸易协议和数字经济协议解决围绕跨境数据流动和信任的问题。2008年至2020年12月,全球72个经济体在29个协议中引入了某种形式的数据流动条款,其中约一半涉及数据流动的非约束性指导,只肯定保持跨境数据流动具有重要意义(如韩国-秘鲁自由贸易协定和中美洲-墨西哥自由贸易协定);
另一半涉及对数据流动的约束性承诺(多为近5年签订,如全面与进步跨太平洋伙伴关系协定,美国、墨西哥和加拿大协定,欧盟-英国贸易与合作协定)。值得注意的是,这些协议都包括例外情况,允许缔约方限制数据流动以满足“合法的公共政策目标”,并且都涉及关于国内隐私立法需求的规定。
不同的实体各自拥有大量数据。但由于信任问题、阻碍数据共享的机制或其他操作问题,公司、组织、个人和政府并不总能够从这些数据中获得最大利益。为解决这些问题,各国制定了一系列技术和组织保障措施,以帮助打破机构、部门和国家间壁垒。因此,“数据中介”应运而生,旨在在数据分享者和数据获取者之间搭建桥梁,促进数据在社会中的利用和再利用。其中,“数据空间”以去中心化的方式推动跨境数据流动,正在成为被广泛使用的创新型解决方案。
“数据空间”又称“数据工业平台”,是一种能够解决数据共享(包括跨境数据共享)相关挑战的重要方法,特别是在产业数据和非个人数据方面,旨在降低准入壁垒,促进数字经济创新。整体来看,数据空间将数据提供者、用户和中介机构汇聚起来,通过提高互操作性和信任度,加强实体和个人之间的数据共享。在技术层面,数据空间依赖于共同的标准,用于汇集或链接、访问、处理、使用和共享不同终端间的数据。在逻辑层面,数据空间实现国际化扩展的关键条件在于,数据空间参与者所在国家的数据治理框架的一致性,以克服跨组织数据共享的法律和技术障碍,通过技术、语义、组织和法律互操作性实现信任。
(一)欧洲云计划Gaia-X项目
Gaia-X由德国和法国联合倡议和牵头实施,欧盟27国参与,旨在建立一个真正属于欧洲的数据基础设施,成为欧盟的“母云端”,创建并实施通用云标准、参考云架构和互操作性要求,获得数据和服务的透明度、可控性、可移植性和互操作性。Gaia-X的第一个应用场景是Catena-X,这是欧洲汽车业推出的合作伙伴网络,旨在为汽车价值链中的所有参与者提供安全的跨公司数据交换。该网络是一个可扩展且开放的数据生态系统,它链接各种平台,形成从原材料到汽车工厂再到回收中心的数据链。汽车制造商和供应商、设备供应商以及应用程序、平台和基础设施供应商等都可以平等参与。
(二)国际数据空间协会(IDSA)
IDSA由130多家公司组成,制定了数据平台开放标准,可用于开发特定数据空间。该协会的目的是使新的“智能服务”和创新的业务流程能够在不同公司和不同行业间运作,同时确保数据使用权(数据主权)仍掌握在数据提供商手中。
(三)欧洲共同数据空间
欧盟委员会于2022年2月推出《欧洲数据法案》草案,加快了建设“共同数据空间”的步伐。草案中描述的欧洲共同数据空间具有以下特征:提供安全、保护隐私的基础设施,汇集、访问、共享、处理和使用数据;
制定能够以公平、透明、相称和非歧视的方式获取和使用数据的结构,以及明确和值得信赖的数据治理机制;
充分尊重欧洲的规则和价值观,特别是个人数据保护法、消费者保护法和竞争法;
数据持有者可在数据空间中授权访问或分享其某些个人或非个人数据;
提供的数据可有偿或免费再使用。目前,欧盟已确定欧洲数据空间优先部门,包括绿色经济、智能社区、移动出行和健康等。
(四)DATA-EX平台
该平台由日本数据社会联盟(DSA)构建,旨在促进和推动不同领域的数据交换,如教育、农业、灾害风险管理、医疗保健、基础设施和智能城市等。
(五)日本数据交换公司(JDEX)
这是一家由私营部门牵头的倡议,旨在创建一个跨越行业、学术界和政府的大型数据交易社区,为促进跨行业和跨境数据交换环境作出贡献。该平台依托Dawex(数据创新平台运营商)的数据交换技术,能够为跨国贸易公司提供国内外网络服务,利用其特性和功能实现数据产品的采购、交换、共享和商业化。
(六)数据交换协会(DXA)
这是一个全球性的非营利协会,汇集多个公共和私营组织,旨在在制定决定性标准的同时,加快跨部门、跨境数据交换。为实现这些目标,DXA正在采取各种措施,包括创建培训和认证计划,让各组织评估其成熟度和对数据交换的共同标准和最佳实践的遵守情况。
