立即购买
赛智时代:美欧中数据跨境流动研究
  • 赛智时代:美欧中数据跨境流动研究

    Innov100
    2020-11-03 16:44:06
  • 摘要:随着全球经济一体化进程加快和数字经济的快速发展,数据跨境流动的需求日益迫切,但与之相关的国家安全、个人数据保护等问题和挑战也日益突出,成为各国贸易、产业、经济、政治、社会的核心议题。赛智产业研究院课题组通过研究欧美数据跨境流动管辖模式,提出中国面对欧美数据跨境流动的应对措施。

    一、美国数据跨境流动研究

    美国在国内建立了严密完整多层次的数据主权保障体系,采取允许境外数据自由流入却限制国内数据流出的跨境数据流动政策体系。在以CBPR为代表的美国吸收全球数据进入其境内的数据体系下,结合美国《澄清域外合法使用数据法》(CLOUD Act,以下简称Cloud法案)确立的“数据控制者标准”,凭借已有的技术经济优势和拥有的数据市场,美国进一步实现对全球数据的扩展管辖。

    (一)美国数据出境规定

    严格限制关键技术与特定领域的数据出口。在特殊领域或个别州开始进行数据保护的定点立法和相应限制,如《出口管理条例》(EAR)对部分关键技术与特定领域的数据出口进行限制。受管制的技术数据“传输”到位于美国境外的服务器保存或处理,需要取得商务部产业与安全局(BIS)出口许可。

    制定受控非秘信息清单,界定“重要数据”范围。美国总统2010年签署的13556号行政令界定了“重要数据”范围,包括农业、受控技术信息、关键基础设施、应急管理、出口控制、金融、地理产品信息、信息系统漏洞信息、情报、国际协议、执法、核、隐私、采购与收购、专有商业信息、安全法案信息、统计、税收等17个门类,采取了较为严格的数据管理措施。

    通过“长臂管辖”扩大国内法域外适用的范围。Cloud法案通过适用“控制者原则”,打破“服务器标准”,允许调取不在美国境内的电信服务或远程计算机服务的数据,扩大了美国执法机关调取海外数据的权力,同时其他国家要调取存储在美国的数据,则必须通过美国“适格外国政府”的审查,需满足美国所设定的人权、法治和数据自由流动标准。

    (二)国外数据入境规定

    美国依据“数据控制者标准”,美国对境外由美国数据服务商控制的数据具有管辖权,境内由美国服务商控制的数据更毋庸置疑。美国为了避免自身本土境内的数据为他国所占有,采取了严格的管控措施,一方面允许外国数据进入,但严格限制本国境内数据流出;另一方面,严格限制外国高科技产业在美国的扩展,华为等高科技企业在美国或在由美国控制的自由市场上均会遭到严格抵制,甚至被赋予“中国霸权论”等标识进而严格限制进入,保障美国数据市场管辖权的单一性,实现境内属地管辖原则的充分适用。同时严格控制审查,2020年2月正式发布实施的《外国投资风险审查现代化法》(FIRRMA条例),将涉及“关键技术”、“关键基础设施”和“保存或收集美国公民敏感个人数据”公司的非被动、非控股少数股权投资纳入审查范围。

    二、欧盟数据跨境流动研究

    相比于美国为了经济贸易发展制定数据管辖相关规制而言,欧盟侧重保护个人权利,数据跨境流动监管政策主要体现个人数据保护制度上。

    (一)欧盟数据出境规定

    欧盟GDPR在适用范围上,不仅适用欧盟内的国家,也适用于欧盟市场中的国家,包含有意向在欧盟境内运营、开展数据活动或者为欧盟客户提供服务的数据控制者或处理者。欧盟数据控制者实施个人数据跨境流动活动时,有三种合法方式:(1)数据传输至“充分性认定”地区;(2)充分保障措施;(3)例外场景(包括用户同意,或者执行合同需要等)。考虑到“例外情形”可适用场景少,以下主要介绍“充分性认定机制”和“充分保障措施”机制。

    通过“充分性认定”确定了有限的数据跨境自由流动白名单国家。一般来说,如果欧盟以外的第三国,其数据保护被欧盟认为达到了“充分保护”的水平,则可向其传输个人数据,而不必采取进一步的保护措施。目前经批准被认定为“充分保护”的国家有安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、美国(仅限于隐私盾框架)、日本。韩国正在与欧盟谈判之中,印度也被考虑纳入谈判议程。GDPR还允许欧盟委员会对第三国或国际组织内的特定地区、一个或多个部门进行充分性认定。

    在遵守适当保障措施的条件下,提供多样化的个人数据跨境流动方式。限制数据流向保护水平“不充分”的第三国,是GDPR数据跨境流动的首要原则。如果欧盟以外的第三国在数据保护水平上没有获得“充分性”认定,原则上只有在下列情况下才能将数据传输至该第三国:(1)在数据控制者或处理者可提供“适当保障”的情况下;(2)以特定国家可强制执行的数据主体权利保障体系和有效的法律补救办法为条件。在缺乏充分性认定的情况下,欧盟还为企业提供了遵守适当保障措施条件下的转移机制,包括公共当局或机构间的具有约束力的集团企业规则(BCR);符合欧盟颁布的标准合同条款(SCC);符合欧盟批准的行为准则(CoC);经批准的认证机制、封印或者标识等,这些机制为在欧盟收集处理个人数据的跨国企业提供了可选择的数据跨境流动机制。

    (二)国外数据入境规定

    针对已经实现对等的数据传输充分性认定的白名单国家,基于欧盟GDPR的规定,数据可以安全地在欧盟和第三国之间自由流动。针对白名单外的国家,欧盟没有直接提出数据本地化要求,理论上企业可以选择多种渠道实现跨境流动。

    三、中国数据跨境流动研究及关于欧美的应对措施

    (一)中国关于数据跨境流动政策与探索实践

    中国数据跨境流动坚持对外开放和对等原则。我国针对数据出境严格监管,《网络安全法》提出关键信息基础设施的个人信息和重要数据应当在境内存储;确需向境外提供的,应当进行安全评估。各个行业数据跨境流动监管探索主要集中于关键信息基础设施所处重要行业领域以及信息通信服务领域,主要规定了对数据存储限定是否必须在境内、数据留存时间的最短时限以及对数据出境禁止性规定,如苹果将中国用户数据储存在云上贵州。《数据安全法(草案)》第二条、第二十二条、第二十三条、第二十四条等条款分别从拓展草案域外适用效力、数据安全审查制度、数据出口管制、数据对等方面对维护数据的正当跨境流动秩序进行了宣示,重申了中国坚持对外开放的基本国策。

    利用自贸区的政策创新优势开展数据跨境流动试点。可考虑在北京自由贸易试验区、上海临港新片区、海南自由贸易港等区域内先行先试,利用自贸区等制度创新优势,试点制定完善数据跨境传输、利用、保护、流转等方面规则体系,包括以数据自由港积极与欧盟对接商谈“充分性认定”等。

    (二)中国关于欧美数据跨境流动的应对措施

    1、中国关于美国数据跨境流动的应对措施

    持续关注美国“关键技术清单”变化。美国CFIUS公布的FIRRMA条例没有完整的列出“关键技术”清单,而是根据商务部的出口管制技术清单来定义关键技术的范围,现阶段包括美国军需品清单(USML)、商业管制清单(CCL)上的某些项目以及出口管制改革法案(ECRA)识别和管制的新兴与基础技术等。中国企业要持续关注“关键技术清单”变化,避免在美国的投资风险。

    建立数据跨境认定机制。美国在数据跨境流动方面与爱尔兰、英国协商Cloud法案协议,允许数据自由流动和跨境调取。我国要从国际合作、双边和多边对话、技术合作、基础设施建设等方面采取积极应对,建立数据跨境认定的机制,使得电子邮件提供商、手机公司、社交媒体平台和云存储服务等中国企业得以在其他国家更好的开展业务。

    选择跨境运营实体。美国对我国科技公司开展非正当的管制措施,导致阿里云、华为退出美国市场,制定“干净5G网络”方案,致使抖音(Tik Tok)、腾讯在美国陷入涉及国家安全的窘境。抖音(Tik Tok)仿照苹果与云上贵州数据合规方案,选择跨境运营实体,甲骨文成为Tik Tok“可信技术提供商”,制定“云上加州”方案,得以在美国继续开展业务。

    2、中国关于欧盟数据跨境流动的应对措施

    采取适当数据传输保障措施。借鉴欧盟充分性认定、充分保障措施、国家间对等协议等模式,我国可以考虑建立“白名单制度”,对相关国家实施个人信息保护及跨境数据流动的对等措施。同时将部分地区纳入可自由流动的国家与地区,构建数据跨境流动的信任体系,如在APEC、RCEP、FTA等多双边贸易谈判中,积极与重要贸易伙伴国达成数据流动认证协定。着力推进“一带一路”合作框架下的数据流通的协议和标准,促进数字互联互通,构建数字空间命运共同体。此外可对涉及国家安全的敏感数据及关键基础设施建立分级管理制度、跨境数据流动合同监管制度、安全风险评估制度。

    实施数据本地化存储和分析。我国与欧盟没有签订数据跨境流动的合作框架,我国企业将欧盟数据跨境传输到我国国内服务器进行处理和隐私保护分析,存在极大成本和风险。腾讯云、阿里云等在德国法兰克福建立数据中心,为欧洲区域提供计算、存储、安全、中间件等产品服务;亚马逊、微软、甲骨文等企业也在欧洲设立数据中心,为欧洲地区个人和企业提供服务。

    采取战略合作伙伴措施。在企业合作层面,亚马逊和微软等数据巨头公司在欧洲布局数据中心,但并未与欧洲本土科技公司结盟。我国企业在欧洲选择战略合作伙伴进而拓展业务,腾讯云联合SAP、西门子等软件厂商打造细分领域的解决方案,提供垂直行业精准服务,阿里云与沃达丰形成战略合作,为欧洲提供云计算服。同时在业务层面,涉及消费者的隐私数据需要非常小心谨慎,“只提供技术,不掌握客户的数据”是国内科技公司在欧洲业务拓展的共识。

    推动数字平台端到端加密普及化。欧洲地区格外重视个人隐私和数据流动,我国企业可以参照苹果、Facebook等科技公司在欧洲实施信息加密(包括数据存储加密和聊天信息加密)计划,推动跨数字平台的端到端加密普及,以降低数据流动在欧洲的合规风险。

    注:本文摘自赛智时代大数据课题组魏贝、周振松、秦雨完成的研究报告,详细内容请点击饮鹿网产业报告栏目阅读。

    ▎本文系Innov100原创文章,转载请标明出处。

    更多精彩内容请登录https://www.innov100.com官方网站

    或扫描下方二维码,点击关注微信公众号(ID:sagetimes)

    

  • 点赞点赞(0)

数据服务
月报系列
咨询服务
培训服务