数字时代的经济增长和贸易繁荣离不开数据跨境安全有序流动。我国数字经济蓬勃发展,但国际化程度与美国等发达国家相比一直较低。随着国内市场不断趋向饱和,这必将成为“十四五”期间乃至更长时期制约经济增长和国际竞争力提升的突出短板。
放眼世界,数据跨境流动制度的全球博弈明显加强,美国、欧盟都在推行最有利于自身发展的治理规则并扩大“朋友圈”。美国采取战略进攻模式,加紧构筑所谓“数据同盟体系”;欧盟则采取防守反击模式,筑起“制度高墙”以谋求引领国际规则。相比之下,我国目前尚处于战略被动地位。
国务院发展研究中心创新发展研究部第三研究室副主任熊鸿儒、副部长田杰棠建议以签订双多边协议和深化国内区域试点改革为抓手,尽快提出数据跨境流动规则的“中国方案”,打破美欧主导格局,赢得数字经济发展与安全的战略主动。
在数据跨境流动规则的国际竞争中占据战略主动的策略建议:
1.尽快提出我国促进全球数据跨境安全自由流动的明确主张和“一揽子”解决方案。以《全球数据安全倡议》为基础,围绕数据本地化、隐私安全、跨境执法协调等关键事项提出“中国版”解决方案,平衡公共安全、产业发展、个人信息权益等三方面诉求。
2.确保我国个人信息保护、数据安全等国内立法与对外高水平谈判需要相衔接,避免出现“两张皮”。尽快健全涉及网信、工信、商务、公安、司法等多部门协调配合的跨境数据流动监管体系,以机制设计优化带动监管模式创新。
3.将与重要贸易伙伴签订互信互认的双多边协议作为突破口,为我国跨境数据流动规则主张“增容扩圈”。积极采取“以双边带多边、以区域带整体”的推进策略,以动应变,避免“原地踏步”。
4.鼓励在部分自贸港和自贸区“先行先试”,支持数据安全有序流动的区域改革试验走深、走实。支持在海南、上海、北京、浙江、深圳等国内条件较好地区深入推进数据跨境传输安全管理试点,在“压力测试”中完善规则。
更多精彩观点
01
我国数字经济蓬勃发展
但海外市场拓展受到数据跨境流动等因素制约
近年来,我国数字经济蓬勃发展,数字经济与实体经济加速深度融合。产业数字化和数字产业化加速推进。数字产业化稳步发展,2019年增加值规模达到7.1万亿元,占GDP比重7.2%。互联网业务收入快速增长,2013~2019年从0.3万亿元增至1.2万亿元,境内外上市企业数达135家。中国数字平台企业实现从模仿到并跑、甚至领跑的蜕变,全球影响力也显著提升。联合国《2019年数字经济报告》指出,中美所拥有的数字平台占全球70个最大数字平台市值的近90%。产业数字化成为经济增长的重要支撑,据中国信通院发布的《中国数字经济发展白皮书》,2019年我国产业数字化增加值约为28.8万亿元,2005年至2019年年复合增速高达24.9%,占GDP比重由2005年的7%提升至2019年的29%。其中,工业数字化转型成效显著,已培育工业互联网平台100多个,重点平台的平均设备连接数近70万台,平均工业模型数超过1100个,平均工业应用数超2100个;服务业数字化发展领先,2019年数字经济增加值占比近40%,成为全球最大网络零售市场和最大移动支付交易市场。数字贸易提质升级,跨境出口模式不断优化。2019年我国数字贸易进出口规模达1.4万亿元,跨境电商综合试验区增至105个。
我国数字经济的发展基础也在不断夯实。新一代数字技术创新不断加快,自主可控能力持续提升。5G、大数据、云计算、人工智能、区块链、量子科技等前沿领域新兴技术进步显著,部分领域论文和专利数量全球第一,窄带物联网已经正式纳入全球5G标准。数字基础设施加快部署,已建成全球最大的通信网络,服务水平大幅提升。固网宽带用户近5亿;4G网络基站总规模占全球一半以上;5G基站在50多个城市大规模商用,接入终端超过9000万,市场规模全球第一;数据中心机架数量近300万;机器联网用户近10亿,全球占比超六成。数据资源体系建设成效显著,数据生产能力快速跃升,共享开放程度加大。我国数据规模年均增速超30%,预计2025年将增至48.6ZB,成为数据量最大、类型最丰富的国家之一;且已建成包含71个部门、31个地方全面接入的国家数据共享交换平台体系。
但是,受数据跨境流动不畅等因素影响,我国数字经济企业的海外市场收入占比很低,与国外龙头企业相比差距明显。我国数字经济龙头企业主要基于国内超大规模人口和市场优势,利用技术引进和商业模式创新形成了独具特色的发展模式。截至2020年12月,我国网民规模达9.89亿,互联网普及率达70.4%,网民人均每周上网时长达26.2小时。如此大规模的网民群体是我国互联网企业发展壮大的基石,但是,如果不能进一步向海外市场拓展,我国互联网企业未来的发展空间将大大受限。目前,国内数字经济龙头企业海外收入占比普遍较低。例如,阿里巴巴2020年第四季度营收2210.8亿元,其中跨境与全球零售商业务尽管同比增长37%,增至101.58亿元,但也仅占总营收的4.6%。另一家互联网巨头腾讯2019年海外市场收入占其总收入比例为4%,且过去十年一直在个位数占比左右徘徊,很难取得突破性进展。相比之下,美国互联网龙头企业国际化程度高得多。依据2020年新公布的财报看,谷歌公司的海外市场收入常年保持在总营收的50%甚至更高,苹果公司的海外市场收入则超过了总营收的一半,即便是亚马逊也差不多有三分之一收入来自海外。
在这种形势下,中美互联网企业之间的规模差距不断拉大,亟需在数据跨境流动方面有所突破。2014年以来,我国进入全球上市互联网企业市值排行榜前十名的公司数量由之前的3家减少为2家,美国相应地由7家增加到8家。而且,我国企业在世界十大互联网公司市值中所占比例也呈下降趋势,从2017年底的22%持续下滑至目前的16%,美国相应地由78%上升至84%。苹果公司的市值在2014年底时还低于我国当时最大的3家互联网公司阿里巴巴、腾讯、之和,现在则超过我国阿里巴巴、腾讯、美团、京东、拼多多、网易等6家公司之和;亚马逊的市值在2014年底远低于阿里巴巴,现在则相当于我国最大的3家互联网公司之和。
02
主要大国在数据跨境流动规则上的博弈显著加剧,
美欧对我国已形成“规则围堵”之势
数字经济天然具有全球化特征,数字时代的经济增长和贸易繁荣离不开数据跨境安全有序流动。一方面,大数据、云计算、人工智能、区块链等新一代数字技术快速发展,加上数字基础设施大规模普及,使得全球互联网协议流量及全球数据量呈指数级增长,数据的全球化属性、资产属性及流动属性日益增强,跨境数据流动已成为新型全球化的重要内容。有市场机构测算,2009~2018年十年间,全球数据跨境流动对全球经济增长贡献度高达10.1%,预计2025年有望突破11万亿美元。另一方面,数据的大规模跨境流动在给全球带来经济红利的同时,也引发越来越多的安全风险和监管挑战,至少涉及国家安全、公共利益、商业利益和公民个人等数据主体的权益等方面。例如,2020年7月,欧盟最高法院裁定欧美之间的数据跨境共享协议《欧美数据隐私护盾》失效,主要理由与国家安全利益相关,因为欧洲法院认为在该协议下,美国情报机构仍有可能获取用户信息,欧盟公民的个人数据难以得到同等程度的保护。
数据跨境流动关乎国家利益、产业利益、风险控制三者之间的动态平衡——这既需要尊重各国数据主权,也需要建立彼此认同的共同规则。这套规则体系涉及许多复杂且有争议的议题,包括数据主权、隐私与安全、法律适用及管辖权、竞争政策等。近年来,很多国家希望利用G20、WTO、APEC等多边机制探索具有共识的跨境数据流动机制,但至今尚未形成具有全球约束力的跨境数据流通规则体系。例如,尽管在WTO现行框架下已有一些相关条款,但诞生于互联网发展早期的《服务贸易总协定》难以充分认识跨境数据流动的潜在影响和重大隐患,相关规则很不完善,使得各成员国远未达成共识。实际上,由于跨境数据流动既涉及国内政策,又离不开国际协调,在全球层面就面临“跨境数据自由流动”与“有效的数据保护”“各国数据保护自主权”之间难以同时兼顾的窘境。已有的多边机制未能及时回应各国在政策诉求、价值理念和监管模式上的重大分歧,致使“规制单边化”和“规则标准俱乐部化”并存。目前,以美欧为代表的两大数字规则体系产生的影响最大。
美国采取“战略进攻”模式,加紧构筑所谓的“数据同盟体系”。凭借自身强大的数字经济实力,美国借助区域贸易协定推广和开辟新的双边或多边规则,谋求“美国优先”。一方面,通过美墨加贸易协定、美日FTA、美韩FTA、美智FTA等协定强化对贸易伙伴的规则约束,借助APEC、G20和WTO等平台与盟友一起推行其数据流动主张。例如,以APEC的隐私框架为基础构建的跨境隐私规则体系是美国近年来一直在众多国际场合推行的数据跨境规则,很大程度上缘于该体系充分体现了美国的政治和经济利益考量。其实质是通过构建较低水平保护的个人数据跨境流动秩序,确保参与的国家不会以“自身国内提供了高水平保护”为由限制跨境数据流动,由此实现数据向美国或美国企业的汇聚。同时,《全面与进步跨太平洋伙伴关系协定》、澳大利亚—新加坡、智利—新加坡—新西兰、日本—新加坡等域外贸易协定也都深受影响。例如,由于CPTPP的目标优先考虑数字贸易而非隐私权,一定程度上反映出该协定也深受美国一贯坚持的相对低水平和碎片化的隐私保护理念的影响。另一方面,严格限制涉及重大科技及关键基础设施领域的本土数据转移,并借助“长臂管辖权”和庞大的情报网络加以执行。美国早在2018年就出台了《澄清境外数据的合法使用法案》并修订了《外国情报监视法》,规定“谁拥有数据谁就拥有数据控制权”原则,打破传统的“服务器”标准,实施“数据控制者”标准,确保政府可跨境调取数据。美国还通过限制重要技术数据出口以及特定数据领域的外国投资,实施数据跨境流动管制。例如,美国外国投资委员会在2018年颁布的《外国投资风险评估现代化法案》确立了对“非控制性投资的扩大管辖”,包括外国投资涉及关键基础设施、关键技术和敏感个人数据的美国公司。2020年8月,美国政府宣布实施所谓的“清洁网络计划”,进一步通过国家安全例外来限制数据被“非美国人”访问。
欧盟因产业竞争力不足,采取“防守反击”模式,筑起“制度高墙”以谋求引领国际规则。其一,欧盟高度注重隐私保护,设立高标准的通用数据保护条例,仅允许个人数据流入到与其隐私保护水平相当的国家或地区。与美国将数据跨境政策与贸易政策深度捆绑不同,欧盟更重视从个人权利保护的视角考虑数据跨境流动,如GDPR大幅扩展了管辖范围,从过去的“属地”向“属人”转变。这种“长臂管辖”不仅加剧欧盟辖区外企业的合规成本,更凸显出欧盟试图主导个人数据保护国际标准的战略意图。GDPR规定除极少数例外,欧盟境内的个人信息只允许流入欧盟认可的能够提供“充分保护”或“适当保障措施”的国家或地区。目前,新西兰、阿根廷、日本、以色列、乌拉圭等12个国家已通过其“充分性认定”。未通过的第三国企业只有采用欧盟委员会批准的一系列标准数据保护条款,或采取“有约束力的公司规则”并获得认证后,才能跨境传输数据。简言之,欧盟要么以充分性认定制度作为约束他国的条件,强化其在国际经贸谈判及利益博弈中的地位;要么以一系列标准合同或行为准则作为约束他国市场主体的机制,强化其规则不可规避性。其二,欧盟不断扩大数据立法的国际影响,一定程度上实现了欧盟标准向国际规则转换,即所谓的“布鲁塞尔效应”。例如,澳大利亚、日本、巴西等数十个国家都效仿GDPR标准进行国内立法。欧盟委员会曾明确表示,“尽管各国对个人数据保护的路径和立法存在差异,但一些重要的数据保护基本原则被普遍接纳,欧盟应抓住这样的机会,通过推动法律体系趋同,达到推广其数据保护价值的目的”。2020年,欧盟委员会相继发布三份重要政策文件:《人工智能白皮书》《数据战略报告》《数字未来报告》,均提到GDPR在统一数据保护规则、推进数据流动价值理念方面的巨大作用,进一步强化数据保护模式和影响力向境外投射。其三,积极推动成员国之间数据自由流动,在“欧洲数据自由流动倡议”下消除非个人数据储存和处理的本地化限制,还提供多样化的个人数据传输方式,如遵守约束性公司规则、标准数据保护条款等。通过强化欧洲数据主权战略,推出“数字新政”,试图创造世界最大的数据安全流动区,进一步巩固规则引领和保护本土产业的战略目标。
03
我国在数据跨境流动规则的国际竞争中尚未占据战略主动
近年来,为维护国家安全和利益,我国陆续颁布了《中华人民共和国国家情报法》《中华人民共和国国家安全法》《中华人民共和国反恐怖主义法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及最新的《中华人民共和国个人信息保护法》等法律,跨境数据流动规则的法律规制初具体系。但总体来看,在全球数据跨境规则竞争中,我国仍未占据战略主动。
首先,我国还没有提出明确的数据跨境流动“中国方案”。2020年9月,我国发起了《全球数据安全倡议》,提出积极维护全球供应链安全、反对利用信息技术破坏他国关键基础设施或窃取重要数据、反对强制要求本国企业将境外产生或获取的数据存储在境内、反对未经他国允许直接向企业或个人调取境外数据、反对企业在产品和服务中设置后门等一系列倡议。这些倡议对推动国际规则构建有积极意义,但相对偏原则化,而且没有深入涉及隐私保护等重大问题的解决,尚未形成可操作的规则体系。
其次,我国尚未通过双多边协议打通与主要经贸伙伴国的跨境数据传输通道。目前,全球已有超过100个国家和地区参与了涉及数据跨境流动规则的双多边贸易投资协议。但我国签署的贸易协定中,仅RCEP涉及“电子方式跨境传输信息”规定,且只是原则上承诺,不能诉诸争端解决机制。同时,由于美欧主要国家对数据的长臂管辖权范围不断扩大,我国受制于现行数据本地化政策,导致通过协议打通与美欧的数据传输通道存在较大障碍,还面临被“规则排除”的不利局面。若长期与主要贸易伙伴缺乏合法且便捷的数据流动机制,我国企业走出去的合规成本和运营风险会越来越高,一些研发、数据中心等战略资源也可能被迫设在海外。
再者,国内数据保护制度体系尚不完善,难以满足打造全球数字经济高地、深度参与全球数据治理的要求。我国现行跨境数据流动管理体系总体上以国家安全和执法便利需要为主,对促进数字企业全球化发展、扩大数字服务贸易等考虑不足。例如,个人信息和部分商业场景的重要数据出境评估规定缺乏灵活性,监管方式相对单一。数据分级分类管理体系至今缺乏明确且便捷的制度安排,不利于企业实际操作。此外,跨境数据流动的部分法律法规存在规则模糊和相互冲突等问题,对数字企业出海和吸引跨国企业深度参与国内数字经济发展造成不少困扰。例如,近年来,部分企业基于商业目的的数据跨境流动就引起了西方国家安全的担忧或指责。这些问题如不能妥善解决,极不利于我国在对外谈判中输出规则主张,也影响他国对我国数据保护水平的信任。
04
尽快提出“中国方案”,依靠内外联动扩大我国数字规则“朋友圈”
尽管我国数字经济蓬勃发展,但国际化程度与美国等发达国家相比一直较低。随着国内市场不断趋向饱和,这必将成为“十四五”期间乃至更长时期制约经济增长和提升国际竞争力的突出短板。有研究表明,2018年至2025年,我国数据圈将以30%的年平均增长速度领先全球,高于全球约3%;预计在2025年我国数据圈增至48.6ZB,占全球27.8%,成为全球最大的数据圈。伴随我国逐步成为全球数据中心,开放的经济体系决定了数据跨境流动的普遍性,也带来更大的风险与挑战。积极响应数字经济中长期发展对跨境数据流动的重大需求,必须尽快提出和推广数字规则的“中国方案”,打破美欧主导格局,取得战略主动。
第一,尽快提出我国促进全球数据跨境安全自由流动的明确主张和“一揽子”解决方案。以《全球数据安全倡议》为基础,围绕数据本地化、隐私安全、跨境执法协调等关键事项提出“中国版”解决方案,平衡公共安全、产业发展、个人信息权益等三方面诉求。原则上可采取“准许流动为主+本地化为辅+安全评估例外”模式,尤其对与贸易有关的数据流动,放宽本地化要求,尊重各国从国家安全、隐私保护和执法需要出发制定分级分类的数据监管框架。鼓励各国建立健全保护个人数据安全的国内法律制度体系,并就彼此的数据保护水平达成明确共识,构建多渠道的跨境数据流动机制。坚持尊重国家数据主权主张,反对任何以“长臂管辖权”单方面跨境调取数据,坚持优化司法协助渠道,鼓励以双多边协议建立新型跨境协助机制。
第二,确保我国个人信息保护、数据安全等国内立法与对外高水平谈判需要相衔接,避免出现“两张皮”。首先要制定遵循国际公认标准的隐私和数据安全立法框架,加强企业向政府报送个人数据的程序规范性,进一步明确国内现行法律法规中涉及“公民、组织配合协助义务”条款的法律适用范围、法定正当程序和司法协助例外情形。我国已正式提出加入《全面与进步跨太平洋伙伴关系协定》,在涉及个人数据跨境提供规则方面,要处理好《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等国内法施行与该类高标准贸易协定谈判的制度需求。加快完善数据分级分类管理机制,进一步细化适用安全评估机制的关键基础设施及重要数据类型,扩大适用自评估或备案方式管理的非敏感数据范围,完善科研数据、过境数据等特殊管理政策。建立健全多渠道、便利化跨境数据流动监管机制,如依据对等原则建立“白名单”认证机制,拓展标准合同条款、鼓励行业标准和认证以及第三方监督等。此外,尽快健全涉及网信、工信、商务、公安、司法等多部门协调配合的跨境数据流动监管体系,以机制设计优化带动监管模式创新。
第三,将与重要贸易伙伴签订互信互认的双多边协议作为突破口,为我国跨境数据流动规则主张“增容扩圈”。积极采取“以双边带多边、以区域带整体”的推进策略,以动应变,避免“原地踏步”。首先,选取与我国贸易投资往来密切、发展潜力大、政治互信较好的国家或地区打开局面。借助我国在“一带一路”沿线国家或地区的影响力,签署若干高水平双边协议,就个人信息保护、数据安全及网络安全、关键信息基础设施、技术规范及标准等方面形成“一揽子”制度安排,助力“数字丝绸之路”建设。尤其要重视个人信息保护的国际合作,明确与第三国管辖权或规则冲突的解决机制,争取与主要国家签订标准互认的框架协议,并积极参与国际规则制定。其次,在自贸协定升级谈判和商谈新自贸协定中,强化对电子商务章节的制度安排,在内容广度和约束力度上向高标准协议靠拢。积极推动与欧盟、英国、日韩之间的规制协调,抓住RCEP协议达成的有利契机,突破我国在欧洲和亚太地区的数据流动壁垒,力争构筑全球最大的数据流动圈。可以预见,在新一代数字技术加速变革的背景下,我国数字经济的超大规模优势将不断扩大,这将成为我国在愈演愈烈的“数字地缘政治”竞争中获得优势地位的重要资源。
第四,鼓励在部分自贸港和自贸区“先行先试”,支持数据安全有序流动的区域改革试验走深、走实。支持在海南、上海、北京、浙江、深圳等国内条件较好地区深入推进数据跨境传输安全管理试点,在“压力测试”中完善规则。基于我国国情和数字经济开放发展诉求,在自由贸易试验区等地区探索数据跨境流动机制是一个有效路径,但应认清国家层面法律法规尚未成体系、数据分类分级规则不健全、数据出境管制办法缺乏弹性、数据跨境传输安全评估和管理机制操作难及数据主权争议等难题。在确保风险可控的前提下,强调因地制宜,加强多部门监管协调,探索便捷有效的数据流动机制,务实推动真实商业场景下的双向数据交互,积极利用新技术手段降低安全风险,支持部分地区率先加入国际上的区域性数据自由流动制度安排。
文章来源:《学术前沿》杂志2021年9月合刊
作者:国务院发展研究中心创新发展研究部第三研究室副主任熊鸿儒
国务院发展研究中心创新发展研究部副部长田杰棠
原文责编:陈璐颖
新媒体责编:张宏莉
视觉:刘洁