学术咨询

让论文发表更省时、省事、省心

中国自由贸易试验区推进数据跨境流动的现状难点及对策分析

时间:2021年08月06日 分类:经济论文 次数:

摘 要 基于中国国情和发展诉求,在自由贸易试验区探索数据跨境流动机制是一个有效路径。 由自由贸易试验区推进进度和现状可知,目前数据跨境流动面临着国家层面相关法律法规尚未形成体系、数据分类分级规则不健全、数据出境管制办法缺乏弹性、数据跨境传输安

  摘 要 基于中国国情和发展诉求,在自由贸易试验区探索数据跨境流动机制是一个有效路径​‍‌‍​‍‌‍‌‍​‍​‍‌‍​‍‌‍​‍​‍‌‍​‍‌​‍​‍​‍‌‍​‍​‍​‍‌‍‌‍‌‍‌‍​‍‌‍​‍​​‍​‍​‍​‍​‍​‍​‍‌‍​‍‌‍​‍‌‍‌‍‌‍​。 由自由贸易试验区推进进度和现状可知,目前数据跨境流动面临着国家层面相关法律法规尚未形成体系、数据分类分级规则不健全、数据出境管制办法缺乏弹性、数据跨境传输安全评估和管理机制操作难及数据主权争议等难题。 建议从设置灵活的数据出境路径、强化信息技术研发应用能力、加快法律制度制定和实施的进度、确定数据分类分级标准和扩大国际影响力等方面应对当前的难点和问题,助力中国早日实现与他国的数据跨境安全流动。

  关键词:自由贸易试验区; 数据跨境流动; 数据安全评估

自由贸易

  一、引言

  数据跨境流动是支撑数字贸易发展的重要基础。 虽然数据跨境流动能促进各国的经贸发展和联系,但它也蕴含着威胁国家安全、泄露个人隐私和侵犯商业秘密等风险。 为此,主要经济体对数据跨境流动治理理念分歧较大。 美国在区域贸易协定(RTAs)和WTO框架下积极推动数据跨境自由流动; 欧盟高度注重隐私保护,允许个人数据流入到具有充分保护水平的国家和地区; 以俄罗斯为代表的新兴国家通过数据存储本地化等政策限制数据跨境流动。 中国关于数据跨境流动的相关立法主要分为3个部分。 一是《网络安全法》及其一系列配套法规。 《网络安全法》是中国首次在法律层面提出个人数据和重要数据出境的规制办法,具有法律效力。 配套的法律实施细则包括数据安全出境、个人信息出境、网络安全审查等具体操作指南。 二是《数据安全法(草案)》和《个人信息保护法(草案)》。 尽管这两部草案尚未最终定稿,但草案内容透露出国家未来数据政策的方向和管制力度。 前者表明了中国积极促进数据跨境安全自由流动的立场,并强调维护中国数据主权; 后者有利于优化中国个人信息保护领域的法律制度,为跨国企业进行数据跨境传输业务提供了合规指南,同时为中国与他国建立个人数据互通机制提供合作基础。 三是对特定部门数据出境的限制性规定。 例如,对涉及国家秘密的信息与密切关乎国家安全的矿产资源、军事信息、测绘和地图等关键敏感领域采取了严格的数据本地化政策,对个人金融信息、信用信息、人类遗传资源、人口健康信息等领域提出相应的限制数据外流要求。 尽管美国、欧盟、俄罗斯等国家和地区主张的数据跨境流动政策不同,但已通过双边、多边及区域经贸合作渠道建立数据互通共识。 为此,在做好风险防控的前提下,中国可尝试在国内特定地点或自由贸易试验区探索数据跨境流动机制,稳步推动数据跨境安全自由流动。

  针对数据跨境流动规制问题,学者们侧重对美国和欧盟的相关政策进行解读,通过对比美欧的治理理念和政策导向,对中国数据跨境流动发展和管制提出相应的政策建议(王融,2018; 东方,2019; 黄道丽和何治乐,2017; 张衠,2018; 张生,2019)。 从数据类型看,学者对个人数据跨境流动的研究相对丰富(张舵,2018; 许多奇,2018; 杜泽昊,2019; 刘一玮,2019)。 部分学者也探讨数据主权归属问题,如杜雁芸(2016)从大数据视角论述数据主权问题; 洪延青(2018)对美国CLOUD法案涉及的数据主权内容进行研究; 史宇航(2018)基于数据跨境流动政策视角谈论网络主权等。 具体到企业合规问题,娄鹤和陈国彧(2019)对比分析了中国、欧盟和美国各自的数据跨境流动规则,认为三国对数据跨境流动的立场不同抬升了跨国企业的合规成本; 许多奇(2020)发现跨国企业面临双向合规的难题。

  笔者发现,既有文献大多在研究对象与内容上具有高度重叠现象,而对于中国究竟应如何推进数据跨境流动的深入研究还比较少,且现有文献主要针对特定行业或特定数据类型展开探讨,从特定区域或自由贸易试验区视角进行的研究还很缺乏。 自由贸易试验区是建设开放型经济的最佳试验区和承载区(吴杨伟和王胜,2018),在自由贸易试验区层面探索“自下而上”的数据跨境流动创新制度是较好的选择。

  二、中国自由贸易试验区推动数据跨境流动的创新尝试

  (一)中国自由贸易试验区层面推动数据跨境流动的相关尝试

  上海、北京、浙江和海南等自由贸易区(港)在总体实施方案中明确要促进数据跨境安全流动,并尝试从巩固电信基础设施、探索数据跨境安全高效流动机制、营造开放性数字营商环境来构建“三位一体”的数据跨境流动管理体系,统筹兼顾地区的硬性和软性环境全面发展,为开展数据跨境安全高效流动夯实基础。

  1.重视数据流通中的风险防控问题并制定相应的保障措施

  基于国家层面《网络安全法》与《网络安全审查办法》的数据出境安全管理制度,一些自由贸易试验区聚焦数据流通全周期中的安全问题,探索全面的安全保障机制。 上海自由贸易试验区临港新片区建立网络安全风险报告与攻防处置流程和反应机制,对网络安全风险实施全方位追踪并制定应急解决方案,增强金融、能源、水利、通信等关键领域通信核心技术设备的威胁感知与防御能力建设,并对其展开网络安全审查,采取动态的网络安全等级保护措施,通过绩效考核和工程验收等安全评估方式降低风险。 浙江和北京的自由贸易试验区在总体实施方案中也都表示建立风险防控体系,但两地政策有些差异,前者侧重于建立安全、高效的风险防控体系,后者则表示要健全开放型经济风险防范体系。

  2.试点建立数据保护能力认证机制

  数据处理者的数据安全保护能力指企业能满足信息合规和内控要求,在管理和必备的技术能力方面达标,能够避免存储在企业中的用户数据发生盗用、泄露、纂改等情况。 建立数据保护能力认证机制易于从源头上减少或杜绝个人隐私泄露、国家安全被侵犯等潜在风险,通过该机制能确保数据在收集、存储、加工、传输等环节是相对安全的。 这为自由贸易试验区内企业开展数据跨境流动业务增加了一层“安全锁”,引导数据安全出境,也能顺利获取业务所需的境外数据。 借鉴《通用数据保护条例》(GDPR)的认证机制,上海自由贸易试验区临港新片区、北京和浙江的自由贸易试验区在总体实施方案中均提出建立数据保护能力认证机制,对接先进的国际数据保护规则,为推进完善国内第三方认证机制积累经验。

  3.积极部署国际互联网数据专用通道建设

  数字经济发展对网络性能要求更高,中国现阶段的电信基础设施已不适应数字经济和全球化经济高速发展。 国际互联网数据专用通道能改善现有互联网通信质量,增强数据传输的稳定性,降低时延,提高传输效率。 建立直达境外国家和地区的安全、便捷、高性能的信息专用通道,有利于国内外向型企业顺利开展国际贸易业务,同时吸引更多优质跨国企业入驻自由贸易试验区。 例如,重庆与新加坡之间的中新国际互联网数据专用通道正式开通后,显著改善了两地信息互联互通的网络空间环境。 上海自由贸易试验区临港新片区、河北自由贸易试验区雄安片区及浙江、天津和北京的自由贸易试验区也纷纷提出搭建园区到国际通信出入口局的国际互联网数据专用通道。 国家工信部也已批准海南自由贸易港建立国际互联网数据专用通道。

  4.稳步推进与特定地区信息互通或特定类型数据跨境传输

  多数自由贸易试验区基于地区发展优势和建设所需,利用其区位和产业优势,试点与其他国家开展“点对点”的数据跨境传输合作,例如中新(重庆)战略性互联互通示范项目,广西成为连接中国与东盟区域信息交流共享的枢纽; 或就某一特定行业开展数字化业务,陕西自由贸易试验区利用数字博物馆将中国文化输送至“一带一路”沿线国家和地区; 或有意与周边地区和国家提出初步合作共识。

  (二)中国自由贸易试验区推进开放性数据跨境流动可能存在的问题

  第一,部分自由贸易试验区为避免出现数据泄露、盗用等威胁到国家安全的潜在风险,新政策在实际推行中效率低下。 如上海自由贸易试验区临港新片区虽已启动“信息飞鱼”等重大建设项目,但在政策制度创新方面推进缓慢,成效不佳。 这是由于一些重要的创新政策存在落地慢、难、滞后等问题,市场主体对政策的整体满意度和体验度评价较低,导致临港新片区对国内外企业的吸引力不足,应加快临港新片区开放性政策的推行速度。 ①出现该现象的原因可能是在国家层面的数据规制框架下,临港政府无法精准把握数据政策对外开放的程度,影响新政策的制定力度和推行速度。 另一方面,创新政策措施在实践中推进较慢,导致中国还未与任何国家和地区建立数据跨境传输互信机制或签署书面合作协议,这种局势加大了自由贸易试验区对外开放的压力。

  第二,部分政策比较原则化,缺少精准、细致的可操作性方案。 如临港新片区开放性政策实际落地难的原因之一在于细则不够明确。 此外,政策文件存在一些模糊性表述,临港新片区表示针对不同类别的企业和网络应用数据需实施不同等级的管理办法,但方案缺少对企业类型和数据类型划分的解释说明。 与此类似,商务部提出在雄安试点探索数据跨境流动安全管理机制,但目前还未发现可操作、可落地的具体政策方案​‍‌‍​‍‌‍‌‍​‍​‍‌‍​‍‌‍​‍​‍‌‍​‍‌​‍​‍​‍‌‍​‍​‍​‍‌‍‌‍‌‍‌‍​‍‌‍​‍​​‍​‍​‍​‍​‍​‍​‍‌‍​‍‌‍​‍‌‍‌‍‌‍​。 海南自由贸易港也存在类似问题。 原则性的笼统规定使政策前景不明朗,带来企业对政策过度解读或解读时间过长等问题,降低企业运营效率,影响积极性政策的意愿和效果。

  第三,与北京、重庆、广西等自由贸易试验区主动提出与特定国家和地区开展数据安全高效流动的规划相比,海南自由贸易港、上海和浙江的自由贸易试验区在该方面工作不到位,目前还未明确其数据出境的国际合作对象。 北京商务局表示北京自由贸易试验区将主动与日本、韩国、东盟等经贸合作盟友探索数据跨境流动合作机制,并逐渐扩展到美国、欧盟等国家和地区。 虽然重庆和广西的自由贸易试验区总体实施方案未涉及数据跨境安全流动内容,但两地政府分别有意向与新加坡、东盟实现信息互联互通,开展数字贸易业务合作。 如重庆市提出探索重庆和新加坡之间的数据跨境便捷流动机制; 广西自由贸易试验区与东盟国家共建数据中心,推进大数据产业合作项目。 但仍需注意的是,北京、重庆、广西的自由贸易试验区还未与上述国家和地区正式签署数据跨境流动合作协议。 而海南自由贸易港、上海和浙江的自由贸易试验区只表示促进数据跨境安全流动,没有进一步列出具体的试点合作国家或地区,影响探索数据跨境传输机制的效率。

  三、中国自由贸易试验区推进数据跨境流动的主要难点

  (一)国内数据跨境流动的法律制度处于探索阶段,导致自由贸易试验区推动个人数据出境面临不确定性

  中国在数据治理规制领域起步较晚,促使美国和欧盟的数据治理模式成为国际数据流动规则主流。 近几年,中国积极投入到与网络安全相关的法律制度制定中,但仍有几点不足:其一,当前中国处在数据安全机制建设摸索阶段,数据跨境传输规则还不完善。 《个人信息保护法(草案)》虽已出台,但缺少与之配套的实施细则,并且该法律能否顺利与国际通行数据流动规则接轨、并作为和欧盟等国家和地区建立数据流动互信机制的合作基础,尚处于不明确状态。 其二,数据跨境流动规则不成体系,相关规定散见于各种法律、行政法规和部门规章中。 由于《个人信息保护法(草案)》正式实施时间还未确定,国内法律效力最高的仍是《网络安全法》及与之配套的系列实施细则,但其内容多是原则性和基础性表述,缺少系统性、可实践操作的措施。 《网络安全法》虽已出台3年,但由于内容相对粗疏笼统,不够具体化,增加了执法的难度(周永战等,2020)。 其三,由实践中的相关法律法规获悉,中国对数据跨境流动的举措多偏向限制性规定,即在“安全可控”前提下允许数据出境。 而《个人信息保护法(草案)》的最终定稿和围绕该法律的配套法规出台还需进一步观察,短期内自由贸易试验区内企业仍面临着数据跨境传输规则的不确定性。

  (二)数据分类分级体系尚不健全,导致自由贸易试验区推行数据跨境流动缺乏基础

  明确的数据分类分级法律标尺能够有效促进数据跨境流动的安全评估、风险防控、安全管理等相关工作开展。 在操作实践中,对不同类型数据的安全评估标准、细则、流程等属于不同的操作体系或一般数据是否需要评估等问题,均是在对数据类型和级别掌握和了解的前提下进行。 对于数据安全监管,应当明确予以重点关注和追踪的数据类型和级别,有的放矢地使用监管资源,既能保证监管质量,也能减轻监管工作量。 在数据安全管理方面,对类别和重要程度不同的数据在保护能力认证方面需有差异,拥有重要数据的控制者应具有较高水平的保护能力,而且一般数据和重要数据的风险评估标准可能也会不同。 海量数据被利用前,需要对其进行脱敏、去标识或加密等技术处理,确保数据来源的安全,而这也是基于数据分类分级后的结果。

  但中国仍处在数据分类分级标准的探索阶段。 《网络安全法》提出数据分类,重要数据需备份和加密。 《数据安全法(草案)》第19条对数据分类分级办法有基础规定。 但这两部法律属于原则性规定,对具体分类分级标准及惩罚细则缺少解释说明。 《个人信息保护法(草案)》也只规范了个人信息和敏感个人信息概念。 在行业部门层面,有《工业数据分级分类指南(试行)》《科学数据管理办法》和《金融数据安全数据安全分级指南》等,但前两部试行办法未对企业违反相关规定时的法律制裁予以说明,导致企业无法认清自己应承担的法律责任,而后一部的规范对象只是金融部门,目前还是缺少重要数据的识别标准。 综上,落实数据分类分级工作是实现国家、区域、行业或自由贸易试验区层面数据跨境流动的前提。

  (三)数据出境管制办法缺乏灵活性,无法完全保障自由贸易试验区数据出境安全和效率

  在个人信息保护法正式实施前,中国对出境数据主要采取事前安全评估的管制办法。 《网络安全法》和《网络安全审查》规定网络运营者需进行数据安全评估,而《个人信息出境安全评估办法》借鉴GDPR标准合同条款(SCCs),对个人数据安全出境采用类似《合同法》要求。 欧盟GDPR针对数据接收方国家不具有充分保护水平时,企业可通过约束性公司规则(BCRs)、标准合同条款(SCCs)、GDPR第40条经批准的行为准则、第42条认证机制以及第49条特殊情形下的克减等充分保障机制,合法转移出欧盟域内的个人数据。 和欧盟GDPR相比,中国现存的数据出境管理制度设计比较单一,制度体系不够完整,而且欧盟也已放弃事前许可的管理模式。

  数据出境管制办法缺乏弹性必然不利于实际操作。 因为单一的数据出境管制办法不适应数字贸易全球化的发展趋势,且难以满足自由贸易试验区内海量数据跨境传输的需求。 尤其对一些小规模企业或企业偶尔出境的情况,需事前提交相对繁琐的评估申请,且这对省级监管部门具备的行政资源要求更高(娄鹤和陈国彧,2019)。 这些现实情况影响自由贸易试验区内跨国企业正常运营和业务拓展的节奏及进度。 尽管现在《个人信息保护法(草案)》增加了个人数据的跨境提供方式,除了事前安全评估,新增了保护认证和签署合同等数据出境方式,但短期内自由贸易试验区数据向外提供路径仍以事前安全评估为主。

  (四)主要经济体执法数据调取有冲突,导致自由贸易试验区数据跨境流动实践出现困扰

  当前跨国企业通常借助网络实现跨境交易,特别是对云服务的使用,业务需求加剧了数据在各国流动的速度和频率,数据主权也成为各国博弈焦点。 美欧为保留其对境外数据执法需求,将域外管辖权融入各自国内法律制度中,如美国出台“CLOUD法案”,欧盟GDPR和《电子证据跨境调取提案》均涉及“长臂管辖”规则,即不再将数据存储物理地址作为决定数据管辖权的依据。 而中国《数据安全法(草案)》第33条与《国际刑事司法协助法》第4条都是对数据域外管辖权和控制权的“封阻法令”。 中美欧在数据主权问题上的争议,导致欧盟GDPR和美国出口管制调查不相容、中国《数据安全法(草案)》与美国CLOUD法案相冲突等复杂局面,提高了跨国企业的合规成本。 例如,当美国司法部要求在中国境内经营的美国微软、IBM等外资企业向其提供执法数据,这些外资企业是履行CLOUD法案义务还是遵守《数据安全法(草案)》规定? 这会使自由贸易试验区的跨国企业面临不确定风险。 过度强调数据主权不利于企业发展(付伟和于长钺,2017)。

  (五)数据跨境传输安全评估和管理机制存在操作难题,影响实施效果

  数据跨境传输安全评估机制的合理性和适用性既会影响企业跨国业务的效率,也会重塑中国在国际数字规则中的地位。 但中国在安全评估的相关理论和认知上还存在短板,如数据跨境传输的管理目标与战略问题、关键环节的问责和数据分级分类管理标准问题等。 ①数据跨境安全评估机制在实际应用中也会遇到操作层面的难题。 例如,自由贸易试验区数据出境采取事前评估方式,这与地区的脱敏技术、传输环境、接收方的数据保护能力、数据类别级别等问题息息相关。

  在数据安全管理机制方面,重要数据或敏感个人数据面临网络攻击的潜在风险更大,这对数据接收方、数据控制者的能力要求更高。 但中国在网络威胁处理能力上相对薄弱,尤其在信息技术安全监控和网络攻击追溯等领域的能力不足。 例如,对进口网络信息产品和技术的安全监控未涉及对软件核心技术的检测分析,且不具有规模化、协同化漏洞分析的评估能力,无法全面掌握产品存在的安全漏洞问题; 在云计算、大数据分析、区块链等新科技领域实力不足,很难做好对新兴信息技术产品的监控工作; 面对新的网络威胁APT,还不具备成熟的监测技术,即使实现监测,但缺少回溯方法,同样摸不清攻击源头(张博卿和孙舒扬,2019)​‍‌‍​‍‌‍‌‍​‍​‍‌‍​‍‌‍​‍​‍‌‍​‍‌​‍​‍​‍‌‍​‍​‍​‍‌‍‌‍‌‍‌‍​‍‌‍​‍​​‍​‍​‍​‍​‍​‍​‍‌‍​‍‌‍​‍‌‍‌‍‌‍​。 跨国企业多数商业活动会涉及数据跨境流动,这对自由贸易试验区的新兴技术能力要求更高。

  四、中国自由贸易试验区推动数据跨境流动的对策建议

  各国的数据跨境流动治理理念迥异势必影响彼此间的经贸关系。 考虑到数据跨境流动蕴含的风险,中国秉持审慎的数据治理方针,但具有国际竞争力的跨国企业对数据跨境流动有强烈的现实需求。 为缓和与主要经济体的数据治理摩擦及平衡国内安全和发展的关系,中国应理性把握数据跨境流动的节奏和水平,在自由贸易试验区层面探索中国特色的数据跨境流动机制。

  (一)采取灵活的数据出境管制措施并形成一套完整的体系

  第一,在《个人信息保护法(草案)》未正式实施的这段时期,自由贸易试验区应重视针对数据出境的事前安全评估方式,并结合地区跨国企业情况完善评估操作细节,如探索具体的评估流程、评估方式和评估标准等。 第二,在确保国家安全的前提下,自由贸易试验区可借鉴GDPR的充分保障措施,结合地区发展现实,探索合理、行之有效的多种数据出境路径。 可以对SCCs进一步升级,赋予行业协会监督权利,发挥市场经济功能,引导企业自律,并将市场认证机制视为数据出境的合规途径,①为企业提供更多灵活的数据跨境流动合规方案。 第三,SCCs应严格按照《合同法》规定,网络运营者与境外个人数据接收方只需遵循合同法规则,对于双方其他的权责问题,可制定相应的规范性文件解决,在实践摸索中改进数据出境规则。 ②

  第四,有关第三方认证机构以及企业数据保护能力评估标准和细则可借鉴GDPR第42~43条,既做到认证机制实行过程的公平公开性、对企业评估规则的透明性,又要确保认证机构满足其独立性及具备专业的知识水平。 第五,重视数据跨境流动的研究工作并建立专门的研究部门,明确管理战略,掌握地区开展数据安全评估机制的困难并逐一突破,整理散见于国家和地区层面法律制度中的数据出入境规制办法,及时追踪国家和其他地区的政策动态,探索数据确权及问责机制等。 ③在与国家层面政策制度不冲突的基础上,努力形成一套全面规范的数据出境流动规制体系。

  (二)重视并强化当地的信息技术研发和应用能力

  信息技术能力决定数据出境安全评估、数据全周期安全管理和动态追踪、交易风险评估等统计结果的科学性。 但中国维护网络安全核心技术能力不足,将直接影响政策制度层面的实施效果,尤其是面对美国对华采取技术封锁的现实基础,需强化自身信息技术创新能力。 一是继续保持信息技术研发。 增强在基础理论、核心器件、算法以及软件等弱势领域研究开发的投入力度,特别是加快大数据管理、处理系统和工具方面的研发进度,降低对国外开源软件的依赖程度。 二是重视新兴技术在数据登记、安全评估、安全管理和事中事后监管等环节的应用,提升企业对数据安全的风险识别和管理能力。 例如,在数据登记中应用多方安全计算、区块链等技术可降低数据流通风险,并且多方安全计算技术在保障数据隐私保护和促进数据便捷流动方面表现卓然; 针对数据安全风险评估问题,尝试利用大数据技术对网络安全风险发生的规律、动向以及未来趋势进行研判。 三是培养数字技术人才。 中国在大数据、人工智能、区块链等技术领域人力资本短缺,需继续培养基础学科和应用学科的劳动力,利用优惠政策吸引国内外优质人力资源,扩充中国在前沿领域的技术性人才规模。

  (三)加快推进与数据跨境流动相关的法律制定和实施进度

  国家层面应为各地自由贸易试验区探索数据跨境流动机制营造良好的外部发展环境。 在数字经济全球化及多数国家个人数据跨境流动规则趋向规范化的情形下,中国需加快《个人信息保护法(草案)》正式实施及细则措施出台进度,并对《数据安全法(草案)》予以完善,为中国个人数据从自由贸易试验区流出提供立法的安全保障。 虽然两部立法草案对中国个人信息保护、数据安全维护意义重大,但也存在继续完善的地方。 一方面,两部立法草案部分内容过于原则化,缺乏可操作性,与之配套的法律实施细则尚未出台。 如《个人信息保护法(草案)》第40条对收集和产生的个人信息超过规定数量情形有数据存储本地化要求,但具体数量尚未公布; 有关认证机制和签署合同出境方案的细则也是空白。 另一方面,虽然《个人信息保护法(草案)》内容上较多借鉴了欧盟GDPR,但其细节仍与GDPR有些差异,如处理敏感个人信息时对同意原则和方式有特别规定、“告知—同意”是数据跨境传输的基本条件、数据存储本地要求、执法数据调取的审批制度等。 ①建议收集、统计社会各界人士对草案的评价和建议,整理成文本,组织专家召开研讨会评估文本内容的可行性,尽快定稿并引用到实践中。 结合《全面深化服务贸易创新发展试点总体方案》,先在北京、上海、浙江、海南等自由贸易区(港)探索数据跨境安全管理、数据交易和处理等机制。 在实践操作中进一步改进不足,保留适应国情和对外的经验做法,形成配套的实施细则。

  (四)条件较好的自由贸易试验区可先探索数据分类分级标准,其他自由贸易试验区可做好前期准备工作

  《数据安全法(草案)》明确数据分类分级的主体是国家,虽然也提出各地区可制定本地区的重要数据目录,但这种“自下而上”的分类分级路径难以支撑国家层面的监管工作,因为各地区的分类分级标准存在差异,标准不同会增大国家对数据安全监管和风险防控的工作难度。 ①为便于统一管理,应由国家或北京自由贸易试验区先确定数据分类分级标准,其他各地自由贸易试验区可对拥有数据的主体做好数据摸底、粗略统计等前期准备工作。

  针对数据分类分级问题,首先,应考虑数据分类分级的参考标准是什么,建议分类标准依照其归属业务范畴划分类别,且分类的颗粒度应保持适度,按照由大到小层层递进的分类顺序; 分级标准可基于数据的敏感程度、关键程度或司法管辖要求等3个不同维度进行考虑(陈兴跃,2020)。 其次,依据数据类别、级别和特定的应用场景制定适宜的数据安全管理规则。 由经验可将数据至少区分为四大类并对其采取相应的管制办法。 对一般性质的非敏感商业数据,可探索企业自评估机制,并结合数据出境备案制等类似方案; 对金融和征信行业数据,对接国际数据流动标准和机制; 类似于科研性质的特殊数据属于重点关注对象,对此类数据出境采取审慎的管理制度; 对过境数据,可借鉴1995年欧盟数据保护指令的经验做法,采取适当宽松的管制办法。 ②最后,注重应用数据技术做好数据安全防护工作,如对敏感、关键数据采取技术脱敏、去标识化、加密等防护措施,并对加工前后的数据再次细分,对一般数据采用审计即可(陈兴跃,2020)。 在此期间,条件较好的自由贸易试验区可仿照北京国际大数据交易所实施方案,筹建类似功能的大数据交易中心,依托数据信息登记部门对企业拥有的数据类型进行摸底和记录; 其他地区的自由贸易试验区可通过调查问卷或企业上报等传统方式实现摸底与模糊统计。

  (五)在双边、多边或区域贸易合作框架下扩大中式数据治理模式的国际影响力

  由美国和欧盟的历史经验可知,在尚未形成普适的国际数据流动规则背景下,利用双边、多边和区域贸易合作框架推广中式数据治理模式是最有效的途径。 一方面,在国内条件较好的地区或自由贸易试验区,继续推进数据跨境安全管理试点,表明中国创建开放性数字营商环境的积极态度,愿意与志同道合的国家建立数据传输互信机制。 另一方面,尽快推动中日韩、中欧、中英之间的贸易谈判,寻找合适的机会加入CPTPP,突破中国在欧洲和亚太地区的数据流通壁垒,构筑全球最大的数字经济共同体。 由此既可以反制美国孤立中国的做法,又能助力中国跨国科技企业对外拓展投资和贸易。 同时,借助中国在“一带一路”沿线和东盟区域的影响力,与沿线国家和东盟签订个人数据、重要数据的《数据跨境传输合作协议》,在个人隐私保

  护、国家安全、网络安全、ICT供应链管理、关键信息基础设施、技术规范和标准等方面实现兼容,通过数据流动认证协定并采用共同适用标准,在统一的数据治理监管规则框架下推动数据合法有序流动,消除或减少中国与东盟和“一带一路”沿线国家之间的贸易壁垒。 中国可以利用“信息基础设施援外”帮助沿线国家和东盟国家搭建数字经济基础设施,将中国技术和标准适用于数字盟友国,便于彼此间未来海量数据的流通和数据安全监管。 最重要的是,中国可充分利用贸易谈判或双边对话机会,与他国在数据主权问题上达成合作共识。

  参考文献:

  [1] 陈兴跃. 数据分级分类正式入法具有重大实践指导意义[J]. 信息安全研究, 2020,(10).

  [2]东方. 欧盟、美国跨境数据流动法律规制比较分析及应对挑战的“中国智慧”[J]. 图书馆杂志, 2019,(12).

  [3] 杜雁芸. 大数据时代国家数据主权问题研究[J]. 国际观察, 2016,(3).

  [4] 杜泽昊. 个人数据跨境传输的法律规制[D]. 湘潭大学, 2019.

  [5] 付伟, 于长钺. 数据权属国内外研究述评与发展动态分析[J]. 现代情报, 2017,(7).

  [6] 洪延青. 美国快速通过CLOUD法案明确数据主权战略[J]. 中国信息安全, 2018,(4).

  [7] 黄道丽, 何治乐. 欧美数据跨境流动监管立法的“大数据现象”及中国策略[J]. 情报杂志, 2017,(4).

  作者:周念利 姚亭亭