2021年7月19日,美国信息技术与创新基金会(ITIF)发布了报告《跨境数据流动的障碍是如何在全球传播的,它的成本是什么,以及如何解决这些障碍》。该报告强调,数据本地化政策正在全球迅速推广,这将大大减少贸易量,降低生产率,并提高下游产业的价格。报告分为三大部分,第一部分对数据本地化的应用进行了分析,并阐释了实行数据本地化政策的五大原因;第二部分对数据本地化政策日益增长的影响进行了定量评估;第三部分部分对全球数字贸易及数据治理机制提出了分析建议。报告认为,各个国家必须共同努力,遏制跨境数据流动障碍,建设开放的、基于规则的、创新的数字经济。
摘译 | 韩昱/赛博研究院实习研究员
来源 | ITIF
四年来,世界各地实施数据本地化措施的数量翻了一倍多。2017年,35个国家实施了67项此类措施。现在,62个国家已经实施了144项限制措施,还有几十项正在考虑之中。
限制数据流动在统计上会对一个国家的经济产生重大影响——大幅减少其贸易总量,降低生产率,并提高越来越依赖数据的下游产业价格。
ITIF使用一个基于经济合作与发展组织(OECD)市场监管数据的量表发现,一个国家的数据限制每提高1个百分点,其贸易总产出将减少7%,生产率降低2.9%,下游价格将在5年内上涨1.5%。
政策制定者应该不断完善法律以解决与数据相关的问题,确保公民、企业和政府能够最大限度地利用数据和数字技术带来的巨大社会和经济利益。
为了建立一个开放的、基于规则的、创新的数字经济,澳大利亚、加拿大、智利、日本、新加坡、新西兰、美国和英国等国必须就数据本地化的建设性替代方案进行合作。
几个世纪以来,信息一直在世界各地流动。互联网体现了迅速向世界每个角落发送大量数据的潜力。在这个全球网络上,向国外发送数据的成本并不比向国内发送数据的成本高,全球的数据流动几乎没有成本。新冠疫情已明确体现出数据流动对全球经济的重要性。随着更多国家和部门进行数字化转型,数据流动量将会持续上升。虽然一些国家允许数据流动,但有更多的国家对数据传输设置了新的障碍,数据本地化不断发展和蔓延,这使得向国外传输数据更加昂贵且耗时。数据本地化的目标是保护特定的数据类型和被视为“重要”或“敏感”以及与国家安全有关的数据。政策制定者使用的理由也在不断变化。一些政策制定者,尤其是欧洲和印度的,公开呼吁将数据本地化作为数字保护主义的一部分,而另一些政策制定者则将本地化和保护主义隐藏在技术法规中,以此来作为掩饰。
数据本地化正在向更多的国家以及更多的数据类型扩散,对开放的、基于规则的以及创新的全球数字经济构成了越来越大的威胁。数据本地化使得互联网变得不易访问,成本更高也更复杂,同时降低了创新性。企业利用数据创造价值,而许多企业只有在数据能够自由跨境流动时,才能最大限度地实现其价值。因此,数据本地化削弱了数据密集型服务对经济生产力和创新的影响。例如,2018年经济合作与发展组织(OECD)的一份报告指出,双边数字互联互通增长10%,将使服务贸易增长超过3.1%,反之亦然。ITIF的计量经济模型估计,一个国家的数据限制性指数(DRI)每增加一个单位,其总产出交易量(5年内累计)就会下降7%,下游产业中的商品和服务价格会上升1.5%,整个经济体的生产率下降2.9%。
强制数据本地化也会破坏共享治理的能力。各国可以共同努力解决对数据传输的合理关切,例如防止间谍活动、维持金融监管和执法调查,同时仍然允许数据自由流动。各国应建立健全的数据隐私框架,在保护消费者的同时解决国家安全问题,但决策者应以透明、有针对性和平衡的方式进行,避免采取不必要的、昂贵的、限制性政策。随着全球逐渐摆脱新冠疫情危机,决策者需要做更多的工作,以确保全球数字经济仍然是经济增长和复苏的引擎。值得庆幸的是,一些国家正在通过新的机制、协议和数据流动治理以及数字贸易框架将这一理念付诸实践。
数据本地化主要有三种:
第一,一些政府限制特定类型的数据在境外传输。包括个人资料;健康和基因数据;测绘和地理空间数据;政府数据;银行、信用报告、财务、支付、税务、保险和会计数据;上市公司的内部公司资料;与社交媒体和互联网服务平台上用户生成内容相关的数据;电子商务运营商数据等。
第二,各国越来越多地对被视为“敏感”“重要”“核心”或与国家安全有关的数据进行限制,因其范围较为宽泛、界限较为模糊,往往会影响更为广泛的商业数据。此外,欧盟和印度在努力将限制扩大到针对非个人数据的框架之中。
第三,事实上的数据本地化也在增长。由于数据传输实际上较为复杂且具有不确定性,企业基本上别无选择,只能将数据存储在本地,尤其是在面临巨额罚款的情况下。例如,欧盟取消了数据传输机制,未能为数据传输添加新的认证或其他新的法律工具,同时不断增加对剩余机制(如标准合同条款)的限制条件,都有可能使得GDPR成为世界上最大的事实上的数据本地化框架。
数据本地化的原因在不断演变。几乎所有的数据本地化提议都包含着混合原因。当政策制定者的主要(隐藏的)原因是保护主义、国家安全、加强对互联网的控制或这些因素的组合时,他们往往会采取“双重用途”的方法,以达到官方上看似合法的目标,例如数据隐私或网络安全。
1.对数据隐私、保护和网络安全概念的误解
随着越来越多的国家颁布新的数据保护框架,一些决策者几乎不可避免地会提出数据本地化,因为他们本能地认为,保护数据的最佳方式是将数据存储在本国境内。这种误解是许多数据本地化政策的核心。然而,数据的安全性并不取决于数据存储的位置。
首先,组织无法通过向国外传输数据来逃避一国的法律。因此,数据本地化不是强制组织遵守国内数据法的必要条件。同样,企业也无法通过这一方式逃避法律,法律和合同仍然可以要求企业对如何使用数据负责,“法律关系”会将企业置于一国的管辖范围内。
其次,数据的安全性主要取决于保护数据的逻辑以及物理层面的控制,例如设备加密、数据中心的外围安全等。谁拥有或控制服务器,以及这些设备位于哪个国家,与它们的安全性几乎没有关系。
政策制定者关注数据存储的位置,部分原因是他们不想解决那些更具挑战性的因素,而这些因素实际上是有助于网络安全的。例如,提高用户和企业的网络安全意识,鼓励企业和政府机构采用并继续致力于一流的网络安全实践和服务。良好的网络安全管理以及访问数据的人员,实际上和数据本身一样重要,因为它们是大多数网络安全事件的核心。
2.数字保护主义是“数据主权”的主要原因
数字保护主义仍然是许多国家实施数据本地化背后的一个关键动机,但它已被纳入围绕网络主权(也称为数据主权或数字主权)和控制的更广泛的讨论之中。
近年来,数据本地化在保护主义方面的应用有所发展。越来越多的政策制定者希望利用信息技术来帮助当地企业,他们意识到数据驱动的创新是现代竞争力的核心,但他们没有在教育、基础设施和其他有助于企业和经济体提高竞争力的有利因素方面进行长期投资。例如,欧洲、印度、南非和其他国家使用数据本地化政策来明确针对美国公司。
政策制定者通常把网络主权描绘成一个强大而模糊的概念,通常指的是国家对数据、数据流动和数字技术的控制。它帮助各国从外国技术公司和贸易伙伴手中“夺回控制权”和“主权”。对数据和网络主权的误解忽略了一个问题,经济、治理、社会和政治因素的相互作用才决定了一个国家在数字问题上的最终立场。欧洲试图将自己定位为数字监管的道德领袖,德国总理默克尔和法国总统马克龙等欧洲领导人明确呼吁数字保护主义和数据主权并举。欧洲的数据战略草案推动数据本地化,并声称欧盟需要在欧洲拥有运营的云服务提供商。许多发展中国家的政策制定者、学术界人士、民间倡导者和商界领袖已转向与此相关的“数字殖民主义”概念,将数据本地化作为削弱或阻止外国科技公司的方式。
3.因审查和监视而进行数据本地化
各国将数据本地化要求作为一种方式,迫使外国公司为其监视和政治目的提供更方便的数据访问,并强制其遵守审查要求。例如,数据本地化是越南不断发展的网络审查和监视制度的核心。越南的网络安全法要求网络公司在当地存储个人和其他类型的数据,并在越南当地设立办事处。其动机是广泛而模糊的:保护国家安全、社会秩序安全和社会道德等。公司必须在越南拥有许可证,同时至少拥有一台服务器,随时接受检查,存储有关用户及其活动的详细信息,并在收到通知后三小时内删除非法内容。考虑到越南没有一个专门的、独立的数据保护机构,人们确实担心越南如何利用这一点来帮助政府获取数据。巴基斯坦的“删除和阻止非法在线内容”要求允许政府强制企业屏蔽对政府至关重要的内容,并为用户数据的访问提供便利等。
4.因执法和监管而进行数据本地化
各国利用执法和监管部门对数据跨境访问的担忧,为数据本地化进行辩护,同时为数字保护主义寻找借口。一些政策制定者表示,数据本地化是让本地和外国公司响应执法部门和金融监管机构数据请求的唯一途径。由于缺乏有效的跨境执法法律工具和条约,一些国家支持数据本地化。这种想法认为,如果数据存储在本地,外国政府将无法阻止供应商满足政府要求。但是,出于执法动机的数据本地化往往源于这样一个事实,即决策者不希望通过现有法律机制解决根本问题,以改进跨境数据请求的处理过程。犯罪和数字服务的跨国性质意味着,即使各国制定了本地化政策,它们也不可避免地需要其他国家的帮助。因此,目前的法律工具肯定需要升级。
5.因地缘政治风险和金融制裁引发的数据本地化
一些国家使用数据本地化和其他政策,为假设性的(不太可能的)国际金融制裁做准备。一些人认为国家支付系统是该国关键基础设施的一部分,而全球支付网络的使用代表着系统性、地缘政治性和主权风险,因为这些支付服务并非由当地所有。尽管受到制裁的可能性极低,但印度尼西亚、墨西哥、南非和越南都滥用国家安全和主权风险,为支付服务的相关限制(包括数据本地化)辩护。例如,2018年,南非储备银行(South Africa Reserve Bank)实施了一项暂停令,禁止将国内交易量从BankservAfrica(南非银行拥有的国内支付交换机)转移到国际支付。墨西哥金融监管机构发布了一项规则草案,要求支付服务在申请许可证时使用本地计算服务。
报告为决策者提供了几项一般性建议:
全球数据治理:政策制定者应提供个人数据传输的多种机制,鼓励企业通过提高数据管理的透明度来提高消费者的信任度,支持全球数据相关标准的制定,并向发展中国家提供更多援助,帮助其制定数字经济政策。
数字自由贸易:政策制定者应该保护数据流动、禁止数据本地化,并且在世界贸易组织(WTO)的电子商务谈判中只允许对这些条款的少数例外。政策制定者还应创造新的工具,对制定数据本地化和其他数字保护主义规则的国家采取措施。政策制定者应鼓励国家和全球机构对数据本地化在企业层面造成的影响进行调查。贸易谈判者应该制定透明度较高的、良好的监管实践条款,以确保数据流动和数字贸易不会因为不透明的监管规则而遭受壁垒。
就具体建议而言,决策者应当:
(1)关注在不同监管系统之间建立“互操作性”的总体概念;
(2)推行新的数字经济合作协议机制,如澳大利亚、智利、新西兰和新加坡谈判达成的协议机制;
(3)与其它国家进行合作,创建可互操作的卫生数据共享框架。这将支持负责任和合乎道德的跨界共享健康和基因数据;
(4)通过向非亚太经合组织成员开放,使《亚太经合组织跨境隐私规则》成为全球数据治理模式;
(5)支持多个国家共同制定一项“日内瓦数据公约”,以确立管理政府获取数据的共同原则、程序和保障措施;
(6)制定一项有针对性的战略,以支持监督框架,侧重监管数据的获取,而不是数据存储的位置;
(7)改进现有机制,并建立新的机制,以促进执法调查相关数据的跨境请求,例如《澄清境外数据的合法使用法案(CLOUD)》和更新的司法协助条约(MLAT),以便及时提供协助。
报告原文:
