上世纪80年代,经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)将数据跨境流动定义为个人数据跨国界的传输。然而,随着世界多极化、经济全球化和社会信息化的大潮到来,全球经贸交易、技术交流、资源分享等跨国合作日益频繁,商品流、人员流、数据流不断涌动,数据跨境流动已不仅限于个人数据。当前,对数据跨境流动的普遍理解是数据跨越国界的传输、访问或处理。数据有序跨境流动,有利于全球数据资源的开发利用和开放共享,有利于信息化产品和服务跨境运营和商业拓展,有利于推动信息网络技术、产品和服务的创新发展,进一步提升经济效率和社会福祉。如何辨识和管理数据跨境流动中的潜在风险,逐渐成为新时代数字经济发展与治理的关键环节。
整体看,数据跨境流动风险与隐忧主要集中于数据的传输、存储和应用三个环节。传输上,数据跨境过程环节多、路径广、溯源难,传输过程中可能被中断,数据也面临被截获、篡改、伪造等风险;存储上,受限于数据跨域存储当地的防护水平等因素,容易出现数据泄露等问题;应用上,跨境数据的承载介质多样、呈现形态各异、应用广泛,数据所在国政策和法律存在差异、甚至冲突,导致数据所有和使用者权限模糊,数据应用开发存在数据被滥用和数据合规等风险。
数据跨境流动涉及个人、企业和国家,影响重大,具体来看:
第一,数据跨境流动可能会引发用户数据易被泄露、滥用等问题。个人数据跨境流动中,可能出现经由移动设备的GPS等定位服务跟踪用户行踪的情况,甚至通过蜂窝基站、Wi-Fi、热点、蓝牙、麦克风、摄像头等设备收集未经授权的离线数据,还可能利用应用程序的访问权限漏洞擅自收集用户数据。这些数据包括用户个人信息、银行卡、信用卡、购物历史和网上访问记录等隐私,若被不法分子泄露或滥用,会给用户带来经济损失甚至人身伤害。如近期,亚洲某厂商被爆出利用境外销售的手机,收集用户信息并传送到合作伙伴服务器上共享。如果该服务器遭到黑客入侵,泄露的敏感数据落入不法分子之手,将成为电信网络诈骗“精准投放”的信息来源。
第二,数据跨境流动可能会给企业带来技术管理、资产管理和组织管理上的问题。技术管理上,跨国企业使用境外数据中心或云平台,由于大量数据向这些平台汇集,易成为黑客攻击的目标。如黑客通过恶意入侵云平台,常驻用户网络,长期进行盗取、篡改数据等活动。资产管理上,受到数据所在国政策、法律等限制,跨国企业的境外分支机构存在商业信息被披露的风险。如有跨国会计师事务所被境外证监会起诉、要求提供审计底稿等文件配合相关调查。组织管理上,跨国企业利用境外政策和制度上的漏洞发展灰色业务,给行业管理带来新挑战。例如,企业通过线上载体扩展境外线下灰色业务,来规避跨境业务的准入政策。
第三,海量数据跨境流动会使他国更容易分析挖掘国家重要战略信息。全球网络互联、信息互通,国际经贸、技术等多领域合作使跨境服务和数据流动日益频繁,数据留存境外时间更长、体量更大、涉及范围更广。这些数据经分析处理,能反映国家相关行业和领域的情况,例如,可通过海量手机位置反向绘制出移动通信基站分布图,再如,根据跨国电商的订单等相关数据推测用户群体的消费情况以及对应行业的宏观经济运行情况。当前,大数据已成为决定未来发展潜力的战略性资产,各方对数据跨境流动、海量采集和控制挖掘都高度重视。美国主张全球数据自由流动,意图通过遍布世界各地的美属企业分支机构,利用其信息通信技术、产业、政策上的优势,占领数据主权的制高点。欧盟设定了《通用数据保护条例》《非个人数据自由流动框架条例》等高标准的数据保护条例,在全球大力推广欧盟标准,通过延伸数据控制者在数据跨境流动中的权利范畴,最大程度上维护欧盟企业的权益。
随着数据价值与安全风险凸显,数据跨境流动安全和管理,已成为各国学术科研和政府管理共同关注的焦点。这就需要我们在保证跨境数据合法性、正当性、必要性的前提下,一方面,要加快推动数据存储、传输和分析等技术研发,提升数据防护水平,实现数据跨境流动全环节安全,即数据系统攻进不去,数据传输切不断,数据资产窃不走、数据滥用行为赖不掉;另一方面,要建立健全行业数据分级分类制度,加强数据出境的使用规范和安全保障,推动制定数据跨境流动的国际管理规则,通过经济、法律、技术、管理、国际规则等多种手段,建立健全数据跨境取证、域外管辖等的国际协调机制。
作者简介:
王娟娟,中国科学院大学博士,就职于浙江工业大学奉化智慧经济研究院政策与经济研究所,从事网络与信息安全技术、产业和政策等方面的研究。
汪海,就职于浙江工业大学奉化智慧经济研究院政策与经济研究所,从事网络与信息安全技术、产业和政策等方面的研究。
邮箱:wangjuanjuan@caict.ac.cn