本文摘要:摘要:数字经济时代,跨境数据要素流动需要配套合理的治理机制。粤港澳大湾区以其不可替代的特殊性,提供了良好的测试平台,能够为中国乃至全球提供可参照的治理方案。文章对欧盟、美国和其他治理体系的演进归纳借鉴,针对大湾区的特征,分析了大湾区面对的三元悖论难题
摘要:数字经济时代,跨境数据要素流动需要配套合理的治理机制。粤港澳大湾区以其不可替代的特殊性,提供了良好的测试平台,能够为中国乃至全球提供可参照的治理方案。文章对欧盟、美国和其他治理体系的演进归纳借鉴,针对大湾区的特征,分析了大湾区面对的“三元悖论”难题,讨论了大湾区在技术支撑、平台建设、场景应用、监管机制等方面存在的制约,并结合跨境数据生命周期提出“四个维度、五个方面”的原则框架。文章明确了强化技术支撑、加强平台建设、创新场景应用、优化监管机制四条优化路径,为大湾区的数据跨境流动机制设计提供了理论依据。
关键词:粤港澳大湾区;数据要素;跨境流动;治理机制
一、问题的提出
党的十九届五中全会提出要“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用”。要开发利用数据资源、发挥数据资源潜在价值、提升事务处理效率、赋能产业发展,数据流动是前提。后疫情时代,全球经济增长比任何时候都更加依赖跨境数据流动。当前跨境数据流动的国际规则和标准的话语权主要掌握在欧盟和美国手中。中国要增强数据这种新生产要素的全球竞争力,需要探索在数据安全的前提下,促进跨境数据要素充分流动的路径,以获取全球数据资源。在探索中,中国可以学习并部分借鉴欧盟、美国的治理体系,在部分区域先行先试、逐步推广。
粤港澳大湾区有着“一国两制、三关税区、三法域”的特殊性,提供了一个难得的数据跨境流动测试平台,可以为中国探索数据跨境流动的模式和路径,即可以通过测试粤港澳三地的跨境数据流动治理来推广至中国与其他国家和地区间的跨境数据流动治理。然而,在实践中跨境数据流动的三大目标(一国的数据保护自主权、数据安全和数据跨境自由流动)不可能同时满足,大湾区内部和外部的数据流动治理势必要在这三个目标中进行取舍。
此外,当前大湾区的数据流动还在技术支撑、平台建设、应用场景和监管机制等方面存在着明显的制约,需要明确相应的优化路径,以形成较为完整的大湾区跨境数据流动原则框架,进而为全球数据治理提供审慎包容的中国方案。余文的结构安排如下:第二部分主要介绍了欧盟、美国等主要治理体系的演进、协调以及大湾区的特殊情境;第三部分解释提炼了大湾区跨境数据流动面对的“三元悖论”难题,以及大湾区在技术支撑、平台建设、应用场景和监管机制等方面存在的制约问题;第四部分提出了大湾区数据要素跨境流动的原则框架和相应的治理体系;第五部分是结语。
二、数据要素跨境流动的演进逻辑和大湾区的特殊情境
(一)数据要素跨境流动的制度演进当前数据要素跨境流动的制度体系主要呈现“2+N”的格局,其中2是指有两大体系(刘宏松、程海烨,2020):一是欧盟的《通用数据保护条例》(GDPR)等,二是美国的规则体系;N主要是指各类组织和贸易协定中的数据跨境流动规定,如亚太经合组织(APEC)的跨境隐私规则体系(CBPR),以及FTA、TPP、RCEP等贸易协定中的跨境数据流动内容(马其家、李晓楠,2021)。这些体系之间存在显著的差异,但也呈现逐渐融合的趋势,它们的发展历程能够对粤港澳大湾区跨境数据流动规则的制定提供有益的参考。
1.欧盟体系的演进。
欧洲地区比较重视对数据尤其是个人数据的保护。20世纪70年代,德国黑森州制定了世界首个个人信息保护法。其后,欧洲发布关于个人信息保护的一系列标志性文件,即1981年的“公约”、1995年的“95/46/EC号指令”、2018年的GDPR。其中2018年的GDPR直接成为了当前欧盟关于数据流动监管的核心文件。与“95/46/EC号指令”相比,GDPR的主要改变有:将适用范围从原有的纯属地原则扩展到属地为主,兼顾属人原则;引入了数据主体的可携带权和被遗忘权;明确了跨境数据流动的五个合法路径(充分决定、有约束力的公司规则、标准合同条款、经批准的行为、经批准的认证或标识),同时取消了部分原有跨境数据流动的限制内容。此外,欧盟对成员国规则的统一程度要求更高,对数据控制者和处理者的问责更加具体。GDPR的内容更加细化,更便于操作,扩大了适用范围,对跨境数据流动的监管更加规范和成熟。
2.美国体系的演进。
与欧盟不同,美国凭借自身强大的经济基础和技术优势,主要推行整体上相对自由的数据流动政策,而后使用“长臂管辖权”,不断扩大国内法律的适用范围(肖永平,2019)。2018年,美国出台《云法案》主张实施“数据控制者”标准,将政府的数据控制权延伸到境外。同年发布《出口管制条例》(EAR),对关键和重要技术数据出口实施严格限制。2020年发布《外国投资风险审查现代化法》(FIRRMA),对于涉及关键技术、敏感数据的企业境外非控股投资严格审查。总的来说,美国对于跨境数据流动的管制整体相对自由,但对重要数据的出境管控较为严格。
3.其他组织和贸易协定的规定。
美国积极牵头制定各类国际组织或国际贸易规则,并在其中融入数据跨境流动自由化的内容,比如OECD指南和CBPR,两者都鼓励数据跨境流动。其中CBPR的规定更加具体,主要在亚太地区适用,且融入了行业自律等美国模式的特征。此外,美国也将跨境数据自由流动的思想嵌入到FTA和TPP的贸易协定中。当然,也有一些贸易协定(如RCEP等)以数据安全为首要原则(彭德雷、张子琳,2021),提出在鼓励数据要素合规流动、交易的同时,各国应当“采取或维持全面的隐私权和个人信息保护措施”,允许各国出于国家安全的考虑对数据跨境流动采取一定的限制措施。
4.国家和组织间的政策协调。
由于欧盟和美国两大体系差异较大,在国际上两种规则不可避免地发生冲突,这也使得两者不定期地开展各类协商。其中比较典型的是“安全港”与“隐私盾”政策的形成和废止。欧盟对于数据流出限制一直相对严格,经过美国多年的努力,美欧在2000年达成了“安全港协定”,符合条件的美国机构可以划入“安全港”,处理来自欧盟的数据。而在监控丑闻曝光后,欧盟否定了“安全港协定”,并在2016年与美国重新形成了“欧美隐私护盾”,特别强调对于个人敏感信息的处理、对违规美国企业的惩罚以及对美国政府监控的限制等。“欧美隐私护盾”在2020年7月再次被欧洲法院认定无效,欧盟和美国在跨境数据流动的治理问题上仍然存在显著分歧。
综上所述,欧盟和美国掌握了当前跨境数据流动规则的主要话语权,但两者的制度体系存在着较为明显的区别,欧盟的规则体系建立较早、较完善、相对严格;美国的规则体系相对自由,并在多个贸易协定中极力推动并形成数据自由流动的思想,影响力较广。欧盟和美国之间也在不断进行规则的协调。中国在跨境数据流动规则方面的起步较晚,虽然近几年陆续出台了《网络安全法》《数据安全法》,但还未形成完善的体系。随着数据成为提高生产力的关键要素,中国对跨境数据流动的治理规范应尽快提上日程,而粤港澳大湾区作为“一国两制”的特殊枢纽地区,可以且应当成为中国跨境数据流动规则的探路者。
(二)粤港澳大湾区的特殊情境
“一国两制,三法域”的大湾区为试点跨境数据流动的中国方案提供了最佳“实验场”。具体表现在:
第一,大湾区是国内外数据流动的中转站。大湾区是中国开放度最高的区域之一,拥有港澳两个自由港,前海、南沙、横琴三个自贸片区;港澳长期以来担当中国与世界在贸易、资金、科技、文化等方面的超级联系人角色。一方面,港澳与其他国家发生着频繁的数据流动;另一方面,珠三角也与国内其他地区以及港澳地区进行大量的数据交流。因此,作为重要中转站的大湾区成为了在一国内部进行跨境数据流动的特殊区域,满足了中国探索跨境数据流动试验区的重要前提条件。
第二,粤港澳三地之间有着良好的合作基础。从“海上丝绸之路”至今,大湾区经历了工业经济和服务经济的两次大规模市场整合阶段(申明浩等,2019),三地在贸易、投资等方面开展了深度交流和合作;再加上CEPA的推动,三地在完善数据监管体系、发挥数据要素作用等方面具有整体一致的目标。
第三,大湾区有着数据监管的迫切需求。粤港澳大湾区是中国数字经济发展的领先地区,数字基础设施和数字化产业发达,区域内聚集着华为、中兴、腾讯、比亚迪等一大批需要数据交易和流通的企业,有着超大规模的供给端数据和需求端数据,大量已流动或待流动数据需要有良好的治理机制作为保障。而大湾区目前缺乏精准有效的数据流动和数据治理机制,大湾区现有数据跨境流动规则体系无法有力地支撑大湾区现实数据跨境流动的发展格局。
三、大湾区数据跨境流动面临的难题和制约因素
(一)“三元悖论”难题
蒙代尔的“不可能三角”以及克鲁格曼的“三元悖论”认为,在开放经济下,一国货币政策独立性、汇率稳定和资本自由流动三个目标不能同时满足。与之类比,跨境数据流动同样需要面临“三元悖论(或不可能三角)”问题(黄宁、李杨,2017),即在限定的时间和空间内,一国的数据保护自主权、数据安全和数据跨境自由流动三大目标不能同时实现,最多只能同时满足其中的两个目标。
其中,数据保护自主权是指一个国家拥有对国内数据保护的自主权,该自主权不受其他国家的干涉;数据安全是指从全球(或区域)的范围来看,能够保证数据在存储和传输、制度和技术等多个维度上的安全;数据跨境自由流动是指数据可以在各个国境之间不受限制地自由流动。三者的主要关系在于:第一,若是过于强调国家对于数据保护的自主权,虽然在一定程度上有利于保证数据安全,但对数据跨境自由流动不利。
第二,数据保护自主权和数据安全两个目标有着相似性,但仍存在着显著的不同,数据保护自主权主要局限在一国的范围内,更强调国家的主权,而数据安全是从多国或全球的角度来考虑,更强调区域或整体的安全。由于当前欧盟和美国掌握了数据流动主流规则制定的话语权,大部分国家或地区的数据保护自主权与美欧强调的区域或全球数据安全很多时候是冲突的。
当然,正如Rey(2015)认为汇率稳定并不能显著影响货币政策独立性或资本自由流动,从而提出不同于克鲁格曼“三元悖论”的“二元悖论”;在跨境数据流动的“三元悖论”中,若是将来各国政策经过不断地趋同,达成了整体相似的治理体系,那么数据保护自主权和数据安全这两个目标也有可能无限接近。由此,可能出现以下三种模式:模式一,同时保持数据跨境自由流动和数据的安全,通过依靠某个独立于各国政府的机构或是多国政府联盟来完成,从而导致各国丧失数据保护的独立自主权。这种类似于欧盟成员国内部的数据管制情况。
模式二,同时保持数据安全和各国数据保护的充分自主权,各国可能会对数据的境外流动实施严格的管控措施,于是不利于数据的跨境自由流动。这种类似于欧盟对外的数据管制规则。模式三是保持各国数据保护的自主权,同时确保数据能够跨境自由流动,但会降低数据安全的管控标准,从而不能做好数据流动中的安全保障。这类似于美国的数据跨境流动规制体系。
中国的跨境数据流动应以数据安全为出发点和前提(王中美,2021),已发布的《个人信息保护法》对于个人数据保护的严格程度整体上对标欧盟GDPR,接近于模式二(同时保持数据安全和各国数据保护的充分自主权)。大湾区的跨境数据流动也同样需要面临“三元悖论”问题,尤其需要考虑三地内部和外部的适用模式是否统一的问题。考虑到“一国两制”下香港、澳门算境外区域,大湾区作为一个整体区域,与欧盟内部成员之间的跨境数据流动有类同之处。因此,选择模式一,即在数据安全基础上实现数据跨境自由流动,对粤港澳大湾区内部来说是较理想的目标模式。
(二)大湾区数据跨境流动的主要制约因素
制约大湾区数据要素跨境流动的主要因素是权属关系和价值评估有争议、技术支撑不足、平台建设不到位、应用场景不明确、监管机制不清晰等,以下从这些方面进行探讨。1.数据产权确立和数据价值评估难题。党的十九届四中全会指出,数据要素可以“由市场评价贡献、按贡献决定报酬”。但是数据要素的市场化配置面临着诸多难题(戚聿东、刘欢欢,2020):
一是数据产权确立难题。由于普通数据本身具有非竞争性和非排他性,即使是重要数据,在没有得到足够保护的情况下,也能低成本地大量复制(刘洋等,2020),因此数据本身的所有权确认难度非常大,也难以进行有效合法的所有权登记。目前对于数据产权的归属问题学界尚未形成一致性结论。肖冬梅和文禹衡(2015)、王颂吉等(2020)认为数据属于“生产者”,张弛(2021)认为数据属于“控制者”,周林彬、马恩斯(2018)则认为数据属于公共财产。
二是数据产权保护难题。即使是少数产权较为清晰的数据,也可能会在数据的传输、存储和处理过程中被其他主体侵占,而且所有者难以提供有效的证据,难以通过有效的法律途径要求对方解除侵占或赔偿损失。
三是数据价值评估难题。在数据交易中,核心难点就是数据价值的确定,由于目前缺乏有效的技术手段和制度规定,数据价值的确定至今未有统一的标准(姬蕾蕾,2019;王伟玲等,2021),于是难以对数据的所有权、用益物权、担保物权等进行快速提炼、分离和流通。这也是国际上至今未形成合法且相对成熟的数据交易市场的原因。另外,由于粤港澳三地之间法制体系存在较大差异,还需要考虑到后续出现数据产权纠纷时应当如何确定产权管辖权等问题。
2.大湾区跨境数据流动技术支撑不足。
近年来,大数据、云计算等技术在大湾区得到越来越广泛的应用。这类技术能够提高数据要素的流动效率,但也可能给数据安全带来一定的风险挑战(李金等,2021)。在国内开始逐步重视数据安全的环境下,加上港澳地区与其他国家保持了长期较为密切的联系,大湾区迫切需要从技术上保障跨境数据流动的安全。然而,目前大湾区的技术支撑还不够到位,主要表现在:(1)对于数据流动的隐私保护不够到位,数据加密技术和脱敏技术需要优化;(2)对于新兴技术如区块链、人工智能技术在数据安全保障方面的功能需要进一步挖掘和应用;(3)大湾区的新型基础设施建设有待于进一步加强,以激发大湾区算力、算法方面的潜能,且在提升各类跨境数据流动效率的同时,保障数据在传输过程中的安全。
四、大湾区数据要素跨境流动的原则框架和治理体系
(一)构建粤港澳大湾区数据要素跨境流动的原则框架
首先探索大湾区数据要素的权属关系,围绕其数据跨境流动的障碍开展分析,如数据所有权不清晰、权益分配关系复杂等问题。接着从跨境数据流动的技术、平台、场景和监管四个维度,从跨境数据的采集、传输、存储、处理、交换五个方面展开研究,探索解决障碍、促进数据跨境流动的路径。具体包括:技术维度要实现数据价值挖掘和数据传输安全,平台维度要建立数据存储、交易、监管一体的系统,场景应用维度要拓展业务空间和提升事务效率,制度维度实施分类分级监管、满足双向合规和促进跨境协同共治。
(二)大湾区数据要素产权的明晰
所谓的数据要素,主要包括个人数据和其他数据。关于个人数据,从欧盟GDPR的权限规定中可以看出,数据的所有权属于个人(Individual)。符合条件的数据控制者(Controller)和数据处理者(Processor)要获取或处理个人的数据需要征得其同意,还应按其要求删除数据,因此欧盟主要是以数据的“生产者”作为数据的所有权人。中国的《个人信息保护法》对于个人的数据权限规定虽然没有GDPR细致,但也体现了这一思想。
同理,其他数据的产权也应当属于“生产者”。因此,大湾区内的数据要素产权归属可以延续这一理念,即以数据的“生产者”为数据的产权所有人,拥有对数据的最高权限,而数据的“处理者”应当在数据“生产者”同意后方可对其使用、处理、交易。数据的“生产者”还拥有他人使用数据的撤销权,以减少使用数据时恶意侵占事件的发生,真正保护所有权。由于在实践中被侵权的数据“生产者”难以通过合法渠道获取有效证据,因而可以规定在一些造成重大影响的情况下可以不适用“谁主张,谁举证”的原则,而是适用举证责任倒置的规定,即由侵权者提供自己未造成侵权后果的证据。
数据价值评估方面,虽然当前没有统一的数据评估标准,但可以参照其他要素的评估方法,如成本法(以数据取得成本计价)、公允价值法(以公平交易的市价计价)、收益现值法(将数据可获取的未来收益折现到当前时点来计价)等,也可以采取多维量表计价,用多个指标加权计算数据的价值。对于大湾区数据产权问题可能带来的管辖权异议问题,应尽快修订《关于内地与香港/澳门特别行政区相互执行仲裁裁决的安排》,规定三地数据产权管辖权的一般原则和特殊事项。对于一些涉密或重大数据可以由粤港澳三地签订协定,规定此类的产权纠纷由三地联合机构统一处理。此外,跨境数据的价值评估需要建立在清晰数据产权的基础上,并且需要与其他国家和地区达成共识,如果大湾区能尽快理清内部数据要素产权,就可以在国际数据价值评估规则的制定中提升自身方案的说服力。
(三)大湾区数据要素跨境流动的治理路径大湾区数据要素跨境流动治理的路径总体上可以采取序贯决策的方法,先在局 部区域范围内试点数据跨境自由流动,以横琴“一线放开、二线管住”为试点,试点横琴内数据与澳门跨境自由,带动数据的局部流动,探索数据跨境流动的操作规则、技术标准和安全保障问题;同时建立数据安全流动技术支撑平台,打通数据跨境安全可信通道,试点部分民生、商贸、科技场景应用的数据跨境流动,对其实施成效进行总结,初步形成制度规则体系,再推广至湾区其他区域,进而提出适合大湾区跨境数据流动的可行性方案。
1.强化大湾区数据要素跨境流动技术基础。从经济学的角度来看,对数据流动的管理需要实现数据资源价值的最大化,减少数据在生命周期各个环节的管理成本消耗,以对数据实行规范有效的整合和利用。
基于中国2021年3月发布的国标《GB/T37988-2019数据安全能力成熟度模型》,并结合国际上主流的DataONE模型、DCC模型(储节旺、夏莉,2020;CarlsonJ,2014),以及粤港澳大湾区跨境数据的特点,可以将其按生命周期划分为跨境数据采集、跨境数据传输、跨境数据存储、跨境数据处理和跨境数据交换五个环节,用以配套相应的技术优化手段。跨境数据流动的技术优化主要包括:(1)技术优化的重点在数据安全方面,因此最基础也是最重要的技术优化是数据加密技术,该技术需要在数据生命周期的各个环节切实地使用,如在跨境数据传输和存储过程中的数据访问需要有效的加密技术来进行控制。同时,由于数据流动涉及大量个人信息,数据脱敏技术也是需要在跨境数据采集、处理等环节使用的关键技术,主要是为了实现对隐私数据的有效保护。脱敏技术包括数据置换、数据失真等具体方法,这些方法需要对敏感数据进行明确定义后方可对应地使用。(2)区块链和人工智能技术得到了飞速发展。其中,区块链技术以其公开透明、不可篡改、不可伪造、可追溯的特性在金融、贸易等领域得到初步应用(何蒲等,2017)。
因而在跨境数据流动过程中,可以将区块链与相应的加密技术结合,在数据安全保障方面增加助力。另外,人工智能的机器学习技术可以对既有的大数据进行学习、分析,对敏感数据、文本、图片和操作升级规则进行高效处理,进而保障相应数据的有序流动。(3)大湾区应当根据三地具体特点和分工开展新型基础设施建设,统筹粤港澳大湾区能源网和算力网建设布局,比如支持广州超算、深圳超算、珠海横琴人工智能超算中心建设,支持边缘计算资源池节点建设等。
五、结语
数据跨境流动的监管治理主要由欧盟、美国牵头,考虑到大湾区本身的不可替代特征,本文对数据跨境流动面临的“三元悖论”,以及大湾区在数据产权、技术平台、应用场景及其规则体系不完善等问题进行分析和概括,进而构建“四个维度(技术、平台、场景和监管)、五个方面(跨境数据的采集、传输、存储、处理、交换)”的分析框架,从数据加密技术、数据脱敏技术、区块链技术等的技术维度,从数据存储港、数据交易平台、数据监管平台的平台维度,民生、商贸、科技等场景应用维度,以及分类监管、协同治理、处理内外关系等监管维度分析和建构大湾区数据跨境流动路径,结合大湾区“广深港澳科技创新走廊”、“横琴、前海、南沙三自贸片区”、“横琴粤澳深度合作区”、“河套深港边界区”等红利集合,用好中央赋予深圳、珠海特区在重要领域和关键环节改革上的自主权,为大湾区的跨境数据流动治理提供理论支持。
大湾区跨境数据流动路径的理论探索,能够有助于在粤港澳三地形成统一大市场,推动数据、技术、人员等高级要素自由流动,并在安全有效的基础上实现数据共享和协同治理,提升大湾区数字产业化和产业数字化水平;也能为全国跨境数据管理提供改革参考样本,为我国数字经济应对全球化挑战和健康发展提供规则框架;还能为全球数据治理提供审慎包容的中国方案,为我国参与制定数字贸易规则探索经验。在湾区数据治理形成规则体系后,将体系化的治理经验推向全国乃至中国-东盟自贸区、“一带一路”沿线国家及世界各国,从而推动中国更好地参与全球经济治理。
参考文献:
储节旺,夏莉,2020.嵌入生命周期理论的科学数据管理体系构建研究———牛津大学为例[J].现代情报(10):34-42.
杜宇骁,龚城,伏安娜等,2019.哈佛大学Datatags数据分级系统研究及启示[J].图书馆杂志(8):17-26.
广东外语外贸大学粤港澳大湾区研究院课题组,申明浩,谢观霞,杨永聪,2019.新时代粤港澳大湾区协同发展———一个理论分析框架[J].国际经贸探索(9):105-118.
何蒲,于戈,张岩峰等,2017.区块链技术与应用前瞻综述[J].计算机科学(4):1-7+15.
黄宁,李杨,2017.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版)(5):172-182+199.
何培育,王潇睿,2017.我国大数据交易平台的现实困境及对策研究[J].现代情报(8):98-105+153.
姬蕾蕾,2019.大数据时代数据权属研究进展与评析[J].图书馆(2):27-32.
转载请注明来自发表学术论文网:http://www.fbxslw.com/jjlw/28611.html
